>Polecamy >

1. Zróżnicowana wrażliwość

Postrzeganie znaczenia ochrony danych osobowych i tworzenie struktury odpowiednich przepisów często jest efektem specyficznych historycznych doświadczeń oraz kulturowych uwarunkowań. Zróżnicowaną wrażliwość można już dostrzec wśród krajów Unii Europejskiej, które w ramach integracji harmonizują swoje prawa, na wzór unijnych dyrektyw, przyjmując przy okazji własne założenia i wyobrażenia.
Jako przykład można podać usługę Google - Street View. W Wielkiej Brytanii, Francji, Holandii czy Hiszpanii nie wywołała ona jakichkolwiek reakcji na płaszczyźnie danych osobowych. Inaczej już oceniono połączenie tej usługi ze zbieraniem danych WLAN. Odmiennie w Czechach, gdzie usługa w swojej pierwotnej wersji została zakazana, albo w Niemczech, gdzie ustalanie warunków dotyczących ochrony danych osobowych wywołało falę dyskusji. W efekcie osoby, których posiadłości zostały sfotografowane mogły skorzystać z możliwości zaskarżenia publikacji zdjęcia.
Powyższe pozwala sądzić, iż osiągnięcie jednolitego efektu w ramach Unii Europejskiej skupiającej na chwilę obecną 27 krajów i prawie tyle samo języków, jest niemożliwe. Jeszcze trudniejsze jest stworzenie stosunków pomiędzy Europą a Stanami Zjednoczonymi, albo krajami Azji.

2. USA

W Stanach Zjednoczonych przetwarzanie danych osobowych przez przedsiębiorstwa jest uregulowane w branży ubezpieczeniowej, medycznej, jak również w obszarze online. W ostatnim przypadku jednak tylko wówczas gdy przetwarzanie danych osobowych dotyczy dzieci poniżej 13 roku życia.¹
Przetwarzanie danych osobowych klientów czy użytkowników stron internetowych przez przedsiębiorców rozproszone jest natomiast w wielu różnych przepisach stanowych. Na chwilę obecną do przetwarzania danych osobowych nie jest konieczna zgoda podmiotu na przetwarzanie jego danych osobowych, ani spełnienie obowiązku informacyjnego².
Zgoda w formie Opt-In w Stanach Zjednoczonych w ogóle się nie przyjęła. Obowiązuje raczej koncepcja Opt–Out, zgodnie z którą podmiot danych osobowych może wyrazić raczej sprzeciw na przetwarzanie swoich danych osobowych. Koncepcja nie ma żadnych podstaw prawnych, jest jednak propagowana i stosowana jako forma samoregulacji przedsiębiorstw³. Pomimo powyższych braków regulacyjnych ochrona danych osobowych jest postrzegana jako element walki z konkurencją. Oznacza to, iż przedsiębiorcy upatrują w stosowaniu najwyższych standardów bezpieczeństwa, popartych Politykami Prywatności, swojej szansy na zdobycie zaufania klientów.
Kiedy przedsiębiorca nie przestrzega swojej Polityki Prywatności, stanowi to zachowanie nieuczciwej konkurencji, wprowadzające klienta w błąd. W takim przypadku Federal Trade Commission (FTC) może nałożyć sankcje albo zarządzić zastosowanie odpowiednich środków. Środki te będą dotyczyły bezpieczeństwa danych, jeśli przedsiębiorca zobowiązał się w stosunku do klientów do stosowania odpowiednich standardów. Taka sytuacja miała miejsce w stosunku do portalu Twitter, którego FTC zobowiązał do zastosowania odpowiedniego programu bezpieczeństwa⁴.

To co pierwsze nasuwa się w porównaniu do standardów europejskich to wielkie znaczenie, jakie przypisuje się bezpieczeństwu danych, w szczególności gdy ochrona danych uregulowana jest również na płaszczyźnie stanowej. W niektórych stanach obowiązują bowiem ustawy o bezpieczeństwie danych np. w stanie Massachusetts i Nevada. Nakazują one dla przykładu, aby dane osobowe, które są przekazywane przez sieć lub radio, były szyfrowane⁵.
Do bezpieczeństwa danych należy zaliczyć również określone obowiązki informacyjne w przypadku problemów z bezpieczeństwem i awarii danych osobowych, które od 2009 r. są również uregulowane w niemieckiej ustawie o ochronie danych osobowych (§ 42 a BDSG). Jako pierwszy (w 2003 roku) podobne przepisy wprowadził stan Kalifornia, a następnie ponad 40 kolejnych stanów. Reasumując w Stanach Zjednoczonych przetwarzanie danych osobowych przez przedsiębiorstwa nie jest wcale problematyczne. Ustawodawca jak już napisano na wstępie, interweniuje jedynie w punktach wrażliwych np. branży ubezpieczeniowej albo medycznej, albo gdy występuje szczególna potrzeba ochrony – dzieci w biznesie Online⁶.

3. Sieci społecznościowe

Wraz z rozwojem sieci społecznościowych i coraz większych ich możliwości nie cichną dyskusje na temat ich zgodności z przepisami prawa. Temat ten został również podjęty podczas konferencji adwokatów niemieckich w ramach forum danych osobowych. Sieci społecznościowe umożliwiają swoim użytkownikom przyłączenie się do specyficznego procesu komunikacyjnego, w szczególności do włączenia się do poszczególnych grup z różnorakim stopniem zaufania, sprowadzających się do wymiany własnych opinii, wymiany informacji, ale również do zróżnicowania swoich zdań, wprowadzania w błąd, jak również do mobbingu.

W ramach procesów tworzonych w Web 2.0 w grę wchodzą problemy różnorakich aspektów prawnych: wolność słowa (w tym prasy), wolność informacji, wolność zrzeszania się, wolność osobista, prawo do samookreślenia się – decydowania o sobie. Państwo występuje tutaj jako organ regulacyjny⁷ albo gwarant praw osób trzecich⁸.

Sieci społecznościowe są postrzegane jako instrument przekazywania wiedzy. Przy czym punktem szczególnie interesującym a zarazem najczęściej dyskutowanym, jest informowanie o osobach, bądź to przez samego użytkownika o sobie – „dane z pierwszej ręki”, bądź od osoby trzeciej – „dane z drugiej ręki”⁹. Motywacja do korzystania z sieci społecznościowych jest bardzo różna. Dotyczy ona celów prywatnych, celów zawodowych, mieszanych, czysto profesjonalnych, gospodarczych, czy państwowych. Szczególnego znaczenia nabierają informacje o osobach w ramach: stosunków umownych (np. w ramach umowy o pracę¹⁰, najmu, ubezpieczenia, innego rodzaju umów zaufania), obserwacji konkurencji, ustalania siły nabywczej, marketingu, wykrywania aktów terroru i prewencji przestępczej. W związku z tym dane pochodzące z sieci społecznościowych są wykorzystywane nie tylko przez osoby indywidualne, ale również dla celów komercyjnych lub państwowych.

Podczas dyskusji nad sieciami społecznościowymi zwraca się uwagę na nierówność stron: dostawcy i użytkownika. Nierówność stron może powodować problemy na płaszczyźnie prawa kontraktowego, ale również danych osobowych. W ramach usług Web 2.0 pozostają obszary, w których wola i autonomia decyzyjna są wątpliwe¹¹. Jako przykład można podać głośno dyskutowaną usługę Facebook, za pomocą której, zarejestrowany użytkownik miał możliwość załadowania na portalu listy adresów mailowych celem porównania z bazami Facebook.

Następnie trudno rozstrzygnąć jaki standard ochrony danych przyjąć w międzynarodowym aspekcie. Niejednokrotnie trudno jest rozstrzygnąć w jakim miejscu znajduje się siedziba usługodawcy - administratora danych. Usługodawcy działający w ramach Unii Europejskiej zobowiązani są przepisami prawa do zapewnienia należytej ochrony na podstawie obowiązujących przepisów prawa. Tymczasem dostawcy z krajów trzecich, w tym Stanów Zjednoczonych, przy tworzeniu serwisów internetowych tematu ochrony danych osobowych wielokrotnie w ogóle nie podejmują. Użytkownicy z kolei nie wiedzą kim jest dostawca, a z tekstu w języku ojczystym lub domeny krajowej „pl”, czy „de” wnioskują, iż mowa o administratorze krajowym. Co powinno oznaczać, iż dane osobowe są bezpieczne.

Podczas konferencji adwokatów niemieckich opierając się na dwóch przesłankach przetwarzania danych osobowych tj. przepis prawa albo zgoda podmiotu, podkreślono ich skomplikowane zastosowanie. Jako centralne narzędzie do usprawiedliwiania przetwarzania danych osobowych wskazuje się zgodę (§ 4 a BDSG, art. 23 ust. 1 pkt. 1 uodo). Skuteczność zgody zależna jest z kolei od spełnienia szeregu warunków. Są to m.in. wolność wyrażenia zgody, która następuje po przedstawieniu warunków na jakich dane osobowe będą przetwarzane. W wielu przypadkach osoby, które nie przynależą do sieci doświadczają negatywnych konsekwencji, w związku z czym trudno mówić o swobodnym wyrażeniu woli. Jeśli zaś chodzi o aspekt świadomości zasad na jakich będą przetwarzane dane osobowe to jest on również wątpliwy, albowiem opisy zasad przetwarzania danych znajdują się w Ogólnych Warunkach Umownych, liczących wielokrotnie więcej niż 23 000 znaków, nie zawsze zrozumiałych.

Zagrożenie budzi również „ściąganie” danych z sieci społecznościowych, a następnie ich kombinacja. Dane trafiają do osób niezależnych od usługodawcy. Są przez nich kopiowane, a następnie porównywane z innymi danymi (np. publikowanymi w innych portalach społecznościowych). Przy okazji nie chodzi tylko o konkretną osobę, ale również jej relacje z podmiotami trzecimi. Tego typu działania są możliwe dzięki różnorakim mechanizmom np. Data Mining.

Powyższe możliwości wymagają technicznych zabezpieczeń i stawiają ochronie danych osobowych ciągle nowe wyzwania, które podczas tworzenia nowych przepisów trudno przewidzieć. Zmiana dyrektywy unijnej o ochronie danych osobowych powinna prowadzić do polepszenia harmonizacji prawa i kontroli w Unii Europejskiej. Jak podkreślono w ramach forum dyskusji adwokatów niemieckich, będzie to jednak dalszy krok rozpoznawczy, wskazujący, iż ochrona danych osobowych w Internecie nie jest tematem ograniczającym się do terytorium kraju, czy Europy, ale jest to temat globalny¹².

4. Ochrona danych nie pasuje do dzisiejszego świata mediów

Na forum adwokatów niemieckich wyrażono również opinię, iż obowiązujące przepisy o ochronie danych osobowych nie pasują do obecnego świata mediów. Dzisiejszy użytkownik sieci społecznościowych musi nie tylko uważać na aspekty techniczne, wynikające ustawy o telemediach (§ 11 TMG), ale także doświadcza on w ramach informowania o osobie trzeciej treściowego ograniczenia wynikającego z ustawy o ochronie danych osobowych (§ 4 i 27 BDSG). Zgodnie ze stanowiskiem organów do spraw ochrony danych i Federalnego Sądu Najwyższego BGH, przepisy o uprzywilejowaniu mediów nie wchodzą w grę (§§ 41 BDSG i 57 RfStV). Zwolnienia przysługują jedynie klasycznym mediom tj. prasie, telewizji, radiu i im przynależnym wersjom online. W związku z wąską interpretacją „prasy” nie wchodzą również w rachubę sieci społecznościowe. W efekcie osoba, która publikuje w Internecie swoje zdanie o osobie trzeciej jest traktowana jako osoba przetwarzająca dane osobowe, a dokładnie jako zbierająca, zapisująca i przekazująca w rozumieniu §§ 3 Abs. 3 i 4 Nr. 1 i 3 BDSG. W następstwie powyższego dopuszczalność przetwarzania danych zależna jest od spełnienia kilku przesłanek. Zasadą jest zakaz przetwarzania danych osobowych, który doświadcza pewnych wyjątków (§ 4 BDSG). Oznacza to, iż przetwarzanie danych osobowych jest niedopuszczalne, chyba że podmiot danych osobowych wyraził zgodę albo istnieje podstawa wynikająca z przepisu prawa, pozwalająca na przetwarzanie danych osobowych (§ 4 a BDSG). W ramach podstaw rozważa się przepisy §§ 28 (przetwarzanie danych dla własnych usprawiedliwionych celów) i 29 BDSG (komercyjne przetwarzanie zbieranie i zapisywanie danych dla celów udostępniania). Przy stosowaniu § 29 ust. 2 Nr 1 BDSG pojawia się jednak problem, iż wyrażenie zdania o podmiocie trzecim jest tylko wówczas dopuszczalne, gdy czytającemu przysługuje usprawiedliwiony interes do posiadania informacji i jest on to w stanie udowodnić. Jako przykład prelegent podał wyrażenie zdania o osobie libijskiego prezydenta i jego polityce. Zgodnie z literą niemieckiej ustawy o ochronie danych osobowych dostęp do tego zdania powinni posiadać jedynie autoryzowani użytkownicy. Wszyscy inni nie powinni czytać na temat politycznych stosunków w Afryce pomimo tego, iż się tym interesują.

Powyższe problemy stosowania przepisów w ramach nowych mediów uzupełniają dodatkowe obowiązki wynikające z ustawy o ochronie danych osobowych. Usługodawca jest zobowiązany do poinformowania na podstawie § 33 BDSG o przetwarzaniu danych osobowych, czego z uwagi na ostre przepisy antyspammowe nie powinien czynić za pomocą poczty elektronicznej. Następnie na podstawie § 34 BDSG, ten kto wyraża swoje zdanie na temat innej osoby, a tym samym przetwarza jego dane powinien poinformować o szczegółach przetwarzania danych osobowych, a zgodnie z § 35 BDSG przekaz w odpowiednim czasie usunąć.

5. Do kogo należą dane osobowe

W dalszym ciągu niewyjaśniony pozostaje temat ochrony danych osobowych użytkownika sieci Internet przed staraniami usługodawcy. Już w wyroku o liczeniu publicznym Niemiecki Sąd Konstytucyjny zdecydował¹³, iż nie istnieje absolutne prawo jednostki do własnych danych osobowych. Podmiot danych osobowych funkcjonuje w społeczności, w której legitymowanie się danymi osobowymi jest nieuniknione. Informacje o osobie stanowią odzwierciedlenie socjalnej rzeczywistości, w której nie mogą być przypisane tylko ich właścicielowi¹⁴. Dobrym przykładem są tutaj adresy poczty elektronicznej. Służą one komunikacji i w sposób naturalny będą przez każdego zapisane, kto z daną osobą zamierza się skontaktować. Jeśli decyzja w temacie kto, kiedy i jak długo może posiadać adres e-mail, pozostawiona byłaby posiadaczowi adresu, spowodowałoby to blokadę społecznej interreakcji¹⁵. Również tutaj można przywołać już wyżej wspomnianą funkcję Facebooka „Wyszukaj Znajomego”. Właściciele adresów mailowych postrzegali naruszenie swoich praw do prywatności, w sytuacji gdy ich adresy e-mail zostały zapisane na platformie Internet przez użytkownika w celu porównania z bazą użytkowników już zapisanych do portalu. Ustalono jednak, iż odpowiedzialność za załadowanie adresów e- mail leżała przynajmniej również po stronie użytkownika, a zatem brak zastosowania przepisów o ochronie danych osobowych w sytuacji przetwarzania danych „dla celów osobistych i domowych” (§ 1 Abs. 2 Nr 3 BDSG)¹⁶.

6. Fundacja ds. Ochrony Danych Osobowych

W Niemczech szeroko dyskutowany jest również projekt wprowadzenia Fundacji do spraw ochrony danych osobowych. Fundacja miałaby sprawdzać produkty, wzmacniać świadomość społeczeństwa przez edukację i inicjatywy uświadamiające.

Założeniem projektodawców jest potrzeba wzmocnienia współdziałania: techniki („Code is law”, „Privacy by design”), osób (wykształcenie) i gospodarki, przedsiębiorstw („uregulowana samoregulacja”). Fundacja miałaby przeprowadzać testy produktów (np. szyfrowanie dysków USB ) albo oprogramowania, stosowanego w przedsiębiorstwach i służącego do przetwarzania danych osobowych, które miałyby prowadzić do ustalenia, czy produkt spełnia wymogi przepisów prawa.

Działalność Fundacji w swoich założeniach ma regulować obszar B2C, jak i B2B – co jest pewnym novum. Ten drugi obszar miałby dotyczyć okoliczności, w których przedsiębiorcy świadczą usługi związane z przetwarzaniem danych osobowych np. projekty outsourcingowe lub przetwarzanie danych na zlecenie¹⁷.

Zaplanowano, iż w ramach Fundacji powinni działać reprezentanci rządu, parlamentu, ochrony danych osobowych, gospodarki, ochrony konsumentów oraz przedstawiciele Internetu. Finansowanie natomiast powinno pochodzić z kar finansowych związanych z naruszeniem przepisów o ochronie danych osobowych¹⁸.

Zakres zadań fundacji podzielono na cztery filary: nadawanie tytułu jakości w ramach audytu (I), przeprowadzanie porównawczych testów produktów i postępowania (II), oferowanie szkoleń (III), i wreszcie badania i dalszy rozwój w dziedzinie danych osobowych (IV)¹⁹.

Podsumowanie

Powyżej wyrywkowo wymienione przykłady wskazują na naglącą potrzebę nowelizacji dyrektywy unijnej o ochronie danych osobowych, a następnie przepisów krajowych. Jako priorytetową należy uznać decyzję, jak sformułować przepisy, które obejmują obszar, podlegający tak szybkim przeobrażeniom. Za dobrą wskazówkę należy potraktować wyrażaną przez praktyków zasadę: Jedynym możliwym rozwiązaniem jest regulowanie nie drogi, ale celu, jaki ma być osiągnięty.

Autor: Justyna Matuszak

1. Dr. Ursula Widmer, Die globale Informationsgesellschaft: Ist der Datenschutz noch zu retten? Privatheit und Datenschutz außeralb der EU: Kein gleichwertiges Datenschutzniveau, Anwaltsblatt, s. 279.
2. D.L. Baumer, J.B. Earp, J.C. Poindexter, Internet privacy law: a comparison between the United States and the European Union, Computers & Security (2004) 23, s. 400 ff., 402.
3. US – Initiative für Opt–out bei Online-Werbung, heise.de vom 4.10.2010.
4. http://www.ftc.gov/os/caselist/0923093/100624twitteragree.pdf
5. F. Gilbert, in: F. Gilbert (Hrsg), Global Privacy and Security Law, Apsem Publishers, 2010, s. 65-67, 78 ff.
6. Ursula Widmer, Ibidem, s. 278.
7. Marbeuth, Kubicki, NJW 2009, 1792.
8. BGH, NJW 2009, 2888, „Spick Mich“ - Entscheidung.
9. Dr. Indra Spicker, Kommunikation als Herausforderung: Neue Wege für Datenschutz, Für Masseneingriffe bei sozialen Netzwerken im Internet reicht Stiftung Datenschutz nicht, s. 256.
10. Więcej w : Rolf/ Rötting, RDV 2009, 263; Forst, NZA 2010, 427.
11. Dr. Indra Spicker, Tamże, s. 257.
12. Phillipe Gröschel, Bedrohen soziale Netzwerke den Datenschutz? Wie neue Angebote im Internet einen Wandel in der Gesellschaft auflösen, s. 276.
13. BVerfG vom 15.12.1983, BVerfGE 65, 1, 41 f. – Volkszählung.
14. Tamże.
15. Niko Härting, Kommunikationsfreiheit und Datentransparenz, Bausteine eines modernen Datenschutzrechts als Reaktion auf das „Computer - Grundrecht“.
16. Tamże.
17. Eckpunktepapier des DAV zur Stiftung Datenschutz (Dezember 2009), s. 10 f.
18. Por. Plitz, Eckpunktepapier zur Errichtung einer Stiftung Datenschutz (Mai 2010), s. 1 f.
19. Dr. Peter Bräutigam, Bernard von Sonnleithner, Stiftung Datenschutz Ein Schritt in die richtige Richtung, Anwaltsblatt, s. 240.