Moje dane, moje prawa

Dyskusja o ochronie tożsamości musi się odnosić do regulacji występujących na gruncie obowiązującego prawa.

Dyskusja o ochronie tożsamości musi się odnosić do regulacji występujących na gruncie obowiązującego prawa.

Czytając ciekawą polemikę wokół artykułu pana Jakuba Chabika, rozpoczętą tekstem „Moje dane, moja sprawa” (CW 44/2008), zdałem sobie sprawę, że czegoś mi w niej brakuje. Dosyć szybko zorientowałem się, czego. W artykule, w którym pojęcie „prawa” pojawia się około trzydziestu razy, o prawie nie ma de facto ani słowa. Może więc czas dorzucić do dyskusji nieco „paragrafów”.

Postanowiłem szczegółowo przyjrzeć się prawom – jak to nazwał jeden z autorów uczestniczących w polemice - „pentalogu” Jakuba Chabika i odnieść je do niewystarczających (jak twierdzi jego autor) regulacji polskiej ustawy o ochronie danych osobowych (u.o.d.o.) oraz dyrektywy 95/46/EC. Uprzedzając nieco bieg wypadków zdradzę, że wynik był dosyć zaskakujący: pan Jakub Chabik odniósł sukces, i to nawet przed napisaniem pierwszej litery swojego artykułu. Szczegóły poniżej.

PRAWO I: Każdy ma prawo do korzystania z produktów i usług bez ujawniania tożsamości.

Ależ ma i obecnie. Zacznijmy od fundamentu prawa polskiego - konstytucji RP, zgodnie z którą „każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym” (art. 47) oraz „nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji dotyczących jego osoby” (art. 51 ust. 1). Potwierdza to u.o.d.o: „w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o (…) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej” (art. 24 ust. 1 pkt 4). Przekładając na język bardziej zrozumiały: fundamentalną zasadą określoną prawem jest dobrowolność, wyjątki (obowiązek „ujawnienia tożsamości”) muszą mieć podstawę prawną, i to ustawową, o której istnieniu i treści podmiot zbierający dane musi każdorazowo nas poinformować. A wyjątki są naprawdę „wyjątkowe”. Oczywiście, można i trzeba dyskutować o zakresie przypadków, w których musimy zgodnie z prawem podawać innym osobom nasze dane, ale w mojej opinii katalog ten nie jest „nadmierny”, a co więcej, dotyczy niemal wyłącznie naszych działań w sferze publicznej.

Tak naprawdę to, że nabywając towary lub usługi podajemy nasze dane, w przytłaczającej większości wypadków wcale nie wynika z tego, że jesteśmy do tego przymuszeni ustawą, ale najczęściej z… lenistwa i chciwości. Wygodniej bowiem płacić fakturę raz na miesiąc niż co chwila zerkać na stan konta w telefonie lub nerwowo szukać po kieszeniach karty telefonicznej. Wolimy kupić za złotówkę wysokiej klasy telefon w promocji abonamentowej niż zapłacić kilkaset złotych za o wiele gorszy, ale za to anonimowy „pre-paid”. To po prostu nasz wybór. Oczywiście, bez ujawnienia identyfikujących nas danych nie kupimy broni palnej, nie zapiszemy się na studia – ale chyba nikt rozsądny nie będzie wymagał, aby dostęp do tego rodzaju produktów i usług był anonimowy. Ponadto w niektórych przypadkach istnieje, nie tyle prawna, co faktyczna konieczność ujawnienia danych wynikająca z charakteru samej usługi, która po prostu nie może być świadczona bez podania danych identyfikujących (np. ubezpieczenie na życie).

PRAWO II: Każdy ma prawo wiedzieć, kiedy ujawnia swoją tożsamość.

Oczywiście, że tak, i prawo nam to gwarantuje. Tu znowu wskażmy na przepis art. 24 u.o.d.o. Zgodnie z nim administrator zbierający dane osobowe od osoby, której one dotyczą, musi jej podać informacje o sobie (nazwa, siedziba), o celu zbierania danych, w tym znanych lub przewidywanych odbiorcach danych lub ich kategoriach, o prawie dostępu do danych i ich poprawiania oraz o wspomnianej wyżej dobrowolności lub obowiązku ustawowym podania danych. Przepis ten zadziała niemal zawsze i obojętne jest, czy dane takie zbierane są za pośrednictwem Internetu, osobiście, przez telefon, czy w jakikolwiek inny sposób (np. w ramach monitoringu).

Ustawa przewiduje tu jedynie dwa wyjątki: pierwszy – przepis innej ustawy zezwala na zbieranie danych bez ujawniania faktycznego celu ich zbierania (policja, ABW, CBA itp.); drugi – osoba posiada już te wszystkie informacje (np. po raz kolejny loguje się w portalu aukcyjnym, a informacje zostały jej przekazane już wcześniej).

Na koniec „wisienka”: „Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (Art. 54. u.o.d.o). Mamy więc (a właściwie państwo ma) potężne narzędzie do egzekucji drugiego prawa pana Chabika.

PRAWO III: Każdy ma prawo do informacji, jakie dane na jego temat są zbierane, przechowywane, w jaki sposób są przetwarzane oraz co z nich zostało wywnioskowane.

Żeby nie być gołosłownym, znów zacznijmy od ustawy. Przepis art. 33 u.o.d.o.: „Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:

1) jakie dane osobowe zawiera zbiór

2) w jaki sposób zebrano dane

3) w jakim celu i zakresie dane są przetwarzane

4) w jakim zakresie oraz komu dane zostały udostępnione”.

Jedyne czego, moim zdaniem, brakuje w tym przepisie, aby w pełni zrealizować trzeci postulat pana Jakuba Chabika (choć, jak się okaże, brakuje tylko pozornie), to podanie informacji o tym „co zostało wywnioskowane” z danych. Pozornie, bo ustawa zobowiązuje do podania celu przetwarzania, a więc wskazania do czego zamierza danych użyć, w tym oczywiście co zamierza z danych „wywnioskować”. No dobrze – można zapytać – a ryzyko zmiany rozszerzania pierwotnego celu przetwarzania danych ? W ślad za dyrektywą unijną Polska ustawa przewiduje tzw. „zasadę związania celem”. Zgodnie z przepisami ustawy „administrator (…) jest obowiązany zapewnić, aby dane te były (…) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami”. Żeby nie być posądzonym o manipulację, śpieszę wskazać na pojedynczy wyjątek od tej zasady, zgodnie z którym przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne w celach: badań naukowych, dydaktycznych, historycznych lub statystycznych, i tylko jeżeli łącznie: (1) nie narusza praw i wolności osoby, której dane dotyczą; (2) następuje z zachowaniem przepisów art. 23 i 25, czyli przepisów określających przypadki legalnego przetwarzania danych osobowych oraz obowiązki informacyjne wobec osoby, której dotyczą dane. Zadajmy sobie pytanie, czy wyjątek ten naprawdę istotnie osłabia „zasadę związania celem”?

PRAWO IV: Każdy może wedle własnej woli rozporządzać danymi na swój temat, w szczególności – wynająć je lub sprzedać w całości lub części.

Polskie prawo nie zabrania handlowania własnymi danymi osobowymi, a skoro nie zabrania - to można. Nie do końca rozumiem, co autor miał na myśli mówiąc o „wynajęciu” lub „sprzedaży” danych. To pojęcia charakterystyczne dla obrotu rzeczami, a tu mamy do czynienia z informacją. Tak naprawdę należałoby mówić raczej o odpłatnym udostępnieniu danych osobowych (np. otrzymanych od administratora na żądanie zgłoszone w trybie omawianego nieco wyżej art. 33 u.o.d.o.), co jest prawnie możliwe i dziś.

PRAWO V: Każdy ma prawo bezpowrotnie usunąć dane na swój temat.

Tutaj sprawa jest nieco bardziej złożona. I słusznie, bo bezwzględne zastosowanie tego prawa wyrządzałoby zacznie więcej szkód niż korzyści, i to nie tylko w wymiarze publicznym, ale również w relacjach „indywidualnych”. Ale po kolei.

Każdej osobie przysługuje z mocy ustawy prawo do „żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane” (art. 32 ust. 6 u.o.d.o.). Ponadto, każdy z nas w przypadku innym niż przetwarzanie danych na podstawie naszej zgody, przepisu ustawy lub w celu wykonania umowy może zażądać od administratora zaprzestania przetwarzania danych ze względu na naszą „szczególną sytuację” (ustawa nie precyzuje co należy przez to rozumieć), co w praktyce oznacza prawo zażądania usunięcia danych (art. 32 ust. 7 u.o.d.o.). Na tym jednak nie koniec. Poza sytuacjami wskazanymi powyżej (zgoda, ustawa, umowa), możemy również wnieść sprzeciw wobec przetwarzania danych w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych (art. 32 ust. 6 u.o.d.o.). To jednak nie wszystkie przysługujące możliwości, ponieważ mimo pewnych kontrowersji przyjmuje się, że zgoda legalizująca przetwarzanie danych może zostać w późniejszym okresie cofnięta, co też de facto w większości przypadków oznaczałoby obowiązek usunięcia danych przez administratora (przetwarzaniem danych jest również samo bierne ich przechowywanie).

W praktyce zostają nam więc dwa przypadki, w których piąte „prawo Chabika” nie mogłoby zostać zrealizowane. Są to: przetwarzanie danych na podstawie przepisu ustawy (oczywiście w celu i zakresie tam określonym) oraz przetwarzanie danych w celu wykonania umowy. W jednym i drugim przypadku przyznanie postulowanego w treści prawa bezwzględnego uprawnienia do zażądania w dowolnej chwili usunięcia danych osobowych byłoby delikatnie mówiąc nierozsądne. Nie zapominajmy, że nie żyjemy w odrębnych i niezależnych „mikroświatach”. Wyobraźmy sobie bowiem przestępcę, który zaraz po wyjściu z więzienia zgłasza żądanie wykreślenia go z rejestru skazanych. Albo nieuczciwego klienta, który nie chcąc nam zapłacić za towar czy usługę, jeszcze przed upływem terminu płatności żąda od nas natychmiastowego wykasowania wszelkich dotyczących go danych. Zgodzimy się? Ja nie.

Reasumując, prawa postulowane przez pana Jakuba Chabika należy z pewnością uznać za słuszne (przynajmniej co do zasady), a jednocześnie za… już zrealizowane.

Michał Barta jest wspólnikiem w kancelarii radców prawnych Maruta i Wspólnicy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200