Istnieją sytuacje, w których można legalnie przetwarzać dane osobowe, nie przejmując się ustawowymi ograniczeniami.

Uznanie adresów IP za dane osobowe nałoży z pewnością na ich dysponentów obowiązki przewidziane przepisami ustawy o ochronie danych osobowych (obowiązek rejestracji zbioru, odpowiedniego zabezpieczenia technicznego i organizacyjnego itp.). Ale czy zawsze? Otóż niekoniecznie. Istnieją sytuacje, w których można legalnie przetwarzać dane osobowe, nie przejmując się wynikającymi z ustawy ograniczeniami. Niektóre z tych wyłączeń mają charakter całkowity, inne - częściowy.

Po pierwsze, ochrona danych osobowych ma zawsze charakter terytorialny (!). Oznacza to, że adresatem regulacji prawnych danego kraju jest podmiot, który przetwarza dane osobowe przy wykorzystaniu „środków technicznych” znajdujących się na terytorium danego państwa. Niestety, brak jest jednoznacznej definicji pojęcia „środków technicznych”, ale - upraszczając - stosować się do przepisów chroniących dane osobowe trzeba tam, gdzie zlokalizowana jest baza danych lub serwer, na których znajdą się dane osobowe.

„Prywatny użytek” zwalnia z ustawy

Przy założeniu, że nasz serwer jest w Polsce i tu chcemy przetwarzać (chociażby zbierać) dane osobowe, możemy czasem powołać się na przepis art. 3a ust 1 pkt 1, wyłączający spod ustawy przetwarzanie danych „w celach osobistych lub domowych”. Warunkiem jest tu jednak, by administrator danych osobowych był osobą fizyczną. Sam cel (użytek) osobisty próbuje się z reguły interpretować analogicznie do tzw. dozwolonego użytku osobistego w zakresie korzystania z chronionych prawem autorskim utworów (art. 23 ust. 2 pr. aut.), gdzie obejmuje on korzystanie z „pojedynczych egzemplarzy utworów przez krąg osób pozostających w związku osobistym, w szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego”, a wyklucza wykorzystywanie ich w celach komercyjnych.

Dane tymczasowe

Jeśli natomiast zamierzamy prowadzić komercyjny (odpłatny lub finansowany z reklam) serwis internetowy, możemy skorzystać z innego wyłączenia. Ustawa nie znajdzie zastosowania w odniesieniu do doraźnie zbieranych i przetwarzanych danych w zbiorach powstałych ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, pod warunkiem, że po ich wykorzystaniu dane zostaną skasowane lub poddane anonimizacji (art. 2 ust. 3 ustawy).

Zatem w przypadku informacji, które są doraźnie utrwalane w systemie w związku z technologią realizacji transmisji danych, takich jak logi serwerowe czy pliki tymczasowe, administrator nie musi przejmować się faktem, iż wszedł w posiadanie danych osobowych (tak, tak, to też dane osobowe), musi jednak dopilnować, by je usunąć lub co najmniej zanonimizować niezwłocznie po wykorzystaniu.

W praktyce, z uwagi na krótkotrwałość, wyłączenie to ma dla administratorów serwisów znaczenie niewielkie. Należy też pamiętać, że nie zwalnia nas ono z obowiązku zabezpieczania danych w sposób przewidziany ustawą i rozporządzeniami wykonawczymi.

Mów mi „Panie Redaktorze”…

Bardziej użyteczne może okazać się wyłączenie w ramach prasowej działalności dziennikarskiej (art. 3a ust.2 Ustawy). Serwisy internetowe coraz częściej kwalifikowane są jako „prasa”. Przetwarzanie przez administratora danych osobowych udostępnianych przez użytkowników na bieżąco aktualizowanego (częściej niż raz do roku), publicznie dostępnego vortalu informacyjnego czy bloga, może więc podlegać wyłączeniu spod regulacji ustawy.

Oznacza to, że zarówno dane „osobowych źródeł” informacji, jak i dane osobowe tych, których te informacje dotyczą, mogą być przetwarzane bez konieczności stosowania się do przepisów ustawy. Administrator musi je jednak nadal zabezpieczać w sposób przewidziany prawem ochrony danych osobowych.

To nie tylko teoria…

Kształtujące się „europejskie” podejście do ochrony adresów IP już dziś stanowi problem dla prowadzących interesy na terytorium Unii, ale mających amerykański „rodowód” kolosów Internetu, takich jak Google czy Microsoft. Systemy prawne UE i USA są inne. Następuje zderzenie globalnego wymiaru Internetu z lokalnymi, częstokroć bardzo różniącymi się od siebie regulacjami poszczególnych państw.

Odmienności te doprowadziły do tego, że praktyki w zakresie przechowywania adresów IP stosowane przez wskazane wyżej korporacje są przedmiotem szczegółowych badań ze strony Grupy art. 29. Rozgorzała w efekcie ciekawa, acz nierówna wojna na argumenty, której pierwsze wyniki przyniosły ostatnie miesiące – 11 września ub.r. Google pod naciskami Unii Europejskiej zgodził się na skrócenie okresu przechowywania informacji numerów IP z 18 do 9 miesięcy.

To już drugie, wymuszone przez Unię, ustępstwo Google w kwestii terminów przechowywania danych (z początkiem 2008 roku korporacja skróciła już raz dotychczasowy, dwuletni okres ich przechowywania). Komisarz unijny ds. wymiaru sprawiedliwości Jacques Barrot zapowiedział, że Unia będzie dążyć do dalszego ograniczenia okresu przechowywania takich danych – do 6 miesięcy.

To dopiero pierwsze starcia potrzeby biznesowej i zysków przeglądarek (przede wszystkim ze spersonalizowanej reklamy kontekstowej) z pryncypialnym podejściem do ochrony prywatności jednostki. Stawka jest niebagatelna, a gracze poważni. Na ostateczne rozstrzygnięcie tej batalii przyjdzie nam jednak jeszcze trochę poczekać. A czasu na rozstrzygnięcie coraz mniej, gdyż jak stwierdził Marc Rosberg, przewodzący Electronic Privacy Information Center (EPIC): „Idziemy już w stronę IPv6, gdzie sprawa identyfikacji osób po adresie IP będzie jeszcze bardziej krytyczna”.

Michał Barta jest wspólnikiem w kancelarii radców prawnych Maruta i Wspólnicy.