Dane osobowe w serwisach społecznościowych

Kategoria: Artykuły Darmowe
Komantarze: 0
Wyświetlono: 553

Analiza spraw z zakresu danych osobowych wskazuje, że istotne trudności interpretacyjne wywołuje już sama ocena, kiedy określona informacja o osobie fizycznej zamieszczona w sieci Internet ma charakter danej osobowej. Przykładem takiej sytuacji jest decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 3 września 2008 r. dotycząca serwisu nk.pl[1]. W decyzji tej, wydanej na podstawie odwołania od wcześniejszej decyzji GIODO z dnia 27 maja 2008 r.[2], Generalny Inspektor uznał, że informacje o imieniu i nazwisku skarżącego, w połączeniu z informacjami o nazwie i adresie szkoły podstawowej oraz oznaczeniu klasy, do której uczęszczał, wraz z jego wizerunkiem z 1978/1979 roku nie umożliwiają jego identyfikacji, a tym samym nie stanowią jego danych osobowych. Stan faktyczny, będący podstawą wydania analizowanej decyzji przedstawiał się w skrócie w ten sposób, że jeden z użytkowników serwisu umieścił w nim wizerunek skarżącego sprzed lat (jako ucznia danej klasy szkoły podstawowej, oznaczonej z nazwy i adresu szkoły), a inny uzupełnił tą informacje poprzez przypisanie – w formie komentarza do fotografii – imienia i nazwiska skarżącego. Jak wynika z uzasadnienia decyzji, o zajęciu takiego stanowiska przez Generalnego Inspektora zadecydowało przyjęcie założenia, że po upływie 30 lat od utrwalenia wizerunku skarżącego, brak jest możliwości dokonania, na podstawie kwestionowanych informacji, jego identyfikacji przez „przeciętnego odbiorcę”. W konsekwencji uznania, że wyżej wymienione informacje nie stanowią danych osobowych, GIODO umorzył postępowanie, nie uwzględniając tym samym skargi skarżącego, który domagał się usunięcia wyżej wymienionych informacji, umieszczonych w serwisie bez jego zgody.

Powyżej przedstawione stanowisko Generalnego Inspektora uznać należy za nietrafne[3]. Przedstawiona w nim wykładnia „identyfikowalności” jako jednego z elementów rozstrzygających o zaliczeniu informacji do danych osobowych, jest sprzeczna z powszechnym sposobem rozumienia tego pojęcia w orzecznictwie Europejskiego Trybunału Sprawiedliwości [4], dokumentach Grupy Roboczej ds. Ochrony Danych Ustanowionej na Mocy Art. 29 [5], czy wypowiedziach polskiej nauki prawa[6]. Konstrukcja „danych osobowych” nie zakłada bowiem odwoływania się do modelu „przeciętnego odbiorcy”. Dla przyjęcia, że mamy do czynienia z daną osobową wystarcza, że choć jedna osoba mająca dostęp do tych informacji ma możliwość, bezpośrednią lub pośrednią, identyfikacji danej osoby, nie jest więc konieczne ustalenie, że możliwość taką mają „przeciętni odbiorcy”. Z tych przyczyn, w analizowanej sprawie nk.pl bezspornie doszło do przetwarzania danych osobowych. Nawet bowiem, jeżeli przyjąć – a co nie zostało do końca wyjaśnione w uzasadnieniu decyzji Generalnego Inspektora – że użytkownik serwisu, który umieścił w sieci Internet wizerunek skarżącego, nie miał od początku możliwości jego identyfikacji na podstawie tych informacji (bezpośrednia identyfikacja), to bezspornie przecież możliwość taka pojawiła się po dopisaniu przez innego użytkownika serwisu, imienia i nazwiska skarżącego (pośrednia identyfikacja) [7]. Co więcej, hipotetycznie nawet zakładając dalej, że mimo poszerzenia zakresu posiadanych informacji, użytkownik, który umieścił w serwisie wizerunek skarżącego nadal by nie miał możliwości jego identyfikacji, to zgodnie z treścią przypisu nr 26 preambuły do dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych[8] dla uznania, że informacje te mają charakter danych osobowych, i tak wystarczające byłoby ustalenie, że (choć jedna) osoba trzecia, której tą informację (wizerunek) udostępniono, może dokonać jej identyfikacji[9]. Warunek ten bezspornie został spełniony w stosunku do tego użytkownika serwisu, który podpisał wizerunek imieniem i nazwiskiem skarżącego.

W podsumowaniu powyższych uwag należy stwierdzić, że ze względu na sposób funkcjonowania serwisów społecznościowych[10], praktycznie każda informacja o osobie fizycznej w nim umieszczona powinna być traktowana jako dana osobowa[11]. Nawet bowiem jeżeli takiego charakteru nie ma ona ani dla użytkownika ją umieszczającego, ani też administratora serwisu, to jednak nigdy nie można wykluczyć, że późniejszej identyfikacji tej osoby nie dokonają inni użytkownicy tego serwisu.

[1] Decyzja GIODO z dnia 3 września 2008 r., DOLiS/DEC 515/08/22857. Treść decyzji dostępna jest w serwisie www.vagla.pl.

[2] Decyzja GIODO z dnia 27 maja 2008 r., DOLiS/DEC-314/08/13239.

[3] X. Konarski, Serwisy społecznościowe – nowy paradygmat ochrony danych osobowych?

[4] Wyrok ETS z dnia 6 listopada 2003 r., C-101/01 w sprawie Bodil Lindquist.

[5] Grupa Robocza ds. Ochrony Danych Ustanowiona na Mocy Art. 29, Dokument nr 136 – Opinia 4/2007 w sprawie pojęcia danych osobowych, przyjęty w dniu 20 czerwca 2007 r.

Grupa Robocza ds. Ochrony Danych Ustanowiona na Mocy Art. 29 jest to organ konsultacyjny składający się z przedstawicieli organów ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej, którego rolą jest czuwanie nad stosowaniem przez państwa członkowskie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. L 281 z 23 listopada 1995 r., s. 31 z późn. zm.).

[6] A. Drozd, Pojęcie danych osobowych – uwagi wstępne [w:] Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia pod red. P. Fajgielskiego, Lublin 2008.

[7] Tego rodzaju działanie określane jest powszechnie w społeczności internetowej jako tzw. tagging, od angielskiego czasownika „to tag” oznaczającego ”przymocowanie metki/etykiety”.

[8] Dz. U. L 281 z 23 listopada 1995 r., s. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1882/2003 (Dz. U. L 284 z 31 października 2003 r., s. 1). Powoływana dalej jako dyrektywa 95/46/WE.

[9] Por. przypis nr 26 dyrektywy 95/46/WE, zgodnie z którym w celu ustalenia, czy daną osobę można zidentyfikować należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby”.

[10] Pojęcie „serwisów społecznościowych” odpowiada angielskojęzycznemu terminowi „social networking services” (SNS). To ostatnie sformułowanie powszechnie stosowane jest w doktrynie zagranicznej – zob. np. Steven James, “Social Networking Sites: Regulating the online „Wild West” of Web 2.0” , Entertainment Law Review 2008/19 (2), s. 47 – 50, Tracy Gray, Thomas Zeggane, Winston Maxwell, “US and EU authorities review privacy threats on social networking sites”, Entertainment Law Review 2008/19 (4), s. 69 – 74.

[11] X. Konarski, Serwisy społecznościowe…