Zastosowanie przepisów o ochronie danych osobowych do osób fizycznych – użytkowników przetwarzających dane osobowe w serwisach społecznościowych

Kategoria: Artykuły Darmowe
Komantarze: 0
Wyświetlono: 339

Zakres podmiotowy stosowania przepisów ustawy o ochronie danych osobowych wyznaczony został w art. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1]. Do analizowanej przez nas działalności serwisów społecznościowych[2], zastosowanie znajduje w szczególności przepis art. 3 ust.2 pkt 2 Uodo. Zgodnie z nim, jej przepisy stosuję się „do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych”. W przypadku administratorów serwisów społecznościowych, zastosowanie przepisów ustawy nie budzi wątpliwości, ponieważ przetwarzanie przez nich danych osobowych ma prawie zawsze miejsce w związku z działalnością zarobkową. Różny może być co najwyżej ich status jako adresatów obowiązków określonych w Uodo. Inaczej będzie w przypadku osób-fizycznych (użytkowników serwisu). Nie przetwarzają one bowiem danych osobowych w celach „zarobkowych” lub „zawodowych”. Wyłącza to, z uwagi na jednoznaczną treść art. 3 ust. 2 pkt 2 Uodo, możliwość stosowania przepisów ustawy do tej kategorii osób. Zauważmy w związku z tym, że rodzi to określone konsekwencje dla ochrony praw osób trzecich, zagrożonych takim przetwarzaniem. Często spotykanym przykładem takiej sytuacji, stanowiącym między innymi podstawę skargi w sprawie serwisu nk.pl[3], jest umieszczenie w sieci Internet wizerunku innej osoby, często z innymi jeszcze danymi osobowymi, bez jej zgody. Osoba „dotknięta” takim działaniem nie będzie mogła skorzystać ze środków ochrony przewidzianych w Uodo. Konsekwencją braku stosowania przepisów ustawy jest bowiem brak możliwości wydania przez Generalnego Inspektora Ochrony Danych Osobowych, w stosunku do osoby fizycznej umieszczającej „cudze” dane osobowe, decyzji o ich usunięciu[4 ].

Wprowadzone w art. 3 ust. 2 pkt 2 Uodo zawężenie stosowania przepisów ustawy do sytuacji przetwarzania danych osobowych w celach „zarobkowych” lub „zawodowych” nie występuje w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych[5]. W art. 3 ust. 2 dyrektywy przewidziano bowiem wyłączenie jej stosowania jedynie w przypadku przetwarzania danych osobowych przez osoby fizyczne w celach „osobistych” lub „domowych”. Tego rodzaju wyłączenie wprowadził również, niezależnie od ograniczenia z art. 2 ust. 2 pkt 2 Uodo, polski ustawodawca w ramach nowelizacji z dnia 22 stycznia 2004 r.[6]. Zgodnie z tym przepisem, ustawy nie stosuję się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.

Do chwili pojawienia się serwisów społecznościowych, dodatkowe – w stosunku do pierwowzoru unijnego – zawężenie stosowania przepisów Uodo, nie odgrywało większego znaczenia. Każdy bowiem w zasadzie cel „niezarobkowy” lub „niezawodowy” mógł być kwalifikowany jako cel „osobisty” lub „domowy” w rozumieniu art. 3a ust. 1 Uodo. Tego rodzaju wykładni nie można jednak mechanicznie przejąć na potrzeby udostępniania przez osoby fizyczne „cudzych” danych osobowych w sieci Internet. Do wniosku takiego prowadzi wykładnia celowościowa wyłączenia z art. 3a ust. 1 Uodo, wzorowanego na art. 3 ust. 2 dyrektywy 95/46/WE. Intencją jego wprowadzenia było bowiem objęcie nim aktów przetwarzania danych osobowych przez osobę fizyczną na jej „własny użytek”, rozumiany jako ograniczenie możliwości zapoznawania się z tymi danymi przez tą osobę lub – co bardziej sporne – osoby jej najbliższe. W takim przypadku, bardzo niskie jest bowiem ryzyko naruszenia prywatności osoby, której dane dotyczą. Na taki cel wprowadzenia tego wyłączenia wyraźnie wskazuje przypis nr 12 preambuły do dyrektywy 95/46/WE, w którym „korespondencję” oraz „przechowywanie spisów adresów” zaliczono do sytuacji typowego przetwarzania danych osobowych o charakterze wyłącznie osobistym lub domowym. Podobne stanowisko zajęto również w polskiej doktrynie, wyjaśniając, że cel „osobisty” i „domowy” to np. gromadzenie danych w osobistych notatkach, notebookach, domowych komputerach[7]. Mając na względzie tak „odkodowane” ratio legis omawianego wyłączenia, za wątpliwe uznać należy objęcie nim przypadków umieszczania „cudzych” danych osobowych w ramach serwisów społecznościowych, szczególnie w tych sytuacjach w których możliwość zapoznania się z nimi ma – praktycznie nieograniczona – ilość (zarejestrowanych lub nie) użytkowników tych serwisów. Bardziej dyskusyjna jest ocena sytuacji, gdy użytkownik umieszczający „cudze dane osobowe” ma możliwość określenia („predefiniowania”) kręgu osób, które będą mogły się zapoznać z tymi informacjami zapoznać, krąg ten nie jest więc „nieograniczony”. Warto w związku z tym zauważyć, że w ustawodawstwach niektórych państw europejskich, wzorowanych na dyrektywie 95/46/WE, wyraźnie wyłączono właśnie możliwość powołania się na „cel osobisty lub domowy” w przypadku, gdy są one udostępniane innym osobom (outsiders)[8].

W podsumowaniu powyższych uwag, należy wysunąć postulat de lege ferenda usunięcia z treści przepisu art.3 ust.2 pkt 2 Uodo sformułowania o stosowaniu przepisów ustawy do osób fizycznych wyłącznie w przypadku „przetwarzania danych osobowych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych”. Utrzymywanie tego przepisu w dotychczasowym kształcie skutkuje bowiem pozbawieniem osób zainteresowanych należnej im ochrony w przypadku, gdy ich dane osobowe nie są co prawda przetwarzane na „cele zarobkowe” lub „zawodowe”, ale przetwarzanie to wykracza już poza cel „osobisty” lub „domowy” w rozumieniu art. 3a ust. 1 Uodo. Jak się w związku z tym wydaje, poprawniejsze byłoby przyjęcie ogólnej zasady „stosowalności” przepisów ustawy do przetwarzania danych osobowych przez osoby fizyczne (a także osoby prawne i jednostki organizacyjne bez osobowości prawnej), bez odwoływania się do celów przetwarzania danych osobowych, a następnie – w odrębnym przepisie – wyłączenie jej stosowania w stosunku do osób fizycznych przetwarzających dane osobowe w celach „osobistych lub domowych”. Jeżeli natomiast chodzi o sposób rozumienia art. 3a ust. 1 Uodo, to wydaje się, że wystarczające jest pozostawienie jego wykładni decyzjom Generalnego Inspektora Ochrony Danych Osobowych i orzecznictwa sądów administracyjnych.

[1] Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm. Powoływana dalej jako Uodo.

[2] Pojęcie „serwisów społecznościowych” odpowiada angielskojęzycznemu terminowi „social networking services” (SNS). To ostatnie sformułowanie powszechnie stosowane jest w doktrynie zagranicznej – zob. np. Steven James, “Social Networking Sites: Regulating the online „Wild West” of Web 2.0” , Entertainment Law Review 2008/19 (2), s. 47 – 50, Tracy Gray, Thomas Zeggane, Winston Maxwell, “US and EU authorities review privacy threats on social networking sites”, Entertainment Law Review 2008/19 (4), s. 69 – 74.

[3] Decyzja GIODO z dnia 3.09.2008 r. DOLiS/DEC 515/08/22857. Treść decyzji dostępna jest w serwisie www.vagla.pl.

[4] X. Konarski, Serwisy społecznościowe – nowy paradygmat ochrony danych osobowych?

[5] Dz. U. L 281 z 23 listopada 1995 r., s. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1882/2003 (Dz. U. L 284 z 31 października 2003 r., s. 1). Powoływana dalej jako dyrektywa 95/46/WE.

[6] Dz. U. z 2004 r. Nr 33, poz. 285.

[7] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s.330.

[8] Zob. art. 2.2 szwajcarskiej ustawy federalnej o ochronie danych osobowych z dnia 19 czerwca 1992 r. oraz art. 2.6 rumuńskiej ustawy o ochronie danych osobowych z dnia 21 listopada 2001 r. (nr 677/2001).