21.07.2009 r.
ŚWIADCZENIE USŁUG DROGĄ ELEKTRONICZNĄ – WPROWADZENIE DO PROBLEMATYKI
Handel elektroniczny, zwany także e-commerce[1], to zjawisko złożone z szeregu czynności faktycznych i prawnych, dokonywanych między podmiotem świadczącym usługi bądź oferującym towary, a jego potencjalnym nabywcą. Różni się on od klasycznej formy prowadzenia działalności gospodarczej przede wszystkim sposobem oferowania towarów i usług przy pomocy środków i urządzeń elektronicznych, takich jak telefony, faksy, Internet, telewizja. Specyfika przywołanej formy aktywności gospodarczej polega zatem na korzystaniu z nowych kanałów komunikowania się z potencjalnymi klientami. Kanałami tymi są systemy teleinformatyczne, w których komunikacja odbywa się przy użyciu tzw. środków komunikacji elektronicznej.
Kluczowym dla zrozumienia istoty handlu elektronicznego jest pojęcie „usługi społeczeństwa informacyjnego”[2] , które na gruncie polskiej ustawy o świadczeniu usług drogą elektroniczną[3], określono zwrotem „świadczenie usług drogą elektroniczną”[4]. Ujmując zagadnienie od strony negatywnej, można powiedzieć, że usługi społeczeństwa informacyjnego, to takie usługi, które nie obejmują swym zakresem usług nie polegających na przesyłaniu sygnałów w sieciach[5] oraz takich, których realizacja następuje za jednoczesną obecnością stron. Brak jednoczesnej obecności odnosi się do momentu wykonywania umowy[6]. Zatem sama umowa może być zawarta w sposób tradycyjny, istotny jest moment wykonywania umowy i brak jednoczesnej obecności stron. Ponadto umowę zawiera się za pomocą systemów teleinformatycznych, na indywidualne żądanie usługobiorcy. Taka transakcja, po spełnieniu przesłanek określonych w u.s.u.d.e., może zostać zakwalifikowana jako świadczenie usług drogą elektroniczną. Dokonując analizy zjawiska, jakim jest handel elektroniczny przez pryzmat wykorzystania sieci do przeprowadzenia transakcji, można wskazać dwa modele. Mianowicie, w pierwszym modelu cała transakcja odbywa się wyłącznie przy użyciu sieci, jest to tzw. model bezpośredni (najczęściej znajduje zastosowanie np. przy zakupie filmów, czy też oprogramowania komputerowego). Natomiast w drugim modelu, tzw. pośrednim, jedynie pewna część transakcji odbywa się na odległość z wykorzystaniem sieci (nabyty towar dostarczany jest np. przez pocztę).
Przedstawiony powyżej sposób oferowania towarów i usług oraz „docierania do klienta końcowego”, stwarza coraz to nowe wyzwania dla skutecznej ochrony prywatności, w tym danych osobowych jednostek będących uczestnikami transakcji elektronicznych. Jak wskazuje się w literaturze przedmiotu, obawy podmiotów korzystających z sieci w celu nabywania dóbr lub usług są w pełni uzasadnione, co potwierdzają chociażby badania wykonywane w USA i w państwach europejskich, które wskazują, iż użytkownicy sieci teleinformatycznych, w tym Internetu są zaniepokojeni faktem, że ich aktywność w sieciach może być monitorowana z dużą precyzją i szczegółowością[7]. Podkreśla się, że realnym zagrożeniem dla prywatności jednostek jest pozyskiwanie i zestawianie informacji na temat transakcji dokonywanych w sieci, na temat operacji finansowych, zainteresowań, preferencji wakacyjnych, czy też kulinarnych, co pozwala na stworzenie tzw. profilu osobowościowego[8], na potrzeby którego projektowane są następnie dedykowane kampanie reklamowe. Do przeszukiwania sieci i gromadzenia danych używane są takie narzędzia, jak systemy, czy też programy wyszukiwawcze[9], które pozostawiają swego rodzaju ślad po obecności użytkownika w sieci w postaci wykazu słów kluczowych wybieranych przez niego w celu odnalezienia szukanych informacji. Ponadto realnym zagrożeniem są także programy pozwalające na mierzenie częstotliwości korzystania przez użytkowników z określonych adresów, są to tzw. log analysys, służące ustaleniu cen za reklamy wyświetlane w sieciach[10]. Wreszcie wskazać można na technikę cookies[11], która także może stanowićformę inwigilacji użytkowników sieci.
Jak wynika z analizy panujących na rynku warunków i podejmowanych zachowań, klasycznie rozumiana działalność handlowa z uwagi na pojawienie się nowych kanałów wykorzystywanych do jej prowadzenia, przede wszystkim sieci komputerowych, przybiera coraz to nowe formy, wywołując nieznane do tej pory zagrożenia dla prywatności jednostki i dla bezpieczeństwa danych osobowych. Powszechnie zwraca się uwagę, iż sprawne prowadzenie działalności w obszarze handlu elektronicznego, wymaga zarówno znajomości zasad funkcjonowania nowych technologii, jak i świadomości dużego ryzyka naruszeń prywatności podmiotów biorących udział w transakcjach on line. Zatem to właśnie świadomość istotności zagrożeń jest pierwszym krokiem w kierunku skutecznej i efektywnej ochrony prywatności.
RAMY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH W SIECIACH TELEINFORMATYCZNYCH
Przedstawiając zagadnienie przetwarzania i ochrony danych osobowych przez pryzmat regulacji unijnych[12] i krajowych[13], należy wyjść od art. 51 Konstytucji RP, który stanowi, że nikt nie może być zobowiązany do ujawnienia informacji dotyczących jego osoby inaczej niż na podstawie aktu rangi ustawowej, który określać ma szczegółowo zasady i formy udostępnienia i przetwarzania danych o jednostkach[14]. Z uwagi na brak rozróżnienia w przywoływanym przepisie Konstytucji, zgodzić należy się z poglądem, iż regulacja konstytucyjna dotyczy także danych przetwarzanych w sieciach teleinformatycznych[15], a nie jedynie w sposób tradycyjny, np. w kartotekach. W podobnym duchu skonstruowane są przepisy u.s.u.d.e., która implementuje regulacje unijne, w tym część zapisów dyrektywy 2002/58/EC, przyznające ochronę danym osobowym bez względu na okoliczność, czy są, czy też nie są one przetwarzane w zbiorze[16]. Niemniej jednak wskazuje się w literaturze przedmiotu, że polska ustawa w sposób nie do końca pełny dokonała implementacji regulacji unijnych. X. Konarski podaje trzy zasadnicze różnice krajowych regulacji w stosunku do ich unijnego pierwowzoru[17]. Mianowicie, chodzi w tym miejscu o zakres ochrony przewidzianej w rozdziale 4 u.s.u.d.e., który dotyczy jedynie informacji mających charakter danych osobowych, a w dyrektywie ochroną objęte są wszelkie informacje związane ze świadczeniem usług komunikacji elektronicznej, w tym dane osobowe. Jest to istotne ograniczenie poziomu ochrony usługobiorców. Ponadto u.s.u.d.e. ma zastosowanie do podmiotów będących także dostarczycielami treści, tzw. content providers, którzy z kolei nie podlegają regulacjom dyrektywy o prywatności i łączności elektronicznej. Polski ustawodawca dokonał także wyłączenia spod zakresu ustawy działalności operatorów telekomunikacyjnych, która polega na świadczeniu usług telekomunikacyjnych i jest objęta zakresem dyrektywy 2002/58/EC.
Przechodząc do polskich regulacji odnoszących się do problematyki dokonywania operacji na danych osobowych w związku ze świadczeniem usług drogą elektroniczną, zgodnie z art. 16 u.s.u.d.e., do przetwarzania danych osobowych w rozumieniu ustawy u.o.d.o. stosuje się przepisy tej ustawy, jako ustawy podstawowej i kompleksowo regulującej kwestie przetwarzania danych osobowych, o ile postanowienia rozdziału 4 u.s.u.d.e. nie stanowią inaczej. Regulacje rozdziału 4 u.s.u.d.e. są uznawane za przepisy lex specialis w stosunku do u.o.d.o.Tak postawiona teza jest jednak zbytnim uproszczeniem, gdyż prawdziwa jest jedynie w sytuacji, gdy postanowienia u.s.u.d.e. przewidują dalej idącą ochronę od postanowień ogólnych. W literaturze wskazuje się, że np. art. 17, 18, czy 19 u.s.u.d.e. są przykładem regulacji statuujących dalej idącą ochronę od postanowień zawartych w u.o.d.o., wprowadzając modyfikację zasady adekwatności i związania celem oraz podstaw prawnych przetwarzania danych[18]. Jeżeli natomiast u.s.u.d.e. nie reguluje danej kwestii, nie modyfikuje jej, bądź też nie uchyla, lub po analizie przepisów będzie można stwierdzić, że nie wprowadza dalej idącej ochrony, to zastosowanie do ochrony danych osobowych znajdą postanowienia ustawy ogólnej.
PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH
Omawiając problematykę przetwarzania danych osobowych należy przybliżyć nieco pojęcie samego przetwarzania danych. Zgodnie z art. 7 pkt 2 u.o.d.o., przez przetwarzanie danych należy rozumieć jakiekolwiek operacje dokonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych. Powyższa definicja, stosując zwrot „jakiekolwiek operacje dokonywane na danych”, tworzy niejako katalog otwarty czynności o charakterze faktycznym, które mogą zostać uznane za przetwarzanie danych. Istotne jest, aby czynności te miały za swój przedmiot informacje mające status danych osobowych w rozumieniu u.o.d.o. Przetwarzanie danych może odbywać się w sposób tradycyjny, np. w kartotekach, jak i (na co wskazuje definicja) w systemach informatycznych, czyli w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych.
Po przybliżeniu pojęcia przetwarzania danych, w następnej kolejności zbadać należy wzajemny stosunek zapisów zawartych w ustawie ogólnej oraz w u.s.u.d.e. Już po pobieżnej lekturze art. 23 u.o.d.o. oraz art. 18 i 19 u.s.u.d.e. widać, że katalogi podstaw przetwarzania danych osobowych różnią się od siebie. Ustawa generalna wprowadza znacznie szersze przesłanki legalizujące przetwarzanie danych w porównaniu z u.s.u.d.e. Po przeanalizowaniu przywołanych powyżej przepisów można postawić tezę, iż podstawy wskazane w u.s.u.d.e., wprowadzają dalej idący poziom ochrony danych, a to właśnie poprzez ograniczenie przesłanek do czterech podstawowych przypadków[19]. Zatem do przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną zastosowanie znajdą na podstawie art. 16 ust. 1. u.s.u.d.e. jedynie podstawy wskazane w u.s.u.d.e., z zastrzeżeniem art. 27 u.o.d.o., o czym będzie mowa w dalszej części artykułu.
Zgodnie z u.s.u.d.e. są cztery przesłanki legalizujące przetwarzanie danych osobowych. Ustawa wskazuje po pierwsze przepisy tejże ustawy, po drugie zgodę usługobiorcy będącego osobą fizyczną, po trzecie postanowienia odrębnych ustaw, a po czwarte umowę usługobiorcy z usługodawcą[20]. Co do podstawy w postaci przepisów prawa, to chodzi w tym miejscu o art. 18 ust. 1, 2, 5, art. 19 ust. 2 pkt 1, 3 i 4 oraz art. 21 ust. 1 u.s.u.d.e. O podstawach w postaci odrębnych ustaw[21] lub umowy[22] stron mówi art. 19 ust. 2 pkt 4 u.s.u.d.e.
Jeżeli idzie o zgodę, to jako podstawę dla przetwarzania danych wskazują ją art. 18 ust. 4 oraz art. 19 ust. 2 pkt 2 u.s.u.d.e. Zgoda na przetwarzanie danych ma charakter oświadczenia woli w rozumieniu prawa cywilnego. Jest to oświadczenie osoby, której dane dotyczą[23]. Zgodnie z wyraźnym postanowieniem u.o.d.o., zgoda nie może być domniemana lub dorozumiana z oświadczeniem woli o innej treści. Jest to zapis wprowadzający wymóg, aby osoba wyrażająca zgodę wyraźnie oświadczyła, że zgadza się na przetwarzanie konkretnych danych, przez konkretnego administratora i w konkretnym celu. Zgodnie z art. 65 k.c., oświadczenie woli zawierające zgodę powinno być wykładane z uwzględnieniem stanu faktycznego istniejącego w chwili jego składania, z uwzględnieniem okoliczności, w których zostało złożone, a także ustalonych zwyczajów[24].
Natomiast w odróżnieniu od ustawy generalnej, art. 4 u.s.u.d.e. wprowadza możliwość odwołania zgody w każdym czasie. Brak jest takiego zapisu w u.o.d.o., co powoduje szereg kontrowersji w doktrynie. Część autorów uważa, że na gruncie u.o.d.o., zgoda nie może być odwołana[25], inni natomiast skłaniają się do poglądu, że zgoda może zostać w pewnych sytuacjach cofnięta[26]. Jeżeli natomiast chodzi o formę udzielenia zgody, to ani u.o.d.o. ani u.s.u.d.e., nie wprowadzają szczególnych wymagań co do formy. Zatem zgoda może być udzielona co do zasady w każdej, dowolnej formie, byle by ujawniała w sposób dostateczny wolę osoby ją wyrażającej. Wyjątkiem jest zgoda na przetwarzanie danych sensytywnych, która powinna być zgodnie z art. 27 u.o.d.o. udzielona w formie pisemnej. Powołany artykuł znajdzie w tym miejscu zastosowanie, albowiem wprowadza dalej idącą ochronę, niż przepisy u.s.u.d.e., wymagając aby zgoda na przetwarzanie danych wrażliwych przybrała formę szczególną, z wyraźnym wskazaniem na formę pisemną.
ZAKRES DANYCH OSOBOWYCH PRZETWARZANYCH W SIECIACH TELEINFORMATYCZNYCH
Analizując problematykę ochrony danych osobowych należy pamiętać, na co słusznie wskazuje się w literaturze przedmiotu, iż „strumień danych” przekazywany przy wszelkiego rodzaju transakcjach w sieciach komputerowych stanowi tylko wtedy zagrożenie dla prywatności, gdy odnosi się do oznaczonej osoby[27]. Zatem pomimo iż u.s.u.d.e. nie wprowadza wyraźnego wskazania, że dane osobowe mogą dotyczyć jedynie osób fizycznych, a wręcz przeciwnie, wskazuje, że ochronie podlegają dane usługobiorców, czyli zarówno osób fizycznych, prawnych, jak i ułomnych osób prawnych, to właśnie taka wykładnia jest właściwa z uwagi na zastosowanie zasad ogólnych określonych w u.o.d.o., gdyż u.s.u.d.e., nie wprowadza własnej definicji danych osobowych[28]. Zatem za dane osobowe należy uznać wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwą do zidentyfikowania osobą jest ta, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, z tym jednak zastrzeżeniem, że zdobycie powyższych informacji nie wymaga nadmiernych kosztów, czasu lub działań. Nie wdając się w szczegółowe rozważania na temat możliwości określenia tożsamości jednostki, zauważyć należy, że zgodnie z powyższą definicją te same informacje mogą w tym samym czasie stanowić dane osobowe z punktu widzenia jednego z podmiotów mających zamiar je przetwarzać lub je przetwarzającego, natomiast z punktu widzenia innego podmiotu nie będą one stanowić danych osobowych, np. z uwagi na fakt, że ich zdobycie będzie wiązało się dla tego podmiotu z nadmiernymi kosztami lub z koniecznością podejmowania czasochłonnych działań. Mamy zatem do czynienia z koniecznością każdorazowego indywidualnego podejmowania trudu oceny, czy jakieś informacje stanowią dane osobowe czy też nie. Zdaniem autorki, definicja danych osobowych jest definicją skierowaną niejako „na zewnątrz”, głównie do podmiotów, których dane nie dotyczą. Zatem zgodnie z literalnym brzmieniem ustawy, to możliwości finansowe czy też organizacyjne podmiotu drugiego, nie będącego podmiotem danych, decydują o tym, czy informacje o konkretnej osobie fizycznej będą podlegać w konkretnej sytuacji publicznoprawnej ochronie na gruncie u.o.d.o. i u.s.u.d.e. Idąc tym torem rozumowania, wewnętrzne, subiektywne przekonanie podmiotu, którego dotyczą pewne informacje nie ma znaczenia dla oceny, czy informacje te będą podlegać ochronie publicznoprawnej, nawet w sytuacji, gdyby dotyczyły jego sfery życia prywatnego. Podążając dalej, czy aby definicja danych osobowych nie pozwala na wyłączenie spod ochrony ustawy informacji o osobach fizycznych, których tożsamość można było zidentyfikować przy użyciu znacznych, nawet nadmiernych kosztów, czasu lub działań i zostało to uczynione? Wykładnia literalna przepisów daje właśnie taką odpowiedź. Niemniej jednak, zdaniem autorki, byłaby ona niezgodna z celem ustawy, który ma na celu ochronę jednostki przed bezprawnych przetwarzaniem jej danych osobowych. Dlatego właśnie właściwa wydaje się zgoła odmienna interpretacja, według której, jeżeli pewne informacje o jednostce zostały pozyskane i umożliwiają jej identyfikację, tak pośrednią jak i bezpośrednią, to uznać należy, że mimo nadmiernych kosztów poniesionych przy zdobyciu takich informacji będą to w etapie finalnym procesu ich pozyskiwania dane osobowe objęte ochroną przewidzianą w u.o.d.o. Interpretacja taka pozwala na zabezpieczenie interesów podmiotów, które zostały zidentyfikowane przy zaangażowaniu znacznych kosztów. Należy bowiem mieć na uwadze założenia i cele podmiotu, który poszukuje pewnych danych, za pomocą których następnie będzie w stanie zidentyfikować chociażby pośrednio daną jednostkę, np. w celu skierowania do niej dedykowanej kampanii reklamowej, która może przynieść mu dużo większe zyski niż kwoty przeznaczone na działania identyfikujące dany podmiot. Autorka zaznacza, że zaprezentowana wykładnia nie ma w literaturze powszechnego poparcia, co nie znaczy, że nie powinna być poddana pod szerszą dyskusję i jest pozbawiona podstaw.
Wracając do zagadnienia zakresu danych osobowych przetwarzanych w związku ze świadczeniem usług drogą elektroniczną, można pokusić się o dokonanie pogrupowania danych według pewnych kategorii. Wyróżnić należy dane dotyczące usługobiorcy, w tym niezbędne dla nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego[29]. W doktrynie dane te określane są mianem tzw. danych stałych[30]. Ustawodawca pozwala na przetwarzanie także innych danych dotyczących usługobiorcy, które nie są niezbędne do świadczenia usług drogą elektroniczną, przy czym do ich przetwarzania wymagana jest zgoda usługobiorcy[31]. Drugą kategorią danych, są dane pozyskiwane przez usługodawcę bardzo często w sposób automatyczny, bez wiedzy usługobiorcy, są to tzw. dane eksploatacyjne, które charakteryzują nie usługobiorcę jako takiego, ale sposób korzystania przez niego z konkretnej usługi[32]. Do kategorii danych eksploatacyjnych zaliczyć można dane rozliczeniowe, o których mowa w art. 19 ust. 3. Są to dane niezbędne do rozliczenia usługi i dochodzenia roszczeń z tytułu płatności za ich realizację. Natomiast tzw. biling data, to szczegółowe dane dotyczące rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych usługi. Dane te wykorzystywane są jedynie dla celów stworzenia szczegółowego bilingu na wyraźne żądanie usługobiorcy.
Trzecią kategorią danych są informacje przetwarzane dla celów reklamowych, badania rynku i preferencji usługobiorców, przy czym wyniki tych badań mają zostać przeznaczone na potrzeby polepszenia jakości usług świadczonych przez usługodawcę. Na potrzeby zestawiania danych oraz tworzenia profili konsumentów nie mogą być jednak wykorzystywane dane stałe, ustawodawca wprowadza także zakaz zestawiania pseudonimu z danymi osobowymi usługobiorcy.
Ustawodawca uprawnia ponadto usługodawcę do przetwarzania danych związanych z aktywnością użytkownika w sieci w sytuacji, gdy korzysta on z usług w sposób niezgodny z regulaminem świadczenia usług lub z przepisami prawa. Dane te mogą być przetwarzane tylko w zakresie koniecznym do ustalenia odpowiedzialności usługobiorcy. Na usługodawcę nałożone zostały obowiązki związane z utrwaleniem faktów niewłaściwego korzystania z usługi (czyli np. treści wiadomości).
Na zakończenie rozważań odnośnie zakresu danych przetwarzanych w związku ze świadczeniem usług drogą elektroniczną, podkreślenia wymaga także stanowisko doktryny, które wskazuje, iż wbrew literalnemu brzmieniu art. 18 u.s.u.d.e., że „usługodawca może przetwarzać dane osobowe usługobiorcy”, informacje wymienione w tymże artykule nie stanowią w każdym przypadku danych osobowych i ich naturę należy badać ad casum [33]. Nie można zatem stwierdzić jednoznacznie, iż w każdym przypadku pewne informacje będą stanowić zawsze dane spełniające przesłanki danych osobowych i że będą podlegać u.o.d.o. i u.s.u.d.e.
PODSUMOWANIE.
Reasumując powyższe rozważania na temat przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną, podkreślenia i rozważenia wymagają postulaty wskazane przez doktrynę[34]. Chodzi mianowicie o poddanie pod szerszą dyskusję propozycji odnośnie wprowadzenia standardów dla urządzeń internetowych, które powinny uprzednio informować użytkownika o możliwości zbierania danych w trakcie korzystania z urządzenia, o sposobie i celu ich wykorzystania, o możliwości dostępu do danych i decydowania o zakresie ich zbierania. Postuluje się, aby opracowane zostały takie standardy, które umożliwią użytkownikom dokonywanie wyboru w kwestii gromadzenia ich danych i dalszego ich przetwarzania[35]. Także w Rekomendacji Grupy Roboczej art. 29 zawarto szereg postulatów mających poprawić bezpieczeństwo w czasie korzystania z sieci teleinformatycznych[36]. Rekomendacja poleca, aby określone zostało minimum koniecznych informacji, które powinna dostarczyć osoba zbierająca dane osobowe z wykorzystaniem sieci teleinformatycznych, aby sprecyzowano warunki i sposób przekazywania w/w informacji podmiotowi, którego dane dotyczą, a także aby określono zasady zbierania adresów internetowych wykorzystywanych w marketingu bezpośrednim, prowadzonym w sieciach. Przytoczone postulaty mają zapewnić większą kontrolę sprawowaną przez podmioty, których dane są przetwarzane nad procesem ich pozyskiwania i dalszego przetwarzania. Świadomość użytkowników, iż ich dane mogą zostać wykorzystane w konkretnych celach, zaaprobowanych przez nich, może wpłynąć pozytywnie na wzrost liczby osób korzystających z sieci i zaangażowanych w nabywanie i świadczenie usług handlu elektronicznego.
Arleta Adamus*
* Autorka jest doktorantką na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego
w Katedrze Publicznego Prawa Gospodarczego oraz aplikantką radcowską przy Okręgowej Izbie Radców Prawnych w Krakowie.
[1] Jedną z odmian handlu elektronicznego jest tzw. e-commerce, w którym zastosowanie mają mobilne urządzenia komputerowe i telefoniczne.
[2] Definicja usługi społeczeństwa informacyjnego znajduje się w art. 1 (2) dyrektywy 98/34/EC w sprawie ustanowienia procedury wymiany informacji w dziedzinie norm i przepisów technicznych, następnie zmienionej przez dyrektywę 98/48/EC.
[3] Ustawa z dnia 18 lipca 2002 r., o świadczeniu usług drogą elektroniczną, Dz.U. z 2002 r., Nr 144, poz. 1204, z późn. zm. (dalej u.s.u.d.e.).
[4] Zgodnie z art. 2 pkt. 2 u.s.u.d.e., polski ustawodawca przez świadczenie usług drogą elektroniczną rozumie wysyłanie i odbieranie danych za pomocą systemów teleinformatycznych, na indywidualne żądanie usługobiorcy, bez jednoczesnej obecności stron, przy czym dane transmitowane są za pośrednictwem sieci publicznych w rozumieniu ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne. Jak wskazano w literaturze przedmiotu, definicja ta zawęża unijne rozumienie usługi społeczeństwa informacyjnego, gdyż literalnie czytając przepis, ogranicza je jedynie do wysyłania i odbierania danych, pomijając takie usługi jak dostęp do sieci oraz przechowywanie informacji na serwerach, np. usługi hostingowe. Tak J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz., Zakamycze 2004, s. 269.
[5] S. Piątek, Prawo telekomunikacyjne Wspólnoty Europejskiej, Warszawa 2003, s. 33-38, P. Podrecki, Prawo Internetu, Warszawa 2004, s. 172 -173.
[6] Analogiczne podejście do braku jednoczesności obecności stron w momencie zawarcia (nie wykonywania) umowy reprezentuje ustawa o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny z 2 marca 2000r., w której przyjęto za element konstrukcyjny umowy zawieranej na odległość brak jednoczesnej obecności stron przy jej zawarciu. Tak E. Łętowska, Ustawa o ochronie niektórych praw konsumentów. Komentarz, Warszawa 2000, s. 46. Podsumowując, aby zakwalifikować umowę, jako umowę zawieraną na odległość, w momencie zawarcia umowy musi być spełniony warunek braku jednoczesnej obecności stron, natomiast aby określić usługę, jako usługę świadczoną drogą elektroniczną istotne jest aby umowa wykonywana była bez jednoczesnej obecności stron, natomiast okoliczności samego zawarcia umowy są prawnie nierelewantne. Zatem pomimo podobnego brzmienia, pojęcia „świadczenie usług drogą elektroniczną” oraz „umowa zawierana na odległość”, nie są tożsame, a w pewnych sytuacjach mogą znaleźć się w stosunku krzyżowania. Tak P. Podrecki, op.cit., s. 174.
[7] J. Barta i in., op.cit., s. 237-238.
[8] Profilowanie to zjawisko polegające na zbieraniu i zestawianiu danych na temat konkretnej osoby, a następnie traktowanie jej przez pryzmat stworzonego profilu. Tak P. Podrecki, op.cit., s. 241.
[9] Systemy te mogą dać szereg informacji o tym kto i w jakim czasie wybierał konkretne adresy witryn, z kim prowadził korespondencję, na jakich forach internetowych uczestniczył, jakie prezentował poglądy w grupach dyskusyjnych. Ponadto wskazuje się w literaturze (vide J. Barta i in., op.cit., s. 243), na tzw. programy packet sniffern, które mogą wyszukiwać przepływające w sieci dane określonego rodzaju, np. według słów kluczowych lub według danych o karcie kredytowej korzystającego z usług w sieci.
[11] Informatyczne sformułowanie cookies weszło już do języka potocznego i zaczyna być zwrotem często używanym przez prawników zajmujących się zagadnieniami prawa w sieciach komputerowych oraz handlem elektronicznym. Pliki cookies stanowią ukryte informacje wymieniane między użytkownikiem internetu a serwerem strony internetowej i są przechowywane na twardym dysku komputera użytkownika. Ich pierwotnym celem było zapisywanie informacji między sesjami, jednak okazało się, iż głównie pełnią funkcje umożliwiające prześledzenie upodobań konkretnego użytkownika internetu. Dyrektywa 2002/58/WE wymaga, by użytkownik miał możliwość odmowy posiadania tego rodzaju urządzenia na swoim twardym dysku. Użytkownicy muszą również uzyskiwać jasne i precyzyjne informacje o celach i roli odgrywanej przez cookies. Domyślne parametry ciasteczek pozwalają na odczytanie informacji w nich zawartych jedynie serwerowi, który je utworzył. Ciasteczka są stosowane najczęściej w przypadku liczników, sond, sklepów internetowych czy stron wymagających logowania. Mechanizm ciasteczek został wymyślony przez byłego pracownika Netscape Communications – Lou Montulliego.
[12] Chodzi o Dyrektywę 2000/31/EC o niektórych prawnych aspektach usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego we Wspólnym Rynku, tzw. dyrektywę o handlu elektronicznym, z dnia 8 czerwca 2000 r., OJ, z dnia 17 lipca 2000 r., która w pkt. 14 preambuły wskazuje, że zasady związane z ochroną danych osobowych, a w szczególności zawarte w dyrektywie 95/46/EC, znajdują pełne zastosowanie do usług społeczeństwa informacyjnego (usług świadczonych drogą elektroniczną), L 178, Dyrektywa 2002/58/EC w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej, tzw. dyrektywa o ochronie prywatności i komunikacji elektronicznej, z dnia 12 lipca 2002 r., OJ, z dnia 31 lipca 2002 r., L 201, która w sposób szczegółowy reguluje zagadnienie ochrony danych osobowych w handlu elektronicznym. Polska ustawa o świadczeniu usług drogą elektroniczną czerpała także z ustawy niemieckiej o ochronie danych przy teleusługach TDDSG.
[13] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. z 2002 r., Nr 101, poz. 926, z późn. zm., (dalej u.o.d.o.) oraz ustawa z dnia 18 lipca 2002 r., o świadczeniu usług drogą elektroniczną, Dz.U. z 2002 r., Nr 144, poz. 1204), z późn. zm.
[14] Tak, P. Podrecki, op.cit., s. 223.
[15] Tak, X. Konarski, Komentarz do ustawy o świadczeniu usług drogą elektroniczną, Warszawa 2004, s. 147.
[16] Konstrukcja przyjęta w u.s.u.d.e. odpowiada założeniom art. 3 ust. 1 Dyrektywy 95/46/EC oraz pkt 15 preambuły do Dyrektywy, które wskazują, że ochrona danych osobowych powinna obejmować dane przetwarzane zarówno w zbiorze, jak i w sposób zautomatyzowany.
[17] X. Konarski, op.cit., s. 151-152.
[18] P. Podrecki, op.cit. , s. 225.
[19] Przykładowo u.s.u.d.e. nie przewiduje możliwości przetwarzania danych na podstawie prawnie usprawiedliwionego celu administratora danych, czy też w sytuacji, gdy jest to niezbędne dla wykonania określonych prawem zadań realizowanych dla dobra publicznego.
[20] Podobne podejście do klasyfikacji podstaw przetwarzania danych osobowych przyjęli J. Barta, P. Fajgielski, R. Markiewicz, op.cit., s. 280.
[21] Przykładem odrębnej ustawy, która pozwala na przetwarzanie danych może być ustawa o rachunkowości.
[22] Jeżeli chodzi o podstawę przetwarzania danych osobowych w postaci umowy stron, to u.s.u.d.e. nie wskazuje czy chodzi jedynie o umowę na świadczenie usług drogą elektroniczną, czy też o jakąkolwiek umowę łączącą strony, w tym umowę dotyczącą jedynie przetwarzania danych. W sytuacji braku wyraźnych regulacji, można przyjąć, że chodzi w tym przypadku o jakikolwiek stosunek umowny pomiędzy stronami.
[23] Tak art. 7 ust. 5 u.o.d.o.
[24] J. Barta i in., op.cit., s 416.
[25] P. Woźny, Ochrona danych osobowych w praktyce, Poznań 2000, s. 3-4, A. Mednis, Ustawa o ochronie danych osobowych, Warszawa 2001, s. 104.
[26] A. Adamus, Zgoda na przetwarzanie danych osobowych, jako wyraz autonomii informacyjnej jednostki, Radca Prawny nr 2/2008, s. 13-14.
[27] Tak J. Barta i in., op.cit., s. 254.
[29] Chodzi o dane dotyczące: nazwiska i imion usługobiorcy, numeru ewidencyjnego PESEL, adresu zameldowania na pobyt stały, adresu do korespondencji, jeżeli jest inny niż adres zameldowania na pobyt stały, dane służące do weryfikacji podpisu elektronicznego usługobiorcy, adresy elektroniczne usługobiorcy, inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
[30] J. Barta i in., op.cit., s. 282.
[31] Katalog danych jest otwarty, niemniej jednak cel przetwarzania tychże danych jest ściśle określony, gdyż dane te mogą zostać przetwarzane jedynie w celu reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę.
[32] Chodzi o takie dane jak: oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych dotyczących usługobiorcy (np. unikalny identyfikator użytkownika w systemie, inaczej userid lub login name, nie jest identyfikatorem hasło, które służy zabezpieczeniu dostępu do konta usługobiorcy, vide J. Barta i in., op.cit., s. 283), oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub systemu teleinformatycznego, z którego korzystał usługobiorca (np. numer telefonu, adres IP, vide ibidem), dane o rozpoczęciu, zakończeniu, i zakresie każdorazowego korzystania z usługi, dane o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną. Podkreśla się, że dane eksploatacyjne łącznie z danymi rozliczeniowymi, określane są w dyrektywie o prywatności i łączności elektronicznej mianem traffic data, czyli dane przetwarzane w celu przekazania komunikatu w sieciach lub naliczania opłat. Tak P. Podrecki, op.cit., s. 235.
[35] Oczywiście należy mieć na uwadze wszystkie obowiązujące przepisy prawa, pozwalające w pewnych sytuacjach przetwarzać dane osobowe bez uzyskania zgody osoby, której dane dotyczą lub w sytuacji, gdy dane są niezbędne do rozpoczęcia świadczenia usługi.
[36] Recommendation no 2/2001, on certain minimum requirements for collecting personal data on-line in the European Union, 17 may 2001, J. Barta I in., op.cit., s. 267.
|
Wersja do druku
Do góry strony
