AAA

O polityce prywatności

Jakub Bartosiak

Polityka prywatności to potoczne określenie tekstu lub dokumentu umieszczonego w serwisie internetowym przez jego administratora. Zawiera on takie informacje, jak: rodzaj zbieranych od użytkowników danych, cel i sposób ich wykorzystania czy kontaktu z administratorem danych1. Motywacją do napisania niniejszego artykułu było spostrzeżenie, że w serwisach internetowych o wiele częściej można zetknąć się z polityką prywatności (dokumentem, którego zamieszczenie nie jest obligatoryjne) niż z regulaminem świadczenia usług, przygotowanym zgodnie z wymaganiami ustawy o świadczeniu usług drogą elektroniczną. Poniższe opracowanie podejmuje próbę wyjaśnienia tego zjawiska.

Regulacje prawne

Najważniejszym dokumentem regulującym zagadnienia prywatności i ochrony danych w internecie jest Dyrektywa Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 roku. Określa ona m.in. kryteria legalności przetwarzania danych (art. 7), informacje, jakie administrator danych jest obowiązany przedstawić osobie, której dane są przetwarzane (art. 10 i 11), obowiązek zapewnienia osobie, której dane dotyczą, możliwości dostępu do nich, poprawienia, usunięcia lub ich zablokowania. Dyrektywa wprowadza ogólne zasady:

  • notyfikacji - osoby, których dane są zbierane, muszą być poinformowane o tym fakcie oraz o sposobie, w jaki informacje te będą wykorzystane,
  • wyboru - osoby, których dane są zbierane, muszą mieć możliwość wycofania się z tego procesu,
  • przekazywania danych - dane można przekazać jedynie podmiotom, które zapewniają równie wysoki poziom ochrony danych osobowych,
  • bezpieczeństwa - dane muszą być zabezpieczone przed ich utratą,
  • spójności danych - dane muszą być rzetelne i istotne dla celu, w jakim zostały zebrane,
  • dostępu - osoby, których dane są zbierane, muszą mieć dostęp do tych informacji, w tym do ich poprawienia lub usunięcia, jeśli są one nieprawidłowe,
  • wdrożenia - powyższe zasady muszą być efektywnie wdrożone.
Warto pamiętać także o Europejskiej Konwencji Praw Człowieka, której artykuł 8. stanowi, że: Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji2. Ważnym dokumentem jest także Konwencja Rady Europy z dnia 28 stycznia 1981 r. poświęcona ochronie osób w związku z automatycznym przetwarzaniem danych osobowych3. Dokumenty te, uzupełnione regulacjami krajowymi, tworzą europejski model ochrony danych osobowych. Model ten jest charakterystyczny dla europejskiego (kontynentalnego) systemu prawa, w którym czołowe miejsce zajmują kompleksowe akty prawne, wydane przez organy ustawodawcze.

Z całkowicie odmienną sytuacją mamy do czynienia w Stanach Zjednoczonych. Po pierwsze, do ochrony danych osobowych przywiązuje się generalnie mniejszą wagę niż w Europie - zgromadzone dane mogą być wykorzystywane i przechowywane, nawet jeśli zostały zebrane bez zgody zainteresowanych. Po drugie prawne ograniczenia są wprowadzane ad hoc i w ograniczonym zakresie (np. Video Protection Act, Cable Television Consumer Protection and Competition Act, Fair Credit Reporting Act). Inne regulacje (Children's Online Privacy Protection Act, The Health Insurance Portability and Accountability Act - HIPAA, Fair and Accurate Credit Transactions Act - FACTA) przedkładają swobodny przepływ informacji nad ochronę danych.

W tradycji amerykańskiej duże znaczenie ma instytucja samoregulacji (przez podmioty prywatne). Zgodnie z dokumentem Struktura Światowej Gospodarki Elektronicznej4, strategią przygotowaną przez administrację prezydenta B. Clintona w 1997 roku, zagadnienia związane z rozwojem internetu powinny być w znacznej mierze regulowane przez środowisko (firmy, użytkowników, organizacje pozarządowe). Przykłady inicjatyw, takich jak: Projekt Platformy ustawień prywatności (P3P)5 czy TRUSTe6 wskazują, że przyjęcie takiego systemu regulacji nie jest jedynie "pobożnym życzeniem" polityków, lecz mechanizmem całkiem sprawnie funkcjonującym - i to w różnych aspektach. O ile bowiem P3P jest społecznościowym projektem promującym określony format prezentowania informacji (dotyczących danych osobowych) w serwisach internetowych, o tyle TRUSTe to w pełni komercyjny system certyfikowania serwisów, które spełniają określone wymagania dotyczące zbierania i przetwarzania danych osobowych.

Model amerykański, pozostawiający wiele przestrzeni dla samoregulacji, zasługuje na aprobatę. Należy jednak podkreślić, że takie rozwiązania - zarówno te przedstawione powyżej, jak i inne, np. kanadyjska ustawa o ochronie danych osobowych i dokumentów elektronicznych (Personal Information Protection and Electronic Documents Act - PIPEDA) - inspirowane były koniecznością dostosowania standardów ochrony danych osobowych, funkcjonujących w amerykańskich firmach, do wymagań europejskich. Taką rolę pełni także program Safe Harbor, wprowadzony w 2000 roku przez Departament Handlu Stanów Zjednoczonych po konsultacjach z Unią Europejską. Firmy przystępujące do programu są weryfikowane i jeśli spełniają wymagania wynikające z Dyrektywy 95/46, otrzymują odpowiedni certyfikat. Rozwiązanie to ułatwia amerykańskim firmom funkcjonowanie na rynku europejskim bez obawy o naruszenie przepisów dotyczących ochrony danych osobowych. Mimo nadzoru ze strony amerykańskiej Federalnej Komisji Handlu oraz corocznego obowiązku odnowienia certyfikatu zdarzają się sytuacje, że firmy objęte programem Safe Harbor nie zapewniają należytego poziomu ochrony danych osobowych.7

Początki polityki prywatności

Pierwszym z dużych serwisów internetowych, który zamieścił na swoich stronach dokument zwany "polityką prywatności" był funkcjonujący od 1996 r. Yahoo! 30 czerwca 1998 r. na stronie www.yahoo.com pojawił się odnośnik zatytułowany Privacy policy. Po kliknięciu na link można było przenieść się na stronę, na której znajdowała się deklaracja, że Yahoo! bardzo poważnie traktuje prywatność użytkowników oraz że serwis bierze udział w (przywoływanym powyżej) programie TRUSTe i spełnia jego wymagania8. W 1999 roku polityka prywatności pojawia się po raz pierwszy w serwisie AmericaOnline (www.aol.com), a w roku 2002 na stronie Netspace. Na gruncie polskim politykę prywatności opublikowała jako pierwsza Wirtualna Polska w 1999 roku, a w 2000 roku Onet.pl. W Interii.pl regulamin zawierający zapisy dotyczące danych osobowych pojawia się w 2004 roku.

Regulacje polityki prywatności w Polsce

Dyrektywa 95/46/WE została wdrożona do prawa polskiego dzięki nowelizacji Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku9. Nowelizacja ta została uchwalona w 2004 roku, tuż przed rozszerzeniem Unii. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Art. 23 tej ustawy stanowi, w jakich sytuacjach przetwarzanie danych jest dopuszczalne. Dla prowadzących serwisy internetowe szczególnie ważny jest punkt 1 ustęp 3 tego artykułu, który mówi o tym, że przetwarzanie danych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem. Dotykamy tutaj zagadnień regulowanych ustawą o świadczeniu usług drogą elektroniczną (USE) z 2002 roku. Znajdziemy w niej m.in. przepis nakazujący usługodawcy stworzenie regulaminu i zawarcie w nim określonych zapisów, jak np. o sposobie nawiązania i rozwiązania umowy czy procedurze reklamacyjnej. Nie ma przeszkód, by w regulaminie zawrzeć także informacje wymagane przez ustawę o ochronie danych osobowych. Takie rozwiązanie sprzyja przejrzystości i prostocie przekazu.

Ciekawe jest to, że mamy do czynienia z sytuacją, w której serwisy (nieprzymuszane prawem) publikują różne polityki prywatności, poprzez które w mniejszym lub większym stopniu realizują obowiązek nałożony przez ustawę o ochronie danych osobowych, dużo rzadziej zaś możemy znaleźć w serwisach prawidłowe regulaminy, przygotowane zgodnie z wymogami ustawy o świadczeniu usług drogą elektroniczną.

Przyczyny tego zjawiska mogą być wielorakie. Sytuacja ta może być wynikiem naśladowania zachowań serwisów zachodnich (przede wszystkim amerykańskich), które z przytoczonych wyżej powodów umieszczały na swoich stronach zasady dotyczące ochrony danych osobowych10. Autorzy polskich serwisów korzystali z wzorów amerykańskich i zaadoptowali je na polski grunt. Być może wytłumaczeniem jest niepewność prowadzących serwisy co do tego, czy ich działalność jest świadczeniem usług drogą elektroniczną i czy wobec tego podlega przepisom odpowiedniej ustawy. Na to pytanie odpowie doktryna i orzecznictwo.

Nie można też wykluczyć wersji najbardziej optymistycznej – mianowicie takiej, że administratorzy serwisów autentycznie przejmują się kwestią ochrony danych osobowych użytkowników i (zgodnie z zasadami netykiety) informują ich o zagadnieniach związanych z ochroną prywatności. Sytuacja wydaje się prawdopodobna, bowiem należy pamiętać, że takie podejście leży w interesie samych serwisów. Ten, który cieszy się zaufaniem użytkowników, może liczyć na ich powrót. Nie zmienia tej sytuacji nawet fakt, że prawdopodobnie większość użytkowników nie przeczytała publikowanych w nich zasad polityki prywatności.

Wnioski końcowe

Tak zwane "polityki prywatności", publikowane na stronach rozmaitych serwisów internetowych, na ogół wypełniają obowiązek nałożony przez ustawę o ochronie danych osobowych. Obowiązki te polegają na poinformowaniu osoby, której dane będą zbierane i przetwarzane, m.in. o celu zbierania danych i sposobach ich przetwarzania, o sposobach zabezpieczenia danych czy o prawach, jakie im przysługują w związku z przetwarzaniem ich danych osobowych. Mimo że ustawa nie nakłada obowiązku ujęcia tych informacji w osobnym dokumencie, w praktyce jest to najczęstszy sposób przedstawiania tych informacji. Ustawodawca ogranicza się do stwierdzenia, że informacje te muszą być dostępne dla usługobiorcy. Warto także zauważyć, że większość z popularnych serwisów internetowych nie wypełnia (w opinii autora) przepisów ustawy o świadczeniu usług drogą elektroniczną, a w szczególności nie udostępnia regulaminu świadczenia usług lub nie zamieszcza w nim wymaganych ustawą informacji. Niestosowanie się do przepisów ustawy przez prowadzących serwisy może jednak wynikać z ich odmiennego stanowiska co do tego, czy ich działalność stanowi świadczenie usług drogą elektroniczną. Wątpliwości te będą zapewne rozstrzygnięte przez doktrynę lub orzecznictwo.

INFORMACJE O AUTORZE

JAKUB BARTOSIAK

Autor jest studentem Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, socjologiem, doktorantem w Collegium Civitas. Trzykrotnie został laureatem stypendium Ministra Nauki i Szkolnictwa Wyższego. Był stypendystą Northeastern Illinois University w Chicago. Jego zainteresowania z dziedziny prawa obejmują skuteczność regulacji administracyjnoprawnych (szczególnie w kontekście internetu) oraz regulacje dotyczące nowych technologii. Zainteresowania socjologiczne dotyczą socjologii edukacji, jakości i celów kształcenia oraz funkcjonowania instytucji edukacyjnych.

 

Przypisy

1 Polityka prywatności, [hasło w:] Wikipedia, pl.wikipedia.org/wi.... [20.03.2009].

2 Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności, Rzym, 4 listopada 1950 r.

3 Konwencja nr 108 Rady Europy, Strasburg, 28 stycznia 1981 r.

4 Framework For Global Electronic Commerce, clinton4.nara.gov/W.... [20.03.2009].

5 Tzw. P3P, funkcjonujące w ramach szerszej organizacji World Wide Web Consortium.

6 TRUSTe, www.truste.org. [20.03.2009].

7 M. Markel, Safe harbor and privacy protection: a looming issue for IT professionals, "IEEE Transactions on Professional Communication", marzec 2006, t. 49.

8 Te i kolejne dane: analiza własna na podstawie: web.archive.org, [20.03.2009].

9 Dz.U. 1997 Nr 133 poz. 883.

10 Choć np. najpopularniejsza na świecie wyszukiwarka Google zamieściła taki dokument dopiero w 2009 roku.