Gromadzenie danych osobowych przez operatorów serwisów
Przetwarzając dane osobowe użytkownika serwisu, operator – poza wieloma przesłankami dopuszczającymi i warunkującymi ich przetwarzanie, wskazanymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej „Ustawa”) – musi uwzględniać cel przetwarzania danych. Zgodnie bowiem z art. 23 ust. 1 pkt 5 Ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych (operatora serwisu), a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Ponadto, administrator danych przetwarzający dane powinien szczególnie starannie chronić interesy osób, których dane dotyczą. W szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 4 Ustawy).
Przytoczone przepisy wyraźnie wskazują, że operator serwisu może przechowywać dane osobowe (a także je przetwarzać) tak długo, jak długo będzie istniał (będzie realizowany) cel ich przetwarzania. Cele przetwarzania określa najczęściej administrator danych, aczkolwiek mają one nierzadko ścisły związek z prowadzoną przez niego działalnością. Podstawowymi celami przetwarzania danych osobowych użytkowników serwisu internetowego (w tym zbierania oraz wykonywania innych operacji na danych) będzie więc świadczenie przez operatora usług użytkownikom (np. umożliwienie zamieszczania w tym serwisie ogłoszeń, czy aukcji internetowych) oraz realizacja umowy zawartej z użytkownikiem, na mocy której wspomniane usługi są świadczone.
Jak już to było wspomniane, przepisy Ustawy stanowią także o prawnie usprawiedliwionych celach przetwarzania danych. Jest to pojęcie nieostre, aczkolwiek analizując przepisy Ustawy można wskazać, iż celem takim będzie każdy cel mający oparcie w przepisach prawa. W szczególności, jak podaje ustawodawca, będzie to marketing bezpośredni własnych produktów lub usług administratora danych, czy dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. W tym miejscu trzeba zwrócić uwagę, że dane osobowe użytkowników serwisu, przetwarzane i przechowywane w danym celu przez operatora, mogą być wykorzystane przez osoby lub podmioty uprawnione do ich otrzymania od operatora na mocy przepisów prawa. Dotyczy to m.in. organów państwa, którym operator jest zobowiązany udostępnić dane użytkowników na potrzeby prowadzonych przez te organy postępowań (art. 29 ust. 1 Ustawy oraz art. 18 ust. 6 ustawy z dnia 18 lipca 2002 o świadczeniu usług drogą elektroniczną).
Podając swoje dane osobowe operatorowi, użytkownik serwisu powinien liczyć się więc z tym, że będzie z tych danych korzystał nie tylko operator, ale korzystać z nich mogą też podmioty, które na podstawie stosownych przepisów są uprawnione do wystąpienia do operatora z wnioskiem o udostępnienie danych.
Swoboda operatora serwisu, przetwarzającego dane osobowe, w zakresie określania długości okresu przechowywania i przetwarzania danych osobowych podlega istotnym ograniczeniom. Ograniczenia te znajdują swój wyraz w możliwości skorzystania z przewidzianych w Ustawie uprawnień i narzędzi kontrolnych, przysługujących użytkownikom serwisu, których dane przetwarza operator.
Poza uprawnieniem do uzyskania informacji o celu, zakresie i sposobie przetwarzania danych, użytkownik może również zażądać między innymi usunięcia danych przez operatora, jeżeli dane te są już zbędne do realizacji celu, dla którego zostały zebrane. W razie zgłoszenia takiego żądania – o ile użytkownik wykaże, że jego dane osobowe są zbędne do realizacji celu ich zebrania – operator jest obowiązany, bez zbędnej zwłoki, do usunięcia danych osobowych tego użytkownika. Co istotne, w razie niedopełnienia wspomnianego obowiązku przez operatora, użytkownik, którego dane dotyczą, może zwrócić się z wnioskiem o nakazanie dopełnienia wspomnianego obowiązku do Generalnego Inspektora Ochrony Danych Osobowych.
Innym narzędziem kontrolnym jest sprzeciw wobec przetwarzania danych, który użytkownik może złożyć w przypadku, gdy operator zamierza przetwarzać dane w celach marketingowych. Przetwarzanie danych osobowych użytkownika przez operatora po wniesieniu takiego sprzeciwu jest niedopuszczalne. Należy mieć jednakże na uwadze, że w takim przypadku operator serwisu może, dla uniknięcia ponownego wykorzystania danych w celach objętych sprzeciwem, nadal przechowywać imię (imiona) i nazwisko użytkownika wraz z jego numerem PESEL lub adresem.
Jak wynika z powyższego, przechowywanie oraz przetwarzanie przez operatora serwisu internetowego danych osobowych jego użytkowników nie jest pozbawione ograniczeń. Niedopuszczalnym zjawiskiem byłoby bowiem pozostawienie operatorom możliwości w pełni samodzielnego decydowania o okresie przechowywania i przetwarzania danych osobowych użytkowników. Opisane uprawnienia i narzędzia kontrolne użytkowników serwisów, pozwalają do pewnego stopnia sprawować kontrolę nad procesem przetwarzania danych osobowych oraz niezbędnym okresem ich przechowywania przez operatora.
Nie można jednak zapominać, że jednymi z podstawowych przesłanek zezwalających operatorom na przechowywanie i przetwarzanie danych osobowych użytkowników, jest z jednej strony obowiązek udostępnienia danych użytkowników organom państwowym i innym podmiotom, uprawnionym do ich otrzymania, z drugiej zaś możliwość ich przetwarzania w celu dochodzenia przez operatora roszczeń z tytułu prowadzonej przez niego działalności gospodarczej (w formie serwisu internetowego, z którego korzysta użytkownik).
Jeśli zatem dane użytkownika zostały zebrane i były dalej przetwarzane przez operatora w celu świadczenia usługi w ramach serwisu (np. jednorazowego zamieszczenia ogłoszenia bez konieczności rejestracji użytkownika w serwisie), a usługa ta została wykonana (ogłoszenie zostało zamieszczone i upłynął termin jego prezentacji w serwisie) ale doszło do złamania regulaminu serwisu przez użytkownika (np. nie uiścił on opłaty, uiścił ją w niepełnej wysokości lub naruszył przepisy prawa), to dane osobowe użytkownika będą mogły być nadal przetwarzane i przechowywane przez operatora. Nawet jednak w takim przypadku przetwarzanie i przechowywanie danych będzie możliwe nie dłużej niż do chwili otrzymania przez niego wszystkich należności lub tak długo, jak długo uprawniony organ państwowy lub inny podmiot będzie mógł zwrócić się do operatora o udostępnienie tych danych.
Marcin Berlak
aplikant radcowski
Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu
aplikant radcowski
Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu