>Polecamy >

1. Wprowadzenie

Zagadnienie portali społecznościowych jest bardzo obszerne i dotyka wielu dziedzin prawa, z pewnością też doczeka się licznych opracowań, które będą ujmowały temat kompleksowo. Niniejsze opracowanie ograniczone zostanie do zagadnień związanych z ochroną danych osobowych, bez których to danych portal, a w szczególności jego odmiana, jaką jest portal społecznościowy, nie mógłby istnieć. Problematyka portali społecznościowych (szerzej: portali w ogóle) jest o tyle trudna, że łączy w sobie zagadnienia prawa cywilnego, karnego czy administracyjnego, a więc tradycyjnych gałęzi prawa z prawem nowych technologii. Wynika to ze złożoności stanów faktycznych, z jakimi mamy tam do czynienia. Dodatkowo warto podkreślić, że portale społecznościowe są fascynujące same w sobie jako zjawisko społeczne. Zauważa się niesamowitą dynamikę w rozwoju zachowań społecznych, do jakich zalicza się udział w wymianie informacji właśnie tą drogą. Szacuje się, że na niektórych portalach wzrost liczby indywidualnych uczestników sięga 270% w skali roku. W Polsce na taki dynamiczny rozwój liczby portali wskazuje chociażby ilość zbiorów danych zgłaszanych przez administratorów portali do rejestracji w biurze GIODO. I tak, w 2008 r. zgłoszeń takich było około 230, a w 2009 r. ich przybliżoną liczbę osiągnięto w pierwszych 9 miesiącach. Oczywiste jest, że taki rozwój portali i, co za tym idzie, wymiany informacji wzbudził zainteresowanie, a czasem zaniepokojenie organów zajmujących się ochroną danych osobowych, m.in. Grupy Roboczej Art. 29¹, która wydała opinię 5/2009 w sprawie portali społecznościowych². Stanowisko w tej kwestii zajmował, i nadal to robi, także GIODO, a pokłosiem jego decyzji są także orzeczenia sądów administracyjnych, które w mniej lub bardziej bezpośredni sposób odnoszą się do tematu portali³. W Polsce najbardziej popularnym portalem jest Nasza-Klasa.pl, która w rankingu Google Zeitgeist (zestawienie najczęściej wpisywanych przez internautów fraz) zajęła 7. miejsce na świecie, a 1. w regionie⁴ . Tak jak wcześniej nadmieniłem, nie zamierzam opisywać wszystkich prawnych aspektów wiążących się z funkcjonowaniem portali społecznościowych, ale skupię się na kwestiach najistotniejszych z punktu widzenia ochrony danych osobowych użytkowników portalu.

Portale społecznościowe doczekały się już pewnego dorobku, nie tylko w orzecznictwie, ale także w doktrynie, gdzie konsekwentnie wskazuje się na nieznane wcześniej problemy, jakie niesie ze sobą to nowe i masowe zjawisko. Najważniejsze wydaje się udzielenie odpowiedzi na pytanie, jakimi danymi dysponuje portal jako administrator danych⁵, jakie zostały mu powierzone na podstawie art. 31 u.o.d.o., a jakie należą do zainteresowanych, czyli nas samych jako użytkowników (podmiotów danych). Ponadto zwrócę uwagę na zagrożenia związane z ochroną danych użytkowników, wizerunkiem czy definicją danych w ogóle (od którego momentu możemy mówić o danych osobowych). Przy czym najistotniejsze z mojego punktu widzenia będą zagadnienia prawne, a nie techniczne.

Te i inne problemy pojawiają się i będą się pojawiać coraz częściej, gdyż portale społecznościowe w swoich różnych odmianach rozwijają się bardzo dynamicznie, głównie dlatego, że mimo wszystkich niebezpieczeństw, jakie niosą dla użytkowników, są bardzo dobrym narzędziem nawiązywania kontaktów i pogłębiania relacji międzyludzkich. W mojej pracy postaram się przedstawić najważniejsze z poruszonych powyżej kwestii.
 

2. Portal, czyli co?

Należy zacząć od odpowiedzi na pytanie, czym jest portal, w szczególności portal społecznościowy. Portal internetowy to rodzaj serwisu informacyjnego w Internecie: zawiera zwykle wyszukiwarkę, dział najnowszych wiadomości, hiperodnośniki do wielu różnych stron www, czat i inne⁶. Portal społecznościowy (inaczej: serwis społecznościowy) to odmiana portalu charakteryzująca się tym, że użytkownicy, oprócz przeglądania treści, mają możliwość zarówno zamieszczania własnych treści, jak i wymiany informacji, komunikacji z innymi użytkownikami. Z angielskiego serwisy te zwane są SNS (social networking services), taką też nazwą posługuje się Grupa Robocza Art. 29 w swojej opinii.
 

3. Kwestie bezpieczeństwa

Zanim przejdę do zagadnień prawnych, kilka słów na temat bezpieczeństwa. Omawiając kwestie bezpieczeństwa, należy zwrócić uwagę na dwa aspekty. Pierwszy, natury technicznej, dotyczy fizycznego i logicznego zabezpieczenia informacji znajdujących się na portalu, a drugim jest świadomość użytkowników, którzy muszą sami zadbać o bezpieczeństwo swoich danych. Żaden system nie zastąpi bowiem rozsądku.

Budowaniu świadomości służą publikacje ukazujące się w mediach, inicjatywy organów ds. ochrony danych osobowych czy też samych portali, które powinny odczuwać ciężar odpowiedzialności. Przejawem tego jest np. wspólna inicjatywa portalu Nasza-Klasa.pl i GIODO polegająca na tym, że na portalu w zakładce bezpieczeństwo są umieszczone materiały poświęcone m.in.:

• konsekwencjom nieprzemyślanych działań w Internecie,
• sprawowaniu właściwej kontroli nad aktywnością dzieci w Internecie,
• zasadom kulturalnego zachowania w sieci,
• prezentacji instytucji oferujących pomoc dla ofiar cyberprzemocy⁷.

Bardzo dużo miejsca zagadnieniom bezpieczeństwa poświęcają zarówno oficjalne publikacje Grupy Roboczej Art. 29⁸, jak i osób zajmujących się bezpieczeństwem w sieci. I tak np. w opracowaniu przygotowanym przez ENISA pt. Kwestie bezpieczeństwa i zalecenia dla portali społecznościowych⁹ czytamy, że zagrożeń takich jest 15. Zostały one podzielone na poszczególne grupy i opisane. Są to:

1. Zbieranie cyfrowych dossier.
2. Zbieranie danych wtórnych.
3. Rozpoznawanie twarzy.
4. CBIR – wyszukiwanie obrazów po zawartości.
5. Tworzenie linków do metadanych obrazów.
6. Trudności z całkowitym usunięciem konta.
7. Spam.
8. Cross Site Scripting (XSS), wirusy i robaki.
9. Agregatory SNS.
10. Spear Phishing przy użyciu portali społecznościowych i phishing typowy dla portali.
11. Infiltracja sieci prowadząca do wycieku danych.
12. Przejmowanie profili i szarganie reputacji w wyniku kradzieży tożsamości.
13. Śledzenie.
14. Znęcanie się.
15. Szpiegostwo przemysłowe.

Oczywiście nie każde z tych zjawisk jest równie niebezpieczne dla użytkownika, ale wszystkie one wiążą się z korzystaniem z portali społecznościowych.

Grupa Robocza Art. 29 w swojej opinii koncentruje się raczej na zagadnieniach marketingu oraz ochrony danych dzieci i ludzi młodych, ale – co symptomatyczne dla gremium zajmującego się ochroną danych osobowych – zwraca szczególną uwagę na dane sensytywne¹⁰ i podkreśla, że tego rodzaju informacje powinny być przetwarzane ze szczególną ostrożnością i starannością. W dokumencie tym jest powiedziane, że dane tego typu powinny być zamieszczane tylko na podstawie wyraźniej zgody osoby, której dane dotyczą, lub jeżeli osoba, której dane dotyczą, udostępniła je w sposób oczywisty. Jest to o tyle interesujące, że, jak wiemy, u.o.d.o. wymaga bezwzględnie, aby zgoda miała formę pisemną, co w przypadku portali internetowych w praktyce jest nie do zrealizowania, o czym także wspomniano na początku prac legislacyjnych nad nowelizacją u.o.d.o., a o czym obecnie autorzy nowelizacji zdają się zapominać. Co ciekawe, wskazuje się, że w niektórych krajach członkowskich UE wizerunek jest uznawany za dane sensytywne, ponieważ można z niego wnioskować o pochodzeniu rasowym lub etnicznym, stanie zdrowia lub przekonaniach religijnych. Na gruncie polskim mieliśmy do czynienia z zupełnie innym problemem prawnym, a mianowicie: czy wizerunek użytkownika to w ogóle są dane osobowe, ale do tego zagadnienia odniosę się później.

1. Grupa robocza stanowi niezależne ciało doradcze zajmujące się zagadnieniami ochrony danych osobowych i prawa do prywatności. Jej obowiązki określa art. 30 Dyrektywy 95/46/WE oraz art. 15 Dyrektywy 2002/58/WE.
2. Grupa Robocza Artykułu 29 Ds. Ochrony Danych Opinia 5/2009 w sprawie portali społecznościowych, przyjęta 12 czerwca 2009., dalej zwana opinią.
3. Najbardziej znane z nich dotyczy umieszczenia zdjęcia na portalu Nasza-Klasa.pl sygn. akt II SA/Wa 1495/08 utrzymane w mocy orzeczeniem NSA sygn. akt I OSK 667/09. O orzeczeniu tym będzie mowa w dalszej części.
4. Dziennik Internautów z 10 marca 2009.
5. Zgodnie z art. 7 pkt 3 u.o.d.o., administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych jest oczywiście podmiot, do którego należy portal. Jednak ze względu na łatwość przekazu pozwoliłem sobie zastosować skrót myślowy
6. Za encyklopedią PWN www.encyklopedia.pwn.pl.
7. Więcej http://www.giodo.gov.pl/259/id_art/3204/j/pl.
8. Patrz przypis 2.
9. Europejska Agencja Bezpieczeństwa Sieci i Informacji (European Network and Information Security Agency –ENISA), październik 2007.
10. Zgodnie z art. 27 ust. 1 u.o.d.o. należy dochować szczególnych warunków, aby móc legalnie przetwarzać dane należące do pewnej grupy informacji. Takim danymi są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, nazwane przez doktrynę danymi wrażliwymi lub sensytywnymi.