Immanentnym elementem świadczenia e-usług jest przetwarzanie danych użytkowników. Jakie dane osobowe można przetwarzać w ramach e-usług? Jakie instrumenty ochronne przysługują użytkownikom? Dowiesz się z poniższego artykułu!
Dane osobowe w e-usługach
Zgodnie z motywami RODO zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych.
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić zarówno technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można ich zidentyfikować.
Przykład 1.
Czy IP to dane osobowe?
Zgodnie z motywami RODO osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. Zgodnie ze stanowiskiem PUODO: „Adres IP nie zawsze może być traktowany jako dane osobowe w rozumieniu rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Jednak tam, gdzie adres IP jest na dłuższy okres lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej” [Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 21 marca 2019 roku, ZSPR.440.195.2019].
Przetwarzanie danych osobowych przez usługodawcę
Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
- nazwisko i imiona usługobiorcy,
- numer ewidencyjny PESEL lub – gdy nie został on nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
- adres zameldowania na pobyt stały,
- adres do korespondencji, jeżeli jest inny niż adres zameldowania,
- dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
- adresy elektroniczne usługobiorcy.
Usługodawca wyróżnia i oznacza te spośród danych, o których mowa wyżej, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.
Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):
- oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w wyliczeniu powyżej,
- oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca,
- informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną,
- informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.
Usługodawca nieodpłatnie udostępnia dane, o których mowa wyżej, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań.
W tym zakresie warto mieć jednak na uwadze stanowisko PUDO, zgodnie z którym: „Prezes Urzędu Ochrony Danych Osobowych nie podziela stanowiska, z którego wynika, że kierowany pod adresem podmiotu świadczącego usługi drogą elektroniczną wniosek o udostępnienie danych osobowych osób korzystających z tych usług pochodzący od podmiotów innych, niż organy państwa i uzasadniony względami innymi niż potrzeby prowadzonych przez nie postępowań nie może zostać uwzględniony” [Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 21 marca 2019 roku, ZSPR.440.195.2019].
Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie.
Prawo do bycia zapomnianym
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć je, jeżeli zachodzi jedna z następujących okoliczności:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
- osoba, której dane dotyczą, cofnęła zgodę i nie ma innej podstawy prawnej przetwarzania,
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw względem przetwarzania na cele marketingu bezpośredniego,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
[alert-info]Usługobiorca zawsze może zażądać usunięcia danych osobowych, jeżeli zostały one zebrane w związku z oferowaniem usług społeczeństwa informacyjnego./alert-info]
Jeżeli administrator upublicznił dane osobowe i ma obowiązek je usunąć, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikację.
Powyższe zasady nie mają zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:
- do korzystania z prawa do wolności wypowiedzi i informacji,
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo do zapomnienia uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania lub
- do ustalenia, dochodzenia lub obrony roszczeń.
Zgodnie z motywami RODO prawo do zapomnienia ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z internetu. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem.
Prawo do sprzeciwu względem przetwarzania danych w ramach e-usług
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych w interesie publicznym lub w uzasadnionym interesie administratora, w tym wobec profilowania.
W takim wypadku administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Prawo do ograniczenia przetwarzania
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych,
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania,
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń,
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.