Poradnik Przedsiębiorcy

Bazy rejestratorów domen - jak dbać o bezpieczeństwo danych osobowych?

Bazy rejestratorów domen to inaczej systemy internetowe działające na podstawie protokołu WHOIS. Są to katalogi danych, które działając na zasadzie dawnych książek telefonicznych, wskazują zainteresowanym informacje o właścicielach danych domen. Wraz z wejściem w życie RODO wiele osób zaczęło baczniej zwracać uwagę na bezpieczeństwo swoich danych osobowych. To z kolei wymusiło na administratorach wspomnianych baz wdrożenie nowych procedur zabezpieczających informacje o konsumentach. Jest to problematyczne, ponieważ z jednej strony nie ma możliwości zarejestrowania domeny anonimowo, z drugiej – może to zrobić każdy (również osoby fizyczne nieprowadzące działalności), co wiąże się z obowiązkiem szczególnej ochrony danych osobowych.

Problem z zabezpieczeniem danych osobowych wynika również z faktu, że internet jest usługą globalną. Nie ma więc problemu, aby obywatel Polski zarejestrował swoją witrynę na serwerach znajdujących się za granicą, np. w Stanach Zjednoczonych. Duże znaczenie ma również rozszerzenie domeny – właściciele domen krajowych („.pl”) czy europejskich („eu”) podlegają pod przepisy unijne, co jednak dzieje się w przypadku rejestracji domen globalnych, takich jak „.com”, „.net” czy „.org”? Wszystkie te domeny podlegają pod system WHOIS, do którego prawo Unii Europejskiej nie ma bezpośredniego zastosowania. Jak bazy rejestratorów domen poradziły sobie zatem z pojawieniem się zaostrzonych przepisów o ochronie danych osobowych w sieci? Na to pytanie odpowiemy w niniejszym artykule.

Czym jest system WHOIS i jakie niesie za sobą zagrożenia?

System WHOIS został stworzony w celu umożliwienia administratorom systemu kontaktu z administratorami odpowiedzialnymi za serwery działające pod określoną domeną czy adresem IP. Jest to swojego rodzaju globalny katalog właścicieli domen. Dostęp do niego jest nieograniczony i nieodpłatny – każdy zainteresowany może sprawdzić dostępność danej domeny oraz dane jej właściciela. Obecnie system ten pomaga również m.in. w potwierdzaniu rejestracji domeny przez rejestratora, uwierzytelnianiu certyfikatów czy przeprowadzaniu bezpiecznych połączeń SSL, np. w trakcie operacji bankowych.

Niestety system ten ma również swoje złe strony. Ogólnodostępny charakter WHOIS sprawia, że każda osoba bez najmniejszego problemu może mieć wgląd do danych osobowych administratorów domen (przypomnijmy, że zarejestrować domenę mogą też osoby fizyczne). W omawianej bazie, oprócz informacji o dacie rejestracji domeny oraz firmie rejestratora, można również znaleźć dane osobowe takie jak imiona i nazwiska, adresy korespondencyjne, adresy poczty wirtualnej czy numery telefonów. Stąd też omawiane bazy mogą służyć jako źródło kontaktów wykorzystywanych przez hakerów czy firmy zajmujące się przesyłaniem tzw. spamu.

Mając na uwadze powyższe, aby nie narazić się na kary organów administracyjnych, europejskie (w tym polskie) przedsiębiorstwa zajmujące się rejestrami domen musiały wprowadzić odpowiednie rozwiązania, dostosowane do zmieniających się realiów. Jak zatem wygląda kwestia ochrony danych osobowych w naszych rodzimych firmach rejestrujących domeny?

Rejestracja domen a niezbędne dane osobowe zlecającego rejestrację

Jak wskazano na wstępie, nie ma możliwości zarejestrowania domeny anonimowo. Bez znaczenia pozostaje fakt, czy rejestracji podejmuje się osoba fizyczna, osoba prawna (np. spółka z o.o.), czy inny podmiot posiadający osobowość prawną (np. urząd miasta) – domena zawsze musi być powiązana z danymi jej właściciela.

Zakres danych potrzebnych przy rejestracji jest zróżnicowany i zależy od indywidualnych wymogów stawianych przez operatorów baz domen. Do najczęściej wymaganych przez firmy rejestrujące witryny internetowe informacji należą:

  • imiona i nazwisko osoby fizycznej lub firma spółki bądź nazwa organizacji;

  • w przypadku osób fizycznych – data urodzenia lub PESEL;

  • w przypadku osób prawnych – NIP i REGON;

  • adresy korespondencyjne, pod którymi właściciele domen będą mieli możliwość odebrania korespondencji w formie papierowej od operatora (np. w razie zaistnienia sporu sądowego);

  • adresy e-mail;

  • numery telefonów kontaktowych.

Niektóre rejestry wymagają przesłania skanu dowodu tożsamości, jednakże mając na względzie zasadę minimalności unormowaną przez RODO, która mówi wprost, iż administrator może przetwarzać jedynie te dane, które są niezbędne dla realizacji określonego celu, takie zabiegi powinny być obecnie marginalne.

Jak wspomniano, aby pobieranie danych osobowych było legalne, musi istnieć określony cel, który zostanie zrealizowany właśnie dzięki owym informacjom. W przypadku operatorów domen przekazanie danych przez ich właściciela jest niezbędne m.in. do:

  • identyfikacji zlecającego usługę (wykupującego daną domenę);

  • celów podatkowych i księgowych;

  • przekazania ich do odpowiedniego rejestru domen celem wykonania usługi rejestracji i utrzymania nazwy domeny;

  • ustalenia tożsamości (osoby bądź podmiotu) abonenta danej nazwy domeny.

Jak RODO wpłynęło na domeny krajowe?

Sposób radzenia sobie z nowymi przepisami unijnymi jest różny i zależy od operatora oraz miejsca jego siedziby (kraju). Rejestry nie współdziałają ze sobą i nie dzielą systemów – każdy z nich ma własną infrastrukturę, politykę rejestracji oraz każdy z nich prowadzi samodzielnie bazy WHOIS. Jeden rejestr wykaże zatem cały szereg danych dotyczących właściciela domeny, inny ograniczy się jedynie do podania adresu e-mail. Jak to działa w przypadku domeny „.pl”?

Na wstępnie należy wskazać, iż domeną „.pl” oraz „gov.pl” zarządza Naukowa i Akademicka Sieć Komputerowa (NASK). NASK współpracuje z organizacją ICANN (z ang. Internet Corporation for Assigned Names and Numbers), koordynującą funkcjonowanie światowego internetu, oraz organizacją ccNSO (z ang. the country code Names Supporting Organisation), zrzeszającą w ramach ICANN rejestry krajowe. Co też oznacza, że wytyczne wystosowane przez ten podmiot są wiążące dla wszystkich operatorów rejestrujących domeny „.pl” oraz „gov.pl”. 

Wdrażając zasady RODO, NASK przeprowadziła gruntowne zmiany w całym procesie rejestracyjnym domen. Do najważniejszych z nich należą:

  • zaprzestanie publikowania w bazie WHOIS danych identyfikujących klientów będących osobami fizycznymi (konsumenci oraz osoby prowadzące jednoosobową działalność gospodarczą); nie ma przy tym znaczenia, czy osoby te wyraziły zgodę na przetwarzanie danych osobowych, czy nie;

  • usuwanie z systemu rejestracyjnego domen danych kontaktów, które nie zostaną powiązane z żadną z usług rejestru w okresie 30 dni od ich utworzenia;

  • zaprzestanie wprowadzania kontaktów technicznych do głównego rejestru domeny „.pl”;

  • usunięcie opcjonalnego pola „powód rejestracji”.

Najważniejsza z wprowadzonych zmian dotyczy zakazu publikacji danych osobowych osób fizycznych w bazie systemu WHOIS. Nie jest to możliwe nawet w przypadku, gdy osoby te wyrażą zgodę na przetwarzanie takich danych. Jeśli chodzi o informacje o osobach prawnych, tutaj RODO nie ma zastosowania, pozostawiono zatem pełny zakres danych o firmach.

RODO a domeny europejskie

Domeny europejskie, tj. „.eu”, są obsługiwane przez organizację European Registry for Internet Domains (EURid). W tym przypadku EURid nie wdrożyła bardzo radykalnych zmian. Analogicznie do NASK, dane przedsiębiorstw i innych instytucji są gromadzone i publikowane w pełnym ich zakresie. 

W przypadku osób fizycznych (również tych prowadzących jednoosobową działalność gospodarczą) EURid postanowiła udostępnić w bazie WHOIS adresy e-mail właścicieli domen. Zarząd organizacji swoją decyzję uzasadnił tym, iż w ich ocenie adres e-mail powinien być dostępny publicznie, gdyż jednym z głównych zadań baz rejestrów domen jest umożliwianie podjęcia kontaktu z administratorem danej domeny, a sam jej właściciel powinien być świadomy swoich obowiązków związanych z rejestracją witryny. 

Oprócz powyższego wprowadzono procedurę usuwania danych, które nie są już w użyciu. EURid działając na podstawie prawa belgijskiego, zgodnie z przepisami tego prawa jest zobowiązany do przechowywania danych osobowych przez okres 10 lat. Co za tym idzie, dane osobowe administratorów domen mogą być przetwarzane przez organizację maksymalnie przez okres 10 lat, licząc od dnia ustania umowy utrzymywania nazwy domeny „.eu”.

Domeny globalne oraz lokalne z państw poza UE a RODO

Bazy rejestratorów domen przetwarzające domeny krajowe, europejskie oraz domeny przypisane do państw Wspólnoty dostosowały swoje procedury do przepisów RODO. Dane osobowe osób fizycznych nie są upubliczniane w ogóle lub udostępniane są jedynie informacje niezbędne do kontaktu (np. adres e-mail).

Rejestry domen, które nie posiadają siedziby firmy w UE lub których serwery znajdują się poza jurysdykcją prawa wspólnotowego, nie podlegają pod RODO. Dlatego też przed rejestracją domeny w jednej z omawianych baz należy zapoznać się z regulaminem operatora, a w szczególności z polityką prywatności. Warto nadmienić, że domeny typu „.com”, „.net”, „.info” „.org” są bardzo często używane przez polskie i europejskie strony internetowe, stąd wniosek, że można je uznać za stosunkowo bezpieczne – ich polityka ochrony danych przewiduje szczególne zabezpieczenia względem osób fizycznych. Z drugiej strony, rejestrując domenę w takich krajach, jak Malezja („.my”) czy Mikronezja („.fm”), które przecież nie są tak rzadkie wśród polskich witryn, trzeba mieć na uwadze, że dane osobowe zlecających rejestrację są automatycznie przekazywane do rejestrów tych krajów.

Jeżeli przetwarzanie danych osobowych jest związane z oferowaniem towarów i usług lub z monitorowaniem zachowania osób z krajów UE, wówczas niezależnie od tego, czy operator będzie pochodził z Unii, czy spoza niej, podlega pod przepisy RODO, a co za tym idzie – musi dostosować swoje procedury do procedur europejskich.

Bazy rejestratorów domen a RODO – podsumowanie

Wnioski są jednoznaczne – osoby fizyczne rejestrujące domeny na terenie Unii Europejskiej mogą spać spokojnie. Rejestry domen takich jak „.pl”, „.de” (Niemcy) czy „.nl” (Holandia) podlegają bezpośrednio pod RODO, a co za tym idzie, muszą szczególnie dbać o dane konsumentów. W przypadku domen globalnych, takich jak „.com” czy „.net”, również nie ma się czego obawiać. Mimo iż podlegają pod inne ustawodawstwo, mają na uwadze prywatność swoich użytkowników. Ich regulaminy zazwyczaj zawierają zapisy o ograniczeniu publikacji danych osób niebędących firmami czy organizacjami. Problem mogą natomiast stanowić domeny, których rejestratorzy mają swoje siedziby w państwach, które w dalszym ciągu nie szanują praw i dóbr osobistych swoich obywateli, jakim niezaprzeczalnie pozostaje prawo do prywatności.