Zasady przetwarzania danych użytkowników przez serwis internetowy

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Administrator serwisu internetowego zobowiązany jest do ochrony i nieujawniania danych osobowych użytkowników serwisu. Czy oznacza to, że w żadnym przypadku dane te nie mogą zostać ujawnione? Z poniższego artykułu dowiesz się, jakie są zasady przetwarzania danych.

Zasady przetwarzania danych użytkowników przez usługodawcę

Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:

  • nazwisko i imiona usługobiorcy;

  • numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

  • adres zameldowania na pobyt stały;

  • adres do korespondencji, jeżeli jest inny niż adres zameldowania;

  • dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

  • adresy elektroniczne usługobiorcy.

W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi bądź sposób jej rozliczenia.

Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.

Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):

  • oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa na wstępie;

  • oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca;

  • informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną;

  • informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.

Usługodawca nieodpłatnie udostępnia dane, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 26 września 2019 roku

Usługodawca zobowiązany jest do ochrony danych osobowych użytkowników zgodnie z ustawą o świadczeniu usług drogą elektroniczną, a także zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Co jednak w przypadku, gdy ujawnienie danych jest niezbędne dla ochrony interesów osób trzecich?

Przed takim problemem stanął Prezes UODO, prowadząc sprawę zakończoną wydaniem decyzji o sygnaturze ZKE.440.51.2019. Sprawa dotyczyła wpisu użytkownika w portalu internetowym, który naruszył dobra osobiste skarżącego. Skarżący twierdził, że posiada „[…] uzasadniony interes prawny do wystąpienia na drogę prawną wobec internauty, który podaje nieprawdziwe informacje na jego temat”.

Do efektywnego wniesienia pozwu cywilnego niezbędne są dane osobowe użytkownika naruszającego jego dobra osobiste. Skarżący wniósł o udostępnienie numeru IP komputera oraz, jeżeli to możliwe również innych danych niezbędnych do wniesienia pozwu, tj. imienia i nazwiska, adresu i adresów e-mail użytkownika.

Usługodawca odmówił udostępnienia danych, twierdząc, że „Gdyby w omawianej sytuacji dane takie zostały udostępnione, to istotnie naruszyłoby to prawa i wolności internauty, w szczególności prawa do prywatności, spokoju, miru domowego i poczucia rodzinnego bezpieczeństwa. Żądanie danych internauty stanowi nieproporcjonalne naruszenie praw i wolności internauty, który korzysta w sposób usprawiedliwiony ze swojej wolności wypowiedzi, np. w celu krytyki. Ponadto, z adresem IP komputera związana jest tajemnica telekomunikacyjna, z której zwolnić może jedynie prokurator lub sąd prowadzący postępowanie”.

Zdaniem Prezesa UODO spółka nie miała prawa odmówić skarżącemu udostępnienia danych użytkownika, który naruszył dobra osobiste skarżącego.

W decyzji Prezes UODO stwierdził, że „Nie budzi wątpliwości niezbędność dysponowania przez Skarżącego informacjami indywidualizującymi osobę, przeciwko której zamierza on skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr osobistych. W sytuacji, gdy Skarżący nie dysponuje zasadniczo żadnymi informacjami o osobie, która, korzystając z adresu IP, zamieściła wpis będący przedmiotem skargi, wyłącznie poza tymi, które wynikały z ich opublikowania (tj. – oprócz daty, godziny, treści publikacji), którymi posłużyła się ta osoba w celu ukrycia swojej tożsamości, zasadnym jest przyjęcie, że podejmowane przez Skarżącego działania służą ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej w związku z treścią publikacji i mieszczą się w pojęciu prawnie usprawiedliwionego celu. Oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osobę, której dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć internet) przed ewentualną odpowiedzialnością za jego działania”.

Decyzja Prezesa UODO z dnia 11 lipca 2019 roku

Podobny stan faktyczny został poddany ocenie przez Prezesa UODO w sprawie zakończonej wydaniem decyzji o sygnaturze ZSPR.440.985.2019. Skarga dotyczyła w tym przypadku udostępnienia danych osobowych w zakresie imion, nazwisk oraz adresów użytkowników, którzy zamieścili komentarze na wskazanej stronie internetowej.

W tym wypadku Prezes UODO również wskazał, że „[…] wniosek Skarżącego o udostępnienie danych osobowych w zakresie imion, nazwisk oraz adresów użytkowników portalu www. […]. pl, którzy korzystając z adresów IP […] oraz […] zamieścili wpisy będące przedmiotem skargi, znajdował uzasadnienie prawne w […] art. 6 lit. f rozporządzenia 2016/679, i jako taki powinien zostać przez podmiot uwzględniony”.

Udostępnienie danych osobowych użytkownika portalu w razie, gdy użytkownik ten naruszył dobra osobiste osoby wnioskującej o udostępnienie danych, jest zgodne z prawem i w konkretnych okolicznościach może zostać zrealizowane na podstawie przesłanki uzasadnionego interesu wynikającej z RODO.

Jak wskazał w decyzji Prezes UODO „Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy, kto wypowiada się publicznie, poza internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności”.

Decyzja Prezesa UODO z dnia 21 marca 2019 roku

Kolejną sprawą, w której Prezes UODO pochylił się nad możliwością udostępniania danych osobowych przez usługodawcę prowadzącego serwis internetowy, jest postępowanie zakończone decyzją o sygnaturze ZSPR.440.195.2019.

Postępowanie dotyczyło odmowy udostępnienia przez administratora portalu danych osobowych w zakresie numeru IP komputera, imienia i nazwiska, adresu e-mail użytkowników, którzy mieli się dopuścić przestępstwa stalkingu. Brak danych osobowych użytkowników uniemożliwiał wnioskującej dochodzenie roszczeń o naruszenie dóbr osobistych przed sądem.

Prezes UODO wskazał m.in., że „Istnienie omawianego art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną w żadnym razie nie wyklucza jednak przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną w sytuacji, gdy spełnione zostaną inne przesłanki przetwarzania tych danych określone przepisami ustawy […]”.

Przepisy ustawy o świadczeniu usług drogą elektroniczną ani RODO nie stoją na przeszkodzie ujawnieniu danych osobowych użytkownika, jeżeli jest to uzasadnione z uwagi na niezbędność na potrzeby skutecznego dochodzenia roszczeń przeciwko temu użytkownikowi, nawet gdy żądającym udostępnienia nie jest organ państwa.

Ostatecznie Prezes UODO stwierdził, że odmowa udostępnienia była całkowicie bezpodstawna. Wskazał on ponadto, że „[…] nie podziela stanowiska, z którego wynika, że kierowany pod adresem podmiotu świadczącego usługi drogą elektroniczną wniosek o udostępnienie danych osobowych osób korzystających z tych usług pochodzący od podmiotów innych niż organy państwa i uzasadniony względami innymi niż potrzeby prowadzonych przez nie postępowań nie może zostać uwzględniony”.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów