OCHRONA DANYCH OSOBOWYCH

Transkrypt

1 Październik 2014 issn nr 1 OCHRONA DANYCH OSOBOWYCH Aktualności, Orzecznictwo, Studia przypadków, Opracowania Dane osobowe w chmurze wymagają ochrony Transfer danych osobowych w chmurze Zwiększą się kompetencje ABI

2 Oficyna Prawa Polskiego Wydawnictwo WiP ul. Łotewska 9A, Warszawa NIP: KRS: Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: zł Ochrona danych osobowych Patronat merytoryczny: Traple, Konarski, Podrecki i Wspólnicy Sp. jawna Redaktor: Wioleta Szczygielska Kierownik grupy wydawniczej: Ewa Ziętek-Maciejczyk Wydawca: Monika Kijok Koordynacja produkcji: Mariusz Jezierski, Katarzyna Kopeć Korekta: Zespół Projekt graficzny okładki: Michał Marczewski Skład i łamanie: Ireneusz Gawliński Drukarnia: MDdruk Nakład: 500 egz. Ochrona danych osobowych wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w Ochronie danych osobowych oraz w innych dostępnych elementach prenumeraty bez zgody wydawcy jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Publikacja Ochrona danych osobowych została przygotowana z zachowaniem najwyższej staranności i wykorzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji Ochrona danych osobowych oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w publikacji Ochrona danych osobowych lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków. Informacje o prenumeracie: tel.: faks: cok@opp.com.pl

3 SPIS TREŚCI Spis treści AKTUALNOŚCI Michał Bienias Do GIODO wpływa coraz więcej skarg i wniosków Nie będzie zmiany na stanowisku GIODO Zwiększą się kompetencje ABI Europejska reforma ochrony danych osobowych w toku Przetwarzanie w chmurze ORZECZNICTWO Paweł Tobiczyk Operator wyszukiwarki jest administratorem danych Przetwarzanie danych lekarzy musi być prawnie uzasadnione TEMAT NUMERU Dane przetwarzane w chmurze także wymagają ochrony Xawery Konarski Transfer danych osobowych w chmurze Damian Karwala PRZEGLĄD STANOWISK Paweł Tobiczyk Prawnie uzasadniony interes Obowiązek informacyjny ADO STUDIUM PRZYPADKU Michał Bienias Dalsze powierzenie danych Monitoring pracownika w sieci OCHRONA DANYCH OSOBOWYCH 141 PAŹDZIERNIK 2014

4 LIST OD REDAKTORA Drogi Czytelniku! Wioleta Szczygielska redaktor prowadząca Oddaję w Państwa ręce pierwszy numer miesięcznika Ochrona danych osobowych. Publikacja ta jest skierowana do Administratorów Bezpieczeństwa Informacji pełniących swoje funkcje zarówno w prywatnych przedsiębiorstwach, jak i w jednostkach administracji publicznej. Pismo będzie miało dwojaką formę. Począwszy od dziś, co kwartał otrzymają Państwo numer, w którym wyjaśniać będziemy kwestie prawne związane z ochroną danych osobowych. Patronem merytorycznym tej części jest Kancelaria Prawna Traple Konarski Podrecki i Wspólnicy. Pozostałe numery będą miały charakter narzędziowy. Znajdą się tam praktyczne porady, instrukcje i wskazówki. Będziemy także zamieszczać wzory dokumentów, które ułatwią codzienną pracę. Tematem przewodnim pierwszego numeru jest problematyka prawna przetwarzania danych osobowych w ramach usług chmury obliczeniowej. Szczególnie polecam artykuł mecenasa Xawerego Konarskiego Dane przetwarzane w chmurze także wymagają ochrony. Autor omawia w nim zakres stosowania przepisów o ochronie danych osobowych do tego rodzaju usług. Poruszona zostaje tam również kwestia statusu i zakresu odpowiedzialności podmiotów przetwarzających w ten sposób dane. W artykule Transfer danych osobowych w chmurze mecenas Damian Karwala omawia instrumenty przekazywania danych i wskazuje, jakie warunki trzeba spełnić, żeby uzyskać zgodę GIODO na transfer danych. Artykuł porusza też, rodzące szczególne kontrowersje interpretacyjne, zagadnienie tzw. dalszych transferów danych. W tym kontekście szczególnie przydatne może być omówienie przykładu projektu podpowierzania przetwarzania danych w związku z usługami chmurowymi. Znajdą go Państwo w rubryce Studium przypadku. Życzę owocnej lektury! Wioleta Szczygielska PATRONAT MERYTORYCZNY EKSPERCI Damian Karwala, radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska XAWERY KONARSKI adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska Paweł Tobiczyk, aplikant adwokacki, doktorant w Instytucie Prawa Własności Intelektualnej Uniwersytetu Jagiellońskiego, pracownik departamentu Technologie Media Telekomunikacja w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy Michał Bienias, aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy OCHRONA DANYCH OSOBOWYCH 142 PAŹDZIERNIK 2014

5 AKTUALNOŚCI Do GIODO wpływa coraz więcej skarg i wniosków Na ostatnim przed wakacjami posiedzeniu Sejmu Generalny Inspektor Ochrony Danych Osobowych przedstawił sprawozdanie ze swojej działalności w 2013 roku. Pokazuje ono stan przestrzegania przepisów o ochronie danych osobowych w ubiegłym roku. Ze sprawozdania wynika, że w 2013 roku do Generalnego Inspektora Ochrony Danych Osobowych wpłynęło 1879 skarg, czyli prawie 300 więcej niż rok wcześniej. GIODO otrzymał 4911 pytań prawnych z prośbą o interpretację obowiązujących przepisów. Najczęstsze zagadnienia poruszane w pytaniach prawnych to m.in. legalność przetwarzania danych osobowych klientów aspekty związane z okresem przetwarzania danych, archiwizacją, marketingiem i dochodzeniem roszczeń wynikających z zawartych umów. Wiele pytań dotyczyło pozyskiwania danych autorów wpisów na forach internetowych w celu ochrony własnych dóbr osobistych. Pytano też o przetwarzanie danych w chmurze (Cloud Computing), przechowywanie informacji w postaci plików cookies oraz problemy dotyczące niezamówionej informacji handlowej (spamu). W 2013 roku Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 173 kontrole zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. Dla porównania w 2012 roku było 165 takich inspekcji. Niewielki wzrost może wynikać z ograniczonego budżetu biura generalnego inspektora. Jednak w porównaniu do ubiegłego roku zdecydowanie zwiększyła się liczba kontroli w administracji publicznej. Wiele inspekcji w jednostkach samorządu terytorialnego miało związek z realizacją obowiązków wynikających z ustawy z 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (Dz.U. z 2012 r. poz. 391 ze zm.). Powodem kontroli były m.in. wzory deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi, w których osoba składająca deklarację obowiązana jest podać m.in. swoje dane osobowe. Niektóre rady miejskie określiły zbyt szeroki zakres zbieranych danych we wzorze takich deklaracji. GIODO przeprowadził też 14 kontroli w komendach policji i innych organach ścigania, MICHAŁ BIENIAS aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy. 6 w służbie zdrowia, 5 w placówkach oświatowych, 14 u dostawców usług telekomunikacyjnych i 10 w podmiotach prowadzących serwisy internetowe, w tym sklepy internetowe. 88% podmiotów wypełniło wymogi w zakresie odpowiedniej polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, a 95% zrealizowało obowiązek wyznaczenia osoby pełniącej zadania Administratora Bezpieczeństwa Informacji (ABI). W 2013 roku nastąpił znaczny wzrost zgłoszeń zbiorów danych do rejestracji. W ostatnim roku do GIODO trafiło wniosków o rejestrację (54% zgłoszeń pochodziło z sektora publicznego). Świadczy to o wzroście świadomości konieczności spełnienia obowiązku rejestracyjnego. W ciągu kilku ostatnich lat (od 2010 roku) liczba nadsyłanych zgłoszeń wzrosła o 242%. W ostatnim roku sprawozdawczym GIODO złożył 16 zawiadomień o podejrzeniu popełnienia przestępstwa przez osoby odpowiedzialne za przetwarzanie danych osobowych. W swoim wystąpieniu przed Sejmem dr Wiewiórowski zwrócił uwagę na problemy kadrowe biura GIODO: już w tej chwili istnieje bardzo poważny problem związany z wypełnianiem obowiązków przez Generalnego Inspektora Ochrony Danych Osobowych, który przy wzroście liczby spraw czasem sześciokrotnym, a czasem czterokrotnym, w zależności od sektora, które prowadzi od 2007 roku, dysponuje dokładnie tym samym zestawem osobowym, dokładnie tą samą liczbą etatów (wypowiedź dr. Wojciecha Rafała Wiewiórowskiego dostępna na stronie Sejmu). Generalny inspektor kolejny raz apelował o zwiększenie budżetu biura GIODO, które pozwoli na zatrudnienie dodatkowych osób. Ciekawy jest także wniosek, który generalny inspektor przedstawił w raporcie. Zdaniem organu we współczesnym świecie największym wyzwaniem dla ochrony prywatności jest korzystanie na masową skalę z internetowych interfejsów i aplikacji, zwłaszcza tych mobilnych. OCHRONA DANYCH OSOBOWYCH 143 PAŹDZIERNIK 2014

6 Nie będzie zmiany na stanowisku GIODO Generalnym Inspektorem Ochrony Danych Osobowych w kolejnej kadencji ponownie będzie dr Wojciech Rafał Wiewiórowski. Taką decyzję podjęli posłowie tuż przed wakacjami. Decyzja posłów podjęta podczas 72. posiedzenia Sejmu, które odbyło się 25 lipca 2014 r., nie była zaskoczeniem. Dotychczasowy inspektor, dr Wojciech Rafał Wiewiórowski był jedynym kandydatem na to stanowisko. Jego kandydaturę poparło 292 posłów. Przeciw zagłosowało 133, a 12 wstrzymało się od głosu. Niecałe dwa tygodnie później, 7 sierpnia 2014 r., Senat zatwierdził ten wybór. Doktor Wiewiórowski pełni także rolę wiceprzewodniczącego Grupy Roboczej Art. 29. Grupa Robocza została ustanowiona na mocy art. 29 dyrektywy 95/46/WE. Jest ona niezależnym europejskim organem doradczym w zakresie ochrony danych i prywatności. Michał Bienias aplikant radcowski Zwiększą się kompetencje ABI Trwają prace nad nowelizacją ustawy o ochronie danych osobowych. Zmiany są częścią projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (tzw. pakiet deregulacyjny). Na początku lipca 2014 r. prezes Rady Ministrów skierował projekt ustawy do Sejmu. Po I czytaniu został on skierowany do rozpatrzenia przez Komisję Nadzwyczajną do spraw związanych z ograniczaniem biurokracji. Celem projektowanej regulacji jest poprawa warunków wykonywania działalności gospodarczej. Projekt wraz z uzasadnieniem dostępny jest na stronie Rządowego Centrum Legislacji. Nowelizacja przyniesie kilka zasadniczych zmian. Rejestracja ABI Jedną z planowanych zmian w prawie ochrony danych osobowych jest zwiększenie kompetencji generalnego inspektora. Administrator danych będzie musiał bowiem zgłosić GIODO powołanie i odwołanie administratora bezpieczeństwa informacji w ciągu 30 dni. System rejestracji administratorów bezpieczeństwa informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego czytamy w uzasadnieniu (zob. pkt 2 poniżej). Zgodnie z nowymi przepisami GIODO będzie mógł zwrócić się do ABI o sprawdzenie zgodności przetwarzania danych osobowych u administratora, który go powołał, z przepisami. Możliwość kontroli administratora danych przez ABI nie ograniczy kompetencji GIODO w tym zakresie. Zgłaszanie zbioru Jeśli administrator zgłosi do GIODO powołanego administratora bezpieczeństwa informacji, to będzie zwolniony z obowiązku zgłoszenia zbiorów danych do rejestracji. Warunkiem jest jednak, żeby w zbiorach tych nie były przetwarzane dane wrażliwe. Jeśli zbiór danych nie będzie prowadzony w systemie informatycznym, to także nie będzie obowiązku jego rejestracji. Wyjątkiem okażą się zbiory zawierające dane wrażliwe. Uregulowany zostanie status ABI (nowe obowiązki, uprawnienia i usytuowanie w hierar- OCHRONA DANYCH OSOBOWYCH 14 PAŹDZIERNIK 2014

7 AKTUALNOŚCI chii). Będzie on odpowiadał statusowi urzędnika ds. ochrony danych osobowych (data protection official) (Art. 18 ust. 2 dyrektywy 95/46/WE). Nowe obowiązki ABI Nowelizacja zwiększa zakres uprawnień i obowiązków administratora bezpieczeństwa informacji. Do zadań ABI będzie należeć zapewnienie przestrzegania przepisów o ochronie danych osobowych przez: a) sprawdzenie zgodności przetwarzania danych i opracowanie sprawozdania dla administratora danych (tzw. wewnętrzny audyt), b) nadzorowanie, opracowanie i aktualizację dokumentacji ochrony danych osobowych, c) zapewnienie zapoznania się przez osoby upoważnione do przetwarzania danych z przepisami o ochronie danych osobowych. Dodatkowym zadaniem ABI będzie także prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych. W uzasadnieniu podkreślono jednak, że projektowana zmiana nie ma na celu tworzenia nowej grupy zawodowej. Co więcej, nie zakazano outsourcingu zadań ABI przez administratora danych. Administratorem bezpieczeństwa informacji będzie mogła być osoba, która ma pełną zdolność do czynności prawnych i korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za przestępstwo popełnione z winy umyślnej. ABI będzie bezpośrednio podlegał kierownikowi jednostki organizacyjnej. Będzie można także powołać jego zastępcę. Przekazywanie danych Projekt zakłada też, że nie będzie wymagana zgoda GIODO na przekazanie danych do państwa trzeciego, gdy zastosowano standardowe klauzule umowne zatwierdzone przez Komisję Europejską, zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub wiążące reguły korporacyjne zatwierdzone przez GIODO. Reguły korporacyjne to zasady chronienia danych osobowych, które spełniają wymogi prawa Unii Europejskiej, wprowadzone przez międzynarodowy podmiot gospodarczy do stosowania wewnątrz swojej organizacji. Dodatkowo, generalny inspektor otrzyma kompetencję do zatwierdzania wiążących reguł korporacyjnych po konsultacjach z innymi organami ochrony danych z Europejskiego Obszaru Gospodarczego. Nowela może wejść w życie już 1 stycznia 2015 r. (zgodnie z art. 37 ustawy o ułatwieniu wykonywania działalności gospodarczej). Trzeba jednak uważnie śledzić przebieg procesu legislacyjnego, gdyż może się on przedłużyć. O dalszych pracach nad projektem ustawy będziemy informować w kolejnych numerach miesięcznika. Michał Bienias aplikant radcowski Europejska reforma ochrony danych osobowych w toku Trwają prace nad projektem rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych). Po przyjęciu zastąpi ono krajowe regulacje. Tematem dyskusji na posiedzeniu Rady UE w Luksemburgu, która odbyła się 6 czerwca 2014 r., była część projektu rozporządzenia dotycząca transferów danych osobowych do państw trzecich. Rozmawiano też o tzw. mechanizmie one-stop-shop. Polega on na tym, że dany podmiot na terenie UE będzie odpowiadał tylko przed jednym organem ochrony danych osobowych, w miejscu swojej siedziby. Komisarz Viviane Reding w wystąpieniu po posiedzeniu Rady UE zauważyła, że w aktualnym projekcie rozporządzenia istnieją trzy drogi na przekazanie danych do państw trzecich. Po pierwsze, przekazanie może nastąpić, jeżeli Komisja zdecydowała, że państwo trzecie zapewnia odpowiedni poziom ochrony danych. Po drugie, jeżeli administrator danych wprowadzi odpowiednie gwarancje w zakresie ochrony danych do prawnie wiążącego instrumentu (gwarancjami są wiążące reguły korporacyjne oraz odpowiednie klauzule umowne). OCHRONA DANYCH OSOBOWYCH 145 PAŹDZIERNIK 2014

8 Po trzecie, transfer może nastąpić w ściśle określonych przypadkach (np. ze względu na interes publiczny, zgodę osób, których dane dotyczą). Viviane Reding poinformowała, że rozporządzenie będzie stosowane do przedsiębiorców z państw trzecich prowadzących działalność gospodarczą na terenie UE. Niedawno wybrana komisarz Martine Reicherts w ostatnim wystąpieniu stwierdziła, że Rada UE musi zgodzić się na szybkie wprowadzenie mocnych zasad ochrony danych osobowych. Zwróciła też uwagę na niebezpieczeństwo związane z podważaniem zasadności reformy ochrony danych osobowych po wyroku odnośnie do prawa do bycia zapomnianym [wyrok Trybunału Sprawiedliwości z 13 maja 2014 r. (C-131/12) w sprawie Google Spain SL i Google Inc. przeciwko Agencia de Protección de Datos (AEPD) i Mario Costeja González]. Zanim projekt rozporządzenia był omawiany na posiedzeniu Rady UE, prace prowadzone były także na sesji plenarnej Parlamentu Europejskiego. Dnia 12 marca 2014 r. Parlament Europejski przegłosował przyjęcie przepisów projektu rozporządzenia. Jednym z ostatnich etapów prac nad zmianami jest tzw. trialog, czyli kooperacja między Komisją Europejską, Radą Unii Europejskiej a Parlamentem Europejskim w zakresie podejmowanych decyzji. Michał Bienias aplikant radcowski Przetwarzanie w chmurze W ostatnim czasie, zarówno na szczeblu europejskim, jak i krajowym podejmowane były działania mające uregulować prawne aspekty przetwarzania danych w chmurze obliczeniowej. W 2013 roku Komisja Europejska powołała grupę ekspertów ds. umów Cloud Computingu. Dnia 26 czerwca 2014 r. Komisja Europejska wydała wskazówki w sprawie umów Standard Level Agreements używanych przy korzystaniu z Cloud Computing (Cloud Service Level Agreement Standardization Guidelines). Umowy tego typu określają minimalne parametry świadczonych usług, a także mogą regulować kwestie bezpieczeństwa danych przetwarzanych w chmurze obliczeniowej. Działania w tym zakresie podjęła także Grupa Robocza Art. 29, która w kwietniu 2014 roku przyjrzała się rozwiązaniom chmury obliczeniowej oferowanej przez Microsoft dla przedsiębiorców (business to business B2B). Grupa Robocza potwierdziła, że umowy na niektóre chmurowe usługi spełniają wymagania wynikające z tzw. standardowych klauzul umownych UE dotyczących transferu danych osobowych do podmiotów z siedzibą w tzw. państwach niezapewniających adekwatnego poziomu ochrony danych (tzw. państwach trzecich). W 2012 roku Grupa Robocza wydała także opinię na temat przetwarzania danych w chmurze obliczeniowej (05/2012). Na szczeblu krajowym również są podejmowane działania związane z regulacją prawnych aspektów chmury obliczeniowej. W 2013 roku GIODO opracował: Dziesięć zasad stosowania usług chmurowych przez administrację publiczną (tzw. Dekalog Chmuroluba). Opracowanie to jest podsumowaniem informacji zawartych w różnych materiałach GIODO dotyczących stosowania rozwiązań chmurowych, zwłaszcza w administracji publicznej. Dekalog Chmuroluba zwraca uwagę m.in. na konieczność transparentności działania dostawcy chmury obliczeniowej (informacje o lokalizacji serwerów, zasadach bezpieczeństwa, istnieniu podwykonawców), a także raportowania wszelkich incydentów bezpieczeństwa danych. Wcześniej Międzynarodowa Grupa Robocza ds. Ochrony Danych w Telekomunikacji (tzw. grupa berlińska) zaprezentowała dokument roboczy w sprawie przetwarzania danych w chmurze obliczeniowej tzw. Memorandum Sopockie. Wskazano w nim, że przetwarzanie danych w chmurze nie może prowadzić do obniżenia standardów ochrony danych w porównaniu z konwencjonalnym przetwarzaniem. Podkreślono też wagę odpowiedniego zabezpieczenia danych i przejrzystości dostarczania usług. Opisane dokumenty nie są powszechnie obowiązującymi przepisami prawa, stanowią jednak istotne wskazówki w zakresie korzystania z usług Cloud Computing. Grupa Berlińska została założona w 1983 roku podczas Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności z inicjatywy Berlińskiego Rzecznika Ochrony Danych, przewodniczącego Grupy. Michał Bienias aplikant radcowski OCHRONA DANYCH OSOBOWYCH 146 PAŹDZIERNIK 2014

9 ORZECZNICTWO Operator wyszukiwarki jest administratorem danych Trybunał Sprawiedliwości UE orzekł, że operatorzy wyszukiwarek internetowych przetwarzają dane osobowe. Stwierdził też, że są oni administratorami danych. W związku z tym można wobec nich stosować dyrektywę 95/46/WE. Wyrok Trybunału Sprawiedliwości UE z 13 maja 2014 r. (w sprawie C-131/12) Stan faktyczny Paweł Tobiczyk aplikant adwokacki, doktorant w Instytucie Prawa Własności Intelektualnej Uniwersytetu Jagiellońskiego, pracownik departamentu Technologie Media Telekomunikacja w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy W 1998 roku jedna z hiszpańskich gazet opublikowała najpierw w wydaniu drukowanym, a następnie w elektronicznej wersji gazety w Internecie dwa komunikaty dotyczące licytacji nieruchomości. Jej właścicielem był Mario Costeja Gonzalez. Nieruchomość została zajęta, gdyż właściciel miał niespłacone należności na rzecz zakładu ubezpieczeń społecznych. W listopadzie 2009 roku Gonzalez skontaktował się z wydawcą gazety, twierdząc, że po wpisaniu jego imienia i nazwiska do wyszukiwarki Google ukazywało się odwołanie do stron gazety z ogłoszeniami dotyczącymi licytacji nieruchomości. Zainteresowany twierdził, że zajęcie nieruchomości zostało zakończone przed wieloma laty, w związku z czym sprawa ta nie ma obecnie żadnego znaczenia. Gonzalez zażądał więc usunięcia danych przez gazetę. W odpowiedzi wydawca stwierdził, że żądanie usunięcia danych nie jest zasadne, gdyż publikacja artykułu wynikała z zarządzenia hiszpańskiego Ministerstwa Pracy i Polityki Społecznej. W lutym 2010 roku zainteresowany zwrócił się do Google Spain z żądaniem, aby po wpisaniu jego imienia i nazwiska w Google wyniki wyszukiwania nie wskazywały żadnych linków do gazety. Wniosek został przekazany przez Google Spain do Google Inc. z siedzibą w Kalifornii (Stany Zjednoczone) jako przedsiębiorstwa świadczącego usługę wyszukiwania w Internecie. Następnie Gonzalez złożył przeciwko wydawcy i Google skargę do Agencia Española de Protección de Datos (hiszpański organ ds. ochrony danych, AEPD). Decyzją z 30 lipca 2010 r. dyrektor AEPD przychylił się do skargi przeciwko Google Spain i Google Inc. Zobowiązał oba podmioty do usunięcia spornych danych z ich indeksów wyszukiwania i uniemożliwienia dostępu do nich w przyszłości. Organ oddalił jednak skargę przeciwko wydawcy w związku z tym, że publikacja danych w prasie była prawnie uzasadniona. Google Inc. i Google Spain skierowały dwa odwołania od tej decyzji do Audiencia Nacional (sądu Najwyższego Hiszpanii), wnosząc o uchylenie decyzji AEPD. Hiszpański sąd z kolei skierował kilka pytań w trybie prejudycjalnym do Trybunału Sprawiedliwości UE (TSUE). Dotyczyły one w szczególności tego, czy można zastosować dyrektywę 95/46/WE do usługi związanej z wyszukiwarką internetową. Hiszpański sąd pytał też czy osoba, której dane dotyczą, może żądać od operatora wyszukiwarki usunięcia z wyników wyszukiwania linków do informacji naruszających prawa do ochrony danych tej osoby. Decyzja Trybunału W omawianym wyroku TSUE rozstrzygnął kilka istotnych wątpliwości dotyczących świadczenia usługi wyszukiwarki internetowej w świetle przepisów o ochronie danych osobowych. Po pierwsze, Trybunał przesądził, że wyszukiwarki internetowe przetwarzają dane osobowe w rozumieniu art. 2 lit. b dyrektywy. Jeśli ich działalność, polegająca na zlokalizowaniu informacji opublikowanych lub zamieszczonych w Internecie przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie ich udostępnianiu internautom w sposób uporządkowany zgodnie z określonymi preferencjami, dotyczy danych osobowych, to można do niej stosować dyrektywę. Trybunał Sprawiedliwości Unii Europejskiej stwierdził też, że operator wyszukiwarki internetowej jest administratorem danych odpowiedzialnym za przetwarzanie danych w rozumieniu art. 2 lit. d dyrektywy. W ocenie TSUE operacje dokonywane przez operatora wyszukiwarki są przetwarzaniem danych osobowych. OCHRONA DANYCH OSOBOWYCH 147 PAŹDZIERNIK 2014

10 Przemawia za tym fakt, że podmiot taki, przeszukując Internet w zautomatyzowany, stały i systematyczny sposób w poszukiwaniu opublikowanych w nim informacji, dokonuje na danych czynności, które w świetle art. 2 lit. b dyrektywy 95/46 należy uznać za przetwarzanie. Czynności te to w szczególności: gromadzenie, odzyskiwanie, zapisywanie i porządkowanie danych za pomocą oprogramowania indeksującego, przechowywanie ich na swych serwerach oraz, w odpowiednim przypadku, ujawnianie i udostępnianie ich użytkownikom w postaci listy wyników wyszukiwania. To operator wyszukiwarki internetowej określa cele i sposoby prowadzenia swojej działalności, dlatego to jego trzeba uznać za administratora danych. Nie ma przy tym znaczenia fakt, że operator nie sprawuje kontroli nad danymi osobowymi opublikowanymi na stronach internetowych osób trzecich. Przetwarzanie danych osobowych, w ramach działania wyszukiwarki, różni się bowiem od sposobu i zakresu przetwarzania dokonywanego przez wydawców stron internetowych. Oni bowiem zamieszczają dane na stronie internetowej. TSUE uznał zatem, że działalność operatorów ma charakter dodatkowy w stosunku do działalności wydawców stron internetowych. Trybunał rozstrzygnął też, że do tego rodzaju usług świadczonych przez podmiot spoza UE/EOG w przypadku gdy przetwarzanie danych odbywa się w ramach działalności spółki zależnej na terytorium państwa członkowskiego (w tym przypadku Google Spain), ustanowionej w celu promocji i sprzedaży powierzchni reklamowej przez jej wyszukiwarkę w tym państwie w celu zapewnienia rentowności oferowanej usługi zastosowanie znajdzie dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zdaniem TSUE wynika to z tego, że działalność prowadzona przez operatora wyszukiwarki jest nierozerwalnie powiązana z działaniami podejmowanymi na terenie danego państwa członkowskiego. Działalność związana z promocją i sprzedażą powierzchni reklamowych stanowi bowiem środek, który ma za zadanie uczynić wyszukiwarkę internetową opłacalną pod względem gospodarczym. Z kolei wyszukiwarka ta stanowi jednocześnie środek umożliwiający prowadzenie tej działalności. Operacje wykonywane przez operatorów wyszukiwarek internetowych są przetwarzaniem danych Poza tym Trybunał Sprawiedliwości UE orzekł, że użytkownicy sieci mają prawo zwrócić się bezpośrednio do operatora wyszukiwarki o usunięcie linków do stron internetowych zawierających informacje naruszające ich prawa wynikające z dyrektywy. Operator musi usunąć z wyświetlanej listy wyników wyszukiwania dla którego punktem wyjścia jest imię i nazwisko danej osoby linków do publikowanych przez osoby trzecie stron internetowych zawierających informacje, które jej dotyczą. Jest on do tego zobowiązany, również w przypadku gdy informacje te nie zostały uprzednio czy też jednocześnie usunięte z tych stron i nawet jeśli ich publikacja jest zgodna z prawem. Uzasadnia to fakt, że możliwa ingerencja w prywatność osoby, której dane dotyczą (wszyscy internauci mogą zdobyć informacje z jej życia prywatnego) nie może być uzasadniona jedynie interesem gospodarczym, jaki ma w przetwarzaniu tych danych operator wyszukiwarki internetowej. TSUE podkreślił jednak, że prawa do prywatności i ochrony danych osobowych nie mają charakteru praw absolutnych, mimo że są nadrzędne wobec interesu gospodarczego operatora wyszukiwarki. W związku z tym prawo do żądania usunięcia informacji musi być oceniane w każdym konkretnym przypadku. Przy takiej ocenie należy wziąć pod uwagę charakter informacji oraz stopień ich wrażliwości dla osoby, której dotyczą. Ważny jest też interes ogółu w dostępie do nich. Duże znaczenie ma tu rola odgrywana w życiu publicznym przez osobę, której dane dotyczą. Trybunał odniósł się też do uprawnień osób, które zwracają się do operatorów o usunięcie z wyników wyszukiwania pewnych stron, gdyż chcą, aby zawarte na nich informacje zostały po pewnym czasie zapomniane. Zdaniem TSUE jest to możliwe, jeżeli zawarcie na liście wyników wyszukiwania tych linków jest, w aktualnym stanie rzeczy, niezgodne z dyrektywą. W takim przypadku należy usunąć z listy wyników wyszukiwania te informacje i prowadzące do nich linki (chyba że zachodzą szczególne powody, takie jak np. rola odgrywana przez daną osobę w życiu publicznym, która może uzasadniać nadrzędny interes kręgu odbiorców w posiadaniu dostępu do tych informacji). Jednak nawet początkowo zgodne z prawem przetwarzanie poprawnych danych może wraz z upływem czasu stać się niezgodne z tą dyrektywą. Może się tak stać, jeśli dane te są niewłaściwe, niestosowne w obecnym stanie rzeczy czy też nadmierne w stosunku do celów, dla których są one przetwarzane, lub też ze względu na upływ czasu. Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że wnioski o usunięcie wyników wyszukiwania mogą być kierowane bezpośrednio przez osobę, której dane dotyczą, do operatora wyszukiwarki internetowej. A ten powinien następnie zbadać ich zasadność. W przypadku braku odpowiedniej reakcji operatora (administratora) osoba, której dane dotyczą, może zwrócić się do organu nadzorczego lub sądowniczego o przeprowadzenie koniecznej kontroli i nakazanie administratorowi przyjęcia konkretnych środków. OCHRONA DANYCH OSOBOWYCH 148 PAŹDZIERNIK 2014

11 ORZECZNICTWO Przetwarzanie danych lekarzy musi być prawnie uzasadnione Do tej pory linia orzecznicza GIODO w sprawie przetwarzania danych osobowych lekarzy przez portale internetowe była spójna jest to możliwe, jeśli cel przetwarzania jest prawnie usprawiedliwiony. W styczniowym wyroku Wojewódzki Sąd Administracyjny przedstawił jednak inne stanowisko. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 29 stycznia 2014 r. (sygn. akt II SA/Wa 1819/13) Stan faktyczny W czerwcu 2012 roku do Generalnego Inspektora Ochrony Danych Osobowych trafił wniosek przeciwko portalowi internetowemu, za pośrednictwem którego internauci mają możliwość opiniowania, komentowania i oceniania lekarzy. Skarżący chciał, żeby GIODO nakazał spółce prowadzącej stronę zaprzestanie przetwarzania jego danych osobowych i usunięcie wynikłych z tego skutków. Domagał się także wszczęcia postępowania wobec spółki z urzędu, gdyż jak twierdził, masowo przetwarza ona dane osób pracujących w służbie zdrowia. Prosił też GIODO, aby w razie podejrzenia naruszenia prawa karnego i/lub handlowego przekazał sprawę do rozpatrzenia przez inne właściwe organy. Skarżący wnioskował też o zabezpieczenie do celów dowodowych zgromadzonych danych osobowych oraz korespondencji z systemu informatycznego spółki. GIODO odmówił uwzględnienia wniosku. Wskazał, że administrator danych, który przy ich przetwarzaniu nie legitymuje się przesłankami wymienionymi w art. 23 ust. 1 pkt 1 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych 1, może powołać się na tzw. klauzulę prawnie usprawiedliwionego celu (art. 23 ust. 1 pkt 5 uodo). Musi tylko wykazać, że przetwarzanie danych jest konieczne do realizacji konkretnego (zgodnego z prawem) celu oraz że bez przetworzenia danych jego realizacja będzie niemożliwa. Przetwarzanie danych nie może także naruszać praw i wolności osoby, której dane dotyczą. Zatem z jednej strony cel przetwarzania musi być usprawiedliwiony prowadzoną działalnością administratora lub odbiorcy danych, z drugiej zaś działalność ta nie może być w jakiejkolwiek mierze niezgodna z prawem, zasadami współżycia społecznego czy dobrymi obyczajami. GIODO stwierdził, że administrator danych uprawniony do ich przetwarzania na podstawie art. 23 ust. 1 pkt 5 uodo może je udostępniać. 1 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r. nr 101, poz. 926 ze zm.). Zdaniem GIODO nie można podawać w wątpliwość istnienia usprawiedliwionego celu po stronie administratora, tylko dlatego, że ma on - w całości lub części - charakter zarobkowy (komercyjny) Generalny inspektor uznał, że przetwarzanie danych osobowych przez administratora nie naruszało praw i wolności skarżącego. Jego dane udostępniane na stronie internetowej spółki dotyczyły wyłącznie życia zawodowego. Nie doszło zatem do naruszenia jego prawa do ochrony życia prywatnego, rodzinnego czy też prawa do decydowania o swoim życiu osobistym. Zawód lekarza uznawany jest za zawód zaufania publicznego, a jego wykonywanie jest istotne z punktu widzenia interesu publicznego stwierdził GIODO. W związku z tym skarżący musi liczyć się z tym, iż jego dane osobowe w zakresie dotyczącym wykonywanego przez niego zawodu podlegają słabszej ochronie. Nie ulega bowiem wątpliwości, że świadczona przez lekarza praca, w szczególności sposób jej wykonywania i uzyskane efekty, podlegają społecznej kontroli. Serwis internetowy umożliwiający użytkownikom zamieszczanie opinii i komentarzy dotyczących lekarza jest jednym z narzędzi, za pomocą którego pacjenci mogą wykonywać tę społeczną kontrolę. Na tej podstawie GIODO odmówił uwzględnienia wniosku. Skarżący ponownie wniósł wniosek w tej sprawie do GIODO. Jednak ten utrzymał w mocy swoją poprzednią decyzję. Osoba, która zwróciła się do generalnego inspektora, zaskarżyła jego decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA). Sąd uchylił zaskarżoną decyzję oraz decyzję ją poprzedzającą. Dodatkowo zobowiązał GIODO do wyeliminowania popełnionych błędów i niedokładności. Sąd nie był bowiem OCHRONA DANYCH OSOBOWYCH 149 PAŹDZIERNIK 2014

12 w stanie skontrolować poprawności działania organu i wydanej decyzji. Wyrok nie jest prawomocny. Decyzja sądu W ocenie WSA ocena GIODO nie była właściwa. Zdaniem sądu generalny inspektor nie zbadał w dostatecznym stopniu, czy powoływanie się przez spółkę na przesłankę prawnie usprawiedliwionego celu jest uzasadnione. Nie sprawdził też, czy dopuszczalne jest przetwarzanie danych osobowych skarżącego bez jego zgody. Sąd wskazał w tym zakresie wiele wątpliwości. Po pierwsze, WSA uznał, że portal ma charakter prywatny oraz komercyjny, służy bowiem celom wyłącznie marketingowym (reklamuje usługi medyczne). W związku z czym dane skarżącego przetwarzane są w rejestrze również w charakterze komercyjnym. W konsekwencji udostępnianie danych skarżącego w ramach portalu nie może być traktowane jako realizacja społecznej kontroli wykonywania przez lekarzy zawodu zaufania publicznego. Cel ten może być spełniony wyłącznie poprzez prowadzenie rejestru o charakterze publicznym (niekomercyjnym). WAŻNE Jak wynika z art. 2 ust. 1 i 2 i art. 8 ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty, tylko rejestr prowadzony przez właściwą okręgową izbę lekarską pełni zarówno funkcję informacyjną, jak i ochronną i to nie tylko dla osób korzystających ze świadczeń medycznych, ale również dla samych lekarzy. Zatem w tym zakresie argumenty wskazane przez GIODO w skarżonych decyzjach należy uznać za chybione, stwierdził sąd. Sąd zwrócił przy tym uwagę, że skarżący nie wyraził zgody na przetwarzanie jego danych przez spółkę w ramach portalu. Na stronie internetowej spółki znajdują się natomiast także dane lekarzy, którzy zawarli stosowne umowy z podmiotem prowadzącym portal jako przedsiębiorcą. Zdaniem WSA GIODO nie wziął pod uwagę, że jakakolwiek możliwość ingerencji skarżącego w zasady przetwarzania jego danych osobowych jest możliwa wyłącznie po jego zarejestrowaniu w ramach portalu i to wyłącznie w sytuacji, gdy jego profil już istnieje. Zatem w celu zapewnienia ochrony swoich danych osobowych skarżący musi spełnić dodatkowe pozaustawowe obowiązki, czyli zawrzeć z administratorem (właścicielem portalu) stosowną umowę cywilnoprawną. Do momentu zawarcia umowy skarżący uprawnień takich w ogóle nie posiada. WSA: GIODO musi zbadać, czy administrator danych osobowych miał prawo powołać się na prawnie usprawiedliwiony cel Wojewódzki Sąd Administracyjny wskazał także, że GIODO nie ustalił, czy właściciel portalu zapewnia należytą ochronę danych osobowych, jako administrator tych danych, w zakresie obowiązków informacyjnych wymienionych w art. 24 ust. 1 uodo. Zgodnie z tym przepisem w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku; celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach bądź kategoriach odbiorców danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Zdaniem WSA generalny inspektor nie zbadał, czy w danej sprawie rzeczywiście dopuszczalne jest powołanie się przez administratora na przesłankę legalizującą przetwarzanie danych osobowych, określoną w art. 23 ust. 1 pkt 5 uodo. Nie ustalił, czy dla przetwarzania danych nie jest konieczne uzyskanie zgody skarżącego. Dlatego też sąd nakazał organowi ponowne zbadanie sprawy. Wyrok WSA przerwał dotychczasową, jednolitą linię orzeczniczą GIODO w sprawie dopuszczalności przetwarzania danych osobowych lekarzy przez portale internetowe. Paweł Tobiczyk aplikant radcowski OCHRONA DANYCH OSOBOWYCH PAŹDZIERNIK 2014