OCHRONA DANYCH OSOBOWYCH I PRYWATNOŚCI W INTERNECIE. COOKIES

Transkrypt

1 OCHRONA DANYCH OSOBOWYCH I PRYWATNOŚCI W INTERNECIE. COOKIES

2 OCHRONA DANYCH OSOBOWYCH

3 OCHRONA DANYCH OSOBOWYCH W PRAWIE POLSKIM Ochronę danych osobowych w Polsce normuje ustawa z r. o ochronie danych osobowych (Dz. U. z 2015 r., poz ze zm.) r. nastąpi zmiana, gdyż wejdzie w życie unijne rozporządzenie 2016/679 w sprawie ochrony danych osób fizycznych (tzw. ogólne rozporządzenie o ochronie danych). Obowiązki wynikające z ustawy spoczywają zarówno na organach administracji publicznej (w praktyce jednak obowiązuje w tym zakresie wiele przepisów szczególnych, wyłączających stosowanie ustawy o o.d.o.), jak i na przedsiębiorcach i innych podmiotach przetwarzających dane osobowe. Polską ustawę stosuje się do przetwarzania danych przez podmioty, które mają siedzibę lub miejsce zamieszkania: 1. w Polsce, albo 2. w państwie trzecim, jeżeli podmiot przetwarza dane przy wykorzystaniu środków technicznych znajdujących się na terytorium RP (chyba że środki te służą wyłącznie do przekazywaniu danych).

4 ZASTOSOWANIE POLSKICH PRZEPISÓW DO MIĘDZYNARODOWYCH PRZEDSIĘBIORCÓW Polski Generalny Inspektor Ochrony Danych Osobowych (GIODO), podobnie jak np. organy w Belgii, uważa, że choć działający w USA i Kanadzie Facebook Inc. jest spółką amerykańską, działający w UE Facebook Ireland Ltd. spółką irlandzką, a działająca w Polsce spółka Facebook Poland Sp. z o.o. nie zajmuje się prowadzeniem portalu społecznościowego (lecz jedynie marketingową współpracą z przedsiębiorcami) to jednak działalność polskiej spółki jest nierozerwalnie związana z działalnością spółki amerykańskiej (ustanawiającą zasady przetwarzania danych osobowych), spółka ta jest więc zobowiązana do stosowania wszystkich środków zmierzających do przestrzegania polskiego prawa o ochronie danych osobowych. W 2016 r. GIODO nakazał Facebook Poland Sp. z o.o. usunięcie chronionych danych z systemu

5 DANE OSOBOWE - POJĘCIE Ochrona przysługuje wyłącznie danym osobowym żyjących osób fizycznych. Za dane osobowe uznaje się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

6 MOŻLIWOŚĆ IDENTYFIKACJI Identyfikacja oznacza bezpośrednie lub pośrednie określenie tożsamości. Zgodnie z ustawą, ustalenie tożsamości następuje poprzez powołanie się np. na: numer identyfikacyjny* albo jeden lub kilka specyficznych czynników określających cechy fizyczne (związane z wyglądem), fizjologiczne (związane z czynnościami życiowymi organizmu), umysłowe, ekonomiczne, kulturowe lub społeczne. Możliwość identyfikacji występuje, gdy ustalenie tożsamości nie wymaga nadmiernych kosztów, czasu lub działań. *Zgodnie z ustawą, w numerze identyfikacyjnym może być zakodowana wyłącznie informacja o płci, dacie urodzenia, numerze nadania oraz liczba kontrolna. Zabronione jest nadawanie ukrytych znaczeń elementom numerom przypisanym osobom fizycznym.

7 POJEDYNCZE INFORMACJE O OSOBIE Nie każda pojedyncza informacja o osobie ma charakter danych osobowych. Nie stanowi ich np. 1. samo imię, 2. samo nazwisko, 3. nazwa miejscowości, w której osoba mieszka, 4. nazwa ulicy i numer budynku wielorodzinnego, w którym osoba mieszka (bez numeru mieszkania) zwłaszcza w przypadku dużych budynków, 5. informacja o pojedynczych cechach ekonomicznych, umysłowych lub fizycznych, np. o niepełnosprawności ruchowej.

8 KOMBINACJE POJEDYNCZYCH INFORMACJI Jeżeli pewne informacje same z siebie nie stanowią danych osobowych, charakter taki mogą już jednak mieć kombinacje tych informacji, np. - co do zasady dane osobowe będzie stanowiła kombinacja informacji o nazwisku osoby (bez imienia), nazwie miejscowości i ulicy oraz numerze budynku wielorodzinnego, wraz z informacją o niepełnosprawności ruchowej.

9 KOLEJNE INFORMACJE O ZIDENTYFIKOWANEJ JUŻ OSOBIE Jeżeli pewną osobę zidentyfikowaliśmy, np. poprzez jej PESEL lub imię i nazwisko, wówczas kolejne informacje o tej osobie stają się danymi osobowymi, nawet jeżeli same z siebie (bez wcześniejszej identyfikacji osoby) nie miałyby takiego charakteru.

10 PRZYKŁADY DANYCH OSOBOWYCH W KONTEKŚCIE INTERNETOWYM Adres IP może być traktowany jako dane osobowe, jeżeli jest na stałe lub przez dłuższy czas przypisany do określonego urządzenia, użytkowanego przez określony podmiot, ale z reguły tylko w połączeniu z innymi danymi. Adres uznaje się za dane osobowe, jeżeli zawiera np. imię i nazwisko osoby. W innym przypadku stanowi dane osobowe tylko w połączeniu z innymi danymi. Nick, pseudonim jeżeli osoba nie ujawnia innych danych (np. na forum internetowym), sam nick nie stanowi danych osobowych.

11 KATEGORIE DANYCH OSOBOWYCH DANE ZWYKŁE I WRAŻLIWE Tzw. dane wrażliwe to dane o: pochodzeniu rasowym lub etnicznym; poglądach politycznych; przekonaniach religijnych lub filozoficznych; przynależności wyznaniowej, partyjnej lub związkowej; stanie zdrowia; kodzie genetycznym; nałogach; życiu seksualnym; skazaniach, ukaraniu i mandatach karnych i innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym. Wyliczenie jest wyczerpujące. Dane wrażliwe poddane są pewnym szczególnym zasadom przetwarzania, wspomnianym dalej. Pozostałe dane to tzw. dane zwykłe.

12 PRZETWARZANIE DANYCH OSOBOWYCH Przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, także w systemach informatycznych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

13 IDENTYFIKACJA PODMIOTU PRZETWARZAJĄCEGO DANE Administrator danych, który zbiera dane od osoby, której one dotyczą (bezpośrednie pozyskanie danych), a także od innego podmiotu (pośrednie/wtórne pozyskanie danych), musi poinformować tę osobę m.in. o 1. swej nazwie i adresie, 2. celu przetwarzania danych, 3. odbiorcach danych lub ich kategoriach, 4. prawach osoby, której dane dotyczą dostępu do nich i ich poprawiania. Administrator, który uzyskał dane od innego podmiotu, musi poinformować osobę, której dane dotyczą także o źródle danych jeżeli więc firma kupuje bazę danych osobowych od innego podmiotu, musi poinformować o tym każdą z osób, których dane pozyskała w ten sposób.

14 WYMAGANIE UZYSKANIA ZGODY OSOBY, KTÓREJ DANE DOTYCZĄ, NA ICH PRZETWARZANIE Co do zasady przetwarzanie danych osobowych wymaga zgody osoby, której dane dotyczą. Są od tego wyczerpująco wyliczone w ustawie wyjątki.

15 ZGODA NA PRZETWARZANIE DANYCH Zgoda to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych osoby składającej oświadczenie składający oświadczenie musi wiedzieć, na co dokładnie się godzi. Na administratorze danych osobowych spoczywa ciężar dowodu wykazania, że osoba wyraziła zgodę na przetwarzanie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia o innej treści. Zgoda może być odwołana w każdym czasie. Zgoda nie musi mieć formy pisemnej (wystarczy więc np. zaznaczenie odpowiedniego pola w formularzu elektronicznym). Pisemną formę (lub z bezpiecznym podpisem elektronicznym) musi mieć jedynie zgoda na przetwarzanie danych wrażliwych.

16 KIEDY ZGODA NIE JEST WYMAGANA? Nie wymaga się zgody osoby np. wtedy, gdy: 1. przetwarzanie danych jest niezbędne dla spełnienia obowiązku lub realizacji uprawnienia wynikających z przepisów prawa, 2. przetwarzanie danych jest niezbędne do realizacji umowy, której stroną jest osoba, której dane dotyczą, Przetwarzanie danych osobowych przez ich administratora w celach marketingu bezpośredniego własnych produktów i usług jest dozwolone bez uzyskania odrębnej zgody.

17 PRZETWARZANIE DANYCH WRAŻLIWYCH BEZ ZGODY OSOBY, KTÓRYCH DOTYCZĄ W kontekście internetowym jest szczególnie istotne, że przetwarzanie danych wrażliwych jest możliwe bez zgody osoby m.in. wówczas, gdy ona sama podała je do wiadomości publicznej.

18 PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ Można, nie częściej niż raz na 6 miesięcy, żądać informacji o: 1. administratorze danych, 2. zbiorze danych (np. celach i sposobie przetwarzania lub treści danych), 3. źródle danych i sposobie ich dalszego udostępniania. Można żądać usunięcia danych ze zbioru (a także ich uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania ich przetwarzania), jeżeli są niekompletnie, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Można zgłosić sprzeciw wobec przetwarzania danych w celach marketingu administratora lub odbiorcy danych, a także wobec przekazania danych innemu administratorowi. Administrator może zachować tylko informację o imieniu, nazwisku i PESELu osoby, by uniknąć ponownego wykorzystania jej danych w celach objętych sprzeciwem.

19 CIEKAWY, INTERNETOWY PRZYPADEK KORZYSTANIA Z PRAW OSOBY, KTÓREJ DANE DOTYCZĄ Wojewódzki Sąd Administracyjny w Warszawie uznał, że jeżeli klient banku nie wyraził zgody na przetwarzanie danych osobowych w celach marketingowych, wówczas wyświetlanie reklam nie jest możliwe po zalogowaniu się klienta na jego kontro na stronie internetowej banku. (wyrok WSA w Warszawie z , sygn. akt II SA/Wa 556/10, )

20 ODPOWIEDZIALNOŚĆ ZA NARUSZENIE PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH Naruszenie obowiązków związanych z przetwarzaniem danych osobowych stanowi co do zasady przestępstwo, np. do 2 lat więzienia grozi za przetwarzanie danych bez uprawnień, udostępnianie danych osobom nieupoważnionym, a do 1 roku więzienia grozi za niepoinformowanie osoby, której dane dotyczą, o jej prawach. GIODO może w drodze decyzji nakazać przywrócenie stanu zgodnego z prawem (np. usunięcie naruszeń prawa). Jeżeli decyzje nie są wykonywane, GIODO może stosować administracyjne grzywny w celu przymuszenia (do wobec osoby fizycznej, do wobec osób prawnych i innych jednostek, w sumie nie więcej niż, odpowiednio, lub zł). Grzywny te są jednak stosowane rzadko.

21 CO Z TEGO WYNIKA Prawo dopuszcza wyrażenie przez nas zgody na przetwarzanie dowolnych danych osobowych (nawet wrażliwych!) w dowolnym celu. Ograniczona jest jedynie możliwość przetwarzania danych bez naszej zgody. Nie należy więc bez zastanowienia zgadzać się na przetwarzanie naszych danych!

22 KARY ZA NARUSZENIE PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH Przetwarzanie danych osobowych bez posiadania do tego uprawnień to przestępstwo, zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do 2 lat (3 lat w przypadku danych wrażliwych). Niedopełnienie obowiązku odpowiedniego poinformowania osoby, której dane dotyczą, zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do 1 roku.

23 COOKIES (CIASTECZKA) Niestety nie takie do jedzenia

24 COOKIES - POJĘCIE Cookie to informacja umieszczona w urządzeniu końcowym (telefonie, tablecie, komputerze itd.) użytkownika usług internetowych przez podmiot świadczący usługi w Internecie, wykorzystywana następnie do celów związanych z działalnością tego podmiotu lub podmiotów powiązanych. Na równi z cookies traktowane są przez prawo europejskie pokrewne rozwiązania, nazywane technologiami lokalnego przechowywania (local storage).

25 RODZAJE COOKIES ZE WZGLĘDU NA TRWAŁOŚĆ UMIESZCZENIA W URZĄDZENIU Sesyjne nazywają się tak, gdyż związane są tylko z konkretnym przypadkiem przeglądania strony internetowej. Zapamiętują np. nasze kolejne kroki podczas danej wizyty w sklepie internetowym (10-20% ogółu cookies). Trwałe nazywają się tak, gdyż nie podlegają kasowaniu po zakończeniu danej sesji (np. po wylogowaniu się z serwisu umożliwiającego logowanie). Na długi czas (nawet do 9999 roku!) wiążą działania odwiedzającego stronę z ustalonym wcześniej profilem (pozostałe 80-90% ogółu cookies). Przeprowadzone badania wskazują, że w praktyce wyłącznie strony podmiotów publicznych (np. organów administracji publicznej) wykorzystują jedynie cookies sesyjne (z wyłączeniem trwałych). Ale i tak jest takich stron mało.

26 RODZAJE COOKIES ZE WZGLĘDU NA PODMIOT UMIESZCZAJĄCY COOKIE W URZĄDZENIU Cookie dostarczane przez dostawcę aplikacji lub usługi wykorzystywane są przez ten podmiot na potrzeby realizacji tej właśnie aplikacji lub usługi. Chodzi np. o zapamiętanie układu treści na portalu informacyjnym lub przeglądanych produktów w sklepie internetowym (30% ogółu cookies) Cookie strony trzeciej są związane głównie z działalnością marketingową. Umieszcza się je w naszych urządzeniach na skutek współpracy dostawcy usługi lub aplikacji oraz podmiotu prowadzącego działalność marketingową, działającego z kolei na zlecenie reklamodawców dochodzi więc do wielostronnej współpracy (70% ogółu cookies).

27 COOKIES A REKLAMA BEHAWIORALNA Cookies są często wykorzystywane na potrzeby reklamy behawioralnej, dostosowującej się do użytkownika poprzez analizę jego aktywności internetowej. Zbierane dane mogą dotyczyć: rodzaju odwiedzanych stron i częstotliwość tych wizyt, czasu spędzanego na stronie internetowej, interakcji z materiałami na stronach (czy ktoś raczej ogląda wideo, przegląda zdjęcia lub klika w odnośniki do treści tekstowych), haseł wyszukiwania, treści zamieszczanych w Internecie.

28 EUROPEJSKI MODEL COOKIES: OPT-IN Prawo europejskie (a za nim polskie prawo krajowe) wymaga wyrażenia zgody przez użytkownika na przechowywanie cookies na jego urządzeniu oraz uzyskiwanie do nich dostępu. Prawo przewiduje następującą sekwencję zdarzeń: przekazanie użytkownikowi informacji o cookies => uzyskanie zgody użytkownika => zapisane cookies w urządzeniu.

29 WYKONANIE OBOWIĄZKU INFORMACYJNEGO Informacja powinna wyraźnie, łatwo i zrozumiale wskazywać, że w urządzeniu zostanie zapisana informacja, nad której treścią i wykorzystaniem użytkownik nie będzie miał kontroli. Ogólna informacja o cookies powinna być umieszczona na stronie startowej usługi. Początkowa informacja o cookies powinna odsyłać do specjalnego adresu, pod którym dostępna jest pełna informacja o cookies.

30 PEŁNA INFORMACJA O COOKIES Pełna informacja o cookies powinna określać m.in. cele stosowania cookies, dysponentów cookies (w tym strony trzecie, np. w związku z marketingiem), okres przechowywania, jak można zaakceptować lub odmówić zgody na cookies (odmowa może wpłynąć na funkcjonalność usług). W praktyce ponad 40% stron internetowych nie zawiera wystarczająco precyzyjnej informacji szczegółowej o cookies. Treść informacji przechowywanej w urządzeniu musi odpowiadać opisowi funkcji cookies.

31 UDZIELENIE ZGODY NA COOKIES W Polsce może to nastąpić poprzez wyrażenie zgody w (1) sposób klasyczny (np. zaznaczenie odpowiedniej opcji w oknie dialogowym) albo (2) poprzez inne, ale koniecznie aktywne działanie, np. podjęcie czynności polegającej na przystąpieniu do korzystania z usługi po uprzednim poinformowaniu, że spowoduje to umieszczenie w urządzeniu cookies (np. kliknięcie linku do artykułu na głównej stronie portalu informacyjnego). Powinna istnieć możliwość osobnego decydowania o różnych rodzajach cookies (np. pochodzących od stron trzecich). Może to także nastąpić poprzez ustawienia przeglądarki lub urządzenia.

32 TRYB INCOGNITO NIE TYLKO DO OGLĄDANIA PORNOGRAFII Uruchomienie trybu incognito (w Chrome; w Edge InPrivate; w Firefox Okno prywatne) w przeglądarce powoduje nie tylko niezapisywanie historii sesji, lecz także zapisywanie cookies wyłącznie na czas trwania danej sesji. Po jej zakończeniu wszystkie cookies z sesji są usuwane (nawet te, które przy normalnym przeglądaniu zapisałyby się jako trwałe). Można w ten sposób ograniczyć skalę zapisywanych na urządzeniu cookies, bez ustawienia całkowitego ich odrzucania w przeglądarce (co na dłuższą metę może być uciążliwe, przez ograniczenie funkcjonalności usług).

33 COOKIES STRON TRZECICH CZYSTE ZŁO? Wyłączenie akceptacji dla cookies stron trzecich nie ma sensu tylko w przypadku osób, które autentycznie życzą sobie widzieć reklamy wybrane według klucza behawioralnego (a więc na podstawie śledzenia aktywności w sieci). Wyłączenie cookies stron trzecich nie powinno mieć wpływu na funkcjonalność usług, z których korzystamy na poszczególnych stronach internetowych.

34 COOKIES A DANE OSOBOWE Jeżeli dane zawarte w cookies zawierają informacje pozwalające na identyfikację użytkownika, mają wówczas charakter danych osobowych i ich przetwarzanie wymaga wyraźnej, uprzedniej zgody, zarejestrowania zbioru danych itd. Z reguły jednak nie mają takiego charakteru.

35 KARY ZA NARUSZENIE PRZEPISÓW O COOKIES Za naruszenie przepisów o cookies Prezes Urzędu Komunikacji Elektronicznej nakłada karę w wysokości do 3% przychodu ukaranego podmiotu.

36 CIEKAWA LEKTURA Polecam bardzo ciekawy i pouczający tekst z Guardiana (po angielsku): Alex Hern, I read all the small print on the internet and it made me want to die

37 LITERATURA Ustawa z 1997 o ochronie danych osobowych. Cookie sweep combined analysis report, 14/EN WP 229, S. Piątek, Prawne warunki stosowania cookies, ikar 6 (4) 2015.