OPRACOWANIE NT. PORTALI SPOŁECZNOŚCIOWYCH POPULARNOŚĆ, DOSTĘPNE DANE, UWARUNKOWANIA PRAWNE W ZAKRESIE DANYCH OSOBOWYCH

Julian Jezioro OPRACOWANIE NT. PORTALI SPOŁECZNOŚCIOWYCH POPULARNOŚĆ, DOSTĘPNE DANE, UWARUNKOWANIA PRAWNE W ZAKRESIE DANYCH OSOBOWYCH Wrocław, luty/kwiecień 2013

Kuźnia Kadr 7: Podniesienie jakości kształcenia i lepsze dostosowanie oferty edukacyjnej do potrzeb rynku poprzez wypracowanie innowacyjnego modelu monitoringu losów absolwentów Pogłębiona diagnoza problemu 6: Opracowanie nt. portali społecznościowych, dostępne dane, uwarunkowania prawne w zakresie danych osobowych Miejsce i data opracowania: Wrocław luty/kwiecień 2013 r. Wykonawca: dr Julian Jezioro 2

Spis treści Część I. Streszczenie...4 1. Cel opracowania...4 2. Problem badawczy...4 3. Źródła informacji...6 4. Sposób analizy...6 5. Podsumowanie zidentyfikowanych oraz opisanych doświadczeń i rozwiązań...6 6. Wnioski...7 Część II. Opracowanie główne...9 1. Wprowadzenie...9 2. Cel opracowania...9 3. Problem badawczy...11 3.1. Wprowadzenie...11 3.2. Baza danych jako forma gromadzenia i korzystania z danych uzyskanych na skutek monitorowania losów absolwentów Uczelni - uregulowanie ogólne...12 3.3. Podstawy prawne i charakter działalności Uczelni, polegającej na monitorowaniu losów absolwentów...15 3.4. Ogólna charakterystyka portali społecznościowych w płaszczyźnie prawnej...16 3.5. Dane osobowe - ogólne zasady ochrony...17 3.6. Pojęcie prawne danych osobowych...18 3.7 Charakter prawny Uczelni jako podmiotu korzystającego z danych zamieszczonych w portalach społecznościowych...19 3.8. Dopuszczalność (legalność) przetwarzania danych osobowych...20 3.9. Procedury gromadzenia i przetwarzania danych osobowych...22 3.10. Wybrane szczególne problemy praktyczne weryfikacja pozyskanych danych...23 4. Uwarunkowania prawne podejmowania przedsięwzięć, zachęcające do korzystania z aplikacji Uczelni zamieszczonej na portalach społecznościowych...25 5. Utwory...27 6. Wykorzystanie wizerunku pozyskanego z portali społecznościowych...28 7. Uwarunkowania prawne i statutowe wykorzystania przez Uczelnię dla jej celów statutowych (w tym gospodarczych) pozyskanych w trakcie monitorowania losów absolwentów danych (innych dóbr prawnie chronionych)...33 8. Źródła informacji, techniki gromadzenia i metody ich analizy...38 9. Podsumowanie zidentyfikowanych oraz opisanych doświadczeń i rozwiązań...39 10. Ograniczenia (źródła i możliwe typy błędów, ich znaczenie dla wnioskowania i sformułowanych rekomendacji, itp.)...40 Rekomendacje i zalecenia (sugestie)...41 Bibliografia...43

Część I. Streszczenie 1. Cel opracowania Bezpośrednim celem tej części opracowania jest sporządzenie pogłębionej diagnozy uwarunkowań prawnych pozyskiwania i wykorzystywania danych informacyjnych użytecznych w procesie monitorowania losów absolwentów (zasadniczo i pierwotnie danych osobowych w rozumieniu obowiązujących przepisów); ponadto także ewentualnego wykorzystania wizerunku konkretnych osób oraz utworów w rozumieniu prawa autorskiego. Do pozyskiwania i wykorzystywania tych danych Uczelnię zobowiązują postanowienia art. 13a ustawy z 27 lipca 2005 r. Prawo o szkolnictwie wyższym 1 : Uczelnia monitoruje kariery zawodowe swoich absolwentów w celu dostosowania kierunków studiów i programów kształcenia do potrzeb rynku pracy, w szczególności po trzech i pięciu latach od dnia ukończenia studiów. Ze względu na istniejące aktualnie możliwości faktyczne takich działań, najbardziej efektywne jest pozyskiwanie stosownych informacji ze źródeł powszechnie dostępnych, a zwłaszcza z Internetu. Tak więc postawiony w ten sposób skonkretyzowany cel tej części raportu, sprowadza się zasadniczo do oceny zakresu legalności monitorowania losów absolwentów poprzez podejmowanie zamierzonych i skonkretyzowanych czynności Uczelni, mających na celu monitorowanie w Internecie, ich losów. Analiza prowadzona w tej części raportu, zmierza zasadniczo do zbadania zamiaru Uczelni, określonego jako śledzenie losów absolwentów w serwisach społecznościowych; dotyczy to zwłaszcza serwisów takich jak Facebook czy Nasza-Klasa.pl oraz wybranych serwisów dla profesjonalistów. Dodatkowym celem opracowania jest określenie kwalifikacji prawnej efektu działań podejmowanych przez Uczelnię, a będzie nim określony zbiór informacji, który może być kwalifikowany jako odrębne dobro prawne. (Już w tym miejscu można przyjąć, że będzie to baza danych w rozumieniu przepisów prawa autorskiego i uregulowania dotyczącego tzw. baz danych sui generis.). W dalszej kolejności ocena możliwości wykorzystania takiego dobra poza cele wynikające z ustawowego obowiązku monitorowania losów absolwentów, z uwzględnieniem charakteru prawnego Uczelni (tj. szkoły wyższej publicznej) jako uczestnika obrotu; w tym możliwości jego komercjalizacji jako elementu majątku Uczelni. 2. Problem badawczy Opisany w pkt. 1 cel określa problem badawczy tej części raportu. Bezpośredni problem badawczy wynika z zamiaru realizacji monitorowania losów absolwentów przez Uczelnię poprzez korzystanie ze stworzonej w tym celu specjalnej aplikacji, działającej wewnątrz serwisów społecznościowych. W założeniu dostęp do niej miałby charakter dobrowolny i uwzględniałby zasady tzw. polityki prywatności poszczególnych portali. Tak więc zakłada się, co zdaje się być oczywistym w sytuacji podmiotu realizującego zadania publiczne, jakim jest Uczelnia, działania zgodne z prawem powszechnie obowiązującym 1 Tekst jedn. z 2012 r., Dz. U. Nr 572, poz. 742; dalej zwana: PoSW 4

i zasadami określonymi przez regulaminy poszczególnych portali społecznościowych w ramach postanowień ius contractus, warunkujących dostęp do danych udostępnianych na poszczególnych portalach. Stąd też zasadniczo, analiza prowadzona w raporcie, zmierza do oceny wymogów prawnych uzyskania stosownej zgody od konkretnego absolwenta Uczelni w odniesieniu do skonkretyzowanego pakietu informacji w tym, zwłaszcza dotyczących: edukacji, zatrudnienia, miejsce zamieszkania (kraj lub miasto). Ponieważ informacje te dotyczą istotnych interesów osób fizycznych (konkretnych ludzi jako podmiotów prawa), które chronione są jako tzw. dobra prawne (są zdefiniowane przez ustawodawcę jako odrębna kategoria stanowiąca punkt odniesienia zachowań uczestników obrotu i objęte są wyłącznością w zakresie ich korzystania i rozporządzania na rzecz określonego podmiotu) - podstawowym problemem badawczym jest odpowiednie zakwalifikowanie tych informacji do tej kategorii (np. dobra osobiste, dane osobowe itd.) oraz wskazanie uregulowania prawnego jakie znajdzie do nich zastosowanie oraz finalnie, odniesienie tego uregulowania do zamierzonych przez Uczelnię działań. Podstawowy zestaw informacji, które Uczelnia zamierza uzyskać w powiązaniu z imieniem i nazwiskiem identyfikującym absolwenta obejmuje: 1/ wykształcenie, ukończone szkoły, 2/ informacje o miejscu pracy, 3/ informacje o zainteresowaniach i grupach w jakich się udzielają pomoc w dopasowaniu programu lojalnościowego do potrzeb. Tak więc szczegółowa analiza dotyczy kwalifikacji prawnej w przywołanych wyżej aspektach tak określonych, co do zakresu informacji. Konkretnie działania takie mają polegać na wykorzystaniu oficjalnego profilu Uczelni na Facebooku (tzw. fanpage ) poprzez stworzenie zakładki poświęconej aplikacji monitorującej losy absolwentów. Dodatkowo podejmowane byłyby działania w ten sam sposób zachęcające do instalacji takiej aplikacji i weryfikacji danych (np. loteria z nagrodami) oraz niezależnie w innych formach (np. plakaty). Zadaniem analizy jest określenie ich legalności. Ponadto prowadzona w raporcie analiza zmierza do określenia charakteru prawnego oraz wynikających z tego konsekwencji prawnych wyniku działań w postaci zbioru informacji, którego użyteczność wykracza poza cele przywołanego na wstępie art. 13a PoSW. Jak oceniam w kategoriach dóbr prawnych jest to baza danych, do której znajdą zastosowane przepisy dotyczące utworów oraz tzw. baz danych sui generis. I tak określona kategoria prawna powinna być w tym kontekście przedmiotem analizy. Problemem badawczym jest także odniesienie wyników prowadzonej analizy do sytuacji prawnej Uczelni jako podmiotu, do którego znajdują zastosowanie przepisy PoSW, a w efekcie określenie: 1/ na ile Uczelnia może zbierać i administrować danymi absolwentów w kontekście uregulowań prawnych i statutu uczelni (w rozróżnieniu na publiczne i prywatne uczelnie); 2/ jak może je wykorzystywać; 3/ na ile wydatkować własne środki na te cele; 4/ na ile pozyskiwać środki od absolwentów np. za członkostwo w programie dla absolwentów oraz zarabiać na tych usługach. 5

3. Źródła informacji Podstawowym źródłem informacji wykorzystanej w trakcie analizy jaką stanowi ta część raportu, było uregulowanie prawne w postaci aktów przywołanych w treści raportu oraz wskazanych w wykazie bibliograficznym oraz publikacje, zasadniczo naukowe i praktyczne z dziedziny prawa, dotyczące omawianych zagadnień. Ponadto, celem weryfikacji praktycznej sformułowanych ocen, wykorzystane zostały wybrane orzeczenia sądowe zasadniczo powszechnie dostępne na stronach internetowych sądowych oraz prawniczych. Szczegółowy wykaz tych źródeł zawiera wyodrębniona część opracowania oznaczona jako Bibliografia. Ponadto - w niezbędnym zakresie - analizę prawną poprzedziły badania wybranych, a wskazanych w treści opracowania stron internetowych, na których można uzyskać dostęp do portali społecznościowych. Przy czym mając na względzie opisany na wstępie cel tej części raportu działania takie nie wymagały, poza analizą znajdujących się tam informacji, dodatkowych czynności badawczych. 4. Sposób analizy Zastosowane w opracowaniu metody analizy są typowe dla wykładni przepisów obowiązujących (de lege lata) metody dogmatyczne, zmierzające do ustalenia i objaśnienia właściwej normy prawnej w celu powiązania jej z hipotetycznym (objętym zamierzeniami Uczelni) stanem faktycznym. Zasadniczo polegające na wykładni językowej i logicznej prawa pozytywnego. Jak oceniam nie stwarza to istotniejszych wątpliwości, wymagających wprowadzenia do sformułowanych w opracowaniu wniosków istotnych zastrzeżeń. Wynik takiej analizy następnie, w miarę możliwości (o ile istnieją dostępne publicznie rozstrzygnięcia sądowe), weryfikowany był poprzez odniesienie do orzecznictwa sądowego. Raport nie zawiera analiz komparatystycznych i jedynie sygnalizacyjnie (niejako na marginesie rozważań, co zostało w jego treści zaakcentowane) wskazuje na planowane w najbliższej przyszłości rozwiązania modyfikujące aktualny stan prawny. Raport, zgodnie z jego celami, nie zawiera też wniosków de lege ferenda. 5. Podsumowanie zidentyfikowanych oraz opisanych doświadczeń i rozwiązań Ogólnie oceniam, że zamierzone przez Uczelnię działania nie mają znanego szerszego precedensu w działalności szkół wyższych. Ustawowy obowiązek monitorowania losów absolwentów jest stosunkowo nowym obowiązkiem ustawowym w polskim systemie prawa regulującego działalność szkolnictwa wyższego. Jednak nie odbiega to od działań podejmowanych wcześniej przez innych uczestników obrotu prawnego zwłaszcza w celach komercyjnych, ale także w ramach działalności organów i zwłaszcza jednostek publicznych i samorządowych. A w efekcie zamierzone działania Uczelni można odpowiednio odnieść do tych uwarunkowań. Prowadzona w tej części raportu analiza potwierdziła wstępnie przyjęte założenie, że ze względu na dużą intensywność (rygoryzm przepisów w tym zakresie) ochrony prawnej danych osobowych, dopełnienie przez Uczelnię ustawowych publicznoprawnych wymogów przetwarzania danych osobowych, konsumuje jednocześnie wymogi legalizacji korzystania 6

z dóbr osobistych powszechnego prawa cywilnego, chronionych przez uregulowanie prywatnoprawne. W efekcie kwestie z tym związane nie wymagają odrębnych działań ukierunkowanych na tę ostatnią kategorię dóbr prawnych. W praktyce oznacza to konieczność uzyskania zgody na przetwarzanie danych (z uwzględnieniem specyfiki danych wrażliwych), stworzenie narzędzi umożliwiających weryfikację udzielonej zgody oraz dokonanie rejestracji utworzonej bazy danych, zbioru takich danych. W zakresie pozostałych zamierzonych elementów powstającej bazy danych, a więc utworów i wizerunku należy powiązać uzyskanie zgody na wykorzystanie tych dóbr - ze zgodą na przetwarzanie danych osobowych. 6. Wnioski Podstawowym wnioskiem, jest stwierdzenie, że realizacja przez Uczelnię obowiązku ustawowego określonego w art. 13a PoSW w zależności od zamierzonych efektów może być realizowana legalnie na różne sposoby - w tym poprzez pozyskiwanie danych dostępnych na portalach społecznościowych za pośrednictwem specjalnej aplikacji. Jednak, każdy z tych sposobów wymaga zgody konkretnego absolwenta na wykorzystanie (przetwarzanie) pozyskanych przez Uczelnię danych. Nie ma znaczenia, czy dane te zostaną dostarczone wprost przez absolwenta, czy też uzyskane inna drogą przykładowo poprzez automatyczny monitoring portali społecznościowych. Wynika to z uregulowania ustawowego ochrony danych osobowych oraz faktu, że zgoda taka stanowi jednocześnie podstawę legalizacji korzystania z innych związanych z nimi dóbr osobistych, aw efekcie wywołuje podwójny skutek prawny. Ponadto ze zgodą taką należy połączyć legalizację korzystania z wizerunku każdego absolwenta w postaci jego utrwaleń oraz utworów związanych z absolwentami Uczelni. Oświadczenie zawierające stosowną zgodę, które należy w działalności Uczelni uzyskać od każdego absolwenta, powinno uwzględniać zakres zamierzonego przez Uczelnię wykorzystania takich danych i ich elementów, ale także w efekcie spełniać wymogi obowiązujących przepisów. Zasadne jest posłużenie się w tym zakresie metodą polegającą na propozycji uzyskania zgody wariantowo - z uwzględnieniem w jednym oświadczeniu wyboru przez konkretnego absolwenta odrębnej zgody na: 1/ przetwarzanie danych osobowych (tu wydaje się wystarczająca zgoda uzyskana elektronicznie bez wymogu dochowania formy pisemnej); 2/ przetwarzanie danych osobowych wrażliwych (w tym wypadku dodatkowo wymagane jest zapewnienie pozyskania zgody w formie pisemnej); 3/ rozpowszechnianie udostępnionego lub pozyskanego wizerunku absolwenta (tu także przepisy nie wymagają dochowania formy pisemnej); 4/ wykorzystanie utworów udostępnionych lub pozyskanych od konkretnego absolwenta (brak prawnego wymogu dochowania formy pisemnej); 5/ na udział w zaplanowanych przez Uczelnię przedsięwzięciach takich jak konkursy itp. (i tu także wymóg taki nie występuje). Uzyskane informacje, w celu ich właściwego wykorzystania, zarówno dla celów wynikających z art. 13a PoSW, jak i komercjalizacji w sposób przekraczający te cele w kategoriach prawnych - powinny stanowić podstawę stworzenia bazy danych. Zasadniczo dla efektywnego wykorzystania w działalności Uczelni, wystarczające jest aby spełniała ona wymogi bazy danych sui generis, tj. bazy danych w rozumieniu postanowień ustawy z 27 7

lipca 2001 r. o ochronie baz danych 2 ; nie musi spełniać cech utworu będącego zbiorem w rozumieniu art. 3 ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych 3. W obu wypadkach Uczelnia powinna zapewnić sobie nabycie praw majątkowych wyłącznych do tak wyodrębnionego dobra prawnego z zakresu własności intelektualnej, a więc najlepiej w ramach działań własnych pracowników, a na wypadek powierzenia stosownych działań innym podmiotom zapewnieniem w umowie możliwie najszerszego nabycia uprawnień do powstałego w ten sposób dobra. Dotyczy to zwłaszcza ewentualnego oprogramowania komputerowego, które jak należy ocenić będzie stanowiło podstawę budowania oraz zarządzania bazą. Zamierzone przez Uczelnię działania zmierzające do monitorowania losów absolwentów poprzez pozyskiwanie danych z portali społecznościowych, mogą być legalnie podejmowane już na podstawie aktualnie obowiązujących zasad ustawowych i statutowych wiążących Uczelnię. Jeśli jednak zakres korzystania z pozyskanych danych przekroczy funkcje określone w art. 13a PoSW oraz w art. 13 i 14 PoSW i Uczelnia będzie zmierzała do szerszego, gospodarczego wykorzystania pozyskanych danych i innych elementów zawartych w bazie (w tym przy udziale odrębnych prawnie podmiotów), to dodatkowym, koniecznym etapem powinno być podjęcie działań statutowych organów Uczelni, legalizujących takie rozszerzenie korzystania z bazy. Dotychczasowe uregulowanie wewnętrzne Uczelni może okazać się niewystarczające i konieczne będzie podejmowanie dodatkowych działań prawotwórczych i organizacyjnych. 2 Dz. U. Nr 128, poz. 1402 ze zm.; zwana dalej: Ustawą o ochronie baz danych 3 Tekst jedn.: Dz. U. z 2006 r., Nr 90, poz. 631 ze zm.; zwana dalej Prawem autorskim 8

Część II. Opracowanie główne 1. Wprowadzenie Prezentowana część raportu stanowi kolejną, szóstą część pogłębionej diagnozy problemu stanowiącego przedmiot Kuźni Kadr 7. Jest w zamierzeniu opracowaniem dotyczącym oceny - w płaszczyźnie prawnej - korzystania z danych dostępnych na portalach społecznościowych, a zwłaszcza kwalifikacji prawnej działalności wybranych portali, odpowiednio kwalifikacji prawnej dostępnych na nich danych (w tym, zwłaszcza danych osobowych) oraz innych związanych z tym uwarunkowań w tej płaszczyźnie oceny. W efekcie, stanowi komplementarne z nimi uzupełnienie pozostałych elementów, zawartych w raporcie o analizę uwarunkowań prawnych realizacji celów Kuźni Kadr 7. 2. Cel opracowania Bezpośrednim celem tej części opracowania jest sporządzenie pogłębionej diagnozy wskazanych w poprzednim punkcie uwarunkowań prawnych. Zgodnie z art. 13a ustawy z 27 lipca 2005 r. PoSW: Uczelnia monitoruje kariery zawodowe swoich absolwentów w celu dostosowania kierunków studiów i programów kształcenia do potrzeb rynku pracy, w szczególności po trzech i pięciu latach od dnia ukończenia studiów. Ogólny temat raportu zakłada, że raport będzie przydatny dla realizacji celu, jakim jest podniesienie jakości kształcenia i lepsze dostosowanie oferty edukacyjnej Uczelni dla potrzeb rynku, na skutek wypracowania innowacyjnego modelu monitorowania losów absolwentów. Już na wstępie można ocenić, że w płaszczyźnie prawnej prezentowana tu część raportu dotyczy jak to określono uwarunkowań prawnych takich czynności, a ściślej pozyskiwania i wykorzystywania danych, zasadniczo danych osobowych w rozumieniu obowiązujących przepisów (ponadto także wykorzystania wizerunku oraz ewentualnie utworów w rozumieniu prawa autorskiego). W istocie postawiony w ten sposób problem, sprowadza się zasadniczo do oceny zakresu legalności monitorowania losów absolwentów poprzez podejmowanie skonkretyzowanych czynności takiego monitorowania w Internecie. Działanie takie w płaszczyźnie prawnej można jednak postrzegać przynajmniej dwojako. W pierwszym rzędzie - jako zespół czynności faktycznych i prawnych podejmowanych w ramach działalności Uczelni, zmierzających do uzyskania i wykorzystania pożądanych ze względu na założony cel, danych (przekazów informacyjnych) dotyczących absolwentów. Ocena prawna wymaga odniesienia przyjętych przez Uczelnię potencjalnie możliwych zamierzeń do obowiązujących przepisów prawnych w tym zwłaszcza regulujących legalizację korzystania z Internetu w zamierzony sposób. 9

Zbadania wymaga zamiar Uczelni określony jako śledzenie losów absolwentów w serwisach społecznościowych. Wynika to z dużej użyteczności możliwego aktualnie technicznie automatycznego wyszukiwania i zbierania informacji o osobach. Dotyczy to zwłaszcza serwisów społecznościowych takich jak Facebook czy Nasza-Klasa.pl oraz serwisów dla profesjonalistów. Analizy wymaga możliwość korzystania ze stworzonej w tym celu w na zlecenie Uczelni specjalnej aplikacji, działającej wewnątrz takich serwisów. Dostęp miałby charakter dobrowolny, a więc w założeniu w ten sposób nastąpiło by uniknięcie nieautoryzowanego dostępu do danych absolwentów, co ze względu na tzw. politykę prywatności, ale także obowiązki serwisów w tym zakresie, mogłoby prowadzić do blokady podejmowanych działań. W założeniu, Uczelnia pierwotnie proponowałaby konkretnemu użytkownikowi dobrowolne jej zainstalowanie (dodanie do swojego profilu aplikacji uczelnianej) oraz o zgodę na dostęp do określonego pakietu informacji w tym, zwłaszcza dotyczących: edukacji, zatrudnienia, miejsce zamieszkania (kraj lub miasto). Na wypadek braku dostępności tych danych wprost na profilu znajdującym się na portalu przewiduje się prośbę o dodatkowe podanie takich danych, jedynie dla celów Uczelni. Ponadto aplikacja może zawierać prośbę o wypełnienie dodatkowego formularza, co umożliwiłoby uzyskanie jeszcze bardziej szczegółowych danych. Działanie aplikacji polegałoby na systematycznym aktualizowaniu uzyskanych już danych przy udziale absolwentów, którzy dodatkowo proszeni byliby o ich aktualizację. Podstawową ścieżką dotarcia do absolwentów byłby oficjalny profil Uczelni na Facebooku (tzw. fanpage ). Można na takiej stronie stworzyć zakładkę poświęconą tej aplikacji, której treść zawierałaby zachętę do jej instalacji, a dodatkowo zachęte do weryfikacji danych. Rozważa się m. in. loterię z nagrodami, dostęp do dodatkowych informacji na temat uczelni (zakładając, że byliby tym zainteresowani) lub inny (przykładowo stworzenie sieci absolwentów uczelni, którzy mogliby wymieniać się swoimi doświadczeniami z rynku pracy lub wspomagać wspólne prace biznesowe). Ponadto niezależnie od tego rozważa się prowadzenie działalności zachęcającej w innych formach oddziaływania dostępnych Uczelni (plakaty, event np. na ekonomaliach), które promowałyby stronę uczelni na Facebooku zacieśniając więź studenta z uczelnią. Przy czym należy w tym miejscu zastrzec, że raport w tej części może pominąć takie ogólne i zasadniczo oczywiste kwestie, jak przykładowo dopuszczalność podejmowania działalności przez Uczelnię w Internecie, czy też opis działań zmierzających do wdrożenia takiej działalności. Wynika to z tego, że działania takie są już realizowane (np. w sieci funkcjonuje stosunkowo rozbudowana strona Uczelni pod adresem: http://www.ue.wroc.pl/), a więc kwestie z tym związane nie wymagają dodatkowych ocen. Raport zakłada, że w jego wyniku może pojawić się jednak wskazanie możliwego wykorzystania istniejących już narzędzi w tym zakresie, będących w dyspozycji Uczelni. Istotne dla oceny prawnej, są uwarunkowania prawne zamierzonego, skonkretyzowanego wykorzystania tych narzędzi. Po drugie, analizowany problem obejmuje też korzystanie przez Uczelnię z uzyskanych na skutek realizacji takich czynności danych (przekazów informacyjnych), a więc wymaga także oceny prawnej ich charakteru jako dóbr prawnych. Jest to konieczne ze względu na zróżnicowany zakres ich ochrony i tym samym odmienności uwarunkowań prawnych związanych ze skonkretyzowanym korzystaniem z określonego dobra prawnego. Zróżnicowane takie dotyczy w praktyce także poszczególnych kategorii takich dóbr, np. w obrębie kategorii dane osobowe ustawodawca wyróżnia ich szczególnie uregulowaną postać dane wrażliwe. Tak więc dokonana w ten sposób kwalifikacja prawna ma stanowić podstawę do określenia zakresu dopuszczalnego przez przepisy, wykorzystania konkretnego, 10

uzyskanego przez Uczelnię, przekazu dotyczącego jej absolwenta. Podstawowy zestaw informacji, które Uczelnia pragnie uzyskać to w powiązaniu z imieniem i nazwiskiem identyfikującym absolwenta: 1/ wykształcenie, ukończone szkoły, 2/ informacje o miejscu pracy, 3/ informacje o zainteresowaniach i grupach w jakich się udzielają pomoc w dopasowaniu programu lojalnościowego do potrzeb. Ponadto też analizowane zagadnienie wiąże się bezpośrednio z charakterem finalnego efektu gromadzonych przez Uczelnię danych. Jest raczej oczywistym, że jako narzędzie realizacji zamierzonego celu będzie też stanowiło, jako wyodrębnione dobro prawne, konkretną kategorię prawną, w stosunku do której Uczelnia, na wynikających z uregulowań prawnych zasadach, nabywa określony zakres wyłączności w zakresie korzystania z niej i rozporządzania nabytymi prawami. Już wstępnie można ocenić, że będzie to baza danych, a dostęp do zawartych w niej danych może być wprost powiązany z zamierzonymi efektami jej wykorzystania. Oceniam, że baza danych zawierająca dane oraz inne przekazy uzyskane od monitorowanych absolwentów, wydaje się też optymalnym, w płaszczyźnie prawnej, narzędziem realizacji ogólnych celów stanowiących przedmiot niniejszego raportu. Tak więc prowadzona tu analiza może zostać oparta na uwarunkowaniach wyznaczonych przez regulację prawną tak skonkretyzowanego zasobu danych (bazie danych), które mogą być następnie wykorzystywane dla wskazanych na wstępie działań zmierzających wprost do podniesienia jakości kształcenia i lepszego dostosowania oferty edukacyjnej Uczelni do potrzeb rynku. Pojęcie to posłuży w efekcie za metodę spinająca logicznie prowadzoną analizę. Raport w części prawnej będzie też próbą odpowiedzi na dalsze związane z analizowanym problemem pytania, dotyczące zasadniczo uregulowań statutowych Uczelni: 1/ na ile uczelnia może zbierać i administrować danymi absolwentów w kontekście uregulowań prawnych i statutu uczelni; 2/ jak może je wykorzystywać; 3/ na ile wydatkować własne środki na te cele; 4/ na ile pozyskiwać fundusze od absolwentów np. za członkostwo w programie dla absolwentów. I zarabiać na tych usługach. 11

3. Problem badawczy 3.1. Wprowadzenie Mając na względzie opisany powyżej cel opracowania, pierwotnym problemem badawczym jest analiza konstrukcji bazy danych jako narzędzia prawnego, realizacji zamierzonego przez Kuźnię Kadr 7 celu tego raportu. W efekcie pogłębiona analiza tego problemu dotyczyć będzie elementów zawartości takiej bazy danych (w tym danych kwalifikowanych prawnie jako: dane osobowe, wizerunek, utwory, dobra osobiste absolwentów), a na koniec uwarunkowań prawnych sposobów ich faktycznego pozyskiwania w celu umieszczenia w bazie oraz wykorzystania dla realizacji zamierzonego przez Uczelnię celu. Prowadzona analiza będzie polegała na przedstawieniu uregulowania ogólnego, a następnie odniesieniu go do skonkretyzowanego, założonego wstępnie stanu faktycznego, przy uwzględnieniu wybranych ocen doktrynalnych i judykacyjnych. 3.2. Baza danych jako forma gromadzenia i korzystania z danych uzyskanych na skutek monitorowania losów absolwentów Uczelni - uregulowanie ogólne Aktualnie bazy danych mające cechy utworów są uregulowane przez przepisy Prawa autorskiego, a tzw. bazy danych sui generis (czyli nie posiadające cech utworów) przez przepisy Ustawy o ochronie baz danych. Można też dodać, że przepisy te w pewnym sensie są komplementarne względem siebie Prawo autorskie statuuję ochronę prawną tych elementów baz danych, jakie mają charakter twórczy, natomiast Ustawa o ochronie baz danych dotyczy korzystania z elementów decydujących o użyteczności bazy danych i uzupełnia ochronę prawną, obejmując nią także te spośród nich, które nie są chronione przez Prawo autorskie. Baza danych w ujęciu prawa autorskiego stanowi odrębny rodzaj utworów tzw. utwór będący zbiorem. Zgodnie z art. 3 Prawa autorskiego ochroną objęte są zbiory utworów (np. antologie, wybory, bazy danych), jeśli przyjęty w nich dobór, układ lub zestawienie ma charakter twórczy. Tak więc charakter prawny zawartości bazy danych jest dla powstania tej ochrony zasadniczo obojętny. Istotne jest jednak, w kontekście celu tego raportu, że rozporządzanie i korzystanie z bazy danych, będącej utworem, musi uwzględniać uprawnienia podmiotów uprawnionych do umieszczonych w bazie danych elementów; samo ich włączenie do takiego zbioru nie prowadzi do wygaszenia ich ochrony, która może wynikać z Prawa autorskiego (jeśli są to utwory), ale także przepisów prywatnoprawnych i publicznoprawnych, chroniących dobra osobiste (tu zwłaszcza dotyczy to prywatności, czy też imienia nazwiska itp.). W efekcie posługiwanie się taką bazą wymaga uwzględnienia tego uwarunkowania i to zarówno na etapie jej tworzenia (zasadniczo w zakresie ochrony danych osobowych), jak i wykorzystywania. W praktyce uzasadnia to prowadzenie analizy mającej na celu ustalenie, które z takich elementów stanowią element domeny publicznej, a w efekcie brak jest reglamentacji prawnej ograniczającej zamierzone przez Uczelnię ich wykorzystanie, a które z nich objęte są ochroną prawną reglamentującą ich wykorzystanie co w dalszej konsekwencji uzasadnia analizę tej regulacji. Zgodnie z art. 2 ust. 1 pkt. 1/ Ustawy o ochronie baz danych, baza danych w rozumieniu tej ustawy, to zbiór danych lub jakichkolwiek innych materiałów 12

i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości. Natomiast zgodnie z art. 1 Ustawy o ochronie baz danych, podlegają one ochronie określonej w tej ustawie. Niezależnie od ochrony przyznanej na podstawie Prawa autorskiego - bazom danych spełniającym cechy utworu. Oznacza to, że przynajmniej w takim zakresie baza jest chroniona prawnie. Zgodnie z art. 4 Ustawy o ochronie baz danych, ochrona nie obejmuje programów komputerowych użytych do sporządzenia baz danych lub korzystania z nich, a ponadto zgodnie z art. 13 tej Ustawy - prawo do bazy danych nie narusza ochrony treści bazy danych udzielanej na podstawie Prawa autorskiego lub ochrony jakichkolwiek składających się na bazę danych elementów, udzielanej na podstawie przepisów o wynalazkach, znakach towarowych, wzorach przemysłowych, oznaczeniach pochodzenia, zwalczaniu nieuczciwej konkurencji, tajemnicy prawnie chronionej, ochronie informacji niejawnych, ochronie danych osobowych, a także prawa cywilnego i prawa pracy. Co bezpośrednio koresponduje z przywołanym powyżej uregulowaniem art. 3 Prawa autorskiego, a więc niezależnie od charakteru twórczego, czy też sui generis konkretnej bazy, korzystanie z elementów ją tworzących wymaga uwzględnienia wskazanych na wstępie uwarunkowań prawnych, jak widać bardzo szeroko zakreślonych przez ustawodawcę. W efekcie, całościowa analiza wymaga konkretyzacji, poprzez odniesienie jej do dających się określić potencjalnych, zamierzonych przez Uczelnię działań na tle określenia ogólnych uwarunkowań prawnych. I tak postawiony problem badawczy będzie realizowany w tej części raportu. Wstępnie też należy ocenić, że przy założeniu, iż przedmiotowym w niniejszym protokole efektem monitorowania losów absolwentów, będą dane gromadzone w ramach działalności własnej Uczelni, nie powinien powstać problem nabycia praw do takiego zbioru jako odrębnego dobra prawnego. Wynika to zasadniczo z uregulowania tzw. twórczości pracowniczej, zawartej w art. 12 i n. Prawa autorskiego. W odniesieniu do baz niebędących utworami prawa do nich nabywa ich producent. Jest to wyłączne i zbywalne prawo pobierania danych i wtórnego ich wykorzystania w całości lub w istotnej części, co do jakości lub ilości (art. 6 ust. 1 Ustawy o ochronie baz danych). Kwestią istotną prawnie będzie jednak zapewnienie sobie możliwości korzystania z oprogramowania komputerowego, które jak należy założyć będzie niezbędne dla prawidłowego korzystania z bazy. Wynika to z tego, że zgodnie z art. 77 2 Prawa autorskiego - ochrona przyznana bazom danych spełniającym cechy utworu nie obejmuje programów komputerowych używanych do sporządzenia lub obsługi baz danych dostępnych przy pomocy środków elektronicznych i odpowiednio, zgodnie z art. 4 Ustawy o ochronie baz danych - ochrona przyznana bazom danych nie obejmuje programów komputerowych użytych do sporządzenia baz danych lub korzystania z nich. W praktyce oznacza to przyjęcie zasady rozdzielenia tych dóbr i przyjęcia różnych systemów ochrony baz danych oraz wykorzystywanych do zbierania danych i obsługi konkretnej bazy 4. Jeśli program wykorzystywany przez Uczelnię nie będzie wynikiem twórczości pracowniczej, a zleceniem zrealizowanym przez odrębny podmiot, istotne jest w umowie z takim podmiotem zawartej (zwykle zawiera się w tym celu umowy licencyjne) zabezpieczenie interesu Uczelni na wypadek konieczności dostosowania takiego oprogramowania do zmiany bazy, jakie pojawią się w związku z jej powiększeniem lub zmianą jej pierwotnych funkcji. Skoro bowiem jest to odrębne dobro prawne, to korzystanie z niego musi uwzględniać uprawnienia przysługujące aktualnemu podmiotowi praw wyłącznych. Prawo do zmiany programu stanowi bowiem 4 Tak J. Barta i R. Markiewicz, Ustawa o ochronie baz danych. Komentarz, Warszawa 2002, s. 94-95 13

zgodnie z art. 74 ust. 4 pkt 2/ Prawa autorskiego element treści autorskich praw do programu komputerowego. W efekcie należy rozważyć tu dwie możliwości. W pierwszym rzędzie nabycie takich praw na okres korzystania z bazy (w praktyce najpewniejszym rozwiązaniem jest nabycie tych praw na cały okres ustawowej ochrony konkretnego programu), co pozwoli w razie konieczności zlecić dokonanie stosownych czynności dowolnemu podmiotowi (np. pracownikom Uczelni). A jeśli to okaże się niemożliwe, to wprowadzenie do umowy licencyjnej odpowiednich klauzul, które zabezpieczą w tym zakresie interes Uczelni, a dodatkowo utrwalą stosunek poza okres przewidziany w art. 68 ust. 2 Prawa autorskiego, który stanowi, że licencję udzieloną na okres dłuższy niż pięć lat uważa się, po upływie tego terminu, za udzieloną na czas nieoznaczony. Zwykle stosowana w tym zakresie metoda polega na dodatkowym uzależnieniu realizacji takich uprawnień, np. od kary umownej rekompensującej licencjobiorcy (tu Uczelni) ewentualne skutki wypowiedzenia umowy przez licencjodawcę. Zgodnie z art. 10 Ustawy o ochronie baz danych, czas trwania ochrony bazy danych liczy się od jej sporządzenia przez okres 15 lat następujących po roku, w którym baza danych została sporządzona; jeżeli w okresie tym, baza danych została w jakikolwiek sposób udostępniona publicznie, okres jej ochrony wygasa z upływem piętnastu lat następujących po roku, w którym doszło do jej udostępnienia po raz pierwszy. W przypadku jakiejkolwiek istotnej zmiany treści bazy danych, co do jakości lub ilości, w tym jej uzupełnienia, zmiany lub usunięcia jej części, mających znamiona nowego istotnego, co do jakości lub ilości, nakładu, okres jej ochrony liczy się odrębnie. Producentem bazy danych jest osoba fizyczna, prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która ponosi ryzyko nakładu inwestycyjnego przy tworzeniu bazy danych (art. 2 ust. 1 pkt. 4/ Ustawy o ochronie baz danych), a więc w praktyce będzie to również Uczelnia. Pobieranie danych oznacza stałe lub czasowe przejęcie lub przeniesienie całości lub istotnej, co do jakości lub ilości, części zawartości bazy danych na inny nośnik, bez względu na sposób lub formę tego przejęcia lub przeniesienia, z zastrzeżeniem, iż wypożyczenie baz danych nie stanowi pobierania danych lub wtórnego ich wykorzystania (art. 2 ust. 1 pkt. 2/ w zw. z art. 3 Ustawy o ochronie baz danych). Wtórne wykorzystanie oznacza publiczne udostępnienie bazy danych w dowolnej formie, a w szczególności poprzez rozpowszechnianie, bezpośrednie przekazywanie lub najem, z tym samym zastrzeżeniem (art. 2 ust. 1 pkt. 3/ w zw. z art. 3 Ustawy o ochronie baz danych). Ustawa określa szczegółowo ograniczenia prawa do bazy danych, kwestie te nie łączą się bezpośrednio z celami protokołu, mogą więc być pominięte (por. art. 7 ust. 1 i 2 Ustawy o ochronie baz danych). Zgodnie z art. 8 Ustawy o ochronie baz danych, wolno korzystać z istotnej, co do jakości lub ilości, części rozpowszechnionej bazy danych: do własnego użytku osobistego, ale tylko z zawartości nieelektronicznej bazy danych, w charakterze ilustracji, w celach dydaktycznych lub badawczych, ze wskazaniem źródła, jeżeli takie korzystanie jest uzasadnione niekomercyjnym celem, dla którego wykorzystano bazę, do celów bezpieczeństwa wewnętrznego, postępowania sądowego lub administracyjnego. Nie jest natomiast dozwolone powtarzające się i systematyczne pobieranie lub wtórne wykorzystanie sprzeczne z normalnym korzystaniem i powodujące nieusprawiedliwione naruszenie słusznych interesów producenta. Ochrona baz danych objętych regulacją wzorowana jest na uregulowaniu art. 79 i 80 Prawa autorskiego i uregulowana jest w art. 11 i 11a Ustawy o ochronie baz danych. 14

Reasumując, przedstawiona powyżej ogólnie regulacja, wskazuje na celowość posłużenia się konstrukcją bazy danych, jako podstawą prawną do posługiwania się zawartością zgromadzonych celem monitorowania losów absolwentów Uczelni danych. Jest to rozwiązanie prawnie optymalne, pozwala nie tylko ukształtować dowolnie funkcje użytkowe bazy, ale stanowi podstawę skonkretyzowanej w postaci jednolitego dobra prawnego ochrony i określić potencjalne możliwości korzystania z takiego przedmiotu. W tej ostatniej kwestii należy odnieść się do uregulowań ustawowych, które stanowią podstawę do podjęcia przez Uczelnię działań zmierzających do stworzenia takiej bazy. 3.3. Podstawy prawne i charakter działalności Uczelni polegającej na monitorowaniu losów absolwentów Zgodnie z art. 13a Prawa o szkolnictwie wyższym, uczelnia monitoruje kariery zawodowe swoich absolwentów w celu dostosowania kierunków studiów i programów kształcenia do potrzeb rynku pracy, w szczególności po trzech i pięciu latach od dnia ukończenia studiów. Uregulowanie to stanowi podstawę do konstruowania obowiązku Uczelni polegającego na podejmowaniu działań, których dotyczy niniejszy raport. Jednocześnie dla celów niniejszej opinii istotne jest określenie charakteru Uczelni jako podmiotu podejmującego takie działania w odniesieniu do innych uczestników obrotu prawnego. Podstawowe znaczenie ma tu zwłaszcza podział uczestników obrotu na podmioty gospodarcze i niegospodarcze. Zgodnie z art. 4 Prawa o szkolnictwie wyższym, uczelnia jest autonomiczna we wszystkich obszarach swojego działania na zasadach określonych w ustawie (ust. 1), kieruje się zasadami wolności nauczania, badań naukowych i twórczości artystycznej (ust. 2), pełniąc misję odkrywania i przekazywania prawdy poprzez prowadzenie badań i kształcenie studentów, stanowi integralną część narodowego systemu edukacji i nauki (ust. 3), współpracuje z otoczeniem społeczno-gospodarczym, w szczególności w zakresie prowadzenia badań naukowych i prac rozwojowych na rzecz podmiotów gospodarczych, w wyodrębnionych formach działalności, w tym w drodze utworzenia spółki celowej, o której mowa w art. 86a, a także przez udział przedstawicieli pracodawców w opracowywaniu programów kształcenia i w procesie dydaktycznym (ust. 4), a organy administracji rządowej i organy jednostek samorządu terytorialnego mogą podejmować decyzje dotyczące uczelni tylko w przypadkach przewidzianych w ustawach (ust. 5). Zadania Uczelni określa art. 13 i 14 Prawa o szkolnictwie wyższym. Natomiast przepis art. 7 Prawa o szkolnictwie wyższym, stanowi, iż uczelnia może prowadzić działalność gospodarczą wyodrębnioną organizacyjnie i finansowo od działalności, o której mowa w art. 13 i 14, w zakresie i formach określonych w statucie. Jak z tego wynika charakter prowadzonej przez Uczelnię działalności jest złożony, jeśli mieści się w zakresie zadań określonych w art. 13 i 14 można go określić jako niegospodarczy, natomiast poza tym zakresem może mieć charakter gospodarczy. Ustawodawca nie odnosi się wprost w tym kontekście do obowiązku wynikającego z art. 13a. W efekcie pojawia się problem oceny charakteru działalności, zmierzającej do realizacji tego obowiązku według przywołanych tu kryteriów. Umiejscowienie tego przepisu może wskazywać, ze jest on ściśle powiązany z realizacją zadań określonych w art. 13, a tym samym nie ma charakteru gospodarczego. Jednocześnie jednak przepis ten nie określa ściśle form w jakich ma być realizowane monitorowanie losów absolwentów, a szczególności nie odnosi się do możliwości prowadzenia takiej działalności przy wykorzystaniu danych 15

znajdujących się na portalach społecznościowych. Nie można więc w efekcie wykluczyć, że konkretnie podejmowane działania będą miały charakter gospodarczy. Oznacza to, że Uczelnia prowadząc stosowną działalność musi uwzględniać uwarunkowania prawne, wyznaczające legalność podejmowanych przez nią działań, wynikające z uregulowania szczególnego dotyczącego korzystania z takich form prowadzenia monitoringu. Tu konkretnej oznacza to, że uregulowanie Prawa o szkolnictwie wyższym nie wyłącza obowiązywania zasad ochrony danych osobowych, wizerunku, dóbr osobistych oraz utworów wynikających z uregulowania ogólnego. Natomiast istnienie ustawowego obowiązku monitorowania losów absolwentów może mieć znaczenie, w takim zakresie w jakim przywołane przepisy wprowadzają szczególne uregulowanie, w powiązaniu z tego rodzaju działalnością; np. poprzez liberalizację zasad ustawowych dotyczących realizacji takich obowiązków w stosunku do działań podmiotów, które nie wykonują analogicznych obowiązków ustawowych. Należy też dodać, że GIODO w piśmie z 22 sierpnia 2011 r. (sygn. DOLiS-033-2410/11) skierowanym do Minister Nauki i Szkolnictwa Wyższego wyraził opinię, że z treści art. 13a PrSzkWyż wynika jedynie, że uczelnia monitoruje kariery zawodowe swoich absolwentów w celu dostosowania kierunków studiów i programów kształcenia do potrzeb rynku pracy, w szczególności po trzech i pięciu latach od dnia ukończenia studiów, a w efekcie brak jest podstaw prawnych do oceny, iż jest to podstawa dla uczelni oraz podmiotów z nią związanych (działających na jej zlecenie) do kierowania zapytań, czy wniosków o udostępnienie danych absolwentów wyższej uczelni oraz innych danych umożliwiających dokumentowanie karier zawodowych absolwentów. Przepis ten nakłada na adresatów (uczelnie) obowiązek gromadzenia informacji o karierach zawodowych absolwentów jedynie w oparciu o działania zgodne z prawem. Nie jest to także wystarczająca podstawa prawna do pozyskiwania przez uczelnie od swoich absolwentów informacji o ich karierach zawodowych; w tym zakresie wymagana jest ich zgoda. *** I taka ogólna ocena stanowić będzie punkt wyjścia do prowadzonej w raporcie analizy. 3.4. Ogólna charakterystyka portali społecznościowych w płaszczyźnie prawnej W analizowanych w tym raporcie przepisach, nie funkcjonuje prawna definicja serwisu społecznościowego. Można przyjąć, że pod pojęciem tym rozumie się platformę, na której użytkownicy oprócz przeglądania treści mogą umieszczać własne informacje, komunikaty, zdjęcia i komunikować się z innymi użytkownikami 5. Przywołana tu autorka powołaniem na opinię 5/2009 Grupy Roboczej Art. 29 6 podaje następującą definicję portalu społecznościowego (nazywanego w niej sieciowym serwisem społecznościowym ): platforma komunikacyjna online umożliwiająca osobom fizycznym przystępowanie do tworzenia lub tworzenie sieci użytkowników o wspólnych upodobaniach. 5 Tak M. Brzozowska, Ochrona danych osobowych w sieci, Wrocław 2012, s. 235 6 Dalej cytuję pośrednio za tamże, s. 235: Opinia 5/2009 w spranie portali statecznościowych (WP 163) Grupy Roboczej Art. 29 przyjęta 12 czerwca 2009 r. http://wwv.giodo.gov.pl/1520022/id_art/29885/j/pl/ [onlnie: 27.03.2012] 16

W opinii 5/2009 stwierdzono, że cechami portalu społecznościowego są m.in.: 1) tworzenie tzw. profilu użytkownika (tj. opisu danej osoby - z wykorzystaniem zarówno tekstu, jak i innych komunikatów, w szczególności zdjęć, plików multimedialnych, odesłań do innych stron itp.); 2) tworzenie sieci znajomych - osób lub podmiotów, które tworzą sieć kontaktów towarzyskich; 3) tworzenie możliwości porozumiewania się online ze wszystkimi znajomymi. 7 Mając to na względzie należy, bez pogłębionej analizy przyjąć, że wszystkie wskazane powyżej, a analizowane w raporcie platformy posiadają te cechy, a w efekcie prowadzone tu rozważania nie wymagają odrębnej analizy każdej z nich. Jak już wskazano powyżej podstawowy zestaw informacji, które Uczelnia pragnie uzyskać to w powiązaniu z imieniem i nazwiskiem identyfikującym absolwenta: 1/ wykształcenie, ukończone szkoły, 2/ informacje o miejscu pracy, 3/ informacje o zainteresowaniach i grupach w jakich się udzielają pomoc w dopasowaniu programu lojalnościowego do potrzeb. Są to dane ściśle związane z określoną osobą, stąd już na wstępie, odnosząc to do płaszczyzny prawnej należy je zakwalifikować jako dane osobowe. Dane takie Uczelnia chce pozyskiwać m. in. z portali społecznościowych. Dlatego w pierwszej kolejności należy zająć się właśnie tą kategorią jako przedmiotem ochrony prawa. 3.5. Dane osobowe - ogólne zasady ochrony Dane osobowe jako dobro prawne postrzega się jako element szerszego dobra, a mianowicie prywatności. Prywatność prawnie, kwalifikowana jest przede wszystkim jako dobro osobiste uregulowane przez prawo prywatne zasadniczo zdefiniowane przez postanowienia art. 23 KC. Ochrona oparta jest przede wszystkim o instrumenty chroniące bezwzględne prawa podmiotowe prawa cywilnego przed nieuprawnioną ingerencją w objętą nimi sferę wyłączności konkretnego podmiotu. Realizowane jest to przede wszystkim poprzez roszczenia określone w art. 24 KC. Jak wskazuje się w literaturze, swoistą słabością tej regulacji jest tryb jej realizacji, który wymaga każdorazowo wykazania w postępowaniu sądowym, przynajmniej zagrożenia naruszenia tych dóbr, a w efekcie ochrona ta bywa niejednokrotnie realizowana zbyt późno w stosunku do rzeczywistych potrzeb. Jednocześnie jednak dane osobowe chronione są także przez instrumenty publicznoprawne na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych 8. Można też dodać, że uregulowanie to realizuje zasady konstytucyjne wynikające z art. 47 Konstytucji z 1997 r., który stanowi gwarancję prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym oraz art. 51 Konstytucji, który zawiera określenie gwarancji ustawowych ochrony danych osobowych dotyczy to praw: 1/ do samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji; 2/ do sprawowania kontroli nad informacjami na swój temat, gwarantowane prawem dostępu do dotyczących jej urzędowych dokumentów i zbiorów danych; 3/ do weryfikowania lub żądania usunięcia danych osobowych. Wydana na tej podstawie, regulacja publicznoprawna w zgodzie z tymi zasadami, nie 7 Tamże 8 Tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z zm.; dalej powoływanej jako: Ustawa o ochronie danych osobowych 17

tylko służy ochronie pasywnej prywatności, ale dodatkowo pozwala na aktywne decydowanie przez konkretną jednostkę o zakresie przekazywanych innym podmiotom danych objętych sferą jej prywatności. W istocie dane te stanowią pewien wycinek informacji związanych z określonym podmiotem, a tym samym można je określić za wypowiedziami doktryny jako prywatność informacyjną chronioną prawnie poprzez zagwarantowanie konkretnemu uczestnikowi obrotu kontroli ich treści (w znaczeniu zakresu przekazu informacyjnego) oraz dodatkowo ich wykorzystania w obrocie (w znaczeniu zakresu i form obiegu przekazu informacyjnego, który dane te zawiera), a także ich zmiany 9. Ustawodawca konstruuje w tym zakresie jako podstawę legalizacji ingerencji w tą sferę, szereg obowiązków zmierzających do faktycznego ujawnienia woli skonkretyzowanej osoby, której działania podejmowane w obrocie przez inne podmioty, dotyczą. Stan taki wpływa zasadniczo na możliwości prowadzenia przez Uczelnię stosownych działań stanowiących przedmiot niniejszego raportu. I w pewnym stopniu wskazuje na kierunek prowadzonej tu analizy. W istocie bowiem działania podejmowane przez Uczelnię w pierwszym rzędzie powinny uwzględniać przede wszystkim, przywołaną tu regulacją publicznoprawną, która wyznacza ramy legalności zarówno zakresu pozyskiwanych danych, jak i bezpośrednio wpływa na legalność sposobu ich wykorzystania. Jak należy ocenić naruszenie tych zasad będzie każdorazowo skutkowało dodatkowo i niejako automatycznie powstaniem odpowiedzialności prywatnoprawnej, będącej wynikiem naruszenia prywatności. A odpowiednio (a contrario), stosowanie się do tych zasad, gwarantuje zapewnienie legalności działań, które mogą być kwalifikowane jako ingerencja w dobra osobiste (prywatność) chronione przez prawa podmiotowe prywatne prawa osobiste. Tu bowiem obowiązuje zasada, że legalizacja ingerencji w sferę prawnie chronioną uzależniona jest przede wszystkim od zgody podmiotu chronionego. W efekcie podstawowym dla celów niniejszego raportu zagadnieniem jest określenie pojęcia dane osobowe, a następnie odniesienie go do zamierzonych przez Uczelnię działań. 3.6. Pojęcie prawne danych osobowych Prawne pojęcie danych osobowych wynika z uregulowania zawartego w art. 6 Ustawy o ochronie danych osobowych: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W pierwszym rzędzie jest to przekaz informacyjny, a więc można przyjąć, że są to dane, które dotyczą pewnego modelu, stanowiącego wybrany wycinek świata (zarówno z jego realnymi, jak i nierealnymi obiektami, relacjami, itp.) i jednocześnie model ten utrwalają, opisują (można powiedzieć, że de facto dany model właśnie tworzą, konstytuują) z punktu widzenia danej osoby (będącej użytkownikiem danych) i ze względu na określony cel 10. W efekcie już na wstępie należy przyjąć, że omawiane tu pojęcie prawne danych osobowych jest szerokie i obejmuje potencjalnie każda kategorię danych również bez względu na sposób ich utrwalenia. Odnosząc to do celów raportu należy uznać, że nie da się a priori wyłączyć jakikolwiek rodzaju informacji, dostępnych w przekazie internetowym, poprzez 9 Por. w tym zakresie m. in. A. Mednis, Ochrona prawna danych osobowych a zagrożenie prywatności, w: Ochrona danych osobowych (red. M. Wyrzykowski, Warszawa 1999, s. 167 oraz P. Litwiński, Publicznoprawna ochrona danych osobowych jako środek ochrony prywatności, w: Dobra osobiste w XXI wieku. Nowe wartości, zasady, technologie (red. J. Balcarczyk), Warszawa 2012, s. 508 10 Tak R. Cisek, J. Jezioro, A. Wiebe, Dobra i usługi informacyjne w obrocie gospodarczym, Warszawa 2005, s. 19 18

uznanie, że nie są informacją, stanowiącą dane osobowe. Skonkretyzowany przekaz informacyjny musi dotyczyć konkretnej osoby fizycznej. Określenie to jest pojęciem objętym regulacją KC (por. zwłaszcza art. 1 oraz 8 24) i odnosi się do człowieka występującego w obrocie prawnym (dopuszczonym do obrotu). Przepisy te zasadniczo regulują zdolność prawną i zdolność do czynności prawnej oraz pojęcie i ochronę dóbr osobistych. Nie powinno być wątpliwości, że dotyczą w tym znaczeniu przede wszystkim osób żywych osoby zmarłe bowiem nie posiadają przynajmniej dwóch pierwszych z wymienionych tu atrybutów. Stąd też przyjmuje się, że Ustawa o ochronie danych osobowych dotyczy w zakresie podmiotowym ochrony danych osób żyjących; szerzej nie obejmuje też odmiennej podmiotowości prywatnoprawnej osób prawnych (art. 33 KC) oraz ułomnych osób prawnych (por. art. 33 1 KC) 11. Ostatnim elementem definicji ustawowej danych osobowych jest możliwość powiązania konkretnego przekazu informacyjnego ze skonkretyzowaną (możliwą do identyfikacji w rozumieniu art. 6 ust. 2 Ustawy o ochronie danych osobowych) osobą. A więc osobą, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Nie ulega wątpliwości, że dotyczy to wprost osób znanych adresatowi tych norm ( administratorowi danych ). Administrator danych powinien mieć obiektywną możliwość powiązania konkretnej informacji z także konkretną osobą, bez konieczności podejmowania jakichkolwiek innych działań składających się na proces ustalania tożsamości 12. Definicja ta nie wymaga jednak aby nastąpiło ustalenie podstawowych danych tejże osoby 13. Wskazane tu elementy definicji ustawowej wyznaczają ramy badania pierwszego z wymagających analizy pojęcia danych osobowych. I w dalszej kolejności zostaną odniesione do skonkretyzowanych działań podejmowanych przez Uczelnię. Przy czym już wstępnie można założyć, że monitorowanie losów absolwentów Uczelni będzie wymagało zasadniczo przetwarzania danych osobowych w ujęciu ustawowym, skoro musi pierwotnie polegać na wyodrębnieniu z szerokiej grupy uczestników portali społecznościowych, tych z nich, którzy są absolwentami Uczelni. A w efekcie tak określona informacja ( los absolwenta ) ma swoją użyteczność dla Uczelni jedynie wtedy, kiedy powiąże się ją poprzez weryfikację konkretyzującą z określoną osobą fizyczną. 3.7. Charakter prawny Uczelni jako podmiotu korzystającego z danych zamieszczonych w portalach społecznościowych W tej części raportu należy odpowiedzieć też na pytanie w jakim charakterze Uczelnia będzie korzystała z danych znajdujących się na portalach społecznościowych, a w szczególności, czy jej status prawny należy określić jako status administratora danych w rozumieniu Ustawy o ochronie danych osobowych. Zwykle przyjmuje się, że e administratorem danych jest przede wszystkim dostawca konkretnego portalu, ale status ten przypisuje się także dostawcy skonkretyzowanej aplikacji znajdującej się na portalu. Odnosząc to do opisanego na wstępie zamiaru wykorzystania danych z portali do monitorowania losów absolwentów, tak właśnie należy określić status 11 Tak m. in. P. Litwiński, Publicznoprawna..., s. 510 i powołane tam pozycje 12 Tamże 13 Tamże, s. 511 19

prawny Uczelni skoro podmiot ten zapewnia środki do przetwarzania danych, a także planuje świadczenie określonych usług związanych z zarządzaniem kontem (profilem). W przeciwieństwie do innych użytkowników (tzw. osoby zainteresowane ), którzy podejmują działania o charakterze prywatnym. Wydaje się, że dla takiej kwalifikacji nie ma znaczenia niegospodarczy charakter podejmowanej działalności, za to istotne jest uzyskanie korzyści w postaci pozyskania danych z zamiarem wykorzystania ich do statutowej działalności w postaci bazy danych. W efekcie w stosunku do osób, które skorzystają z zamieszczonej na portalu aplikacji pojawia się szereg obowiązków ustawowych, ciążących na Uczelni, takich jak konieczność legalizacji przetwarzania danych, dopełnienia obowiązków informacyjnych oraz rejestracyjnych. Ponadto przynajmniej sygnalizacyjnie, należy wskazać na ograniczenia związane z rodzajem administrowanych danych w kontekście funkcji generowanych przez aplikację Uczelni. Przy założeniu, że będą to dane podawane przez konkretnego użytkownika w trakcie korzystania z aplikacji zastosowanie znajdzie art. 7 pkt. 4/ Ustawy o ochronie danych osobowych, a więc Uczelnia jako administrator - będzie mogła decydować o celach i środkach przetwarzania danych. Jeśli jednak aplikacja umożliwi tworzenie profilu przez konkretnego użytkownika, a w efekcie mogą pojawić się inne dane niż podane przy rejestracji (przykładowo zgodnie z przekazanymi celem sporządzenia tej części raportu planami Uczelni - mogą to być rejestracje wizerunku w postaci zdjęć fotograficznych oraz filmów), to brak jest podstaw do nabycia takiego uprawnienia wprost z ustawy. W literaturze rozważa się na tym tle trzy odmienne sytuacje: 1. Jeśli użytkownik jest administratorem danych osobowych (np. przetwarza własne dane osobowe w celach komercyjnych), portal może być podmiotem przetwarzającym dane zgodnie z umową w trybie art. 31 (...) 2. Jeśli użytkownik nie jest administratorem danych (nie decyduje o celach i środkach), a portal nie wie, jakie dane są przetwarzane (użycza platformy ), wówczas portal może być traktowany jako podmiot hostujący dane, ponieważ umowę o powierzenie przetwarzania danych może zawrzeć administrator danych i podmiot przetwarzający, 3. Jeśli użytkownik portalu przetwarza swoje dane osobowe w celach osobistych lub domowych i jednocześnie portal wie, jakie dane są przetwarzane, wydaje się, że portal nie będzie administratorem danych. Zasadniczo nie będzie nim również użytkownik, gdyż przetwarzanie danych w celach osobistych lub domowych wyłącza konieczność stosowania ustawy. 14 W praktyce oznaczać to może konieczność uzyskiwania zgody na przetwarzanie danych osobowych w odniesieniu do konkretnych danych, w tym zwłaszcza tzw. danych wrażliwych. 3.8. Dopuszczalność (legalność) przetwarzania danych osobowych Dla oceny legalności przetwarzania danych osobowych podstawowe znaczenie mają postanowienia art. 23 i 27 Ustawy o ochronie danych osobowych. Zgodnie z art. 23 Ustawy o ochronie danych osobowych - przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra 14 Tamże, s. 237 20