Przetwarzaj z rozwagą!

Przedsiębiorca, który decyduje się na zaistnienie w internecie ma do wyboru różne możliwości: może uruchomić własny serwer w siedzibie firmy, może również skorzystać z usług firmy hostingowej świadczącej usługi w chmurze. Z uwagi na koszty z reguły wybierany jest drugi wariant, w przypadku którego może to być firma działająca w oparciu o prawo polskie, unijne lub poza europejskie. W każdym przypadku kwestia bezpieczeństwa danych i zasad ich przetwarzania może wyglądać nieco inaczej.

Przede wszystkim samego bezpieczeństwa danych nie można utożsamiać z ochroną danych osobowych. Jak mówi Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych – „Polskie służby bezpieczeństwa twierdzą, że wszystkie dane przez nie przechowywane są bardzo bezpieczne, gdyż klauzulowane i szyfrowane. Jednak z punktu widzenie GIODO samo zabezpieczenie danych nie jest jedynym istotnym elementem – ważne jest, dlaczego te dane są przechowywane i w jakim celu. Dotyczy to wszystkich podmiotów – również tych, które przechowują dane w chmurze.”

W przypadku wyboru firmy świadczącej usługi w internecie liczą się trzy kwestie – czy jesteśmy w stanie ustalić gdzie mieści się siedziba usługodawcy, gdzie dane są przechowywane, oraz czy utrzymamy kontrolę nad tym jak dane będą przetwarzane przez firmę hostingową.

Jeśli forum prowadzone jest na platformie, która w całości jest na serwerach firmy hostingowej, zaś użytkownik może korzystać tylko z tych narzędzi, które ten podmiot udostępnił z zasady administratorem danych jest ten podmiot. Jeżeli jednak mamy możliwość działania w ramach tego forum sytuacja jest odmienna, odpowiedzialność za przetwarzanie danych jest wspólna. Takim działaniem jest np. możliwość moderowania forum.

W Polsce i za granicą

W przypadku firm hostingowych działających w Polsce sprawa jest stosunkowo prosta – obowiązuje je polskie prawo o ochronie danych osobowych i świadczeniu usług drogą elektroniczną.

Jednak trzeba sobie zdawać sprawę z tego, że podmioty, z którymi zawieramy umowę na przechowywanie danych są tak naprawdę często pośrednikami w dostępie do chmury. Zazwyczaj wykupili pewną przestrzeń, w której świadczą usługi. Zatem zawierając umowę, należy się zainteresować również umową pośrednika z właścicielem chmury. Trudna sprawa, ale każdy z pośredników ma obowiązek przekazać tego rodzaju informacje.

Zazwyczaj zakłada się, że ustalenie miejsca przechowywania danych jest trudne w przypadku dużych międzynarodowych koncernów. W istocie każda z tych firm jest w stanie wskazać miejsce umieszczenia serwera i musi je wskazać na żądanie klienta. Można również oczekiwać, że firma zobowiąże się, że dane będą przechowywane na terenie Unii Europejskiej.

Dla przykładu francuska firma polskiego pochodzenia – OVH – jako ISP działa w oparciu o prawo europejskie i można przyjąć, że przepisy są zbliżone do polskich. Jednak ewentualne spory będą rozstrzygane przed sądem właściwym dla siedziby usługodawcy, czyli w tym przypadku we Francji.

Oczywiście duże podmioty jak na przykład firma Google stosują umowy adhezyjne, które nie podlegają negocjacji zwłaszcza w przypadku małych firm. Tego rodzaju argumentacja jak chociażby poprzez porównanie do linii lotniczych stosowała na przykład wspomniana firma Google – albo wsiadasz do samolotu akceptując to, że bagaż może ważyć 23 kilogramy, albo nie lecisz i możesz skorzystać z prywatnego lotu. 

Jednak naciski inspektorów ochrony danych osobowych i „czarny PR” okazuje się bardzo skuteczny, w przypadku, gdy stosują one niewłaściwe praktyki. Jeszcze kilka lat temu GIODO nie miał, z kim rozmawiać, obecnie mamy osoby, które są odpowiedzialne za kontakty z Inspektorami ochrony danych osobowych.

Również wobec serwisów, które działają spoza terenu Polski mamy możliwość kontroli przede wszystkim za pośrednictwem naszych odpowiedników w Unii Europejskiej. Na przykład w przypadku Facebooka czy Google jest to irlandzki inspektor ochrony danych osobowych, który w tym roku narzucił właśnie Facebookowi pewne rozwiązania dotyczące kontroli przechowywanych danych – komentuje Wojciech Rafał Wiewiórowski, GIODO. W USA istnieje sektorowa ochrona danych osobowych – to znaczy – odnosi się na przykład do danych medycznych czy finansowych. W przypadku tego rodzaju danych rozwiązania są takie same jak w Europie. W Europie ochrona danych osobowych jest po prostu szerzej traktowana – dodaje.

Dane nieznanego pochodzenia?

Wielu przedsiębiorców posiada dane osobowe związane np. z transakcjami handlowymi, których pochodzenia nie są już w stanie ustalić z uwagi chociażby na upływ czasu.

Również w tym przypadku podstawą jest myślenie, jaki jest cel przetwarzania danych – jeżeli dane wykorzystywane są w związku z transakcjami handlowymi to oczywiście w takich przypadkach nie istnieje potrzeba posiadania zgody na przetwarzanie danych osobowych. Podobnie przedstawia się sprawa w przypadku danych bankowych, które z mocy ustawy przechowywane są przez 5 lat.

Problem zaczyna się wtedy, gdy zaczynamy wykorzystywać te dane w celach marketingowych, albo innych celów, które nie są związane z konkretną umową. Na przykład do zawierania kolejnych umów.  Wszyscy przedsiębiorcy, którzy nie posiadają zgody na przetwarzanie danych osobowych, a zamierzają je wykorzystać do innych celów niezwiązanych z konkretną transakcją – muszą taką zgodę uzyskać.

Jednak jak informuje GIODO istnieje istotne wyłączenie – W przypadku, gdy przedsiębiorca posiada ważną umowę długoterminową z konkretnym partnerem ma prawo do marketingu produktów własnych. W tym zakresie polskie prawo jest bardziej elastyczne, niż w innych krajach gdzie tego rodzaju rozwiązania trzeba było uprawomocnić na podstawie orzeczeń sądowych.”

 Oczywiście to wyłączenie nie obowiązuje w przypadku marketingu produktów innych firm.