Czy serwis internetowy może trzymać informacje o nas? I co oznacza przetwarzanie danych

W obecnych czasach praktycznie codziennie korzystając z serwisów internetowych bez dłuższego namysłu podajemy szereg swoich danych tj. imiona, nazwiska, adresy email, numery telefonu jak również te uważane przez ogół społeczeństwa za bardziej szczegółowe i identyfikujące tj. adresy zamieszkania, numery PESEL, czy numery dowodów osobistych w celu dokonania określonych transakcji bądź działań oferowanych przez te serwisy. Dopiero po pewnym czasie od ich udostępnienia często pojawia się w naszych głowach pytanie, czy dane te zostały podane jednorazowo i jedynie w celu realizacji danej transakcji lub usługi, czy też mogą być one przechowywane przez dłuższy czas, a może nawet w nieskończoność przez administratora serwisu internetowego?

Czym są dane osobowe?

Wyżej opisane informacje dotyczące konkretnej osoby fizycznej, które identyfikują lub umożliwiają jej identyfikację nazywane są danymi osobowymi, a zdecydowanie kluczową rolę w rozważaniach na temat tego rodzaju danych odgrywa Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej RODO), które zaczęło obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 roku.

To właśnie po tej wspomnianej dacie nastąpiły diametralne zmiany w kwestii przetwarzania danych osobowych na obszarze Unii Europejskiej przez serwisy internetowe. Regulacje niniejszego rozporządzenia stosuje się do wszystkich przedsiębiorstw i organizacji pochodzących z UE, jak również w stosunku do tych spoza jej terytorium, chociażby amerykańskich, jak Facebook Inc. czy Amazon.com Inc., właścicieli jednych z największych serwisów internetowych, ponieważ oferują one swoje usługi oraz towary na rynku unijnym, a co za tym idzie, przetwarzają one dane osobowe obywateli UE.

Na czym polega przetwarzanie danych osobowych?

Przetwarzanie danych osobowych to ujmując prościej - wszelkie zbieranie, utrwalanie, organizowanie, porządkowanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, jak również najważniejsze z punktu widzenia niniejszego artykułu - przechowywanie.

To szeroko ujęte działanie ma swoje ograniczenia nałożone na administratorów przez RODO. W pierwszej kolejności należy zaznaczyć, że dane osobowe muszą być przechowywane jedynie dla określonego, uzasadnionego celu wskazanego w wyraźny sposób oraz w zakresie stosownym oraz adekwatnym do niego. Oznacza to, że serwis internetowy musi w pierwszej kolejności podać nam przyczynę dla której potrzebuje konkretnych danych osobowych i zminimalizować ich ilość jedynie do tych, które są niezbędne do realizacji danego celu. Dla przykładu, kupując ubrania na stronie internetowej administrator może poprosić nas o podanie danych adresowych niezbędnych do nadania przesyłki, ale już wymóg podania numeru dowodu osobistego czy PESEL nie miałoby tutaj żadnych podstaw. Jednocześnie, za niezgodne z wyżej opisanym wymogiem powinno zostać uznane zbieranie danych dla realizacji bliżej nieoznaczonych celów np. wskazanie w formularzu stwierdzenia „przetwarzanie danych dla ważnych celów administratora” bez sprecyzowania, o jakie konkretne cele chodzi.

Czy wszystkie dane osobowe mogą podlegać przetwarzaniu?

Dodatkowo, w kwestii rodzaju danych osobowych, jakie mogą być przetwarzane RODO wprowadza ograniczenie, zgodnie z którym zabronione jest przetwarzanie informacji dotyczących:

• pochodzenia rasowego lub etnicznego,
• orientacji seksualnej,
• poglądów politycznych,
• przekonań religijnych lub filozoficznych,
• przynależności do związków zawodowych,
• danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami (np. gdy uzyskano wyraźną zgodę na ich przetwarzanie lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym zgodnie z prawem unijnym lub krajowym),
• danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.

Powyższe informacje należą do szczególnych kategorii danych osobowych, i o ile art. 9 ust. 1 RODO nakłada zakaz ich przetwarzania, o tyle kolejny ustęp przedmiotowego artykułu określa warunki na jakich dozwolone jest przetwarzanie danych osobowych z powyższych kategorii. Tymi wyjątkami są m.in. (katalog jest otwarty):

• osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego UE przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu,
• przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
• przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

Ciemna strona serwisów internetowych

Konsekwencji wprowadzenia wymogu uzyskania uprzedniej zgody przez serwisy internetowe można upatrywać w zwiększonej popularności tzw. „dark patterns”. Zjawisko to jest powszechnie używane i polega na wprowadzaniu użytkowania w błąd. Interfejs stron internetowych skonstruowany jest w sposób, który zachęcić ma użytkowników do zaznaczenia opcji bardziej korzystnej dla serwisu internetowego np. podczas procesu rezygnacji z newsletter’a większy i bardziej wyrazisty będzie przycisk „nie rezygnuję”, niż ten którego docelowo szukaliśmy.

Kolejnym przykładem będzie stosowanie mylącego języka w postaci podwójnej negacji, jak również pop-upów na każdej stronie internetowej, przez które wyraża się zgodę na stosowanie plików cookie. Zazwyczaj mamy wówczas dwie możliwości – wyrazić przyzwolenie na zastosowanie wszystkich plików cookie albo przejrzeć cały regulamin i zaznaczyć jedynie te, na które faktycznie się zgadzamy. Zatem, chcąc skorzystać z serwisu internetowego musimy dokonać wyboru czy mamy wystarczająco dużo czasu aby pochylić się nad obszernym tekstem regulaminu czy zdecydujemy się jedynie na opcję sugerowaną przez administratora. Niestety w większości sytuacji, jak nie zawsze, decyzja podjęta będzie w pośpiechu i w konsekwencji wyrazimy zgodę na wiele warunków, na które byśmy nie przystali wiedząc o ich istnieniu.

Działanie to zdecydowanie narusza prywatność użytkowników, jednakże brak jest wprost przyjętych regulacji, z których mogliby oni skorzystać w celu ochrony swoich praw. Na pomoc w bieżącym roku przyszła organizacja konsumencka NOYB, którą kieruje Max Schrems (znany ze sprawy Shrems II, dzięki której od 2020 r. dane zbierane przez serwisy internetowe nie mogą co do zasady być przekazywane poza teren UE) ogłosiła, że rozesłała do europejskich organizacji ponad 500 projektów skarg dotyczących RODO, mających na celu zakończenie, jak sama to ujęła - "terroru banerów cookies" w UE. Szczególne zainteresowanie zostało poświęcone firmom, które w opinii NOYB celowo utrudniają rezygnację z nich.

O krok naprzód posunął się natomiast stan Kalifornia w Stanach Zjednoczonych, w którym po znowelizowaniu ustawy California Consumer Privacy Act (CCPA) zakazane zostało stosowanie większości „dark patterns”, a w szczególności tych, które mają istotny skutek w postaci podważenia lub utrudnienia wyboru przez konsumenta prawa do rezygnacji z programów, w ramach których sprzedawane są jego dane osobowe. W akcie prawnym, w celu doprecyzowania podany został szereg przykładów np.: używanie mylącego języka czy wymaganie od użytkowników „przeszukiwania lub przewijania tekstu polityki prywatności lub podobnego dokumentu lub strony internetowej w celu zlokalizowania mechanizmu składania wniosku o rezygnację”.

Jak długo nasze dane osobowe mogą być przechowywane?

Kolejnym istotnym ograniczeniem w odniesieniu do przetwarzania danych osobowych, które ma szczególne znaczenie dla ich przechowywania jest ograniczenie czasowe. Zgodnie z nim serwisy internetowe mogą przechowywać dane osobowe przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane. Aczkolwiek, nawet od tej stosunkowo trudnej do określenia granicy istnieją wyjątki, jak możliwość przechowywania danych przez dłuższy okres, jeżeli jest to wykonywane wyłącznie do celów:

• archiwalnych w interesie publicznym,
• badań naukowych bądź historycznych lub
• statystycznych.

Ogólnie ujmując, z zasady tej wynika, że dane osobowe nie mogą być przechowywane w nieskończoność, ale nie istnieją żadne konkretne „widełki” czasowe, do których powinien stosować się administrator.

Wymóg uzyskania świadomej i konkretnej zgody od użytkownika

Oprócz wyżej opisanych ograniczeń, serwisy internetowe są zobowiązane do uprzedniego uzyskania zgody od osoby, której dane potencjalnie będą miały być przetwarzane. Zgoda takiego użytkownika, wedle przepisów rozporządzenia oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W przedmiotowej regulacji prawnej zostało również przykładowo wyjaśnione w jaki sposób administratorzy mogą ją uzyskać.

Jak zostało wskazane, wyrażenie przyzwolenia na przetwarzanie danych osobowych może zatem polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście w sposób jasny wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Za udzielenie zgody nie można natomiast uznać milczenia, okienka domyślnie zaznaczonego lub niepodjęcia żadnego działania. Oprócz formy uzyskania takiej zgody należy zwrócić uwagę na fakt, iż powinna zostać ona uzyskana w odniesieniu do każdego celu, w jakim nasze dane osobowe mają być przetwarzane. Oznacza to, że nie można wyrażać ogólnego przyzwolenia na przetwarzanie naszych danych w przyszłości bez wskazania konkretnego celu tzw. wydawać je „na zapas”.

W odniesieniu do zgody wyrażonej przez użytkowników serwisów internetowych warto zaznaczyć, że w przypadku przetwarzania danych osobowych dzieci wymagana jest zgoda wyrażona przez ich rodzica. Granica wieku, do którego jest ona wymagana w różnych krajach UE waha się między 16 a 13 rokiem życia – w Polsce wynosi ona 16 lat.

Ponadto, każdorazowo uprzednio wyrażona zgoda powinna być równie łatwo możliwa do wycofania, a informacja o prawie do jej cofnięcia w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem powinna zostać udzielona użytkownikowi na samym początku, czyli w momencie wyrażania przez niego zgody. Oprócz tego uprawnienia, każdy użytkownik ma również prawo do dostępu do danych go dotyczących oraz do uzyskania informacji zwrotnej w jakim celu są one przetwarzane, jak również jaki jest planowany okres ich przechowywania, a gdy serwis internetowy nie jest w stanie udzielić precyzyjnej odpowiedzi na to pytanie, zobowiązany jest wskazać kryterium stanowiące podstawę do jego ustalenia.

Na czym polega prawo do bycia zapomnianym?

Odpowiadając na pytanie czy dozwolone jest przechowywanie naszych danych osobowych przez serwisy internetowe nie sposób nie wspomnieć również o prawie do bycia zapomnianym. Prawo do bycia zapomnianym to przywilej każdego obywatela UE do zażądania, aby serwis internetowy niezwłocznie usunął jego dane osobowe. Użytkownik powinien w szczególności mieć prawo do tego, by jego dane osobowe zostały usunięte oraz przestały być przetwarzane, jeżeli nie są już one niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jak również w sytuacji gdy cofnął wcześniej wyrażoną zgodę lub jeżeli wniósł sprzeciw wobec przetwarzania danych osobowych go dotyczących, czy też jeżeli przetwarzanie jego danych osobowych nie jest z innego powodu zgodne z RODO.

Dodatkowo, w celu wzmocnienia prawa do bycia zapomnianym w Internecie, rozszerzono prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania innych administratorów, którzy przetwarzają takie dane osobowe o tym fakcie aby oni również mogli usunąć wszelkie łącza do tych danych, ich kopie lub replikacje. Kontrowersyjny przykład zastosowania tego prawa możemy odnaleźć tuż za naszą zachodnią granicą, ponieważ 28 listopada 2019 roku w Niemczech, Federalny Trybunał Konstytucyjny orzekł, że zabójcy Paulowi Termannowi skazanemu w 1982 roku na karę dożywotniego pozbawienia wolności za zabójstwo dwóch osób podczas rejsu jachtem po Karaibach, przysługuje prawo do bycia zapomnianym. W konsekwencji, obecnie po wpisaniu jego imienia i nazwiska w wyszukiwarce Google nie wyświetlą nam się żadne informacje odnośnie tej osoby.

Problematyczne okazują się sytuacje, w których użytkownik z kraju europejskiego żąda usunięcia wszelkich danych go dotyczących przez serwisy internetowe, które prowadzą działalność międzynarodową np. Google. Zagadnieniem spornym okazuje się wówczas fakt, iż w UE zgodnie z Kartą Praw Podstawowych jednym z głównych praw przysługującym obywatelom jest poszanowanie życia prywatnego i rodzinnego, jak również ochrona danych osobowych, które ich dotyczą.

Natomiast w Stanach Zjednoczonych najważniejsze jest prawo do wolności słowa i prasy. Zatem prawo do bycia zapomnianym, dzięki któremu obywatelowi UE przysługuje prawo do żądania usunięcia informacji dotyczących jego danych osobowych będzie zgodne z regulacjami unijnymi, ale pozostanie w sprzeczności z prawem amerykańskim nad czym często pochylał się Trybunał Sprawiedliwości Unii Europejskiej i ostatecznie w głośnej sprawie na arenie międzynarodowej tj. CNIL przeciwko Google, w swoim orzecznictwie przyznał rację Google i orzekł, że: „art. 17 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, że w sytuacji gdy operator wyszukiwarki uwzględnia wniosek o usunięcie linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków nie ze wszystkich wersji swojej wyszukiwarki, ale z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim”. Wobec tego, żądając usunięcia przechowywanych przez międzynarodowe serwisy internetowe danych osobowych, należy pamiętać, że zobowiązane są one jedynie do usunięcia ich z domen państw UE np. pl.; it. czy es., ale już nie z tych niebędących członkami.

Odpowiedzialność serwisów internetowych

Ostatnią, ale równie ważną zasadą w odniesieniu do przechowywania przez serwisy internetowe danych przez nas przekazanych jest obowiązek ich zabezpieczenia. Zgodnie z nią, administrator jest zobligowany do przetwarzania danych osobowych w sposób zapewniający ich bezpieczeństwo poprzez ochronę tych danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem czy uszkodzeniem. W celu realizacji tego obowiązku powinien korzystać z odpowiednich środków technicznych oraz organizacyjnych.

W sytuacji, gdyby nasze dane osobowe przechowywane przez serwisy internetowe zostały w sposób niezgodny z wcześniej wyrażoną zgodą wykorzystane bądź udostępnione, taki administrator może zostać pociągnięty do odpowiedzialności a w konsekwencji może zostać nałożona na niego kara pieniężna w wysokości 20 000 000 euro, zaś w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu. Oczywiście powyższe będzie miało miejsce w sytuacji gdy nie będzie on w stanie wykazać, że dotrzymał wszelkich starań do zabezpieczenia naszych danych, a niewywiązanie się z tego obowiązku nie jest z jego winy.

Można przechowywać dane osobowe, ale są warunki

Podsumowując, serwisy internetowe mogą przechowywać nasze dane pod warunkiem, że wyraziliśmy na to uprzednio zgodę, której następnie nie wycofaliśmy, a przy jej udzielaniu zostaliśmy poinformowani w jakim celu niezbędne są konkretne dane nas dotyczące oraz przez jaki okres czasu administrator będzie je przechowywać. Natomiast w okresie przechowywania naszych danych osobowych serwis internetowy musi dotrzymać wszelkich starań, by były one bezpieczne.

autorzy publikacji:
Marcin Staniszewski, Kamila Wasilewska
Kancelaria Prawna RPMS Staniszewski & Wspólnicy