- Przedsiębiorcy zbierający informacje na temat użytkowników Internetu mogą dla swoich celów ograniczać przetwarzanie informacji do takich, które nie pozwalają, bez nadmiernych nakładów, zidentyfikować osoby fizycznej - uważa Artur Piechocki, radca prawny w APLaw Artur Piechocki.
Artur Piechocki, radca prawny w APLaw Artur Piechocki / Media

Użytkownicy internetu wyzbywają się coraz częściej swojej prywatności?

W naukach społecznych wyróżnia się często kilka sfer działalności człowieka: publiczna, prywatna oraz intymna. Podczas gdy dzielenie się danymi z pierwszej sfery jest oczywiste, to druga i trzecia podlegają ograniczeniom. Danymi pochodzącymi ze sfery prywatnej najczęściej dzielimy się, gdy w zamian możemy otrzymać udogodnienie lub korzyść, np. podanie nazwiska w formularzu internetowym w zamian za szybszą realizację zamówienia, czy zniżkę w opłacie za towar lub usługę kupowaną przez internet. Wprawdzie granice między sferami uległy zatarciu w czasach gwałtownego rozwoju mediów i Internetu, jednak dzielenie się sferą intymną jest nadal rzadkie. Nie oznacza to również, że nie przysługuje nam prawo do ochrony sfery prywatnej i intymnej. Ustawa o ochronie danych osobowych wyraźnie przyporządkowuje niektóre dane do sfery prywatnej, np. imię, nazwisko, a inne do sfery intymnej, np. informacje o nałogach, skazaniach, przynależności partyjnej, są to tzw. dane osobowe wrażliwe.

Warto pamiętać, że powyższa ustawa nie jest jedynym aktem prawnym zapewniającym nam prywatność. Ochrona prywatności wywodzi się z przepisów prawa międzynarodowego, np. Powszechna deklaracja praw człowieka (art. 12), a także Konstytucji (art. 51). Prywatność należy do dóbr osobistych chronionych przepisami art. 23 i 24 Kodeksu cywilnego, czy Kodeksu pracy (art. 11(1)). Z kolei ograniczenie rozpowszechniania naszego wizerunku możemy odnaleźć w treści art. 81 Prawa autorskiego.

Model europejski szerokiej ochrony prywatności, a w tym danych osobowych nie oznacza, że brak w niej wyjątków.

Tak. Pomijając te, które wynikają w treści samej ustawy, zezwalające na przetwarzanie danych osobowych, np. dla celów wykonania umowy zawartej z podmiotem danych, najważniejszą podstawą przetwarzania danych osobowych jest zgoda. Przetwarzanie danych osobowych z każdej sfery, nawet danych wrażliwych, jest dopuszczalne pod warunkiem uzyskania zgody, w ostatnim przypadku wyrażanej w formie pisemnej.

Zgoda lub inna podstawa będzie zbędna do przetwarzania danych w przypadku, gdy zebrane dane nie będą mogły zostać uznane za dane osobowe. Informacje można bowiem uznać za dane osobowe tylko wtedy gdy pozwalają na identyfikację osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ustawy o ochronie danych osobowych).

Koncerny jednak zbierają o nas coraz więcej danych?

Przedsiębiorcy zbierający informacje na temat użytkowników Internetu mogą dla swoich celów ograniczać przetwarzanie informacji do takich, które nie pozwalają, bez nadmiernych nakładów, zidentyfikować osoby fizycznej. Pomimo pokaźnego zbioru takich informacji nie będzie możliwe określenie tożsamości osoby fizycznej, np. dane na temat zachowań zakupowych użytkownika internetu korzystającego z adresu IP o trudnej do ustalenia lokalizacji nie pozwolą na wskazanie konkretnej osoby fizycznej, w konsekwencji nie będą one danymi osobowymi. Trudno zarzucać w takiej sytuacji przedsiębiorcom naruszanie przepisów o ochronie danych osobowych, szczególnie gdy przedsiębiorca działa w jurysdykcji Stanów Zjednoczonych, gdzie ochrona danych i prywatności nie została rozwinięta w takim stopniu, jak w Europie. Pewne zmiany na tym polu może wprowadzić w Europie TTIP, porozumienie negocjowane pomiędzy UE a Stanami Zjednoczonymi, którego część dotyczy również ochrony danych osobowych, choć śledząc przepisy projektowanego unijnego rozporządzenia na temat ochrony danych osobowych, które wprowadza istotne obostrzenia w zakresie ochrony danych osobowych, np. prawo do bycia zapomnianym, privacy by design, wysokie kary (do 1 000 000 euro) za naruszenia, można wątpić w ów kierunek zmian.