Dalsze boje o usunięcie danych z Naszej-klasy (sąd i prokuratura wydały postanowienia)

Prokurator Prokuratury Rejonowej Warszawa Ochota postanowieniem z dnia 11 lutego 2008 roku odmówił wszczęcia dochodzenia o czyn z art. 50 ustawy o ochronie danych osobowych wobec braku znamion czynu zabronionego. Pokrzywdzony złożył zażalenie na to postanowienie i sprawa trafiła do sądu. Sąd zaś wydając postanowienie z 13 sierpnia 2008 roku utrzymał w mocy zaskarżone postanowienie prokuratury (sygn. akt III Kp 393/08). Chodzi o publikację zdjęcia w serwisie nasza-klasa.pl i opatrzenie go podpisem (por. również Dane osobowe w Naszej-klasie: GIODO odmówił uwzględnienia wniosku skarżącego oraz Dane osobowe w serwisach społecznościowych - decyzję warto rozpatrzyć raz jeszcze). Warto przyjrzeć się uzasadnieniom postanowień zarówno prokuratury jak i sądu (sąd twierdzi, że uzasadnienie prokuratury było błędne), a wszystko to w kontekście kontaktów pokrzywdzonego z portalem. GIODO informuje, że Polacy wśród państw UE są najbardziej świadomi praw związanych z ochroną danych osobowych, to jednak nie znaczy, że da się łatwo usunąć zdjęcie z podpisem na Naszej-klasie.

Jak pisze mi pokrzywdzony: sąd w aktach posiadał decyzją Generalnego Inspektora Ochrony Danych Osobowych (link do materiałów na ten temat powyżej), posiadał również zawiadomienia ZPO (zwrotne poświadczenie odbioru) wysłane do administratorów serwisu Nasza-klasa.pl listem poleconym... Widzę jednak, że te zawiadomienia (które przesłał mi pokrzywdzony) zostały wysłane do serwisu Nasza-klasa już po wydaniu postanowienia przez prokuraturę (tj. 28 maja, 26 czerwca), wiadomo jednak, że portal wcześniej również prowadził korespondencję z pokrzywdzonym (jeszcze przed wydaniem decyzji DOLiS/DEC-314/08/13239 przez GIODO - w tej sprawie został później złożony wniosek o ponowne rozpatrzenie sprawy; chociaż warto tu przypomnieć, że zdjęcie pojawiło się w serwisie Nasza-klasa.pl 31 grudnia 2007 roku i tego samego dnia ktoś inny je podpisał, zaś w styczniu 2008 roku pokrzywdzony kilkakrotnie usiłował kontaktować się z portalem za pomocą udostępnionego tam formularza kontaktowego, żądając od administratorów serwisu usunięcia jego imienia i nazwiska znajdującego się pod zdjęciem, jednak to nie przyniosło rezultatu). W tej sprawie jest również zaświadczenie o złożeniu przez pokrzywdzonego w Komendzie Rejonowej Policji Warszawa III zawiadomienia o bezprawnym umieszczeniu na portalu Nasza klasa zdjęcia szkolnego podpisanego imieniem i nazwiskiem. Takie zawiadomienie zostało zgłoszone policji w dniu 19 stycznia 2008 roku.

W piśmie datowanym na 21 lipca 2008 roku (czyli już po wydaniu decyzji przez GIODO, co nastąpiło 27 maja) Dyrektor Działu Bezpieczeństwa Nasza-Klasa sp. z o.o. napisał pokrzywdzonemu (odpisując na pismo pokrzywdzonego z czerwca 2008 roku):

(...)
Zgodnie z art. 14 ustawy o świadczeniu usług droga elektroniczną (Dz.U. 02.144.1204) nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych. W chwili obecnej nie posiadamy wiarygodnych informacji, iż zamieszczenie wskazanych przez Pana danych na naszym portalu nasza-klasa.pl ma charakter danych bezprawnych.

Nadto informujemy, iż Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie w Pana sprawie (sygn. akt DOLiS-440-23/08/17211), któremu przekazaliśmy wszelkie niezbędne informacje i dokumenty w sprawie. W przypadku wydania decyzji przez Generalnego Inspektora Ochrony Danych Osobowych nakazującej usunięcie wskazanych przez Pana informacji znajdujących się na naszym Portalu, dane te zostaną niezwłocznie usunięte z Portalu.

Pragniemy także wskazać, że w dotychczas prowadzonej korespondencji drogą elektroniczną zostało Panu przedstawione nasze stanowisko. Nadto, w wiadomości przesłanej do Pana w dniu 8 lutego 2008 r. poprosiliśmy o przygotowanie i złożenie na nasze ręce wezwania adresowanego do „naruszyciela”, czyli Użytkownika, który w Pana ocenie zamieścił dane (zdjęcia) o charakterze danych bezprawnych. W toku korespondencji deklarowaliśmy gotowość przekazania żądania bezpośrednio do adresata. Z przykrością stwierdzamy, że do dnia dzisiejszego wezwanie takie nie zostało przez Pana przekazane.
(...)

Przy okazji drugiego postępowania GIODO (już po wniosku o ponowne rozpatrzenie sprawy, tj. sygn. akt DOLiS-440-23/08/17211) spółka przekazała Generalnemu Inspektorowi informację, zgodnie z którą "Spółka Nasza Klasa nie przetwarza danych osobowych pana [imię i nazwisko pokrzywdzonego - dopisek mój, VaGla], a stanowisko w tej sprawie przedstawiliśmy w Piśmie do Biura Generalnego Inspektora Ochrony Danych Osobowych z dnia 25.02.2008 r.".

Jak wspomniałem wcześniej pokrzywdzony powiadomił również prokuraturę, że doszło do naruszenia przepisów ustawy o ochronie danych osobowych przez ujawnienie jego danych osobowych i wizerunku. Zawiadomienie to zostało przez pokrzywdzonego złożone 19 stycznia. 11 lutego prokurator wydał postanowienie o odmowie wszczęcia dochodzenia, w uzasadnieniu odwołując się do regulaminu portalu (o tym uzasadnieniu pisze potem Sąd, określając je jako błędne; por. poniżej). Prokurator napisał m.in. (wytłuszczenia pochodzą z tekstu oryginalnego):

(...)
W niniejszej sprawie ustalono, iż korzystanie z serwisu, o którym mowa oznacza akceptację jego postanowień regulaminu. (...) Wśród jego postanowień we wstępie znajduje się zapis: "...regulamin został sporządzony w oparciu o przepisy prawne obowiązujące na terytorium RP a przedmiotem tego regulaminu są warunki korzystania oraz funkcjonowania serwisu internetowego nasza-klasa.pl., ...określa on prawa i obowiązki zarejestrowanych użytkowników oraz zakres i odpowiedzialność Administratora jako podmiotu zarządzającego i prowadzącego serwis. Każdy potencjalny użytkownik, z chwilą zarejestrowania zobowiązany jest zapoznać się z treścią Regulaminu i podejmować dalsze czynności po uprzednim wyrażeniu zgody i akceptacji wszystkich jego postanowień..." Wśród postanowień w art. 4 - uczestnictwo w serwisie ad 4.5 ..."w formularzu rejestracyjnym użytkownik zobowiązuje się do podania swoich danych osobowych zgodnych z prawdą..." oraz ad 4.6f ..."umieszczenie na koncie danych osobowych, wizerunku oraz informacji, dotyczących innych osób nastąpiło w sposób legalny, dobrowolny oraz za ich zgodą...". W art. 5 dane osobowe i polityka prywatności ad 5.1 ..."użytkownik wyraża zgodę na umieszczenie i przetwarzanie jego danych osobowych przez Administratora...", którym jest ..."Nasza Klasa sp. z o.o. która dokonuje przetwarzania danych osobowych użytkowników zgodnie z przepisami ustawy o ochronie danych osobowych (...) oraz ustawy (...) o świadczeniu usług drogą elektroniczną...", jak również stwierdza punkt ad 5.5 ..."użytkownik ma prawo wglądu do przetwarzanych danych w każdym czasie, jak również prawo do ich poprawienia oraz żądania ich usunięcia z bazy kont (profil)..." W art. 6 - zasady korzystania z serwisu 6.5 - ..."użytkownik oświadcza, że ...zdjęcia i dane osobowe umieszczane przez niego w serwisie... są prawdziwe i nie naruszają jakichkolwiek praw autorskich i osobistych. Użytkownik oświadcza również, że uzyskał zgodę innych osób na umieszczanie przez niego treści, przedstawiających lub odnoszących się do innych osób do tych osób". Mając na uwadze postanowienia niniejszego regulaminu, którego postanowienia dostępne są na stronie nasza-klasa.pl należy stwierdzić, iż w omawianym przypadku nie doszło do naruszenia art. 50 ustawy o ochronie danych osobowych, który stwierdza wprost: "kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności, albo pozbawienia wolności do roku". Administrator danych serwisu nasza-klasa.pl, nie uznał, iż doszło do publikacji danych w sposób niezgodny z postanowieniami regulaminu oraz obowiązującymi przepisami. Korzystanie, jak to wskazano z serwisu wiąże się z akceptacją postanowień regulaminu dlatego też w okolicznościach wskazanych j.w. za pośrednictwem internetu a konkretnie portalu nasza-szkoła.pl służącego do wyszukiwania użytkowników oraz zawierania nowych znajomości pomiędzy nimi. Mając na uwadze powyższe ustalenia należy odmówić wszczęcia postępowania w niniejszej sprawie na zasadzie art. 17 § 1 pkt 2 kpk wobec braku znamion czynu zabronionego.

Nie pomyliłem się przepisując powyższe fragmenty uzasadnienia ze skanu. Tam naprawdę napisano "nasza-szkoła.pl", chociaż to nie jest najważniejsze w tym uzasadnieniu (nawiasem mówiąc - w kontekście odwołań do regulaminów warto tu odesłać do dwóch wcześniejszych tekstów: Nieblipowy blip o Twitterze i ewentualnych sporach prawnych ery "beta" oraz Regulamin korzystania z Serwisu blip.pl).

Z powyższego widać, że pokrzywdzony kilkakrotnie i różnymi sposobami kontaktował się ze spółką. Spółka również udzielała informacji stosownym organom, twierdziła również, że nie przetwarza danych osobowych pokrzywdzonego. Jednak w uzasadnieniu postanowienia Sąd Rejonowy dla m. st. Warszawy (w III Wydziale Karnym) napisał:

Nie ma żadnych wątpliwości, że przestępstwo stypizowane w art. 50 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest przestępstwem umyślnym, co wynika przede wszystkim z art. 8 kodeksu karnego in fine. W okolicznościach niniejszej sprawy (zamieszczenie przez jednego z użytkowników portalu zdjęcia klasowego sprzed 30 lat) wykluczonym jest przyjęcie, aby administrator zbioru danych osobowych, tj. administrator portalu internetowego nasza-klasa.pl, miał choćby minimalną świadomość, iż przechowuje w zbiorze dane osobowe dotyczące pokrzywdzonego. Taka konstatacja eliminuje możliwość prowadzenia postępowania o czyn z art. 50 w/w ustawy. Już tylko na marginesie wypada przywołać art. 14 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. nr 144 poz. 1204 ze zm.), zgodnie z którym, nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Reasumując, przy merytorycznej bezzasadności zażalenia, jak również nie stwierdzając podstaw do uchylenia zaskarżonego postanowienia z urzędu, Sąd był zobligowany do jego utrzymania w mocy (pomimo błędnego uzasadnienia skarżonego postanowienia). Nie ma zarazem żadnych przeszkód, aby pokrzywdzony swoje roszczenia realizował na drodze postępowania cywilnego.

A na zakończenie odnotuję jeszcze, że na stronie Generalnego Inspektora Ochrony Danych Osobowych opublikowano komunikat Eurobarometr: Polacy najbardziej świadomi praw związanych z ochroną danych osobowych, w którym czytamy:

Polska, z 43 % wynikiem, znalazła się na pierwszym miejscu wśród państw członkowskich Unii Europejskiej, deklarując najwyższą świadomość praw związanych z danymi osobowymi - wynika z najnowszego badania Eurobarometru przeprowadzonego na zlecenie Dyrekcji Generalnej ds. Wolności, Bezpieczeństwa i Sprawiedliwości Komisji Europejskiej.

Udostępniając mi postanowienia i inne dokumenty w tej sprawie pokrzywdzony swój list opatrzył tytułem: "zastanawiam się gdzie ja żyję?".

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

a bo to wszystko bardzo dziwne jest ;-)

Olgierd's picture

Aczkolwiek nie mam wątpliwości, że o odpowiedzialności karnej N-K nie ma co w takim przypadku mówić.

--
pozdrawiam serdecznie, Olgierd

Tylko jak rozpocząć postępowanie cywilne?

Tak się zastanawiam. Ktoś umieścił moje zdjęcie z moim nazwiskiem bez mojej zgody. Należy rozpatrzyć dwa przypadki:
a) nie znam (naprawdę) żadnych danych sprawcy
b) wiem, kto to zrobił
Jeżeli ma miejsce przypadek a), to w jaki sposób mogę wystąpić na drodze cywilnej, czyli sprawić by moje zdjęcie zostało usunięte?

Przypadek b) też nie jest jednoznaczny. Zrozumiałe jest, że jak znam dane adresowe Nowaka, czy innego Wiśniewskiego, to sprawa jest prosta. Ale co, gdy ich nie znam? Co gorsza, sprawca może przebywać stale za granicą nie tylko Polski, ale i Unii Europejskiej. Jak ustalić personalia sprawcy? Skoro nie jest to przestępstwo, to policja/prokuratura tego nie zrobi. Detektywa mógłbym sobie wynająć wiedząc, że sprawca mieszka(ł) tu czy tam a teraz pewnie bywa pod tym adresem odwiedzając rodziców. Ale sprawca zagraniczny to porażka - tylko z nakazem mogę próbować go namierzyć na podstawie IP. A nakazu nie dostanę...
A może się mylę? Jak to jest, gdy przysłowiowy Nowak zawinił, a ja nie wiem, gdzie go szukać ?

Postępowanie karne (o ile

Postępowanie karne (o ile w ogóle jest zasadne) można przeprowadzić w prosty sposób. Policja, w trybie Art. 488. § 1 kpk ma możliwość przyjęcia ustnej lub pisemnej skargi (nie zawiadomienia o przestępstwie), a następnie przesyła skargę do Sądu. Przed przekazaniem materiałów do Sądu Policja może dokonać ustaleń danych personalnych użytkownika. To jest najprostszy sposób uzyskania danych użytkownika NK.

Z postępowaniem cywilnym jest nieco trudniej. Ale wystarczy w pozwie wskazać gdzie znajdują dane pozwanego (w tym przypadku NK). Sąd wyda postanowienie o ujawnieniu jego danych, a NK będzie zobowiązana do ich przekazania Sądowi.

Ale co w końcu z tym zdjęciem/podpisem?

Czy zostało ono ostatecznie usunięte (przez administratorów, bądź umieszczających je użytkowników) ? Bo nie wiem jaki jest kontekst:
- wymiana pism między NK, sądem, prokuraturą, GIODO - i nic z tego nie zostało uznane za "wiarygodną wiadomość"

- podpis został usunięty, ale pokrzywdzony domaga się ukarania NK za ten czas zanim to nastąpiło?

a może wystarczy szczypta zdrowego rozsądku?

Amanda napisał(a)

Czy zostało ono ostatecznie usunięte (przez administratorów, bądź umieszczających je użytkowników)? Bo nie wiem jaki jest kontekst:
- wymiana pism między NK, sądem, prokuraturą, GIODO - i nic z tego nie zostało uznane za "wiarygodną wiadomość"
- podpis został usunięty, ale pokrzywdzony domaga się ukarania NK za ten czas zanim to nastąpiło?

Pierwszego komentował nie będę, może to rodzaj ułomności urzędów, a może „miłość nierobienia nic”

A dane (imię i nazwisko) i zdjęcia są nadal na portalu NK (skąd Amanda ma taką wiedzę? ja to sprawdzałem przed chwilą)

Olgierd napisał

Aczkolwiek nie mam wątpliwości, że o odpowiedzialności karnej N-K nie ma co w takim przypadku mówić.

A przecież danych nie można przetwarzać bez zgody i wiedzy podmiotu danych chyba że wymagają tego ważne cele, zapisane w ustawie, co więcej w/g ustawy jest odpowiedzialność karna!

W swojej decyzji GIODO uznał:

1. GIODO uznał NK za administratora danych.
(NK nie ma ma umowy na piśmie z powierzającym dane, wobec tego w myśl KC faktu powierzenia danych przed sądem nie będzie mógł udowodnić, a przy takim niedopełnieniu ustawy to po stronie NK leży fakt dowodu powierzenia danych, zamieszczenie to nie powierzenie, ponadto w regulaminie NK sama nazywa się administratorem danych w portalu).

2. GIODO informacje o mnie uznał za przetwarzane moje dane osobowe przez portal NK.
(z tym się chyba każdy musi się zgodzić, po pierwsze jest to zgodne z ustawą o ODO, po drugie przecież to ustalił urząd GIODO).

3. Zawiadomienia i wezwania, które wysyłałem do NK są bezsprzecznie wiarygodnymi informacjami o bezprawnym charakterze danych
(w tym aspekcie nie ma chyba wątpliwości, choć art. 14 U o ŚUDE nie precyzuje formy odpowiedzialności karnej za nieuniemożliwienie dostępu do danych, to w piśmiennictwie jest kilkukrotnie taka odpowiedzialność wskazana).

Ustawa o ŚUDE
Art. 14. 1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Ustawa o ODO ;
Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
a teraz za co ta odpowiedzialność :
Art. 33. 1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane są przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostępnione.
2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.

Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3) źródle danych,
4) prawie dostępu do treści swoich danych oraz ich poprawiania,
5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa,
6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Ale prawo prawem a życie sobie, a może ja coś źle pojmuję, prawnikiem nie jestem …na początku prosiłem NK o usuniecie nazwiska, wystarczyło usunąć….

Pozdrawiam
Tomasz W

Ale N-K administruje jedynie

Ale N-K administruje jedynie danymi osobowymi użytkowników w zakresie takim, jak utrzymanie konta na naszej-klasie.
W przypadku danych, które umieszczają użytkownicy serwisu, N-K jest jedynie udostępniającym infrastrukturę, a administratorem takich danych jest ten, kto je umieszcza. I to umieszczający ponosi odpowiedzialność za opublikowanie danych, a nie N-K.

administratorem takich danych jest ten, kto je umieszcza.

administratorem takich danych jest ten, kto je umieszcza.

Czy to jest absolutnie pewne? Czyli - jeśli przykładowo stworzę serwis "moi znajomi" - do rejestracji będę wymagał tylko adresu email (przyjmijmy, że nie jest to dana osobowa) i dam każdemu możliwość aby wpisywał pełne dane swoich znajomych i decydował komu je udostępniać - to od ochrona danych osobowych mojego serwisu (mnie) nie dotyczy?

Nie bezpośrednio, ale jednak dotyczy

Dotyczy chyba tylko dlatego, że może nadejść "wiarygodna wiadomość". Ale nie można wymagać, aby każdy serwis pozwalający na publikowanie treści (dane osobowe można zamieścić także jako bitmapa czy plik binarny) spełniał wymagania GIODO. Równie dobrze ktoś może użyć zamiast nicka na forum ciągu znaków ImięNazwiskoMiejscowośćUlica, co wtedy?

Przy czym w przypadku N-K oczywiste jest, że nie służy on do zamieszczania bliżej niedoprecyzowanych informacji, a właśnie danych osobowych w różnej formie. Profesjonalna firma powinna przewidzieć sytuacje, w których użytkownik publikuje dane osobowe czy wizerunek bez zgody, przygotować odpowiednie procedury i metody weryfikacji pozwalające na sprawne załatwianie takich spraw. Nie jest to żadne wymaganie prawne, ale brak takich procedur (a właściwie rzucanie kłód pod nogi - wiarygodne są nie tylko pisma urzędowe) nie świadczy dobrze o administratorach N-K.

I tak, z płaszczyzny obowiązującego prawa przeszliśmy do traktowania klientów i nieklientów (dane osób, które się nie rejestrowały) i etyki pracy.

Wątek był już przerabiany

Wątek był już przerabiany - w skrócie, ja twierdzę, że N-K jest administratorem danych swoich użytkowników (dane podane przy zakładaniu konta i dane podawane przez użytkownika o sobie), ale processorem (art. 31 u.o.d.o.) podawanych przez użytkowników danych o innych osobach (zdjęcie klasowe).
A nie utożsamiajmy poza wszystkim bycia administratorem danych z nakazem przestrzegania przepisów u.o.d.o. - processor odpowiada za zabezpieczenie danych tak, jak administrator danych. A nie można przetwarzać danych inaczej, niż jako administrator albo processor.

kilka przepisów prawa dotyczących problemu

UODO Dz.U. 1997 nr 133 poz 883
Ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowych

Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

(czy Nasza Klasa sp. z o.o. ma takie umowy?)

2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

(czy umowa świadczenia usług Nasza Klasa sp. z o.o. z użytkownikami portalu reguluje zakres i cel przetwarzania danych?)

3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

(...)

Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

(chciałbym zobaczyć taka ewidencję?)

Obszerny fragment pisma skierowanego do GIODO....

GIODO pan Serzycki na konferencji poświęconej Naszej Klasie powiedział: “Każdy powinien przeczytać regulamin, który tam jest zawarty (…) W tym regulaminie jest bardzo dużo miejsca poświęconego zasadom ochrony danych osobowych, i tutaj trzeba oddać hołd tym, którzy stworzyli, twórcom, portalu Nasza-klasa.pl, dlatego że rzeczywiście w sposób profesjonalny podeszli do tematu i bardzo dużo miejsca - jak powiedziałem wcześniej - poświęcili zasadom ochrony danych osobowych“. Bardzo dziwią mnie te słowa nie poparte żadnymi przepisami prawa.

Urząd GIODO musi zgodnie z obowiązującą wykładnią prawną zawsze stać na stanowisku, że akceptacja regulaminu, czy też polityki prywatności zamieszczonych na stronie nie są jednoznaczne z wyrażeniem zgody i spełnieniem obowiązków informacyjnych wynikających z ustawy o ochronie danych osobowych (Dz.U z 2000 r. Nr 98, poz 1071 z późn. Zm.).
Nasza Klasa sp z o.o. przetwarza dane swoich użytkowników (obecnie około 9 milionów a także i moje mimo, że nie jestem użytkownikiem portalu, bez mojej zgody). Dane zarejestrowanych użytkowników przetwarza na podstawie zgody, akceptacji regulaminu. Gdyby były wątpliwości, co do zasad przetwarzania danych osobowych twierdzi tak sama Nasza-Klasa sp. z o.o. ma w art. 5.1 regulaminu portalu ma zastosowanie Art. 7 pkt 1 ustawy o ochronie danych osobowych, który stanowi, że zgoda to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Rejestrując się na Naszej Klasie nigdzie nie wyrażamy niestety wyraźnej, bezpośredniej zgody na przetwarzanie danych. Akceptujemy jedynie Regulamin, wyrażamy zgodę na jego przestrzeganie… Zgoda na przetwarzanie danych jest więc “dorozumiana z oświadczenia woli o innej treści” - a to jest niezgodne z prawem - ergo zgoda jest nieskuteczna.

Brnijmy dalej - chociaż sama nieskuteczność zgody to już gwóźdź do trumny. Administrator danych, a takim administratorem jest spółka Nasza Klasa, jest zobowiązany w rozumieniu ustawy (Dz.U z 2000 r. Nr 98, poz 1071 z późn. Zm.) do poinformowania wszystkich osób, których dane są przetwarzane, o:

1. adresie swojej siedziby i pełnej nazwie,

2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3. prawie dostępu do treści swoich danych oraz ich poprawiania,

4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Czyżbyście ktoś miał nadzieję, że serwis spełnia te wymogi? Cóż, są to nadzieje płonne. Owszem, adres siedziby i nazwę znajdujemy, po dłuższych poszukiwaniach, w art. 3.1 Regulaminu. A reszta?

Weźmy na cel, cel przetwarzania danych, w brzmieniu regulaminu portalu ; “Dane osobowe oraz informacje zawarte w formularzu rejestracyjnym wykorzystywane będą przez Administratora do zawarcia, zmiany, rozwiązania umowy z Użytkownikiem oraz zapewnienia jak najwyższej jakości świadczonych usług.” Niby OK, ale już widać pewne niekonsekwencje - to w końcu zbieramy dane na podstawie zgody, czy w celu wywiązania się z umowy? Brak jest jakiejś jednolitej koncepcji.

Ale dalej trafiamy na prawdziwy majstersztyk, napisane jest: “Administrator uprawniony jest do ujawnienia danych osobowych wyłącznie podmiotom upoważnionym na podstawie właściwych przepisów prawa, zgodnie z zasadami Polityki Ochrony Prywatności, postanowieniami Regulaminu i obowiązującymi przepisami prawa.” Czytając ten zapis zgodnie z zasadami interpretacji norm, dochodzimy do wniosku, że udostępnienie danych może nastąpić wyłącznie podmiotom upoważnionym na podstawie właściwych przepisów prawa. Nikomu innemu! Ani jednemu użytkownikowi portalu…
W regulaminie brak też informacji o tym, czy dane są podawane dobrowolnie, czy też jesteśmy do tego zobligowani przepisem prawa, jakiego prawa ? Mamy nawet, nieco wprowadzające w błąd stwierdzenie, iż “Użytkownik ma obowiązek aktualizować dane podane w formularzu rejestracyjnym niezwłocznie po każdej zmianie tych danych.” Z czego wynika ten obowiązek, już się nie dowiadujemy.

Na koniec wrócę jeszcze do tematu zgody. Przetwarzanie danych wrażliwych (a do takich zalicza się wizerunek, jako ujawniający pochodzenie rasowe) wymaga uzyskania zgody pisemnej. Z problemem tym borykają się wszelkie serwisy społecznościowe, randkowe itp. Furtką pozwalająca na uniknięcie pisemnej zgody, którą obecnie w naszym kraju przez Internet zebrać jeszcze trudno, jest zamieszczanie zdjęć w taki sposób, by były dostępne wszelkim osobom odwiedzającym portal. Korzystamy wtedy z wyjątku przewidzianego w art. 27 ust. 2 pkt 8 ustawy o ochronie danych osobowych. W Naszej Klasie jest jednak inaczej. Zdjęć nie obejrzymy, bez zarejestrowania. Zdjęcia (profil) możemy zastrzec. Czyli, moim zdaniem, nici z “podania do wiadomości publicznej” - publicznej, czyli powszechnie dostępnej. Dodatkową kwestią są oczywiście wizerunki innych osób widniejących na zamieszczanych zdjęciach (klasowych i nie tylko). Tu nie ma już na 100% osobistego podania do wiadomości publicznej, czyli pisemna zgoda jest obowiązkowa…
Podsumowując, po wstępnej analizie regulaminu, uważam, że Nasza Klasa:

1. nie zebrała skutecznych pozwoleń na przetwarzanie danych swoich użytkowników,

2. nie spełniła w całości obowiązku informacyjnego,

3. udostępnia dane niezgodnie z własnym Regulaminem,

4. przetwarza dane wrażliwe bez pisemnych zezwolenia.

To nie tylko powody do wydania decyzji zakazującej przetwarzania danych, ale cała lista uchybień, za które grozi odpowiedzialność karna. Naprawdę jestem ciekaw, jak odniosą się do przedstawionych wniosków, inspektorzy GIODO wydający ponowną decyzję w mojej sprawie. Może i dość restrykcyjnie interpretuję niektóre zapisy ustawy, ale opieram się na dotychczasowej praktyce GIODO. Absolutnie nie chciałbym zamknięcia serwisu. Nie tędy droga. Pomysł takiego serwisu wydaje się być trafny. Ale dlaczego to ja mam być ofiarą nieznajomości prawa przez urzędników demokratycznego państwa? Moje dane to moje dobra osobiste i one podlegają ochronie prawnej.

Proszę poddać pod rozwagę moje wystąpienie, Ja się nie cofnę i nie pozwolę na łamanie moich praw obywatelskich wynikających, także z zapisów Konstytucji Rzeczpospolitej Polskiej.

Z poważaniem
Tomasz W

Panie Tomaszu, a jak

Panie Tomaszu, a jak zamierza Pan rozwiązać problem swoich danych w serwisie http://natio.pl ?

Z natio.pl na razie nic nie wiadomo

Natio.pl póki co leży i kwiczy, nie wiem czy to z powodu przeciążenia, czy inwestor (EMG Piotr Wierzejewski z Wrocławia) się połapał i serwis zamknął "z przyczyn technicznych". Podobno przed zamknięciem można było znaleźć dane osób z n-k nawet z profili oznaczonych jako nieindeksowalne.

Sprawa o tyle ciekawa, że jeszcze kilka takich portali i afera gotowa (jakieś mainstreamowe media się potkną o temat).

Leży i kwiczy, bo moze to

Leży i kwiczy, bo moze to komuś przeszkadzało. Wszak zaciągali dane z innych serwisów. Ciekawe czy skończy sie tak samo jak http://alleuslugi.pl albo z http://nasze-wesele.eu gdzie w obu przypadkach twórcy stron zamieścili oświadczenia z przeprosinami. Swoją drogą zastanawia mnie czy te oświadczenia są wyłącznie wynikiem interwencji zainteresowanych, czy może pojawiły się po wyrokach sądowych?

Oświadczenia się faktycznie pojawiają

VaGla's picture

Wygląda jakby były to oświadczenia przez kogoś podyktowane (nie koniecznie musiał dyktować sąd). Pod domeną nasze-wesele.eu widnieje oświadczenie następującej treści:

Piotr Bodek prowadzący działalność gospodarczą pod firmą Art Unlimited Studio Projektowe w Sufczynie oraz Tomasz Bodek prowadzący działalność gospodarczą pod firmą IT & Properties Consulting w Sufczynie oświadczają, iż w ramach prowadzonej działalności gospodarczej wykorzystywali bezprawnie elementy serwisu komputerowego spółki Nasza-Klasa, w wyniku czego naruszyli autorskie prawa majątkowe przysługujące tej spółce oraz dopuścili się czynu nieuczciwej konkurencji. Piotr Bodek i Tomasz Bodek bardzo przepraszają spółkę Nasza Klasa za zaistniałą sytuację, oświadczają, iż zaniechali prowadzenia bezprawnej działalności i zobowiązują się nienaruszania praw spółki Nasza Klasa w przyszłej działalności.

Zaś pod domeną alleuslugi.pl można przeczytać m.in.:

Przemysław Cebula właściciel alleuslugi.pl, będący operatorem i właścicielem serwisu "alleuslugi.pl" oświadcza,
iż wykorzystując layout, znak towarowy serwisu Allegro.pl w sposób niedozwolony, naruszył prawa QXL Poland Sp. z o.o.- operatora internetowego serwisu Allegro.pl za co niniejszym operator serwisu "alleuslugi" przeprasza
wszystkich użytkowników internetu oraz QXL Poland Sp. z o.o.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Moje dane osobowe w Internecie

Myślę, że wymaże wszystkie moje dane z Internetu, poza tymi które są niezbędne w myśl przepisów obowiązującego prawa. Z tego co mi wiadomo to moje dane pozostały tylko na stronach Nasza Klasa sp. z o.o.

Z opinii moich prawników wynika bezsprzecznie, że mam takie prawo, tak na drodze administracyjnej jak i cywilno prawnej. Jeśli „ktoś” ma wątpliwości proszę przeczytać moje wpisy.

Jeśli ktoś ma odrębne zdanie w tych kwestiach będzie mi miło poczytać o tym.

Na koniec podziękowania i ukłony dla Piotra, za wszystko, którego serwis nie ma sobie równych w tej tematyce.
Pozdrawiam
Tomasz W

PS czekam na powtórną decyzję GIODO podobno jest w podpisie,

Konwencja o ochronie praw człowieka i podstawowych wolności,

zmieniona Protokołem Nr 111

Rzym, 4 listopada 1950 roku

European Treaty Series (ETS)

Artykuł 8

Prawo do poszanowania życia prywatnego i rodzinnego

1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego

mieszkania i swojej korespondencji.

2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z

wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym

społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt

gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i

moralności lub ochronę praw i wolności innych osób.

--------------

Tekst Konstytucji Rzeczypospolitej Polskiej ogłoszono w Dz.U. 1997, NR 78 poz. 483

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ z dnia 2 kwietnia 1997 r.

Art. 47.

Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

Art. 51.

Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.

Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.

Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Aneks do raportu z weryfikacji a dane osobowe z NK

VaGla's picture

Przy okazji tego wątku może warto osadzić tę sytuację w pewnym kontekście, tj. w kontekście dyskusji nt. publikacji raportu z weryfikacji WSI. Dziś w tekście Prezydent nie opublikuje aneksu do raportu nt. WSI w wersji Wprost pisze za PAP:

"Teraz także można by opublikować aneks, ale należałoby usunąć olbrzymią ilość danych osobowych. Taki wariant również rozważam" - zaznaczył prezydent.

Wcześniej - jak niektórzy pamiętają - przy okazji ujawnienia raportu swoje rozważania na temat danych osobowych prowadził Trybunał Konstytucyjny; Trybunał Konstytucyjny uznał część ustawy o ujawnieniu raportu z weryfikacji WSI za niezgodną z konstytucją. Jak relacjonował wówcza serwis Money.pl:

Uzasadniając wyrok sędzia sprawozdawca Janusz Niemcewicz podkreślił, że podanie do wiadomości publicznej danych osobowych stanowi ingerencję w prawo prywatności, a nawet może prowadzić do napiętnowania tych osób.

Czym się różnie serwis Nasza-klasa od raportu z weryfikacji WSI w kontekście ujawniania danych osobowych? W przypadku WSI była ustawa, która dopuszczała (chociaż - co pokazuje wyrok TK, nie do końca) publikację nazwisk. Rzeczpospolita w tekście Prezydent na razie nie może ujawnić aneksu do raportu pisała:

W ustnym uzasadnieniu wyroku sędzia Janusz Niemcewicz mówił, że jeśli ustawa zakładała publikację nazwisk osób, które miały dopuszczać się nieprawidłowości, to jeszcze przed opublikowaniem raportu osoby te powinny mieć zagwarantowane prawo do wysłuchania ich przez komisję weryfikacyjną, mieć dostęp do akt sprawy oraz otwartą drogę do odwołania do sądu.

Niemcewicz podkreślił, że ustawa "godziła się" na głęboką ingerencję w sferę autonomii jednostki, przez co powstało niebezpieczeństwo zamieszczenia w raporcie informacji niezgodnych z prawdą. "Było też poważne ryzyko błędu przy opisie stanu faktycznego przedstawianych spraw" - dodał sędzia.

TK podkreślił, że osoby publiczne muszą liczyć się z krytyką, ale ustawa pozwalała też na ujawnienie danych o osobach prywatnych, które - jak podkreślił Niemcewicz - "mogły liczyć na zachowanie w tajemnicy faktu ich współpracy z WSI".

--
[VaGla] Vigilant Android Generated for Logical Assassination

A jednak można liczyć na n-k

Ostatnio spotkałem, się z taką sytuacją, że ktoś chcąc naruszyć dobre imię mojej znajomej rozsyłał zaproszenia do jej znajomych zapisanych na portalu n-k. Osoba ta działała z własnych pobudek emocjonalnych jednak w tych "emocjach" ujawniła dane wrażliwe (z art 27 ust o ochronie danych osobowych) mojej znajomej tak na koncie na naszej klasie jak i na reklamowanym na tym koncie blogu.
Po mailu wysłanym do administracji n-k i wskazaniu naruszeń bez zbednej zwłoki n-k zobowiązała się do najpierw ostrzeżenia a później usunięcia konta użytkownika-naruszyciela. Trzeba tu pochwalić administratorów.
Swoją droga znajoma zastanawia się nad złożeniem doniesienia przeciw osobie ujawniającej te dane, które ujawniła z zamierzeniem naruszenia dobrego imienia owej mojej znajomej.

Mieszkaniec Gryfina wygrał w sądzie z portalem Nasza Klasa

a jednak sie da ;)

http://www.gp24.pl/apps/pbcs.dll/article?AID=/20090731/POMORZE/991566111

Nasza Klasa przegrała w Sądzie cywilnym

http://fakty.interia.pl/fakty_dnia/news/nasza-klasa-przegrala-przed-sadem,1346463

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>