Dwa lata temu w serwisie internetowym Nasza-Klasa pojawiło się jedno z kolejnych zdjęć klasowych. Pod nim tradycyjnie widniały imiona i nazwiska, które pozwalały na zidentyfikowanie uczniów pozujących do zdjęcia. Wśród nich znajdował się Tomasz W., który dowiedziawszy się o tym fakcie, nie był zadowolony z zamieszczenia danych pozwalających bez problemu ustalić jego tożsamość. Wystąpił więc do administratorów Naszej-Klasy z żądaniem usunięcia jego nazwiska pod zdjęciem. Jak stwierdził, dane w portalu umieszczono bez jego zgody i wiedzy. Nigdy też nie był użytkownikiem portalu. Mimo tego serwis nie usunął wskazanych przez niego informacji.

Wątpliwe dane

Niezadowolony mężczyzna złożył w styczniu 2008 r. wniosek do Głównego Inspektora Ochrony Danych Osobowych (GIODO), w którym domagał się zobowiązania właścicieli portalu do usunięcia danych dotyczących jego osoby. Przedstawiciel GIODO nie przychylił się jednak do żądania (uznał, że Nasza-Klasa przetwarza dane osobowe w sposób legalny). Powołując się na ustawę o świadczeniu usług drogą elektroniczną, GIODO podkreślił, że Nasza-Klasa nie ponosi odpowiedzialności za dane przechowywane w serwisie. Nasza-Klasa świadczy bowiem na rzecz zarejestrowanych użytkowników swojego serwisu usługę, która polega na przechowywaniu danych w systemie teleinformatycznym. Co więcej, serwis jest zobowiązany do przechowywania umieszczonych w nim danych, np. imienia i nazwiska osoby, które zostały tam zamieszczone przez kogoś innego. Innymi słowy: obowiązkiem serwisu jest ochrona danych wprowadzonych przez użytkowników, a nie ich usuwanie.

Gdy Tomasz W. pół roku później ponownie zwrócił się do GIODO, który zmienił swoje stanowisko. GIODO stwierdził, że kwestionowane informacje o skarżącym nie mieszczą się w definicji danych osobowych. Należy bowiem wziąć pod uwagę, iż imię i nazwisko skarżącego podano pod jego wizerunkiem sprzed wielu lat. Stąd też samo zestawienie zdjęcia z przeszłości z imieniem i nazwiskiem określonej osoby oraz szkoły podstawowej, do której uczęszczała, nie pozwala na identyfikację tej osoby bez nadmiernych kosztów i czasu. Z tych powodów umorzył postępowanie.

Ważne, by ustalić tożsamość

Zainteresowany nie zgodził się z takim sposobem zakończenia sprawy i zaskarżył decyzję GIODO do sądu administracyjnego. Nie zgodził się z twierdzeniem organu, iż kwestionowane informacje o nim nie stanowią danych osobowych. Stwierdził też, że każda informacja na temat osoby zidentyfikowanej lub dającej się zidentyfikować stanowi dane osobowe. Ponadto twierdzenie organu, iż jego dane są dostępne tylko dla określonego kręgu osób - zarejestrowanych użytkowników portalu, jest nie do przyjęcia, ponieważ portal nie posiada żadnych mechanizmów weryfikacji tożsamości, co powoduje, iż jest on łatwo dostępny dla każdego.

Wojewódzki Sąd Administracyjny w Warszawie 3 marca 2009 r. rozpoznał skargę Tomasza W. i uchylił kwestionowaną decyzję GIODO. W opublikowanym niedawno uzasadnieniu wyroku WSA stwierdził, że czynnikiem decydującym o tym, czy mamy do czynienia z danymi osobowymi, czy nie, nie powinna być możliwość powiązania informacji z przeszłości określonej osoby z jej obecną sytuacją.

Dane osobowe dotyczą identyfikowanej lub możliwej do zidentyfikowania osoby fizycznej lub prawnej, a możliwa do zidentyfikowania jest taka osoba, której można określić tożsamość. Pojęcie tożsamość oznacza cechy, które stanowią o tym, kim dana osoba jest, czym różni się od innych. Na tak rozumianą tożsamość składa się nie tylko to, kim się jest obecnie, ale także to, kim się było, a nawet zamierzenia na przyszłość. Wszystko to powoduje, że dana osoba różni się od innej.

Informacje z przeszłości

W celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby. Zidentyfikowanie danej osoby dotyczy także przeszłych informacji o określonym człowieku, przez które to informacje można zdobyć wiedzę o jego tożsamości. Należy zatem przyjąć, iż zgodnie z treścią art. 6 ust. 2 ustawy o ochronie danych osobowych o tym, czy mamy do czynienia z danymi osobowymi, decydują nie tylko wiadomości dotyczące aktualnej sytuacji osoby fizycznej, ale także informacje odnoszące się do tego, co robiła i kim była w przeszłości. Oznacza to, że również takie dane podlegają ochronie.

Sąd zobowiązał GIODO do ponownego rozpoznania sprawy Tomasza W. Jeśli GIODO nie wniesie kasacji od wyroku, będzie musiał ponownie rozważyć, czy wystąpi do Naszej-Klasy z żądaniem zaprzestania przetwarzania i usunięcia wskazanych danych osobowych.

DANE OSOBOWE W INTERNECIE

IP komputera - jeśli umożliwia dotarcie do osoby, która się za nim kryje

login i nick - gdy pozwala bez nadmiernych kosztów zidentyfikować osobę

adres e-mail - jeśli zawiera informacje pozwalające ustalić tożsamość, np. imię i nazwisko

Przetwarzanie danych osobowych w internecie jest legalne, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę (chyba że chodzi o usunięcie dotyczących jej danych),

2) zezwalają na to przepisy prawa,

3) jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych (m.in. marketing bezpośredni, dochodzenie roszczeń z prowadzonej działalności) lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.

Podstawa prawna

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 3 marca 2009 r. (sygn. II SA/Wa 1495/08).