W czasach globalnej informatyzacji, portali społecznościowych, wszechobecnego spamu i mailingu jesteśmy narażeni na przekazywanie naszych danych osobowych, kradzież tożsamości (tzw. phishing), oraz inne cyber-zagrożenia. Warto mieć świadomość jakie niebezpieczeństwa czekają na nas w sieci i tego jak się przed nimi bronić.
Bezpieczeństwo, prywatność i ochrona w sieci były tematem ogólnopolskiej konferencji pt. „E-marketing a dane osobowe po nowelizacji”, która odbyła się w dniu 12 kwietnia 2011 roku. Podczas spotkania eksperci podzielili się z uczestnikami swoją wiedzą z zakresu ochrony danych osobowych w e-marketingu, oraz zagrożeń internetowych.
Akceptując regulaminy różnych portali społecznościowych, zapisując się na newslettery, czy odpowiadając na pytania w ankietach internetowych, często nieświadomie podajemy swoje dane osobowe, godząc się na ich przetwarzanie, przekazywanie innym podmiotom, czy używanie w celach marketingowych.
Dane osobowe: zwykłe i wrażliwe
Na początku zdefiniujmy czym w ogóle są dane osobowe. W rozumieniu art. 6.1 ustawy o ochronie danych osobowych uznaje się za nie „wszelkie informacje dotyczące zidentyfikowanej, lub możliwej do zidentyfikowania osoby fizycznej.” To znaczy, że może to być imię, nazwisko, nip, pesel, czy adres zamieszkania, niekiedy także adres e-mail, czy adres IP.
Szczególnym rodzajem danych osobowych są dane wrażliwe, inaczej sensytywne, których przetwarzanie podlega specjalnym rygorom. Należą do nich dane ujawniające:
-pochodzenie rasowe lub etniczne,
-poglądy polityczne,
-przekonania religijne lub filozoficzne,
-przynależność wyznaniową, partyjną lub związkową,
-dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, oraz dane dotyczące:
-skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. (art. 27 ust. 1 ustawy o o.d.o.).
Zobacz: Adres e-mail jako dane osobowe
Generalny Inspektor Danych Osobowych w swoim orzeczeniu uznał, że dane osobowe to dane umożliwiające identyfikację konkretnej osoby bez ponoszenia nadmiernych kosztów (podobnie stanowi art.6.3 ustawy o o.d.o.).
Wizerunek to dane osobowe
Odnośnie zwykłych danych osobowych wizerunek danej osoby jest również uznawany za dane osobowe. Przypomnijmy wyrok NSA z 2007 roku (Sygn. akt I OSK 667/09) dotyczący umieszczenia na Naszej-Klasie zdjęcia ze szkoły sprzed 30 lat bez zgody osoby na nim widniejącej, w którym sąd uznał, iż zdjęcie nawet bez podpisywania osoby na nim umieszczonej podlega ochronie danych osobowych.
Jak wskazał sąd, nawet jeśli nie jesteśmy w stanie natychmiast rozpoznać danej osoby, ale mimo to jej identyfikacja jest możliwa, zdjęcie to będzie chronione jako dane osobowe. Analogicznie zasada ta dotyczy filmu z konkretną osobą, jej rysunku, czy nagrania. Powinniśmy o tym pamiętać zamieszczając zdjęcia z wspólnych imprez, czy wyjazdów, mając świadomość, że zgodnie z art. 81 ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych rozpowszechnianie wizerunku co do zasady wymaga zezwolenia osoby na nim przedstawionej.
Przetwarzanie danych
Gromadzenie danych osobowych przez różne podmioty jest związane z ich przetwarzaniem, co oznacza wszelkie operacje wykonywane na nich, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy usuwanie.
Art.23.1 Ustawy o ochronie danych osobowych określa zasady przetwarzania danych osobowych, wśród których najważniejszą jest konieczność wyrażenia na to zgody.
Odnośnie danych wrażliwych zgoda ta powinna być pisemna (ewentualnie podpis elektroniczny), w kontekście pozostałych danych wystarczy zgoda zwykła (dla celów dowodowych powinna być również pisemna).
Jak podkreśliła Mecenas Monika Brzozowska zajmująca się od wielu lat dziedziną własności przemysłowej: „przetwarzanie danych wrażliwych jest możliwe dopiero po zrejestrowaniu zbioru, a nie z chwilą zgłoszenia zbioru.” Czas oczekiwania w Giodo wynosi minimum 30 dni, a niekiedy może trwać nawet kilka miesięcy.
Zdaniem Mec. Brzozowskiej wykorzystywanie adresów mailowych w celu przesyłania informacji handlowych bez zgody odbiorcy stanowi czyn nieuczciwej konkurencji i może być uznane za naruszenia danych osobowych, w sytuacji gdy adres e-mail umożliwia identyfikację adresata.
Mec. Piotr Łada omówił kwestie związane z portalami społecznościowymi, ich regulaminami, które najczęściej są sformułowane w błędny sposób i naruszają ustawę o ochronie danych osobowych. Najczęstszym błędem popełnianym przez administratorów brak wskazania w regulaminie możliwości usunięcie konta. Użytkownik powinien mieć świadomość, że w każdym momencie może zgłosić sprzeciw w odniesieniu do przetwarzania jego danych.
Według danych GIODO w samym roku 2009 zgłoszono 230 baz danych związanych z portalami społecznościowymi- co wskazuje na dużą skale zagadnienia. Art.18 ustawy o świadczeniu usług drogą elektroniczną wskazuje jakie dane może wykorzystywać administrator portalu.
Giodo kwestionuje również charakter zgody-musi być podany cel przetwarzania, a sama zgoda nie może być blankietowa, tylko jasna i skonkretyzowana. Może ona również obejmować przetwarzanie danych w przyszłości, o ile nie zmienia się cel przetwarzania.
Ekspert z zakresu e-marketingu Jarosław Malec (Dyrektor Memex) podkreślił w swoim wystąpieniu, że oprócz przepisów prawa istotna jest także etyka: np. Honcode –dla pacjentów, czy Eosmar- kod postępowania w badaniach rynkowych.
Niebezpieczeństwa czyhające w sieci
W obecnych czasach Internet oferuje nam coraz szerszą gamę możliwości, nowych technologii, czy funkcjonalności, ale co za tym idzie niesie za sobą więcej niebezpieczeństw. Z biegiem lat zmieniła się motywacja hakerów, którzy coraz częściej jako główny cel stawiają sobie zysk stosując ukierunkowany, spersonalizowany atak. Do ich głównych działań można zaliczyć: kradzież danych, niszczenie marki, czy zdobywanie dostępu do kont, czy kart kredytowych.
Phishing-przestępstwo polegające na kradzieży tożsamości, czyli wyłudzeniu danych osobowych takich jak numer karty kredytowej, hasło, dane dotyczące konta w celu dokonania nieuprawnionej transakcji jest coraz powszechniejsze.
Dobrym rozwiązaniem w celu ochrony naszych haseł jest założenie tzw. „Sejfu tożsamości”, który będzie przechowywał wszystkie nasze hasła, generując je i zmieniając. Dzięki sejfowi będą one bezpieczne, a my sami będziemy musieli zapamiętać jedynie hasło do naszego sejfu.
Wszechobecne wirusy przesyłane poprzez skrzynki mailowe również zmieniły swój charakter -nie uszkadzają one komputerów jak to było kiedyś, ale służą do kradzież danych.
Świadomość niebezpieczeństw czyhających w sieci jest bardzo niewielka wśród Polaków, na co wskazuje m.in. 4 miejsce w rankingu światowym od względem zainfekowanych komputerów.
Adres IP to dane osobowe?
Na zakończenie konferencji Mec. Brzozowska przedstawiła budzące kontrowersje zagadnienie dotyczące numeru IP, oraz adresu e-mail w kontekście danych osobowych.
Zdaniem Pani mecenas adres IP może być traktowany jako dane osobowe, gdy jest podporządkowany do jednego komputera, co wyklucza komputery w kafejkach internetowych, w firmach, czy kilka laptopów podłączonych do tej samej sieci bezprzewodowej.
W tej kwestii wypowiedziało się Giodo, uznając w kontekście sprawy dotyczącej Maryli Rodowicz (chodziło o negatywne wpisy na temat artystki na jednym z for internetowych i odmowę udostępnienia adresów IP przez administratora portalu) iż adres IP stanowi dane osobowe.
Przeciwne podejście reprezentuje sąd monachijski nie zaliczając tego adresu do zbioru danych osobowych. Natomiast zgodnie z zaleceniami Google i Yahoo IP jest podporządkowane pod konkretny komputer, a nie pod daną osobę.
Odnośnie adresu e-mail, może on być potraktowany jako dana osobowa, gdy przy jego pomocy można określić tożsamość konkretnej osoby.
Zobacz: Phishing jest realnym zagrożeniem
Często nie mamy wpływu na to, że nasze dane osobowe są przekazywane i wykorzystywane do różnych celów, powinniśmy jednak mieć świadomość niebezpieczeństw czyhających „w sieci”. Logując się na kolejnym portalu, czy „buszując” w necie może warto zastanowić się czy chcemy podawać istotne informacje dotyczące nas czy naszych bliskich.
Z sondażu przeprowadzonego przez Polskie Badania Internetu wynika, że tylko 2 % internautów nie umieściło w sieci żadnych informacji na swój temat, a aż 24 % nie kasuje swoich nieużywanych kont. Dziewięć na dziesięć osób umieściło w internecie informacje na temat swojej daty urodzenia, imię oraz nazwisko. Ponad dwie trzecie zamieściło w internecie swoje zdjęcia. Może warto pamiętać, że w dobie globalnej wioski nadal mamy prawo do prywatności, która zawsze powinna być chroniona-na początku przez nas samych.
Anna Sergiej
Zobacz także: