Ochronę i przetwarzanie danych osobowych w internecie  regulują dwie ustawy. Pierwsza z nich – mająca zasadnicze znaczenie – to ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych, druga –  ustawa z 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną, w szczególności w zakresie rozdziału 4, który wprowadza regulacje wobec postanowień ustawy z 29 sierpnia 1997 r. Istotne znaczenie ma również rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jakie dane, to dane osobowe?
Za dane osobowe ustawa o ochronie danych osobowych traktuje wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą taką jest ktoś, kogo tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Aby stwierdzić, że mamy do czynienia z danymi osobowymi należy rozstrzygnąć, kiedy – z perspektywy kwalifikowania informacji jako danych osobowych – możliwe jest ustalenie tożsamości osoby, której dotyczy pewna informacja, tj. kiedy informacja pozwala określić tożsamość osoby. Informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się „powiązać” z określoną osobą, zwłaszcza przy wykorzystaniu osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do danych osobowych. Nie zasługują na taką kwalifikację z kolei te informacje, których „powiązanie” z oznaczoną osobą nie jest łatwo osiągalne i wymaga nakładów nadzwyczajnych.
Charakter danych osobowych mogą posiadać informacje z tzw. różnych dziedzin życia, pod warunkiem, że istnieje tylko możliwość powiązania ich z oznaczoną osobą (np. takie „niezależne okoliczności” jak imię, nazwisko, numer PESEL, data urodzenia; cechy nabyte, jak wykształcenie, posiadane uprawnienia; cechy osobowościowe, zainteresowania; sytuacja majątkowa; najróżniejsze przejawy działalności).

Ważne ciasteczka
W aspekcie korzystania z internetu nieodzownym jest utrwalanie pewnych danych za pomocą tzw. „cookies”. Cookies to niewielkie informacje tekstowe, wysyłane przez serwer WWW i zapisywane po stronie użytkownika (zazwyczaj na twardym dysku). Domyślne parametry ciasteczek pozwalają na odczytanie informacji w nich zawartych jedynie serwerowi, który je utworzył. Ciasteczka są stosowane najczęściej w przypadku liczników, sond, sklepów internetowych czy stron wymagających logowania. Ciasteczka mogą zawierać rozmaite rodzaje informacji o użytkowniku danej strony WWW i „historii” jego łączności z daną stroną (a właściwie serwerem). Zazwyczaj wykorzystywane są do automatycznego rozpoznawania danego użytkownika przez serwer, dzięki czemu może on wygenerować stronę ściśle dedykowaną. Umożliwia to tworzenie spersonalizowanych serwisów WWW, obsługi logowania, „koszyków zakupowych” w internetowych sklepach, itp. Moim zdaniem, informacje zawarte w „cookies” nie korzystają z ochrony wynikającej
z ustawy o danych osobowych, bowiem system informatyczny (serwer) rozpoznaje jedynie komputer, z którego się zalogowano do danej strony WWW lub serwisu, nie pozwala natomiast ustalić danych użytkownika i jego danych personalnych, chyba że podczas odwiedzin strony zapisane zostaną również informacje pozwalające na ustalenie tożsamości osoby fizycznej.

Administrator, czyli kto?
Pod pojęciem administratora danych rozumie się, według ustawy o ochronie danych osobowych organ, jednostkę organizacyjną, podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, i które to ww. podmioty decydują o celach i środkach przetwarzania danych osobowych. Podmioty te mogą mieć siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej

Jak przetwarzać dane
Zgodnie z ustawą o świadczeniu usług drogą elektroniczną do przetwarzania danych osobowych w rozumieniu ustawy o ochronie danych, stosuje się przepisy tej ustawy, o ile ustawa o  świadczeniu usług drogą elektroniczną nie stanowi inaczej. Zgoda na przetwarzanie danych osobowych powinna zostać wyrażona w sposób określony w art. 7 pkt 5 ustawy o ochronie danych osobowych, tzw. oświadczenie woli, co nie wyklucza możliwości udzielenie jej przykładowo poprzez zaznaczenie tzw. checboksa (znacznika) na stronie administratora danych. Wyrażona zgoda może być odwołana w każdym czasie.
Z wyrażeniem zgody na przetwarzanie danych związany jest zakaz przesyłania niezamówionej informacji handlowej kierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej (tzw. spamming). Przesyłanie tego typu informacji stanowi czyn nieuczciwej konkurencji, zarówno wtedy, kiedy przesyłany jest do osób prawnych, jak i do osób fizycznych, których tożsamości nadawca ustalić nie może.
Usługodawca, przez którego należy rozumieć osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną, może przetwarzać dane osobowe usługobiorcy w celu i zakresie tylko wtedy, jeśli jest to niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi: nazwisko i imiona usługobiorcy, numer ewidencyjny PESEL lub – gdy ten numer nie został nadany –  numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, adres zameldowania na pobyt stały, adres do korespondencji, jeżeli jest inny niż adres zameldowania, dane służące do weryfikacji podpisu elektronicznego usługobiorcy, adresy elektroniczne usługobiorcy.
Na usługodawcę nałożono obowiązek zapewnienia usługobiorcy dostępu do informacji o podmiocie, któremu powierzył on przetwarzanie danych, a także zakresie i zamierzonym terminie ich przekazania.
Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:

1. możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu,
2. udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną,
3. podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie do przetwarzania danych.

Polityka bezpieczeństwa
Podmiot, który przetwarza dane osobowe z wykorzystaniem internetu jest zobowiązany zastosować odpowiednie zabezpieczenia danych oraz przygotować i wdrożyć podstawowe dokumenty regulujące zagadnienie ochrony danych osobowych. Podmiot przetwarzający dane powinien przygotować politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa powinna zawierać:

• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
• sposób przepływu danych pomiędzy poszczególnymi systemami;
• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja powinna zawierać:

1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5. sposób, miejsce i okres przechowywania:
     a. elektronicznych nośników informacji zawierających dane osobowe,
     b. kopii zapasowych, o których mowa w pkt 4,
6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia;
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Internetowe profile usługobiorców
Istotnym, z punktu widzenia głównie firm marketingowych, jest możliwość zbierania informacji o aktywności użytkowników internetu, w tym usługobiorców i zestawianie tak zebranych danych w określone profile użytkowników. Ustawa zezwala na tworzenie takich zestawień, jednakże z pewnymi ograniczeniami. Po pierwsze, usługodawca może tworzyć zestawienia, jeżeli jest to niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy. Zestawienie może zawierać informacje dotyczące tego, z jakich usług korzystał użytkownik, o jakiej godzinie i w jakich dniach. Tworzenie takich zestawów nie wymaga zgody użytkownika, pod warunkiem jednak usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń. Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym przez niego pseudonimem.

Naruszenie prawa przez użytkownika
Może zdarzyć się sytuacja, w której usługobiorca, korzystają z usługi, narusza przepisy prawa. W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem, że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości. Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia do przetwarzania danych osobowych.

Zakończenie usługi
Co do zasady, po zakończeniu usługi świadczonej drogą elektroniczną, usługodawca nie może przetwarzać danych osobowych. W pewnych przypadkach przetwarzanie będzie możliwe, w szczególności, jeśli takie przetwarzanie jest:

• niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi,
• niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy,
• niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi,
• dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy.

Sebastian Pietrzyk, Kancelaria radców prawnych Plucińska Stopczyk Mikulski