Dominika Nowak-Byrtek

Wstęp

4 kwietnia 2017 r. Grupa Robocza przyjęła projekt wytycznych w zakresie oceny skutków dla ochrony danych osobowych (WP 248), która zostaje wprowadzona w art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1, dalej: RODO). Konsultacje publiczne nad projektem trwają do 23 maja 2017 r.

****

Jaki jest cel wydania wytycznych?

Od dnia 25 maja 2017 r. administrator przed rozpoczęciem przetwarzania danych osobowych zobowiązany będzie dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych (ang. Data Protection Impact Assessment – DPIA), jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co wynika z art. 35 RODO. Przeprowadzenie oceny skutków nie jest obligatoryjne w każdym przypadku przetwarzania danych osobowych.

Wytyczne przestawione przez Grupę Roboczą Art. 29 mają na celu wyjaśnienie administratorom przepisów w tym zakresie, aby umożliwić im prowadzenie działalności zgodnie z prawem oraz uzyskanie pewności co do sytuacji, w których DPIA jest obowiązkowe. Jest to istotne, gdyż art. 35 ust.3 zawiera wyłącznie przykładowe niewyczerpujące wyliczenie sytuacji, w których ocena skutków dla ochrony danych jest obowiązkowa. Ponadto, brak przeprowadzenia DPIA, gdy jest to obowiązkowe (art. 35 ust. 1 i 3 RODO) lub też przeprowadzenie DPIA niewłaściwie (art. 35 ust. 2, 7 i 9 RODO) lub też nieprzeprowadzenie konsultacji z organem nadzorczym, gdy jest to wymagane (art. 36 ust. 3 lit. e RODO), zagrożone jest administracyjną karą pieniężną w wysokości do 10 mln Euro, a w przypadku przedsiębiorstw w wysokości do 2% całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Kiedy DPIA jest obowiązkowe?

Dokument zawiera wykaz kryteriów, które należy brać pod uwagę w celu sprawdzenia, czy ocena skutków jest wymagana w konkretnym przypadku. Jednocześnie Grupa Robocza Art. 29 zastrzega, że w przypadkach, gdy nie jest jednoznaczne, czy DPIA jest wymagane, rekomendowane jest jego przeprowadzenie, chociażby ze względu na to, że jest to narzędzie pomocne dla administratorów w celu zachowania zgodności z przepisami o ochronie danych osobowych.

Jak wynika z wyżej powołanego art. 35 ust. 1 RODO, DPIA jest wymagane, jeżeli przetwarzanie danych osobowych „może powodować wysokie ryzyko” naruszenia praw lub wolności osób fizycznych. Zgodnie z art. 35 ust. 3 RODO ocena skutków jest wymagana w szczególności w następujących przypadkach, które nie stanowią jednak katalogu zamkniętego:

1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ponadto na podstawie art. 35 ust. 1, art. 35 ust. 3 lit. a-c), motywów 71, 75 oraz 91 preambuły RODO, Grupa Robocza art. 29 wskazała kryteria, które należy brać pod uwagę przy ocenie ryzyka dla naruszenia praw lub wolności osób fizycznych:

1. ocena i scoring, w tym profilowanie i przewidywanie, w szczególności dotyczące takich aspektów podmiotu danych jak świadczenie pracy, sytuacja ekonomiczna, zdrowie, osobiste preferencje, zainteresowania, wiarygodność, zachowanie, lokalizacja czy poruszanie się,
2. zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub wpływające na podmiot danych w podobny sposób (dalsze wyjaśnienia co do profilowania Grupa Robocza art. 29 zamieści w odrębnych wytycznych, które zostaną opublikowane w późniejszym terminie. Zagadnienie profilowania zostanie na pewno poruszone na blogu),
3. systematyczne monitorowanie mające na celu obserwowanie, monitorowanie lub kontrolowanie podmiotu danych, w tym systematyczne monitorowanie miejsc dostępnie publicznych,
4. przetwarzanie tzw. danych wrażliwych,
5. dane przetwarzane na dużą skalę,
6. dane osobowe podlegające łączeniu lub dopasowywaniu,
7. dane dotyczące wrażliwych podmiotów danych,
8. wykorzystanie do przetwarzania danych innowacyjnych rozwiązań technicznych lub organizacyjnych,
9. transfer danych poza granice Unii Europejskiej,
10. jeżeli przetwarzanie danych samo w sobie utrudnia podmiotom danych wykonywanie przysługujących im praw lub korzystanie z usługi lub z umowy.

Grupa Robocza art. 29 wskazuje, że im więcej kryteriów zostanie spełnionych, tym większe jest prawdopodobieństwo, że przetwarzanie danych przez administratora może powodować wysokie ryzyko naruszenia praw lub wolności podmiotu danych. Natomiast jeżeli administrator danych uważa, że przetwarzanie danych nie narusza praw i wolności, mimo że zostały spełnione określone kryteria, to powinien tę okoliczność dokładnie udokumentować.

Ponadto, zgodnie z treścią art. 35 ust. 4 RODO organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz operacji przetwarzania danych podlegających wymogowi dokonania oceny skutków dla ochrony danych. Dodatkowo, organ nadzorczy fakultatywnie może ustanowić i podać do publicznej wiadomości wykaz operacji przetwarzania danych niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. W praktyce okaże się, na ile wykazy te będą przydatne dla administratorów i podmiotów przetwarzających.

Grupa Robocza art. 29 rekomenduje, aby oceny skutków dla dotychczasowego przetwarzania danych osobowych dokonać przed majem 2018 r., mimo że formalnie wymóg ten będzie dotyczył operacji przetwarzania danych, które rozpoczęto po rozpoczęciu stosowania RODO po 25 maja 2018 r. W sytuacji, gdy w trakcie przetwarzania danych dojdzie do zmiany technologii, czy też celu przetwarzania wskazane jest powtórne przeprowadzenie DPIA, które pozwoli na zachowanie odpowiedniego poziomu ochrony danych osobowych w zmieniających się warunkach.

Jak przeprowadzić DPIA?

Po pierwsze DPIA powinno zostać przeprowadzone przez rozpoczęciem przetwarzania, już na etapie projektowania operacji przetwarzania danych, nawet jeżeli wszystkie planowane operacje nie są jeszcze znane. Administrator jest odpowiedzialny za wynik DPIA, ale może je zlecić zarówno podmiotowi w ramach organizacji, jak i podmiotowi zewnętrznemu. Jeżeli w danej organizacji powołano inspektora ochrony danych (DPO), to administrator zobowiązany jest się z nim skonsultować (art. 35 ust. 2 RODO). DPO natomiast jest zobowiązany do udzielania na żądanie zaleceń co do DPIA oraz następnie monitorowania ich wykonania (art. 39 ust. 1 lit. c RODO).

W przypadkach gdy przetwarzanie będzie przeprowadzane przez podmiot przetwarzający w całości lub części, powinien on brać udział w DPIA i udzielać koniecznych informacji. W stosownych przypadkach administrator zobowiązanych jest zasięgnąć opinii podmiotów danych lub też ich przedstawicieli w sprawie zamierzonego przetwarzania (art. 35 ust. 9 RODO).

Jaką metodą przeprowadzić DPIA?

DPIA powinno zawierać co najmniej (art. 35 ust. 7 RODO):

1. systematyczny opis planowanych operacji przetwarzania danych i celów przetwarzania,
2. ocenę niezbędności i proporcjonalności przetwarzania w stosunku do celów,
3. ocenę ryzyka naruszenia praw i wolności podmiotów danych,
4. środki planowane w celu zaradzenia ryzyku oraz wykazanie zgodności operacji przetwarzania danych z RODO.

Oceniając do celów DPIA skutki przetwarzania przez administratora lub podmiot przetwarzający uwzględnia się przestrzeganie przez taki podmiot zatwierdzonych kodeksów podstępowania z art. 40 RODO. RODO umożliwia administratorom elastyczność co do określenia formy DPIA, która będzie pasować do obecnych metod pracy. Grupa Robocza zachęca jednocześnie do tworzenia metod DPIA dla poszczególnych sektorów. Załącznik nr 1 do projektu wytycznych zawiera przykłady obecnie funkcjonujących DPIA, a załącznik nr 2 kryteria wymagane dla DPIA. Grupa Robocza wskazuje, że nie ma prawnego wymogu, aby wynik przeprowadzonego DPIA został opublikowany, lecz publikacja może pomóc w budowie zaufania do administratora, w szczególności gdy przetwarzanie są dane opinii publicznej, w tym przez władzę publiczną. Grupa podkreśla, że administrator może opublikować wyłącznie podsumowanie DPIA, a nie całość dokumentacji.

Kiedy administrator powinien skonsultować DPIA z organem nadzorczym?

Zgodnie z art. 36 ust. 1 RODO, jeżeli DPIA wykaże, że przetwarzanie spowodowałoby wysokie ryzyko dla praw i wolności osób, których dane dotyczą, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem tego przetwarzania administrator danych zobowiązany jest skonsultować się z organem nadzorczym.

Do kiedy trwają konsultacje publiczne nad projektem wytycznych?

Obecna wersja wytycznych nie jest ich tekstem ostatecznym. Uwagi do projektu wytycznych należy zgłaszać do 23 maja 2017 r. na adres JUST-ARTICLE29WP-SEC@ec.europa.eu lub presidenceg29@cnil.fr.

Trybunał Sprawiedliwości UE dnia 19 października 2016 r. wydał wyrok, w którym uznał, że dynamiczny adres IP rejestrowany przez dostawcę danej usługi online w związku z przeglądaniem strony internetowej udostępnionej publicznie stanowi dane osobowe w rozumieniu przepisów o ochronie danych osobowych pod warunkiem, że dostawca ten dysponuje środkami prawnymi pozwalającymi na uzyskanie dodatkowych informacji umożliwiających identyfikację danego użytkownika. Jest ważny wyrok w zakresie wyznaczania pojęcia danych osobowych na gruncie prawa unijnego.

****

Zagadnienie uznawania adresu IP za dane osobowe podlegało już analizie zarówno TSUE, jak i Grupy Roboczej art. 29. Do tej pory przyjmowano, że przede wszystkim statyczny adres IP, który jest przypisany na stałe lub przez dłuższy czas do konkretnego komputera stanowi danę osobową. Natomiast wyrok w sprawie C-582/14, Patrick Breyer przeciwko Federalnej Republice Niemiec dotyczy dynamicznego adresu IP, który podlega zmianie przy rozpoczęciu każdej nowej sesji. TS UE w omawianej sprawie uznał, że dynamiczny adres IP rejestrowany przez dostawcę danej usługi online w związku z przeglądaniem strony internetowej udostępnionej publicznie stanowi dane osobowe w rozumieniu przepisów o ochronie danych osobowych pod warunkiem, że dostawca ten dysponuje środkami prawnymi pozwalającymi na uzyskanie dodatkowych informacji umożliwiających identyfikację danego użytkownika. Ponadto, Trybunał uznał, że dopuszczalne jest, aby dostawca usługi przetwarzał dane zebrane w związku z korzystaniem z niej po jego zakończeniu, jeżeli jest to zgodne z uzasadnionym interesem administratora.

Stan faktyczny

Patrick Breyer przeglądał strony internetowe niemieckich służb federalnych. Każde wejście na taką stroną jest rejestrowane w postaci logów. Po zakończeniu sesji przechowywane są nazwy konsultowanych danych, wyszukiwane pojęcia, data i godzina, ilość przesłanych danych, informacja o powodzeniu konsultacji oraz adres IP. Dostawcy internetu przydzielają użytkownikowi albo statyczny niezmienny adres IP albo dynamiczny adres IP, który zmienia się przy każdym nowym połączeniu z internetem. Co istotne, dynamiczne adresy IP nie umożliwiają ustalenia tożsamości danej osoby przy pomocy publicznie dostępnych plików komputera i fizycznego połączenia do sieci używanego przez dostawcę internetu.

Patrick Breyer wytoczył powództwo przed niemieckim sądem administracyjnym, mające na celu zakazanie Federalnej Republice Niemiec przechowywania lub zlecenia przechowywania przez osoby trzecie adresu IP Brayera po zakończeniu przeglądania dostępnych publicznie stron niemieckich służb federalnych, jeżeli rejestracja adresu nie jest konieczna do przywrócenia dostępności w przypadku awarii. Federalny Trybunał Sprawiedliwości zadając pytania prejudycjalne wskazał, iż dynamiczne adresy IP przechowywane przez dostawcę usługi stanowią w kontekście innych danych, informacje o użytkowniku dotyczące przeglądanych stron lub plików. Jednocześnie wskazano, że dynamiczne adresy IP mogą służyć do identyfikacji wyłącznie, jeżeli dostawca internetu przekaże informacje dotyczące tożsamości użytkownika, a uznanie danych za dane osobowe zależy właśnie od możliwości identyfikacji.

Pytania prejudycjalne

Pytania prejudycjalne skierowane do TS UE przez Federalny Trybunał Sprawiedliwości dotyczyły zasadniczo dwóch kwestii:

• Czy pojęcie danych osobowych powinno być interpretowane na gruncie art. 2 lit a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej jako: dyrektywa 95/45/WE) tak, że adres IP, który jest rejestrowany przez usługodawcę w związku z wejściem na jego stronę internetową stanowi dane osobowe tylko wtedy, gdy podmiot oferujący dostęp dysponuje dodatkową wiedzą umożliwiającą identyfikację danej osoby?
• Czy przesłanka przetwarzania danych osobowych z art. 7 lit f) dyrektywy 95/46/WE (tzw. klauzula prawnie usprawiedliwionego celu) stoi na przeszkodzie przepisowi prawa krajowego, zgodnie z którym usługodawca może wykorzystywać dane osobowe użytkownika bez jego zgody, tylko gdy jest to konieczne do umożliwienia i rozliczenia korzystania z określonej usługi online przez użytkownika, i zgodnie z którym cel polegający na zapewnieniu funkcjonowania usługi nie może być uzasadnieniem dla korzystania z tych danych po zakończeniu przeglądania danej strony?

Rozstrzygnięcie

Co do pierwszego pytania, TSUE zauważył, że dynamiczny adres IP nie stanowi samodzielnie informacji odnoszącej się do „zidentyfikowanej osoby fizycznej” zgodnie z definicją danych osobowych  z art. 2 lit a) dyrektywy 95/46/WE, ponieważ nie odnosi się bezpośrednio do tożsamości osoby, do której należy urządzenie. Następnie sąd rozważył, czy dynamiczny adres IP może zostać uznany za informację dotyczącą „możliwej do zidentyfikowania osoby fizycznej”, jeżeli dodatkowe informacje pozwalające na ustalenie tożsamości znajdują się w posiadaniu dostawcy dostępu do internetu. TSUE zauważył, że z definicji danych osobowych wynika możliwość zarówno bezpośredniej, jak i pośredniej identyfikacji. Termin „pośrednio” oznacza, że nie jest konieczne, aby dana informacja bez pozyskania dodatkowych danych umożliwiała identyfikację. Przy ocenie, czy wskazane informacje to dane osobowe należy brać pod uwagę racjonalne sposoby identyfikowania, jakie może wykorzystać administrator danych (motyw 26 dyrektywy 95/46/WE). Uznano również, że fakt posiadania informacji koniecznych do identyfikacji przez podmiot inny niż dostawca danej usługi nie wyklucza możliwości uznania tych danych za dane osobowe. Jednakże muszą istnieć środki prawne pozwalające na uzyskanie koniecznych informacji od dostawcy dostępu do internetu.

Natomiast co do drugiego pytania prejudycjalnego, TSUE wskazał, że art. art. 7 lit f) dyrektywy 95/46/WE (tzw. klauzulę prawnie usprawiedliwionego celu) należy interpretować tak, że jest on przeszkodą dla prawa państwa członkowskiego, na podstawie którego dostawca usług medialnych online może przetwarzać dane użytkownika bez jego zgody tylko w celach wykorzystywania danych koniecznych do rozliczenia i umożliwiania korzystania z danej usługi. Zauważono również, że cel zapewnienia ogólnej funkcjonalności nie może uzasadniać korzystania z danych po zakończeniu korzystania z danej usługi.

Co orzeczenie to oznacza w praktyce?

Nie ulega wątpliwości, że wyrok w sprawie Breyer idzie w kierunku coraz szerszego pojęcia danych osobowych oraz coraz ściślejszej ochrony podmiotu danych. Należy jednak podkreślić, że orzeczenie to będzie miało zastosowanie w przypadkach, gdy administrator danych będzie dysponował środkami prawnymi, które umożliwią mu identyfikację użytkownika. Nie każdemu dostawcy i nie w każdym przypadku będą one przysługiwały.

Na gruncie polskiego ustawodawca należy zwrócić uwagę na art. 6 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym „Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.” Zgodnie z tym przepisem każdorazowo należy dokonywać oceny uwzględniając specyfikę działania konkretnego administratora danych. Przy obecnym rozwoju technologii informacja, która dla jednego podmiotu może służyć do szybkiego ustalenia tożsamości, dla innego może się łączyć z działaniami wymagającymi nieproporcjonalnych kosztów, czasu lub działań. Przesłanka ta ma jednak charakter nieokreślony i będzie podlegać szacowaniu odrębnie w każdym przypadku.

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) dnia 15 września 2016 r. wydał wyrok w sprawie C-484/14, Tobias Mc Fadden przeciwko Sony Music Entertainment Germany GmbH, w którym ograniczył odpowiedzialność podmiotów udostępniających bezpłatną i publiczną siec Wi-Fi za naruszenia praw autorskich dokonane przez użytkowników. Orzeczenie to ma niezwykle istotne znaczenie praktyczne dla wszystkich przedsiębiorców, którzy w ramach swojej działalności udostępniają swoim klientom sieć Wi-Fi w celu zwrócenia uwagi na swoje towary bądź usługi.

****

Zagadnienie odpowiedzialności za naruszenia praw autorskich dokonane za pomocą publicznych i bezpłatnych sieci Wi-Fi ma niezwykle praktyczne znaczenie. Takie sieci Wi-Fi są codziennie udostępniane przez hotele, restauracje, sieci handlowe, czy inne obiekty użyteczności publicznej. Wyrok TSUE z dnia 15 września 2016 r. w sprawie C-484/14, Tobias Mc Fadden przeciwko Sony Music Entertainment Germany GmbH w sposób jednoznaczny ogranicza odpowiedzialność takich podmiotów za nielegalne działania użytkowników takich sieci. W omawianym wyroku TSUE jednoznacznie przesądził, że podmiot prowadzący sklep, który oferuje bezpłatne i publicznie dostępne sieci Wi-Fi nie jest odpowiedzialny za dokonane przez użytkowników naruszenia praw autorskich. Jednocześnie TSUE uznał za dopuszczalne wydanie przez sąd krajowy nakazu zabezpieczenia sieci Wi-Fi hasłem.

Stan faktyczny

Tobias Mc Fadden prowadził sklep zajmujący się sprzedażą i wynajmem sprzętu oświetleniowego i nagłaśniającego. Jako operator lokalnej sieci bezprzewodowej oferował bezpłatny i anonimowy dostęp do Internetu. Dostęp do sieci nie był chroniony w żaden sposób, co miało na celu zwrócenie uwagi na firmę prowadzoną przez Mc Fadden oraz jej działalność. Za pośrednictwem tej publicznie dostępnej sieci, przez jednego z jej użytkowników, bez zgody właścicieli praw autorskich został udostępniony publicznie utwór muzyczny. Producentem udostępnionego nielegalnie fonogramu był Sony Music, który podnosił, że Mc Fadden, jako właściciel sieci Wi-FI, które daje innym użytkownikom możliwość korzystania z niezabezpieczonej sieci Wi-FI jest odpowiedzialny za naruszenie praw autorskich dokonane poprzez jego sieć Wi-Fi. Na gruncie tej sprawy Sąd Okręgowy w Monachium rozważał, czy istnieje możliwość uznania McFaddena za pośrednio odpowiedzialnego za naruszenia praw autorskich ze względu na niezabezpieczenie sieci Wi-Fi.

Pytania prejudycjalne

W związku z powyższym, Sąd Okręgowy w Monachium, przed którym toczył się spór, złożył wniosek o wydanie orzeczenia w trybie prejudycjalnym w przedmiocie wykładni art. 12 ust. 1 dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu. elektronicznego w ramach rynku wewnętrznego (dalej dyrektywy o handlu elektronicznym) (Dz.U. 2000, L 178, s.1), który reguluje tzw. zwykły przekaz i brzmi następująco:

1. Państwa Członkowskie zapewniają, żeby w przypadku świadczenia usługi społeczeństwa informacyjnego polegającej na transmisji w sieci telekomunikacyjnej informacji przekazanych przez usługobiorcę lub na zapewnianiu dostępu do sieci telekomunikacyjnej usługodawca nie był odpowiedzialny za przekazywane informacje, jeżeli:
2. a) nie jest inicjatorem przekazu;
3. b) nie wybiera odbiorcy przekazu; oraz
4. c) nie wybiera oraz nie modyfikuje informacji zawartych w przekazie.

[…]

3. Niniejszy artykuł nie ma wpływu na możliwość wymagania od usługodawcy przez sąd lub organ administracyjny, zgodnie z systemem prawnym Państw Członkowskich, żeby przerwał on naruszenia prawa lub im zapobiegł.

Zadane pytania prejudycjalne, dotyczące wykładni wskazanego powyżej przepisu  sprowadzały się przede wszystkim do odpowiedzi na pytanie, czy udostępnianie bezpłatnej sieci Wi-Fi może być uznane za usługę społeczeństwa informacyjnego, do której można zastosować wyłączenie odpowiedzialności z art. 12 dyrektywy o handlu elektronicznym oraz do analizy tego, czy art. 12 ust. 1 dyrektywy o handlu elektronicznym nie stoi na przeszkodzie wydaniu przez sąd krajowy orzeczenia zobowiązującego do zaniechania uniemożliwienia pod rygorem grzywny udostępniania treści chronionych prawem autorskim.

Zakres odpowiedzialności na podstawie art. 12 dyrektywy o handlu elektronicznym

W przedmiotowym orzeczeniu TSUE uznał, że bezpłatne publiczne udostępnianie sieci Wi-Fi w celu skłonienia klientów do zwrócenia uwagi na własne towary i usługi, czyli w celu marketingowym jest usługą społeczeństwa informacyjnego. Tym samym jeżeli zostają spełnione 3 przesłanki z art. 12 ust. 1 dyrektywy o handlu elektronicznym, to na tej podstawie podmioty takie jak Mc Fadden nie ponoszą odpowiedzialności za działania użytkowników korzystających z tej sieci. W konsekwencji zatem podmioty, których prawa autorskie zostały naruszone poprzez udostępnienie zawartości za pośrednictwem takiej sieci bezprzewodowej nie mogą domagać się od dostawcy usługi odszkodowania za naruszenie praw autorskich.

Trybunał wyjaśnił również, że dyrektywa o handlu elektronicznym nie jest jednak przeszkodą do tego, aby podmiot praw autorskich zażądał wydania nakazu wobec usługodawcy oferującego taką sieć Wi-Fi w celu przerwania naruszeń dokonywanych przez klientów lub zapobiegania takim naruszeniom. Dopuszczalne jest również, aby podmiot praw autorskich zażądał od usługodawcy zasądzenia kosztów wezwania do zaniechania naruszenia. W praktyce oznacza to, że mimo braku odpowiedzialności udostępniającego sieć Wi-Fi, sąd krajowy może wydać nakaz nakładający obowiązek przerwania naruszeń dokonywanych przez użytkowników sieci.

W orzeczeniu TSUE wskazał również, że art. 12 ust. 1 dyrektywy o handlu elektronicznym nie przeszkadza, aby sąd nakazał dostawcy usługi uniemożliwienie osobom trzecim (użytkownikom sieci) udostępniania za pomocą danego łącza określonego utworu lub jego części, gdy dostawca ma możliwość wyboru środków technicznych służących temu celowi, nawet gdy wybór ten sprowadza się do środka polegającego na zabezpieczeniu sieci bezprzewodowej Wi-Fi hasłem, pod warunkiem że użytkownicy są zobowiązani do ujawnienia tożsamości w celu uzyskania hasła. W praktyce oznacza, to że podczas prowadzonego procesu, jeżeli pozwala na to prawo krajowe danego państwa członkowskiego, możliwe jest nałożenie takich obowiązków na dostawcę bezpłatnej i publicznie dostępnej sieci Wi-Fi.

Co orzeczenie to oznacza w praktyce?

Podsumowując, podmioty udostepniające hotspoty takie jak kawiarnie, restauracje, sklepy, czy lotniska nie poniosą odpowiedzialności, jeżeli użytkownicy wykorzystując publiczną i bezpłatna sieć naruszą majątkowego prawa autorskie właścicieli praw. Jest to podstawowy wniosek płynący z tego rozstrzygnięcia TSUE.

Ponadto, potwierdzenie przez TSUE dopuszczalności wydania nakazu zabezpieczenia hasłem sieci bezprzewodowej Wi-Fi skorelowany z obowiązkiem podania danych osobowych przez użytkownika może powodować zmniejszenie liczby usługobiorców. Idea korzystania z hotspotów oparta jest o możliwość szybkiego i sprawnego połączenia z siecią Internet, która w przypadku konieczność podania danych przez użytkownika zostaje wzruszona. Należy jednak podkreślić, że możliwość wydania takiego nakazu musi zostać najpierw przewidziana przez ustawodawcę danego państwa członkowskiego. Na gruncie obecnych przepisów prawa polskiego brak jest regulacji, które pozwalałyby na wydanie takiego rozstrzygnięcia. Podstawą dla takiego żądania nie jest art. 79 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, gdyż pozwala on na domaganie się roszczeń, w tym zaniechania naruszeń od podmiotów, które dokonały naruszenia autorskich praw majątkowych, a jak wynika z omawianego orzeczenia dostawca bezpłatnego i publicznie dostępnego Wi-Fi takim naruszycielem nie jest.

W przypadku, gdy takie ograniczenie zostałoby wprowadzone na terytorium Polski, to podmioty udostępniające darmowe hotspoty będą musiały liczyć się z ryzykiem związanym z niezabezpieczeniem sieci Wi-Fi hasłem oraz możliwością wydania przez sąd nakazu w tym zakresie w celu zaniechania naruszeń przez użytkowników sieci.

Decyzja Wykonawcza Komisji z dnia 12 lipca 2016 r. wprowadza Tarczę Prywatności – program oparty na samocertyfikacji umożliwiający transfer danych osobowych z UE do USA. Program ten zastąpił unieważnioną Bezpieczną Przystań. Od dnia 1 sierpnia 2016 r. przedsiębiorstwa mogą występować o certyfikat do Departamentu Handlu USA. Przedsiębiorcy prowadzący działalność polegającą na transferze danych do USA powinni zapoznać się z możliwościami przewidzianymi przez Decyzję Komisji.

****

Tarcza Prywatności UE-USA to program oparty na samocertyfikacji, którego działanie rozpoczęło się 1 sierpnia 2016 r. Aby w nim uczestniczyć, amerykańskie podmioty transferujące dane osobowe muszą zobowiązać się do przestrzegania zbioru zasad ochrony prywatności, w tym zasad ramowych Tarczy Prywatności oraz zasad uzupełniających wydanych przez Departament Handlu USA. Należy zwrócić uwagę, że mają one zastosowanie zarówno do administratorów danych jak i do podmiotów przetwarzających (tzw. processorów), z zastrzeżeniem, że każdy processor musi być zobowiązany umownie do przetwarzania danych wyłącznie na polecenie administratora danych z siedzibą w kraju członkowskim UE oraz do wspomagania takiego administratora w udzielaniu odpowiedzi osobom, których dane dotyczą korzystającym z praw przyznanych Tarczą Prywatności. Ochronę zapewnianą w ramach Tarczy stosuje się do wszystkich podmiotów danych z UE, których dane zostały przekazane z UE do podmiotów w USA, które przyjęły zasady tego systemu samocertyfikacji. Program ten pozostaje bez wpływu na stosowanie przepisów regulujących przetwarzanie danych w państwach członkowskich. Departament Handlu USA będzie zarządzał i monitorował ten program oraz jego funkcjonowanie.

Przystąpienie do Tarczy Prywatności jest dobrowolne. Jest to obok standardowych klauzul umownych oraz Wiążących Reguł Korporacyjnych sposób na legalny transatlantycki transfer danych osobowych.

Organizacje przystępując do programu Tarczy Prywatności będą musiały zobowiązać się m.in. do przestrzegania następujących 7 Zasad Prywatności (ang. Privacy Principles):

1. Zasady Powiadomienia (ang. Notice Principle),
2. Zasady Integralności Danych oraz Celowości (ang. Data Integrity and Purpose Limitation Principle),
3. Zasady Wyboru (ang. Choice Principle),
4. Zasady Bezpieczeństwa (ang. Security Principle),
5. Zasady Dostępu (ang. Access Principle),
6. Zasady dotyczącej Ochrony Prawnej, Egzekwowania prawa oraz Odpowiedzialności (ang. Recourse, Enforcement and Liability Principle), oraz
7. Zasady Odpowiedzialności za Wtórne Przekazywanie (ang. Accountability for Onward Transfer Principle).

Zgodnie z Zasadą Informowania organizacje będą zobowiązane do informowania osób, których dane dotyczą o takich elementach przetwarzania jak:

• sposób przetwarzania danych,
• cel przetwarzania danych,
• prawo dostępu do danych,
• zasada wyboru oraz
• warunkach wtórnego przekazywania oraz odpowiedzialności.

Ponadto, organizacje będą zobowiązane do publikowania polityk prywatności uwzględniających Zasady Prywatności, linków do strony Departamentu Handlu USA, wykazu podmiotów uczestniczących w programie Tarczy Prywatności oraz strony podmiotu  świadczącego usługę w zakresie pozasądowego rozstrzygania sporów.

Zasada Integralności Danych oraz Celowości przewiduje, że przetwarzanie danych osobowych musi być ograniczone co do celu. Organizacja jest odpowiedzialna również za to, że dane osobowe są właściwe dla zamierzonego celu, dokładne, kompletne i aktualne.

Niedozwolone jest przetwarzanie danych niezgodnie z celem, dla którego zostały pierwotnie zebrane lub na który osoba, której dane dotyczą nie wyraziła zgody.

Natomiast Zasada Wyboru umożliwia osobom, których dane dotyczą sprzeciw, jeżeli ich dane będą przekazane osobie trzeciej lub będą wykorzystane w celu innym, niż pierwotny. W przypadku danych wrażliwych organizacja będzie musiała uzyskać zgodę na zasadzie „opt in”.

Zasada Bezpieczeństwa zobowiązuje organizacje do wykorzystywania środków bezpieczeństwa zasadnych i odpowiednich co do ryzyk związanych z przetwarzaniem danych. W przypadku podpowierzania, organizacja powinna zawrzeć w umowie postanowienia gwarantujące, że subproccesorzy również będą stosować poziom ochrony określony w Zasadach Prywatności.

Zasada Dostępu przyznaje podmiotowi danych prawo uzyskania informacji w rozsądnym czasie, o tym czy dana organizacja przetwarza jego dane osobowe bez konieczności uzasadniania. Od podmiotu danych można wymagać w tym celu uiszczenia niezawyżonej opłaty. Prawo to może zostać ograniczone wyłącznie, gdy jest to konieczne i należycie usprawiedliwione.

Zasada dotycząca Ochrony Prawnej, Egzekwowania Prawa oraz Odpowiedzialności wymaga, aby organizacje stosowały silne mechanizmy zapewniające zgodność z zasadami ochrony danych oraz środki odwoławcze dla podmiotów danych – obywateli Unii Europejskiej, których dane są przetwarzane niezgodnie z prawem. Podmiot, który raz zdecyduje się dobrowolnie na uczestnictwo w programie Tarczy Prywatności, musi obowiązkowo stosować zasady w niej określone.

Zgodnie z Zasadą Odpowiedzialności za Wtórne Przekazywanie dalszy transfer danych do innego administratora danych lub processora może się odbyć wyłącznie w zakresie określonym celem przetwarzania, na podstawie umowy lub porównywalnego uzgodnienia pomiędzy przedsiębiorstwami oraz tylko jeżeli umowa zapewnia taki sam poziom ochrony jak zagwarantowany zgodnie z Zasadami Prywatności. Zasadę tę należy czytać razem z Zasadą Powiadamiania, a w przypadku wtórnego przekazywania do administratora danych będącego osobą trzecią (podmiotem spoza EOG) z Zasadą Wyboru.

W ramach Tarczy Prywatności przewidziano ponadto następujące mechanizmy nadzoru i egzekwowania Zasad Prywatności:

• Departament Handlu USA będzie prowadził i aktualizował publiczny wykaz podmiotów, które przyjęły zasady Tarczy Prywatności, a także rejestr podmiotów wykreślonych. Rejestr ten został już uruchomiony. Można go znaleźć pod adresem: https://www.privacyshield.gov.
• Uczestnicy Tarczy Prywatności mają 45 dni na odpowiedź na skargę złożoną przez osobę, której dane dotyczą.
• Osoby, której dane dotyczą może również złożyć skargę do krajowego organu ochrony danych.
• Osoby fizyczne mają również prawo do bezpłatnego korzystania z alternatywnej metody rozstrzygania sporów (ADR). Każdy podmiot przystępujący do Tarczy Prywatności musi określić niezależny podmiot odpowiedzialny za ADR.
• Powołanie Rzecznika ds. Tarczy Prywatności w Departamencie Stanu USA, którego zadaniem jest nadzór oraz zapewnienie środków ochrony prawnej podmiotom danych.

Komisji na podstawie Decyzji Wykonawczej przysługują następujące uprawnienia:

• Zgodnie z art. 4 ust. 1 Decyzji, Komisja będzie stale monitorować działanie Tarczy Prywatności. KE będzie oceniać, czy Stany Zjednoczone zapewniają adekwatny poziom ochrony danych osobowych przekazywanych z UE do podmiotów z siedzibą w USA, które uczestniczą w Tarczy Prywatności.
• Zgodnie z art. 4 ust. 4 Decyzji Komisja będzie przeprowadzać corocznie przegląd przestrzegania zasad bezpiecznego transferu danych. Dla dalszego funkcjonowania Tarczy Prywatności kluczowy będzie pierwszy przegląd działania programu. Należy również oczekiwać, że Tarcza Prywatności będzie wymagała dostosowań do rozporządzenia ogólnego o ochronie danych, którego stosowanie rozpocznie się  w maju 2018 r.
• Zgodnie z art. 4 ust. 6 Decyzji Komisja jest uprawniona do zawieszania, poprawiania oraz uchylenia swojej Decyzji, w przypadku, gdy zostaną stwierdzone systematyczne naruszenia oraz gdy organy publiczne Stanów Zjednoczonych nie będą działać zgodnie ze swoimi zobowiązaniami.

Podsumowanie

Na dzień 26 września 2016 r. do programu Tarczy Prywatności przystąpiło ok. 250 podmiotów. Dla porównania do programu Bezpiecznej Przystani należało w trakcie jej obowiązywania ponad 5,5 tysiąca podmiotów. Systematycznie do programu dołączają kolejne podmioty dokonujące transatlantyckiego transferu danych, jednakże osiągnięcie podobnej liczby uczestników jak w przypadku Bezpiecznej Przystani wymaga czasu. Egzaminem dla Tarczy Prywatności będzie pierwszy roczny przegląd zasad bezpiecznego transferu danych.