1. Warszawa dn. 14 grudnia 2009r.
Stanowisko
Związku Pracodawców Branży Internetowej
IAB Polska w/s przygotowywanych rozwiązań dotyczących
przekazywania danych o użytkownikach Internetu
W związku z przygotowywaniem – w treści Projektu z dnia 13 listopada 2009r.
ustawy o zmianie ustawy o grach hazardowych oraz niektórych innych ustaw
(Projekt zmiany ustawy) - rozwiązań dotyczących przekazywania na żądanie
uprawnionych podmiotów danych o określonych kategoriach usługobiorców
stwierdza się co następuje:
I. Uwagi ogólne.
I.1. W treści proponowanego art. 18 a) ww. Projektu zmiany ustawy, który
dotyczy usługodawców – w rozumieniu Ustawy o świadczeniu usług drogą
elektroniczną – czyli podmioty świadczące za pośrednictwem internetu usługi
drogą elektroniczną:
I.1.1. nałożono obowiązek przekazywania - na żądanie uprawnionych
podmiotów, o których mowa w art. 179 ust. 3 ustawy z dnia 16 lipca
2004 Prawo Telekomunikacyjne (Policja, Straż Graniczna, ABW,
SKW, CBA, Żandarmeria Wojskowa, wywiad skarbowy) oraz Służby
Celnej,- danych dot. usługobiorcy,
I.1.2. powyższe dotyczy danych tych usługobiorców, którzy zamieścili lub
zmodyfikowali treści przekazu poprzez sieci telekomunikacyjne, oraz
dotyczących czasu, w jakim zostało to dokonane.
I.2. W związku z powyższym należy stwierdzić, że proponowany przepis jest
sprzeczny z obowiązującym prawem w zakresie (a) okresu przetwarzania
danych, (b) zakresu przedmiotowego danych i (c) kategorii podmiotów,
Związek Pracodawców Branży Internetowej IAB Polska
ul. Targowa 34, lok. 43 Warszawa tel. + 48 22 698 69 72 fax + 48 22 698 15 49
www.iabpolska.pl
2. których dotyczą, a także (d) przypadków dopuszczalności przetwarzania ww.
danych. Tym samym proponowany przepis:
1.2.1. może zostać uznany – poprzez brak określenia obowiązkowego
okresu zatrzymywania ww. danych - za sprzeczny z art. 6 Dyrektywy
z 2006/24/WE1, w myśl którego kategorie danych (m.in. nazwisko i
adres abonenta lub zarejestrowanego użytkownika, do którego w
momencie połączenia należał adres IP) mogą być zatrzymywane na
okresy nie krótsze niż 6 miesięcy oraz nie dłuższe niż dwa lata od
daty danego połączenia (okres przetwarzania danych),
1.2.2. dotyczy szerokiej przedmiotowo kategorii danych, co – w powiązaniu
z szerokim zakresem podmiotowym usługobiorców, których dotyczą –
może przesądzić o uznaniu proponowanego przepisu za środek
nieproporcjonalny – w świetle Dyrektywy 2002/58/WE 2 - do
zapewnienia bezpieczeństwa państwa oraz zapobiegania,
dochodzenia, wykrywania i karania przestępstw kryminalnych
(zakres przedmiotowy danych),
1.2.3. dotyczy szerokiej podmiotowo kategorii usługobiorców, którzy
„zamieścili lub zmodyfikowali treści przekazu poprzez sieci
telekomunikacyjne” oraz danych na temat czasu kiedy tego dokonali
niezależnie od tego czy zamieszczenie lub modyfikacja ww. treści
mogła stanowić czyn zabroniony w myśl przepisów obowiązującego
prawa (kategorie podmiotów, których dotyczą przetwarzane
dane) oraz
1.2.4. może zostać uznany za sprzeczny z przepisem art. 19 ust.2 ww.
Ustawy o świadczeniu usług drogą elektroniczną, w którego treści
enumeratywnie wymieniono przypadki dopuszczalnego przetwarzania
przez usługodawców danych osobowych usługobiorcy po
1
Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006r. w sprawie zatrzymywania
generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej
lub udostępnienie publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE
2
Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12.07.2002r. dotycząca przetwarzania danych
osobowych i ochrony prywatności w sektorze łączności elektronicznej
Związek Pracodawców Branży Internetowej IAB Polska
ul. Targowa 34, lok. 43 Warszawa tel. + 48 22 698 69 72 fax + 48 22 698 15 49
www.iabpolska.pl
3. zakończeniu korzystania z usługi świadczonej drogą elektroniczną
(przypadki dopuszczalnego przetwarzania ww. danych).
II. Okres przetwarzania danych.
II.1. W treści zaproponowanego w treści ww. Projektu zmiany ustawy brzmienia
art. 18 a) ww. Ustawy o świadczeniu usług drogą elektroniczną nie wskazano
okresu, w trakcie którego dany usługodawca będzie zobowiązany do
zatrzymywania danych o usługobiorcach, którzy zamieścili lub zmodyfikowali
treści przekazu poprzez sieci telekomunikacyjne oraz czasie w jakim zostało
to dokonane.
II.2. Należy podkreślić, że nałożenie na dany podmiot obowiązku przekazywania
danych jest bowiem funkcjonalnie związane z koniecznością zatrzymywania
przez ww. podmiot danych przez pewien okres. Techniczna realizacja przez
usługodawców obowiązku przekazania danych ww. podmiotom uprawnionym
nie jest możliwa bez ich przechowywania. W konsekwencji należy stwierdzić,
że brak wskazania ww. okresu prowadzi do wątpliwości interpretacyjnych i
stanu niepewności prawnej w zakresie tego jakie obowiązki spoczywają na
podmiotach wykonujących działalność gospodarczą z wykorzystaniem
internetu.
II.3. Zakres przedmiotowy kategorii danych, które wymieniono w treści
proponowanego art. 18 a) (dane, o których mowa w treści art. 18 ww. Ustawy
o świadczeniu usług drogą elektroniczną) pozostaje w stosunku krzyżowania z
zakresem przedmiotowym danych, które stanowią przedmiot regulacji art. 5
oraz art. 6 ww. Dyrektywy. Należy do nich zaliczyć m.in.:
II.3.1. datę i godzinę zalogowania i wylogowania sesji internetowej na
podstawie danej strefy czasowej włącznie z adresem protokołu
komunikacyjnego dynamicznego lub statycznego (IP) przedzielonym
przez dostawcę usług internetowych dla danej komunikacji oraz
identyfikatorem użytkownika abonenta lub zarejestrowanego
użytkownika,
Związek Pracodawców Branży Internetowej IAB Polska
ul. Targowa 34, lok. 43 Warszawa tel. + 48 22 698 69 72 fax + 48 22 698 15 49
www.iabpolska.pl
4. II.3.2. datę i godzinę zalogowania i wylogowania z elektronicznej poczty
internetowej i telefonii internetowej na podstawie danej strefy czasowej,
II.3.3. identyfikator DSL lub inny identyfikator końcowy inicjatora połączenia
oraz
II.3.4. nazwisko i adres abonenta lub zarejestrowanego użytkownika, do
którego w momencie połączenia należał adres IP, identyfikator
użytkownika lub numer telefonu
II.4. W związku z powyższym zastosowanie znajdują postanowienia art. 6 ww.
Dyrektywy, w myśl którego ww. kategorie danych zatrzymywane są na okresy
nie krótsze niż 6 miesięcy oraz nie dłuższe niż dwa lata od daty połączenia.
III. Zakres przedmiotowy ww. danych, kategorie podmiotów których dotyczą
przetwarzane dane oraz przypadki dopuszczalnego przetwarzania ww.
danych.
III.1. W konsekwencji należy uznać, że obowiązek przekazywania ww. danych
nie może zostać uznany za środek proporcjonalny – w rozumieniu art. 15
ww. Dyrektywy 2002/58/WE - do zapewnienia bezpieczeństwa państwa oraz
zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych z
dwóch powodów. Po pierwsze zawarty w treści ww. przepisu obowiązek
przekazywania danych dotyczy szerokiej podmiotowo kategorii danych tych
usługobiorców, którzy zamieścili lub zmodyfikowali treści przekazu poprzez
sieci telekomunikacyjne, oraz dotyczących czasu, w jakim zostało to
dokonane. Należy podkreślić, że żądanie ww. podmiotów uprawnionych, a
dotyczące przekazania ww. danych może dotyczyć każdego usługobiorcy -
niezależnie od tego czy w stosunku do danej czynności zamieszczenia lub
modyfikacji ww. treści zachodzi podejrzenie, że mogła ona stanowić czyn
zabroniony w myśl przepisów obowiązującego prawa. Po drugie w treści
proponowanego art. 18 a) ww. Ustawy o świadczeniu usług drogą
elektroniczną nałożono obowiązek przekazywania danych oraz bezpośrednio
z tym związany obowiązek ich zatrzymywania bez określenia celu w jakim ma
do powyższego dochodzić. Powyższy przepis dotyczy bowiem szerokiej
Związek Pracodawców Branży Internetowej IAB Polska
ul. Targowa 34, lok. 43 Warszawa tel. + 48 22 698 69 72 fax + 48 22 698 15 49
www.iabpolska.pl
5. przedmiotowo kategorii danych, o których mowa w treści art. 18 ww.
Ustawy o świadczeniu usług drogą elektroniczną.
III.2. Tymczasem - w treści art. 19 ust.2 ww. Ustawy o świadczeniu usług drogą
elektroniczną, - w sposób enumeratywny wymieniono przypadki
dopuszczalnego przetwarzania przez usługodawców danych osobowych
usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą
elektroniczną. W konsekwencji dotyczy to tylko i wyłącznie danych, które są:
a) niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu
płatności za korzystanie z usługi,
b) niezbędne do celów reklamy, badania rynku oraz zachowań i
preferencji usługobiorców z przeznaczeniem wyników tych badań na
potrzeby polepszenia jakości usług świadczonych przez
usługodawcę, za zgodą usługobiorcy,
c) niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania
z usługi, o którym mowa w art. 21 ust. 1 ww. Ustawy o świadczeniu
usług drogą elektroniczną,
d) dopuszczone do przetwarzania na podstawie odrębnych ustaw lub
umowy.
III.3. W treści proponowanego przepisu – poprzez odwołanie do danych, o
których mowa w treści art. 18 ww. Ustawy o świadczeniu usług drogą
elektroniczną – doszło do zbyt szerokiego określenia zakresu
przedmiotowego danych jakie mogą być zatrzymywane po zakończeniu
korzystania z usługi świadczonej drogą elektroniczną (m.in. numer
PESEL, adres zameldowania). W omawianym przypadku bowiem
usługodawca będzie zobowiązany do zatrzymania ww. danych i ich
przekazania niezależnie od tego czy m.in. będą one niezbędne do rozliczenia
usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi
Z poważaniem
Prezes Zarządu Dyrektor Generalny
Piotr Kowalczyk Jarosław Sobolewski
Związek Pracodawców Branży Internetowej IAB Polska
ul. Targowa 34, lok. 43 Warszawa tel. + 48 22 698 69 72 fax + 48 22 698 15 49
www.iabpolska.pl