Świadczenie usług drogą elektroniczną

Jeśli świadczysz usługi drogą elektroniczną, to powinieneś rozbudować swoją politykę prywatności o kilka dodatkowych informacji wymaganych przez ustawę z dn. 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Kogo ona dotyczy?

Kto świadczy usługi drogą elektroniczną?

Ustawa nie jest zbyt precyzyjna ale jako że realizuje ona jedynie założenia dyrektyw unijnych możemy śmiało sięgnąć do definicji zawartej w art. 1 ust. 2 dyrektywy 98/34/WE zmienionej dyrektywą 98/48/WE. Zgodnie z dyrektywą „usługą społeczeństwa informacyjnego” jest:

…usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług, przy czym:
1) „na odległość” oznacza usługę świadczoną bez równoczesnej obecności stron;
2) „drogą elektroniczną” – że usługa jest przesyłana pierwotnie i otrzymywana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, odbiornika radiowego, środków optycznych lub innych środków elektromagnetycznych;
3) „na indywidualne żądanie odbiorcy usług” – że usługa świadczona jest poprzez przesyłanie danych na indywidualne żądanie.

Chyba nie pozostawia to większych wątpliwości interpretacyjnych jeśli chodzi o działalność w internecie. Świadczysz usługę drogą elektroniczną jeśli

  • robisz coś odpłatnie,
  • odbiorca znajduje się fizycznie w innym miejscu niż Ty,
  • usługa polega wyłącznie na przesłaniu jakichś danych z jednego sprzętu elektronicznego do drugiego,
  • usługa jest świadczona na indywidualne żądanie.

Rozróżnienie danych podawanych dobrowolnie i niedobrowolnie

Ustawa wyraźnie mówi nam, które dane może usługodawca przetwarzać w celu świadczenia usługi:

1) nazwisko i imiona usługobiorcy;
2) numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
3) adres zameldowania na pobyt stały;
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy;
6) adresy elektroniczne usługobiorcy.

Jeśli usługodawca chce zbierać inne dane, to zobowiązany jest poinformować, że je zbiera i wyraźnie o tym poinformować.

Po drugie, usługodawca może również wymagać jakichś dodatkowych danych, których wymaga sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw..

Strasznie zawile jest to w ustawie o świadczeniu usług drogą elektroniczną opisane, ale sobie z tym jakoś poradzimy. Moim zdaniem rozumieć to należy tak, że usługodawca może zbierać dwa rodzaje dodatkowych danych

– takie, które sobie życzy,

– takie, których wymaga sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw.

O zbieraniu obu powinien poinformować, ale wyłącznie od podania tych drugich może uzależnić świadczenie usługi. Przy tym jeśli uzależnia świadczenie usługi od podania jakichś danych, to również musi o tym poinformować. Spróbujmy wymyślić jakiś przykład.

Księgarnia internetowa sprzedaje e-booki w formacie pdf, epub i mobi. Jak wiadomo Amazon pozwala na przesłanie pliku mobi bezpośrednio na czytnik, nawet, gdy kupujesz od „third party”. Jednocześnie właściciel księgarni prosi o podanie numeru telefonu.

Podanie numeru telefonu będzie w tej sytuacji zawsze dobrowolne, bo nie wynika ze sposobu funkcjonowania systemu teleinformatycznego, właściwości usługi ani ustaw. Podkreślam, ze dotyczy to tylko świadczenia usług drogą elektroniczna, bo w każdej innej sytuacji nie ma takich ograniczeń. Zatem w polityce prywatności należy napisać wymienić takie dane i zaznaczyć, że ich podanie jest dobrowolne.

Ale w kwestii ebooka w formacie mobi jest trochę inaczej. Właściwość usługi, czyli przesłanie pliku bezpośrednio na czytnik Kindle wymaga podania dodatkowego adresu e-mail, na który plik ma być wysłany. Od podania takich danych usługodawca może uzależnić wykonanie usługi – „jak nie podasz amazonowskiego adresu, to nie wyślę ci książki na Kindl’a” bo wynika to z jej właściwości. To również trzeba ująć w polityce prywatności.

Wymogi zawarte w art. 20 ustawy o świadczeniu usług drogą elektroniczną.

1. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:
1) możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu, o ile są spełnione warunki określone w art. 22 ust. 2;
2) udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną;
3) podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie do przetwarzania danych, o których mowa w art. 18 ust. 1, 2, 4 i 5.
2. Informacje, o których mowa w ust. 1, powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje.

Z tego przepisu wynika, że w polityce prywatności zawieramy informację o:

– możliwości korzystania z usługi anonimowo.

To jest bardzo ciekawe. W pewnych sytuacjach, jeśli jest to „technicznie możliwe oraz zwyczajowo przyjęte” usługodawca nie musi zbierać danych osobowych klienta. Istnieją biznesy, gdzie nie jest to konieczne. W tej sytuacji należy to umożliwić a klienta o tym wyraźnie poinformować.

środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną;

Jest to zatem informacja o wszelkich zabezpieczeniach, używanych metodach szyfrowania itd.

–  podmiocie, któremu powierza przetwarzanie danych oraz ich zakresie i terminie przetwarzania

Ten punkt może okazać się dość skomplikowany. Pamiętajmy, że administratorem danych jest właściciel serwisu, więc już otwierając go przekazuje te dane paru podmiotom – webmasterowi, dostawcy hostingu (wszak znajdują się na jego serwerach), być może księgowości, czasem informatykom. Szczerze mówiąc nie wyobrażam sobie w jaki sposób można było przewidzieć zakres i termin przetwarzania tych danych, więc próbowałbym obejść ten przepis  jakąś ogólną formułką.

Informacje te powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje. Umieszczenie ich w polityce prywatności w stopce strony na pewno spełnia ten wymóg.

Warto to zrobić porządnie…

…bo za naruszenie tych przepisów grozi kara grzywny a jak widać przygotowanie polityki prywatności zawiera parę pułapek.

 

Foto Manatari @ Flickr (CC BY 2.0)