WDROŻENIA

Migracja po dwóch dekadach

Bank BGŻ wymienia - zainstalowany jeszcze w latach 90. - system BankStreet. Nowa aplikacja - Flexcube - wspomaga działania centrali.

Efekt gwarantowany

Narzędzia analityczne wydatnie poprawiają skuteczność bankowych kampanii marketingowych.

ANALIZY

Rodzaj medium będącego zarówno nośnikiem, jak i sposobem przekazywania informacji, definiuje cechy organizacji gospodarczych i ma wpływ na zarządzanie przedsiębiorstwami. W epoce multimedialnych sieci zasady powstawania i funkcjonowania tych struktur ulegają zmianie.

Do użytku służbowego

Zainstalowanie bez wiedzy pracownika oprogramowania monitorującego jego aktywność będzie naruszaniem przepisów prawa pracy.

PRODUKTY

Ma działać bez przerwy

Niektóre usługi biznesowe muszą być świadczone w trybie ciągłym, z możliwie niskim prawdopodobieństwem nieplanowanych przerw. Aby systemy IT mogły świadczyć usługi na żądanym poziomie niezawodności, muszą być do tego odpowiednio przystosowane.

Maszyna dla danych

Sun Oracle Database Machine v2 został oparty na sprzęcie Suna. Pierwsza wersja, która powstała jeszcze przed ogłoszeniem planów fuzji Oracle-Sun, była oparta na technologii HP.

popularne komentowane nowości

popularne

Najczęściej czytane

WYWIADY

EN FACE: Sebastian Ryszard Kruk...

... pracownik naukowy Digital Enterprise Research Institute na Narodowym Uniwersytecie Irlandzkim i wykładowca na Politechnice Gdańskiej, autor pracy doktorskiej na temat semantycznych bibliotek cyfrowych, twórca start-upu Knowledge Hives i Szkoły Web 3.0.

Coraz więcej inteligencji

Rozmowa z Nickiem Pachnosem, szefem działu rozwiązań na platformę mainframe w BMC Software.

Luksusowa analiza

Stephen Brobst, Chief Technology Officer w Teradata, rozmawiał z nami na temat rynku business intelligence.

powiększ tekst

ARCHIWUM

Prawo do ochrony

10 lutego 2009

Marcin Maruta

Istnieją sytuacje, w których można legalnie przetwarzać dane osobowe, nie przejmując się ustawowymi ograniczeniami.

Computerworld — Uznanie adresów IP za dane osobowe nałoży z pewnością na ich dysponentów obowiązki przewidziane przepisami ustawy o ochronie danych osobowych (obowiązek rejestracji zbioru, odpowiedniego zabezpieczenia technicznego i organizacyjnego itp.). Ale czy zawsze? Otóż niekoniecznie. Istnieją sytuacje, w których można legalnie przetwarzać dane osobowe, nie przejmując się wynikającymi z ustawy ograniczeniami. Niektóre z tych wyłączeń mają charakter całkowity, inne - częściowy.

Po pierwsze, ochrona danych osobowych ma zawsze charakter terytorialny (!). Oznacza to, że adresatem regulacji prawnych danego kraju jest podmiot, który przetwarza dane osobowe przy wykorzystaniu "środków technicznych" znajdujących się na terytorium danego państwa. Niestety, brak jest jednoznacznej definicji pojęcia "środków technicznych", ale - upraszczając - stosować się do przepisów chroniących dane osobowe trzeba tam, gdzie zlokalizowana jest baza danych lub serwer, na których znajdą się dane osobowe.

"Prywatny użytek" zwalnia z ustawy

Przy założeniu, że nasz serwer jest w Polsce i tu chcemy przetwarzać (chociażby zbierać) dane osobowe, możemy czasem powołać się na przepis art. 3a ust 1 pkt 1, wyłączający spod ustawy przetwarzanie danych "w celach osobistych lub domowych". Warunkiem jest tu jednak, by administrator danych osobowych był osobą fizyczną. Sam cel (użytek) osobisty próbuje się z reguły interpretować analogicznie do tzw. dozwolonego użytku osobistego w zakresie korzystania z chronionych prawem autorskim utworów (art. 23 ust. 2 pr. aut.), gdzie obejmuje on korzystanie z "pojedynczych egzemplarzy utworów przez krąg osób pozostających w związku osobistym, w szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego", a wyklucza wykorzystywanie ich w celach komercyjnych.

Dane tymczasowe

Jeśli natomiast zamierzamy prowadzić komercyjny (odpłatny lub finansowany z reklam) serwis internetowy, możemy skorzystać z innego wyłączenia. Ustawa nie znajdzie zastosowania w odniesieniu do doraźnie zbieranych i przetwarzanych danych w zbiorach powstałych ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, pod warunkiem, że po ich wykorzystaniu dane zostaną skasowane lub poddane anonimizacji (art. 2 ust. 3 ustawy).

Zatem w przypadku informacji, które są doraźnie utrwalane w systemie w związku z technologią realizacji transmisji danych, takich jak logi serwerowe czy pliki tymczasowe, administrator nie musi przejmować się faktem, iż wszedł w posiadanie danych osobowych (tak, tak, to też dane osobowe), musi jednak dopilnować, by je usunąć lub co najmniej zanonimizować niezwłocznie po wykorzystaniu.

W praktyce, z uwagi na krótkotrwałość, wyłączenie to ma dla administratorów serwisów znaczenie niewielkie. Należy też pamiętać, że nie zwalnia nas ono z obowiązku zabezpieczania danych w sposób przewidziany ustawą i rozporządzeniami wykonawczymi.

Mów mi "Panie Redaktorze".

Bardziej użyteczne może okazać się wyłączenie w ramach prasowej działalności dziennikarskiej (art. 3a ust.2 Ustawy). Serwisy internetowe coraz częściej kwalifikowane są jako "prasa". Przetwarzanie przez administratora danych osobowych udostępnianych przez użytkowników na bieżąco aktualizowanego (częściej niż raz do roku), publicznie dostępnego vortalu informacyjnego czy bloga, może więc podlegać wyłączeniu spod regulacji ustawy.

Oznacza to, że zarówno dane "osobowych źródeł" informacji, jak i dane osobowe tych, których te informacje dotyczą, mogą być przetwarzane bez konieczności stosowania się do przepisów ustawy. Administrator musi je jednak nadal zabezpieczać w sposób przewidziany prawem ochrony danych osobowych.

To nie tylko teoria.

Kształtujące się "europejskie" podejście do ochrony adresów IP już dziś stanowi problem dla prowadzących interesy na terytorium Unii, ale mających amerykański "rodowód" kolosów Internetu, takich jak Google czy Microsoft. Systemy prawne UE i USA są inne. Następuje zderzenie globalnego wymiaru Internetu z lokalnymi, częstokroć bardzo różniącymi się od siebie regulacjami poszczególnych państw.

Odmienności te doprowadziły do tego, że praktyki w zakresie przechowywania adresów IP stosowane przez wskazane wyżej korporacje są przedmiotem szczegółowych badań ze strony Grupy art. 29. Rozgorzała w efekcie ciekawa, acz nierówna wojna na argumenty, której pierwsze wyniki przyniosły ostatnie miesiące - 11 września ub.r. Google pod naciskami Unii Europejskiej zgodził się na skrócenie okresu przechowywania informacji numerów IP z 18 do 9 miesięcy.

To już drugie, wymuszone przez Unię, ustępstwo Google w kwestii terminów przechowywania danych (z początkiem 2008 roku korporacja skróciła już raz dotychczasowy, dwuletni okres ich przechowywania). Komisarz unijny ds. wymiaru sprawiedliwości Jacques Barrot zapowiedział, że Unia będzie dążyć do dalszego ograniczenia okresu przechowywania takich danych - do 6 miesięcy.

To dopiero pierwsze starcia potrzeby biznesowej i zysków przeglądarek (przede wszystkim ze spersonalizowanej reklamy kontekstowej) z pryncypialnym podejściem do ochrony prywatności jednostki. Stawka jest niebagatelna, a gracze poważni. Na ostateczne rozstrzygnięcie tej batalii przyjdzie nam jednak jeszcze trochę poczekać. A czasu na rozstrzygnięcie coraz mniej, gdyż jak stwierdził Marc Rosberg, przewodzący Electronic Privacy Information Center (EPIC): "Idziemy już w stronę IPv6, gdzie sprawa identyfikacji osób po adresie IP będzie jeszcze bardziej krytyczna".

Michał Barta jest wspólnikiem w kancelarii radców prawnych Maruta i Wspólnicy.