Ochrona prywatności w handlu elektronicznym i jej rola

Jednym z najszybciej rozwijających się działów gospodarki w skali globalnej jest w ostatnich latach handel elektroniczny. Jest on uwarunkowany nie tylko przez środki techniczne, zapewniające łatwe komunikowanie się podmiotów za pośrednictwem sieci Internet i sprawną realizacji transakcji, ale także przez istnienie właściwych relacji na linii klient-sprzedawca, gdzie zasadnicze znaczenie ma wzajemne zaufanie stron.

Zastosowanie technologii internetowych ułatwia firmom zbieranie informacji o strukturze zakupów nabywców oraz o nich samych, umożliwiając spersonalizowaną, interaktywną komunikację pomiędzy firmą i jej klientami. Jednak aby kupujący przekazywali wiarygodne informacje o sobie i byli zainteresowani pogłębianiem relacji, niezbędne jest stworzenie atmosfery zaufania, zarówno w przypadku handlu elektronicznego, jak i tradycyjnych form kontaktów handlowych.

Klient musi przełamać opory psychiczne i realne obawy związane z przekazywaniem swoich danych za pośrednictwem sieci. Z badań przeprowadzonych w Stanach Zjednoczonych wynika, że tylko niewielki odsetek klientów sklepów internetowych odczuwa niskie ryzyko przy dokonywaniu zakupów lub nie odczuwa go w ogóle, natomiast wielu z nich odczuwa strach przed niepożądanym użyciem danych personalnych przez firmę internetową i przed hackerami.

Badania przeprowadzone w USA pokazują też, że nadmierne ingerowanie w prywatność użytkowników powoduje ich odwrót od handlu elektronicznego. Np. większość amerykańskich konsumentów trzyma się z daleka od witryn finansowych, ponieważ nie są pewni, jak będą wykorzystywane ich dane personalne. 70% użytkowników sieci boi się, że informacje dotyczące ich stanu zdrowia przekazywane na witrynę internetową mogą dotrzeć do ich ubezpieczycieli, co nie jest bezpodstawne. Badania przeprowadzone przez California HealthCare Foundation pokazały, że wiele witryn internetowych zajmujących się problematyką ochrony zdrowia łamie własną politykę ochrony prywatności. Jednocześnie z sondażu przeprowadzonego w 2000 r. wynika, że Amerykanie uważali utratę prywatności za problem nr 1 XXI wieku - przed przeludnieniem, terroryzmem i globalnym ociepleniem, 70-80% miało zastrzeżenia do zewnętrznego transferu przez firmy swoich danych osobowych.

Z badań przeprowadzonych wśród przedstawicieli polskich sklepów internetowych wynika, że dwie główne przeszkody w rozwoju handlu w polskim Internecie to: ograniczony dostęp potencjalnych klientów do sieci (prawie 35 proc. wskazań) i brak zaufania klientów do tego rodzaju zakupów - prawie 31 proc., który można interpretować min. troską o bezpieczeństwo danych osobowych.

Podstawowymi działaniami mającymi na celu ochronę prywatności, na poziomie wewnętrznym przedsiębiorstwa powinny być: stworzenie, opublikowanie za pośrednictwem witryny i przestrzeganie polityki ochrony prywatności.

Do podstaw prawidłowego tworzenia polityki ochrony prywatności należy zaliczyć:

• Objaśnienie prowadzonej przez firmę polityki ochrony prywatności w sposób zrozumiały i łatwy do odnalezienia na stronie internetowej.
• Wytłumaczenie, jakie dane są zbierane, w jakim celu oraz gdzie mogą zostać przekazane.
• Informowanie użytkownika, w jaki sposób zapewnia się bezpieczeństwo danych.
• Określenie osoby kontaktowej, pomagającej użytkownikowi w problemach związanych z ochroną prywatności.
• Objaśnienie i stworzenie mechanizmu dostępu do danych przez użytkownika, umożliwiającego sprawdzenie i ewentualne skorygowanie ich prawidłowości.

Sama deklaracja nawet najbardziej rygorystycznej polityki ochrony prywatności jest jedynie deklaracją dobrej woli. Badania pokazują, że pozostawienie tego problemu jedynie firmom nie jest rozwiązaniem w sposób wystarczający gwarantującym przestrzeganie odpowiednich praktyk w tym zakresie. Dane dotyczące klientów są zbyt cennym towarem, aby mogło tak być. Niezbędne są tu odpowiednie działania i instrumenty. Można wyróżnić tu następujące instrumenty ochrony prywatności:

• Instrumenty prawne - stworzenie odpowiedniego ustawodawstwa chroniącego dane osobowe.
• Samoregulacja z pomocą tworzonych w tym celu organizacji pozarządowych - dobrowolne przestrzeganie przez firmy zasad ustalonych przez organizacje pozarządowe, powstałe w celu ochrony prywatności konsumentów.
• Mechanizmy rynkowe - unikanie przez konsumentów witryn nie chroniących w należyty sposób ich prywatności.

W zależności od zastosowanych instrumentów możemy wyróżnić dwa modele ochrony prywatności: bazujące przede wszystkim na instrumentach prawnych i ich stosowaniu oraz bazujące na samoregulacji rynku - poprzez tworzenie systemu instytucji pozarządowych zapewniających i egzekwujących stosowanie odpowiednich praktyk w zakresie ochrony prywatności.

Istniejące prawodawstwo, dotyczące ochrony danych osobowych, niewątpliwie zwiększa zaufanie do handlu elektronicznego, zapewniając pewne minimum gwarantowane prawnie i zwiększając, w opinii ustawodawców i części specjalistów, zaufanie do handlu elektronicznego jako takiego.

Przeciwnicy regulacji prawnych, dotyczących w szczególności przetwarzania danych osobowych, oraz w ogóle handlu elektronicznego jako takiego, podnoszą następujące argumenty:

• ze względu na globalny charakter sieci uregulowania prawne powinny mieć charakter globalny, gdyż serwer można bardzo łatwo przenieść w miejsce, gdzie nie obowiązują restrykcyjne przepisy, co jednak wydaje się być trudne do zrealizowania;
• nadmierne regulacje prawne mogą spowolnić bezprecedensowy rozwój sieci; argumentuje się, iż Internet (a handel elektroniczny w szczególności) rośnie dzięki możliwości wprowadzania innowacji, rozwoju usług, zmniejszaniu kosztów w nieuregulowanym i wolnorynkowym środowisku, natomiast wprowadzanie ostrych regulacji może schłodzić ten lawinowy rozwój;
• w tak szybko zmieniającym się obszarze rzeczywistości, jak Internet, regulowanie działalności gospodarczej może prowadzić do znaczących, niezamierzonych konsekwencji hamujących rozwój elektronicznego handlu, gdyż stanowione prawo będzie zawsze przestarzałe w stosunku do istniejącej rzeczywistości.

Dla części przeciwników nadmiernych regulacji prawnych alternatywą jest tworzenie systemu instytucji pozarządowych, które analizując potrzeby użytkowników mogą szybciej i skuteczniej reagować na zachodzące zmiany i obligować firmy do przestrzegania szeregu zasad na zasadzie dobrowolności. System ten powinien zapewniać i egzekwować stosowanie odpowiednich praktyk, szczególnie w zakresie ochrony prywatności.

Jednak brak uregulowań prawnych i poleganie jedynie na mechanizmach samoregulacyjnych w praktyce okazuje się nie dosyć skuteczne. Organizacje przyznające markery zaufania zapewniają, że witryny spełniają określone wymagania w zakresie ochrony prywatności, potrafią jednak przymykać oko na łamanie tych reguł przez duże firmy uczestniczące w programach i równocześnie współfinansujące te organizacje.

Rozwiązaniem proponowanym przez np. Infocomm Development Authority of Singapore (IDA) - na podstawie badań respondentów - jest stworzenie takiego systemu, w którym pozarządowe programy ochrony prywatności byłyby akredytowane przez organy administracyjne.

Brak uregulowań prawnych umożliwia również firmom po prostu, bez pytania klientów o zdanie, zmianę, na-wet najbardziej restrykcyjnej, polityki ochrony prywatności. Spektakularnym przykładem może być największa na świecie księgarnia internetowa amazon.com.

Amazon w sierpniu 2000 roku zmienił deklarowaną politykę ochrony prywatności, deklarując m.in., że zbiera-ne dane dotyczące konsumentów stanowią aktywa firmy i mogą zostać sprzedane razem z innymi aktywami. Drugim elementem złych praktyk w zakresie zarządzania danymi personalnymi tej firmy jest deklaracja, że kon-sument na stronie może obejrzeć historię swoich zakupów, ale nie może jej zmienić lub poprawić.

W jaki sposób działają pozarządowe programy ochrony prywatności?

Najbardziej znanym pozarządowym programem ochrony prywatności jest program stworzony przez TRUSTe - organizację typu non-profit, niezależną nie tylko od jakiegokolwiek rządu, ale też przedsiębiorstwa, czy organizacji gospodarczej. Organizacja działa w skali globalnej - w 27 krajach na sześciu kontynentach.

Celem organizacji jest stworzenie widocznego symbolu dla użytkownika, że może oczekiwać od firmy spełniania odpowiednich wymagań w zakresie ochrony danych oraz, że niezależna organizacja wysłucha jego skarg i pomoże rozwiązać ewentualny spór. Podstawową inicjatywą programu TRUSTe jest marker prywatności TRUSTe - wizualny symbol umieszczany na witrynie przez firmy spełniające odpowiednie wymagania programu i partycypujące w jego pozasądowym systemie rozwiązywania sporów TRUSTe Watchdog. Program bazuje na założeniach zawartych w opracowaniu departamentu handlu Stanów Zjednoczonych: "Elements of Self Regulation for Protection of Privacy". Główne wymagania programu w zakresie ochrony prywatności to:

• powiadomienie - witryna musi jasno, w sposób łatwy do znalezienia i przeczytania dla użytkownika określić, jakie dane personalne będzie gromadzić i z kim będzie się nimi dzielić;
• wybór - użytkownik musi mieć możliwość kontrolowania oraz zapobiegania sprzedawaniu, rozpowszechnia-niu oraz udostępnianiu jego danych osobowych;
• dostęp - użytkownik musi mieć dostęp do danych i możliwość ich korygowania oraz uzupełnienia;
• bezpieczeństwo - witryna musi zapewnić odpowiednie bezpieczeństwo przechowywanych danych.

W ramach programu funkcjonuje mechanizm pozasądowego rozwiązywania sporów TRUSTe Watchdog, umożliwiający łatwe składanie skarg użytkownikom, gdy uważają, że witryny licencjonowane przez TRUSTe niezgodnie z zasadami programu przetwarzają ich dane osobowe. TRUSTe Watchdog, zgodnie z założeniami, dostępny jest dla każdego użytkownika sieci, niezależnie od obywatelstwa czy miejsca zamieszkania.

Jeżeli zostanie stwierdzone, że firma nie stosuje się do zasad programu TRUSTe, może zostać zobligowana do wprowadzenia zmian, poddana niezależnemu audytowi, a w przypadku praktyk prawnie zakazanych, sprawa może zostać zreferowana odpowiednim organom państwowym. Według twórców programu, najskuteczniejszym narzędziem jest jednak możliwość pozbawienia firmy markera programu.

W programie uczestniczy prawie 2000 witryn, m.in. 15 z 20 najczęściej odwiedzanych witryn internetowych. Marker programu jest jednym z najbardziej sławnych symboli Internetu.

Organizacje pozarządowe takie jak TRUSTe spełniają bardzo ważną rolę, umożliwiając użytkownikom Internetu wybór, odnośnie tego czy i z kim chcą się dzielić swoimi danymi personalnymi oraz zapewniają respektowanie indywidualnych preferencji dotyczących prywatności. Sukces organizacji opiera się również na wzroście świadomości przedsiębiorstw działających za pośrednictwem Internetu, że sukces w handlu elektronicznym zależy w dużej mierze od zbudowania zaufania w relacji z klientami. Jednocześnie spełniają one istotną rolę w dziedzinach, gdzie uregulowania prawne jeszcze nie dotarły, a także w krajach, jak Stany Zjednoczone, gdzie nie funkcjonują żadne rozwiązania legislacyjne w tej dziedzinie.

W Polsce program TRUSTe - jak do tej pory - nie rozpoczął działalności, nie funkcjonują również inne tego typu organizacje.

Różne podejścia do problematyki prawnej ochrony danych osobowych

Prawna ochrona prywatności jest jednym z ważniejszych elementów aspektu praw konsumenckich, jest ona jednocześnie zjawiskiem znacznie starszym niż historia sieci Internet.

Regulacje dotyczące ochrony danych osobowych posiadają, szczególnie w Europie, długą tradycję. Należy jednocześnie zauważyć odmienne podejście do omawianej problematyki na Starym Kontynencie i w Stanach Zjednoczonych. W krajach europejskich prawo do ochrony danych osobowych wykracza poza aspekty handlowe, uważane jest za jedno z podstawowych praw człowieka, co znalazło wyraz w odpowiednim zapisie w Europejskiej Konwencji Ochrony Praw Człowieka; w USA problem ten jest rozpatrywany w aspekcie komercyjnym.

Różnice te spowodowane są m.in. odmiennymi doświadczeniami historycznymi, w szczególności wykorzystywaniem danych osobowych przez Nazistów w celu eksterminacji rasowej.

Dyrektywa o ochronie danych osobowych

W październiku 1995 roku Parlament Europejski i Rada Unii Europejskiej przyjęły Dyrektywę 95/46 w sprawie ochrony osób fizycznych ze względu na przetwarzanie danych o charakterze osobowym oraz swobodnego przepływu tych danych. Dyrektywa jest podstawowym dokumentem w zakresie tematyki ochrony danych osobowych, jednak nie jest jedynym aktem prawnym w ramach Unii Europejskiej, dotyczącym tej kwestii; należy tutaj wymienić m.in.:

• Dyrektywę 97/66 o przetwarzaniu danych osobowych i ochronie prywatności w sektorze telekomunikacji,
• Zalecenie 85/20 w sprawie ochrony danych wykorzystywanych dla potrzeb marketingu bezpośredniego,
• Zalecenie 90/19 w sprawie ochrony danych osobowych wykorzystywanych dla potrzeb finansowych.

Celem stworzenia Dyrektywy było zapewnienie swobodnego przepływu danych osobowych, przy jednoczesnej ochronie prawa jednostki do prywatności. Dyrektywa ma na celu uregulowanie obrotu danymi osobowymi, zarówno na szczeblu krajowym, jak i międzynarodowym. Ujednolicenie przepisów, dotyczących przetwarzania danych osobowych, ma uniemożliwić sytuację, w której np. różnice w poziomie ochrony ich przetwarzania, gwarantowanej przez poszczególne Państwa Członkowskie, mogą uniemożliwić przesyłanie takich danych z terytorium jednego Państwa Członkowskiego na terytorium drugiego.

Zgodnie z Dyrektywą, Państwa Członkowskie powinny dopilnować, żeby dane osobowe były:

• przetwarzane w sposób uczciwy i zgodny z prawem,
• gromadzone i przetwarzane dla konkretnych, jasno określonych i zgodnych z prawem celów. Przy czym przetwarzanie danych dla celów historycznych, statystycznych lub naukowych nie będzie uważane za niezgodne z pierwotnymi celami - pod warunkiem że Państwa Członkowskie zapewnią odpowiednie środki zabezpieczające,
• właściwe, stosowne i niezbyt rozbudowane w stosunku do potrzeb, dla których są gromadzone i/lub kierowane do dalszego przetwarzania,
• dokładne i w miarę konieczności aktualizowane,
• gromadzone w postaci umożliwiającej identyfikację podmiotu danych, nie dłużej niż jest to konieczne dla celów, dla których zostały zgromadzone lub skierowane do dalszego przetwarzania.

Jednocześnie dane osobowe mogą być przetwarzane tylko, gdy:

• podmiot danych wyraził na to jednoznaczną zgodę,
• przetwarzanie jest konieczne do realizacji umowy, w których podmiot danych jest stroną lub do podjęcia kroków, wymaganych przez podmiot danych przed zawarciem umowy,
• przetwarzanie jest konieczne do wypełnienia zobowiązań prawnych, obejmujących kontrolera,
• przetwarzanie jest konieczne do ochrony istotnych interesów podmiotu danych,
• przetwarzanie jest konieczne do realizacji prawnie uzasadnionych interesów kontrolera lub osoby trzeciej, której ujawnia się dane, z wyjątkiem przypadków, kiedy te interesy naruszają podstawowe prawa i wolności podmiotu danych, objęte ochroną.

Zgodnie z cyt. dyrektywą Państwa Członkowskie powinny wprowadzić zakaz przetwarzania tzw. danych wrażliwych czyli danych osobowych dotyczących pochodzenia rasowego lub etnicznego, przekonań politycznych, religijnych lub filozoficznych, członkostwa w związkach zawodowych, danych dotyczących zdrowia, życia seksualnego.

Od zasady tej przewidziano jednak szereg wyjątków, gdy np.: podmiot danych wyraził jednoznaczną zgodę na przetwarzanie danych go dotyczących, przetwarzanie obejmuje dane, które są jawnie upublicznione przez podmiot danych lub niezbędne do wykazania zasadności roszczenia prawnego, jego egzekucji lub obrony.

Państwa Członkowskie zagwarantują każdemu podmiotowi danych prawo uzyskania od kontrolera (czyli osoby fizycznej lub prawnej, władzy publicznej, agencji lub jakiegokolwiek innego organu, który samodzielnie lub we współpracy z innymi określa cele przetwarzania danych osobowych):

• potwierdzenia, czy dane go dotyczące są przetwarzane oraz informacji o celach przetwarzania, kategoriach przetwarzanych danych, odbiorcach i kategoriach odbiorców, którym ujawnia się dane,
• przekazania mu w zrozumiałej formie danych poddawanych przetwarzaniu i wszelkich dostępnych informacji dotyczących ich źródła,
• informacji o sposobach automatycznego przetwarzania danych go dotyczących.

Podmiot danych ma także zagwarantowane prawo do:

• zgłoszenia sprzeciwu wobec przetwarzania danych go dotyczących,
• sprzeciwu w przypadku chęci wykorzystania przez kontrolera jego danych do celów m.in. marketingu bezpośredniego.

Państwa Członkowskie mają zadbać, aby kontroler przedsięwziął odpowiednie kroki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem, utratą, zmianą, nielegalnym ujawnieniem lub dostępem do nich, zwłaszcza jeśli przetwarzanie danych łączy się z ich przesyłaniem w sieci komputerowej oraz przed wszelkimi innymi nielegalnymi formami przetwarzania; powinny również zapewnić każdej osobie, która doznała jakichkolwiek szkód w wyniku niezgodnego z prawem przetwarzania danych lub jakichkolwiek operacji niezgodnych z regulacjami prawnymi, przyjętymi jako obowiązujące w danym państwie na podstawie niniejszej Dyrektywy, prawo do otrzymania odszkodowania od kontrolera za doznane szkody.

Przesyłanie danych do innych krajów

Dane osobiste poddane przetwarzaniu lub które będą przetwarzane po przesłaniu, mogą być przesłane do innych krajów tylko wówczas, jeśli - bez naruszania zgodności z prawodawstwem krajowym uchwalonym zgodnie z postanowieniami Dyrektywy - kraj docelowy zapewni odpowiedni zakres zabezpieczenia tych danych.

Na podstawie okoliczności i warunków operacji przesyłania danych określony zostanie odpowiedni zakres ich ochrony przez kraj docelowy; ze szczególnym uwzględnienie natury danych, celu i czasu trwania proponowanej operacji przesyłania, kraju, z którego dane pochodzą oraz kraju, do którego zostaną przesłane, prawodawstwa, tak ogólnego, jak i szczegółowego, obowiązującego w kraju docelowym oraz zasad posługiwania się danymi i środków bezpieczeństwa, wymaganych w tym kraju.

Jeśli Komisja ustali, że państwo to nie zapewnia wystarczającego zakresu ochrony danych, Państwa Członkowskie zobowiązane są do przedsięwzięcia koniecznych środków zapobiegania przesyłaniu danych tego samego typu do tego państwa. W pewnych przypadkach przesyłanie danych do takich krajów jest jednak możliwe, np. gdy:

• podmiot danych wyraźnie wyraził swą zgodę na proponowane przesłanie danych,
• przesłanie danych jest warunkiem koniecznym dotrzymania umowy pomiędzy podmiotem danych a kontrolerem lub wypełnienia zobowiązań, zawartych przed umową w odniesieniu do podmiotu danych,
• przesłanie danych jest konieczne do zawarcia lub wypełnienia warunków umowy zawartej w interesie podmiotu danych pomiędzy kontrolerem i osobami trzecimi,
• przesłanie danych jest konieczne lub wymagane przez prawo ze względu na ważne interesy publiczne lub rządowe, ich wykonanie lub ochronę roszczeń w świetle prawa,
• przesłanie danych jest konieczne do ochrony podstawowych interesów podmiotu danych,
• przesłanie danych następuje z rejestru, który zgodnie z regulacjami prawnymi ma na celu zapewnienie publicznego źródła informacji, dostępnego wszystkim obywatelom lub osobom zainteresowanym prawnie i mogącym to udowodnić w zakresie, w jakim spełnione są w danym przypadku warunki prawnie określone.

Państwa Członkowskie mogą upoważnić do przesyłania danych personalnych do innych krajów, które nie zapewniają odpowiedniego poziomu ochrony danych, jeśli kontroler wskaże odpowiednie środki ochrony prywatności, fundamentalnych praw i wolności osobistych w odniesieniu do przestrzegania tych praw. Jednym z krajów nie zapewniających odpowiedniego poziomu ochrony danych osobowych wymaganego w ramach Dyrektywy są Stany Zjednoczone. W lipcu 2000 r. Komisja Europejska zawarła z rządem USA tzw. Safe Harbour Agreement, zgodnie z którym amerykańskie firmy przetwarzające dane dotyczące obywateli Unii Europejskiej muszą fakt ten zgłaszać Departamentowi Handlu i podlegają jego corocznej certyfikacji. Mogą w tym celu rozwijać własną politykę ochrony prywatności lub przystąpić do jednego z programów spełniających wymagania Safe Harbour Agreement.

Prawna ochrona danych osobowych w Polsce

Zasady posługiwania się i przechowywania danych osobowych określa Ustawa z dn. 29.08.1997 o Ochronie Danych Osobowych, Dz. U. Nr 133, poz. 883, która weszła w życie 30 kwietnia 1998 roku. Zadaniem ustawy było stworzenie odpowiednich standardów obrotu danymi osobowymi. Podstawą do uchwalenia przepisów, regulujących problematykę ochrony danych osobowych w Polsce, były odpowiednie zapisy w Konstytucji Rzeczypospolitej Polskiej.

Przedmiot ochrony ustawy określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych. Nie dotyczy ona podmiotów gospodarczych. Ewidencja działalności gospodarczej i informacje w niej zawarte są jawne i służą ułatwieniom w obrocie gospodarczym.

Ustawa dzieli dane na trzy rodzaje: zwykłe, wrażliwe (dotyczące np. nałogów, preferencji seksualnych), które podlegają szczególnej ochronie, i szczególnie wrażliwe (dotyczące orzeczeń w postępowaniu sądowym lub administracyjnym), które można przetwarzać wyłącznie na podstawie ustawy.

Art. 23 zawiera przesłanki zezwalające na przetwarzanie danych osobowych zwykłych.

Osoba, której dane dotyczą, posiada szereg praw, w szczególności do uzyskania informacji o: celu, zakresie i sposobie przetwarzania danych, a także wniesienia w określonych przypadkach żądania zaprzestania przetwarzania danych. Przetwarzanie danych w celu innym, niż ten, dla którego zostały zebrane, jest dopuszczalne jedynie w pewnych, określonych ustawowo sytuacjach i tylko pod warunkiem, że nie narusza praw i wolności osoby, której dane dotyczą.

Ustawa nakłada na administratorów szereg szczegółowych obowiązków takich, jak:

• poinformowanie osoby, której dane dotyczą o:
  • adresie siedziby administratora,
  • celu zbierania danych,
  • prawie wglądu do swoich danych;

• poinformowanie o dobrowolności lub obowiązku podania ich, a jeżeli taki obowiązek istnieje, to o jego podstawie prawnej; obowiązek ten jest powiązany z obowiązkiem udostępnienia danych osobom, których one dotyczą, jeżeli osoby te wystąpią z wnioskiem do administratora;
• wymóg zgłoszenia prowadzonego zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (nie dotyczy niektórych rodzajów zbiorów);

• obowiązek zabezpieczenia zbiorów danych, które administrator powinien wykonywać przez zastosowanie odpowiednich urządzeń technicznych, ograniczenie dostępu osób niepowołanych, a także kontrolę danych napływających do zbioru;

• ochrony interesów osób, których dane dotyczą; administrator obowiązany jest dbać, aby znajdujące się w jego dyspozycji dane były przetwarzane zgodnie z prawem, zbierane jedynie dla oznaczonych i zgodnych z prawem celów i nie poddane dalszemu wykorzystaniu po realizacji tych celów; obowiązkiem administratora jest również dbałość, aby zebrane dane były merytorycznie poprawne i przechowywane nie dłużej, niż jest to niezbędne do realizacji celu przetwarzania.

Przekazywanie danych osobowych za granicę

Ustawa zawiera przepisy dotyczące przekazywania danych za granicę, wzorowane na przepisach omawianej wcześniej Dyrektywy. Zasadą jest, że przekazanie takie jest możliwe, jeśli kraj docelowy daje przynajmniej takie same gwarancje ochrony danym osobowym, jak obowiązujące w Polsce, chyba, że umowa międzynarodowa, której Polska jest stroną, stanowi inaczej. Jednakże nie jest wykluczone przekazanie danych także wtedy, gdy kraj docelowy takich gwarancji nie daje, w przypadku gdy:

• osoba, której dane dotyczą udzieliła pisemnej zgody,
• dane są ogólnie dostępne,
• przekazanie jest niezbędne:
  • do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, bądź jest podejmowane na jej życzenie,
  • do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych i innym podmiotem,
  • ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
  • do ochrony żywotnych interesów osoby, której dane dotyczą.

Jeśli żaden z powyżej opisanych warunków nie zachodzi, to przekazanie może mieć miejsce wyłącznie za zgodą Generalnego Inspektora Ochrony Danych Osobowych.

Należy zaznaczyć, że sposób wykorzystania danych, nawet zgodnie z prawem, może być różny. Niektóre firmy wykorzystują dane jedynie do realizacji zamówienia. Informacje nie są przechowywane i używane w celach marketingowych czy też istnieje możliwość zaznaczenia, że nie chce się otrzymywać materiałów reklamowych; natomiast inne zaznaczają, że wypełnienie formularza i udostępnienie danych jest jednocześnie zgodą na ich wykorzystanie i przetwarzanie w celach marketingowych lub przekazywania innym podmiotom.

Podsumowanie

Przedstawione rozważania pokazują, że prawidłowa ochrona danych osobowych użytkowników Internetu, mająca na celu zwiększenie zaufania użytkowników do sieci, jest problemem wielowymiarowym i wymaga skoordynowanych działań, zarówno ze stromy firm działających za pośrednictwem sieci, organów samorządu gospodarczego, organizacji skupiających użytkowników sieci, jak i organów rządowych. Do najważniejszych elementów należą:

• stworzenie prawidłowej polityki ochrony prywatności na poziomie firmy,
• stworzenie programów pozarządowych umożliwiających ochronę danych osobowych na zasadzie dobrowolności,
• prawidłowe funkcjonowanie uregulowań prawnych gwarantujących określone minimum w zakresie ochrony danych osobowych.

Uregulowania prawne w Polsce funkcjonują już od kilku lat. Niewątpliwie zapewniają one pewien poziom ochrony danych użytkowników sieci, jednak osobnym problemem jest ich przestrzeganie przez firmy internetowe i uświadomienie sobie przez nie, że poszanowanie prawa w tym zakresie i odpowiednie informowanie o tym działa przede wszystkim w ich interesie i przyczyni się do wzrostu zaufania, a w konsekwencji rozwoju handlu elektronicznego.

Stworzenie programów pozarządowych chroniących prywatność jest zadaniem przede wszystkim dla organizacji branżowych. Na niektórych stronach internetowych można znaleźć zapewnienia, że firmy popierają inicjatywy i programy mające na celu stworzenie standardów ochrony prywatności w Internecie i jeśli reguły takie zostaną wypracowane, zobowiązują się poddać weryfikacji politykę ochrony prywatności oraz zabiegać o uzyskanie stosownego certyfikatu. Funkcjonowanie tego typu programów jest istotne również ze względu na dokonywanie w firmach stałego, zewnętrznego audytu w zakresie bezpieczeństwa przechowywania danych oraz promowanie odpowiednich technologii zwiększających bezpieczeństwo i anonimowość danych użytkowników, np. korzystania przez sklepy internetowe z systemów elektronicznego pieniądza, zapewniających anonimowość kupujących. Umożliwia ono również stworzenie pewnych wytycznych w zakresie tworzenia polityki ochrony prywatności przez firmy, co szczególnie małym przedsiębiorstwom może pomóc w tym dosyć trudnym zadaniu.

Wymuszanie przestrzegania odpowiednich standardów może się odbywać również, przy wykorzystaniu mechanizmów rynkowych, na zasadzie unikania podejrzanych witryn przez użytkowników (czy tez prowadzenia bojkotu). Jednak, szczególnie w Polsce, brak jest odpowiednich ruchów konsumenckich, próbujących oddolnie wprowadzić zorganizowane formy unikania witryn nie przestrzegających odpowiednich reguł (np. w formie publikowania czarnych list). Jest tak, mimo że Internet jako medium, wybitnie sprzyja tworzeniu i rozprzestrzenianiu tego typu inicjatyw, nie wymaga również specjalnych nakładów finansowych ze strony organizacji namawiających do bojkotu (np. stałej obecności osób pikietujących przed siedzibą bojkotowanej firmy).

Na koniec, należy zauważyć, że wszelkie działania w zakresie ochrony prywatności powinny się opierać przede wszystkim na dobrej woli firm wykorzystujących Internet do prowadzenia swojej działalności gospodarczej. Istotne jest podnoszenie wśród nich świadomości, że podwyższanie standardów w zakresie ochrony prywatności i ich przestrzeganie będzie czynnikiem zwiększającym zaufanie do nich i do handlu elektronicznego jako takiego, w konsekwencji przyczyniając się do jego rozwoju, a także umożliwiając firmom lepsze poznanie swoich klientów, którzy zmniejszą swoje obawy przed podawaniem autentycznych i wyczerpujących danych, co ułatwi nawiązywanie relacji z nimi.