Nasza-Klasa: trudności w usunięciu danych osobowych

Usunięcie konta w serwisie Nasza-Klasa (NK) nie wiąże się z usunięciem danych osobowych użytkownika - alarmuje w swoim liście Czytelnik Dziennika Internautów. Przedstawiciel NK twierdzi, że wszystko jest w porządku, a procedury stosowane przez ten serwis są zgodne z prawem. Innego zdania być może będzie GIODO, które niebawem rozpocznie kolejną kontrolę w Naszej-Klasie.
Czytaj najnowsze informacje o portalu Nasza Klasa

Treść listu Czytelnika z 19 grudnia 2008:

Miałem konto na NK i któregoś pięknego dnia postanowiłem je zlikwidować. Po likwidacji konta kilka dni później odruchowo zalogowałem się na NK. Jakież wielkie było moje zdziwienie, kiedy to po zalogowaniu się otrzymałem komunikat, iż moje konto jest zlikwidowane i że mogę... obejrzeć swoje dane osobowe. Okazuje się, że likwidacja konta w NK nie pociąga za sobą likwidacji moich danych osobowych z ich serwerów.

Napisałem do NK łącznie 3 prośby o usunięcie MOICH danych z ich serwisu - bez echa, nadal mogę zobaczyć swoje dane, a co za tym idzie wbrew obowiązującemu prawu nadal NK administruje moimi danymi. Poniżej wkleję trzeci i ostatni e-mail ( info do wiadomości redakcji - przyp. red.) jaki do nich wysłałem (13.12.2008r.) Innych nie mam, bo wysyłane były za pomocą formularza na ich stronie www. Mail wysłałem na adres reklama@nasza-klasa.pl. Niestety nawet nie mogę do nich zadzwonić, ponieważ nie udostępniają żadnego nr tel.

Redakcja Dziennika Internautów przyjrzała się regulaminowi serwisu i skontaktowała w tej sprawie z przedstawicielami Naszej-Klasy oraz Generalnego Inspektora Ochrony Danych Osobowych.

Regulamin Naszej-Klasy

Uwagę DI zwróciła treść punktu 5.3 regulaminu NK, którą przytaczamy poniżej:

Dane osobowe oraz informacje zawarte w formularzu rejestracyjnym wykorzystywane będą przez Administratora do zawarcia, zmiany, rozwiązania umowy z Użytkownikiem oraz zapewnienia jak najwyższej jakości świadczonych usług.

W cytowanym punkcie czytamy m.in. że dane osobowe będą wykorzystywane do zawarcia, zmiany oraz rozwiązania umowy z użytkownikiem . Opisywana sytuacja wydaje się więc sprzeczna z regulaminem (dane osobowe są wykorzystywane po rozwiązaniu umowy z użytkownikiem).

W związku z powyższym zapytaliśmy przedstawicieli Naszej-Klasy, dlaczego dane osobowe po usunięciu profilu są dalej przetwarzane przez serwis, w jaki sposób można usunąć profil oraz wszelkie dane osobowe z Naszej-Klasy oraz dlaczego Nasza-Klasa nie udostępnia łatwej możliwości usunięcia swoich danych osobowych z serwisu.

Nasza-Klasa: działamy zgodnie z prawem

Bartek Szambelan, rzecznik prasowy Naszej-Klasy, w swoim liście do Dziennika Internautów stwierdził że " usunięcie konta z serwisu nie jest i nie może być tożsame z usunięciem danych osobowych z bazy danych administratora". Rzecznik NK powołuje się na regulamin portalu, przepisy Ustawy o ochronie danych osobowych oraz Ustawy o świadczeniu usług drogą elektroniczną. Szambelan zwraca uwagę na punkt 5.5

Użytkownik ma prawo wglądu do przetwarzanych danych w każdym czasie, jak również prawo do ich poprawiania oraz żądania ich usunięcia z Bazy Kont (Profili).

Redakcja DI została poinformowana przez przedstawiciela NK, iż odpowiednią prośbę można wystosować, korzystając z formularza dostępnego w serwisie lub wysyłając odpowiednie pismo na adres spółki. Ponadto Bartek Szambelan powołuje się na art. 36 Ustawy o ochronie danych osobowych, który brzmi:

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Rzecznik serwisu tłumaczy, że "gdyby samodzielne usunięcie przez użytkownika konta równało się jednoczesnemu usunięciu z bazy jego danych, to w pewnych przypadkach mogło by to okazać się niekorzystne dla samego użytkownika. Jeśli np. ktoś poznałby dane dostępu do konta konkretnego użytkownika i włamał się na nie, a następnie usunął to konto i w tym hipotetycznym przypadku skasował także dane osobowe, to ewentualne ustalenie sprawcy byłoby niemożliwe (wszelkie rekordy uległyby anonimizacji)".

Poza tym NK, dbając o bezpieczeństwo użytkowników, musi brać poprawkę na sytuacje, w których ktoś wykorzysta portal tylko do tego, by popełnić jakieś przestępstwo (np. by wysłać groźbę karalną, pomówienie itp.). Automatyczne usunięcie danych wraz z likwidacją konta uniemożliwiłaby identyfikację sprawcy, a tym samym NK nie mogłaby skorzystać z praw określonych w art. 21. Ustawy o świadczeniu usług drogą elektroniczną:

W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości.

Nasza-Klasa: GIODO akceptuje naszą politykę

Na zakończenie Bartek Szambelan dodaje:

Usunięcie przez Internautę konta w serwisie jest równoznaczne z tym, że żaden z użytkowników serwisu nie ma do niego dostępu (konto jest niewidoczne dla społeczności), jednak zgodnie z Ustawą o świadczeniu usług drogą elektroniczną osoba, która przekazała dane musi mieć zagwarantowany ciągły dostęp do nich. Jeśli po skasowaniu konta wystąpi o usunięcie danych - tak też się stanie, co z kolei jest zagwarantowane w regulaminie serwisu.

Dane powierzane NK są przekazywane i przetrzymywane zgodnie z obowiązującymi przepisami prawa oraz zgodnie z zapisami regulaminu. Analogicznie musi być w przypadku ich usunięcia, więc usunięcie danych również odbywa się w zgodzie z literą prawa i regulaminu. Warto dodać, że procedury w tym zakresie poznał, wnikliwie analizował oraz zaakceptował Generalny Inspektor Ochrony Danych Osobowych.

Będzie kontrola GIODO

Dziennik Internautów skontaktował się z GIODO w powyższej sprawie. Pani Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO, nie odpowiedziała na pytania DI. Poinformowała nas jednak, że do Generalnego Inspektora Ochrony Danych Osobowych wpływały już skargi i sygnały dotyczące opisanych przez Czytelnika DI nieprawidłowości. W związku z powyższym, GIODO zdecydował o przeprowadzeniu w najbliższym czasie kontroli w serwisie Nasza-Klasa.

Nieświadomi użytkownicy?

Osoby korzystające z usług Naszej-Klasy mogą o całej sprawie nie wiedzieć. Wynika to z faktu, iż podczas procesu rejestracji nie ma informacji, z których jasno wynika, że dane osobowe są przetwarzane przez serwis nawet po usunięciu konta. Co ważne, również bezpośrednio po usunięciu konta w NK użytkownik nie jest informowany o tym, że jego dane wciąż są przetwarzane przez serwis.

"Użytkownik nie musi być informowany w tej kwestii, ponieważ już w momencie rejestracji mamy (...) wyciąg z Ustawy o ochronie danych osobowych i tam jest to napisane: przy rejestracji, przy regulaminie" - powiedział w rozmowie z DI Bartek Szambelan. Mimo to, wydaje się, że dobrym zwyczajem byłoby poinformowanie użytkowników o takim fakcie po usunięciu konta.

Okiem prawnika

Sprawę problematycznego usunięcia danych z Naszej-Klasy poruszył na swoim blogu Lege Artis prawnik, Olgierd Rudak:

Zgodnie z art. 19 ustawy o świadczeniu usług drogą elektroniczną usługodawca takiej usługi - a jest nim także Nasza Klasa - nie może przetwarzać część danych osobowych usługobiorcy po zaprzestaniu korzystania z usługi, z wyjątkiem ściśle określonych przypadków.I tak dalsze przetwarzanie danych osobowych możliwe jest wyłącznie: i) w celu rozliczenia świadczonych usług oraz dochodzenia należności, ii) w celach reklamowych, badań rynku oraz dla polepszenia jakości (ale tylko za zgodą usługobiorcy), iii) w zakresie niezbędnym do ustalenia przypadków niedozwolonego korzystania z usług (np. piractwa), iv) w przypadkach wskazanych w ustawie bądź umowie zawartej między usługodawcą a usługobiorcą.

W każdym jednak przypadku obowiązkiem usługodawcy jest usunięcie oznaczeń umożliwiających identyfikację usługobiorcy, w tym przybranego pseudonimu (art. 19 ust. 5 ustawy, por. Aneta Frań, Komentarz do ustawy o świadczeniu usług drogą elektroniczną, LEX).

Inne przypadki przetwarzania danych są niedopuszczalne, zatem usługodawca powinien je - bez stosownego żądania (zastępuje je bowiem oświadczenie o rozwiązaniu umowy o świadczenie usług) - usunąć z systemu.

Więcej na ten temat >>