RODO a domeny internetowe – idą zmiany

rodo

Już 25 maja 2018 roku wchodzi w życie Ogólne Rozporządzenie o Ochronie Danych, zwane wymiennie RODO bądź GDPR. Przez media przetacza się fala różnych informacji. Jedni mówią że to rewolucja, inni że nic się nie zmienia. A jakie są fakty? Co RODO zmienia w zakresie praw dotyczących abonentów nazw domen internetowych? Zmiany są bardzo istotne. Przyjrzyjmy się bliżej tej kwestii.

Zasady ochrony danych osobowych, jakie reguluje RODO, szczegółowo opisaliśmy w artykule o RODO na naszym bliżniaczym blogu MSERWIS.pl.

W skrócie jednak, co najważniejszego wprowadza RODO?

  • dużo większą ochronę danych osobowych niż dotychczas obowiązujące przepisy,
  • wspólną, zharmonizowaną ochronę we wszystkich krajach Unii Europejskiej,
  • zasadę minimalizacji danych, czyli podmioty mogą przetwarzać minimalny zakres danych niezbędny do świadczenia usługi bądź wymagany przez prawo,
  • obowiązek wytłumaczenia osobom, których dane są przetwarzane, kto te dane przetwarza, w jakim celu i jakie prawa tej osobie w związku z tym przysługują,
  • wprowadzenie zasady, że w momencie ustania celu przetwarzania, dalsze przetwarzanie danych osobowych przestaje być dozwolone,
  • obowiązki informacyjne w zakresie przekazywania danych do podmiotów trzecich czy też innych krajów.

Dane osobowe w kontekście nazw domen internetowych

Rejestracja i utrzymanie nazwy domeny wiąże się z koniecznością przekazania danych osobowych. Są one niezbędne m.in. do:

  • identyfikacji zlecającego usługę i celów księgowych,
  • przekazania ich do odpowiedniego rejestru domen celem wykonania usługi rejestracji i utrzymania nazwy domeny,
  • w celu identyfikacji ewentualnych naruszeń zasad lub prawa,
  • w celu ustalenia, jaka osoba bądź podmiot jest abonentem danej nazwy domeny.

Nie jest możliwa rejestracja nazwy domeny anonimowo. Zakres danych niezbędny do rejestracji różni się jednak w zależności od rejestru. Najczęściej spotykany jest jednak wymóg podania następującego zestawu danych:

  • imię i nazwisko osoby fizycznej będącej abonentem lub przedstawicielem abonenta, gdy jest on klientem instytucjonalnym,
  • nazwa firmy bądź organizacji (tylko gdy takowa występuję w roli abonenta),
  • adres pocztowy, pod którym abonent ma swoją siedzibę i może odbierać korespondencję,
  • adres e-mail, który coraz częściej musi być zweryfikowany (brak weryfikacji może oznaczać zawieszenie usługi),
  • numer telefonu kontaktowego.

Niektóre rejestry wymagają dodatkowych danych, jak np. numer czy nawet skan dokumentu tożsamości, albo datę urodzenia.

Naszą praktyką, jeszcze przed wejściem w życie RODO, było i jest zbieranie jak najmniejszej ilości danych osobowych, niezbędnych do realizacji usługi. Przykładowo, nie wymagamy przy rejestracji numeru PESEL od osób fizycznych, gdyż nie jest on potrzebny do wykonania usługi. Inni rejestratorzy, który bez podania PESELu odmawiają wykonania usługi, będą musieli prawdopodobnie wkrótce zmienić tę praktykę (i naszym zdaniem słusznie).

Podkreślamy jednak, że rejestrator działa wyłącznie jako pośrednik w przekazywaniu danych i nie kontroluje procesu ich przetwarzania w faktycznym rejestrze, do którego trafiają.

Co RODO zmieni w prawach abonentów?

Najwięcej zmian szykują rejestry narodowe krajów Unii Europejskiej. Wśród rejestrów różnych krajów nie ma harmonizacji – każdy rejestr sam projektuje infrastrukturę i określa politykę rejestracji.

Każdy rejestr również samodzielnie prowadzi bazy WHOIS. Są to publicznie dostępne bazy danych, gdzie każdy może sprawdzić, kto jest abonentem danej nazwy domeny. Może także zobaczyć inne przydatne informacje związane z daną nazwą domeny. Dlatego też zakres danych jest różny. W jednym kraju zobaczymy pełen zestaw danych osobowych, w innym nie zobaczymy nic.

Zmiany w rejestrze domen .pl

NASK, podmiot zarządzający domeną .pl, ogłosił, że w związku z RODO wprowadza następujące zmiany:

  • zaprzestanie publikowania w bazie Whois danych identyfikujących klientów ze statusem ‘osoba fizyczna’ bez względu na wyrażoną zgodę na publikację;
  • usuwanie z systemu produkcyjnego Registry danych kontaktów, które nie zostaną dowiązane do żadnej usługi Rejestru w okresie 30 dni od ich utworzenia lub po odwiązaniu kontaktu od usług Rejestru;
  • zaprzestanie przetwarzania, w tym wprowadzania kontaktów technicznych do głównego Rejestru domeny .pl;
  • usunięcie opcjonalnego pola „powód rejestracji”, niewykorzystywanego od wielu lat, a kiedyś wymaganego.

Czyli nie będzie już w ogóle możliwości publikacji danych osobowych w WHOIS osób fizycznych, nawet jeśli wyrażą one na to zgodę. Znika również kontakt techniczny, który był dość często wykorzystywany przez resellerów nazw domen i niestety nie pojawia się nic w zamian.

Ilość informacji zmniejsza się więc coraz bardziej. Kiedyś w WHOIS ilość danych była większa. Przykładowo, wyświetlanie identyfikatora kontaktu abonenta pozwalało łatwo ustalić, jakie inne nazwy domen on posiada. Do tamtych czasów nie ma już powrotu.

Zmiany w rejestrze domen .eu

EURiD w bazie WHOIS wyświetla następujące dane:

  • osoby fizyczne – wyłącznie adres e-mail
  • firmy i instytucje – pełen zakres danych

Na tym polu nie nastąpią żadne zmiany. EURid uważa, że adres e-mail powinien być dostępny publicznie i cel z tym związany jest nadrzędny wobec potrzeby ochrony tej danej osobowej.

Wprowadzona zostaje również zasada usuwania danych, które nie są już w użyciu. EURid, jako rejestr działający na podstawie prawa belgijskiego, zgodnie z tym prawem ma obowiązek przechowywania danych przez okres 10 lat. Oznacza to, że nasze dane będą przetwarzane przez okres 10 lat nawet po ustaniu umowy utrzymania nazwy domeny z końcówką .eu.

Zmiany w rejestrze domen .de

DENIC wprowadził ograniczenia dostępu do bazy WHOIS. Obecnie, aby wyświetlić dane abonenta, trzeba zadeklarować cel, dla których potrzebujemy do nich dostępu.

Zmiany dla domen globalnych .com, net i innych

Rejestratorzy domen globalnych, z którymi współpracujemy, zadeklarowali pełną zgodność z RODO (GDPR). Zmiany dotyczą głównie zakresu danych wyświetlanych w WHOIS. Aby to wyjaśnić dokładnie, musimy wytłumaczyć mechanizm działania WHOIS. Domeny globalne możemy podzielić na dwie główne grupy, w zależności od zasady działania serwerów WHOIS:

1. Rejestry zdecentralizowane. Do tej grupy należą .com, .net, .cc, .tv, .jobs.

Dane abonentów domen nie są przekazywane bezpośrednio do rejestru domen, a zostają na poziomie rejestratora, który posiada bezpośrednią akredytację w danym rejestrze.

Na poziomie rejestru nie są przechowywane ani wyświetlane żadne dane osobowe, jedynie podstawowe dane techniczne związane z nazwą domeny. Są to np. dane serwerów nazw, data utworzenia, data wygaśnięcia. Aby poznać dane abonenta, trzeba zejść o poziom niżej – do głównego rejestratora. Wyciąg z bazy WHOIS często zawiera informacje z obydwu tych źródeł połączone.

Rejestratorzy tutaj więc opracowują własną politykę, każdy z osobna. Będzie to albo całkowite ukrycie wszystkich danych albo ukrycie danych abonentów, będących osobami fizycznymi, przy pozostawieniu jawności danych abonentów będących organizacjami.

2. Rejestry scentralizowane. Są to m.in. końcówki .info, .org, .xyz.

Dane abonenta nazwy domeny są przekazywane do nas do rejestratora głównego, a następnie do rejestru. Przykładowo Public Internet Registry, organizacja bezpośrednio nadzorująca rejestr domen .org, przetwarza wszystkie dane centralnie, niezależnie od którego rejestratora pochodzą.

Zakres danych przekazywanych przez nas do tych rejestrów zostanie ograniczony do minimum, aby realizacja usługi (rejestracja i utrzymanie nazwy domeny) była możliwa do wykonania. Rejestry natomiast opracowują obecnie własną politykę ograniczenia dostępu do zcentralizowanej bazy WHOIS. Dokładny zakres danych zostanie wkrótce ogłoszony.

Wspólne zmiany w zakresie domen globalnych:

  • większość danych będzie domyślnie ukrytych w publicznej bazie WHOIS,
  • abonenci będą mogli zdecydować o ujawnieniu domyślnie ukrytych danych,
  • dostęp do pełnej bazy danych będą mogły uzyskać podmioty i instytucje po ujawnieniu celu prawnego, np. organy ścigania, bądź inne podmioty w przypadku sporu o własność intelektualną (tzw. gated whois, dostępny po autoryzacji)
  • w związku z niejawnością adresu e-mail transfery domen mogą być utrudnione, zaś kontakt z abonentem domeny poprzez e-mail może być niemożliwy,
  • usługi typu ID Protect nadal będą oferowane i nadal polecamy korzystanie z nich. Usługa ta wprowadza dodatkowy poziom zabezpieczeń (brak danych nawet w gated whois), oraz nie blokuje możliwości uzasadnionego kontaktu e-mail z abonentem domeny,
  • dokładne procedury są nadal w trakcie opracowywania, aby były ustandaryzowane w systemach różnych rejestrów i rejestratorów.

Widok z bazy WHOIS przez zmianami, domena nie korzysta z ID Protect:

Baza WHOISWidok z bazy WHOIS przed i po zmianach, domena korzysta z ID Protect:

WHOIS ID ProtectProjektowany widok z bazy WHOIS po wejściu RODO w życie, domena nie korzysta z ID Protect:

Baza WHOIS po RODO

Domeny narodowe krajów spoza Unii Europejskiej

Warto zwrócić uwagę, iż RODO dotyczy nie tylko podmiotów zarejestrowanych w krajach członkowskich Unii Europejskiej. Podmiot z dowolnego kraju na świecie będzie podlegał RODO, „o ile przetwarzanie danych będzie związane z oferowaniem towarów i usług lub z monitorowaniem zachowania osób z krajów UE”. Trudno jednak się spodziewać, aby rejestry z najbardziej egzotycznych krajów nagle stały się w pełni zgodne z RODO, niemniej część z nich będzie chciała to zrobić, aby móc docierać do większej liczby klientów z Europy.

Zwracamy uwagę, że rejestrując nazwy domen np. w takich krajach jak Malezja (domena .my), Tonga (domena .to) czy Mikronezja (domena .fm), zgadzamy się automatycznie na przekazanie danych osobowych do rejestrów tych krajów. Posiadanie więc nazwy domeny z takich krajów może się wiązać z ryzykiem gorszej ochrony danych osobowych.

Podsumowanie

RODO jest wyzwaniem dla wszystkich graczy na rynku, ostatecznie jednak pozwoli na większe zabezpieczenie użytkowników Internetu przed nadużyciami zarówno przez ograniczenie zakresu przetwarzania danych, jak i wzrost poziomu stosowanych zabezpieczeń. Pozwoli Internautom również dowiedzieć się, kto i w jakim zakresie przetwarza ich dane i gdzie zwrócić się ze zgłoszeniami naruszeń.

Jako że rynek domen zmienia się bardzo dynamicznie, niniejszy artykuł będziemy aktualizować. Zapraszamy do ponownej lektury za jakiś czas.

Podobał Ci się artykuł? Udostępnij

2 myśli nt. „RODO a domeny internetowe – idą zmiany

  1. Kasia

    A czy to dotyczy portali społecznościowych? Jeśli tak to co z Facebookiem?

  2. Michał Autor wpisu

    Każdy portal samodzielnie musi ocenić zmiany związane z RODO. Facebook wprowadza w związku z tym bardzo dużo zmian i każdy użytkownik jest o tym informowany.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *