Newsletter a ochrona danych osobowych

imagesW Internecie newsletter jest obecny praktycznie na każdym portalu czy stronie internetowej. Gdziekolwiek się poruszamy w wirtualnym świecie administratorzy stron czy portali wymagają od nas abyśmy pozostawili adres e-mail a oni będą nam przesyłać newsletter zawierający informacje o swoich produktach, usługach czy innego rodzaju działalności.

Temat należy rozpatrzeć w kilku aspektach. Pierwszym z nich jest temat danych osobowych jakie są zbierane przy zapisywaniu się na newsletter. Podstawową informacją  jaka jest potrzebna do wysyłki newslettera jest adres e-mail. Czy takowy adres e-mail stanowi dane osobowe? Jest w doktrynie rozbieżność czy każdy adres e-mail stanowi dane osobowe, choć ja uważam, że niestety dla wszystkich osób, które taki newsletter chcą wysyłać należy stwierdzić że stanowi. Niezależnie od tego jak jest on skonstruowany, tj. czy zawiera imię i nazwisko oraz miejsce pracy, czy ma charakter fantazyjny to posiadając taki adres e-mail mamy potencjalną możliwość identyfikacji osoby do której należy, a taka potencjalna możliwość identyfikacji jest elementem definicji danych osobowych zawartej w art. 6 ustawy o ochronie danych osobowych. Pewnym wyjątkiem będzie adres firmowy ogólny np. biuro@firma.pl. W takiej sytuacji tego adresu nie możemy przypisać do konkretnej osoby fizycznej, a zetem nie możemy mówić o danych osobowych. Jeżeli chodzi o zbieranie innych informacji w związku z wysyłką newslettera to jesteśmy ograniczeni zasadą adekwatności wymienioną w art. 26 ustawy o ochronie danych osobowych, czyli zakres zbieranych powinien być niezbędny do osiągnięcia celu przetwarzania. Zatem jeżeli newsletter ma charakter ogólny i nie kierowany do określonej kategorii osób to zakresem niezbędnym jest tylko adres e-mail, bez żadnych więcej informacji.

Przechodząc natomiast do podstaw przetwarzania to wysyłka newslettera może się obywać w oparciu o art. 23 ust. 1 pkt. 1 (zgoda) lub art. 23 ust. 1 pkt. 3 (umowa) ustawy o ochronie danych osobowych. Samo wpisanie adresu e-mail do okienka nie może być zgodą, bowiem zgoda na przetwarzanie danych osobowych nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści. Zapewne pojawia się pytanie dlaczego umowa może być podstawą przetwarzania danych osobowych w wymienionej sytuacji. Newsletter w rozumieniu ustawy o świadczeniu usług drogą elektroniczną jest właśnie usługą świadczoną w ten sposób, a ww. ustawa wymaga aby każda usługa świadczona drogą elektroniczną posiadała regulamin (art. 8 ustawy o świadczeniu usług drogą elektroniczną). Poprzez oświadczenie o akceptacji regulaminu subskrybent zawiera z wysyłającym newsletter umowę i dlatego też umowa jest w tym przypadku podstawą do przetwarzania danych osobowych. Przy tej okazji warto wspomnieć, że jeżeli w treści newslettera zawierają się informacje handlowe, to wysyłający newsletter powinien od osób fizycznych zebrać zgodę na wysyłanie informacji handlowych drogą elektroniczną, która powinna być odrębnym oświadczeniem i nie może być łączona ze zgodą na przetwarzanie danych osobowych lub z oświadczenie o akceptacji regulaminu.

Kolejnym obowiązkiem jest obowiązek wyodrębnienia zbioru danych subskrybentów newslettera w dokumentacji ochrony danych osobowych (Polityce Bezpieczeństwa Ochrony Danych Osobowych) i jego rejestracji w biurze Generalnego Inspektora Ochrony Danych Osobowych. Niestety nie skorzystamy z żadnego zwolnienia z art. 43 ustawy o ochronie danych osobowych. Należy również wobec osób, których dane osobowe są zbierane dopełnić obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.

Należy pamiętać, że adres e-mail stanowi co do zasady dane osobowe i że w związku z tym podlegamy obowiązkom nałożonym przez ustawę o ochronie danych osobowych.

Sklep internetowy, a ochrona danych osobowych

sklep_internetowyW epoce internetu „jak grzyby po deszczu wyrosły” i dalej „wyrastają” sklepy internetowe. Sprzedaż towarów w ten właśnie sposób jest dość prosta i o wiele tańsza niż za pomocą „konwencjonalnych” sklepów. Właściwie każdy z nas może założyć taki sklep i zacząć sprzedawać jakieś towary. Powstaje jednak pytanie jak stworzyć sklep internetowy, tak aby był on zgodny z ustawą o ochronie danych osobowych?
Myślę, że wiele osób spędziło trochę czasu szukając odpowiedzi na powyższe pytanie. W związku z powyższym postanowiliśmy zebrać niezbędne informacje dotyczące sklepów internetowych w kontekście ustawy o ochronie danych osobowych i aktów wykonawczych wydanych na podstawie tej ustawy.

Zacznijmy od tego, że w odniesieniu do danych osobowych przetwarzanych w związku z prowadzeniem sklepu internetowego należy stosować ustawę o ochronie danych osobowych. W związku z funkcjonowaniem sklepu przetwarzamy dane klientów, kontrahentów itp. Pojawia się więc kwestia kto jest administratorem danych osobowych.
Jeżeli prowadzimy nasz sklep w formie jednoosobowej działalności gospodarczej lub w formie spółki cywilnej, to status administratora danych jest z nami związany bezpośrednio (my jesteśmy administratorem danych). W sytuacji kiedy sklep internetowy jest prowadzony w formie spółki prawa handlowego, to administratorem danych jest właśnie spółka (reprezentowana przez nas).
Odmiennie sytuacja statusu administratora danych wygląda kiedy nasz sklep wykonuje zlecone czynności np. jesteśmy również autoryzowanym serwisem. W takim przypadku podmiot w imieniu, którego dokonujemy napraw posiada status administratora danych, a my jesteśmy wyłącznie procesorem (czyli podmiotem, któremu powierzono przetwarzanie danych osobowych).

Wiemy więc kto jest administratorem danych w sklepie internetowym, teraz należy wskazać obowiązki wynikające z ustawy o ochronie danych osobowych.

Pierwszym z nich jest odpowiednie zabezpieczenie przetwarzanych danych osobowych oraz przygotowanie i wdrożenie niezbędnej dokumentacji tj. Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemami informatycznymi. Wymogi jakie powinny spełniać powyższe dokumenty zostały określone w rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Drugim obowiązkiem jest rejestracja zbiorów danych w GIODO.

Ostatnim elementem jest zapewnienie, aby dane osobowe były przetwarzane legalnie, z zachowaniem zasad wskazanych w ustawie o ochronie danych osobowych.

W kolejnych artykułach szczegółowo omówimy poszczególne obowiązki nałożone ustawą o ochronie danych osobowych w kontekście sklepów internetowych.

Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).