Dane osobowe dziennikarzy

Dane osobowe dziennikarzy to temat poruszany zazwyczaj w kontekście przetwarzania danych osobowych przez dziennikarzy. Dziś podejdziemy do tego tematu od drugiej strony, a mianowicie poruszymy problem przetwarzania danych osobowych dziennikarzy przez działy marketingu i promocji. Wielokrotnie podczas prowadzonych przez nas audytów zgodności działania organizacji z przepisami o ochronie danych osobowych mieliśmy do czynienia z bazami danych dziennikarzy, które tworzone były przez działy PR. Dotyczy to oczywiście przede wszystkich większych podmiotów, które mają rozbudowane działy marketingu oraz promocji do tego stopnia, że wyznaczono osoby, które mają za zadanie utrzymywać kontakty z prasą. Z prasą, czyli z konkretnymi dziennikarzami. Taka sytuacja ma miejsce często np. w firmach farmaceutycznych, bankach i koncernach samochodowych. Warto pamiętać, że dziennikarze nie tylko prowadzą bazy danych dziennikarzy w celach kontaktowych, ale organizują również dla nich różnego typu eventy i wyjazdy – często zagraniczne.

Dane osobowe dziennikarzyZ punktu widzenia ochrony danych osobowych nie ma wątpliwości, że przy okazji ww. czynności dochodzi do przetwarzania danych osobowych. Często jednak słychać głosy, które traktują dane w postaci imienia, nazwiska, służbowego adresu poczty elektronicznej i numeru telefonu jako dane służbowe, a zatem informacji, które można swobodnie i bez skrępowania wykorzystywać. Taki pogląd jest błędny. Ustawa o ochronie danych osobowych nie przewiduje kategorii służbowych danych osobowych, a jedynie podział na dane tzw. zwykłe i wrażliwe (art. 27 ust. 1 ustawy o ochronie danych osobowych). Oczywiście nie oznacza to, że takiej kategorii danych nie możemy wyróżnić. Praktyka pokazuje, że tzw. dane służbowe są wyróżnianie przez administratorów danych a ramy prawne określone przez ustawę o ochronie danych osobowych pozwalają nawet na ich szczególne traktowanie (szczególnie w kontekście podstaw przetwarzania / wykorzystywania i ich przekazywania). Zgodnie ze stanowiskiem GIODO:

Zgodne z ustawą o ochronie danych osobowych jest tworzenie na podstawie informacji powszechnie dostępnych baz danych dziennikarzy, ponieważ ustawa o ochronie danych osobowych nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie. Jednak, jeśli staje się ich administratorem, musi spełnić pewne wymagania z ustawy o ochronie danych osobowych.

Wracając do danych dziennikarzy. Załóżmy, że pracujemy w dziale PR banku – i jak to często się zdarza – posiadamy w arkuszu kalkulacyjnym tabelkę zawierającą dane osobowe dziennikarzy, z którymi utrzymujemy relacje, informujemy ich o nowych produktach i wydarzeniach ważnych dla banku. Co zrobić by dane osobowe pozyskiwać legalnie i móc je wykorzystywać w celach związanych z promocją marki?

Powinniśmy przede wszystkim zastanowić się, jaka będzie podstawa przetwarzania i jaki będzie zakres zbieranych danych osobowych dziennikarzy. Jeśli chodzi o tą drugą kwestię, powinniśmy brać pod uwagę jedynie dane służbowe dziennikarza a ich ilość ustalić na poziomie minimalnym, który pozwoli nam realizować ww. cele. Według mnie zatem wchodzi w grę pozyskiwanie takich danych dziennikarzy jak:

imię, nazwisko, służbowy adres poczty elektronicznej, służbowy numer telefonu komórkowe i stacjonarnego, miejsce pracy, historia współpracy

Proszę pamiętać, że jest to przykładowy zakres danych osobowych dot. zbioru dziennikarzy i u Państwa w organizacji może on wyglądać inaczej. Jako podstawę przetwarzania danych osobowych należy rozważyć art. 23 ust. 1 pkt 1 (zgoda na przetwarzanie danych osobowych) oraz pkt 5 (prawnie usprawiedliwiony interes administratora danych) ustawy o ochronie danych osobowych. Jako, że moim zdaniem nie dochodzi tutaj do naruszenia praw i wolności osoby, której dane dotyczą, a marketing nie będzie kierowany bezpośrednio do dziennikarzy, możemy zastosować tutaj przesłankę prawnie usprawiedliwionego celu. Oczywiście pamiętajmy, by w takim wypadku nie ingerować zbytnio w prywatność dziennikarza a jego dane osobowe wykorzystywać tylko w celach związanych z pełnieniem przez niego zawodu dziennikarza.

Aby legalnie przetwarzać omawiane dane konieczne jest również dopełnienie obowiązku informacyjnego określonego w art. 24 (jeśli dane pozyskujemy bezpośrednio od dziennikarza) lub art. 25 (jeśli dane pozyskujemy za pośrednictwem podmiotu trzeciego – np. redakcji prasowej) ustawy o ochronie danych osobowych.  Pamiętajmy, by w obowiązku informacyjnym określić precyzyjnie cel przetwarzania danych osobowych (np. promocja produktów i usług oferowanych przez administratora, informowanie o bieżącej działalności, organizacja wyjazdów informacyjnych dla prasy i telewizji, itd.).

Oprócz ww. obowiązków powinniśmy oczywiście co do zasady zarejestrować zbiór danych, chyba że, zgodnie z nowymi przepisami o ochronie danych osobowych, powołaliśmy Administratora Bezpieczeństwa Informacji. Omawiany zbiór danych powinniśmy opisać w dokumentacji przetwarzania danych osobowych oraz w odpowiedni go zabezpieczyć. Warto też pamiętać, że pracownicy działu PR powinni wprowadzać dane dziennikarzy do systemu informatycznego, który spełnia wymogi wynikające z przepisów o ochronie danych osobowych, a więc umożliwia m.in. automatyczne odnotowywanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika, który wprowadził dane osobowe. Ten ostatni wymóg bywa często kontrolowany przez GIODO.

Ważnym wątkiem w dyskusji nad ochroną danych osobowych dziennikarzy jest także problem współpracy agenci PR ze swoimi klientami. Zdarza się coraz częściej, iż ci ostatni coraz częściej jako warunek nawiązania współpracy z agencją PR stawiają przekazanie przez agencję na rzecz klienta bazy danych dziennikarzy. Czy taki transfer danych jest legalny? Niestety co do zasady nie. Aby takie udostępnienie danych było legalne, należy zawrzeć odpowiednią umowę udostępnienia danych osobowych oraz spełnić obowiązki wynikające z ustawy o ochronie danych osobowych ciążące na administratorze danych (agencja PR) i odbiorcy danych (klient). Poniżej lista najważniejszych obowiązków:

Administrator danych (agencja PR)Odbiorca danych (klient)
  1. Poinformowanie dziennikarzy z bazy danych o fakcie udostępnienia danych (element obowiązku informacyjnego).
  2. Określenie podstawy udostępnienia danych osobowych (jedna z przesłanek określonych w art. 23 ustawy o ochronie danych osobowych).
  3. Aktualizacja w rejestrze zbiorów danych osobowych informacji na temat odbiorców danych osobowych (część D pkt 12 i 13 zgłoszenia).
  1. Dopełnienie względem dziennikarzy obowiązku informacyjnego, o którym mowa w art. 25 ustawy o ochronie danych osobowych.
  2. Legitymowanie się podstawą przetwarzania danych osobowych (jedna z przesłanek określonych w art. 23 ustawy o ochronie danych osobowych).
  3. Zarejestrowanie zbioru danych dziennikarzy.
  4. Uwzględnienie omawianego zbioru w polityce bezpieczeństwa.
  5. Zapewnienie odpowiednich środków techniczno-organizacyjnych zapewniających ochronę pozyskanych danych osobowych.

 

 

 

 

 

 

 

 

 

 

 

Podsumowując, powinniśmy pamiętać, iż:

  1. audytem z zakresu ochrony danych osobowych należy objąć także procesy przetwarzania danych w dziale PR,
  2. gromadzone dane w działach PR dane dziennikarze stanowią dane osobowe,
  3. zbierane dane dziennikarzy należą do kategorii służbowych danych osobowych i nie zawierają np. prywatnych numerów telefonów lub adres poczty elektronicznej,
  4. dane dot. dziennikarzy stanowią odrębny zbiór danych (do którego powinniśmy stosować wszystkie standardowe zasady wynikające z ustawy o ochronie danych osobowych),
  5. zbiór danych dot. dziennikarzy podlega obowiązkowi rejestracji w GIODO (chyba że administrator danych powołał Administratora Bezpieczeństwa Informacji lub przetwarza dane osobowe dziennikarzy bez wykorzystywania systemu informatycznego),
  6. należy przeszkolić pracowników działu PR z zasad ochrony danych osobowych.

Prawa konsumenta, prawo telekomunikacyjne i ochrona danych osobowych

8434517638_652886fc96_zUstawa z 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2014 r. poz. 827), która weszła w życie 25 grudnia 2014 r. wprowadziła szereg nowych uregulowań, które nadały konsumentom określone uprawnienia, a na przedsiębiorców nałoży z drugiej strony konkretne obowiązki. Ciekawym miejscem, gdzie można dowiedzieć się o zmianach jest podstrona internetowa dostępna w serwisie Urzędu Ochrony Konkurencji i Konsumentów http://www.prawakonsumenta.uokik.gov.pl/. Chciałbym jednak poświęcić chwilę nie na temat uprawnień konsumentów i obowiązków przedsiębiorców, bo dużo jest opracowań w tym zakresie, a na temat zmian jakie ustawa o prawach konsumenta wprowadziła w odniesieniu do Prawa telekomunikacyjnego, a które to są związane z obowiązkami w zakresie ochrony danych osobowych.

Zasadniczą wątpliwością jaka się pojawiła, to kwestia relacji Prawa telekomunikacyjnego i ustawy o prawach konsumenta, gdyż abonent usług telekomunikacyjnych, niebędący przedsiębiorcą jest jednocześnie konsumentem, a w związku z powyższym do zawierania z takimi osobami umów o świadczenie usług należy stosowań obydwie ustawy.

 Kolejną istotną kwestią jest to, że ustawa o prawach konsumenta zmieniła art. 172 Prawa telekomunikacyjnego. Zmiana polega na tym, że dotychczas brzmiący artykuł 172 w ust. 1 Prawa telekomunikacyjnego mówi o tym, że

zakazane jest używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba, że abonent lub użytkownik uprzednio wyraził na to zgodę,

został zmieniony w ten sposób, że zakazano również używania „telekomunikacyjnych urządzeń końcowych”. Ponadto do art. 172 Prawa telekomunikacyjnego został dodany ust. 3 mówiący o tym, że używania „telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących” dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta. Zmiana ma charakter porządkowy, dostosowujący do przepisów ustawy o prawach konsumenta, której zasadniczym celem jest określenie praw przysługujących konsumentowi. Konsekwencją niezastosowania się do tego przepisu może być nałożenie przez Prezesa Urzędu Komunikacji Elektronicznej kary pieniężnej (art. 209 ust. 1 Prawa telekomunikacyjnego).

Praktycznym wymiarem wprowadzonych w art. 172 Prawa Telekomunikacyjnego zmian, jest kwestia związana z tym, jak po zmianach legalnie wykonywać telefony, podczas których będzie możliwość przedstawienia oferty marketingowej. Przepis art. 172 Prawa telekomunikacyjnego wyraźnie wskazuje ma to, że zgoda musi być wyrażona „uprzednio”  W mojej opinii przedstawianie oferty marketingowej za pomocą telefonu możliwe będzie w sytuacji, w której zdobędziemy zgodę przed wykonaniem pierwszego telefonu w tej sprawie.

Konsekwencją praktyczną dla przedsiębiorcy, który chce legalnie działać w obrocie prawnym w aspekcie marketingu jest powiększenie katalogu obowiązku jakie musi wykonać. Jeżeli zatem przedsiębiorca chciałby oferować klientowi lub potencjalnemu klientowi swoje produkty lub usługi musi:

  • Posiadać podstawę do przetwarzania danych osobowych w celach marketingowych (art. 23 ustawy o ochronie danych osobowych) i dopełnić obowiązku informacyjnego (art. 24 lub 25 ustawy o ochronie danych osobowych);
  • Posiadać zgodę na wysyłanie informacji handlowych drogą elektroniczną – tj. za pośrednictwem maila lub sms-owo (art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną);
  • Posiadać zgodę na wykonywanie telefonicznych połączeń w związku z działalnością marketingową (art. 172 ust. 3 ustawy Prawo Telekomunikacyjne).

Ustawa o telemarketingu – czy na pewno potrzebna?

Telemarketing a ochrona danych osobowych
Telemarketing a ochrona danych osobowych

Ostatni miesiąc w świecie „ochrony danych osobowych” upłynął pod znakiem rozpoczęcia prac nad projektem założeń do ustawy o telemarketingu. Nie mamy jeszcze co prawda tekstu ww. projektu, ale możemy się już na tą chwilę zastanowić czy nowa ustawa o telemarketingu ma faktycznie sens.

W prasie i internecie powstało kilka artykułów, które zajmowały się kwestią tego, w jaki sposób nowa ustawa powinna regulować obszar telemarketingu pod kątem prawa do prywatności osób, do których telemarketerzy dzwonią.

Jeśli spojrzymy na całą sprawę z dystansem można postawić tezę, że nowa ustawa nie wniesie nic nowego, nie poprawi sytuacji jeśli chodzi o respektowanie prawa do prywatności, a spowoduje tylko komplikacje związane z faktem, iż uchwalona zostanie kolejna ustawa, która reguluje sprawy będące przedmiotem regulacji innych aktów prawnych. Jaka będzie relacje nowej ustawy o telemarketingu do ustawy o ochronie danych osobowych, kodeksu cywilnego i przepisów o ochronie dóbr osobistych, prawa telekomunikacyjnego, ustawy o świadczeniu usług drogą elektroniczną? Teza ta jednak obroni się tylko w sytuacji gdy dojdziemy do wniosku, że m.in. takie kwestie jak:

  • dopuszczalność pozyskiwania danych osobowych na potrzeby telemarketingu
  • dopuszczalność przechowywania danych osobowych na potrzeby telemarketingu
  • dopuszczalność przetwarzania posiadanych danych osobowych w celach związanych z telemarketingiem
  • prawa osób, których dane przetwarzane są przez call center
  • dopuszczalność nagrywania rozmów telefonicznych przez call center

nie są aktualnie regulowane przez polskie prawo, a konkretnie chodzi tutaj o ustawę o ochronie danych osobowych. Moim zdaniem są. Problemem jest natomiast sama ustawa o ochronie danych osobowych i instytucje kontrolne w zakresie ochrony danych osobowych (GIODO), które nie są wyposażone w odpowiednie narzędzia służące dyscyplinowaniu firm telemarketingowych. Niektórzy tutaj mogliby dalej pójść z krytyką GIODO jednak należy pamiętać, że GIODO jak to urząd działa tylko i wyłącznie w granicach i na podstawie prawa. Nie wydaje się również by GIODO działał poniżej średniej jeśli chodzi o administrację w naszym kraju, porównując jego działanie do innych urzędów.

Nie powinno podlegać dyskusji, że zarówno podawane przez nas w trakcie rozmowy z telemarketerem dane osobowe, nasz głos, a także sam numer telefonu stanowią dane osobowe. Pisaliśmy już na te tematy we wcześniejszych artykułach (Czy numer telefonu to dana osobowa? i Czy w Polsce można legalnie podsłuchiwać?). Działanie firm telemarketingowych przebiega co do zasady zawsze według takiego samego schematu:

Schemat przetwarzania danych - telemarketing
Schemat przetwarzania danych – telemarketing

Oczywiście nie zawsze tak to wygląda, jednak dla osoby, której dane osobowe znalazły się dane osobowe oznacza to często, że bardzo trudno będzie egzekwować prawa dot. ochrony danych osobowych. Wynika to z faktu, że obrót danymi osobowymi w branży marketingowej jest często niesformalizowany i nie spełniający wymogów ustawy o ochronie danych osobowych. Prawo jest – ale nie jest prawidłowo lub w ogóle nie jest stosowane. Czy uchwalenie kolejnej ustawy poprawi sytuację? Nie.

I tutaj trafiamy na pierwszy ważny temat, a więc legalności pozyskiwania danych osobowych przez telemarketingowe. Możemy wyróżnić następujące źródła pozyskania danych:

  1. pozyskanie danych osobowych przez firmę marketingową bezpośrednio od osoby, której dane dotyczą (bardzo rzadki przypadek)
  2. zakup bazy danych, zawierającej numery telefonów
  3. pozyskiwanie danych z powszechnie dostępnych źródeł (fora internetowe, strony internetowe, wizytówki itd.)
  4. działanie na zlecenie – pozyskanie bazy danych od zlecającego akcję marketingową

Nie wchodząc w szczegóły, firma marketingowa jak każdy inny administrator danych, powinna legitymować się jedną z przesłanek legalizujących przetwarzanie danych osobowych określonych w art. 23 lub 27 ustawy o ochronie danych osobowych. Nie ma tutaj żadnych wyjątków. Firma marketingowa zawsze powinna posiadać dane osobowe na podstawie odpowiedniej przesłanki legalizującej przetwarzanie danych osobowych oraz poinformować o fakcie przetwarzania osobę, której dane dotyczą. Tak niestety w przeważającej większości przypadków się nie dzieje. Czy nowa ustawa poprawi sytuację? Nie.

Należy tutaj zwrócić uwagę na fakt, że ww. firmy przetwarzają nasze dane osobowe w celach marketingowych – często wbrew naszej woli. Takie działanie wypełnia znamiona przestępstwa określonego w art. 49 i 54 ustawy o ochronie danych osobowych. Oczywiście wszystko sprowadza się do pieniędzy. Zakup czy budowa bazy danych do telemarketingu jest zwyczajnie kosztuje więcej i są dużo bardziej skomplikowane do przeprowadzenia.

W prasie daje się słyszeć głosy także o braku możliwości egzekwowania prawa do ochrony danych osobowych w trakcie rozmowy z telemarketerem. To jest fakt. Nie oznacza to jednak, że takie prawo na gruncie obowiązujących przepisów nie funkcjonuje. Każdemu z nas przysługują uprawnienia określonego w art. 32 i 33 ustawy o ochronie danych osobowych. Dotyczą one również firm marketingowych. Nasza niemoc wynika raczej z określonej sytuacji faktycznej niż z braku regulacji prawnej. Czy nowa ustawa coś zmieni? Nie.

Warto, aby rządzący zastanowili się, czy nie lepiej niż tworzyć nową ustawę, zająć się egzekucją już istniejącej. Przewiduje ona odpowiedni poziom ochrony danych osobowych, daje nam narzędzia w walce z nieuczciwymi administratorami danych. Być może warto urealnić przewidziane w niej sankcje, rozbudować kompetencje GIODO, a przede wszystkim zwiększyć możliwości jego działania poprzez uzupełnienie braków kadrowych. Ochrona danych osobowych jest coraz ważniejszym tematem, które interesuje społeczeństwa. Nasz rząd powinien również to dostrzec.