Xevin Consulting - Blog Blog

Dzisiaj będzie krótko o przetwarzaniu danych w celach marketingowych. Stare porzekadło mówi, że „reklama dźwignią handlu” i trudno się z tym nie zgodzić, jednak należy pamiętać, że reklama musi być zgodna z prawem. Zwłaszcza chodzi mi tu o aspekt związany z możliwością wykorzystania czyichś danych osobowych w celach marketingowych.

Otóż nie ma problemu, by dane osobowe wykorzystywać w celu promowania produktów czy usług, niemniej należy pamiętać o pewnych regułach. Patrząc na ustawę o ochronie danych osobowych, warto bliżej przyjrzeć się dwóm przesłankom wskazanym w art. 23 ust. 1 pkt. 1 i 5, które mogą mieć zastosowanie do działań marketingowych (dawać legitymację prawną do wykorzystania danych w celu marketingowym), ale też trzeba mieć na uwadze prawo do zgłoszenia sprzeciwu na takie wykorzystanie danych. Prawo to zostało wskazane w art. 32 ust. 1 pkt. 8.

Niby sprawa oczywista – zgłaszasz sprzeciw zgodnie z ww. przepisem i firma, do której ten sprzeciw został zgłoszony, ma obowiązek go uwzględnić tj. od tego momentu nie może wykorzystywać danych objętych sprzeciwem do przetwarzania ich w celach marketingowych. Okazuje się jednak, że czasami nawet poważne instytucje np. banki mają z tym problem. Ostatnio wpadło mi w ręce ciekawe orzeczenie WSA o sygn. II SA/Wa 556/10 (z 2010 r.), które pokazuje nam jak pokrętnie można próbować nie stosować się do sprzeciwu na przetwarzanie danych w celach marketingowych. Proszę koniecznie prześledzić argumenty banku, a potem na spokojnie przeczytać to co w tej sprawie do powiedzenia miało GIODO.

Podsumowując zatem – reklamie mówimy oczywiście jak najbardziej tak, ale pamiętajmy o obowiązującym prawie i reklamujmy nasze produkty/usługi zgodnie z zawartymi w tym prawie regułami.

Z okazji nadchodzących Świąt Bożego Narodzenia oraz Nowego Roku chcielibyśmy życzyć wszystkim naszym Klientom i przyjaciołom, którzy na co dzień wspierają iSecure, wiele radości i ciepła, a także spełnienia marzeń w nadchodzącym roku.

Od jakiegoś czasu wiadomo już, że nowelizacja ustawy o ochronie danych osobowych wejdzie w życie 7 marca 2011 r. Trochę o tym już pisaliśmy, niemniej jako, że temat jest cały czas aktualny, warto o nim jeszcze troszkę podyskutować. Poniżej zebrałam parę informacji, by usystematyzować to wszystko co powinniśmy wiedzieć o nadchodzącej zmianie w prawie.

Propozycja nowelizacji ustawy o ochronie danych osobowych (UODO) została złożona w Sejmie już dosyć dawno bo 3 lata temu. Dnia 18 listopada 2010 r. została podpisana przez Prezydenta i wejdzie w życie na początku przyszłego roku (7 marca). UODO była zmieniana już kilkanaście razy. Obecna jej nowelizacja jest, zaraz po nowelizacji z 2004r. związanej z przystąpieniem Polski do Unii Europejskiej, jedną z większych i ważniejszych.

Kwestią, która budziła duże wątpliwości była definicja zgody na przetwarzanie danych, ponieważ nie było w niej jasno powiedziane, że taka zgoda może zostać odwołana. Tę kwestię regulowały inne ustawy (np. ustawa o świadczeniu usług drogą elektroniczną). Nowelizacja UODO dodaje do definicji zamieszczonej w art. 7 pkt. 5 informację o tym, że „zgoda może być odwołana w każdym czasie”.

Wartościową zmianą jest również dodanie do art. 13 nowego ust. 1a umożliwiającego tworzenie jednostek zamiejscowych Biura Generalnego Inspektora Ochrony Danych Osobowych, co dałoby możliwość częstszych kontroli u podmiotów bardziej oddalonych od centralnej Polski (w ostatnim wywiadzie w Gazecie Prawnej dr Wojciech Wiewiórowski wspominał, że takie biuro bardzo by się przydało na Górnym Śląsku). Niestety sam artykuł w UODO nie wystarczy, aby takie jednostki terenowe powstały, ponieważ bardzo ważnym elementem w tym przypadku jest przede wszystkim budżet na stworzenie takich jednostek.

Ku zdziwieniu wielu specjalistów w zakresie ochrony danych osobowych, zostały uchylone dwa artykuły (29 i 30) UODO regulujące kwestię udostępniania danych osobowych. Powodem ich uchylenia było dostosowanie UODO do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady. Uchylenie ich nie oznacza wprowadzenia zakazu udostępniania danych osobowych, jednak do momentu wyjaśnienia tego w stosownym komentarzu lub wydaniu decyzji przez GIODO, wiele podmiotów może odmawiać udostępniania jakichkolwiek danych osobowych, co w wielu przypadkach będzie niezgodne z prawem. W Dyrektywie potraktowano udostępnianie danych osobowych, jako jedną z form przetwarzania danych i właśnie tak powinniśmy to traktować uwzględniając tzw. podstawy dopuszczalności przetwarzania danych (Art. 23 i 27 UODO) przy ich udostępnianiu.

Ważną zmianą, o której musimy pamiętać, to dodanie dodatkowego przepisu karnego, który jest skutkiem nieprzyjętej propozycji umożliwienia GIODO nakładania kar finansowych. Nowy artykuł (Art. 54a) przewiduje dodatkowe sankcje karne w przypadku udaremniania lub utrudniania kontroli GIODO.

Serdecznie zapraszam do zapoznania się z krótkim artykułem Michała na temat GIODO i Facebook’a, który został opublikowany na stronach serwisu wyborcza.biz. Miłej lektury.

Parę dni temu w “Dzienniku Gazecie Prawnej” pojawił się artykuł pt. “Ustawa o danych osobowych pełna luk”, gdzie przeczytać można o tym, czego brakuje polskiej ustawie o ochronie danych osobowych. Wśród osób, które wypowiadają się w tym artykule, pojawił się również głos ze strony iSecure, w postaci wypowiedzi Marii Lothamer. Serdecznie zapraszamy do zapoznania się z tym tekstem.

W dzisiejszym wpisie chciałbym poruszyć tematykę zbiorów doraźnych, ponieważ mimo na pozór dość prostego przepisu prawa (art. 2 ust. 3 ustawy o ochronie danych osobowych), zagadnienie nie jest wcale takie proste i oczywiste.

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Po pierwsze – zbiory doraźne sporządzane są wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych (konieczność wystąpienia jednej z ww. przesłanek).

Po drugie – słowem kluczem będzie tu słowo „doraźność”. Jak zatem ją rozumieć? Otóż pod pojęciem tym kryje się sytuacja, w której tworzymy zbiór dla chwilowej potrzeby, w pewnej sytuacji, okolicznościowo. Cel utworzenia zbioru musi być inny niż cel zasadniczy funkcjonowania zbioru (w tym przypadku cel rozpatrujemy jako okoliczność uzasadniającą doraźność). Dalej – doraźność należy rozumieć również w ten sposób, że administrator danych powinien przewidywać termin zakończenia czynności przetwarzania danych w takim zbiorze. Okres przetwarzania powinien być znany przynajmniej w przybliżeniu.

Po trzecie – po wykorzystaniu danych składających się na zbiór doraźny są one niezwłocznie usuwane albo poddawane anonimizacji.

I po czwarte wreszcie – do zbiorów doraźnych zastosowanie mają przepisy rozdziału 5 ustawy o ochronie danych osobowych (zabezpieczenie danych osobowych), przy czym przepis ten wydaje się być wyjątkowo kontrowersyjny, bo oznaczałoby to np. możliwość przetwarzania danych z pominięciem zasad wskazanych w art. 23 ust. 1 lub art. 27 ust. 1 i 2 ww. ustawy. Dlatego też zasadnym wydaje się twierdzenie, że nawet w przypadku zbiorów doraźnych zastosowanie mają – mimo odmiennego brzmienia przepisu – inne postanowienia ustawy o ochronie danych osobowych niż tylko te wskazane w rozdziale 5.

Natomiast nie ma przeszkód, by w ramach zbioru doraźnego przetwarzane były, zgodnie z opisanymi wyżej zasadami, tzw. dane wrażliwe.

I już zupełnie na koniec kilka przykładów zbiorów doraźnych: loterie, konkursy (wyjątek: permanentne istnienie zbioru , w którym zmieniają się tylko dane osób uczestniczących – wówczas jest to zbiór do zgłoszenia do GIODO; uwaga też na laureatów i przechowywanie ich danych z uwagi na np. kwestie podatkowe – też zbiór do zgłoszenia do GIODO), podziękowania.

W dzisiejszym wpisie chciałbym przedstawić Czytelnikom naszego bloga cztery niezwykle przydatne aplikacje z punktu widzenia bezpieczeństwa danych przechowywanych na komputerach. Dlaczego przydatnych? Otóż ich instalacja (a przede wszystkim korzystanie z nich!) pozwoli spełnić część wymogów odnoszących się do środków technicznych, które należy stosować w celu zabezpieczenia danych osobowych, o których mowa w załączniku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

A zatem po kolei:

TrueCrypt - pozwala zarówno na szyfrowanie całych dysków, ich partycji i przenośnych dysków USB (pendrive’ów), jak i na tworzenie wirtualnych zaszyfrowanych dysków (także ukrytych) o określonej pojemności - w obu przypadkach zabezpieczonych hasłem przed nieautoryzowanym dostępem. Szyfrowanie odbywa się za pomocą bardzo silnych algorytmów szyfrujących.

Freeraser - to bezpłatne narzędzie służące do całkowitego usuwania danych z dysku twardego, tak by ich odzyskanie nie było możliwe (inaczej niż w przypadku zwykłego usuwania plików poprzez systemowy kosz). Aplikacja umożliwia kasowanie plików i folderów w trzech trybach - Fast, Forced oraz Ultimate. W zależności od dokonanego wyboru program zmniejsza szansę na przywrócenie kasowanych danych - wykonywane są od 1 do 35 nadpisań przestrzeni dyskowej, ale na przeprowadzenie tego typu operacji narzędzie potrzebuje więcej czasu.

Comodo Internet Security - to bezpłatny pakiet zabezpieczający składający się z cenionej przez wielu użytkowników na świecie zapory systemowej Comodo Firewall Pro i programu antywirusowego Comodo AntiVirus.

Cobian Backup - to darmowy program przeznaczony do synchronizacji i archiwizowania danych znajdujących się na całym dysku twardym lub w konkretnym folderze. Bardzo ciekawą funkcją aplikacji jest możliwość tworzenia kopii na serwerach FTP.

Tak jak pisałem ostatnio, wszystko wskazuje na to, że lada chwila nowelizacja ustawy o ochronie danych osobowych stanie się faktem. W oczekiwaniu na nią, chciałbym polecić zapoznanie się z tą wersją noweli, która została przekazana przez Sejm do Senatu - można ją pobrać tutaj.

Jednocześnie warto też sięgnąć po uchwałę Senatu, z której wynika, że zostały zgłoszone do pierwotnego tekstu pewne poprawki.

W połowie września Sejm RP niemal jednogłośnie przyjął projekt nowelizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zanim zmiany wejdą w życie, projekt musi przejść jeszcze przez głosowanie w Senacie, a na koniec swój podpis musi złożyć Prezydent RP. Nowelizacja, o której tu mowa czekała, by ujrzeć światło dzienne od ponad 3 lat. W swym pierwotnym brzmieniu zakładała m.in. możliwość nakładania kar finansowych przez GIODO. Ostatecznie zapisy te nie pojawią się w nowelizacji, natomiast z ciekawszych zmian warto wspomnieć o tej, która wiąże się z nowym uprawnieniem GIODO, a mianowicie możliwością tworzenia jednostek zamiejscowych. Zmiana ta może oznaczać częstsze kontrole wykonywane przez inspektorów tego urzędu.

Z innych interesujących zmian, warto odnotować nową sankcję karną, która pojawi się w ustawie, w myśl której, kto udaremnia lub utrudnia inspektorowi wykonanie kontroli, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Zmiana ta podyktowana była tym, że do tej pory kierownicy kontrolowanych jednostek na dobrą sprawę mogli dość skutecznie utrudniać pracę inspektorom, ponieważ ustawa o ochronie danych nie przewidywała w tym zakresie żadnych sankcji.

Oprócz wyżej wymienionych nowości, warto również wspomnieć o tym, że w myśl nowelizacji do kompetencji GIODO należeć teraz będzie egzekucja administracyjna (dążenie do doprowadzenia przez osobę, dysponującą danymi osobowymi do stanu zgodnego z prawem), prowadzenie zbiorów danych oraz udzielanie informacji o tych zbiorach, opiniowanie projektów ustaw i rozporządzeń, dotyczących ochrony danych osobowych, a także inicjowanie i podejmowanie działań w zakresie ochrony danych osobowych.

Pisząc o serwisach społecznościowych pod kątem ich bezpieczeństwa dla prywatności i ochrony danych osobowych, warto na początek spróbować zdefiniować sobie, czym są takie serwisy. W tym miejscu pozwolę sobie sięgnąć po definicję zawartą na stronach Wikipedii, zgodnie z którą serwisem społecznościowym będzie rodzaj interaktywnych stron www, które są współtworzone przez sieci społeczne osób podzielających wspólne zainteresowania lub chcących poznać zainteresowania innych. Większość portali społecznościowych dostarcza użytkownikom wiele sposobów komunikacji, np. poprzez listy dyskusyjne, fora etc. Aktualnie jednym z najpopularniejszych portali na świecie (ale także w Polsce) jest Facebook. Do tego typu portali zalicza się również takie serwisy jak MySpace, Linkedin, a na naszym krajowym podwórku będą to np. Nasza-klasa, GoldenLine czy nowy portal stworzony przez GG Network S.A. GG.pl.

Wraz z pojawieniem się mody na serwisy społecznościowe bardzo popularnym tematem stała się kwestia związana z bezpieczeństwem danych osobowych, które użytkownicy takich serwisów wpisują podczas rejestracji, ale także tych, które podają podczas bieżącego korzystania z funkcjonalności udostępnianych przez portal.

I właśnie, gdy myślimy o bezpieczeństwie i prywatności naszych danych osobowych, to jednym z elementów, któremu warto bliżej się przyjrzeć zanim klikniemy sakramentalne „Wyślij” lub „Zarejestruj się”, jest formularz rejestracyjny. Na początek należy sprawdzić, czy przesyłanie danych zawartych w formularzu jest zabezpieczone poprzez protokół SSL. Można to zweryfikować zerkając na adres strony internetowej (nazwa domeny powinna być poprzedzona „https” a w prawym dolnym rogu przeglądarki powinna być kłódka). Jeżeli właściciel strony stosuje tego typu zabezpieczenie to na pewno jest to dobry sygnał dla bezpieczeństwa naszych danych osobowych.

Kolejną rzeczą, na którą należy zwrócić uwagę, jest zakres danych osobowych, jakie musimy podawać podczas rejestracji. Nie ma tu jednej uniwersalnej wskazówki, którą można się kierować, ale co do zasady trzeba założyć, że im więcej danych wymaga się od nas, tym większe zagrożenie dla naszej prywatności. Właściciel portalu zawsze powinien stosować się do tzw. zasady adekwatności, o której mowa w art. 26 ustawy o ochronie danych osobowych, w myśl której dane osobowe przetwarzane przez administratora danych (właściciela serwisu) powinny być adekwatne do celu dla jakiego mają być wykorzystane.

Formularz rejestracyjny to dokument elektroniczny, za pomocą którego internauta przekazuje swe dane do właściciela serwisu, a więc mamy tu do czynienia z przetwarzaniem (zbieraniem) danych osobowych. A zatem czynność ta powinna być poprzedzona przekazaniem internaucie kilku podstawowych informacji na temat administratora danych. Zgodnie z obowiązującymi przepisami o ochronie danych osobowych, właściciel firmy powinien wskazać pełną nazwę swego przedsiębiorstwa, a także podać adres siedziby. Oprócz tego powinien zostać określony cel, dla jakiego zbierane są dane osobowe, a dodatkowo internauta musi zostać poinformowany o przysługujących mu prawach tj. możliwości wglądu w swoje dane osobowe wraz z możliwością ich poprawiania. Jeżeli brak jest takich zapisów, może to świadczyć o słabej znajomości przepisów prawa przez właściciela serwisu (a nawet o naruszeniu tych przepisów), ale też pokazywać, że temat prywatności traktowany jest przez niego w sposób daleko niewystarczalny.

Stałym elementem składowym różnego rodzaju formularzy rejestracyjnych są również zgody na przetwarzanie danych osobowych. I tu wielka uwaga – zawsze zwracajmy uwagę, na co się godzimy, żeby w przyszłości uniknąć przykrych niespodzianek. Pamiętajmy o tym, że każda zgoda powinna wskazywać cel, dla którego będą wykorzystywane nasze dane osobowe (klauzula taka nie może być zbyt ogólna, ale też nie może zawierać w sobie kilku różnych celów, do realizacji których właściciel serwisu chciałby wykorzystywać dane osobowe – powinny to być osobne zgody).

Jeśli chcielibyśmy jeszcze dokładniej poznać właściciela portalu i jego podejście do ochrony danych osobowych, zawsze też istnieje możliwość sprawdzenia go na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO). W sekcji zatytułowanej e-GIODO znajduje się wyszukiwarka za pomocą której możemy zobaczyć, czy właściciel serwisu zgłosił zbiór danych osobowych do GIODO.

Ostatnią rzeczą, na którą należy zwrócić uwagę, powinien być regulamin portalu społecznościowego. Jeśli takiego dokumentu brakuje na stronie, lepiej się nie rejestrować. Obowiązek posiadania regulaminu wynika wprost z przepisów ustawy o świadczeniu usług drogą elektroniczną, stąd też poważna firma na pewno taki dokument przygotuje. Ale i tu czasami łatwo o przykre niespodzianki. Krótka analiza treści regulaminu i jego porównania np. z formularzem rejestracyjnym bardzo często pokaże nam, czy regulamin został rzeczywiście napisany pod kątem tego konkretnego portalu społecznościowego, czy też może jego właściciel skopiował dokument z jakiejś innej strony, który z lekkimi modyfikacjami lub bez nich zamieścił u siebie.

Kończąc wątek rejestracji nie zapominajmy o wymyśleniu mocnego hasła, którego podanie będzie niezbędne by móc zalogować się do naszego konta na portalu społecznościowym. Dobre hasło powinno składać się z minimum 8 znaków i zawierać w sobie kombinację wielkich i małych liter, znaków specjalnych lub cyfr.

Nawet, gdy już przebrniemy przez stworzony w zgodzie z obowiązującymi przepisami prawa proces rejestracyjny, nadal musimy być czujni, jeśli chcemy zadbać o naszą prywatność. Zwracajmy zatem uwagę jakie dane pozostawiamy korzystając np. z for dyskusyjnych, a także zwróćmy uwagę na zdjęcia, które dodajemy do swoich profili. Pamiętajmy o tym, że te dane będą widoczne także dla innych użytkowników, a czasami dla wszystkich internautów. Jeżeli portal umożliwia zastosowanie jakiś dodatkowych opcji zapewniających prywatność np. poprzez ograniczenie kręgu osób, które będą miały podgląd w nasz profil i w to co robimy na portalu społecznościowym, korzystajmy z tego.