Witaj, Krzysiek Krawczyk z tej strony. Po publikacji mojego artykułu „Cała prawda o GIODO: fakty i mity”, wywołałem burzę dyskusji. Wielu nie zgodziło się z moją interpretacją ustawy. Jednak mogę się pochwalić, że Generalny Inspektor potwierdził moje słowa, o czym świadczy jego wpis na moim blogu.
Ze sprawy najbardziej oburzającej wynotowałem sobie temat: BAZA ADRESOWA. Na pewno wielu zapyta: „Jak dziecko, ale dlaczego …?” Odpowiedź może być krótka: „Bo tak uważa GIODO”, jednak okaże się niewystarczająca dla niejednego czytelnika. Zatem zajmijmy się teraz tym tematem.
W opinii Inspektora należy uznać adres e-mail za dane osobowe, ponieważ:
Wszystkie te warianty zwiększają prawdopodobieństwo ustalenia tożsamości. Jednocześnie my, jako administratorzy bazy, musimy założyć różne warianty maili, jakie się znajdą w bazie, w związku z czym nie możemy wykluczyć pojawienia się i takich, jak przedstawiłem wyżej.
Kolejną sprawą jest charakter wykorzystania bazy danych. Budowanie bazy adresowej ma nam przynieść korzyści finansowe, więc budowanie takiej bazy ma charakter marketingowy, reklamowy, informacyjny. We wszystkich tych działaniach nie ma przesłanek, które można znaleźć w ustawie o ochronie danych osobowych (art. 43.1 ustawy). Jeżeli nie ma tych przesłanek, to zbiór podlega rejestracji.
To co w wielu wzbudza oburzenie, może okazać się atutem w promocji naszego przedsięwzięcia. Spełniając warunki związane z ochroną danych osobowych i odpowiednio to nagłaśniając, pokażemy naszemu odbiorcy, klientowi, że jest dla nas ważny. Ludzie przywiązują uwagę do swoich danych osobowych i niechętnie się nimi dzielą. Jeżeli pokażemy takiej osobie, że:
Wszystkie te działania wzbudzą zaufanie do nas. Dzięki temu możemy liczyć na fakt powracania klienta do sklepu, czytelnika na blog itp. Możemy też liczyć, że klient sam poleci nas znajomym. O reklamie szeptanej napisano niejedną książkę i artykuł, więc nie będę rozpisywał się o tym.
Właśnie teraz, kiedy jeszcze rejestracja baz adresowych nie jest normą, mamy szansę być tym pierwszym i zbudować silną relację z klientem wzbudzając w nim zaufanie i poczucie bezpieczeństwa. Jest to jeden z kluczowych elementów budowania silnej i stabilnej marki.
Gdzie wolałbyś robić zakupy:
Profesjonalne podejście do ochrony danych osobowych to jeden z elementów zbudowania swojej silnej marki.
Podobne wpisy na ebiznesy.pl:
„Kolejną sprawą jest charakter wykorzystania bazy danych. Budowanie bazy adresowej ma nam przynieść korzyści finansowe, więc budowanie takiej bazy ma charakter marketingowy, reklamowy, informacyjny. We wszystkich tych działaniach nie ma przesłanek, które można znaleźć w ustawie o ochronie danych osobowych (art. 43.1 ustawy). Jeżeli nie ma tych przesłanek, to zbiór podlega rejestracji.”
Odnośnie tej części artykułu – nie wiem, czy dobrze rozumiem.. – jeśli nasza baza mailingowa ma charakter zarobkowy tzn. jeśli chcemy zarabiać pieniądze dzięki takiej liście to nie ma obowiązku rejestracji takiej bazy w GIODO?
..hmm, mam kilka list mailingowych i nie bardzo wiem, którą z nich muszę zarejestrować, a której nie. Czy rejestracja bazy mailingowej w GIODO jest płatna?
No właśnie jest taki obowiązek rejestracji. W ustawie o ochronie danych osobowych jest art 43.1 i ma on 11 punktów, które zwalniają z obowiązku rejestracji. Kolejna sprawa to podaję Tobie link do uzasadnienia GIODO czy newsletter podlega rejestracji. Newsletter jest idealnym przykładem mailingu. Jednak w postaci mailingu możesz np. oferować kurs nazwijmy to korespondencyjny i w tym przypadku art 43.1 pkt 4 jest zwolnienie z rejestracji jednak pamiętaj że osoba zapisze się na kurs zakończy go i koniec. Nie będziesz mógł wykorzystać tej bazy do działań marketingowych – tak w skrócie. Rejestrujesz jeden zbiór np. o nazwie działania marketingowa firmy. Ten zbiór może zawierać 1,2, albo 100 baz adresowych – gdyż na tym polega architektura rozproszona bazy. Rejestracja jest oczywiście darmowa.
A ile czasu jest na zgłoszenie takiej bazy? I co jeśli się nie zgłosiło w terminie tylko dopiero teraz (np. po 12 mies!)?
czy są jakieś kary i czy można ich uniknąć
Zgłosić bazę należy przed rozpoczęciem pozyskiwania danych osobowych. Jeżeli się tego obowiązku nie dopełniło to należy to zrobić jak najprędzej. Kary mogą wystąpić podczas kontroli, ewentualnych skarg. GIODO może nakazać wstrzymanie zbieranie danych osobowych do czasu dopełnienia tych obowiązków. co dla ebiznesu jest równoznaczne z jego czasowym zaknięciem
Czy dane zebrane w prywatnych notatnikach też trzeba rejestrować?
Prywatne notatniki nie podlegają rejestracji
Zgadzam się z argumentem że na moje nazwisko każdy może założyć skrzynkę mailową. Na tej zasadzie traktowanie adresów poczty elektronicznej jako wiarygodnych danych osobowych, wydaje się absurdem. Istnieją jednak prawne precedensy rozstrzygające inaczej. Prawo jest prawem i warto go przestrzegać, nawet gdy sankcjonuje rozwiązania sprzeczne z logiką. Gdy istnieje sprzeczność między prawem a logiką lub co gorsze etyką, czasem należy wykazać się odwagą i złamać prawo. Taka potrzeba może wystąpić na przykład gdy operuje się danymi na temat ludzi prześladowanych przez władzę. Nie wyobrażam sobie zarejestrowania bazy danych w jakiejkolwiek instytucji na przykład przez WikiLeaks. Podejmując działania sprzeczne z prawem, należy się jednak liczyć z poważnymi konsekwencjami, szczególnie gdy mieszka się w Chinach lub Iranie.
Informacje, które są w posiadaniu Wikileaks podlegają w duże mierze u nas pod informacje niejawne i odpowiadającej jej ustawie. W Polsce aby móc czytać informację niejawną należy mieć upoważnienie dostępu do informacji niejawnej lub dopuszczenie do informacji niejawnych.
Nie zgodzę się tu (przynajmniej) z jednym: adres e-mail nie może być daną osobową. Założę się, że mógłbym utworzyć niejeden adres e-mail, który przed @ będzie miał Krzysztof_Krawczyk, np. Krzysztof_Krawczyk@interia.pl – czy to mnie identyfikuje? Czy tym mailem posługuje się Krzysztof, czy ja? Daną osobową nie jest, np. imię, nazwisko nr telefonu firmowego – są to dane „jawne” firmowe – nie zidentyfikuję, gdzie gościu mieszka, podobnie ma się sprawa przy mailach firmowych. Mało tego, imiona i nazwiska nie stanowią zbioru danych osobowych, gdyż żeby dojść, o kogo chodzi, musiałbym poświęcić na to trochę czasu i kosztów. Krzysztofów Krawczyków znam już kilku…
jestem ciekaw ile to jest: „nadmierne koszty”, „nadmierny czas”, „nadmierne działania”?
Dodam, że ustawa ta jest pisana chyba na kolanie, bo takich nieścisłości pokazał nam ze 3 sztuki. Pewnie, to o czym tu piszę, i tak nie dotyczy się każdego przypadku, ponieważ na każde zadane nasze pytanie, pan zaczynał odpowiedź, którą zawsze podkreślał: „To zależy…” Zwolnieni z rejestracji bazy danych są m.in. ci, którzy: „przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,” – więc, moim zdaniem, jeśli prowadzimy sklep internetowy, nie musimy rejestrować bazy danych, gdyż służą nam do wystawienia rachunku. Radzę sobie poczytać ustawę, o ile ktoś ma do czynienia ze zbiorami danych osobowych. Będzie miał jasność, co z nimi robić, a czego nie. Niektóre tezy w artykule są albo słabo wyjaśnione, albo błędne – nie opierałbym się na tym – sorry.
„1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczą-
ce zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu lub działań.”
Ten 3 punkt jest świetny i w zasadzie przekreśla całą ustawę
Jeśli chodzi o usuwanie, to w ustawie jest nieścisłość: raz jest uznawane to jako przetwarzanie, a potem (wynika to chyba ze źle skonstruowanego zdania) usunięcie nie jest przetwarzaniem danych osobowych – pokazywał nam to pan na szkoleniu do iso27001, lecz teraz jakoś nie mogę znaleźć tej nieścisłości
Marcinie,
Do Twojego komentarz z pewnością odniesie się Krzysiek Krawczyk – to on jest ekspertem w tym temacie. Ja tylko wspomnę o jednym.
Pamiętajmy, że ustawa ustawą, a jej interpretacja to inna para kaloszy. I nawet jeśli czasami wydawać by się mogło, że mamy rację (nie wiem jak jest tutaj), to i tak urzędnik ma zdanie decydujące. Oczywiście można się sądzić, że np. uważamy przyznanie kary za nieuzasadnione, jednak większość z nas tego nie robi, bo masa z tym taplania w… błocie.
Interpretacja GIODO jest taka, że e-mail MOŻE BYĆ daną osobową, dlatego należy rejestrować bazę nawet w przypadku, gdy akurat nasze maile w bazie na tę chwilę nie są danymi osobowymi (tzn. żaden z nich nie jest).
Nikogo nie pozbawiam prawa do własnych opinii. Jednak moje tezy są zbieżne z GIODO, z którym miałem okazję rozmawiać. Poruszyłeś tutaj dużo tematów. Zgadzam się, że ustawa była pisana na kolanie, jednak ja nie miałem na to wpływu. Według opinii GIODO bazę abonentów newslettera należy zgłosić.
Dane osobowe pracowników również podlegają ochronie, jednak takiego zbioru nie trzeba rejestrować. Pracodawca ma prawo upublicznić wizerunek danego pracownika na swoich stronach internetowych do kontaktu, np. Jan Kowalski – handlowiec tel. email, itd.
Co to są nadmierne koszty, tego nie wie nikt, kwestia czy warto się procesować po NSA itd. z GIODO w tej sprawie jak ten nakaże wstrzymać przetwarzanie danych osobowych, albo usunąć je dopóki przywrócenia ze stanem faktycznym.
Zbiór danych do wystawienia faktury nie podlega rejestracji, tylko sklep internetowy wykorzystuje te dane nie tylko do wystawienia faktury ale także wysyłki towaru, marketing produktów i usług, a to już nie jest na potrzeby wystawienia faktury. Oczywiście można to ominąć powołując się na zasadę anonimizacji danych osobowych, jednak w taki sposób trudno jest budować markę sklepu internetowego.
Usuwanie to również przetwarzanie danych osobowych – wynika to z definicji przetwarzania danych osobowych – Art 7 ust. 2.
Mogę jednocześnie zapewnić, że starałem się pisać zrozumiale bez prawniczego bełkotu czy suchym cytowaniu ustawy, jednak zdaję sobie sprawę, że nie każdy musi się z tym zgadzać i interpretować tak samo. Rozumiem też, że nie trafię swoim przekazem do wszystkich, bo tego się nie da. Jeżeli bazy sklepów internetowych nie podlegałyby rejestracji, to w takim układzie potentaci na rynku jak empik, allegro, sferis, home.pl, netart nie mieliby zgłoszonych swoich baz do GIODO.
ok, dzięki za naświetlenie pewnych spraw. Wydaje mi się, że sprawa ze zbiorami danych osobowych ma się podobnie, jak z urzędami skarbowymi – co urząd, urzędnik, to inna interpretacja. Niestety idąc w tym kierunku, musielibyśmy brnąć w: iso27001, iso9001, itp, a czy prowadząc skromny sklep internetowy jesteśmy w stanie zapewnić sobie takie certyfikaty? No, bo tylko wtedy będziemy postrzegani dobrze przez kupujących. Oczywiście, moim zdaniem (znowu) można pominąć rejestrację bazy, unikając jej tworzenia. Czyli ktoś się zarejestruje w sklepie, zrobi zakup, my wystawiamy rachunek, wysyłamy i kasujemy dane (wysłać paczkę do kogoś można przecież, nieprawdaż?). Czyli, według ustawy, jesteśmy w posiadaniu danych osobowych, ale tylko na czas ich przetwarzania. Pewnie zrypiecie mnie za to, że za każdym razem osoba kupująca będzie musiała wypełniać dane formularza z adresem, co może ją zniechęcić. Nie jestem aż takim ekspertem, ale dane te można chyba przetrzymywać w którymś z cookies na kompie kupującego i pola formularza wypełniać z ciasteczek. Co do maili, dalej utrzymuję swoje stanowisko
jeśli nie wierzycie, to wyślijcie maila na: pawel.krzyworaczka@interia.pl, a odpowiem 
Gdzieś tam się zaloguję i ktoś pomyśli: przecież mam czyjeś dane osobowe, muszę bazę maili zarejestrować w GIODO. Jakie dane osobowe? Możemy spokojnie założyć, że każde imię i nazwisko w mailu nie jest prawdziwe. Nawet w firmie. Jeśli z kimś koresponduję, powiedzmy, że z maila znam imię i nazwisko. Wchodzę jednak do firmy, gdzie facet jest zatrudniony, zbieram wszystkich pracowników. Czy jestem go w stanie wskazać? O ile nie opisał się wcześniej (co już jest danymi osobowymi), nie przesłał zdjęcia, to go nie zidentyfikuję, więc mail (IMHO) nie może być daną osobową 
Po pierwsze, tak prowadzony sklep nie musi mieć zgłoszonej bazy do GIODO, tylko czy tak prowadzony sklep będzie w pełni funkcjonalny, moim zdaniem nie. Odnośnie maila to nie wiem co mam powiedzieć, skoro GIODO jest innego zdania, a tak naprawdę to właśnie tam są rozstrzygane pewne spory, pytanie czy w kwestii kiedy ktoś złoży sprzeciw do GIODO czy będziemy w stanie się z nimi sądzić i czy będzie nas na to stać, gdy organ ten wyda nam decyzję wstrzymującą przetwarzanie danych osobowych, od decyzji można się odwołać zaskarżyć do NSA. Jednak decyzja będzie prawomocna do czasu, kiedy organ wyższej instancji ją odwoła, czy nasz biznes to wytrzyma. Ochronę danych rozpatrywałbym również pod kątem ustawy, a nie tylko tym, czy ktoś namierzy lub nie.
Ten obowiązek rejestracji bazy danych to trochę absurd. Proszę mi powiedzieć, co ma zrobić osoba, która zakłada bloga i żadnej listy mailingowej nie tworzy i nie zbiera. Tylko udostępnia formularz do komentowania. W takim formularzu są pola „email” i „imię”? Jeśli to również jest zbieranie bazy danych, to oznacza, że praktycznie każdy właściciel bloga powinien zarejestrować swoją bazę danych. Jak to więc jest z tym formularzem kontaktowym lub formularzem do komentarzy na blogu?
O ile prościej byłoby poprawić ustawę i umieścić w niej zapis, że email jest „daną osobową” pod warunkiem, że zawiera imię i nazwisko. Wówczas taki maile usuwałoby się z listy lub ostrzegało takich właścicieli przed zapisem z imiennego maila.
Nie posiadam takiej mocy aby zmienić ustawę. Usuwanie maili to zgodnie z ustawą o.d.o. – przetwarzanie danych osobowych.
Moja ocena i opinia na temat komentarzy na blogach jest taka – zbiór nie podlega zgłoszeniu, gdyż uważam to za drobną bieżącą sprawę życia codziennego. (Art. 43.1. pkt. 11), ponieważ dla mnie jako właściciela bloga taki mail ma nie jest głównym celem dla którego prowadzę blog. Nie korzystam z tych maili do mailingu, nie wysyłam propozycji handlowych.
Formularz kontaktowy oczywiście ma pole e-mail, jednak odpowiedzią może się okazać czy ma on być do kontaktu z osobą, czy potem zamierzamy bombardować go super ofertami przez autoresponder. W ocenie konieczności rejestracji powiem tak, że należy zastanowić, co chcemy z danymi robić. Budowanie listy adresowej – tak, mail tylko do komentowania – nie
Zaskoczył mnie fakt, że samo kliknięcie usuń jest już uważane za przetworzenie danej osobowej.
Wynika to z definicji w ustawie, która mówi jednoznacznie, że usuwanie to przetwarzanie danych osobowych
> instrukcja zarządzania systemem informatycznym
Taką instrukcję trzeba samemu napisać, czy jest dostępna, gdy korzystamy z gotowego systemu typu Implebot czy FUMP?
> Z tego co widziałem, umowa o powierzeniu danych osobowych obejmuje dwie strony, administratora i osobę powierzającą. Jak zastosować to do listy mailingowej?
Taką instrukcję musimy napisać samemu. Jeśli chodzi o Fumpa, to trzeba mieć umowę powierzenia z firmą hostingową.
Administratorem danych jesteś Ty – właściciel bazy. Firma hostingowa, na której stoi FUMP jest podmiotem, któremu powierzasz dane.
Implebot jest programem, a my rejestrujemy bazę danych, program ma tu znaczenie drugorzędne.
Co należy zrobić:
1. Przede wszystkim stworzyć podstawową dokumentację (Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym)
2. Wyznaczyć osobę pełniącą funkcję ABI
3. Mieć umowę o powierzeniu danych osobowych
4. Wypełnić wniosek
5. Wysłać wniosek wraz z dokumentacją
Rejestracja jest wolna od opłaty – proszę się zapoznać z tym dokumentem http://www.giodo.gov.pl/data/filemanager_pl/oplata_skarbowa.pdf
+1
Implebot jest programem tylko dostęp do bazy ma również właściciel implebota, bo program nie jest na naszym serwerze i trzeba mieć umowę powierzenia przetwarzania danych osobowych.
Proszę jeszcze przypomnieć jaki jest koszt rejestracji takiej bazy i co muszę spełniać, jeśli korzystam z implebota?
Implebot jest programem, a my rejestrujemy bazę danych, program ma tu znaczenie drugorzędne.
Co należy zrobić:
1. Przede wszystkim stworzyć podstawową dokumentację (Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym)
2. Wyznaczyć osobę pełniącą funkcję ABI
3. Mieć umowę o powierzeniu danych osobowych
4. Wypełnić wniosek
5. Wysłać wniosek wraz z dokumentacją
Rejestracja jest wolna od opłaty – proszę się zapoznać z tym dokumentem http://www.giodo.gov.pl/data/filemanager_pl/oplata_skarbowa.pdf