Na temat instytucji GIODO i ochrony danych osobowych w e-biznesie powstało wiele faktów i mitów. Dziś postaram się wyjaśnić kwestie sporne pojawiające się na wielu forach internetowych. Zacznijmy jednak od tego, co takiego jest to GIODO.
Co to jest GIODO?
Otóż jest to Generalny Inspektor Ochrony Danych Osobowych, który pełni swój urząd i stoi na straży przestrzegania ustawy ochrony danych osobowych, do której zapoznania zachęcam (Dz. U. z 2002 r. Nr 101 poz. 926). Pełny zakres uprawnień Generalnego Inspektora znajdziesz w Art. 12 niniejszej ustawy.
Zanim przejdę do obalania największych mitów, chciałbym poinformować, że zgodnie z ustawą o ochronie danych osobowych podlegają one ochronie. Dane osobowe w świetle norm oraz opinii Generalnego Inspektora to nie tylko imię i nazwisko, adres czy PESEL, lecz również adres e-mail, IP komputera, z którego komunikujesz się z Internetem, czy nr Twojego telefonu. W ustawie znajdziesz, że zbiór takich danych podlega rejestracji u Generalnego Inspektora Danych Osobowych, z kilkoma odstępstwami (Art. 43.1 ustawy).
Czy rejestracja jest kosmicznie trudna?
Rejestracja nie jest trudna. Należy pobrać wniosek (lub wypełnić wniosek rejestracyjny ze strony GIODO), wypełnić go i wysłać na adres Biura GIODO w Warszawie. Od tej pory w większości przypadków możemy legalnie przetwarzać dane osobowe. Jednak aby nie było wszystko tak różowo, należy do wniosku dodać dwa załączniki:
- Politykę bezpieczeństwa informacji
- Instrukcję zarządzania systemem informatycznym
Te dokumenty mają uściślać procedury i sposób postępowania z danymi osobowymi podczas ich przetwarzania dla nas i naszych pracowników. Przedstawiają one też procedury awaryjne na wypadek wycieku danych, jak miało to miejsce np. w sieci Sony.
Przejdźmy do obalenie mitów na temat GIODO
Mit #1: Nie muszę się rejestrować, ponieważ używam danych do realizacji zamówienia.
Błąd. Rejestracji nie podlega baza tylko wtedy, kiedy dane są wykorzystywane do wypełnienia faktury. Czy zamówieniem było wystawienie faktury czy także towar, który musisz wysłać? Wysyłka towaru czy nawet wysyłka tejże faktury to działanie na danych osobowych, którego zbiór podlega rejestracji w GIODO.
Mit #2: Mail nie jest daną osobową, gdyż nie reprezentuje on osoby, a koszty do identyfikacji osoby są zbyt duże, aby uznać go za dane osobowe.
Przykro mi, ale innego zdania jest Generalny Inspektor, który mail uznaje za dane osobowe. Fakt, że w definicji danych osobowych w ustawie jest zapis „Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.” Art. 6.3 ustawy. Jednak jest to małe niedopracowanie, co oznaczają nadmierne koszta. Czy 100 zł to już dużo, czy dopiero 100 000? Oczywiście masz prawo się sądzić z GIODO, kiedy nałoży na Ciebie karę i zakaże Tobie działań na zbiorze danych osobowych, tylko żeby nie stało się tak, że popadniesz w nadmierne koszta na prawników, pisanie zażaleń, odwołań od decyzji, a do wyjaśnienia sprawy nie będziesz mógł sprzedawać w swoim sklepie itp. Wtedy możemy poznać definicję nadmiernych kosztów 🙁 Generalnie za opinią GIODO ja powtarzam: EMAIL TO DANE OSOBOWE ! czy się nam to podoba czy nie.
Mit #3: Email nie prezentuje danych osoby.
Wiele osób twierdzi, że adres w postaci twój_nick@domena.com nie prezentuje danych osobowych. To nie do końca prawda, ponieważ:
- Zakładając maila musiałeś wypełnić formularz rejestracyjny i musiałeś podać swoje dane z adresem zamieszkania włącznie.
- Jeżeli podałeś fikcyjne dane w formularzu, łamiesz regulamin dostawcy Twojej poczty.
- Tworząc bazę danych osobowych musisz założyć, że nie będą tam tylko takie adresy, ale również imie.nazwisko@domena.com. Rejestracji należy dokonać przed rozpoczęciem pozyskiwania danych, a nie w momencie pojawienia się maila uznanego przez nas za dane osobowe.
Mit #4: Nie używam danych osobowych do celów marketingowych, w związku z czym nie muszę rejestrować bazy.
Kolejny błąd. Nie tylko działania marketingowe, ale wysyłka towaru, czy nawet kartka imieninowa do Twojego klienta to działania, których nie znajdziemy w wyłączeniach z konieczności rejestracji bazy (!).
Mit #5: Ustawa dotyczy tylko dużych przedsiębiorstw, sklepów internetowych i instytucji państwowych.
To jest fikcja, bo jeśli przeczytasz całą ustawę, nie ma tam żadnego takiego zapisu. Ustawa traktuje jednakowo instytucję państwową, mega przedsiębiorstwo czy osobę prywatną lub mikrofirmę. Ustawa rozpatruje każdy przypadek pod kątem przetwarzania danych osobowych i jeżeli wykonujesz takie działania to już podlegasz tej ustawie.
Mit #6: Rejestracji podlegają tylko firmy, a nie osoby prywatne.
Kolejny mit. Rejestracji nie podlegają zbiory danych osobowych wykorzystywane do celów prywatnych, czyli np. książka telefoniczna w Twoim telefonie czy spis numerów i adresów w Twoim kalendarzu; pod warunkiem, że nie wykorzystujesz tych danych zarobkowo. Jednak jeżeli masz ebiznes i nie masz zarejestrowanej działalności, to nie wiem, czy jest to do końca legalne, lecz ustawa nie rozdziela tutaj na osoby prywatne i firmy; różnica jest tylko w maksymalnych karach; w pierwszym przypadku do 10 tys. zł, w drugim do 50 tys. zł.
Podsumowanie rozważań
Przedstawiłem tutaj największe dylematy, jakie przeczytałem na forach internetowych (m.in na forum e-biznesu Pawła Krzyworączki).
Celem mojego artykułu nie jest zastraszenie karami i konsekwencjami za tym idącymi, a informowanie każdego, kto działa w szeroko rozumianym ebiznesie, aby nie odczuł negatywnych skutków swojej niewiedzy, jak miało miejsce w przypadku klauzul niedozwolonych i rzekomych pozwów. Zainteresowanym chętnie udzielę szerszych informacji.
Życzę miłego dnia i pozdrawiam
Dodaj komentarz