Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Dane osobowe w sieci

Printer Friendly and PDF

leadSieć połączonych komputerów nazywana Internetem zmieniła oblicze znanego nam świata. Równolegle do rzeczywistości – nazwijmy ją konwencjonalną – rozwija się rzeczywistość wirtualna, w której praktycznie każdy z nas pozostawia po sobie ślad, który umożliwia identyfikację i może być wykorzystany do różnorakich celów. Coraz więcej stron WWW wymaga od nas zalogowania się poprzez wypełnienie formularza, w którym obowiązkowo trzeba podać imię, nazwisko, adres itd. Należy zatem zastanowić się, w jaki sposób internauta jest chroniony przed przetwarzaniem jego danych przez osoby niepowołane oraz w jaki sposób legalnie korzystać ze zdobytych danych osobowych w celach marketingowych.

Przetwarzanie danych osobowych

Zgodnie z prawem przetwarzanie danych osobowych to operacje związane ze zbieraniem, utrwalaniem, przechowywaniem, opracowywaniem, zmienianiem, udostępnianiem i usuwaniem danych, a zwłaszcza tych, które wykonuje się w systemach informatycznych. Działanie takie jest możliwe tylko po uzyskaniu wcześniejszej zgody osoby, której te informacje dotyczą. Zgoda taka ma mieć postać oświadczenia woli wyrażonego zgodnie z przepisami kodeksu cywilnego, a więc musi być wyrażona przez zainteresowanego wprost – nie ma możliwości wykorzystania tzw. zgody domniemanej bądź dorozumianej, a wynikającej z innych oświadczeń woli. Aby przetwarzać pobrane dane osobowe zgodnie z prawem, np. w celu stworzenia bazy danych, należy więc uzyskać uprzednio zgodę osoby, której dane dotyczą. Zgodnie z ustawą o ochronie danych osobowych istnieje konieczność zgłoszenia zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych. Obowiązek ten obejmuje zarówno publicznych, jak i prywatnych administratorów danych.

Rejestracja zbiorów danych nie obowiązuje w wyjątkowych przypadkach określonych w ustawie, natomiast legalność samego przetwarzania danych jest przez obowiązujące prawo uzależniona od zgłoszenia zbioru danych do GIODO, który czuwa nad prawidłowością wykonywania zadań wynikających z ustawy o ochronie danych osobowych oraz jest odpowiedzialny za prowadzenie rejestru zbiorów danych osobowych. Jeżeli konkretny zbiór danych podlega rejestracji i nie zostanie ona dokonana, to na podstawie ustaleń kontroli GIODO może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień. Niezgłoszenie zbioru danych przez osobę zobowiązaną do jego dokonania stanowi przestępstwo, za które grozi kara grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

Problem spamu a przetwarzanie danych osobowych

Przy przetwarzaniu danych może pojawić się problem tzw. spammingu, polegającego na rozsyłaniu dużej liczby informacji o jednakowej treści do nieznanych osób, najczęściej w celach reklamowych. Spam jest rozsyłany najczęściej za pośrednictwem poczty elektronicznej. Podam przykład. Firma prowadząca sklep internetowy wysyła nam cotygodniowo newsletter, w którym przedstawia nowo wprowadzone produkty, mimo iż nie wyraziliśmy zgody na jego otrzymywanie. Zgodnie z treścią ustawy o świadczeniu usług drogą elektroniczną taki newsletter można wysyłać wyłącznie pod warunkiem wyraźnej i zarazem aktualnej zgody odbiorcy na jego otrzymywanie. Ustawa zawiera bowiem zapis, iż zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Według definicji informacja handlowa to każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumienie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach nie służącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi. W świetle tego przepisu nie będzie więc informacją handlową newsletter dotyczący informacji politycznych czy społecznych, np. przesyłanie informacji o chorym dziecku potrzebującym pomocy.

Przy przetwarzaniu danych może pojawić się problem tzw. spammingu, polegającego na rozsyłaniu dużej liczby informacji o jednakowej treści do nieznanych osób, najczęściej w celach reklamowych. Spam jest rozsyłany najczęściej za pośrednictwem poczty elektronicznej. Podam przykład. Firma prowadząca sklep internetowy wysyła nam cotygodniowo newsletter, w którym przedstawia nowo wprowadzone produkty, mimo iż nie wyraziliśmy zgody na jego otrzymywanie. Zgodnie z treścią ustawy o świadczeniu usług drogą elektroniczną taki newsletter można wysyłać wyłącznie pod warunkiem wyraźnej i zarazem aktualnej zgody odbiorcy na jego otrzymywanie. Ustawa zawiera bowiem zapis, iż zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Według definicji informacja handlowa to każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumienie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach nie służącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi. W świetle tego przepisu nie będzie więc informacją handlową newsletter dotyczący informacji politycznych czy społecznych, np. przesyłanie informacji o chorym dziecku potrzebującym pomocy.

Ochrona danych osobowych a ustawa o świadczeniu usług drogą elektroniczną

Interpretacja ustawy o świadczeniu usług drogą elektroniczną wymaga wskazania, że usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania umowy między nimi. Po zakończeniu usługi świadczonej drogą elektroniczną usługodawca nie może wykorzystywać danych osobowych przekazanych mu przez usługobiorcę. Wyjątkiem jest użycie ich w zakresie koniecznym do ustalenia odpowiedzialności usługobiorcy w przypadku naruszenia przez niego prawa lub w celu dochodzenia należnych usługodawcy roszczeń.

Podmiot prowadzący politykę przetwarzania danych osobowych ma obowiązek zastosowania odpowiedniego ich zabezpieczenia oraz opracowania instrukcji zarządzania odpowiednim do tego celu systemem informatycznym. Szczegółowe uregulowania w tym zakresie zostały zawarte w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Marketing bezpośredni

Marketingiem bezpośrednim jest taka forma marketingu (szeroko rozumianej reklamy i promocji), która polega na bezpośrednich komunikatach kierowanych do określonych, indywidualnych klientów, najczęściej w indywidualnym kontakcie, w celu uzyskania bezpośredniej odpowiedzi.

Przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do realizacji prawnie usprawiedliwionego celu, którym zgodnie z prawem jest marketing bezpośredni produktów własnych lub administratora danych. Ten rodzaj marketingu nie wymaga zatem wyrażenia przez daną osobę zgody na przetwarzanie jej danych, jeżeli nie zostaną przy tym naruszone inne jej prawa. Pojawia się jednak kwestia ustalenia ram prawnych marketingu bezpośredniego prowadzonego w sieci. Taki rodzaj marketingu uprawiany jest najczęściej z wykorzystaniem poczty elektronicznej. Zgodnie z ustawą o świadczeniu usług drogą elektroniczną przesyłanie niezamówionej informacji handlowej (przekazy reklamowe, promocyjne), skierowanej do oznaczonego odbiorcy, za pomocą środków komunikacji elektronicznej jest zabronione. Polski system prawny przyjął formułę opt-in w zakresie regulowania prowadzenia działalności reklamowej za pomocą poczty elektronicznej, wymuszającą uzyskanie uprzedniej zgody od odbiorcy informacji. Aby przesłanie e-maila zawierającego treść reklamową było legalne, informacja handlowa musi zostać zamówiona. Zamówienie to powinno zostać złożone w sposób wyraźny, nie można go w żaden sposób domniemywać, milczenie odbiorcy winno zostać poczytane za udzielenie odpowiedzi odmownej. Wynika z tego niezbicie, iż marketing prowadzony z wykorzystaniem poczty elektronicznej wymaga bezwzględnej zgody odbiorcy e-maila. Zgoda musi dotyczyć tej konkretnej informacji handlowej – nie można uznać, iż uzyskanie zgody na przesłanie reklamy jednego towaru uprawnia do wysłania reklamy innego produktu. Zgoda może być wyrażona w różnorakiej formie. Z inicjatywą może wystąpić sam odbiorca, prosząc o przesłanie informacji handlowej pocztą elektroniczną. Nadawca może wysłać do odbiorcy zapytanie o możliwość uzyskania zgody, które samo w sobie nie jest informacją handlową. Najczęściej zgoda jest udzielana przez newsletter. Popularnym sposobem jej uzyskiwania jest prowadzenie akcji promocyjnych w klubach, pubach i na ulicach, podczas których odbiorcy udzielają zgody hostessom poprzez wypełnienie formularza, w którym podają swój adres e-mailowy.

Uzyskanie uprzedniej zgody nie jest jednak jedynym obostrzeniem w zakresie marketingu bezpośredniego prowadzonego z wykorzystaniem sieci. Przedsiębiorca musi podać w treści e-maila szereg informacji wymaganych przez prawo, m.in.:

  • adresy e-mailowe,
  • swoje imię i nazwisko, adres – własny lub siedziby (w przypadku osoby prawnej),
  • informację o posiadanych zezwoleniach (jeśli prawo takowych wymaga),
  • regulamin (wymagający akceptacji odbiorcy-konsumenta).

Ponadto usługodawca jest zobowiązany do zapewnienia odbiorcy aktualnej informacji o szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną oraz funkcji i celu oprogramowania lub danych nie będących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca.

Wśród innych powinności usługodawcy do najbardziej istotnych należy zaliczyć obowiązek takiego ukształtowania systemu teleinformatycznego, by odbiorca mógł w każdej chwili zakończyć transmisję danych. Ponadto należy podkreślić, iż informacja handlowa przesyłana za pomocą Internetu (zatem także reklama) powinna być wyraźnie wyodrębniana i oznaczana w sposób nie budzący wątpliwości, że jest to informacja handlowa. Wykluczone są w takim razie przekazy pozornie neutralne, zawierające treść o charakterze promocyjnym.

Zakupione bazy danych – możliwość marketingowego wykorzystania

Zasadniczo przepisy obwiązującego prawa umożliwiają skorzystanie z zakupionych baz danych zawierających dane osobowe w dwóch przypadkach. W pierwszym jest ono uwarunkowane wyrażeniem przez daną osobę zgody na przetwarzanie jej danych osobowych, na przykład poprzez zaznaczenie odpowiedniego okienka, w formularzu na stronie internetowej („Wyrażam zgodę na przetwarzanie moich danych osobowych [...]”).W myśl obowiązującego prawa tak uzyskane informacje mogą być udostępniane także innym przedsiębiorcom, odpłatnie. Ci ostatni będą mogli kontaktować się z daną osobą w celach marketingowych pod warunkiem uwzględnienia wspomnianych już ograniczeń dotyczących wysyłania informacji handlowej e-mailem oraz zakazu tzw. natarczywej reklamy, o którym mowa w ustawie o zwalczaniu nieuczciwej konkurencji. Innym ograniczeniem związanym z podanym typem wykorzystania danych osobowych może być treść klauzuli, która została zastosowana w celu uzyskania danych osobowych. Jeżeli w treści klauzuli zamieszczono wzmiankę, iż dane nie będą udostępniane innym podmiotom, to sprzedaż takich danych jest oczywiście niemożliwa. W praktyce występują także inne klauzule, na przykład dopuszczające sprzedaż tylko określonym podmiotom lub tylko w określonych celach. Udostępnianie danych osobowych innym firmom musi być zgodne z klauzulą.

Drugi przypadek zgodnego z prawem wykorzystania cudzych danych osobowych to udostępnienie ich tym, którzy chcą wykorzystać je w prawnie usprawiedliwionych celach – pod warunkiem, że udostępnienie to nie narusza praw osoby, której dane dotyczą. Za prawnie usprawiedliwione cele ustawa uznaje marketing bezpośredni własnych produktów lub usług administratora danych. W tym przypadku istnieje możliwość sprzedaży legalnie zdobytych danych, także wówczas, gdy osoba, która je podała, nie wyraziła zgody na ich przetwarzanie. Zakupione od jednego podmiotu dane osobowe mogą więc być wykorzystane w marketingu bezpośrednim zakupującej je firmy. W tym przypadku również trzeba baczyć na ograniczenia dotyczące wysyłania e-maili o treści reklamowej. Każdorazowo potrzebna jest zgoda odbiorcy. Można jednak wysłać zapytanie mające na celu otrzymanie zgody na wysłanie reklamy na adres poczty elektronicznej zdobyty dzięki zakupowi danych osobowych (treść zapytania nie może jednak zawierać żadnego śladu reklamy). Legalny jest także marketing bezpośredni z wykorzystaniem telefonu i zwykłej poczty.

Podane powyżej przykłady świadczą o tym, że mimo iż obowiązujące prawo chroni prawa konsumenta w szerokim zakresie, Internet daje wiele możliwości wykorzystania danych osobowych w celach marketingowych. Jak zwykle w tego rodzaju sytuacjach wyważenia wymagają interesy obu stron – konsumenta, który ma prawo żądać, by podane przez niego dane były bezpieczne i nie dostały się w niepowołane ręce, oraz przedsiębiorcy, traktującego dane osobowe jako cenne źródło informacji o potencjalnym kliencie.

Monika Brzozowska
adwokat, specjalista z zakresu prawa autorskiego, IT, danych osobowych, partner w Kancelarii PD&B - Pasieka, Derlikowski, Brzozowska i Partnerzy

Grzegorz Bieniek
aplikant adwokacki w kancelarii PD&B

Zabezpieczenia 3/2011

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony