Aplikacje internetowe jak grzyby po deszczu…

Grzybiarze narzekają na brak grzybów w tym sezonie. I nic to, że deszcz pada w październiku bez przerwy, bo wcześniejsza susza przesądziła o nieurodzaju.

W przeciwieństwie do grzybów urodzaj na aplikacje internetowe występuje nieustanny a wykorzystywanie aplikacji do pracy, rozrywki, nauki staje się powszechne.

Z aplikacji udostępnianych przez internet korzystają już prawie wszyscy i większość z nich oczywiście przetwarza dane osobowe, co wkracza w obszar mojego zainteresowania. Z uwagi na fakt, że temat jest niezmiernie szeroki powiem dzisiaj o wykorzystywaniu  aplikacji internetowych do celów związanych z prowadzeniem działalności gospodarczej.

Faktem jest, że większość przedsiębiorców w chwili obecnej korzysta z różnego rodzaju aplikacji udostępnianych przez internet. Oprogramowanie udostępniane przez internet wykorzystywane jest w działalności  firm, szczególnie tych małych i średnich. Aplikacje  służą w szczególności do prowadzenia księgowości w małej firmie, spraw kadrowych, zarządzania biznesem, prowadzenia działań marketingowych.

Pojawiają się aplikacje dedykowane określonym działalnościom takim jak salony kosmetyczne, szkoły tańca, placówki medyczne, firmy handlowe czy wreszcie kancelarie prawnicze a to tylko niektóre branże.

Aplikacje udostępniane przez internet są łatwe w obsłudze, dostępne z każdego miejsca przy pomocy urządzenia telekomunikacyjnego podłączonego do sieci internet, dostosowane do specyficznych potrzeb odbiorcy, umożliwiają szybki i łatwy dostęp do danych w nich przechowywanych. No i są tanie.

Aplikacja udostępniana przez internet czyli  SaaS (Software as a Service)  jest jednym z modeli tzw. chmury obliczeniowej.

A co to ma wszystko wspólnego z danymi osobowymi?

Wykorzystywanie aplikacji w chmurze najczęściej związane jest z wprowadzaniem do niej danych osobowych np. klientów, kontrahentów, pacjentów, pracowników, petentów,  i innych.  Z tego właśnie powodu  jest przedmiotem zainteresowania prawa ochrony danych osobowych.

Należy pamiętać, że z wykorzystywaniem aplikacji związane jest “wyprowadzanie” danych często poufnych, stanowiących tajemnicę przedsiębiorstwa, poza obszar, nad którym firma ma kontrolę. Wprowadzając  dane do aplikacji internetowej  bezpieczeństwo danych od tego momentu zależeć będzie od  podmiotu, który tę aplikację udostępnia.

Z punktu widzenia prawa ochrony danych osobowych administrator danych ma prawo korzystać z zewnętrznych usług, nawet jeśli związane jest z tym powierzanie danych. Prawo mu tego nie zabrania. W takim przypadku przedsiębiorca, który powierza dane osobowe innemu podmiotowi powinien to zrobić w formie umowy zawartej na piśmie. Taką umowę nazywa się krótko umową powierzenia.

Podmiot (firma udostępniająca aplikację), któremu na podstawie umowy powierzenia zostały powierzone dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić inne wymagania określone w przepisach prawa.  W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Wiele firm korzysta z aplikacji internetowych przetwarzających dane osobowe, jednakże nieliczni pamiętają o zgodnym z prawem powierzeniu danych. Dzieje się tak dlatego, że firmy nie mają świadomości swoich obowiązków w tym zakresie jak również zagrożeń związanych z powierzeniem danych niesprawdzonym dostawcom.

Zlecając na zewnątrz jakąkolwiek usługę zwykle zachowujemy rozsądek i racjonalnie dokonujemy wyboru kontrahenta, który spełnia określone kryteria na przykład posiada wymagane uprawnienia, certyfikaty, zezwolenia czy koncesje, posiada bogato udokumentowane doświadczenie a także referencje zadowolonych klientów.

Większość firm ma świadomość, że kontrahenta należy w miarę możliwości sprawdzić czy zapewni wykonanie usługi zgodnie z umową. Jednakże, jeśli chodzi o korzystanie z aplikacji internetowych praktyka sprawdzenia dostawcy pod katem zapewniania bezpieczeństwa danych osobowych jest bardzo rzadka.

Pamiętać należy, że przekazując dane do aplikacji internetowej, która nie jest należycie zabezpieczona może narazić  klientów na przykład na wyciek danych lub inną szkodę. Osoba pokrzywdzona będzie mogła wówczas dochodzić odszkodowania na drodze postępowania cywilnego na przykład z tytułu naruszenie dóbr osobistych. Takie procesy już się zdarzają.

Powierzenie danych osobowych niesprawdzonemu usługodawcy, bez umowy powierzenia może przesądzić o odpowiedzialności administratora danych nawet, jeśli faktycznie wyciek nastąpił z winy usługodawcy. Dodatkowo administrator danych osobowych, który powierza dane osobowe niezgodnie  z prawem naraża się na odpowiedzialność administracyjną oraz karną.

Decydując się wiec na wykupienie abonamentu  dostępu do kolejnej aplikacji  lub rozpoczęcie współpracy, z którą związane jest powierzenie danych do przetwarzania innemu podmiotowi należy pamiętać, aby zawrzeć umowę powierzenia i uregulować w niej wymagane prawem obszary. W szczególności, jeśli powierzenie związane jest z przekazaniem danych do  aplikacji udostępnianych w tzw. chmurze.

Kto ma porządek w “ochronie danych” ręka w górę:-)

Dzisiaj trochę inaczej o ochronie danych osobowych. Myślę, że kwestia ochrony danych osobowych to jedna z najbardziej zakurzonych i zapomnianych w większości firm.

Ba gorzej jest to temat, którego potencjalne porządkowanie denerwuje właścicieli firm jak nic innego. W ich ocenie temat ochrony danych osobowych jest wydumaną fanaberią.

W życiu najczęściej takie podejście związane jest ze zwykłym niezrozumieniem tematu, nieświadomością co do prawa oraz faktów. Dyrektywa unijna w sprawie ochrony danych osobowych ma już 20 lat a nie ma chyba innych przepisów, które byłby tak bardzo zapomniane jak te o ochronie danych osobowych.

Nawet moi koledzy radcy czy adwokaci, którzy na co dzień nie zajmują się tą tematyką ochrony danych kręcą głowami wyrażając niezrozumienie tematu. GIODO im to wytyka i wyraża opinię, że prawnicy nie zawsze w tym obszarze są wzorami do naśladowania

Bardzo często otrzymuję telefony od właścicieli małych firm. Kupię pani poradnik – mówi mój rozmówca, ale czy wystarczy mi on, aby samemu napisać wszystkie wymagane dokumenty. No i jak tu być mądrym oraz uprzejmym, nie urazić potencjalnego klienta, ale też wyrazić swoją opinię. Trudne zadanie.

Odpowiadam więc, że wszystko zależy od tego, co chcemy osiągnąć. Jeśli zależy nam żeby mieć jakiś papier w tym temacie i to już nas uspokoi to można skopiować jakie wzory lub kupić za parę złotych. Nie będzie miało to zbyt wiele wspólnego z zapewnieniem zgodności ochrony danych osobowych, ale zyskamy pozorny spokój, że coś zrobiliśmy, coś mamy.

Mojemu rozmówcy odpowiedziałam, że nawet, gdy kupi poradnik to w mojej ocenie nie jest w stanie samodzielnie uporządkować obszaru ochrony danych osobowych. Poradniki piszę bowiem dla ABI (administratorów bezpieczeństwa informacji), którzy na co dzień zajmują się stosowaniem przepisów o ochronie danych osobowych.

Klient poradnika nie kupił. Skutecznie go zniechęciłam. Jednak zapewnianie go, że mój poradnik rozwiązałby mu problem uważałam za nieetyczne.

Z drugiej strony normą jest  w firmie wyznaczanie do  porządkowania kwestii ochrony danych przez osoby zupełnie do tego nieprzygotowane. Dostaję pełne rozpaczy listy, że nagle jak grom z jasnego nieba  prezes zrzuca na swoją kadrową czy księgową obowiązek uporządkowania danych osobowych. Jest płacz i zgrzytanie zębów.

Pamiętam błagalny list o pomoc młodej dziewczyny, stażystki w spółdzielni mieszkaniowej, której łaskawa Pani Prezes dała za zadanie uporządkowanie kwestii ochrony danych osobowych. Dziewczynie zależało na pracy, chciała się wykazać i mimo, że bladego pojęcia o temacie nie miała ambitnie wzięła się do rzeczy. Jednak, gdy zaczęła zgłębiać temat grunt spod nóg powoli jej się usuwał. Stąd błagalny list do mnie.

Dane osobowe to nie są jakieś tam dane osobowe, jednostkowe imiona i nazwiska przetwarzane w formie papierowej i trzymane na dnie szafy czy szuflady zamykanej na klucz. Te czasy minęły bezpowrotnie. Nasze dane osobowe to wszystkie informacje, które nas dotyczą, informacje dotyczące naszej sytuacji finansowej, mieszkaniowej, zawodowej, historie chorób, historie kredytowe, informacje dotyczące także skazań czy innych orzeczeń nas dotyczących.

Dane osobowe to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wszelkie, co oznacza, że katalog informacji, które mogą zostać uznane za dane osobowe jest otwarty. Dane osobowe to adresy email, numery IP, co jeszcze kilka lat temu było sporne.

W dobie wszechobecności internetu, powszechności usług świadczonych elektronicznie także w sektorze publicznym, tworzenia kolejnych rejestrów zbierających dane o obywatelach (rejestry karne, rejestry PESEL, rejestry  ZUS, rejestry w systemie informacji medycznej i inne). Ilość danych, które są o nas przetwarzane jest zatrważająca.

Argument o udostępnianiu danych w portalach społecznościowych typu Facebook przez samych internautów do mnie nie trafia, bo każdy ma prawo decydowania o sobie i jeśli taka jego wola może ujawniać na swój temat, co chce. Jednak zauważmy, że na FB ludzie ujawniają z reguły te pozytywne informacje tak, aby ich wizerunek nie ucierpiał. Ba czasami z rozmysłem w ten sposób kreują  swój image.

Problem pojawia się, gdy to inni chcą decydować lub decydują, co zrobią z naszymi danymi, komu je udostępnią, bez naszej wiedzy i woli a czasami jej wbrew.

Nieustanny rozwój nowych technologii w internecie, ale także nasza w nim obecność w różnych aspektach zawodowym, prywatnym, handlowym wymaga posługiwania się danymi osobowymi  z wykorzystaniem tychże technologii.

Brak regulacji prawnych dotyczących ochrony danych osobowych w tej sferze czyniłoby z internetu i jego możliwości prawdziwe pole do nadużyć jak handel danymi na wielką skalę, kradzież tożsamości, notoryczne naruszanie prywatności i wiele wiele innych.

Nie dlatego, że zawodowo zajmuję się prawem ochrony danych osobowych, ale dlatego, że wiem, jak szerokie jest pole nadużyć w tej sferze i jak bardzo dotkliwe mogą być to nadużycia dla konkretnego człowieka jestem za ochroną danych osobowych.

Rozporządzenie unijne w sprawie ochrony danych osobowych, które w kwietniu tego roku zostało przyjęte w organach UE jest odpowiedzią na zagrożenia, które powyżej w wielkim skrócie starałam się zasygnalizować w tym poście.

Udostępnianie danych osobowych jak to ugryźć

Udostępnianie danych osobowych to w praktyce jedno z trudniejszych zagadnień dotyczących ochrony danych osobowych.  Spróbuję je dzisiaj nieco przybliżyć.

Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

Z drugiej strony ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, dlatego nie każde naruszenie w sferze danych osobowych osoby fizycznej będzie oznaczało naruszenie ustawy o ochronie danych osobowych.

Przepisy o ochronie danych osobowych stosuje się więc do podmiotów, które w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych przetwarzają dane osobowe a nie stosuje się do osób prywatnych, które przetwarzają dane w celach osobistych. Naruszenia danych osobowych przez takie osoby będą oceniane w świetle innych niż ustawa o ochronie danych osobowych przepisów.

Coż znaczy, że dane są przetwarzane? Co w świetle prawa oznacza określenie przetwarzanie danych osobowych?

Przetwarzanie to zgodnie z przepisami  jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Udostępnianie danych jest więc operacją przetwarzania danych wykonywaną przez administratora danych w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów zawodowych. Samo udostępnianie danych oznacza przekazywanie danych pomiędzy różnymi administratorami danych.

W praktyce udostępnianie zdarza się dość często. Na moim blogu często wpisywaną frazą w wyszukiwarkę jest udostępnianie (przekazywanie) danych osobowych Policji, bowiem dość często zdarza się, że Policja wnioskuje do różnych podmiotów (np. pracodawców) o udostępnienie danych osobowych.

W sferze publicznej udostępnianie danych osobowych pomiędzy różnymi organami państwowymi danych osobowych zdarza się bardzo często, jednak pamiętajmy, że podstawą dla takiego udostępnienia danych zawsze powinien być przepis prawa. Organy administracji państwowej działają na podstawie i w granicach prawa i dotyczy to również udostępniania danych osobowych.

Bywa z tym jednak różnie i dane są udostępniane, chociaż nie powinny lub blokuje się dostęp do danych, gdy są ku temu podstawy prawne. Związane jest to bardzo często z brakiem odpowiedniej wiedzy przez urzędników.

W sektorze prywatnym do udostępniania (przekazywania) danych osobowych również dochodzi często, bowiem przetwarzanie danych osobowych i potrzeby administratorów danych osobowych stale ewoluują. Wobec rozwoju nowych technologii oraz pojawiania się ciągle nowych sposobów przetwarzania danych osobowych pojawia się potrzeba udostępniania danych osobowych innym podmiotom.

W szczególności widoczne jest to w internecie, gdzie rozwój nowych form przetwarzania danych osobowych jest bardzo dynamiczny. Podmioty prowadzące swoją działalność gospodarczą, zarobkową czy zawodową za pośrednictwem internetu w celu rozwoju swojego biznesu często z tych nowych form korzystają.

Potrzeba udostępniania danych przez przedsiębiorców internetowych związana jest często z nawiązywaniem współpracy z innymi podmiotami na przykład w celu poprawy funkcjonalności systemów sprzedaży, zwiększenia wiarygodności czy badania rynku i preferencji klientów.

Pamiętam zdziwienie mojego klienta, gdy po przeanalizowaniu swojego internetowego biznesu w zakresie udostępniania danych swoich klientów innym podmiotom był bardzo zdziwiony jak dużą ilość danych  osobowych przekazuje innym podmiotom.

Pamiętajmy jednak, że udostępnianie danych jest dopuszczalne, ale pod warunkiem, że jest legalne to znaczy, że administrator danych udostępniający dane posiada odpowiednią podstawę prawną tak samo administrator zbierający dane również musi taką podstawą się legitymować.

Zgodnie z przepisami to administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy.

Za niedopełnienie powyższego obowiązku administrator danych, który udostępnia dane osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pobawienia wolności do lat 2, ponosi więc odpowiedzialność karną.

Z drugiej strony administrator danych, któremu dane zostały bezpodstawnie udostępnione a on je dalej  również bez podstawy prawnej przetwarza poniesie odpowiedzialność karną, administracyjną, cywilną a wkrótce również zapłacić wysoką karę finansową (po wejściu w życie rozporządzenia unijnego).

Z uwagi na powyższe pamiętajmy, aby zabezpieczyć przetwarzanie danych tak, aby uniknąć narażenia się na zarzut wykorzystywania danych nielegalnie. W tym celu należy każdą sytuację zbierania danych przeanalizować pod kątem potrzeb biznesowych a w szczególności zadbać, aby dane były od samego początku zbierane legalnie. Czasami związane to będzie z pozyskaniem odpowiednio sformułowanych zgód.

Przeglądając strony internetowe różnych przedsiębiorców internetowych widzę jak duże są niedociągnięcia w powyższym zakresie. W dalszym ciągu funkcjonują klauzule zgody z błędami, które w orzecznictwie i doktrynie już lata temu zostały wytknięte.

Tworzenie baz danych w oparciu o nieprawidłowe zgody jest z  zasady skazane na porażkę. Pozyskanie właściwych zgód po fakcie zwłaszcza gdy baza zawiera tysiące (setki tysięcy) danych jest niewykonalne, gdyż ludzie niechętnie potwierdzają zgody a GIODO w każdej chwili może zarzucić nielegalność przetwarzania danych i zakazać wykorzystywania bazy, co dla biznesu  może być niepowetowaną stratą.

O udostępnianiu danych osobowych przeczytasz również Tutaj.

Płacę z Payu …

Zawieranie umów na odległość staje się coraz bardziej powszechne, oczywiście przede wszystkim dzięki zakupom przez internet. Systemy sklepów internetowych w sposób niemal intuicyjny prowadzą nas przez cały proces zamówienia aż do “zamawiam i płacę”.

Jeśli chodzi o płatności to coraz bardziej popularne stają się płatności online, błyskawiczne i intuicyjne. Dzięki operatorom tychże płatności klient w ciągu paru minut otrzymuje potwierdzenie dokonania płatności i może już spokojnie czekać na realizację  zamówienia.

Jednakże i tutaj podobnie jak w przypadku Opineo, o którym pisałam w ostatnim poście pojawia się kwestia udostępniania danych klienta. Klikając “płacę z Payu” w sklepie internetowym klient przenosi się na stronę operatora płatności i widzi już automatycznie wczytane swoje dane osobowe.

Przetwarzanie danych osobowych jest legalne, o ile istnieje ku temu odpowiednia podstawa prawna. Podstawy te wymienia ustawa o ochronie danych osobowych.  Klient kupując w sklepie internetowym zawiera umowę ze sklepem internetowym, który staje się odpowiedzialny za zgodne z prawem przetwarzanie danych osobowych klienta. Udostępnianie przez  sklep danych jego klientów innemu podmiotowi wymaga odpowiedniej podstawy prawnej. W omawianym przypadku powinna być to zgoda klienta.

W praktyce sprzedaży internetowej niewiele jest sklepów, które udostępniają dane na podstawie zgody, wiele z nich nawet nie informuje swoich klientów o takim udostępnianiu a sami klienci też nie są świadomi, że ich dane są udostępniane poza sklep, w którym kupili towar.

 

Opineo Opineo …

Dzisiaj po raz kolejny do mojej skrzynki pocztowej zajrzało Opineo z przypomnieniem, że robiąc zakupy w sklepie internetowym X trzy tygodnie temu nie wyraziłam jeszcze swojej opinii na temat poziomu zadowolenia z tegoż zakupu.

Rzeczywiście nie wyraziłam, gdyż być może nie miałam czasu lub ochoty, co nie oznacza, że nie byłam zadowolona z zakupu. Jednak nie musze dzielić się swoją radością z zakupionego towaru, jeśli nie chcę a przede wszystkim ani sklep ani Opineo nie ma prawa wysyłać mi wiadomości w tym temacie, jeśli nie wyraziłam na to zgody.

A więc Opineo wysyła te swoje przypominające e-maile już któryś raz z kolei chcąc mnie zdyscyplinować. Uważa, że ma prawo, bo podpisało umowę powierzenia ze sklepem. Umowa ta jednak nie stanowi w tym przypadku odpowiedniej podstawy prawnej, bowiem Opineo zbiera opinie na własny rachunek, aby wypełnić ankietę trzeba zaakceptować Regulamin Opineo. W świetle tego regulaminu Opineo staje się administratorem danych osobowych dotyczących wypełnianych ankiet.

W przypadku powierzenia danych do przetwarzania przetwarzający (tutaj Opineo) powinien działać w imieniu i na rzecz administratora danych (sklepu). Nieuprawnione jest wykorzystanie umowy powierzenia jako podstawy do zbierania danych dla własnych celów, co  ma miejsce w omawianej sytuacji.

Reasumując, jeśli sklep zamierza badać poziom zadowolenia z dokonywanych w nim zakupów sam czy w  kooperacji z Opineo, Ceneo zawsze będzie potrzebował na to zgody klienta. Bowiem badanie satysfakcji z zakupu nie jest niezbędne do zawarcia czy wykonania zawartej umowy sprzedaży i jako takie wymaga odrębnej podstawy prawnej czyli zgody podmiotu danych.

Podobno dobra opinia o sklepie w w/w portalach jest bardzo cenna, bowiem przekłada się to na wzrost poziomu zaufania do sklepu no i finalnie na sprzedaż. Należy jednak pamiętać, że w każdym przypadku, gdy mamy do czynienia z przekazywaniem danych naszych klientów podmiotom trzecim posiadać odpowiednią ku temu podstawę prawną. W innym przypadku dane udostępniane są nielegalnie, co może skutkować odpowiedzialnością sklepu karną, administracyjną a także  cywilną.

Reasumując pamiętajmy, że dobra opinia to skarb, jednak należy sięgać po te opinie z rozwagą i poszanowaniem prawa klienta również do niewyrażania  opinii.