Reforma prawa ochrony danych osobowych i świadomość przedsiębiorców a ryzyka

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.

Reklamy, które nas śledzą…

Surfując po sieci w poszukiwaniu informacji klikamy przenosząc się ze strony na stronę. Przy pomocy linków przenosimy się w różne obszary naszych zainteresowań, potrzeb.

Po jakimś czasie szukamy innych informacji ale nasza metoda poszukiwań się nie zmienia, klikamy na pozostawione w sieci linki, wpisujemy słowa kluczowe  do wyszukiwarek i szukamy, szukamy, szukamy.

Okazuje się jednak, że ktoś podąża za nami przez te wszystkie czy niektóre internetowe szlaki. Orientujemy się, gdy widzimy reklamę usług, towarów, których szukaliśmy wcześniej wpisując słowa kluczowe, odwiedzając określone witryny czy klikając na określone linki. Ktoś śledził, czego szukamy i wnioskując po zostawionych śladach przygotował dla nas ofertę w postaci sprofilowanej reklamy.

Działanie, które ma na celu dobranie właściwej do oczekiwań, potrzeb reklamy na podstawie obserwacji zachowań internauty nazywa się profilowaniem a reklama, która jest tworzona w oparciu o obserwację zachowań reklamą behawioralną.

Kto nas śledzi, w jaki sposób i w jakim celu, kto ma interes w tym, aby pokazać nam taką czy inną reklamę, dostosować ją do stworzonego profilu.

W proces tworzenia reklamy behawioralnej zaangażowanych jest kilka podmiotów, które muszą współpracować ze sobą, aby osiągnąć  pożądany efekt czyli wyświetlić właściwą reklamę właściwym osobom czy raczej profilom.

Do tworzenia profili służą nowe technologie informatyczne i są one coraz bardziej zaawansowane. Najbardziej znane to popularne cookies czyli małe pliki tekstowe, które są umieszczane na urządzeniu końcowym użytkownika najczęściej po wejściu na jakąś witrynę. Rodzajów plików jest bardzo wiele od najprostszych służących do poruszania się po witrynie czy badania statystyk po te, które nas śledzą.

Czy mamy się czego bać i tak i nie powiem przewrotnie. Nie powinniśmy się bać cookies, które umożliwiają nam korzystanie z internetu, poruszanie się po witrynach internetowych. Nawet, gdy wyświetlają się nam profilowane reklamy nie jest to jeszcze powód do paniki, o ile profilowanie jest zgodne z prawem.

Najbardziej niepokojące w całym procesie profilowania jest to, że informacje zbierane przez różne podmioty oraz do różnych celów czy z różnych źródeł mogą być ze sobą zestawiane. O ile pliki cookies śledzą urządzenie a nie osobę to nie można wykluczyć, że  w którymś momencie podmiot umieszczający pliki, będzie w posiadaniu danych osobowych np. pochodzących z rejestracji.

Takie zestawianie danych może służyć do personalizowania reklam, ofert czy szerokiego wykorzystywania w marketingu i sprzedaży tylko, że my zwykle nie mamy o tym żadnej wiedzy, a powinniśmy mieć.

Używanie plików cookies wymaga zgody użytkownika lub abonenta, po uprzednim poinformowaniu go o rodzajach, celach cookies, możliwości usunięcia cookies poprzez zmianę ustawień w swojej przeglądarce.

Tylko kto to wszytko czyta. Nie czytamy informacji, które i tak są niezbyt precyzyjne, zwykle nie czytamy treści zgód, które klikamy w internecie. Dobrym rozwiązaniem byłaby informacja graficzna z użyciem  graficznych ikonek informujących o profilowaniu oraz możliwość łatwego cofnięcia swojej zgody.

W procedowanym aktualnie rozporządzeniu unijnym o ochronie danych osobowych osób fizycznych profilowanie będzie dużo bardziej szczegółowo uregulowane niż w aktualnie obowiązujących przepisach  prawnych, co na pewno wpłynie na bezpieczeństwo prawne w wykorzystywaniu tej technologii.

Portale społecznościowe

 

Portal społecznościowy to platforma komunikacyjne on-line umożliwiająca osobom fizycznym przystępowanie do lub tworzenie sieci użytkowników o wspólnych upodobaniach.

Serwisy społecznościowe posiadają pewne cechy wspólne:

– użytkowników zachęca się do przekazania danych osobowych w celu stworzenia opisu swojej osoby lub swojego „profilu”;

– serwisy te obejmują również narzędzia, które umożliwiają użytkownikom przesyłanie swoich własnych materiałów ( na przykład fotografii lub wpisu do pamiętnika, pliku muzycznego lub wideo lub linków do innych stron);

– możliwe jest “tworzenie sieci kontaktów towarzyskich” dzięki wykorzystaniu narzędzi, które pozwalają stworzyć każdemu użytkownikowi listę kontaktów oraz za pomocą których użytkownicy mogą wchodzić w interakcje.

Kto jest administratorem danych osobowych w portalach społecznościowych? 

Określenie kto w serwisach społecznościowych jest administratorem danych osobowych przysparza nie mało problemów. Mimo to jednak należy podkreślić, iż pierwszym i podstawowym administratorem danych osobowych jest osoba lub podmiot, który tworzy narzędzia do przetwarzania danych i umożliwia korzystanie z nich, a nie ten kto zamieszcza posty.

Z zasady media społecznościowe, np. Facebooka czy nk.pl traktuje się jako administratorów danych, chociaż istnieją sytuacje, w których niektóre profile mogą stanowić odrębne zbiory danych osobowych.

Prawo nie nakłada obowiązków administratora danych na osobę fizyczną, która

przetwarza dane osobowe „w trakcie czynności o czysto osobistym lub domowym

charakterze” – co stanowi tak zwane „wyłączenie do celów domowych”.

Strona fanowska – Funpage

Jeżeli użytkownik serwisu spełecznościowego działa w imieniu przedsiębiorstwa lub stowarzyszenia lub wykorzystuje serwis głównie jako platformę służącą osiąganiu celów komercyjnych, politycznych lub charytatywnych, wyłączenie do celów domowych nie ma zastosowania.

W tym przypadku użytkownik przyjmuje pełnię obowiązków administratora danych ujawniającego dane osobowe innemu administratorowi danych (Serwiswi) lub osobom trzecim (innym użytkownikom serwisu lub potencjalnie nawet innym administratorom danych mającym dostęp do danych).

Sytuacja, w której użytkownicy wykorzystują serwis społecznościowy w celach komercyjnych jest najczęściej spotykana w przypadku tworzenia i prowadzenia tzw. fanpaga czyli firmowej strony fanowskiej na FB.

W większości przypadków twórca fanpage’a dysponuje danymi osób, które zostały fanami danego serwisu. Dane te z reguły są do czegoś wykorzystywane, a zatem zastosowanie znajdą przepisy ustawy o świadczeniu usług drogą elektroniczną. Zobowiązują one do stworzenia regulaminu fanpage,a określającego m.in. cel, w jakim dane będą wykorzystywane.

 

Cloud Computing Część I

Mały przedsiębiorca lub konsument może w obecnych czasach korzystać z nowoczesnych rozwiązań informatycznych bez konieczności ponoszenia dużych kosztów związanych z inwestowaniem w drogi sprzęt, obsługę czy oprogramowanie.

Usługi w tym zakresie dostępne na rynku są bardzo różnorodne. Przedsiębiorca może korzystając z bogatej oferty usługodawców nowych technologii kupić powierzchnię serwerów, oprogramowanie czy gotową aplikację przeznaczoną do konkretnych celów.

I tak nasz przysłowiowy Kowalski, ktory chce otworzyć nieduży sklep internetowy, pisać bloga czy oferować inne usługi online nie musi wydawać tysięcy zlotych na wlasną infrastrukture informatyczną. Może wydzierżawić serwer w zewnętrznej firmie, może też skorzystać z innych usług włącznie z wykupieniem dostępu do potrzebnego mu oprogramowania. Dostarczyciel serwera czy oprgramowania to profesjonalista w swojej dziedzinie, dbający o jakość świadczonych usług. Oznacza to, że dba również o to, aby świadczone przez niego usługi spelniały odpowiednie wymogi prawne.

Kowalskiemu potrzebny jest jedynie komputer i dostęp do internetu. Dostęp bowiem do serwera czy aplikacji będzie miał on-line przez wyszukiwarkę, co będzie oznaczało, że z każdego miejsca i urządzenia połączy się ze swoją stroną internetową. Rozwiązania są bardzo wygodne, relatywnie tanie. Jedno pytanie, na które Kowalski musi sobie odpowiedzieć to czy zawsze bezpieczne.

W tym kontekście usługi w chmurze na najniższym poziomie wtajemniczenia będą wówczas, gdy w zakresie IT zlecamy coś na zewnątrz, poza własną firmę i nie ma znaczenia czy to będzie wykupienie serwera, platformy czy oprogramowania.

 

Hosting a dane osobowe

 

Pojęcie hostingu w czasach, gdy internet staje się tak naprawdę drugą rzeczywistością, w której funkcjonujemy, wydaje się być powszechnie zrozumiałe. Tak z pewnością jest z technicznego punktu widzenia. Wiekszość przedsiębiorców  funkcjonuje w przestrzeni cyfrowej czy to przez prowadzenie biznesu czy też dla samej promocji swojego biznesu, który prowadzony jest poza siecią. Aby zaistnieć w internecie przedsiębiorcy decydują się na założenie własnej strony internetowej, wizytówki, bloga czy też na prowadzenie strony fanowskiej na FB.

Niezbędne formalności, aby zaistnieć w internecie związane z założeniem strony to oczywiście poza zamówieniem samego projektu, wykupienie serwera oraz domeny internetowej, czyli indywidualnego  adresu, pod którym będzie publikowana nasza strona w internecie.

No i właśnie to wykupienie miejsca, powierzchni na serwerze jest zwane popularnie hostingiem. W świetle prawa hosting funkcjonuje, jako udostępnienie pamięci podłączonych do sieci serwerów w celu przechowywania i udostępniania różnego rodzaju danych. Z ochroną danych osobowych hosting związany jest przez to właśnie przechowywanie danych osób trzecich, które często są też danymi osobowymi podlegającymi szczególnemu reżimowi ochrony.

Ilość hostingodawców oferujących usługi w zakresie udostępniania powierzchni dyskowej jest imponujący oraz wielość różnych kombinacji usług w skład, których wchodzi hosting również poraża przeciętnego użytkownika internetu. Oprócz jednak technicznych aspektów przy wyborze właściwego hostingodawcy zwrócić należy uwagę, jakich gwarancji udziela firma dla ochrony danych osobowych w kontekście zabezpieczeń czy innych obowiązków.

Na rynku nie mamy jednolitej sytuacji są firmy, które oferując usługi hostingowe czy wszelkie z nimi powiązane, zabezpieczają kwestie związane ochroną danych osobowych, są jednak i takie, które wykorzystują różne luki, aby od tych obowiązków uciec.  Jest to jednak o tyle ważne, że przedsiębiorca korzystający z wynajętego serwera zwykle jest administratorem danych osobowych swoich klientów, które często przy pomocy strony zbiera i to on właśnie odpowiada za spełnienie wszystkich obowiązków w zakresie ochrony danych osobowych tychże klientów, również w zakresie wyboru podmiotu, który dostarcza mu serwer a nie daje należytych gwarancji w zakresie zabezpieczeń.

W związku z powyższym należy zachować czujność, przy zawieraniu umowy z hostingodawcą dokładnie przeczytać regulaminy i inną dokumentację, z której wynikać będzie jego postawa wobec kwestii ochrony danych osobowych. W moim odczuciu powinniśmy wybierać podmioty, które gwarantują nam wysoką ochronę w tym zakresie, gdyż, jako użytkownicy końcowi dysponujemy niewielką wiedza i możliwościami, aby kontrolować stan zabezpieczeń i właściwie je ocenić, dlatego ze swojej strony rekomenduje zawieranie umów z podmiotami, które oferują swoim klientom możliwość zawarcia umowy o powierzenie danych do przetwarzania.

Newsletter

Z badań marketingowych wynika, że e-mailing jest jednym z najskuteczniejszych i najtańszych narzędzi reklamy w Internecie. E-mail reklamowy to pewna treść reklamowa w formie tekstowej lub graficznej przekazywana za pomocą poczty elektronicznej. Łatwość korzystania z poczty elektronicznej, niski koszt i szybkość e-maili sprawia, że ta forma komunikacji z klientem jest w tej chwili jedną z bardziej popularnych.

E-maile mogą być wysyłane miedzy innymi w postaci newslettera (news-wiadomości, letter – list), który jest rodzajem biuletynu wysyłanego do klientów lub potencjalnych klientów. Newsletter informujący o produktach lub usługach ma na celu budowanie więzi z klientem i tym samym bazy klientów lojalnych.

W chwili obecnej właściwie trudno wyobrazić sobie stronę internetową bez newslettera czy biuletynu. Ta forma komunikacji z klientem stała się bardzo powszechna a w Internecie znajdziemy płatne jak i darmowe programy do rozsyłania newsletterów. Znajdziemy też firmy, które przy pomocy Internetu (online) świadczą usługi w zakresie e-mail marketingu oraz udostępniają narzędzia w postaci systemów do prowadzenia i kontrolowania kampanii marketingowych e-mail oraz innymi środkami komunikacji elektronicznej.

Jak wiadomo podstawą powodzenia akcji marketingowych prowadzonych przy pomocy newslettera jest lista adresów e-mail. Listę subskrybentów najczęściej pozyskuje się przy pomocy umieszczonego na stronie www formularza zapisu na newsletter. Każdy właściciel bazy danych gromadzonych w ten sposób staje się administratorem danych osobowych (ADO) w rozumieniu ustawy o ochronie danych osobowych. Zobowiązany jest w związku z tym faktem do wypełnienia szeregu obowiązków przewidzianych dla administratora danych osobowych w/w ustawą. Jednym z takich obowiązków jest zgłoszenie zbioru danych osób zamawiających wiadomości newsletter za pośrednictwem strony internetowej do rejestracji Generalnemu Inspektorowi Ochrony Danych osobowych.

Ponadto, o czym często właściciele firm internetowych zapominają, iż aby rozpocząć dialog z internautą a potem go kontynuować należy pozyskać zgodę internauty na przesyłanie informacji handlowej poprzez e-mail, czyli również w formie newslettera. Przyjmuje się, iż zgodą nie jest umieszczenie na stronie adresu poczty elektronicznej bez klauzuli zgody na otrzymywanie informacji handlowej.

Reasumując, newsletter narzędzie marketingowe po które  przedsiębiorcy tak często i chętnie obecnie sięgają, aby pozyskać lojalnych klientów wymaga respektowania odpowiednich norm prawnych i przedsiębiorcy powinni mieć to na uwadze.