Udostępnianie danych osobowych – jak to ugryźć

Udostępnianie danych osobowych to w praktyce jedno z trudniejszych zagadnień dotyczących ochrony danych osobowych.  Spróbuję je dzisiaj nieco przybliżyć.

Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

Z drugiej strony ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, dlatego nie każde naruszenie w sferze danych osobowych osoby fizycznej będzie oznaczało naruszenie ustawy o ochronie danych osobowych.

Przepisy o ochronie danych osobowych stosuje się więc do podmiotów, które w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych przetwarzają dane osobowe a nie stosuje się do osób prywatnych, które przetwarzają dane w celach osobistych. Naruszenia danych osobowych przez takie osoby będą oceniane w świetle innych niż ustawa o ochronie danych osobowych przepisów.

Coż znaczy, że dane są przetwarzane? Co w świetle prawa oznacza określenie przetwarzanie danych osobowych?

Przetwarzanie to zgodnie z przepisami  jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Udostępnianie danych jest więc operacją przetwarzania danych wykonywaną przez administratora danych w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów zawodowych. Samo udostępnianie danych oznacza przekazywanie danych pomiędzy różnymi administratorami danych.

W praktyce udostępnianie zdarza się dość często. Na moim blogu często wpisywaną frazą w wyszukiwarkę jest udostępnianie (przekazywanie) danych osobowych Policji, bowiem dość często zdarza się, że Policja wnioskuje do różnych podmiotów (np. pracodawców) o udostępnienie danych osobowych.

W sferze publicznej udostępnianie danych osobowych pomiędzy różnymi organami państwowymi danych osobowych zdarza się bardzo często, jednak pamiętajmy, że podstawą dla takiego udostępnienia danych zawsze powinien być przepis prawa. Organy administracji państwowej działają na podstawie i w granicach prawa i dotyczy to również udostępniania danych osobowych.

Bywa z tym jednak różnie i dane są udostępniane, chociaż nie powinny lub blokuje się dostęp do danych, gdy są ku temu podstawy prawne. Związane jest to bardzo często z brakiem odpowiedniej wiedzy przez urzędników.

W sektorze prywatnym do udostępniania (przekazywania) danych osobowych również dochodzi często, bowiem przetwarzanie danych osobowych i potrzeby administratorów danych osobowych stale ewoluują. Wobec rozwoju nowych technologii oraz pojawiania się ciągle nowych sposobów przetwarzania danych osobowych pojawia się potrzeba udostępniania danych osobowych innym podmiotom.

W szczególności widoczne jest to w internecie, gdzie rozwój nowych form przetwarzania danych osobowych jest bardzo dynamiczny. Podmioty prowadzące swoją działalność gospodarczą, zarobkową czy zawodową za pośrednictwem internetu w celu rozwoju swojego biznesu często z tych nowych form korzystają.

Potrzeba udostępniania danych przez przedsiębiorców internetowych związana jest często z nawiązywaniem współpracy z innymi podmiotami na przykład w celu poprawy funkcjonalności systemów sprzedaży, zwiększenia wiarygodności czy badania rynku i preferencji klientów.

Pamiętam zdziwienie mojego klienta, gdy po przeanalizowaniu swojego internetowego biznesu w zakresie udostępniania danych swoich klientów innym podmiotom był bardzo zdziwiony jak dużą ilość danych  osobowych przekazuje innym podmiotom.

Pamiętajmy jednak, że udostępnianie danych jest dopuszczalne, ale pod warunkiem, że jest legalne to znaczy, że administrator danych udostępniający dane posiada odpowiednią podstawę prawną tak samo administrator zbierający dane również musi taką podstawą się legitymować.

Zgodnie z przepisami to administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy.

Za niedopełnienie powyższego obowiązku administrator danych, który udostępnia dane osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pobawienia wolności do lat 2, ponosi więc odpowiedzialność karną.

Z drugiej strony administrator danych, któremu dane zostały bezpodstawnie udostępnione a on je dalej  również bez podstawy prawnej przetwarza poniesie odpowiedzialność karną, administracyjną, cywilną a wkrótce również zapłacić wysoką karę finansową (po wejściu w życie rozporządzenia unijnego).

Z uwagi na powyższe pamiętajmy, aby zabezpieczyć przetwarzanie danych tak, aby uniknąć narażenia się na zarzut wykorzystywania danych nielegalnie. W tym celu należy każdą sytuację zbierania danych przeanalizować pod kątem potrzeb biznesowych a w szczególności zadbać, aby dane były od samego początku zbierane legalnie. Czasami związane to będzie z pozyskaniem odpowiednio sformułowanych zgód.

Przeglądając strony internetowe różnych przedsiębiorców internetowych widzę jak duże są niedociągnięcia w powyższym zakresie. W dalszym ciągu funkcjonują klauzule zgody z błędami, które w orzecznictwie i doktrynie już lata temu zostały wytknięte.

Tworzenie baz danych w oparciu o nieprawidłowe zgody jest z  zasady skazane na porażkę. Pozyskanie właściwych zgód po fakcie zwłaszcza gdy baza zawiera tysiące (setki tysięcy) danych jest niewykonalne, gdyż ludzie niechętnie potwierdzają zgody a GIODO w każdej chwili może zarzucić nielegalność przetwarzania danych i zakazać wykorzystywania bazy, co dla biznesu  może być niepowetowaną stratą.

O udostępnianiu danych osobowych przeczytasz również Tutaj.

Płacę z Payu …

Zawieranie umów na odległość staje się coraz bardziej powszechne, oczywiście przede wszystkim dzięki zakupom przez internet. Systemy sklepów internetowych w sposób niemal intuicyjny prowadzą nas przez cały proces zamówienia aż do “zamawiam i płacę”.

Jeśli chodzi o płatności to coraz bardziej popularne stają się płatności online, błyskawiczne i intuicyjne. Dzięki operatorom tychże płatności klient w ciągu paru minut otrzymuje potwierdzenie dokonania płatności i może już spokojnie czekać na realizację  zamówienia.

Jednakże i tutaj podobnie jak w przypadku Opineo, o którym pisałam w ostatnim poście pojawia się kwestia udostępniania danych klienta. Klikając “płacę z Payu” w sklepie internetowym klient przenosi się na stronę operatora płatności i widzi już automatycznie wczytane swoje dane osobowe.

Przetwarzanie danych osobowych jest legalne, o ile istnieje ku temu odpowiednia podstawa prawna. Podstawy te wymienia ustawa o ochronie danych osobowych.  Klient kupując w sklepie internetowym zawiera umowę ze sklepem internetowym, który staje się odpowiedzialny za zgodne z prawem przetwarzanie danych osobowych klienta. Udostępnianie przez  sklep danych jego klientów innemu podmiotowi wymaga odpowiedniej podstawy prawnej. W omawianym przypadku powinna być to zgoda klienta.

W praktyce sprzedaży internetowej niewiele jest sklepów, które udostępniają dane na podstawie zgody, wiele z nich nawet nie informuje swoich klientów o takim udostępnianiu a sami klienci też nie są świadomi, że ich dane są udostępniane poza sklep, w którym kupili towar.

 

Opineo Opineo …

Dzisiaj po raz kolejny do mojej skrzynki pocztowej zajrzało Opineo z przypomnieniem, że robiąc zakupy w sklepie internetowym X trzy tygodnie temu nie wyraziłam jeszcze swojej opinii na temat poziomu zadowolenia z tegoż zakupu.

Rzeczywiście nie wyraziłam, gdyż być może nie miałam czasu lub ochoty, co nie oznacza, że nie byłam zadowolona z zakupu. Jednak nie musze dzielić się swoją radością z zakupionego towaru, jeśli nie chcę a przede wszystkim ani sklep ani Opineo nie ma prawa wysyłać mi wiadomości w tym temacie, jeśli nie wyraziłam na to zgody.

A więc Opineo wysyła te swoje przypominające e-maile już któryś raz z kolei chcąc mnie zdyscyplinować. Uważa, że ma prawo, bo podpisało umowę powierzenia ze sklepem. Umowa ta jednak nie stanowi w tym przypadku odpowiedniej podstawy prawnej, bowiem Opineo zbiera opinie na własny rachunek, aby wypełnić ankietę trzeba zaakceptować Regulamin Opineo. W świetle tego regulaminu Opineo staje się administratorem danych osobowych dotyczących wypełnianych ankiet.

W przypadku powierzenia danych do przetwarzania przetwarzający (tutaj Opineo) powinien działać w imieniu i na rzecz administratora danych (sklepu). Nieuprawnione jest wykorzystanie umowy powierzenia jako podstawy do zbierania danych dla własnych celów, co  ma miejsce w omawianej sytuacji.

Reasumując, jeśli sklep zamierza badać poziom zadowolenia z dokonywanych w nim zakupów sam czy w  kooperacji z Opineo, Ceneo zawsze będzie potrzebował na to zgody klienta. Bowiem badanie satysfakcji z zakupu nie jest niezbędne do zawarcia czy wykonania zawartej umowy sprzedaży i jako takie wymaga odrębnej podstawy prawnej czyli zgody podmiotu danych.

Podobno dobra opinia o sklepie w w/w portalach jest bardzo cenna, bowiem przekłada się to na wzrost poziomu zaufania do sklepu no i finalnie na sprzedaż. Należy jednak pamiętać, że w każdym przypadku, gdy mamy do czynienia z przekazywaniem danych naszych klientów podmiotom trzecim posiadać odpowiednią ku temu podstawę prawną. W innym przypadku dane udostępniane są nielegalnie, co może skutkować odpowiedzialnością sklepu karną, administracyjną a także  cywilną.

Reasumując pamiętajmy, że dobra opinia to skarb, jednak należy sięgać po te opinie z rozwagą i poszanowaniem prawa klienta również do niewyrażania  opinii.

 

Regulamin sklepu internetowego i parę innych refleksji

W zasadzie sprzedaż przez internet staje się aktualnie tak powszechna jak sprzedaż tradycyjna. Trudno byłoby znaleźć dzisiaj dużą firmę handlową, która nie sprzedaje przez internet,także obok głównej sprzedaży tradycyjnej.

Sprzedaż przez internet będąc kolejnym kanałem dystrybucji otwiera nowe rynki zbytu, rynki tak naprawdę często niedostępne dla sprzedaży stacjonarnej. Dodatkowo sprzedaż internetowa może być tańszym rozwiązaniem dla tych, którzy nie mają wystarczających środków lub nie chcą płacić za czynsze w drogich centrach handlowych.

Nie tak dawno w pobliskim centrum handlowym szukałam 5,10,15 sklepu z odzieżą dla dzieci i okazało się, że już go nie ma, że firma zrezygnowała z tej lokalizacji i zaprasza do sklepu internetowego.

Oferta w zakresie infrastruktury informatycznej dla sklepu internetowego staje się coraz bardziej powszechna i aplikacja do obsługi niewielkiego sklepu to dzisiaj już naprawdę niewielki koszt.

Organizacja nawet niewielkiego sklepu internetowego to mimo wszystko zadanie wcale nie takie łatwe, ba wymaga też poznania i rozpoznania tego środowiska i jego specyfiki również specyfiki prawnej, gdyż wiele tu różnic w porównaniu do tradycyjnej sprzedaży.

Czy jednak przeciętny przedsiębiorca się tym przejmuje. Kupuje system do obsługi sklepu internetowego, zatrudnia ludzi lub sam obsługuje sklep, kopiuje jakiś regulamin innego sklepu internetowego, bo wydaje się, że to już sprawdzone i bezpieczne i zaczyna swoją przygodę.

Obsługując sklepy internetowe wiem, że zapewnienie zgodności z prawem często kuleje, a regulaminy sklepów internetowych pozostawiają wiele do życzenia, skopiowane dokumenty nie pasują do systemu danego sklepu a często zawierają nawet zakazane postanowienia, co naraża przedsiębiorcę na odpowiedzialność prawną.

Jednak oczywiście czasami można nawet długo funkcjonować ze złym regulaminem i nic się nie dzieje, ale jak to w życiu wszystko jest do czasu i wystarczy jeden niezadowolony klient, który złoży skargę na przedsiębiorcę np. do UOKiKu, co pociągnie za sobą wszczęcie postępowania i szczegółowe badanie czy sklep działa zgodnie z prawem.

Sporo kupuję przez internet i widzę jak wiele sklepów nie wdrożyło jeszcze postanowień ustawy o prawach konsumenta, która weszła w życie 25 grudnia 2014 r. i w zasadniczej części dotyczy sprzedaży przez internet. Zdarzają się jeszcze sklepy, gdzie nie znajdziemy przycisku “zamówienie z obowiązkiem zapłaty” lub równoważnego a przecież brak tego przycisku pociąga za sobą skutek w postaci niezawarcia umowy.

Słyszę czasami argumenty, że ten wymóg jest odstraszający dla potencjalnego klienta, jednak jest to wymóg sztywny i powszechny dla wszystkich przedsiębiorców sprzedających przez internet więc stosowanie się do tego wymogu również powinno być powszechną praktyką, co spowodowałoby szybkie oswojenie się klientów  z takim komunikatem i traktowanie go jako coś naturalnego.

Prawdziwą puszką pandory, jeśli chodzi o sklepy internetowe, ale nie tylko sklepy, bo i innych przedsiębiorców prowadzących swoją działalność przez internet lub w internecie, jest zgodność z przepisami o ochronie danych osobowych. Zdecydowana większość przedsiębiorców poprzestaje w tym zakresie na skopiowaniu polityk prywatności niewiele się zastanawiając co w ogóle kopiuje i czy to jest adekwatne do danej działalności.

A przecież nic tak bardzo jak internet nie stwarza dodatkowych możliwości zbierania danych osobowych, na stronach internetowych mnożą się wszelkiego rodzaju szybkie formularze zbierające przeróżne dane osobowe. Formularze, newslettery, fora, możliwości komentowania, opiniowania to wszystko wymaga przetwarzania danych osobowych a które to przetwarzanie powinno odbywać się zgodnie z prawem.

No i oczywiście personel obsługujący witryny internetowe, sklepy, portale nie jest świadomy jego obowiązków i odpowiedzialności związanych z ochroną danych osobowych, ich zabezpieczeniem. Człowiek często jest najsłabszym ogniwem i brak świadomości w zakresie obowiązków, odpowiedzialności  prowadzi do różnego rodzaju naruszeń. Myślę, że ostatnie doniesienia o rzekomym wycieku danych za pośrednictwem kancelarii komorniczych należy do tego rodzaju naruszeń.

Przedsiębiorcy internetowi, ale nie tylko powinni w szczególności kwestie związane z ochroną danych osobowych uregulować, przyjrzeć się im w swoich firmach, uporządkować tak, aby nowe przepisy, które przewidują bardzo dolegliwe kary finansowe, ich nie zaskoczyły.

Taki przegląd najczęściej będzie też oznaczał przegląd samego regulaminu sprzedaży i świadczenia usług, który regulując procesy sprzedaży i zwierania umów reguluje zasady przetwarzania danych osobowych z tym związane i uwzględniać powinien odpowiednie w tym względzie wymagania prawne.

To komornicy pobrali legalnie miliony danych dorosłych Polaków

“Na dzisiaj możemy powiedzieć z całą pewnością, że nie było wycieku danych ani żadnego ataku cyberbezpieczeństwa na dane w zbiorach PESEL lub dane, którymi dysponują komornicy” –  powiedziała minister cyfryzacji Anna Streżyńska.

“Mamy pewność, że te dane nie wypłynęły poza kancelarie (komornicze – PAP), bo to pierwsze zostało sprawdzone przez odpowiednie służby” – podkreśliła Streżyńska. Zwróciła jednak uwagę, że “na próbkach” sprawdzane jednak będzie, czy pobrane dane miały związek z prowadzonymi sprawami.

Kluczowym więc jest wyjaśnienie czy dane pobierane w takich ilościach były pobierane zgodnie z wymaganiami i przepisami prawa i nie dotyczyły  obywateli, którzy nie posiadają jakichkolwiek komorniczych postępowań.

Dla zgodnego  z prawem pobierania danych z systemu PESEL wymagane jest, aby każde pobranie uzasadnione było prowadzonym postępowaniem egzekucyjnym, w tym celu w każdym przypadku komornik zobowiązany jest do podania numeru konkretnej sprawy.

Pobieranie hurtowych ilości danych w mojej ocenie wzbudza podejrzenie czy rzeczywiście nawet, jeśli dane były pobierane przez osoby uprawnione, było to zgodne z prawem.

W prasie podawane są takie ilości danych, które zostały pobrane przez zaledwie kilka kancelarii komorniczych, że gdyby miało to być uzasadnione konkretnymi postępowaniami komorniczymi to oznaczałoby, że prawie połowa dorosłych Polaków ma sprawy u komornika, co przecież nie jest prawdą.

W związku z tym sprawa i tak wymaga skrupulatnego zbadania, bo może komornicy pobierali dane osób tak na wszelki wypadek, na przyszłość tworząc swoje własne bazy danych, co jest niedopuszczalne oraz niezgodne z prawem.

W każdym razie w mojej ocenie informacje płynące z ministerstwa, że nie było wycieku danych i ataku hakerów na system PESEL w żadnym razie mnie nie uspokaja. Trudno żeby miała uspokajać informacja, że miliony danych osobowych w majestacie prawa pobierają komornicy.

 

Komornicy pobierają legalnie dane milionów Polaków

Według ministerstwa cyfryzacji nie było „wycieku” danych. Na tym etapie śledztwa prokuratura nie stwierdziła wycieku danych do osób nieuprawnionych. Nie mamy też do czynienia z tzw. włamaniem hakerskim, czyli z pokonaniem mechanizmów bezpieczeństwa.

Wygląda na to, że w majestacie prawa hurtownie komornicze pobierały miliony danych o Polakach a że największe z nich prowadzą rocznie setki tysięcy spraw egzekucyjnych to zapytania idą w miliony, bo przecież odnośnie tych samych osób zapytania mogą być wysyłane wielokrotnie.

Faktem jest jednak, że dane milionów Polaków były pobierane przez kilka kancelarii komorniczych i jeśli nawet czynności te nie nosiły znamion przestępstwa a były wykonywane w ramach ustawowych uprawnień to sądzę, że również jest to bardzo niepokojące i wymaga dokładnego wyjaśnienia.

Jeśli niepokoją Cię informacje, że Twoje dane mogły być wykorzystane bez Twojej wiedzy, możesz bezpłatnie sprawdzić, jakie dane na jego temat znajdują się w bazie PESEL oraz czy zwracały się o nie konkretne instytucje.

W tym celu możesz przesłać wypełniony i podpisany WNIOSEK na adres: ministerstwo cyfryzacji, Departament Ewidencji Państwowych, ul. Królewska 27, 00-060 Warszawa, z dopiskiem SRP.

Jeśli informacje uzyskane z bazy PESEL potwierdzą, że o Twoje dane wnioskował komornik, który nie prowadził wobec Ciebie żadnego postępowania, wówczas możesz zgłosić ten fakt do prokuratury, z prośbą o nadanie statusu pokrzywdzonego w toczącym się śledztwie.