Nie sposób sobie wyobrazić obecnie prowadzenia biznesu bez aktywnej i stale uzupełnianej bazy klientów. Podtrzymywanie relacji z osobami, które są odbiorcami usług i produktów, jak twierdzą specjaliści, jest podstawą efektywnej działalności gospodarczej.

Tymczasem w Polsce obowiązują dość restrykcyjne przepisy związane z przetwarzaniem danych osobowych (ustawa z 29 sierpnia 1997 roku z późn. zm.). Nawet banalny adres e-mail może być uznany za informację, która podlega ochronie.

Restrykcyjne przepisy

Nad przestrzeganiem prawa w tym zakresie czuwa generalny inspektor ochrony danych osobowych (GIODO). Jeżeli jego urzędnicy wykryją, że doszło do złamania ustawy, a w przypadku firm prowadzących np. aktywny mailing prawdopodobieństwo kontroli jest wysokie, powinni zawiadomić organy ścigania o możliwości popełnienia przestępstwa. Te z kolei mogą skierować sprawę do sądu.

Choć w wydawaniu wyroków w tej materii Temida jest stosunkowo wstrzemięźliwa, to jednak za naruszenie zapisów ustawy teoretycznie grozi kara do dwóch lat pozbawienia wolności. Przedsiębiorcy, który złamie ustawę, grożą ponadto sankcje administracyjne (mandaty) i cywilne (osoby pokrzywdzone mogą zażądać wysokiego odszkodowania).

Czym są dane

Jak zauważa Artur Pajkert z firmy Ogicom specjalizującej się w rozwiązaniach dla e-biznesu, zgodnie z ustawą danymi są wszystkie informacje, które identyfikują konkretnego człowieka. Może to być więc jego imię i nazwisko, przypisane urzędowe numery, a także określenie jego cech indywidualnych (kolor oczu, charakterystyczne znamiona itp.). Bardziej ogólne informacje, takie jak na przykład numer domu, mieszkania czy wysokość wynagrodzenia, stają się danymi dopiero w połączeniu z takimi, które identyfikują konkretną osobę.

Do danych osobowych zalicza się numer PESEL, ale już nie samo imię, bo nie pozwala na dokładną identyfikację.

Czy adres e-mail może być uznany za informację podlegającą ochronie? – I tak, i nie – odpowiada Pajkert. – Konstrukcje abstrakcyjne, takie jak na przykład jamnik295@onet.pl danymi nie są, nie pozwalają bowiem na pełną identyfikację użytkownika. Natomiast adres mejlowy zawierający imię i nazwisko, a czasem i firmę już za taką informację może być uznany.

Trudne procedury

Przedsiębiorca prowadząc zapisy na przykład na newsletter powinien założyć, że wszystkie adresy mejlowe są danymi osobowymi. – W takiej sytuacji całą listę należy uznać za zbiór chroniony i zastosować wobec niej odpowiednią procedurę – twierdzi Pajkert.

A ta nie jest łatwa. Najpierw należy uzyskać od właścicieli zgodę na przetwarzanie należących do nich danych (to ona decyduje o legalności przechowywania i przetwarzania). Nie ma, jak zauważają specjaliści, szczegółowych zasad formułowania takiej klauzuli. – Wyrażający zgodę powinien być w pełni świadom tego, na co się zgadza – mówi Pajkert. – Zatem z tekstu takiego oświadczenia powinno wynikać w jakim celu, zakresie i przez kogo informacje mogą być przetwarzane.

Ale to dopiero początek. Zgodnie z zapisami ustawy przedsiębiorca musi przygotować i prowadzić dokumentację zawierającą zgody subskrybentów (zaniedbanie tego jest najczęściej powtarzającym się wykroczeniem).

Nad przetwarzaniem danych powinien czuwać tzw. administrator bezpieczeństwa informacji. Jego zadaniem jest monitorowanie bezpieczeństwa danych, ochrona przed udostępnieniem ich na zewnątrz, wyniesieniem, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem, zniszczeniem itp.

Administrator powinien prowadzić szczegółową dokumentację opisującą sposób przetwarzania informacji oraz podjęte w związku z tym środki bezpieczeństwa. Jednym z zasadniczych wymogów, które nakłada na niego ustawa, jest na przykład konieczność tzw. rejestracji zbioru, co odbywa się przez skierowanie odpowiedniego wniosku do GIODO.

Mając dostęp do danych osobowych, administrator powinien mieć od właściciela firmy pisemne upoważnienie zawierające imię, nazwisko osoby, na którą delegowane są uprawnienia, okres podczas którego ma ono swoją moc, a także odpowiedni identyfikator, jeśli dane przetwarzane są w systemie informatycznym.

Konieczne jest, by dokument taki szczegółowo określał zakres danych, do których administrator będzie miał dostęp, ewentualnie nazwę konkretnego zbioru.

Osoby upoważnione, co bardzo istotne, powinny z kolei zobowiązać się do zachowania zawartości bazy w tajemnicy.

Zewnętrzny administrator

Te wszystkie czynności można powierzyć wyspecjalizowanej firmie zewnętrznej, na przykład użyczającemu miejsca na serwerze dostawcy usług hostingowych (jest to wybór naturalny, bo za pośrednictwem takiej firmy przesyłki mejlowe i tak trafiają do odbiorców, dba ona bowiem o obecność klienta w wirtualnej przestrzeni).

Tymczasem, jak zauważają specjaliści, wielu dostawców hostingu nie spełnia wymogów stawianych przez ustawę, nie zgłasza na przykład przejęcia w administrowanie danych do urzędu.

Zatem przed zawarciem umowy należy sprawdzić, czy firma zgłosiła do GIODO swoje własne zbiory. Warto także poprosić o udostępnienie wyników poprzednich kontroli.

– Jeśli będą pozytywne, można potraktować to jako rekomendację – mówi Pajkert. Jego zdaniem pracownicy dobrej firmy hostingowej na pewno nie będą unikali tematu ochrony danych osobowych, a wszelkich informacji w tym zakresie udzielą w sposób kompetentny.

Powierzając administrowanie danymi firmie zewnętrznej, należy pamiętać jednak o zawarciu tzw. umowy powierzenia. Ustawa wymaga, aby i ona zawierana była na piśmie oraz wyraźnie określała zakres i cel przetwarzania informacji.