utworzone przez Ekspert DaneSklepu.pl | lis 7, 2016 | GIODO sklep internetowy
Uznanie informacji za marketingową albo handlową rodzi określone skutki nie tylko biznesowe, ale również prawne.
Przedsiębiorcy mają wiele problemów z wyodrębnieniem i identyfikacją zbiorów danych osobowych, tworzeniem klauzul zgody jak i samym zbieraniem tychże zgód. Pojawiają się kłopoty z zakwalifikowaniem określonych informacji jako informacji handlowych, przez co często dochodzi do przesyłania drogą elektroniczną niezamówionej informacji handlowej.
Zbiory danych a marketing i informacja handlowa
Dla wyodrębnienia zbioru danych osobowych wystarczy jedno kryterium. Art. 7 pkt.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazuje, iż zbiór danych to zestaw danych o charakterze osobowym, który jest dostępny według określonych kryteriów.
Przedsiębiorca, który zechce wysyłać informacje marketingowe a zarazem handlowe do swoich klientów powinien wyodrębnić dwa oddzielne zbiory danych osobowych z uwagi na inne kryterium celu ich przetwarzania:
1. zbiór prowadzony w celu marketingu
2. zbiór prowadzony w celu przesyłania informacji handlowej
Ustawa o ochronie danych osobowych mówi o marketingu bezpośrednim własnych produktów lub usług Administratora danych, który o ile jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów Administratora i nie narusza praw i wolności osoby, której dane dotyczą, o tyle jest dozwolony.
Art. 23.
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5. jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane – a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Marketing własny produktów i usług jest w praktyce dozwolony lecz zawsze należy zbadać w odniesieniu do danego przypadku, czy zachodzi przesłanka prawnie usprawiedliwionego celu, o której mowa w art. 23 ust.1 pkt.5 ustawy o ochronie danych osobowych.
Czym jest marketing?
Marketing posiada wiele definicji naukowych, ale nie istnieje żadna uniwersalna definicja tego pojęcia. Według Philipa Kothlera marketing jest kombinacją narzędzi, jakimi posługuje się firma, aby osiągnąć pożądane cele na rynku docelowym.
W praktyce działania marketingowe stanowią najczęściej konkursy promocyjne, gry czy reklamę.
Informacja handlowa jest pojęciem prawnym, które zostało uregulowane w dyrektywie 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa handlu elektronicznego):
Art. 2 Definicje
Do celów niniejszej dyrektywy następujące pojęcia oznaczają:
[…] f) „informacja handlowa”: każda forma informacji przeznaczona do promowania, bezpośrednio lub pośrednio, towarów, usług lub wizerunku przedsiębiorstwa, organizacji lub osoby prowadzącej działalność handlową, gospodarczą, rzemieślniczą lub wykonującą zawód regulowany.
Następujące informacje same w sobie nie stanowią informacji handlowych:
– informacje umożliwiające bezpośredni dostęp do działalności przedsiębiorstwa organizacji lub osoby, w szczególności nazwa domeny lub adres poczty elektronicznej,
– informacje odnoszące się do towarów, usług lub wizerunku przedsiębiorstwa, organizacji lub osoby, opracowywane w sposób niezależny, w szczególności jeżeli są one udzielane bez wzajemnych świadczeń finansowych;
i wskazane w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną:
Art.2
Określenia użyte w ustawie oznaczają:
[…] 2. informacja handlowa – każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi,
Ponadto ustawa doprecyzowuje:
Art. 9.
1. Informacja handlowa jest wyraźnie wyodrębniana i oznaczana w sposób niebudzący wątpliwości, że jest to informacja handlowa.
2. Informacja handlowa zawiera:
1) oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne,
2) wyraźny opis form działalności promocyjnej, w szczególności obniżek cen, nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści związanych z promowanym towarem, usługą lub wizerunkiem, a także jednoznaczne określenie warunków niezbędnych do skorzystania z tych korzyści, o ile są one składnikiem oferty,
3) wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.
Przesyłanie przez przedsiębiorców informacji handlowych drogą elektroniczną do swoich klientów będzie wymagało odebrania uprzedniej zgody od tych osób uprawniających go do przetwarzania ich danych osobowych w tym właśnie celu.
W przypadku przetwarzania danych w celach marketingowych wymóg zbierania zgód nie zawsze będzie obowiązkowe.
W sytuacji jednak gdy zajdzie konieczność odebrania zgody od podmiotu należy pamiętać klauzula zgody przetwarzania danych w celach marketingowych nie będzie mogła zostać połączona z przetwarzaniem danych w celu przesyłania informacji handlowej.
„umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować, że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną albo że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczną i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą”.
Przedstawione stanowisko znalazło poparcie w wyroku NSA z 31 stycznia 2012 r. (sygn. akt I OSK 1317/11).
Stanowisko to potwierdził również Wojewódzki Sąd Administracyjny w Warszawie w orzeczeniu z dnia 15 czerwca 2010r. (sygn. akt. II SA/Wa 556/10).
Konsekwencją sformułowania jednego oświadczenia woli obejmującego zarówno zgodę, o której mowa w art. 7 pkt 5 ustawy o ochronie danych osobowych (przetwarzanie danych osobowych w celach marketingowych), jak i zgodę określoną w art. 4 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (otrzymywanie informacji handlowych za pomocą poczty elektronicznej), czyli de facto zgodę na dwa różne sposoby przetwarzania udostępnionych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania czego zgoda dotyczy, może być mylne wyobrażenie osoby wyrażającej zgodę co do tego, na co faktycznie się godzi. W takim przypadku nie można mówić o spełnieniu przez administratora danych wymogu zapewnienia osobie, której dane dotyczą, swobodnego i nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie jej danych osobowych, ponieważ podmiot danych, wyrażając chęć otrzymywania informacji handlowych na adres poczty elektronicznej, musi jednocześnie złożyć oświadczenie woli w przedmiocie zgody na przetwarzanie jego danych osobowych w celach marketingowych wynikającą z przepisów ustawy o ochronie danych osobowych, a osoba, której dane dotyczą, zainteresowana otrzymywaniem materiałów reklamowych dotyczących usług i produktów oferowanych przez inne niż administrator danych podmioty wyłącznie tzw. pocztą tradycyjną, zobowiązana jest jednocześnie do wyrażenia woli na przesyłanie na jej adres poczty elektronicznej informacji handlowych.
Zawarcie w jednej klauzuli zgody osoby, której dane dotyczą, na przesyłanie na podany przez nią adres e-mail informacji handlowych ze zgodą na przetwarzanie jej danych osobowych w celach marketingowych może wpłynąć na brak możliwości ich swobodnego odwołania.
Art. 4 ust. 1 pkt 2 uśude stanowi, że jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta może być odwołana w każdym czasie, zaś już przepisy ustawy o ochronie danych nie regulują kwestii odwołania uprzednio wyrażonej zgody.
W sytuacji zawarcia dwóch zgód w jednej klauzuli osoba zainteresowana może nie mieć możliwości odwołania tylko jednej ze zgód, np. gdyby chciała odwołać zgodę na marketing telefoniczny.
Podsumowanie
Przedsiębiorcy powinni umieć dostrzec różnicę pomiędzy działaniami podejmowanymi w celach marketingowych oraz w celach przesyłania informacji handlowych. Działania te będą rodzić określone skutki prawne w zakresie ochrony danych osobowych. Konstruując klauzulę zgody należy pamiętać o zasadzie – jedna zgoda – jeden cel.
Marketing usług własnych można potraktować jako uzasadniony cel administratora danych osobowych, ale trzeba go każdorazowo wyważyć (nie może on bowiem naruszać praw i wolności osób np. korzystających z usługi).
utworzone przez Ekspert DaneSklepu.pl | lis 3, 2016 | Bez kategorii
DECYZJA – odmowa GIODO uwzględnienia wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego.
Skarżąca w celu wysyłki zamówionego za pośrednictwem sklepu internetowego produktu, utworzyła w tymże sklepie konto internetowe zawierając jednocześnie umowę o świadczeniu usług drogą elektroniczną. W tym celu udostępniła na rzecz Przedsiębiorcy swoje dane osobowe w zakresie: imienia, nazwiska, adresu korespondencyjnego, adresu poczty elektronicznej, numeru telefonu. Ponadto Skarżąca wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego oraz wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego.
Sklep przetwarza przedmiotowe dane w związku z zawartą umową o świadczeniu usług drogą elektroniczną, a także na podstawie udzielonej przez Skarżącą zgody w systemie informatycznym.
Wskazówki GIODO
Sklep przetwarza dane Skarżącej na podstawie art. 23 ust. 1 pkt 1, oraz pkt 3, tzn. w związku z wyrażoną przez Skarżącą zgodą, a także zawartą umową o świadczeniu usług drogą elektroniczną – prowadzenie konta internetowego. Tym samym wyrażona zgoda nie jest jedyną przesłanką do usprawiedliwionego realizowania procesu przetwarzania danych osobowych, zatem, cofnięcie zgody,w sytuacji zaistnienia innej przesłanki określonej w art. 23 ust. 1 ustawy, nie oznacza, iż dalsze przetwarzanie danych automatycznie staje się niedopuszczalne.
W przypadku usługi świadczonej drogą elektroniczną – stosuje się ustawę z 18.07.2002 r. O świadczeniu usług drogą elektroniczną – są to przepisy szczególne wobec przepisów ogólnych – tj. Ustawy o ochronie danych osobowych.
Art. 18 ustawy o świadczeniu usług drogą elektroniczna usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany, rozwiązania stosunku prawnego między nimi, takie jak:
- nazwisko i imiona usługobiorcy;
- numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
- adres zameldowania na pobyt stały;
- adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;
- dane służące do weryfikacji podpisu elektronicznego usługobiorcy;
- adresy elektroniczne usługobiorcy.
Podsumowanie
Sklep przetwarza legalnie dane osobowe użytkowników na podstawie zgody Skarżącej oraz w związku z zawartą umową o świadczeniu usług drogą elektroniczną. Spełnienie już jednej z przesłanek legalizujących przetwarzanie danych osobowych jest wystarczające – cofnięcie zgody Skarżącej nie wyklucza zatem zgodnego z prawem przetwarzania danych przez administratora.
Skarżąca miała możliwość zapoznania się z regulaminem sklepu przed założeniem konta.
DOLiS/DEC- 470/13/25576,25566
http://www.giodo.gov.pl/310/id_art/6683/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 25, 2016 | GIODO sklep internetowy
Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.
Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).
ZARZUTY
- nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz.
926 z późn. zm.)
- powierzanie danych osób, korzystających z elektronicznego formularza
kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.),
- niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych
przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika
na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia
towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym
- niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany
informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Do czego zobowiązał GIODO?
GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych
Wskazówki GIODO:
1. Spółka ma udzielać osobom, od których pozyskuje dane osobowe, tj. osobom korzystającym z formularza kontaktowego, osobom zakładającym konto użytkownika oraz osobom dokonującym zakupów w sklepie internetowym bez zakładania konta użytkownika, informacji, o których mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
- prawie dostępu do treści swoich danych oraz ich poprawiania
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2. Spółka pozyskując za pomocą formularza kontaktowego sklepu internetowego dane osobowe użytkowników w zakresie: imię, nazwisko i adres e-mail sklepu internetowego które przekazuje następnie na skrzynkę poczty elektronicznej będącej własnością innej Spółki powinna z tą Spółką zawrzeć umowę powierzenia przetwarzania danych osobowych – albowiem powierzenie danych osobowych podmiotowi zewnętrznemu może nastąpić tylko i wyłącznie w oparciu o umowę powierzenia wskazującą zakres i cel powierzenia.
3. Spółka przekazując dane osobowe klientów w zakresie imię, nazwisko, nazwa prowadzonej działalności gospodarczej, adres oraz Numer Identyfikacji Podatkowej, znajdujące się na fakturach VAT, księgowej, w związku z umową o prowadzenie księgowości powinna również zawrzeć z księgową umowę powierzenia danych osobowych.
4. Spółka powinna zawrzeć umowę powierzenia również z hostingodawcą z uwagi na fakt, iż baza danych klientów sklepu internetowego znajduje się na serwerze należącym do innego podmiotu. który posiada dostęp do wszystkich danych osobowych przetwarzanych z wykorzystaniem ww. serwera.
5. Spółka powinna zawrzeć umowę powierzenia z zewnętrznym administratorem serwera, na którym znajduje się baza danych klientów sklepu internetowego, z racji, że posiada on dostęp do
wszystkich danych osobowych przetwarzanych na serwerze.
6. Spółka jako administrator danych zgodnie z art. 36 ust. 1 ustawy, jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, a także zgodnie z wymogami części C pkt XIII załącznika do rozporządzenia,
administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do
uwierzytelnienia, które są przesyłane w sieci publicznej.
7. Spółka jako administrator danych powinna zapewnić by procesy tworzenia konta przez klienta na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru, a także cały proces sprzedaży prowadzonej w sklepie internetowym był zabezpieczony za pomocą środków ochrony kryptograficznej, tj. bezpiecznego protokołu https.
8. Spółka powinna zgodnie z art 41 ust. 2 ustawy zgłaszać Generalnemu Inspektorowi każdą zmianę, czyli w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.
W zgłoszonym do rejestracji zbiorze Spółka nie ujawniła zmian w zakresie
a) adresu siedziby administratora danych – w zgłoszeniu zbioru do rejestracji wskazano nieaktualny
adres siedziby Spółki
b) przedstawiciela Spółki, o którym mowa w art. 31a ustawy – jak ustalono Spółka jest podmiotem
posiadającym siedzibę na terenie Rzeczypospolitej Polskiej, toteż należy wskazać Prezesa Zarządu
c) powierzenia przetwarzania danych osobowych kilku podmiotom (jw)
d) podstawy prawnej przetwarzania danych osobowych – w zgłoszeniu zbioru do rejestracji Spółka
wskazała, jako podstawę prawną przetwarzania danych osobowych zgodę osoby, której dane
dotyczą oraz fakt, iż przetwarzanie danych jest niezbędne do realizacji uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa.
W toku kontroli ustalono jednak, że podstawą prawną przetwarzania danych osobowych jest art. 23 ust. 1 pkt 3 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą oraz art. 23 ust. 1 pkt 5 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest ono niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych;
e) zakresu przetwarzanych danych osobowych – Spółka powinna wskazać w zgłoszeniu, iż przetwarza także następujące informacje dotyczące klientów: adres e-mail, nazwa prowadzonej działalności gospodarczej, nr użytkownika, nr zamówienia, adres IP.
Podsumowanie
Spółka będąc administratorem danych osobowych powinna usunąć wskazane przez GIODO naruszenia stosując się do opisanych powyżej wskazówek oraz unikać uchybień w procesie administrowania danymi w przyszłości.
DIS/DEC-230/14/19293
http://www.giodo.gov.pl/299/id_art/8213/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 18, 2016 | GIODO sklep internetowy
Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N..
Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010).
1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób:
a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT);
b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi
pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy;
3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności);
4. Dane będą przekazane w celu korzystania z modułu księgowego aplikacji P., która jest narzędziem zaprojektowanym jako długoterminowe rozwiązanie w obszarze księgowości;
Wnioskodawca w piśmie z dnia […] września 2014 r. oświadczył, że Odbiorca należy do programu Bezpiecznej Przystani w węższym zakresie, niż to określono we wniosku, tj. stosuje on zasady tego programu wyłącznie w odniesieniu do danych związanych z zatrudnieniem a nie będą przekazywane dane szczególnie chronione w rozumieniu ustawy;
Wykorzystywane przez Odbiorcę systemy informatyczne co do zasady spełniają wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024), zwanego dalej rozporządzeniem, jednak system nie zapewnia przewidzianego w § 7 rozporządzenia odnotowania: źródła danych, gdyż są one zbierane od osób, których one dotyczą, jak również sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy, gdyż dane są przetwarzane w celach prowadzenia rachunkowości na podstawie przepisów prawa, tym samym w tym zakresie to uprawnienie nie przysługuje.
Wskazówki GIODO:
Zgodnie z art. 47 ust. 1 ustawy, przekazanie danych osobowych
do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę:
– charakter danych
– cel
– czas trwania proponowanych operacji przetwarzania danych
– kraj pochodzenia
– kraj ostatecznego przeznaczenia danych
– przepisy prawa obowiązujące w danym państwie trzecim
– stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe (art. 47 ust. 1a ustawy).
Przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia takiego poziomu ochrony z zasady może nastąpić tylko wtedy, gdy zostaną spełnione dodatkowe przesłanki określone w art. 47 ust. 2 lub 3 ustawy.
Natomiast, jeżeli w danym przypadku one nie zachodzą, to przekazanie danych osobowych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy) Państwo trzecie, w którym siedzibę ma Odbiorca z racji braku wystarczających uregulowań prawnych dotyczących ochrony danych osobowych, nie może być uznane za państwo zapewniające odpowiedni poziom ochrony danych osobowych, jak również w świetle zebranych materiałów dowodowych nie zachodzi żadna z przesłanek określonych w art. 47 ust. 2 lub 3 ustawy – w konsekwencji konieczne jest uzyskanie zgody Generalnego Inspektora.
Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego, jest zobowiązany ustalić, czy administrator danych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Ze względu na to, że zapewnienie odpowiednich zabezpieczeń może wiązać się z przyjęciem odpowiednich zobowiązań umownych, Generalny Inspektor musi również przeanalizować odpowiednie postanowienia umowne.
Biorąc pod uwagę możliwość zastosowania takiego rozwiązania przez Wnioskodawcę należy wskazać na kompetencję Komisji Europejskiej, która na mocy art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281, z 23.11.1995), zwanej alej dyrektywą, jest uprawniona do uznania w drodze decyzji, że określone standardowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności jednostek. Decyzje te wymagają, aby państwa członkowskie nie odmawiały uznania zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w decyzjach za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie z wymogami art. 26 ust. 2 dyrektywy. Nie wyłącza to jednak obowiązku spełnienia pozostałych wymogów nałożonych przez właściwe przepisy krajowe. Taki charakter ma również przywołana przez Spółkę decyzja Komisji 2010/87/UE.
Zadeklarowane przez Spółkę zastosowanie standardowych klauzul umownych określonych
decyzją Komisji 2010/87/UE powoduje konieczność porównania przez Generalnego Inspektora przyjętych przez Spółkę klauzul ze standardowymi klauzulami umownymi. Analiza ta wykazała, że przedstawione przez Spółkę klauzule są zgodne ze standardowymi klauzulami umownymi.
GIODO wskutek analizy ocenił, iż stosowane przez Spółkę środki organizacyjno-techniczne mające na celu zabezpieczenie przetwarzanych danych osobowych. Art. 48 ustawy wskazuje, że zastosowane przez odbiorcę danych środki organizacyjno-techniczne muszą być „odpowiednie” (adekwatne). Środki te nie muszą być identyczne do tych, które są wymagane na terytorium Rzeczpospolitej Polskiej – powinny one adekwatnie zabezpieczać prywatność oraz prawa i wolności osoby, której dane dotyczą.
Jeżeli środki te różnią się od rozwiązań przyjętych w rozporządzeniu, podlegają one każdorazowo ocenie Generalnego Inspektora. Po dokonaniu ich analizy Generalny Inspektor stwierdził, że przedstawione przez Spółkę środki zapewniają odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Spółka przekazując dane w ramach powierzenia nie traci przymiotu ich administratora.
Przedmiotowa sprawa dotyczy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy – odpowiada ona za zgodność z prawem przetwarzanych danych.
Przepisy art. 47 i 48 ustawy wprowadzają dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazać dane osobowe do państwa trzeciego. Konieczność ich wypełnienia nie zwalnia administratora danych z pozostałych obowiązków nałożonych na niego przepisami ustawy.
Decyzja Generalnego Inspektora w przedmiocie wyrażenia zgody na przekazanie danych osobowych do państwa trzeciego nie legalizuje wcześniejszego przekazania danych osobowych do państwa trzeciego, które ewentualnie miałoby miejsce przed datą wydania decyzji w sprawie.
Rozpoczęcie operacji przekazania danych osobowych do państwa trzeciego może nastąpić dopiero po wydaniu stosownej decyzji przez Generalnego Inspektora. Niniejsza decyzja upoważnia Spółkę do przekazania danych osobowych do państw trzecich jedynie na warunkach określonych w złożonym wniosku.
Podsumowanie
Nie w każdej sytuacji przekazywania danych osobowych do państw trzecich jest wymagana zgoda GIODO
Administrator, który korzysta z niezmodyfikowanych standardowych klauzul umownych nie musi występować o taką zgodę.
Jeżeli administrator i odbiorca zdecydują się na wprowadzenie modyfikacji do tekstu standardowych klauzul umownych, konieczne będzie uzyskanie zgody GIODO na transfer danych.
Tekst standardowych klauzul umownych można znaleźć na:
Administrator danych: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=PL
Przetwarzający: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF
DESiWM/DEC-893/14
http://www.giodo.gov.pl/1520045/id_art/8118/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 12, 2016 | GIODO sklep internetowy
Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym.
Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej.
Najważniejsze zarzuty GIODO wobec Spółki:
- nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy);
- niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy);
- brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia.
- zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów.
- oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy).
- uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
Podsumowanie
Po zmianie brzmienia art. 172 ustawy Prawo telekomunikacyjne nie wchodzi w grę sytuacja, gdy firma kontaktuje się z potencjalnym klientem i zaczyna rozmowę od pytania o zgodę, a w przypadku jej nieuzyskania – rozłącza się.
Dopuszczalna jest natomiast sytuacja, gdy np. następuje kontakt telefoniczny z klientem w celu ustalenia szczegółów realizacji umowy bądź zamówienia, a przy okazji klient pytany jest o zgodę na gruncie art. 172.
Należy pamiętać, że brak dokumentu jakim jest polityka bezpieczeństwa, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 2 w związku z art. 26 ust. pkt 1 ustawy. Każdy przetwarzany przez administratora danych zbiór danych powinien być opisany w dokumentacji przetwarzania danych osobowych oraz w odpowiedni sposób zabezpieczony, nawet jeśli podlega wyłączeniu z obowiązku rejestracji w GIODO. W przeciwnym razie Generalny Inspektor
Ochrony Danych Osobowych wezwie Administratora danych do usunięcia naruszenia.
DEC/DIS-323/16/35657
http://www.giodo.gov.pl/280/id_art/9470/j/pl/
