Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych reguluje, kiedy firmy mogą przesyłać swoim klientom oferty marketingowe. Jeśli w ten sposób promują własne produkty lub usługi – nie mają obowiązku pozyskiwania zgody klienta. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych
Prawnie usprawiedliwionym celem administratora danych jest marketing bezpośredni własnych produktów i usług. Można więc wykorzystywać dane w tym celu, pod warunkiem że nie narusza to praw i wolności osoby, której dane dotyczą.
Marketing produktów i usług obcej firmy
Przesyłanie klientom ofert marketingowych innej firmy będzie możliwe jedynie za ich zgodą.
Nie istnieją bowiem przepisy prawa, które pozwalałyby na uznanie, że przesyłanie oferty marketingowej innego podmiotu jest działaniem dopuszczalnym jako prawnie usprawiedliwiony interes administratora danych.
Nie pomoże w tym również wzajemna umowa w sprawie wzajemnej promocji produktów i usług.
Podsumowanie
Jeśli zamierzamy wysyłać swoim klientom oferty marketingowe celem promocji własnej marki – nic nie stoi na przeszkodzie. Jeśli natomiast chcemy legalnie promować produkty innej firmy – musimy pamiętać by w tym celu pozyskać od klienta zgodę.
Czy są jakieś wymagania w jaki sposób dane Klientów muszą być przechowywane, czyli jak często trzeba zmieniać hasło, jakich zabezpieczeń użyć itp. ?
Rozporządzanie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku określa poziomy bezpieczeństwa infrastruktury informatycznej, jakie należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.
Wymagania zabezpieczeń zbioru danych osobowych – poziom wysoki
Autorzy regulacji jako warunek przyjęli podłączenie systemu informatycznego do sieci publicznej – Internet, które co powoduje, że w praktyce każdy z Administratorów danych osobowych jest zobowiązany do stosowania „wysokiego poziomu bezpieczeństwa”.
Zabronione jest aby kolejni następujący po sobie edministratorzy systemów mieli ten sam identy
fikator, np. „Admin”. Dostęp do systemu informatycznego, w którym będzie istniała możliwości przetwarzania danych osobowych, musi być zabezpieczony procesem uwierzytelnienia użytkownika, tj. potwierdzeniem tożsamości wskazanej w indywidualnym „identyfikatorze”.
Polityka haseł
Najpopularniejszą metodą weryfikacji praw dostępu do systemu informatycznego jest użycie „hasła”, tj. unikalnego i poufnego ciągu znaków literowych, cyfrowych lub innych (§2 pkt 3).
Siła „hasła” wykorzystywanego do uwierzytelnianie użytkowników w systemie informatycznym jest jedynym szczegółowo określonym wymogiem zabezpieczeń:
długość: co najmniej 8 znaków
małe i wielkie litery oraz cyfry lub znaki specjalne
ważność: maksymalnie 30 dni
Nie ma obowiązku, żeby system informatyczny automatycznie wymuszał na użytkownikach te wymagania, jednak taka funkcjonalność pozwala na skuteczne zarządzanie ich realizacją, uniemożliwiając jawne lub przypadkowe łamanie tego nakazu.
O poufności hasła nie decyduje wyłącznie jego nieudostępnianie innym osobom, ale również jego treść. Stąd też użytkownik systemu informatycznego ma obowiązek stosować hasła trudne do
odgadnięcia. W szczególności nie mogą nimi być
• nazwisko, imię, adres, numer rejestracyjny prywatnego samochodu, PESEL, NIP, numer telefonu, itp;
• słowo w żadnym popularnym języku;
• nazwa geograficzna, termin techniczny lub określenie potoczne;
• sekwencja kolejnych znaków na klawiaturze;
a także dowolny spośród wymienionych uzupełnionym na początku lub końcu cyfrą lub znakiem specjalnym.
Podsumowanie
Wymagania bezpieczeństwa dotyczące ochrony danych osobowych, odnoszą się do właściwego sklepu internetowego, nie zaś użytkownika mającego dostęp jedynie do własnych danych, a więc klienta w e-sklepie. To Administrator Danych Osobowych (sklep) w swoich systemach informatycznych – na których pracują pracownicy e-sklepu przetwarzający dane osobowe w związku z działalnością zarobkową – musi wprowadzić wymagania bezpieczeństwa określone w Ustawie o ochronie danych osobowych i Rozporządzeniu wykonawczym MSWiA do tej Ustawy z 2004 r.
„Ile trwa rejestracja w GIODO? Jak długo muszę czekać?” Jest to pytanie, które nasi klienci zadają praktycznie codziennie. Niezwykle ciężko jednak udzielić jednoznacznej odpowiedzi, gdyż byłoby to czyste zgadywanie. Może się okazać, że zgłoszenie zostanie zaakceptowanie po 2-3 dniach, ale równie dobrze możemy czekać 2-3 miesiące. Powód jest prosty: nigdzie w przepisach prawa, ni też w rozporządzeniach i decyzjach wydanych przez GIODO nie znajdziemy sprecyzowanego maksymalnego terminu rozpatrzenia wniosku rejestracyjnego. Jeżeli nie przetwarzamy w naszych zbiorach danych wrażliwych*, wówczas nie mamy co liczyć również na informację zwrotną od GIODO po zaakceptowaniu naszego wniosku ( w przypadku przetwarzania danych wrażliwych* GIODO informuje automatycznie o rejestracji tychże zbiorów).
Jeżeli przetwarzamy w naszych zbiorach jedynie zwykłe dane to na całe szczęście nie musimy czekać na dodanie ich do rejestru GIODO. Po przesłaniu wniosku możemy spokojnie i z czystym sumieniem przetwarzać dane osobowe klientów a po kilkudziesięciu dniach wystąpić do GIODO o wydanie zaświadczenia o rejestracji zbiorów. Inaczej ma się sprawa, gdy przetwarzamy dane wrażliwe*. W takiej sytuacji nie jesteśmy uprawnieni do ich przetwarzania na podstawie przesłania wniosku. Musimy czekać na wydanie decyzji przez GIODO. Na szczęście takie wnioski rozpatrywane są nieco szybciej niż standardowe, a decyzje przesyłane są do nas pocztą.
Informacji na temat statusu rozpatrywania przesłanego przez nas wniosku udziela Departament rejestracji GIODO. Wszelkie dane kontaktowe dostępne są pod tym linkiem .
*Dane wrażliwe: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym.
