Projekt bez nazwy

Sharenting a ochrona danych osobowych

Żyjemy równoległe – w świecie rzeczywistym oraz w świecie cyfrowym. Jednym ze sposobów egzystowania w cyfrowej rzeczywistości jest nasza stała obecność w mediach społecznościowych. Niezależnie czy będzie to dla nas przestrzeń do zarabiania pieniędzy czy miejsce odpoczynku i rozrywki. Realizowanie w mediach społecznościowych tych dwóch istotnych funkcji życiowych wpływa jednak bezpośrednio nie tylko na nasze życie, ale równie często na życie naszej rodziny, w tym dzieci. Kreuje to też nowe problemy. Jednym z nowych zjawisk społecznych jest zdobywający w Polsce coraz większą popularność „sharenting”.

Sharenting to termin, który jest używany do określenia działań rodziców, którzy udostępniają w mediach społecznościowych treści dotyczących swoich dzieci (połączenie słów „sharing” + „parenting”). Działania te mogą mieć charakter niezarobkowy lub zarobkowy. W pierwszym przypadku rodzice dzielą się informacjami na temat swoich dzieci, aby udostępnić bliskim osobom zdjęcia czy wiadomości dotyczące ich potomków. Druga grupa rodziców, to osoby, które publikują wizerunek swoich dzieci, aby wykorzystać ich potencjał marketingowy (dzieci jako influencerzy), bądź po to, aby zwiększyć znaczenie swojej marki osobistej (jeżeli sami są influencerami). Niestety korzyści materialne uzyskiwane są kosztem prywatności młodych osób. W Polsce termin ten zdobył szersze zainteresowanie za sprawą kilku YouTuberek, do których zaliczyć można Andziaks (która jako pierwsza wideokreatorka opublikowała w internecie poród swojego dziecka, a aktualnie publikuje materiały związane z jego codziennym życiem), Lil Masti (która jest wskazywana w internecie jako jedna z osób, która aktywnie wykorzystywała czas ciąży, a teraz pierwsze dni swojego dziecka do reklamy produktów firm trzecich), czy The Happy Family (którzy dokumentują codzienność swoich dzieci). Oczywiście osób w internecie publikujących zdjęcia i materiały wideo ze swoimi dziećmi jest znacznie więcej. Nie muszą to być tylko popularni infulencerzy. Wystarczy prześledzić Tik Toka, aby zobaczyć liczne materiały wideo, których bohaterami są często nawet bardzo małe dzieci. Udostępniany jest wizerunek dzieci, ich zachowanie lub zdarzenia, których są uczestnikami. Często dotyczy to dzieci, które nie mają świadomości w czym uczestniczą oraz jakie związane są z tym konsekwencje. A to wiąże się z koniecznością zadania pytania – a co z ochroną danych osobowych tych dzieci? Co z ich prawem do prywatności?

 

Problematykę sharentingu komercyjnego porusza w swoim materiale wideo YouTuber Tomasz "Gimper" Działowy


SHARENTING A PRAWO

Problematyka sharenting’u nie jest wprost uregulowana w polskim porządku prawnym (nawiasem mówiąc inaczej jest np. we Francji, gdzie przedstawiono już projekt ustawy ograniczający sharenting). Ewentualne przepisy, które możemy powiązać z sharenting’iem są umiejscowione w różnych aktach prawnych, takich jak Konstytucja RP, Konwencja o prawach dziecka, Ustawa o prawie autorskim i prawach pokrewnych, Kodeks cywilny, Kodeks rodzinny i opiekuńczy czy RODO. Zjawisko sharenting’u nie jest na tę chwilę szeroko komentowane w doktrynie. Zdecydowanie więcej informacji można o nim znaleźć w artykułach publicystycznych.

Z uwagi na blogowy charakter niniejszego artykułu, został on ograniczony wyłącznie do relacji sharenting’u z przepisami dotyczącymi ochrony danych osobowych, bowiem w ramach sharenting’u rodzice często udostępniają m.in. wizerunek swojego dziecka, który jest chroniony również przez RODO.


CZY RODZICÓW UDOSTĘPNIAJĄCYCH DANE SWOICH DZIECI OBOWIĄZUJE RODO?

W pierwszej kolejności należałoby odpowiedzieć na pytanie, czy RODO wpływa w jakikolwiek sposób na rodziców udostępniających dane osobowe swoich dzieci. Otóż, RODO w motywie 18 wskazuje, że przepisy tej regulacji nie mają zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej (czyli takiej która nie ma związku z działalnością zawodową lub handlową). Doprecyzowano również, że za działalność osobistą rozumie się również działalność internetową, która ma służyć np. podtrzymywaniu więzi społecznych. Zatem można by uznać, że zjawisko sharenting’u niezarobkowego, wchodzi we wskazany wyżej zakres. Bowiem co do zasady, rodzice udostępniają dane dotyczące swoich dzieci właśnie dla realizacji tego celu, tj. po to, aby pochwalić się swoimi pociechami wśród znajomych. Jednakże, obok motywu 18 mamy motyw 38 RODO, z którego wynika, że dzieci wymagają szczególnej ochrony w kontekście danych osobowych, bo są one bardziej podatne na ryzyka związane z udostępnianiem ich danych osobowych. Można by zatem uznać, że dochodzi do kolizji treści obu wskazanych motywów, jeżeli analizujemy je pod kątem sharenting’u. Jak zatem pogodzić udostępnianie danych osobowych swoich dzieci z ich ochroną?

 

MOTYW 18 RODO

Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. Niniejsze rozporządzenie ma jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.

MOTYW 38 RODO

Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych.

Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.

Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.

 

Na początku należy zauważyć, że w motywie 18 wskazuje się, że działalność musi mieć charakter osobisty lub domowy. Należałoby zatem rozważyć jaki jest zakres „działalności osobistej lub domowej”. Przepisy na ten temat milczą. Mając jednak w pamięci wyrok Lindqvist z 2003 roku (Wyrok Trybunału Sprawiedliwości z 6 listopada 2003 r. w sprawie C-101/01) wiemy, że publikacja treści w internecie (np. mediach społecznościowych), która może trafić do nieograniczonej liczby osób, nie jest działalnością osobistą lub domową. Wskazywane są co prawda pewne wątpliwości czy wyrok wydany na podstawie ówcześnie obowiązującej dyrektywy może mieć zastosowanie po wejściu RODO. W doktrynie (zagranicznej) przyjmuje się jednak, że nieograniczone udostępnianie danych osobowych swoich dzieci w mediach społecznościowych wykracza poza wyłączenie wskazane w motywie 18. Jeżeli bowiem dane osobowe dzieci są udostępniane bez żadnych ograniczeń w sieci internetowej, w szczególności bez ograniczenia do dalszego udostępniania tych treści oraz bez ograniczania do np. wybranej kategorii osób z grona naszych bliskich znajomych, to nie możemy już mówić, że to przetwarzanie ma charakter osobisty lub domowy. A w konsekwencji z wyłączenia wskazanego w motywie 18 nie skorzystamy i przepisy RODO będą nas dotyczyć. Z wyłączenia wskazanego w motywie 18 nie skorzystamy również, jeżeli udostępniamy dane naszych dzieci w celach zarobkowych (czyli w przypadku sharenting’u komercyjnego).


SHARENTING A PRAWO DO BYCIA ZAPOMNIANYM

W motywie 65 RODO wskazano, że „Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym” (które uregulowane zostało w art. 17 RODO) oraz, że „Prawo to ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z internetu. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem”. Zatem, jednym z celów prawa do „bycia zapomnianym” jest „naprawienie” błędów z dzieciństwa. Dziecko, które samo udostępniło swoje dane osobowe może w ten sposób, już jako osoba dorosła, uniemożliwić dalsze przetwarzanie jego danych.

 

MOTYW 65 RODO

Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem. Prawo to ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z Internetu. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem. Niemniej dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.

 

W piśmiennictwie w kontekście relacji sharenting’u do RODO zazwyczaj wskazuje się jednak na ułomność art. 17 RODO. Prawo to bowiem nie chroni dzieci przed działaniem podejmowanym przez ich rodziców lub opiekunów prawnych.

 

ARTYKUŁ 17 RODO

1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a)      dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b)      osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c)      osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d)      dane osobowe były przetwarzane niezgodnie z prawem;

e)      dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f)       dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

2. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

a)      do korzystania z prawa do wolności wypowiedzi i informacji;

b)      do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

c)      z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;

d)      do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

e)      do ustalenia, dochodzenia lub obrony roszczeń.

 

Zgodnie z art. 8 ust. 1 RODO i motywem 38 przetwarzanie danych osobowych dziecka w ramach usług społeczeństwa informacyjnego (np. portale społecznościowe), które nie ukończyło 16 roku życia wymaga zgody rodziców (lub opiekunów prawnych). W przypadku sharenting’u, to rodzice udostępniają dane osobowe swoich dzieci. Podejmując takie działanie, to oni udzielają zgody na przetwarzanie danych ich dzieci. W konsekwencji, dzieci, które nie życzą sobie udostępniania swoich danych osobowych muszą czekać do uzyskania pełnoletności, aby móc ewentualnie zażądać usunięcia danych, które ich dotyczą.

Wymóg w postaci przekroczenia 18 roku życia wynika z braku definicji dziecka w RODO i przyjęciu w ramach Zespołu roboczego ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, iż za dziecko uważa się osobę, która nie ukończyła 18 roku życia (zgodnie z Konwencją o prawach dziecka).

 

ARTYKUŁ 8 UST. 1 RODO

Jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.

 

Pewnym rozwiązaniem może być wykorzystanie art. 80 ust. 1 RODO, który umożliwia umocowanie przez osobę, której dane dotyczą (w tym przypadku np. przez kuratora działającego na rzecz dziecka) podmiotu niemającego charakteru zarobkowego i działającego na rzecz ochrony praw i wolności osób, których dane dotyczą, do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw w zakresie m.in. możliwości wniesienia skargi do organu nadzorczego oraz uzyskania środka ochrony prawnej przed sądem. Jest to jednak rozwiązanie „karkołomne”, zwłaszcza dla małoletniego, choć nie jest niemożliwe.

 

ARTYKUŁ 80 UST. 1 RODO

Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.

 

Ułomność prawa do bycia zapomnianym objawia się również na jeszcze jednej płaszczyźnie. Należy bowiem pamiętać, że raz udostępniony w internecie materiał (np. zdjęcie lub wideo), może być pobrany przez innego użytkownika, zapisany przez serwisy typu Web Archive, bądź udostępniony w innych miejscach (choćby w dark webie). Ciężko będzie zatem kontrolować przepływ tego typu materiałów. Raz udostępniony za zgodą nieroztropnego rodzica materiał może już pozostać w internecie na zawsze. Taki materiał w najgorszym przypadku może trafić w ręce cyberprzestępców lub pedofili, a prawo do bycia zapomnianym nie będzie w stanie cofnąć czasu.


PODSUMOWANIE

Pewne zjawiska, zwłaszcza w świecie cyfrowym, tak szybko jak się pojawią, tak szybko znikają. Niestety wiele z nich towarzyszy nam po dziś dzień. Chęć „chwalenia się” pociechami, udostępniania materiałów na ich temat w świecie cyfrowym i brak elementarnej wiedzy na temat zagrożeń z tym związanych, powoduje, że sharenting raczej zagości na dłuższy czas. Jedyną możliwością ograniczenia tego zjawiska są przemyślane regulacje prawne lub uświadamianie rodziców na ten temat. Aktualne przepisy, choćby RODO, nie stanowią remedium na ww. problemy, tj. nie chronią w sposób realny dzieci przed nieroztropnym działaniem ze strony ich opiekunów. Dlatego tym bardziej ważna jest edukacja rodziców, którzy powinni zrozumieć jakie są konsekwencje sharentingu.

 

Warto przeczytać:

E. Lievens, C. Vander Maelen, A Child’s Right to be Forgotten: Letting Go of the Past and Embracing the Future?, „Latin American Law Review” 2019/2.

S. Donovan, ‘Sharenting’: The Forgotten Children of the GDPR, "Peace Human Rights Governance" 4/1
Marzec 2020

C. Bessant, M. Schnebbe, Does the GDPR ofer a solution to the ‘problem’ of sharenting?, Datenschutz Datensich, 6/2022.

J. Maniszewska-Ejsmont, Sharenting a prawa dziecka – rozważania nad władzą rodzicielską w dobie mediów społecznościowych, Palestra 4/2022.

K. Haley, Sharenting and the (Potential) Right to Be Forgotten, Indiana Law Journal: Vol. 95: Iss. 3, 2020.

M. Guido, France Introduces a Bill to Stop Parents from Oversharing Photos of Their Kids, tinybeans.com

Zdjęcie tytułowe wygenerowane za pomocą AI (Canva)


cezary-zapala-box

Cezary Zapała

Aplikant rzecznikowski

CEZARY ZAPAŁA
APLIKANT RZECZNIKOWSKI, ADMINISTRATOR PORTFOLIO ZNAKÓW TOWAROWYCH I WZORÓW PRZEMYSŁOWYCH

Aplikant rzecznikowski, administrator portfolio znaków towarowych i wzorów przemysłowych Klientów Kancelarii. Specjalizuje się w zagadnieniach dotyczących prawa ochrony danych osobowych, prawa własności przemysłowej, prawa nowych technologii oraz prawa rolnego. Uczestnik, prelegent oraz koordynator wielu konferencji oraz szkoleń. Wykładowca na studiach podyplomowych z ochrony danych osobowych na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Autor publikacji naukowych z zakresu prawa rolnego, ochrony danych osobowych i prawa nowych technologii.


letter-gf5bb5aef0_1920

Cold mailing a RODO, czyli na co zwrócić uwagę zanim wyślesz informację handlową do potencjalnego klienta

CZYM JEST COLD MAILING?

Cold mailing to forma marketingu polegająca na bezpośrednim przesyłaniu wiadomości do osób prywatnych oraz przedsiębiorców, z którymi nadawca wiadomości nie utrzymywał wcześniej relacji biznesowych, a którzy potencjalnie mogą być zainteresowani jego produktami lub usługami.

Charakterystyczną cechą cold mailing’u jest to, że odbiorca wiadomości nie spodziewa się, iż ją otrzyma – stąd określenie „cold” (zimny). Celem cold mailing’u jest pozyskanie nowych klientów poprzez nawiązanie kontaktu, a następnie prezentacje swoich produktów lub usług.

Jednocześnie, nie chodzi tu tylko o wiadomości przesyłane za pośrednictwem e-maila. Cold mailng można prowadzić również za pośrednictwem innych kanałów komunikacji, takich jak np. „LinkedIn”, czy „Facebook”.

MARKETING BEZPOŚREDNI W ŚWIETLE POLSKICH PRZEPISÓW

Nie ulega wątpliwości, że cold mailling jest formą marketingu bezpośredniego. Rozważając rozpoczęcie kampanii marketingowej opartej na cold mailing’u trzeba w pierwszej kolejności sięgnąć do polskich przepisów prawnych regulujących tą kwestię.

W świetle art. 10 ustawy o świadczeniu usług drogą elektroniczną [1] zakazane jest przesyłanie 1) niezamówionej informacji handlowej skierowanej do 2) oznaczonego odbiorcy będącego osobą fizyczną 3) za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

Informacja handlowa jest uważana za niezamówioną, kiedy osoba fizyczna nie wyraziła zgody na otrzymanie takiej informacji. Co istotne, powyższą ochroną przed otrzymywaniem niezamówionych, a często również niechcianych wiadomości marketingowych są objęte wszystkie osoby fizyczne - nie tylko osoby prywatne oraz przedsiębiorcy działający w formie jednoosobowej działalności gospodarczej, ale i pracownicy przedsiębiorstw, których adresy mailowe są często wprost udostępnianie za pośrednictwem strony internetowej firmy.

A co z podmiotami, które nie są osobami fizycznymi?

Zgodnie z art. 172 ust. 1 Prawa telekomunikacyjnego [2] zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Pomimo nieco zawiłej nazwy, telekomunikacyjne urządzenie końcowe to po prostu urządzenie podłączone do sieci, czyli np. telefon lub laptop. Natomiast kluczowe z punktu prowadzenia kampanii cold mailing’owej jest to, że ww. artykuł obejmuje ochroną zarówno osoby fizyczne, jak i prawne.   

PODSTAWA COLD MAILING’U - ZGODA, CZY PRAWNIE UZASADNIONY INTERES?

W RODO [3] wskazuje się, że podstawą dla działań marketingowych skierowanych wobec osoby fizycznej może być prawnie uzasadniony interes (zob. motyw 47 preambuły RODO).

Prawnie uzasadniony interes jest jedną z podstaw legalizujących przetwarzanie danych. Opiera się na realizacji celów administratora, przy jednoczesnym zapewnieniu zgodności z prawem oraz zachowaniu podstawowych praw i wolności osób, których dane dotyczą – w tym przypadku osób, do których kieruje się przekaz marketingowy.

Zastosowanie marketingu bezpośrednio na podstawie prawnie uzasadnionego interesu nie jest więc możliwe, gdy obowiązujące przepisy wymagają pozyskania zgody. Zważając na ograniczenia zawarte w art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ust. 1 prawa telekomunikacyjnego podmiot, który będzie chciał rozpocząć wysyłkę cold maili będzie musiał najpierw uzyskać zgodę jego odbiory.

JAK ROBIĆ TO DOBRZE?

Jak zostało wskazane powyżej cold mailling wymaga uzyskania zgody. Przepis art. 174 prawa telekomunikacyjnego doprecyzowuje, że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się regulacje o ochronie danych osobowych. Podobny zapis znajduje się w art. 4 ustawy o świadczenie usług drogą elektroniczną.

W zakresie wysyłki cold maili do osób fizycznych zgodna ta musi spełniać następujące wymogi, tj. musi być:

  • dobrowolna – odbiorca wiadomości udzielając zgody nie może działać pod przymusem;
  • świadoma – odbiorca wiadomości powinien rozumieć na co dokładnie udziela zgody. Zgoda musi być sformułowana jasnym i prostym językiem, a osoba wyrażająca zgodę powinna znać przynajmniej tożsamość administratora oraz cele przetwarzania danych osobowych; 
  • konkretna – odbiorca wiadomości musi wyrazić odrębną zgodę na każdy cel przetwarzania (np. w przypadku zbierania zgody na dwa odrębne cele przetwarzania trzeba uzyskać osobne pozwolenie na każdy z nich);
  • jednoznaczna – odbiorca wiadomości powinien udzielić zgody w formie oświadczania lub wyraźnego działania potwierdzającego (np. poprzez udostępnienie w celach marketingowych identyfikującego go adresu elektronicznego).

Ale jak w praktyce taką zgodę uzyskać od potencjalnego klienta?

Wydawałoby się, że najbezpieczniejszym sposobem jest poproszenie potencjalnego klienta przy pierwszym kontakcie o zgodę na przesłanie wiadomości marketingowej. Jednakże, organy nadzorcze zajmują niejednolite stanowisko w tym zakresie.

Prezes Urzędu Ochrony Konkurencji i Konsumentów w decyzji z dnia 30 maja 2019 r. o sygn. DOZIK-8.610.20.2017.KA/MO wprost stwierdził, że marketingiem bezpośrednim będzie również kontakt w celu uzyskania zgody na prezentację swoich towarów lub usług (zob. również Decyzja Prezesa UOKiK o sygn. DOiK-61-11/15/ZG, RPZ.610.2.2020.PG).

Zwrócić należy raz jeszcze uwagę, iż pojęcie marketingu bezpośredniego obejmuje nie tylko działania o charakterze sprzedażowym, ale również te, które służą dostarczeniu informacji, jeśli ich końcowym efektem jest zainteresowanie adresata ofertą przedsiębiorcy. Za mieszczące się w hipotezie art. 172 pt kwalifikowane będą więc nie tylko sytuacje w których przedsiębiorca kontaktuje się z konsumentem w celu przedstawienia propozycji zawarcia umowy, ale także kontakt, który ma na celu uzyskanie zgody na marketing bezpośredni w tym na zaprezentowanie oferty.

Nieco bardziej liberalnie do tej tematyki zdaje się podchodzić Prezes Urzędu Komunikacji Elektronicznej (UKE). W decyzji z dnia 31 października 2019 r. o sygn. DK.WPA.46.8.2019.11 Prezes UKE podkreśla, że to czy dane połącznie zostanie uznane za przekaz marketingowy zależy od celu jego wykonania. Poniższy przykład co prawda dotyczy tzw. cold calling (połączeń telefonicznych), ale analogicznie jak w przypadku cold mailing’u zastosowanie znajdzie art. 172 ust. 1 prawa telekomunikacyjnego.

Stwierdzenie przez Sąd na kanwie powyżej sprawy, iż „nie jest sprzeczne z art. 172 Prawa telekomunikacyjnego wykonywanie przez pracowników pozwanej połączeń na losowo wybrane numery abonentów, w celu ustalenia, czy wyrażają zgodę na kontakt telefoniczny w celu marketingu bezpośredniego”. Podkreśla kwestię celu w jakim połączenie telefoniczne jest wykonywane. W niniejszym postępowaniu administracyjnym, jak poniżej zostanie to wskazane, połączenia wykonywane przez Stronę nie miały na celu uzyskania zgody abonentów/użytkowników końcowych na używanie wobec nich telekomunikacyjnych urządzeń końcowych w celach marketingu bezpośredniego, ale przedstawienie oferty sprzedaży opału - co niewątpliwie stanowi marketing bezpośredni. Jak słusznie wskazał Sąd ww. wyroku – „Gdyby bowiem ustawodawca chciał zakazać kontaktów z abonentem w sposób całkowity, zrezygnowałby z wprowadzenia przesłanki dotyczącej celowości kontaktu.” – zatem cel w jakim inicjowany jest kontakt oraz konieczność uzyskania uprzedniej zgody mają kluczowe znaczenie.

A co na to PUODO?

Prezes UODO w decyzji z dnia 24 września 2020 r. numer ZSPR.440.1194.2019 oceniając legalność użycia adresu e-mail pobranego z Centralnej Ewidencji i Informacja o Działalności Gospodarczej do celów marketingu bezpośredniego wskazał, że:

Tym samym należy przyjąć, że przetwarzanie przez Przedsiębiorcę publicznie dostępnych danych osobowych Skarżącego na stronie CEIDG znajdowało oparcie w powołanym art. 6 ust. 1 lit f) rozporządzenia 2016/679. (…)

Jednakże bezzasadnym byłoby przyjęcie, że realizacja ww. prawnie usprawiedliwionych interesów administratora danych, tj. Przedsiębiorcy, polegających na przesłaniu do Skarżącego wiadomości, stanowiącej chęć nawiązania współpracy, wiązała się z naruszeniem praw lub wolności Skarżącego, skoro kwestionowane dane osobowe Skarżącego w tym jego adres e-mail przetwarzane przez Przedsiębiorcę są danymi powszechnie dostępnymi, związanymi ściśle z prowadzoną przez niego działalnością gospodarczą.

Warto mieć jednak na uwadze, że PUODO zajmuje się wyłącznie kwestią ochrony danych osobowych, a organem nadzorczym władnym rozstrzygnąć skargę na niezamówioną informację handlową - w zależności od określonej sytuacji - będzie Prezes UKE lub Prezes UOKiK. Próba legalizacji działań marketingowych w zakresie cold mailingu w oparciu o uzasadniony interes tam, gdzie przepisy ustaw szczególnych wymagają zgody może zatem zakończyć się otrzymaniem administracyjnej kary pieniężnej.    

***

Reasumując, rozbieżności występujące pomiędzy stanowiskami organów nadzorczych wskazują na jedno – każdy przypadek cold mailing’u wymaga odrębnej analizy. Oceniając ryzyko rozpoczęcia takiej kampanii trzeba uwzględnić nie tylko warunki formalne i sposób uzyskania zgody, ale i źródło pochodzenia danych umożliwiających nawiązanie kontaktu z potencjalnym klientem.   

Należy pamiętać, że kupienie gotowej bazy mailingowej wcale nie musi oznaczać, że sprzedający pozyskał zgodę potencjalnych odbiorców wiadomości na działania marketingowe, a outsourcing przeprowadzenia kampanii cold mailing’owej zewnętrznej firmie nie zwolni zlecającego z odpowiedzialności za brak pozyskania zgody (zob. uchwała SN z dnia 17 lutego 2016 r., sygn. akt III SZP 7/15).

[1] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344).
[2] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2022 r. poz. 1648 z późn. zm.).
[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).


cropped-4715020_avatar_people_person_profile_user_icon.png

Alicja Żywicka

Aplikantka radcowska

ALICJA ŻYWICKA
APLIKANTKA RADCOWSKA

Absolwentka Wydziału Prawa i Administracji Uniwersytetu Marii-Curie Skłodowskiej w Lublinie. W 2020 r. ukończyła studia podyplomowe z zakresu ochrony danych osobowych. Obecnie jest aplikantką radcowską przy OIRP w Lublinie. Spektrum zainteresowań zawodowych skupia wokół ochrony danych osobowych, prawa autorskiego oraz prawa pracy.


list-2389219

Formułowanie zgód na przetwarzanie danych osobowych zgodnie z RODO

PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH

RODO określa szczegółowo, w jakich sytuacjach przetwarzanie danych osobowych jest dozwolone. Poza enumeratywnie wymienionymi przypadkami, zasadą jest zakaz przetwarzania informacji o osobie w przypadku danych należących do szczególnych kategorii (art. 9 ust. 1 RODO). Analogicznie jest w przypadku danych „zwykłych”, co do których nie ma mowy wprost o zakazie, ale o dopuszczalności w przypadku zaistnienia jednej z przesłanek. Mówiąc prościej, RODO wprost wskazuje nam, jakie warunki musimy spełnić, aby legalnie dokonywać działań na danych osobowych. Zadaniem administratora jest wskazanie przynajmniej jednej przesłanki, która umożliwia zbieranie i dalsze wykorzystywanie danych osobowych.

W stosunku do danych „zwykłych” lista została wskazana w art. 6 ust. 1 RODO i obejmuje następujące sytuacje:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Natomiast dla danych należących do „szczególnej kategorii” (tj. danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby) prawodawca wskazał następujące przesłanki (art. 9 ust. 2 RODO):

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

W niniejszym artykule omówimy pierwszy i najpopularniejszy z warunków legalnego przetwarzania danych osobowych, jakim jest uzyskanie (wyraźnej) zgody od osoby, której dane dotyczą.

 

ZGODA JAKO KRÓLOWA PRZESŁANEK LEGITYMIZUJĄCYCH PRZETWARZANIA DANYCH OSOBOWYCH

Zgoda na przetwarzanie danych osobowych w dużym uproszczeniu polega na wyrażeniu przez osobę, której dane dotyczą, woli na udostępnienie swoich danych osobowych administratorowi danych. Wraz ze zgodą administrator uzyskuje możliwość przetwarzania danych osobowych, tj. ich przechowywania, wykorzystywania do realizacji określonych celów, ewentualnego modyfikowania i usuwania.

W praktyce ze zgodą na przetwarzanie danych osobowych spotykamy się bardzo często. Jest to jedna z najbardziej rozpowszechnionych metod pozyskiwania danych osobowych, zwłaszcza na stronach internetowych.

Obraz4
Obraz5

Rysunek 1: Przykładowe zgody na przetwarzanie danych osobowych. Źródło: antyweb.pl, onet.pl

Zgodę na przetwarzanie naszych danych osobowych udzielamy zaznaczając checkboxy na stronach internetowych, czy podpisując przygotowane formularze w różnego rodzaju placówkach, urzędach, gabinetach lekarskich itd. Pozyskanie zgody na przetwarzanie danych osobowych wydaje się najłatwiejszym sposobem na ich dalsze wykorzystywanie. Wymaga jedynie podpisu, zaznaczenia checkboxa i kliknięcia OK, ewentualnie e-mailowego potwierdzenia. Zgoda, jeżeli tylko administrator jest w stanie wykazać, że została mu udzielona, może mieć również formę ustną (art. 7 ust. 1 RODO).

 

DLACZEGO ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH NIE ZAWSZE JEST NAJLEPSZYM POMYSŁEM?

Zgoda na przetwarzanie danych osobowych często wykorzystywana jest przez administratorów danych w sposób nieadekwatny, błędny. Zdarza się, że administratorzy pozyskują zgodę, mimo iż mają możliwość skorzystania z innej przesłanki pozwalającej przetwarzać dane osobowe (np. w ramach zawieranej umowy lub gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej). Często też zgody są formułowane w sposób błędny. Nie spełniają wymogów, które wyznaczają przepisy. Niestety nie zawsze najlepszym pomysłem jest korzystanie z generatorów zgód bądź gotowców, które nie są dostosowane do naszej działalności. Jeżeli mamy wątpliwości czy sformułowane przez nas zgody są prawidłowe warto skonsultować je z prawnikiem bądź zlecić specjaliście przygotowanie zgód na przetwarzanie danych osobowych.

Musimy również pamiętać, że zgoda na przetwarzanie danych osobowych jest przesłanką pozwalającą na „szybkie” pozyskanie danych osobowych, ale i jednocześnie umożliwiającą równie łatwe wycofanie zgody. Przepis art. 7 ust. 3 RODO stanowi bowiem wprost: „Wycofanie zgody musi być równie łatwe jak jej wyrażenie”. Zatem, jeżeli chcielibyśmy mieć pewność, że dane osobowe nie zostaną szybko wycofane i będziemy mogli z nich korzystać przez dłuższy czas, warto zastanowić się nad wyborem innej przesłanki dopuszczającej przetwarzanie danych osobowych.

 

JAK FORMUŁOWAĆ ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH?

W art. 4 pkt 11 RODO zgoda została zdefiniowana w sposób następujący:

„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zatem zgoda musi być: dobrowolna, konkretna, świadoma i jednoznaczna.

Dobrowolność zgody na przetwarzanie danych osobowych polega na wolnym wyborze osoby o możliwości udzielenia bądź nieudzielenia zgody. Zatem nie można wymuszać na osobie konieczności udzielenia zgody. Brak udzielenia zgody nie może wiązać się z żadnymi konsekwencjami dla osoby, której dane dotyczą. Nie można zatem powiązać np. wykonania umowy od konieczności udzielenia zgody.

Konkretność zgody na przetwarzanie danych osobowych polega na konieczności przekazania treści zgody w sposób wyraźny, zrozumiały oraz precyzyjny. Osoba, której dane dotyczą, musi mieć możliwość zapoznania się z celem przetwarzania danych i zakresem przetwarzanych danych. Zgoda nie może zatem brzmieć:

„Wyrażam zgodę na przetwarzanie danych osobowych”

Zgoda powinna być bardziej rozbudowana, np.

„Wyrażam zgodę na przetwarzanie danych osobowych w celu wysyłki newslettera. Pełna treść polityki prywatności dostępna jest TUTAJ”.

Bądź:

„Wyrażam zgodę na przetwarzanie danych osobowych przez 111ABC sp. z o.o. w celu zbierania informacji o satysfakcji naszej obsługi. Informujemy, że Państwa dane osobowe mogą być przekazywane spółce NajlepszeOpinie sp. z o.o. Szczegółowe informacje na temat przetwarzania danych osobowych i przysługujących Państwu Praw znajdą Państwo w naszej Polityce Prywatności. Jednocześnie informujemy, że mogą Państwo wycofać zgodę w dowolnym momencie.”.

Należy również pamiętać, że każda zgoda musi mieć skonkretyzowany cel. Zatem nie można przygotować jednej zgody dla kilku różnych celów. Osoba, której dane dotyczą, musi mieć możliwość dokonania wyboru wyłącznie tych celów, dla których zgadza się na przetwarzanie swoich danych osobowych przez administratora. Przygotowując zgodę należy ją również przygotowywać indywidualnie, po analizie stanu faktycznego. Niestety często powielanie (kopiowanie) znalezionych wzorców może spowodować więcej szkód niż korzyści.

Świadomość zgody na przetwarzanie danych osobowych jest powiązana z konkretnością zgody. Świadomość wymaga bowiem, aby administrator zadbał o to, aby osoba, której dane dotyczą, miała kontrolę nad swoimi danymi, znała swoje prawa, a cały proces przetwarzania danych był w pełni przejrzysty. Jeżeli administrator udostępnia dane innym podmiotom, osoba, której dane dotyczą, powinna być tego świadoma. Powinna także zdawać sobie sprawę z zakresu przetwarzanych danych i kontekstu ich przetwarzania.

Jednoznaczność zgody na przetwarzanie danych osobowych jest powiązana z pewnością, że osoba, której dane dotyczą udziela zgody, zgodnie ze swoją wolą. Zgoda nie może być zatem w żaden sposób zakamuflowana, nie może być szersza niż to wynika z treści zgody. Ważne jest też, żeby osoba, której dane dotyczą, jednoznacznie potwierdziła chęć udostępnienia swoich danych osobowych.

 

PODSUMOWUJĄC

Przy konstruowaniu zgody na przetwarzanie danych osobowych musimy pamiętać, aby zgoda odzwierciedlała cel i zakres przetwarzanych danych. Musimy również zwrócić uwagę, aby w przypadku zbierania danych osobowych do realizacji kilku różnych celów, dla każdego z nich zbierać odrębne zgody. Zgoda na przetwarzanie danych osobowych nie może być dorozumiana. Milczenie strony nie oznacza udzielenie zgody. Podobnie, domyślnie zaznaczony checkbox w formularzu nie spełnia tej przesłanki. Warto również pamiętać, że przy konstruowaniu zgody konieczne jest ustalenie, czy bardziej adekwatną nie jest inna przesłanka z art. 6 ust. 1 lub art. 9 ust. 2 RODO. Zgodę bowiem można zawsze wycofać, a w takim przypadku administrator danych musi usunąć informacje, które uzyskał na podstawie udzielonej zgody. Tak niestabilna przesłanka do przetwarzania danych osobowych powinna być zatem stosowana w sytuacjach, kiedy żadna inna nie jest odpowiednia.


cezary-zapala-box

Cezary Zapała

Aplikant rzecznikowski

CEZARY ZAPAŁA
APLIKANT RZECZNIKOWSKI, ADMINISTRATOR PORTFOLIO ZNAKÓW TOWAROWYCH I WZORÓW PRZEMYSŁOWYCH

Aplikant rzecznikowski, administrator portfolio znaków towarowych i wzorów przemysłowych Klientów Kancelarii. Specjalizuje się w zagadnieniach dotyczących prawa ochrony danych osobowych, prawa własności przemysłowej, prawa nowych technologii oraz prawa rolnego. Uczestnik, prelegent oraz koordynator wielu konferencji oraz szkoleń. Wykładowca na studiach podyplomowych z ochrony danych osobowych na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Autor publikacji naukowych z zakresu prawa rolnego, ochrony danych osobowych i prawa nowych technologii.


pexels-cottonbro-4709285

Cyberbezpieczeństwo a ochrona danych osobowych

KILKA SŁÓW O TYM, DLACZEGO MÓWIĄC O OCHRONIE DANYCH OSOBOWYCH, MYŚLIMY RÓWNIEŻ O CYBERBEZPIECZEŃSTWIE

Przepisy RODO obowiązują już od ponad trzech lat. Mimo iż większość firm i instytucji dokonała wdrożenia przepisów ogólnego rozporządzenia o ochronie danych osobowych, to stosowanie ich okazuje się dla wielu z nich problematyczne. Świadczą o tym wyniki postępowań kontrolnych przeprowadzanych przez Urząd Ochrony Danych osobowych. Okazuje się bowiem, że dane osobowe jest bardzo ciężko chronić. Dlaczego tak się dzieje? Odpowiedź jest prosta. Wpływ na to ma w szczególności:

[1] niezrozumienie przepisów i złe ich stosowanie,

[2] wdrożenie dokumentacji z pominięciem praktycznego ich stosowania „na co dzień”.

Prawnicy często spotykają się z sytuacją, w której administratorzy danych przez brak czasu i odpowiednio dobranych i przeszkolonych współpracowników mają problem ze zrozumieniem, iż RODO, to nie tylko wypełnienie kilku dokumentów, ale przede wszystkim ciągła dbałość o zapewnienie odpowiednich środków prawnych, technicznych i organizacyjnych. Połączenie wszystkich trzech wymienionych elementów pozwala jednostce stosować przepisy RODO w sposób adekwatny.

Ówcześnie dane osobowe przetwarzane są głównie w sposób cyfrowy. Podejście „paperless” oraz posiadanie rozbudowanych baz danych pozwala nam gromadzić informacje na własnych komputerach, na serwerach, w chmurach obliczeniowych, na pendrive’ach i dyskach zewnętrznych. Zabierając laptopa do domu, wszystkie informacje mamy cały czas pod ręką. Zapisując dane w chmurze, możemy z nich korzystać w dowolnym miejscu, na dowolnym urządzeniu z dostępem do sieci internetowej. To wszystko sprawia, że nasza praca może być bardziej efektywna, szybsza, precyzyjniejsza. Plusów stosowania nowoczesnych środków teleinformatycznych w działalności jest na tyle dużo, że rozwiązania te przyjęły się i z powodzeniem funkcjonują w wielu jednostkach. Jednocześnie, nie zdajemy sobie sprawy bądź bagatelizujemy zagrożenia, jakie mogą płynąć z nieprawidłowych praktyk korzystania z tych możliwości. W szczególności mowa tutaj o przypadkowym usunięciu danych, nadpisaniu ich (zmodyfikowaniu) w sposób uniemożliwiający odzyskanie wcześniejszej wersji, ale i również o włamaniu do naszych usług sieciowych i kradzieży informacji zawartych w chmurze, czy na naszych twardych dyskach.

Pamiętajmy!

Wszystkie informacje zapisane na komputerze mogą stać się danymi publicznymi!

Przekonały się o tym przede wszystkim osoby, których dane osobowe wyciekły. Wśród najpopularniejszych sytuacji z ostatnich miesięcy jest: wyciek danych ze sklepu Morele.net (zakończony rekordową karą 2.8 mln złotych), wyciek danych 533 milionów użytkowników Facebooka, wyciek danych studentów Politechniki Warszawskiej i wiele, wiele innych sytuacji.

Chcąc chronić dane osobowe w środowisku cyfrowym, konieczne jest zadbanie o cyfrowe bezpieczeństwo, czyli stosowanie środków z zakresu cyberbezpieczeństwa.

RODO stanowi wstęp do zagadnień związanych z cyberbezpieczeństwem. Zrozumienie czym jest ochrona danych osobowych i jakie obowiązki są z nią związane, prowadzi nas również do zapoznania się z tematem cyberbezpieczeństwa. Cyberbezpieczeństwo definiuje się jako ogół technik, procesów i praktyk stosowanych w celu ochrony sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem. Zatem, stosując środki z zakresu bezpieczeństwa cyfrowego, jednocześnie chronimy dane osobowe przetwarzane w środowisku cyfrowym.

Mimo iż przepisy ogólnego rozporządzenia o ochronie danych osobowych starają się nie wskazywać jakie środki należy przedsięwziąć, aby prawidłowo chronić dane osobowe, to wśród przepisów możemy znaleźć odniesienia do pseudonimizacji oraz szyfrowania danych.

 

RODZAJE ATAKÓW, CZYLI PRZED CZYM NALEŻY SIĘ BRONIĆ?

Pomysłowość cyberprzestępców jest nieograniczona. Nie jest możliwe zebranie kompendium wszystkich pomysłów, jakie mogą być wykorzystywane przez osoby, których celem jest uzyskanie dostępu do naszych zasobów. W zależności od wartości posiadanych danych ataku można spodziewać się z różnych stron. Począwszy od socjotechniki, a skończywszy na wykorzystywaniu podatności (luk) w naszych systemach informatycznych. Jeżeli chcemy bronić się przed atakami, konieczne jest posiadanie szerszej wiedzy, jakiego typu działania mogą podjąć cyberprzestępcy. Do  najpopularniejszych należy zaliczyć:

  • wysyłanie e-maili zawierających złośliwe oprogramowanie (treść e-maila ma skłonić nas do kliknięcia w link, uruchomienia programu, pliku PDF). Oprogramowanie to może zaszyfrować nasz dysk twardy, może działać „niewidocznie” i wysyłać dane do przestępcy,
  • podłączenie się do naszej sieci Wi-Fi, aby móc przechwycić sygnał,
  • włamania na strony internetowe i wstrzyknięcie do nich złośliwego kodu.

Chcąc być na bieżąco z najnowszymi sposobami cyberprzestępców na kradzież naszych danych, warto przeglądać branżowe strony internetowe, które udostępniają tego typu informacje. Jednym z podstawowych źródeł są profile społecznościowe CERT Polska, który działa w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej).

 

JAK NALEŻY SIĘ CHRONIĆ PRZED ATAKAMI?

Na początku musimy pamiętać, że cyberprzestępcy zazwyczaj nie decydują się na kradzież danych, które nie mają dużej wartości. Ataki przeprowadza się wyłącznie w celu szantażu, którego wynikiem jest zapłata określonej sumy pieniędzy. Przed zdecydowaną większość ataków możemy się bronić lub utrudniać działanie cyberprzestępców na tyle, aby nie było dla nich opłacalne podejmowanie tego typu działań. Ewentualne korzyści nie zrekompensują bowiem kosztów związanych z podjętymi akcjami. Ryzyka związanego z atakiem nie uda się nigdy wyeliminować, możemy je jedynie ograniczyć.

Niestety, głównym źródłem ryzyka związanego z cyberbezpieczeństwem jest człowiek. Zatem punktem wyjściowym do zapewnienia określonego poziomu bezpieczeństwa jest przeprowadzenie dla wszystkich pracowników, którzy mają dostęp do systemów informatycznych  szkolenia z ochrony danych osobowych i bezpieczeństwa informacji. Dzięki zwiększeniu świadomości pracowników możliwe jest ograniczenie przynajmniej części ataków opartych o socjotechnikę.

Obraz3

Rysunek 1: Niestety publikowanie przez pracowników w mediach społecznościowych recept zawierających wrażliwe dane osobowe nie jest najlepszym pomysłem. Źródło: facebook.com/lol.rodo

Konieczne jest również przeprowadzenie audytu (choćby wewnętrznego lub z pomocą zewnętrznych usługodawców), który pozwoli ustalić, gdzie występują luki w systemach informatycznych. Na początek konieczne jest zidentyfikowanie wszystkich zasobów, opisanie procesów i dopiero dalej ustalenie ryzyka jakie wiąże się z przetwarzaniem danych osobowych wykorzystując zidentyfikowane zasoby. Zebrane dane pozwalają ustalić jakie środki techniczne należy przedsięwziąć, aby ryzyko ograniczyć bądź je kontrolować. Prace zatem zaczynamy od ogółu do szczegółu. Konieczne jest ustalenie również z jakich usług zewnętrznych korzysta jednostka, a także czy usługodawcy zewnętrzni gwarantują minimalny oczekiwany poziom bezpieczeństwa (uzależniony od rodzaju przetwarzanych danych).

Wszelkie działania należy jednak podejmować zgodnie z art. 32 RODO, który wskazuje, że przy zapewnieniu odpowiedniego stopnia bezpieczeństwa należy uwzględnić stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst, cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych, prawdopodobieństwo wystąpienia ryzyka i wagę wystąpienia ryzyka. Nie zawsze bowiem warto jest inwestować ogromne środki pieniężne (np. w firewalle sprzętowe, IDS-y, IPS-y, UTM-y), jeżeli prawdopodobieństwo wystąpienia ryzyka jest znikome. Z drugiej strony czasami niewielkim kosztem możemy wdrożyć środki techniczne, które zapewnią nam wysoki poziom bezpieczeństwa. Wszystko to zależy od wielu czynników, które dla każdego podmiotu bada się odrębnie.

Na koniec należy pamiętać, że każda zmiana zasobów, procesów, pracowników odpowiedzialnych za przetwarzanie danych osobowych wiąże się z koniecznością przeprowadzanie dodatkowych audytów (w zakresie wprowadzonych zmian i ich konsekwencji) oraz aktualizacji dokumentacji, która jest wyłącznie zwieńczeniem audytu i wszystkich działań (praktycznych) podjętych w jednostce w celu ochrony danych osobowych. Musimy również pamiętać o utrzymaniu całego systemu ochrony danych osobowych, ponieważ nie jest to działanie jednorazowe, ale ciągłe. Warto pamiętać, że wdrożenie niektórych środków technicznych może generować wysokie koszty w jednym roku, a w kolejnym będą one znikome.

Podsumowując, wdrażając lub aktualizując dokumentację RODO pamiętajmy, że ochrona danych osobowych, to nie tylko kilka dodatkowych formularzy, rejestrów, wzorców dokumentów. To przede wszystkim audyt i ciągłe dbanie o odpowiedni poziom bezpieczeństwa. W szczególności, jeżeli przetwarzamy dane w środowisku cyfrowym, które wymaga od nas ciągłego trzymania ręki na pulsie. Cyberbezpieczeństwo jest koniecznym elementem systemu ochrony danych osobowych. Jednocześnie cyberbezpieczeństwo, to ogromny i pasjonujący temat, z którym warto się zapoznać i być na bieżąco.


cezary-zapala-box

Cezary Zapała

Aplikant rzecznikowski

CEZARY ZAPAŁA
APLIKANT RZECZNIKOWSKI, ADMINISTRATOR PORTFOLIO ZNAKÓW TOWAROWYCH I WZORÓW PRZEMYSŁOWYCH

Aplikant rzecznikowski, administrator portfolio znaków towarowych i wzorów przemysłowych Klientów Kancelarii. Specjalizuje się w zagadnieniach dotyczących prawa ochrony danych osobowych, prawa własności przemysłowej, prawa nowych technologii oraz prawa rolnego. Uczestnik, prelegent oraz koordynator wielu konferencji oraz szkoleń. Wykładowca na studiach podyplomowych z ochrony danych osobowych na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Autor publikacji naukowych z zakresu prawa rolnego, ochrony danych osobowych i prawa nowych technologii.


pexels-thought-catalog-2228555

Pierwsza kara na gruncie RODO

Urząd Ochrony Danych Osobowych nałożył pierwszą karę w oparciu o #RODO. Wysokość sankcji administracyjnej wynosi prawie 950 tysięcy złotych i została ona nałożona na spółkę, która stworzyła bazę danych z ogólnodostępnymi w Internecie danymi osób prowadzących działalność.