Zgodnie z obietnicą wracam do tematu. Gwoli wyjaśnienia: "Urzędnicy w GIODO nie do końca potrafią odpowiedzieć na te pytania". Nie zgodzę się z Twoją opinią. Urzędnicy potrafią i czynią to chociażby na łamach prasy lub na stronie internetowej Urzędu. "Bylibyśmy wdzięczni, gdyby osoba współodpowiedzialna za nowelizację zabrała głos publicznie. No bo chyba wiedza ta nie jest zarezerwowana jedynie dla osób pracujących nad nowelizacją"? Nie jestem współodpowiedzialna za nowelizację
- o czym już pisałam. Projekt nowelizacji ustawy został przekazany do zopiniowania wielu instytucjom (takim jak np. NSA czy PIH) w tym również SMB. To po pierwsze; po drugie wiedza, która ma służyć przede wszystkim obywatelom nie jest zarezerwowana dla żadnego wąskiego grona. Inną kwestią pozostaje interpretacja przepisów, ale to nie jest problem tylko tej ustawy.
Na wszystkie zadane pytania można znaleźć odpowiedź w Ustawie. Od siebie mogę dodać słowo komentarza do pytania - co zrobić aby ustrzec się przed karą.
Przede wszystkim trzeba mieć podstawę prawną do przetwarzania danych osobowych, udokumentować źródła pozyskiwania danych osobowych, zakres i cel ich przetwarzania, dopełnić wszystkich obowiązków informacyjnych jakie spoczywają na administratorze danych wynikających z art. 24 i art. 25 ustawy.
Do tego należy pamiętać o właściwym zabezpieczeniu danych, czyli odpowiednich środkach technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzanych danych (art. 36 ustawy), odpowiednich upoważnieniach przekazanych osobom dopuszczonym do przetwarzania danych osobowych (art. 37 ustawy), odpowiednim sposobie sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane ( art. 38 ustawy), sprawdzić, czy prowadzona jest ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych ( art. 39 ustawy), spełnić wymogi odnośnie systemu informatycznego, określonych w rozporządzeniu MSWiA, w sprawie dokumentacji przetwarzania danych osobowych i warunków technicznych i organizacyjnych jakim powinny odpowiadać systemy informatyczne służące przetwarzaniu danych osobowych.
To oczywiście nie wszystko, zainteresowanych odsyłam do Ustawy.

A wracając do jeszcze jednej kwestii dyskutowanej na forum, a mianowicie, czy adres e-mail w postaci imie.nazwisko@domena.pl może zostać uznany za dane osobowe.
W mojej opinii może. Tak się dzieje, gdy e-mail pozwala na zidentyfikowanie Konkretnej osoby (katarzyna.domanska@thinkopen.pl), można dość łatwo określić moją tożsamość (przy odrobinie czasu, można dowiedzieć się, gdzie mieści się ThinkOpen i że pracuje tam osoba o tym nazwisku) ale już katarzyna.domanska@wp.pl nie gdyż, ilość czasu, działań jest zbyt duża, by móc taki adres określić jako daną osobową. Czyli e-mail bez żadnych dodatkowych informacji umożliwiających ustalenie tożsamości osoby nie jest daną osobową w rozumieniu Ustawy.

Niestety zgadzam się w 100% z opinią Kasi, że informacja jest mało merytoryczna. W tym kształcie tylko wprowadza niepotrzebne zamieszanie i poprostu straszy. W efekcie bardziej szkodzi niż pomaga.

Nowelizacja Ustawy w żaden sposób nie dotyczy adresów e-mail. Zaróno opinia zamieszczona na stronach GIODO jak i sama nowelizacja znane są od ponad roku. Nic tu się nie zmienia, więc sensu wysyłania newsa po prostu nie rozumiem, bo nawet informacja PR nie może być o niczym.

Co można było zrobić zamiast tego? Można było wysłać zapytanie do GIODO w kwestii klasyfikacji adresu e-mail. Oczywiście zrobiliśmy to poprzez SMB jak tylko owa nieprecyzyjna opinia na stronach GIODO się pojawiła, ale nie otrzymaliśmy odpowiedzi. Z pewnością kolejne zapytanie od innej firmy pokazałoby, że problem jest istotny. Dla zainteresowanych treść naszych wątpliwości: http://www.sare.pl/download/SMB.doc

Można było też zdecydować się na zarejestrowanie własnej bazy w GIODO (byłoby to skądinąd rozsądne, jeśli samemu się do tego namawia) i na tej podstawie przygotować instrukcję przetwarzania danych osobowych, bo jak napisała wcześniej Kamila, podpisanie umowy powierzenia przetwarzania danych to dopiero pierwszy krok w tym kierunku. Najbardziej pracochłonne jest opracowanie dokumentacji, o której mówi rozporządzenie, zastosowanie i opisanie zabezpieczeń itd.

Tym samym tekst byłby wartościowy i pomocny. Jego przygotowanie wymagałoby więcej pracy i sporo doświadczenia, ale za to wniósłby coś istotnego.

Co można było zrobić zamiast tego? Można było wysłać zapytanie do GIODO w kwestii klasyfikacji adresu e-mail. Oczywiście zrobiliśmy to poprzez SMB jak tylko owa nieprecyzyjna opinia na stronach GIODO się pojawiła, ale nie otrzymaliśmy odpowiedzi.

Jak zauważył Krzysztof Dębowski wysyłanie maili do GIODO na niewiele się zdaje. Natomiast podczas kilku rozmów telefonicznych udało nam się uzyskać od pracowników GIODO informację, że "prace w Sejmie nad nowelizacją dobiegają końca i zaleca się rejestrację baz danych zawierającą same e-maile".

Jak widać w poniższych komentarzach opinia co do faktu czy sam adres e-mail może być daną osobową czy nie jest rozbieżna:

Kamila Żurawska napisała: "wg opinii większości prawników trudno uznać jakikolwiek adres e-mail za dane osobowe"

Katarzyna Domańska napisała: "czy adres e-mail w postaci imie.nazwisko@domena.pl może zostać uznany za dane osobowe.
W mojej opinii może."

Krzysztof Dębowski napisał: "Nowelizacja Ustawy w żaden sposób nie dotyczy adresów e-mail."

Tak więc informacja którą opublikowaliśmy może się okazać przydatna kilku osobom. Dla świętego spokoju FreshMail praktykuje jednoczesne podpisywanie umowy licencyjnej oraz umowy na przetwarzanie danych osobowych. To nic nie kosztuje i tego typu praktyki zalecamy w przygotowanym komunikacie prasowym. Tak na wszelki wypadek.

W GIODO pytaliśmy również o inne aspekty związane z nowelizacją ustawy. Publikujemy je na naszym blogu. Po rozmowie z urzędnikami GIODO odnoszę wrażenie, że sejm przygotował nam kolejny ustawowy bubel.

Przykładowo okazuje się, że jeśli w programie pocztowym (typu Outlook) przechowujemy adresy byłych i obecnych klientów i wykorzystujemy te kontakty do celów biznesowych, to formalnie powinniśmy zarejestrować taką bazę danych :) Co ciekawe, jeżeli używamy laptopa mamy poważny problem, gdyż wymogi ochrony fizycznej takiego komputera - na którym znajdują się dane osobowe - są praktycznie nie do spełnienia w przypadku laptopa ;)

Myślę, że Sare, ThinkOpen i FreshMaila powinni przedyskutować ten temat na najbliższym spotkaniu gruby roboczej e-mail marketingu w IAB i podjąć jakieś przydatne dla rynku kroki wyjaśniające sytuację.

Możemy poruszyć temat na spotkaniu grupy, aczkolwiek sprawy współpracy z GIODO i lobbing to raczej domena SMB.