Wysokie kary za niezgłoszenie bazy e-mailowej

Możemy poruszyć temat na spotkaniu grupy, aczkolwiek sprawy współpracy z GIODO i lobbing to raczej domena SMB.

<blockquote>Co można było zrobić zamiast tego? Można było wysłać zapytanie do GIODO w kwestii klasyfikacji adresu e-mail. Oczywiście zrobiliśmy to poprzez SMB jak tylko owa nieprecyzyjna opinia na stronach GIODO się pojawiła, ale nie otrzymaliśmy odpowiedzi.</blockquote>Jak zauważył Krzysztof Dębowski wysyłanie maili do GIODO na niewiele się zdaje. Natomiast podczas kilku rozmów telefonicznych udało nam się uzyskać od pracowników GIODO informację, że &quot;<strong>prace w Sejmie nad nowelizacją dobiegają końca i zaleca się rejestrację baz danych zawierającą same e-maile</strong>&quot;.<br /><br />Jak widać w poniższych komentarzach opinia co do faktu czy sam adres e-mail może być daną osobową czy nie jest rozbieżna:<br /><br /><strong>Kamila Żurawska </strong>napisała: &quot;wg opinii większości prawników trudno uznać jakikolwiek adres e-mail za dane osobowe&quot;<br /><br /><strong>Katarzyna Domańska </strong>napisała: &quot;czy adres e-mail w postaci imie.nazwisko@domena.pl może zostać uznany za dane osobowe.<br />W mojej opinii może.&quot;<br /><br /><strong>Krzysztof Dębowski </strong>napisał: &quot;Nowelizacja Ustawy w żaden sposób nie dotyczy adresów e-mail.&quot;<br /><br />Tak więc informacja którą opublikowaliśmy może się okazać przydatna kilku osobom. Dla świętego spokoju FreshMail praktykuje jednoczesne podpisywanie umowy licencyjnej oraz umowy na przetwarzanie danych osobowych. To nic nie kosztuje i tego typu praktyki zalecamy w przygotowanym komunikacie prasowym. Tak na wszelki wypadek.<br /><br />W GIODO pytaliśmy również o inne aspekty związane z nowelizacją ustawy. <a target="_blank" href="http://www.freshmail.pl/blog/more/odpowiedzi-na-pytania-w-sprawie-nowelizacji-ustawy-o-ochronie-danych-osobowych">Publikujemy je na naszym blogu</a>. Po rozmowie z urzędnikami GIODO odnoszę wrażenie, że sejm przygotował nam kolejny ustawowy bubel. <br /><br />Przykładowo okazuje się, że jeśli w programie pocztowym (typu Outlook) przechowujemy adresy byłych i obecnych klientów i wykorzystujemy te kontakty do celów biznesowych, to formalnie powinniśmy zarejestrować taką bazę danych :) Co ciekawe, jeżeli używamy laptopa mamy poważny problem, gdyż wymogi ochrony fizycznej takiego komputera - na którym znajdują się dane osobowe - są praktycznie nie do spełnienia w przypadku laptopa ;)<br /><br />Myślę, że Sare, ThinkOpen i FreshMaila powinni przedyskutować ten temat na najbliższym spotkaniu gruby roboczej e-mail marketingu w IAB i podjąć jakieś przydatne dla rynku kroki wyjaśniające sytuację.

Niestety zgadzam się w 100% z opinią Kasi, że informacja jest mało merytoryczna. W tym kształcie tylko wprowadza niepotrzebne zamieszanie i poprostu straszy. W efekcie bardziej szkodzi niż pomaga.<br /> <br /> Nowelizacja Ustawy w żaden sposób nie dotyczy adresów e-mail. Zaróno opinia zamieszczona na stronach GIODO jak i sama nowelizacja znane są od ponad roku. Nic tu się nie zmienia, więc sensu wysyłania newsa po prostu nie rozumiem, bo nawet informacja PR nie może być o niczym.<br /> <br /> Co można było zrobić zamiast tego? Można było wysłać zapytanie do GIODO w kwestii klasyfikacji adresu e-mail. Oczywiście zrobiliśmy to poprzez SMB jak tylko owa nieprecyzyjna opinia na stronach GIODO się pojawiła, ale nie otrzymaliśmy odpowiedzi. Z pewnością kolejne zapytanie od innej firmy pokazałoby, że problem jest istotny. Dla zainteresowanych treść naszych wątpliwości:<a class="non-html" href="http://www.sare.pl/download/SMB.doc"> http://www.sare.pl/download/SMB.doc</a> <br /> <br /> Można było też zdecydować się na zarejestrowanie własnej bazy w GIODO (byłoby to skądinąd rozsądne, jeśli samemu się do tego namawia) i na tej podstawie przygotować instrukcję przetwarzania danych osobowych, bo jak napisała wcześniej Kamila, podpisanie umowy powierzenia przetwarzania danych to dopiero pierwszy krok w tym kierunku. Najbardziej pracochłonne jest opracowanie dokumentacji, o której mówi rozporządzenie, zastosowanie i opisanie zabezpieczeń itd.<br /> <br /> Tym samym tekst byłby wartościowy i pomocny. Jego przygotowanie wymagałoby więcej pracy i sporo doświadczenia, ale za to wniósłby coś istotnego.

Zgodnie z obietnicą wracam do tematu. Gwoli wyjaśnienia: \"Urzędnicy w GIODO nie do końca potrafią odpowiedzieć na te pytania\". Nie zgodzę się z Twoją opinią. Urzędnicy potrafią i czynią to chociażby na łamach prasy lub na stronie internetowej Urzędu. \"Bylibyśmy wdzięczni, gdyby osoba współodpowiedzialna za nowelizację zabrała głos publicznie. No bo chyba wiedza ta nie jest zarezerwowana jedynie dla osób pracujących nad nowelizacją\"? Nie jestem współodpowiedzialna za nowelizację<br /> - o czym już pisałam. Projekt nowelizacji ustawy został przekazany do zopiniowania wielu instytucjom (takim jak np. NSA czy PIH) w tym również SMB. To po pierwsze; po drugie wiedza, która ma służyć przede wszystkim obywatelom nie jest zarezerwowana dla żadnego wąskiego grona. Inną kwestią pozostaje interpretacja przepisów, ale to nie jest problem tylko tej ustawy.<br /> Na wszystkie zadane pytania można znaleźć odpowiedź w Ustawie. Od siebie mogę dodać słowo komentarza do pytania - co zrobić aby ustrzec się przed karą.<br /> Przede wszystkim trzeba mieć podstawę prawną do przetwarzania danych osobowych, udokumentować źródła pozyskiwania danych osobowych, zakres i cel ich przetwarzania, dopełnić wszystkich obowiązków informacyjnych jakie spoczywają na administratorze danych wynikających z art. 24 i art. 25 ustawy. <br /> Do tego należy pamiętać o właściwym zabezpieczeniu danych, czyli odpowiednich środkach technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzanych danych (art. 36 ustawy), odpowiednich upoważnieniach przekazanych osobom dopuszczonym do przetwarzania danych osobowych (art. 37 ustawy), odpowiednim sposobie sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane ( art. 38 ustawy), sprawdzić, czy prowadzona jest ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych ( art. 39 ustawy), spełnić wymogi odnośnie systemu informatycznego, określonych w rozporządzeniu MSWiA, w sprawie dokumentacji przetwarzania danych osobowych i warunków technicznych i organizacyjnych jakim powinny odpowiadać systemy informatyczne służące przetwarzaniu danych osobowych.<br /> To oczywiście nie wszystko, zainteresowanych odsyłam do Ustawy.<br /> <br /> A wracając do jeszcze jednej kwestii dyskutowanej na forum, a mianowicie, czy adres e-mail w postaci imie.nazwisko@domena.pl może zostać uznany za dane osobowe.<br /> W mojej opinii może. Tak się dzieje, gdy e-mail pozwala na zidentyfikowanie Konkretnej osoby (katarzyna.domanska@thinkopen.pl), można dość łatwo określić moją tożsamość (przy odrobinie czasu, można dowiedzieć się, gdzie mieści się ThinkOpen i że pracuje tam osoba o tym nazwisku) ale już katarzyna.domanska@wp.pl nie gdyż, ilość czasu, działań jest zbyt duża, by móc taki adres określić jako daną osobową. Czyli e-mail bez żadnych dodatkowych informacji umożliwiających ustalenie tożsamości osoby nie jest daną osobową w rozumieniu Ustawy.

Panie Krzysztofie, absolutnie nie czuję się współodpowiedzialna (hmm - bardzo bym tego sobie życzyła, myślę, że z korzyścią dla branży). Na wszystkie pytania odpowiem jutro. Myślę, że dla naszego środowiska było by dobrze gdybyśmy mówili jednym językiem, ponad podziałami; wszak ustawa dotyczy całej branży. Na pewno łatwiej będzie się włączyć do dyskusji jeśli będzie ona merytoryczna a nie marketingowa. Zaznaczam, że mój w niej udział odbywa się z ramienia SMB a nie firmy, którą reprezentuję. Jeśli zgodzimy się z tym, ze przyświecają nam wyższe cele (jak edukacja rynku chociażby) a nie działania PR-owe - proszę liczyć na moje zaangażowanie w ww. temacie.

Pani Katarzyno,<br /><br />jako osoba zaangażowana w prace nad nowelizacją ustawy miło by było, gdyby rzuciła Pani trochę światła na jej zapisy. Co zrobić, aby ustrzec się przed karą, w jakich sytuacjach należy rejestrować zbiór danych a kiedy obowiązek ten nas nie dotyczy? Czy forum internetowe z bazą użytkowników gdzie podane są maile jest bazą wymagającą rejestracji? <br /><br />Urzędnicy w GIODO nie do końca potrafią odpowiedzieć na te pytania. Bylibyśmy wdzięczni, gdyby osoba współodpowiedzialna za nowelizację zabrała głos publicznie. No bo chyba wiedza ta nie jest zarezerwowana jedynie dla osób pracujących nad nowelizacją?<br /><br />Z chęcią zaktualizujemy informację prasową o Pani wypowiedź, bądź przygotujemy nową. Będę wdzięczny za odpowiedz tutaj, lub na maila.

@Katarzyna<br /> <br /> To oczywiście nie był PR ;)

Doskonały PR, jestem pod wrażeniem. Tak się składa, że jako jedyna osoba z grona dyskutantów (jak sądzę) miałam przyjemność uczestniczyć w pracach nad nowelizacją ustawy i brać udział w publicznym odczycie projektu w Sejmie w lipcu tego roku. Nowelizacja zakłada dodatkowy system kar (oprócz sankcji karnych mają być jeszcze administracyjne) oraz przewiduje inne zmiany jak np. ustanowienie dwóch nowych typów czynów zabronionych. Natomiast wątek podniesiony przez kolegów z FreshMaila jest po prostu świetnym tekstem reklamowym - nie pierwszym zresztą. Chciałabym jednakże powiedzieć, że sama rejestracja może nie uchronić przed karą, po drugie nie zawsze przetwarzający dane ma obowiązek rejestracji zbioru danych. Zainteresowanych merytorycznymi a nie marketingowymi szczegółami zapraszam do kontaktu

@Bartosz<br /> <br /> coż mogę ci powiedzieć, rózniwż widziałęm to od środka, i moje obeserwacje są takie, że prawnicy, specjaliści napiszą, a posłowie w jedno posiedzenie komisji wszystko zdemolują, i tylko czasem da się to jeszcze na kolejnym etapie odkręcić. porówując to do temtu wątku, to co urząd wypracuja, a to co połowie zostawia w zapisach tego nawet frashmail wiedzieć nie może,

@mn<br /> <br /> Miałem przyjemność obserwować takie prace od środka i tyle. A jeśli masz na myśli tzw. \"ustawy na zamówienie\" to i tak jednoosobowo ciężko napisać taki projekt ;) <br /> <br /> Cóż, gdyby Cię to jeszcze nurtowało, to proponuję poczytać o procesie legislacyjnym, np. u Sarneckiego;)

@Bartosz<br /> <br /> jesteś idealistą

@mn<br /> w praktyce tak to wygląda: urzędnicy przegotowują, a sejm głosuje. I całe szczęście, bo parlamentarzyści nie mają kompetencji, by pisać projekty ustaw, zwłaszcza regulujące skomplikowaną materię:) To zawsze jest sztab prawników, specjalistów w swoich dziedzinach, itp...

a od kiedy to urzędnicy pracują nad ustawami? sejm już pogoniliśmy?

@Kamila <br />Ad1. Oczywiście informacje opublikowane na stronie GIODO nie są aktem prawnym. Pamiętajmy jednak, że urzędnicy GIODO będą de facto podejmowali decyzję co do tego co jest, a co nie jest daną osobową. Co więcej - zarejestrowanie bazy danych nic nie kosztuje, zatem, sugerujemy rejestrowanie zbiorów dla świętego spokoju. <br /> <br />Ad2. Dokładnie o tym pisaliśmy. <br /> <br />Ad3. Kamila od samego początku piszemy, że jest to projekt ustawy. Jednak z informacji jakie uzyskaliśmy od urzędników GIODO wynika, że prace w Sejmie nad nim dobiegają końca. <br /> <br />Dlatego urzędnicy radzą i sugerują, aby bazy danych e-maili rejestrować.

jest zarejestrowane jako eskadra

Witam wszystkich:)<br /> Fajnie, że temat został podjęty, ale sprostowania wymagają pewne informacje, które pojawiły się w tekście:<br /> 1. Informacja znajdująca się na stronach GIODO (o klasyfikacji adresu e-mail, jako danej osobowej) nie ma żadnej mocy prawnej, a dodatkowo stoi w sprzeczności z innymi opiniami GIODO. Problem w tym, że adres e-mail jest tylko pewnym identyfikatorem i ciągiem znaków ustalanym przez administratora serwera. Każda osoba może, więc posługiwać się dowolnym adresem e-mail, włączając w to imię i nazwisko innej osoby. Także wg opinii większości prawników trudno uznać jakikolwiek adres e-mail za dane osobowe.<br /> 2. Kara owszem, może zostać nałożona, ale ?na podmiot, który nie wykonuje decyzji Generalnego Inspektora?. W razie wątpliwości najlepiej po prostu zapoznać się z projektem nowelizacji:<a class="non-html" href="http://www.Sare.Pl/download/projekt.rtf"> www.Sare.Pl/download/projekt.rtf</a> <br /> 3. Nowelizacja to dopiero projekt i nie wiadomo, w jakim brzmieniu i kiedy zostanie uchwalona.<br /> Tak, więc podsumowując: baza składająca się z samych adresów e-mail rejestracji generalnie nie podlega, ale jeśli ktoś ma ochotę może to zrobić :) Natomiast warto zwrócić uwagę, że poza podpisaniem umowy na przetwarzanie danych osobowych powinien opracować dokumentację, na którą składa się:<br /> 1. Instrukcja zarządzania systemem informatycznym<br /> 2. Polityka bezpieczeństwa<br /> 3. Ewidencja<br /> Z ciekawości sprawdziłam też czy Freshmail lub Opcom sami zarejestrowali bazę? Platforma e-GIDOO<a class="non-html" href="http://egiodo.giodo.gov.pl/search_basic.dhtml"> http://egiodo.giodo.gov.pl/search_basic.dhtml</a> mówi, że nie :)

Tak się składa, że to przedstawiciele Freshmaila w nieoficjalnej rozmowie z pracownikami GIODO dowiedzieli się, że nowelizacja ustawy już niebawem wejdzie w życie. Na tej podstawie przygotowana została notatka prasowa, która została rozesłana do mediów branżowych. Normalne PRowe działania. <br /> <br />Może przy każdym newsie dotyczącym Opcomu lub jednej z jego marek powinien być disclamer :)

Jest to zwykly material PRowy.

\"...pracownicy FreshMail bezpłatnie służą pomocą w załatwianiu tych zawiłych czasem kwestii formalno-urzędowych.\" :D<br /> Używając języka młodych internautów - mega LOL, tudzież Epic Fail.

Krzysiek, moze masz racje, ale na pewno znasz to powiedzenie o zonie cezara... Skoro wiadome jest ze interaktywnie i freszmajl maja tych samych wlascicieli, to w waszym interesie powinno byc zwracanie szczegolnej uwagi na sytuacje, w ktorych wystepuja watpliwosci podobne do moich.<br /> <br /> Powiedz szczerze: czy w tym newsie jest cokolwiek, co tlumaczy, dlaczego to freszmejl a nie sare?

Adam, co gorsze, tubą Opcomu, a właściwie Freshmaila stało się sporo serwisów branżowych:<br /><br /><a target="_blank" href="http://e-biznes.pl/inf/2008/24493.php?rss">E-biznes</a><br /><a target="_blank" href="http://di.com.pl/news/24067,0,Wysokie_grzywny_za_niezgloszenie_bazy_danych_osobowych.html">Dziennik Internautów</a><br /><a target="_blank" href="http://gospodarka.gazeta.pl/gospodarka/1,60488,5828589,Kary_za_niezgloszenie_bazy_e_mailowej_.html">Gazeta.pl</a><br /><a target="_blank" href="http://mediafm.net/reklama/17389,Nowa-ustawa-o-ochronie-danych-osobowych-bedzie-wymagac-rejestracji-baz-e-mailowych.html">MediaFM</a><br /><a target="_blank" href="http://media2.pl/internet/41944-wiezienie-za-bazy-emailowe:popularne.html">Media2</a><br /><br />Nawet ikona Web 2.0 - Wykop.pl także jest po tej złej stronie mocy:<br /><br /><a href="http://www.wykop.pl/link/103796/wysokie-kary-za-niezgloszenie-bazy-e-mailowej" class="non-html">www.wykop.pl/link/103796/wysokie-kary-za-niezgloszenie-bazy-e-mailowej</a>

Jak widac interaktywnie.com staje sie coraz glosniejsza tuba Opcomu.<br /> To przykre, ale prawdziwe. A jesli ktos twierdzi inaczej, to niech mi powie, co informacja o nowelizacji ustawy ma wspolnego z Freszmejlem??? i dodatkowo te brzydkie logo firmujace newsa...

Zapytam przekornie - czy moją ksiazke adresowa tez mam zarejstrować?

Z nieoficjalnych informacji jakie uzyskali przedstawiciele FreshMail - dobre, dobre, buhahahahaah