Nie każdy ma prawo gromadzić dane osobowe klientów

@RY1@i02/2013/079/i02.2013.079.13000020c.802.jpg@RY2@

Jakub Dwernicki, prezes spółki Ogicom

CZYTELNIK: Moja spółka chce rozpocząć gromadzenie danych osobowych klientów. Wiem jednak, że taka działalność jest reglamentowana. Jaki jest bezpieczny zakres pobieranych danych, jak należy z nimi postępować, jakie kary grożą w przypadku naruszenia prawa?

Nawet z pozoru banalna działalność związana z gromadzeniem i przetwarzaniem danych osobowych może mieć dla firmy bardzo poważne konsekwencje prawne. Jeżeli spółka prowadzi serwis internetowy, obsługuje stronę www czy nawet zamieszcza posty na firmowym blogu specjalistycznym, a prawdziwym celem takiej działalności jest zbieranie informacji o odwiedzających wirtualny serwis konsumentach, pobieranie od nich informacji, a nawet prostych adresów internetowych, i wykorzystywanie ich na przykład w działalności marketingowej (direct mailing), jej pracownicy powinni uważnie śledzić aspekty prawne obejmujące kwestie ochrony danych. Warto pamiętać, że mając na stronie banalny formularz kontaktowy czy publikując wzór zgody na otrzymywanie newslettera dochodzi do przetwarzania informacji wrażliwych, które zapisywane są w specjalnym folderze umiejscowionym na serwerze operatora hostingu.

Każdy zbiór zgodnie z ustawą należy rejestrować w Urzędzie Głównego Inspektora Ochrony Danych Osobowych. To instytucja stojąca na staży legalności obiegu informacji o konsumentach. Najważniejszym zadaniem GIODO jest nadzorowanie prawidłowości przechowywania, przetwarzania i wykorzystywania zbiorów danych osobowych. Mogą one być bowiem, co wielokrotnie miało miejsce i nadal się zdarza, zbierane przez nieuprawnione do tego firmy i osoby, stać się przedmiotem handlu, a nawet trafić na czarny rynek i być wręcz wykorzystane w celach przestępczych. Gromadzone informacje o klientach, konsumentach, współpracownikach czy kontrahentach trzeba zatem odpowiednio zabezpieczyć, tak aby nie trafiły do obiegu zewnętrznego, nie zostały zniszczone, wykasowane lub zmanipulowane. Osoby, których dane są wykorzystywane do działalności komercyjnej, muszą w sposób określony jako niebudzący wątpliwości wyrazić na to zgodę, najlepiej na piśmie. Powinny również wiedzieć, w jakim celu, zakresie i przez kogo informacje takie będą przetwarzane, kopiowane i do czego używane. Innymi słowy - konsument wyrażający zgodę na przekazanie firmie czy osobie prywatnej informacji o sobie, swoim miejscu zamieszkania, pracy, adresach realnych i e-mailowych, numerach telefonów itp. musi mieć świadomość tego, na co się zgadza. W przeciwnym razie zbierający informacje naraża się na wszczęcie wobec niego trybu roszczeniowego. Jest on o tyle niebezpieczny zarówno dla firmy, jak i jej właściciela, że za niezgodne z prawem gromadzenie, przechowywanie i przetwarzanie danych osobowych grożą poważne sankcje administracyjne. Jeżeli dane wykorzystywane były w obiegu komercyjnym, GIODO może ukarać przedsiębiorstwo grzywną w wysokości do 200 tys. zł. W skrajnych przypadkach korzystanie z nielegalnych informacji może się skończyć ograniczeniem lub nawet karą bezwzględnego pozbawienia wolności. Póki co Temida w takich przypadkach jest stosunkowo łaskawa. Dotychczas sankcje karne w tym zakresie stosowane były z umiarem. Ale wszystko wskazuje na to, że związane z ochroną danych osobowych restrykcje będą coraz poważniejsze. Komisja Europejska prowadzi prace nad reformą przepisów. Jeśli jej propozycje zostaną przyjęte kara wynosić będzie nawet do miliona euro. W innym wariancie sankcja ma być związana z poziomem generowanych przez firmę przychodów. Pod uwagę brana jest grzywna w wysokości od 2 do 5 proc. rocznych obrotów.

Ale oskarżone o nielegalne zbieranie informacji przedsiębiorstwo naraża się także na straty wizerunkowe. Informacja o zainteresowaniu działalnością firmy ze strony GIODO, podobnie jak upublicznienie kłopotów finansowych, roznosi się błyskawicznie. Na ciasnym rynku jest to okazja do zdyskredytowania konkurencji. Podmiot oskarżony o nielegalne zbieranie i przetwarzanie danych osobowych może stracić klientów, trafić na koniec kolejki u dostawców i kontrahentów, wpaść w inne tego rodzaju kłopoty.

Dlatego przedsiębiorstwa mające szczególnie intensywny kontakt ze zbiorami danych osobowych powinny rozważyć podpisanie umowy powierzenia z firmą hostingową. Dokument taki przenosi na hostera część obowiązków związanych z ochroną informacji wrażliwych. Wtedy zadaniem operatora będzie czuwanie nad bezpieczeństwem danych. Ale trzeba pamiętać, że dobrze sformułowana umowa powinna wyraźnie określić zakres i cel przetwarzania danych. Najlepiej, gdy stanowi ona załącznik do umowy hostingu na serwerach współdzielonych czy dedykowanych.

Jakub Dwernicki,

prezes spółki Ogicom