Newsletter - jak to zrobić? Cz. 2 - zgoda użytkownika




Przedstawiam drugą część cyklu o newsletterach. Dzisiaj dowiesz się, co powinno znaleźć się w zgodzie wyrażonej przez użytkownika na przetwarzanie danych osobowych. W kolejnej części omówimy obowiązki administratora danych osobowych w związku z już przetwarzanymi danymi.

Jak wiesz z pierwszej części cyklu, adresy e-mail zbierane w celu przesyłania newslettera, mogą zostać uznane za dane osobowe w świetle ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwłaszcza jeśli zawierają imiona, nazwiska, nazwę firmy albo występują wspólnie z innymi informacjami dotyczącymi danej osoby.


Nie da się przewidzieć, na jaki adres mailowy Twoi użytkownicy będą chcieli otrzymywać newsletter. W praktyce warto więc przygotować wzór zgody na przetwarzanie danych osobowych, który zapisujący się na newsletter powinni zaakceptować.


Zgoda na przetwarzanie danych osobowych


Ustawa o ochronie danych przewiduje różne przypadki, kiedy można przetwarzać dane osobowe, ale z punktu widzenia newslettera najbardziej interesuje nas zgoda na przetwarzanie danych osobowych. Jeśli nie zachodzi żaden inny przypadek z ustawy, to właśnie ona jest niezbędna, aby legalnie przetwarzać dane osobowe.


Treśc zgody


Nie ma odgórnego wzoru zgody na przetwarzanie danych osobowych. Ustawa mówi za to, jaką zgoda powinna mieć treść. Jak myślisz, co powinno się w niej znaleźć?


Na to pytanie odpowiada art. 7 pkt 5 ustawy, zgodnie z którym:


“Przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenia; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.”


Z treści udzielonej zgody powinno bez wątpliwości wynikać, na co została udzielona, czyli:
  • w jakim celu,
  • w jakim zakresie
  • i przez kogo
dane będą przetwarzane. Zgoda na przetwarzanie danych osobowych nie może być blankietowa, nie wystarczy ogólna formuła, bez wskazania o jakie dane chodzi i w jakim celu będą one przetwarzane (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych osobowych. Komentarz, Wolter Kluwers S.A. 2015).


Forma zgody jest dowolna; oczywiście w przypadku newsletterów będzie to zgoda elektroniczna. Bardzo ważne jest to, że udzielenie zgody musi być aktywnym działaniem użytkownika. Nie wystarczy poinformowanie o zamiarze przetwarzania danych osobowych i brak sprzeciwu drugiej strony. Checkbox umieszczony przy oświadczeniu o wyrażeniu zgody nie powinien także być z góry zaznaczony - użytkownik musi czynnie wyrazić zgodę na przetwarzanie swoich danych.


Co oprócz zgody?


Osoba lub podmiot przetwarzający dane osobowe to administrator danych osobowych. Ma on pewne obowiązki. Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych, przy zbieraniu danych od osoby, której dane te dotyczą, administrator musi poinformować tę osobę o:


  1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
  2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
  3. prawie dostępu do treści swoich danych oraz ich poprawiania,
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.


Udzielenie powyższych informacji jest niezbędne, aby przetwarzanie danych odbywało się zgodnie z prawem. Co prawda przepisy nie wskazują terminu, w jakim należy podać informacje, ale przyjmuje się, że musi to nastąpić jeszcze przed zebraniem danych, co najmniej w zakresie punktu 2 i 4 (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych osobowych. Komentarz, Wolter Kluwers S.A. 2015). Moim zdaniem najlepszym wyjściem będzie podanie wszelkich niezbędnych informacji od razu. 

Oczywiście muszą one być konkretne oraz aktualne.


Partnerzy handlowi


Jak to jest, że czasami wyrażamy zgodę na przetwarzanie naszych danych osobowych przez jakiś podmiot, a następnie okazuje się, że nasze dane znajdują się w posiadaniu innych osób czy firm?


Warto wiedzieć, że dopuszczalne jest zbieranie takiej zgody na przetwarzanie danych osobowych, w której od razu zaakceptujemy, że administrator danych będzie je przekazywał innym podmiotom. Powinny one zostać wskazane oraz cel przetwarzania danych powinien być tożsamy.

Czytajmy więc uważnie treść zgód na przetwarzanie danych osobowych, a konstruując je, zastanawiajmy się nad ich zakresem.


Cele marketingowe i informacje handlowe

Czasami spotyka się praktykę, zgodnie z którą łączy się zgodę na przetwarzanie danych w określonym celu (np. wykonywanie umowy) ze zgodą na przetwarzanie danych osobowych w celach marketingowych i tworzy się z obu zgód jedno oświadczenie użytkownika. Jest to nieprawidłowe. Zgodna na przetwarzanie danych osobowych w celach marketingowych musi być zgodą odrębną, tak aby użytkownik był w stanie wyrazić ewentualną zgodę na przetwarzanie swoich danych w jasno określonym, konkretnym celu.

UWAGA! Również zgoda na otrzymywanie informacji handlowych drogą elektroniczną, uregulowana w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną - jeżeli chcemy ją odebrać - powinna być odebrana oddzielnie od zgody lub zgód na przetwarzanie danych osobowych.

Jak wskazał np. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 27 kwietnia 2011 (sygn. akt II SA/Wa 269/11), "umieszczenie zgody na dwa w istocie sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę".

Zapamiętaj!
  • Aby legalnie przetwarzać cudze dane osobowe, musi to być możliwe na gruncie ustawy o ochronie danych osobowych.
  • W kwestii newslettera najbardziej interesuje nas zgoda na przetwarzanie danych osobowych, wymieniona w ustawie o ochronie danych osobowych jako jeden z przypadków, kiedy przetwarzanie danych jest zgodne z prawem.
  • Zgoda ta musi być wyraźna i bez wątpliwości musi z niej wynikać, na co dana osoba się zgodziła: jakie jej dane będą przetwarzane w jakim zakresie oraz w jakim celu i przez kogo.
  • Forma zgody na przetwarzanie danych osobowych jest dowolna.
  • Zgoda na przetwarzanie danych osobowych może być w każdym czasie odwołana.
  • Administrator danych osobowych musi udzielić osobie, od której zbiera danej, informacji w zakresie wskazanym w ustawie o ochronie danych osobowych.
  • Zgoda na przetwarzanie danych osobowych, np w celu wykonania umowy oraz zgoda na cele marketingowe powinny być odrębne. Odrębna powinna także być zgoda na otrzymywanie informacji handlowych drogą elektroniczną.


Jakie pytania nasuwają się Wam, jako użytkownikom, a może i twórcom newsletterów? Dajcie znać
w komentarzach lub na Facebooku!


Photo credit: gajman via Foter.com / CC BY

Tagi: , , , , ,

Newsletter - jak to zrobić? Cz. 1 - dane osobowe

Nowe technologie oznaczają nowe drogi komunikowania się z klientami. Sklepy internetowe, strony z usługami, blogi :) - to już standard, ale nadal nie zawsze osoby je prowadzące wiedzą, jak poprawnie konstruować różne funkcje dla użytkowników, tak aby były one zgodne z prawem. Z doświadczenia wiem, że problemem bywają na przykład newslettery. Czy rozsyłając je i zbierając subskrypcje, przetwarzamy dane osobowe? Jak prawidłowo je zebrać? Jak z nimi postępować?


Znając te problemy, postanowiłam przygotować poradnik prowadzenia newslettera. Z dzisiejszej, pierwszej części dowiesz się, czy myśląc o wprowadzeniu na swoją stronę newslettera, powinieneś mieć na uwadze dane osobowe.


W dalszych częściach odpowiemy sobie na pytanie, jak zgodnie z prawem zbierać dane użytkowników, jak powinna wyglądać zgoda na przetwarzanie danych osobowych, co można potem z danymi robić oraz jak postępować z danymi użytkowników newslettera.



Gotowi?


Żeby ustalić, czy mamy do czynienia z danymi osobowymi, absolutną podstawą jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z jej art. 6:


1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.


Nie każdą informację zaliczymy do danych osobowych. Mówiąc najprościej, chodzi o takie informacje, które stosunkowo łatwo pozwalają na zidentyfikowanie danej osoby fizycznej. Stosunkowo łatwo czyli bez:


  • nadmiernych kosztów,
  • czasu
  • lub działań.


Ustawa o ochronie danych osobowych wskazuje ramowo, jakie informacje uznamy za dane osobowe. Wypełnianiem tej pustki zajmuje się praktyka w postaci orzeczeń sądów oraz Generalnego Inspektora Danych Osobowych.


Biorąc zatem pod uwagę przepisy ustawy o ochronie danych osobowych oraz praktykę jej stosowania, za dane osobowe możemy uznać:
  • PESEL
  • NIP
  • numer dokumentu tożsamości
  • wygląd zewnętrzny
  • linie papilarne
  • znaki szczególne
  • obywatelstwo
  • imię i nazwisko


Przy ostatnim przykładzie dobrze widać, jakie znaczenie ma definicja danych osobowych: samo imię nie pozwoli łatwo zidentyfikować konkretnej osoby. Mimo, że Martyna nie jest w czołówce najpopularniejszych imion, to jednak sam wskazanie imienia nie pozwoli znaleźć konkretnej kobiety. Ale już w połączeniu z nazwiskiem będziemy mogli uznać, że mamy do czynienia z danymi osobowymi. Widać więc wyraźnie, że niektóre informacje pozwalają na identyfikację osoby dopiero w połączeniu z innymi informacjami. Jednocześnie to oznacza, że niektóre dane, pozornie same w sobie nieprowadzące do identyfikacji, mogą jednak ją umożliwić, jeśli połączyć je z innymi.


Jakie dane podajemy w newsletterze?


Zapisując się do newslettera na stronie internetowej zawsze podajemy swój adres e-mail. Rzadziej dodajemy do tego imię i nazwisko.


Już wiesz, czym są dane osobowe. A więc jak uważasz - czy adres e-mail zaliczymy do danych osobowych czy nie?


Zastanów się. Odpowiedź znajdziesz poniżej.


Już wiesz? No to sprawdźmy!


Adres e-mail może mieć różną postać. Mogą zawierać nasze imię i nazwisko (np. jan.kowalski@example.com), ale też mogą być neutralne (np. kwiatuszek876@example.com). W przypadku pierwszego przykładu będziemy o wiele bardziej skłonni uznać, że stanowi on daną osobową niż w przypadku drugiego z nich.


W literaturze prawniczej wskazuje się, że adresy internetowe (adres poczty elektronicznej, ale również adres IP) mogą zostać uznane za dane osobowych tylko, jeśli - albo samodzielnie, albo w połączeniu z innymi informacjami przetwarzanymi wraz z nimi - pozwalają na identyfikację konkretnej osoby - użytkownika (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer SA, wyd. 6, 2015).


Prowadzi to do wniosku potwierdzonego również przez GIODO: adres e-mail może stanowić daną osobową, ale trzeba to oceniać z uwzględnieniem okoliczności konkretnego przypadku. Między innymi połączenie z innymi informacjami oraz treść adresu mailowego pozwolą na dokonanie takiej oceny. Jeżeli w adresie widzimy podane imię i nazwisko, powinna nam się zapalić czerwona lampka.


Zapamiętaj!
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawiera definicję danych osobowych.
  • Dane osobowe to informacje, które dotyczą osoby zidentyfikowanej lub możliwej do zidentyfikowania.
  • Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio.
  • Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
  • Adres e-mail może zostać uznany za daną osobową - wszystko zależy od okoliczności konkretnego przypadku. Jednak zawsze musisz mieć to na uwadze, a wzmożona czujność jest wskazana, jeśli w adresie znajduje się imię i nazwisko, a także dodatkowe dane, np. nazwa firmy, w której dana osoba pracuje.



Jakie pytania nasuwają się Wam, jako użytkownikom, a może i twórcom newsletterów? Dajcie znać
w komentarzach!



Zapraszam do przeczytania drugiej części cyklu!

Photo credit: o.tacke via Foter.com / CC BY

Tagi: , , , , ,

Co z tymi torrentami?

Photo credit: johntrainor via Foter.com / CC BY


Torrenty to temat znany i kontrowersyjny. Dzisiaj ponownie zagościł w mediach, po tym jak raper Kanye West zamieścił na Twitterze niefortunne zdjęcie ekranu swojego komputera - takie, na którym wyraźnie widać, że wszedł na stronę Pirate Bay, służącą do wyszukiwania plików w sieci Torrent. Sprawa rozbija się o to, że na Pirate Bay w większości pojawiają się pliki udostępnione bez zezwolenia osób uprawnionych do nich z tytułu praw autorskich.



Biorąc pod uwagę, że Kanye West ostro potępiał nielegalne rozpowszechnianie plików przy okazji niedawnej premiery swojej płyty, sprawa wywołała w Internecie ogromne poruszenie.


Przypomnijmy przy tej okazji, jak to jest z Torrentami w polskim prawie.

Często można przeczytać, że samo ściąganie plików nie jest nielegalne, niedozwolone jest jedynie ich udostępnianie. Jak jest naprawdę? Zgodnie art. 116 ust. 1 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, zgodnie z którym:

Kto bez uprawnienia albo wbrew jego warunkom rozpowszechnia cudzy utwór w wersji oryginalnej albo w postaci opracowania, artystyczne wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 

Kluczowym słowem opisującym zabronione zachowanie jest rozpowszechnianie. Ustawa w art. 6 ust. 1 pkt 3 stwierdza, że

utworem rozpowszechnionym jest utwór który za zezwoleniem twórcy został w jakikolwiek sposób udostępniony publicznie.

W związku z tym, że rozpowszechnienie utworu to jego udostępnianie, a ściągnięcie na dysk polega na skopiowaniu pliku dla siebie, trzeba co do zasady uznać, że ściąganie plików jest legalne, jeżeli nie wiąże się z ich udostępnianiem. Wiąże się to z zagadnieniem tzw. dozwolonego użytku osobistego - zgodnie z art. 23 ust. 1 ustawy o prawie autorskim i prawach pokrewnych:

Bez zezwolenia twórcy wolno nieodpłatnie korzystać z już rozpowszechnionego utworu w zakresie własnego użytku osobistego.

Pamiętajmy jednak, że to nie dotyczy programów komputerowych, których tak czy inaczej ściągać nie wolno, gdyż są wyłączone z dozwolonego użytku prywatnego. Oczywiście dochodzi do tego używanie tak pobranych plików tylko na własny użytek, a ewentualne dzielenie się nim powinno być ograniczone do kręgu najbliższych znajomych lub rodziny.

Ale występują tu dwa problemy.

Po pierwsze, sieci Torrent opierają się na dużej liczbie źródeł, z których można pobierać pliki. Dlatego ich mechanika działania jest najczęściej taka, że pobierając plik, jednocześnie udostępniamy go innym korzystającym. Tutaj widać, że w taki sposób użytkownik torrentów rozpowszechnia plik - a tego już robić nie wolno.

Po drugie, oczywistym jest, że przytłaczająca większość plików znajdujących się w sieci Torrent to pliki, które znalazły się tam bez zgody osób uprawnionych - muzyka, filmy, ebooki i tak dalej. Warto o tym pamiętać.

Podsumowując, korzystanie z sieci Torrent jest ryzykowne i łatwo może prowadzić do naruszania praw autorskich innych osób. A dodatkowo może skończyć się potężną, międzynarodową wpadką - jak pokazuje przykład Kanye Westa.




Tagi: , , , , , , ,

Copyright © Prawnointelektualny - prawo autorskie i doradztwo dla twórców Martyna Czapska

Distributed By My Blogger Themes | Blogger Theme By NewBloggerThemes Up ↑