Jeden z klientów biura rachunkowego inFakt w mediach społecznościowych skrytykował nowy cennik usług firmy. W facebookowej dyskusji użył profilu ze swoim imieniem i nazwiskiem, dzięki czemu firma zidentyfikowała go jako faktycznego klienta. Starała się go przekonać, że w nieodpowiedni sposób dobrał ofertę do swoich potrzeb.
„Panie Michale, z informacji dostępnych w systemie wystawia Pan wyłącznie faktury sprzedażowe. W takim przypadku odpowiednim planem dla Pana będzie plan inFakt Faktury za 4,99 zł miesięcznie bez limitu dokumentów” – napisał inFakt w publicznie widocznej wiadomości.
Czytaj także: GoldenLine znika z sieci. Dane osobowe użytkowników – już niekoniecznie
Pisanie do klienta a RODO
Taki sposób komunikacji w ostrych słowach skomentował na Linkedinie prawnik Przemysław Caputa. Jego zdaniem doszło do dwóch naruszeń przepisów RODO. Po pierwsze, osoby odpowiedzialne w firmie za marketing uzyskały dostęp do danych o wystawianych fakturach, księgowości itp. Po drugie, informacje te dotyczące konkretnego klienta zostały podane publicznie. Wpis wywołał ożywioną dyskusję: część ekspertów podzieliła obawy, część nie doszukiwała się naruszeń, ktoś inny zastanawiał się zaś, czy sprawa nie jest „ustawką” mającą zwrócić uwagę na ofertę usług firmy.
Serwis Prawo.pl poprosił ekspertów o opinie w tej sprawie.
Cena promocyjna: 53.1 zł
|Cena regularna: 59 zł
|Najniższa cena w ostatnich 30 dniach: 59 zł
- Moim zdaniem - odrywając się od przypadku konkretnego dostawcy - podmiot świadczący usługi księgowe występuje w podwójnej roli: jako administrator danych osobowych swojego klienta oraz jako podmiot przetwarzający dane innych osób, jakie mogą znaleźć się na fakturach. - mówi Witold Chomiczewski, radca prawny i wspólnik zarządzający w Lubasz i Wspólnicy. - Jeżeli chce przedstawić klientowi nową ofertę w oparciu o analizę danych z faktur, wystąpi jako administrator i musi mieć podstawę legalizującą przetwarzanie danych w takim celu. W grę może tu wchodzić prawnie uzasadniony interes administratora. Wymaga to jednak każdorazowej analizy i wykonania testu równowagi. Ważny będzie także zakres przetwarzanych danych, bo dla realizacji celu w postaci przygotowania oferty wystarczające może okazać się analizowanie informacji o liczbie wystawianych faktur czy wysokości dokumentowanego nimi wynagrodzenia.
Mec. Chomiczewski dodaje też, że jeśli administrator z własnej inicjatywy zwróci się do klienta tradycyjną pocztą, może potencjalnie oprzeć się na prawnie uzasadnionym interesie, jeśli jednak chcą przesłać ofertę przez email lub SMS, potrzebna będzie zgoda na to działanie..
- Unikałbym natomiast odwoływania się do indywidualnej sytuacji klienta w ramach publicznej komunikacji np. na profilach w mediach społecznościowych. Jeżeli będzie to powiązane z przetwarzaniem danych osobowych, to taki cel przetwarzania będzie musiał być oparty na wynikającej z RODO podstawie prawnej. Mam wątpliwości czy administrator może uzasadniać taki sposób odpowiadania na zarzuty klienta prawnie uzasadnionym interesem w postaci ochrony swojej renomy lub dobrego imienia – podnosi Witold Chomiczewski. - To będzie zależało od konkretnej sytuacji i okoliczności sprawy. Musi być poprzedzone testem równowagi, czyli oceną czy prawa i wolności danej osoby będą nadrzędne nad prawnie uzasadnionym interesem administratora. Musi on również zwrócić uwagę, czy łącząca go z klientem umowa nie zawiera postanowień dotyczących ochrony poufności i czy publiczna odpowiedź nie doprowadzi do ich naruszenia - dodaje.
- Jedną ze sztandarowych zasad określonych w RODO jest poufność danych osobowych, tym samym ich nieujawnianie osobom nieuprawnionym - mówi Martyna Popiołek-Dębska, radca prawny, inspektor ochrony danych osobowych. Zwraca uwagę, że inFakt opublikował komentarz dotyczący klienta w dostępnym dla każdego profilu na Facebooku, a więc mogli zapoznać się z nim użytkownicy tej platformy, którzy są osobami nieuprawnionymi do pozyskania informacji o kliencie zawartych w opublikowanym komentarzu.
- Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Korzystanie z określonego narzędzia, brak używania poszczególnych funkcjonalności oprogramowania mogą stanowić dane osobowe. Nieużywanie poszczególnych funkcjonalności oprogramowania może być rozumiane jako ujawnienie preferencji konkretnego użytkownika - wskazuje Martyna Popiołek-Dębska.
Jej zdaniem fakt, że klient sam ujawnia informacje o korzystaniu z oprogramowania inFakt, nie oznacza, że inFakt powinien potwierdzić tę okoliczność publicznie.
- Reasumując, opublikowanie ww. informacji o kliencie w ramach komentarza na portalu społecznościowym Facebook może być potraktowane jako naruszenie przepisów RODO, tj. ujawnienie danych niezaufanym odbiorcom, czyli utratę ich poufności - mówi ekspertka. - Wobec tego zdarzenie powinno być przez inFakt wewnętrznie przeanalizowane pod kątem ryzyk dla podmiotu danych związanych z incydentem i zweryfikowane, czy stanowi naruszenie ochrony danych oraz czy wymaga notyfikacji do prezesa Urzędu Ochrony Danych Osobowych, jak i powiadomienia o zdarzeniu podmiotu danych - dodaje.
Czytaj w LEX: Będzie łatwiej dzielić się danymi > >
Oferta uszyta na podstawie faktur
Czy dział marketingu może w ogóle mieć dostęp do faktur?
- Po pierwsze, to zależy od procesów przetwarzania realizowanych u danego administratora - mówi mec. Chomiczewski. Jak wyjaśnia, taki proces musi opierać się na przesłance legalizującej przetwarzanie (wymienia je RODO) i musi być zgodny z zasadą ograniczenia celu i zasadą minimalizacji danych. - Konieczne byłoby uzasadnienie, dlaczego pełna treść faktur przechowywanych przez klienta w systemie spółki jest niezbędna dla działań działu marketingu - kontynuuje prawnik. - Biorąc pod uwagę, że treść faktur zawiera też dane osobowe nabywców (będących osobami fizycznymi), to dostęp do pełnej treści faktur będzie trudny do uzasadnienia w ramach procesu marketingowego realizowanego względem klienta spółki. Dodatkowo, jeżeli dla działu marketingowego dla potrzeb przygotowania np. oferty przedłużenia współpracy potrzebna byłaby wiedza o liczbie faktur przechowywanych w systemie, to dostęp do pełnej treści faktur naruszałby RODO. Po drugie, w rozważanej sytuacji nie można z góry zakładać, że pracownicy marketingu odpowiedziani za komunikację firmy w mediach społecznościowych mają dostęp do pełnych danych z faktur. Mogą otrzymywać np. jedynie dane liczbowe i statystyczne, nie widzą natomiast danych pozwalających zidentyfikować odbiorcę konkretnej faktury, czy informacji o przedmiocie transakcji dokumentowanej fakturą.
Także mec. Popiołek-Dębska zwraca uwagę, że osoby odpowiedzialne za prowadzenie profilu inFaktu w mediach społecznościowych wcale nie musiały uzyskiwać dostępu do faktur klienta. - Informacje "osobopoznawcze" mogą być ujawnione pracownikowi czy współpracownikowi w postaci zagregowanej i np. prowadzący profil na Facebooku ma dostęp do profili klientów, a nie do kont klientów i ich faktur oraz danych w nich zawartych - zwraca uwagę ekspertka.
Zobacz także w LEX: Uzyskiwanie przez osoby prywatne danych telekomunikacyjnych oraz danych internetowych > >
Stanowisko inFakt
- Pragniemy zapewnić, że podchodzimy do bezpieczeństwa danych naszych klientów z pełną powagą. Przytoczony przypadek jest przez nas analizowany i podejmiemy stosowne kroki, jeśli doszło do zaniechań po naszej stronie – przekazał Prawo.pl Piotr Juszczyk, główny doradca podatkowy inFaktu.
Czytaj również w LEX: Pozaprocesowe i procesowe uzyskiwanie danych internetowych > >
Konferencja „Ocena ryzyka a ochrona danych osobowych”
23 stycznia br. w godz. 10–16 w siedzibie Urzędu Ochrony Danych Osobowych w Warszawie (ul. Stawki 2, budynek Intraco, sala konferencyjna na 38. piętrze) odbędzie się konferencja „Ocena ryzyka a ochrona danych osobowych”. Wydarzenie jest bezpłatne i odbędzie się w formule hybrydowej z transmisją online na stronie www.uodo.gov.pl.
Okazją do spotkania jest XIX Dzień Ochrony Danych Osobowych, obchodzony 28 stycznia.
Głównym tematem konferencji będzie prawidłowe przeprowadzanie przez administratorów oceny ryzyka dla ochrony danych osobowych oraz znaczenie tego procesu dla zarządzanych przez nich organizacji. W programie znalazły się różne tematy dotyczące ryzyka.
- Podejmowane tematy będą próbą odpowiedzi na pytanie, dlaczego analiza ryzyka jest tak istotna i jaki jest jej sens w procesie zarządzania i podejmowania strategicznych decyzji. Szczególną uwagę poświęcimy temu, w jaki sposób analiza może nie tylko pomóc w zrozumieniu potencjalnych zagrożeń, ale także przynieść znaczące korzyści organizacjom, firmom i instytucjom publicznym – podaje UODO.
Organizatorami konferencji są: prezes UODO oraz Społeczny Zespół Ekspertów przy Prezesie UODO we współpracy z dziekanem Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Konferencja „Ocena ryzyka a ochrona danych osobowych” odbędzie się pod patronatem medialnym serwisu Prawo.pl.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.