UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

W jaki sposób agencja reklamowa może przeprowadzić zgodnie z ustawą o ochronie danych osobowych akcję promocyjną, polegającą na zebraniu adresów e-mail i przekazaniu ich swojemu klientowi do celów marketingowych? Czy można wysyłać informacje na adresy e-mail, które znajdują się w posiadanej bazie danych, bez pozyskiwania każdorazowo zgody osób, do których kierowana będzie korespondencja?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2009-07-07
Wprowadził‚ informację: Rafał Kreusch 2009-07-15 13:23:38
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Ustawodawca nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu, czy określona informacja lub informacje stanowią dane osobowe nieuniknione jest w większości przypadków dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych do identyfikacji osoby.

Adres poczty elektronicznej związany jest z usługą dostarczania/wysyłania wiadomości przy użyciu sieci telekomunikacyjnej. Podobnie jak numer telefonu komórkowego, adres poczty elektronicznej związany jest z infrastrukturą sieciową zarządzaną przez określonego operatora/dostawcę, u którego podczas tworzenia konta poczty elektronicznej rejestrowane są dane użytkownika. Natomiast, dla oceny, czy określony adres e-mail będzie daną osobową niezbędnym jest analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego). Informacje uzyskane z tej analizy mogą pozwolić na bezpośrednie zidentyfikowanie osoby fizycznej lub umożliwią jej pośrednią identyfikację. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu, podobnie jak na podstawie adresu IP użytkownika komputera. Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten prowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych nie będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku.

Aby można było mówić o legalnym procesie przetwarzania danych, w tym zbierania danych osobowych, administrator danych musi spełnić co najmniej jeden z warunków określonych w art. 23 ust. 1 ustawy (co do danych tzw. „zwykłych” – jak np. imię, nazwisko, adres zamieszkania) oraz w art. 27 ust. 2 ustawy (w odniesieniu do danych szczególnie chronionych – ich katalog został określony w art. 27 ust. 1 ustawy). Ponadto administrator danych powinien dopełnić również innych obowiązków wynikających z ww. ustawy, do których należą: obowiązek informacyjny (art. 24 lub 25 ustawy), obowiązek przetwarzania danych osobowych zgodnie z zasadami legalizmu, związania celem, adekwatności (art. 26 ust. 1 ustawy), obowiązek respektowania praw kontrolnych osób, których dane dotyczą, obowiązek odpowiedniego zabezpieczenia danych osobowych (rozdział 5 ustawy), obowiązek zgłoszenia zbioru danych osobowych do rejestracji, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1 – 11.

Ustawa o ochronie danych osobowych, zgodnie z zasadami określonymi w art. 31, umożliwia również przetwarzanie danych osobowych na podstawie umowy powierzenia. Szczegółowe obowiązki zarówno administratora danych, jak i podmiotu, któremu powierzono przetwarzanie danych należy zatem określić w zawartej między nimi umowie.

W oparciu o przepisy ustawy o świadczeniu usług drogą elektroniczną, regulującej kwestie dotyczące obowiązków usługodawców związanych ze świadczeniem usług drogą elektroniczną oraz zasady ochrony danych osobowych użytkowników poczty elektronicznej, zakazane jest przesyłanie za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy (art. 10 ust. 1 ww. ustawy). Informację handlową – w myśl art. 10 ust. 2 ustawy – uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Art. 4 ust. 1 powołanej ustawy stanowi zaś, iż jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta nie może być domniemana lub dorozumiana, ponadto może być odwołana w każdym czasie. Z art. 10 ust. 3 ww. ustawy wynika natomiast, iż przesyłanie niezamówionej informacji handlowej (tzw. spamming) stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 z późn. zm.). W takiej sytuacji osoba, do której kierowana jest przedmiotowa informacja, może zwrócić się do właściwego ze względu na miejsce jej zamieszkania miejskiego (powiatowego) rzecznika konsumentów.

Ostatnie aktualności