Menu

Polski e-commerce i zarządzanie e-firmą

Nazywam się Paweł Fornalski. Jestem założycielem i prezesem IAI S.A., dostawcy rozwiązań e-commerce dla sklepów internetowych i rezerwacji noclegów dla właścicieli apartamentów i hoteli. Na tym blogu piszę, w oderwaniu od oficjalnych poglądów innych właścicieli i pracowników IAI o tym co mnie prywatnie porusza. Gdybyś chciał się skontaktować pisz na pawel(a)fornalski.pl

Ochrona danych osobowych jest jak słaba kłódka

pfornalski

Każde prawo musi czemuś służyć. Jeżeli niczemu nie służy, jest zwyczajnym utrudnieniem, które powoduje, że przedsiębiorcom trudniej prowadzi się w jakimś kraju działalność. W Polsce mamy wiele złego prawa, które utrudnia działalność. To dlatego zajmujemy np. w rankingu Doing Business 70 miejsce na świecie, a nie dlatego że mamy np. wszędzie góry jak Austriacy. Tak zwany ogół bez zająknięcia przystosowali się do idiotycznej Ustawy o Ochronie danych osobowych. Np. sklepy internetowe grzecznie zgłaszają do GIODO dane klientów. Wszystko to w imię wyuczonego przez lata PRL posłuszeństwa do nawet najbardziej idiotycznych przepisów. W mediach słyszymy o próbach stworzenia jednego okienka przy rejestracji działalności gospodarczej. Ale to, że istnieje GIODO z absurdalnie skomplikowanymi formularzami nikomu nie przeszkadza. Nawet samo GIODO nie do końca wydaje się wiedzieć po co jest, bo na wszelkie pytania np. czy określone dane podlegają rejestracji odpowiada szablonowym e-mailem odsyłającym do ustawy. Na wszelki wypadek wszyscy zatem rejestrują swoje zbiory lub wynajmują do tego prawników (cena usługi to np. 200zł), a GIODO się cieszy, bo jego sens i środki na utrzymanie są wtedy zapewnione - przecież urząd jest oblegany czyli pracuje.

Kupuję mnóstwo przez Internet, w sklepach na świecie, nie tylko w USA. Jeszcze nigdy nie akceptowałem zgody na przetwarzanie danych osobowych w innym sklepie niż w Polsce. Owszem, akceptuję się regulamin i z tym ludzie na całym świecie są zapoznani. Ale dodatkowy, drugi checkbox w procesie zamawiania wymagający zgody na przetwarzanie danych osobowych jest niezłym ewenementem. Zapewniam, że ludzie z zagranicy potrafią zatrzymać się w procesie zamawiania w momencie gdy przytaczamy im ustawę i wymagamy zgody w myśl jej postanowień. Polacy do tego absurdu już przywykli. Mało kto zdaje sobie sprawę z tego, że mając sklep z siedzibą w Polsce, teoretycznie musisz mieć wyrażanie zgody na przetwarzanie danych osobowych nawet w specjalnej wersji dla klientów zagranicznych. A z drugiej strony, klienci zagraniczni nie są oswojeni z tym polskim wynalazkiem.

Jak pisałem we wstępie, każde prawo musi czemuś służyć. Czy ustawa o ochronie danych osobowych w przypadku sklepów internetowych przed czymś chroni? Ani trochę. Jak dostawałem niezamówione wiadomości e-mailowe lub telefony z ofertami lub SMSy z reklamami tak dostaję. Nie ma dnia, abym na moją skrzynkę nie otrzymał e-maila takiego jak na tym zdjęciu:

Niezamówiona oferta 

Autentyczny niby legalny SPAM. Dane firmy ukryłem aby jej nie reklamować.

 

Jeszcze inne e-maile zaczynają się od „W nawiązaniu do rozmowy telefonicznej przesyłamy ofertę na ...” mimo iż nikt takiej rozmowy telefonicznej nie prowadził.

Wyrażanie wszędzie zgody na przetwarzanie danych osobowych jest jak słaba kłódka. Utrudnia życie właścicielowi np. szopy lub innym osobom, które powinny mieć do niej dostęp, ale nie utrudnia życia złodziejowi. Ten bowiem bierze cegłę leżącą opodal i wali w kłódkę, bez problemu ją otwierając. Jeszcze bardziej śmieszy mnie poczucie bezpieczeństwa, które rzekomo przeciętny zjadacz polskiego chleba. Nie akceptuje on zgody na przetwarzanie danych do celów marketingowych, ale w zamian za termo-kubek w promocji na Facebooku, wyraża nie tylko zgodę mechanicznie i bezapelacyjnie na przetwarzanie danych osobowych ale i na ich odsprzedaż. W efekcie 1000 kolejnych firm staje się legalnie posiadaczem tych danych i robi legalnie to, na co wydaje się temu zjadaczowi chleba, że nie wyraził zgody. Jeszcze zabawniejsze są reakcje co butniejszych, którzy próbują przed tym protestować, awanturując się.

Trzeba powiedzieć otwarcie, że GIODO i Ustawa o ochronie danych osobowych to bubel jakich na świecie próżno szukać. Polski ustawodawca jak zwykle starał się być świętszy od Papierza. W efekcie nie tylko polski podatnik utrzymuje bandę darmozjadów, ale pada ofiarą tego, że wszędzie musi podpisywać zgodę na przetwarzanie danych osobowych, a polskie sklepy internetowe tracą sporą część klientów przez konieczność zatwierdzania ustawy, której nie mają prawa znać.

Komentarze (9)

Dodaj komentarz
  • Gość: [MJ] *.opera-mini.net

    Papieża. Po poprawce można skasować komentarz. :)

  • pfornalski

    Mój jest papierowy ;) A tak na serio to dzięki.

  • Gość: [Wojciech Wiewiórowski] *.nat.umts.dynamic.t-mobile.pl

    Witam

    To ja darmozjad. Szef bandy darmozjadów. Z zasady nie komentuję blogów posługujących się taką retoryką, ale Pański blog był mi wskazywany jako ważny przez specjalistów od informatyki i zarządzania, których opinię cenię, więc pozwolę sobie na małą replikę.
    Zacznę nieco od końca, nie zgadzając się ze stwierdzeniem "(t)rzeba powiedzieć otwarcie, że GIODO i Ustawa o ochronie danych osobowych to bubel jakich na świecie próżno szukać". Oczywiście z tym, że sam jestem "bublem" trudno mi polemizować :), ale co do ustawy przypominam, że regulacje w sprawie tak notyfikacji zbiorów jak i zgody, o których Pan pisze sa podobne w całej Europie, gdzie opierają się na tej samej podstawie, jaką jest dyrektywa z 1995 r. W ok. 40 innych krajach świata (poza UE) mamy do czynienia z podobnym stanem prawnym. Oczywiście nie ma takiego systemu w USA, ale co Pana zdziw zapewne FTC z wolna ku niemu zmierza. Prawdą jest również, że w niektórych krajach (np w Wielkiej Brytanii) obowiązek notyfikacji wiąże się również z opłatami, czego w Polsce nie ma. Oczywiście nie oznacza to, że mówię "cieszcie się, że nie jest gorzej", bo brytyjski obowiązek opłat uważam za bzdurny.
    Sama ustawa wymaga pilnej nowelizacji - to niewątpliwie prawda - ale nazywanie bublem, czegoś czego się nie czytało jest pewną przesadą. Konieczność nowelizacji podkreślam od momentu objęcia funkcji GIODO ponad rok temu. Nie było takiej możliwości ze względów czasowych w kończącej się kadencji sejmu, ale nie czekamy z założonymi rękoma, lecz od prawie roku prowadzimy konsultacje w tej sprawie. Prawda jest, że nie zmusiliśmy Pana do wzięcia w nich udziału, ale jeśli ma Pan cos konkretnego do zaproponowania to co najmniej ZACHĘCAM do podzielenia się swym zdaniem w innej formie niż wpis we własnym blogu.
    Teraz przejdźmy do konkretnych zarzutów. Twierdzi Pan, że sklepy internetowe grzecznie zgłaszają do GIODO dane klientów. Nie wiem, gdzie wyczytał Pan taki obowiązek. Nie wiem tez, kto z Pańskich interlokutorów zgłasza takie dane. Ja ich nie otrzymuję i jestem ostatnim podmiotem, któryc chciałby je otrzymywać bo niby po co i który pozwoliłby na tworzenia takiej centralnej, skrajnie niebezpiecznej bazy. Zgłaszane jest przetwarzanie zbiorów danych osobowych, a nie same zbiory.
    Zarzut, że istnieje GIODO z absurdalnie skomplikowanymi formularzami jest już trudniejszy, bo oczywiście absurdalnie skomplikowany to pojęcie ocenne. Moim zdaniem formularza jako taki jest dość prosty i osoba, która każe go wypełniać kancelarii prawnej za 200 zł, jest chyba mało rozgarnięta biznesowo, ale oczywiście mało rozgarnięty biznesowo jest pojęciem równie ocennym. Tym nie mniej zapewne nie wie Pan, że dzisiejszy obowiązek notyfikacyjny jest tematem szerokiej dyskusji, a jednym z podmiotów, który jest najbardziej przeciwny jego istnieniu (poza rejestracją przetwarzania danych wrażliwych i tzw. wrażliwego przetwarzania) jest GIODO. Nie jesteśmy aż takimi idiotami, jak Panu się wydaje, ale też nie chcemy wylać dziecka z kąpielą.

    To, że jeszcze nigdy nie akceptował Pan zgody na przetwarzanie danych osobowych w innym sklepie niż w Polsce, wynika zapewne z tego, ze sklepy te nie gromadzą innych danych niż te potrzebne do zawarcia i wykonania umowy, a wówczas również w Polsce nie trzeba powoływać się na zgodę jako podstawę prawną przetwarzania danych. Jeśli więc w Pana serwisie nie zbiera Pan innych danych niż te, potrzebne do zawarcia i wykonania umowy, a wykorzystuje Pan je tylko do tego celu lub innych celów wskazanych w ustawie (np. promocji własnych towarów), TO WYSTARCZY PRZECZYTAĆ USTAWE I NIE TRZEBA WYMAGAĆ DODATKOWYCH ZGÓD.

    Naprawdę nie znajdzie Pan w ustawie dodatkowej konieczności pobierania oświadczenia o zgodzie na przetwarzanie takich danych.

    Zachęcam więc do czytania i dyskusji.

    Pozdrawiam

    Wojciech Rafał Wiewiórowski
    Generalny Inspektor Ochrony Danych Osobowych
    Bubel

  • Gość: [pawel.janeczek] *.adsl.inetia.pl

    Szanowny Panie,

    Korzystajac z okazji pragne zadac pytanie: Jak to jest, jezeli moja aplikacja trzymalaby dane a granica? Przykladowo w Heroku. Co musze zrobic aby spelniac wymagania ustawy?

    Pozdrawiam, Pawel Janeczek.

  • Gość: [Krzysiek Dróżdż] *.dynamic.chello.pl

    Witam Panie Wojciechu,
    myślę, że trochę za bardzo do siebie wziął Pan uwagi Pawła. Nie chciałbym oczywiście sugerować, co autor tekstu miał na myśli, pisząc dość ostrymi słowami, ale też nie uważam, aby tego typu retoryka przygryzania sobie, do czegokolwiek nas doprowadziła.

    Moje wrażenia z pracy GIODO są takie (od razu uprzedzę, że tekst ustawy przeczytałem), że niestety mnóstwo w niej chaosu i nadinterpretacji. Pamiętam już kilka wywiadów z przedstawicielami GIODO, które miały na celu przybliżenie przepisów, przełożenie ich na "chłopski rozum" i zdementowanie fałszywych mitów powstałych przez niedopowiedzenia, itd. i niestety o ile dobrze pamiętam, wszystkie te próby powodowały jedynie powstawanie kolejnych mitów. (Myślę, że przykładem takowego, może być zastosowany przez Pawła skrót myślowy na temat zgłaszania bazy klientów). Sama definicja danych osobowych jest już na tyle nieprecyzyjna, że powoduje sporo zamieszania (choćby głośna jakiś czas temu sprawa z adresami IP na forach internetowych).

    Czy gdzie indziej jest lepiej/gorzej? Tu zapewne Pana wiedza jest znacznie większa niż moja (czy, jak podejrzewam, Pawła). Faktem jest natomiast, że nasz system wolny od problemów nie jest (czasem być może nie są to problemy prawne, a jedynie kiepskie usability, zamieszanie powodowane nierzetelnymi tekstami dziennikarskimi, itp.).

    Korzystając z okazji, chętnie natomiast zapytam o stanowisko GIODO w kwestii sprawy plików cookie, o której robi się coraz głośniej po przyjęciu dyrektywy 2009/136/WE (bodajże artykuł 5 ust. 3 - tu nie mam pewności).

  • wojciechwiewiorowski

    Witam

    Będą dwa wpisy (jeśli nie zostaną "wymoderowane") pierwszy generalny, a drugi w odpowiedzi na zadane pytania.

    Najpierw ten generalny.

    Pozwoliłem sobie zareagować na uwagi Pana Pawła Fornalskiego dlatego, że polecono mi jego blog jako opiniotwórczy. W jego wpisie znalazłem kilka powszechnych mitów, których nie warto powtarzać, albo wmawiać innym, szczególnie jeśli robi to osoba oferująca swoje usługi w branży e-commerce innym i która ma poważanie w środowisku. Domyślam się, że autor nie brał pod uwagę, że ci, których nazwał "bublami" i "darmozjadami" czytają jego blog.

    Tym bardzie uważam takie wpisy na blogach za dzieciniadę porównywalną z sytuacją, gdy chłopcy na sali gimnastycznej, sądząc, że "wuefista" nie słucha i jeden z nich - dobry sportowiec - mówi, że belfer nie zna się na szczypiorniaku, a poza tym jest pedał i ma krzywe nogi :)

    Poważnie mówiąc zgadzam się, że w ustawie jest sporo absolutnie przestarzałych przepisów, kilka poważnych błędów i tym samym jest przy niej wiele do zrobienia. Jeśli jednak chcemy poprawiać, to rozmawiajmy, a nie "bloxujmy" powielając mity lub wymyślając nowe. Zawsze przyjmę zarzuty mówiące, że czy ja, czy moi poprzednicy, czy moi pracownicy nie mają racji, albo, że mówią źle. Z chęcią podejmę dyskusję. Ale dyskusję.

    Pozdrawiam

    Wojciech Wiewiórowski
    GIODO

  • wojciechwiewiorowski

    Teraz drugi wpis już o szczegółach

    Witam

    W komentarzach padło kilka pytań.

    1. Jak to jest, jezeli moja aplikacja trzymalaby dane a granica? Przykladowo w Heroku. Co musze zrobic aby spelniac wymagania ustawy?
    Sprawa oczywiście nie jest prosta i nie dam rady opisać jej całościowo w komentarzu do wpisu. Nie znam szczegółów i tym samym nie wiem co Pan tam dokładnie składuje.
    Zacznijmy od tego, że dostarczyciel Heroku operuje z Kalifornii i zapewne całość umowy opiera się o tamtejsze prawo. Umowy nie widziałem i nie wiem co dokładnie mówi o centrach przetwarzania danych. Czy gwarantuje, że są w USA, czy ustala w ogóle gdzie one się znajdują.
    Tym nie mniej - mi Heroku kojarzy się przede wszystkim z PaaS a nie z SaaS. Jeśli więc ma Pan tam jedynie środowisko deweloperskie, to nie wiem, czy w ogóle przetwarza Pan w nim rzeczywiste dane osobowe. Jeśli to tylko PaaS, a dane testowe nie są prawdziwe, to nie NIE MA PROBLEMU z ustawą o ochronie danych osobowych (UODO).
    Jeśli natomiast są tam dane osobowe, a dostarczyciel chmury nie "zaświadcza", że przetwarzanie dotyczy tylko centów w EOG, to mamy do czynienia z przekazaniem danych do kraju trzeciego. A wówczas polecam przewodnik edugiodo.giodo.gov.pl/mod/resource/view.php?id=16
    Warto sprawdzić, czy dostarczyciel chmury jest w programie Safe Harbour, ale proszę nie czynić sobie nadziei na zwolnienie z procedury w GIODO (tak sugeruje błędnie autor artykułu w ostatnim numerze ComputerWorld).

    2. Co do cookies jestem w trudnej sytuacji. Niestety ja sam nie wiem jak przepisy o cookies powinny być implementowane w Polsce. Gdyby dotyczyły tylko tracking cookies to jeszcze bym rozumiał, a tak musimy czekać na wyniki dyskusji nad wdrożenie dyrektywy do prawa telekomunikacyjnego.

    3. Definicja danych osobowych jest dobra. Tu mam akurat twarde zdanie. Nie można jej zalgorytmizować. Numer IP może być daną osobową (ale nie musi) tak jak numer indeksu uczelni. Oba dla niektórych podmiotów są danymi osobowymi. Nie sądzę, byśmy byli w stanie wymyślić lepszą definicję danych osobowych. Ta po prostu wymaga myślenia, przy przetwarzaniu danych.

    Pozdrawiam

    Wojciech Wiewiórowski

  • Gość *.cable.net-inotel.pl

    Do: Pan Wojciech Wiewiórkowski

    Napisał Pan w jednym z komentarzy: "Twierdzi Pan, że sklepy internetowe grzecznie zgłaszają do GIODO dane klientów. Nie wiem, gdzie wyczytał Pan taki obowiązek. Nie wiem tez, kto z Pańskich interlokutorów zgłasza takie dane. Ja ich nie otrzymuję i jestem ostatnim podmiotem, któryc chciałby je otrzymywać bo niby po co i który pozwoliłby na tworzenia takiej centralnej, skrajnie niebezpiecznej bazy. Zgłaszane jest przetwarzanie zbiorów danych osobowych, a nie same zbiory."

    Może danych klientów sklepy nie zgłaszają, ale już zbiory takich danych na pewno tak, bo nawet na stornie GIODO można znaleźć bez trudu w kilku miejscach informację, że nawet listy osób zapisanych na newslettera na stronie internetowej stanowią zbiór danych podlegający rejestracji w myśl przepisów (a bardziej zapewne w myśl ich interpretacji przez GIODO). Dla mnie osobiście to jest dopiero absurd, bo nie bardzo jestem w stanie sobie wyobrazić w jaki sposób można po adresie np. zuzanna152@onet.pl zidentyfikować osobę fizyczną, która się za nim kryje.
    Być może pracownicy GIODO mają jakieś nadprzyrodzone umiejętności i potrafią to zorszyfrować ale ja nie i jestem przekanany, że 99,99% innych osób w tym kraju też tego nie potrafi.

  • Gość: [adam] *.goleniow.vectranet.pl

    Temat stary ale ostatnie wydarzenia skłoniły mnie do komentarza właśnie tutaj. Otóż matka moja co trochę dostaje od różnych firm zaproszenia na mammografię. Zaczęło mnie zastanawiać skąd dziady mają adres i dane osobowe. No i wiem skąd. Ustawa mówi: jeżeli coś dla dobra publicznego to można dane dawać firmom. I tak na tym zaproszeniu jest, że dane mają z MSW. Można złożyć sprzeciw w tej firmie na przetwarzanie danych ale to totalny idiotyzm, gdyż oni dane rozdają na lewo i prawo, a człowiek musiałby wszystkim odpisywać :). Totalna głupota.

    Więc tu muszę powtórzyć to co już pisałem, Polska to dziki kraj, gdzie obywatel traktowany jest jak gówno przez swoje państwo. Np Polska chętnie wydaje swoich obywateli innym krajom, gdzie np taka Francja z założenia nie wydaje swoich obywateli, choćby nie wiem co naskrobali za granicą.

    I np nasza konstytucja jest gówno warta, gdyż w jednym punkcie mówi np własność jest święta ale w drugim mówi, że w przypadkach określonych w ustawie można tej własności pozbawić. Cała nasza konstytucja to, szereg praw obywatelskich, których można pozbawić ustawą, czyli praw bez praw. Co raz to bardziej nabieram ochoty opuścić ten kraj czubków i udać się do Szwajcarii, gdzie gminy rywalizują ze sobą w wysokości podatków tzn w niższości :), dane bankowe są święte, a wydanie komukolwiek tych danych = więzienie. Lichtenstein, Szwajcaria to ostatnie bastiony normalności w Europie. Mam tylko nadzieję, że nie ugną się przed tymi terrorystami z UE i nie przystąpią do tych terrorystów.

© Polski e-commerce i zarządzanie e-firmą
Blox.pl najciekawsze blogi w sieci