Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
RODO a gromadzenie danych z wizytówek – spostrzeżenia praktyczne
Wiele osób zastanawia się – co z tak prozaiczną biznesową czynnością dnia codziennego, jak zbieranie wizytówek naszych partnerów oraz rejestrowanie danych kontaktowych na nich zawartych w kontekście RODO?
Oczywiście, jak w większości praktycznych kwestii trudno doszukiwać się bezpośredniego doregulowania tego zagadnienia w samym rozporządzeniu. Natomiast postaram się podzielić z Wami moimi spostrzeżeniami w tym zakresie oraz wskazać kilka praktycznych rozwiązań, jakie możemy zaimplementować w naszej pracy.
Małe wyłączenie ;-)
Pamiętajcie, że zawarte poniżej informacje są interpretacją wymagań RODO i bazują na moich doświadczeniach w zakresie ochrony danych osobowych. Pewnie można określić i zdefiniować jeszcze „tysiąc” innych metod na postępowanie z danym zawartymi na wizytówkach : -), natomiast postaram się Wam przedstawić mój punkt widzenia i podzielić się własnymi obserwacjami i przemyśleniami w tym zakresie.
1. Czy dane na wizytówce to dane osobowe?
Odpowiedź zwykle jest zależna od tego, co tak naprawdę na wizytówce się znajduje. Jeśli będzie to jedynie nasze imię i nazwisko i nic więcej, możemy założyć, że nie jest to jeszcze dana osobowa. Lecz jeśli dodatkowo mamy informacje: o nazwie firmy, adres e-mail, numer telefonu (nawet jeśli jest to numer firmowy) to prawdopodobieństwo możliwości jednoznacznej identyfikacji danej osoby znacząco wzrasta. Pamiętajmy, że daną osobową jest informacja pozwalająca na bezpośrednią lub pośrednią identyfikację osoby.
Także w mojej opinii, jeśli wizytówka zawiera taki standardowy zakres danych, powinna być traktowana jako nośnik ZAWIERAJĄCY dane osobowe.
2. Jakie są wyjątki i kiedy dane na wizytówce pomimo bycia danymi osobowymi nie podlegają ochronie zgodnie z RODO?
Osoby prawne
Pamiętajmy, że Rozporządzenie o ochronie danych RODO nie ma zastosowania do danych „osób prawnych”. Co to znaczy w praktyce?
RODO nie stosuje się do danych dotyczących „osób prawnych”, którymi mogą być spółki kapitałowe. Dane wyjęte poza ochronę RODO dotyczą: adresu, nazwy firmy, informacji dotyczących siedziby „osoby prawnej”, natomiast RODO ma zastosowanie do ochrony danych osobowych konkretnych osób reprezentujących daną „osobę prawną” [definicja zaktualizowana – redakcja].
W tym miejscu kolejnym poziomem skomplikowania jest fakt, że od 25 maja dane osób fizycznych prowadzących działalność gospodarczą będą objęte pełną ochroną wynikającą z RODO i takie dane już daną osobową będą.
Przetwarzanie danych osobowych w życiu prywatnym
Jeżeli wymieniamy się wizytówkami w życiu prywatnym lub ich odbiorcami są osoby prywatne, wówczas cały proces operacji na danych osobowych na nich zawartych jest wyłączony spod zakresu RODO. Jest to bardzo istotny obszar w kontekście wizytówek jako takich, gdyż w znacznej większości wykorzystujemy je każdego dnia w celach pozyskiwania klienta końcowego, którym jest osoba prywatna.
Dane przetwarzane w „zbiorze nieuporządkowanym”
Najistotniejsze znaczenie z punktu widzenia aplikowalności RODO ma to, czy zbiór gromadzonych przez nas wizytówek będzie zbiorem uporządkowanym (usystematyzowanym). Co to oznacza? Jeżeli zebrane przez nas wizytówki będą miały tylko formę papierową i dodatkowo nie będziemy ich w żaden sposób ewidencjonować, układać w porządku alfabetycznym, czy też digitalizować np. przez dodanie do systemu CRM w celu dalszego przetwarzania, czy też dodania do listy adresowej w aplikacji do zarządzania kontaktami, możemy założyć, że wizytówki nie będą objęte RODO. Takie założenie możemy poczynić na podstawie Motywu (15) RODO:
Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia.
Co zrobić, jeżeli stwierdzimy, że wspomniane wyłączenia mnie nie obejmują?
3. Czy konieczne będzie pobranie odrębnej pisemnej zgody na przetwarzanie danych osobowych zawartych na wizytówce w celach kontaktu związanym z kontekstem otrzymania wizytówki (np. kontakt telefoniczny po spotkaniu i zaprezentowanie oferty handlowej)?
Nie, sam fakt przekazania wizytówki przez osobę, której dane się na niej znajdują, jest czytelnym i jednoznacznym aktem wyrażenia zgody na przetwarzanie danych osobowych zawartych na wizytówce. Tutaj jedna ważna uwaga, nie powinniśmy przekazywać wizytówek, które do nas nie należą i robić tego w imieniu innej osoby, gdyż tego rodzaju działanie nie jest równoznaczne z wolą okazaną przez osobę, której dane na wizytówce są zawarte. Myślę, że w takich sytuacjach każda z organizacji powinna mieć zestaw wizytówek „firmowych” lub poszczególnych działów, które nie zawierają żadnych detali powiązanych z konkretną osobą. Oczywiście można tutaj próbować powoływać się na tzw: „Prawnie uzasadniony interes” administratora i wykazywać, że dane umieszczone na wizytówce stanowią tzw. (nazwa nieformalna) – „dane pracownicze”. Na pewno jest to działanie zwiększające prawdopodobieństwo wykazania potencjalnej niezgodności z RODO i roszczeń z którymi będziemy musieli się borykać.
4. Czy jesteśmy zobowiązani do wykonania „obowiązku informacyjnego” względem osoby, od której pobieramy wizytówkę?
Tak, zgodnie z Art.13 RODO po otrzymaniu rzeczonej wizytówki stajemy się administratorem danych na niej zawartych i co za tym idzie, musimy wykonać obowiązek informacyjny podyktowany przez rozporządzenie (detale znajdziecie w treści Artykułu 13: http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL) .
No dobrze…, ale jak to zrobić?
Istnieje kilka, wydających się racjonalnymi, metod poinformowania podmiotu danych o przysługujących mu prawach:
– Powinniśmy na mocy Art.13 RODO poinformować osobę, której dane pozyskaliśmy z wizytówki, o przysługujących jej prawach poprzez np. wysłanie wiadomości e-mail i umieszczenie w niej treści obowiązku informacyjnego. Można także umieścić treść obowiązku informacyjnego w stopce wiadomości, jakie wysyłamy do naszych klientów, co w przypadku działów handlowych, które właściwie cały dzień komunikują się z klientami (których dane pozyskały z wizytówek), ma uzasadnioną argumentację, ponieważ nigdy nikt nie zapomni o umieszczeniu właściwej klauzuli informacyjnej. Warto zauważyć, że w sytuacji komunikowania „obowiązku informacyjnego” droga mailową zawsze zostaje nam jakiś ślad i dowód na jego wykonanie :-)
Strona formalna – ile mamy czasu na wykonanie „obowiązku informacyjnego”?
(Art.13 RODO mówiący o „informacjach podawanych w przypadku zbierania danych od osoby, której dane dotyczą” nie doprecyzowuje dokładnie, ile mamy czasu na wykonanie „obowiązku informacyjnego” (z założenia powinniśmy zrobić to natychmiast).
Dla skontrastowania Art. 14 ust.3 pkt. a) RODO – mówiący o pozyskiwaniu danych „w sposób inny niż od osoby, której dane dotyczą” definiuje ten okres w sposób następujący: „administrator podaje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych”)
W związku z powyższym należy założyć, że powinniśmy wykonać obowiązek informacyjny tak szybko jak będzie to możliwe – po pozyskaniu danych osobowych zawartych na wizytówce.
– Jeśli pozyskujemy dane osobowe np. na targach, wystawach, kongresach i osoby zainteresowane kontaktem zwrotnym z naszej strony wrzucają wizytówki do jakiegoś przygotowanego pojemnika, możemy umieścić treść „obowiązku informacyjnego” na tym naczyniu. Tutaj jedna praktyczna uwaga – starajmy się dobierać owe „enigmatyczne” naczynia : -) tak, aby: po pierwsze nikt nie był w stanie w sposób nieautoryzowany „wyciągnąć” z niego wizytówki; po drugie – aby nikt nie mógł podejrzeć danych osobowych zwartych na wizytówkach – najlepiej zrobić jakiegoś „Black Box’a” ;-) Na pewno nie powinien być to otwarty koszyczek.
– Przykład, który chciałbym poddać Waszej krytyce :-). Zakładając, że zwykle wymieniamy się wizytówkami z parterami, można założyć, że część obowiązku poinformowania drugiej strony (o tym kto jest administratorem danych) już wykonujemy wręczając zwrotnie naszą wizytówkę. Natomiast treść pozostałych punktów wymaganych w celu dopełnienia „obowiązku informacyjnego” możemy wydrukować na odwrocie naszej wizytówki lub wskazać czytelnie adres strony internetowej naszej organizacji, na której została zamieszczona jego treść.
5. Co mogę robić z danymi z wizytówki?
No właśnie, tutaj niestety zaczyna się obszar spekulacji i interpretacji…, ponieważ nigdzie nie znajdziemy swoistego katalogu czynności i operacji dozwolonych do wykonania na danych z wizytówek.
W mojej skromnej opinii dane z wizytówek możemy zgromadzić w naszych systemach służących do przechowywania danych komunikacyjnych i wykorzystać w komunikacji biznesowej / ofertowej typu: Biznes – Biznes. Natomiast na pewno bez zgody osoby, której dane dotyczą nie powinniśmy przeprowadzać „zautomatyzowanego profilowania” jej preferencji, tudzież przesyłać komunikacji marketingowej skierowanej do niej, jako osoby prywatnej, jeżeli powierzyła nam swoją wizytówkę w celach czysto biznesowych.
6. Czy wizytówki w wizytowniku to zbiór danych osobowych?
Jeżeli kategorie danych zawarte na wizytówkach pozwalają na bezpośrednią lub pośrednią identyfikację osób to niestety raczej tak :-(. Co więcej, będziemy zobowiązani do prawidłowego (względem odnotowywanych ryzyk) zabezpieczenia tych „zbiorów”.
Uwaga !
Musimy w tym miejscu powrócić do wspomnianej wcześniej „specyfiki” definicyjnej, gdyż, aby mówić o „zbiorze danych osobowych”, elementy tego zbioru powinny zostać „uporządkowane – usystematyzowane”.
Oznaczać mogłoby to, że jeżeli zebrane przez nas wizytówki nie będą sortowane, inwentaryzowane, przetwarzane przez systemy – to zbiorem usystematyzowanym nie są :-) i RODO się nie aplikuje. Natomiast jeśli ułożymy je w porządku alfabetycznym i włożymy do wizytownika, spiszemy z nich kontakty i umieścimy je w liście kontaktowej lub wpiszemy do sytemu CRM to RODO się aplikuje.
Oczywiście ja jestem za podejściem pragmatycznym / realistycznym i dopasowaniem się do warunków, w jakich będziemy przechowywać zebrane wizytówki, tak aby stosowane zabezpieczenia dopasować do ilości danych, jakie będą w naszym „zbiorze” oraz charakteru ich użycia, wszystko po to by nie popaść w paranoję…
Pozwolę sobie użyć kilku przykładów:
– jeżeli wizytownik znajduje się w naszym biurze, w którym pracujemy tylko my lub zdefiniowany zespół współpracujących osób i dostęp do niego jest wysoce ograniczony, a sam wizytonik nie zawiera tysięcy wizytówek. Możemy założyć, że wystarczającym będzie schowanie wizytownika do zamykanej na klucz szuflady w momencie, kiedy opuszczamy biuro, a dostęp do niego mogą mieć osoby trzecie (np. firmy świadczące usługi sprzątania) – w moim odczuciu jest to zachowanie wynikające z dobrej praktyki i rzetelności w ochronie informacji.
– jeżeli natomiast pracujemy w dziale handlowym i przed naszym biurkiem codziennie zasiadają dziesiątki klientów, w ogóle powinniśmy ograniczyć swobodny / przypadkowy dostęp / podglądanie jakichkolwiek danych, zwłaszcza danych osobowych. W tym przypadku zakładam, iż najlepszym rozwiązaniem będzie przeniesienie naszego wizytownika w inne miejsce do pomieszczenia, w którym może on być bezpiecznie przechowywany, tudzież zupełnie się go pozbyć (zniszczyć wizytówki), a dane wprowadzić do stosowanego przez organizację systemu (służącego do zarządzani kontaktami) i bazować tylko na ich wersji elektronicznej.
Rozwiązań będzie pewnie tyle samo, ile różnych metod przetwarzania danych. Musimy je dostosować do naszych warunków i sposobu pracy na danych. Jeszcze raz podkreślę nie chodzi tutaj o budzenie paniki i podnoszenie tematu wizytówek do rangi największego problemu implementacji RODO, lecz o zastanowienie się chwilkę nad tym tematem.
Podsumowanie
Wynieśmy z naszych rozważań, iż:
Nie powinniśmy ignorować nawet najmniejszego i z pozoru banalnego obszaru, w którym przetwarzamy dane osobowe: wizytówki, notatki zawierające dane osobowe, słynne papierowe kalendarze „handlowców” :-), segregatory z fakturami, różnego rodzaju elektroniczne „pomoce”, jak tablety, notatki elektroniczne, to tylko kilka z przykładów.
Wszystkie te zbiory powinny być przez nas przeanalizowane na okoliczność: charakteru danych w nich przechowywanych (czy są to dane mogące być uznane za dane osobowe), rodzaju zagrożeń, jakie mogą „czyhać” na dane w nich zawarte, poziomu i zakresu negatywnego wpływu podczas materializacji zagrożenia, prawdopodobieństwa tego, że określone zagrożenie się zmaterializuje w czasie.
Oczywiście jak zwykle namawiam do zdroworozsądkowego podejścia do tematu i chłodnej, pragmatycznej analizy. Jeśli uznamy, że przetwarzane przez nas zbiory danymi osobowymi nie są – nie będą one wymagać ochrony. Jeżeli natomiast stwierdzimy, że określony zbiór informacji stanowi dane osobowe (i nie zalicza się do grupy zbiorów nieobjętych ochroną zgodnie z RODO), to wówczas powinniśmy dopasować stosowane środki bezpieczeństwa do realnego zakresu ryzyk, jaki odnosi się do bezpieczeństwa tego zbioru. Czasami,jak zostało wspomniane wcześniej, wystarczy schowanie „zbioru danych” do zamykanej szuflady, czasem będziemy musieli zastosować bardziej skomplikowane zabezpieczenia, choćby w kontekście stosowanych systemów CRM.
To co najważniejsze dla nas, jako administratorów danych osobowych, to przede wszystkim znajomość treści Rozporządzenia RODO, jego treść to nie tylko akt prawny, ale także dość czytelnie spisany zbiór wymagań, definicji, wskazówek postępowania. Zapoznanie się z RODO może być bardzo dużą wartością dodaną i pozwoli nam bardziej racjonalnie decydować w zakresie działań, jakie podejmujemy na co dzień w kontekście ochrony danych osobowych.
Treść Rozporządzenia RODO można naleźć tutaj: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL
Komentujcie, piszcie, jakie są Wasze doświadczenia, dzielcie się wątpliwościami.
–Maciej Pokorniecki
K…a to ja już sobie nie mogę poukładać wizytówek… chyba czas iść do psychiatry na leczenie bo ja lubię mieć alfabetycznie, czy w jakimś innym porządku poukładane rzeczy. Wychodzi, że najlepiej mieć wielki wór na śmieci i tam wrzucać wizytówki i w razie potrzeby losować lub wyszukiwać (oczywiście pod kocem czy w piwnicy aby postronny „napastnik” przez ramię nie odczytał). Absurd Panie, absurd! Niebawem zaczniemy chodzić w weneckich maskach karnawałowych aby chronić nasze wizerunki.
Dzięki za komentarz : -), absolutnie nikt nie zabrania układania wizytówek jak się chce, chodzi tylko o to, aby je zabezpieczać – wówczas kiedy takie zabezpieczenie jest konieczne :-)
Jak pisałem nasze podejście musi bazować na kilku zasadniczych działaniach – zanim podejmiemy jakikolwiek decyzje związane z robieniem czegokolwiek z wizytówkami. Musimy się zastanowić: po pierwsze i najważniejsze – czy w ogóle zawierają one dane podlegające ochronie zgodnie z RODO, czy istnieje racjonalne ryzyko tego, że dane mogą z nich wyciec, co może się negatywnego stać wobec osób których są to dane, ile tak naprawdę tych danych jest w naszym zbiorze i dopiero na tej bazie podjąć decyzję CZY i CO robić, aby je chronić. Nie chodzi tu o robinie skomplikowanej analizy, a jedynie przemyślenie tematu…
Czasami wystarczy zrobić NIC… i to wystarczy… (jak się potrafimy z tego wytłumaczyć jest ok), czasami schować do szuflady, czasami przenieść gdzie indziej, czasami jak stwierdzimy, że i tak z nich już nie korzystamy zniszczyć, czasami załadować do aplikacji służącej zarządzaniu kontaktami…
Jednym z zasadniczych mit’ów związanych z RODO jest to, że coś musimy robić. Jedyne co musimy to się zatrzymać na chwile i pomyśleć co i gdzie robimy z danymi osobowymi i odpowiedzieć sobie na pytanie czy to wystarczy… Nie ma żadnych katalogów, czy nakazów ma działać tylko i wyłącznie zdrowy rozsądek i wyobraźnia.
” (…) zatrzymać się na chwilę i pomyśleć (…) zdrowy rozsądek i wyobraźnia.” – i to jest właśnie duża zaleta RODO. Bo w pewnym sensie wymusza pewien zalążek analizy ryzyka na każdym – a jest to bardzo istotna umiejętność. Jakie mam dane, co z nimi robię, jak te dane mogą wyciec, co zrobić, żeby ograniczyć ryzyko wycieku. + media, które o RODO mówią w niewielkim stopniu przyczyniają się do zwiększenia świadomości tego komu i jakie dane powierzamy.
Z drugiej strony, ta zaleta to również powód tak wielkiej paniki która miała miejsce przez 25 maja. Skoro nie ma jednoznacznych zapisów/definicji w jaki sposób dostosować się do RODO – wiele osób obawia się, że stwierdzenie, czy zasady RODO są poprawnie wdrożone będzie zależało wyłącznie od interpretacji kontrolerów.
A co w przypadku prowadzenia strony internetowej, która ma formę listingu przedsiębiorstw danej branży? (docelowo płatnego ) Czy dane przepisując dane z google na moją stronę łamię prawo? Z poprzedniej ustawy o ochronie danych osobowych wywnioskowałem tyle, że sama nazwa przedsiębiorstwa, oraz adres to nie grzech, ale numer telefonu już wzbudził moje wątpliwości, gdyż pośrednio można za jego pomocą zidentyfikować daną osobę. Jak teraz dostosować się do RODO? Strona jest już live, ale nie ukończyłem uzupełniać wszystkich pozycji, i aż tego nie zrobię raczej nie będę kontaktował się z przedsiębiorcami.
Zgodnei z RODO jeżeli to spółka prawa handlowego to wsztko ok. Jeżeli osoba fizyczna prowadząca działalność gospodarczą to już to są dane osobowe. Czyli w najlepszym razie musisz ją poinformować w najgorszym (bardzo prawdopodobnym) musisz wpierw uzyskać zgodę. Do pierwszych kar się na 100% nie dowiemy. Ogólnie działalność bardzo ryzykowna. Robiłbym to jako spółka z minimalnym kapitałem żeby można ją łatwo zamknąć.
Spod zakresu ochrony RODO są wyłączone wszystkie podmioty gospodarcze posiadające osobowość prawną, czyli np. spółki, ich dane można przetwarzać bez wypełniania detalicznych obowiązków wynikających z RODO.
Największą zmianą i zarazem problemem jaki się pojawił to fakt, że RODO obejmuje teraz swoim zakresem osoby fizyczne prowadzące działalność gospodarczą. Ochrona tego rodzaju danych była częściowo ograniczona na bazie poprzedniej Ustawy o ochronie danych osobowych, która obowiązywała do 24 maja 2018.
Dobra i teraz tłumacząc to na Twoją sytuację:
Dane podmiotów będących spółkami możesz gromadzić, natomiast jeśli wśród tych danych znajdują się dane osób prowadzących działalność gospodarczą np. firma „123 Imię Nazwisko” to Będziesz musiał mieć podstawę prawną do przetwarzania takich informacji. Czyli (upraszczając), albo masz umowę handlową z tymi ludźmi na dostarczanie im czegoś (np. promocji w Internecie), albo zgodę na użycie danych, którą Ci wyrazili. Oczywiście dodatkowo Musisz wykonać wobec tych osób „obowiązek informacyjny” Art. 13 lub Art. 14 RODO (w zależności czy te dane Pozyskałeś od tych osób (Art. 13) czy z innego źródła (Art. 14)). No i to co najważniejsze na końcu Musisz stosownie do ryzyk chronić te dane.
Myślę, że planując tak nietypowe przedsięwzięcie powinieneś wysupłać trochę grosza na wsparcie prawnika.
Moim zdaniem nie masz prawa do takiego działania bez zgodny właściciela danych osobowych nawet jeśli są udostępnione publicznie przez inny podmiot. Przeczytaj treść regulacji, Twoje podejście nie spełnia podstawowych wymagań.
A co w przypadku np. listy 100 książek wraz imionami i nazwiskami autorów, którą chcę sobie zamieścić na swojej stronie www? Mam pozyskać od każdego z autorów zgodę na przetwarzanie i zadośćuczynić RODO-wskiej papierologii?
Personalia autorów książek zostały 'w oczywisty sposób upublicznione’ (art. 9 pkt 2e) przez samych autorów, więc wyłączone.
przywołany artykuł 9 ust. 2 pkt e dotyczy danych wrażliwych. imię i nazwisko to nie dane wrażliwe. A zatem musisz spełnić obowiązek informacyjny…. :)
Spółka jest osobą prawną, osoby będące wspólnikami w spółce już nie są osobami prawnymi i ochrona im się należy, jak każdemu innemu!
Właśnie miałem napisać taki komentarz. Dane z KRS dotyczące osób fizycznych jak najbardziej podlegają ochronie. Nic nie zmienia, że są one jawne. Ale podstawowa kwestia jest taka, że autor popełnił gruby błąd przyjmując całkowicie błędną definicję osoby prawnej i wyciągając z tego niepoprawny wniosek.
Witam serdecznie, dziękuję bardzo za Wasze komentarze i wychwycenie tej nieścisłości. Oczywiście przyznaje Wam całkowitą rację i już sprostowuje definicję „osoby prawnej” oraz doprecyzowuje.
RODO oczywiście nie stosuje się do danych dotyczących „osób prawnych”, którymi mogą być spółki kapitałowe. Dane wyjęte poza ochronę RODO dotyczą: adresu, nazwy firmy, informacji dotyczących siedziby „osoby prawnej”, natomiast RODO ma zastosowanie do ochrony danych osobowych konkretnych osób reprezentujących daną „osobę prawną”.
„„administrator podaje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych”)
W związku z powyższym należy założyć, że powinniśmy wykonać obowiązek informacyjny tak szybko jak będzie to możliwe – po pozyskaniu danych osobowych zawartych na wizytówce.” – mamy w ciągu miesiąca poinformować osobę, od której otrzymaliśmy wizytówkę, że dała nam wizytówkę? Moje gratulacje.
Dziękuję za komentarz.
Jeśli chodzi o wykonanie obowiązku informacyjnego to powtórzę jeszcze raz ma on zastosowanie tylko wówczas jeśli uznamy dane zawarte na wizytówce za dane osobowe plus sposób, w jaki będziemy z nimi postępowali za przetwarzanie objęte RODO.
Zgodnie z treścią Art. 13 nie masz informować osoby, że masz jej wizytówkę (o tym pisałem, przekazanie Ci wizytówki jest jasnym i czytelnym wyrażeniem woli i zgody na przetwarzanie danych na niej zawartych), natomiast musisz poinformować taką osobę minimum o tym kto jest administratorem i jakie przysługują jej prawa.
Generalnie to jest najistotniejszym celem Art.13, aby podmiot danych wiedział gdzie znajdują się jego dane i widział jakie prawa mu przysługują. Co więcej, przekierowywałem do Artykułu 13 RODO ponieważ jest tam bardzo ważna rzecz zawarta w paragrafie 3 – cyt:
„Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami”
Oznacza to, że jeżeli już z jakichkolwiek innych źródeł osoba, której dane znajdują na wizytówce posiada wiedzą w zakresie „obowiązku informacyjnego” to nie musimy jej o tym ponownie informować.
Także raz jeszcze podkreślę, kluczowym jest zdrowy rozsądek i przeanalizowanie tematu w specyficznym środowisku biznesowym – i to jest właśnie kluczem i tym do czego składnia RODO. Chodzi tylko o to, aby nie ignorować tego tematu z definicji. Jeżeli zdecydujemy się na „ignorowanie” to wiedzieć dlaczego :).
„Powinniśmy na mocy Art.13 RODO poinformować osobę, której dane pozyskaliśmy z wizytówki, o przysługujących jej prawach poprzez np. wysłanie wiadomości e-mail i umieszczenie w niej treści obowiązku informacyjnego”.
Które to wysłanie maila (zwłaszcza jeśli w mailu zawarte jest imię i nazwisko) spowoduje dodanie takiej osoby do kolejnej bazy (tym razem już cyfrowej) listy wiadomości wysłanych :)
Dobrze, że na górze artykułu jest napisane, że to interpretacja. Jeśli bowiem rozdajemy wizytówki, należało by robić też spis, komu wręczyliśmy wizytówkę albo zaznaczać, że wszyscy, którzy otrzymają takową, muszą nam wysłać odpowiednią klauzulę informacyjną. Trochę zalatuje mi tu mocną nadinterpretacją. Celem istnienia wizytówek jest przekazywanie informacji o firmie, bo to forma reklamy, czyli ma mieć jak największy zasięg. Dodatkowo, na wizytówkach nie umieszcza się raczej danych, których ujawnienie naraziło by nas na jakieś nieprzyjemności.
Dzięki za komentarz. Tutaj sytuacja wygląda tak, to Ty musisz zdecydować o typie i sile działań podjętych w zakresie ochrony danych osobowych. Czyli po pierwsze zdecydować czy rzeczywiście dane na wizytówce mogą być interpretowane jako dane osobowe. Jeśli nie, to nie ma tematu RDOO nie obowiązuje. Dodatkowo musisz oszacować ryzyko (właśnie tego o czym Piszesz) – naruszenia „praw i wolności” osoby, której dane zawarte są na wizytówce. To wszystko musi skutkować doborem odpowiedniej strategii postępowania w ochronie tych danych.
Jeśli chodzi o Art. 13 i obowiązek informacyjny to jeżeli po analizie uznamy, że mamy do czynienia z „danymi osobowymi” i ich przetwarzaniu w zbiorze (w praktyce głownie wówczas gdy indeksujemy dane z wizytówek np. wrzucamy je do CRM’a) to jesteśmy zobowiązani wykonać „obowiązek informacyjny” – formę jego wykonani musimy dopasować do sytuacji. Raz jeszcze – nie ma nigdzie katalogu/instrukcji sposobu wykonywania obowiązku informacyjnego, to musi być nasza decyzja. Możemy np. go umieścić na odwrocie naszej wizytówki i za każdą otrzymaną wręczać naszą :).
Pamiętajmy także (co ma znaczenie w sytuacji kiedy wymieniamy się wizytówkami np. ze znanymi nam partnerami biznesowymi). Artykuł 13. Paragraf 3 mówi cyt: „Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami”.
Także jeśli założymy, że osoba od której otrzymaliśmy wizytówkę posiada już podstawową wiedzę o naszych danych „jako administratora”, nie będziemy na danych z wizytówki wykonywać, żadnych specyficznych działań np. „automatyczne profilowanie” i wie o przysługujących jej prawach to nie musimy wykonywać obowiązku informacyjnego ponownie.
A czy takim problemem jest na odwrocie wizytówki umieszczenie oświadczenia o dobrowolnym przekazaniu danych i tym samym określeniu, że okaziciel tej wizytówki spełnił swój obowiązek informacyjny wobec osoby, której dane są na wizytówce? W sumie, to nie każdy pracownik firmy musi chcieć nosić wizytówki na spotkania! trzeba byłoby tylko wyrobić sobie jeden nawyk! NIE PRZYJMOWAĆ wizytówek od osób, których wizytówka nie opisuje!
Pewnie to kiepski pomysł, ale jakże ułatwiający życie tym, co mieliby spełniać obowiązek informacyjny.
Nie jest to zły pomysł sam w sobie z taką klauzulą, „wszystko wiem, obowiązek informacyjny administrator spełnił” ;) noooo oczywiście zakładając, że go rzeczywiście spełnił. Myślę, że zdroworozsądkowo życie wypracuje samo praktyki. Upraszczając, tak, jak pisałem jeśli mamy do czynienia z jakimś rodzajem „masówki” typu targi, konferencję i ludzie wrzucają nam do skrzyneczki tudzież wręczają masowo wizytówki, najlepiej zrobić jakąś plakietkę na stoisku i pozamiatane. W innych przypadkach zanim spełnimy obowiązek informacyjny sprawdzić czy dana sytuacja kwalifikuje się do przetwarzania „zbioru danych”, jeśli nie to nie robimy nic. Dyskusyjne zawsze będzie to, czy ten wizytownik to już zbiór danych czy jeszcze nie? – zdecydować musimy sami, tutaj nikt nie da jasnej wytycznej, aplikowanej uniwersalnie do wszystkich, każda sytuacja jest inna i wymaga tej „magicznej” chwili zastanowienia i analizy :). Podobnie jak z definicją „masowego przetwarzania”, kiedy jest ono masowe, jak przetwarzamy 100, 1000 czy milion rekordów? – to zawsze zależy…
To co ważne, praca z RODO i z rykiem zawsze będzie pociągać jakieś „ryzyko” popełnienia błędu w podejściu – z definicji. I niestety od teraz na zawsze będziemy musieli brać na siebie odpowiedzialność i wykazać „rozliczalność” za decyzję w ochronie danych osobowych, nie będzie można już zepchnąć jej na „katalog standardowy” w stylu: napisali robić tak, robię dokładnie tak – spełniłem wymaganie koniec kropka. Z czasem takich „katalogów” – „zbiorów de-facto praktyk” będzie na pewno coraz więcej i utrą się pewne zachowania/działania o charakterze akceptowalnym.
A teraz odpowiedzcie obie na pytanie czy taki był cel RODO !!!!
Rozkminiacie jak zgodnie z prawem zbierać i przechowywać wizytówki i jak poinformować dającego wam wizytówkę że Wam ją dał i ze będziecie administrować tą wizytówką a nie wrzucicie do wora z śmieciami…
BRAWO. Tak rodo nas chroni i broni :D
Znowu stworzyliśmy prawo które wygenerowało problemy które teraz będziemy dzielnie rozwiązywać. A ja nadal dostaje tony spamu i innego syfu… Teraz jeszcze wszystkie strony walą mi jakimiś komunikatami których już nawet siły czytać nie mam bo są napisane tak przystępnym językiem że nic z niego nie wynika poza tym że zgódź się albo spierd….
Bank nadal wysyła korespondencję na zły adres… I co im zrobię? No właśnie :D
Tak, dokladnie i zaloze sie ze gdyby tak w tych komunikatach nagle by zaczelo pisac, ze zamykajac go oddajesz dusze diablu to i tak nikt by tego nie przeczytal, bo wiem sam po sobie ze jak mi cokolwiek wyskakuje na stronie to jedyne czego szukam to kolorowego przycisku przejdz do strony. Chyba nie znam jednej osoby ktorej zycie byloby na tyle nudne by zadawala sobie rud czytania polityki prywatnosci. No ale ze wzgledow prawnych musi to byc. Nie mniej jednak Rodo przy duzych wyciekach danych moze okazac sie bardzo waznym przepisem.
Trochę jak z licencjami na soft – kiedyś była taka akcja że firma X dała gdzieś w głębi info że pierwsza osoba która się zgłosi dostaje dużo $$$ – i czekali długo AFAIR :P
Co w wypadku książki telefocznej synchronizującej się z google? Jeśli mam zapisany numer telefonu, imię, nazwisko, adres email i czasami adres domowy to powinienem pozyskać zgodę na przetwarzanie danych osobowych i osobną zgodę na synchronizację mojej książki adresowej z gmail? Czy wystarczy jak wyślę smsa do wszystkich kontkatów w telefonie z informacją o RODO? Czy jeżeli w trakcie rozmowy telefonicznej zostanę zobowiązany na mocy prawa do bycia zapomnianym do usunięcia kontaktu z telefonu to muszę to jakoś udokumentować?
Cześć Dzięki za komentarz, na szybko przede wszystkim RODO nie obowiązuje w “życiu prywatnym”. Także, jeżeli Twoje pytania dotyczą użycia tych mechanizmów w celach prywatnych, niezwiązanych z prowadzeniem jakiejkolwiek formy działalności gospodarczej to temat nie istnieje. Prywatnie możesz mieć książkę adresową, wizytówki i co tylko jeszcze jest potrzebne do komunikacji z ludźmi.
Hej, jeszcze kilka pytań. Co w wypadku gdy mój telefon zostanie skradziony lub dostęp do mojego konta gmail zostanie złamany? Czy muszę poinformować osoby z mojej książki telefonicznej o wycieku danych na mocy RODO? A jak kiedyś będę chciał zmienić system na iOS to czy muszę uzyskać zgodę na synchronizację kontaktów z chmurą Apple? Jakie kary grożą za posiadanie niezarejestrowanej książki telefonicznej?
Firmowy telefon na pewno zaszyfruj i zabezpiecz.
Nie ma pojęcia rejestracji książki adresowej. Z tym że obecne telefony by default są z googlem albo aplem połączone i w sumie co z tym? ŻADEN prawnik do tej pory mi nie odpowiedział sensownie na ten dylemat.
Co w wypadku posiadania aplikacji na telefonie (np. komunikatora) który szuka kontaktów przez książkę telefoniczną telefonu? Czy powinienem uzyskać osobną zgodę na ten cel? W końcu takie programy zazwyczaj są produkowane przez firmy trzecie.
PS. dajcie możliwość edycji komentarza, bo mogę mieć jeszcze więcej pytań w przyszłości…
Na początku chciałbym podziękować, że istniejecie i podajecie takie merytoryczne i pożyteczne rzeczy.
Moje pytanie dotyczy brata, który jest zatrudniony na umowę-zlecenie w biurze nieruchomości. Wiadomo jak na początku ta praca wygląda, czyli obdzwanianie ogłoszeń na portalach i proponowanie spotkania.
Czy teraz jest to zakazane i grozi za to kara?
Jeśli tak to kara dla biura czy dla niego?
Pozdrawiam i jeszcze raz dziękuję.
Panie Macieju (jeśli to Pan jest autorem artykułu),
Nie wiem, dlaczego robi Pan ludziom wodę z mózgu. Podobno stosowanie RODO ma opierać się na zdrowym rozsądku i adekwatnej do potrzeb i sytuacji ochronie danych osobowych. Niestety nie widzę tego w żadnym aspekcie powyższego artykułu. Zaprezentowane rozumowanie sprowadza całą sprawę do absurdu i straszy ludzi ciężkimi konsekwencjami za stosowanie zdrowego rozsądku i normalnej logiki.
Jak tu już wspominał kolega Alf/red/ w komentarzu na temat autorów książek, wizytówki należy potraktować analogicznie jak personalia autorów książek – jedne i drugie zostały „w oczywisty sposób upublicznione” poprzez zgodę właścicieli tych danych na ich wydrukowanie i powszechną praktycznie bezwarunkową dystrybucję a więc spełniają zapisy (art. 9 pkt 2e RODO) wyłączające ich ochronę. Ponadto w/w zapis RODO wyłączający ochronę danych jeżeli „przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą” wbrew zapisom w artykule Sekuraka nie ogranicza mozliwości przekazywania wizytówek przez osoby trzecie, zwracając jedynie uwagę na warunek, aby dane te zostały wcześniej upublicznione przez osobę, której dotyczą. Dla mnie wydrukowanie sobie wizytówek w celu ich dystrybucji jest już ich upublicznieniem i jawną zgodą na dalsze upublicznianie. Na przyszłość proponowałbym przed napisaniem takiego artykułu ubrać metalową czapeczkę i udać się w obszar o możliwie najniższym poziomie promieniowania zakłócającego myślenie.
Bardzo dziękuję Panie Andrzeju za komentarz.
Oczywiście każdy ma prawo do własnej interpretacji. Tak długo jak nie pojawią się konkretne orzeczenia i przykłady z działań weryfikacyjnych przyjmujemy tylko założenia i jej opisujemy. Ja się z Pańską interpretacją nie mogę zgodzić. W moje opinii nie można traktować tą samą podstawą prawną przetwarzania wizytówek i publikacji. W przypadku publikacji autor podpisuje swoje dzieło i to jest elementem nierozłącznym powodującym, że dystrybucja tego działa wykonywana jest wraz z sygnaturą autora i kierowana do publicznej wiadomości. W przypadku wizytówek treścią właściwą są dane identyfikacyjne osoby do, której wizytówka należy. Dodatkowo wizytówka jest przekazywana zwykle w selektywny sposób wybranym osobom, nieupubliczniana masowo. Teraz przy założeniu, że dane te mogą zostać zinterpretowane jako dane osobowe oraz, że będziemy je przetwarzać w zbiorach danych (o czym już wcześniej pisałem np. umieszczone w systemach CRM) – oczywiście nie kwestionujemy zgody na przetwarzanie. Osoba dysponująca swoimi danymi osobowymi przekazuje je dobrowolnie i fakt takiego przekazania traktowany jest jako wyrażenie woli przetwarzania. Tutaj jako podstawę prawną przetwarzania przyjmuje art. 6 ust. 1 pkt. a. Kwestia dyskusyjna sprowadza się do wypełnienia obowiązku informacyjnego na podstawie art. 13 tudzież art. 14 przy jeżeli dane nie zostały otrzymane od osoby której dotyczą. Moja interpretacja jest taka, że jeżeli mamy zamiar przetwarzać te dane w sposób usystematyzowany musimy wypełnić obowiązek informacyjny wobec podmiotu danych. Oczywiście poziom zakresu jego wypełnienia (o czym też pisałem) jest ściśle uzależniony od tego czy była już jakaś iteracja pomiędzy podmiotem danych i administratorem, czy podmiot danych zna dane administratora itd.
Przeanalizujmy może sobie, jakiś przykład bardzo praktyczny, aby referować do „zdrowego rozsądku” o którym pisałem :-). Człowiek „xyz” pracuje w firmie A na stanowisku handlowca, intensywnie dystrybuuje swoje wizytówki w celu nawiązania relacji biznesowych, dane z tych wizytówek trafiają do bardzo duże ilości zbiorów usystematyzowanych co powoduje dużą ilość komunikacji kierowanych do Człowieka xyz. Dobrze i teraz nasz Człowiek xyz decyduje się zmienić prace, ba nawet branżę i wybrać zupełnie inny zawód niemający nic wspólnego z rolą handlowca. Teraz pytanie: czy nie powinno Człowiekowi xyz przysługiwać prawo do tego, aby skontaktować się z administratorami którzy intensywnie przetwarzają jego dane osobowe będąc przekonanymi ze xyz jest wciąż handlowcem, poprosić o usuniecie danych i przez to nie być dalej obiektywem komunikacji, która już nie jest mu do niczego potrzebna? Ja uważam, że tak i stąd obstaje przy opinii, że w sytuacjach kiedy przetwarzamy dane z wizytówek w sposób usystematyzowany (podkreślam to bardzo: nie prywatnie, nie doraźnie, ale w usystematyzowany sposób), aktywnie wykorzystując dane na nich zawarte, powinniśmy wykonać obowiązek informacyjny. Wracając na moment to kwestii autorów publikacji (w odniesieniu do przypadku jaki przytoczyłem), autor książki nigdy nie rozłączy się ze swoim dziełem (oczywiście wchodzi tu dodatkowa kwestia przemienia praw autorskich, ale zakładamy, że ich nikomu nie oddaje), natomiast dysponent swoich danych osobowych może bardzo łatwo rozdzielić się z funkcją w kontekście, której przekazał te dane stąd w mojej opinii musimy mu zapewnić prawa – stosownie wynikające z art.13 i art. 14. RODO.
Upraszam, aby na RODO nie patrzeć jedynie z perspektywy defensywnej administratora, ale spróbować postawić siebie w roli podmiotu danych i odpowiedzieć na pytanie, jak ja sam chciałbym, aby moje dane osobowe były chronione i do jakich praw w kontekście ich przetwarzania chciałbym mieć dostęp. Dla czego tak? Ponieważ uważam, że właśnie w takim kontekście należy interpretować RODO.
Jakie dane mogą znajdować się na wizytówce firmy usługowej, żeby można było zostawić ją np w poczekalni u zaprzyjaźnionych firm?
Adres str www już powoduje, że można mnie w pełni zidentyfikować. Proszę o radę.
Panie Andrzeju,
sugeruje Pan, że nie mogąc spełnić zapisów art. 13 administrator nie może zbierać danych zawartych na wizytówce. Zatem jeśli ktoś do materiałów reklamowych przypiął zszywaczem wizytówkę imienną przedstawiciela handlowego, to nawet nie mając zamiaru korzystać z usług tej firmy powinienem, skontaktować się z tym handlowcem i powiedzieć, że usuwam jego dane osobowe.
Rozumiem, że doradza Pan firmom jak budować zbiory danych potencjalnych klientów :-)
A tak przy okazji, gdzie jest informacja z art. 13 dotycząca powyższych pytań i odpowiedzi. Adres poczty oraz imię nie są danymi niezbędnymi do zadania pytania.
Witam Panie Janie,
Widzę, że Pana komentarz jest adresowany do Pana Andrzeja, ale pozwolę sobie też odpowiedzieć. Musimy wrócić tutaj do definicji, o której pisałem, czyli tego czy przetwarzamy dane z wizytówek w sposób usystematyzowany, ponieważ to jest czynnikiem determinującym czy to „operowanie na danych” jest przetwarzanie i podlega RODO. Tak więc jeśli dostanie Pan ulotkę np. na targach z przypiętą wizytówką handlowca czy kogokolwiek i nie interesuje Pana przetwarzanie danych zawartych na tej wizytówce w sposób usystematyzowany tzn. nie chce Pan dodać tych danych do książki adresowej ani do CRM ani do jakiegokolwiek usystematyzowanego zbioru papierowego, celem późniejszego przetwarzania. To absolutnie nie musi się Pan kontaktować z osobą z tej wizytówki i informować o czymkolwiek. Po prostu w takim przypadku nie aplikują się wymagania RODO w tym art. 13 i art. 14 Pamiętajmy, wizytówki są tylko jedną z możliwych form pozyskiwania danych osobowych, może być to jakkolwiek inna forma. To co najważniejsze to czy pozyskanie tych danych wiąże się z zamiarem ich przetwarzania. Wizytówki są dyskusyjne i dla tego budzą kontrowersję. Czemu tak się dzieje? – Właśnie dla tego, że w dużym odsetku sytuacji pozyskujemy tego rodzaju dane „przypadkowo” i nie mamy zamiaru ich przetwarzać w sposób usystematyzowany – wówczas RODO nas nie dotyczy. W tym wszystkim nie chodzi o same „wizytówki” tylko cele wykorzystania danych na nich zawartych. Wizytówka jest tylko medium, takim samym medium może być: strona internetowa, baner, podpisana reklama, ulotka, napis reklamowy na samochodzie. Pytanie czy i co mamy zamiar robić z daną osobową pozyskaną z tych mediów i to determinuje dalsze kroki formalne, takie jak aplikowalność RODO czy dalej użycie art. 13 i 14.
W RODO zabrakło wyłączenia jego stosowania w relacjach biznesowych. W przypadku takich relacji pracownicy nie występują w ramach spółki jako osoby prywatne, ale jako jej przedstawiciele, więc dane służbowe pracowników spółki w relacjach biznesowych powinny być wyłączone spod ochrony RODO.
Działając zachowawczo, na tą chwilę warto jednak dane służbowe pracowników traktować jako dane osobowe osób fizycznych i stosować do nich zapisy RODO.
Liczę, że w zakresie danych służbowych będzie można kierować się utrwalonym w polskim prawie orzecznictwem – wyrok Sądu Najwyższego z 19 listopada 2003 r. I PK 590/02:
„najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – kontrahentami, klientami (…). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (…). Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, ze zgodnie powszechną praktyką są one zasadniczo jawne”.
Mam takie pytanie, zostawiłem na biurku w pracy potwierdzenie nadania prywatnej paczki, gdzie znajdują się dane osoby fizycznej takie jak imie nazwisko adres numer tel, czy to łamanie rodo czy w ramach zewnętrznego audytu mogła by firma ponieść konsekwencje ?
Czy w przypadku zbierania wizytówek, kontaktów, różnych danych przez Firmę i przekazywanie jej innemu podmiotowi w postaci raportów CRM. (Mam na myśli osoby pracujące na Umowie agencyjnej). Czy informacja mailowa o przetwarzaniu danych musi byc wysłana z obu firm współpracujących na umowie agencyjnej ?
W momencie zakupu muszą być te dane przekazane do wystawienia faktury ale co z klientami potencjalnymi ktorzy nie zaczeli jeszcze współpracować ?
Dwóch handlowców spotyka się na targach. Wymieniają się wizytówkami, następnie e-maile i telefony. Czy w e-mailu w stopce może znajdować się link do obowiązku informacyjnego, który znajduje się na stronie? Czy może być to odpowiednia praktyka i czy należy spełniać art. 13 między firmami?
Jako, że przed nami mikołajkowy weekend, to może się zdarzyć tak, że ktoś zostanie zaproszony na jakąś firmową imprezkę. Przychodzisz, siadasz, a obok siedzi fajna dziewczyna. Zagadujesz: cześć jestem Janek, ona na to: Ania. Ty odpowiadasz: Aniu, administratorem Twoich danych osobowych będę ja: Jan Kowalski. Twoje dane osobowe będą przetwarzane w celu umówienia się na randkę. Twoje dane nie będą przekazywane do Państwa trzeciego, ale mogą być profilowane. Masz prawo do wglądu do swoich danych, ich poprawiania, np. jak zmienisz swój numer telefonu, a jak się wkurzysz, to możesz napisać do PUODO.
Dane osobowe to dane personalne, osobiste, czyli kiedy się urodziłem, gdzie mieszkam, jaką mam grupę krwi, na co choruję, jaki mam numer PESEL. To, że pracuję w firmie X, to nie jest dana osobowa, nie może być chroniona, jeżeli miałoby tak być, to powinniśmy pracować pod pseudonimami. Na wizytówce nie podajemy prywatnego numeru telefonu tylko firmowy, to też oddzielenie sfery prywatnej od zawodowej. Także ile zarabiam, też nie jest daną osobową, tylko daną poufną, z innych powodów, np. ochrona konkurencji. Jeżeli jako klient wejdę do Marketu, gdzie będzie tablica „Nasza załoga” i będzie zdjęcie dyrektora z jego nazwiskiem, to będę musiał mu wysłać powiadomienie, że nabyłem jego dane osobowe ? Obłęd. Odebranie wizytówki niewiele się różni od odebrania maila ze stopką. Czy też mam obowiązek wynikający z pozyskania danych z maila z niechcianą ofertę ???