Coraz więcej drukarń obsługuje pozyskane przez siebie zlecenia drogą elektroniczną. Do standardowych procesów biznesowych w drukarniach internetowych należą m.in.: pozyskanie klienta, przygotowanie kalkulacji, przedstawienie oferty, przyjęcie zamówienia, przygotowanie produkcji, magazynowanie i ekspedycja materiałów do klienta. W związku z pozyskaniem powyższych danych będą na pracownikach drukarni ciążyły obowiązki wynikające z ustawy z dnia 27 sierpnia 1997 roku o ochronie danych osobowych, ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, ustawy z dnia 18 września 2001 r. o bezpiecznym podpisie elektronicznym oraz ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Ponadto pracownicy będą zobowiązani do zarządzania bezpieczeństwem informacji w taki sposób, aby zapewnić im jak najbezpieczniejsze przetwarzanie.
Pozyskiwanie zleceń drogą elektroniczną
Zdobywanie nowych klientów dla drukarni wiąże się często z wysyłaniem informacji handlowej o proponowanych produktach i usługach. Przed wysłaniem szczegółowej oferty przepisy wymagają uzyskania zgody na przesłanie takiej informacji. Uzyskanie zgody na przesłanie informacji handlowej może być dokonane na podstawie wcześniej wysłanego e-maila z prośbą o udzielenie takiej zgody. Komunikat ten musi jednak spełnić pewne warunki. Nie może on przede wszystkim być uznany za informację handlową samą w sobie, nie może więc zawierać żadnej treści, która mogłaby zostać zinterpretowana jako promująca usługę lub wizerunek. Prośba o zgodę powinna zawierać tylko ogólny opis usługodawcy oraz sposób, w jaki usługobiorca powinien wyrazić zgodę na przesłanie informacji.
Przykład 1. Prawidłowo przesłany komunikat zawierający prośbę o wyrażenie zgody na informację handlową, niemający cech oferty i nieodsyłający do niej:
„Zwracamy się do Państwa z prośbą o wyrażenie zgody na przesłanie Państwu informacji handlowej na temat najnowszych produktów oferowanych przez naszą firmę. W celu udzielenia takiej zgody prosimy o kliknięcie w następujący link..... lub wpisanie odpowiedzi tak.”
Przykład 2. Nieprawidłowo przesłany komunikat – w tym przypadku naruszenie ustawy o świadczeniu usług drogą elektroniczną stanowi zastosowanie pogrubienia, informacja ma charakter promujący, zawiera elementy oferty oraz bezpośrednie odesłanie do samej oferty bez pytania o zgodę.
„W imieniu drukarni internetowej „Nazwa” będącej największą internetową drukarnią w Polsce chcielibyśmy zaproponować Państwu zapoznanie się z naszą promocyjną ofertą dotyczącą naszych najnowszych produktów druku cyfrowego.
W celu zapoznania się z naszą ofertą prosimy o odwiedzenie strony internetowej naszej firmy pod adresem: http://www.nazwa.pl/oferta/drukcyfrowy/promocja”
Wysyłka niezamówionej informacji handlowej
Przepisy przewidują kilka rodzajów konsekwencji, z jakimi może się spotkać usługodawca rozsyłający niezamówioną informację handlową. Ustawa o świadczeniu usług drogą elektroniczną przewiduje sankcję karną w przypadku naruszenia przepisów o rozsyłaniu informacji handlowej. Rozsyłanie informacji handlowej zostało uznane za wykroczenie i zgodnie z art. 24 wiąże się ono z możliwością zasądzenia przez sąd kary grzywny, czyli kary od 20 do
5000 złotych. Ściganie tego wykroczenia następuje na wniosek pokrzywdzonego, co oznacza, że każda osoba, która otrzymała niezamówioną informację handlową, może zgłosić taką okoliczność na policję. W praktyce sprawy tego typu należą do rzadkości i mają charakter dodatkowy do zarzutów innego rodzaju.
Ponadto rozsyłanie niezamówionej informacji handlowej jest z mocy prawa uznawane za czyn nieuczciwej konkurencji. W tym przypadku zakres ochrony odbiorców wydaje się również być nieadekwatny w praktyce, bowiem z roszczeniem na podstawie art. 18 ustawy o zwalczaniu nieuczciwej konkurencji, czyli z roszczeniem o:
n zaniechanie niedozwolonych działań;
n usunięcie skutków niedozwolonych działań;
n złożenie jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i w odpowiedniej formie;
n naprawienie wyrządzonej szkody, na zasadach ogólnych;
n wydanie bezpodstawnie uzyskanych korzyści, na zasadach ogólnych;
n zasądzenie odpowiedniej sumy pieniężnej na określony cel społeczny związa-ny ze wspieraniem kultury polskiej lub z ochroną dziedzictwa narodowego – jeżeli czyn nieuczciwej konkurencji był zawiniony.
Ochrona danych osobowych
Ustawa o ochronie danych osobowych jest aktem prawnym, który określa obowiązki drukarni w zakresie przetwarzania danych osobowych. W ramach prowadzonej przez drukarnię działalności zazwyczaj gromadzone są takie dane kontrahentów jak: imię, nazwisko, adres zamieszkania czy też numer telefonu. Jeżeli dodatkowo dane te są odpowiednio uporządkowane i skatalogowane, tworzą zbiór danych osobowych. Tak więc wszelkie informacje dotyczące osoby fizycznej, które ją identyfikują lub pozwalają na jej zidentyfikowanie bez ponoszenia przez przedsiębiorcę istotnych kosztów w tym zakresie, stanowią dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Należy wiedzieć, że dane m.in. spółek jawnych, stowarzyszeń, spółek kapitałowych nie stanowią danych osobowych w rozumieniu ustawy o ochronie danych osobowych, ale już dane dotyczące członków stowarzyszenia, wspólników spółek handlowych – jeżeli osoby te są osobami fizycznymi – podlegają ochronie przewidzianej w ustawie. Ochronie ustawowej będą podlegały więc dane osobowe dotyczące tylko osób fizycznych
Odpowiedzialność za naruszenie przepisów o ochronie danych osobowych
W przypadku, gdy następuje naruszenie przez drukarnię przepisów o ochronie danych osobowych, może wyniknąć w związku z tym konieczność:
n obowiązku naprawienia szkody za naruszenie dóbr osobistych osoby, której dane osobowe zostały przetworzone w sposób nielegalny;
n skontrolowania drukarni przez pracowników Generalnego Inspektora Ochrony Danych Osobowych;
n zapłaty grzywny nałożonej w trybie ustawy o postępowaniu egzekucyjnym w administracji;
n poniesienia odpowiedzialności karnej, w tym kary pozbawienia wolności do 3 lat.
Obowiązki w zakresie świadczenia usług drogą elektroniczną
Poza ustawą o ochronie danych osobowych, drukarnie świadczące usługi lub sprzedaż przez Internet powinny stosować się do ustawy o świadczeniu usług drogą elektroniczną. Ustawa ta stanowi podstawowy akt prawny dla podmiotów, które prowadzą działalność gospodarczą za pośrednictwem Internetu. W rozdziale 4. ww. ustawy zostały zawarte regulacje dotyczące ochrony danych osobowych. Zgodnie z zapisami ww. ustawy jakiekolwiek przetwarzanie danych osobowych – niezależnie od tego, czy odbywa się to w ramach utworzonego zbioru danych, czy też nie – powinno odbywać się zgodnie z ustawą o świadczeniu usług drogą elektroniczną.
Podstawowym obowiązkiem i ograniczeniem drukarni w zakresie zbierania danych osobowych jej klientów przez Internet jest ich niezbędność dla wykonania samej usługi. Drukarnia nie powinna w związku z powyższym żądać od swojego przyszłego kontrahenta podania danych, które nie mają znaczenia dla realizacji umowy, chyba że sam kontrahent wyrazi na to zgodę. Należy zatem rozdzielić te dane, które są potrzebne do wykonania umowy od tych, które nie są związane z usługą.
Ważne jest, aby po wykonaniu usługi dane osobowe kontrahenta zostały usunięte, chyba że ich przechowywanie jest konieczne ze względu np. na dochodzenie roszczeń z tytułu płatności za korzystanie z usługi.
Zarządzanie bezpieczeństwem informacji w drukarniach internetowych
Coraz większym problemem odnośnie do bezpieczeństwa informacji w drukarniach internetowych staje się ochrona systemów teleinformatycznych i przetwarzanych w nich informacji. Istotnym zadaniem zarządzania bezpieczeństwem informacji jest rozpoznanie i oszacowanie ryzyk oraz ich redukcja do akceptowanego poziomu. W zależności od wyników analizy powinna powstać koncepcja bezpieczeństwa, na którą składa się wybór środków zabezpieczeń adekwatnych do przyjętego poziomu bezpieczeństwa. Kluczowym dokumentem w zarządzaniu bezpieczeństwem informacji jest Raport Techniczny – ISO/IEC TR 13335, obejmujący 5 części, z których pierwsza obowiązuje od 2002 roku jako Polska Norma. Poszczególne części raportu:
n ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne dla zarządzania bezpieczeństwem informacji
n ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów informatycznych
n ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych
n ISO/IEC/TR 13335-4: Wybór zabezpieczeń
n ISO/IEC/TR 13335-5: Zabezpieczenie połączeń z sieciami zewnętrznymi
Technologie, które można określić jako realizujące przesłankę zapewnienia bezpieczeństwa informacji, to między innymi:
n P3P – Platform for Privacy Preferences – projekt pozwalający założyć użytkownikowi swoje żądania ochrony sfery prywatności na własnej przeglądarce; celem jest uzgadnianie preferencji użytkownika z polityką bezpieczeństwa.
n OPS – Open Prifiling Standard – standard, który powinien oferować bezpieczną transmisję profilu użytkownika, otrzymał wraz ze standardem P3P rekomendację Grupy Komisji Europejskiej w stanowisku z 1/98 z 16 czerwca 1998 r.
n Generator Ochrony Danych – rekomendowany przez OECD, który obejmuje wszystkie aspekty ochrony danych i sfery prywatności w sieciach rozległych, integrując krajowe i międzynarodowe regulacje ochrony danych, np.: OECD, prawo krajowe i międzynarodowe oraz regulacje własne.
Polityka bezpieczeństwa informacji
Warto wdrożyć w drukarni politykę bezpieczeństwa informacji, której zadaniem będzie określenie wszystkich aspektów bezpieczeństwa i ochrony procesów przetwarzania informacji. Polityka bezpieczeństwa powinna być dokumentem utworzonym w formie pisemnej i tworzyć podstawy do zarządzania bezpieczeństwem informacji, zawierać ogólne wytyczne i zostać ogólnie przyjęta przez zarządzających drukarnią.
Podpis elektroniczny
Jednym ze środków zabezpieczających informacje w ramach systemów informatycznych drukarni będzie miało zastosowanie w drukarni bezpiecznego podpisu elektronicznego. Zastosowanie podpisu elektronicznego oznacza, że dokumenty sporządzane i przesyłane w formie elektronicznej są traktowane na równi z dokumentami w formie pisemnej. Przepisy wyróżniają dwie kategorie podpisu elektronicznego: zwykły i tzw. bezpieczny podpis elektroniczny. Zwykły podpis oznacza dane w postaci elektronicznej, które identyfikują daną osobę. Natomiast tzw. bezpieczny podpis elektroniczny jest zaopatrzony w specjalny certyfikat potwierdzający jego autentyczność. Tylko tego rodzaju podpis jest traktowany na równi z podpisem własnoręcznym (w sensie prawnym). Bezpiecznego podpisu elektronicznego będzie się używało zazwyczaj do: podpisywania umów z kontrahentem drogą elektroniczną, podpisywania faktur elektronicznych i innych. Podpis elektroniczny wymaga zazwyczaj posiadania specjalnego urządzenia, najczęściej w postaci przypominającej kartę bankomatową lub pendriva, służącego do uwierzytelniania podpisu. Stosowanie bezpiecznego podpisu elektronicznego zwiększa bezpieczeństwo przesyłanych informacji i dokonywanych drogą elektroniczną transakcji handlowych.
Bezpieczny podpis elektroniczny to podpis elektroniczny, który:
n jest przyporządkowany wyłącznie do osoby składającej ten podpis,
n jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
n jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Podsumowanie:
Pozyskiwanie nowych klientów i obsługa zleceń drukarni internetowej powinny odbywać się z poszanowaniem przepisów prawa. Szczególnej ochronie powinny podlegać dane osobowe pozyskanych kontrahentów, które po wykonaniu zlecenia powinny zostać usunięte ze zbioru danych, chyba że ich przechowywanie jest konieczne np. ze względu dochodzenia roszczeń z tytułu płatności za usługi. Wysyłanie informacji handlowej powinno się odbywać zgodnie z przepisami ustawy o świadczeniu usług drogą elektroniczną oraz po uzyskaniu zgody na otrzymanie informacji przez potencjalnego klienta. Należy pamiętać, że wysyłane komunikaty nie mogą posiadać cech oferty, promować usług drukarni, zawierać pogrubień tekstu czy linków do samej oferty. Warto zdawać sobie sprawę z konsekwencji, jakie może ponieść drukarnia w przypadku przesyłania niezamówionej informacji handlowej. W takich przypadkach odbiorcy korespondencji przysługuje roszczenie z art. 18 ustawy o zwalczaniu nieuczciwej konkurencji i narażenie się na grzywnę w wysokości od 20 do 5000 zł.