LATA PRACY MOGĄ BYĆ WYMAZANE
Zmniejszy się obrót bazami danych osobowych
WSZYSTKO WZGLĘDNE: Na temat ustawy rozmawiałem z wieloma kolegami pracującymi w krajach Unii Europejskiej. Porównując wymogi standardowych zabezpieczeń z obowiązującymi w UE dochodzimy do wniosku, iż są one zbyt ogólne, przez co prowokują do różnorodnej interpretacji — twierdzi Jacek Kowalski, administrator bazy danych w Medical Data Management. fot. Małgorzata Pstrągowska
Marketing bezpośredni jest jeszcze nowością w Polsce. Jednak specjaliści twierdzą, że perspektywy są bardzo dobre. Dynamika wzrostu tego rynku w niektórych regionach wynosi nawet 300 proc. Ustawa o ochronie danych osobowych nie zaszkodzi uczciwym firmom, a jedynie uporządkuje obecny nieład. Ogólny odbiór w środowisku marketingowym, mimo licznych niedoróbek, jest pozytywny.
Bazy danych osobowych są narzędziem stosowanym przez firmy i agencje reklamowe specjalizujące się w marketingu bezpośrednim.
W szerokim rozumieniu marketing bezpośredni oznacza każdą formę bezpośredniego kontaktu z klientem, czyli przesyłki pocztowe, telezakupy, zakupy przez telefon lub Internet. Jednak formą dominującą na tym rynku jest direct- -mail. Są to przede wszystkim przesyłki pocztowe zawierające broszury informacyjno-reklamowe, katalogi, ulotki, imienne listy oraz przesyłki z próbkami poszczególnych produktów.
— Rynek reklamy bezpośredniej, szczególnie direct-mail ma przed sobą wielką przyszłość. Widać to po wynikach sprzedaży osiąganych w krajach bardziej od Polski rozwiniętych. W niektórych regionach kraju, szczególnie w dużych miastach, dynamika wzrostu wynosi nawet 300 proc. — twierdzi Paweł Grzymała specjalista ds. direct-mail w Poczcie Polskiej.
Ustawa wymiata
Ostrze ustawy o ochronie danych osobowych dosięgnie właśnie firm specjalizujących się w przesyłkach adresowanych. Wnioskując z deklaracji firm zrzeszonych w Stowarzyszeniu Marketingu Bezpośredniego są one zadowolone z jej wprowadzenia i nie obawiają się o swoje interesy. Wydaje się nawet, że prawo jest po stronie uczciwych graczy tego rynku.
— Panujący do tej pory nieład w ochronie i przetwarzaniu danych osobowych wymagał uporządkowania. Na rynku działało wiele nieuczciwych firm, które u znacznej części społeczeństwa wyrobiły negatywny obraz mailingu — wyznaje Paweł Grzymała.
Oficjalne deklaracje nie pokrywają się jednak z prywatnymi opiniami wielu brokerów z firm zajmujących się obrotem bazami danych.
Zwracają oni uwagę, iż w przepisach nie wprowadzono obowiązku stworzenia bazy osób, które nie życzą sobie, aby informacje o nich były przetwarzane w bazach danych osobowych. Zapisano jedynie obowiązek wymazania informacji zamieszczonych w konkretnej bazie i przewidziano bardzo ostre kary za niedotrzymywanie wymogów określonych w ustawie i rozporządzeniach wykonawczych.
Wymazane lata
W świetle ustawy instytucje dysponujące bazami danych osobowych i przetwarzające informacje w nich zawarte są administratorami baz danych. Na nich spoczywa największa odpowiedzialność. W przypadku niedociągnięć w zakresie bezpieczeństwa i nadużyć w stosunku do osób zamieszczonych w bazie wbrew swojej woli, administratorzy mogą być pociągnięci do odpowiedzialności karnej. Do najostrzejszych kar, jakie mogą dosięgnąć firmy zalicza się nakaz wymazania całej bazy danych, a w skrajnych przypadkach przerwania działalności.
— Wiszące nad nami kary są bardzo ostre. Wymazanie informacji gromadzonych niekiedy latami jest przecież sprawą niebagatelną — mówi Jacek Kowalski, administrator bazy danych w Medical Data Management.
Ogólne wytyczne
— Ustawie o ochronie danych osobowych towarzyszą dwa rozporządzenia wykonawcze, w których sformułowano wymagania bezpieczeństwa danych. Pierwszy z nich mówi o zabezpieczeniach systemów informatycznych, natomiast drugi o przechowywaniu i dostępie do danych zgromadzonych w innej formie — wyjaśnia Małgorzata Kałużyńska-Jasak, rzecznik Biura Generalnego Inspektora Ochrony Danych Osobowych.
Niestety wytyczne są ogólnikowe, przez co ich interpretacja może być bardzo subiektywna. Przepisy mówią o tym, że osoby mające wgląd w dane powinny posiadać do tego uprawnienia i zdawać sobie sprawę z ich poufności.
— Nasza firma interpretuje to w sposób dość rygorystyczny, dlatego wszyscy pracownicy podpisują zobowiązanie do zachowania tajemnicy służbowej, a osoby odwiedzające naszą siedzibę muszą stale przebywać w towarzystwie któregoś z pracowników. W najbliższym czasie zamierzamy wprowadzić także elektroczniczny system kontroli dostępu i system alarmowy. Takich kwestii w regulacjach niestety nie ma — stwierdza Jacek Kowalski.
Komputery regulowane
Znacznie lepiej wyglądają obostrzenia dotyczące zabezpieczania informacji zgromadzonych w systemach informatycznych. Tutaj zabezpieczenie przed dostępem osób niepowołanych jest bardziej skonkretyzowane.
Przepisy mówią o obowiązku przydzielenia jednego konta dostępowego dla jednego użytkownika systemu. Konto powinno być zabezpieczone hasłem, zmienianym co miesiąc. Powinna również obowiązywać hierarchiczna dostępność do zasobów systemu w zależności od pełnionej funkcji.
— Wymagania dotyczące zabezpieczenia systemów informatycznych powinny mieć dobry wpływ na jakość tzw. systemów bazodanowych, będących w dyspozycji administratorów. Wymuszą one przede wszystkim unowocześnienie systemów, poprzez przechodzenie na nowsze oprogramowanie — dodaje Jacek Kowalski.
Funkcjonujące obecnie u brokerów systemy bazodanowe opierają się na oprogramowaniu firmy Microsoft. Niestety przeważają rozwiązania z początku lat 90., działające na MS-DOS.
— Starsze rozwiązania mają swoje niepowtarzalne walory. Rzadko spotykane metody zapisu i bieżącej kompresji danych są znakomitym zabezpieczeniem, szczególnie podczas udostępniania zasobów w Internecie — mówi Jarosław Milczek, dyrektor ds. strategii marketingowej i promocji w Teleadresonie.
Prawdopodobnie przestarzałe systemy zostaną zastąpione nowszymi, opartymi na SQL Microsoftu. Nie znalazły natomiast zastosowania najpopularniejsze na świecie systemy bazodanowe firm Informix i Oracle.
We własnym interesie
Kary za niezgodne z prawem dysponowanie bazami danych osobowych wpłyną na zmniejszenie obrotu nimi. Instytucje posiadające bazy nie będą ich sprzedawać, a prawdopodobnie nawet ograniczą ich czasowe wypożyczanie do jednorazowych akcji mailingowych. Na przykładzie baz danych o firmach i instytucjach widać, że nie ma sposobów na sprawdzenie, czy klienci na pewno wywiązują się z umów.
— Najpowszechniejszym sposobem zabezpieczenia swoich interesów jest wstawianie na listy fikcyjnych firm, pod których adresami znajdują się oddziały firmy lub zaprzyjaźnione instytucje. Do tej pory nie mieliśmy jednak żadnych zabezpieczeń. Wprowadzimy je na początku przyszłego roku — stwierdza Paweł Grzymała.
Poczta Polska jest właścicielem największej bazy danych firm i instytucji, jednak nie zajmuje się nią samodzielnie.
— Tworzeniem i aktualizacją Pocztowej Bazy Danych zajmuje się firma Teleadreson. Nie jesteśmy zadowoleni ze współpracy z tą firmą, dlatego nie przedłużymy obowiązującej do grudnia umowy. Prowadzimy już rozmowy z kilkoma oferentami, którzy będą naszymi nowymi partnerami — podsumowuje Paweł Grzymała.
NIE TYLKO INSTYTUCJE: W przyszłym roku nasza firma będzie dysponować bazami danych przeznaczonymi do świadczenia usług direct-mail. Trudno podać konkretną datę, gdyż najpierw musimy wywiązać się z obowiązków nałożonych przez ustawę o ochronie danych osobowych, czyli poprosić o zgodę zainteresowanych — mówi Paweł Grzymała, specjalista ds. direct-mail w Poczcie Polskiej. fot. ARC