ABI po nowemu…

Z dniem 1 stycznia 2015 r. wejdą w życie przepisy zmieniające ustawę o ochronie danych osobowych. Zmiany będą dość istotne i dotyczyć będą między innymi pozycji administratora bezpieczeństwa informacji (ABI). Ustawa w dotychczasowym brzmieniu nie reguluje szczegółowo kompetencji ABI. Niemniej jednak praktyka wypracowała określony dla tej funkcji zakres obowiązków.

Faktem jest też, że wiele firm decyduje się na zlecenie zadań ABI firmie zewnętrznej.

Ustawa w brzmieniu dotychczasowym lakonicznie reguluję pozycję ABI ograniczając się do stwierdzenia, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony. Z kolei nowe przepisy szczegółowo wymieniają zakres zadań należący do kompetencji ABI.

Zadania ABI

Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych. ABI będzie zobowiązany do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowywania i aktualizowania dokumentacji, zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Powołanie ABI

Administrator danych osobowych może, ale nie musi wyznaczyć ABI. W przypadku niepowołania ABI jego zadania wykonuje jednak sam, co oznacza, że ponosi również odpowiedzialność za wszelkie uchybienia w zakresie przetwarzania danych osobowych zgodnie z prawem.

Powołanie ABI jest dla wielu firm kuszące. Sfera zapewnienia zgodności przetwarzania danych osobowych z przepisami jest przez przedsiębiorców mało znana.  Chętnie, więc wyznaczają ABI poza swoją organizacją zawierając stosowną umowę cywilno-prawną. W umowie takiej  regulowane są prawa i obowiązki stron. Wobec braku dotychczas katalogu ustawowych zadań, strony same w umowie precyzowały ich zakres.

 Nowe przepisy w dalszym ciągu, w zakresie powołania ABI, pozostawiają swobodę wyboru administratorowi danych. Administrator danych jednak, jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.

W świetle nowych przepisów ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zwolnienie z obowiązku rejestracji

Dla administratorów danych, którzy powołają i zgłoszą ABI ustawa przewiduje bonus w postaci zwolnienia ich z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Reasumując, wprowadzane zmiany takie jak określenie kompetencji ABI, a tym samym zakresu jego odpowiedzialności, zwolnienie z obowiązku rejestracji zbiorów,  wprowadzenie rejestru ABI należy zaliczyć do plusów noweli.

 Rzeczą, która jednak budzi pewien niepokój jest wprowadzenie przez nowe przepisy, instytucji uproszczonej kontroli przy pomocy ABI właśnie. Temu zagadnieniu poświęcę kolejny wpis na blogu.

Umowa zawierana na odległość Cz I

Nowe prawo konsumenckie określa min. zasady i tryb zawierania z konsumentem umów na odległość. O tym, jak taka umowa jest rozumiana pisałam we wcześniejszym wpisie http://przetwarzaniedanych.pl/umowa-zawierana-na-odleglosc-w-swietle-nowego-prawa-konsumenckiego/.

Umowy zawierane na odległość bardzo często zawierane są za pośrednictwem specjalnych witryn sprzedażowych, w których system informatyczny krok za krokiem prowadzi klienta przez proces zmierzający do złożenia zamówienia i do zawarcia umowy. Umowy zawierane na odległość mogą też być zawierane też w prostszy sposób, na przykład przy użyciu poczty elektronicznej poprzez wymianę wiadomości elektronicznych zawierających oświadczenia woli stron w tym zakresie.

Nowe prawo konsumenckie stanowi, iż już w momencie wyrażenia przez konsumenta woli związania się umową przedsiębiorca musi wykonać obowiązki informacyjne.

Jest to cały szereg obowiązków szczegółowo wymienionych w ustawie, które powinny być wypełnione w  fazie przedkontraktowej, czyli jeszcze przed zawarciem umowy. Ma to oczywiście na celu poinformowanie klienta przed zawarciem umowy o zasadach i trybie zawierania umowy na odległość.

Informacje mają być przekazane konsumentowi w sposób jasny i zrozumiały, odpowiadający rodzajowi środka porozumiewania się na odległość.  W przypadku zawierania umów przy użyciu poczty elektronicznej informacje powinny zostać przekazane pocztą elektroniczną.

Przy okazji warto wspomnieć, iż po stronie przedsiębiorcy istnieje obowiązek takiej organizacji sposobu zawierania umowy za pomocą środków komunikacji elektronicznej, aby konsument w momencie składania zamówienia wyraźnie potwierdził, że wie, iż zamówienie pociąga za sobą obowiązek zapłaty.

Przy zawieraniu umów przez pocztę elektroniczną konieczne będzie złożenie przez konsumenta w treści korespondencji oświadczenia wiedzy odnośnie obowiązku zapłaty wraz z zamówieniem.

Niespełnienie wyżej opisanych wymagań skutkuje niezwarciem umowy. Jest to bardzo poważna konsekwencja, dlatego każdy przedsiębiorca zawierający umowy na odległość przy użyciu środków komunikacji elektronicznej, przed wejściem w życie nowego prawa konsumenckiego powinien zrewidować swoją organizację sprzedaży na odległość z uwzględnieniem nowych wymagań.

Ciąg dalszy obowiązków w zakresie zawierania umów na odległość przy użyciu komunikacji elektronicznej nastąpi….

 

Ustawa o prawach konsumenta tuż tuż

25 grudnia wchodzi w życie ustawa o prawach konsumenta. Akt prawny, który wprowadza sporo istotnych zmian, które w ogromnej części dotyczą przedsiębiorców internetowych i handlu elektronicznego.

Ustawa wdrażając regulacje dyrektywy unijnej w sprawie praw konsumenta ma na celu podniesienie standardów w zakresie ochrony konsumenta nabywającego towary i usługi przez internet.

Kluczowe znaczenie w omawianych regulacjach ma przestrzeganie obowiązków informacyjnych przez przedsiębiorców. Ma to przyczynić  się do zdobycia większego zaufania przez konsumentów, a co za tym idzie do wzrostu całego rynku handlu elektronicznego. Takie są idee przyświecające wprowadzeniu omawianych przepisów.

Przedsiębiorców jednak czeka wdrożenie nowych zasad dotyczących obsługi klientów, zawierania umów, informowania. Nowa regulacja w tym zakresie jest bardzo bogata i może stanowić nie lada wyzwanie dla nie jednego przedsiębiorcy internetowego.

Mam już wypełniony wniosek…

Często dzwonią lub piszą do mnie klienci z informacją, że napisali zgłoszenie do GIODO i potrzebują jeszcze tylko dokumentacji wymaganej prawem tj. przede wszystkim polityki bezpieczeństwa danych.

Sytuacja taka przydarzyła mi się kilkukrotnie i wprawiła nie powiem w pewną konsternację żeby nie powiedzieć osłupienie.

Chodzi bowiem o to, że zgłoszenie zbiorów do GIODO tak naprawdę kończy cały proces badania zgodności w zakresie spełniania wymogów prawnych dotyczących przetwarzania danych osobowych. Jest to jakby ostatni znaczący punkt w całym procesie badania zgodności.

Jeśli ktoś prosi mnie o pomoc po wypełnieniu wniosku to zastanawiam się jak tu pomóc i czy moja pomoc w ogóle jest potrzebna.

Obserwuję ciągle, że kwestia zabezpieczenia danych osobowych w firmie traktowana jest rzeczywiście jako kolejny przykry obowiązek administracyjny. Większość przedsiębiorców najchętniej ograniczyłaby się do wypełnienia dokumentów, włożenia do segregatora i wyciągnięcia na wypadek kontroli GIODO. Korzystają więc z różnych krążących w sieci wzorów.

Zgadzam się, że małych przedsiębiorców rzeczywiście kwestia ta może przerastać i odsuwają jej uporządkowanie. Jednakże firmy przetwarzające duże ilości danych osobowych, których działalność gospodarcza z tym przetwarzaniem ściśle jest związana, działające od lat na rynku i mające setki czy tysiące danych w swojej bazie powinny potraktować sprawę poważniej, co oznacza zapewnienie odpowiedniej adekwatnej do wymogów prawa ochrony.

Zgodnie z definicją umowa zawierana na odległość musi być zawarta w ramach obrotu  między konsumentem a przedsiębiorcą ( B2C); przy jednoczesnym braku  fizycznej obecności stron oraz przy wykorzystaniu jednego lub większej liczby środków porozumiewania się na odległość. Ważne, że  przedsiębiorca powinien zawierać umowy w sposób zorganizowany i na odległość.

Dla przypomnienia konsumentem jest każda osoba fizyczna, która działa w celach niezwiązanych z działalnością handlową, gospodarczą, rzemieślniczą ani wykonywaniem wolnego zawodu.

Zorganizowana działalność odnośnie zawierania umów polega na tym, że przedsiębiorca powinien stworzyć zorganizowany system zawierania umów, np. przez stworzenie odpowiedniej witryny internetowej, zatrudnienie personelu do obsługi takiej działalności. Nie ma przeszkód oczywiście, aby przedsiębiorca poza taką formą zawierania umów  zawierał inne umowy w sposób tradycyjny lub poza lokalem przedsiębiorstwa.

Nie podlegają reżimowi dotyczących umów zawieranych na odległość umowy zawierane wprawdzie faktycznie na odległość, jednakże okazjonalnie, przy braku zorganizowanego po stronie przedsiębiorcy takiego sposobu zawierania umów. Okazjonalna sprzedaż nawet przy spełnieniu pozostałych cech, jeśli nie ma charakteru zorganizowanego, nie będzie podpadać pod omawianą regulację.

Trzeba tez pamiętać, że  pojęcie zorganizowanej sprzedaży świadczenia usług na odległość obejmuje także systemy sprzedażowe oferowane przez osobę trzecią inną niż przedsiębiorca, ale z których przedsiębiorca korzysta, takie jak platforma aukcyjna.

 Chodzi tutaj przede wszystkim o takie aukcyjne jak allegro przykład. Oznacza to, że działalność gospodarcza przedsiębiorcy który nie ma własnej witryny sprzedażowej ale w sposób stały i zorganizowany sprzedaje wyłącznie przez allegro  również podpada pod regulacje nowego prawa konsumenckiego.

Zgodnie  z dyrektywą unijną definicja ta nie powinna jednak obejmować przypadków, w których strony internetowe oferują jedynie informacje o przedsiębiorcy, jego towarach lub usługach oraz dane kontaktowe przedsiębiorcy.

E-mailing

Za mailing uznaje się przesyłanie informacji handlowej za pomocą poczty elektronicznej (e-mail). Nie brakuje opinii, iż to właśnie e-mailing jest najskuteczniejszym i najtańszym narzędziem reklamy w Internecie. Wpływa na to łatwość korzystania z poczty elektronicznej, niski koszt i szybkość e-maili.

Mailing – przekazywanie informacji handlowej do oznaczonych odbiorców za pomocą poczty elektronicznej, ale też na forach, portalach społecznościowych.

  1. Newsletter

E-maile bardzo często mają też postać newslettera – jest to rodzaj biuletynu skierowanego do kręgu klientów lub potecjalnych klientów. Mogą one przypominać i zachęcać subskrybentów do powtórnego odwiedzania strony WWW danego przedsiębiorcy, informować o swoich produktach, budować lojalność wśród istniejących klientów.

Aby w ogóle rozpocząć dialog z internautą, a potem móc go kontynuować, reklamodawca w pierwszej kolejności musi uzyskać jego zgodę na przesłanie reklamy poprzez e-mail.

  1. Warunki uzyskania zgody na przesłanie e-mailingu

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Zgoda odbiorcy nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie. W milczeniu odbiorcy  nie można upatrywać dorozumianej  zgody na przesłanie informacji handlowej.

Należy podkreślić, że samemu udostępnieniu adresu elektronicznego musi towarzyszyć zgoda na przesyłanie na ten adres informacji handlowych.

Zgoda musi więc obejmować przesyłanie informacji handlowej za pomocą konkretnego środka komunikacji elektronicznej wobec tego zgoda na przesyłanie wiadomości e-mail nie oznacza możliwości przesyłania informacji handlowych na telefon komórkowy.

Przykładowo adres elektroniczny wykorzystywany w kontakatch zawodowych lub też podany na firmowych stronach internetowych nie może być wykorzystywany do wysłania informacji handlowej bez wyraźnej zgody na ten rodzaj komunikacji.

Ponadto zgodna na przesyłanie informacji handlowych nie może wynikać ze zgody na przetwarzanie danych osobowych w celach marketingowych. W treści formularza klauzula zgody na przesyłanie informacji handlowej drogą elektroniczną powinna być wyodrębniona od klauzuli zgody na przetwarzanie danych osobowych w celach marketingowych.

 

Jan Nowak poszukuje platformy poczty elektronicznej do użytku własnego i pięciu pracowników jego firmy. Dowiaduje się, że odpowiednia i przyjazna dla użytkownika platforma – także dostępna bezpłatnie – przetrzymuje dane przez zbyt długi okres czasu i przekazuje je do państw trzecich bez właściwych zabezpieczeń. Ponadto nie istnieje możliwość uzgodnienia warunków umownych.

W takim przypadku Jan Nowak powinien poszukać innego dostawcy.

Usługa poczty elektronicznej to jedna z podstawowych usług internetowych wykorzystywanych w Internecie. Przy pomocy poczty elektronicznej nawiązywane są kontakty, zawierane umowy cywilnoprawne, prowadzone są działania marketingowe.

Jest to podstawowe narzędzie służące do komunikacji indywidualnej. Z używaniem tego narzędzia związane jest przetwarzanie danych osobowych osób, do których wysyłane są wiadomości elektroniczne. W związku z powyższym zastosowanie mają w całości regulacje dotyczące ochrony danych osobowych.

Każdy, kto używa poczty elektronicznej w celach zarobkowych, zawodowych, w imieniu przedsiębiorstwa jest zobowiązany do zapoznania się z regulacjami dotyczącymi ochrony danych osobowych jak również prawa komunikacji elektronicznej.

 

Marketing w internecie

Informacja handlowa

Kluczowym zagadnieniem dla przetwarzania danych osobowych w działalności marketingowej prowadzonej w Internecie jest informacja handlowa, której ustawowa definicja ma bardzo szeroki zakres. Obowiązująca ustawa o świadczeniu usług drogą elektroniczną stanowi, iż informacją handlową jest  każda informacja służąca promocji towarów, usług lub też wizerunku.

Informacja handlowa w rozumieniu ustawy o świadczeniu usług drogą elektroniczną jest więc równoznaczna z przekazem o charakterze reklamowym.

Informacją handlową będą wszelkie działania mające formę reklamy, marketingu bezpośredniego, sponsoringu, promocji sprzedaży i public relations. Przy czym należy pamiętać, że  wysłanie informacji handlowej pocztą tradycyjną nie będzie podlegało wymogom ustawy o świadczeniu usług drogą elektroniczną.

Informacją handlową będą także informacje o rabatach, oferty promocyjne, konkursy i gry promocyjne pod warunkiem przekazu ich drogą elektroniczną.

Informacja handlowa w rozumieniu ustawy o świadczeniu usług drogą elektroniczną może być więc przekazywana przykładowo w formie:

1) wiadomości SMS

2) wiadomości MMS  umożliwiających przesyłanie komunikatów multimedialnych, takich jak zdjęcia, muzyka i filmy;

3) wiadomości tekstowo-multimedialnych, polegających na łączeniu w jednej informacji handlowej kilku SMS-ów i MMS-ów;

4) wiadomości e-mail;

5) umieszczanych na stronach WWW informacji, a także banerów reklamowych, reklam pop-up czy też pasków reklamowych z przesuwającym się tekstem na dole strony WWW zbliżonych do pasków informacyjnych stosowanych w programach telewizyjnych

Informacja handlowa – warunki dopuszczalności

Podstawowym wymogiem jest, aby informacja handlowa była wyraźnie wyodrębniona  i oznaczona.

Podmiot wysyłający środkami komunikacji elektronicznej lub umieszczający na stronach WWW informacje handlowe  musi wypełnić szczegółowe obowiązki informacyjne w zakresie podania danych teleadresowych, przygotowania i udostępnienia regulaminu świadczenia usług drogą elektroniczną i inne przewidziane prawem.

Marketing w internecie jakkolwiek dozwolony powinien odbywać się z poszanowaniem wyznaczonych ram prawnych.

Portale społecznościowe

 

Portal społecznościowy to platforma komunikacyjne on-line umożliwiająca osobom fizycznym przystępowanie do lub tworzenie sieci użytkowników o wspólnych upodobaniach.

Serwisy społecznościowe posiadają pewne cechy wspólne:

- użytkowników zachęca się do przekazania danych osobowych w celu stworzenia opisu swojej osoby lub swojego „profilu”;

- serwisy te obejmują również narzędzia, które umożliwiają użytkownikom przesyłanie swoich własnych materiałów ( na przykład fotografii lub wpisu do pamiętnika, pliku muzycznego lub wideo lub linków do innych stron);

- możliwe jest “tworzenie sieci kontaktów towarzyskich” dzięki wykorzystaniu narzędzi, które pozwalają stworzyć każdemu użytkownikowi listę kontaktów oraz za pomocą których użytkownicy mogą wchodzić w interakcje.

Kto jest administratorem danych osobowych w portalach społecznościowych? 

Określenie kto w serwisach społecznościowych jest administratorem danych osobowych przysparza nie mało problemów. Mimo to jednak należy podkreślić, iż pierwszym i podstawowym administratorem danych osobowych jest osoba lub podmiot, który tworzy narzędzia do przetwarzania danych i umożliwia korzystanie z nich, a nie ten kto zamieszcza posty.

Z zasady media społecznościowe, np. Facebooka czy nk.pl traktuje się jako administratorów danych, chociaż istnieją sytuacje, w których niektóre profile mogą stanowić odrębne zbiory danych osobowych.

Prawo nie nakłada obowiązków administratora danych na osobę fizyczną, która

przetwarza dane osobowe „w trakcie czynności o czysto osobistym lub domowym

charakterze” – co stanowi tak zwane „wyłączenie do celów domowych”.

Strona fanowska – Funpage

Jeżeli użytkownik serwisu spełecznościowego działa w imieniu przedsiębiorstwa lub stowarzyszenia lub wykorzystuje serwis głównie jako platformę służącą osiąganiu celów komercyjnych, politycznych lub charytatywnych, wyłączenie do celów domowych nie ma zastosowania.

W tym przypadku użytkownik przyjmuje pełnię obowiązków administratora danych ujawniającego dane osobowe innemu administratorowi danych (Serwiswi) lub osobom trzecim (innym użytkownikom serwisu lub potencjalnie nawet innym administratorom danych mającym dostęp do danych).

Sytuacja, w której użytkownicy wykorzystują serwis społecznościowy w celach komercyjnych jest najczęściej spotykana w przypadku tworzenia i prowadzenia tzw. fanpaga czyli firmowej strony fanowskiej na FB.

W większości przypadków twórca fanpage’a dysponuje danymi osób, które zostały fanami danego serwisu. Dane te z reguły są do czegoś wykorzystywane, a zatem zastosowanie znajdą przepisy ustawy o świadczeniu usług drogą elektroniczną. Zobowiązują one do stworzenia regulaminu fanpage,a określającego m.in. cel, w jakim dane będą wykorzystywane.

 

Przetwarzanie danych osobowych w sieci Internet odbywa się poprzez najważniejsze i najpopularniejsze usługi internetowe takie jak: Word Wide Web, poczta elektroniczna, portale społecznościowe.

 Niniejszy wpis poświęcimy poczcie elektronicznej. Usługa poczty elektronicznej przeznaczona jest do komunikacji indywidualnej pomiędzy użytkownikami. Wykorzystywana jest w szczególności do przesyłania wiadomości tekstowych, ale również plików graficznych, dźwiękowych, tekstowych.

         Poczta elektroniczna powszechnie używana jest również do komunikowania się w transakcjach elektronicznych a finalnie prowadzi również do zawierania umów drogą elektroniczną.

         W przypadku poczty elektronicznej jest regułą, że wiadomości kierowane są do konkretnego adresata. Jeśli tym adresatem jest oznaczona osoba fizyczna dochodzi tym samym do przetwarzania jej danych osobowych, jako, że adresy e-mail uznawane są za dane osobowe.

         Skoro więc przy za pośrednictwem systemu informatycznego poczty elektronicznej dochodzi do przetwarzania danych osobowych osób fizycznych należy zapewnić, aby zbieranie i przetwarzanie odbywało się zgodnie z przepisami prawa w zakresie ochrony danych osobowych. Z wyjątkiem sytuacji, gdy usługa poczty elektronicznej wykorzystywana jest do celów prywatnych niezwiązanych z działalnością zarobkową.

         Podobnie jak w każdym przypadku przetwarzania administrator danych musi legitymować się podstawą przetwarzania danych tj. adresów e-mail w celu wysłania określonej korespondencji.

W tym miejscu należy zasygnalizować, iż usługa poczty elektronicznej najczęściej przez przedsiębiorców wykorzystywana jest do rozsyłania wiadomości reklamowych. E-mailing jest najskuteczeniejszym i najtańszym narzędziem reklamy w Internecie.

Podstawą prawną dla wykorzystywania  działalności marketingowej poczty elektronicznej jest zgoda odbiorców e-mail. Szczegółowo temat zostanie omówiony w następnym wpisie.

 Kwestią, którą warto przy okazji omawiana tematu poczty elektronicznej poruszyć są sytuacje związane z faktem, że przedsiębiorcy do celów związanych z prowadzoną działalnością gospodarczą korzystają z darmowych skrzynek pocztowych oferowanych przez dostarczycieli usług internetowych.

         Często zdarza się, że usługodawcy bezpłatnych usług pocztowych zapewniają sobie prawo skanowania zawartości  skrzynek pocztowych w celu jak najtrafniejszego doboru reklam. W regulaminie oczywiście czytamy, że takie skanowanie odbywa się w sposób zautomatyzowany i nikt nie ma dostępu do treści konkretnych wiadomości.

Nie zmienia to jednak faktu, że usługodawcy świadczący usługi poczty elektronicznej często mają siedziby poza terytorium UE a często również korzystają z serwerów zlokalizowanych poza europejskim obszarem gospodarczym. W takim przypadku nie mamy pewności czy regulacje dotyczące ochrony danych osobowych obowiązujące na tychże obszarach są adekwatne do tych obowiązujących w Europie.

         Wszystkie te rzeczy mają o tyle znaczenie, że po stronie przedsiębiorców korzystających z powszechnie dostępnych skrzynek pocztowych powstaje ryzyko związane z ochroną tajemnicy przedsiębiorstwa, informacji poufnych związanych z działalnością tegoż przedsięborstwa, w tym danych osobowych klientów.