Jeszcze przed ostatecznym przyjęciem ogólnego rozporządzenia o ochronie danych osobowych osób fizycznych  nasz polski GIODO wspominał o planach w zakresie nowelizacji regulacji krajowej.

W kwietniu b.r. zostało przyjęte przez Parlament Europejski i Radę rozporządzenie ogólne o ochronie danych osobowych osób fizycznych, jednakże przewiduje ono 24 miesięczne vactio legis, co oznacza, że faktycznie wejdzie w życie 25.05.2018 r. Mimo to już teraz należy zacząć przygotowywać się do nadchodzących zmian.

Unijne rozporządzenie o ochronie danych osobowych stanowi swego rodzaju szkielet mający stanowić punkt odniesienia dla przyjmowanych rozwiązań krajowych. Regulacje krajowe muszą się mieścić w ramach przewidzianych przez rozporządzenie ogólne, gdyż zasady ochrony danych osobowych określone w tym akcie prawnym są  niezmienne.

Rozporządzenie, które choć będzie obowiązywać bezpośrednio, to przewiduje w niektórych miejscach konieczność doprecyzowania określonych instytucji przez państwa członkowskie. Polskie Ministerstwo Cyfryzacji stoi przed zadaniem stworzenia nowej ustawy o ochronie danych osobowych.

Nowe przepisy mają zacząć obowiązywać jeszcze przed wejściem w życie rozporządzenia, najpóźniej na początku 2018r.

Najważniejsze założenia na dzień dzisiejszy:

  • wzmocnienie pozycji GIODO w kontekście rozliczania przedsiębiorców a nie nakazywanie do określonego działania (tak jak obecnie są zalecenia pokontrolne z pewnością pozostaną, ale później będzie najprawdopodobniej nakładana kara a nie zawiadomienie do prokuratury).

Aktualnie GIODO organizuje szereg spotkań, których tematem jest reforma ochrony danych osobowych i przygotowanie się do nowych rozwiązań tak w zakresie legislacji i wprowadzenia ich do polskiego porządku prawnego. Organizowane spotkania i konferencje mają uświadamiać przedsiębiorcom, iż ich również czeka praca związana z odpowiednim przygotowaniem się do nowych obowiązków.

Firmy powinny wykonać szereg czynności, by odpowiednio przygotować się do stosowania nowych rozwiązań. Rozpoczęcie takich przygotowań powinno się zacząć m.in. od: przedstawienia osobom decyzyjnym skali czekających zmian, zinwentaryzowania zasobów danych osobowych w firmie, sposobów ich wykorzystywania, używanych do tego narzędzi i podstaw prawnych legalizujących przetwarzanie.

Na tej podstawie można stworzyć mapę rozbieżności, która będzie podstawą do opracowania listy zadań do wykonania oraz określenia, jakie zasoby są w tym celu niezbędne oraz jakie wiążą się z tym koszty.

Reasumując czekająca nas w sferze ochrony danych osobowych rewolucja, waga i zakres zmian, które nas czekają nie pozwala na spokojne czekanie na wejście w życie przepisów, ale wymaga by dokonać przeglądu aktualnego stanu ochrony danych osobowych już dzisiaj.

Zważywszy na rewolucyjne i bardzo restrykcyjne rozwiązania w zakresie kar finansowych decyzja o przeglądzie stanu ochrony danych osobowych w organizacji nie powinna być odkładana na ostatnią chwilę, bowiem sprawdzanie  stanu ochrony danych osobowych, w rozbudowanej organizacji, może trwać nawet kilka miesięcy.

 

Co z tym telemarketingiem

Po koniec 2014 r. weszła w życie ustawa o prawach konsumenta zawierająca szereg szczegółowych regulacji dotyczących handlu elektronicznego w szczególności zawierania umów na odległość. Ustawą został znowelizowany art. 172 Prawa Telekomunikacyjnego. Przepis, którego interpretacja od samego początku wzbudzała i ciągle wzbudza wiele kontrowersji.

Pomijając genezę i intencje, nie do końca czytelne, które przyświecały ustawodawcy przy nowelizacji tego przepisu okazało się szybko, że przepis wbrew tym intencjom życie przyniosło wiele wątpliwości w jego stosowaniu.

Zgodnie z tym przepisem zakazane jest używanie automatycznych systemów wywołujących i telekomunikacyjnych urządzeń końcowych w celu marketingu bez uprzedniej zgody abonenta lub użytkownika końcowego.

Marketing bezpośredni służy przede wszystkim reklamie produktów i usług przedsiębiorcy. Jak wskazał Naczelny Sąd Administracyjny reklama to poszerzenie wiedzy przyszłych nabywców o towarach w celu zachęcenia ich do nabywania towarów od tego właśnie, a nie innego podmiotu gospodarczego. (…)

Okazuje się, że telekomunikacyjnym urządzeniem końcowym może być każde urządzenie podpięte do sieci a więc komputer, tablet, telefon itd. Dodatkowo przepis swoim zakresem podmiotowym obejmuje także firmy tj. podmioty prawne prowadzące działalność gospodarczą, które nie są osobami fizycznymi.

Jest to rozszerzenie zakresu podmiotowego w stosunku do zakazu przesyłania niezmówionej informacji handlowej środkami komunikacji elektronicznej regulowanego ustawą o świadczeniu usług drogą elektroniczną (uśude).

Niestety oznacza to również, że przesyłanie informacji handlowych środkami komunikacji elektronicznej do firm będzie również objęte zakazem wynikającym z omawianego przepisu art. 172 Prawa Telekomunikacyjnego.

Jak żyć?

Regulatorzy UKE, GIODO i UOKiK ostrzą sobie zęby dolewając oliwy do ognia bardzo rygorystycznymi interpretacjami. Przykładowo Prezes UKE w marcu b.r. popełnił interpretację w świetle której zakazane już również wykonywanie kontaktów w celu zapytania o zgodę na kontakt marketingowy użytkownika końcowego czy abonenta.

Świat biznesu w szczególności ten, którego biznes w głównej mierze opiera się na działalności telemarketingowej jest wzburzony i nie ukrywa tego wzburzenia wobec regulatorów. Wypełnienie wytycznych urzędów zobowiązuje podmioty do posiadania uprzedniej zgody, wyklucza kontakt w celu zapytania o zgodę, co do nie dawna było szeroko praktykowane na bazie art. 10 uśude.

Dodatkowo sprostanie obowiązkom i interpretacjom zobowiązuje do zbierania kilku odrębnych zgód od podmiotu danych, co powoduje tylko dodatkowe wystraszenie podmiotu danych i finalnie zniechęcenie do udzielania jakiejkolwiek zgody zwłaszcza, że nie do końca wiadomo jak one powinny brzmieć.

Na bazie tych wszystkich wątpliwości i rozterek powstał komitet składający się z przedstawicieli GIODO, UKE oraz UOKiK, którego celem będzie wypracowanie sensownego konsensusu tak, aby respektując prawo umożliwić też działalność biznesową. Zobaczymy co z tego wyniknie.

 

 

Mimo, iż temat jest stary i w zasadzie nie budzący wątpliwości wciąż znajdujemy w sieci nieprawidłowe klauzule związane z przetwarzaniem danych osobowych, z którymi są kłopoty.

Dzisiaj chcę napisać kilka słów o klauzuli zgody na przetwarzanie danych w celach marketingowych. Kilka lat temu na tle tej klauzuli dochodziło do sporów w doktrynie oraz orzecznictwie. GIODO bowiem stanął na stanowisku, iż zgoda na przetwarzanie danych osobowych w celach marketingowych nie mieści w sobie zgody na przesyłanie informacji handlowej drogą elektroniczną oraz, że muszą to być dwie odrębne zgody. Oznacza to, że pozyskiwanie zgód wyłącznie na przetwarzanie danych osobowych w celach marketingowych nie uprawnia do przetwarzania zebranych danych osobowych w celu wysyłania informacji handlowej drogą elektroniczną. Biorąc pod uwagę fakt, że istotna część marketingu bezpośredniego to komunikacja elektroniczna brak możliwości wysyłania mailingu czyni często taką bazę danych bezużyteczną.

Na każdy cel przetwarzania danych należy pozyskać odrębną zgodę. Takim odrębnym celem może być udostępnianie danych osobowych innym podmiotom lub przesyłanie informacji handlowych drogą elektroniczną.

Dodatkowo ustawa o świadczeniu usług drogą elektroniczną, która stanowi, iż zakazane jest wysyłanie niezamówionej informacji handlowej środkami komunikacji elektronicznej. Informację uważa się za zamówioną, jeśli odbiorca wyraził zgodę na otrzymywanie takiej informacji. No i zgoda nie może być dorozumiana lub domniemana z oświadczenia woli innej treści.

Pisząc klauzule zgody pamiętajmy o tych zasadach, gdyż pozyskanie prawidłowych zgód od zebranych kontaktów „po fakcie” jest mało skuteczne. Z tych powodów czasami wielotysięczne bazy danych są bezużyteczne.

Dzieci na FB za zgodą rodziców

W ubiegłym tygodniu pisałam o tym, że po latach negocjacji został przyjęty rewolucyjny akt prawny w zakresie ochrony danych osobowych tj. rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

Rozporządzenie wprowadza moim zdaniem bardzo mądrą regulację dzięki której na portalach społecznościowych typu Facebook może być znacznie mniej małych dzieci. Zgodnie z rozporządzeniem oferowanie usługi korzystania z portali przez dzieci będzie zgodne z prawem po ukończeniu przez dziecko lat 16.

Dziecko, które nie ukończyło lat 16 będzie mogło korzystać z portali społecznościowych i innych podobnych usług jedynie za zgodą rodzica lub prawnego opiekuna.

Państwa członkowskie mogą ustanowić niższą granicę wiekową niż 16 lat uprawniającą do korzystania z usług społeczeństwa informacyjnego, jednak musi ona wynosić co najmniej 13 lat.

Można przypuszczać, iż większość małych dzieci, które aktualnie korzystają z FB czynią to co najmniej za dorozumianą zgodą rodziców. Jednak sformalizowanie zasad w tym zakresie i zobowiązanie rodzica do wyrażenie oficjalnej zgody z pełnymi tego konsekwencjami może wpłynąć na to, że ten czy ów rodzic przemyśli decyzję zanim kliknie „wyrażam zgodę i jestem świadomy konsekwencji”.

No i nasz drogi FB już się nie wywinie spod prawa unijnego. Na nic zda się siedziba poza terytorium Unii Europejskiej. To kolejna ważna zmiana wprowadzona przez rozporządzenie, gdyż rozporządzenie będzie miało zastosowanie do firm spoza UE pod warunkiem, że oferują usługi dla obywateli Unii.

Nowe zasady wejdą w życie dopiero za dwa lata bowiem aż tyle wynosi vacatio legis dla tego aktu prawnego.

 

Kilka godzin temu PE Unii Europejskiej przyjął bez poprawek uzgodniony tekst rozporządzenia w sprawie ochrony danych osobowych.

Jest to początek nowej ery w sferze prawa ochrony danych osobowych, bowiem po 20 latach od wejścia w życie dyrektywy unijnej w sprawie ochrony danych osobowych, wprowadzono bardzo obszerny i szczegółowy akt prawny.

Nowe prawo ma być przede wszystkim odpowiedzią na postęp technologiczny i związaną z nim mnogość nowych sposobów przetwarzania danych osobowych w szczególności w internecie. Wobec rewolucji internetowej dyrektywa unijna dotycząca ochrony danych osobowych sprzed 20 lat siłą rzeczy stała się już niewystarczająca.

Nowe przepisy wprowadzają też pewne bardzo bolesne novum, bo prawo do nakładania przez organy ochrony danych osobowych  kar finansowych . Wysokość kar sięga 4% rocznego przychodu brutto za rok ubiegły liczony dla całej grupy kapitałowej.

Ta sankcja spowoduje, iż znacząco wzrośnie ranga kwestii ochrony danych osobowych, co przełoży się niewątpliwie na dołożenie staranności w celu zapewnienia zgodności przetwarzania danych osobowych w firmach.

Zagadnienia tego obszernego aktu prawnego będę komentować i omawiać na bieżąco.

Pod koniec 2015 r. weszła w życie ustawa o prawach konsumenta wprowadzająca szereg nowych regulacji zwłaszcza dla branży e-commerce. Nowych obowiązków przybyło sporo, dlatego niezbędna była modyfikacja zasad sprzedaży przez internet a co za tym idzie regulaminów tej sprzedaży.

Wielu przedsiębiorców jednak nie dostosowało się do zmienionych zasad, dlatego oni najbardziej powinni wziąć pod uwagę informacje płynące z UOKiK o planowanych branży internetowej kontrolach urzędu.

Na początku 2016 r. UOKiK sprawdzi, czy przedsiębiorcy dostosowali się do nowych przepisów. Odpowiedzią na stwierdzone naruszenia będą postępowania administracyjne w sprawie naruszenia zbiorowych interesów konsumentów. W toku takich postępowań Urząd może nakazać zaniechanie niedozwolonej praktyki oraz nałożyć karę do 10 proc. obrotu. W uzasadnionych przypadkach Urząd może też wystąpić do przedsiębiorców o dobrowolne zaniechanie niedozwolonych praktyk.

Niewypełnianie obowiązków informacyjnych, utrudnianie odstąpienia od umowy zawartej na odległość lub poza siedzibą przedsiębiorstwa, niezamówiony marketing bezpośredni to najczęściej sygnalizowane zakazane przez przedsiębiorców praktyki.

Każdy przedsiębiorca internetowy w szczególności ten, który dokonuje za pośrednictwem internetu sprzedaży konsumentom powinien pilnie zweryfikować zasady sprzedaży w kontekście zgodności z wymaganiami nowej ustawy o prawach konsumenta.

Kontrola UOKiK może bowiem okazać się bardzo dolegliwa, gdyż UOKiK ten dysponuje całym arsenałem bardzo dotkliwych dla przedsiębiorców sankcji zwłaszcza tych, którym można postawić zarzut naruszania zbiorowych interesów konsumentów.

Znajdujemy się w przeddzień wejścia w życie rozporządzenia w sprawie ochrony danych osobowych, które będzie obowiązywało w całej UE bezpośrednio. Jest to rewolucyjny akt prawny w sferze ochrony danych osobowych. Na łamach niniejszego bloga rozpoczynamy omawianie tego aktu.

Większość instytucji regulowanych w rozporządzeniu jest już doskonale znana w porządkach prawnych poszczególnych państw członkowskich. Jednak są też zupełnie nowe dotychczas nieznane i nieregulowane zagadnienia. Obszerność tego aktu jest bardzo znacząca a omawianie poszczególnych zagadnień to zadanie na długie miesiące.

Dzisiaj o legalności przetwarzania danych, która jest pierwszą z podstawowych zasad w procesie przetwarzania.

Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla podmiotu danych. Musi zaistnieć co najmniej jedna przesłanka przetwarzania. Przetwarzanie danych, aby było zgodne z prawem, powinno się odbywać na podstawie zgody osoby zainteresowanej lub na innej uzasadnionej podstawy przewidzianej prawem.

Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie wtedy, gdy – i w takim zakresie, w jakim – zachodzi co najmniej jeden z poniższych warunków:
a) podmiot danych udzielił zgody na przetwarzanie swoich danych osobowych w jednym lub większej liczbie konkretnych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest podmiot danych, lub do podjęcia działań na wniosek podmiotu danych przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności podmiotu danych wymagające ochrony danych osobowych, w szczególności gdy podmiotem danych jest dziecko. Nie ma to zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Powyżej zostały więc wymienione wszystkie regulowane rozporządzeniem przesłanki legalnego przetwarzania danych osobowych.

Jak widać katalog przesłanek nieznacznie tylko różni się od znanych aktualnie podstaw przetwarzania danych.

Prawo odstąpienia od umowy w przypadku umów zawieranych na odległość czy poza lokalem przedsiębiorstwa to nie nowość w polskim prawie. Jednak od chwili wejścia w życie ustawy o prawach konsumenta prawo to zostało kompleksowo uregulowane w jednym akcie prawnym.

Należy jednak pamiętać, że ustawa o prawach konsumenta reguluje prawo odstąpienia od umowy zawieranej na odległość oraz poza lokalem przedsiębiorstwa. Chodzi oczywiście o umowy zawierane w ramach zorganizowanego systemu sprzedaży przez internet w szczególności w sklepach internetowych. Oznacza to, że istnieje możliwość bez konsekwencji prawnych oraz bez podawania przyczyn dokonać zwrotu towaru zakupionego przez internet.

W umowach zawieranych na odległość jest to o tyle ważne, że konsument nie ma możliwości sprawdzenia i oceny towaru przed jego zamówieniem a jak wiadomo zdjęcia czasami odbiegają od rzeczywistości. W związku z tym prawo do odstąpienia od umowy ma dać szansę konsumentowi na zapoznanie się z towarem i podjęcie świadomej decyzji o jego nabyciu.

Konsument może odstąpić od umowy, składając przedsiębiorcy oświadczenie o odstąpieniu od umowy w ciągu 14 dni. Oświadczenie można złożyć na specjalnym formularzu, ale nie jest to konieczne. Do zachowania terminu wystarczy wysłanie oświadczenia przed jego upływem.

Przedsiębiorca ma obowiązek niezwłocznie, nie później niż w terminie 14 dni od dnia otrzymania oświadczenia konsumenta o odstąpieniu od umowy, zwrócić konsumentowi wszystkie dokonane przez niego płatności, w tym koszty dostarczenia rzeczy.

Konsument ponosi tylko bezpośrednie koszty zwrotu rzeczy.

Jednakże należy pamiętać, iż od generalnej zasady odstąpienia ustawa przewiduje sporo wyjątków. W ramach obowiązku informacyjnego Przedsiębiorca internetowy musi dokładnie poinformować o zasadach odstąpienia od umowy obowiązujących u danego przedsiębiorcy, w tym o wyjątkach od tego prawa.

Prawo do odstąpienia od umowy w przypadku zakupów przez internet jest bardzo pożyteczną instytucją. Jednakże czytając regulaminy sklepów internetowych prawo to nie zawsze w sposób odpowiedni i dostatecznie jasny jest zakomunikowane konsumentowi. Wypełnianie obowiązków informacyjnych przez sklepy internetowe jest pewnym novum w prawie polskim głównie z uwagi na formę wypełniania tych obowiązków oraz konsekwencje uchybień w tym zakresie, które mogą być dla przedsiębiorcy bardzo dotkliwe.

Na przykład jeżeli konsument nie został poinformowany przez przedsiębiorcę o prawie odstąpienia od umowy, prawo to wygasa po upływie 12 miesięcy.

 

 

Do nabycia są już dostępne trzy numery Poradnika ABI. Do pierwszego najobszerniejszego numeru Poradnika ABI załączone są wzory najważniejszych dokumentów wymaganych od ABI takie jak plan sprawdzeń, sprawozdanie ze sprawdzenia czy rejestr zbiorów danych osobowych.

Poradniki ABI omawiają też ważne lub kontrowersyjne zagadnienia prawne z zakresu ochrony danych osobowych takie jak na przykład udostępnianie danych osobowych Policji, przetwarzanie danych pracowniczych, dozwolony monitoring pracowników i inne.

Ważną częścią Poradników ABI są też zagadnienia dotyczące reformy ochrony danych osobowych, która została zakończona  w organach UE a która wprowadzi rewolucyjne zmiany w ochronie danych osobowych we wszystkich państwach członkowskich UE. W szczególności warto śledzić te zagadnienia, które niebawem będą stanowiły punkt odniesienia dla oceny zgodności przetwarzania danych osobowych.

Kolejny numer 4 Poradnika ABI poświęcony będzie przetwarzaniu danych osobowych w internecie w szczególności zagadnieniom związanym ze świadczeniem usług drogą elektroniczną ale także dotyczących przetwarzania danych w portalach społecznościowych jak również zasady prowadzenia marketingu internetowego.

Wszystkich zainteresowanych serdecznie zapraszam do prenumeraty.

Nie ma ucieczki przed GIODO…

Okazuje się, że są firmy, które chcą zapłacić za to, aby pomóc im uciec przed GIODO przynajmniej mnie zdarzyło się otrzymać takie dość niecodzienne zapytanie. Zasadniczo otrzymuję zlecenia, aby pomóc firmie osiągnąć stan zgodności z GIODO, ale żeby uciec to już rzadziej.

Z reguły ucieczka przed GIODO to takie „siedzenie cicho” i udawanie, że prawo ochrony danych osobowych nas nie dotyczy, kiedyś się tym zajmiemy, ale aktualnie są ważniejsze rzeczy do załatwienia. Podmioty, które podejmują zorganizowaną ucieczkę przed GIODO jest zdecydowana mniejszość, ale zdarzają się i takie.

Przykład z ostatniego szkolenia dla branży kosmetycznej jest taki, że więcej chętnych chciało szkolić się z pielęgnacji paznokci niż z aspektów prawnych uświadomionej zgody lub ochrony danych osobowych i tajemnicy przedsiębiorstwa.

Zapominamy, że dobrze wykonana usługa to nie tylko dosłownie rozumiany zabieg fryzjerski, kosmetyczny czy inny, ale to także dbanie o informacje o klientach, informacjach często wrażliwych. Pamiętajmy, ze prawo do prywatności jest prawem podstawowym jednostki. Przetwarzanie danych osobowych o osobach fizycznych powinno być zgodne z przepisami o ochronie danych osobowych.

Jednakże sfera ochrony danych osobowych w dalszym ciągu pozostaje  słabo zabezpieczona i stąd być może zlecenie dla mnie, aby w ogóle uwolnić się od GIODO np. poprzez założenie firmy w kraju, który nie posiada odpowiednich z zakresu ochrony danych osobowych regulacji prawnych a jednocześnie będzie poza jurysdykcją przepisów krajowych oraz unijnych.

Pomysł nie jest, aż tak naiwny bowiem w świetle aktualnych przepisów dominującą w prawie ochrony danych osobowych w UE jest zasada podlegania przepisom Państwa właściwego dla siedziby administratora danych osobowych. Jest to rozwiązanie od pewnego czasu bardzo krytykowane, gdyż poza jurysdykcją GIODO pozostają na przykład takie organizacje jak Google czy Facebook, których przetwarzanie danych osobowych nie zawsze podoba się europejskim organom ochrony danych osobowych.

Najnowszej Rozporządzenie unijne w sprawie ochrony danych osobowych odchodzi od zasady podlegania prawu właściwemu dla państwa siedziby administratora danych. Istotnym novum będzie objęcie nową regulacją również tych administratorów danych osobowych, te firmy, które mając siedzibę poza UE świadczą usługi dla jej obywateli.

Z tego też powodu reasumując można powiedzieć, iż nie ma ucieczki przed GIODO (jeśli firma świadczy usługi w UE lub dla jej obywateli) i zamiast tracić czas i pieniądze na poszukiwanie wątpliwych rozwiązań w świetle nadchodzących zmian, skupić się raczej należy na dostosowaniu swojej działalności do stanu zgodności z obowiązującym prawem.