Po koniec  ubiegłego roku we Wrocławiu  powstało wprawiające w osłupienie Medyczne Centrum Przetwarzania Danych. Centrum świadczy usługi w zakresie IT na rzecz podmiotów wykonujących działalność leczniczą. Centrum posiada imponującą infrastrukturę informatyczną z zabezpieczeniami równającymi się z tymi stosowanymi na Giełdzie Nowojorskiej.

Jak wiadomo obowiązek prowadzenia elektronicznej dokumentacji medycznej wejdzie w życie z dniem 1 sierpnia  2017 r. Począwszy od tej daty każdy podmiot prowadzący działalność leczniczą  będzie zobowiązany do prowadzenia dokumentacji medycznej w formie elektronicznej. Obowiązek ten jest integralnie związany z budową systemu informacji w ochronie zdrowia.

SIM to  system teleinformatyczny  służący przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej udostępnianych przez systemy teleinformatyczne usługodawców. Usługodawcy to przede wszystkim podmioty wykonujące działalność leczniczą w rozumieniu przepisów o działalności leczniczej. Z dniem 1 sierpnia 2017 r. usługodawcy będą obowiązani prowadzić dokumentację medyczną w formie elektronicznej.

W związku z powyższym obowiązkiem informatyzacja w całej ochronie zdrowia stanie się faktem.

Problemem przed którym staną czy stoją podmioty wykonujące działalność leczniczą będzie zapewnienie infrastruktury i systemów informatycznych dla swoich jednostek. W zależności od rozmiaru danej jednostki, zakresu i ilości przetwarzanych danych medycznych te decyzje będą też inne.

Medyczne Centrum Przetwarzania danych oferuje cały wachlarz usług IT począwszy do zapewnienia sprzętu IT a skończywszy na gotowym produkcie w postaci aplikacji.

Na stronach CSIOZ (Centrum Systemów Informacyjnych Ochrony Zdrowia) pojawiły się wytyczne dla elektronicznej dokumentacji medycznej omawiające zagadnienia prawne związane z bezpiecznym przetwarzaniem danych medycznych w systemach informatycznych jak również warunki zlecenia tych usług podmiotom zewnętrznym.

Wytyczne są na tyle ciekawe i chwilami niejednoznaczne, że zasługują na odrębny wpis.

 

Szkolenie ABI

Na jednym ze szkoleń podczas prezentowania nowych uprawnień i obowiązków dla ABI, jedna z uczestniczących ABI zadała proste ale kluczowe pytanie „kto będzie nas wspierał czy może w GIODO zostanie stworzona jakaś komórka doradzająca ABIm”.

Są bowiem osoby pełniące funkcję ABI, które takiego wsparcia potrzebują, które słuchając o tych rozlicznych nowych obowiązkach trochę czują się przerażone.

Ustawa podnosząc rangę ABI wyposaża go w niezależność, precyzuje katalog zadań. Oczywistym jest, iż tylko osoba, która posiada solidną wiedzę w zakresie ochrony danych osobowych będzie w stanie sprostać wymaganiom Ustawy.

Z drugiej strony ustawa nie precyzuje jakichkolwiek wymagań formalnych co do kompetencji ABI pozostawiając ocenę w tym zakresie w gestii administratora danych. Jednakże nawet administrator danych może mieć nie lada zagwozdkę w weryfikacji eksperckiej wiedzy kandydatów na ABI.

Inne też kryteria oceny należy stosować wobec firmy, która zawodowo zajmuje się świadczeniem usług ABI a inne wobec osoby, która ma wykonywać zadania jako ABI wewnętrzny.

Ze strony ustawodawcy mamy jeden zapis, który mówi, iż to administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania zadań. Jednakże przepis ten w mojej ocenie oznacza tylko tyle lub aż tyle, że na ADO spoczywa obowiązek zapewnienia ABI niezależnego pełnienia tej funkcji i zapewnienie środków oraz organizacyjnej odrębności ma temu służyć. Na temat jednak kompetencji ABI i kryteriów ich oceny ustawa milczy.

Oznacza to, że administrator danych samodzielnie musi dokonać oceny wiedzy i fachowości kandydata na ABI. Łatwiejsze to będzie w stosunku do osób, firm, które zawodowo  świadczą tego rodzaju usługi i mają udokumentowane doświadczenie.

W przypadku wewnętrznych ABI kryteria oceny mogą być podobne jednakże jak sądzę w przypadku tej grupy pomoc ze strony ADO powinna być większa w zakresie zapewnienia odpowiednich szkoleń czy wsparcia eksperckiego. Bowiem na biuro GIODO w tym zakresie raczej bym nie liczyła biorąc pod uwagę fakt, iż to GIODO liczy na pomoc ABI w sprawdzaniu przedsiębiorców.

System informacji medycznej (SIM) to ogromne przedsięwzięcie finansowe, organizacyjne, informatyczne, ale też i mentalne. Założę się, że przeciętny obywatel nie ma o nim pojęcia. I upłynie pewnie wiele czasu, gdy obywatele zrozumieją, że cyfryzacja w ochronie zdrowia to fakt i to fakt, który dotyczy ich bezpośrednio. Kampanię informacyjne, komunikaty przekazywane w przystępnej formie to jedna strona medalu. Druga to taka mniej wygodna dotycząca bezpieczeństwa danych medycznych przetwarzanych przez SIM.

Aktualnie trwa budowa systemu P1 („Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych”). Platforma będzie sercem SIM, docelowo zintegrowana z systemami informatycznymi usługodawców, umożliwiająca organom administracji publicznej i obywatelom gromadzenie, analizę i udostępnianie zasobów cyfrowych o zdarzeniach medycznych, zgodnie z ustawą o systemie informacji w ochronie zdrowia.

W Systemie P1 będzie znajdowała się informacja o zdarzeniach medycznych wszystkich obywateli Polski niezależnie od płatnika, a także obywateli Unii Europejskiej i innych krajów, którzy skorzystają ze świadczeń zdrowotnych na terenie Polski.

Zaplanowane do wdrożenia w ramach Projektu P1 rozwiązania zakładają:

  • Tworzenie, gromadzenie, analizowanie i udostępnianie elektronicznej dokumentacji medycznej pacjentów.
  • Elektroniczną obsługę recept, skierowań oraz wsparcia rezerwacji na porady lekarskie.
  • Udostępnienie podmiotom nadzorującym i kontrolującym sektor ochrony zdrowia w Polsce wiarygodnych i aktualnych informacji statystycznych pozwalających monitorować i planować działania w tej dziedzinie.
  • Wymianę niezbędnych danych medycznych pomiędzy różnymi systemami poszczególnych krajów Unii Europejskiej.

Realizacja Projektu ma na celu utworzenie rozwiązań informatycznych, które umożliwią gromadzenie i przetwarzane wiarygodnych danych o zdarzeniach medycznych. Dane te będą mogły być dalej wykorzystywane do celów profilaktyki i leczenia pacjenta, jak również do celów planowania opieki zdrowotnej i zarządzania kryzysowego.

System ma przyczynić się do poprawy jakości obsługi pacjentów przez wzmocnienie jakości świadczeń zdrowotnych poprzez podniesienie jakości i dostępności informacji o stanie zdrowia pacjenta i jego danych medycznych.

Dodatkowo ma nastąpić usprawnienie obsługi pacjenta poprzez umożliwienie realizacji elektronicznych usług związanych ze świadczeniem usług medycznych i ich rozliczaniem (np. elektroniczna recepta, elektroniczne skierowanie czy elektroniczne zwolnienie lekarskie) oraz telemedycyną.

Z punktu widzenia, który mnie interesuje System Informacji Medycznej będzie przetwarzał dane i to dane te najbardziej wrażliwe, bo dotyczące zdrowia i udzielanych w związku z jego ochroną świadczeń. Informatyzacja w ochronie zdrowia oczywiście jest zgodna z duchem czasu i co do zasady dobra. Dla pacjentów może to oznaczać oszczędność czasu, szybki i zdalny dostęp do danych przetwarzanych w dokumentacji medycznej. Nie zapominajmy jednak, że przy tego rodzaju danych wrażliwych kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa, zapewnienia środków technicznych i organizacyjnych do zapewnienia tego poziomu, ale także podniesienia świadomości w tym zakresie u wszystkich podmiotów, osób, które w procesie przetwarzania danych będą uczestniczyć.

Świadomość wagi przetwarzanych danych medycznych ważna jest u samych pacjentów, którzy powinni być bezpośrednio zainteresowani zapewnieniem odpowiedniego bezpieczeństwa dla ich wrażliwych danych medycznych. Tymczasem według danych przedstawionych przez GIODO polscy obywatele wyżej cenią sobie informacje na temat danych ich identyfikujących jak imię i nazwisko niż dotyczące ich stanu zdrowia. Wydaje się to nieprawdopodbne a jednak.

Usługodawcy usług medycznych, pracownicy medyczni przetwarzający dane medyczne w związku z udzielaniem pacjentom świadczeń również muszą znać zasady zgodnego z prawem przetwarzania danych medycznych w systemach informatycznych. Jest to o tyle istotne, że spoczywa na nich szeroko pojęta odpowiedzialność prawna za zgodne z prawem przetwarzanie.

Niniejszy artykuł ma na celu wprowadzenie w bardzo szeroki temat informatyzacji w ochronie zdrowia i związane z tym przetwarzanie wrażliwych danych medycznych wszystkich obywateli. Temat ten postaram się na łamach mojego bloga stopniowo zgłębiać.

Nowa ustawa o prawa konsumenta wprowadza szereg nowych uregulowań w zakresie handlu elektronicznego. W ustawie pojawia się  ważna definicja treści cyfrowych.

Podobnie jak w dyrektywie unijnej treści cyfrowe zostały zdefiniowane jako dane wytwarzane i dostarczane w formie cyfrowej. Treściami cyfrowymi w rozumieniu prawa będą więc: programy komputerowe, aplikacje, gry, muzyka, nagrania wizualne lub teksty, bez względu na to, czy dostęp do nich osiąga się poprzez pobieranie czy poprzez odbiór danych przesyłanych strumieniowo, na trwałym nośniku czy przy użyciu jakichkolwiek innych środków.

Treści cyfrowe mogą być dostarczane na trwałym nośniku takim jak płyty CD lub DVD. W takim przypadku powinny być uznawane za towary. Jednakże treści cyfrowe niedostarczane na trwałych nośnikach, możliwe do uzyskania wyłącznie przez systemy teleinformatyczne,  wymykają się tradycyjnym kwalifikacjom prawnym. Umowy mające za przedmiot tego rodzaju treści cyfrowe nie powinny być kwalifikowane ani jako umowy sprzedaży ani jako umowy o świadczenie usług. Będą to zwykle umowy nienazwane mające cechy różnych umów np. licencyjnej.

Ustawa o prawach konsumenta w swojej treści zawiera sporo regulacji szczegółowych dotyczących umów, których przedmiotem jest sprzedaż treści cyfrowych.

Przede wszystkim warto wspomnieć o prawie odstąpienia od umowy, której przedmiotem są treści cyfrowe.

Zgodnie z ustawą konsument, który zawarł umowę na odległość lub poza lokalem przedsiębiorstwa może w terminie 14 dni odstąpić od niej bez podawania przyczyny i bez ponoszenia kosztów.

Nawet w przypadku umów których przedmiotem są treści cyfrowe konsument powinien mieć prawo odstąpienia od umowy.

Jednakże prawo odstąpienia od umowy zawartej poza lokalem przedsiębiorstwa lub na odległość nie przysługuje konsumentowi w odniesieniu do umów o dostarczanie treści cyfrowych, które nie są zapisane na nośniku materialnym, jeżeli spełnianie świadczenia rozpoczęło się za wyraźną zgodą konsumenta przed upływem terminu do odstąpienia od umowy i po poinformowaniu go przez przedsiębiorcę o utracie prawa odstąpienia od umowy.

Konsekwencją nieuzyskania „wyraźnej zgody” na dostarczenie treści cyfrowych przed upływem terminu do odstąpienia od umowy będzie nie tylko brak możliwości powoływania się na wyjątek wyłączający prawo do odstąpienia, ale też wyraźnie wskazanie, że konsument nie ponosi „kosztów” takiego dostarczenia.

Powstają zatem dwa istotne zagadnienia prawne: jak powinna być wyrażona „wyraźna zgoda”? oraz jak rozumieć „koszty” dostarczenia treści cyfrowych do ponoszenia których konsument nie będzie zobowiązany?

W obrocie prawnym pojawiły się już oczywiście regulaminy uwzględniające nową regulację. Zdarzają się regulaminy zawierające klauzule, iż akceptując regulamin konsument wyraża zgodę na spełnianie świadczenia przed upływem terminu do odstąpienia od umowy, z czym związana jest oczywiście utrata prawa do odstąpienia od umowy.

W doktrynie prawniczej pojawiły się interpretacje, iż zgoda wyraźna to zgoda, która nie powinna być wyinterpretowana z innych oświadczeń woli. W związku z czym  prawidłowo wyrażona zgoda powinna być aktywnym działaniem konsumenta i wymaga  odrębnego zaznaczenia na formularzu elektronicznym.

W następnym wpisie przyjrzymy się prawu do odstąpienia od umowy zawartej na odległość, której przedmiotem są treści cyfrowe oraz stanowisku UOKiKu w tym względzie.

Debata wokół nowelizacji ustawy o ochronie danych osobowych dotycząca ABI nie milknie. Dochodzą nowe głosy i nowe wątpliwości. Prezentowane stanowiska wśród zainteresowanych stron są bardzo różne od zdecydowanie pozytywnych po negatywne.

Jedno jest pewne w dalszym ciągu zarówno przedsiębiorcy jak i ABI nie do końca wiedzą na czym stoją. Niepewność ta potęguje niechęć do nowej regulacji.

Faktem jest, że z dniem 1 stycznia 2015 r. ustawa w znowelizowanej postaci zaczęła obowiązywać. Faktem jest też to, że dotyczy ona w tej chwili całej rzeszy ABI powołanych na gruncie starych przepisów.

Dodatkowo w świetle wprowadzonych nowelą przepisów przejściowych do ABI powołanych w oparciu o przepisy sprzed 1 stycznia 2015 r., stosuje się przepisy nowej ustawy, do czasu zgłoszenia ich do Rejestru GIODO, nie później jednak niż do 30 czerwca.

Oznacza to, że ABI powołani przed 1 stycznia 2015 r. i nie odwołani przed tą datą objęci zostali nową regulacją nawet, jeśli nie zostali jeszcze zgłoszeni do rejestru GIODO. Problem jednak w tym, że w dalszym ciągu brakuje przepisów wykonawczych precyzujących tryb i sposób wykonywania tychże obowiązków. Taka sytuacja potęguje dezorientację wśród przedsiębiorców, którzy podejmują decyzję odwołaniu ABI.

Czy ABI w okresie przejściowym  może być odwołany. Doktryna prawnicza jest zgodna, że ABI powołany na mocy starych przepisów  w okresie od 1 stycznia do 30 czerwca 2015 r. tj. w okresie przejściowym może zostać odwołany.

Nowelizacja przewiduje zarówno powołanie do pełnienia funkcji ABI jak i odwołanie. Nie ma więc przeszkód, aby „stary” ABI w okresie przejściowym mógł być odwołany. Wraz z tą decyzją odpada obowiązek zgłoszenia ABI do rejestru GIODO oraz szereg obowiązków wprowadzanych przez nowe przepisy.

Pamiętać jednak należy, że odwołanie ABI nie zwalnia administratora danych z odpowiedzialności za zgodność przetwarzania danych osobowych z przepisami w swojej organizacji.

Ustawa mówi wyraźnie, iż w przypadku niepowołania ABI określone zadania wykonuje sam administrator danych, który oczywiście nie musi tych obowiązków wykonywać osobiście. W szczególności administrator danych, który jest jednostką organizacyjną określone ustawą obowiązki będzie wykonywał przy pomocy wyznaczonych w tym celu osób.

W ostatnim artykule pisałam o dylematach kadrowej, która przed nowelizacją ustawy o ochronie danych osobowych czyli przed 1 stycznia 2015 r. została wyznaczona w firmie do pełnienia funkcji ABI. Jaki jest stan jej wiedzy o ochronie danych osobowych. Mówiąc oględnie daleki od ideału. Czy jest to odosobniony przypadek. Myślę, że raczej typowy. Nie przeczę, że są też ABI wewnątrz organizacji doskonale przygotowani do pełnienia tej funkcji, wyszkoleni i z pewnością legitymujący się odpowiednią wiedzą.

Odpowiednia wiedza to jeden z ustawowych wymogów, który musi spełniać administrator bezpieczeństwa informacji. Odrębną kwestią, ale też ciekawą jest w jaki sposób administrator danych ma tę wiedzę weryfikować.

Myślę, że nie będzie przesadą stwierdzenie, iż w stanie prawnym sprzed nowelizacji w wielu sytuacjach ABI w firmie był tylko figurantem. Ktoś musiał być wyznaczony na tę funkcję. Prezes firmy wyznaczał więc czasem z rozmysłem a czasami z przypadku różne osoby.

Zdarzało się oczywiście, że w ślad za tym administrator danych dostarczał wyznaczonemu ABI niezbędnych narzędzi do pełnienia tej funkcji, choćby w postaci niezbędnego doszkalania. Jednak bywały też i sytuacje w których kadrowa pozostawała kadrową, księgowa księgową a informatyk świadczył pracę informatyka i  wiedza tych osób w zakresie ochrony danych osobowych nie wzrosła w związku z nominacją na ABI.

Czy sytuacje takie będą możliwe w aktualnym stanie prawnym. Jak to w życiu, oczywiście możliwe jest wszystko, jednak pewne będzie, że sytuacja, w której ABI nie ma odpowiedniej wiedzy w zakresie ochrony danych osobowych, będzie niezgodna z prawem. Osoba nie legitymująca się odpowiednią wiedzą nie spełnia ustawowego wymogu niezbędnego do pełnienia funkcji ABI.

Nowelizacja wprowadza szczegółowy katlog zadań, które ABI jest obowiązany w wykonywaniu swojej funkcji wypełniać. Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych.

Ustawa precyzując w ten sposób kompetencje ABI czyni zeń jedną z kluczowych osób w procesie przetwarzania danych osobowych. Tak naprawdę to ABI, o ile adminsitrator danych go wyznaczy, będzie odpowiedzialny za poziom i stan ochrony danych osobowych w organizacji.

Jest to ogromne novum. Jedno zdanie z ustawy sprzed nowelizacji zostało zastąpione rozbudowaną regulacją dotyczącą statusu ABI, jego kompetencji oraz określenia sposobów realizacji tych kompetencji. Mamy trzy rozporządzenia wykonawcze do nowelizacji. Rozporządzenia szczegółowo określają sposób i tryb wypełniania przez ABI ustawowo przyznanych zadań.

Osoba, na której spoczywa ciężar zapewnienia przestrzegania przepisów o ochronie danych osobowych musi oczywiście doskonale te przepisy znać, umieć je interpretować i swobodnie się w nich poruszać. Ponadto powinna posiadać tez niezbędną wiedzę w zakresie wymogów techniczno-organizacyjnego zabezpieczenia danych. Jak sądzę tylko taka osoba będzie się legitymować spełnieniem wymogu w zakresie posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych.

W świetle powyższego oczywiste jest, że ABI nie może być już figurantem, nie może pełnić tej funkcji niejako dodatkowo, nie wypełniając wszystkich przez ustawę nałożonych obowiązków. Taki ABI nawet, jeśli będzie równocześnie kadrową czy księgową czy informatykiem będzie musiał być też specjalistą w zakresie ochrony danych osobowych z pełnymi tego konsekwencjami.

Na koniec należy dodać, iż ABI zgłoszony do rejestru GIODO, będzie w zakresie legitymowania się odpowiednią wiedzą podlegał niejako zewnętrznej weryfikacji ze strony GIODO. Do ABI zarejestrowanego Generalny Inspektor może wystąpić o przeprowadzanie na jego wniosek kontroli i sporządzenie z tejże kontroli odpowiedniego sprawozdania. W toku uproszczonej kontroli GIODO z pewnością bardzo szybko się rozezna czy wiedza ABI jest na wystarczającym poziomie, aby dawać rękojmię należytego wykonywania tej funkcji.

W przypadku stwierdzenia, w toku uproszczonej kontroli braku u ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych, GIODO z urzędu wydaje decyzję o wykreśleniu takiego ABI z rejestru.

O odpowiedzialności ABI pisałam już, ale w kontekście tej sytuacji to też jest ciekawe zagdnienie kto i w jakim zakresie ponosi odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych, jeśli ABI nie posiada odpowiedniej wiedzy.

Taką odpowiedzialność na pewno zostanie obciążony administrator danych. Na koniec wydaje się oczywiste, że stan, w którym ABI był figurantem to przeszłość. Zarówno w interesie administratorów danych, jak i osób, które powoływane są do pełnienia funkcji ABI jest to, aby nie były to osoby przypadkowe a takie, które są specjalistami w zakresie przepisów o ochronie danych osobowych.

W świetle nowelizacji żaden pracownik czy księgowa, kadrowa czy informatyk nie powinien wyrazić zgody na pełnieni funkcji ABI bez zagwarantowania mu odpowiednich środków i organizacyjnej odrębności niezbędnych do należytego wykonywania przez niego zadań. Tak samo administrator danych  nie może powoływać przypadkowej osoby na stanowisko ABI.

Takie przypadkowe powołanie, bezprzedmiotowe dla zapewnienia odpowiedniego poziomu ochrony danych w organizacji, dodatkowo może to być przyczyną dodatkowego postępowania i negatywnej oceny ze strony Generalnego Inspektora.

Spotykając się z życiem często nasze wyobrażenia o czymś się weryfikują lub zaczynamy widzieć drugą stronę medalu. Takie odczucia towarzyszyły mi podczas szkolenia, które miałam okazję prowadzić ostatnio.

Tematem szkolenia była nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r. Jak wiadomo nowelizacja prawie w całości dotyczy statusu ABI. Przyczynkiem do refleksji stało się wydawałoby się pozornie proste i banalne pytanie czy główna księgowa może być ABI.

Pytania takie biorą się oczywiście z samego życia tzn. z praktyki w zakresie stosowania prawa ochrony danych osobowych, w tym przypadku w zakresie stosowania instytucji administratora bezpieczeństwa informacji.

Codziennością przed nowelizacją było, że informatyk, prawnik a nawet kadrowa czy księgowa pełnili w firmie funkcję ABI. Nikomu nie przyszło do głowy robić z tego tytułu jakiegokolwiek zarzutu. Przepisy jednym zdaniem regulowały status ABI, więc nie było o co robić hałasu. Informatyk, prawnik czy księgowa wykonywali codzienne obowiązki i bez uszczerbku dla nich niejako dodatkowo pełnili funkcję ABI. Taka praktyka była codziennością w typowej organizacji, która wyznaczała ABI spośród własnych pracowników.

W ślad za pełnieniem funkcji ABI zwykle nie wiązała się zmiana umowy o pracę czy zakresu obowiązków. Jednak skoro tych obowiązków nie było zbyt wiele ani tez nie wiązała się z tym jakaś szczególna odpowiedzialność, to nikt nie robił problemu a pracownicy uznawali czasem wyznaczenie ich do pełnienia funkcji ABI, jako swoistą nobilitację.

Okazuje się, że aktualnie w dalszym ciągu kadrowa jest ABI. Czy sytuacja taka jest prawidłowa i jak należy ją oceniać w świetle ostatniej nowelizacji ustawy o ochronie danych osobowych spróbuję ocenić w kolejnym wpisie…

Pewnemu przedsiębiorcy UOKiK zarzucił stosowanie praktyk naruszających zbiorowe interesy konsumentów w związku ze stosowaniem niezgodnych z prawem postanowień umownych.

Sytuacja, w której przedsiębiorca łamie prawo jest dość trudna do wytłumaczenia. Wobec czego prawnik ma nie lada zadanie, aby znaleźć argumenty dające szansę uniknięcia kary. W takich przypadkach najczęściej walka toczy się o jak najniższy jej wymiar.

Pytam klienta dlaczego nie stosował prawa, które obowiązuje od kilku lat i jest prawem kluczowym dla prowadzonej przez niego działalności a on mi odpowiada, że jest małym przedsiębiorcą i nigdy na stałe nie zatrudniał prawnika i po prostu nie zorientował się, że zmieniły się przepisy. Słowem nie miał świadomości bezprawności swoich działań. Czy taki argument Urząd bierze pod uwagę, że klient jest mikro przedsiębiorcą i nie znał prawa.

Niestety nie. Urząd takiego argumentu nie uzna.

Przedsiębiorca prowadzący działalność gospodarczą powinien znać obowiązujące normy prawne, a w konsekwencji także mieć świadomość, iż jego zachowanie jest bezprawne. Nieświadomość w zakresie obowiązującego prawa a nawet korzystanie z błędnego doradztwa prawnego nie stanowi okoliczności usprawiedliwiającej przedsiębiorcy.

Czyli obowiązuje rzymska paremia „ignorantia iuris nocet”, która oznacza ni mniej ni więcej, że nieznajomość prawa szkodzi.

Regulamin świadczonych przez siebie usług, klienci często tworzą wzorując się na regulaminach  swoich konkurentów,  większych i jak im się wydaje mądrzejszych.

Praktyka kopiowania (chociaż prawnie wątpliwa) wzorców umownych, regulaminów jest powszechna w obrocie. Jednak jak się okazuje bywa, że ta praktyka może być bardzo zawodna. Gąszcz przepisów, częste zmiany prawa, mnogość instytucji prawnych to wszystko sprawia, że nawet kopiowanie gotowców dużych graczy może być pułapką.

Kopiowanie nigdy nie powinno być bezmyślne, nawet, jeśli to robimy. Przeoczenie jakiegoś szczegółu lub błędna ocena jakiegoś zapisu może doprowadzić do nieprzewidzianych konsekwencji prawnych nawet po kilku latach.

Osobiście  przestrzegam przed bezwolnym kopiowaniem dokumentów konkurencji i zachęcam do korzystania z profesjonalnej pomocy. Naprawdę warto odżałować na wynagrodzenie dla prawnika i spać spokojnie niż zaoszczędzić parę groszy i narażać się później na wielomiesięczne postępowania urzędowe i związany z tym ogromny stres.

Nie zapominajmy, że naruszanie praw konsumentów jest bardzo srogo sankcjonowane i czasami wystarczy skarga jednego niezadowolonego klienta, żeby uruchomić machinę urzędniczą, która w arsenale swoich środków posiada dotkliwe kary.

Piszę to ku przestrodze i nauczona doświadczeniem swoich klientów, zwłaszcza w chwili, gdy od 25 grudnia mamy naprawdę świeżą i rewolucyjną regulację w zakresie praw konsumenckich. W jej świetle praktycznie każdy przedsiębiorca internetowy powinien zrewidować swoją  działalność i stosowane regulaminy, wzorce umowne i zapewnić ich zgodność z wymogami nowych przepisów.

 

Odpowiedzialność ABI

W wywiadzie dla Rzeczpospolitej zastępca GIODO, co do zasady, bardzo pozytywnie oceniał ostatnią nowlizację ustawy o ochronie danych osobowych, dotyczącą ABI. W jego opinii stan wiedzy przedsiębiorców w zakresie prawa ochrony danych osobowych i jego wymagań pozostawia wiele do życznia. Podobno tylko 10% przedsiębiorców wywiązuje się z obowiązku rejestracji zbiorów danych w rejestrze GIODO. ABI w nowym wydaniu, w opinii pana ministra, ma zapewnić w całości zgodność przetwarzania danych w przedsiębiorstwie. Nowy ABI nie tylko dba o należyte zabezpieczenia techniczne, ale dba o zapewnienie zgodności wymaganej prawem w pełnym zakresie.

ABI ma pełnić rolę wewnętrznego inspektora ochrony danych osobowych.  Czuwać nad bezpieczenstwem technicznym i prawnym. Podległość bezpośrednio pod kierownika jednostki organizacyjnej ma zapewnić ABI rangę niezbędną do efektywnego wykonywania swojej funkcji.

I tak ABI będzie odpowiedzialny za neleżyte wykonywanie wyznaczonych przez ustawę zadań przed administratorem danych, ale może też ponieść odpowiedzialność na podstawie ustawy o ochronie danych osobowych, jeśli swoim zaniechaniem bądź zaniedbaniem spowodował, że można postawić mu odpowiednie zarzuty.

Odpowiedzialność cywilnoprawna przed ADO oraz potencjalna odpowiedzialność karna, przewidziana przepisami ustawy o ochronie danych osobowych sprawia, iż każdy ABI powinien skrupulatnie wypełniać swoje zadania na rzecz zgodności w organizacji, ale również w swoim włąsnym interesie, aby zabezpieczyć się przed ewentualnymi roszczeniami ze strony ADO oraz odpowiedzialnością karną.

W przypadku zaistnienia szkody, będącej następstwem nienależytego wykonywania zadań przez ABI zatrudnionego w oparciu o umowę o pracę, ADO może żądać naprawienia tejże szkody, ale do wysokości trzymiesięcznego wynagrodzenia, chyba, że ABI można zarzucić winę umyślną. Następstwem nienależytego wykonywania obowiązków przez ABI może być również utrata zaufania i rozwiązanie stosunku pracy.

W przypadku natomiast zlecenia funkcji ABI na zewnątrz, w braku innych ustaleń umownych, ADO ma prawo dochodzić naprawienia szkody w pełnej wysokości. W świetle ustawy, ADO jest odpowiedzialny za stan zgodności przetwarzania danych osobowych w swojej jednostce. Zlecając usługi ABI w całości na zewnątrz musi on neleżycie zabezpieczyć swoje interesy w umowie z ABI. Jest to bardzo ważne, na wypadek dochodzenia roszczeń związanych z nienależytym wykonywaniem  obowiązków przez ABI. Zasadne jest wymaganie przez ADO zabezpieczeń odpowiedzialności kontraktowej, na przykład w postaci polisy OC.  Bedzie to naprawdę ważna kwestia, gdy odpowiedzialność ADO w świetle rozporządzenia unijnego będzie obwarowana dużymi karami finansowymi.

Być czy nie być ABI, mieć czy nie mieć ABI a jeśli mieć to jak…. Oto jest pytanie ….

pozdrawiam

Mariola Malicka
radca prawny

Ustawa o prawach konsumenta wprowadziła nowelizację prawa telekomunikacyjnego. Nowelizacja polega na tym, że wymagana jest wyraźna uprzednia zgoda abonenta lub użytkownika końcowego na użycie końcowych urządzeń telekomunikacyjnych w celu marketingu bezpośredniego.

Typowymi urządzeniami końcowymi są: telefony analogowe, telefony cyfrowe ISDN, telefaksy, analogowe i cyfrowe telefony komórkowe, odbiorniki telewizyjne.

Marketing bezpośredni nie został zdefiniowany w prawie telekomunikacyjnym, ale pojęcie to jest stosowane w ustawodawstwie. Jest to działalność polegająca na dostarczaniu bezpośrednio klientom informacji lub propozycji dotyczących sprzedaży towarów i usług poprzez różne kanały komunikowania.

Prowadzenie marketingu bezpośredniego za pomocą telekomunikacyjnych urządzeń końcowych jest aktualnie dopuszczalne tylko na podstawie uprzedniej zgody abonenta lub użytkownika końcowego. Dotyczy to zarówno abonentów będących osobami fizycznymi, jak i jednostkami organizacyjnymi. Zgoda powinna odpowiadać określonym wymaganiom prawnym:

  • nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,
  • może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika,
  • może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.

Powstaje pytanie czy mamy sytuację, w której powstanie kolejna klauzula zgody na telemarketing. Wydaje się, że taka interpretacja jest uzasadniona i  w konsekwencji ogólna zgoda na przetwarzanie danych osobowych w celach marketingowych wyrażona w oparciu o przepisy ustawy o ochronie danych osobowych będzie niewystarczająca. Przepisy prawa telekomunikacyjnego zostałyby w tym przypadku uznane jako przepisy zapewniające dalej idącą ochronę.