Nowelizacja ustawy o ochronie danych osobowych (OchrDanOsobU) wejdzie  w życie już lada chwila, bo z dniem 1 stycznia 2015 r. Długo oczekiwana nowelizacja, której przedmiotem jest w głównej mierze uregulowanie statusu administratora bezpieczeństwa informacji (ABI) stanie się faktem.

Jednak już w przeddzień wejścia w życie nowych przepisów nie brakuje głosów krytycznych czy wątpliwości rzucających pewien cień na nową regulację. Wszyscy są zgodni, że stanowi ona istotne novum w krajowym prawie ochrony danych osobowych. Bezsprzecznie nowelizacja podnosi rangę ABI przez wyznaczenie katalogu jego zadań, podległość bezpośrednio kierownikowi jednostki organizacyjnej, obowiązek zapewnienia ABI środków niezbędnych do realizacji jego zadań.

Mnożą się wątpliwości odnośnie wprowadzanych nowelą instytucji. Jakie skutki w odniesieniu do wcześniej zgłoszonych zbiorów danych będzie miało wyznaczenie ABI i zgłoszenie tego faktu do GIODO, czy zbiory wcześniej zgłoszone podlegają aktualizacji a może tylko wykreśleniu.

Jaka będzie praktyka GIODO w zakresie prawa zlecenia ABI przeprowadzenia kontroli i przedstawienia organowi sprawozdania z tej kontroli.

Jaki status ma ABI w okresie przejściowym tj. do 30 czerwca 2015 r. Jakie zadania musi a jakie może w tym okresie wykonywać. To najważniejsze, ale niestety nie jedyne zagadnienia wzbudzające najwięcej emocji i kontrowersji.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam napisać artykuł-poradnik, który w sposób zasadniczo kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik skierowany jest przede wszystkim do przedsiębiorców rozważających wpływ nowych przepisów na dotychczasową praktykę w swojej organizacji, rozważających „za” i „przeciw” powołaniu ABI, również do  praktyków tj. samych ABI czy prawników zajmujących się tematyką ochrony danych osobowych zawodowo.

Poradnik jest dostępny odpłatnie, po złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl i opłaceniu. Cena artykułu to 27 złotych.  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji

Nowelizacja ustawy o ochronie danych osobowych wprowadzająca zmiany w zakresie funkcjonowania ABI wchodzi w życie 1 stycznia 2015 r. Przewiduje ona jednak okres przejściowy dla ABI wyznaczonych na dotychczasowych zasadach, w brzmieniu przepisów przed nowelizacją. Jednak trzeba powiedzieć wprost jest to najmniej klarowna część całej nowelizacji.

 Interpretacja przepisu przejściowego sprowadza się jednak do tego, że do ABI wyznaczonych na dotychczasowych zasadach powinno stosować się nową regulację, do czasu zgłoszenia do rejestru, nie dłużej jednak niż do 30 czerwca 2015 r.

 I tutaj zaczynają się schody, bo część obowiązków wynikająca z nowelizacji wprost przypisana jest do ABI zgłoszonego np. prowadzenie uproszczonej kontroli dla GIODO, ale inne już wprost się do tego kryterium nie odwołują, jak na przykład prowadzenie wewnętrznego rejestru.

 Na forum ADO/ABI Generalny Inspektor powiedział, że nie będzie prosił niezgłoszonych ABI o przeprowadzenie kontroli, ale zapytany o obowiązek prowadzenia wewnętrznego rejestru zbiorów danych odpowiedział retorycznie, że chyba takie rejestry to i tak są już dzisiaj przez ABI prowadzone.

 Przepis przejściowy sformułowany jest niefortunnie. Interpretowanie, że dotychczasowy ABI w okresie przejściowym, przed zgłoszeniem go do rejestru, część obowiązków ma wypełniać a części nie, jest w mojej opinii nieuzasadniona. Wybieranie, które obowiązki wobec tego dotyczą ABI niezgłoszonego w okresie przejściowym a które nie, według kryterium rejestracji jest próbą wyjścia z niejasnej sytuacji. Objęcie nową regulacją dotychczasowych ABI, niezgłoszonych w okresie przejściowym wymagało bardziej precyzyjnego uregulowania. Wspomniany przepis przejściowy na pewno nie spełnia tego warunku.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam napisać artykuł-poradnik, który w sposób zasadniczo kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik skierowany jest przede wszystkim do przedsiębiorców rozważających wpływ nowych przepisów na dotychczasową praktykę w swojej organizacji, rozważających „za” i „przeciw” powołaniu ABI, również do  praktyków tj. samych ABI czy prawników zajmujących się tematyką ochrony danych osobowych zawodowo.

Poradnik jest dostępny odpłatnie, po złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl i opłaceniu. Cena artykułu to 27 złotych.  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji

W zasadzie można uznać, iż zmiany ustawy o ochronie danych osobowych, dotyczące ABI można uznać za sukces.

Na ostatnim forum ADO/ABI jednak wrzało. Nowelizacja to jednak dla wszystkich temat numer jeden i dla ADO i dla ABI. Jedni i drudzy mają już pierwsze wątpliwości, jak należy interpretować niektóre zapisy nowych regulacji.

Prezes SABI nowelizację przedstawiał jako niewątpliwy sukces i trudno się z nim nie zgodzić. Bowiem rola i znaczenie ABI w świetle tej nowelizacji niewątpliwie wzrośnie.

Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu instytucji ABI poświęcała bodaj jedno zdanie. Natomiast na skutek nowelizacji mamy rozbudowaną regulację w samej ustawie oraz trzy rozporządzenia wykonawcze. Nie ulega więc wątpliwości, że ranga ABI wzrosła.

Nowe przepisy regulują wymagania, jakim ABI musi sprostać, wprowadzają katalog zadań ABI oraz precyzują, w jaki sposób te zadania mają być wykonywane.

W mojej ocenie z punktu widzenia ochrony danych osobowych jest to dobra regulacja. Nie wszyscy jednak są o tym przekonani. Dostrzegam najwięcej wątpliwości wśród małych i średnich przedsiębiorców, którzy poważnie rozważają niepowoływanie ABI.

Czy ABI będzie człowiekiem GIODO, czy GIODO będzie częściej kontrolował przedsiębiorców, którzy powołali ABI a może tych, którzy go nie powołali? Czy lepiej powołać ABI wewnątrz firmy czy może zlecić wykonanie takiej usługi firmie zewnętrznej? Co tak naprawdę oznacza ustawowo namaszczona niezależność ABI?. Czy kazuistyczna regulacja okaże się dobra dla przedsiębiorców oraz dla samych ABI to pokaże praktyka.

To są tylko niektóre stawiane wobec nowej regulacji pytania.

Obecny na forum GIODO dr. Rafał Wiewiórowski jakby uspokajał, jednak wobec niektórych wątpliwości interpretacyjnych wokół niektórych przepisów, GIODO będzie musiał zająć oficjalne stanowisko.

Reasumując, z jednej strony regulację z punktu widzenia ochrony danych osobowych moim zdaniem należy ocenić pozytywnie, z drugiej szereg wątpliwości, które się wokół niej spiętrzyły rzucają pewien cień.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam napisać artykuł-poradnik, który w sposób zasadniczo kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik skierowany jest przede wszystkim do przedsiębiorców rozważających wpływ nowych przepisów na dotychczasową praktykę w swojej organizacji, rozważających „za” i „przeciw” powołaniu ABI, również do  praktyków tj. samych ABI czy prawników zajmujących się tematyką ochrony danych osobowych zawodowo.

Poradnik jest dostępny odpłatnie, po złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl i opłaceniu. Cena artykułu to 27 złotych.  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji.

ABI po nowemu…

Z dniem 1 stycznia 2015 r. wejdą w życie przepisy zmieniające ustawę o ochronie danych osobowych. Zmiany będą dość istotne i dotyczyć będą między innymi pozycji administratora bezpieczeństwa informacji (ABI). Ustawa w dotychczasowym brzmieniu nie reguluje szczegółowo kompetencji ABI. Niemniej jednak praktyka wypracowała określony dla tej funkcji zakres obowiązków.

Faktem jest też, że wiele firm decyduje się na zlecenie zadań ABI firmie zewnętrznej.

Ustawa w brzmieniu dotychczasowym lakonicznie reguluję pozycję ABI ograniczając się do stwierdzenia, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony. Z kolei nowe przepisy szczegółowo wymieniają zakres zadań należący do kompetencji ABI.

Zadania ABI

Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych. ABI będzie zobowiązany do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowywania i aktualizowania dokumentacji, zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Powołanie ABI

Administrator danych osobowych może, ale nie musi wyznaczyć ABI. W przypadku niepowołania ABI jego zadania wykonuje jednak sam, co oznacza, że ponosi również odpowiedzialność za wszelkie uchybienia w zakresie przetwarzania danych osobowych.

Powołanie ABI jest dla wielu firm kuszące. Sfera zapewnienia zgodności przetwarzania danych osobowych z przepisami jest przez przedsiębiorców mało znana.  Chętnie, więc wyznaczają ABI poza swoją organizacją zawierając stosowną umowę cywilno-prawną. W umowie takiej  regulowane są prawa i obowiązki stron. Wobec braku dotychczas katalogu ustawowych zadań, strony same w umowie precyzowały ich zakres.

 Nowe przepisy w dalszym ciągu, w zakresie powołania ABI, pozostawiają swobodę wyboru administratorowi danych. Administrator danych jednak, jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.

W świetle nowych przepisów ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zwolnienie z obowiązku rejestracji

Dla administratorów danych, którzy powołają i zgłoszą ABI ustawa przewiduje bonus w postaci zwolnienia ich z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Reasumując, wprowadzane zmiany takie jak określenie kompetencji ABI, a tym samym zakresu jego odpowiedzialności, zwolnienie z obowiązku rejestracji zbiorów,  wprowadzenie rejestru ABI należy zaliczyć do plusów noweli.

 Rzeczą, która jednak budzi pewien niepokój jest wprowadzenie przez nowe przepisy, instytucji uproszczonej kontroli przy pomocy ABI właśnie. Temu zagadnieniu poświęcę kolejny wpis na blogu.

Umowa zawierana na odległość Cz I

Nowe prawo konsumenckie określa min. zasady i tryb zawierania z konsumentem umów na odległość. O tym, jak taka umowa jest rozumiana pisałam we wcześniejszym wpisie http://przetwarzaniedanych.pl/umowa-zawierana-na-odleglosc-w-swietle-nowego-prawa-konsumenckiego/.

Umowy zawierane na odległość bardzo często zawierane są za pośrednictwem specjalnych witryn sprzedażowych, w których system informatyczny krok za krokiem prowadzi klienta przez proces zmierzający do złożenia zamówienia i do zawarcia umowy. Umowy zawierane na odległość mogą też być zawierane też w prostszy sposób, na przykład przy użyciu poczty elektronicznej poprzez wymianę wiadomości elektronicznych zawierających oświadczenia woli stron w tym zakresie.

Nowe prawo konsumenckie stanowi, iż już w momencie wyrażenia przez konsumenta woli związania się umową przedsiębiorca musi wykonać obowiązki informacyjne.

Jest to cały szereg obowiązków szczegółowo wymienionych w ustawie, które powinny być wypełnione w  fazie przedkontraktowej, czyli jeszcze przed zawarciem umowy. Ma to oczywiście na celu poinformowanie klienta przed zawarciem umowy o zasadach i trybie zawierania umowy na odległość.

Informacje mają być przekazane konsumentowi w sposób jasny i zrozumiały, odpowiadający rodzajowi środka porozumiewania się na odległość.  W przypadku zawierania umów przy użyciu poczty elektronicznej informacje powinny zostać przekazane pocztą elektroniczną.

Przy okazji warto wspomnieć, iż po stronie przedsiębiorcy istnieje obowiązek takiej organizacji sposobu zawierania umowy za pomocą środków komunikacji elektronicznej, aby konsument w momencie składania zamówienia wyraźnie potwierdził, że wie, iż zamówienie pociąga za sobą obowiązek zapłaty.

Przy zawieraniu umów przez pocztę elektroniczną konieczne będzie złożenie przez konsumenta w treści korespondencji oświadczenia wiedzy odnośnie obowiązku zapłaty wraz z zamówieniem.

Niespełnienie wyżej opisanych wymagań skutkuje niezwarciem umowy. Jest to bardzo poważna konsekwencja, dlatego każdy przedsiębiorca zawierający umowy na odległość przy użyciu środków komunikacji elektronicznej, przed wejściem w życie nowego prawa konsumenckiego powinien zrewidować swoją organizację sprzedaży na odległość z uwzględnieniem nowych wymagań.

Ciąg dalszy obowiązków w zakresie zawierania umów na odległość przy użyciu komunikacji elektronicznej nastąpi….

 

Ustawa o prawach konsumenta tuż tuż

25 grudnia wchodzi w życie ustawa o prawach konsumenta. Akt prawny, który wprowadza sporo istotnych zmian, które w ogromnej części dotyczą przedsiębiorców internetowych i handlu elektronicznego.

Ustawa wdrażając regulacje dyrektywy unijnej w sprawie praw konsumenta ma na celu podniesienie standardów w zakresie ochrony konsumenta nabywającego towary i usługi przez internet.

Kluczowe znaczenie w omawianych regulacjach ma przestrzeganie obowiązków informacyjnych przez przedsiębiorców. Ma to przyczynić  się do zdobycia większego zaufania przez konsumentów, a co za tym idzie do wzrostu całego rynku handlu elektronicznego. Takie są idee przyświecające wprowadzeniu omawianych przepisów.

Przedsiębiorców jednak czeka wdrożenie nowych zasad dotyczących obsługi klientów, zawierania umów, informowania. Nowa regulacja w tym zakresie jest bardzo bogata i może stanowić nie lada wyzwanie dla nie jednego przedsiębiorcy internetowego.

Mam już wypełniony wniosek…

Często dzwonią lub piszą do mnie klienci z informacją, że napisali zgłoszenie do GIODO i potrzebują jeszcze tylko dokumentacji wymaganej prawem tj. przede wszystkim polityki bezpieczeństwa danych.

Sytuacja taka przydarzyła mi się kilkukrotnie i wprawiła nie powiem w pewną konsternację żeby nie powiedzieć osłupienie.

Chodzi bowiem o to, że zgłoszenie zbiorów do GIODO tak naprawdę kończy cały proces badania zgodności w zakresie spełniania wymogów prawnych dotyczących przetwarzania danych osobowych. Jest to jakby ostatni znaczący punkt w całym procesie badania zgodności.

Jeśli ktoś prosi mnie o pomoc po wypełnieniu wniosku to zastanawiam się jak tu pomóc i czy moja pomoc w ogóle jest potrzebna.

Obserwuję ciągle, że kwestia zabezpieczenia danych osobowych w firmie traktowana jest rzeczywiście jako kolejny przykry obowiązek administracyjny. Większość przedsiębiorców najchętniej ograniczyłaby się do wypełnienia dokumentów, włożenia do segregatora i wyciągnięcia na wypadek kontroli GIODO. Korzystają więc z różnych krążących w sieci wzorów.

Zgadzam się, że małych przedsiębiorców rzeczywiście kwestia ta może przerastać i odsuwają jej uporządkowanie. Jednakże firmy przetwarzające duże ilości danych osobowych, których działalność gospodarcza z tym przetwarzaniem ściśle jest związana, działające od lat na rynku i mające setki czy tysiące danych w swojej bazie powinny potraktować sprawę poważniej, co oznacza zapewnienie odpowiedniej adekwatnej do wymogów prawa ochrony.

Zgodnie z definicją umowa zawierana na odległość musi być zawarta w ramach obrotu  między konsumentem a przedsiębiorcą ( B2C); przy jednoczesnym braku  fizycznej obecności stron oraz przy wykorzystaniu jednego lub większej liczby środków porozumiewania się na odległość. Ważne, że  przedsiębiorca powinien zawierać umowy w sposób zorganizowany i na odległość.

Dla przypomnienia konsumentem jest każda osoba fizyczna, która działa w celach niezwiązanych z działalnością handlową, gospodarczą, rzemieślniczą ani wykonywaniem wolnego zawodu.

Zorganizowana działalność odnośnie zawierania umów polega na tym, że przedsiębiorca powinien stworzyć zorganizowany system zawierania umów, np. przez stworzenie odpowiedniej witryny internetowej, zatrudnienie personelu do obsługi takiej działalności. Nie ma przeszkód oczywiście, aby przedsiębiorca poza taką formą zawierania umów  zawierał inne umowy w sposób tradycyjny lub poza lokalem przedsiębiorstwa.

Nie podlegają reżimowi dotyczących umów zawieranych na odległość umowy zawierane wprawdzie faktycznie na odległość, jednakże okazjonalnie, przy braku zorganizowanego po stronie przedsiębiorcy takiego sposobu zawierania umów. Okazjonalna sprzedaż nawet przy spełnieniu pozostałych cech, jeśli nie ma charakteru zorganizowanego, nie będzie podpadać pod omawianą regulację.

Trzeba tez pamiętać, że  pojęcie zorganizowanej sprzedaży świadczenia usług na odległość obejmuje także systemy sprzedażowe oferowane przez osobę trzecią inną niż przedsiębiorca, ale z których przedsiębiorca korzysta, takie jak platforma aukcyjna.

 Chodzi tutaj przede wszystkim o takie aukcyjne jak allegro przykład. Oznacza to, że działalność gospodarcza przedsiębiorcy który nie ma własnej witryny sprzedażowej ale w sposób stały i zorganizowany sprzedaje wyłącznie przez allegro  również podpada pod regulacje nowego prawa konsumenckiego.

Zgodnie  z dyrektywą unijną definicja ta nie powinna jednak obejmować przypadków, w których strony internetowe oferują jedynie informacje o przedsiębiorcy, jego towarach lub usługach oraz dane kontaktowe przedsiębiorcy.

E-mailing

Za mailing uznaje się przesyłanie informacji handlowej za pomocą poczty elektronicznej (e-mail). Nie brakuje opinii, iż to właśnie e-mailing jest najskuteczniejszym i najtańszym narzędziem reklamy w Internecie. Wpływa na to łatwość korzystania z poczty elektronicznej, niski koszt i szybkość e-maili.

Mailing – przekazywanie informacji handlowej do oznaczonych odbiorców za pomocą poczty elektronicznej, ale też na forach, portalach społecznościowych.

  1. Newsletter

E-maile bardzo często mają też postać newslettera – jest to rodzaj biuletynu skierowanego do kręgu klientów lub potecjalnych klientów. Mogą one przypominać i zachęcać subskrybentów do powtórnego odwiedzania strony WWW danego przedsiębiorcy, informować o swoich produktach, budować lojalność wśród istniejących klientów.

Aby w ogóle rozpocząć dialog z internautą, a potem móc go kontynuować, reklamodawca w pierwszej kolejności musi uzyskać jego zgodę na przesłanie reklamy poprzez e-mail.

  1. Warunki uzyskania zgody na przesłanie e-mailingu

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Zgoda odbiorcy nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie. W milczeniu odbiorcy  nie można upatrywać dorozumianej  zgody na przesłanie informacji handlowej.

Należy podkreślić, że samemu udostępnieniu adresu elektronicznego musi towarzyszyć zgoda na przesyłanie na ten adres informacji handlowych.

Zgoda musi więc obejmować przesyłanie informacji handlowej za pomocą konkretnego środka komunikacji elektronicznej wobec tego zgoda na przesyłanie wiadomości e-mail nie oznacza możliwości przesyłania informacji handlowych na telefon komórkowy.

Przykładowo adres elektroniczny wykorzystywany w kontakatch zawodowych lub też podany na firmowych stronach internetowych nie może być wykorzystywany do wysłania informacji handlowej bez wyraźnej zgody na ten rodzaj komunikacji.

Ponadto zgodna na przesyłanie informacji handlowych nie może wynikać ze zgody na przetwarzanie danych osobowych w celach marketingowych. W treści formularza klauzula zgody na przesyłanie informacji handlowej drogą elektroniczną powinna być wyodrębniona od klauzuli zgody na przetwarzanie danych osobowych w celach marketingowych.

 

Jan Nowak poszukuje platformy poczty elektronicznej do użytku własnego i pięciu pracowników jego firmy. Dowiaduje się, że odpowiednia i przyjazna dla użytkownika platforma – także dostępna bezpłatnie – przetrzymuje dane przez zbyt długi okres czasu i przekazuje je do państw trzecich bez właściwych zabezpieczeń. Ponadto nie istnieje możliwość uzgodnienia warunków umownych.

W takim przypadku Jan Nowak powinien poszukać innego dostawcy.

Usługa poczty elektronicznej to jedna z podstawowych usług internetowych wykorzystywanych w Internecie. Przy pomocy poczty elektronicznej nawiązywane są kontakty, zawierane umowy cywilnoprawne, prowadzone są działania marketingowe.

Jest to podstawowe narzędzie służące do komunikacji indywidualnej. Z używaniem tego narzędzia związane jest przetwarzanie danych osobowych osób, do których wysyłane są wiadomości elektroniczne. W związku z powyższym zastosowanie mają w całości regulacje dotyczące ochrony danych osobowych.

Każdy, kto używa poczty elektronicznej w celach zarobkowych, zawodowych, w imieniu przedsiębiorstwa jest zobowiązany do zapoznania się z regulacjami dotyczącymi ochrony danych osobowych jak również prawa komunikacji elektronicznej.