Nagranie rozmowy – ochrona danych osobowych w marketingu B2B

krofon

W ostatnich dniach miałam przyjemność rozmawiać z blogerem Igorem Bielobradek na temat ochrony danych osobowych w marketingu.

Igor Bielobradek specjalizuje się w marketingu biznesowym i zwrócił uwagę na kwestię ochrony danych osobowych w tym własnie zakresie. Jeśli interesuje Cię ochrona danych osobowych w marketingu posłuchaj naszej rozmowy. Poniżej zamieszczam link.

http://b2b-marketing.pl/2014/01/29/podcast-ochrona-danych-osobowych-w-marketingu-b2b-rozmowa-z-mariola-malicka/

Minister Rafał Trzaskowski wspólnie z komisarz Viviane Reding wzywają do przyspieszenia prac nad europejską reformą ochrony prywatności w sieci

 Ta reforma powinna być priorytetem europejskich polityków na najbliższe półrocze – czytamy w oświadczeniu wydanym przez wspólnie przez Viviane Reding, komisarz UE ds. Sprawiedliwości i polskiego ministra administracji i cyfryzacji Rafała Trzaskowskiego, na europejski Dzień Ochrony Danych Osobowych 28 stycznia 2014 r.

Jeśli reforma utknie, nie wykluczam wprowadzenia zmian w prawie polskim– zapowiada min. Trzaskowski.

Poniżej najważniejsze tezy wybrane z tekstu oświadczenia wiceprzewodniczącej Viviane Reding, komisarz UE ds. Sprawiedliwości i polskiego ministra administracji i cyfryzacji Rafała Trzaskowskiego.

Ochrona danych osobowych jest w Unii Europejskiej prawem podstawowym. Już teraz poziom ochrony prywatności w Europie jest najwyższy na świecie. Za sprawą reformy, którą Komisja Europejska zaproponowała dokładnie dwa lata temu, w styczniu 2012 r., zasady te mogą stać się wzorcem do naśladowania dla reszty świata.

Powinny one służyć ochronie obywateli, którzy chcą, aby usługi internetowe były godne zaufania. Powinny również służyć małym i średnim przedsiębiorcom, dla których jednolity rynek z ponad 500 milionami konsumentów jest źródłem niewykorzystanych możliwości.

Politycy, przedsiębiorcy, organizacje pozarządowe — wszyscy są zgodni co do konieczności reformy prawa ochrony danych osobowych w UE.

Obywatele powinni móc odzyskać kontrolę nad tym co dzieje się z ich danymi osobowymi, ponieważ żyjemy w czasach, w których stały się one walutą napędzającą gospodarkę cyfrową. Stabilność tej waluty, podobnie jak każdej innej, wymaga zaufania.

Doniesienia z ostatnich miesięcy na temat inwigilacji w internecie naruszyły zaufanie nie tylko w stosunkach transatlantyckich, ale także ogólnie – wobec gospodarki cyfrowej.

Reforma prawa ochrony danych osobowych stanowi odpowiedź na obawy dotyczące nadzoru nad ich przetwarzaniem. Pomoże przywrócić zaufanie, pozwoli bowiem na realne egzekwowanie od przedsiębiorców, by przestrzegali zasad.

W przypadkach ich naruszenia stosowane będą dotkliwe sankcje finansowe, które mogą wynieść nawet 2% rocznych światowych obrotów przedsiębiorstwa.

Działania te przyczynią się do przywrócenia zaufania obywateli co do sposobu wykorzystania ich danych.

Reforma przyniesie jednak korzyści także przedsiębiorstwom. Komisja Europejska pragnie zastąpić tę wielorakość przepisów jednym prawem obowiązującym w całej Unii Europejskiej. Jeden kontynent – jedno prawo.

Wybrani w wyborach bezpośrednich europejscy parlamentarzyści wyrazili już silne poparcie dla propozycji Komisji Europejskiej.

Na październikowym szczycie przywódcy UE zobowiązali się do terminowego przyjęcia nowych przepisów jako sposobu na przywrócenie i wzmocnienie zaufania obywateli i przedsiębiorstw do gospodarki cyfrowej. Czas przejść od słów do czynu.

Reforma ochrony danych osobowych powinna być priorytetem europejskich polityków na nadchodzące sześć miesięcy. Obywatele domagają się silnych europejskich przepisów chroniących dane osobowe a przedsiębiorcy chcą prostych, jasnych i wykonalnych ram prawnych prowadzenia działalności gospodarczej na jednolitym rynku UE. Unijna reforma ochrony danych osobowych zaspokaja obie te potrzeby.

Usługi świadczone przez internet

W zasadzie obrót prawny w internecie opiera się właśnie na świadczeniu usług drogą elektroniczną. Wszyscy mnie więcej kojarzą, iż zapewne chodzi o świadczenie usług przez internet. Powszechnie przecież funkcjonują już zakupy przez internet, szkolenia przez internet, aplikacje biznesowe online. Wymieniać można by dalej.

Usługi świadczone drogą elektroniczną z uwagi na sposób ich świadczenia, właśnie przy pomocy internetu doczekały się własnych aktów prawnych, regulujących specyficzne dla tychże usług problemy. Są to regulacje tak na poziomie europejskim jak i krajowym.

Najważniejszym aktem prawnym na poziomie unijnym będzie więc dyrektywa o handlu elektronicznym, definiująca usługi świadczone drogą elektroniczną jako usługi społeczeństwa informacyjnego.  Zgodnie z dyrektywą usługa społeczeństwa informacyjnego jest usługą świadczoną za wynagrodzeniem, drogą elektroniczną i na indywidualne  żądanie odbiorcy.

Polska ustawa o świadczeniu usług drogą elektroniczną nie definiuje czym jest usługa tylko czym jest świadczenie usługi drogą elektroniczną. Zgodnie z tą definicją świadczeniem usługi będzie wykonywanie usługi bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych, na indywidualne żądanie usługobiorcy, przesyłanej za pomocą urządzeń do elektronicznego przetwarzania. Do zakresu tego zaliczymy również zawieranie umów przez internet mimo, iż wykonywanych poza siecią na przykład klasyczna sprzedaż towarów.

Zasygnalizowane powyżej regulacje obejmują specyficzne dla tej tematyki problemy. Dotyczą one głównie obowiązków usługodawców internetowych, zasad wyłączania odpowiedzialności usługodawców oraz zasad ochrony danych osobowych osób fizycznych korzystająych z usług świadczonych drogą elektroniczną.

Kupując więc towar, usługę, dostęp do usługi lub sprzedając towar czy usługę przez internet (gdy czynimy to zawodowo) pamiętajmy, że istnieją uregulowania prawne, ktore regulują w sposób szczegółowy ten obszar zagadnień. W następnych wpisach bardziej szczegółowo omówię niektóre z nich.

Zbiór danych osobowych czy zbiory danych osobowych

Większość administaratorów danych osobowych ma niemało problemów ze zrozumieniem kwestii związanych z ochroną danych osobowych w zakresie obowiązków, które na nich ciążą.

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Wydawałoby się, że pojęcie to nie powinno przysprzarzać problemów z jego zrozumieniem a jednak praktyka pokazuje, iż jest inaczej.

Zbiór danych to w świetle prawa zestaw danych o chrakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Zbiorami będą zarówno takie, które są przetwarzane tradycyjnie, manualnie (teczki, kartotetki) jak i te zautomatyzowane przetwarzane w systemach informatycznych (profesjonalne bazy danych).

Wydawałoby się, że sprawa jest prosta i każdy uporządkowany zestaw danych osobowych, przetwarzany w sposób tradycyjny  czy zautomatyzowany jest w miarę łatwy do identyfikacji jako zbiór. Jednak sprawa tylko z pozoru jest łatwa. Często bywa tak, że przedsiębiorcy tworzą wiele różnych zbiorów, które identyfikują jako jeden zbiór.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

W praktyce pojawiają sie takie właśnie trudności w rozstrzyganiu czy w konkretnym przypadku mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele podzbiorów czy też z wielością zbiorów.

 

Rejestracja ABI i wprowadzenie uproszczonej kontroli

Trwają prace nad ustawą o ułatwieniu warunków wykonywania działalności gospodarczej tzw. IV ustawą deregulacyjną, w ramach której znowelizowana zostanie również ustawa o ochronie danych osobowych.
W projekcie proponuje się kompleksowe zwolnienie z obowiązku rejestracyji zbiorów danych przez administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji (ABI). Zmianie ulegają przepisy odnoszące się do zadań ABI i jego usytuowania organizacyjnego w jednostce administratora danych. Powyższe zwolnienie z obowiązku rejestracyjnego nie dotyczy jednakże zbiorów zawierających dane wrażliwe.

Zgodnie z nowelizacją administrator danych będzie obowiązany zgłosić Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji (ABI), a także zmian objętych zgłoszeniem.

Projekt ustawy przewiduje rozszerzenie kompetencji rejestracyjnych Generalnego Inspektora Ochrony Danych Osobowych, który będzie zobowiązany do prowadzenia jawnego rejestru ABI.
Wykreślenie ABI z rejestru następuje po złożeniu przez administratora danych zawiadomienia o jego odwołaniu. GIODO może z urzędu wydać administratorowi danych decyzję o wykreśleniu ABI z rejestru, jeżeli ABI nie spełnia określonych prawem warunków lub nie wykonuje zadań, dla których został powołany.

 W przypadku wykreślenia ABI z rejestru administratorów bezpieczeństwa informacji administrator danych traci prawo do zwolnienia go z obowiązku rejestracji zbiorów. Oznacza to, iż obowiązany będzie w takim przypadku zgłosić wszystkie zbiory danych osobowych, które przetwarza. Nowelizacja przewiduje jednak możliwość ponownego zgłoszenia do rejestracji ABI wykreślonego z rejestru.

System rejestracji ABI ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego.

Jednocześnie w ramach proponowanych rozwiązań określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowania funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych. Projektowana nowelizacja przyjmuje, że ABI może wykonywać inne nałożone na niego zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych.  Celowo projektowana zmiana unika regulowania kwestii zmierzającej w kierunku tworzenia nowej grupy zawodowej

Jeśli chodzi o wymagania stawiane ABI to projekt stanowi, iż administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
3) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
4) nie była karana za przestępstwo popełnione z winy umyślnej.

Natomiast do zadań ABI należało będzie:

1) zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji (polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym)
c) zapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje oraz inne informacje identyfikujące zbiór.

W świetle regulacji ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, którzy zapewniają środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez administratora bezpieczeństwa informacji powierzonych mu zadań.

Niezależnie od zwolnienia z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji, proponuje się wprowadzenie zwolnienia w odniesieniu do zbiorów danych, które nie są prowadzone w systemie informatycznym, za wyjątkiem zbiorów zawierających dane szczególnie chronione.

Nowelizacja wprowadza możliwość uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych, która będzie wykonywana – na wniosek GIODO przez niezależnego ABI, zastępując w tym zakresie bezpośrednią kontrolę Generalnego Inspektora.

Po przeprowadzonej kontroli ABI będzie sporządzał sprawozdanie zawierające informacje określone w ustawie, które następnie przedstawi Generalnemu Inspektorowi.

Nowe przepisy niosą za sobą również szereg wątpliwości, którym nierzadko towrzyszą krytyczne refleksje. Wszyscy są zgodni, że stanowi nowa regulacja to istotne novum w krajowym prawie ochrony danych osobowych. Bezsprzecznie nowelizacja podnosi rangę ABI przez wyznaczenie katalogu jego zadań, podległość bezpośrednio kierownikowi jednostki organizacyjnej, obowiązek zapewnienia ABI środków niezbędnych do realizacji jego zadań.

Mnożą się pytania dotyczące wprowadzanych nowelą instytucji. Jakie skutki w odniesieniu do wcześniej zgłoszonych zbiorów danych będzie miało wyznaczenie ABI i zgłoszenie tego faktu do GIODO, czy zbiory wcześniej zgłoszone podlegają aktualizacji a może tylko wykreśleniu.

Jaka będzie praktyka GIODO w zakresie prawa zlecenia ABI przeprowadzenia kontroli i przedstawienia organowi sprawozdania z tej kontroli.

Jaki status ma ABI w okresie przejściowym tj. do 30 czerwca 2015 r. Jakie zadania musi a jakie może w tym okresie wykonywać. To najważniejsze, ale niestety nie jedyne zagadnienia wzbudzające najwięcej emocji i kontrowersji.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam stworzyć profesjonalny Poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik jest dostępny odpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji. Więcej informacji o poradniku znajdziesz tutaj.