Poradnik ABI nowy numer już dostępny

Nowy numer Poradnika ABI jest już dostępny.

W nowym numerze szczegółowo omawiana jest kwestia powierzenia danych do przetwarzania. Instytucja powierzenia nabiera coraz większego znaczenia. Jest to związane z powszechnym zlecaniem różnych usług na zewnątrz.

Wiele małych, ale i większych przedsiębiorców decyduje się korzystać z usług firm zewnętrznych i cedować na nie cześć swoich obowiązków. Najczęściej zlecana na zewnątrz jest obsługa księgowo-kadrowa, wsparcie IT, marketing, ale i inne.

Z tymi typowymi usługami związana jest konieczność powierzenia danych osobowych swoich klientów, pracowników czy kontrahentów. Coraz większa świadomość w sferze ochrony danych osobowych sprawia, że przedsiębiorcy szukają informacji na temat powierzenia, które byłoby zgodne z prawem.

Temu zagadnieniu więc nowy poradnik poświęca wiele miejsca. Omawiane są szczegółowe przypadki powierzenia takie jak powierzenie danych przez wspólnotę mieszkaniową, powierzenie w celach windykacyjnych, powierzenie w przypadku hostingu.

Omawiam też kwestię podpowierzenia czyli sytuacji, w której to główny procesor dla realizacji zleconych mu usług korzysta z podwykonawców czyli podpowierzających. Zagadnienie to jest o tyle trudne, że nie zostało uregulowane wprost w przepisach prawa ochrony danych osobowych. Należy więc dokonać oceny i kwalifikacji prawnej tego rozwiązania w oparciu o przepisy obowiązujące, co może być trudne dla osób nie posiadających wykształcenia prawniczego.

No i na koniec rzecz, która niedługo stanie się, w sferze ochrony danych osobowych, najważniejsza a więc reforma ochrony danych osobowych. Omawiam pierwsze instytucje, które legły u podstaw nowego prawa takie jak podejście oparte na ryzyku, ocena wpływu na ochronę danych czy pseudonimizację.

Szczegółowy spis treści nowego numeru  i warunki nabycia znajdziesz Tutaj.

Sprawdzanie zgodności przetwarzania danych jako nowy obowiązek

Z początkiem nowego roku weszły w życie nowe przepisy o ochronie danych osobowych. Nowelizacja dotyczy przede wszystkim administratora bezpieczeństwa informacji i określa jego status, zadania, wymagania. ABI ma zapewniać przestrzeganie przepisów o ochronie danych osobowych w swojej firmie. Jednak powołanie ABI jest prawem a nie obowiązkiem administratora danych osobowych, może on więc ale nie musi powoływać ABI.

W przypadku jednak, gdy administrator danych nie powoła ABI w swojej organizacji, sam wykonuje jego zadania. Jednym z takich zadań jest sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Sprawdzenie rozumiane jest jako czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Typowe sprawdzenie powinno obejmować inwentaryzację zbiorów/zasobów danych osobowych, które są przetwarzane u administratora danych lub procesora. Jest to jedna z ważniejszych czynności podczas sprawdzenia, bo rzutująca na całość procesu. Dla zidentyfikowanych zbiorów sprawdzamy wypełnianie obowiązków związanych z przetwarzaniem danych w tym:

  • podstawy prawne przetwarzania danych osobowych
  • cel i zakres przetwarzania danych osobowych,
  • zasady zbierania danych osobowych (od osoby,której dane dotyczą lub z innych źródeł)
  • zasady wypełniania obowiązku informacyjnego przy zbieraniu danych,
  • zasady udostępniania danych osobowych innym podmiotom,
  • zasady powierzania przetwarzania danych osobowych innym podmiotom.

Kolejnym etapem jest sprawdzenie zgodności przetwarzania z zasadami dotyczącymi zabezpieczenia danych osobowych, co w szczególności obejmuje:

  • wypełnienie obowiązku zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym,
  • wypełnienie obowiązków w zakresie nadawania upoważnień do przetwarzania danych osobowych
  • wypełnianie obowiązków technicznych i organizacyjnych zabezpieczenia danych osobowych, w tym kompletności i aktualności dokumentacji dotyczącej przetwarzania danych osobowych tj. polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym.

No i oczywiście sprawdzamy wykonywanie obowiązków związanych z rejestracją zbiorów danych osobowych, co może obejmować zbadanie poprawności zgłaszania zbiorów danych do rejestracji GIODO oraz uaktualniania wniosków rejestracyjnych.

Jak widzimy proces sprawdzania zgodności przetwarzania danych z przepisami prawa może być pracochłonny oraz czasochłonny, wymagać będzie również zaangażowania osób i środków w celu rzetelnej weryfikacji stanu faktycznego z wymaganiami prawa.

Zakres sprawdzenia i czynności podejmowane w jego toku w zasadzie powinny u wszystkich administratorów danych być takie same, nieważne czy powołali ABI czy też sami wykonują jego obowiązki. Oczywistym jest, że w zdecydowanej większości przypadków administrator danych nie będzie osobiście sprawdzał zgodności a wyznaczy do tych zadań inne osoby. Osoby te będą wówczas odpowiedzialne wobec swojego pracodawcy za kompetentne wykonywanie tych zadań, dlatego powinny nie mniej niż profesjonalni ABI być do tego przygotowani.

W praktyce oczywiście bywa z tym różnie i o ile powołany i zarejestrowany ABI może liczyć przynajmniej na zapewnienie odpowiednich środków do wykonywania zadań, niezależność organizacyjną to ABI nieformalny musi używać własnej siły perswazji, aby coś wyegzekwować.

Zachęcam do nabycia nowego poradnika ABI  z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych. Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl

 

Jesteś nieformalnym ABI – zapraszam Cię na szkolenie 3 sierpnia do Warszawy

W związku z nowymi przepisami o ochronie danych osobowych dotyczącymi administratorów bezpieczństwa informacji (ABI) dyskusje w większości koncentrują się wokół ABI, ich praw, obowiązków czy odpowiedniego poziomu wiedzy.

Jak dużą rangę przypisuje się sie nowym przepisom w zakresie wymagania odpowiedniej wiedzy ABI świadczy choćby powołanie przez Instytut Nauk Prawnych PAN w porozumieniu  z GIODO studiów podyplomowych dla administratorów bezpieczeństwa informacji.

Oznacza to, iż wszystko zmierza w kierunku kształtowania się nowego zawodu, którego zdobycie będzie wymagało odpowiednich nakładów ze strony osób, które zapragną go wykonywać. Do przeszłości należeć będą sytuacje, gdy ABI był przypadkową osobą z powierzchowną wiedzą w zakresie przepisów ochrony danych osobowych.

Paradoksalnie zwiększenie wymagań w stosunku do profesjonalnego ABI nie pozostaje bez wpływu na całą resztę administratorów danych osobowych czyli wszelkich podmiotów przetwarzających dane osobowe w celach zarobkowych a którzy nie powołają ABI. Bowiem w przypadku, gdy administrator danych nie powoła ABI sam będzie zobowiązany wykonywać jego obowiązki z małymi wyjątkami.

Podniesienie rangi ABI oraz wymagań wobec niego jest związane z szeregiem nowych obowiązków związanych z zapewnieniem zgodności przetwarzania danych osobowych. Z uwagi na te obowiązki wielu administratorów danych osobowych nie zdecydowało się na formalne powołanie oraz rejestrację ABI.

Oznacza to, że cała rzesza administratorów danych osobowych we własnym zakresie, bez pomocy ABI będzie zobowiązana zapewnić zgodność przetwarzania danych.

W związku z powyższym w organizacjach, gdzie nie powołano ABI równolegle odbywa się organizowanie alternatywnego dla ABI modelu zapewnienia zgodności przetwarzania danych. Związane jest to z wyznaczaniem osób i delegowaniem im tak naprawdę obowiązków ABI.

W świetle znowelizowanych przepisów z ABI czy bez niego administrator danych osobowych musi dostosować swoją firmę do nowych regulacji w zakresie wypełniania nowych obowiązków. Niepowołanie ABI bowiem nie powoduje w żadnym razie uwolnienia się od nowych zadań.

W mojej ocenie szczególnie w tych firmach, bez ABI, niezbędne jest zapewnienie przeszkolenia osób, kóre zostaną wyznaczone do wypełniania jego obowiązków. Nie można usypiać czujności niepowołaniem ABI. Nowa regulacja dotyczy wszystkich. Obowiązków w zakresie zewpnienia zgodności przetwarzania danych osobowych jest więcej, są to nowe obowiązki i z wypełniania tych obowiązków będą rozliczane osoby, które zostały przez kierownictwo wyznaczone do ich wypełniania.

Odpowiednie szkolenie osób odpowiedzialnych za wykonywanie nowych obowiązków w firmie bez ABI jest tym bardziej istotne. Bowiem w firmach z powołanym ABI pewny jest wzrost poziomu ochrony danych osobowych . Każda firma, która powołała lub powoła  ABI jest zobowiązana zapewnić mu odpowiednie środki niezbędne do należytego wykonywania zadań. Takie firmy wysyłają pracowników na szkolenia czy na wspomniane na wstępie studia podyplomowe.

W konsekwencji w firmach z ABI w większości przypadków panował będzie profesjonalny model zapewniania zgodności przetwarzania danych osobowych. Oznacza to, że ogólne standardy zapewniania zgodności przetwarzania danych osobowych, dla wszystkich administratorów wzrosną. Aby im sprostać nawet, jeśli nie jesteś oficjalnie ABI, ale Twój prezes wyznaczył Cię do wykonywania jego obowiązków, musisz mieć wiedzę nie mniejszą niż ABI powołany oficjalnie. Masz  prawie takie same obowiązki do wykonania. Musisz  uświadamiać to swoim zwierzchnikom, którzy nie zawsze to, co wiem z praktyki rozumieją.

Dla wszystkich nieformlanych ABI czyli pracowników IT, kadr i innych, pragnących posiadać należyty poziom wiedzy, nieodbiegający od profesjonalnych ABI będę prowadziła dedykowane szkolenie w dniu 3 sierpnia w Warszawie, na które serdecznie zapraszam.

 

Mam już wypełniony wniosek…

Często dzwonią lub piszą do mnie klienci z informacją, że napisali zgłoszenie do GIODO i potrzebują jeszcze tylko dokumentacji wymaganej prawem tj. przede wszystkim polityki bezpieczeństwa danych.

Sytuacja taka przydarzyła mi się kilkukrotnie i wprawiła nie powiem w pewną konsternację żeby nie powiedzieć osłupienie.

Chodzi bowiem o to, że zgłoszenie zbiorów do GIODO tak naprawdę kończy cały proces badania zgodności w zakresie spełniania wymogów prawnych dotyczących przetwarzania danych osobowych. Jest to jakby ostatni znaczący punkt w całym procesie badania zgodności.

Jeśli ktoś prosi mnie o pomoc po wypełnieniu wniosku to zastanawiam się jak tu pomóc i czy moja pomoc w ogóle jest potrzebna.

Obserwuję ciągle, że kwestia zabezpieczenia danych osobowych w firmie traktowana jest rzeczywiście jako kolejny przykry obowiązek administracyjny. Większość przedsiębiorców najchętniej ograniczyłaby się do wypełnienia dokumentów, włożenia do segregatora i wyciągnięcia na wypadek kontroli GIODO. Korzystają więc z różnych krążących w sieci wzorów.

Zgadzam się, że małych przedsiębiorców rzeczywiście kwestia ta może przerastać i odsuwają jej uporządkowanie. Jednakże firmy przetwarzające duże ilości danych osobowych, których działalność gospodarcza z tym przetwarzaniem ściśle jest związana, działające od lat na rynku i mające setki czy tysiące danych w swojej bazie powinny potraktować sprawę poważniej, co oznacza zapewnienie odpowiedniej adekwatnej do wymogów prawa ochrony.

Umowa zawierana na odległość w świetle nowego prawa konsumenckiego

Zgodnie z definicją umowa zawierana na odległość musi być zawarta w ramach obrotu  między konsumentem a przedsiębiorcą ( B2C); przy jednoczesnym braku  fizycznej obecności stron oraz przy wykorzystaniu jednego lub większej liczby środków porozumiewania się na odległość. Ważne, że  przedsiębiorca powinien zawierać umowy w sposób zorganizowany i na odległość.

Dla przypomnienia konsumentem jest każda osoba fizyczna, która działa w celach niezwiązanych z działalnością handlową, gospodarczą, rzemieślniczą ani wykonywaniem wolnego zawodu.

Zorganizowana działalność odnośnie zawierania umów polega na tym, że przedsiębiorca powinien stworzyć zorganizowany system zawierania umów, np. przez stworzenie odpowiedniej witryny internetowej, zatrudnienie personelu do obsługi takiej działalności. Nie ma przeszkód oczywiście, aby przedsiębiorca poza taką formą zawierania umów  zawierał inne umowy w sposób tradycyjny lub poza lokalem przedsiębiorstwa.

Nie podlegają reżimowi dotyczących umów zawieranych na odległość umowy zawierane wprawdzie faktycznie na odległość, jednakże okazjonalnie, przy braku zorganizowanego po stronie przedsiębiorcy takiego sposobu zawierania umów. Okazjonalna sprzedaż nawet przy spełnieniu pozostałych cech, jeśli nie ma charakteru zorganizowanego, nie będzie podpadać pod omawianą regulację.

Trzeba tez pamiętać, że  pojęcie zorganizowanej sprzedaży świadczenia usług na odległość obejmuje także systemy sprzedażowe oferowane przez osobę trzecią inną niż przedsiębiorca, ale z których przedsiębiorca korzysta, takie jak platforma aukcyjna.

 Chodzi tutaj przede wszystkim o takie aukcyjne jak allegro przykład. Oznacza to, że działalność gospodarcza przedsiębiorcy który nie ma własnej witryny sprzedażowej ale w sposób stały i zorganizowany sprzedaje wyłącznie przez allegro  również podpada pod regulacje nowego prawa konsumenckiego.

Zgodnie  z dyrektywą unijną definicja ta nie powinna jednak obejmować przypadków, w których strony internetowe oferują jedynie informacje o przedsiębiorcy, jego towarach lub usługach oraz dane kontaktowe przedsiębiorcy.

E-mailing

Za mailing uznaje się przesyłanie informacji handlowej za pomocą poczty elektronicznej (e-mail). Nie brakuje opinii, iż to właśnie e-mailing jest najskuteczniejszym i najtańszym narzędziem reklamy w Internecie. Wpływa na to łatwość korzystania z poczty elektronicznej, niski koszt i szybkość e-maili.

Mailing – przekazywanie informacji handlowej do oznaczonych odbiorców za pomocą poczty elektronicznej, ale też na forach, portalach społecznościowych.

  1. Newsletter

E-maile bardzo często mają też postać newslettera – jest to rodzaj biuletynu skierowanego do kręgu klientów lub potecjalnych klientów. Mogą one przypominać i zachęcać subskrybentów do powtórnego odwiedzania strony WWW danego przedsiębiorcy, informować o swoich produktach, budować lojalność wśród istniejących klientów.

Aby w ogóle rozpocząć dialog z internautą, a potem móc go kontynuować, reklamodawca w pierwszej kolejności musi uzyskać jego zgodę na przesłanie reklamy poprzez e-mail.

  1. Warunki uzyskania zgody na przesłanie e-mailingu

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Zgoda odbiorcy nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie. W milczeniu odbiorcy  nie można upatrywać dorozumianej  zgody na przesłanie informacji handlowej.

Należy podkreślić, że samemu udostępnieniu adresu elektronicznego musi towarzyszyć zgoda na przesyłanie na ten adres informacji handlowych.

Zgoda musi więc obejmować przesyłanie informacji handlowej za pomocą konkretnego środka komunikacji elektronicznej wobec tego zgoda na przesyłanie wiadomości e-mail nie oznacza możliwości przesyłania informacji handlowych na telefon komórkowy.

Przykładowo adres elektroniczny wykorzystywany w kontakatch zawodowych lub też podany na firmowych stronach internetowych nie może być wykorzystywany do wysłania informacji handlowej bez wyraźnej zgody na ten rodzaj komunikacji.

Ponadto zgodna na przesyłanie informacji handlowych nie może wynikać ze zgody na przetwarzanie danych osobowych w celach marketingowych. W treści formularza klauzula zgody na przesyłanie informacji handlowej drogą elektroniczną powinna być wyodrębniona od klauzuli zgody na przetwarzanie danych osobowych w celach marketingowych.