Jak zgodnie z prawem prowadzić kampanie mailingowe?
PLNOG15: Personal data - new opportunities and threats - Agata Kowalska
1. Dane osobowe – nowe
możliwości i zagrożenia
Chabasiewicz Kowalska i Partnerzy
Kraków, 28 września 2015
2. Plan wystąpienia
1. Pojęcie danych osobowych
2. Zasady gromadzenia i przetwarzania danych osobowych
3. Uprawnienia posiadacza danych osobowych
4. Rejestracja zbiorów danych
5. ABI – nowelizacja
6. Powierzenie przetwarzania danych osobowych
7. Bezpieczeństwo danych osobowych
8. Prawo do bycia zapomnianym
9. Kary za naruszenie przepisów dot. ochrony danych
osobowych
2
3. Co to są dane osobowe?
dane osobowe: wszelkie informacje: imię, nazwisko i adres, zdjęcia,
filmy, zarejestrowane głosy, tzw. dane biometryczne (cechy źrenicy, linie
papilarne, cechy twarzy, geometria ręki) itp. – pod warunkiem, że mogą
służyć do zidentyfikowania osoby. Informacja staje się więc daną
osobową, jeżeli można tę informację powiązać z konkretną osobą bez
ponoszenia nadmiernych kosztów;
Ø Adres IP?
Ø Adres e-mail? (kancelaria@ck-legal.pl vs agata.kowalska@ck-legal.pl)
Ø Cookies?
Ø Rodzaje danych osobowych: zwykłe i wrażliwe
3
4. Co to są dane wrażliwe?
Dane wrażliwe to dane ujawniające:
ü pochodzenie rasowe lub etniczne,
ü poglądy polityczne,
ü przekonania religijne lub filozoficzne,
ü przynależność wyznaniową, partyjną lub związkową, jak również o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym
ü dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym
Dane wrażliwe są chronione w sposób szczególny i wiążą się z nimi obowiązki:
ü uzyskania pisemnej zgody na ich przetwarzanie;
ü dokonywania zgłoszenia zmiany tych danych przed ujawnieniem zmiany danych w zbiorze;
ü wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru tych danych (w przypadku pozostałych
danych zaświadczenie jest fakultatywne);
ü rejestracji zbioru nawet pomimo prowadzenia go wyłącznie w formie papierowej;
ü rozpoczęcia przetwarzania danych dopiero po ich zarejestrowaniu (a nie od razu po zgłoszeniu jak w
przypadku pozostałych danych).
4
5. Obowiązki informacyjne - wykonywanie
System
przekazywania
informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na
NewConnect
O czym
raportuje?
Art. 70 ustawy o ofercie
Ø o zmianach w strukturze
akcjonariatu po
przekroczeniu określonych
progów
Art. 156 – 160 ustawy o obrocie
Ø kwestie dot. ujawniania i
wykorzystywania informacji
poufnej
Ø obowiązek informowania o
transakcji na akcjach
emitenta określonych osób
Regulamin ASO
Ø raporty bieżące
(cenotwórcze) i
okresowe
Zasady gromadzenia i przetwarzania
danych osobowych
Zakres przetwarzania danych
Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które
wykonuje się w systemach informatycznych.
Zasady przetwarzania danych osobowych:
ü Legalność: przetwarzane zgodnie z prawem
ü Celowość: dane zbierane dla oznaczonych, zgodnych z prawem
celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi
celami
ü Adekwatność: dane merytorycznie poprawne i adekwatne w stosunku
do celów, w jakich są przetwarzane
ü Jakiego zakresu danych możemy żądać?
5
6. Obowiązki informacyjne - wykonywanie
System
przekazywania
informacji
ESPI EBI
Kto raportuje? Spółka publiczna Spółka notowana na
NewConnect
O czym
raportuje?
Art. 70 ustawy o ofercie
Ø o zmianach w strukturze
akcjonariatu po
przekroczeniu określonych
progów
Art. 156 – 160 ustawy o obrocie
Ø kwestie dot. ujawniania i
wykorzystywania informacji
poufnej
Ø obowiązek informowania o
transakcji na akcjach
emitenta określonych osób
Regulamin ASO
Ø raporty bieżące
(cenotwórcze) i
okresowe
Zasady gromadzenia i przetwarzania
danych osobowych
Podstawy przetwarzania danych osobowych
ü Zgoda posiadacza danych osobowych (chyba, że chodzi o ich usunięcie)
ü Niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa
ü Konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej
stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy
na żądanie osoby, której dane dotyczą;
ü Niezbędność do wykonania określonych prawem zadań realizowanych dla
dobra publicznego;
ü Niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych
przez administratorów danych albo odbiorców danych, a przetwarzanie nie
narusza praw i wolności osoby, której dane dotyczą.
ü marketing bezpośredni własnych produktów lub usług administratora danych
ü dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej
6
7. Jak uzyskać zgodę?
Na każdą formę marketingu potrzebna jest zgoda odbiorcy
Zgoda musi być:
ü uprzednia
ü wyraźna i oddzielona od innych zgód
ü odpowiedniej treści
ü utrwalona i potwierdzona przez użytkownika (gdy pozyskana drogą
elektroniczną)
ü możliwa do odwołania (bez żadnych dodatkowych kosztów)
Ø uprzednia, a wiec zebrana przed wykorzystaniem urządzenia telekomunikacyjnego
do marketingu bezpośredniego
ü uzyskana np. przy okazji ustalania szczegółów realizacji umowy, zamówienia;
Ø samodzielne i odrębne oświadczenie (oddzielny „checkbox”)
Ø utrwalona w dowolny sposób:
ü zarejestrowana w systemie
ü double opt-in - po wypełnieniu formularza użytkownik musi kliknąć w link potwierdzający
wysłany mailem
7
8.
Klauzula zgody na przetwarzanie
danych osobowych
ü niedopuszczalność zgody dorozumianej - musi być wyraźna
ü ustna, pisemna, wyrażona za pomocą elektronicznych środków przekazu;
tylko pisemna: dane wrażliwe
jedna zgoda = jeden cel = jeden checkbox
ü precyzyjne sformułowanie celu
ü niedopuszczalność formułowania klauzuli blankietowej
ü niedopuszczalność uzależniania możliwości skorzystania z płatnej usługi
od wyrażenia zgody na przetwarzanie danych (inaczej przy usługach
bezpłatnych)
ü niedopuszczalne jest ukrywanie zgody w regulaminie, umowie czy
łączenie z inną zgodą.
8
9.
Klauzula zgody na przetwarzanie
danych osobowych
ü Informacja o administratorze danych (oraz ewentualnie innych podmiotach, które będą
przetwarzać dane osobowe);
ü Precyzyjność: "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej
wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.” (wyrok
NSA z dnia 4 kwietnia 2003 r., II SA 2135/2002)
ü Przykładowa klauzula zgody:
Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu
otrzymywania drogą elektroniczną wiadomości na tematy związane z _____________. Oświadczam, że
znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję
dobrowolnie.
ü Sankcje: grzywna, kara ograniczenia wolności, kara pozbawienia wolności do lat 2, kara
pieniężna w wysokości do 3 % przychodu przedsiębiorcy z poprzedniego roku
kalendarzowego.
9
10.
Błędy związane z przetwarzaniem danych
osobowych
Ø Uzależnienie możliwości skorzystania z płatnej usługi od wyrażenia zgody na przetwarzanie danych
ü usługa bezpłatna (np. poczta e-mail) – dopuszczalność wprowadzenia obowiązku zgody na wykorzystanie danych
osobowych – dane osobowe jako „waluta”
Ø Zgoda wymuszona – musi zaznaczyć, by móc przejść dalej
Ø Zaznaczone domyślnie checkboxy (lub nawet ich brak)
Ø Zgoda ukryta w regulaminie – brak checkboxa
Ø Łączenie akceptacji regulaminu ze zgodą na przetwarzanie danych
ü Oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych,
nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach
marketingowych, reklamowych, informacyjnych [... ] musi być odrębnym oświadczeniem woli, z treści którego
wynikałaby zgoda na przetwarzanie w tym właśnie celu. [wyrok Naczelnego Sądu Administracyjnego z dn.
19.11.2001 r., II SA 2748/00)
Ø Łączenie zgód na przetwarzanie danych w różnych celach/przez różne podmioty
ü Zgoda na przesyłanie informacji handlowej, zgoda na cele marketingowe, zgoda na przekazanie danych
podmiotowi trzeciemu
ü Zgoda na udostępnienie danych osobom trzecim musi być odrębnym od postanowień umownych oświadczeniem
woli abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim. [wyrok
Naczelnego Sądu Administracyjnego z dn. 19.11.2001 r., II SA 2748/00]
Ø Żądanie zgody blankietowej – w zakresie celu lub podmiotu który będzie przetwarzał dane osobowe;
Ø uwaga na: newsletter, życzenia świąteczne, wiadomość poradnikowa, raport
10
11. „Tajemniczy” art. 172 UPrTelekom
25.12.2014 – nowelizacja
Zakazane jest używanie telekomunikacyjnych urządzeń końcowych (każde urządzenie przeznaczone do
podłączenia bezpośrednio lub pośrednio do zakończeń sieci (telefony stacjonarne, komórkowe, smartfony,
tablety, faksy, komputery – wiadomości sms/mms, e-mail) i automatycznych systemów wywołujących dla
celów marketingu bezpośredniego, chyba, że abonent lub użytkownik końcowy uprzednio wyrazi na to
zgodę. Przepis ten nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji
handlowej wynikających z odrębnych ustaw.
Ø bezpośrednie komunikaty kierowanych do starannie wybranych, pojedynczych osób, często w
indywidualnym kontakcie, w celu uzyskania bezpośredniej reakcji (odpowiedzi) np. telemarketing
(wykorzystywaniu telefonu do bezpośredniego kontaktu i sprzedaży);
Ø obowiązywanie ograniczenia również w obrocie obustronnie profesjonalnym, a więc w odniesieniu do
połączeń na numery przedsiębiorców, fundacji, stowarzyszeń, szkół, szpitali itp.
Ø brak zgody - Prezes UKE decyzją może nałożyć karę pieniężną w wysokości do 3 % przychodu
przedsiębiorcy z poprzedniego roku kalendarzowego;
Ø zgoda z art. 172 UPrTelekom jest NIEZALEŻNA od dotychczas funkcjonujących zgód;
„Wyrażam zgodę na używanie przez ………..… telekomunikacyjnych urządzeń końcowych, których jestem
użytkownikiem dla celów marketingu bezpośredniego zgodnie z art. 172 ust.1 z dnia 25.12.2014 r.”
11
12. Jak wysyłać mailing zgodnie z prawem?
Bez zgody odbiorcy nie ma mailingu
Ø Jak zbierać?
Bezpośrednio od użytkownika przez checkbox wszędzie tam, gdzie użytkownik podaje swój
adres e-mail, np.:
ü rejestracja w sklepie
ü dostęp do usługi
ü darmowy e-book
ü formularz kontaktowy
Ø odpowiednia treść checkboxa – zgoda musi zawierać:
ü dane, których dotyczy (wszystkie dane z formularza)
ü podmiot, który dane będzie wykorzystywał
ü cel wykorzystania danych:
• przetwarzanie danych osobowych w celach marketingowych
• wysyłanie informacji handlowej za pośrednictwem poczty elektronicznej
• wykorzystywanie zebranych danych w celu marketingu bezpośredniego
ü „wysłanych przez …. w imieniu własnym oraz na zlecenie innych osób”
12
13. Jak wdrożyć ODO
Ø proces wdrożenia ODO w działalności prowadzonej w internecie:
1) regulamin i polityka prywatności
2) proces zbierania zgód od klienta na przetwarzanie danych osobowych
3) identyfikacja i wyodrębnienie poszczególnych zbiorów danych
4) zawarcie umów o powierzeniu danych
ü hostingodawca, wysyłka newslettera (np. MailChimp), drop-shipping (wysyłka przez
podmiot trzeci), e-przelewy
5) wewnętrzna dokumentacja ODO
ü polityka bezpieczeństwa ochrony danych;
ü instrukcja zarządzania systemem informatycznym służącym
do przetwarzania danych;
6) wdrożenie procedur przestrzegania danych w firmie i przeszkolenie pracowników
ü domyślnie niezaznaczone checkboxy;
ü oddzielne zbiory (wg celów przetwarzania) - dane służące do: realizacji zamówienia, wysyłki
newslettera, reklamacji;
13
14. Powierzenie a udostępnienie danych
osobowych
Prawo do powierzenia przetwarzania podmiotowi trzeciemu:
Ø Powierzenie a przekazanie (udostepnienie/sprzedaż) danych;
ü udostępnienie – osoba trzecia ma możliwość przetwarzania na własny użytek; staje się ADO (decyduje o
celach i środkach ich przetwarzania) - wyraźna zgoda klienta
ü powierzenie – procesor ma dostęp do danych zebranych przez ADO, aby zrealizować usługę (przetwarzanie
na rzecz ADO) – nie jest potrzebna dodatkowa zgoda klienta
Ø Obowiązek zawarcia pisemnej umowy o przetwarzanie danych (brak zastosowania formy
pisemnej powoduje jedynie skutki w zakresie postępowania dowodowego)
Ø Odpowiedzialność administratora danych za sposób ich przetwarzania;
Ø Odpowiedzialność umowna podmiotu przetwarzającego dane;
Ø Ograniczenia możliwości powierzenia przetwarzania danych podmiotowi zagranicznemu:
ü obowiązek zachowania standardów ochrony danych osobowych (art. 47 UODO)
ü certyfikat programu Safe harbour,
ü zgoda GIODO zezwalająca na powierzenie przetwarzania danych osobowych
14
15. Zasady obrotu danymi osobowymi
obowiązek uzyskania zgody na sprzedaż
danych?
obowiązek poinformowania osoby, której
dane dotyczą o nabyciu danych (art. 25
UODO)
obowiązek poinformowania GIODO o zmianie
administratora danych (art. 41 ust. 2 UODO)
15
16. Sprzedaż bazy danych osobowych
ü traktowane jak przetwarzanie danych osobowych („nabycie w drodze umowy jest także
sposobem uzyskiwania czy wydostawania (danych), zakup bazy jest tożsamy z procesem ich
zbierania i pozyskiwania”);
ü nabywca bazy danych osobowych powinien wypełnić obowiązki informacyjne (art. 25 ust.
1 UODO) bezpośrednio po utrwaleniu zebranych danych:
Ø o adresie siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest
osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
Ø celu i zakresie zbierania danych (o odbiorcach lub kategoriach odbiorców danych);
Ø źródle danych;
Ø prawie wglądu do swoich danych oraz ich poprawiania;
Ø prawie żądania zaprzestania przetwarzania danych osobowych z uwagi na szczególną
sytuację lub prawie wniesienia sprzeciwu;
ü administrator danych może przekazać bazę danych osobowych innemu administratorowi,
jeśli (odpowiednie zabezpieczenia w umowie):
Ø osoba otrzyma wszystkie informacje wskazane w art. 25 ust. 1 UODO;
Ø nie wniesie ona sprzeciwu wobec przekazywania danych;
Ø nie zostanie zmieniony cel przetwarzania danych osobowych.
16
17. Uprawnienia posiadacza danych
osobowych
Ø każdej osobie przysługuje prawo kontroli przetwarzania danych, które jej
dotyczą, w tym do uzyskania wyczerpującej informacji od administratora danych
w tym zakresie,
Ø możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych
osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich
usunięcia,
Ø prawo sprzeciwu wobec przetwarzania danych osobowych w celach
marketingowych lub przekazywania ich innemu administratorowi danych
osobowych,
Ø możliwość odwołania zgody na przetwarzanie danych osobowych – w każdym
czasie, bez konieczności uzasadniania,
Ø jeśli administrator danych osobowych nie respektuje powyższych uprawnień,
naraża się na odpowiedzialność karną;
17
18. Rejestracja zbioru danych
zasada rejestracji wszystkich zbiorów danych (art. 40 UODO)
Zwolnienia z obowiązku rejestracji zbiorów danych:
Ø objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i
zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
Ø przetwarzanych przez wskazane w ustawie organy,
Ø dotyczących członków kościoła lub innego związku wyznaniowego,
Ø dotyczących osób u nich zatrudnionych, świadczących usługi, zrzeszonych lub uczących się,
Ø dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej lub radcy
prawnego, biegłego rewidenta lub rzecznika patentowego,
Ø tworzonych na podstawie ordynacji wyborczych
Ø dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania
tymczasowego aresztowania lub kary pozbawienia wolności,
Ø przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości
finansowej,
Ø powszechnie dostępnych,
Ø przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej
lub stopnia naukowego,
Ø przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
18
19. Prawo do informacji vs. ODO
Wyrok TSUE z 13 maja 2014, sprawa C-131/12 Google Spain SL i Google Inc.
przeciwko Agencia Española de Protección de Datos (AEPD) i Mario Costeja
González.
ü każdy użytkownik Internetu ma prawo zgłosić swoje zastrzeżenia co do wyników
wyszukiwania, które mogą naruszać jego prywatność (usuwanie linków do informacji
„nieistotnych lub nieaktualnych”);
ü przeglądarki internetowe powinny usuwać niektóre wyniki wyszukiwań, które naruszają
prywatność na prośbę poszczególnych użytkowników;
ü jeżeli firma odmówi, należy zgłosić sprawę do odpowiedniej instytucji, która może wydać
wyrok, zmuszający ją do tego;
ü Google np. ocenia potrzebę ochrony prywatności danej osoby, jednocześnie biorąc pod
uwagę prawo dostępu do informacji publicznej i prawo do jej rozpowszechniania; sprawdza,
czy wyniki wyszukiwania zawierają nieaktualne/nieprawdziwe informacje o zgłaszającym
prośbę oraz czy jest interes publiczny w udostępnianiu wskazanych informacji (np. może
odmówić usunięcia określonych informacji o nadużyciach finansowych,
nieprawidłowościach w pracy zawodowej, postępowaniach karnych lub publicznym
zachowaniu przedstawicieli władz).
20. Możliwość pozyskania przez pokrzywdzonego
danych osobowych naruszających dobra
osobiste
wyrok ETS z 19 kwietnia 2012 roku Bonnier Audio i in. vs. Perfect Communication Sweden AB
oraz wyroki polskie np. wyrok WSA z 17 czerwca 2013 roku (II Sa/Wa 152/13), wyrok NSA z 21
sierpnia 2013 roku (I OSK 1666/12) i z 18 kwietnia 2014 roku (I OSK 2789/12)
ü podstawa do udostępnienia danych – art. 23 ust. 1 pkt 5 UODO;
ü przesłanki udostępnienia danych osobowych:
ü uzasadniony interes prawny (prawnie usprawiedliwione cele”);
ü proporcjonalność dobra chronionego a dobra naruszanego (wolność wypowiedzi vs. dobro
poszkodowanego);
ü niezbędność udostępnienia danych dla ochrony praw;
ü nieuzasadniona odmowa to naruszenie prawa;
ü GIODO na podstawie art. 18 ust. 1 pkt 2 UODO może wydać decyzję nakazującą
udostępnienie danych osobowych;
ü obowiązek przetwarzania danych osobowych poprzez ich udostępnienie
konkretyzuje się np. w celu zainicjowania postępowania sadowego, co nie narusza
praw i wolności osoby, której te dane dotyczą;
21. Rejestracja zbioru danych
Zbiór danych – niezależnie od ilości rekordów czy rodzajów zbieranych danych
ü GIODO: należy zarejestrować zbiór danych osobowych, który składa się jedynie z jednego
rodzaju danych osobowych, np. adresu e-mail (newsletter)
ü Teoria: obowiązek zgłoszenia zbioru danych przed ich uzyskaniem i rozpoczęciem ich przetwarzania
ü Zgłoszenie nie wiąże się z żadnymi opłatami
ü Możliwość zgłoszenia zbioru danych drogą elektroniczną za pomocą specjalnego formularza
(platforma egiodo.giodo.gov.pl)
Konieczność wskazania:
ü Danych administratora
ü Podstawy przetwarzania danych osobowych
ü Zakresu zbieranych danych
ü Celu przetwarzania danych
ü Ewentualnych planów udostępnienia danych podmiotom trzecim
ü Środków zabezpieczenia danych osobowych
Dla zgłaszanego zbioru należy opracować odpowiednią dokumentację:
ü Politykę bezpieczeństwa (wraz z wykazem zbiorów, osób uprawnionych do dokonywania
czynności związanych z przetwarzaniem danych)
ü Instrukcję zarządzania systemami informatycznymi
ü Rejestr jest jawny
21
23. Nowelizacja – 1.01.2015
Ø alternatywa wobec rejestracji zbioru: zgłoszenie do GIODO powołania Administratora
Bezpieczeństwa Informacji (ABI)
Ø powołanie ABI to możliwość – w innym przypadku jego funkcje pełni sam ADO
Ø głównym zadaniem ABI jest zapewnianie przestrzegania przepisów ODO,
w szczególności przez:
ü sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie
danych osobowych oraz opracowanie w tym zakresie sprawozdania dla
administratora danych,
ü nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób
przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii
danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
ü zapewnianie zapoznania osób upoważnionych do przetwarzania danych
osobowych z przepisami o ochronie danych osobowych.
Ø dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych
przez ADO
23
24. Nowelizacja – 1.01.2015
Ø funkcję ABI może pełnić osoba, która:
ü ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
ü posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
ü nie była karana za umyślne przestępstwo.
Ø przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a
ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego administratora danych. Działając we własnym
interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych.
Znowelizowane przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek
certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy
powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych
oraz wymogów ich ochrony.
Ø fakt powołania i odwołania ABI należy zgłosić GIODO w terminie 30 dni (każda zmiana w zakresie
zgłoszenia - 14 dni)
Ø GIODO prowadzi jawny rejestr ABI – zawiera dane ADO i ABI
24
25. ADO bez ABI
Ø w przypadku niepowołania ABI, ADO:
ü musi sprawdzać zgodność przetwarzania danych osobowych z przepisami o ochronie
danych
ü nadzorować opracowywanie i aktualizację dokumentacji ochrony danych osobowych, a
także zapoznawać osoby upoważnione do przetwarzania danych z odpowiednimi
przepisami
ü przeprowadzać wewnętrzne kontrole i szkolenia
Ø ADO nie ma żadnych wskazówek od ustawodawcy, jak wykonywać swoje obowiązki.
Ø rozporządzenia MAiC z dnia 11.05.2015 roku skierowane jest do ABI,
Ø ADO może tam znaleźć podpowiedzi jak zaplanować sprawdzenie, jakie obszary powinien
objąć kontrolą, czy jakimi metodami wykonać sprawdzenia;
Ø modele wykonywania obowiązków przez ADO:
ü samodzielna realizacja zadań;
ü powierzenie innej osobie, bez powoływania jej na ABI;
ü wyznaczenie całego zespołu odpowiedzialnego za ochronę danych.
Niezależnie od modelu, to ADO odpowiada za realizację ustawowych zadań, a powierzenie
obowiązków innym nie zwalnia ADO z odpowiedzialności. 25
26. Zadania zastrzeżone wyłącznie dla ABI
Ø ADO działający bez ABI nie musi wykonywać dwóch obowiązków:
ü przygotowywać sprawozdań ze sprawdzeń;
ü prowadzić rejestru zbiorów danych.
Ø ABI przekłada sprawozdanie ADO, więc, jeżeli ADO sam prowadzi
sprawdzenie, nie składa sprawozdania, jak również nie zostanie wezwany
przez GIODO do sprawdzenia i przedłożenia sprawozdania;
Ø ADO, który nie powołał ABI, musi na dotychczasowych zasadach zgłaszać
zbiory do rejestracji w GIODO; powołanie i zgłoszenie ABI do rejestru, może
zwolnić go z obowiązku zgłaszania zbiorów danych osobowych zwykłych
(zbiory te są bowiem wpisywane do rejestru ABI);
Ø w przypadku danych wrażliwych, nawet jeżeli ABI jest powołany i prowadzi
własny rejestr, zbiór takich danych musi zostać zgłoszony.
26
27. Jakie zbiory podlegają wpisowi do
rejestru prowadzonego przez ABI?
Rejestr prowadzony przez ABI nie obejmuje:
ü zbiorów, które do tej pory nie wymagały zgłoszenia do GIODO, a więc np. zbiorów
danych pracowniczych;
ü zbiorów, zawierających tzw. dane wrażliwe, bowiem te zbiory nadal podlegają
obowiązkowemu zgłoszeniu do GIODO, nawet wówczas, gdy powołany został ABI;
Informacje o zbiorach zgłoszonych wcześniej do GIODO
ü informacje zawarte w rejestrze GIODO będą nadal jawne i dostępne, bowiem ADO nie
będzie miał obowiązku wykreślenia ich z dotychczasowego rejestru, ale jednocześnie
nie będzie musiał dokonywać ich aktualizacji.
27
28. Komu i w jaki sposób należy
udostępniać rejestr prowadzony przez
ABI?
Ø Prowadzony przez ABI rejestr jest jawny, a więc musi być dostępny do
przeglądania dla osób trzecich
Ø Zasady udostępniania zależą od tego czy rejestr jest prowadzony w wersji
papierowej, czy elektronicznej
Ø Wybór sposobu udostępniania należy do ADO lub ABI
W przypadku prowadzenia zbiorów w wersji elektronicznej udostępnienie może
odbywać się:
Ø na stronie internetowej administratora danych, przy czym na stronie głównej
umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,
Ø na stanowisku dostępowym w systemie informatycznym administratora danych
znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
Ø przez sporządzenie wydruku rejestru z systemu informatycznego administratora
danych. 28
29. Problem przepisów przejściowych –
art. 35 ustawy nowelizującej
Ø funkcję ABI przewidywały przepisy sprzed nowelizacji, jednak przedtem
wykonywał on jedynie ogólne zadanie nadzoru nad przestrzeganiem zasad
ochrony danych;
Ø zgodnie z przepisem przejściowym ABI wyznaczony przed 1 stycznia 2015 z
mocy prawa pełni tę funkcję w rozumieniu nowych przepisów do czasu jego
zgłoszenia do GIODO, jednak nie dłużej niż do 30 czerwca 2015 r.
Ø jeżeli administrator danych nie zgłosił dotychczasowego ABI to po 30 czerwca
2015 r. przestał on pełnić tę funkcję, a zadania określone w ustawie ODO
zobowiązany jest wykonywać ADO.
29
30. Czy ABI jest naprawdę niezależny?
Osoba pełniąca funkcję ABI po 1 lipca 2015 musi:
Ø mieć wyodrębnione stanowisko pracy
Ø podlegać bezpośrednio kierownikowi danej jednostki organizacyjnej (np.
zarządowi spółki)
Ø mieć zagwarantowaną organizacyjną odrębność (co może się wiązać z
koniecznością utworzenia nowego etatu)
Sytuacja prawna ABI:
Ø pracodawcą ABI jest ADO
Ø GIODO może zażądać od ABI sporządzenia raportu o sposobie przetwarzania
danych osobowych w przedsiębiorstwie
Ø o wykrytych nieprawidłowościach ABI musi zawiadomić GIODO, czyli donieść na
swojego pracodawcę
Ø brak formalnych gwarancji nietykalności ze strony pracodawcy, ponieważ ABI
jest finansowo i prawnie, w oparciu o kodeks pracy, uzależniony od podmiotu,
który kontroluje
Ø za nieprawidłowości w firmie odpowiadać, także karnie, dalej będzie ADO,
Istnieje zatem ryzyko braku obiektywizmu przy wykonywaniu obowiązków
przez ABI. 30
31. Kary za naruszenie przepisów ODO
Ø Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których
przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2;
Ø Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub
umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2;
Ø Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez
osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku;
Ø Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku;
Ø Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej
prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej
ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Ø Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
32. Dziękujemy za uwagę
i zapraszamy do współpracy
Chabasiewicz, Kowalska i Partnerzy
Radcowie Prawni
Centrum Biurowe BIPROSTAL
ul. Królewska 57, 30-081 Kraków
tel: +48 12 297 38 38, +48 12 297 38 30
fax: +48 12 297 38 39
agata.kowalska@ck-legal.pl
www.ck-legal.pl
Zapraszamy na naszego bloga: www.prawainwestora.pl
32