Styczeń 2016 issn 2391-5781 nr 16
OCHRONA DANYCH OSOBOWYCH Praktyczne porady • Instrukcje krok po kroku • Wzory ▌
Marketing nowych technologii – dobre praktyki
▌
Kompetencje kontrolne GIODO wobec ABI
▌
Komu opłaca się powołać ABI
SPIS TREŚCI
Spis treści
AKTUALNOŚCI
Dzień Administratora Bezpieczeństwa Informacji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 EKSPERCI SABI RADZĄ
Aktualizacja dokumentacji ODO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Maciej Byczkowski
Kontrola ABI przez administratora danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . 5 Andrzej Rutkowski
INSTRUKCJE
Prowadzenie sklepu internetowego a ochrona danych . . . . . . . . . . . . . . . . . . . . . . . . 8 Włodzimierz Dola
Przejście zakładu pracy a obowiązek informacyjny . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 dr Joanna Łuczak
TEMAT NUMERU
Marketing nowych technologii – dobre praktyki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Maciej Kołodziej
PORADY
Odpowiedzialność cywilna za naruszenia ochrony danych . . . . . . . . . . . . . . . . . . . . . 18 Paweł Osiński
Kompetencje kontrolne GIODO wobec ABI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Marcin Sarna
Komu opłaca się powołać ABI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Piotr Glen
WZORY DOKUMENTÓW
Upoważnienie do przetwarzania danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . 24 OCHRONA DANYCH OSOBOWYCH 14 1 ST YCZEŃ 2016
LIST OD REDAKTORA
Szanowni Czytelnicy!
Wioleta Szczygielska redaktor prowadząca
[email protected] www.odo.wip.pl
W tym numerze przedstawiamy ostatni już artykuł z cyklu „Marketing nowych technologii”. Tym razem prezentujemy Państwu zestaw dobrych praktyk związanych z przetwarzaniem danych osobowych, które warto stosować w działaniach marketingowych. Autor prezentuje 12 problemowych sytuacji, jakie mogą pojawić się w związku z prowadzeniem takich akcji i daje 12 praktycznych odpowiedzi, jak w takich sytuacjach należy postąpić. Podpowiadamy też, jak ochroną danych osobowych powinna zająć się osoba, która prowadzi sklep internetowy. Wyjaśniamy krok po kroku, jakich obowiązków związanych z ochroną danych osobowych należy dopełnić, jakich przepisów przestrzegać i jakie prawa mają klienci związane z ochroną ich danych osobowych. Analizujemy też sytuację, gdy właściciel takiego sklepu zarejestrował swoją działalność w innym państwie UE – wyjaśnimy, do jakich przepisów powinien się stosować. W bieżącym numerze piszemy też o odpowiedzialności cywilnej, jaką może ponieść administrator bezpieczeństwa informacji lub administrator danych, za naruszenia ochrony danych osobowych. Zachęcam także do odwiedzania naszej strony internetowej www.odo.wip.pl. Można tam znaleźć nie tylko wszystkie dotychczasowe numery miesięcznika w wersji elektronicznej, ale także pobrać wszelkie publikowane w piśmie wzory dokumentów. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Można je przesyłać na adres redakcji
[email protected]. Życzę owocnej lektury!
OCHRONA DANYCH OSOBOWYCH 14 2 ST YCZEŃ 2016
AKTUALNOŚCI
Dzień Administratora Bezpieczeństwa Informacji Zarząd Stowarzyszenia Administratorów Bezpieczeństwa Informacji ustanowił 26 stycznia Dniem Administratora Bezpieczeństwa Informacji w Polsce. 26 stycznia to data symboliczna, gdyż tego dnia w 2015 roku GIODO uruchomił system informatyczny zapewniający publiczny dostęp do ogólnopolskiego jawnego rejestru administratorów bezpieczeństwa informacji (ABI). Tym samym tego dnia wpisano pierwszego ABI do rejestru, co oznaczało, że został po raz pierwszy zakończony proces powołania ABI na podstawie przepisów znowelizowanej 7 listopada 2014 r. ustawy o ochronie danych osobowych. Powołanie ABI przez ADO i zgłoszenie tego faktu do rejestracji GIODO na podstawie art. 46b jest wymogiem rozpoczęcia przez ABI wypełniania obowiązków związanych z zapewnianiem przestrzegania przepisów o ochronie danych osobowych. Wpisanie ABI do jawnego rejestru GIODO jest podaniem do publicznej wiadomości, że ADO wykonuje obowiązki dotyczące wewnętrznego nadzoru wypełniania wymogów ochrony danych osobowych przy pomocy specjalnie do tego przygotowanej osoby. Znowelizowane przepisy ustawy o ochronie danych osobowych obowiązujące od początku 2015 roku w nowy sposób określiły zadania i status ABI. Wyznaczyły obowiązki, wymogi oraz warunki do wypełniania tej funkcji. ABI sprawujący niezależny nadzór nad przetwarzaniem danych osobowych staje się gwarantem transparentnego wykonywania obowiązków ochrony prywatności informacyjnej przez wszystkie podmioty, które go powołały do wypełniania tej funkcji. Na podstawie znowelizowanej ustawy powołano w Polsce w 2015 roku blisko 20 000 osób, z czego ponad 15 000 zostało wpisanych do jawnego rejestru prowadzonego przez GIODO. Stowarzyszenie ABI od samego początku swego funkcjonowania w 2007 roku postulowało ustawowe doprecyzowanie zadań ABI oraz wypracowało projekt zmiany statusu funkcji ABI, który był podstawą przyjętych założeń nowelizacji ustawy. SABI z satysfakcją przyjmuje fakt powołania tak dużej liczby osób do pełnienia funkcji ABI. Widzimy potrzebę integrowania nowego środowiska ABI w celu doskonalenia wykonywania przez nich zadań zapewniających przestrzeganie przepisów o ochronie danych osobowych w polskich organizacjach. Ustanowienie otwartego Dnia Administratora Bezpieczeństwa Informacji w Polsce umożliwia środowiskowe
spotkania i wymianę doświadczeń w wykonywaniu zadań ABI. Jest to o tyle istotne, że w związku z nadchodzącym nowym ogólnym rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony danych osobowych pojawią się nowe zakresy zadań dotyczące nadzoru nad bezpieczeństwem danych osobowych oraz nowa funkcja inspektora ochrony danych. Do pełnienia funkcji inspektora będą musieli się przygotowywać obecni ABI. Dzięki nowelizacji ustawy o ochronie danych polskie organizacje otrzymały szansę, aby wcześniej rozpocząć przygotowania do wypełniania nowego rozporządzenia unijnego – w zakresie nadzoru nad bezpieczeństwem danych. Wiele z nich już z tego skorzystało, powołując ABI na podstawie art. 36a ustawy. Taki był też m.in. jeden z celów nowelizacji ustawy w zakresie funkcji ABI. Pierwsze obchody Dnia Administratora Bezpieczeństwa Informacji w Polsce odbędą się 26 stycznia 2016 r. w Warszawie w Małej Auli w Gmachu Głównym Politechniki Warszawskiej, Pl. Politechniki 1. Głównym wydarzeniem tegorocznego Dnia ABI będzie konferencja pt. „Wykonywanie nowej funkcji ABI – pierwszy rok doświadczeń”. Konferencja jest organizowana przez SABI wspólnie z Wydziałem Zarządzania Politechniki Warszawskiej. Program konferencji będzie podzielony na dwie części. W pierwszej przewidywane są wystąpienia przedstawicieli urzędów i organizacji dotyczące aktualnych problemów ochrony danych osobowych. Druga część będzie poświęcona wymianie doświadczeń oraz podsumowaniu wykonywania zadań ABI w organizacjach działających w różnych sferach życia społecznego i gospodarczego w Polsce. Po konferencji będzie możliwość spotkania z przedstawicielami oraz ekspertami SABI, skonsultowania indywidualnych problemów i zadania pytań w związku z wykonywaniem poszczególnych zadań ABI. Szczegółowe informacje na temat Dnia Administratora Bezpieczeństwa Informacji są dostępne na stronie www.sabi.org.pl.
Zarząd Stowarzyszenia Administratorów Bezpieczeństwa Informacji
OCHRONA DANYCH OSOBOWYCH 14 3 ST YCZEŃ 2016