Styczeń 2016 issn 2391-5781 nr 16

OCHRONA DANYCH OSOBOWYCH Praktyczne porady • Instrukcje krok po kroku • Wzory ▌

Marketing nowych technologii – dobre praktyki

▌

Kompetencje kontrolne GIODO wobec ABI

▌

Komu opłaca się powołać ABI

SPIS TREŚCI

Spis treści

AKTUALNOŚCI

Dzień Administratora Bezpieczeństwa Informacji . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 EKSPERCI SABI RADZĄ

Aktualizacja dokumentacji ODO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Maciej Byczkowski

Kontrola ABI przez administratora danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . 5 Andrzej Rutkowski

INSTRUKCJE

Prowadzenie sklepu internetowego a ochrona danych . . . . . . . . . . . . . . . . . . . . . . . . 8 Włodzimierz Dola

Przejście zakładu pracy a obowiązek informacyjny . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 dr Joanna Łuczak

TEMAT NUMERU

Marketing nowych technologii – dobre praktyki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Maciej Kołodziej

PORADY

Odpowiedzialność cywilna za naruszenia ochrony danych . . . . . . . . . . . . . . . . . . . . . 18 Paweł Osiński

Kompetencje kontrolne GIODO wobec ABI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Marcin Sarna

Komu opłaca się powołać ABI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Piotr Glen

WZORY DOKUMENTÓW

Upoważnienie do przetwarzania danych osobowych . . . . . . . . . . . . . . . . . . . . . . . . . 24 OCHRONA DANYCH OSOBOWYCH 14 1 ST YCZEŃ 2016

LIST OD REDAKTORA

Szanowni Czytelnicy!

Wioleta Szczygielska redaktor prowadząca [email protected] www.odo.wip.pl

W tym numerze przedstawiamy ostatni już artykuł z cyklu „Marketing nowych technologii”. Tym razem prezentujemy Państwu zestaw dobrych praktyk związanych z przetwarzaniem danych osobowych, które warto stosować w działaniach marketingowych. Autor prezentuje 12 problemowych sytuacji, jakie mogą pojawić się w związku z prowadzeniem takich akcji i daje 12 praktycznych odpowiedzi, jak w takich sytuacjach należy postąpić. Podpowiadamy też, jak ochroną danych osobowych powinna zająć się osoba, która prowadzi sklep internetowy. Wyjaśniamy krok po kroku, jakich obowiązków związanych z ochroną danych osobowych należy dopełnić, jakich przepisów przestrzegać i jakie prawa mają klienci związane z ochroną ich danych osobowych. Analizujemy też sytuację, gdy właściciel takiego sklepu zarejestrował swoją działalność w innym państwie UE – wyjaśnimy, do jakich przepisów powinien się stosować. W bieżącym numerze piszemy też o odpowiedzialności cywilnej, jaką może ponieść administrator bezpieczeństwa informacji lub administrator danych, za naruszenia ochrony danych osobowych. Zachęcam także do odwiedzania naszej strony internetowej www.odo.wip.pl. Można tam znaleźć nie tylko wszystkie dotychczasowe numery miesięcznika w wersji elektronicznej, ale także pobrać wszelkie publikowane w piśmie wzory dokumentów. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Można je przesyłać na adres redakcji [email protected]. Życzę owocnej lektury!

OCHRONA DANYCH OSOBOWYCH 14 2 ST YCZEŃ 2016

AKTUALNOŚCI

Dzień Administratora Bezpieczeństwa Informacji Zarząd Stowarzyszenia Administratorów Bezpieczeństwa Informacji ustanowił 26 stycznia Dniem Administratora Bezpieczeństwa Informacji w Polsce. 26 stycznia to data symboliczna, gdyż tego dnia w 2015 roku GIODO uruchomił system informatyczny zapewniający publiczny dostęp do ogólnopolskiego jawnego rejestru administratorów bezpieczeństwa informacji (ABI). Tym samym tego dnia wpisano pierwszego ABI do rejestru, co oznaczało, że został po raz pierwszy zakończony proces powołania ABI na podstawie przepisów znowelizowanej 7 listopada 2014 r. ustawy o ochronie danych osobowych. Powołanie ABI przez ADO i zgłoszenie tego faktu do rejestracji GIODO na podstawie art. 46b jest wymogiem rozpoczęcia przez ABI wypełniania obowiązków związanych z zapewnianiem przestrzegania przepisów o ochronie danych osobowych. Wpisanie ABI do jawnego rejestru GIODO jest podaniem do publicznej wiadomości, że ADO wykonuje obowiązki dotyczące wewnętrznego nadzoru wypełniania wymogów ochrony danych osobowych przy pomocy specjalnie do tego przygotowanej osoby. Znowelizowane przepisy ustawy o ochronie danych osobowych obowiązujące od początku 2015 roku w  nowy sposób określiły zadania i status ABI. Wyznaczyły obowiązki, wymogi oraz warunki do wypełniania tej funkcji. ABI sprawujący niezależny nadzór nad przetwarzaniem danych osobowych staje się gwarantem transparentnego wykonywania obowiązków ochrony prywatności informacyjnej przez wszystkie podmioty, które go powołały do wypełniania tej funkcji. Na podstawie znowelizowanej ustawy powołano w Polsce w 2015 roku blisko 20 000 osób, z czego ponad 15 000 zostało wpisanych do jawnego rejestru prowadzonego przez GIODO. Stowarzyszenie ABI od samego początku swego funkcjonowania w 2007 roku postulowało ustawowe doprecyzowanie zadań ABI oraz wypracowało projekt zmiany statusu funkcji ABI, który był podstawą przyjętych założeń nowelizacji ustawy. SABI z satysfakcją przyjmuje fakt powołania tak dużej liczby osób do pełnienia funkcji ABI. Widzimy potrzebę integrowania nowego środowiska ABI w celu doskonalenia wykonywania przez nich zadań zapewniających przestrzeganie przepisów o ochronie danych osobowych w polskich organizacjach. Ustanowienie otwartego Dnia Administratora Bezpieczeństwa Informacji w Polsce umożliwia środowiskowe

spotkania i wymianę doświadczeń w wykonywaniu zadań ABI. Jest to o tyle istotne, że w związku z nadchodzącym nowym ogólnym rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony danych osobowych pojawią się nowe zakresy zadań dotyczące nadzoru nad bezpieczeństwem danych osobowych oraz nowa funkcja inspektora ochrony danych. Do pełnienia funkcji inspektora będą musieli się przygotowywać obecni ABI. Dzięki nowelizacji ustawy o ochronie danych polskie organizacje otrzymały szansę, aby wcześniej rozpocząć przygotowania do wypełniania nowego rozporządzenia unijnego – w zakresie nadzoru nad bezpieczeństwem danych. Wiele z nich już z tego skorzystało, powołując ABI na podstawie art. 36a ustawy. Taki był też m.in. jeden z celów nowelizacji ustawy w zakresie funkcji ABI. Pierwsze obchody Dnia Administratora Bezpieczeństwa Informacji w Polsce odbędą się 26 stycznia 2016 r. w Warszawie w Małej Auli w Gmachu Głównym Politechniki Warszawskiej, Pl. Politechniki 1. Głównym wydarzeniem tegorocznego Dnia ABI będzie konferencja pt. „Wykonywanie nowej funkcji ABI – pierwszy rok doświadczeń”. Konferencja jest organizowana przez SABI wspólnie z  Wydziałem Zarządzania Politechniki Warszawskiej. Program konferencji będzie podzielony na dwie części. W pierwszej przewidywane są wystąpienia przedstawicieli urzędów i organizacji dotyczące aktualnych problemów ochrony danych osobowych. Druga część będzie poświęcona wymianie doświadczeń oraz podsumowaniu wykonywania zadań ABI w organizacjach działających w różnych sferach życia społecznego i gospodarczego w Polsce. Po konferencji będzie możliwość spotkania z przedstawicielami oraz ekspertami SABI, skonsultowania indywidualnych problemów i  zadania pytań w  związku z wykonywaniem poszczególnych zadań ABI. Szczegółowe informacje na temat Dnia Administratora Bezpieczeństwa Informacji są  dostępne na stronie www.sabi.org.pl.

Zarząd Stowarzyszenia Administratorów Bezpieczeństwa Informacji

OCHRONA DANYCH OSOBOWYCH 14 3 ST YCZEŃ 2016