Wywiad: Od 1 stycznia 2015 r. nie musisz rejestrować bazy w GIODO

Zbliża się kolejna nowelizacja ustawy o ochronie danych osobowych, jej wejście w życie przewidziane jest na 1 stycznia 2015. W ramach szeregu przepisów, które mają wejść w życie znajdują się 3 rozporządzenia Ministra Administracji i Cyfryzacji, które dotyczą ochrony danych osobowych. Zapraszamy do lektury wywiadu Daniela Zawilińskiego, CMO platformy SerwerSMS.pl z Jarosławem Krauz, Wiceprezesem Zarządu PIN Consulting Sp. z o.o.


- Daniel Zawiliński, SerwerSMS.pl: Jaki wpływ będzie miała „Ustawa o ułatwieniu wykonywania działalności gospodarczej”, która wprowadza również zmiany w przepisach dotyczących ochrony danych osobowych?

Jarosław Krauz, PIN Consulting: Zmiany są bardzo istotne ale głównie z punktu widzenia tzw. administratorów danych osobowych czyli podmiotów zarządzających zbiorami tych danych. Najważniejszą zmianą jest zniesienie dotychczasowego obowiązku administratorów danych zgłoszenia zbiorów do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) przy spełnieniu odpowiednich warunków. Do warunków tych należą:
- wcześniejsze zarejestrowanie przez dany podmiot będący administratorem danych "wewnętrznego", posiadającego odpowiednie kwalifikacje, administratora bezpieczeństwa informacji (tzw. ABI) w nowym rejestrze prowadzonym od nowego roku przez GIODO,
- przetwarzanie w zbiorach tylko danych zwykłych, czyli nie będących "danymi wrażliwymi", które ustawa o ochronie danych osobowych ściśle określa w art. 27,
- prawidłowe prowadzenie "wewnętrznego" rejestru zbiorów danych przez podmiot, będący administratorem danych osobowych, lub wyznaczonego przez niego ABI.

Drugą istotną zmianą jest zniesienie obowiązku posiadania ABI przez dany podmiot przetwarzający dane, ponieważ przy obecnym stanie prawnym podmioty posiadające osobowość prawną są niejako zobligowane do posiadania takiej funkcyjnej osoby. Nowe przepisy pozostawiają danemu podmiotowi dowolność w tym zakresie. Jeśli nie powoła on ABI wszystkie funkcje będzie realizował samodzielnie ale wówczas obowiązuje go również konieczność rejestracji zbiorów w GIODO.

Jednocześnie nowe przepisy konstytuują osobę będącą ABI poprzez określenie jego kwalifikacji, kompetencji i pozycji w strukturze wewnętrznej danego podmiotu, tak aby zapewnić wypełniania przez niego wyznaczonych przez nowe przepisy zadań.

Do zadań tych należą - również jest to nowość - także jasno określone obowiązki kontrolne, w postaci tzw. "sprawdzeń" zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdania dla administratora danych. Sprawdzenia takie mogą zastąpić dzisiejsze kontrole realizowane przez GIODO, który będzie mógł zobligować ABI do przeprowadzenia takiego sprawdzenie w danym podmiocie i zobowiązać go do złożenia stosownego sprawozdania z takiej kontroli. Nie oznacza to jednocześnie zniesienia wszystkich kontroli GIODO, ponieważ mogą być one nadal prowadzone przez ten organ, pomimo przeprowadzenia wcześniejszego sprawdzenia przez ABI  lub w przypadku kiedy  dany podmiot nie zarejestrował w GIODO swojego ABI.

Zmiany dotyczą również praktyk przekazywanie danych osobowych do kraju trzeciego (czyli poza granice EOG) przez korporacje i  wprowadzają jaśniejsze zasady zatwierdzania przez GIODO tzw. „wiążących reguł korporacyjnych".

- Daniel Zawiliński, SerwerSMS.pl: Kto może objąć funkcję ABI w firmie, czy wymagane są jakieś specjalne kwalifikacje? Czy w tym przypadku skutecznym rozwiązaniem może być outsourcing?

Jarosław Krauz, PIN Consulting: Osoba pełniąca funkcję ABI będzie musiała spełnić określone wymagania, tj.:
- posiadać pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za przestępstwo popełnione z winy umyślnej.

Outsourcing obowiązków ABI jest oczywiście możliwy, tym bardziej, że w firmach zajmujących się obecnie profesjonalnym świadczeniem takiej usługi, osoby, które przejmują obowiązki ABI spełniają już dziś wymagania. Posiadają odpowiednią wiedzę w zakresie ochrony danych.  Ponadto koncepcja  taka posiada wiele atutów, oto niektóre z nich:
- Ochrona danych osobowych jest procesem, więc nadzór nad prawidłowym przetwarzaniem danych powinien być sprawowany stale i w sposób profesjonalny;
- całość dokumentacji oraz niezbędnych procedur wewnętrznych powinna być przygotowana przez ekspertów;
- zewnętrzny podmiot pełniący funkcję ABI będzie kontaktował się z biurem GIODO oraz przeprowadzał ewentualne sprawdzenia zlecone przez ten Urząd;
- przejęcie obowiązków ABI jest jednoznaczne ze stałą opieką nad danym podmiotem oraz pełną dostępnością wykwalifikowanych konsultantów;
- "Zewnętrzny ABI"  może realnie zapewnić niezależność od wewnętrznych struktur organizacyjnych oraz może dać  gwarancję bezstronności podczas audytów i kontroli stanu ochrony danych osobowych w danym przedsiębiorstwie.

- Daniel Zawiliński, SerwerSMS.pl: Czy konieczne jest wyznaczenie ABI. Być może istnieją jakiekolwiek wyjątki, o których przedsiębiorca powinien wiedzieć, jeśli tak to jakie?

Jarosław Krauz, PIN Consulting: Nie ma obowiązku wyznaczenia ABI-ego, w przypadku, gdy ABI nie zostanie wyznaczony i zgłoszony do rejestru prowadzonego przez GIODO zadania ABI-ego musi  realizować administrator danych (podmiot). 

- Daniel Zawiliński, SerwerSMS.pl: Od kiedy będą obowiązywać nowe zasady?

Jarosław Krauz, PIN Consulting: Od 1 stycznia 2015 r. ale Ustawa do tego czasu zostanie uzupełniona odpowiednimi rozporządzeniami, które będą precyzowały poszczególne kwestie.

- Daniel Zawilińśki, SerwerSMS.pl: Jakie korzyści i zagrożenia widzi Pan w nowych zasadach?

Jarosław Krauz, PIN Consulting: Na pewno jest to ułatwienie dla obecnych administratorów danych osobowych szczególnie zobligowanych do wypełniania skomplikowanych wniosków rejestracyjnych w GIODO i dla tych podmiotów, które posiadają już kompetentnych ABI. Jeśli zaś chodzi o zagrożenia to może być to zbyt wiele czynności administracyjno-sprawozdawczych, realizowanych dotychczas przez inspektorów GIODO,  które być może zostaną przerzucone na przedsiębiorstwa. 

- Daniel Zawiliński, SerwerSMS.pl: Czy zgoda na przetwarzanie danych osobowych jest konieczna, jeśli nie, to w jakich przypadkach?

Jarosław Krauz, PIN Consulting: Nowe przepisy nie zmieniły dotychczas obowiązujących zasad przetwarzania danych osobowych, w tym zasady legalności, która odnosi się do uzyskiwania zgody na przetwarzanie danych osobowych. Tak więc zgoda osoby nadal jest jedną z kilku podstaw prawnych, które pozwalają na legalne przetwarzanie danych osobowych. Zgody nie trzeba uzyskiwać np. jeśli dane są zbierane na podstawie konkretnych przepisów prawa i z taką sytuacją możemy mieć do czynienia podczas zatrudniania pracowników, gdy zakres pozyskiwanych danych od pracownika reguluje Kodeks Pracy. Innym przypadkiem jest zawieranie umowy z osobą, której dane pozyskujemy. W tej sytuacji także nie ma potrzeby zbierania zgody na przetwarzanie danych osobowych w celu zawarcia umowy i jej realizacji.  Kolejne podstawy prawne pozwalające na przetwarzanie danych bez zbierania zgody osoby, to  wykonywanie określonych prawem zadań realizowanych dla dobra publicznego oraz wypełnianie prawnie usprawiedliwionych celów realizowanych przez podmiot przetwarzający dane lub podmiot będący odbiorcą danych, ale tylko wówczas, gdy przetwarzanie danych nie będzie naruszać praw i wolności osób, których dane dotyczą. Przez prawnie usprawiedliwione cele należy rozumieć np. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej czy marketing bezpośredni własnych produktów lub usług administratora danych.

- Daniel Zawiliński, SerwerSMS.pl: Jakie ma Pan „złote rady” dla menagerów pracujących w dużych firmach, a jakie dla sektora MŚP i mikro-przedsiębiorstw?

Jarosław Krauz, PIN Consulting: Niestety nie mam złotych rad ponieważ nie znamy jeszcze wszystkich praktycznych konsekwencji wynikających ze zmiany przepisów ale myślę, że przedsiębiorcy chcący spać spokojnie powinni rozejrzeć się za wykwalifikowanymi administratorami bezpieczeństwa informacji. Oferta jest już w tym zakresie bardzo duża.

- Daniel Zawiliński, SerwerSMS.pl: Czy uważa Pan, że regulacje, które powstały lub powstają sprawdzają się w praktyce?

Jarosław Krauz, PIN Consulting: Na pewno przepisy dotyczące ochrony danych osobowych, a więc jednego z naszych podstawowych praw są niezbędne, jednak przestrzeganie sprawia przedsiębiorcom i urzędom jeszcze wiele problemów. Szczególnie wpływa na to nieustanny postęp technologiczny oraz zmieniające się przyzwyczajenia i preferencje szczególnie grupy zwanej "internautami".

- Daniel Zawilińśki, SerwerSMS.pl: Czy Pana zdaniem, powinny powstać nowe przepisy uwzględniające skalę działalności? Czy są takie plany?

Jarosław Krauz, PIN Consulting: Jestem zdania, że obowiązki względem ochrony danych osobowych powinny być uzależnione od realnych zagrożeń jakie powoduje przetwarzanie tych danych. Oczywiste jest to, że mniejsze podmioty mające do czynienia ze standardowymi danymi osobowymi  (np. sklepy internetowe) powinny mieć ograniczony i dobrze określony zakres obowiązków, w przeciwieństwie do podmiotów wykorzystujących dane osobowe w masowej skali lub działające głównie w oparciu o ich przetwarzanie. Nowe przepisy nie wprowadzają w tym względzie żadnych zmian. Być może zmiany, w ograniczonym zakresie wejdą w życie wraz z nowym Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, którego projekt jest obecnie procedowany przez organy unijne.  Z marketingowego punktu widzenia, ochrona danych osobowych budzi wiele kontrowersji i powiedzmy sobie szczerze trochę utrudnia działania, zwłaszcza podczas interpretacji przez rożne osoby, co daną osobową jest, a co można uznać za zwykły ciąg znaków.

- Daniel Zawiliński, SerwerSMS.pl: Czy w tym kontekście nowe zasady będą precyzować te kwestie dokładniej?

Jarosław Krauz: PIN Consulting: Nowe przepisy nie zmieniają niestety definicji danych osobowych, tak więc nic się nie zmieniło w kwalifikowaniu  konkretnych informacji jako  dane osobowe.  
 

Daniel Zawiliński, CMO platformy SerwerSMS.pl

W firmie zajmuje się zarządzaniem Działem Sprzedaży i Marketingu oraz nadzorowaniem procesu obsługi kluczowych klientów. Duchowy filar zespołu. Życzliwy i pomocny, ale także wymagający przełożony. Miłośnik deski snowboardowej i czekolady.

Jarosław Krauz, Wiceprezes Zarządu PIN Consulting Sp. z o.o.

 

Platforma SerwerSMS.pl powstała w 2003 r. Dzięki zastosowaniu najnowszych rozwiązań informatycznych oraz skutecznej obsłudze klienta, Platforma SerwerSMS.pl jest liderem w swojej branży. Świadczą o tym otrzymane certyfikaty oraz wyróżnienia m.in LIDERA RYNKU 2012.
Klienci Platformy SerwerSMS.pl mają do dyspozycji szerokie portfolio usług SMS, MMS, VMS (wiadomości głosowe). Obecnie z usług Platformy korzysta kilkadziesiąt tysięcy klientów, którzy z kolei generują wielomilionowy miesięczny ruch, co jest dowodem na wciąż rosnące zapotrzebowanie na usługi marketingu mobilnego w Polsce i za granicą. Od 2008 roku Platforma SerwerSMS.pl nieprzerwanie uczestniczy w programie Rzetelna Firma (Złoty Certyfikat Rzetelności), a od 2011 roku jest również członkiem Kapituły Złotych Certyfikatów Rzetelności. ​​

Kontakt dla mediów:

tel: 22 211 20 40 w. 77
e-mail: pr@serwersms.pl

Ceny za połączenia i SMS-y wewnątrz UE będą niższe

Od 15 maja operatorzy zobowiązani są do stosowania nowych, regulowanych stawek w połączeniach...

SMS ostrzegał przed silnym wiatrem

Rządowe Centrum Bezpieczeństwa wysyła coraz częściej SMS-y z  ostrzeżeniami. Ostrzeżenia drugiego...
Wróć do listy

Odkryj świat komunikacji mobilnej w profesjonalnym wydaniu!

Odbierz 100 darmowych wiadomości na start + Short Code 4301 gratis!

Wypróbuj za darmo

Testuj 14 dni za darmo