Czyli o GIODO, ABI, nowych przepisach i o tym, jak sobie radzić z tym w praktyce.

Ustawa o ochronie danych osobowych obowiązuje od 1997 roku. Była od tego czasu kilka razy nowelizowana – jak choćby w 2011, kiedy to poszerzono znacznie kompetencje GIODO, włącznie z możliwością nakładania grzywny. 1 stycznia 2015 roku weszła w życie kolejna nowelizacja, w ramach pakietu zmian „deregulacyjnych” ustawy o ułatwieniu wykonywania działalności gospodarczej. Zmiany te dotyczą głównie rozszerzenia kompetencji Administratora Bezpieczeństwa Informacji oraz obowiązku rejestracji zbiorów danych osobowych, a także kwestii przekazywania danych osobowych za granicę.

Jak to wygląda w praktyce? Co się realnie zmienia dla sklepu internetowego, serwisu SaaS, czy bloga z newsletterem? Co właściwie „zderegulowano”?

Niestety wygląda na to, że dla zdecydowanej większości przedsiębiorców – NIC. Dla małych firm zatrudnianie i szkolenie ABI byłoby tylko dodatkowym kosztem, więc nadal muszą rejestrować zbiory w takim samym trybie. Duże organizacje z rozbudowaną strukturą ochrony danych osobowych też nie odczują pozytywnie zmian – zamiast zgłaszać każdy kolejny zbiór do GIODO, będą go rejestrowały we własnej ewidencji – ale tym razem musi to być rejestr jawny – dostępny dla każdego, podobnie jak rejestr GIODO.

Jedocześnie rosną uprawnienia ABI powołanego w firmie. Dotychczas nie były one określone, ale od 1 stycznia zdefiniowane są nie tylko wymogi, jakie ABI musi spełniać (musi mieć wiedzę w zakresie ochrony danych osobowych, nie być karany za umyślne przestępstwo), ale też kompetencje i obowiązki – włącznie z przeprowadzaniem na wniosek GIODO kontroli zgodności przetwarzania danych z przepisami i przekazaniem jej wyników do GIODO. GIODO oczywiście nadal może taką kontrole przeprowadzić samo i można założyć, że zasoby uwolnione ze sprawdzania nowych wniosków rejestracyjnych (obecnie „kolejka” to prawie poł roku) mogą być na to skierowane.

Co powinny więc teraz zrobić firmy i przedsiębiorcy? Wszystko zależy od tego, na jakim są etapie i co zrobiły do tej pory. Duże organizacje, które mają wdrożoną politykę ochrony danych osobowych poradzą sobie zapewne dobrze. Ale co z mniejszymi? Przeanalizujmy kilka wersji.

Nowa firma lub nowy projekt w ramach którego będą zbierane i przetwarzane dane osobowe:

• Przygotować projekt i procesy tak, aby zbieranie i przetwarzanie danych było zgodne z prawem. Obowiązki informacyjne, zgody, zapewniony dostęp do zmiany i poprawiania danych, przewidziany proces usunięcia lub anonimizacji danych na żądanie klienta. Znamy firmy, które w panice „łatały” system po pierwszym żądaniu usunięcia danych od klienta – czasami okazywało się to nietrywialne.
• Wdrożyć procedury i dokumentacje ochrony danych osobowych. W szczególności Politykę Bezpieczeństwa Informacji i Instrukcję Zarządzania Systemem Informatycznym oraz niezbędne ewidencje: zbiorów, miejsc ich przechowywania, osób, które mają dostęp i upoważnienie tych osób.
• Zadbać o umowy powierzenia przetwarzania danych osobowych. W przypadku sklepu internetowego koniecznie z firmą hostingową, operatorem newslettera lub systemu marketing automation, agregatora przesyłek kurierskich itp.
• Podjąć decyzje: czy powołujemy ABI i będziemy prowadzić jawny rejestr zbiorów czy będziemy rejestrować zbiory w GIODO. W przypadku małych firm większość pozostanie przy tym drugim rozwiązaniu.

Kolejny przypadek to działające już przedsiębiorstwo, zbierające i przetwarzające dane osobowe, w którym wdrożona jest opisana powyżej dokumentacja, a zbiory danych są zgłoszone do GIODO. W tym przypadku wystarczy sama decyzja, czy powołujemy ABI. Jeśli nie – a zwykle tak zapewne będzie – wystarczą drobne modyfikacje istniejącej dokumentacji (PBI i IZSI oraz ewidencji) i możemy działać spokojnie dalej. Jeżeli mamy powołanego w strukturze ABI – mamy kilka miesięcy na to, aby zgłosić go do GIODO lub zrezygnować z takiego rozwiązania.

A co z firmami, które mimo, że przetwarzają dane osobowe (i to czasami w dość szerokim zakresie), nie zarejestrowały zbiorów albo nawet i zarejestrowały, ale zignorowały całą resztę (bo tak „taniej”)? Trudno im radzić, żeby w końcu to poukładały – zwykle i tak działają z założeniem, że „na żadną kontrolę się nie załapią” – zapominając, że przecież wystarczy jeden zdenerwowany klient, aby skutecznie wytrącić taką firmę z błogiego stanu. Przy nowych przepisach sytuacja może się zmienić– o ile wcześniej taki zirytowany kolejnym niechcianym mailem klient nawet, jeśli pisał do GIODO lub UOKIK – to zanim coś się wydarzyło, mijało sporo czasu. Bardzo prawdopodobne, że teraz takie zgłoszenie w szybkim tempie zaowocuje zleceniem przeprowadzenia ABI kontroli i złożenia sprawozdania do GIODO. Zdecydowanie trzeba będzie znaczenie bardziej pochylić się nad tą kwestią.

Z pozytywnych informacji – uproszcza się kwestia przekazywania danych osobowych do podmiotów w państwach trzecich, co może ułatwić korzystanie z części fajnych usług jak na przykład MailChimp. Obecnie używanie przez polski serwis MailChimpa jest w większości przypadków, jakie znam niezgodne z przepisami 😉 Ale o tym w kolejnych artykułach.

Wracając do tego, co firma, nawet mała (w szczególności jednoosobowa działalność) prowadząca sklep internetowy, hostowany na jakiejś platformie i zarządzany z jednego notebooka, musi zrobić – największym problemem pozostaje właśnie dokumentacja. Wymogi w tym zakresie są takie same, zarówno dla wielkich operatorów telekomunikacyjnych, jak i takich właśnie mikrofirm. W sieci można znaleźć kilka wzorów dokumentacji, ale zwykle są to długie i trudne do dostosowania w konkretnej sytuacji dokumenty. Łatwo też przegapić niektóre elementy, np. umowy powierzenia. Naszym klientom zwykle zalecamy przynajmniej podstawowe poukładanie kwestii ochrony danych, już na etapie tworzenia sklepu i przy okazji pisania regulaminu – wiele elementów można wtedy łatwiej i szybciej (a co za tym idzie – taniej) opracować.
Twojej firmie też możemy pomóc – napisz do nas lub zadzwoń: giodo@lawmore.pl, tel. 668 11 33 61