Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

XIX Forum ADO/ABI

Dodano: grudzień 15, 2015 Kategoria: Administrator danych, Inspektor Ochrony Danych Autor: Katarzyna Witkowska-Nowakowska

Eksperci od ochrony danych osobowych z sektora publicznego i prywatnego byli gośćmi listopadowego XIX Forum ADO/ABI, które odbyło się w Centrum Promocji Informatyki. Patronami medialnymi wydarzenia były m.in. Portal ODO i Portal Prawa IT.

Tematem przewodnim były pierwsze doświadczenia w stosowaniu znowelizowanej ustawy o ochronie danych osobowych, transfer danych osobowych po wyroku w sprawie M. Schremsa oraz reforma prawa ochrony danych osobowych w Unii Europejskiej.

Reforma ochrony danych w UE

O aktualnym stanie prac w instytucjach UE nad ogólnym rozporządzeniem o ochronie danych osobowych oraz niezbędnych działaniach przygotowawczych w zakresie wdrażania nowych przepisów w Polsce mówił Michał Czerniawski z Departamentu Społeczeństwa Informacyjnego Ministerstwa Administracji i Cyfryzacji. Dużo uwagi poświęcił on tym propozycjom zmian, które wzbudzały największe kontrowersje. To kwestia obowiązkowego i fakultatywnego powoływania inspektora ochrony danych osobowych, zakres obowiązku informacyjnego wobec podmiotu danych, sprawa słusznych interesów administratora, profilowanie, zmiany w zasadach transferów danych do państw trzecich.

Michał Czerniawski wskazywał również na te obszary regulacji w rozporządzeniu, które państwa członkowskie będą mogły wyłączyć lub uregulować odrębnie, stawiając jednocześnie pytanie o to, czy akt nad którym prace trwają to jeszcze rozporządzenie czy już akt dyrektywo-podobny oraz o to, jaki będzie rzeczywisty stopień harmonizacji wprowadzony przez Rozporządzenie.

Jako następny głos zabrał adwokat dr Grzegorz Sibiga (Instytut Nauk Prawnych PAN w Warszawie, Traple, Konarski, Podrecki i Wspólnicy), który opisał uczestnikom zmiany przewidziane przez projekty rozporządzenia w odniesieniu do inspektora ochrony danych osobowych. Prelegent omówił zarówno przepisy dyrektywy 95/46/WE i regulację dotyczącą urzędnika ds. ochrony danych tam zawartą, jak i nowe zasady pełnienia funkcji administratora bezpieczeństwa informacji, obowiązujące od 1 stycznia 2015 roku. Dr Sibiga mówił również o wszystkich aspektach pełnienia funkcji inspektora ochrony danych, przewidzianych w rozporządzeniu. I tak, wskazywał, że regulacją objęte będą kwalifikacje osoby, która będzie miała pełnić funkcję DPO, warunki i gwarancje prawidłowego sprawowania tej funkcji, a także zadania DPO. Omawiał również kwestie, które nie są jeszcze ostatecznie uzgodnione jak m.in. sam obowiązek lub fakultatywność powoływania DPO oraz te, które są wspólne dla propozycji Komisji, Rady i Parlamentu jak np. niezależność DPO czy obowiązek informowania organu nadzorczego oraz opinii publicznej o danych kontaktowych inspektora.

Z ABI czy bez ABI?

Drugi panel Forum poświęcony był dyskusji o tym, czy powoływać czy nie powoływać ABI oraz konsekwencjom tych decyzji. Jako pierwszy swoją prezentację przedstawił radca prawny dr Arwid Mednis (kancelaria Wierzbowski Eversheds). Argumentował, że w jego ocenie administratora bezpieczeństwa informacji powinien powołać ten administrator danych, który przetwarza dane objęte tajemnicą zawodową lub sektorową, dane wrażliwe lub dane, których ujawnienie mogłoby narazić podmioty danych na straty finansowe, przy przetwarzaniu dużych zbiorów danych, a także gdy dane stanowią główny przedmiot działalności danego administratora. Podkreślał też konieczność zmiany nastawienia ADO do ABI m.in. poprzez zwiększanie świadomości istnienia oraz treści przepisów o ochronie danych, uświadamianie celu ochrony danych i prawa do prywatności. Jako ważny element, który może pomóc w zrozumieniu potrzeby powoływania ABI dr Mednis wskazał również planowane wprowadzenie kar finansowych.

O swoich spostrzeżeniach dotyczących pierwszych doświadczeń w przeprowadzaniu sprawdzeń przestrzegania przepisów o ochronie danych osobowych mówił Maciej Byczkowski (European Network Security Institute). Przedstawił on wymogi prowadzenia sprawdzeń z uwzględnieniem sprawdzeń wykonywanych także u procesorów oraz podstawowe zasady, którymi musi kierować się ABI prowadząc sprawdzenie. Byczkowski omówił zasady przygotowywania planów sprawdzeń, ich przykładowy zakres oraz realizację obowiązku opracowania sprawozdania. Nie zabrakło informacji o tym, jak przeprowadzane są sprawdzenia u ADO, który nie powołał ABI. Prelegent podzielił się też swoimi doświadczeniami z sprawdzeń, które przeprowadził.

O sposobie i zasadach prowadzenia przez ABI rejestru zbiorów danych w praktyce mówił z kolei Maciej Kołodziej (ABI w IAB Polska oraz wiceprezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji). Maciej Kołodziej omówił relację między wykazem zbiorów i rejestrem zbiorów. Pokazał przykładowe wykazy zbiorów. Opisał zasady realizacji obowiązków rejestracyjnych, zarówno w formie rejestrów prowadzonych przez ABI, jak zgłaszania zbiorów do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Szczególną uwagę poświęcił oczywiście rejestrowi zbiorów prowadzonemu przez ABI. Wskazał zakres informacji podlegających ujawnieniu w rejestrze i zasady dostępu do rejestru. Na zakończenie pokazał i omówił przykłady opracowania i publikacji rejestrów zbiorów przez ABI ze wskazaniem dobrych i złych przykładów oraz zalecanych praktyk.

Na zakończenie – o państwach trzecich

Ostatni panel poświęcony był transferom danych do państw trzecich po wyroku Trybunału Sprawiedliwości UE w sprawie M. Schremsa. O praktycznych konsekwencjach wyroku mówił adwokat Xawery Konarski (Traple, Konarski, Podrecki i Wspólnicy). Prezentacja rozpoczęła się od powołania pewnych kluczowych informacji nt. zasad funkcjonowania mechanizmu Safe Harbour. Adw. Xawery Konarski dokładnie omówił również stan faktyczny sprawy Schrems vs Data Protection Commissioner i samo rozstrzygnięcie Trybunału. Dużo uwagi poświęcił praktycznemu wymiarowi wyroku wskazując m.in. na nieprawidłowość praktyki „automatycznego” odrzucania skarg podmiotów danych na brak odpowiedniej ochrony w państwach, w przypadku których wydane zostały decyzje Komisji stwierdzające adekwatność ochrony. Podkreślił również ryzyko fragmentaryzacji ochrony danych osobowych w UE i stan niepewności prawnej w przypadku posługiwania się innymi podstawami transferów danych do państw trzecich. Prelegent podzielił się również swoimi spostrzeżeniami, co do tego, czego można spodziewać się po wyroku zarówno na poziomie biznesowym, jak i regulacyjnym.

Ostatnie wystąpienie adwokata dr Jana Byrskiego (Uniwersytet Ekonomiczny w Krakowie, Traple, Konarski, Podrecki i Wspólnicy) dotyczyło warunków przekazywania danych osobowych do państw trzecich. Prezentacja dr Byrskiego rozpoczęła się od omówienia podstaw prawnych transferów danych do państw trzecich, wynikających z polskiej ustawy o ochronie danych osobowych. Mowa była zarówno o zgodzie podmiotu danych, jaki zgodzie organu nadzorczego na transfer danych. Nie zabrakło zasad korzystania ze standardowych klauzul umownych czy wiążących reguł korporacyjnych. Prelegent zwrócił też uwagę na praktyczne aspekty stosowania krajowych wiążących reguł korporacyjnych i zagranicznych wiążących reguł korporacyjnych. To wystąpienie zakończyło obrady Forum.

Nie zabrakło dyskusji samych prelegentów, ale i pytań od publiczności. Ciekawe rozmowy odbywały się również w kuluarach. Spotkanie było dobrą okazją do wymiany wątpliwości, poglądów i spostrzeżeń, dotyczących dynamicznie zmieniających się ram ochrony danych osobowych.

Post Views: 2 201

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.