GoldenLine
Zaloguj się

konto usunięte

Temat: powołanie ABI w spółce jawnej

Witam. Firma jest w trakcie przygotowywania dokumentów, składania wniosku do GIODO i mamy pewien problem. Zgłaszamy Zbiór Stałych Klientów, w naszych sklepach stacjonarnych.
Firma jest spółką jawną czyli pozostaje Administratorem Danych Osobowych, natomiast mamy problem z powołaniem ABI. Stąd moje pytanie:
Czy ABI może zostać jedna osoba będąca właścicielem firmy? (właścicielami jest małżeństwo)
Przy podpisywaniu odpowiednich dokumentów, oświadczeń ta osoba będzie podpisywać się zarówno po stronie ABI jak i po stronie ADO?
Czy ASI może pozostać również ta osoba?

i kolejne moje pytanie. Otóż właściciele mają jeszcze jedną firmę o innej nazwie. (jest taka sama jak pozostałe-ta sama branża) chcemy tam dokładnie tak samo przetwarzać dane jak w/w. Czy musimy składać kolejny wniosek do GIODO?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: powołanie ABI w spółce jawnej

Pierwsze i najważniejsze.... nie ma konieczności powoływania ABI. Wtedy funkcje ABI pełni ADO (zarząd/właściciel).
Biorąc pod uwagę opisaną sytuację i tak tak będzie.
ABI może zostać każda osoba... czy to właściciel firmy, czy pracownik czy też ktoś z zewnątrz,

PS: zbioru klientów nie trzeba zgłaszać... o ile dobrze pamiętam.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: powołanie ABI w spółce jawnej

Wojciech C.:
Pierwsze i najważniejsze.... nie ma konieczności powoływania ABI. Wtedy funkcje ABI pełni ADO (zarząd/właściciel).
Biorąc pod uwagę opisaną sytuację i tak tak będzie.
ABI może zostać każda osoba... czy to właściciel firmy, czy pracownik czy też ktoś z zewnątrz,

PS: zbioru klientów nie trzeba zgłaszać... o ile dobrze pamiętam.
pierwsze i najważniejsze - w tego typu firmie jest konieczność powołania ABI. Niby jak spółka jawna będzie realizowała obowiązki ABI ( osoby fizycznej)?
o tym czy zbiór klientów zgłaszamy decyduje indywidualny przypadek każdego zbiory (cel, wykorzystanie, zakres danych, podstawa prawna) - więc Panie Wojciechu nie tak czarno - biało z opiniami.
ADO może wyznaczyć na ABI praktycznie dowolną osobę - dającą rękojmie znajomości tematyki.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: powołanie ABI w spółce jawnej

Panie Przemysławie...
Nigdzie nie jest napisane, że spółka musi mieć powołanego ABI. Z braku takiego, jego funkcje pełni zarząd lub właściciel (zgodnie z zapisem w KRS o reprezentacji)... tak właśnie są realizowane obowiązki ABI.

Zbiór "klienci" w 99,9% przypadków jest zbiorem danych wykorzystywanych do "wystawiania faktur" (art.43 pkt 8: "Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (pkt 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej".
Osobiście nawet nie wiem, jaki mógłby być ten 0,01% - dałem sobie "margines błędu" :) na odrobinę szarości
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: powołanie ABI w spółce jawnej

Martyna B.:
i kolejne moje pytanie. Otóż właściciele mają jeszcze jedną firmę o innej nazwie. (jest taka sama jak pozostałe-ta sama branża) chcemy tam dokładnie tak samo przetwarzać dane jak w/w. Czy musimy składać kolejny wniosek do GIODO?

Każda firma prowadzi sprawy związane z ODO oddzielnie. Więc oddzielnie są prowadzone zgłoszenia, oddzielne są zbiory danych itp.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: powołanie ABI w spółce jawnej

Wojciech C.:
Panie Przemysławie...
Nigdzie nie jest napisane, że spółka musi mieć powołanego ABI. Z braku takiego, jego funkcje pełni zarząd lub właściciel (zgodnie z zapisem w KRS o reprezentacji)... tak właśnie są realizowane obowiązki ABI.

Zbiór "klienci" w 99,9% przypadków jest zbiorem danych wykorzystywanych do "wystawiania faktur" (art.43 pkt 8: "Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (pkt 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej".
Osobiście nawet nie wiem, jaki mógłby być ten 0,01% - dałem sobie "margines błędu" :) na odrobinę szarości

Art 36.3 Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego
przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że
sam wykonuje te czynności. - a wiec po pierwsze jest napisane że spółka musi mieć powołanego ABI. I nie działa to tak że jak się nie powoła ABI to to rolę przejmuje osoba reprezentująca ADO z automatu. ADO jest spółką a nie zarząd ( niestety bardzo często Administrator Danych osobowych jest utożsamiany z dyrektorem, kierownikiem zarządem) (Gdzieś na ten temat jest opinia GIODO zresztą tutaj też chyba toczyła się dyskusja) Oczywiście zarząd może wyznaczyć członka zarządu do pełnienia funkcji ABI.
Co do zbioru klienci - hmm - często i gęsto ta baza też jest wykorzystywana do działań marketingowych, promocyjnych produktów własnych, utrzymywania dobrych relacji z klientami, składania nowych ofert - więc te 0,01% jest co najmniej trochę za mało jako margines błędu. Więc trudno jednoznacznie powiedzieć zdalnie czy coś jest do rejestracji lub nie.
Link do wypowiedziLink

konto usunięte

Temat: powołanie ABI w spółce jawnej

Wojciech C.:
Zbiór "klienci" w 99,9% przypadków jest zbiorem danych wykorzystywanych do "wystawiania faktur" (art.43 pkt 8: "Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (pkt 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej".
Osobiście nawet nie wiem, jaki mógłby być ten 0,01% - dałem sobie "margines błędu" :) na odrobinę szarości

Nie ma najmniejszych szans by 99,9% firm nie działało m.in. na podstawie zamówień klienta i wystawiało jedynie faktury sprzedaży z pominięciem dokumentów WZ itp., chociażby z tego powodu że większość obecnych systemów sprzedażowych wystawia powiązane dokumenty automatycznie, a wtedy "magia" art 43 staje się niebytem...
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: powołanie ABI w spółce jawnej

Przypomnę tylko:
http://orzeczenia.nsa.gov.pl/doc/99F0B06A41
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: powołanie ABI w spółce jawnej

Czyli krótko mówiąc... wszystko "rozbija się" o wykładnię.
Artykuł 36 pkt 3 nie jest jednoznaczny i nie określa kategorycznie jak ma lub nie ma być delegowana odpowiedzialność...czy też uprawnienia.
Do mnie osobiście przemawiają argumenty, które przedstawił przedsiębiorca: skoro ADO ma jasno określonych przedstawicieli (KRS - przedstawicielstwo), nie powinno być mowy o jakichkolwiek nieprawidłowościach w ODO, jeśli owi przedstawiciele sami chcą brać obowiązki na siebie... a tu GIODO jakby narzuca siłą obowiązek ustanowienia ABI.
Panie Przemysławie - jak wyżej... przedsiębiorca ładnie to uzasadnił:
"W ocenie G., należy raczej przyjąć, że to administrator bezpieczeństwa informacji przejmuje obowiązki administratora danych dotyczące sprawowania nadzoru, a nie odwrotnie."
...
Coś jakby trochę mniej "wolności" w tej "wolności gospodarczej".
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: powołanie ABI w spółce jawnej

Przemysław C.:
Co do zbioru klienci - hmm - często i gęsto ta baza też jest wykorzystywana do działań marketingowych, promocyjnych produktów własnych, utrzymywania dobrych relacji z klientami, składania nowych ofert - więc te 0,01% jest co najmniej trochę za mało jako margines błędu. Więc trudno jednoznacznie powiedzieć zdalnie czy coś jest do rejestracji lub nie.
A co z regułą, że "zbiór" jest zlepkiem danych, które służą konkretnemu celowi?
Wg mnie powinno to wyglądać tak:
1 zbiór - klienci
2 zbiór - marketing
3 zbiór - itp...

Jakoś mi się wydaje...wręcz mam takie przemyślenia, że nie można do jednego wora wrzucać wszystkich "funkcjonalności" w przedsiębiorstwie.
Jeśli więc ktoś bazę klienci wykorzystuje do innych celów to raczej działa niezgodnie z ustawą i powinien stworzyć i ewentualnie zarejestrować (jak trzeba) kolejne zbiory.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: powołanie ABI w spółce jawnej

Ale nie GIODO, tylko już sąd. A to spora różnica. Jednak nie tylko w ODO jest (był) taki problem. Podobnie sprawa ma się w przypadku kodeksu pracy. Tyle, że tam wprowadzono już 3(1) KP i jest osoba wskazana, ale po wielu wyrokach widać że sądy dość podobnie temat traktują. Ma być osoba konkretnie z imienia i nazwiska.

Co do samego uzasadnienia nie podoba mi się, bo funkcja ABI mówi o NADZORZE nad stosowanymi środkami, a nie jak w przypadku ADO - odpowiedzialności. Więc w sumie nie do końca trafione. I tu KP wyprzedza, ale chyba niekoniecznie słusznie. Akurat siedzę nad jedną sprawą, właśnie z KP. I przypisanie odpowiedzialności OSOBIE fizycznej za sprawy prawa pracy to nie jest najlepszy i chyba nawet niekoniecznie właściwy kierunek.

Podobnie z ABI-m. Ma być od NADZORU, nie w zastępstwie .
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: powołanie ABI w spółce jawnej

Wojciech C.:
Przemysław C.:
Co do zbioru klienci - hmm - często i gęsto ta baza też jest wykorzystywana do działań marketingowych, promocyjnych produktów własnych, utrzymywania dobrych relacji z klientami, składania nowych ofert - więc te 0,01% jest co najmniej trochę za mało jako margines błędu. Więc trudno jednoznacznie powiedzieć zdalnie czy coś jest do rejestracji lub nie.
A co z regułą, że "zbiór" jest zlepkiem danych, które służą konkretnemu celowi?
Wg mnie powinno to wyglądać tak:
1 zbiór - klienci
2 zbiór - marketing
3 zbiór - itp...

Jakoś mi się wydaje...wręcz mam takie przemyślenia, że nie można do jednego wora wrzucać wszystkich "funkcjonalności" w przedsiębiorstwie.
Jeśli więc ktoś bazę klienci wykorzystuje do innych celów to raczej działa niezgodnie z ustawą i powinien stworzyć i ewentualnie zarejestrować (jak trzeba) kolejne zbiory.
Panie Wojtku zgadzam się z Panem w większości oprócz jednego że można wydawać jednoznaczne opinie bez zapoznaniem się z tematem (najlepiej na miejscu). Bardzo często mam do czynienia z firmami które "potrafią" przygotować cała dokumentację ODO nie będąc u klienta, wykonując cała usługę powiedzmy zdalnie - jednak nie zawsze uda się określić jednoznacznie czy zbiór jest do rejestracji czy nie bez zgłębienia tematu (oczywiście rejestracja jest przykładem - wiele tematów związanych z ODO nie da się zaudytowac tylko na podstawie rozmowy telefonicznej )
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: powołanie ABI w spółce jawnej

Ogólnie rzecz biorąc, żeby nie kłócić się o nic...
Rejestracja nie boli i jest naprawdę prosta, więc najlepiej rejestrować wszystkie "kontrowersyjne" zbiory.
:)
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: powołanie ABI w spółce jawnej

Myślę, że pytający niewiele zrozumiał z naszego "zawodowego" bełkotu. Po pierwsze - w spółce jawnej lepiej powołać ABI, tak na wszelki wypadek. Rolę tę może pełnić ktokolwiek, bo prawo nie stawia żadnych wymagań. Nie ma to większego znaczenia z punktu widzenia wspólników spółki bo i tak oni ponoszą wszelką odpowiedzialność, nawet jeśli ABI nie zapewni prawidłowego nadzoru.

Co do rejestracji zbioru - zgadzam się z przedmówcami - lepiej wysłać zgłoszenie, co najwyżej GIODO odmówi rejestracji, jeśli zbiór jest ustawowo zwolniony z rejestracji. Pytający wspomniał o zbiorze klientów, ale aby odpowiedzieć na pytanie, czy taki zbiór rejestrować trzeba wiedzieć, jakie są cele przetwarzania tych danych np.
- tylko wystawienie faktury, rachunku
- kontakt w celu realizacji zamówienia, wysyłka zamówienia
- marketing / promocja
etc. Zwolnienie dotyczy tylko pierwszego przypadku, przy czym należy pamiętać, że zwolnienie z rejestracji nie zwalnia ze stosowania innych wymogów opisanych w ustawie (np. upoważnienia, dokumentacja, ochrona danych, etc).
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: powołanie ABI w spółce jawnej

Leszek K.:
Myślę, że pytający niewiele zrozumiał z naszego "zawodowego" bełkotu. Po pierwsze - w spółce jawnej lepiej powołać ABI, tak na wszelki wypadek.
Panie Leszku - co znaczy "lepiej powołać ABI. tak na wszelki wypadek" - jaka jest inna możliwość jak nie powołanie AbI w tym przypadku?
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: powołanie ABI w spółce jawnej

Dlatego, że nie w pełni zgadzam się z treścią orzeczenia (http://orzeczenia.nsa.gov.pl/doc/99F0B06A41), natomiast zgadzam się z argumentacją skarżącej:

Na każdym administratorze danych ciążą obowiązki kontroli i nadzoru, w tym na administratorze danych, będącym osobą prawną. Rozwiązanie to zgodne jest z przyjmowanym na gruncie polskich przepisów prawa modelem sprawowania nadzoru, zgodnie z którym dopuszczalne jest wykonywanie czynności nadzoru przez jednostki organizacyjne, nie zaś wyłącznie przez osoby fizyczne. Zdaniem Spółki, potwierdza to również orzecznictwo sądowe, np. wyrok Sądu Najwyższego z dnia 10 września 1971 r. o sygn. akt I CR 260/71, a także literatura przedmiotu (m.in. P. Fajgielski, Kontrola przetwarzania i ochrony danych osobowych. Studium teoretyczno – prawne. Lublin 2008, str. 183). Uznaje się, że art. 36 ust. 3 ustawy o ochronie danych osobowych jest w istocie przejawem możliwości delegowania przez administratora danych części obowiązków z zakresu kontroli przetwarzania danych na inną osobę w drodze wyznaczenia administratora bezpieczeństwa informacji.

Oczywiście dla wielu z nas jest to dobre orzeczenie, bo mamy co robić.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: powołanie ABI w spółce jawnej

Panie Leszku tylko czy taka interpretacja na dzień dzisiejszy po stanowisku GIODO i orzeczeniu sądu nie powoduje tego że może ADO narazić na przechodzenie tej samej drogi co skarżący decyzję GIODO ? ( tym bardziej że sąd nie podzielił takiej interpretacji = zdaje sobie sprawę że wyrok sądu nie jest wykładnia prawa - jednak jest wyraźnym drogowskazem )
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: powołanie ABI w spółce jawnej

Dopóki jasno i konkretnie nie będzie określone co mówi art. 36 pkt 3 możemy sobie "gdybać" i "chybać".
Czy jest obowiązek powołania ABI?
Artykuł nie określa tego jasno. A sąd? Jeden orzecze tak, drugi może inaczej...
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: powołanie ABI w spółce jawnej

Przemysław C.:
Panie Leszku tylko czy taka interpretacja na dzień dzisiejszy po stanowisku GIODO i orzeczeniu sądu nie powoduje tego że może ADO narazić na przechodzenie tej samej drogi co skarżący decyzję GIODO ? ( tym bardziej że sąd nie podzielił takiej interpretacji = zdaje sobie sprawę że wyrok sądu nie jest wykładnia prawa - jednak jest wyraźnym drogowskazem )

Można przecież zawsze powołać ABI-ego jeśli tylko będzie taka dla danej firmy decyzja administracyjna GIODO.
Link do wypowiedziLink

konto usunięte

Temat: powołanie ABI w spółce jawnej

Celem przetwarzania zbioru jest pozyskanie stałych klientów.
Sklepy stacjonarne mają zbierać dane osobowe poprzez wypełnienie ankiety przez klienta, następnie trafiają do biura, gdzie zapisywane będą w komputerze (bez dostępu do Internetu) następnie firma chce wystawiać-drukować imienne karty i oddawać je do sklepów w celu odbioru przez klienta.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Prawidłowe powołanie Abi




Wyślij zaproszenie do
Anuluj