Ochrona danych osobowych na gruncie ustawy - Prawo komunikacji elektronicznej (PKE)
Od 10 listopada 2024 r. zaczną obowiązywać przepisy ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (PKE). Na nowo ureguluje ona rynek telekomunikacyjny (odtąd nazywany rynkiem usług komunikacji elektronicznej). Jak zadbać o ochronę danych osobowych przy świadczeniu tego rodzaju usług (w szczególności w zakresie pozyskiwania zgód na marketing i zgłaszania naruszeń danych osobowych)? Dowiesz się tego z LEX Ochrona Danych Osobowych.
Chociaż PKE w zdecydowanej mierze skupia się na organizacyjnych i technicznych aspektach funkcjonowania podmiotów świadczących usługi komunikacji elektronicznej (jak m.in. gospodarowanie częstotliwościami, zasobami numeracji czy też zadbanie o większą przejrzystość ofert dla konsumentów), to znalazły się tam także przepisy dotyczące ochrony danych osobowych, na które uwagę muszą zwrócić administratorzy danych.
Zgoda na marketing bezpośredni na gruncie PKE
Do 9 listopada 2024 r. kwestie związane z pozyskiwaniem zgody na przesyłanie niezamówionej informacji handlowej (w tym na marketing bezpośredni) regulowały przepisy art. 172 ustawy - Prawo telekomunikacyjne i art. 10 ustawy o świadczeniu usług drogą elektroniczną. Od 10 listopada to artykuł 398 PKE reguluje tę materię. Zgody zebrane na podstawie dotychczas obowiązujących przepisów zachowują swoją ważność (o ile zostały zebrane w prawidłowy sposób). Jednak administratorzy danych muszą do 10 listopada 2024 r. przejrzeć wszelkie stosowane u siebie szablony zgód, klauzul informacyjnych czy polityk prywatności, gdzie powoływali się na poprzednio obowiązujące przepisy i dostosować te treści do odpowiednich zapisów ustawy PKE.
Wejście w życie art. 398 PKE kończy wieloletni okres dualizmu dotyczącego zasad prowadzenia działań marketingowych z wykorzystaniem telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących.
W LEX Ochrona Danych Osobowych znajdziesz dokumenty, które pozwolą Ci na dostosowanie się do nowych regulacji, w tym m.in. :
- wzór zgody na marketing bezpośredni i przesyłanie informacji handlowych uwzględniający nowe regulacje PKE;
- eksperckie komentarze dotyczące zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji przechowywanej w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego lub abonenta w świetle ustawy - Prawo komunikacji elektronicznej oraz dotyczące zgody na przesyłanie niezamówionej informacji handlowej w świetle ustawy - Prawo komunikacji elektronicznej.
Zgłaszanie naruszeń ochrony danych na gruncie PKE
Zgodnie z art. 401 PKE, dostawca usług komunikacji elektronicznej ma obowiązek wdrożyć odpowiednie techniczne i organizacyjne środki ochrony danych, aby zapewnić możliwie największe ich bezpieczeństwo. Te środki mają obejmować w szczególności nadawanie odpowiednich upoważnień do przetwarzania danych u administratora, ochronę danych przed zniszczeniem, utratą czy też bezprawnym dostępem, a także wdrożenie odpowiednich polityk bezpieczeństwa. Te środki mają minimalizować ryzyko związane z potencjalnym wystąpieniem naruszenia danych osobowych.
W PKE wskazano, że takim naruszeniem będzie przypadkowe lub bezprawne zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem usług telekomunikacyjnych.
W przypadku wystąpienia naruszenia, ADO musi zawiadomić Prezesa UODO o naruszeniu a także ocenić, czy może ono skutkować niekorzystnym wpływem na prawa osób, których dane dotyczą (czyli użytkownika końcowego lub abonenta) - jeśli tak, ADO musi niezwłocznie poinformować te osoby o takim naruszeniu. Niekorzystny wpływ na prawa tych osób, to sytuacje, kiedy np. nieuprawniona osoba uzyska dostęp do danych użytkownika czy abonenta, a także kiedy takie naruszenie może narazić użytkownika na szkody majątkowe, naruszyć jego dobra osobiste, ujawnić tajemnicę bankową czy chronioną tajemnicę zawodową.
W LEX Ochrona Danych Osobowych znajdziesz wzory dokumentów i procedur, które usprawnią wdrożenie i stosowanie przepisów PKE, w tym m.in.:
- rejestr naruszeń danych osobowych u dostawcy usług komunikacji elektronicznej
- procedurę ochrony przechowywanych lub przekazywanych danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem
- upoważnienie do przetwarzania danych osobowych w związku z wykonywaniem obowiązków związanych z działalnością usług komunikacji elektronicznej.
Warto także pamiętać, że aby odpowiednio chronić dane osobowe, administrator powinien przeprowadzić analizę ryzyka związanego z przetwarzaniem tych danych na gruncie przepisów PKE. Taką analizę ryzyka możesz przeprowadzić w dostępnym w LEX Ochrona Danych Osobowych narzędziu GDPR Risk Tracker. To proste i przejrzyste narzędzie do analizy ryzyka, które poprowadzi Ciebie krok po kroku, a na koniec wygeneruje obszerny raport, który będziesz mógł przedłożyć podczas ewentualnej kontroli ze strony UODO.
| Chcesz uzyskać więcej informacji? Wypróbuj bezpłatny dostęp testowy LEX Ochrona Danych Osobowych i przekonaj się, jak szybko i wygodnie możesz znaleźć to, czego potrzebujesz. |
Alicja Plichta
Product Manager
LEX Ochrona Danych Osobowych