Monitoring w zakładzie pracy i monitoring korespondencji pod RODO

Wraz z wejściem w życie tzw. RODO w dniu 25 maja 2018 roku do Kodeksu pracy wprowadzono długo wyczekiwaną regulację monitoringu. Obecnie kwestią tą zajmuje się art. 22 (2) oraz art. 22 (3) Kodeksu pracy. Obecnie w zakładzie pracy może legalnie funkcjonować monitoring przy spełnieniu poniższych założeń – pracodawca może zainstalować monitoring jeśli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Przez monitoring Kodeks pracy rozumie szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu. Kodeks nie mówi zaś nić o nagrywaniu dźwięku, jednak na pierwszy rzut oka ten rodzaj monitoringu wydawać się może też dozwolony, gdy jego wprowadzenie jest konieczne dla realizacji wyżej wskazanych celów. Jednak ze względu na wcześniejsze orzecznictwo Europejskiego Trybunału Praw Człowieka zalecałabym powściągliwość i wstrzymanie się do pierwszych orzeczeń sądowych w tym zakresie.

Spod monitoringu wyłączone są wprost następujące pomieszczenia: pomieszczenia sanitarne, szatnie, stołówki oraz palarnie lub pomieszczenia udostępniane zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego powyżej i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Zauważmy, że regulacja ta dotyczy pracowników, nie dotyczy monitorowania gości hotelowych, choć i goście mogą znaleźć się w zasięgu monitoringu. Generalnie pracodawca może przechowywać te nagrania przez okres maksymalnie 3 miesięcy, chyba, że mogą one stanowić dowód w postępowaniu prowadzonym na podstawie prawa wówczas do czasu prawomocnego zakończenia takiego postępowania (oczywiście chodzi o faktyczną możliwość użycia ich w postępowaniu np. mamy nagraną kradzież, a nie hipotetyczną sposobność do wykorzystania ich co do zasady w takim postępowaniu). Monitoring powinien zostać uregulowany w regulaminie pracy, lub w obwieszczeniu dla pracowników (zakładam, że układy zbiorowe w hotelarstwie nie występują tak często). Pracownicy powinni być poinformowani na co najmniej 2 tygodnie o wprowadzeniu monitoringu przed jego uruchomieniem, a w przypadku nowych pracowników taka informacja na piśmie powinna być im udostępniona przed dopuszczeniem pracownika do pracy. Miejsca monitorowane powinny być oznakowane.

Monitoring może także dotyczyć poczty elektronicznej, oczywiście tylko służbowej. Podstawa jego stosowania jest na tyle szeroka, że na pewno również do uzasadnienia w przypadku hotelarstwa. Monitoring taki ma bowiem zapewnić pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy. Jako pobożne życzenia potraktowałabym w takim wypadku zastrzeżenie przez ustawodawcę, że monitoring taki nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Sposób wprowadzenia monitoringu poczty jest analogiczny jak w przypadku wyżej wskazanym.

Pozostałe publikacje dotyczące RODO znajdziecie Państwo klikając tu.

Aleksandra Dalecka
adwokat
Kancelaria Zdanowicz i Wspólnicy
Kontakt: blog@zdanowiczlegal.pl

Kiedy upoważnienie a kiedy umowa powierzenia przetwarzania danych?

Umowa o powierzeniu przetwarzania danych osobowych oraz upoważnienie do przetwarzania danych osobowych to znane instrumenty prawne zagwarantowane przez RODO, które są swego rodzaju kontynuacją dotychczas obowiązujących przepisów z zakresu danych osobowych. 

Ważną kwestią pozostaje jaki będzie katalog podmiotów, wobec których można zastosować czy to umowę czy też upoważnienie, przy zachowaniu wszelkich wymogów i warunków jakimi objęte są te instrumenty prawne. 

Można uznać, że podstawowym kryterium, oprócz brzmienia przepisów stanowiących o upoważnieniu i umowie na przetwarzanie danych osobowych, jest realny wpływ i podległość wobec administratora danych osobowych czy też podmiotu przetwarzającego, często też jego wewnętrzna polityka działania. Nie bez znaczenia pozostaje też kwestia charakteru podmiotu z jakim współpraca ma zostać podjęta. W praktyce rodzi to duże problemy ocenne, gdyż w naszych uwarunkowaniach prawnopracowniczych, znaczna część osób, która prowadzi działalność gospodarczą, powinna de facto być zatrudniona na umowę o pracę, gdyż spełnia przesłanki zatrudnienia na podstawie stosunku pracy, zwłaszcza podległość pracodawcy.

Uznaje się, iż upoważnienie do przetwarzania danych osobowych, które oparte jest na poleceniu administratora danych osobowych lub podmiotu przetwarzającego, jest wystarczającym środkiem na podstawie którego osoby fizyczne mogą przetwarzać dane osobowe zgodnie z poleceniem. Oczywiście zastrzec należy, iż są to osoby, które w jakiś sposób związane są z administratorem lub procesorem. Przykładem takiego działania jest upoważnienie udzielane przez administratora lub procesora na rzecz swoich pracowników, stażystów, praktykantów, osób współpracujących na podstawie stosunku cywilnoprawnego. Zatem ma tu miejsce podległość takiej osoby wobec administratora czy to procesora, w zależności od sytuacji.

Natomiast w przypadku podejmowania współpracy z podmiotami prowadzącymi działalność gospodarczą w formie zarówno jednoosobowej działalności gospodarczej jak i spółki, winno dojść do powierzenia przetwarzania danych osobowych w drodze zawarcia umowy na przetwarzanie danych osobowych. Takie stanowisko można opierać przede wszystkim na fakcie, iż współpraca z powyższymi podmiotami nie zawiera w sobie podległości wobec administratora danych osobowych czy też podmiotu, któremu zostało powierzone przetwarzanie danych osobowych. Przykładami takiej współpracy, w związku z którą powinna zostać zawarta umowa o powierzenie danych osobowych jest współpraca z biurem księgowym, firmą techniczno-informatyczną, warto też rozważyć także biuro tłumaczeń.

Inaczej będzie w przypadku, gdy w ramach struktury organizacyjnej administratora lub procesora wyodrębnione są działy np. informatyczny, księgowy, które podlegają bezpośrednio administratorowi danych osobowych bądź podmiotowi przetwarzającemu. Wtedy za wystarczające można stwierdzić udzielenie upoważnienia takim osobom, funkcjonującym w ramach struktury wewnętrznej podmiotu uprawnionego.

Warto podkreślić, że kwestią istotną, choć nie do końca określoną w przepisach jest forma udzielenia zarówno upoważnienia jak i zawarcia umowy na przetwarzanie danych osobowych. Zalecana jest oczywiście forma pisemna, co wynika w przypadku umowy na powierzenie przetwarzania danych osobowych wprost z art. 29 RODO, a co winno być analogicznie zastosowane w stosunku do upoważnienia. Będzie to zabezpieczenie dla podmiotu udzielającego upoważnienia lub zawierającego umowę oraz potwierdzenie działania danych podmiotów w zakresie przetwarzania powierzonych danych osobowych. Takie działanie ma na celu także zagwarantowanie podmiotowi przetwarzającemu wypełniania obowiązków, jakie od 25 maja 2018 roku spoczywają na nim, a przede wszystkim kwestii rozliczalności. Dodatkowo jest to na pewno ta forma zabezpieczenia dla podmiotu jest pewnym ułatwieniem wykazania procedury przetwarzania danych osobowych w ramach działalności danego administratora czy też procesora.

Pozostałe posty o RODO i danych osobowych: kliknij tu.

Anna Dudkiewicz
prawnik

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

Tajemnica lekarska a RODO

Tajemnica lekarska jest jedną z tajemnic zawodowych jaka funkcjonuje w obrocie, której można przyznać duże znaczenie nie tylko pod względem prawnym, ale także społecznym. Tajemnica lekarska jest obecnie uregulowana w art. 40 ustawy o zawodach lekarza i lekarza dentysty „Lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu”.

Oczywistym jest, że w ramach wykonywania zawodu lekarza czy lekarza dentysty dochodzi do przetwarzania danych osobowych pacjentów. W związku z tym również tę grupę zawodową obejmować będzie regulacja tzw. RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r., przez co powstaje pytanie jak stosować wchodzące już 25 maja 2018 roku unijne regulacje i wypełniać wszystkie wynikające z niej obowiązki, a jednocześnie nie naruszyć obowiązku zachowania tajemnicy lekarskiej.

Przykładem daleko idącego obowiązku wynikającego z RODO jest konieczność rozliczalności i przedstawienia przez administratora danych osobowych wszelkich zebranych i przetwarzanych danych osobowych na żądanie właściwego organu.

Uznać należy, iż zgodnie z art. 90 RODO, w zakresie danych osobowych objętych ochroną tajemnicy zawodowej, jaką jest tajemnica lekarska, podmioty nią objęte mają obowiązek odmówić ich ujawnienia, chyba, że państwo członkowskie przyjmie przepisy, w drodze których określi szczególne uprawnienia organów nadzorczych wobec administratorów lub podmiotów przetwarzających, którzy podlegają - na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe - obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy. Unijny ustawodawca pozostawia tu zastrzeżenia w postaci niezbędności i proporcjonalności celem pogodzenia prawa ochrony danych osobowych z obowiązkiem zachowania tajemnicy zawodowej. Przepisy te mają zastosowanie wyłącznie do danych osobowych, które administrator lub podmiot przetwarzający otrzymali lub pozyskali w wyniku lub w ramach działania objętego tym obowiązkiem zachowania tajemnicy.

W projekcie ustawy wprowadzającej ustawę o ochronie danych osobowych nie przewidziano zmiany w zakresie ustawy o zawodzie lekarza i lekarza dentysty, jak ma to miejsce np. na gruncie ustawy – prawo o adwokaturze czy nawet branżowo - ustawy o zawodzie pielęgniarki jak i ustawy o prawach pacjenta.

W projekcie ustawy o ochronie danych osobowych w proponowanym art. 58 wskazana została kompetencja dla Prezesa Urzędu Ochrony Danych Osobowych w brzmieniu: „W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.”

Art. 40 ustawy o zawodach lekarza i lekarza dentysty w ust. 2 pkt 1 wskazuje na niestosowanie obowiązku zachowania tajemnicy lekarskiej, gdy ustawa tak stanowi. Jednak z brzmienia proponowanego art. 58 ustawy o ochronie danych osobowych wynika, że do wyłączenia stosowania tajemnicy lekarskiej nie dochodzi. Zatem przy żądaniu organu o ujawnienie danych, lekarze mogą powołać się na tajemnicę lekarską.

W Polsce trwają obecnie prace nad przygotowaniem kodeksu branżowego, obejmującego podmioty zajmujące się działalnością leczniczą, co oznacza skorzystanie przez środowiska medyczne z dyspozycji art. 40 RODO, stanowiącego o możliwości przygotowania kodeksu postępowania w ramach danych branż. Kodeks, zwany kodeksem dla ochrony zdrowia, jest obecnie na etapie projektowym, jego wstępna treść jest dostępna, jednakże jeszcze nie wszystkie planowane postanowienia danego kodeksu zostały w rzeczonym projekcie ujęte.

Należy pamiętać że taki kodeks musi zostać zatwierdzony przez właściwy organ i nie wcześniej niż z dniem wejścia w życie regulacji wynikającej z RODO. Oczywiście nie jest wiadomo, kiedy wspomniany kodeks branżowy będzie gotowy, a prace nad nim zakończą się. Można też się zastanawiać, czy powinno dojść do zamknięcia prac nad takim zbiorem. W przypadku nieprzyjęcia wspomnianego kodeksu postępowania, jak również braku regulacji poszczególnych kwestii przez ustawodawcę, w mocy pozostaną dotychczas obowiązujące przepisy dotyczące m.in. obowiązku zachowania tajemnicy zawodowej osób wykonujących zawody medyczne, które posiadają rangę ustawową. W tak zaistniałej sytuacji informacje udzielone takim podmiotom podlegają ochronie na podstawie wspomnianych przepisów.

W kolejnych postach omówimy, co lekarz musi robić pod rządami RODO.

Pozostałe wpisy o RODO tutaj (klik).

Anna Dudkiewicz

prawnik

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

 

 

Upoważnienie a umowa na powierzenie przetwarzanie danych pod rządami RODO

Wchodząca w życie 25 maja bieżącego roku regulacja zawarta w rozporządzeniu Parlamentu Europejskiego i Rady 2016/679, czyli tzw. RODO jest kolejnym aktem dotyczącym danych osobowych. Przetwarzać dane osobowe może bezpośrednio administrator danych osobowych, może także do tego umocować w odpowiedni sposób określone podmioty. W ramach postanowień RODO wskazane są dwa instrumenty prawne, które mogą stanowić umocowanie do przetwarzania danych osobowych przez podmioty inne niż administrator danych osobowych. Są to umowa o powierzenie danych osobowych bądź inny instrument przewidziany prawem (art. 28 RODO) oraz upoważnienie do przetwarzania danych osobowych (art. 29 RODO). Podkreślić należy, że na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku te instytucje są już znane.

Zgodnie z art. 28 RODO administrator danych osobowych może powierzyć ich przetwarzanie innemu podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą̨. Może dojść także do podpowierzenia, które ma odpowiadać wymogom powierzenia przetwarzania danych osobowych. Umowa lub inny akt prawny mają mieć zachowaną formę pisemną, w tym formę elektroniczną, o czym stanowi art. 28 ust. 9 RODO. Wskazana w RODO forma elektroniczna może zostać uznana za pojęcie tożsame z pojęciem formy elektronicznej na gruncie art. 781 § 1 i 2 KC. Umowa lub inny akt prawny mają podlegać prawu Unii lub prawu państwa członkowskiego i wiążą administratora i podmiot powierzający, pomiędzy którymi doszło do powierzenia przetwarzania danych osobowych. 

Jak wskazuje RODO, umowa lub inny akt prawny zawarty na gruncie art. 28 RODO określa:

1. Przedmiot przetwarzania;
2. Czas przetwarzania;
3. Charakter przetwarzania;
4. Cel przetwarzania;
5. Rodzaj danych osobowych;
6. Kategorie osób, których dane dotyczą;
7. Obowiązki i prawa administratora.

W odniesieniu do umowy powierzenia aktualność́ zachowuje wyrażone w literaturze na gruncie ustawy o ochronie danych osobowych stanowisko, że najczęściej umowa taka będzie miała postać́ umowy o świadczenie usług, do której odpowiednie zastosowanie znajdą przepisy KC o zleceniu. Jak wskazuje motyw 81 RODO, administrator i podmiot przetwarzający mogą̨ skorzystać́ z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Art. 28 wskazuje na podstawowe obowiązki podmiotu przetwarzającego dane osobowe, konieczność niesienia pomocy administratorowi danych osobowych.

Zgodnie z art. 28 ust. 3 lit. a RODO procesor, czyli podmiot, któremu powierza się przetwarzanie danych osobowych, może przetwarzać́ dane osobowe wyłącznie na udokumentowane polecenie administratora. Polecenie to może być́ elementem umowy powierzenia lub też stanowić́ odrębny dokument. Warunkiem koniecznym jest jednak to, by forma przekazania polecenia (w tym ustalona w wiążącej administratora i procesora umowie lub innym instrumencie prawnym) umożliwiała jego udokumentowanie (zarówno przez administratora, jak i podmiot przetwarzający). Udokumentowanie polecenia ma istotne znaczenie dla wypełnienia wymogów rozliczalności.

Odrębnym od ww. umowy instrumentem, jest upoważnienie do przetwarzania danych osobowych, które uregulowane zostało w art. 29 RODO. Jest to bardzo zwięzła, jednozdaniowa regulacja. Z art. 29 RODO wynika zasada udzielania upoważnienia przez podmiot przetwarzający lub administratora każdej osobie fizycznej mającej dostęp do zbieranych danych osobowych. Upoważnienie do przetwarzania danych osobowych różni się od tego, które wynika z jeszcze obowiązującej polskiej ustawy o ochronie danych osobowych. RODO nie reguluje kwestii upoważnienia w sposób tak dalece sformalizowany, jak ma to miejsce na gruncie polskiej ustawy. Zgodnie z brzmieniem art. 29 RODO do udzielenia upoważnienia do przetwarzania danych osobowych może dojść przez administratora danych osobowych jak podmiot przetwarzający. Zatem katalog podmiotowy uprawnionych do upoważnienia jest szerszy niż w art. 28 RODO.

Przepis ten nie wskazuje formy jaką zachować ma upoważnienie. Oczywiście ze względów ostrożnościowych i dowodowych, warto zachować formę pisemną, w tym elektroniczną, w ramach udzielenia upoważnienia danej jednostce. Będzie to stanowiło zabezpieczenia dla upoważniającego, który ma nałożony na siebie obowiązek rozliczalności.

Z upoważnieniem na gruncie art. 29 RODO wiąże się w sposób bezpośredni polecenie administratora. Jednakże art. 29 RODO nie wskazuje żadnych wymogów formalnych w zakresie wydawanego polecenia. Zgodnie z doktryną może ono być elementem umowy o pracę, umów cywilnoprawnych jak umowa zlecenia czy umowa o dzieło, umowy o świadczenie usług administratora z podmiotem przetwarzającym.

Wyjątkiem jest oczywiście, wskazane w końcowej części art. 29 RODO wymóg przetwarzania danych osobowych wynikający z prawa Unii lub prawa państwa członkowskiego.

Mimo braku wymogów formalnych, uznać należy, iż polecenie administratora winno zostać udokumentowane w sposób umożliwiający wykazanie w każdym momencie zaistnienia udzielenia takiego polecenia przez administratora danych osobowych.
Pozostałe posty o ochronie danych osobowych znajdziesz TU.

Anna Dudkiewicz

prawnik

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

 

Zgoda na przetwarzanie danych osobowych w ramach rekrutacji a RODO

Biorąc udział w procesie rekrutacyjnym, kandydat wraz z udostępnianiem swojego CV potencjalnemu pracodawcy, oddaje w jego ręce szereg danych osobowych, które następnie są przetwarzane. Oczywiście przetwarzanie takie musi się odbywać zgodnie z literą prawa, jednakże nie zawsze wymagane jest uzyskanie oświadczenia o wyrażeniu zgodny na przetwarzanie danych osobowych.

Obecnie art. 221 k.p. przewiduje katalog danych osobowych, których pracodawca ma prawo żądać od pracownika, w tym także od kandydata biorącego udział w rekrutacji. Przetwarzanie tych danych osobowych, które stanowią katalog zamknięty, odbywa się w związku z art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych, który stanowi, iż przetwarzanie jest możliwe jeżeli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. A zatem w przypadku takich danych, nie ma konieczności uzyskania zgody na przetwarzanie, ponieważ podmiot – np. pracodawca uprawniony jest bezpośrednio na podstawie ustawy.

Natomiast, jeżeli w CV podane są inne informacje, spoza tego katalogu, wówczas do ich przetwarzania wymagana jest zgoda kandydata. To właśnie na potrzeby wskazanej zgody powszechnym stało się dodawanie do CV klauzuli z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych.

Wchodząca w życie regulacja zawarta w rozporządzeniu Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku, czyli tzw. RODO, dotyczy także sytuacji poruszonych powyżej, tj. przetwarzania danych osobowych w ramach rekrutacji. A zatem zarówno wymogi określone w rozporządzeniu, dotyczące wyrażenia zgody na przetwarzanie danych osobowych, jak i obowiązki informacyjne ciążące na administratorze danych osobowych, którym będzie rekruter, czyli potencjalny pracodawca znajdują tu zastosowanie.

Jednakże, mając na uwadze szczególny charakter stosunków pracowniczych, zapewne również powszechność procesów rekrutacji, a przez co wolę nieutrudniania osobom poszukującym pracy tego procesu, RODO przewiduje możliwość uregulowania w sposób odmienny przez państwa członkowskie kwestii dotyczącej przetwarzania danych osobowych pracowników oraz danych udzielonych w wyniku prowadzonego procesu rekrutacji.

Powyższa wola prawodawcy unijnego wynika z motywu 155 oraz art. 88 RODO, który wskazuje na możliwość państw członkowskich do wprowadzenia w ramach wewnętrznego porządku prawnego państwa, w sposób bardziej szczegółowy przepisów, które mają zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, a w szczególności do celów rekrutacyjnych.

W przypadku przyjęcia takich regulacji muszą one obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dotyczą poszanowanie takich przymiotów jak godność, prawnie uzasadniony interes i prawa podstawowe. Na państwie członkowskim wraz ze skorzystaniem z dyspozycji art. 88 RODO ciąży obowiązek poinformowania Komisji o przyjęciu powyższych przepisów, jak i o każdorazowej ich zmianie.

Polska zamierza skorzystać z takiego uprawnienia poprzez przyjęcie nowelizacji w zakresie kodeksu pracy w drodze ustawy o wprowadzeniu ustawy o ochronie danych osobowych, która jest obecnie na etapie projektu. W ramach nowelizacji dojdzie do zmiany art. 221 kodeksu pracy oraz dodania następujących po nim art. 222-224 k.p.

Zgodnie z brzmieniem projektowanych przepisów, zachowana zostanie dotychczasowo funkcjonująca zasada, że w przypadku udostępnienia danych osobowych, co do których żądania uprawniony jest pracodawca ex lege, nie jest wymagana zgoda kandydata na pracownika na przetwarzanie danych osobowych. Natomiast w przypadku udostępnienia innych danych, które nie znajdują się w zamkniętym katalogu określonym w kodeksie pracy, wówczas do ich przetwarzania wymagana jest zgoda podmiotu, wyrażona w sposób wyraźny, jasny, konkretny i dobrowolny, w drodze złożonego oświadczenia.

Swego rodzaju novum stanowi zastrzeżenie, iż brak zgody nie może powodować niekorzystnego traktowania osoby ubiegającej się̨ o zatrudnienie lub pracownika, a także nie może powodować́ wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić́ przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę̨.

Zatem, wraz z dniem 25 maja 2018 roku regulacja zawarta w RODO obejmie także kwestię procesów rekrutacyjnych. Oczywiście, jeśli polski ustawodawca nie zdąży do tego czasu uchwalić planowanej nowelizacji, zastosowanie będą miały dotychczasowe regulacje w połączeniu z wymogami określonymi w RODO, natomiast projektowana zmiana poszerzy dotychczasową regulację z zakresu danych osobowych udzielanych w ramach rekrutacji.

Należy pamiętać, iż regulacja zawarta w kodeksie pracy ma zastosowanie do procesów rekrutacji, których zwieńczeniem będzie powstanie stosunku pracowniczego między stronami. W związku z powyższym, nie znajdzie ona zastosowania do osób, które podejmą się współpracy na podstawie umów cywilnoprawnych.

Zwróćmy uwagę, iż pracodawca jako administrator danych osobowych musi pamiętać o ciążącym na nim obowiązku informacyjnym, który w przypadku rekrutacji polega na m.in. wskazaniu danych administratora, wskazaniu danych podmiotu przetwarzającego, jeżeli taki został powołany, określeniu stanowiska w związku z celem przetwarzania jakim jest rekrutacja, czy też informacji o braku negatywnych skutków nie wyrażenia zgody na przetwarzanie danych osobowych. Zapewne za pożądane można uznać sformułowanie przez pracodawcę propozycji klauzuli z oświadczeniem o wyrażeniu zgody na przetwarzanie danych osobowych, w którym podstawa prawna, dane administratora czy cel zostaną już wskazane.

Mimo funkcjonujących obecnie jak i planowanych swego rodzaju zwolnieniach w zakresie uzyskania zgody na przetwarzanie danych osobowych kandydatów na pracowników, można jednak spodziewać się, iż każde CV przedkładane przez osobę ubiegającą się o dane stanowisko będzie zawierało klauzulę z oświadczeniem obejmującym zgodę na przetwarzanie danych osobowych. Wynika to z faktu, iż obecnie na rynku pracy przedkładając CV, wskazywane jest w nim o wiele więcej informacji, niż te określone w kodeksie pracy, co do których pracodawca jest usprawiedliwiony, celem zwiększenia swoich szans na zatrudnienie. I mimo przyszłej gwarancji braku negatywnych skutków niewyrażenia zgody na przetwarzanie danych osobowych, trudno wyobrazić sobie sytuację, gdy osoba szukająca pracy zaryzykuje i takiej zgody nie wyrazi.

Pozostałe publikacje na temat RODO znajdziecie Państwo TU.

Anna Dudkiewicz

prawnik

Kontakt: blog@zdanowiczlegal.pl

Kancelaria Zdanowicz i Wspólnicy 

Kiedy potrzebny, a kiedy obowiązkowy jest inspektor ochrony danych? – zmiany w danych osobowych – cz. 10

Rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli z tzw. RODO, wprowadza nowy podmiot, który zastąpi dotychczasowego administratora bezpieczeństwa informacji, a mianowicie inspektora ochrony danych (dalej też „inspektor”).

Niektóre podmioty będą miały obowiązek powołania inspektora. Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy zachodzi jeden z poniższych przypadków:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (tzw. dane wrażliwe lub inaczej – sensytywne), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Największe kontrowersje może wzbudzać pkt. b), który posługuje się bardzo ocennym pojęciem „głównej działalności”, a dodatkowo pojęciem „wymagania regularnego systematycznego monitorowania osób”. W słowniku pojęć dla RODO znajdującym się w art. 4 nie odnajdziemy żadnej podpowiedzi, jak te pojęcia powinny być interpretowane. Mając jednak na względzie bezpieczeństwo administratora w kwestiach wątpliwych, doradzałabym powołanie takiego inspektora. Dopiero praktyka narosła wokół obowiązywania RODO wykaże, jak organy będą interpretować te pojęcia.

Pkt c) wzbudza też wątpliwości. Na zdrowy rozum np. placówka medyczna, która jest niewątpliwie administratorem przetwarzającym dane sensytywne, jakimi są dane dotyczące stanu zdrowia, nie ma takiego obowiązku, gdyż jej główna działalność nie polega na przetwarzaniu danych osobowych lecz na świadczeniu usług medycznych. Anglojęzyczna wersja RODO również wskazuje, że chodzi o te podmioty, których trzon działalności stanowi przetwarzanie takich danych osobowych.

Wizja jednak sankcji zawartych w art. 83 ust. 4 lit. a) RODO, a mianowicie administracyjnej kary pieniężnej w kwocie do 10.000.000 Euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) skutecznie z pewnością wpłynie (przynajmniej w początkowym okresie obowiązywania RODO), na to, iż wiele podmiotów wyznaczy takiego administratora, nawet gdy obowiązek jego wyznaczenia będzie wątpliwy lub kontrowersyjny.


Inne posty na temat RODO do przeczytania tu (klik).

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

 

Prawo do bycia zapomnianym - zmiany w danych osobowych cz. 9

Prawo do bycia zapomnianym jest instytucją , która w swej treści zawiera uprawnienie do żądania usunięcia danych osobowych podmiotu jak i zarówno szereg obowiązków po stronie administratora. Przypominamy, że w uproszczeniu ujmując, administratorem jest ten podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Prawo do bycia zapomnianym wynika z art. 17 Rozporządzenia Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli z tzw. RODO. Inne posty na temat RODO do przeczytania tu (klik).

Podmiot, którego dane osobowe dotyczą ma prawo żądać od administratora danych osobowych niezwłocznego usunięcia dotyczących jego osoby danych osobowych, a administrator jest zobowiązany bez zbędnej zwłoki usunąć takie dane osobowe. Do usunięcia może dojść w przypadku, gdy:

1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;
3. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
4. dane osobowe były przetwarzane niezgodnie z prawem;
5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

 

W przypadku wniesienia przez osobę, której dane osobowe dotyczą, żądania usunięcia danych, jeżeli administrator danych osobowych upubliczniał te dane, wówczas zgodnie z art. 17 ust. 2 RODO ma obowiązek powiadomienia administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, aby administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Ustawodawca unijny wskazuje, że do wykonania tego obowiązku administrator podejmuje rozsądne działania, biorąc pod uwagę dostępną technologię i koszt realizacji, w tym środki techniczne.

 

Wprowadzone uprawnienie żądania usunięcia danych obejmuje obowiązek administratora usunięcia danych osobowych podmiotu zgłaszającego żądanie nie tylko z cyfrowych baz danych, ale również wszelkich nośników, w tym także papierowych, dokumentów, plików, ankiet, wydruków, e-maili a nawet notatek, które zawierają dane osobowe podmiotu żądającego. Jest to zupełne i całościowe usunięcie wszelkich chronionych danych osobowych w zakresie nośników czy elektronicznych czy papierowych, co oznacza "zniknięcie" danej osoby ze zbioru danych.

 

Wypełnienie tego obowiązku w tak szerokim zakresie powoduje konieczność dokonania weryfikacji wszelkich posiadanych nośników, a nie tylko cyfrowych baz danych, w zakresie zawartych w nich danych osobowych.

 

Należy pamiętać, że o ile duże przedsiębiorstwa w ramach swojej działalności posiadają często cyfrowe bazy danych, wraz z zebranymi danymi osobowymi, to w przypadku przedsiębiorców małych i średnich jest to często zjawisko mniej zelektronizowane, przez co konieczność wykonania obowiązku usunięcia danych będzie większym utrudnieniem.

 

 

Nie można wykluczyć, że nałożony na administratorów danych osobowych taki obowiązek będzie wiązał się z koniecznością wprowadzania dodatkowych programów, w zakresie zbierania i szybszego usuwania zgromadzonych danych osobowych na żądanie uprawnionego podmiotu. Wiązać się to może także z koniecznością zatrudnienia dodatkowych osób, których zadaniem będzie usystematyzowanie oraz przystosowanie obecnie zebranych danych osobowych do wymogów, jakie wprowadza RODO w tym zakresie.

 

Podkreślić należy, iż prawo do usunięcia danych osobowych nie stanowi całkowitego novum w ustawodawstwie polskim, gdyż w obecnie obowiązującej ustawie z dnia 29 sierpnia 1997 roku – o ochronie danych osobowych, zostało uregulowane prawo do żądania usunięcia danych osobowych z prowadzonej bazy danych – art. 32 ustawy. Jednakże dotychczas, pomimo zastrzeżonych w cytowanej ustawie środków kontroli wykonania żądania osoby, której dane dotyczą, w praktyce nie dało się ustalić czy dane żądanie w pełnym zakresie zostało wykonane przez zobowiązanego. Jest to zagrożenie, które w pewnym zakresie ciąży także nad regulacją zawartą w RODO i w tym zakresie można liczyć tylko na prewencyjne działanie przewidzianych wysokich sankcji pieniężnych dla podmiotów łamiących te regulacje.

 

 

Uprawnienie wynikające z art. 17 RODO, nie jest prawem o charakterze bezwzględnym, gdyż posiada wyłączenia w zakresie swojego zastosowania, dotyczące przetwarzania danych, które jest niezbędne:

 

1. do korzystania z prawa do wolności wypowiedzi i informacji;
2. do wywiązywania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa unijnego lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo do żądania usunięcia danych osobowych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
5. do ustalenia, dochodzenia lub obrony roszczeń.

Zatem uprawnienie podmiotu do żądania usunięcia jego danych osobowych nie jest prawem bezwzględnym, a ograniczenia zostały sformułowane w sposób ogólnikowy i szeroki, celem zapewnienia ochrony nie tylko interesów osób korzystających z prawa do bycia zapomnianym, ale także interesu administratorów oraz szeroko pojętego interesu ogólnego.

Anna Dudkiewicz  

prawnik

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

 

 

 

Przetwarzanie danych osobowych w celach prywatnych pod RODO - zmiany w danych osobowych cz. 8

Przetwarzanie danych osobowych dla celów prywatnych może wzbudzać wątpliwości pod rządami RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Zauważmy, że zgodnie z art. 2 ust. 1 RODO, rozporządzenie to stosuje się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru lub mających stanowić część zbioru danych.

W każdym telefonie komórkowym znajdzie się mniej lub bardziej uporządkowany zbiór danych osobowych w postaci listy kontaktów. Jeżeli wpisujemy imię, nazwisko oraz numer telefonu, a czasem dodatkowo firmę, są to dane umożliwiające identyfikację osoby fizycznej. GIODO zresztą wypowiedziało się kiedyś (DOLiS-440-211/07), iż nawet same numery telefoniczne są danymi osobowymi (taka interpretacja jest też przyjmowana w Unii Europejskiej). Taką daną osobową może być także spersonalizowany adres e-mail.

Czy musimy się zatem obawiać, że różne obowiązki wynikające z RODO spadną także na posiadaczy telefonów czy skrzynek pocztowych na komputerach?

Na szczęście w art. 2 ust. 2 RODO znajdujemy wyłącznie, zgodnie z którym RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (po angielsku: by a natural person in the course of a purely personal or household activity). Niewątpliwie przetwarzanie ma być dokonywane wyłącznie w ramach tylko tych czynności. Notabene household przetłumaczyłabym bardziej jako gospodarstwo domowe, ale intencja wydaje się być i tak jasna. Jeśli więc mam listę telefonów do członków rodziny czy przyjaciół – nie ma problemu – RODO nas nie dotyczy. Jeśli jednak jest mowa o liście kontaktów służbowych, to niewątpliwie nie podlega ona pod ww. wyłączenie. Zgodą na przetwarzanie tych danych każdy będzie dysponował w większości przypadków, natomiast pozostałych obowiązków najpewniej nie wykonana z oczywistych przyczyn (jest ich nadmiernie dużo, a świadomość społeczna i prawna nie jest zbyt mimo wszystko rozwinięta). Można tylko liczyć na racjonalność egzekwujących przepisy RODO…

Pozostałe posty o RODO znajdziesz tu (klik).

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

Obowiązki informacyjne wymagane przez RODO - zmiany w ochronie danych osobowych cz. 7

RODO bardzo duży nacisk kładzie na wszechstronne i klarowne informowanie osób, których dane są przetwarzane. Administrator danych osobowych jest zobowiązany powziąć odpowiednie środki, aby w zwięzłej, przejrzystej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie wszelkich informacji wymaganych przez RODO oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania. Informacji udziela się na piśmie, dopuszczalna jest korespondencja elektroniczna. Informacji można też udzielić ustnie, o ile można potwierdzić tożsamość osoby, do której informacja jest kierowana. RODO, nie oczekuje od nas informowania w określonym języku, jednak ze względu na charakter naszych usług i docelowego odbiorcę informacji być może konieczne okaże się przygotowanie informacji w języku zrozumiałym dla odbiorcy. Zakładając racjonalność ustawodawcy, nie można też przyjąć, że każdy otrzyma informacje w swoim języku ojczystym, natomiast może jednak zasadnie oczekiwać informacji w języku chociażby angielskim. Musimy się więc liczyć z kosztami przygotowania tłumaczeń na co najmniej język angielski.


W szeregu przypadków wykonywania praw związanych z danymi osobowymi (jak chociażby w przypadku prawa do sprostowania danych), administrator dysponuje maksymalnie terminem jednego miesiąca by poinformować żądającego o jego decyzji, wskazać na jej powody oraz na możliwość wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Dla administratora takie żądania mogą być oczywiście uciążliwe, zwłaszcza, że sami wiemy, iż potrafią się zdarzyć takie osoby, które bardzo skwapliwie będą zarzucać nas swoimi roszczeniami. Za czas pracy osoby, która będzie odpowiadać na takie żądania, na koniec dnia zapłaci administrator. Informacje takie co do zasady są wolne od opłat, jednak jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać rozsądną opłatę, uwzględniającą administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo odmówić podjęcia działań w związku z żądaniem. Teoretycznie zatem choć w niektórych przypadkach zwrócą się nam choćby np. koszty zagranicznych rozmów telefonicznych. 

Administrator podczas pozyskiwania danych osobowych w typowym przypadku zobowiązany jest podać wszystkie poniższe informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych, cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania (w typowym przypadku celem jest wykonanie usługi i dalszy marketing naszego produktu, zaś podstawą jest zgoda osoby, której dane dotyczą); informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (tylko nasza spółka, grupa spółek itd.). Poza tymi informacjami, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (w praktyce jeden z trudniejszych aspektów, rzadko kiedy powiemy klientowi, że będziemy np. przetwarzać jego dane przez rok, określenie zaś kryteriów ustalenia tego okresu wymaga też pogłówkowania); informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; informacje o prawie do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; informacje o prawie wniesienia skargi do organu nadzorczego; informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Wzmiankując jedynie skrótowo, należy jeszcze podać informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu. Pół biedy, jeśli osoba korzysta z naszych usług za pomocą strony internetowej, gorzej te wszystkie informacje podawać ustnie – rzadko kto zechce dotrwać do końca. Musimy więc mieć gotowe karty/formularze informacyjne.


Pozostałe posty o RODO znajdziesz tu (klik).


Aleksandra Dalecka
adwokat
Kancelaria Zdanowicz i Wspólnicy
Kontakt: blog@zdanowiczlegal.pl

Czy zgoda na przetwarzanie danych osobowych pod rządami RODO musi być pisemna? – – Zmiany w ochronie danych osobowych – cz. 6

Zgodnie z art. 7 ust. 1 Rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych.

Z tego wynika, że zgoda nie zawsze przybierze postać pisemną, choć oczywiście, jeśli jest ona na piśmie, łatwiej jest nam udowodnić na co dana osoba ją wyraziła.

Czasem jednak wymóg formy pisemnej zgody byłby nierealny lub nadmiernie uciążliwy. Wyobraźmy sobie np. zbieranie wizytówek podczas kongresu od gości, przy czym organizator zapowiada, że wśród osób, które zostawią wizytówkę, rozlosowane będą nagrody. Można zasadnie przyjąć, iż jeśli gość takiej imprezy pozostawia wizytówkę, to wyraża zgodę na przetwarzanie jego danych na potrzeby losowania nagrody. Trudno byłoby wymagać, by goście podpisywali jeszcze formularze zgody. Kwestia ta była w prawie polskim kontrowersyjna już pod rządami naszych wewnętrznych przepisów o ochronie danych osobowych, GIODO jednak przychylało się do zdroworozsądkowej interpretacji w tym przypadku.

Ważne jest zawsze, by goście wrzucający wizytówkę do urny, wiedzieli, po co to robią. Jeśli konferansjer zachęca do tego podczas imprezy, bo będą przyznawane nagrody, to nie można potem tak pozyskanych danych wykorzystywać aby wysyłać materiały promocyjne organizatora kongresu. Na wykorzystanie danych osobowych na cele promocji musimy mieć odrębną zgodę, niestety najlepiej jednak dla naszego bezpieczeństwa na piśmie, gdyż przetwarzanie nie skonsumuje się na przyznaniu nagród, lecz zapewne będzie rozciągnięte na osi czasu, co w przyszłości może wpływać na osłabienie możliwości dowodowych w zakresie pozyskania zgody. Trzeba zatem marketingowo i kreatywnie przemyśleć, jak zachęcić gości do uzupełnienia takiego formularza zgody.

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

Jakie uprawnienia informacyjne przysługują osobie, której dane są przetwarzane wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE -cz. 5

Prawa osób fizycznych w ww. zakresie przetwarzania danych osobowych można podzielić na prawa związane z informacją oraz prawa związane z komunikacją. Jeśli chodzi o pierwszy typ uprawnień, znajdziemy je w art. 13-14 ww. Rozporządzenia (RODO). Art. 13 dotyczy informacji podawanych przez administratora w przypadku zbierania danych od osoby, której dane dotyczą, zaś art. 14 dotyczy informacji podawanych w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą.

Celem niniejszego posta nie jest przepisanie wszystkich informacji, które życzyłby sobie unijny ustawodawca, by administrator przekazał osobie fizycznej lecz raczej skomentowanie tej regulacji. Przede wszystkim spójrzmy, kto powinien ten obowiązek zrealizować. RODO nakłada go na administratora, który jest rozumiany jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przykładowo, jeśli mamy na względzie hotel, administratorem danych osobowych przetwarzanych w hotelu jest spółka go prowadząca. W przypadku sprzedaży telemarketingowej, jest to podmiot prowadzący taką działalność, itd. Bywają jednak bardziej skomplikowane przypadki, gdzie wymagana jest głębsza analiza, by stwierdzić, kto jest administratorem. Te proste przykłady podaję dlatego, by spółka miała świadomość, że to ona, a nie jej pracownik fizycznie zbierający dane od innych, jest ich administratorem.

Twierdzi się, że informacje te podane powinny być w sposób zwięzły i zrozumiały. Przy jednak całej litanii informacji do podania, którą wymaga RODO od administratora, ciężko stwierdzić, jak osiągnąć zwięzłość , nie pomijając jakiegoś wymogu. Informacji udziela się na piśmie lub w inny sposób (w tym elektroniczny – istotne przy świadczeniu usług przez Internet). Jeżeli osoba, która tego zażąda, informacji można udzielić jej ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Ponieważ informacji powinno się udzielić podczas pozyskiwania danych, telemarketer dzwoniący z propozycją sprzedaży do nowej osoby, winien, jak się wydaje, zapytać się, czy życzy sobie być poinformowana ustnie o kwestiach wskazanych w art. 13 RODO, a następnie syntetycznie wygłosić formułę informacyjną w oparciu o art. 13. Niewątpliwie treść takiej informacji zawsze warto skonsultować z Kancelarią.

Co do zasady nie można żądać zapłaty za udzielenie takich informacji. Jeśli jednak dana osoba np. ustawicznie żąda podania tych samych informacji, przez co ponosimy koszty chociażby czasu pracy pracownika, można odmówić kolejnego spełnienia takiego obowiązku lub zażądać rozsądnej opłaty uzasadnionej kosztami administracyjnymi.

Jeżeli spojrzymy na wymogi nałożone na administratora zbierającego dane osobowe od osób, których dane te dotyczą (pozyskiwanie bezpośrednie), to oprócz podania swojej tożsamości i danych kontaktowych, należy podać, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych. Nie musi to być imię i nazwisko (wiadomo, że stanowisko to może podlegać fluktuacjom personalnym, czy inspektor może po prostu nam się rozchorować, wyjechać na urlop itd.) – wystarczy e-mail i telefon kontaktowy.

RODO wymaga także podania okresu, przez jaki dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalenia takiego okresu (np. przez okres realizacji zamówienia itp.). Należy także podać informację o prawie do wniesienia sprzeciwu wobec przetwarzania danych osobowych (w mojej ocenie bez zbędnych szczegółów, wystarczy podać do kogo i jaki środek) i o prawie do wniesienia skargi do organu nadzorczego.

Jeszcze inne wymogi obowiązują co do informacji podawanych w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (art. 14 RODO). Oprócz informacji wskazanych w art. 13 RODO należy podać źródło pochodzenia danych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych. Wydaje się jednak, że nie jest intencją prawodawcy, by telemarketer oznajmił nam, że posiada nasze dane po prostu ze źródeł publicznie dostępnych, ale wskazał jednak na konkretne źródło (nawet jeśli jest publicznie odstępne). Obowiązek informacyjny z art. 14 RODO nie będzie mieć zastosowania, gdy: a) osoba, której dane dotyczą, dysponuje już tymi informacjami; b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie; c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Pozostałe nasze publikacje odnośnie danych osobowych pod rządami RODO znajdziecie Państwo klikając tu.

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl


 

 

Przetwarzanie danych dotyczących zdrowia wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE -cz. 4

Najczęściej chyba przetwarzaną kategorią danych wrażliwych (zwanych też danymi sensytywnymi) są dane dotyczące zdrowia. Przetwarzanie ich dotyczy przede wszystkim szeroko pojętej służby zdrowia. Przyjrzyjmy się, jak do przetwarzania danych wrażliwych (w obecnej publikacji ograniczymy się do danych zdrowotnych) odnosi się nowe unijne rozporządzenie (RODO).

Przede wszystkim art. 9 RODO nie definiuje danych dotyczących zdrowia, definicję odnajdziemy w art. 4 ust. 15 RODO, który stwierdza, iż są to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. W tym świetle można się zastanowić, czy sam fakt zapisania się do lekarza określonej specjalizacji jest już daną sensytywną, gdyż może z niego wynikać, że osoba cierpi na dany rodzaj schorzenia. Wydaje się, że tak, gdyż RODO mówi o „korzystaniu z usług opieki zdrowotnej”. Poza definicją danych zdrowotnych pozostają dane genetyczne i dane biometryczne, dla których RODO przewiduje własne definicje.

RODO w tym artykule wprowadza generalny zakaz przetwarzania danych dotyczących zdrowia osoby, przy czym zakaz ten nie ma zastosowania, jeżeli a) osoba, której dane dotyczą, wyraziła wyraźną zgodę tych danych osobowych w jednym lub w kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić takiego zakazu przetwarzania. Proszę zauważyć, że nie ma już obowiązku uzyskiwania pisemnej zgody na przetwarzanie, choć oczywiście dla przetwarzającego uzyskanie takiej zgody jest najbezpieczniejszym wariantem. Z powyższego wynika, że zakaz przetwarzania takich danych bez uzyskania wyraźnej zgody uprawnionego dotyczy np. zbierania danych o stanie zdrowia dla celów marketingowo – handlowych, np. aby sprzedać określonej osobie suplementy diety, poradniki o stanie zdrowia, czy zaoferować wizytę u specjalisty, a nawet by sprzedać zupełnie niezwiązany z tym towar czy usługę, wyrażając troskę o zdrowie osoby i dopytując się np. czy wyleczyła się z danego schorzenia. Wbrew pozorom, takie dane bowiem nietrudno pozyskać, a najlepiej to wiedza osoby parające się telemarketingiem i rozmowami tego typu z osobami starszymi. Jeśli wyraźnie taka osoba nie wyrazi zgody na przetwarzane jej danych zdrowotnych i to właśnie w celu marketingowym, czynić tego niewolno.

Dla służby zdrowia najważniejszym wyjątkiem od zakazu przetwarzania danych dotyczących stanu zdrowia jest art. 9 ust. 2 lit. h) oraz i) RODO, który stanowi, iż zakaz ten nie ma zastosowania, jeżeli:

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3 (jeżeli są przetwarzane przez - lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę podlegającą również obowiązkowi zachowania tajemnicy zawodowej na mocy takich przepisów) lub, gdy 

i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.

Należy podkreślić, że państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych dotyczących zdrowia.


Wcześniejsze nasze artykuły o danych osobowych znajdziecie Państwo klikając tu.

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

 


 

Inne niż zgoda uprawnionego podstawy do przetwarzania danych osobowych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE – cz. 3

W poprzedniej publikacji na blogu (całość publikacji o danych osobowych znajdziecie Państwo kilkając tu), omówiłam zgodę jako przesłankę do przetwarzania danych. RODO, czyli wskazane w tytule Rozporządzenie, zawiera jednak cały katalog podstaw do przetwarzania danych osobowych. Każda z podstaw tam wymienionych ma charakter samoistny, co oznacza, że wystąpienie jednej z nich już upoważnia do przetwarzania danych osobowych. Przyjrzyjmy się temu katalogowi i porównajmy do dotychczasowej regulacji (art. 23 ustawy o ochronie danych osobowych).

Zgodnie z art. 6 akapit 1 RODO, zatytułowanym „Zgodność przetwarzania z prawem”:

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Obecnie pomijamy kwestię zgody, którą już omówiłam tu (klik). Podstawa b) (związane z umową…) jest identyczna z dotychczasową regulacją, więc zastosowanie do niej mieć też będą dotychczasowe orzeczenia i piśmiennictwo. Z pkt c) zniknęła realizacja uprawnienia, która dotychczas była w przepisach. Pojawił się za to nowy pkt d) dotyczący przetwarzania niezbędnego dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Inaczej nieco mamy też sformułowaną podstawę e), która będzie wymagała odwołania się do konkretnego przepisu prawa, by przetwarzający mógł nią legitymizować swoją działalność. Oczywiście najczęściej podstawa ta dotyczyć będzie organów. Dość dużą zmianę przeszła ostatnia podstawa przetwarzania danych z pkt f), która nakazuje „ważenie” interesów administratora lub osoby trzeciej z interesami osoby, której dane dotyczą i jej podstawowymi prawami i wolnościami, z uwzględnieniem szczególnej ochrony dziecka. W dotychczas obowiązującej ustawie o ochronie danych osobowych mowa była o braku naruszenia praw i wolności osoby której dane dotyczą. Czy w praktyce wpłynie to istotnie na zmianę postrzegania i interpretowania tej podstawy? Myślę, że jakiegoś znaczącego przełomu nie będzie. Przykładem, kiedy takie ważenie interesów może być miejsce jest uprawnienie wierzyciela do dochodzenia wierzytelności (również poprzez jej zbycie do firmy windykacyjnej) versus ochrona danych osobowych dłużnika. Większą wagę ma jednak dochodzenie wierzytelności, gdyż udzielenie ochrony dłużnikowi pogwałciłoby prawo wierzyciela do windykacji.

Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi: a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; b)kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10; d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

 

 

Zgoda na przetwarzanie danych osobowych w Rozporządzeniu UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) – Zmiany w ochronie danych osobowych – cz. 2

W powszechnej świadomości funkcjonuje błędny co do zasady pogląd, iż dla zgodnego z prawem przetwarzania danych osobowych potrzebna jest zgoda osoby, której takie dane dotyczą. Tak naprawdę jest to tylko jedna z wielu sytuacji, w której dane osobowe mogą być przetwarzane. Nowe rozporządzenie unijne ("RODO") zachowuje jednak zgodę osoby, której dane dotyczą, jako jedną z podstaw dopuszczalności przetwarzania danych.

Przede wszystkim zgoda może dotyczyć jednego lub większej ilości celów.  Administrator przy tym musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych. Z tego wynika, że zgoda nie zawsze przybierze postać pisemną, choć oczywiście, jeśli jest ona na piśmie, możliwości dowodowe dla administratora są o wiele lepsze. 

Przyjrzyjmy się, jak powinno wyglądać pisemne oświadczenie dotyczące zgody. Przede wszystkim, jeśli dotyczy ono także innych kwestii, zapytanie o zgodę powinno być przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych spraw, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. To wszystko oczywiście są kwestie ocenne, być może będzie jednak można wreszcie oczekiwać, że znikną takie formularze zgody, które posługują się drobnym nieczytelnym druczkiem.

Pytanie, czy potrzeba stosować jakiś inny język niż urzędowy w danym państwie? Nie ma takiego wymogu, aczkolwiek najpewniej kwestię tą należałoby rozpatrywać pod kątem do kogo kierowany jest dany formularz zgody, kto jest jego grupą docelową.  Pytanie to ma praktyczne znaczenie chociażby w hotelarstwie, ale też przy świadczenie usług nakierowanych na cudzoziemców lub poza granice Polski.

Oczywiście nadal obowiązuje zasada, iż osoba, której dane dotyczą, ma prawo w każdej chwili wycofać zgodę. Pod rządami RODO osoba jest informowana z góry o takiej możliwości.

Wycofanie zgody powinno być równie łatwe jak jej udzielenie. Jeśli zatem pozyskiwanie zgody następowało w drodze formularzy internetowych, administratorzy na swoich stronach powinni umieścić analogiczne formularze na wycofanie zgody. 

Jeśli chodzi o zgodę dziecka w przypadku usług społeczeństwa informacyjnego (np. portale społecznościowe), to czekamy tu na ustalenie przez polskiego ustawodawcę dolnej granicy wieku (generalnie jest to 16 lat, ale państwa członkowskie mogą obniżyć tą granicę do 13 roku życia). Poniżej tej granicy zgoda jest ważna tylko jeśli została wyrażona lub zaaprobowana przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. 

W kolejnej publikacji przyjrzymy się innym niż zgoda podstawom dopuszczalności przetwarzania danych osobowych. Wszystkie dotychczasowe publikacje na temat ochrony danych osobowych znajdziecie Państwo tu (klik).

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

Zmiany w ochronie danych osobowych – maj 2018 - część 1

Większość osób, zwłaszcza prowadzących działalność gospodarczą, zapewne słyszała, iż szykuje nam się rewolucja w ochronie danych osobowych w związku z nieubłagalnym terminem rozpoczęcia funkcjonowania nowych przepisów, a mianowicie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE – ogólne rozporządzenie o ochronie danych osobowych (dalej zwane „RODO”).

Czy rzeczywiście te zmiany będą tak drastyczne, że już dziś warto rozpocząć dostosowywanie naszych procedur związanych z pozyskiwaniem i przetwarzaniem danych osobowych? Wysokość kar sięgających dziesiątków milionów Euro na pewno skutecznie wpływa na motywację przedsiębiorców, by przebrnąć przez te przepisy i wdrożyć je do działalności, zanim kontrola zapuka do drzwi. Ponieważ jednak sama część wstępna RODO to 173 punkty na prawie 30 stronach A-4, może to skutecznie odstręczyć od lektury i analizy nowych przepisów.

Proponujemy zatem Państwu cykl publikacji na blogu w tej materii i zachęcamy do zadawania pytań i dyskusji. W sprawach indywidualnych rozwiązań, prosimy o kontakt z Kancelarią.

Przede wszystkim trzeba wyraźnie napisać, iż istota prawna tych zmian opiera się na tym, że Unia wprowadziła je w drodze rozporządzenia, które będzie obowiązywało bez konieczności uchwalania w poszczególnych państwach ustaw krajowych regulujących tą materię. Te same przepisy zatem będą obowiązywały w zakresie danych osobowych przykładowo w Polsce i w Hiszpanii. RODO będzie miało w Unii zastosowanie od dnia 25 maja 2018 roku. Polskie przepisy wewnętrzne dotyczące danych osobowych nie znikną jednak całkowicie, gdyż ustawodawca będzie musiał uregulować np. kwestie proceduralne obowiązujące w tym zakresie w RP (np. przemianowaniu ulegnie GIODO i jego urzędnicy). Obecnie trwają prace nad tymi regulacjami w Polsce, natomiast samo RODO już się nie zmieni, będzie obowiązywać nas w takim kształcie, w jakim zostało uchwalone w 2016 roku.

Generalnie można podsumować, iż RODO ułatwi nam życie o tyle, że zniesie obowiązek rejestrowania baz danych w GIODO, utrudni jednak o tyle, iż obowiązki informacyjne itp. będą jeszcze trudniejsze do zrealizowania oraz nałoży zupełnie nowe obowiązki dla wszystkich, np. zawiadamiane o naruszeniach. RODO, jak już wspominałam, wprowadza też dotkliwy system sankcji, które na pewno uderzą po kieszeni osoby łamiące przepisy, o czym szerzej w kolejnych publikacjach.

RODO będzie mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, a także niezautomatyzowany, gdy przetwarzanie odbywa się w zbiorze danych. Obecnie oczywiście przetwarzanie w większości przypadków ma charakter zautomatyzowany (w komputerze), choć zdarzają się jeszcze sporadyczne przypadki, że w firmie dane osobowe wpisywane są do zeszytów czy notesów.

RODO ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. RODO dotyczy także danych osobowych osób przebywających w Unii (czyli niekoniecznie unijnych obywateli) przez podmiot przetwarzający lub administratora, który nie ma jednostek organizacyjnych w Unii, jeśli czynności przetwarzania wiążą się z a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. Konia z rzędem temu, który odpowie na ile np. portale społecznościowe ze Stanów dostosują się do tej regulacji (zwłaszcza, że powszechnie dość wiadomo, iż całkowite usunięcie konta z jednego z tych portali jest w zasadzie w normalnym trybie niewykonalne i nasze dane zostają tam na wieki).

W następnej publikacji skupimy się na zagadnieniu zgody na przetwarzanie danych osobowych.

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl

 

Obowiązki hoteli i hotelarzy w zakresie ochrony danych gości

Czy jadąc do hotelu możemy spodziewać się ochrony naszej prywatności? Czy nasze dane osobowe będą wykorzystane tylko i wyłącznie dla celów związanych z wykonaniem przez hotel należycie swojej usługi, czy też dostaną się w ręce innych podmiotów? Czy po powrocie z hotelu nasza skrzynka nie będzie zapchana niepożądaną ilością maili promocyjnych? Wreszcie, czy hotelarz zachowa poufność informacji o naszym pobycie?

Zagadnienie ochrony danych osobowych przez hotelarzy jest wielowątkowe. Punktem wyjścia dla dalszych rozważań jest jednak stwierdzenie, że hotele, jak inne podmioty na terytorium Polski, zobowiązane są do przestrzegania ustawy o ochronie danych osobowych. Stąd wywodzi się pierwszy ważny wniosek, że tylko dane osób fizycznych, zarówno przyjeżdżających do hotelu dla relaksu jak i w celach służbowych, podlegają ochronie. Hotelarz nie może zatem, bez naszej oddzielnej wyraźnej zgody, dla celów innych niż wykonanie usługi hotelarskiej, przetwarzać danych osobowych gościa, takich jak imię, nazwisko, nr paszportu czy dowodu osobistego, adres zamieszkania itd. Jak widać, dane te najczęściej hotelarz pozyska przy rejestracji w hotelu, ew. przy dokonywaniu rezerwacji. Jeśli chce te dane wykorzystywać po zakończeniu świadczenia usługi turystycznej, np. przesyłając nam e-mailem materiały promocyjne czy biuletyny, musi uzyskać od nas w tym celu zgodę. Hotelarz nie może przy tym wymuszać takiej zgody niejako automatycznie z np. rezerwacją. Zaostrzone pod koniec zeszłego roku przepisy Prawa telekomunikacyjnego wymagają wprost uprzedniej zgody abonenta na kontakt o charakterze telemarketingowym. Nikt z obiektu hotelarskiego nie powinien do nas dzwonić z ofertami, jeśli nie wyraziliśmy na to zgody. 

Od kogo można dochodzić odpowiedzialności, gdy do takiego naruszenia dojdzie? Odpowiedzialność z tytułu ochrony danych osobowych spoczywa na ich administratorze, a administratorem jest podmiot decydujący o celach i środkach przetwarzania danych osobowych. Odpowiedzialnym zatem jest podmiot prowadzący dany hotel. Ułatwia to dochodzenie praw, gdyż gość mógłby czuć się bezradny wobec konieczności wskazania konkretnej osoby wśród personelu, która dokonała naruszenia. 

Natomiast jeśli chodzi o poszanowanie prywatności gościa i np. nierozpowszechnianie informacji kto z kim przyjechał do hotelu, nie wynika jedynie z dobrej praktyki hotelarskiej. Każdy ma prawo do ochrony swoich dóbr osobistych na podstawie art. 23 Kodeksu cywilnego. Do dóbr osobistych chronionych przez prawo należy też życie prywatne czy intymne. Jeśli w hotelu dojdzie do naruszenia tajemnicy tych sfer życia, gość hotelowy będzie mieć prawo do dochodzenia odpowiedzialności na zasadach ogólnych. 

Aleksandra Dalecka

adwokat

Kancelaria Zdanowicz i Wspólnicy 

Kontakt: blog@zdanowiczlegal.pl

Rejestracja zbiorów danych osobowych w kontekście rozszerzenia kompetencji Administratora Bezpieczeństwa Informacji

Z dniem 1 stycznia 2015 r. weszła w życie nowelizacja Ustawy dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883 z późn. zm.). Jedną z kluczowych zmian jest rozszerzenie kompetencji Administratora Bezpieczeństwa Informacji (ABI), a w konsekwencji odciążenie z niektórych obowiązków podmiotów przetwarzających dane osobowe (administratorów danych).

W rozumieniu ustawy o ochronie danych osobowych (dalej „u.o.d.o.”), zbiór danych osobowych to: „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Danych Osobowych (GIODO), który prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Zgłoszenie zbioru danych do rejestracji powinno zawierać m.in.: oznaczenie administratora danych, cel przetwarzania danych, sposób zbierania oraz udostępniania danych. Wyjątkiem w zakresie przetwarzania danych są tak zwane dane wrażliwe tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, dane o stanie zdrowia itp., które zgodnie z art. 27 u.o.d. o. nie mogą być przetwarzane. 

Zgodnie z art. 43 ust. 1a u.o.d.o., z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych, którzy powołali ABI i zgłosił ten fakt GIODO w terminie 30 dni od dnia jego powołania. Zapis ten został dodany art. 9 pkt 7 lit. b ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014 poz.1662). Przedmiotowa ustawa dodatkowo wzmocniła rolę ABI-ego. Zgodnie z nowo dodanym art. 36 a i następnymi u.o.d.o.: administrator danych może powołać ABI, do którego zadań należy m.in.: zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności, prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. Ponadto, administrator danych może powierzyć ABI-emu wykonywanie innych obowiązków. ABI ma zgodnie z u.o.d.o. podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ustawa precyzuje również kto może zostać ABI-m: osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych; niekarana za umyślne przestępstwo. 

Na podkreślenie zasługuje również fakt, że od 1 stycznia 2015 roku do zadań GIODO należy prowadzenie rejestru ABI-ch, a także udzielanie informacji o zarejestrowanych administratorach bezpieczeństwa informacji.

Podsumowując, każdy podmiot objęty zakresem u.o.d.o. od nowego roku będzie mógł wybrać, czy samodzielnie będzie dokonywał rejestru zbioru danych osobowych czy powoła w tym celu ABI-ego. W przypadku powołania i zgłoszenia ABI-ego do GIODO, administrator danych będzie zwolniony z obowiązku rejestracji zbiorów danych osobowych. Pytanie jakie może się nasunąć przedsiębiorcom, to czy będzie ich stać na zatrudnienie ABI-ego jako wyspecjalizowanej jednostkę zewnętrznej, czy może wyszkolić zatrudnionego już pracownika.

Agnieszka Materna

prawnik

Kancelaria Zdanowicz i Wspólnicy 

Kontakt: blog@zdanowiczlegal.pl

Ochrona danych osobowych przedsiębiorców

Zgodnie z art. 6 ustawy z dnia 27 sierpnia 1997 roku o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ochronie więc a contrario nie podlegają ci przedsiębiorcy, którzy nie są osobami fizycznymi. Danych osobowych nie ma zatem np. spółka akcyjna czy z ograniczoną odpowiedzialnością, a dane jej dotyczące o charakterze newralgicznym chronione są na podstawie innych przepisów, przede wszystkim regulujących tajemnicę przedsiębiorstwa. 

Przed zmianami w prawie, które weszły w życie w 2011 roku ochronie nie podlegały dane osobowe przedsiębiorców prowadzących jednoosobową działalność gospodarczą w zakresie ujawnionym w ewidencji, gdyż uchylone obecnie przepisy ustawy Prawo działalności gospodarczej wyłączały dane zawarte w ewidencji działalności gospodarczej spod ustawy o ochronie danych osobowych. W obecnym stanie prawnym, tj. w ustawie o swobodzie działalności gospodarczej takiego wyłączenia brak, a zatem podlegają one ochronie dotyczącej danych osobowych. Ciekawą interpretację przepisów w tym zakresie przez GIODO odnośnie rejestracji zbiorów danych osobowych znajdziecie Państwo klikając tutaj. 

Aleksandra Dalecka

prawnik

Kancelaria Zdanowicz i Wspólnicy

Kontakt: blog@zdanowiczlegal.pl