Kategoria: Bez kategorii

Podsumowanie roku 2020

Dodano | przez rodo-online.eu | Leave a Comment on Podsumowanie roku 2020

Przy kończącym się już za 4 dni roku, chcielibyśmy przypomnieć jak ten trudny dla wszystkich 2020 rok wpłynął na nakładane kary w Polsce. 

Można już podsumować, że nałożonych zostało 8 kar na łączną kwotę 2 mln 190 tyś złotych. Rekordzistą w wysokości nałożonej kary stał się Virgin Mobile Polska z kwotą 1,9 mln zł. za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych (osoby nieuprawnione miały krótkotrwały dostęp do systemów, naruszenie miało poważny charakter i dotyczyło dużej ilości osób oraz wiązało się z dużym ryzykiem negatywnych skutków). Wiele kar zostało również nałożonych za to, iż Administrator nie zapewnił organowi nadzorczemu (kontrolerom UODO) dostępu do danych osobowych i pomieszczeń w celu przeprowadzenia kontroli, za co została nałożona kara 100 tyś zł na Głównego Geodetę Kraju, 5 tyś na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole, 15 tyś zł na Spółkę East Power, 20 tyś zł na spółkę Vis Consulting. 

Warto również przypomnieć o karze 20 tyś złotych z początku roku, która została nałożona na szkołę podstawową w Gdańsku, gdzie wykorzystywano biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie.

Powyższe kary są nakładane głównie za to, iż Administratorzy nie są świadomi odpowiedzialności za dane osobowe, które przetwarzają. W większości nie zabezpieczali ich w stopniu odpowiednim, bez przeprowadzenia konkretnego zidentyfikowania ryzyk, ich oceny oraz odpowiedniego z nimi podstępowania. Zauważyć też można brak chęci współpracy Administratorów z organem nadzorczym czyli Prezesem Urzędu Ochrony Danych Osobowych, który w ramach zadań nadanych przez art. 57 RODO monitoruje i egzekwuje stosowanie RODO.

Nałożone w tym roku kary pokazują nam niedostosowanie niektórych spółek, firm oraz organizacji do tego co wymaga od nas RODO, ustawa o ochronie danych osobowych i inne wytyczne m.in. urzędu ochrony danych osobowych. Dlatego tym bardziej warto wdrożyć się w dane osobowe, które Państwo przetwarzają ponieważ za ich przetwarzanie odpowiada Administrator czyli organ, jednostka organizacyjna, podmiot lub osoba decydująca (samodzielnie) o celach i środkach przetwarzania danych osobowych.

Mamy nadzieję, że część z Państwa dołączy do naszego narzędzia dostępnego pod adresem https://panel.rodo-online.eu, które okazuję się bardzo pomocne przy pracy dla Administratorów oraz Inspektorów Ochrony Danych Osobowych w ich codziennej pracy i ułatwi Państwu wdrożenie RODO w swoich podległych organizacjach. W tym roku wprowadziliśmy wiele poprawek oraz nowych pomocnych rzeczy aby program był dopasowywany do potrzeb na bieżąco. Wiele z Państwa uwag przyczynia się do rozwoju systemu, za co bardzo dziękujemy i zapraszamy do dalszej współpracy w nadchodzącym 2021 roku. 

Cała załoga RODO-ONLINE.EU życzy aby Nowy Rok przyniósł Państwu spełnienie najskrytszych marzeń, ogromne powodzenie i sprawił, że radość i pogoda ducha nie będą Państwa opuszczały nawet na krok. W imieniu wszystkich pracowników firmy mam przyjemność złożyć Państwu życzenia zdrowia, wszelkiej pomyślności w życiu osobistym oraz ogromu sukcesów na polu zawodowym.

Czy w przypadku kierowania ucznia czy studenta na praktyki zawodowe konieczna jest umowa powierzenia ?

Dodano | przez rodo-online.eu | Leave a Comment on Czy w przypadku kierowania ucznia czy studenta na praktyki zawodowe konieczna jest umowa powierzenia ?

W ostatnim czasie kilku naszych klientów miało pytanie. Czy jeśli podpisali ze szkołą lub uczelnią umowę (porozumienie) dotyczącą praktyk zawodowych to powinni również podpisać umowę powierzenia przetwarzania danych lub powinni zastosować zapisy dotyczące powierzenia w umowie głównej ?

W pierwszej kolejności należy wskazać, że w rozumieniu art. 4 pkt 7 RODO szkoła lub uczelnia jest administratorem danych osobowych swoich uczniów czy studentów.

Zgodnie z przepisami RODO konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator danych osobowych zleca przetwarzanie danych innemu podmiotowi (podmiotowi przetwarzającemu). Wówczas podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Kwestie związane z praktyczną nauką zawodu uregulowane zostały w ustawie Prawo oświatowe oraz w rozporządzeniach wykonawczych. Zgodnie z przepisami rozporządzenia Ministra Edukacji Narodowej z dnia 22 lutego 2019 r. w sprawie praktycznej nauki zawodu, uczniowie i słuchacze (dalej: uczniowie) publicznych szkół ponadgimnazjalnych prowadzących kształcenie zawodowe uczestniczą w zajęciach praktycznych bądź praktykach zawodowych.

Organizację praktyk studenckich reguluje ustawa z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce. Zgodnie z art. 67 ust. 5 tej ustawy studia są prowadzone na podstawie programu studiów, który może przewidywać odbycie przez studenta praktyk zawodowych (art. 67 ust. 5). Ponadto z przepisów tych wynika, że realizacja praktyk stanowi jeden z obowiązków studenta (art. 107 ust. 2 pkt 2). Zatem skierowanie studenta przez uczelnię do odbycia praktyk wynika z programu studiów, a praktyki te mają na celu uzyskanie przez studenta efektów uczenia się kształtujących umiejętności praktyczne, o których mowa w art. 64 ust. 2 pkt 1 powyższej ustawy.

W przypadku organizacji praktycznej nauki zawodu przez szkołę lub praktyki studenckiej przez uczelnię przekazują one na mocy umowy (porozumienia) dane osobowe uczniów czy studentów podmiotowi, z którym zawarły umowę o realizacje takiej nauki. Podmiot ten z chwilą otrzymania danych ucznia czy studenta staje się ich administratorem. Zwrócić bowiem należy uwagę, że zarówno szkoła czy uczelnia, jak i pracodawca mają określone role i zadania związane z organizacją praktycznej nauki zawodu czy praktyki studenckiej. Pracodawca zapewnia możliwość faktycznego odbywania praktyk, zapoznając praktykanta m.in. z organizacją pracy, regulaminem oraz dyscypliną pracy. Może też upoważnić go do przetwarzania danych osobowych, jeżeli będzie to niezbędne w  związku z odbywaniem praktyki.

Oznacza to, że zarówno szkoła czy uczelnia, jak i podmiot przyjmujący uczniów czy studentów na praktyczną naukę zawodu jak i praktyki studenckie występują w roli odrębnych administratorów. Wobec powyższego – skoro nie występuje sytuacja określona w art. 28 RODO (tj. przetwarzanie danych w imieniu administratora) – nie ma obowiązku zawierania umowy powierzenia przetwarzania danych osobowych. W tej sytuacji mamy do czynienia z udostępnieniem danych osobowych niebędącym powierzeniem – podmiot, który otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego.

Podsumowując każda ze stron tej umowy (porozumienia) przetwarza dane ucznia czy studenta dla realizacji swoich celów oraz obowiązków i w tym zakresie jest administratorek danych. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.