Dobre praktyki – kiedy i w jaki sposób informować klientów o przetwarzaniu danych osobowych w korespondencji e-mail.

Dobre praktyki – kiedy i w jaki sposób informować klientów o przetwarzaniu danych osobowych w korespondencji e-mail. 

RODO (ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)) pozostawia nam dowolność w zakresie sposobu spełnienia obowiązku informacyjnego. RODO w artykule 13 ust. 1 stanowi tak: jeżeli dane osobowe zbierane są od osoby, której dane osobowe dotyczą, to administrator podczas pozyskiwania danych osobowych ma obowiązek podać informacje wymienione w art. 13 RODO. Podczas pozyskiwania danych, czyli w momencie ich zbierania. Osoba, której dane dotyczą, świadomie przekazuje administratorowi danych (np. wypełniając formularz internetowy); lub administrator danych pozyskuje od osoby, której dane dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów danych lub oprogramowania rejestrującego dane, np. kamer, urządzeń sieciowych, śledzenia sieci Wi-Fi, RFID lub innych rodzajów sensorów). 

Więcej czasu posiada Administrator w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Zbieranie danych z innych źródeł – zewnętrzni administratorzy danych; źródła dostępne publicznie; pośrednicy danych; lub inne osoby, których dane dotyczą. W takiej sytuacji obowiązek informacyjny należy spełnić (zgodnie z art. 14 ust. 3 RODO): 

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca 
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą 
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu. 

Istotną kwestią jest sytuacja w momencie otworzenia maila z danymi osobowymi; nie pozyskujemy danych osobowych – my już je posiadamy. Wydaje się, że moment spełniania obowiązku informacyjnego w świetle RODO, został ujęty dość nieprecyzyjnie. Umieszczanie obowiązku informacyjnego w stopce maila do dobra praktyka. Przede wszystkim obowiązek informacyjny musi zostać spełniony, więc mail to dobre rozwiązanie. Kiedy zdecydujemy się na umieszczenie klauzuli informacyjnej w firmowym mailu, musimy wybrać odpowiedni sposób. Oto kilka przykładów, które mogą być pomocne: 

  • Możemy dopisać klauzulę informacyjną zawierającą wszystkie cele przetwarzania przez nas realizowane 
  • Możemy dopisać skróconą wersję klauzuli informacyjnej, która będzie zawierała podstawowe informacje, a w pozostałym zakresie odesłać do strony internetowej, gdzie umieszczone są wszystkie informacje 
  • Możemy wskazać linka (z odnośnikiem do klauzuli), z którym osoba, której dane osobowe przetwarzamy się zapozna 
  • Możemy załączyć plik z klauzulą informacyjną (np. pdf) 
  • Możemy ustawić autorespondera, który z automatu będzie wysyłał klauzulę informacyjną. 

Warto wspomnieć, że powinno być to łatwe dla osoby, której dane dotyczą. Nie możemy wymuszać podjęcia dodatkowych działań, zainstalowania dodatkowych aplikacji aby odczytać załącznik, a umieszczenie samego linka, wiąże się z ryzykiem, że może przestać działać, jak również, że osoba go nie otworzy i nie zapozna się z treścią klauzuli, abyśmy mogli spełnić swój obowiązek. Link lub plik niejako wymusza na osobie, której dane dotyczą podjęcie dodatkowych działań. Każdy administrator musi sam zdecydować czy będzie umieszczał w stopce firmowego maila informacje z art. 13 i 14 ROO czy w inny sposób spełni obowiązek informacyjny.  Dobrą praktyką w stopce maila jest umieszczenie podstawowych informacji dotyczącej Administratora z odnośnikiem do pełnej klauzuli. Musimy także pamiętać, że obowiązek informacyjny powinien być napisany prostym językiem w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, na piśmie lub w inny sposób, w tym elektronicznie, a jeżeli osoba, której dane dotyczą, tego zażąda, ustnie (o ile potwierdzimy tożsamość tej osoby). Administrator musi jednak być w stanie wykazać przestrzeganie przez siebie przepisów RODO, czy udzielił osobie, której dane dotyczą, wszystkich informacji, o których mowa w art. 13 i 14 RODO. Kluczowe w tym zakresie będzie zatem dobranie przez administratora odpowiedniej formy komunikacji. Przepisy RODO nie wymagają odbierania od podmiotów danych oświadczeń o zapoznaniu się z klauzulą informacyjną. 

Pełny zakres przekazywanych informacji przy zbieraniu danych, od osoby, której dane dotyczą art. 13 ust. 1 i 2 

  • tożsamość i dane kontaktowe administratora; 
  • gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora; 
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; 
  • cele przetwarzania danych osobowych; 
  • podstawy prawne przetwarzania; 
  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy; 
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; 
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania; 
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; 
  • informacje o przysługujących osobie, której dane dotyczą prawach; 
  • jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem; 
  • informacje o prawie wniesienia skargi do organu nadzorczego; 
  • informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; 
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu; 

Pełny zakres przekazywanych informacji przy zbieraniu danych w sposób inny niż od osoby, której dane dotyczą art. 14 ust. 1 i 2 

  • tożsamość i dane kontaktowe administratora; 
  • gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora; 
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; 
  • cele przetwarzania danych osobowych; 
  • podstawy prawne przetwarzania; 
  • kategorie odnośnych danych; 
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; 
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania; 
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; 
  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy; 
  • informacje o przysługujących osobie, której dane dotyczą prawach; 
  • jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem; 
  • informacje o prawie wniesienia skargi do organu nadzorczego; 
  • źródło pochodzenia danych, a gdy ma to zastosowanie informacja czy dane pochodzą ze źródeł publicznie dostępnych; 
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu; 

Źródło:  

  1. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 
  1. https://uodo.gov.pl/pl/138/727 – „Obowiązek informacyjny” – szkolenie dla IOD , 28 lutego 2019 r. 

Co to jest naruszenie? / gdzie i kiedy zgłosić? / przykłady kar za niezgłoszenie

Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).

Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Jak wskazuje Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) – można wyróżnić trzy typy naruszeń ochrony danych osobowych:

  • NARUSZENIE POUFNOŚCI – polega na ujawnieniu danych osobowych nieuprawnionej osobie
  • NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych
  • NARUSZENIE INTEGRALNOŚCI – polega na zmianie treści danych osobowych w sposób nieautoryzowany.

W przypadku stwierdzenia wystąpienia incydentu, Administrator wraz z Inspektorem Ochrony Danych, prowadzi postępowanie wyjaśniające w toku którego ustala zakres i przyczyny incydentu oraz jego ewentualne skutki (mogą wówczas stwierdzić, że nie jest to incydent, a naruszenie).

W przypadku zbadania i potwierdzenia się naruszenia po przeprowadzeniu oceny naruszenia (rekomendacje/kalkulator zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches). Dla naszych klientów – dostępna zakładka w systemie rodo-online.eu) Administrator, nie później niż w terminie 72 godzin – zgłasza je organowi nadzorczemu – Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli zgłoszenie do Prezesa UODO nastąpiło powyżej 72 godzin trzeba dołączyć wyjaśnienie przyczyn opóźnienia (zgłoszenie musi opisywać co najmniej charakter naruszenia, kategorie i przybliżoną ilość osób, których dane dotyczą, kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, imię, nazwisko i dane kontaktowe IOD’a lub oznaczenie innego punktu kontaktowego, opis możliwych konsekwencji, zastosowane środki w celu zaradzenia naruszeniu i minimalizowania jego skutków). Warto skorzystać w gotowego formularza interaktywnego do zgłoszenia naruszenia ochrony danych osobowych przygotowanego przez UODO (https://uodo.gov.pl/pl/134/233). 

Jeżeli naruszenie danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Warto zauważyć, że zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych i zawierać przynajmniej imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, opisywać możliwe konsekwencje naruszenia, opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzeniu naruszeniu i jego skutków.

Zgłoszenia można dokonać na 4 sposoby:

  • Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza zgłoszenia naruszenia ochrony danych osobowych (udostępnionego przez PUODO)
  • Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  • Elektronicznie poprzez wysłanie wypełnionego formularza (udostępnionego przez PUODO) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl
  • Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.

Administrator w celu rozliczalności powinien dokumentować powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności incydentów / naruszeń ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w prowadzonym Rejestrze incydentów/naruszeń.

Przykłady kar za brak zgłoszenia naruszenia do Prezesa Ochrony Danych Osbowych:

  • Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.- 85 588 zł
  • Śląski Uniwersytet Medyczny w Katowicach – 25 000 zł
  • Anwara Sp. z o.o. – 21 tyś zł.
  • Cyfrowy Polsat S.A. – 1 136 975 zł (przeprowadzona przez UODO analiza naruszeń wykazała, że administrator zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o incydentach osoby, których one dotyczyły, po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia)
  • P4 Sp. z  o. o. (Play) 100 000 zł(za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych, zgodnie z przepisami Prawa telekomunikacyjnego)
  • Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. – 159.176 zł (brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz brak zawiadomienia o naruszeniu ochrony danych osobowych osoby).

Klauzula informacyjna jako spełnienie obowiązku informacyjnego RODO

Każdy podmiot, który przetwarza w jakikolwiek sposób dane osobowe i pełni rolę administratora tych danych, musi przestrzegać zasad RODO. Jednym z ważniejszych, jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. Tylko osoba skutecznie poinformowana, jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie. Realizacja omawianego obowiązku polega na przedstawieniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Te informacje muszą być przedstawione: zwięźle, przejrzyście, zrozumiale przede wszystkim wyrażone prostym i jasnym językiem. W praktyce oznacza to, że znaczenie ma nie tylko treść klauzuli, ale także jej forma. 

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. 

Są to takie sytuacje jak:

  • osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
  • administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. 

Takie sytuacje jak:

  • pozyskanie danych osobowych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  • pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  • pozyskanie danych osobowych od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Co musi zawierać klauzula informacyjna ?

Jeśli pozyskujemy dane od osoby, której te dane dotyczą (art. 13 RODO), klauzula musi zawierać :

  • tożsamość administratora danych i dane kontaktowe (czyli nazwę, adres, mail, telefon);
  • dane kontaktowe Inspektora Ochrony Danych (jeśli jest powołany – imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu https://uodo.gov.pl/pl/223/1783 );
  • cele przetwarzania danych osobowych i podstawę prawną tego przetwarzania (czyli wskazanie przepisów prawa, które zezwalają nam na przetwarzanie danych);
  • jeśli dane są przetwarzane na podstawie prawnie uzasadnionych interesów administratora lub osoby trzeciej, należy wymienić te interesy;
  • informacje o odbiorcach danych osobowych – czyli firmy, którym powierzamy lub udostępniamy dane osobowe (np biura rachunkowe, firmy ubezpieczeniowe itp.);
  • informację, czy będziemy przekazywali te dane do państwa trzeciego lub organizacji międzynarodowej (należy podać stopień ochrony danych – określa je Komisja Europejska dla państw spoza Unii Europejskiej;
  • okres, przez który będziemy przechowywali te dane albo sposób obliczenia tego okresu;
  • informację o prawach osób, których dane dotyczą (prawo dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych);
  • jeśli przetwarzamy dane na podstawie zgody osoby, konieczne jest poinformowanie o prawie do cofnięcia tej zgody w każdej chwili oraz o tym, że cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informację o prawie wniesienia skargi na nasze działanie związane z przetwarzanie danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych;
  • informację, czy dokonujemy profilowania danych.

Jeśli pozyskujemy dane osobowe w sposób inny niż od osoby, której dane dotyczą, dodatkowo należy podać (art. 14 RODO):

  • nazwy podmiotów, od których pozyskaliśmy dane lub poinformować, że pochodzą one ze źródeł publicznie dostępnych;
  • kategorie danych, które przetwarzamy, np. dane korespondencyjne, dane telefoniczne, dane wrażliwe itp. 

Jak zrealizować obwiązek informacyjny?

Jeżeli administrator będzie pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny podczas pozyskiwania tych danych lub przed pozyskaniem. Realizacja obowiązku informacyjnego powinna zatem nastąpić najpóźniej przed zakończeniem zbierania danych osobowych. 

Przykłady:

  • umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych,
  • spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej (dotyczy to np. telefonicznych biur obsługi klienta),
  • przekazanie podstawowych informacji – warunek dwuetapowy (warstwowy) – z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, np. poprzez podany link.

Termin na spełnienie obowiązku informacyjnego, w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, jest dłuższy (art. 14 ust. 3 RODO). W takim scenariuszu administrator ma maksymalnie miesiąc na zrealizowanie tego obowiązku od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu, jeżeli:

  • dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą,
  • dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu.

Podsumowanie

Osoba, której dane przetwarzamy, ma prawo uzyskać wiedzę o podmiotach uczestniczących w przetwarzaniu jej danych, o procedurach związanych z tymi danymi, zabezpieczeniach oraz swoich prawach, które przysługują jej z tego tytułu. Warunkiem tego jest posiadanie wiedzy o tym, do jakich celów dane będą wykorzystywane. Na administratorze danych ciąży obowiązek przekazania informacji w taki sposób, by jej zrozumienie nie stanowiło problemu. Należy uwzględnić odbiorców, do których ją kierujemy informację. Dotyczy to nie tylko języka, którym będzie napisana (nie może być to język branżowy, techniczny, prawniczy), lecz także jej szaty graficznej. Pamiętaj, że w razie kontroli administrator będzie musiał wykazać, że obowiązek informacyjny został przez niego spełniony (art. 5 ust. 1 lit. a RODO). Jeśli potrzebujesz pomocy w zakresie obowiązku informacyjnego (przykład poniżej) czy innych wymogów ochrony danych osobowych skontaktuj się z nami kontakt@rodo-online.eu więcej na https://rodo-online.eu/

Wzór klauzuli informacyjnej do pobrania

Poniżej znajdą Państwo szablon (wzór) klauzuli informacyjnej dla formularza kontaktowego, wzór gotowy do edycji w excelu.

pobierz

Inspektor Ochrony Danych (IOD), czyli kto? Jakie są jego obowiązki i kto musi go powołać?

Zgodnie z motywem 97 Rozporządzenia (RODO) Inspektor Ochrony Danych to osoba dysponującą fachową wiedzą na temat prawa i praktyk w dziedzinie ochrony danych powoływana przez administratora danych osobowych lub podmiot przetwarzający w celu wspomagania wewnętrznego przestrzegania przepisów RODO.

Według Wikipedii Inspektor Ochrony Danych (IOD) to osoba fizyczna wspierająca administratora danych w realizacji obowiązków dotyczących ochrony danych osobowych. Z tych wyjaśnień wynika że Inspektor to specjalistyczna funkcja, która działa w organizacji administratora lub podmiotu przetwarzającego. IOD nadzoruje i wspiera prawidłowość działań administratora lub podmiotu przetwarzającego dane osobowe.

Obowiązki Inspektora Ochrony Danych

Zadania Inspektora Ochrony Danych zostały opisane w art. 39 ust. 1 RODO, ale jakie zadania ma w praktyce? Praktyka pokazała że większość IOD oprócz zadań obligatoryjnych (zapisanych w RODO) wykonuje zadania fakultatywne (nieobowiązkowe). 

Lista zadań obligatoryjnych Inspektora Ochrony Danych (art. 39 ust. 1 RODO):

  • współpraca z organem nadzorczym (Prezesem UODO);
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, również wynikających z uprzednich konsultacji z organem nadzorczym, oraz – w stosownych przypadkach – prowadzenie konsultacji we wszelkich innych sprawach;
  • pełnienie funkcji punktu kontaktowego dla podmiotów danych (osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO – art. 38 ust. 4 RODO);
  • informowanie Administratora / Podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych, jak również doradzanie im w tej sprawie. IOD występuje tutaj w potrójnej roli: wskazuje obowiązki, rekomenduje sposób ich wykonania, a następnie ocenia poprawność realizacji;
  • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym: podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z nimi audyty. W tym zakresie istotne będzie:
  • zbieranie informacji w celu identyfikacji procesów przetwarzania;
  • analizowanie i sprawdzanie zgodności przetwarzania;
  • informowanie, doradzanie i rekomendowanie określonych działań;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania tej oceny zgodnie z art. 35 RODO. Dokonując oceny, Administrator powinien konsultować się z IOD w następujących kwestiach:
  • konieczności przeprowadzenia oceny skutków dla ochrony danych oraz metodologii tej oceny;
  • wyboru między przeprowadzeniem wewnętrznej oceny a zleceniem jej podmiotowi zewnętrznemu;
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia zagrożeń praw i interesów osób, których dane dotyczą;
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie, oraz jakie zabezpieczenia należy zastosować).

Do fakultatywnych zadań inspektora należą (nieobowiązkowe zadania):

  • Koordynowanie całego procesu oceny skutków dla ochrony danych osobowych.
  • Opracowywanie i aktualizacja polityk ochrony danych
  • Administrowanie oraz kontrola upoważnień do przetwarzania danych osobowych, w tym prowadzenie rejestru nadanych upoważnień.
  • Przygotowywanie lub opiniowanie umów powierzenia przetwarzania danych osobowych, w tym prowadzenie ich rejestru zawartych umów.
  • Udział w procesach związanych z naruszeniami ochrony danych osobowych, w tym prowadzenie rejestru naruszeń, prowadzenie postępowania wyjaśniającego, dokonywanie oceny naruszenia, koordynowanie zgłoszenia naruszenia Prezesowi UODO oraz osobom, których dane dotyczą.
  • Opracowywanie treści klauzul informacyjnych, klauzul zgód na przetwarzanie danych osobowych, oraz innych klauzul / postanowień związanych z przetwarzaniem danych osobowych (np. postanowień w zakresie współadministrowania).
  • Prowadzenie rejestru czynności przetwarzania danych osobowych.
  • Prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu innego administratora danych.
  • Udział w procesie realizacji praw osób, których dane dotyczą, w tym udzielanie odpowiedzi na zapytania, prowadzenie wszelkiej korespondencji, spotkania z osobami realizującymi swoje prawa.
  • Reagowanie na skargi osób, których dane dotyczą, w tym prowadzenie korespondencji ze skarżącym, opracowywanie treści pism w toku postepowania.
  • Udział w postępowaniach administracyjnych oraz sądowych prowadzonych w związku ze skargami osób, których dane dotyczą bądź innymi naruszeniami RODO.
  • Udział w procesach certyfikacji oraz przystępowania do funkcjonujących kodeksów postępowania.
  • Kontrola podmiotów przetwarzających.

Katalog fakultatywnych zadań nie ma charakteru zamkniętego. Istotne jest jedynie, aby wykonywanie tych zadań nie powodowało konfliktu interesów ani nie naruszało zasady niezależności IOD. 

Kto ma obowiązek powołania Inspektora Ochrony Danych?

Możliwość lub obowiązek powołania Inspektora Ochrony Danych wynika z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływie takich danych (Dz. Urz. UE L 2016 Nr 119, str. 1) (inaczej RODO). Obowiązkowe powołanie Inspektora Ochrony Danych zgodnie z RODO występuje w trzech przypadkach, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Przepisy zostały skonstruowane w taki sposób, aby obowiązek wyznaczenia Inspektora Ochrony Danych był wszędzie tam, gdzie danych osobowych jest dużo lub/i powinny być szczególnie chronione. RODO nie zawiera żadnych przeciwskazań co do powołania IOD w przypadku, gdy organizacja nie ma takiego obowiązku. Dobrowolne wyznaczenie IOD ma wiele korzyści dla organizacji między innymi: wiemy kto w organizacji jest odpowiedzialny za spełnienie obowiązków wynikających z RODO, usprawnić procesy obsługi klientów (zbierania i przetwarzania danych osobowych), a tym samym zyskać przewagę na konkurencją, działać zgodnie z prawem i uniknąć dotkliwych kar finansowych. Urząd Ochrony Danych wręcz zachęca do powoływania IOD z uwagi na fakt, że taka praktyka podnosi poziom bezpieczeństwa danych osobowych. 

Komu powierzyć funkcję IOD –  pracownikowi czy podmiotowi zewnętrznemu?

Inspektor Ochrony Danych Osobowych może być pracownikiem administratora lub podmiotu przetwarzającego albo wykonywać zadania na podstawie umowy o świadczenie usług. Nowe wytyczne opublikowane na stronie UODO (https://uodo.gov.pl/pl/223/2050) mówią, że wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora powinno następować na podstawie umowy o świadczenie usług, nie potrzebna jest umowa powierzenia danych. 

Administrator powinien pamiętać, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych w organizacji. Powinien zapewnić m.in., aby:

  • IOD uczestniczył w podejmowaniu decyzji mających wpływ na ochronę danych wspólnie podczas zmian w organizacji,
  • IOD mógł zapoznać się z niezbędnymi informacjami, które powinny zostać mu odpowiednio wcześniej udostępnione,
  • opinia IOD była zawsze należycie uwzględniana w działalności organizacji, 
  • w przypadku stwierdzenia naruszenia ochrony danych lub innego incydentu, następowała niezwłoczna konsultacja z IOD.

Podsumowanie

Bezsprzecznie administrator lub podmiot przetwarzający, działając we własnym interesie, powinien powołać osobę, która ma wiedzę i umiejętności pozwalające na prowadzenie skutecznego nadzoru nad administrowanymi przez niego danymi osobowymi. Przepisy RODO nie wprowadzają wymogu posiadania przez IOD jakichkolwiek certyfikatów, czy poświadczeń ukończenia odpowiednich szkoleń itp., jednak tego typu dokumenty mogą być pomocne administratorowi w dokonaniu oceny spełniania przez inspektora ochrony danych kryterium doświadczenia i odpowiednich kwalifikacji. Oceny wiedzy fachowej na temat prawa oraz praktyki w obszarze ochrony danych osobowych warto dokonywać również w kontekście specyfiki, jak również konkretnych potrzeb administratora, w tym rodzaju i stopnia zagrożeń, jakie określona działalność może nieść dla praw i wolności podmiotów danych. 

Jesteś administratorem?

Polecamy swoje usługi w zakresie przejęcia funkcji IOD, więcej informacji pod adresem:
https://rodo-online.eu/uslugi-iod/

Jesteś Inspektorem Ochrony Danych?

Zapoznaj się z oprogramowaniem dla IOD, dzięki któremu zrealizujesz wszystkie swoje zadania: https://rodo-online.eu

Podsumowanie 3 lat funkcjonowania RODO w Polsce

Przez okres trzech lat funkcjonowania RODO (od 25 maja 2018 roku) nałożono w Polsce 22 kary pieniężne na łączną sumę 8 922 251 zł (najniższa kara wynosiła 5 tyś zł, a najwyższa 2 800 000 zł). Kary nakładane były za różny stopnień przewinień;począwszy od brakuobowiązku współpracy z organem nadzorczym (UODO) w ramach wykonywania przez niego swoich zadań, w tym niezapewnienia organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań, aż po niespełnianie obowiązku informacyjnego, braku zgodności przetwarzania danych osobowych z prawem, bezpodstawnym ujawnianiem danych osobom nieupoważnionym, kradzieżą danych osobowych oraz niewystarczającym zabezpieczaniem ich przetwarzania. Każda sprawa była rozpatrywana oddzielnie, z uwzględnieniem poniższych okoliczności:

  • umyślny lub nieumyślny charakter czynu,
  • czas trwania, charakter i waga naruszenia,
  • czy dany podmiot dopuszczał się w przeszłości podobnych czynów,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego oraz wdrożone środki techniczne i organizacyjne,
  • współpraca z prezesem UODO skierowana na usunięcie naruszenia i złagodzenie jego potencjalnych negatywnych konsekwencji,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ dowiedział się o czynie (czy administrator lub podmiot przetwarzający sami go zgłosili).

Wnioski nasuwają się same – nie można wprowadzić RODO w trybie przyspieszonym, niepełnym lub nie mając o nim pojęcia. Wiedza potrzebna do wprowadzenia u Administratora RODO z odpowiednio akceptowalnym poziomem ryzyka naruszenia praw lub wolności osób fizycznych, musi być bardzo obszerna. Składają się na to m. in. znajomość RODO, znajomość specyfiki branży, aktów prawnych, wytycznych UODO, Grupy Roboczej Art. 29, zagadnień związanych z bezpieczeństwem IT. 

Dziwi jednak fakt, iż nadal wiele firm z różnych branż nie zrobiło nic lub niewiele, a zdążają się również takie (np. sklepy internetowe), gdzie w ich klauzulach informacyjnych widnieją dane innych podmiotów (czyli kopiuj-wklej bez merytorycznego sprawdzenia). Wiele firm nie zdaje sobie sprawy ile ciąży na nich obowiązków związanych z RODO – do najważniejszych możemy zaliczyć m.in. dopasowanie zabezpieczeń do poziomu ryzyka, odpowiednie przygotowanie klauzul informacyjnych dla pracowników, klientów, dotyczących monitoringu, odpowiednie postępowanie w sytuacji incydentów/naruszeń danych osobowych, czy wywiązywanie się z realizacji praw osób fizycznych. 

Jest to tylko część zagadnień, które Administrator (jego pojęcie ma bardzo szeroki zakres znaczeniowy, gdyż może nim być w zasadzie każdy podmiot, o ile ustala cele i sposoby przetwarzania danych osobowych) musi wziąć pod uwagę tworząc dokumentację ochrony danych osobowych (Politykę ODO składającą się z regulaminów i procedur).

Kary jak widać mają duży przestrzał kwotowy, więc może się zdarzyć, że nawet przy niewielkich zaniedbaniach lub zaniechaniach może dotknąć nas jako Administratora odczuwalna kara. Warto więc się oswoić z ochroną danych osobowych aby był to wyznacznik normalności i dobrych praktyk. Każdy przecież chce aby nasze dane były dobrze chronione, w podmiotach, które nasze dane przetwarzają zgodnie z wybraną podstawą przetwarzania. A jeżeli już dojdzie do naruszeń to mamy również prawo być o tym informowani, zgodnie z obowiązkami nałożonymi na Administratorów.

Dla wielu naszych klientów (IOD, ADO), korzystających z naszego serwisu https://rodo-online.eu/ w ciągu tych kilku lat bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach. Warto zaznaczyć, iż w tym czasie wykonanych zostało 29 obszernych aktualizacji serwisu, skupiających się na wytycznych naszych klientów, które ułatwiły im znacznie pracę w serwisie. Warto podkreślić, iż nasz serwis jest stale rozbudowywany, na tym polega jego fenomen, że ciągle słuchamy potrzeb naszych klientów za co jesteśmy doceniani. Jeśli nie będziesz sam lub za pomocą swoich pracowników wdrożyć RODO skontaktuj się z nami stworzymy niezbędne dokumenty czy przejmiemy funkcję Inspektora Ochrony Danych (IOD). 

Kontrola trzeźwości pracowników dozwolona czy nie?

Publikujemy kolejny artykuł z serii odpowiedzi na pytania naszych klientów. Poruszymy problematyczny temat, który trapi nie tylko naszych klientów ale większość pracodawców. Badanie trzeźwości pracowników, między innymi w ramach prewencji czy jest to dozwolone czy nie ?.  Jest to jeden z najbardziej kontrowersyjnych tematów nie tylko z punktu widzenia ochrony danych, ale i kodeksu pracy. Twa wiele dyskusji na różnego specjalistycznych forach internetowych, temat ten był poruszany od dawna, a teraz nabiera na sile. Wydaje się, że specjaliści prawa pracy są za badaniem trzeźwości pracowników. Natomiast duża ilość specjalistów z zakresu danych osobowych jest przeciwnych takim badaniom. Temat jest na tyle gorący, że sprawą pod koniec 2020 roku zainteresował się Rzecznik Praw Obywatelskich, natomiast wcześniej mieliśmy dwie interpretacje w tej sprawie na stronie internetowej UODO (https://uodo.gov.pl/pl/138/1076, https://uodo.gov.pl/pl/138/1188). PUODO w tych tekstach informuje, że dane o stanie nietrzeźwości pracownika stanowią dane szczególnej kategorii, ponieważ wskazuje na jego stan zdrowia. Wielu znawców z dziedziny ochrony danych się z tym nie zgadza, jak również my. Wynik badania trzeźwości w żaden sposób nie wskazuje na stan zdrowia, a jedynie na fakt spożycia alkoholu. Nie każdy kto spożywa alkohol jest alkoholikiem. Nawet jeśli pracodawca kilkukrotnie w krótkim czasie przeprowadził kontrolę pracownika, a on miał pozytywne wyniki pomiaru. 

Sąd Najwyższy dopuszcza stosowanie wyrywkowych kontroli trzeźwości

Inne stanowisko wyraził Sąd Najwyższy, który w jednym ze swoich wyroków dopuszcza stosowanie wyrywkowych kontroli trzeźwości.  Możliwe to jest w sytuacjach, w których z uwagi na charakter pracy lub zakładu pracy istnieje ryzyko zagrożenia dla życia i zdrowia. Wskazał zarazem, że poddanie się profilaktycznym badaniom na trzeźwość należy zakwalifikować do podstawowych obowiązków pracownika, a uchylenie się od tego należy traktować jako ich naruszenie. Jednakże analizując głębiej wyrok można stwierdzić że badanie firmowym alkomatem może mieć tylko „pomocniczy” charakter, a wiążącego badania trzeźwości pracownika może dokonać tylko uprawniony organ powołany do ochrony porządku publicznego. Wynik przeprowadzonego firmowym alkomatem badania może stanowić wyłącznie podstawę do wezwania na miejsce policji, a nie do wręczenia dyscyplinarnego zwolnienia. Daje tym samym sygnał, że wynik badania firmowym alkomatem nie jest dowodem wiarygodnym. 

Kwestie kontroli trzeźwości pracowników zostały uregulowane w art. 17 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, który brzmi następująco:

  1. Kierownik zakładu pracy lub osoba przez niego upoważniona mają obowiązek niedopuszczenia do pracy pracownika, jeżeli zachodzi uzasadnione podejrzenie, że stawił się on do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy. Okoliczności stanowiące podstawę decyzji powinny być podane pracownikowi do wiadomości.
  2. Uprawnienia kierownika zakładu pracy, o którym mowa w ust. 1, służą również organowi nadrzędnemu nad danym zakładem pracy oraz organowi uprawnionemu do przeprowadzenia kontroli zakładu pracy.
  3. Na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej, a także na żądanie pracownika, o którym mowa w ust. 1, badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego. Zabiegu pobrania krwi dokonuje osoba posiadająca odpowiednie kwalifikacje zawodowe. Do badania stanu trzeźwości stosuje się przepisy, wydane na podstawie art. 47 ust. 2.

W związku z tym duże grono zakładów pracy na przykład w branży górniczej, komunikacji miejskiej, transportowej czy lotniczej. Przeprowadza kontrole trzeźwości i jest to na porządku dziennym. Ochrona zdrowia i życia powinna być więc traktowana jako wartość nadrzędna w prawie pracy. Pozbawienie pracodawców możliwości kontrolowania stanu trzeźwości pracowników w sposób bardzo istotny utrudniałoby, o ile nie uniemożliwiłoby w ogóle realizację tego obowiązku. 

Gdy dochodzi do konfliktu wartości należy chronić bezpieczeństwo pracy

Dopuszczenie do pracy pracowników będących pod wpływem alkoholu w przypadku niektórych branż stanowiłoby istotne narażenie nie tylko zdrowia i życia nietrzeźwego pracownika, ale również zdrowia i życia pozostałych pracowników uczestniczących w procesie pracy oraz klientów. W branżach jak wyżej wymienionych czy w przypadku lekarza czy operatora maszyn nikt raczej nie ma wątpliwości, że kontrola stanu trzeźwości powinna być dopuszczalna. Pracodawcy nie mogą sobie pozwolić na takie ryzyko, nawet jeśli realizując swój obowiązek zapewnienia bezpieczeństwa pracy mieliby „przy okazji” naruszyć dobra osobiste pracowników, poddając ich pewnym niedogodnością związanym z badaniem. Przeprowadzenie kontroli trzeźwości powinno być zatem „usprawiedliwione” realizacją przez pracodawców podstawowych obowiązków z zakresu bezpieczeństwa. Gdy dochodzi do konfliktu wartości, chroniąc bezpieczeństwo pracy (a dalej zdrowie i życie pracowników) pracodawca może poświęcić takie wartości jak dobra osobiste pracowników. Zachodzi tu pewne podobieństwo do znanej z prawa karnego konstrukcji stanu wyższej konieczności. Argument ten jest również szczególnie istotny w kontekście sporu o dopuszczalność przetwarzania przez pracodawcę danych osobowych w świetle przepisów o ochronie danych osobowych.

Wprowadzenie odpowiedniej polityki prewencji alkoholowej.

Reasumując, w naszej ocenie, mimo dość różnorodnych opinii w tej kwestii, istnieją uzasadnione racje dla stosowania przez pracodawców własnych kontroli trzeźwości, a w przypadku niektórych branż, również kontroli wyrywkowych. Jednakże, aby minimalizować ryzyko potencjalnych zarzutów pracowników co do nierzetelności prowadzonych badań bądź ewentualnych negatywnych wyników kontroli (PIP lub UODO), niezbędne jest wprowadzenie odpowiedniej polityki prewencji alkoholowej. Przy wdrożeniu takiej polityki bardzo ważne jest również, aby pracodawcy odpowiednio wyważyli ryzyka związane z miejscem i charakterem pracy z jednej strony, a koniecznością ochrony dóbr osobistych pracowników oraz wątpliwościami dotyczącymi zasad pozyskiwania i przetwarzania danych osobowych z drugiej strony. W naszej ocenie odpowiednie ukształtowanie takiej regulacji uzasadniać może zarówno żądanie poddawania się pracowników kontrolom trzeźwości, a przy jednoczesnym określeniu skutków odmowy poddania się przez pracowników badaniom regulacja taka może dać podstawę do wyciągania właściwych konsekwencji wobec pracowników. Potrzeba jest stworzenia regulacji prawnej usuwającej wątpliwości co do podstaw prawnych badania prewencyjnego trzeźwości pracownika i zażywania przez niego substancji psychotropowych oraz respektującej jego prawo do prywatności. 

Jeśli chcesz stworzyć odpowiednie procedury, regulacje, skontaktuj się z naszymi doświadczonymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Podsumowanie roku 2020

Kary Prezesa UODO – Podsumowanie roku 2020

Przy kończącym się już za 4 dni roku, chcielibyśmy przypomnieć jak ten trudny dla wszystkich 2020 rok wpłynął na nakładane kary w Polsce. 

Można już podsumować, że nałożonych zostało 8 kar na łączną kwotę 2 mln 190 tyś złotych. Rekordzistą w wysokości nałożonej kary stał się Virgin Mobile Polska z kwotą 1,9 mln zł. za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych (osoby nieuprawnione miały krótkotrwały dostęp do systemów, naruszenie miało poważny charakter i dotyczyło dużej ilości osób oraz wiązało się z dużym ryzykiem negatywnych skutków). Wiele kar zostało również nałożonych za to, iż Administrator nie zapewnił organowi nadzorczemu (kontrolerom UODO) dostępu do danych osobowych i pomieszczeń w celu przeprowadzenia kontroli, za co została nałożona kara 100 tyś zł na Głównego Geodetę Kraju, 5 tyś na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole, 15 tyś zł na Spółkę East Power, 20 tyś zł na spółkę Vis Consulting. 

Warto również przypomnieć o karze 20 tyś złotych z początku roku, która została nałożona na szkołę podstawową w Gdańsku, gdzie wykorzystywano biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie.

Powyższe kary są nakładane głównie za to, iż Administratorzy nie są świadomi odpowiedzialności za dane osobowe, które przetwarzają. W większości nie zabezpieczali ich w stopniu odpowiednim, bez przeprowadzenia konkretnego zidentyfikowania ryzyk, ich oceny oraz odpowiedniego z nimi podstępowania. Zauważyć też można brak chęci współpracy Administratorów z organem nadzorczym czyli Prezesem Urzędu Ochrony Danych Osobowych, który w ramach zadań nadanych przez art. 57 RODO monitoruje i egzekwuje stosowanie RODO.

Nałożone w tym roku kary pokazują nam niedostosowanie niektórych spółek, firm oraz organizacji do tego co wymaga od nas RODO, ustawa o ochronie danych osobowych i inne wytyczne m.in. urzędu ochrony danych osobowych. Dlatego tym bardziej warto wdrożyć się w dane osobowe, które Państwo przetwarzają ponieważ za ich przetwarzanie odpowiada Administrator czyli organ, jednostka organizacyjna, podmiot lub osoba decydująca (samodzielnie) o celach i środkach przetwarzania danych osobowych.

Aby spełnić wymogi związane z ochroną danych osobowych zachęcamy Państwa do skorzystania z naszego programu do obsługi RODO dostępnego pod adresem https://panel.rodo-online.eu, które upraszcza pracę Administratorów oraz Inspektorów Ochrony Danych Osobowych w ich codziennych obowiązkach. Program RODO-Online ułatwi Państwu wdrożenie RODO w swoich firmach. W tym roku wprowadziliśmy wiele poprawek oraz nowych pomocnych funkcji aby program był dopasowywany do bieżących potrzeb zarówno małych jak i dużych firm. To Państwa uwagi przyczyniają się do rozwoju systemu, za co bardzo dziękujemy i zapraszamy do dalszej współpracy w nadchodzącym 2021 roku. 

Cała załoga RODO-ONLINE.EU życzy aby Nowy Rok przyniósł Państwu spełnienie najskrytszych marzeń, ogromne powodzenie i sprawił, że radość i pogoda ducha nie będą Państwa opuszczały nawet na krok. W imieniu wszystkich pracowników firmy mam przyjemność złożyć Państwu życzenia zdrowia, wszelkiej pomyślności w życiu osobistym oraz ogromu sukcesów na polu zawodowym.

Zapraszamy do kontaktu z naszymi specjalistami:

e-mail:pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Czy w przypadku kierowania ucznia czy studenta na praktyki zawodowe konieczna jest umowa powierzenia ?

W ostatnim czasie kilku naszych klientów miało pytanie. Czy jeśli podpisali ze szkołą lub uczelnią umowę (porozumienie) dotyczącą praktyk zawodowych to powinni również podpisać umowę powierzenia przetwarzania danych lub powinni zastosować zapisy dotyczące powierzenia w umowie głównej ?

W pierwszej kolejności należy wskazać, że w rozumieniu art. 4 pkt 7 RODO szkoła lub uczelnia jest administratorem danych osobowych swoich uczniów czy studentów.

Zgodnie z przepisami RODO konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator danych osobowych zleca przetwarzanie danych innemu podmiotowi (podmiotowi przetwarzającemu). Wówczas podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Kwestie związane z praktyczną nauką zawodu uregulowane zostały w ustawie Prawo oświatowe oraz w rozporządzeniach wykonawczych. Zgodnie z przepisami rozporządzenia Ministra Edukacji Narodowej z dnia 22 lutego 2019 r. w sprawie praktycznej nauki zawodu, uczniowie i słuchacze (dalej: uczniowie) publicznych szkół ponadgimnazjalnych prowadzących kształcenie zawodowe uczestniczą w zajęciach praktycznych bądź praktykach zawodowych.

Organizację praktyk studenckich reguluje ustawa z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce. Zgodnie z art. 67 ust. 5 tej ustawy studia są prowadzone na podstawie programu studiów, który może przewidywać odbycie przez studenta praktyk zawodowych (art. 67 ust. 5). Ponadto z przepisów tych wynika, że realizacja praktyk stanowi jeden z obowiązków studenta (art. 107 ust. 2 pkt 2). Zatem skierowanie studenta przez uczelnię do odbycia praktyk wynika z programu studiów, a praktyki te mają na celu uzyskanie przez studenta efektów uczenia się kształtujących umiejętności praktyczne, o których mowa w art. 64 ust. 2 pkt 1 powyższej ustawy.

W przypadku organizacji praktycznej nauki zawodu przez szkołę lub praktyki studenckiej przez uczelnię przekazują one na mocy umowy (porozumienia) dane osobowe uczniów czy studentów podmiotowi, z którym zawarły umowę o realizacje takiej nauki. Podmiot ten z chwilą otrzymania danych ucznia czy studenta staje się ich administratorem. Zwrócić bowiem należy uwagę, że zarówno szkoła czy uczelnia, jak i pracodawca mają określone role i zadania związane z organizacją praktycznej nauki zawodu czy praktyki studenckiej. Pracodawca zapewnia możliwość faktycznego odbywania praktyk, zapoznając praktykanta m.in. z organizacją pracy, regulaminem oraz dyscypliną pracy. Może też upoważnić go do przetwarzania danych osobowych, jeżeli będzie to niezbędne w  związku z odbywaniem praktyki.

Oznacza to, że zarówno szkoła czy uczelnia, jak i podmiot przyjmujący uczniów czy studentów na praktyczną naukę zawodu jak i praktyki studenckie występują w roli odrębnych administratorów. Wobec powyższego – skoro nie występuje sytuacja określona w art. 28 RODO (tj. przetwarzanie danych w imieniu administratora) – nie ma obowiązku zawierania umowy powierzenia przetwarzania danych osobowych. W tej sytuacji mamy do czynienia z udostępnieniem danych osobowych niebędącym powierzeniem – podmiot, który otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego.

Podsumowując każda ze stron tej umowy (porozumienia) przetwarza dane ucznia czy studenta dla realizacji swoich celów oraz obowiązków i w tym zakresie jest administratorek danych. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.