Czy nadal jest potrzebna zgoda na przetwarzanie danych osobowych w CV?

Czy nadal jest potrzebna zgoda na przetwarzanie danych osobowych w CV?

Przed wejściem RODO wymagano wpisywania w CV klauzuli „Wyrażam zgodę na przetwarzanie moich danych osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r.”. Po wejściu w RODO, niektórzy nadal wymagali tej klauzuli, pomimo, że ustawa z 1997 r. już nie obowiązywała. Duża część przedsiębiorców zaczęła jednak wymagać umieszczania w CV klauzuli „Wyrażam zgodę na przetwarzanie moich danych osobowych na podstawie RODO”. I takową wymagają do dziś. Więc czy taka zgoda jest potrzebna? Żądanie takiej zgody, co do zasady, jest bezpodstawne. Pracodawca przetwarza bowiem dane osobowe kandydata do pracy na podstawie art. 221 § 1 kodeksu pracy (Dz.U.2020.0.1320 t.j. – Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy).

Zgodnie z Kodeksem Pracy Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;

5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

§ 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.

Zatem jeżeli kandydat zamieścił z własnej inicjatywy inne dane osobowe, nie należące do szczególnej kategorii danych (o których mowa w art. 9 RODO), to wydaje się, że pracodawca może je przetwarzać na podstawie zgody, która przejawia się np. na przesłaniu pracodawcy życiorysu i listu motywacyjnego.

Potwierdza to zresztą treść art. 221a kodeksu pracy. Przy czym w artykule tym mamy wskazany wyjątek. Pracodawca może przetwarzać dane osobowe, o których mowa w art. 10 RODO, tj. dotyczące wyroków skazujących i naruszeń prawa tylko i wyłącznie wtedy kiedy pozwalają mu na to wyraźnie przepisy.

Kiedy zgoda kandydata na przetwarzanie danych osobowych w CV jest niezbędna?

Wyraźna zgoda kandydata jest niezbędna, np. w formie klauzuli w CV lub osobnego dokumentu, na przetwarzanie danych osobowych w dwóch przypadkach. 

Po pierwsze, pracodawca może przetwarzać dane osobowe kandydata szczególnej kategorii (tzw. dane wrażliwe), które kandydat zamieścił z własnej inicjatywy, tylko wtedy gdy kandydat wyraził jednocześnie wyraźną zgodę na ich przetwarzanie. Ponadto, zgodnie z art. 221b kodeksu pracy przetwarzanie danych szczególnej kategorii na podstawie zgody jest możliwe wyłącznie gdy ich przekazanie nastąpiło z inicjatywy kandydata. 

Po drugie, jeżeli pracodawca ma przetwarzać dane osobowe kandydata w innych, kolejnych rekrutacjach niezbędna jest zgoda kandydata wyrażona w następujący sposób: „Wyrażam zgodę na przetwarzanie danych osobowych w celu wykorzystania ich w kolejnych naborach prowadzonych przez firmę XYZ… przez okres najbliższego roku”. W innym wypadku po zakończeniu rekrutacji, pracodawca powinien usunąć dane osobowe kandydata, bez możliwości ich ponownego wykorzystania.

Jeżeli zastanawiają się Państwo nad przyszłymi rekrutacjami oraz jak powinna wyglądać klauzula informacyjna dla kandydatów do pracy, zapraszamy do kontaktu z naszymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Zagrożenia z sieci dla naszych danych osobowych – phishing

Każdego z nas może spotkać zagrożenie dla naszych danych osobowych nadchodzące z sieci. Żadne zabezpieczenia, czy to logiczne, czy fizyczne nie uchronią nas przed codziennie to nowo pojawiającymi się pomysłami na wyłudzenie czy kradzież naszych danych osobowych, w tym naszych zdjęć, informacji o finansach itp. Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Zagrożenia, o których chcemy wspomnieć, najczęściej określane są jako phishing. Najbardziej popularna definicja określa phishing jako metodę oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. 

Obecnie, skala problemu jest ogromna, a to z powodu rozwoju technologii w ostatnich czasach. W każdej chwili możemy zrobić przelew z telefonu, laptopa, tabletu, komputera stacjonarnego czy innego urządzenia, które może podłączyć się do Internetu i korzystać z przeglądarki internetowej. Programy te nie zawsze znajdują się na stronach w sieci, ale również mogą być wysłane za pośrednictwem maila w postaci załączników, o które nie podejrzewalibyśmy że są zainfekowane. Dla przykładu mogą to być większe pliki excel’a, które będą zawierać złośliwe oprogramowanie. 

Czytając tego typu wiadomości np. wysłane z kadr, od firmy kurierskiej, od szefa, firm zewnętrznych, zwróćmy uwagę, iż często nie są one agresywne w swej treści, zawierają krótką informację i często zawierają niewielki załącznik wyglądający na plik, o znanym rozszerzeniu charakterystycznym dla plików WORD, EXCEL, paczka .zip, z którymi pracujemy na co dzień.

Aby uchronić się przed atakiem typu phishing zwróćmy szczególną uwagę na wiadomości zawierające prośbę o podanie danych osobowych, finansowych, w których nadawca prosi o pilne zalogowanie się czy wypełnienie formularza. Jeśli jakaś wiadomość wzbudza Twoje podejrzenia nie klikaj w linki w niej zawarte, nie otwieraj załączników i niezwłocznie powiadom o otrzymaniu takiego maila przełożonego i osoby odpowiedzialne za bezpieczeństwo informatyczne, a następnie wykonaj wszystkie polecenia tychże osób. 

W przypadku przekierowania na stronę logowania instytucji, sklepu, systemu wyglądającą podobnie do tej z której korzystasz na co dzień, zwróć uwagę, czy adres strony lub maila jest prawidłowy, często może różnić się jedną literą lub znakiem. Podczas dokonywania zakupów po raz pierwszy w sklepie internetowym, sprawdź dane kontaktowe właściciela sklepu, poszukaj opinii na jego temat. Jeśli strona wzbudzi Twoje podejrzenia najlepiej wycofać się z zakupów w tym sklepie. Sprawdź informacje o domenie np. pod adresem: https://centralops.net/co/domaindossier.aspx

Podczas dokonywania zakupów w Internecie, upewnij się, czy przeglądarka nie wyświetla komunikatu o tym, że strona na którą wchodzisz jest podejrzana. Sprawdź, czy w adresie strony znajduje się informacja o protokole https, czy widoczna jest „kłódka”, a po kliknięciu w nią wyświetlane są informacje na temat certyfikatu. Przejrzyj historię strony internetowej np. pod adresem: https://web.archive.org/

Jeśli w tego typu bazie adres nie zostanie znaleziony, istnieje duże prawdopodobieństwo, że strona „chce wyłudzać” nasze dane. Nawet jeśli informacja przekazywana jest od osoby wyższego szczebla, a wydaje nam się nawet w najmniejszym stopniu podejrzana, uważnie musimy sprawdzać co pobieramy i czy strona, z której pobieramy pliki nie jest podejrzana. 

Pamiętać należy o zmianie haseł do kont na różnych portalach bankowych i platformach, z których korzystamy.Głównym sposobem uniknięcia phishingu jest świadomość jego istnienia, zdrowy rozsądek oraz edukacja w zakresie nowych sposób wyłudzenia danych. Wiele osób może nie zdawać sobie nawet sprawy z tego, że jest atakowana i próbuje się od niej wyłudzić informację. Pamiętajmy, że osoby które chcą wyłudzić od nas informacje potrafią zrobić wiele, szczególnie jeżeli w grę wchodzą nasze dane osobowe, które mogą posłużyć do kradzieży, podszycia, wyłudzenia.

Jeżeli chcą Państwo odbyć szkolenie podczas przeprowadzaniu audytu, w których omawiany jest też m.in. phising, proszę się do nas zgłosić: tel. +48 885 206 000 / +48 885 960 500 lub mailowo pomoc@rodo-online.eu

Mierzenie temperatury pracowników i osób trzecich przebywających na terenie firmy.

Zaczął się już ósmy miesiąc pandemii COVID-19 w Polsce, niestety nie widać jeszcze jej końca.  Gospodarka działa w trybie ograniczonym z zachowaniem sanitarnego rygoru, dlatego też wielu przedsiębiorców wprowadziło lub zamierza wprowadzić środki bezpieczeństwa w postaci mierzenia temperatury pracowników oraz ewentualnie innych osób pojawiających się w zakładzie pracy (klientów, dostawców). Biorąc pod uwagę, że jednym z podstawowych objawów zakażenia koronawirusem jest gorączka, wydaje się, że mierzenie temperatury jest oczywistą metodą służącą zapewnieniu bezpiecznych warunków pracy i zapobieganiu zakażeniom.

Niestety prowadzone dotychczas regulacje prawne, wydane wytyczne i stanowiska są po prostu sprzeczne.  Stan prawnej niepewności istotnie zwiększa ryzyko prowadzenia działalności gospodarczej, jak również potencjalne zagrożenie dla ochrony praw i wolności osób, których dane dotyczą. Co więcej, wytyczne GIS wskazują, że temperatura może być mierzona pracownikom za ich zgodą, podczas gdy PUODO uważa, że zgoda nie może stanowić podstawy przetwarzania danych osobowych w tym przypadku. 

Wytyczne dla zakładów produkcyjnych, które pojawiły się jakiś czas temu na stronie GIS oraz na stronie Ministerstwa Rozwoju, jednak dość szybko zniknęły z obu miejsc publikacji. Wydaje się zatem, że nie można ich traktować jako obowiązujących, chociaż w porównaniu do pozostałych dotychczas wydanych wytycznych, przedmiotowy dokument zawierał najbardziej szczegółowe zalecenia. W szczególności zalecano wdrożenie bezdotykowego mierzenia temperatury u pracowników i gości przy wejściu do zakładu. Mierzenie temperatury miało odbywać się, w miarę możliwości, poza budynkiem zakładowym, a pracownicy, stojąc w kolejce, mieli zachować przynamniej 1,5-metrowy odstęp. W przypadku stwierdzenia podwyższonej temperatury (powyżej 38 stopni C) lub wyraźnych oznak choroby jak uporczywy kaszel, złe samopoczucie, trudności w oddychaniu, dana osoba nie mogła zostać wpuszczona na teren zakładu. 

Większość organów nadzorczych w UE nie widzi również możliwości przetwarzania tego typu danych osobowych na podstawie zgód osób, którym mają być dokonywane pomiary temperatury. Wśród podstaw prawnych mogących uzasadniać przetwarzanie danych osobowych pozyskanych w związku z pomiarem temperatury np. AEPD wskazuje potencjalnie art. 9 ust. 2 lit. b lub lit. i  RODO, jednak w powiązaniu z odpowiednimi przepisami prawa, zawierającymi należyte gwarancje ochrony praw i wolności osób, których dane dotyczą. Istotną kwestią poruszoną przez AEPD jest także konieczność określenia wymagań technicznych urządzeń, które mają być stosowane w celu dokonywania pomiarów temperatury. Polskie organy wspominają jedynie ewentualnie o bezdotykowych termometrach, nie odnosząc się wprost do tego, czy możliwe byłoby stosowanie np. kamer termowizyjnych, które aktualnie stanowią coraz popularniejsze narzędzie dokonywania pomiarów. AEPD wskazuje na potrzebę ustalenia, jakie wskaźniki urządzeń przesądzałyby o adekwatności dokonywanych pomiarów, aby do mierzenia temperatury były wykorzystywane narzędzia o odpowiednich, zatwierdzonych parametrach. Poszczególne urządzenia mogą się bowiem różnić poziomem czułości i precyzji dokonywanych pomiarów. Przyjęcie jednolitych przepisów usunie stan niepewności, jakiego doświadczają aktualnie pracodawcy, chcący z jednej strony zapewnić bezpieczne warunki pracy swoim pracownikom, klientom, gościom chroniąc ich zdrowie oraz życie, a z drugiej strony dążąc do tego, aby ich działania były zgodne z przepisami dotyczącymi ochrony danych osobowych. Jednocześnie przyjęcie takich regulacji zabezpieczy poszanowanie praw i wolności osób, wobec których środki te mają być stosowane. Aktualne rozbieżności w stanowiskach i wytycznych przedstawianych przez PUODO oraz GIS, chociażby w zakresie dopuszczalnych podstaw prawnych przetwarzania danych osobowych w postaci informacji o temperaturze ciała, pozwalają wnioskować, że zalecane aktualnie środki bezpieczeństwa mogą prowadzić do naruszenia podstawowych praw i wolności osób, których dane osobowe są przetwarzane.

Wyjściową podstawą prawną przetwarzania danych osobowych pracowników może być art. 9 ust. 2 lit. b RODO, tj. niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. 

Zgodnie bowiem z treścią art. 207 § 1 kodeksu pracy pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. W szczególności pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Szczególnym obowiązkiem jest reagowanie na potrzeby w zakresie bezpieczeństwa i higieny pracy oraz dostosowywanie środków podejmowanych w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy. Mając na względzie ww. regulację prawną oraz aktualną sytuację związaną z epidemią koronawirusa, należy uznać, że pracodawca powinien dążyć do minimalizacji ryzyka związanego z transmisją wirusa. Środkiem temu służącym jest mierzenie temperatury oraz zbieranie innych informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19. 

Przywołane przepisy kodeksu pracy wymagają jednak doprecyzowania w zakresie zasad stosowania wymienionych środków, aby ich stosowanie odbywało się z poszanowaniem zasad ochrony danych osobowych. Takie przepisy prawa powinny stanowić wyraźną podstawę prawną dla przetwarzania danych osobowych przez pracodawców oraz regulować co najmniej: 

  • dopuszczalne formy mierzenia temperatury;
  • ustalenie, czy i w jakiej formie zapisy pomiarów mogą być rejestrowane;
  • próg temperatury;
  • określenie ewentualnie innych działań, jakie powinny zostać podjęte wobec pracownika w razie stwierdzenia u niego podwyższonej temperatury, dopuszczalność i zasady mierzenia temperatury innym osobom przebywającym na terenie zakładu pracy;
  • rozstrzygnięcie, czy mierzeniu temperatury mogą podlegać także klienci punktów usługowych, gastronomicznych i innych przedsiębiorstw prowadzących lokal przeznaczony do obsługi osób, a także tryb badania i konsekwencje, jakie ma pociągać za sobą wykrycie podwyższonej temperatury;
  • dopuszczalność gromadzenia od pracowników, a także innych osób przebywających na terenie zakładu pracy, danych osobowych w postaci informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19, a także ustalenie zakresu zbierania takich danych.

Podsumowując zarówno Prezes Urzędu Ochrony Danych Osobowych jaki i Przewodnicząca Europejskiej Rady Ochrony Danych podchodzą bardzo zachowawczo do tematu przetwarzania danych osobowych w świetle obecnej pandemii. W swoich wypowiedziach powołują się na przepisy prawne wprowadzane w związku z zaistniałą sytuacją. Z tych z kolei wynika to co przedstawiono powyżej – nic jednoznacznego. Na stronie UODO (www.uodo.gov.pl) obecnie znajduje się kilka artykułów odnoszących się do COVID-19, które tematycznie związane są z przedmiotowym zagadnieniem pomiaru temperatury u pracowników i gości odwiedzających firmę. W artykule z dnia 05 maja 2020 też nie ma też jednoznacznej odpowiedzi a Prezes UODO wskazuje, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Podkreśla natomiast, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego. 

Jeżeli zastanawiają się Państwo w jaki sposób dokonywać pomiaru temperatury ciała danej osoby, w jaki sposób gromadzić dane dotyczące zdrowia to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Źródło: Stanowisko Związku Firm Ochrony Danych Osobowych w zakresie mierzenia temperatury w celu zapobiegania rozprzestrzenianiu się COVID-19 (https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-mierzenia-temperatury-w-celu-zapobiegania-rozprzestrzenianiu-sie-covid-19/)

Nagrywanie rozmów telefonicznych a RODO

RODO niewątpliwie zmieniło w jakimś stopniu nasze życie. Oczywiście, najbardziej widoczne są dla nas kolejne wyskakujące okienka na portalach informujące o wszystkich wymaganych przez rozporządzenie warunkach dot. przetwarzania danych osobowych. Nagrywanie rozmów również nie pozostało wolne od wpływu nowej rzeczywistości prawnej. Nagrywanie rozmów telefonicznych do celów zawodowych lub w związku z prowadzeniem działalności gospodarczej wymaga poinformowania o nagrywaniu, ponieważ zapis głosu osoby jest informacją o charakterze danych osobowych. Urządzenia takie jak centrale telefoniczne (również wirtualne centrale) mają funkcje nagrywania rozmów. Jeżeli firma rejestruje rozmowy poprzez tego typu urządzenia lub w inny sposób, należy o tym poinformować rozmówcę zgodnie z regulacją RODO opisaną w art. 13. 

Przykład komunikatów informacyjnych:

  • W trosce o Państwa bezpieczeństwo informujemy, że rozmowa może być nagrywana. Jeżeli nie wyrażasz na to zgody, prosimy o przerwanie połączenia.
  • Aby zapewnić najwyższe standardy obsługi nasze rozmowy są nagrywane. Jeśli nie wyrażasz na to zgody, zachęcamy do kontaktu mailowego.
  • Informujemy, że rozmowy są nagrywane. Jeśli nie zgadzasz się na rejestrowanie rozmowy, zachęcamy do kontaktu drogą mailową.

Dodatkowy przykładowy komunikat RODO:

  • W związku z Rozporządzeniem o Ochronie Danych Osobowych prosimy o zapoznanie się z Polityką Prywatności. Klauzula informacyjna znajduje się w naszej placówce oraz pod adresem /tutaj adres strony www/ w zakładce Polityka Prywatności.
  • Prosimy o zapoznanie się z treścią klauzuli informacyjnej dotyczącej przetwarzania państwa danych osobowych, która dostępna jest na naszej stronie internetowej /tutaj adres strony/, zakładka Polityka Prywatności.

Po wejściu w życie przepisów RODO prywatnie mamy prawo do nagrywania telefonicznych rozmów osobistych bez informowania o tym drugiej strony. Jednak podmioty podlegające nowej regulacji muszą powiadamiać swoich rozmówców o rejestracji, administratorze danych i celu zapisu. Naruszenie tego obowiązku grozi karą nawet do 4% rocznych przychodów. Jeśli nie wiesz czy w prawidłowy sposób realizujesz warunek informacyjny odnośnie nagrywania, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Czy polityki i procedury ochrony danych są potrzebne ?

Czy polityki i procedury ochrony danych są potrzebne ? 

Często zadawane nam jest pytanie jak w powyższym tytule, również podobne; jak wygląda skuteczna polityka ochrony danych zgodna z RODO ? jakie procedury powinna zawierać ? co zrobić, żeby nie była „martwym” dokumentem ? postaramy rozjaśnić tematykę w tym artykule.

RODO jest aktem prawnym bardzo elastycznym w porównaniu np. z Rozporządzeniem MSWiA w sprawie określania podstawowych warunków technicznych i organizacyjnych (z 15 lipca 1998) czy w sprawie dokumentacji przetwarzania danych osobowych (z 1 maja 2004). Aby być zgodnym z  RODO, należy udokumentować to w następujący sposób:

  • wdrożyć niezbędne polityki i procedury,
  • prowadzić odpowiednie rejestry i ewidencje,
  • dokonywać regularnych analiz zgodności, ryzyka czy oceny skutków dla ochrony danych, gdy jest ona potrzebna,
  • stosować właściwe postępowania i klauzule w umowach, formularzach, na stornach internetowych oraz w innych miejscach, gdzie przetwarzane są dane osobowe. 

Same RODO zawiera następujące regulacje:

  • motyw 79 preambuły – aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki.
  • Art. 24 ust. 2 – Jeśli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytania związane z ochroną danych: jak przetwarzać dane osobowe, jak je zabezpieczać, komu zgłaszać incydent i jakie czynności podjąć po jego wykryciu, a także jak przeprowadzić wymagane analizy. Dokumenty podzieliliśmy na wymagane przez RODO oraz zalecane wyczytane „między wierszami RODO” wynikające z naszego doświadczenia:

DokumentStatutFunkcjaŹródło RODO
Polityka ochrony danych osobowychZalecanyZbiór wszystkich procedur ochrony danychArt. 24 ust. 2
Zasady retencji danychWymaganyMówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultWymaganyMówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńZalecanyKontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńZalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39
Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33
Ocena skutków dla ochrony danych osobowych (DPIA)WymaganaKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząWymaganaKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3 Art. 12 – 22
Procedura audytu wewnętrznegoZalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji.Art. 24 ust. 1,  Art. 32 ust. 1 lit. d),  Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychZalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaWymaganyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1,  Art. 32 ust. 1
Rejestr czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułceArt. 30 ust. 1
Rejestr kategorii czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITZalecanySposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1,  Art. 32 ust. 1
Materiały informacyjne dla pracowników i współpracownikówZalecanyPodnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39

Dokumentów jest całkiem sporo, ponieważ administrator ma też dużo obowiązków związanych z ochroną danych osobowych. Wewnętrzne polityki i procedury powinny być przede wszystkim użyteczne i zrozumiałe – zapewniać możliwie najefektywniejsze wdrożenie RODO. Dokumentacja ma przede wszystkim ułatwić ochronę danych osobowych w organizacji. Na kształt dokumentacji będzie miał wpływ rodzaj i wielkość prowadzonej działalności. Jeśli nie czujesz się na siłach aby stworzyć wymaganą dokumentację i to zadanie cię przerasta, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

RODO w czasie pandemii

Pandemia koronawirusa wpłynęła na działanie wszystkich osób przetwarzających dane osobowe, administratorów i procesorów. Pandemia nie zwolniła Inspektora Ochrony Danych jak i Administratora Danych Osobowych ze swoich zadań. 

Pandemia postawiła nowe wyzwania, zmienił się wielu przypadkach sposób wykonywania pracy. To wymusiło stworzenie odpowiednich procedur, regulaminów, przeanalizowania ryzyka czy incydentów. Europejska Rada Ochrony Danych Osobowych (EROD) wydała również wytyczne i oświadczenia jak postępować w kontekście pandemii COVID-19. EROD przygotowało dość ogólne i kierunkowe wytyczne. Wskazano, iż RODO nie ogranicza środków podejmowanych w ramach walki z pandemią, jednakże wskazano że w żaden sposób nie zwalnia to z obowiązków dotyczących zapewnienia ochrony danych osobowych. Dlatego wielu Administratorów borykało się i nadal ma wile problemów z dostosowaniem procedur, regulaminów wewnętrznych i pozostałej dokumentacji do zaistniałej sytuacji. Główne problemy dotyczą: pracy zdalne (sprzęt i jego zabezpieczenie, oprogramowanie, komunikacja – realizacja art.32 RODO itp.), pracownik (szkolenie, czas pracy itp.), 

Z pomocą przychodzi system RODO-ONLINE.EU lub doświadczeni specjaliści – kontakt pod adresem: kontakt@rodo-online.eu 

Ocena zgodności z RODO

Jesteś pewny, czy Twoja firma działa zgodnie z RODO?. Chcesz sprawdzić czy wdrożenie RODO przeprowadzone w Twojej firmie nie ominęło żadnego obszaru? 

System RODO-ONLINE.EU zawiera takie narzędzie, mają Państwo listę kontrolną, dzięki której można wykonać audyt na każdym etapie wdrożenia RODO. Zgodnie z RODO wszystkie dane osobowe muszą być przetwarzane w sposób określony w przepisach, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Administrator danych jest uprawniony do zbierania i przetwarzania danych wyłącznie w prawnie uzasadnionych celach, w zakresie adekwatnym do swoich potrzeb i przez minimalny okres niezbędny do spełnienia celu przetwarzania. W każdym przypadku, niezależnie od prowadzonej działalności i rodzaju przetwarzanych danych, na administratorze danych ciąży obowiązek zapewnienia danym odpowiedniego stopnia bezpieczeństwa – ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, ich zniszczeniem lub uszkodzeniem. Administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i zgodnie z zasadą rozliczalności musi być w stanie wykazać, że w swojej działalności stosuje odpowiednie procedury i metody. Jednym z obowiązków RODO nałożonych na administratora danych jest przeprowadzenie audytu zgodności z RODO. Administrator może za pomocą listy przeprowadzić audyt samodzielnie. Gdy Administrator nie czuje się na siłach może zgłosić przeprowadzenie audytu naszej firmie, nasi specjaliści przeprowadzą audyt, a wynikiem będzie raport kontrolny. Jeśli potrzebujesz sprawdzenia  zgodności przetwarzania danych  – audytu RODO, zapraszamy do kontaktu z nami kontakt@rodo-online.eu   

Dostęp do Systemu Informatycznego CEPiK 2.0

Zgodnie z Ustawą Prawo o ruchu drogowym grupa podmiotów zgodnie z art. 80c ust. 1 ma uprawnienia do korzystania do danych zgromadzonych w Centralnej Ewidencji Pojazdów (CEP) oraz Centralnej Ewidencji Kierowców (CEK).

Pamiętając, że dane i informacje zgromadzone w ewidencjach udostępnia się wyłącznie, jeśli są one niezbędne do realizacji ustawowych zadań podmiotu.

Minister Cyfryzacji  może wyrazić zgodę, w drodze decyzji, na udostępnienie lub informacji zgromadzonych w ewidencji, po spełnieniu  przez podmiot warunków określonych w ustawie.

Po pierwsze trzeba spełnić aspekty formalne czyli dostosować się do wymogów, zaleceń i wytycznych  zawartych w Polityce Bezpieczeństwa Systemu Informatycznego Centralnej Ewidencji Pojazdów i Kierowców 2.0. Zaczynając od zabezpieczenia pomieszczeń, nośników danych, urządzeń sieciowych, komputerów stacjonarnych i przenośnych itd. Wszystko spisując w dokumentacji przetwarzania danych osobowych zgodnymi z aktualnymi przepisami np. Ustawą o ochronie danych osobowych i RODO.

Następnie możemy wnioskować do MC o wydanie pozytywnej opinii o udostępnienie danych ewidencyjnych za pośrednictwem sieci publicznej w wykorzystaniem urządzeń teletransmisji. 

Po wydaniu pozytywnej decyzji wnioskujemy o niezbędne certyfikaty, jeśli nie posiadasz decyzji wnioski certyfikacyjne nie zostaną zrealizowane. 

W całym procesie wdrożenia systemu CEPiK 2.0 nasza Firma pomoże Państwu tak, by system został szybko i prawidłowo wdrożony. Od dokumentacji Ochrony Danych Osobowych, przez niezbędne dokumenty takie jak wnioski, ankiety czy oświadczenia. Do konfiguracji stacji by prawidłowo pobierały dane i zgodnie z wymogami stawianymi w Polityce były użytkowane. Chcesz wdrożyć system CEPiK 2.0 skontaktuj się z nami kontakt@rodo-online.eu

Wyznaczanie IOD

Prowadząc firmę, pewnie zastanawiasz się czy musisz mieć wyznaczonego Inspektora Ochrony Danych osobowych, czy wiesz jakie są kryteria? Chętnie w tym pomożemy. 

System RODO-ONLINE.EU umożliwia przeprowadzenie analizy IOD zgodnie z przyjętymi obowiązkami wyznaczenia IOD dla administratorów i podmiotów przetwarzających (tak/nie + opis)  zawartymi w art. 37 ust 1 RODO

Wyznaczamy wtedy, gdy:

  • gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust 1 RODO)  oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).

Podkreślić należy, iż w pozostałych przypadkach, wyznaczenie IOD jest fakultatywne. Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD zaleciła ADO i PP udokumentowanie wewnętrznej procedury, która przeprowadzana jest w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 38 ust 1 RODO istnienia lub braku takowego obowiązku. 

Przypominamy, że zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (tzw. outsourcing). Warto zwrócić uwagę przy zatrudnieniu czy osoba spełnia obowiązki zawarte w art. 37 ust 5 RODO. Poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki i jej specyfikacji (widza sektorowa). Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki. Osoba taka powinna również posiadać takie mocne strony, jak rzetelne wykonywanie obowiązków i wysoki poziom etyki zawodowej.
Poszukujesz specjalistów – zapraszamy do kontaktu tel. +48 693 334 664 lub kontakt@rodo-online.eu  

Niszczenie nośników danych

Niszczenie nośników danych

Każde przedsiębiorstwo zobowiązane jest do wprowadzenia procedur niszczenia dokumentów i nośników danych. Co ważne, wyrzucenie do śmieci, trzymanie w pomieszczeniach bez nadzoru jest niedopuszczalne. W ten sposób narusza się przepisy i naraża się na nałożenie kary finansowej. 

Żyjemy w świecie cyfrowej informacji, informacje zapisywane są na nośniki danych jak dyski twarde (HDD), dyski SSD, pamięci USB, płyty CD i DVD, różnego rodzaju karty pamięci i wiele innych. Dane powinny być każdorazowo chronione przed nieuprawnionym dostępem, zmianą lub utratą. W nowoczesnym i coraz bardziej zdigitalizowanym świecie skuteczne niszczenie danych staje się konicznością. Większość wspomnianych wcześniej nośników dany możemy zniszczyć bezpiecznie we własnym zakresie przy niedużej inwestycji sprzętowej. Co z dyskami HDD ? Czy wiesz, że zapisanych na dysku twardym danych nie da się zniszczyć bez specjalistycznego sprzętu ?

Formatowanie, nadpisywanie, kasowanie plików czy nawet likwidacja partycji sprawią, iż dane są nieczytelne tylko pozornie. Pliki będą nadal zapisane na talerzu, a ich odzyskanie jest możliwe. 

Dlatego nasza firma wychodząc naprzeciw potrzebą oferuje profesjonalne niszczenie dysków. Niszczenie jest dwuetapowe: pierwszym etapem demagnetyzacja a drugim niszczenie mechaniczne, więcej dowiesz się http://niszczenie-dyskow.eu/ lub https://rodo-online.eu/ .  Jeśli potrzebujesz pomocy w stworzeniu procedur niszczenia zapraszamy do kontaktu z nami kontakt@rodo-online.eu 

„Obowiązek informacyjny” garść wiedzy

Jednym z głównych obowiązków nałożonych na administratorów danych osobowych przez przepisy RODO jest obowiązek informacyjny, który w określonych sytuacjach musi być spełniony w stosunku do osoby, której dane dotyczą.

Osoby których dane dotyczą po wejściu w życie RODO mają prawo do uzyskania szerokiego wachlarza informacji na temat przetwarzania ich danych osobowych przez administratora. Motyw 60 preambuły RODO wskazuje że osoba, której dane dotyczą, musi być poinformowana o fakcie prowadzenia operacji przetwarzania jej danych osobowych i o celach takiego przetwarzania. Co więcej administrator powinien podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. W wytycznych dotyczących przejrzystości Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) wskazuje następujące przykłady takich sytuacji:

  • osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz www, zapis do newslettera),
  • administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. Przywołane wytyczne w sprawie przejrzystości wskazują jako przykłady konieczności zastosowania tego przepisu m.in. gdy:

  • pozyskuje dane osobowe od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  • pozyskuje dane osobowe ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  • pozyskuje dane osobowe od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Ponadto administrator powinien poinformować osobę o przetwarzaniu jej danych w przypadku, gdy zmienia lub dodaje nowy cel przetwarzania oraz pod czas wykonywania żądania dostępu do danych. 

Obowiązek informacyjny wynikający zarówno z art. 13, jak i 14 RODO może być spełniony w różnorodny sposób. Najważniejsze żeby komunikacja z osobą, której dane dotyczą, była prowadzona w zwięzłej, przejrzystej i łatwo dostępnej formie, językiem zrozumiałym dla przeciętnego odbiorcy, z prostą konstrukcją zdań. 

Informacje udziela się na piśmie, poprzez umieszczenie treści obowiązku na tablicy ogłoszeń, w postaci elektronicznej (np. strona www) lub na żądanie osoby, informacji można udzielić ustnie.

Obowiązek informacyjny to jeden z kluczowych elementów przy wdrożeniu RODO. Warto poświęcić mu odpowiednią ilość uwagi, bo osoby są coraz bardziej świadome wymogów związanych z ochroną danych osobowych i mogą pokusić się o skargę, gdy go zaniedbasz.

Nie ma żadnego gotowego szablonu obowiązku informacyjnego, który będzie pasował do wszystkich sytuacji. Pamiętaj, że informacje przekazywane w ramach realizacji obowiązku muszą być dostosowane do rzeczywistej sytuacji, szczególnie w zakresie celu i podstawy prawnej przetwarzania oraz okresu przechowywania.

Pamiętaj, że w razie kontroli administrator będzie musiał wykazać, że obowiązek informacyjny został przez niego spełniony (art. 5 ust. 1 lit. a RODO). Jeśli potrzebujesz pomocy w zakresie obowiązku informacyjnego czy innych wymogów ochrony danych osobowych skontaktuj się z nami kontakt@rodo-online.eu więcej na https://rodo-online.eu/

Rejestrowanie czynności przetwarzania

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych mają obowiązek prowadzenia rejestru czynności. Art. 30 RODO wskazuje obligatoryjne składniki. Rejestr ten stanowi dokument związany z przetwarzaniem danych. Formą przewidzianą prowadzenia tego typu dokumentu jest forma pisemna. Rejestr więc może być prowadzony w zwykłej papierowej formie, jak i elektronicznej np. za pomocą systemu RODO-ONLINE.EU. 

Cele prowadzenia rejestru czynności przetwarzania wskazuje głównie art. 82 RODO:

  • zachowanie przez Administratora (ADO) zgodności z RODO – stała możliwość weryfikacji swojej działalności w odniesieniu do przetwarzania danych osobowych jak również podanie ocenie każdego procesu.
  • umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania danych osobowych. Przepisy mówią, że administrator zobowiązany jest udostępnić organowi kontrolującemu informacje o przetwarzaniu w sposób jednolity i czytelny by możliwe było dokonanie szybkiej weryfikacji i przeglądu. 

Rejestr czynności prowadzony w systemie RODO-ONLINE.EU zawiera wszystkie obligatoryjne składniki wskazane w RODO i Poradniku Prezesa UODO. Prowadząc rejestr w naszym systemie osiągniesz miedzy innymi wskazane jw. cele.  

Upoważnienia i zestawienie uprawnień

Zgodnie z art. 32 ust. 4 to administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka, podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Z powyższych informacji wynika, że dane mogą być przetwarzane wyłącznie na polecenie administratora, przez osoby działające z jego upoważnienia lub podmiotu przetwarzającego.

Administrator musi zapewnić i mieć kontrolę nad tym kto i w jakim zakresie ma dostęp do danych osobowych i na jakich zasadach je przetwarza. Wprowadzone przez administratora środki bezpieczeństwa muszą służyć zapobieganiu pracy na danych osobowych, wglądu, jak również usuwania i modyfikowania tych danych przez osoby nieuprawnione. Zatem osoby, które będą przetwarzały dane osobowe zgodnie ze swoim wykazem obowiązków zostają poinformowane jaki jest zakres ich uprawnień. Dotyczy to osób na stałe zatrudnionych u administratora, ale także osób którym zlecono pracę, która będzie wiązała się z dostępem do danych osobowych (np. praktykanci, stażyści). Wydawanie upoważnień jest jednym z środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych osobowych i kontroli nad procesem ich przetwarzania.

Do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie wydane przez administratora. Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową (źródło https://uodo.gov.pl/pl/225/1278). 

W systemie RODO-ONLINE.EU w upoważnieniu („Pracownicy” / „Wygeneruj dokumenty” / „Upoważnienie”) w jednym miejscu możemy przypisać uprawnienia zgodnie z zakresem obowiązków  służbowych. Upoważnienie jest ważne do czasu zakończenia stosunku pracy, stosunku cywilnoprawnego lub odwołania. Sprawdzenie aktualnego zestawienia uprawnień dla wszystkich pracowników, można również łatwo wygenerować; klikamy w „Raporty” / „Zestawienie uprawnień”; zaznaczamy interesujące nas kolumny / „Wygeneruj”). Dzięki takiemu rozwiązaniu Administrator ma pełną kontrole nad uprawnieniami dostępu do danych.