RODO. To warto wiedzieć

1. PESEL lepiej chroniony, ale nie można na tym poprzestać

Od dziś można zastrzec numer PESEL, aby przeciwdziałać zaciąganiu zobowiązań na nasze dane. Zdaniem UODO to dopiero pierwszy krok na drodze do skuteczniejszej ochrony naszych danych w tym zakresie.

Lepsza ochrona obywateli przed nadużyciami związanymi z kradzieżą obywateli - to główny cel ustawy z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania skutków kradzieży tożsamości, której cześć przepisów weszła 17 listopada br. w życie. Nowe regulacje umożliwią obywatelom zastrzeżenie nr PESEL w aplikacji mObywatel, za pośrednictwem strony internetowej obywatel.gov.pl, w dowolnym urzędzie gminy, na poczcie czy w placówce bankowej. Osoby, które zdecydują się na taki krok zabezpieczą się przed wykorzystaniem ich numeru PESEL np. do zaciągnięcia pożyczki na ich dane. Wiele instytucji będzie natomiast miało obowiązek sprawdzenia przed dokonaniem niektórych czynności (np. przed udzieleniem pożyczki czy kredytu) czy dana osoba zastrzegła swój PESEL.

O tym, czy będziemy lepiej chronieni przed wykorzystaniem naszych danych do celów przestępczych w dużej mierze będzie zależało od nas samych. Nic nie będzie działało „z automatu” i należy samodzielnie decydować zarówno o zastrzeżeniu swojego numeru PESEL, jak i cofnięciu tego zastrzeżenia.

- Doceniamy tę inicjatywę. UODO od wielu lat zwraca uwagę, że numer PESEL jest szczególną daną, gdyż jest niezbędny do załatwienia wielu spraw z uwagi na to, że jednoznacznie nas identyfikuje i pozwala na ustalenie szeregu informacji na nasz temat, takich jak data urodzenia czy płeć. Dlatego zgodnie z art. 87 RODO numer ten powinien podlegać szczególnej ochronie – mówi Jan Nowak, Prezes UODO.

- Przepis ten przewiduje zobowiązanie dla państw członkowskich do przyjmowania szczególnych rozwiązań dla takich krajowych numerów identyfikacyjnych, jak funkcjonujący w polskim porządku prawnym numer PESEL. Wymaga wprowadzania w przepisach dotyczących jego przetwarzania rozwiązań zabezpieczających nie tylko operacje wykonywane na tym numerze jako na danej osobowej, ale także zabezpieczających prawa i wolności identyfikowanych osób, zgodnie z przepisami RODO – wyjaśnia Jakub Groszkowski Zastępca Prezesa UODO.

Zastępca Prezesa UODO przyznaje, że Urząd od wielu lat działa na rzecz skuteczniejszej ochrony numeru PESEL. Prezes UODO, a wcześniej GIODO zawsze podkreślali szczególny charakter tego numeru i konieczność jego ochrony

- Nowe przepisy to krok w dobrym kierunku, jednak mogą być jeszcze niewystarczające. Numer PESEL wciąż jest jawny w ogólnodostępnych rejestrach publicznych, takich jak np. Krajowy Rejestr Sądowy – należy poddać tę kwestię dyskusji – dodaje Jakub Groszkowski.

Przedstawiciele UODO zwracają uwagę, że konieczne są dalsze prace nad kolejnymi rozwiązaniami prawnymi, które przełożą się na skuteczniejszą ochronę danych osobowych i bezpieczeństwo obywateli. PESEL służy do identyfikacji w bardzo wielu przypadkach, ale też coraz częściej różne podmioty domagają się jego podawania, ujawniania. A to nie zawsze służy ochronie danych i samych obywateli.

- Będziemy prowadzić dalsze działania w tym zakresie i przyglądać się temu jak te nowe przepisy sprawdzą się w praktyce, na ile okażą się skuteczne – zapowiada Adam Sanocki, rzecznik prasowy UODO.

Podkreśla on, że na znaczenie numeru PESEL zwraca uwagę nie tylko organ nadzorczy, ale i sami obywatele dostrzegli, że nie można go ujawniać bezpodstawnie. Są też coraz bardziej świadomi ryzyk, jakie wiążą się z jego wykorzystaniem, gdy znajdzie się w posiadaniu nieuprawnionych osób.

- Większość Polaków pytana, co wchodzi w skład danych osobowych, wskazuje przede wszystkim PESEL (92 proc.), a dopiero potem imię i nazwisko (90 proc.), czy adres zamieszkania (84 proc,). Dobitnie pokazuje to badanie Krajowego Rejestru Długów i serwisu ChronPESEL.pl przeprowadzone w maju tego roku pod patronatem Urzędu Ochrony Danych Osobowych – podsumowuje Adam Sanocki.

2. Dane osobowe w prywatnym komputerze pracownika też trzeba chronić

Wojewódzki Sąd Administracyjny podtrzymał decyzję Prezesa UODO, w której nałożono karę upomnienia na Rzecznika Finansowego za brak odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.

Brak analizy ryzyka wiążącego się z korzystaniem przez pracowników z prywatnych komputerów podczas pracy zdalnej doprowadził do tego, że Rzecznik Finansowy nie wdrożył odpowiednich rozwiązań pozwalających należycie chronić przetwarzane dane, takich jak m.in. stosowne procedury i zabezpieczenia na wypadek kradzieży urządzenia. Taka sytuacja miała miejsce w przypadku komputera jednego z pracowników administratora, przez co doszło do naruszenia ochrony danych osobowych. Prezes UODO udzielił więc Rzecznikowi Finansowemu upomnienia, które wyrokiem z 5 października 2023 r. podtrzymał Wojewódzki Sąd Administracyjny w Warszawie.

Do naruszenia ochrony danych osobowych doszło w związku z kradzieżą prywatnego komputera byłego pracownika Rzecznika Finansowego. W komputerze tym przechowywane były dane osobowe przetwarzane podczas pracy zdalnej świadczonej dla administratora danych. Fakt nieprzeprowadzenia przez administratora analizy ryzyka sprawił, że dane te nie zostały odpowiednio zabezpieczone. Ponadto administrator nie upewnił się, czy pracownik po zakończeniu świadczenia pracy skutecznie i trwale usunął dane z komputera. Brak odpowiednich zabezpieczeń technicznych i organizacyjnych doprowadził do nałożenia przez Prezesa UODO kary upomnienia na administratora.

Skarżąc decyzję organu nadzorczego, Rzecznik Finansowy twierdził, iż skradziony komputer należał do byłego już pracownika, a Prezes UODO nie udowodnił, że na jego dysku twardym faktycznie znajdowały się dane osobowe. Skarżący podnosił też, że w postępowaniu administracyjnym nie ustalono, czy komputer był chroniony hasłem, a także wskazywał, że osoba świadcząca w przeszłości pracę dla Rzecznika Finansowego jest radcą prawnym, a więc odrębnym administratorem danych.

Żaden z powyższych argumentów nie został podzielony przez WSA w Warszawie. Wojewódzki Sąd Administracyjny nie miał wątpliwości, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik. Sąd rozstrzygając tę kwestię, przywołał definicję administratora zawartą w RODO, zgodnie z którą jest nim ten, kto decyduje o celach i sposobach przetwarzania danych osobowych. WSA podkreślił przy tym, że pracownik nie występuje jako odrębny podmiot prawa, a jego działania są działaniami pracodawcy, za które pracodawca ponosi odpowiedzialność. W ocenie Sądu nie zmienia tej sytuacji prawnej nawet działanie naruszające lub wykraczające poza zakres powierzonych pracownikowi zadań i obowiązków pracowniczych czy też status radcy prawnego byłego pracownika.

WSA w Warszawie zgodził się z Prezesem UODO, że administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. Taka analiza wskazałaby na potrzebę zastosowania odpowiednich rozwiązań m.in. na wypadek kradzieży komputera, w którym są przetwarzane dane osobowe. Sąd uznał, że administrator uchybiając obowiązkom RODO w zakresie analizy ryzyka, jak i wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych mających zapewniać bezpieczeństwo przetwarzanym danym, starał się przerzucić odpowiedzialność za to na pracownika. Pomimo iż pracownik był zobowiązany do łączenia się przez VPN, korzystania z odpowiednich programów do szyfrowania plików oraz stosowania haseł do logowania znanych wyłącznie jemu i ich cyklicznej zmiany, to z umowy zawartej pomiędzy stronami nie wynika, by pracownik był zobowiązany do szyfrowania dysku twardego.

Odpowiadając na zarzut skarżącego, że organ nadzorczy nie udowodnił w postępowaniu, iż komputer nie był odpowiednio chroniony, Sąd wskazał, iż ciężar dowodowy w tym przypadku spoczywa po stronie administratora i to on powinien być w stanie wykazać, że prywatny laptop pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.

W swoim orzeczeniu WSA zwrócił też uwagę, że administrator nie zweryfikował również, czy pracownik skutecznie usunął dane z komputera. Sąd uznał także, że gdyby przyjęte przez Rzecznika Finansowego rozwiązania były skuteczne, to fakt kradzieży komputera jego byłemu pracownikowi nie miałby żadnego wpływu na bezpieczeństwo procesu przetwarzania danych osobowych.

Zdaniem Sądu Prezes UODO prawidłowo zastosował upomnienie, biorąc pod uwagę działania podjęte przez administratora zaraz po naruszeniu ochrony danych osobowych.

3. Zgłaszanie naruszeń ochrony danych osobowych przez sądy

UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku sądów – i w jakim ewentualnie zakresie.

Organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości – tak stanowi RODO w swoim art. 55 A motyw 20 RODO wskazuje, że właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości -tak by chronić niezawisłość sprawowania wymiaru sprawiedliwości. Rozporządzenie dopuszcza jednak możliwość doprecyzowania przez prawo państwa członkowskiego operacji i procedur przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości.

Polski ustawodawca skorzystał z takiej możliwości w ustawie – Prawo ustroju sądów powszechnych. W art. 175db tej ustawy określił, że administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy.

W przepisach Prawa o ustroju sądów powszechnych nie zostało jednak wprost wskazane, że organy te są również uprawnione do przyjmowania zgłoszeń naruszeń ochrony danych osobowych. W takiej sytuacji należy przyjąć, że co do zasady RODO ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości w zakresie zgłaszania naruszeń ochrony danych osobowych, o których mowa w art. 33 RODO. Dlatego też administrator (np. sąd) w każdym przypadku wystąpienia jakiekolwiek incydentu jest zobowiązany do dokonania oceny, czy konkretny incydent stanowi naruszenie ochrony danych osobowych, a jeżeli tak, to czy naruszenie dotyczyło przetwarzania danych przez sądy w ramach sprawowania wymiaru sprawiedliwości, czy też nie.

Biorąc pod uwagę wątpliwości zgłaszane do organu nadzorczego w tej sprawie, UODO przygotował specjalny poradnik, w którym zaprezentowano pomocne informacje przy ocenie sytuacji związanych z przetwarzaniem danych osobowych przez sądy z punktu widzenia uznania ich za naruszenie ochrony danych osobowych wymagające zgłoszenia organowi nadzorczemu. Publikacja ta przyczyni się do zapewnienia spójnego stosowania RODO  w zakresie przetwarzania dokonywanego przez sądy.

4. Analiza ryzyka i działanie zgodnie z przyjętymi procedurami przeciwdziałają utracie danych

UODO nałożył administracyjną karę pieniężną w wysokości 8 tys. zł. na wójta gminy Dobrzyniewo Duże za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych.

Administrator zgłosił do UODO naruszenia ochrony danych osobowych. Naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu.

Zasady ustalone, wdrożenia brak

Co należy podkreślić, administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.

Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację. Ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka wskazano m.in. na szyfrowanie.

Jednak jak wykazało postępowanie skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane, przynajmniej na tym komputerze.

Analiza ryzyka powinna poprzedzać wdrożenie odpowiednich środków

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”).

Zgodnie z RODO konkretyzacją zasady poufności stanowi wdrożenie odpowiednich środków organizacyjnych i technicznych. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Administrator w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych może zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych komputera, a ich określenie powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów przenośnych użytkowanych poza organizacją administratora.

Zaniedbanie doprowadziło do nałożenia kary pieniężnej

W sprawie dotyczącej naruszenia w gminie Dobrzyniewo Duże administrator prowadził odpowiednią dokumentację od momentu rozpoczęcia stosowania RODO oraz dokonywał analizy ryzyka. Należy uznać, że miał on świadomość konieczności zastosowania odpowiednich środków organizacyjnych i technicznych zapewniających bezpieczeństwo przetwarzania danych osobowych przetwarzanych przy użyciu przenośnego sprzętu komputerowego.

Jednak dopiero po naruszeniu administrator podjął działania mające na celu uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych. Zatem administrator dopiero po wystąpieniu naruszenia zastosował się do wyników własnej analizy ryzyka i określonego w niej sposobu postępowania z ryzykiem.

Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych, tym samym nieumyślnie naruszył przepisy o ochronie danych osobowych. Przy nakładaniu administracyjnej kary pieniężnej uwzględniono również fakt, że skradziony komputer został odnaleziony, a przeprowadzona przez administratora analiza wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany.

Tym samym, pomimo że administrator utracił kontrolę nad danymi osobowymi, a nieuprawniona osoba uzyskała do nich bezprawny dostęp, nie było podstaw do uznania, że na dzień wydania przedmiotowej decyzji administracyjnej, osoby, których dane dotyczą poniosły jakąkolwiek szkodę na skutek tego naruszenia.

5. Czy instytucje finansowe mogą kopiować dowody osobiste?

UODO niezmiennie stoi na stanowisku, że sporządzanie kopii dowodów tożsamości przez instytucje finansowe jest legalne jedynie wtedy, kiedy konieczne jest zastosowanie środków bezpieczeństwa mających na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu.

Zdarza się, że instytucje finansowe, w tym m.in. banki, zawierając z nami umowy na świadczenie różnego rodzaju usług, jak np. założenie i prowadzenie konta bankowego, obsługa bankowości elektronicznej, udzielenie pożyczki, a nawet realizacja zlecenia przelewu, wykonują kopię naszego dokumentu tożsamości. Swoje działanie uzasadniają stosowaniem środków bezpieczeństwa finansowego, o których mowa w ustawie z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wskazują, że zgodnie z jej art. 34 ust. 4 instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie.

Kopiowanie nie przy każdej czynności

Tymczasem UODO niezmiennie stoi na stanowisku, że powołany przepis nie uprawnia instytucji finansowych do kopiowania dowodu tożsamości klientów w każdej sytuacji.

Wskazuje, że jeśli chodzi o banki, to zgodnie z art. 112b Prawa bankowego banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Oznacza to jedynie tyle, że na jego podstawie mają one prawo przetwarzać wszystkie dane osobowe klientów, które są zawarte w dokumentach tożsamości. Nie jest to natomiast równoznaczne z uprawnieniem do wykonywania kopii tych dokumentów.

Najczęściej bowiem wystarczające jest okazanie dokumentu tożsamości do wglądu.

Natomiast zgodnie z przepisami ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane, do których należą m.in. banki, ale też fundusze inwestycyjne, przedsiębiorcy prowadzący działalność kantorową w rozumieniu ustawy z dnia 27 lipca 2002 r. – Prawo dewizowe czy notariusze w zakresie wymienionych w powołanej ustawie czynności dokonywanych w formie aktu notarialnego, są uprawnione, by na potrzeby stosowania środków bezpieczeństwa finansowego wykonywać kopie dokumentów tożsamości.

Co jednak ważne, przed zastosowaniem środków bezpieczeństwa finansowego muszą przeprowadzić ocenę ryzyka prania pieniędzy i finansowania terroryzmu. Jednocześnie przepisy powołanej ustawy dookreślają (art. 35), kiedy instytucje obowiązane stosują środki bezpieczeństwa finansowego.

Ponadto instytucje finansowe jako administratorzy są zobowiązani do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO). Zatem przed zastosowaniem środków bezpieczeństwa finansowego muszą dokonać oceny, czy przetwarzanie na te potrzeby danych osobowych osoby fizycznej zawartych w kopii dowodu osobistego jest niezbędne. Zgodnie bowiem z zasadami ograniczenia celu i minimalizacji danych, o których mowa w art. 5 RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a także adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Zamiana stanowiska?

W ostatnim czasie w związku z publikacjami prasowymi pojawiły się wątpliwości, czy Urząd zmienił stanowisko w kwestii kopiowania dokumentów tożsamości.

Otóż nie, rekomendacje UODO w tym zakresie pozostają niezmienne i są opisane na stronie internetowej organu m.in. w tekstach „Banki nie zawsze mogą kserować dowód osobisty” oraz „Zakaz wykonywania replik dokumentów publicznych ograniczy kradzieże tożsamości”.

Decyzja UODO musi uwzględniać wszystkie indywidualne okoliczności sprawy

Trzeba przy tym podkreślić, że informacje publikowane na stronie internetowej UODO mają charakter informacyjno-edukacyjny. Nakreślają pewien kierunek interpretacji.

Natomiast wiążąco UODO wypowiada się jedynie w decyzji administracyjnej wydawanej po zbadaniu wszystkich okoliczności danego przypadku.

Działalność administratorów jest bowiem zróżnicowana i uzależniona od różnych czynników instytucjonalno-prawnych oraz organizacyjnych, które mogą mieć istotny wpływ na ostateczną ocenę. Niekiedy rozstrzygnięcia organu nadzorczego wydane w podobnych z pozoru sprawach mogą się zatem różnić. Lektura decyzji pozwala poznać szczególne okoliczności, które wpłynęły na ostateczny osąd organu.

Źródło: UODO

6. Nie będzie bazy osób zainteresowanych zakupem paliwa stałego

Niejasny cel powstania bazy

UODO, opiniując projekt ustawy, zwrócił uwagę na niejasność celu utworzenia bazy osób zainteresowanych zakupem paliwa stałego. W projektowanych przepisach przewidywano, że rekompensaty z tytułu sprzedaży paliwa po określonej cenie będą wypłacane przedsiębiorcom wykonującym działalność gospodarczą w zakresie wprowadzania do obrotu paliw, a nie nabywcom paliwa stałego na potrzeby własnego gospodarstwa domowego. Ich wypłat miał dokonywać Zarządca Rozliczeń S.A., o którym mowa w rozdziale 7 ustawy z dnia 29 czerwca 2007 r. o zasadach pokrywania kosztów powstałych u wytwórców w związku z przedterminowym rozwiązaniem umów długoterminowych sprzedaży mocy i energii. Skoro zadanie to nie leżało w gestii ministra właściwego do spraw energii, UODO postawił pytanie o cel utworzenia i prowadzenia przez tego ministra bazy danych pełnoletnich osób fizycznych zainteresowanych zakupem paliwa stałego na potrzeby własnego gospodarstwa domowego. Cel ten był tym bardziej niejasny, że zgodnie z projektowanymi przepisami wskazany minister miałby na bliżej niesprecyzowanych zasadach udostępniać dane z tej bazy przedsiębiorcom wykonującym działalność gospodarczą w zakresie wprowadzania do obrotu paliw stałych, a więc niekoniecznie przedsiębiorcom ubiegającym się o rekompensaty.

Naruszenie zasad RODO

Sejmowa komisja uwzględnia uwagi UODO

7. Co zrobić w przypadku kradzieży tożsamości?

Otrzymałeś wezwanie do zapłaty z banku, z którym nie masz podpisanej umowy kredytowej albo operator telekomunikacyjny wzywa Cię do zapłaty rachunków na podstawie nieznanej Tobie umowy – to sytuacje, w których osoba nieuprawniona mogła posłużyć się Twoimi danymi. Pamiętaj, nie jesteś bezbronny. Podpowiadamy co zrobić w takiej sytuacji.

Co robić kiedy skradziono Twój dowód osobisty lub go zgubiłeś?

Osoby, które padły lub mają podejrzenie, że mogły paść ofiarami kradzieży swoich dokumentów np. dowodu osobistego, powinny w pierwszej kolejności zgłaszać się na Policję. Dowód zostanie unieważniony z dniem zgłoszenia. Nie trzeba wtedy zgłaszać utraty dokumentu w urzędzie gminy (tak jak w przypadku zgubienia dowodu osobistego).

Pamiętaj, że takich spraw nie należy zgłaszać do Prezesa UODO, ale organom ścigania, gdyż to one są uprawnione do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.

Zarówno, gdy padasz ofiarą kradzieży dokumentu tożsamości, jak i kiedy po prostu go zgubisz, zgłoś ten fakt np. bankowi, w którym masz konto, celem zastrzeżenia tego dokumentu przed nieuprawnionym użyciem.

Zgłoś się do urzędu, aby wyrobić nowy dokument. W przypadku dowodu osobistego jest to dowolny urząd gminy, a w przypadku paszportu – w punkcie paszportowym (informacje o adresach punktów znajdziesz na stronach internetowych urzędów wojewódzkich). Gdy utracisz prawo jazdy z wnioskiem o nowy dokument musisz się udać do starostwa powiatowego.

Jak się zabezpieczyć, gdy wiesz, że Twoje dane wyciekły?

Atak hakera, zgubiona korespondencja, niezabezpieczone dane na serwerze - to sytuacje, w przypadku których osoby do tego nieuprawnione wchodzą (albo potencjalnie jest to możliwe) w posiadanie Twoich danych osobowych. Niestety, nie masz na to wpływu. W sytuacji, gdy administrator uzna, że istnieje ryzyko wykorzystania Twoich danych i powiadomi Cię o zaistniałym incydencie, podejmij działania, by zminimalizować ewentualne negatywne konsekwencje wykorzystania danych.

Oprócz wspomnianego już zastrzeżenia dokumentu tożsamości w banku, gdy wyciekły dane widniejące np. na dowodzie osobistym, możesz również założyć np. konto w systemie informacji kredytowej i gospodarczej, celem monitorowania swojej aktywności kredytowej.

Zachowaj dużą ostrożność podczas podawania danych przez Internet. Dokładnie analizuj kierowane do Ciebie komunikaty, zawarte np. w  wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których korzystasz.

Co zrobić, gdy ktoś wziął pożyczkę lub kupił usługę posługując się Twoimi danymi?

Osoby, które padły lub mają podejrzenie, że mogły stać się ofiarami przestępstwa powinny jak najszybciej zgłosić się na Policję, zwłaszcza gdy poniosły szkodę majątkową lub osobistą, np. na ich dane zaciągnięto jakieś zobowiązania. Należy też zawiadomić o takim zdarzeniu podmiot, u którego posłużono się danymi. Czyli trzeba się zgłosić do banku lub firmy pożyczkowej, w których oszust z użyciem Twoich danych wziął pożyczkę lub kredyt. Podobnie, gdy np. ktoś posłużył się danymi, celem podpisania umowy z operatorem telefonii komórkowej, np. by wyłudzić w ten sposób telefon.

Zadbaj o zgromadzenie i zachowanie dowodów, że zgłosiłeś sprawę organom ścigania. Będzie to pomocne w postępowaniu przed sądem, zwłaszcza w sprawach dotyczących szkód majątkowych.

Dochodzenie praw może następować w trybie przewidzianym odrębnymi przepisami zarówno przed sądem w sprawach karnych jak i cywilnych.

W jakich sytuacjach możesz zwrócić się do Prezesa Urzędu Ochrony Danych Osobowych?

Jeżeli przypuszczasz, że firma czy instytucja przetwarza Twoje dane bez podstawy prawnej, nie informuje skąd ma dane osobowe i w jakim celu je przetwarza, to w pierwszej kolejności zwróć się do niej, z żądaniem realizacji swoich praw, np. wyjaśnienia zasad na jakich Twoje dane są przetwarzane. Gdy nie otrzymasz odpowiedzi, pozyskane informacje są niewystarczające lub niepełne albo gdy administrator nie respektuje Twojego żądania dotyczącego np. wycofania zgody na przetwarzanie danych (jeżeli to zgoda była podstawą przetwarzania), czy sprzeciwu wobec przetwarzania Twoich danych, to możesz złożyć skargę do Prezesa UODO. W pierwszej kolejności zwracaj się zatem o realizację Twoich praw do administratora - podmiotu przetwarzającego Twoje dane. O ile Twoje żądania nie będą respektowane, zignorowane czy po części jedynie wypełnione możesz zwrócić się następnie do Prezesa UODO o ich wyegzekwowanie.

Składając skargę indywidualną, podaj swoje dane, opisz sprawę i określ jakich działań oczekujesz od Prezesa UODO, czyli np. wskaż, by organ nakazał wykonanie Twoich praw, poprzez usunięcie danych czy spełnienie obowiązku informacyjnego. Konieczne jest także wskazanie administratora, który dopuścił się naruszenia Twoich praw. Trzeba więc podać np. nazwę firmy, czy instytucji lub imię i nazwisko osoby oraz adres siedziby przetwarzających Twoje dane osobowe.

Jeżeli działanie administratora nie dotyczy Twoich danych, ale masz podejrzenie, że narusza ono ogólne zasady przetwarzania danych, możesz o tym zawiadomić UODO. Organ nadzorczy może wówczas przeprowadzić postępowanie z urzędu w celu wyjaśnienia, czy faktycznie zaszły nieprawidłowości. W takiej sytuacji nie występujesz w charakterze strony, jak to ma miejsce w przypadku skargi indywidualnej, która związana jest z praktyką naruszającą Twoje prawa. Dlatego w przypadku, gdy Prezes UODO podejmie działania z urzędu, nie będziesz informowany o etapach takiego postępowania.

Czy Prezes UODO może ustalić sprawcę naruszenia, gdy masz np. tylko jego numer telefonu?

Organ nadzoru nie zawsze ma możliwości prawne czy techniczne by ustalić tożsamość niedookreślonego administratora. Samo wskazanie np. numeru telefonu, z którego wykonywane jest połączenie, niezidentyfikowanego serwera, gdzie są np. ujawnione Twoje dane czy przedstawienie dokumentów zawierających dane bez wskazania źródła ich pochodzenia to za mało.

Pamiętaj, że Prezes UODO nie jest organem ścigania i nie ma w związku z tym takich kompetencji jak Policja, czy Prokuratura. Działalność Prezesa UODO ma na celu zapewnienie, by wskazany administrator przetwarzał dane zgodnie z prawem. Dlatego, gdy składasz skargę indywidualną konieczne jest precyzyjne wskazanie jakiego podmiotu ona dotyczy, by było możliwe wszczęcie postępowania administracyjnego i merytoryczne rozstrzygniecie sprawy poprzez wydanie decyzji administracyjne.

Wyciekły moje dane. Czy Prezes UODO może ukarać administratora?

Decyzję o nałożeniu kary finansowej na podmiot podejmuje Prezes UODO, analizując indywidualnie każdy przypadek. Nałożenie kary nie następuje na wniosek.

Kary finansowe to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie ogólnego rozporządzenia o ochronie danych osobowych. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych, osób, których dane są przetwarzane. W przypadku stwierdzenia naruszenia przepisów może to być m.in.: wydane ostrzeżenie odnoszące się do planowanych procesów przetwarzania, udzielone upomnienie w związku z uchybieniem o niewielkim charakterze, wydany nakaz dostosowania określonych działań do obowiązujących przepisów. Prezes UODO korzysta w pierwszej kolejności m.in. z tych rozwiązań. Kary są ostatecznością i są nakładane o ile wymagają tego okoliczności indywidulanego przypadku. Decyzje, mocą których kary takie są nakładane są poprzedzone bardzo dokładną i wnikliwą analizą zaistniałych okoliczności i wynikającą z nich konieczność nałożenia kary oraz na jej wysokość.

Przy wymierzaniu kary finansowej, Prezes UODO musi brać pod uwagę co najmniej 11 różnych czynników. Są to m.in.: charakter, waga i czas trwania naruszenia, to czy miało ono charakter umyślny, czy nieumyślny, warunki, w jakich do niego doszło, liczba poszkodowanych osób, kategorie przetwarzanych danych, rozmiar poniesionej przez nie szkody. A także czy jest to pierwsze czy kolejne naruszenie , jak zachował się administrator (np. czy sam zgłosił wyciek danych oraz – o ile to konieczne – poinformował o tym osoby poszkodowane), wszelkie inne czynniki obciążające lub łagodzące zaistniałe w indywidulanym przypadku.

Finansową karę administracyjną z tytułu naruszenia przepisów o ochronie danych osobowych Prezes UODO nakłada w drodze decyzji administracyjnej po przeprowadzeniu postępowania administracyjnego w sprawie, analizując każdy przypadek indywidualnie.

8. Oświadczenie Prezesa UODO w sprawie koronawirusa

W związku z wieloma pytaniami dotyczącymi przetwarzania danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-19, Prezes UODO informuje, że kwestie z tym związane regulowane są w przepisach szczególnych, w tym przede wszystkim w tzw. specustawie. Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem – twierdzi Prezes UODO.

Wskazane przepisy nie stoją w sprzeczności z zasadami przetwarzania danych i nie naruszają RODO.

Dają one narzędzia do podejmowania przez pracodawców określonych działań, które wynikają zarówno z zaleceń Głównego Inspektora Sanitarnego, jak i Prezesa Rady Ministrów.

Artykuł 17 specustawy dotyczącej przeciwdziałania COVID-19 wskazuje, że Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać pracodawcom m. in. decyzje nakładające obowiązek podjęcia określonych czynności zapobiegawczych lub kontrolnych i współdziałania z innymi organami administracji publicznej oraz organami Państwowej Inspekcji Sanitarnej. W zakresie podejmowanych przez pracodawców działań należy przede wszystkim śledzić na bieżąco komunikaty Państwowej Inspekcji Sanitarnej.

Prezes Rady Ministrów na wniosek wojewody, po poinformowaniu ministra właściwego do spraw gospodarki, ma prawo do wydawania poleceń przedsiębiorcom w związku z przeciwdziałaniem COVID-19. Polecenia te, wydawane w formie decyzji administracyjnej, podlegają natychmiastowemu wykonaniu z chwilą ich doręczenia lub ogłoszenia oraz nie wymagają uzasadnienia.

Przepisy te korespondują z RODO, które również przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i  art. 6 ust. 1 lit d).

Zgodnie z motywem 46 RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.

Prezes UODO mając na uwadze powagę sytuacji przypomina, że wszelkie problemy związane ze zwalczaniem i zapobieganiem rozprzestrzeniania się koronawirusa powinny być w świetle powyższych unormowań w pierwszej kolejności zgłaszane do GIS.

Dlatego też organ nadzorczy zwraca się do wszystkich zainteresowanych szczegółami realizacji działań związanych z walką z koronawirusem, aby zwracali się do Głównego Inspektora Sanitarnego, jako organu właściwego w tej sprawie.

Źródło: UODO

9. Stop handlowi bazami danych! Prezes UODO reaguje

Do UODO napływają sygnały o niezgodnych z prawem praktykach pracowników banków, polegających na nielegalnym sprzedawaniu baz danych klientów tych instytucji. W związku z tym nielegalnym procederem Prezes UODO zwrócił się do Przewodniczącego Komisji Nadzoru Finansowego (KNF) i Prezesa Związku Banków Polskich (ZBP) o podjęcie działań, które przyczyniłyby się do zminimalizowania zjawiska nielegalnego wykorzystywania baz danych osobowych klientów banków.

Osobami, które mogą przyczyniać  się do wycieku danych osobowych są nierzadko pracownicy instytucji finansowych posiadających takie dane. W wielu przypadkach do udostępniania danych przez pracowników dochodzi w wyniku błędu, stosowania niewłaściwych środków bezpieczeństwa, czasem jednak także poprzez zamierzone działania osób kończących współpracę z tymi podmiotami. Często dochodzi do takich sytuacji poprzez przesyłanie danych osobowych klientów na prywatne skrzynki mailowe lub nośniki danych stanowiące własność tych osób.

Prezes UODO podkreślił, że handel w ten sposób pozyskiwanymi bazami danych jest niebezpiecznym zjawiskiem, ponieważ tak pozyskane dane mogą być wykorzystywane wbrew woli klientów instytucji finansowych m.in.  w celach przedstawiania im ofert marketingowych, czy do zaciągania w ich imieniu zobowiązań finansowych.

Prezes UODO zaznaczył, że zarówno z punktu widzenia ochrony danych osobowych oraz ochrony tajemnicy bankowej, takie zachowanie jest niedopuszczalne. Dlatego tak ważne jest, aby banki intensywniej kontrolowały pracowników pod kątem przestrzegania przyjętych przez administratorów procedur ochrony danych osobowych, m.in.: odpowiednio, systematycznie i skutecznie ich szkoliły a także wprowadzały wzmocnione mechanizmy weryfikacyjno-rozliczeniowe wobec pracowników.

W udzielonych na pismo Prezesa UODO odpowiedziach, zarówno  Prezes ZBP, jak i Przewodniczący KNF potwierdzili, że banki mają obowiązek wdrożyć odpowiednie środki organizacyjne i techniczne, aby nie dopuszczać do bezprawnego wykorzystywania danych m.in.  do przejęcia tożsamości.

Prezes ZBP wskazał, że wyeliminowanie procederu handlu danymi pozyskiwanymi w sposób bezprawny możliwy jest przy współdziałaniu kilku instytucji: regulatorów rynku, organów ścigania i samych administratorów.

Dodał, że banki dokonują wszelkich starań, aby zapobiec nielegalnym wyciekom danych osobowych, działając na podstawie systemów polityk i procedur. Jednocześnie Prezes ZBP podkreślił, że banki podejmują działania na rzecz uświadamiania pracowników o koniczności zapewniania ochrony danych osobowych.

W podobnym duchu odpowiedział Przewodniczący KNF, który od lat podejmuje działania na rzecz zapewnienia bezpieczeństwa informacji przetwarzanych przez banki. Dlatego też, KNF wydaje rekomendacje, wytyczne, stanowiska i komunikaty dla rynku finansowego. Przewodniczący KNF stwierdził, że Komisja kontroluje i monitoruje podmioty z sektora finansowego, a w przypadku wykrycia nieprawidłowości kieruje do podmiotu odpowiednie zalecenia.

Przewodniczący KNF zapewniał, że na bieżąco analizuje dynamiczny rozwój technologii i kanałów dostarczania usług finansowych, ale też dostrzega problem nowych zagrożeń dla rynku finansowego. Dlatego w najbliższym czasie planuje przegląd rekomendacji i wytycznych dotyczących zarządzania bezpieczeństwem informacji oraz ryzykami IT na rynku finansowym. Zapowiedział także rozpoczęcie prac nad stworzeniem jednolitego modelu oceny ryzyka obszaru cyberbezpieczeństwa podmiotów nadzorowanych.

Źródło: UODO

10. Główny Geodeta Kraju zobowiązany do zaprzestania publikowania numeru ksiąg wieczystych na GEOPORTAL2

Prezes UODO na podstawie z art. 70 ust. 1 i 2 ustawy o ochronie danych osobowych zobowiązał Głównego Geodetę Kraju do ograniczenia przetwarzania danych osobowych w zakresie numerów ksiąg wieczystych, nakazując zaprzestanie ich publikowania na portalu internetowym GEOPORTAL2 (geoportal.gov.pl) do czasu wydania decyzji administracyjnej kończącej postępowanie w tej sprawie. Podstawą wydania postanowienia jest uprawdopodobnienie naruszenia przepisów o ochronie danych oraz zagrożenie spowodowania poważnych i trudnych do usunięcia skutków.

Postanowienie to zostało wydane 6 kwietnia 2020 r. w ramach prowadzonego wobec Głównego Geodety Kraju  postępowania z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych dotyczącej udostępniania bez podstawy prawnej na portalu internetowym GEOPORTAL2 (geoportal.gov.pl) numerów ksiąg wieczystych. 27 marca 2020 r. Prezes UODO wszczął z urzędu dwa postępowania administracyjne: jedno w sprawie naruszenia przepisów o ochronie danych osobowych w związku z przetwarzaniem danych osobowych bez podstawy prawnej, drugie w przedmiocie nałożenia na Głównego Geodetę Kraju administracyjnej kary pieniężnej  za brak współpracy z Prezesem UODO w ramach wykonywania przez niego uprawnień kontrolnych.

Na początku marca organ nadzorczy zdecydował o konieczności przeprowadzenia kontroli u Głównego Geodety Kraju, o czym poinformował go pismem wskazując zakres kontroli oraz termin jej przeprowadzenia. Główny Geodeta Kraju odmówił zgody na przeprowadzenie czynności kontrolnych, czym udaremnił kontrolującym prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych. W związku z tym oprócz wszczęcia postępowania administracyjnego, Prezes UODO złożył zawiadomienie do Prokuratury Rejonowej Warszawa – Śródmieście o uzasadnionym podejrzeniu popełnienia przestępstwa określonego w art. 108 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Należy wskazać, że imię i nazwisko, PESEL, informacje zobowiązaniach finansowych, przysługujących prawach czy sposobie pozyskania tytułu prawnego do nieruchomości – to tylko niektóre dane o właścicielu nieruchomości dostępne w księdze wieczystej. Dysponując tym numerem można więc mieć dostęp do zawartych w niej danych, co może prowadzić do zagrożeń dla wielu osób, jak m.in. do ponownego wykorzystania danych niezgodnie z pierwotnymi celami przetwarzania, czy nieuprawnionego profilowania właścicieli nieruchomości. Tymczasem żaden z obowiązujących przepisów prawa, w tym przepisów regulujących kwestie związane z działalnością Głównego Geodety Kraju, nie uprawnia tego organu do upubliczniania w ramach portalu internetowego GEOPORTAL2 danych dotyczących numerów ksiąg wieczystych.  

Zgodnie z obowiązującymi przepisami prawa dane osobowe to nie tylko informacje, które w sposób bezpośredni identyfikują osobę fizyczną, ale i takie, które pozwalają na jej pośrednią identyfikację. Zatem do danych osobowych należy zaliczyć także numer księgi wieczystej, ponieważ dzięki niemu można uzyskać wiele informacji o  właścicielu konkretnej nieruchomości.

Warto dodać, że Prezes UODO, a uprzednio Generalny Inspektor Ochrony Danych Osobowych,  wielokrotnie występował do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach dotyczących udostępniania przez właściwe organy danych osobowych w postaci numerów ksiąg wieczystych.

Źródło: UODO

11. Szerokie uprawnienia GIS przy przetwarzaniu danych w związku z koronawirusem

Zalecenia GIS wydane na podstawie specustawy dotyczącej przeciwdziałania COVID-19 mogą stanowić podstawę prawną do przetwarzania danych osobowych. Prezes UODO zaleca, by GIS, jak i organy Państwowej Inspekcji korzystali ze wsparcia swoich inspektorów ochrony danych osobowych (IOD) i deklaruje pełną gotowość współpracy w tym zakresie.

Mając na uwadze powagę sytuacji, mnogość zadań oraz konieczność podejmowania szeregu działań związanych z przeciwdziałaniem COVID-19, Prezes UODO w piśmie do Głównego Inspektora Sanitarnego deklaruje pełną gotowość do współpracy oraz wsparcia, tak aby podejmowane działania jednocześnie służyły zapobieganiu i zwalczaniu epidemii oraz nie naruszały prawa do prywatności oraz przepisów o ochronie danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na pismo Głównego Inspektora Sanitarnego o podstawy przetwarzania danych osobowych w związku z walką z koronawirusem wskazał ponadto, że inspekcje sanitarne powinny się kierować regulacjami dotyczącym działalności tych instytucji. Ponadto biorąc pod uwagę, art. 17 ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, wszelkie decyzje, wytyczne oraz zalecenia GIS wydawane różnym podmiotom na podstawie tej specustawy będą stanowić podstawę prawną do przetwarzania przez nie danych osobowych. 

Prezes UODO zaleca jednak, by GIS, jak i organy Państwowej Inspekcji Sanitarnej podejmując decyzje dotyczące swoich działań związanych z przetwarzaniem danych osobowych, korzystali ze wsparcia swoich inspektorów ochrony danych osobowych (IOD). Jest to ważne m.in. z tego powodu, że przy opracowywaniu nowych regulacji, wytycznych i zaleceń powinni się kierować zasadami określonymi w RODO, a więc m.in. zasadą ograniczenia celu czy zasadą ograniczenia przechowywania danych.

Podejmując natomiast wszelkie działania inspekcje sanitarne powinny pamiętać, by dane osobowe, które w związku z tymi zadaniami są przetwarzane, były odpowiednio chronione. 

Prezes UODO w piśmie do GIS podkreślił również, by szczególną uwagę zwrócić na zakres udostępnianych informacji, np. podczas wywiadów czy konferencji prasowych, dotyczących osób dotkniętych koronawirusem. Należy przy tym zminimalizować zakres ujawnianych danych i wskazywać np. na występowanie u tych osób chorób współistniejących, bez podawania szczegółowych jednostek chorobowych.

Źródło: UODO

12. Jeśli pracodawca prowadzi ZFŚS, dotyczy go także RODO

Żeby przyznać pracownikowi świadczenie z zakładowego funduszu świadczeń socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. W celu realizacji tych potrzeb musi więc przetwarzać dane osobowe tych osób, ale tylko te dane, które są niezbędne dla realizacji celu, w jakim je pozyskał. Pracodawca jest zobowiązany również do dokonywania przeglądu tych danych co najmniej raz w roku.

Warto zwrócić uwagę, że obowiązujące od 4 maja 2019 r. zmiany w ustawie o zakładowym funduszu świadczeń socjalnych (dalej: ustawa ZFŚS) nie wpływają na zmianę stanowiska Urzędu Ochrony Danych Osobowych dotyczącego zasad przetwarzania danych na potrzeby korzystania z usług i świadczeń finansowanych z zakładowego funduszu świadczeń socjalnych.

Pracodawca prowadzący ZFŚS ma prawo przetwarzać dane pracowników…

Zgodnie z przepisami tej ustawy, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Artykuł 8 ust. 1 wspomnianej ustawy zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.

Oznacza to, że pracodawca musi poznać i ocenić sytuację życiową, a także materialną wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Dlatego też w celu realizacji tych potrzeb musi przetwarzać dane osobowe pracownika i członków jego rodziny. Przetwarzanie tych danych nie może jednak prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane te są pozyskiwane. Dodany w 2019 roku art. 8 ust. 1a ustawy określa, że pracownik przekazuje te dane pracodawcy w formie oświadczenia. Natomiast potwierdzenie danych w nim zawartych może odbywać się m.in. na podstawie oświadczeń i zaświadczeń o sytuacji życiowej.

… ale tylko w takim zakresie, jaki jest niezbędny do realizacji celów

W opinii UODO, jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to powołana regulacja umożliwia pracodawcy jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii czy innego utrwalania. Powodowałoby to gromadzenie danych w szerszym zakresie niż jest to niezbędne do celu przetwarzania. PIT współmałżonka to dokument zawierający również takie dane, jak np. nazwa zakładu pracy czy numer PESEL, które nie są niezbędne do potwierdzenia danych przedstawionych w oświadczeniu pracownika.

Tymczasem administratorzy, przetwarzając dane osobowe, nie powinni też zapominać o zasadach określonych w ogólnym rozporządzeniu o ochronie danych (RODO). Jedną z nich jest zasada minimalizacji danych, zgodnie z którą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przyjęło się, że adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora (w tym przypadku pracodawcy).

Przepisy ustawy o ZFŚS nigdzie nie wskazują, by członkowie rodzin pracowników musieli podpisywać dodatkowe oświadczenia. Z regulacji tych wynika, że oświadczenie na temat sytuacji rodzinnej, życiowej i materialnej przedstawia pracownik.

Powyższe wyjaśnienia mają zastosowanie również w odniesieniu do przetwarzania danych o stanie zdrowia.

ZFŚS a RODO

Podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych i ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO.

Pierwszy z powołanych przepisów legalizuje przetwarzanie danych osobowych, gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Drugi natomiast ma zastosowanie w przypadku przetwarzania szczególnych kategorii danych (np. dotyczących zdrowia). Umożliwia on przetwarzanie takich danych, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Pracodawca musi co najmniej raz w roku sprawdzić, jakie dane przetwarza

Przepisy ustawy o ZFŚS zakładają, że pracodawca w ramach Funduszu przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia czy też dopłaty z tego źródła oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń (np. zobowiązania podatkowe ulegają przedawnieniu po pięciu latach).

Od 4 maja 2019 r. nowe przepisy nakładają również obowiązek dokonywania przez pracodawcę przeglądu danych osobowych zawartych w dokumentacji wytworzonej w ramach prowadzenia Funduszu – nie rzadziej niż raz w roku kalendarzowym, w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca jest zobowiązany również mocą powyższych przepisów do usuwania danych osobowych, których dalsze przechowywanie jest zbędne.

Prezes UODO wskazuje, że RODO wymaga nieprzerwanego, ciągłego, prawidłowego przetwarzania danych, w każdym procesie wykonywania operacji na danych. Nie wystarczy więc dokonać jednorazowego przeglądu danych w istniejących zasobach. Przepisy te nakazują pracodawcy usuwać dane osobowe, których dalsze przechowywanie jest zbędne, jest ściśle związane z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), tj. przyznawanie świadczeń socjalno-bytowych w ramach działania Funduszu.

W praktyce oznacza to, że zarówno w podmiotach publicznych, jak i niepublicznych, pracodawcy prowadzący ZFŚS muszą dokonywać corocznych przeglądów, aby zweryfikować, czy przetwarzają jedynie dane niezbędne do realizacji celów świadczeń socjalnych swoich pracowników. Co ważne, przegląd dotyczy całości dokumentacji.

Pracodawca nie może zapomnieć o archiwizacji, jeśli dotyczy go ten wymóg

W przypadku pracodawcy będącego podmiotem publicznym, który zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach ma obowiązek archiwizowania wytworzonej dokumentacji, istotne znaczenie przy realizacji obowiązków wynikających z ustawy o ZFŚS będą miały przepisy dotyczące archiwizacji. Oznacza to, że jeżeli dokumentacji z działania Funduszu zostanie przypisana kategoria archiwizacyjna z jednolitego rzeczowego wykazu akt, to dokumenty niezbędne do realizacji celów, dla których prowadzony jest Fundusz będą musiały być przechowywane przez określony w tej kategorii czas. Wówczas nie można ich zniszczyć aż do czasu, kiedy będą one podlegały brakowaniu. Zatem podmioty publiczne będą realizowały zarówno cele związane z ochroną danych osobowych w ramach działania Funduszu, jak i cele archiwizacyjne.

Odnosząc się natomiast do pracodawców działających jako podmioty prywatne, będą oni realizować jedynie obowiązki wynikające z ustawy o ZFŚS. Zgodnie z zasadą celowości pracodawcy mający status podmiotu prywatnego są zobowiązani dokonywać minimum raz w roku przeglądu danych osobowych oraz usuwać te dane, które dla celów związanych z prowadzeniem Funduszu są zbędne.

Źródło: UODO

13. Czy pracodawca może używać imiennego adres e-mail byłego pracownika?

Imienny adres e-mail zawiera dane z zakresu tzw. „danych zwykłych”, których przetwarzanie regulowane jest w RODO (art. 6 ust. 1). Oznacza to, że przetwarzanie takich danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie.

Jeśli pracodawca nadal posiada aktywny adres poczty elektronicznej byłego pracownika, który był przypisany do niego w trakcie pełnienia obowiązków, to pozostaje nadal administratorem tych danych[1]. Z przepisów jednoznacznie wynika, że administratorem danych jest ten podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W omawianym przypadku podstawą przetwarzania danych byłego pracownika zawartych w adresie mailowym może być realizacja prawnie uzasadnionego interesu administratora[2].

Dodatkowo proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w RODO[3]. Do zasad tych zalicza się m.in.: ograniczenie celu przetwarzania lub minimalizację przetwarzanych danych. Wspomniane zasady wymagają, by proces przetwarzania był ukierunkowany na konkretny, wyraźny i prawnie uzasadniony cel, a także by zakres danych osobowych przetwarzanych na rzecz określonego celu był ograniczony do jak najmniejszego.

Odwołując się do omawianego przypadku, trzeba zaznaczyć, że jeśli byłego pracownika łączyła z pracodawcą umowa, zgodnie z którą był odpowiedzialny m.in. za kontakt z kontrahentami, to po zakończeniu współpracy pracodawca może chcieć nadal wykorzystywać ten adres mailowy, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami. Możne się to dokonać np. za pomocą automatycznej odpowiedzi kierowanej do klientów lub kontrahentów. Jeśli komunikat obejmuje informację o tym, że dany pracownik nie jest już zatrudniony oraz wskazanie, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami danego podmiotu, to w ocenie Prezesa UODO tego rodzaju działanie można potraktować jako prawnie uzasadniony interes administratora danych.

Ważne, aby administrator miał świadomość, że prawnie uzasadnione interesy administratora mogą stanowić podstawę do przetwarzania tylko w sytuacji, w której mają one nadrzędny charakter w stosunku do interesów lub podstawowych praw i wolności osób, której dane dotyczą[4]. W omawianym przypadku interes realizowany przez pracodawcę ma taki charakter. Dane byłego pracownika mogą być używane przez pracodawcę jedynie w sytuacjach, gdy klient podejmuje próbę kontaktu i jedynie w celu wskazania aktualnych danych kontaktowych. Adres mailowy zawierający imię i nazwisko byłego pracownika nie może być aktywnie wykorzystywany przez administratora, np. do pozyskiwania nowych klientów.

W omawianym przypadku konieczne dla ochrony uzasadnionego interesu pracodawcy jest, by poinformować kontrahentów, podejmujących próby nawiązania kontaktu z danym podmiotem poprzez adres mailowy opatrzony danymi, o aktualnych ścieżkach kontaktu. Co więcej, trwający proces przetwarzania powinien odbywać się z poszanowaniem dla wskazanych zasad, zarówno w związku z ograniczonym celem przetwarzania, jak i ograniczeniem zakresu przetwarzanych danych byłego pracownika do adresu mailowego składającego się z imienia i nazwiska oraz informacji o tym, że nie jest już pracownikiem tego podmiotu.

[1] Artykuł 4 ust. 7 RODO

[2] Artykuł 6 ust. 1 lit. f RODO

[3] Artykuł 5 ust. 1 RODO

[4] Zgodnie z art. 6 ust. 1 lit. f oraz motywem 47 RODO

Źródło: UODO

14. Banki nie zawsze mogą kserować dowód osobisty

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych art. 112b ustawy Prawo bankowe nie pozwala bankom wykonywać kserokopii i skanów dowodów osobistych klientów, żeby np. założyć konto bankowe czy zbadać zdolność kredytową klienta. Wystarczy wówczas spisanie danych z dokumentów tożsamości.

Sporządzenie kopii dowodów tożsamości jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy. Tymczasem art. 112b Prawa bankowego pozwala przetwarzać do celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Przepis ten nic nie mówi o tym, że banki mogą sporządzać kopie dowodów tożsamości.

Ksero nie przy każdej czynności

Takie stanowisko przedstawił Prezes UODO w odpowiedzi na pismo Prezesa Związku Banków Polskich, które pod wpływem jednego z komunikatów na stronie internetowej Urzędu poprosiło o analizę regulacji w tym zakresie. W odpowiedzi Prezes Urzędu wskazuje, że kopiowanie dokumentów tożsamości niemal przy każdej czynności budzi wątpliwości organu nadzorczego. Dlatego Prezes UODO stanowczo sprzeciwia się takiej praktyce przy każdej czynności. Zwraca też uwagę, że decyzja wydana przez Generalnego Inspektora Ochrony Danych Osobowych z 22 lutego 2013 r. sygn. DOLIS/DEC-211/13 opiera się na nieobowiązujących obecnie przepisach prawnych. Ponadto sporządzanie kopii dokumentów tożsamości ułatwia ich wykorzystywanie do innych celów przez podmioty nieupoważnione, w tym do kradzieży tożsamości.

Czasem możliwe jest kopiowanie dokumentów

Prezes UODO w swojej odpowiedzi do Prezesa ZBP wskazuje, że w niektórych sytuacjach kopiowanie np. dowodów osobistych jest legalne. Podstawę do sporządzania kopii dokumentów tożsamości stanowią przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi. Z tym, że jest to możliwe w określonych w tej ustawie przypadkach takich jak np. przeprowadzanie transakcji okazjonalnej o równowartości 15 tys. euro lub większej albo przypadkach, gdy zachodzi podejrzenie prania pieniędzy lub finansowania terroryzmu.

Prezes UODO zaznacza jednak, że możliwość kopiowania dokumentów tożsamości w przypadkach określonych w tej ustawie nie jest równoznaczna z takim obowiązkiem po stronie banków. Ponadto za każdym razem, gdy bank na podstawie art. 34 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi zamierza skopiować dokument tożsamości, to decyzje o tym powinien poprzedzić analizą i zweryfikowaniem czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.

15. Użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi

Podmioty zamieszczające wtyczkę „Lubię to” na swoich witrynach internetowych są wspólnie z Facebookiem (dostawcą wtyczki społecznościowej) administratorami danych osobowych osób korzystających z witryn takich podmiotów. Przy czym odpowiedzialność tych podmiotów ogranicza się do operacji zbierania danych oraz ich transmisji do Facebooka.

Taki wniosek płynie z wyroku, który 29 lipca 2019 r. wydał Trybunał Sprawiedliwości UE. Chodzi o wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17* Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV. Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożył Oberlandesgericht Düsseldorf.

Rozstrzygnięcie to jest istotne z punktu widzenia określenia ról podmiotów biorących udział w procesie przetwarzania danych osobowych.

Obowiązek informacyjny to podstawa

Urząd Ochrony Danych Osobowych przypomina podmiotom korzystającym z wtyczek społecznościowych Facebooka „Lubię to”, aby wypełniać wobec osób korzystających z witryn obowiązek informacyjny (art. 13 ogólnego rozporządzenia o ochronie danych ─ RODO). Osoba odwiedzająca taką witrynę musi wiedzieć, że operator przekazuje jej dane Facebookowi. Dane to informacje o adresie IP i identyfikatorze przeglądarki użytkownika.

Sklepy internetowe czy inne podmioty prowadzące działalność przez Internet powinny uzupełnić klauzule informacyjne na swoich stronach internetowych, jeżeli dotychczas takich informacji nie zamieściły, a korzystają z wtyczki „Lubię to”. Obowiązek informacyjny powinien być spełniony przed gromadzeniem i przekazywaniem danych Facebookowi.

Użytkownik musi wiedzieć, co dzieje się z jego danymi

Kolejna istotna dla operatorów witryn kwestia, to konieczność dysponowania przesłanką do przetwarzania danych osobowych w zakresie przekazywania tych danych portalowi społecznościowemu Facebook (zgoda, prawnie uzasadniony interes).

Zgoda osoby, której dane dotyczą musi być uprzednia, a więc wyrażona przed rozpoczęciem gromadzenia i przekazywania danych.

Co więcej, klauzula zgody na przekazywanie danych Facebookowi powinna być sformułowana odrębnie od klauzul zgód na przetwarzanie danych osobowych w innych celach i powinna spełniać wszystkie przesłanki o których mowa w RODO.

Warto przypomnieć, że zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO).

W myśl zaś motywu 43 RODO zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to właściwe.

Motyw 32 RODO stanowi, że zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Jak orzekł Trybunał Sprawiedliwości w przypadkach, w których przetwarzanie jest konieczne do realizacji uzasadnionych interesów, każdy ze współadministratorów danych, mianowicie operator witryny internetowej i dostawca wtyczki społecznościowej, musi w ramach gromadzenia i przekazywania danych uzasadnić, dlaczego te operację są w jego działalności potrzebne.

Polityki bezpieczeństwa do przeglądu

Kolejna niezbędna czynność, to uwzględnienie przez wspomnianych operatorów w ich politykach bezpieczeństwa kwestii przekazywania danych osobowych Facebookowi w związku z korzystaniem z wtyczki „Lubię to”.

Warto zauważyć także, że podmioty będące współadministratorami powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO (art. 26 ust. 1 RODO). Jest to istotne w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO.

Ponieważ operatorzy witryn internetowych wraz z dostawcą wtyczki społecznościowej (Facebook), w zakresie zbierania i transmisji danych Facebookowi, zostali uznani przez Trybunał Sprawiedliwości UE za współadministratoratorów danych osobowych osób odwiedzających te witryny muszą pamiętać o jeszcze jednej ważnej czynności. Powinni oni zapewnić, aby osoba, której dane dotyczą miała całkowitą pewność, do którego administratora danych się zwrócić, jeżeli zamierza wykonać prawo lub prawa przysługujące jej na mocy RODO (art. 26 ust. 2 RODO).

16. Zakaz wykonywania replik dokumentów publicznych ograniczy kradzieże tożsamości

Wchodząca w życie ustawa o dokumentach publicznych zakazuje wykonywania i handlu replikami np. dowodów osobistych lub praw jazdy. Zdaniem UODO nie każda kopia dokumentu publicznego będzie miała cechy autentyczności, nie mniej podmiot, który skopiuje np. dowód osobisty może odpowiadać za przetwarzanie zbyt szerokiego zakresu danych osobowych.

Podszywanie się pod inne osoby, by wyłudzić pożyczki czy kupić np. drogie rzeczy na raty  – to najbardziej obrazowe przykłady negatywnych skutków tzw. kradzieży tożsamości. Proceder ten nasilił się za sprawą tzw. dokumentów kolekcjonerskich, które są łudząco podobne do oryginalnych dowodów osobistych czy praw jazdy. Oszuści zamawiali takie dokumenty kolekcjonerskie, ale podawali w nich dane innych osób. Następnie posługiwali się nimi w celach przestępczych. Za sprawą nowej ustawy o dokumentach publicznych, która wchodzi w życie 12 lipca 2019 r., proceder ten będzie utrudniony.

Więzienie za replikę

Za sprawą nowych przepisów każdemu, kto wykona, sprzeda lub będzie posiadł w celu zbycia replikę dokumentu publicznego będzie groziła kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat 2. A taką repliką będzie kopia lub odwzorowanie np. dowodu osobistego czy prawa jazdy o wielkości od 75 proc. do 120 proc. oryginału i o cechach autentyczności dokumentu publicznego.

Odpowiedzialność karna, przewidziana w nowych przepisach, nie będzie jednak groziła w przypadku wykonania kserokopii i wydruków komputerowych dokumentów publicznych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany.

Ci, którzy dziś wykonują kopie dokumentów np. dowodu osobistego czy prawa jazdy powinni więc rozważyć, czy ich działanie nie naruszy ustawy o dokumentach publicznych. Mogą bowiem stać się obiektem zainteresowania organów ścigania, gdy te uznają, że wykonano replikę dokumentu publicznego, a nie jego kserokopię.

W kwietniu br. UODO zwrócił Ministerstwu Spraw Wewnętrznych i Administracji uwagę na potrzebę pełniejszej regulacji w zakresie kopiowania dokumentów publicznych, gdyż w ocenie UODO nie każda kserokopia dokumentu publicznego będzie miała cechy autentyczności i wówczas może nie podlegać pod przepisy nowej ustawy o dokumentach publicznych. MSWiA, nie wykluczając możliwości nowelizacji tych przepisów,  zapowiedziało, że na razie będzie się przyglądać skutkom tych regulacji i temu jak będą one stosowane w praktyce.

Nie tylko dowód i prawo jazdy

W nowej ustawie zdefiniowano pojęcie dokumentów publicznych, jak i określono ich katalog, w którym jest nie tylko prawo jazdy, dowód osobisty, paszport czy dowód rejestracyjny pojazdu. Wśród dokumentów publicznych są m.in. in. książeczka żeglarska, dokumenty wydawane przez urzędy stanu cywilnego, np. akt urodzenia, odpisy prawomocnych orzeczeń sądów, z których wynika nabycie, istnienie lub wygaśnięcie prawa. Katalog wymienia także legitymacje funkcjonariuszy różnych służb, żołnierzy czy dokumenty uprawniające do wykonywania zawodu lekarza.

Dla UODO ważny jest zakres danych

Z punktu widzenia zasad przetwarzania danych osobowych, przy sporządzaniu kopii dokumentów tożsamości, podmioty ją wykonujące powinny wziąć pod uwagę przepisy prawa, na podstawie których działają. Muszą też pamiętać o zasadach wynikających z RODO, m.in. zasadzie minimalizacji danych. W bardzo wielu przypadkach kopiowanie dokumentów potwierdzających tożsamość prowadzi do pozyskiwania danych wykraczających poza zakres dopuszczalny przepisami prawa, na podstawie których działają dane podmioty. I w każdym przypadku, gdy np. przedsiębiorca sporządza kopię dokumentu tożsamości, Urząd Ochrony Danych Osobowych może badać, czy faktycznie jest uprawniony do przetwarzania aż takiego zakresu zawartych tam danych. Organ nadzorczy będzie zatem weryfikował czy zakres przetwarzanych danych jest ograniczony do tego co niezbędne do celów, dla których dane są przetwarzane – czy nie narusza zasady minimalizacji.

W ocenie UODO większość podmiotów, które często chcą wykonywać kserokopie naszych dokumentów nie mogą tego uzasadniać takim celem, jakim jest np. zawarcie umowy. Przykładowo firma telekomunikacyjna ma w Prawie telekomunikacyjnym wskazany obwiązek przetwarzania danych na podstawie przepisów o ochronie danych osobowych. Musi zatem pamiętać, że może przetwarzać tylko te dane, które są uzasadnione określonym celem przetwarzania. Tymczasem w nowych dowodach osobistych widnieją dane, które są zbędne dla potrzeb zawarcia umowy, jak np. nasz wizerunek, płeć, obywatelstwo. Ponadto w starszych dokumentach dodatkowo był podany nasz wzrost i kolor oczu, a informacje te nie są potrzebne przedsiębiorcy. 

Wykonania ksero naszego dowodu nie można tłumaczyć także celem, jakim jest ewentualne dochodzenie roszczeń np. za zniszczony, skradziony sprzęt z wypożyczalni np. łódek, nart czy samochodów. Do realizacji takiego celu wystarczające wydaje się pozyskanie jedynie takich danych, jak: imię i nazwisko, adres zamieszkania czy numer dokumentu tożsamości bądź PESEL. I wystarczy je po prostu spisać z okazanego dokumentu. Należy przy tym pamiętać, że gdy ustanie cel uzasadniający przetwarzanie tych danych, administrator powinien je usunąć – np. zwrócić formularz, na którym spisał takie dane, ich posiadaczowi.

Jeśli w przeszłości zgodziliśmy się na skopiowanie naszego dowodu, zawsze mamy prawo (korzystając z uprawnień określonych w art. 17 RODO) zwrócić się do administratora z wnioskiem o usunięcie takich danych. Powinniśmy przy tym powołać się na to, że dane te zostały zebrane z naruszeniem prawa i wykraczają poza dopuszczalny zakres. Gdy żądanie to nie zostanie spełnione, przysługuje nam prawo wniesienia skargi do Prezesa UODO, w której należy też wskazać oczekiwania wobec organu ds. ochrony danych osobowych (np. wydanie decyzji nakazującej usunięcie danych).

Niekiedy ksero jest dopuszczalne

Kopie naszych dokumentów często są wykonywane przez banki. W ocenie Prezesa UODO taka praktyka jest dopuszczalna tylko w określonych sytuacjach. Nie powinna być stosowana np. w przypadku zakładania konta, sprawdzania zdolności kredytowej czy zawierania umowy kredytowej.

Banki powołują się przy tym na art. 112b ustawy Prawo bankowe. Jednak przepis  ten uprawnia je do przetwarzania danych zawartych w dokumentach tożsamości. Nic nie stanowi o sporządzaniu kopii tych dokumentów.

Warto jednak wiedzieć, że na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (art. 34 ust. 4), część podmiotów może sporządzać kopie dokumentów tożsamości klienta (np. dowodu osobistego) na potrzeby stosowania przez nie środków bezpieczeństwa finansowego. Wśród podmiotów, które na podstawie tej ustawy są uprawnione do kopiowania dokumentów tożsamości, są m.in.: banki,, firmy ubezpieczeniowe, kantory, czy nawet notariusze. A tak może być, gdy miały podejrzenie co do legalności wykonywanych transakcji, czy operacji finansowych. W przypadku okazjonalnego transferu pieniędzy wystarczająca może być już kwota o równowartości 1 tys. euro.

O ile ustawa ta pozwala kopiować dokumenty w celu, jakim jest zapewnienie bezpieczeństwa finansowego, to wymienione w tych regulacjach podmioty, nie mogą robić np. kserokopii dokumentów tożsamości w innych celach.

Źródło: UODO

17. Ochrona danych osobowych nie ma wakacji

Kilka porad jak w czasie wakacji zadbać o swoje dane osobowe i uchronić się przed potencjalnymi problemami.

Dowód osobisty pozostawiony w zastaw za wypożyczony sprzęt rekreacyjny. Zgubiony portfel z dokumentami. To najczęstsze sytuacje podczas wakacji, gdy narażamy się na to, że nasze dane wpadną w niepowołane ręce i mogą zostać wykorzystane np. do zaciągnięcia na nas pożyczki. Zadbaj o bezpieczeństwo swoich danych osobowych, aby tegoroczny urlop nie przysporzył niepotrzebnych problemów.

Rower wodny, kajak czy łódka wypożyczone tylko na godzinę. Chwila przyjemności, relaksu, a dowód osobisty jest przecież bezpieczny – w szufladzie firmy wypożyczającej sprzęt wodny. Bez pozostawienia dokumentu w zastaw nie moglibyśmy przecież w pełni skorzystać z oferowanych atrakcji. Tyle że godzina to wystarczająco długo, by ktoś (niekoniecznie pracownik firmy) wyjął dokument z szuflady, zrobił jego kopię i …  zaczynają się problemy.

Ktoś, kto pozyska nasze dane, może dzięki nim zaciągnąć pożyczkę, zrobić zakupy przez internet. Mogą też one posłużyć do zawarcia umów np. z operatorem telefonii komórkowej, wypożyczenia drogiego sprzętu i następnie jego kradzieży.

Nie zostawiaj dowodu w zastaw

Urząd Ochrony Danych Osobowych przypomina, że nikt zgodnie z prawem nie może od nas wymagać, byśmy zostawili dokument tożsamości (np. dowód osobisty, paszport, prawo jazdy) w zastaw np. za wypożyczany sprzęt. Dokumenty są wydawane w celach ściśle określonych przepisami prawa i zawierają wskazany w nich katalog danych osobowych, który jest szerszy niż ten, jaki można uznać za niezbędny dla realizacji określonego celu.

Pamiętajmy też, że dokumentami mogą posługiwać się tylko te osoby, którym zostały one wydane. Prawo zabrania zatrzymywania dokumentów potwierdzających tożsamość, jak i przetwarzania danych w nich zawartych. Uprawnione do tego są jedynie instytucje wskazane w aktach prawnych regulujących funkcjonowanie określonych podmiotów bądź sektorów. Dlatego np. ustawa o dowodach osobistych określa, że za zatrzymywanie bez podstawy prawnej naszego dowodu osobistego grozi kara ograniczenia wolności albo kara grzywny.

Z kolei paszport, nie jest nawet naszą własnością, ale Rzeczypospolitej Polskiej. Został on nam wydany jedynie w celu przekraczania granicy i pobytu za granicą oraz poświadczania obywatelstwa polskiego, a także tożsamości. Nie można więc nim dowolnie dysponować w innych celach niż te, dla których został wydany.

Zatrzymywanie tych, jak i innych dokumentów potwierdzających tożsamość prowadzi nie tylko do naruszenia krajowych przepisów, ale także zasad zawartych w ogólnym rozporządzeniu ochronie danych (RODO). Chodzi o zasady: zgodności z prawem, ograniczenia celu oraz adekwatności (art. 5 RODO).

Nie pozwól robić ksera

Niektórzy usługodawcy przy wypożyczaniu sprzętu rekreacyjnego, np. łódek czy kajaków, nie chcą w zastaw dokumentu, ale jego kserokopię. Tego również nie wolno im robić. W dalszym ciągu taka praktyka naraża nas na te same niebezpieczeństwa. Dlatego nie gódźmy się na to, nawet gdy przedsiębiorca tłumaczy, że to jest wymagane do dochodzenia ewentualnych roszczeń, np. za zniszczony czy nieoddany sprzęt. Do tego wystarczające powinno być spisanie z dokumentu informacji, które będą pomocne przy dochodzeniu ewentualnych roszczeń np. imienia i nazwiska czy numeru PESEL Nieuzasadnione jest jednak przetwarzanie wszystkich danych widniejących np. w dowodach osobistych. Innym rozwiązaniem jest też wpłacenie kaucji za wypożyczony sprzęt.

Jeżeli przedsiębiorca postanowił spisać twoje dane z dowodu osobistego, to domagaj się, by po tym jak zwrócisz wypożyczony sprzęt, usunął je albo zwrócił ci formularz lub notatkę,  którychj je zapisał.

Z podobnymi żądaniami o pozostawienie dokumentu albo pozwolenie na jego skopiowanie możemy się spotkać choćby w hotelowej recepcji. Nie wolno tego robić. Pracownik recepcji może jedynie poprosić nas o przedstawienie dokumentu w celu ustalenia naszej tożsamości. To oznacza, że recepcjonista ma prawo wglądu do naszego dowodu osobistego, ale nie do jego kopiowania czy zatrzymywania.

Nie trać kontroli nad danymi

Okazji, by podczas wakacji pozyskać od nas nie tylko pieniądze, ale i dane osobowe jest więcej. Przykładem mogą być koncerty czy festiwale, których organizatorzy proponują nam bilet w atrakcyjnej cenie lub za darmo, gdy np. wypełnimy dodatkowy formularz i wyrazimy zgody na przetwarzanie danych, jakie w nim udostępniamy. Niestety, w ten sposób zaczynamy tracić kontrolę nad tym komu i w jakim celu udostępniliśmy nasze dane. A problem staje się jeszcze większy, gdy każdy z tych podmiotów udostępnił nasze dane swoim partnerom do celów marketingowych, na co przecież wyraziliśmy zgodę. Często więc po wakacjach zastanawiamy się skąd kolejna firma ma nasz numer telefonu? Nie doczytaliśmy lub nie pamiętamy, że sami je przekazaliśmy oraz wszelkie możliwe zgody.

Bywa i tak, że nieuczciwe podmioty przekazują nasze dane kolejnym firmom – już bez naszej zgody. I po kilku miesiącach firm dysponujących naszymi danymi jest znacznie więcej, co komplikuje możliwość dochodzenia swoich praw i kierowania żądań o usunięcie naszych danych.

Uważaj na ogłoszenia

Przykładem innej sytuacji, gdy w okresie wakacyjnym jesteśmy narażeni na utratę danych jest poszukiwanie pracy tymczasowej, np. przy zbiorze owoców lub w gastronomii. Niestety, wśród prawdziwych ogłoszeń są i takie, których celem jest pozyskanie jak najdokładniejszych informacji na nasz temat. Warto więc bardzo dokładnie analizować takie treści i szczególną ostrożność zachować, gdy potencjalny pracodawca chce byśmy oprócz podstawowych danych na swój temat i wskazania danych do kontaktu, podali także np. numer PESEL i udostępnili skany naszych dokumentów tożsamości, co nie jest niezbędne w procesie rekrutacji.

Naszą czujność powinno wzbudzić także takie ogłoszenie, w którym podany jest link kierujący do dodatkowego  formularza w internecie. Należy też uważać, gdy potencjalny pracodawca, który nie jest nam znany, wysłała nam taki formularz w załączniku, który może być zainfekowany złośliwym oprogramowaniem.

Pamiętajmy, że do celów rekrutacyjnych pracodawca uprawniony jest do pozyskiwania tylko takich danych jak: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia.

Źródło: UODO

18. Dane strajkujących nauczycieli nie powinny być umieszczane w SIO

Prezes Urzędu Ochrony Danych Osobowych, odpowiadając na liczne pytania kierowane do Urzędu, wyjaśnia, że wprowadzanie do systemu informacji oświatowej danych o tym, który nauczyciel bierze udział w strajku, nie ma podstaw prawnych.

Ustawa z dnia 15 stycznia 2011 r. o systemie informacji oświatowej określa rodzaj i zakres danych gromadzonych w systemie informacji oświatowej, a w tym dane identyfikacyjne i dane dziedzinowe nauczycieli. Artykuł 29 tej ustawy definiuje, co należy rozumieć przez dane dziedzinowe nauczyciela.   Są to między innymi dane dotyczące przyczyn nieprowadzenia zajęć (art. 29 ust. 1 pkt 1 lit. h i ust. 1 pkt 1a lit. h oraz ust. 3 pkt 1 lit. f).

Ustawa nie mówi, co dokładnie należy rozumieć przez przyczyny nieprowadzenia zajęć. Tę kwestię doprecyzowuje rozporządzenie Ministra Edukacji Narodowej z 11 sierpnia 2017 r. sprawie szczegółowego zakresu danych dziedzinowych gromadzonych w systemie informacji oświatowej oraz terminów przekazywania niektórych danych do bazy danych systemu informacji oświatowej (wydane na podstawie art. 31 tej ustawy).

Przepis § 27 tego rozporządzenia określa czym są dane dziedzinowe nauczycieli dotyczące przyczyn nieprowadzenia zajęć. Zgodnie z nim taką przyczyną może być tylko:

1. urlop macierzyński, urlop rodzicielski, urlop ojcowski lub urlop na warunkach urlopu macierzyńskiego;
2. urlop wychowawczy;
3. urlop bezpłatny udzielony na podstawie ustawy – Karta Nauczyciela (art. 17 ust. 2 i art. 17 ust. 2a);
4. urlop udzielony na podstawie ustawy o związkach zawodowych (art. 25 ust. 1);
5. zwolnienie z obowiązku świadczenia pracy na podstawie ustawy o związkach zawodowych (art. 31 ust. 1);
6. urlop dla poratowania zdrowia;
7. zwolnienie z obowiązku prowadzenia zajęć na podstawie ustawy – Karta Nauczyciela (art. 42 ust. 6);
8. zawieszenie w pełnieniu obowiązków na podstawie ustawy – Karta Nauczyciela (art. 85t ust. 1-3);
9. urlop udzielony na podstawie ustawy – Karta Nauczyciela (art. 68 ust. 1);
10. urlop bezpłatny, o którym mowa w Kodeksie pracy (art. 174 § 1);
11. przeniesienie w stan nieczynny;
12. niezdolność do pracy, o której mowa w Kodeksie pracy (w art. 92 § 1);
13. zwolnienie od wykonywania pracy z powodu konieczności osobistego sprawowania opieki, o którym mowa w ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (art. 32 ust. 1);
14. urlop uzupełniający, o którym mowa w ustawie – Karta Nauczyciela (art. 66 ust. 1)

19. Wyznaczenie IOD w sądach powszechnych

Obowiązek wyznaczenia IOD w sądach powszechnych wynika zarówno z RODO i ustawyo ochronie danych osobowych, jak i z ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Sądy powszechne już od 25 maja 2018 r., czyli od momentu wejścia do stosowania RODO, były zobowiązane do wyznaczenia inspektora ochrony danych. Obowiązek taki przewidziany został w art. 37 ust. 1 lit a RODO oraz w art. 9 ustawy o ochronie danych osobowych.

Co się zmieniło od 6 lutego 2019 r.?

Od 6 lutego 2019 r. sądy powszechne podlegają też ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, przyjętej w związku z obowiązkiem wdrożenia w Polsce dyrektywy 2016/680 (tzw. dyrektywy policyjnej). Ustawa ta w art. 46 ust. 1 zobowiązuje administratorów do wyznaczenia inspektora ochrony danych realizującego zadania na jej podstawie.

Ponadto, od 6 lutego – na mocy tej ustawy – weszły w życie zmiany w ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych. Artykuły 175a § 1 i art. 175db wskazują obecnie prezesa sądu, dyrektora sądu oraz sąd jako odrębnych administratorów.

Prezesi i dyrektorzy właściwych sądów – każdy w zakresie realizowanych zadań – są administratorami danych osobowych:

1. sędziów i sędziów w stanie spoczynku oraz asesorów sądowych,
2. referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,
3. biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników,
4. kandydatów na stanowiska wymienione w pkt 1 i 2.

Sądy zaś są administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej. Stosownie do art. 175 dd § 1 Prawa o ustroju sądów powszechnych nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db, wykonują w zakresie działalności sądu rejonowego, okręgowego apelacyjnego właściwe organy. Ponadto sądy są administratorami innych danych osobowych, wobec których ustalają cele i sposoby przetwarzania (np. gromadzonych w związku 
z zawieraniem przez sąd umów cywilnoprawnych).

Jeden IOD dla trzech administratorów

Każdy z wyżej wskazanych administratorów (prezesi i dyrektorzy właściwych sądów oraz sądy) zobowiązany jest do wyznaczenia IOD. Od rodzaju zadań, które każdy z nich realizuje zależy, czy obowiązek ten wynika z RODO i ustawy o ochronie danych osobowych, czy też - jak w przypadku sądu – zarówno z RODO i ustawy o ochronie danych osobowych, jak i ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Przekładając to na praktykę, należy przewidywać, że w większości przypadków prezes sądu i dyrektor sądu wyznaczą do pełnienia funkcji IOD tę samą osobę, która pełni tę funkcję dla sądu jako administratora. Przy czym sąd jest administratorem danych przetwarzanych na podstawie RODO i ustawy z dnia 14 grudnia 2018 r. Możliwość wyznaczenia jednej, tej samej osoby, dla kilku podmiotów publicznych przewiduje art. 37 ust. 3 RODO oraz art. 46 ust. 3 ustawy z dnia 14 grudnia 2018 r.

W takim przypadku trzeba pamiętać, że inspektor obsługujący trzech administratorów musi realizować zadania zarówno na podstawie RODO, jak i na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Wymienione akty prawne przewidują pewne odrębności w zakresie zadań inspektorów, np. do zadań IOD wynikających z ustawy z dnia 14 grudnia 2018 r. należy przeprowadzanie na zlecenie Prezesa UODO sprawdzeń stosowania przepisów tej ustawy przez administratora. 

Ponadto IOD pełniący funkcję zarówno na podstawie RODO, jak i ustawy wdrażającej tzw. dyrektywę  policyjną powinien spełniać wymagania dla inspektorów przewidziane w obu aktach prawnych, np. ustawa z dnia 14 grudnia 2018 r. przewiduje dla inspektorów wymóg posiadania pełnej zdolności do czynności prawnych oraz korzystania z pełni praw publicznych, a także braku skazania prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie (art. 46 ust. 2 pkt. 1 i 3).

Zakres działania inspektora

W przypadku sądów ze względu na ochronę niezawisłości sędziowskiej z zakresu kompetencji inspektora wyłączone są operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości). Jednakże w zakresie całej pozostałej działalności sądu związanej z przetwarzaniem danych (np. realizowania uprawnień osób, których dane dotyczą, prowadzenia rejestrów i wykazów czynności przetwarzania, właściwego zabezpieczania danych osobowych, zgłaszania naruszeń ochrony danych) inspektor powinien służyć swoim merytorycznym wsparciem zarówno kierownictwu sądu, jak i jego pracownikom. Oznacza to także, że większość praktyk, procedur, sposobów zabezpieczeń danych osobowych wypracowanych przez sądy na podstawie RODO i ustawy o ochronie danych osobowych powinno być rozwijane i kontynuowane z uwzględnieniem zarówno wymogów RODO, jak i ustawy wdrażającej dyrektywę policyjną.

Poinformowanie o wyznaczeniu IOD osób, których dane dotyczą oraz UODO

O wyznaczeniu inspektora oraz o zakresie i podstawach jego działania (zarówno RODO, jak i ustawa z dnia 14 grudnia 2018 r.) na rzecz trzech administratorów powinni dowiedzieć się zarówno wszystkie osoby przetwarzające dane osobowe w sądzie, jak i osoby, których dane dotyczą oraz organ nadzorczy. Dla osób, których dane dotyczą, oraz dla organu nadzorczego IOD jest bowiem punktem kontaktowym zgodnie z art. 38 ust. 4 i 
art. 39 ust. 1 lit. e RODO oraz art. 47 ust. 1 pkt 7 i 8 ustawy z dnia 14 grudnia 2018 r.

W związku z tym zarówno ustawa o ochronie danych osobowych (art. 11), jak i ustawa z dnia 14 grudnia 2018 r. (art. 46 ust. 11) zobowiązują administratorów  by udostępnili imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej. Jeżeli administrator lub podmiot przetwarzający nie prowadzi własnej strony, udostępnia informacje o IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Dane inspektora w powyższym zakresie muszą być przekazane również Prezesowi UODO. W związku z wieloma pytaniami wskazujemy, że obowiązujące od 6 lutego br. przepisy oznaczają, że prezes sądu i dyrektor sądu jako administratorzy powinni skorzystać w celu powiadomienia nas o wyznaczeniu inspektora z elektronicznej formy zawiadomienia zgodnie z art. 10 ust. ust. 6  ustawy o ochronie danych osobowych (formularz dostępny jest tutaj). Zawiadomienie należy opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem zaufanym (pomocne wskazówki dostępne tutaj).

Natomiast zawiadomienie o wyznaczeniu IOD przez sąd jako administratora danych działającego na podstawie ustawy z dnia 14 grudnia 2018 r. powinno również nastąpić w postaci elektronicznej, ale na podstawie art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. za pomocą formularza dostępnego pod linkiem https://www.biznes.gov.pl/pl/e-uslugi/00_0931_00 Więcej informacji na temat wyznaczenia IOD na tej podstawie można znaleźć tutaj.

20. Przychodzi pacjent do lekarza… i na co musi zwrócić uwagę, by chronić swoje dane?

Wywieszanie list pacjentów z ich danymi osobowymi i godzinami przyjęć w przychodniach jest niedozwolone. Natomiast tabliczki na drzwiach gabinetów lekarskich z nazwiskami przyjmujących lekarzy w żaden sposób nie naruszają przepisów o ochronie danych osobowych. Temu jak m.in. zorganizować pracę w przychodni zgodnie z RODO poświęcony jest kolejny film edukacyjny pt. „Przychodzi pacjent do lekarza”.

– Imię, nazwisko i specjalizacja lekarza są jego danymi związanymi z wykonywaną przez niego pracą. Podobnie należy postępować z identyfikatorami noszonymi przez lekarza. Zgodnie z ustawą o działalności leczniczej osoby zatrudnione np. w szpitalach są zobowiązane nosić w widocznym miejscu taki identyfikator – wyjaśnia dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych.

Szczególną uwagę, jej zdaniem, należy zwrócić na przetwarzanie danych o stanie zdrowia. – Odpowiedzialność za przetwarzanie tych danych, jak również za to, żeby one nigdzie nie wyciekły, ponosi przede wszystkim administrator danych. Na pierwszej linii frontu ochrony tych danych jest jednak pracownik podlegający obowiązkowi zachowania tajemnicy zawodowej czyli w pierwszej kolejności lekarz. Ale także zlecający przetwarzanie danych w ramach placówki (np. sekretarce), kierownik oddziału lub ordynator – dodaje Prezes UODO.

Więcej wskazówek, jak chronić dane osobowe, nie tylko organizując pracę przychodni, ale również podczas rejestracji pacjentów oraz oczekiwania na wizytę, w filmie:

21. Nie można pobierać opłat za realizację praw wynikających z RODO

Prezes UODO zawiadomiła Prokuratora Generalnego o podejrzeniu popełnienia przestępstwa przez spółkę, która jako administrator kilkunastu stron internetowych żąda pieniędzy za usunięcie wpisów zawierających dane osobowe.

Prawo dostępu do danych, ich sprostowania, przeniesienia czy usunięcia to niektóre z praw przysługujących nam na gruncie ogólnego rozporządzenia o ochronie danych, czyli RODO. Za korzystanie z tych praw administratorzy nie mogą żądać opłat od osób, których dane przetwarzają. Mimo to jedna ze spółek, która działa na terenie Polski, domaga się 200 zł za usunięcie wpisu na swoich portalach (ma ich kilkanaście), w których znajdują się dane osobowe lekarzy, prawników, przedsiębiorców czy fachowców świadczących różnego rodzaju usługi.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych spółka naruszyła nie tylko przepisy RODO, ale również Kodeksu karnego. Wprowadza bowiem w błąd, informując osoby żądające realizacji praw przysługujących im na podstawie regulacji rozporządzenia o tym, że zmuszeni są oni do uiszczenia opłaty. A to, zdaniem Prezes UODO, prowadzi do podjęcia przez pokrzywdzonych niekorzystnej decyzji rozporządzającej w odniesieniu do ich mienia, co jest działaniem na niekorzyść tych osób. W ocenie Prezesa Urzędu takie działanie należy uznać za wypełniające znamiona czynu z art. 286 Kodeksu karnego, czyli oszustwa.

W zawiadomieniu do Prokuratora Generalnego o podejrzeniu przestępstwa, Prezes UODO wskazuje, że spółka jest w tzw. państwie trzecim (poza Europejskim Obszarem Gospodarczym), ale  kieruje ona swoje usługi do polskich obywateli, a tym samym podlega pod regulacje RODO.

Postępowanie polskiego organu nadzorczego wykazało, że spółka ta może być powiązana z podmiotami zarejestrowanymi w Polsce. Jednak Prezes UODO w ramach swoich kompetencji nie jest w stanie wykazać tego powiązania, co uniemożliwia mu podejmowanie skutecznych działań w celu obrony praw osób, których dane dotyczą. W zawiadomieniu wskazuje, że organy ścigania mają w tym względzie znacznie większe możliwości prawne, by zweryfikować okoliczności sprawy.

Prezes UODO przekazał Prokuratorowi Generalnemu, wraz z zawiadomieniem o podejrzeniu popełnienia przestępstwa, listę stron internetowych, którymi administruje spółka oraz wszystkie inne ustalenia organu ds. ochrony danych osobowych.

Źródło: UODO

22. Poczta Polska jako administrator musi zapewniać skuteczną ochronę danych osobowych

Procedura Poczty Polskiej S.A. realizowania wpłat na rachunek bankowy przez tzw. zlecenie ustne wymaga ponownego zbadania, czy jest zgodna z przepisami o ochronie danych osobowych. Usługa ta wzbudziła wątpliwości Prezesa Urzędu Ochrony Danych Osobowych, dr Edyty Bielak-Jomaa.

Poprzez odbieranie zleceń w formie ustnej przez pracowników Poczty Polskiej od klientów może dochodzić do ujawnienia danych osobowych osobom trzecim. Takie przetwarzanie danych może przyczynić się do wykorzystania tych informacji do innych celów, a więc będzie to działanie niezgodne z zasadami wynikającymi z przepisów rozporządzenia ogólnego o ochronie danych osobowych (RODO). Dlatego Prezes UODO skierowała wystąpienie do Poczty Polskiej w tej sprawie (na podstawie art. 52 ustawy z 10 maja 2018 r. o ochronie danych osobowych). Zwraca w nim uwagę na zagrożenia, które wynikają z przyjętego rozwiązania.

– Podawanie w obecności innych osób danych osobowych niezbędnych do przelewu ogranicza prywatność zarówno dokonującego przelew, jak i odbiorcy przelewu. Co więcej, podczas ustnego określania w placówce pocztowej tytułu przelewu, może dojść do ujawnienia szczególnych kategorii danych osobowych, np. o stanie zdrowia (tytułem przelewu może być np. leczenie, operacja etc.) – stwierdza dr Edyta Bielak-Jomaa.

Wspomniany sposób realizowania wpłaty na rachunek bankowy to jedno z kilku rozwiązań dostępnych dla klientów Poczty Polskiej. Jak wynika z otrzymanej przez Prezesa UODO informacji, która przyczyniła się do sformułowania wystąpienia, pracownicy poczty nie informują klientów o alternatywnym sposobie zrealizowania przelewu.

– Skoro regulamin Poczty Polskiej przewiduje inne sposoby realizacji przelewu bankowego niż w formie ustnej, to pracownicy Poczty Polskiej powinni informować klientów o takiej możliwości, tak by nie nakłaniać jedynie do realizacji przekazów w formie werbalnej. Pracownicy Poczty Polskiej powinni być zatem, w tym zakresie pouczeni i zobligowani do takiego przyjmowania zleceń wpłat na rachunek bankowy, które pozostawać będą w zgodzie z przepisami dotyczącymi ochrony danych osobowych – wyjaśnia dr Edyta Bielak-Jomaa.

Poczta Polska jako administrator odpowiada za prawidłowe zabezpieczenie danych osobowych (art. 24 i 32 RODO). Spółka ta powinna zatem podjąć wszelkie środki, aby nie dopuścić np. do utraty czy pozyskania przez osoby trzecie danych osobowych, za których przetwarzanie jest odpowiedzialna.

Dlatego Prezes UODO proponuje, aby Poczta Polska powtórnie przeanalizowała, czy przyjęta możliwość zleceń ustnych powinna być realizowana i rozważyła, czy powinna następować w wyjątkowych sytuacjach, a nie być zasadą. Jeśli usługa ta ma być nadal dostępna, to Spółka powinna tak ją zorganizować, aby przetwarzane przez nią dane osobowe były właściwie zabezpieczone i pozyskiwane w sposób, który uniemożliwi ich ujawnianie osobom trzecim.

Źródło: UODO

23. Nowe wytyczne Rady Europy w zakresie ochrony danych związanych ze stanem zdrowia

Rada Europy 27 marca 2019 r. wydała, skierowany do 47 państw członkowskich, zestaw wytycznych, mających na celu zapewnienie, zarówno w dziedzinie prawa, jak i w praktyce, pełnej zgodności przetwarzania danych związanych ze stanem zdrowia z prawami człowieka, w szczególności z prawem do prywatności i ochroną danych.

Rosnący potencjał nowych technologii doprowadził do wzrostu roli przetwarzania danych, które stanowią obecnie cenny materiał źródłowy dla tworzenia nowej wiedzy, będąc „towarem” o znaczeniu kluczowym dla rozwoju wielu krajów.

Rozwój ten nie ominął również systemów opieki zdrowotnej. One także „poddały się” cyfryzacji oraz nowym technologiom, użytkowanym przez związanych z branżą profesjonalistów do celów takich, jak profilaktyka, badania czy administrowanie. Wzrosła również liczba osób objętych opieką medyczną.

Pamiętać należy, iż dane związane z ochroną zdrowia zawierają najbardziej intymne i osobiste informacje dotyczące życia pacjentów, również te potencjalnie narażające ich na dyskryminację, stąd też powinno się nadać tym danym specjalny status. Uwidacznia to również potrzebę sformułowania zaleceń dla pracowników branży.

W Rekomendacji, przeznaczonej do stosowania zarówno w sektorze publicznym, jak i prywatnym, Komitet Ministrów Rady Europy wzywa rządy do przekazywania tych wytycznych do stosowania przy systemach związanych z ochroną zdrowia oraz organizacjom przetwarzającym dane związane ze stanem zdrowia, w szczególności profesjonalistom tej branży oraz inspektorom ochrony danych.

Rekomendacja zawiera wiele zasad dotyczących ochrony danych związanych ze stanem zdrowia, włączając w nie nowości wprowadzone przez zaktualizowaną konwencję Rady Europy o ochronie danych osobowych, znaną jako Konwencja 108+, która przedłożona została członkom Rady do podpisu w październiku 2018 roku.

Komitet Ministrów podkreśla fakt, iż dane związane ze stanem zdrowia powinny być chronione przez odpowiednie środki bezpieczeństwa, biorące pod uwagę obecny stan rozwoju technologicznego, wrażliwość tych danych oraz oszacowanie potencjalnego ryzyka związanego z ich przetwarzaniem.

W Rekomendacji znajdują się również wskazówki odnośnie do kwestii związanych z podstawą prawną przetwarzania danych dotyczących stanu zdrowia, w szczególności ze zgodą osoby, której dane dotyczą, na ich przetwarzanie, danymi związanymi z nienarodzonymi dziećmi, danymi genetycznymi związanymi ze stanem zdrowia, dzieleniem się danymi związanymi ze stanem zdrowia przez specjalistów oraz z przechowywaniem danych.

Wytyczne wymieniają prawa przysługujące osobom, których dane dotyczą, przede wszystkim dotyczące przejrzystości przetwarzania danych. Zawierają także wykaz zasad, które powinne być przestrzegane przy przetwarzaniu danych do celów badań naukowych, zbieranych przy pomocy urządzeń mobilnych czy przekazywanych transgranicznie.

Tekst Rekomendacji w języku angielskim dostępny jest tutaj.

Źródło: UODO

24. Wyznaczenie IOD na podstawie ustawy wdrażającej dyrektywę policyjną

Ustawa wdrażająca tzw. dyrektywę  policyjną, przewiduje obowiązek wyznaczenia inspektora ochrony danych. W związku z tym administratorzy podlegający tym regulacjom zaczęli zastanawiać się, czy muszą wyznaczyć nowego inspektora ochrony danych.

Większość podmiotów podlegających ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125) wdrażającej dyrektywę 2016/680 było zobowiązanych od 25 maja 2018 r. do wyznaczenia inspektora ochrony danych (IOD) na podstawie RODO. Wskazuje na to - odnoszący się doorganów i podmiotów publicznych - art. 37 ust. 1 lit. aRODO oraz art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Co prawda RODO nie ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jednak ze względu na przetwarzanie przez te organy i podmioty publiczne danych osobowych w innych celach, np. realizacji zadań pracodawców, były one zobowiązane do wyznaczenia IOD już na gruncie RODO.

Dlatego też w związku z ustawą wdrażającą tzw. dyrektywę policyjną, która obowiązuje od 6 lutego 2019 r., w większości przypadków administratorzy danych nie musieli wyznaczać nowego IOD. Wymóg ten mieli zaś ci, którzy wcześniej nie wyznaczyli inspektora.

Obowiązek wyznaczenia IOD na podstawie nowej ustawy

Podmiotami zobowiązanymi do wyznaczenia IOD na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości są przede wszystkim: sądy, prokuratury, Policja, Straż Graniczna, Służba Więzienna, Żandarmeria Wojskowa, Służba Ochrony Państwa. Obowiązek ten mają również  Generalny Inspektor Informacji Finansowej, Krajowa Administracja Skarbowa. Także  komendanci straży gminnej i miejskiej musza wyznaczyć IOD, niezależnie od tego, czy są oni umiejscowieni w strukturze urzędu gminy czy nie.  Ponadto wymóg wyznaczenia inspektora spoczywa także na się Głównym Inspektorem Transportu Drogowego, Straży Ochrony Kolei, Ministerstwie Środowiska, Głównym Inspektorze Ochrony Środowiska, Straży Rybackiej, Głównym Inspektorze Straży Leśnej, Państwowej Straży Łowieckiej, Urzędzie Żeglugi Śródlądowej, urzędach morskich, Państwowej Inspekcji Sanitarnej, Państwowej  Straży Pożarnej, Inspektorze Nadzoru Wewnętrznego (MSWiA). Nowe regulacje określają, że podmioty odpowiedzialne za bezpieczeństwo imprez masowych oraz przewoźnicy lotniczy również są w grupie administratorów, którzy muszą powołać IOD.

Czas na wyznaczenie IOD

Jeżeli dany podmiot miał już wyznaczonego inspektora ochrony danych na podstawie regulacji obowiązujących od 25 maja 2018 r., to ma jeszcze czas na to, by podjąć decyzję o pozostawieniu tej samej osoby na tym stanowisku bądź wyznaczyć nową osobę. Artykuł 98 ust. 1 ustawy wdrażającej dyrektywę policyjną pozwala, by dotychczasowy IOD pełnił swoją funkcję do 6 maja 2019 r. Po tym dniu dotychczasowy IOD będzie kontynuował pełnienie swojej funkcji, jeżeli do 6 maja 2019 r. administrator prześle zawiadomienie o jego wyznaczeniu na  IOD na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Powinien przy tym skorzystać z odpowiedniego formularza dostępnego na stronie www.uodo.gov.pl. Wyjątkiem od tej zasady jest sytuacja, w której administrator do 6 maja br. wyznaczy na to stanowisko inną osobę i do tego terminu zawiadomi o tym Prezesa UODO.  

Przepis przejściowy daje administratorom i inspektorom ochrony danych czas na dostosowanie się do nowych przepisów. Jeśli dotychczasowi IOD mieliby pełnić swoją funkcję także na podstawie przepisów wdrażających tzw. dyrektywę policyjną, powinni oni posiadać wiedzę w zakresie wymagań, jakie przepisy te przewidują wobec przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości. Ponadto zgodnie z art. 46 ust. 2 pkt. 1 i 3 ustawy wdrażającej dyrektywę policyjną, inspektorem ochrony danych może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych oraz nie była skazana prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie.

Dla administratorów, którzy do 6 lutego 2019 r. nie wyznaczyli inspektora ochrony danych, ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, określiła termin do 6 marca 2019 r. (art. 98). Z kolei podmioty, które zostaną utworzone po wejściu w życie ustawy mają 14 dni od momentu wyznaczenia inspektora na zawiadomienie Prezesa UODO. Ten sam termin dotyczy przypadków zmiany danych lub odwołania IOD (art. 46 ust. 10).

Sposób  zawiadomienia Prezesa UODO o wyznaczeniu IOD

Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej. Oznacza to, że należy skorzystać z właściwego formularza elektronicznego dostępnego na stronie www.uodo.gov.pl. Wypełniony formularz musi zostać opatrzony kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP   osoby uprawnionej do reprezentowania administratora. Więcej informacji o tym, jak można uzyskać profil zaufany ePUAP można znaleźć pod następującym linkiem https://pz.gov.pl/pz/index.

Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości przewiduje możliwość wyznaczenia osoby zastępującej inspektora ochrony danych w czasie jego nieobecności (art. 46 ust. 4). W przypadku zawiadamiania Prezesa UODO o zastępcy IOD, należy postąpić w sposób opisany powyżej, wybierając jeden z formularzy dotyczących zastępcy IOD, który jest dostępny na stronie https://uodo.gov.pl/pl.

Źródło: UODO

25. RODO pozwala pozyskać dane pracowników na potrzeby referendum strajkowego

Związek zawodowy ma prawo pozyskiwać od pracodawcy imiona i nazwiska pracowników oraz dane umożliwiające poinformowanie pracownika o referendum strajkowym – informuje Prezes UODO.

Przepisy dotyczące zarówno związków zawodowych, jak i regulacje z zakresu sporów zbiorowych nie określają wprost uprawnienia do pozyskiwania przez związki zawodowe danych pracowników na potrzeby referendum strajkowego.

Ustawa o rozwiązywaniu sporów zbiorowych w art. 20 ust. 1 określa, że strajk zakładowy ogłasza organizacja związkowa po uzyskaniu zgody większości głosujących pracowników, jeżeli w głosowaniu wzięło udział co najmniej 50% pracowników zakładu pracy.

Zaś kolejny ustęp tego przepisu mówi, że strajk wielozakładowy ogłasza organ związku wskazany w statucie po uzyskaniu zgody większości głosujących pracowników w poszczególnych zakładach pracy, które mają być objęte strajkiem, jeżeli w głosowaniu w każdym z tych zakładów wzięło udział co najmniej 50 proc. pracowników.

Przepisy te jednak nic nie mówią o tym, skąd i jaki zakres danych pracowników mogą pozyskać związki na potrzeby zorganizowania głosowania w związku z planowanym strajkiem.

Ustawa o związkach zawodowych określa, że pracodawca jest zobowiązany udzielić na żądanie związku zawodowego informacji niezbędnych do prowadzenia działalności związkowej, na co wskazuje art. 28 ust. 1 tej ustawy. Nie precyzuje jakiego rodzaju informacje są niezbędne do prowadzenia działalności związkowej oraz w jakiej formie pracownicy mają być poinformowani o planowanym referendum strajkowym.

W związku z tym, że powyższe regulacje nie odnoszą się bezpośrednio do kwestii pozyskiwania danych osobowych przez związki zawodowe w celu realizacji ich zadań, pojawiły się wątpliwości w  kontekście przeprowadzenia referendum strajkowego.

– W wielu sytuacjach przeprowadzenie referendum strajkowego jest – bez posiadania informacji, kto w jakim zakładzie pracuje oraz w jaki sposób można się z nim skontaktować – bardzo utrudnione, a nawet niemożliwe. Okoliczność ta powoduje, że pracodawca ma obowiązek przekazać związkowi zawodowemu imiona i nazwiska zatrudnionych oraz informację umożliwiającą nawiązanie z nimi kontaktu, bowiem tylko w ten sposób związek będzie w stanie takie referendum przeprowadzić – tłumaczy dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych.

Dodaje, że dane te mogą obejmować m.in.: adres e-mail, numer telefonu czy adres do korespondencji, o ile nie istnieje inna możliwość skontaktowania się z pracownikiem.

Jako podstawę uprawniającą związek zawodowy do pozyskiwania danych osobowych w zakresie imion, nazwisk oraz danych kontaktowych wskazuje art. 6 ust. 1 lit. f rozporządzenia ogólnego o ochronie danych (RODO), czyli prawnie uzasadniony interesu realizowany przez administratora.

– Uzasadnionym interesem związku zawodowego, czyli organizatora referendum strajkowego, będzie poinformowanie wszystkich pracowników o planowanym referendum strajkowym, a zatem dotarcie do wszystkich pracowników danego zakładu pracy, w tym takich osób, którzy swoją pracę świadczą poza siedzibą zakładu pracy, bądź są nieobecni z innych przyczyn – wyjaśnia Prezes UODO.

Zaznacza jednak, że dane osobowe pracowników mogą być ujawnione związkowi zawodowemu na podstawie art. 6 ust. 1 lit. f RODO jedynie po to, aby poinformować i przeprowadzić referendum strajkowe. Ponadto dane takie powinny być pozyskiwane przez związek zawodowy tylko w niezbędnym zakresie, adekwatnym do celu, w jakim będą przez niego przetwarzane.

Związek zawodowy powinien więc dokonać analizy, jakie dane są mu niezbędne do realizacji tego celu, unikając zbierania danych nadmiarowych (np. łączne pozyskiwanie numeru telefonu oraz adresu e-mail i adresu do korespondencji). Może on żądać udostępnienia wspomnianych danych wyłącznie w przypadku, gdy nie jest on w stanie poinformować pracownika o planowanym referendum w inny sposób.

Prezes UODO przypomina też, że organizator referendum strajkowego będzie zobowiązany do spełnienia wobec osób, których dane pozyska od pracodawców, obowiązku informacyjnego określonego w art. 14 RODO.

Źródło: UODO

26. Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak ma następować, to przetwarzanie danych osobowych w tym celu musi odpowiadać wymogom określonym w przepisach o ochronie danych osobowych.

Do Prezesa UODO napływają informacje o tym, że od osób wchodzących na teren firm prywatnych czy instytucji publicznych wymaga się podawania danych osobowych, nie realizując przy tym jednego z podstawowych obowiązków administratora, jakim jest informowanie osób o przetwarzaniu dotyczących ich danych. Tymczasem w takich sytuacjach osoby te powinny zostać poinformowane już na etapie gromadzenia danych m.in.:

• kto przetwarza ich dane osobowe (art. 13 ust. 1 lit. a RODO)
• w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 lit. c RODO)
• kim są odbiorcy danych osobowych (art. 13 ust. 1 lit. e RODO)
• jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 lit. a RODO)
• o prawie dostępu do danych (art. 13 ust. 2 lit. b RODO)
• o prawie do sprostowania danych (art. 13 ust. 2 lit. b RODO)
• o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 lit. b RODO)
• o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 lit. b RODO)
• o prawie do wniesienia skargi do UODO (art. 13 ust. 2 lit. d RODO).

Informacja dotycząca spełnienia przez administratora obowiązku informacyjnego wobec osoby wchodzącej na teren budynku musi być czytelna i znajdować się w miejscu odbierania danych, tak żeby osoba mogła się bez problemu z nią zapoznać np. na kontuarze recepcyjnym lub tablicy umieszczonej tuż nad nim.

Prowadzenie ewidencji wejść i wyjść w celu np. zapewnienia bezpieczeństwa osób przebywających w budynku lub znajdującego się w budynku mienia może dotyczyć wielu administratorów, realizujących to zadanie na podstawie różnych przepisów prawa. W określonych przypadkach, przetwarzanie danych może być niezbędne w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Przykładem zadań, o których mowa w tej przesłance są zadania określone w ustawie o zasadach zarządzania mieniem państwowym, gdzie dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe (art. 5a ustawy o zasadach zarządzania mieniem państwowym). Innym przykładem może być ogólny  obowiązek zapewnienia bezpieczeństwa w szkole (art. 1 pkt 14 ustawy prawo oświatowe), który wskazuje, iż system oświaty zapewnia utrzymywanie bezpiecznych i higienicznych warunków nauki, wychowania i opieki w szkołach i placówkach. W innych przypadkach, przetwarzanie danych może być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt 1 ustawy o ochronie informacji niejawnych). Przepisy ustawy o ochronie osób i mienia dają podstawę pracownikom ochrony do przetwarzania danych osób wchodzących do budynku czy na teren przedsiębiorcy (art. 36 ust. 1 ustawy o ochronie osób i mienia). Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść może być także  prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Wprowadzenie ewidencji wejść i wyjść rodzi również po stronie administratora szereg innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator musi wypracować wewnętrzne procedury, w których precyzyjnie określi, w jaki sposób będzie on gromadzić, a następnie w jaki sposób i jak długo  - przechowywać dane osobowe w związku z przedmiotową ewidencją. Starannego przemyślenia wymaga również ustalenie, w jaki sposób dokonywana będzie weryfikacja tożsamości danej osoby, która zamierza wejść do określonej przestrzeni. Administrator zobowiązany jest precyzyjnie określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO). Pozyskiwanie danych osobowych przez zarządców czy właścicieli budynków, będzie działaniem dopuszczalnym, jeżeli będzie ograniczone do niezbędnych danych, tj. obejmujących imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą.

Administrator powinien każdorazowo pamiętać o tzw. zasadzie „ograniczenia przechowywania”, czyli gromadzeniu danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są zebrane (art. 5 ust. 1 lit. e RODO). Innymi słowy, w sytuacji zrealizowania przez administratora zamierzonego celu, dane powinny zostać usunięte.

Niezmiernie istotne jest również zagwarantowanie odpowiedniego zabezpieczenia danych osobowych zawartych w ewidencji, w tym przed dostępem osób nieupoważnionych przez administratora. Administrator lub podmiot przetwarzający zobowiązany jest bowiem - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia - wdrożyć i zapewnić skuteczne funkcjonowanie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa danym osobowym (art. 24 i art. 32 ust. 1 RODO). Innymi słowy administrator ma  obowiązek zorganizowania bezpieczeństwa procesu przetwarzania danych osobowych, w sposób odpowiadający obowiązującym przepisom w zakresie przetwarzania danych osobowych i  dokonania tego w taki sposób, który odpowiadał będzie zagrożeniom oraz kategoriom przetwarzanych danych.

Źródło: UODO

27. RODO ma zapewnić ochronę także w państwach trzecich, do których są przekazywane dane

Jak ogólne rozporządzenie o ochronie danych (RODO) reguluje kwestię transferu danych do tzw. państw trzecich oraz na co będzie trzeba zwrócić uwagę w przypadku przekazywania danych do Wielkiej Brytanii po brexicie – to niektóre zagadnienia, jakie zostały szczegółowo omówione podczas szkolenia UODO dla inspektorów ochrony danych (IOD).

Coraz częściej dochodzi do transgranicznego transferu danych osobowych. Krąg administratorów, którzy mają z tym do czynienia na co dzień, stale się poszerza. Dlatego „Przekazywanie danych do państw trzecich” było tematem 15. szkolenia dla IOD, które odbyło się 20 lutego w Warszawie.

Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, otwierając to spotkanie, zwróciła uwagę, że RODO, czyli rozporządzenie ogólne o ochronie danych, reguluje kwestie dotyczące transferu danych do tzw. państw trzecich, czyli takich, które są poza Europejskim Obszarem Gospodarczym (EOG).

Ochrona ponad granicami

- Kluczowym założeniem RODO jest zapewnienie odpowiedniego poziomie ochrony danych bez względu na to, czy te dane są przetwarzane w państwie gdzie obowiązuje rozporządzenie, czy w państwach, do których te dane są przekazywane – powiedziała dr Edyta Bielak-Jomaa, Prezes UODO.

Ponadto zwróciła uwagę, że administratorzy powinni zagwarantować odpowiednią ochronę danych nie tylko przy pierwotnym transferze, ale również przy dalszym, wtórnym transferze, przekazywania danych z państwa trzeciego do podmiotu przetwarzającego lub dalej do innego państwa trzeciego.

Szkolenie dla IOD poprowadził Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO, który szczegółowo omówił aspekty związane z transferem danych do państw trzecich.

Brexit i jego skutki

Część spotkania została poświęcona sytuacji administratorów, którzy przekazują dane do Wielkiej Brytanii, która niebawem ma wystąpić z Unii Europejskiej i wówczas stanie się tzw. państwem trzecim.

– W przypadku tzw. twardego brexitu, czyli bez odpowiedniej umowy z Komisją Europejską, dotychczasowe rozwiązania związane z przekazywaniem danych do Wielkiej Brytanii będą wymagały modyfikacji. Będzie to dotyczyło np. rejestru czynności przetwarzania, czy też obowiązku informacyjnego – wskazał Piotr Drobek. Wyjaśnił, że realizując obowiązek informacyjny, pojawi się konieczność powiadomienia wielu osób o przekazywaniu ich danych do państwa niezapewniającego odpowiedniego poziomu ochrony oraz o zastosowanych rozwiązaniach, jakimi są np. standardowe klauzule umowne.

Transfer danych zgodny z RODO

Ekspert UODO omówił też zasady, na jakich może odbywać się transfer danych do państw trzecich. Przypomniał, że są dwa etapy, przez które trzeba przejść, gdy planuje się transfer danych do państwa poza EOG. Pierwszym jest spełnienie przez administratora wymagań art. 5 RODO (podstawowe zasady przetwarzania danych) oraz pozostałych regulacji rozporządzenia bez względu na to, gdzie dane osobowe mają być przewarzane.

– To bardzo ważne, by o tym nie zapominać. Dopiero kolejnym krokiem jest spełnienie wymogów RODO odnoszących się do zasad przekazywania danych do państw trzecich – zaznaczył Piotr Drobek.

Podczas spotkania ekspert UODO przedstawił istniejące decyzje Komisji Europejskiej, na podstawie których mogą być przekazywane dane do poszczególnych państw. Wskazał i omówił także inne możliwości transferu do państwa, które nie jest objęte decyzją Komisji. Może się to odbywać na podstawie np. zatwierdzonych wiążących reguł korporacyjnych bądź standardowych klauzul ochrony danych przyjętych przez KE.

Po każdej części szkolenia, jego uczestnicy mogli zadawać pytania, co było okazją do pogłębionej dyskusji i wymiany poglądów na temat przekazywania danych do państw trzecich.

Źródło: UODO

28. Logowanie do Platformy „Twój e-PIT” budzi obawy o ochronę danych podatników

Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych zwróciła się do Ministra Finansów z prośbą o wyjaśnienie, czy rzeczywiście pracodawcy są w stanie zalogować się do usługi Twój e-PIT na dane pracownika i sprawdzić dane przekazane przez innych płatników.

Pismo do Ministra Finansów zostało wystosowane w związku z napływającymi do Urzędu Ochrony Danych Osobowych (UODO) informacjami o tym, że pracodawcy bądź osoby dysponujące niektórymi danymi podatników, mogą uzyskać dostęp do ich danych w usłudze Twój e-PIT. Z posiadanych informacji wynika, że wystarczy znać czyjś PESEL (albo NIP i datę urodzenia), łączny przychód za 2017 rok oraz jedną z kwot przychodu za 2018 rok, np. z PIT-11, by uzyskać dostęp do szczegółowych danych zawartych w przygotowanym przez skarbówkę rozliczeniu. Istnieje więc zagrożenie, że w ten sposób w ich posiadanie, może wejść np. pracodawca (pracownik działu kadr lub księgowości) i sprawdzić np. przychody podatnika z różnych źródeł.

W związku z takim niebezpieczeństwem Prezes UODO w piśmie do Ministra Finansów zwróciła się z prośbą o odpowiedź, czy rzeczywiście logowanie za pomocą wyżej wskazanych danych pozwala zapoznać się z danymi osobowymi podatnika, przekazanymi przez innych płatników. Dr Edyta Bielak-Jomaa poprosiła, by resort finansów wyjaśnił, w jakim celu i na jakiej podstawie prawnej się to odbywa oraz do jakiego zakresu danych podatnika ma wówczas dostęp płatnik.

Prezes UODO pyta również, czy resort finansów rozważa wprowadzenie dodatkowych zabezpieczeń na Platformie Twój e-PIT, co uniemożliwiłoby dostęp do danych płatnika osobom nieuprawnionym.

Prezes Urzędu zapytała również o to, czy przed uruchomieniem Platformy Twój e-PIT dokonano oceny skutków dla ochrony danych. Taka procedura jest bowiem wymagana gdy dany rodzaj przetwarzania danych, w szczególności z użyciem nowych technologii, może rodzić wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Pismo Prezesa UODO do Ministerstwa Finansów

29. Przy sprzedaży węgla dochodzi do nadmiarowego pozyskiwania danych nabywców

Prezes UODO wystąpiła do Ministra Finansów z prośbą o zmianę przepisów, które wymuszają na sprzedawcach węgla zbieranie od nabywców zbyt szerokiego zakresu ich danych osobowych.

Przepisy, które obowiązują od 1 stycznia 2019 r. związane ze sprzedażą węgla, miały uprościć prowadzanie tej działalności, a doszło do zwiększenia obciążeń po stronie przedsiębiorców. Powodem jest szerszy zakres danych, jaki od początku 2019 roku muszą zbierać sprzedawcy od nabywców węgla.

Za sprawą nowelizacji ustaw o podatku akcyzowym oraz Prawa celnego w przypadku sprzedaży węgla osobom fizycznym, sprzedawca musi zebrać takie dane od nabywcy jak: ilość i przeznaczenie węgla oraz imię i nazwisko, adres zamieszkania, numer dowodu osobistego lub nazwę i numer innego dokumentu stwierdzającego tożsamość oraz numer PESEL.

- Prowadzi to do nadmiernej ingerencji w prywatność osób, których te dane dotyczą. W konsekwencji dochodzi do pozyskania szerokiego katalogu danych osobowych – uważa dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych.

Prezes UODO swoje wątpliwości, co do zgodności nowych regulacji z zasadą minimalizacji danych określoną w RODO, przekazała Ministrowi Finansów w piśmie, w którym wskazuje, że rozwiązania te należy zmienić. Zaznacza w nim, że kierując się zasadą minimalizacji danych, należy rozważyć, czy zastosowane w przepisach ustawy środki są niezbędne do osiągnięcia zamierzonego celu oraz czy celu tego nie da się osiągnąć w inny sposób.

Zdaniem Prezes UODO przy sprzedaży węgla osobom fizycznym wystarczające powinno być pozyskiwanie takich danych jak: imię i nazwisko oraz miejsce odbioru wyrobu węglowego, uwierzytelnione czytelnym podpisem.

Pismo Prezes UODO do Ministra Finansów zamieszczamy poniżej komunikatu.

Wystąpienie z 12 lutego 2019 r. do Minister Finansów w sprawie dostosowania aktualnych regulacji prawnych dotyczących pozyskiwania danych osobowych od finalnych nabywców węglowych

Źródło: https://uodo.gov.pl/pl/138/724

30. 1% podatku na rzecz organizacji pożytku publicznego a ochrona danych osobowych

Podatnicy już niebawem będą rozliczać się z podatku za 2018 r. i wielu z nich przekaże przy tej okazji swój 1 proc. podatku na organizacje pożytku publicznego (OPP). Niektórzy w swoim rozliczeniu wyrażą także zgodę na przekazanie OPP swojego imienia, nazwiska i adresu wraz z informacją o darowanej kwocie. Jeśli taka będzie nasza wola, dodatkowo możemy też podać inne informacje, np. ułatwiające kontakt z nami (telefon, e-mail).

OPP może zatem te dane przetwarzać np. po to, by np. podziękować darczyńcy w imieniu obdarowanego o ile podatnik wyraził zgodę na przekazanie jego danych organizacji. Z chwilą, gdy OPP otrzymają od organów podatkowych dane osobowe darczyńców, staną się ich administratorami, czyli podmiotami decydującymi o celach środkach przetwarzania tych danych. Będą zatem odpowiedzialne m.in. za właściwe ich wykorzystywanie, udostępnianie czy zabezpieczanie. Tym samym będą zobowiązane do przestrzegania przepisów ogólnego rozporządzenia o ochronie danych (RODO). Kierując korespondencję do darczyńców, OPP powinny zadbać, by został wobec nich spełniony obowiązek informacyjny, w tym poinformować o przysługujących tym osobom prawach.

Pytania do UODO

Dane podatnika, który w rozliczeniu rocznym PIT wyraził zgodę (jest ona dobrowolna) na przekazanie OPP swojego imienia, nazwiska i adresu, mogą być przetwarzane wyłącznie przez tę organizację. Jest to o tyle istotne, że w niektórych przypadkach środki z 1 proc. podatku trafiają do stowarzyszeń lub fundacji, które przekazują te środki do konkretnych osób, które wspierają. Prezes UODO informuje, że na podstawie tej zgody organizacje nie mogą udostępnić danych darczyńcy np. osobie obdarowanej.

W swoim stanowisku, które powstało w związku z licznymi pytaniami od organizacji pożytku publicznego, Prezes UODO zwraca uwagę, że jeżeli podatnik w rozliczeniu rocznym wyraził zgodę na przekazanie jego danych organizacji, to może ona je przetwarzać np. po to, by np. podziękować darczyńcy w imieniu obdarowanego. Podstawą do podjęcia takiego działania jest art. 6 ust. 1 lit. f RODO, czyli w prawnie uzasadniony interes administratora.

Organizacja pożytku publicznego nie ma jednak żadnych podstaw prawnych do udostępnienia danych darczyńców osobom obdarowanym, chyba że pozyskana byłaby na ten cel uprzednia zgoda. Warto więc o to zadbać planując tego typu działania.

Dane osobowe darczyńców 1 proc. podatku przekazywane są organizacji pożytku publicznego przez naczelników urzędów skarbowych. Uprawnia ich do tego art. 45c ust. 5 ustawy z 26 lipca 1991 r. o podatku dochodowym od osób fizycznych.

Źródło: https://uodo.gov.pl/pl/138/704

31. Prezes UODO chce skuteczniej chronić dane osobowe członków spółdzielni mieszkaniowych

Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, zaapelowała do ministra infrastruktury i rozwoju o podjęcie działań, które doprowadzą do zmiany brzmienia art. 30 ustawy z 6 września 1982 r. – Prawo spółdzielcze. W jej ocenie przepis trzeba dostosować do wymogów określonych w ogólnym rozporządzeniu o ochronie danych (RODO). Zwróciła się także do spółdzielni, za pośrednictwem organizacji je zrzeszających, aby przestrzegały RODO.

Problemy z interpretacją i praktycznym stosowaniem art. 30

Prezes UODO zwraca uwagę na fakt, że nie zawsze powinno dochodzić do udostępniania rejestru z danymi wszystkich członków spółdzielni osobom wnioskującym. Udostępnienie danych (informacji z rejestru) powinno następować na rzecz podmiotów, które wykażą swój interes oraz w zakresie odpowiednim do statusu wnioskodawcy.

Jak wyjaśnia dr Edyta Bielak-Jomaa w piśmie skierowanym 30 stycznia 2019 r. do ministra infrastruktury i rozwoju, Jerzego Kwiecińskiego: wskazane w art. 30 prawa spółdzielczego podmioty mają różny interes w przeglądaniu rejestru członków, gdyż inny jest cel wierzyciela członka lub spółdzielni, a inny członka oraz jego małżonka. W jej ocenie nie powinno się stosować automatyzmu w dostępie do danych, natomiast należy rozważyć, w jakim celu oraz zakresie małżonek członka spółdzielni miałby dostęp do rejestru członków spółdzielni.

Jak podkreśla Prezes UODO: status małżonka może być różny, np. ze względu na separację, rozdzielność majątkową lub toczące się postępowanie rozwodowe. Doprecyzowania zatem wymaga status małżonka członka spółdzielni oraz cel, w jakim osoba ta miałby dostęp do rejestru członków spółdzielni. Dlatego jej zdaniem, przepisy art. 30 ustawy Prawo spółdzielcze należy interpretować uwzględniając przepisy i zasady wynikające z RODO.

Zgodnie z art. 30 ustawy Prawo spółdzielcze krąg podmiotów, którym rejestr może być udostępniany, jest ujęty w sposób umożliwiający wgląd w rejestry również osobom postronnym. Prezes UODO uważa za zasadne analizowanie przez spółdzielnie w sposób indywidulany dostępu poszczególnych osób do rejestru i udzielanie tego dostępu z uwzględnieniem RODO. Chodzi o to, by nie dochodziło do udostępniania danych osobowych zawartych w rejestrze osobom do tego nieuprawnionym.

Dlatego Prezes UODO rekomenduje spółdzielniom mieszkaniowym traktowanie w odmienny sposób dwóch grup interesariuszy korzystających z rejestru, tj.:
– członkowie spółdzielni – powinni mieć dostęp do całości rejestru bez wykazywania interesu,
– pozostałe osoby wymienione w przepisie art. 30 ustawy Prawo spółdzielcze – tylko gdy wykażą, że dane są im niezbędne. 

Propozycja rozwiązania problemu

Prezes UODO postuluje, aby doprecyzować art. 30 ustawy Prawo spółdzielcze poprzez wskazanie, że przeglądanie rejestru spółdzielni przysługuje wskazanym w tym przepisie osobom „w zakresie niezbędnym do realizacji celów osób wnioskujących o udostępnienie informacji”. W ten sposób można zapewnić zgodność treści art. 30 z zasadą ograniczenia celu przetwarzania danych, która wynika z RODO. Mowa tu o zasadzie określonej w art. 5 ust. 1 lit b), w związku z art. 6 ust. 3 RODO regulującym zgodność przetwarzania danych z prawem. Wspomniany art. 6 ust. 3 RODO mówi, że podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator. Kolejno, z przepisu tego wynika, że cel przetwarzania musi być określony w tej podstawie prawnej. 

Ponadto w opinii Prezes UODO rozważenia wymaga także doprecyzowanie art. 30 poprzez wskazanie, jakie kategorie informacji o charakterze osobowym mogą być regulowane w statucie spółdzielni, tak, by wynikało to z przepisu prawa powszechnie obowiązującego, którego respektowanie następowałoby następnie w treści statutu spółdzielni. 

Dr Edyta Bielak-Jomaa przypomina, że spółdzielnia zobowiązana jest do dołożenia wszelkich starań, aby dane osobowe jej członków były właściwie zabezpieczone oraz niepozyskiwane i nieprzetwarzane w sposób nadmiarowy i zbędny. Jako administrator powinna również zadbać o udostępnienie danych zgodnie z zasadami przetwarzania danych, a mianowicie: zasadą legalizmu, zasadą minimalizacji danych oraz zasadą ograniczenia celu przetwarzania.

Źródło: https://uodo.gov.pl/pl/138/702

32. Prezes UODO przypomina, że dziennikarze muszą chronić osoby, których dane przetwarzają

33. Solidne zasady ochrony danych to nie luksus, ale konieczność

Ubiegły rok był kluczowy dla ochrony danych. Sądzę, że otworzył nam oczy na wiele kwestii. Byliśmy świadkami wielu naruszeń prawa ochrony danych. Myślę, że wszyscy zdaliśmy sobie sprawę z faktu, że solidne zasady ochrony danych to nie luksus, ale konieczność – powiedziała 28 stycznia br. Vera Jourova, komisarz UE ds. sprawiedliwości, konsumentów i równouprawnienia płci, w specjalnym przemówieniu z okazji Dnia Ochrony Danych Osobowych. 

Unijna komisarz wyraziła uznanie dla polskich inicjatyw, m.in. podejmowanych przez Urząd Ochrony Danych Osobowych, które służyły poprawnemu interpretowaniu nowego prawa, jakim jestogólne rozporządzenie o ochronie danych (RODO).

Jednocześnie podkreśliła, że ochrona danych stanowi jedno z praw podstawowych w UE, dlatego otwiera drzwi do budowania zaufania w gospodarce cyfrowej dla naszych przedsiębiorstw. – Nowe ustawodawstwo wzmacnia prawa obywateli do ochrony danych, co oznacza zapewnienie im większej kontroli nad ich danymi. Firmom nowe przepisy zapewniają jeden zestaw zasad, dzięki czemu prowadzenie działalności gospodarczej w UE jest łatwiejsze i tańsze – stwierdziła unijna komisarz, wymieniając korzyści z RODO.

W swym wystąpieniu podkreśliła też, że wszyscy mamy do odegrania swoją rolę, aby RODO było skuteczne. W ten sposób odniosła się do roli Europejskiej Rady Ochrony Danych oraz rządów państw członkowskich, doceniając dokonania Polski w tym zakresie. – Chciałabym pogratulować Polsce, która dokonała tego w terminie. Polska nowa ustawa o ochronie danych osobowych weszła w życie tego samego dnia, w którym RODO zaczęło być stosowane – powiedziała Vera Jurova.

34. Facebook musi respektować RODO, ale nie oświadczenia na naszym profilu

Prawo do bycia poinformowanym, do sprostowania danych czy ich usunięcia - to tylko niektóre z praw, jakie daje nam RODO. Facebook i inne portale społecznościowe muszą ich przestrzegać. Jednak oświadczenia publikowane na naszych profilach nie są wiążące dla administratorów. 

Łańcuszki z oświadczeniami o tym, że nie dajemy portalowi społecznościowemu prawa do korzystania z naszych zdjęć czy informacji o nas nic nie dają. Ich zamieszczanie nie ma większego sensu, gdyż nie mają mocy prawnej w relacjach z portalem społecznościowym. Dla obu stron wiążące są jednak zasady korzystania z materiałów użytkowników określone w Regulaminie, Zasadach dotyczących danych oraz Standardach społeczności. Bardzo często akceptując ich postanowienia udzielamy licencji na korzystanie ze wszystkich materiałów, które upubliczniamy.

Dr. Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, w związku z zalewem oświadczeń i mylnym przekonaniem, że ich opublikowania nas uchroni, przypomina pewien wpływ na zabezpieczenie naszych treści w portalach jednak mamy poprzez możliwość zmiany ustawień i narzędzia prywatności na Facebooku.

- Korzystanie z narzędzi zapewnionych przez Facebook, czy inne portale, nie gwarantuje, że nasze treści nie będą nieprawidłowo wykorzystane przez innych użytkowników Internetu. Należy w sposób ostrożny dzielić się informacjami o sobie w Internecie, mając na uwadze, jak trudno jest je z tego medium usunąć – przestrzega dr Edyta Bielak-Jomaa.

Prezes UODO wielokrotnie zwraca uwagę, by nie zamieszczać informacji o nas bezrefleksyjnie nie tylko w mediach społecznościowych, ale w ogóle w Internecie. Porównuje je przy tym do balonów, które raz wypuszczone z ręki nigdy nie wracają.

Prezes UODO przypomina też użytkownikom mediów społecznościowych, że o ile ich oświadczenia nie maja mocy prawnej w relacjach z administratorami portali, to prawa jakie daje nam RODO już tak. Każdy użytkownik np. Facebooka może więc skorzystać z uprawnień kontrolnych, przewidzianych  w art. 12-22 RODO, wobec sposobów wykorzystania jego danych osobowych. A są to takie prawa jak:

• do przenoszenia danych
• sprzeciwu
• do tego by nie podlegać profilowaniu
• do bycia poinformowanym o operacjach przetwarzania
• do sprostowania i uzupełnienia danych
• do ograniczenia przetwarzania danych
• do usunięcia danych (tzw. prawo do bycia zapomnianym)
• dostępu do danych

W przypadku nierespektowania tych praw przez administratorów każdy może złożyć skargę do Prezesa UODO. Ponadto zgodnie z art. 79 RODO każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym. A jeżeli ktoś uzna, że w wyniku naruszenia przepisów RODO poniósł szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania.

Źródło: https://uodo.gov.pl/pl/138/682

35. Jak komitety wyborcze powinny postępować z danymi osobowymi po zakończeniu kampanii wyborczej?

Komitety wyborcze przed rozwiązaniem powinny zadbać o bezpieczeństwo zebranych danych osobowych. Jednocześnie pamiętać należy, że sam fakt utworzenia komitetu np. przez stowarzyszenie czy partię polityczną, nie jest równoznaczny z uprawnieniem tego podmiotu, do przetwarzania danych osobowych zebranych przez komitet, także po jego rozwiązaniu. 

Zbliża się okres, po którym zgodnie z art. 100 ustawy z dnia 5 stycznia 2011 r. – Kodeks wyborczy, z mocy prawa ulegają rozwiązaniu komitety wyborcze powołane do wyborów rad gmin, rad powiatów, sejmików województw i rad dzielnic m.st. Warszawy oraz wyborów wójtów, burmistrzów i prezydentów miast. W trosce o to, aby dane osobowe przetwarzane w czasie kampanii wyborczej były należycie chronione również po rozwiązaniu komitetów wyborczych, Prezes Urzędu Ochrony Danych Osobowych przypomina o wynikających z RODO obowiązkach administratorów związanych z retencją danych. Istotne jest, że w dokumentacji z wyborów w komitetach wyborczych przetwarzane są m.in. szczególne kategorie danych wskazane w art. 9 RODO, jak np. poglądy polityczne czy światopoglądowe.

RODO nakazuje dbać o właściwą retencję

Zasada ograniczenia przechowywania danych wynikająca z art. 5 ust. 1 lit. e RODO wskazuje, iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. W tym kontekście podkreślić należy, że przetwarzanie danych osobowych przez komitety wyborcze w toku kampanii wiąże się ściśle z celem, jakim jest zgłaszanie kandydatów w wyborach oraz prowadzenie na zasadzie wyłączności kampanii wyborczej na ich rzecz.

Przepisy Kodeksu wyborczego wskazują, że komitety wyborcze mogą być tworzone zarówno przez partie polityczne, koalicje partii politycznych, stowarzyszenia i organizacje społeczne, jak i przez wyborców. Nie oznacza to jednak, że podmioty i osoby tworzące komitety mogą dowolnie dysponować pozyskanymi w czasie kampanii danymi osobowymi. Przykładowo niedopuszczalna jest sytuacja, zgodnie z którą listy poparcia kandydatów lub ich kopie zawierające dane osobowe już po rozwiązaniu komitetu wyborczego znajdują się w posiadaniu podmiotów lub osób, które je tworzyły.

Okres retencji danych osobowych przez komitety wyborcze jest uzależniony od tego, czy dane były przetwarzane bezpośrednio na podstawie obowiązujących przepisów prawa wyborczego, czy okres ich przechowywania będzie wynikał, wobec braku przepisów szczególnych, bezpośrednio z RODO. W drugim przypadku przetwarzane dane osobowe powinny być usunięte niezwłocznie po osiągnięciu celu ich przetwarzania. W związku z tym, iż zgodnie z art. 100 i 101 Kodeksu wyborczego, co do zasady komitety wyborcze ulegają rozwiązaniu w trybie przepisów o ich rozwiązaniu, w tym z mocy prawa, to zanim się to stanie, dane osobowe powinny zostać usunięte albo - jeżeli znajdują się w dokumentach z wyborów - przekazane do właściwego organu wskazanego w prawie wyborczym.

Jeśli komitety wyborcze na potrzeby agitacji wyborczej przetwarzają dane osobowe, które nie zostały pozyskane bezpośrednio na podstawie przepisów Kodeksu wyborczego, należy pamiętać o wskazanej w RODO (art. 5 ust. 1 lit. b) zasadzie ograniczenia celu. Stanowi ona, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane, w myśl art. 89 ust. 1 RODO, za niezgodne z pierwotnymi celami).

Zważywszy na to, że przepisy Kodeksu wyborczego jednoznacznie określają cele, w jakich tworzone są komitety wyborcze i są one ściśle związane z konkretną kampanią wyborczą, przetwarzanie danych osobowych będzie służyło tym celom i jako takie również do czasu rozwiązania komitetu powinny ulegać retencji.

Odrębność celów oznacza brak uprawnień do dalszego wykorzystywania danych

Należy podkreślić, że przetwarzanie danych osobowych przez komitety wyborcze służy innym celom, niż te, realizowane przez podmioty, które na podstawie przepisów Kodeksu wyborczego utworzyły komitet. Fakt, iż dany komitet wyborczy został utworzony np. przez stowarzyszenie czy partię polityczną nie oznacza, że po jego rozwiązaniu podmiot ma uprawnienia do przetwarzania danych osobowych zebranych przez komitet.

Trzeba zadbać o usunięcie danych z sieci

Istotnym aspektem związanym z retencją danych przez komitety wyborcze jest prowadzenie stron internetowych, na których - zgodnie z art. 140 Kodeksu wyborczego - komitety mają obowiązek prowadzić rejestry kredytów oraz wpłat o wartości przekraczającej łącznie od jednej osoby fizycznej kwotę minimalnego wynagrodzenia za pracę, ustalanego na podstawie ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę, obowiązującego w dniu poprzedzającym dzień ogłoszenia postanowienia o zarządzeniu wyborów. W rejestrach tych wskazane są: imię, nazwisko oraz miejscowość zamieszkania osoby, która dokonała wpłaty.

Komitety są obowiązane umieszczać rejestr na swojej stronie internetowej i uaktualniać w taki sposób, aby informacje o kredytach i wpłatach ujawniane były w terminie 7 dni od dnia udzielenia kredytu lub dokonania wpłaty. Rejestry kredytów i rejestry wpłat są prezentowane na stronach internetowych komitetów wyborczych w sposób ciągły, a dane z tych rejestrów komitety wyborcze przekazują właściwemu organowi wyborczemu w formie pliku PDF zapisanego na płycie CD lub DVD, w standardzie ISO 9660.

Prezes Urzędu Ochrony Danych Osobowych podkreśla, że po rozwiązaniu komitetu wyborczego z jego stron internetowych powinny zostać usunięte wskazane dane osobowe ujawnione w rejestrach, ponieważ cel ich przetwarzania został osiągnięty.

Na stronach internetowych komitetów znajdują się również inne dane osobowe. Niektóre z nich mogą być przechowywane po zakończeniu wyborów, chyba że cel ich przechowywania został osiągnięty, ale do czasu rozwiązania komitetu, je także należy usunąć.

Źródło: https://uodo.gov.pl/pl/138/610

36. 10 wskazówek, jak korzystać z praw gwarantowanych przez RODO – doświadczenia z pierwszego półrocza

Na podstawie doświadczeń z pierwszych 6 miesięcy stosowania RODO Urząd Ochrony Danych Osobowych przygotował 10 wskazówek, jak korzystać z praw gwarantowanych przez rozporządzenie.

 Masz prawo wiedzieć, co będzie się działo z Twoimi danymi

Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma bądź instytucja, która nimi dysponuje, powinna Cię o tym poinformować. Ma też obowiązek wskazać, jakie prawa daje Ci RODO. A masz prawo m.in. do: dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu czy do tego, by być poinformowanym o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Realizując obowiązek informacyjny, administrator musi też wskazać, jak długo będzie przechowywał Twoje dane, oraz podać dane kontaktowe inspektora ochrony danych (IOD), jeśli go wyznaczył.

  Masz prawo w każdej chwili wycofać zgodę

Jeśli podstawą przetwarzania Twoich danych jest wyrażona przez Ciebie – świadomie i dobrowolnie – zgoda,masz prawo w dowolnym momencie ją wycofać i nie może to rodzić dla Ciebie żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi). Pamiętaj, że cofnięcie zgody powinno być równie łatwe jak jej udzielenie.

  Powinieneś być informowany w sposób dla Ciebie zrozumiały

Wszelkie przekazywane Ci informacje związane z przetwarzaniem Twoich danych powinny być sformułowane jasnym i prostym, zrozumiałym dla Ciebie językiem. Dotyczy to również komunikatów informacyjnych związanych z korzystaniem z usług internetowych czy aplikacji mobilnych. Jeśli ich nie rozumiesz lub nie są dla Ciebie wystarczająco zrozumiałe, zwracaj się do administratora o przekazanie dodatkowych wyjaśnień.

  Nie zawsze masz z prawo do bycia zapomnianym

Wprawdzie RODO przyznało Ci prawo do bycia zapomnianym (usunięcia danych), ale pamiętaj, że nie jest ono bezwzględne. Możesz żądać jego realizacji np. wówczas, gdy: dane stały się zbędne do realizacji zakładanych celów, dane były przetwarzane niezgodnie z prawem albo wycofałeś swoją zgodę i nie ma innej przesłanki legalizującej ich wykorzystywanie.

Pamiętaj jednak, że nie w każdej sytuacji masz prawo do bycia zapomnianym. Tak jest choćby wtedy, gdy dany podmiot (np. szkoła, gmina czy przychodnia) musi wykorzystywać Twoje dane, by zrealizować nałożony na niego obowiązek prawny.

  Masz prawo do informacji o naruszeniu Twoich danych

Wyciek danych, ich zagubienie czy udostępnienie osobom niepowołanym – to się zdarza. I jeżeli rodzi to dla Ciebie poważne zagrożenie, to nie dziw się, że administrator Cię o tym informuje – taki ma obowiązek. Zastosuj się więc do jego wskazówek, dzięki którym możesz zminimalizować zagrożenie. Czasami np. zmiana hasła w systemie internetowym czy zastrzeżenie dokumentów pozwoli Ci zabezpieczyć swoje dane i uniknąć np. kradzieży tożsamości i związanych z tym konsekwencji, jak np. zaciągnięcie w Twoim imieniu pożyczki. 
W razie wątpliwości kontaktuj się z administratorem lub z wyznaczonym przez niego inspektorem ochrony danych osobowych, który ma Ci w takiej sytuacji pomóc.

  Jeśli wniesiesz sprzeciw – marketing nie może być prowadzony

Jeżeli Twoje dane są wykorzystywane w celach marketingowych, a więc do przedstawiania Ci oferty towarów czy usług, w dowolnym momencie możesz się temu sprzeciwić. Jeżeli to zrobisz, Twoich danych nie wolno już wykorzystywać do takich celów.

  Chroń dzieci przed nieuczciwymi praktykami

Jeśli jesteś rodzicem lub opiekunem prawnym osoby poniżej 16. roku życia, pamiętaj, że gdy korzysta ona z tzw. usług społeczeństwa informacyjnego (świadczonych drogą elektroniczną), a więc portali społecznościowych, aplikacji czy gier, to Ty decydujesz o udzieleniu zgody na przetwarzanie jej danych osobowych. To ważne, bo dzieci często są mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. RODO wskazuje, że należy im zapewnić szczególną ochronę, gdy ich dane są wykorzystywane do celów marketingowych czy tworzenia profili osobowych. Zwracaj uwagę, czy komunikaty kierowane do nich przez administratora są sformułowane językiem, który są one w stanie zrozumieć.

  Realizacji swoich praw żądaj najpierw od administratora

Jeżeli uważasz, że ktoś nieprawidłowo postępuje z Twoimi danymi, to z nim (lub z wyznaczonym przez niego IOD) skontaktuj się w pierwszej kolejności i zażądaj wyjaśnień lub spełnienia Twojego żądania, np. sprostowania danych, odnotowania sprzeciwu, usunięcia danych.

  Możesz dochodzić odszkodowania przed sądem

Pamiętaj! Jeśli podmiot, który dysponuje Twoimi danymi, wykorzystuje je niezgodnie z RODO, a Ty poniosłeś przez to szkodę majątkową lub niemajątkową, możesz dochodzić od niego odszkodowania, wszczynając postępowanie przed sądem. Masz do tego prawo niezależnie od tego, czy zamierzasz złożyć skargę 
do Prezesa UODO.

  Masz prawo złożyć skargę do Prezesa UODO

Niezależnie od wskazanych wyżej praw, możesz też złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych. Pamiętaj, aby było to skuteczne, wskaż: Twoje imię i nazwisko, adres zamieszkania. Podaj też pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania, tego, kogo skarżysz oraz dokładnie opisz naruszenie. Określ, jakich działań oczekujesz od Prezesa UODO. Nie zapomnij też 
o podpisie! Szczegółowe informacje dotyczące składania skarg są dostępne na stronie internetowej urzędu www.uodo.gov.pl w zakładce „Skargi”.

Źródło: https://uodo.gov.pl/pl/138/588

37. RODO – bilans półrocza

Zmiana podejścia do zarządzania danymi osobowymi, uporządkowanie działań w tym zakresie, coraz częstsze korzystanie przez nas z praw, które gwarantuje nam RODO to tylko kilka przykładów korzyści, które wynikają z rozpoczęcia stosowania nowego prawa.

W minionych sześciu miesiącach to problemy ze stosowaniem nowego prawa i niewłaściwe, niekiedy wręcz absurdalne, praktyki spowodowane strachem przed wysokimi karami, skupiły w sposób szczególny uwagę opinii publicznej. Tymczasem w ich cieniu zarówno przedsiębiorcy, jak i administracja publiczna oraz wszystkie inne podmioty zobowiązane do stosowania RODO wprowadzają wiele cennych rozwiązań, sprzyjających lepszej ochronie naszych danych osobowych – napisała dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych w specjalnym liście na podsumowanie pierwszego półrocza stosowania nowych przepisów.

Korzyści z RODO

Analiza stosowanych praktyk dowodzi, że nowe prawo zaowocowało zmianą podejścia do ochrony danych osobowych i wieloma korzystnymi rozwiązaniami. Wśród tych najważniejszych i najbardziej odczuwalnych efektów warto wymienić:

• wzrost znaczenia kwestii ochrony danych osobowych i prywatności,
• przeanalizowanie i uporządkowanie przez firmy i instytucje procesów związanych z przetwarzaniem danych osobowych – m.in. zweryfikowanie baz danych, usunięcie danych zbędnych i nieaktualnych, przeszkolenie personelu,
• szybsze reagowanie na składane żądania i wnioski,
• przeformułowanie klauzul informacyjnych, ich uproszczenie i częstsze stosowanie zrozumiałego dla odbiorców języka,
• informowanie osób o naruszeniu ochrony ich danych osobowych, dzięki czemu mogą one szybko podjąć skuteczne działania chroniące ich przed negatywnymi skutkami naruszenia,
• powoływanie inspektorów ochrony danych (IOD) – fachowców w zakresie ochrony danych – nawet przez firmy, które nie są do tego zobowiązane, co powoduje, że działania związane z przetwarzaniem danych osobowych są nadzorowane przez specjalistę, przez co zwiększa się poziom ochrony danych, a klienci zyskują punkt kontaktowy i pomoc w rozwiązaniu problemów dotyczących wykorzystywania ich danych osobowych przez konkretny podmiot,
• zmiana praktyk stosowanych przez globalnych graczy, którzy określone w RODO standardy zaczynają uwzględniać w swoich działaniach.

Zapewnianie zgodności to proces ciągły

Mimo wielu pozytywnych zmian, wciąż trzeba pracować nad doskonaleniem stosowanych rozwiązań i procedur. Warto przypomnieć, że zapewnianie zgodności z RODO to proces ciągły, a nie jednorazowe działanie. W opinii UODO, wciąż warto:

• pogłębiać wiedzę o przepisach dotyczących ochrony danych osobowych, w tym RODO,
• w większym stopniu korzystać z elastyczności i swobody działania, jaką dają przepisy ogólnego rozporządzenia,
• udoskonalać ocenę ryzyka, m.in. w większym stopniu uwzględniać zagrożenia, jakie dla ochrony danych powoduje korzystanie z nowoczesnych technologii i Internetu; często bowiem dostrzegamy jedynie korzyści, jakie daje informatyzacja,
• wprowadzać rozwiązania mające na celu zwiększanie ochrony dzieci.

UODO podpowiada, jak lepiej stosować RODO

Jednocześnie żeby ułatwić dalsze codzienne stosowanie RODO i korzystanie z praw, jakie ono daje, Urząd Ochrony Danych Osobowych – na podstawie zdiagnozowanych najczęstszych problemów i błędów – przygotował dwa zestawy praktycznych wskazówek:

• dla administratorów,
• dla osób indywidualnych.

Powinny być one pomocne w stosowaniu RODO na co dzień.

Źródło: https://uodo.gov.pl/pl/138/589

38. Oszuści wykorzystują RODO, by wyłudzić pieniądze

W ostatnim okresie przedsiębiorcy dostają wezwania do zapłaty za rzekome nieprawidłowości w stosowaniu RODO. To próba oszustwa – ostrzega Prezes UODO i radzi, by nie dokonywać wpłat, lecz zawiadamiać organy ścigania.

Scenariusz działania oszustów jest bardzo prosty. Zawiadamiają przedsiębiorcę o tym, że w wyniku przeprowadzonych „czynności sprawdzających” wykryto u niego nieprawidłowości związane z wymienionymi w wezwaniu przepisami ogólnego rozporządzenia o ochronie danych (RODO). W związku z tym wzywają do zapłaty na podane konto w terminie 7 dni „opłaty fakultatywnej”. Straszą, że jej nieuiszczenie „grozi nałożeniem dodatkowej kary w wysokości do 20 mln euro lub do 4 % wartości wolumenu światowego obrotu przedsiębiorstwa”.

Na przesyłanym dokumencie jest też wizerunek orła, pieczątka z imieniem i nazwiskiem oraz podpisem osoby, a nazwy instytucji podawane w nagłówku i na pieczątce mogą kojarzyć się m.in. z Urzędem Ochrony Danych Osobowych (UODO), co w zamyśle oszustów, ma ich uwiarygodnić.

Takie działanie może wprowadzić przedsiębiorców w błąd, którzy pod wpływem impulsu mogą przelać pieniądze na konto wskazane w fałszywym dokumencie. Jest to tym bardziej prawdopodobne, że żądana suma nie jest wygórowana, a zapowiadana możliwa „dodatkowa kara” za jej nieuiszczenie - dużo wyższa.

Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych ostrzega wszystkie osoby, które otrzymają taką korespondencję, by nie dokonywały żadnych przelewów, a o zaistniałej sytuacji powiadamiały organy ścigania. Przypomina też, że w Polsce jedyną instytucją uprawnioną do nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych oraz do nakładania administracyjnych kar finansowych jest UODO.

Przedsiębiorcy, którzy poinformowali urząd o tej praktyce, wykazali się rozwagą i ostrożnością. Ich podejrzenie wzbudziło m.in. powołanie się na „czynności sprawdzające”, podczas gdy nie byli oni przez UODO ani kontrolowani, ani nie byli stroną prowadzonego przez Urząd postępowania administracyjnego. Tym samym nie było możliwości, by UODO wykrył w ich działalności nieprawidłowości związane z naruszeniem przepisów o ochronie danych osobowych.

– To już kolejna próba oszustwa z powołaniem się na RODO – wskazuje dr Edyta Bielak-Jomaa, Prezes UODO. – Na przełomie lipca i sierpnia 2018 r. niektórzy przedsiębiorcy mieli do czynienia z fałszywymi kontrolerami UODO. Teraz oszuści próbują wyłudzić pieniądze, wysyłając fałszywe wezwania do zapłaty. Ponieważ takie działanie może być prowadzone na masową skalę, zalecam szczególną ostrożność, dokładne czytanie korespondencji i weryfikowanie podmiotów, które domagają się od nas jakiejkolwiek zapłaty – radzi dr Edyta Bielak-Jomaa.

Wskazuje przy tym, że fałszywe wezwanie ma liczne błędy, także merytoryczne, co powinno zwrócić uwagę uważnych adresatów, do których trafi taka korespondencja. Dodatkowo podane w piśmie dane identyfikacyjne nadawcy, takie jak NIP czy adres, pochodzą od zupełnie różnych i przypadkowych podmiotów.

Źródło: https://uodo.gov.pl/pl/138/565

39. Dane inspektora ochrony danych powinny być łatwo dostępne

Podmiot, który wyznaczył inspektora ochrony danych (IOD) powinien zadbać o to, by informacja o nim była łatwo dostępna dla osób, których dane dotyczą. Udostępnione powinny zostać takie jego dane, jak: imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu. 

Do Prezesa Urzędu Ochrony Danych Osobowych (UODO) docierają liczne sygnały, że dla wielu osób nie jest jasne, gdzie mogą znaleźć dane dotyczące inspektora ochrony danych (IOD).

Tymczasem przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 11) wprost zobowiązują podmiot, który wyznaczył IOD, by udostępnił jego dane na swojej stronie internetowej. Jeżeli nie prowadzi własnej strony, udostępnia informacje o IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Należy pamiętać, że administrator, który wyznaczył IOD powinien opublikować jego następujące dane: imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu.

Jeśli administrator prowadzi własną stronę internetową, wskazane jest, by dane o wyznaczonym IOD znalazły się w ogólnie dostępnym miejscu strony np. w zakładce: „Kontakt”, „Inspektor ochrony danych”, „RODO” czy „Ochrona danych osobowych”. Za niewłaściwie zatem uznać należy publikowanie tych danych w miejscach wymagających długiego przeszukiwania, takich jak „Aktualności” czy „Polityka prywatności”.

40. Decyzje administracyjne bez numeru PESEL

Do oznaczania stron postępowania nie powinno się wykorzystywać numeru PESEL.

W związku ze zdarzającymi się przypadkami oznaczania stron postępowania administracyjnego nie tylko imieniem, nazwiskiem i adresem zamieszkania, ale również numerem PESEL, Prezes Urzędu Ochrony Danych Osobowych wskazuje, że takie działanie jest niezgodne z prawem.

Obowiązkowe oznaczanie stron

Organy administracji publicznej, które rozstrzygają indywidualne sprawy, wydając decyzje administracyjne, muszą postępować zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (k.p.a.). Jej art. 107 § 1 pkt 3 wskazuje, że jednym z obligatoryjnych składników decyzji administracyjnej jest oznaczenie strony lub stron postępowania. Oznacza to, że dla prawidłowości postępowania prowadzonego przez właściwy organ administracji publicznej niezbędne jest zindywidualizowanie wszystkich stron postępowania poprzez wskazanie ich danych osobowych.

W tym celu wystarczające jest wskazanie imienia, nazwiska i adresu zamieszkania.

Reguły określone RODO

Wykorzystywanie na te potrzeby numeru PESEL jest działaniem niezgodnym z zasadami określonymi w ogólnym rozporządzeniu o ochronie danych (RODO).

Numer PESEL to bowiem krajowy numer identyfikacyjny, który powinien podlegać szczególnej ochronie (art. 87 RODO). Jego używanie na potrzeby oznaczenia strony postępowania administracyjnego jest nadmiarowe i niezgodne z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c 1 RODO.

Wyjątkiem postępowanie egzekucyjne

Jeśli podanie numeru PESEL wynika wprost z przepisów prawa, to wówczas spełniona jest przesłanka legalizująca jego przetwarzanie określona w art. 6 ust. 1 lit. c RODO (przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze). Tak jest w przypadku zamieszczania numeru PESEL w tytule wykonawczym w przypadku prowadzenia przez organ administracji postępowania egzekucyjnego. Stanowi o tym art. 27 § 1 pkt 2 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji. Zatem dopiero na etapie prowadzonego postępowania egzekucyjnego uzasadnione jest wskazanie numeru PESEL strony postępowania.

Praktyka zamieszczania go w decyzji administracyjnej, jako danej identyfikującej stronę postępowania, jest niewłaściwa.

41. „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”

Jak pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy i pracowników zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych - Urząd Ochrony Danych Osobowych wyjaśnia w swojej nowej publikacji „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”.

Poradnik wskazuje, jak przetwarzać dane osobowe zarówno podczas rekrutacji, jak i w ciągu całego okresu zatrudnienia. Nie ogranicza się jedynie do zatrudnienia na podstawie stosunku pracy. Traktuje również o innych, coraz popularniejszych formach zatrudniania, jak np. umowy cywilnoprawne.

Przydatne informacje znajdą tu i pracodawcy, i agencje zatrudnienia, i pracownicy chcący dowiedzieć się, jakie prawa przysługują im na mocy RODO, czyli ogólnego rozporządzenia o ochronie danych. Wiele wyjaśnień odnosi się też do relacji między pracodawcą a innymi podmiotami – związkami zawodowymi, podmiotami świadczącymi usługi z zakresu medycyny pracy czy firmami szkoleniowymi.

W poradniku UODO przypomina m.in., że pracodawca od osób ubiegających się o zatrudnienie można żądać podania jedynie tych danych, do zbierania których uprawniają go przepisy prawa. Wskazuje, że dane nie mogą być zbierane „na zapas” ani „na wszelki wypadek”, gdy pracodawca dopiero rozważa zatrudnienie kogoś w bliżej nieokreślonym czasie. Wskazuje, że niezgodne z przepisami o ochronie danych osobowych jest prowadzenie rekrutacji „ślepych” lub „ukrytych” czyli takich, w których pracodawca poszukujący pracowników pozostaje anonimowy. Po zakończeniu rekrutacji dane kandydatów powinny być niezwłocznie usunięte – chyba że ze względu na zainteresowanie przyszłymi naborami sami wyrażą zgodę na dłuższe wykorzystywanie ich danych.

Nowoczesne technologie ujarzmione przez RODO

W poradniku UODO podkreśla także, że korzystanie przez pracodawców z nowoczesnych technologii musi odbywać się z poszanowaniem przepisów z zakresu ochrony danych osobowych. Dotyczy to np. rekrutacji on-line. Szczególnej troski o dane osobowe wymaga także wykorzystywanie nowoczesnych rozwiązań technicznych do ewidencji czasu pracy, kontrolowania poczty elektronicznej oraz monitorowania aktywności zatrudnionych.

Wytyczne poprzedzone konsultacjami

Przygotowanie przez UODO praktycznego poradnika poprzedziły konsultacje społeczne. Dzięki temu udało się uzyskać pełniejszy obraz problemów, jakie nurtują pracodawców w związku ze stosowaniem RODO i uwzględnić je w przygotowanym poradniku. Z jednej strony wskazać, jak powinni podchodzić do poszczególnych problemów, z drugiej zaś podpowiedzieć, jak mają postępować w konkretnych sytuacjach, z którymi spotykają się na co dzień.

Źródło: uodo.gov.pl

42. Minął pierwszy przejściowy termin na zawiadamianie Prezesa UODO o wyznaczeniu IOD

31 lipca 2018 r. upłynął pierwszy z określonych w ustawie o ochronie danych osobowych przejściowych terminów zgłaszania inspektorów ochrony danych (IOD). Dotyczył on tych podmiotów, w których nie był powołany ABI, a zgodnie z RODO musi być IOD.

Zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych, administratorzy i podmioty przetwarzające, którzy nie powołali administratora bezpieczeństwa informacji (ABI), a mają obowiązek wyznaczenia IOD wynikający z RODO, powinni do 31 lipca 2018 r. przesłać do Prezesa UODO zawiadomienie o jego wyznaczeniu. Na realizację tego obowiązku ustawodawca przewidział czas od momentu wejścia w życie ustawy o ochronie danych osobowych. Zatem był na to czas od 25 maja 2018 r. do 31 lipca 2018 r.

Zawiadamianie drogą elektroniczną

Co ważne, zgodnie z art. 10 ust. 6 ustawy o ochronie danych osobowych, jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu IOD jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

Do podmiotów, które nie dopełniają ustawowego wymogu i przesyłają zawiadomienia pocztą tradycyjną, Prezes UODO kieruje stosowne wyjaśnienia informujące o zasadach dokonywania zgłoszenia, które przesądzają o skutecznym wywiązaniu się z obowiązku.

W związku z tym, że wiele podmiotów zobowiązanych zgłoszenie inspektorów zaplanowało na ostatnia chwilę, 31 lipca, kiedy wystąpił krótkookresowy problem techniczny, sygnalizowały go w obawie, że ich zgłoszenie mogło do UODO nie wpłynąć. Dlatego warto przypomnieć, że podmioty, którym nie udało się skutecznie przesłać zawiadomienia, automatycznie otrzymywały komunikat w tej sprawie.

Kolejny termin – 1 września 2018 r.

Przypominamy, że kolejny termin związany z wyznaczaniem IOD i informowaniem o tym Prezesa UODO upływa 1 września 2018 r. Dotyczy on podmiotów, w których 24 maja 2018 r. działał administrator bezpieczeństwa informacji (ABI), a który 25 maja 2018 r. z mocy prawa stał się inspektorem (więcej informacji na ten temat można znaleźć w materiale dostępnym pod linkiem https://uodo.gov.pl/pl/138/271).

Bieżąca weryfikacja wykonania obowiązku

Jednocześnie informujemy, że to, czy podmioty zobowiązane wywiązały się z ciążących na nich obowiązków wyznaczenia IOD, Prezes UODO będzie weryfikował przy okazji wszelkich swoich kontaktów z administratorami i podmiotami przetwarzającymi. Jeżeli nie wyznaczyły one takiej osoby, to zgodnie z wynikającą z RODO zasadą rozliczalności, będą musiały umieć wykazać, że dokonały analizy w tym zakresie i wskazać przesłanki, na podstawie których przesądziły o tym, że nie są zobowiązane do wyznaczenia IOD.

Źródło: uodo.gov.pl

43. Mali i średni przedsiębiorcy muszą w określonych sytuacjach prowadzić rejestr czynności przetwarzania

Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.

W związku z licznymi pytaniami kierowanymi do krajowych organów nadzorczych przez przedsiębiorców, Grupa Robocza Art. 29, skupiająca unijnych rzeczników ochrony danych osobowych, w tym GIODO, przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania.

Obowiązek ten trzeba realizować, gdy przetwarzanie:

• może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego,
• obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie.

Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania.

Jako przykład Grupa Robocza Art. 29 podaje przypadek małej organizacji, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. Jak wskazuje, „w rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych”.

Źródło: uodo.gov.pl

44. Prezes Urzędu Ochrony Danych Osobowych ostrzega przed fałszywymi kontrolerami

Ponieważ w ostatnim czasie do przedsiębiorców zaczęły zgłaszać się osoby podające się za kontrolerów z Urzędu Ochrony Danych Osobowych, zalecamy zachowanie ostrożności. Informujemy, że co do zasady uprzedzamy o naszych kontrolach.

Do Prezesa Urzędu Ochrony Danych Osobowych dotarły sygnały, że u przedsiębiorców pojawiają się osoby podające się za kontrolerów UODO. W jednym ze znanych nam przypadków osoby takie okazały legitymację i upoważnienie do kontroli. Dokumenty te były oczywiście fałszywe.

Prezes UODO informuje, że w najbliższym czasie będą miały miejsce kontrole i upoważnione do ich przeprowadzenia osoby będą pojawiać się w wyznaczonych do kontroli podmiotach. Ważne jest jednak zachowanie ostrożności i baczniejsze weryfikowanie tożsamości zgłaszających się osób.

Warto przypomnieć, że wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.

Jednym z zabezpieczeń takiej legitymacji jest m.in. hologram. Musi on być na każdej legitymacji, którą posługują się kontrolerzy Prezesa UODO.

Przypominamy również, że Urząd co do zasady pisemnie uprzedza o planowanej kontroli. Ponadto w przypadku wątpliwości co do wiarygodności osoby, która okaże dokumenty upoważniające do kontroli, istnieje możliwość telefonicznego zweryfikowania, czy rzeczywiście jest tą, za którą się podaje i jest upoważniona przez Prezesa UODO do przeprowadzenia kontroli. W tym celu można się kontaktować pod numer 22/531-07-71.

Odbierająca go osoba może zweryfikować:

• imię i nazwisko osoby,
• numer legitymacji,
• fakt wydania upoważnienia do prowadzenia kontroli w danym podmiocie.

Źródło: uodo.gov.pl

45. Uwaga na oferty i wymuszenia związane z RODO

GIODO przestrzega, by z rozwagą korzystać z ofert podmiotów oferujących pomoc w przygotowaniu się do RODO.

Im bliżej do 25 maja 2018 r., czyli dnia rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych (RODO), tym częściej do firm i instytucji kierowane są oferty skorzystania z różnego rodzaju usług, przygotowujących je do osiągnięcia zgodności z RODO.

Część tych ofert konstruowana w sposób, który może wprowadzać adresatów w błąd. Z jednej strony usiłuje się bowiem nakłonić ich do skorzystania z pomocy czy wsparcia, bez którego narażają się np. na wysokie kary finansowe. Z drugiej zaś próbuje się wywołać wrażenie, że np. udział w szkoleniu czy kupno dokumentacji bądź przeprowadzenie audytu da gwarancję, że podmiot, który skorzystał z takiej oferty, działa w sposób zgodny z RODO i nie grożą mu żadne sankcje ze strony organu nadzorczego, czyli GIODO.

Dlatego Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, by decydując się na usługi lub pomoc podmiotu zewnętrznego oraz dokonując wyboru oferty, zachować dużą ostrożność. Dotyczy to zwłaszcza przypadków, w których:

• proponuje się kupno certyfikatów, zwłaszcza tych, które mają gwarantować, że legitymujący się nimi podmiot postępuje zgodnie z RODO, co uchroni go np. przed kontrolą ze strony urzędu,
• żąda się przedstawienia określonych informacji lub dokumentów pod groźbą „oddania sprawy do GIODO, sądu i prokuratury”, a jednocześnie oferuje kupno produktów lub usług.

GIODO radzi, by firmy i instytucje, przygotowując się do osiągnięcia zgodności z nowymi przepisami, przed podjęciem decyzji o skorzystaniu z ofert podmiotów trzecich:

• samodzielnie dokonały przeglądu swoich działań i zdefiniowały swoje potrzeby w zakresie ochrony danych osobowych – m.in. określiły, jakiego wsparcia potrzebują, jaką wiedzę chciałyby zdobyć podczas szkoleń czy warsztatów,
• skrupulatnie weryfikowały firmy, które oferują swoje wsparcie i pomoc; sprawdzały, czy w ogóle istnieją, jaką mają wiarygodność i doświadczenie w problematyce ochrony danych osobowych,
• dokładnie analizowały wszystkie informacje zawarte w otrzymywanych ofertach i nie podejmowały żadnych decyzji pochopnie, pod wpływem emocji.

Jednocześnie GIODO przypomina, że na razie żaden podmiot nie wydaje certyfikatów, znaków jakości oraz oznaczeń w zakresie ochrony danych osobowych mających świadczyć o osiągnięciu zgodności z RODO. Certyfikacja taka będzie mogła być prowadzona jedynie przez podmioty akredytowane, lecz by mogło to nastąpić potrzebne jest przeprowadzenie jeszcze wielu działań przygotowawczych o charakterze proceduralnym i organizacyjnym. Mogą one jednak zostać rozpoczęte dopiero po 25 maja 2018 r.

Warto też pamiętać, że żadne kursy, szkolenia, warsztaty nie są obowiązkowe, a udział w nich nie gwarantuje osiągnięcia zgodności funkcjonowania firmy z RODO, jeżeli nie przeprowadzi się solidnej inwentaryzacji wykonywanych czynności przetwarzania danych osobowych i samodzielnie nie oceni ich zgodności z zasadami określonymi w RODO i w przepisach prawa regulujących dany proces przetwarzania w określonej dziedzinie, np. szkolnictwie, służbie zdrowia, bankowości, handlu itp.

GIODO wskazuje też, by w sytuacjach, kiedy działania konkretnych firm noszą znamiona przestępstwa, zgłaszać takie przypadki organom ścigania.

Źródło: uodo.gov.pl

46. Szkoła korzysta z dziennika elektronicznego. Zgoda rodzica na przetwarzanie danych zbędna

W przypadku prowadzenia przez szkoły dzienników lekcyjnych zgoda rodziców nie stanowi podstawy prawnej przetwarzania danych osobowych, ponieważ podstawą do przetwarzania danych w dokumentacji szkolnej jest przepis prawa.

Sposób prowadzenia dokumentacji przez placówki oświatowe regulują przepisy prawa. Szkoły prowadzą dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym. Tak wynika z § 8 ust. 1 rozporządzenia ministra edukacji narodowej z 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji”). Rozporządzenie to wydano na ustawy z 14 grudnia 2016 r. ─ Prawo oświatowe i to z tych aktów prawnych wynika sposób prowadzenia dokumentacji przez placówki oświatowe.

Dziennik lekcyjny zawiera szereg informacji, w tym dane osobowe zarówno uczniów, jak i ich rodziców. Do dziennika lekcyjnego wpisuje się nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania (jeżeli są różne od adresu zamieszkania ucznia) oraz adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają (§ 8 ust. 2 rozporządzenia w sprawie dokumentacji). W tym miejscu należy zaznaczyć, że zgodnie z Prawem oświatowym ilekroć w przepisach jest mowa o rodzicach, należy przez to rozumieć także prawnych opiekunów dziecka oraz osoby (podmioty) sprawujące nad nim pieczę zastępczą.

Zgodnie z rozporządzaniem w sprawie dokumentacji dzienniki lekcyjne mogą być prowadzone także w postaci elektronicznej (dzienniki elektroniczne), a za zgodą organu prowadzącego szkołę (np. gminy) mogą być prowadzone wyłącznie w tej postaci.

Jeśli chodzi o zgodność z ogólnym rozporządzeniem o ochronie danych (RODO), trzeba pamiętać, że szkoła przetwarza dane osobowe w dziennikach elektronicznych na podstawie przepisów prawa, które nakładają na nią obowiązek prowadzenia tej dokumentacji, czyli w oparciu o podstawę z art. 6 ust. 1 lit. c RODO. W związku z tym szkoła nie musi pozyskiwać od rodziców zgody, o której mowa w art. 6 ust. 1 lit. a RODO, aby przetwarzać te dane zgodnie z prawem.

Ponadto szkoła, która prowadzi dziennik elektroniczny, musi zapewnić ochronę danym zawartym w dzienniku, m.in. przed dostępem osób nieuprawnionych, zniszczeniem, uszkodzeniem lub utratą. Dodatkowo szkoła, która prowadzi dokumentację z wykorzystaniem dziennika w formie elektronicznej ma obowiązek umożliwić bezpłatny wgląd rodzicom do tego dziennika, w zakresie dotyczącym ich dzieci.

Przetwarzanie danych osobowych w dzienniku elektronicznym, do którego mają dostęp rodzice, nie oznacza, że dane te będą powszechnie dostępne w Internecie, czy też dostępne dla rodziców innych uczniów danej placówki. Dziennik elektroniczny to program, który służy do dokumentowania przebiegu nauczania, umożliwiający rodzicom m.in. bieżące śledzenie postępów w nauce ich dzieci. Prowadzenie dziennika elektronicznego wymaga zastosowania odpowiednich zabezpieczeń, co oznacza, że dostęp do danych w nim zawartych mają tylko osoby uprawnione, np. nauczyciele i rodzice uczniów – w zakresie, który dotyczy wyłącznie ich dzieci.

Źródło: https://uodo.gov.pl/pl/138/1558

47. Orzeczenie o niepełnosprawności pracownika

Do Urzędu Ochrony Danych Osobowych pracodawcy zwracają się z pytaniami dotyczącymi orzeczeń o niepełnosprawności pracownika. Zastanawiają się, na jakiej podstawie prawnej mają je przetwarzać oraz gdzie przechowywać.

Zgodnie z prawem, pracownikowi z niepełnosprawnością przysługują określone uprawnienia, wskazane przede wszystkim w ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych. Przykładowo, jego czas pracy nie może przekraczać 8 godzin na dobę i 40 godzin tygodniowo, przysługuje mu prawo do dodatkowej przerwy w pracy na gimnastykę usprawniającą lub wypoczynek, a także dodatkowy urlop wypoczynkowy. Co trzeba podkreślić, według art. 2 b ust. 2 ww. ustawy, przedstawienie przez pracownika dokumentów potwierdzających dane osobowe o stanie zdrowia, a więc również orzeczenia o niepełnosprawności, jest dobrowolne. Korzystanie z powyższych uprawnień dla osoby niepełnosprawnej jest zatem prawem, a nie obowiązkiem pracownika. Niemniej przywołana ustawa uzależnia realizację uprawnień przysługujących osobom z orzeczeniem o niepełnosprawności od przedstawienia pracodawcy orzeczenia potwierdzającego określony jej stopień. W chwili kiedy pracodawca otrzyma od pracownika orzeczenie o niepełnosprawności ma on obowiązek stosować przepisy ww. ustawy.

Jakie dane osobowe obejmuje orzeczenie?

Dane osobowe, które obejmuje treść orzeczenia o niepełnosprawności zostały wskazane w § 13 rozporządzenia ministra gospodarki, pracy i polityki społecznej w sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności. Zgodnie z jego brzmieniem na ww. dokumentach znajdują się dane tzw. zwykłe, jak imię, nazwisko, adres zamieszkania czy numer PESEL oraz szczególna kategoria danych osobowych (art. 9 RODO), m.in. informacja o niepełnosprawności czy przypisany jej symbol.

Na jakiej podstawie pracodawca przetwarza dane zawarte w orzeczeniu o niepełnosprawności?

Pracodawca może przetwarzać dane osobowe zawarte w oświadczeniu o niepełnosprawności zarówno w postępowaniu rekrutacyjnym, jak i później, nawiązując stosunek pracy. Należy pamiętać, że zgodnie z art. 221 § 1 Kodeksu pracy (dalej: kp), pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

•             imię (imiona) i nazwisko;

•             datę urodzenia;

•             dane kontaktowe wskazane przez taką osobę;

•             wykształcenie;

•             kwalifikacje zawodowe;

•             przebieg dotychczasowego zatrudnienia.

Warto przypomnieć, że prowadzący rekrutację pracodawca nie musi pozyskiwać zgody na przetwarzanie szczególnej kategorii danych osobowych w zw. z przesłaniem przez kandydata orzeczenia potwierdzającego niepełnosprawność, ponieważ nastąpiło to z jego inicjatywy. Wynika tak wprost z przepisów prawa. Podanie tych danych jest dobrowolne, ale również konieczne do przyznania osobie z niepełnosprawnością ulg i świadczeń z tego tytułu, odpowiedniego dostosowania miejsca pracy bądź przyznania jej pierwszeństwa (przy jednoczesnym spełnieniu innych wymagań w naborze na stanowisko w służbie cywilnej).

Artykuł 221b § 1 kp określa, że zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 RODO, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Należy jednak pamiętać, że brak zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Również w świetle § 4 kp pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Zatem pracodawca nie może objąć pracownika ulgami i świadczeniami, odpowiednimi dla jego stopnia niepełnosprawności, jeżeli nie przedstawi on właściwych dokumentów. Natomiast, jeżeli takie dokumenty pracownik przedstawi, to pracodawca przetwarza je w celu realizacji swoich obowiązków wynikających z określonych przepisów. Zgodnie z art. 2 b ust. 1 ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych w związku z realizacją uprawnień przysługujących pracownikowi z tytułu niepełnosprawności pracodawca może przetwarzać dane dotyczące stanu zdrowia pracownika, w tym informacje o niepełnosprawności.

W świetle tej ustawy wliczenie do stanu zatrudnienia osób z niepełnosprawnością następuje po przedstawieniu przez pracodawcę odpowiednich dokumentów, potwierdzających ich zatrudnienie. Jest to istotne dla pracodawcy, któremu w sytuacji zatrudnienia takich osób przysługują odpowiednie uprawnienia i obowiązki (np. wypełnianie dokumentacji do ZUS czy kierowanie pracownika na profilaktyczne badania pracownicze), ale również dla samego pracownika, który może ubiegać się o ulgi i świadczenia (art.15–20d ww. ustawy).

Wartym podkreślenia jest art. 2b ust. 6 tej ustawy, z uwagi na zabezpieczenia przetwarzania danych osobowych przez podmioty i osoby realizujące zadania wynikające z ustawy. Polegają one co najmniej na:

• dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

• pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Ponadto, w myśl art. 221b § 3 kp, do przetwarzania danych osobowych, o których mowa w § 1 (ujętych w art. 9 ust. 1 RODO), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Reasumując, dane zawarte w orzeczeniu – zarówno kandydata, jak i późniejszego pracownika, pracodawca przetwarza na podstawie przepisów prawa (art. 6 ust. 1 lit. c) oraz 9 ust. 2 lit. b) RODO łącznie z odpowiednim przepisem krajowym.

Przechowywanie orzeczenia

Rozporządzenie ministra rodziny, pracy i polityki społecznej w sprawie dokumentacji pracowniczej wskazuje, że katalog oświadczeń lub dokumentów gromadzonych w części B akt osobowych nie jest wyczerpujący i obejmuje oświadczenia lub dokumenty, których podstawę prawną pozyskania stanowi Kodeks pracy lub inne przepisy. Pomimo, że rozporządzenie nie wymienia wprost orzeczenia o niepełnosprawności wśród dokumentów, które mają być przechowywane w ww. części dokumentacji pracowniczej, należy uznać, że z uwagi na to, że orzeczenie stanowi podstawę realizacji szeregu uprawnień przysługujących pracownikowi na podstawie przepisów szczególnych, jego kopię pracodawca powinien umieścić właśnie tam – w części B akt osobowych pracownika.

Zatem w sytuacji przedłożenia przez pracownika orzeczenia o niepełnosprawności w związku z  przysługującymi pracownikowi uprawnieniami z tytułu niepełnosprawności, kopię takiego dokumentu należy umieścić w części B akt osobowych pracownika.

Pracodawcy, realizując zadania wynikające z ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych przechowują, zgodnie z art. 2b ust. 7 ww. ustawy, dane osobowe wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co pięć lat.

Źródło: https://uodo.gov.pl/pl/138/1639

48. Zgoda nie zawsze jest podstawą przetwarzania danych

Zgoda może być podstawą przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące. Gdy jednak zgoda ma zastosowanie, to musi spełniać określone warunki, by rzeczywiście była podstawą przetwarzania.

Wiele osób jest przekonanych, że jeśli nie wyraziło zgody na przetwarzanie swoich danych osobowych, to nie można tego robić. W praktyce jednak zgoda może być podstawą do przetwarzania naszych danych, gdy nie występują inne przesłanki legalizujące, które są określone w art. 6 ust. 1 RODO.

Przepis ten, oprócz zgody, określa, że nasze dane mogą być przetwarzane, gdy jest to niezbędne do wykonania umowy, do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Nasze dane mogą być przetwarzane także wtedy, gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo administrator musi zrealizować cel wynikający z prawnie uzasadnionych interesów.

Dopiero gdy nie mają zastosowania powyższe przesłanki, to podstawą do przetwarzania danych osobowych może być zgoda. Należy jednak pamiętać, że niedopuszczalne jest odbieranie zgody na przetwarzanie naszych danych osobowych w przypadku istnienia innej przesłanki legalizacyjnej upoważniającej administratora do przetwarzania danych osobowych w tym samym zakresie i celu. Takie działanie wprowadza w błąd osobę, która udziela zgody. Jest bowiem przekonana, że to na tej podstawie przetwarzane są jej dane i gdy ja wycofa, to administrator zaprzestanie dalszego przetwarzania. Tymczasem administrator może mieć wręcz obowiązek przetwarzania naszych danych, gdy mają zastosowania przedstawione powyżej przesłanki. Pozyskiwanie zgody w tej sytuacji może więc prowadzić do naruszenia zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit a RODO.

Warunki wyrażenia zgody

Zgoda, by mogła być podstawą przetwarzania danych, musi spełniać odpowiednie wymagania. W przeciwnym razie może zostać zakwestionowana jako podstawa do przetwarzania danych osobowych.

Pojęcie zgody osoby, której dotyczą dane, definiuje art. 4 pkt 11 RODO i oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Zgoda udzielona przed rozpoczęciem przetwarzania danych osobowych powinna być: wyrażona wprost, określać osobę, która zgody udziela oraz  której dane osobowe mają być udostępnione. Osoby te muszą wiedzieć, komu udzielają zgody na przetwarzanie danych, jaki jest ich zakres. Powinny też wiedzieć, przez jaki okres i w jakim celu dane te będą przetwarzane.

Administrator ma obowiązek zadbać o to, by jego działania były zgodne z zasadami przetwarzania danych osobowych, zwłaszcza z art. 5 oraz art. 7 RODO. Powinien ocenić, jakie ryzyka dla praw osób, mogą wiązać się z przetwarzaniem ich danych osobowych w konkretnym celu. Musi również przygotować jasne i rzetelne klauzule informacyjne.

Wymuszenie zgody

Należy pamiętać, że nikt nie ma prawa wymuszać na nikim wyrażenia zgody. Taka zgoda jest nieważna. Warto pamiętać, że z wymuszeniem zgody spotykamy się, gdy klauzula o wyrażeniu zgody znajduje się pomiędzy wieloma innymi punktami umowy. Przykładowo, klauzula o zgodzie na otrzymywanie informacji handlowych nie może znaleźć się we wzorcu wniosku o udzielenie pożyczki pomiędzy innymi postanowieniami oraz formularzem określającym m.in. dane osobowe kredytobiorcy. W tak skonstruowanym dokumencie konsument nie ma możliwości odmowy wyrażenia zgody, ponieważ składa podpis pod całością wniosku, przez co jego zgoda nie jest swobodna i niezależna od innych oświadczeń woli (art. 4 ustawy o świadczeniu usług drogą elektroniczną).

Z wymuszeniem zgody mamy również do czynienia, gdy instytucja publiczna lub niepubliczna realizująca zadanie publiczne uzależnia jego realizację od zgody, pomimo że z przepisów wynika uprawnienie lub obowiązek przetwarzania danych dla tych celów. Przykładowo: podczas rejestracji samochodu w urzędzie, urząd ten nie może żądać od nas wyrażenia zgody i uzależnić od niej wydanie decyzji o rejestracji pojazdu, bo z przepisów wynika obowiązek przetwarzania danych dla tego celu.

Wycofanie zgody

W myśl art. 7 ust. 3 RODO zgoda jest odwoływalna i uprawnienie to przysługuje osobie, której dane dotyczą, w każdym czasie. Osoba ta ma więc prawo w dowolnym momencie wycofać zgodę. Przepis nakłada na administratora obowiązek poinformowania osoby o tym prawie, zanim wyrazi zgodę. Wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. Dlatego jeżeli np. na stronie internetowej istniał mechanizm do wyrażenia zgody, to powinien być również podobny do jej wycofania. Rozwiązanie takie nie powinno być w żaden sposób ukryte. Podobnie gdy administrator odbierał zgodę drogą mailową czy telefoniczną, to w tym wypadku jej odwołanie powinno być możliwe w ten sam sposób.

Uprawnienie osoby do rzeczywistego wycofania zgody łączy się z wymogiem dobrowolności zgody.

Zgoda na kontakt marketingowy

Szczególną czujnością kierujmy się, gdy mamy do czynienia z działaniami marketingowymi. O ile zgoda na marketing bezpośredni nie jest wymagana, o tyle sytuacja się zmienia, gdy taka forma komunikacji jest realizowana telefonicznie.

Prawo telekomunikacyjne w art. 172 zakazuje wykonywania połączeń do celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na nie zgodę.

Ustawienia domyślne

Pamiętajmy również o tym, że wszelkie modele wykorzystujące bierność, milczenie osoby, której dane dotyczą, lub jej nieuwagę, a także ustawienia domyślne, domyślnie zaznaczone okienka zgód itp., są niedopuszczalne. Wskazał na to m.in. Europejski Trybunał Sprawiedliwości w wyroku z 1 października 2019 r. (sygn. akt. C-673/17).

Grupa Robocza Art. 29 w Wytycznych dotyczących zgody na mocy rozporządzenia 2016/679 wskazała, że osoba wyrażająca zgodę musi podjąć celowe działanie, aby wyrazić zgodę na określone przetwarzanie jej danych.

To my sami mamy decydować o tym na co się zgadzamy i świadomie to zaznaczać. Tymczasem domyślnie zaznaczone okienka możemy przez nieuwagę i pośpiech pominąć.

Przetwarzanie danych niezgodnie z prawem

Każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). Jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania (art. 82 RODO).

Możliwość skorzystania z powyższych praw w przypadku zgody może mieć miejsce, gdy np. wycofujemy zgodę, a administrator to utrudnia albo nie respektuje naszego żądania i w dalszym ciągu przetwarza nasze dane, a nie ma innej przesłanki legalizującej takie działanie. Również, gdy kwestionujemy dobrowolność wyrażonej zgody, to możemy skorzystać z przysługujących nam praw.

Źródło: https://uodo.gov.pl/pl/138/1638

49. Umowy z przedszkolem - jakich danych nie trzeba podawać

Administrator wskazując zakres danych osobowych, które chce pozyskać w trakcie rekrutacji musi przeanalizować, czy zakres ten wynika z przepisów prawa, czy też jest związany z realizacją interesu, który uzasadnia przetwarzanie konkretnych danych i nie narusza praw osób, których dane dotyczą. Wówczas będzie miał możliwość wskazania właściwej przesłanki legalizującej przetwarzanie danych osobowych.

Rodzice przyjętych dzieci, składają pisemne potwierdzenie woli przyjęcia dziecka do przedszkola, zawierając umowy. Do UODO docierają pytania rodziców dotyczące zakresu pozyskiwanych danych w ramach umów o świadczenie usług przedszkolnych zarówno przez podmioty publiczne jak i niepubliczne. Zainteresowani sygnalizują zbieranie nie tylko danych koniecznych do zawarcia umowy jak imię i nazwisko rodziców dziecka, adres ich zamieszkania, ale i  takich danych jak: numer PESEL rodziców, miejsce zatrudnienia rodziców, informacje o stanie zdrowia dziecka. W tym wypadku zbieranie takich danych stanowi naruszenie nie tylko Prawa oświatowego, ale i zasad (m.in. legalizmu, proporcjonalności i minimalizacji), o których mowa w art. 5 RODO.

Informacja dotycząca zawodu rodziców oraz miejsca ich pracy należy do tzw. zwykłych danych osobowych, których przetwarzanie jest możliwe, gdy spełniona jest co najmniej jedna z przesłanek określonych art. 6 ust. 1 RODO. Nie jest jednak jasne, w jakim celu przedszkole przetwarza powyższe dane, które związane są z życiem zawodowym rodziców dziecka.

Dlatego tak ważne jest odpowiednie informowanie rodziców i uczniów o tym, kto jest ich administratorem danych, na jakiej podstawie dane są przetwarzane, w jakim celu i przez jaki okres.

Przykładowo, zgodnie z  §  41 ust. 1 rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 31 grudnia 2002 r. w sprawie bezpieczeństwa i higieny w publicznych i niepublicznych szkołach i placówkach, o każdym wypadku zawiadamia się niezwłocznie m.in. rodziców (opiekunów) poszkodowanego. Dla wypełnienia powyższego obowiązku, przetwarzanie informacji o miejscu pracy rodzica może być niezbędne, w przypadku braku możliwości innej formy kontaktu z rodzicem.

Informacja na temat porodu, przebytych chorób, hospitalizacji oraz stanu psychicznego i emocjonalnego dziecka jest związana z przetwarzaniem szczególnej kategorii danych (dotyczących zdrowia), określonych w art. 9 ust. 1 RODO, których przetwarzanie jest co do zasady zabronione. Ogólne rozporządzenie dopuszcza przetwarzanie szczególnych kategorii danych tylko i wyłącznie, jeżeli zostanie spełniona jedna z przesłanek wskazanych w art. 9 ust. 2 RODO.

Niedopuszczalne jest przetwarzanie danych osobowych dzieci i rodziców dotyczących ich zdrowia, które nie wynikają wprost w przepisów prawa, chyba że rodzic bądź opiekun wyraził na to świadomą, dobrowolną i możliwą do wycofania zgodę. Przedszkole nie może pozyskiwać wyżej wymienionych danych, ponieważ nie są one warunkiem koniecznym przy rekrutacji oraz nie są związane z realizacją obowiązku wychowania i sprawowania opieki nad dzieckiem.

Publiczne/niepubliczne. Czy forma placówki ma znaczenie?

Przedszkola mogą być zarówno podmiotami publicznymi, jak i niepublicznymi. Oznacza to, że przedszkola niepubliczne, tak samo jak placówki publiczne, realizują prawa dzieci do wychowania i opieki, odpowiednich do ich wieku i osiągniętego rozwoju. Dlatego też, w placówkach niepublicznych, tak jak w publicznych, podstawą legalizującą przetwarzanie danych osobowych m.in. dzieci, ich rodziców bądź opiekunów jest wypełnienie obowiązku prawnego ciążącego na administratorze, czyli przesłanka określona w art. 6 ust. 1 lit. c RODO.

Przedszkola niepubliczne mogą oprócz realizowania ww. obowiązków – w takim zakresie jak szkoły publiczne – realizować inne, bądź w innym zakresie, dodatkowe zadania, które nie wynikają z obowiązku zawartego wprost w przepisach prawa. W takim przypadku podczas rekrutacji podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora, czyli przesłanka określona w art. 6 ust. 1 lit. f RODO. Ogólne rozporządzenie o ochronie danych wskazuje jednak, że interes ten nie może mieć nadrzędnego charakteru wobec podstawowych praw i wolności osoby, w szczególności, jeżeli jest ona dzieckiem. Dlatego też administrator danych osobowych w przedszkolu niepublicznym musi poddać analizie czy dane, które chce pozyskać nie będą naruszały podstawowych praw i wolności dziecka, a także jego rodziców bądź opiekunów prawnych.

Źródło: https://uodo.gov.pl/pl/138/1637

50. Czy pracodawca może korzystać z prywatnych danych kontaktowych do pracownika?

Pracodawca, który dysponuje danymi kontaktowymi do pracownika pozyskanymi podczas rekrutacji, takimi jak np. adres prywatnej poczty elektronicznej czy numer prywatnego telefonu komórkowego, nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody.

Zgodnie z art. 221 § 1 Kodeksu pracy, pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko; datę urodzenia; dane kontaktowe wskazane przez taką osobę; wykształcenie; kwalifikacje zawodowe; przebieg dotychczasowego zatrudnienia. Natomiast zgodnie z art. 221 § 3, pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: adres zamieszkania; numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie; numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Kodeks pracy nie wskazuje zatem prywatnego adresu poczty elektronicznej i numeru prywatnego telefonu jako danych, których pracodawca ma prawo żądać od pracownika. W polskim systemie prawnym nie istnieje też żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji. Dysponowanie adresem poczty elektronicznej i telefonem jest i powinno pozostać dobrowolne.

Żeby pracodawca mógł przetwarzać w celach zawodowych dane kontaktowe do pracownika, które pozyskał podczas rekrutacji, takie jak np. adres prywatnej poczty elektronicznej czy numer prywatnego telefonu komórkowego, musi uzyskać na to jego zgodę (pisemną, określająca zasady kontaktu).

Warto bowiem pamiętać, że zazwyczaj podczas rekrutacji, pozyskując dane, o których mowa w art. 221 § 1 Kodeksu pracy, a więc m.in. dane kontaktowe wskazane przez osobę ubiegającą się o zatrudnienie, pracodawca, spełniając obowiązek informacyjny deklaruje, że będzie je przetwarzał jedynie na potrzeby przeprowadzenia naboru. Zatem na ten nowy cel przetwarzania danych pracownika, jakim jest kontaktowanie się z nim w celach służbowych, musi pozyskać zgodę zatrudnionego.

Artykuł 7 RODO stwierdza, że zgoda powinna być dobrowolna, a osoba, której dane dotyczą, musi otrzymać zapytanie o zgodę w zrozumiałej i łatwo dostępnej formie, napisane jasnym i prostym językiem. Zatem jeżeli pracodawca chciałby wykorzystywać prywatne dane kontaktowe pracownika, to musi określić wszystkie cele, dla których za zgodą zatrudnionego dane te będą przetwarzane. Określenie tych celów ma zasadnicze znaczenie nie tylko z punktu widzenia przepisów prawa pracy, ale również z punktu widzenia zasady przejrzystości, o której mowa w art. 5 RODO. Jednocześnie warto zaznaczyć, że możliwość nawiązywania przez pracodawcę kontaktów z pracownikiem po godzinach pracy powinna być ograniczona jedynie do sytuacji, w której zachodziłyby szczególne warunki uzasadniające takie działanie.

Należy też pamiętać, że pracownik ma prawo w dowolnym momencie udzieloną zgodę wycofać, a pracodawca zaprzestać przetwarzania danych wykorzystywanych na podstawie tej przesłanki.

Ponadto brak zgody, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę (221a § 2 Kodeksu pracy).

Inna sytuacja powstaje wówczas, gdy zgodnie z art. 221 § 4 Kodeksu pracy pracodawca żąda podania innych danych osobowych pracownika niż określone w § 1 i 3 (jak m.in. imię, nazwisko, adres zamieszkania czy numer PESEL), gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przykładem takiej sytuacji może być przekazanie danych kontaktowych, np. prywatnego adresu e-mail i numeru prywatnego telefonu, w związku z obowiązkiem zawarcia umowy o prowadzenie Pracowniczych Planów Kapitałowych z wybraną instytucją finansową. Pracodawca ma bowiem obowiązek prawny przekazania danych osobowych m.in. w postaci adresu poczty elektronicznej i numeru telefonu od pracownika bez wyrażenia jego zgody do wybranej instytucji finansowej, o ile pracownik takie dane mu udostępni. Podstawą legalizująca ech działania jest zaś art. 6 ust. 1 lit. c RODO. Należy podkreślić, że pracodawca musi przetwarzać takie dane jedynie w celu ich przekazania do wybranej instytucji finansowej, o czym szerzej pisaliśmy tutaj.

Źródło: https://uodo.gov.pl/pl/138/1635

51. Pracodawco, chcesz sprawdzać pocztę elektroniczną pracownika? Musisz go o tym poinformować

Coraz częściej pracodawcy decydują się na wprowadzenie kontroli służbowej poczty elektronicznej pracownika. Zgodnie z kodeksem pracy, trzeba poinformować pracownika o prowadzeniu monitoringu poczty.

Należy pamiętać, że pracodawca może wprowadzić monitoring poczty elektronicznej pracownika, w sytuacji gdy jest to niezbędne w jego ocenie do zapewnienia organizacji pracy, umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Ponadto, kontrola ta nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika (art. 223 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy).

Pracownik musi zostać poinformowany w jakim celu pracodawca zamierza stosować monitoring, poznać zakres oraz sposób zastosowania monitoringu. Informacje te ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

Zgodnie z art. 222 §7 kodeksu pracy pracodawca informuje pracowników o wprowadzeniu monitoringu w sposób u niego przyjęty w zakładzie pracy. Zatem może to mieć formę pisma skierowanego do każdego pracownika, obwieszczenia na tablicy ogłoszeń, komunikatu mailowego skierowanego do załogi, czy informacji przekazanej za pośrednictwem zakładowego intranetu.

Pracodawca informuje pracownika o wprowadzeniu monitoringu poczty elektronicznej, nie później niż dwa tygodnie przed jego uruchomieniem.

Źródło: https://uodo.gov.pl/pl/138/1635

52. Montujesz kamery w miejscu pracy. Sprawdź, o czym należy pamiętać

Zasady stosowania monitoringu wizyjnego w miejscu pracy reguluje Kodeks pracy. Ale pamiętajmy, że w momencie nagrywania obrazu przez kamery, obejmującego wizerunek pracowników, dochodzi do przetwarzania danych osobowych. Zatem pracodawca w tym przypadku powinien również brać pod uwagę przepisy RODO. Jak zadbać o pracowników oraz mienie pracodawcy, jednocześnie robiąc to w zgodzie z ogólnym rozporządzaniem?

Europejska Rada Ochrony Danych przyjęła 10 lipca 2019 r. Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo, które mają na celu wyjaśnienie, w jaki sposób RODO ma zastosowanie do przetwarzania danych osobowych w przypadku korzystania z urządzeń wideo oraz zapewnienie spójnego stosowania ogólnego rozporządzenia o ochronie danych w tym zakresie. Wskazują one m.in., że dokonując wyboru rozwiązań technicznych administrator powinien brać pod uwagę technologie przyjazne prywatności, które zwiększają bezpieczeństwo. Przykładami takich technologii są systemy umożliwiające maskowanie lub mieszanie obszarów, które nie są istotne dla obszaru objętego nadzorem.

Pracodawca, decydując się na założenie monitoringu wizyjnego w zakładzie pracy, powinien określić konkretny cel, w którym będzie on wykorzystywany. Monitoring ma służyć zapewnieniu bezpieczeństwa pracowników lub ochrony mienia, lub kontroli produkcji, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, a obszar nadzoru może obejmować teren zakładu pracy lub teren wokół zakładu pracy.

Nagrywasz? Informuj

Pracodawca korzystający z monitoringu powinien poinformować osoby, które potencjalnie mogą zostać nim objęte, o tym, że monitoring jest stosowany i jaki obszar jest nim objęty. Powinien spełnić także obowiązek informacyjny wynikający z art. 13 RODO, czyli m.in.  podać swoją nazwę, adres, obszar oraz cel monitorowania, okres przetwarzania danych – co ma również istotne znaczenie dla dochodzenia roszczeń, czy też wskazać ewentualnych odbiorców danych.

Pracownicy natomiast muszą mieć świadomość, że w miejscu, w którym się znajdują, wprowadzono monitoring. Pracodawca, zgodnie z kodeksem pracy, oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Tablice informujące o zainstalowanym monitoringu powinny być widoczne, umieszczone w sposób trwały w niezbyt dużej odległości od nadzorowanych miejsc. Ich wymiary muszą być proporcjonalne do miejsca, gdzie zostały umieszczone. Stosowane mogą być dodatkowo piktogramy informujące o objęciu dozorem kamer. Z uwagi na to, że należy dopełnić obowiązku informacyjnego określonego w art. 13 RODO, nie jest jednak wystarczające oznaczenie obszaru objętego monitoringiem jedynie piktogramami. Nie oznacza to jednak konieczności umieszczania wszystkich informacji wskazanych w tym przepisie przy tabliczce informacyjnej. W takiej sytuacji możliwe jest zastosowanie warstwowych not informacyjnych. A więc na tablicy wystarczające mogą być informacje o tym przez kogo, w jakim celu i na jakich podstawach prawnych jest prowadzony monitoring oraz dane kontaktowe IOD, jeżeli został powołany. Należy także poinformować jaki obszar obejmuje monitoring, jakie prawa ma osoba obserwowania oraz gdzie możemy zapoznać się z dodatkowymi informacjami na ten temat.

Jednocześnie, należy podkreślić, że pracodawca powinien zamieścić informacje o celach, zakresie oraz sposobie zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

Wizja, bez fonii

Monitoring to środek techniczny umożliwiający rejestrację obrazu. Co za tym idzie – monitoring wizyjny nie może nagrywać dźwięku. Stosowanie kamer rejestrujących również dźwięk może, w przypadkach nieuregulowanych przepisami prawa, zostać uznane za naruszenie prywatności oraz za nadmiarową formę przetwarzania danych, a co za tym idzie wiązać się z odpowiedzialnością nie tylko administracyjną i cywilną ale również i karną. Ponadto, w trakcie nagrania obrazu i dźwięku za pośrednictwem kamery będzie dochodzić do ujawnienia tajemnic prawnie chronionych.

Kodeks pracy zawiera zamknięty katalog miejsc, w których założenie monitoringu jest zabronione. Są to np. łazienki, szatnie czy pomieszczenia socjalne, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji określonego celu i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.

Monitorowany obszar powinien zostać ograniczony również do niezbędnego zasięgu, tak aby przetwarzać dane, które są niezbędne do realizacji celu, w jakim monitoring ten został zastosowany.

Warto podkreślić, że przywołana regulacja daje pracodawcy uprawnienie skorzystania z monitoringu wizyjnego, nie jest to zatem jego obowiązek. Wprowadzenie tej formy monitoringu powinno być poprzedzone wnikliwą analizą jej konieczności, tym samym uznania, że do zapewnienia bezpieczeństwa np. pracownikom, nie można zastosować mniej ingerujących w prywatność środków umożliwiających zapewnienie tego bezpieczeństwa.

Kodeks pracy przewiduje zamknięty katalog sytuacji wprowadzenia tej szczególnej formy przetwarzania danych osobowych. Nie można zatem wykraczać poza jego zakres i stosować to uprawnienie w celu oceny jakości wykonywanej pracy przez pracowników. Narusza to bowiem ich prywatność, a pracownicy mają do niej prawo nawet w miejscu wykonywania swojej pracy.

Pracodawca stosując narzędzia ingerujące w prywatność pracowników musi przestrzegać pewnych zasad i pamiętać, że życie prywatne może rozciągać się na działalność zawodową jednostki.

Udostępniaj nagranie pracownikowi, jeśli otrzymasz takie żądanie

Pracodawca, od którego pracownik domaga się udostępnienia dotyczących go nagrań z monitoringu wizyjnego powinien wziąć pod uwagę to żądanie. Podstawą takiego działania będzie art. 15 ust. 1 RODO. Administrator ma obowiązek udostępnić osobie informacji związanych z przetwarzaniem jej danych osobowych, jak cel przetwarzania, kategorię danych osobowych, odbiorców lub kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowanego okresu przechowywania danych osobowych oraz innych informacji wskazanych w przywołanym przepisie.

Należy pamiętać, że zgodnie z art. 15 ust. 1 RODO - Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu (np. kopię nagrań monitoringu). Jeżeli osoba ta zwraca się o kopię drogą elektroniczną, i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej. 

Źródło: https://uodo.gov.pl/pl/138/1634

53. Pracodawca administratorem danych w dokumentacji pracowniczej

Administrator, przechowując dane w dokumentacji pracowniczej nie musi prosić pracownika o zgodę na przetwarzanie jego danych. W tym przypadku to nie zgoda pracowników, a obowiązek prawny administratora będzie właściwą podstawą przetwarzania danych zgromadzonych w aktach osobowych pracowników.

Prowadzenie dokumentacji pracowniczej odbywa się na podstawie odrębnych przepisów prawa pracy. W rozporządzeniu Ministra Rodziny Pracy i Polityki Społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej został określony m.in. zakres, sposób i warunki prowadzenia oraz przechowywania pracowniczych akt osobowych.

Obowiązek prawny

Zgodnie z tym rozporządzeniem to na pracodawcy spoczywa obowiązek zakładania i prowadzenia akt osobowych dla każdego pracownika oddzielnie. Regulacje te stanowią także, że akta osobowe składają się z czterech części ze wskazaniem, jaki rodzaj dokumentów i informacji znajduje się w każdej z nich. Tak więc podstawą prawną przechowywania danych pracownika w jego aktach osobowych jest art. 6 ust. 1 lit. c RODO, czyli obowiązek prawny ciążący na administratorze.

Oznacza to, że pracodawca będący administratorem danych zawartych w aktach osobowych jest związany przepisami ww. rozporządzenia, a nie wolą pracownika poprzez odbieranie od niego zgody na realizację procesu przetwarzania w ww. celach.

Obowiązki pracodawcy w zakresie prowadzenia akt osobowych i ich zawartości są więc ściśle określone i nie można mówić o dobrowolności przy przetwarzaniu danych osobowych w tych celach.

Należy pamiętać, że jeśli po stronie pracodawcy istnieje ryzyko, że w aktach osobowych znajdują się informacje zebrane niezgodne z obowiązującymi przepisami, to pracodawca powinien dokonać ich przeglądu i usunąć dane  pozyskane nielegalnie.

Źródło: https://uodo.gov.pl/pl/138/1600

54. Pracodawca ma prawo żądać od pracownika potwierdzenia legalnego pobytu w Polsce

Chcąc zatrudnić cudzoziemca, pracodawca ma prawo żądać przedstawienia dokumentów uprawniających do przebywania na terytorium Rzeczpospolitej Polskiej.

Zgodnie z przepisami Kodeksu pracy pracodawca może przetwarzać zamknięty katalog danych osobowych (art. 221 § 1 i 3) osoby ubiegającej się o pracę oraz pracownika. Zaliczamy do nich imię i nazwisko, datę urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Natomiast § 4 Kodeksu pracy daje pracodawcy możliwość  żądania podania innych danych osobowych niż określone w tym katalogu, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Z taką sytuacją administrator będzie miał do czynienia w przypadku, gdy zatrudnia cudzoziemca. Warunki przyjmowania osób niebędących obywatelami Rzeczpospolitej Polskiej określają przepisy odrębnych ustaw.

Pracodawcę zobowiązuje do tego ustawa z 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej. Zgodnie z jej art. 2 podmiot powierzający wykonywanie pracy cudzoziemcowi za obowiązek żądać od cudzoziemca przedstawienia przed rozpoczęciem pracy ważnego dokumentu uprawniającego do pobytu na terytorium Rzeczpospolitej Polskiej. Natomiast art. 3 ustawy określa, że pracodawca, który powierza wykonywanie pracy cudzoziemcowi musi przechowywać przez cały okres wykonywania pracy przez cudzoziemca kopię tego dokumentu.

Przetwarzanie danych osobowych dotyczących pobytu na terenie Polski, wykraczających poza katalog wskazany w art. 221 Kodeksu pracy, będzie odbywało się zatem na podstawie art. 6 ust. 1 lit. c RODO, czyli obowiązku prawnego administratora, jakim jest pracodawca, w związku z wspomnianymi wyżej przepisami ustawy o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczpospolitej Polskiej.

Źródło: https://uodo.gov.pl/pl/138/1609

55. Kontrola w firmie. Czy kontroler może mieć wgląd w akta osobowe?

Do Urzędu Ochrony Danych Osobowych przedsiębiorcy zwracają się z pytaniami, czy w ramach przeprowadzanych kontroli instytucje, takie jak Zakład Ubezpieczeń Społecznych (ZUS) czy Państwowa Inspekcja Pracy (PIP), mogą mieć wgląd do akt osobowych pracowników. Kiedy instytucje państwowe wykonują czynności kontrolne w ramach przyznanych im uprawnień, mogą mieć wgląd w dokumentację pracownika?

Uprawnienia takie nadawane są na podstawie przepisów szczególnych. Należy mieć na uwadze, że RODO jest aktem o charakterze ogólnym, zatem wszędzie tam gdzie obowiązują przepisy szczegółowe, których przestrzeganie wiąże się z przetwarzaniem danych osobowych, będą miały one zastosowanie. Takimi aktami prawnymi mogą być na przykład ustawa o Państwowej Inspekcji Pracy czy ustawa o systemie ubezpieczeń społecznych. Wskazane przykładowo instytucje, realizując swoje zadania ustawowe, przetwarzają dane na podstawie przepisów szczególnych, co w RODO znajdzie odzwierciedlenie w art. 6 ust. 1 pkt c), który legalizuje przetwarzanie, gdy dochodzi do niego w związku z realizacją obowiązków wynikających z przepisów prawa.

Warto odnotować, że przesłanka obowiązku prawnego wskazana w art. 6 ust.1 pkt c nie może występować samoistnie, a jedynie w połączeniu z przepisami prawa, które wymagają od administratora danych spełnienia tego obowiązku.

Co może zobaczyć ZUS…

Zgodnie z ustawą z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych, jednym z zadań ZUS jest kontrola płatników składek. Kontrola ta służy ocenie wywiązywania się przez płatników z obowiązków w zakresie ubezpieczeń społecznych.

W trakcie przeprowadzania kontroli inspektorzy ZUS mają prawo m.in. badać wszelkie księgi, dokumenty finansowo-księgowe i osobowe oraz inne nośniki informacji związane z zakresem kontroli. Mogą również dokonywać oględzin i spisu składników majątku płatników składek zalegających z opłatą należności z tytułu składek oraz zabezpieczać zebrane dowody. Ponadto mogą żądać udzielania informacji przez płatnika składek i ubezpieczonego, legitymować osoby w celu ustalenia ich tożsamości, jeśli jest to niezbędne dla potrzeb kontroli. Inspektorzy mogą również przesłuchiwać świadków oraz płatnika składek i ubezpieczonego, jeżeli z powodu braku lub po wyczerpaniu innych środków dowodowych pozostały niewyjaśnione okoliczności mające znaczenie dla postępowania kontrolnego.

W związku z ww. uprawnieniami kontrolnymi ZUS płatnicy składek są zobowiązani m.in. udostępnić wszelkie księgi, dokumenty i inne nośniki informacji związane z zakresem kontroli. Dotyczy to także tych dokumentów czy nośników, które przechowują także u osób trzecich w związku z powierzeniem tym osobom niektórych czynności na podstawie odrębnych umów. Płatnicy muszą też udostępniać do oględzin składniki majątku, których badanie wchodzi w zakres kontroli, jeżeli zalegają z opłatą należności z tytułu składek.  Mogą mieć również obowiązek sporządzenia i wydania kopii dokumentów związanych z zakresem kontroli i określonych przez inspektora.. Kontrolujący może też domagać się, by płatnik udzielał mu wyjaśnień.

Informacje zgromadzone w trakcie trwania zatrudnienia, które znajdują się w aktach osobowych pracownika mogą pozwolić na prawidłową ocenę wywiązania się przez płatnika składek z nałożonych na niego obowiązków. Dla przykładu kontrola obejmująca prawidłowość zgłoszenia do ubezpieczeń społecznych może uprawniać ZUS do żądania m.in. zawartej umowy o pracę, listy płac i listy obecności, które stanowią element akt osobowych pracownika.

… a jakie dane widzi PIP

Do zadań PIP należy sprawowanie nadzoru i kontroli przestrzegania prawa pracy w szczególności przepisów i zasad bezpieczeństwa i higieny pracy, a także przepisów dotyczących legalności zatrudnienia i innej pracy zarobkowej.

Zadania PIP zostały sprecyzowane w art. 10 ustawy z dnia 13 kwietnia 2007 r. o Państwowej Inspekcji Pracy (dalej: ustawa o PIP). Należą do nich nadzór i kontrola przestrzegania przepisów prawa pracy dotyczących stosunku pracy, wynagrodzenia za pracę i innych świadczeń wynikających ze stosunku pracy, czasu pracy, urlopów, uprawnień pracowników związanych z rodzicielstwem, zatrudniania młodocianych i osób niepełnosprawnych, przestrzegania zasad BHP, kontrola legalności zatrudnienia w tym także zatrudnienia cudzoziemców, kontrola wypłacania wynagrodzenia w wysokości wynikającej z wysokości minimalnej stawki godzinowej, ściganie wykroczeń przeciwko prawom pracownika.

W ramach uprawnień kontrolnych inspektorzy PIP mają m.in.: prawo swobodnego wstępu na teren zakładu pracy, przeprowadzenia oględzin obiektów, pomieszczeń, stanowisk pracy, maszyn i urządzeń. Mogą też żądać okazania dokumentów dotyczących budowy, przebudowy, modernizacji zakładu pracy czy przedłożenia akt osobowych i wszelkich dokumentów związanych z wykonywaniem pracy przez pracowników lub osoby świadczące pracę na innej podstawie niż stosunek pracy.

Uprawnienia nie wykluczają zasad RODO

Zatem kiedy instytucje wykonują swoje zadania na podstawie uprawnień ustawowych, nie można im odmówić udostępnienia żądanych dokumentów. Warto w tym miejscu odnotować, że inspektorzy przeprowadzający czynności kontrolne są zobowiązani nie tylko do zachowania w tajemnicy informacji, które uzyskali podczas wykonywania czynności służbowych, ale także zasad wynikających z RODO. Zaliczamy do niech zasadę proporcjonalności, a także zasadę ograniczenia celu wymagającą, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie były przetwarzane dalej w sposób niezgodny z tymi celami, oraz zasadę minimalizacji danych na podstawie której dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

https://uodo.gov.pl/pl/138/1628 

56. Weryfikowanie tożsamości posiadaczy Karty Dużej Rodziny

Sprzedawca ma prawo żądać, by osoba chcąca skorzystać z uprawnień przysługujących jej z tytułu posiadania Karty Dużej Rodziny, a posługująca się tradycyjną jej wersją, uwiarygodniła swoją tożsamość np. poprzez okazanie swojego dowodu osobistego.

Do takiego wniosku prowadzi analiza przepisów ustawy z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny oraz aktów wykonawczych wydanych na jej podstawie.

Zgodnie z nimi (art. 2 ustawy) Karta Dużej Rodziny (KDR) jest środkiem identyfikującym członka rodziny wielodzietnej, poświadczającym jego prawo do uprawnień ustalonych w trybie określonym w powołanej ustawie lub przyznanych na podstawie przepisów odrębnych.

Może mieć postać dokumentu z tworzywa sztucznego (karta tradycyjna) lub być realizowana przy użyciu oprogramowania dedykowanego dla urządzeń mobilnych (karta elektroniczna).

Przepisy rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 27 lipca 2017 r. w sprawie sposobu unieważnienia Karty Dużej Rodziny, wzorów graficznych oraz szczegółowego zakresu informacji, jakie mają być zawarte we wniosku o przyznanie Karty Dużej Rodziny, które określa wzory obu wymienionych form KDR stanowią, że zawiera ona: imię oraz nazwisko członka rodziny wielodzietnej, numer PESEL członka rodziny wielodzietnej (albo numer dokumentu potwierdzającego tożsamość, w przypadku gdy nie nadano numeru PESEL), termin ważności Karty, numer Karty, logo rodziny wielodzietnej, skrót „KDR” pisany alfabetem Braille'a - na karcie tradycyjnej, miejsce na zdjęcie - na karcie elektronicznej oraz elementy zabezpieczające dokument przed podrobieniem i sfałszowaniem.

Dlatego żądanie, by osoba chcąca skorzystać z uprawnień przysługujących jej z tytułu posiadania Karty Dużej Rodziny, a posługująca się jej tradycyjną wersją, na której nie ma zdjęcia, udokumentowała swoją tożsamość, np. poprzez okazanie dowodu osobistego, wydaje się zasadne. Służy bowiem weryfikacji, czy osoba chcąca skorzystać z uprawnień związanych z posiadaniem KDR jest osobą do tego uprawnioną. Samo okazanie dokumentu potwierdzającego tożsamość, o ile nie dochodzi do jego kopiowania, nie jest czynnością nadmiarową.

źródło: https://uodo.gov.pl/pl/138/1630

57. Polska wersja wytycznych dotyczących rozpoznawania twarzy już dostępna

Jakie zasady należy stosować podczas używania technologii rozpoznawania twarzy, aby zapewnić zgodność m.in. z prawem ochrony danych osobowych? Odpowiedź na to pytanie zawierają „Wytyczne dotyczące rozpoznawania twarzy”.

Rozpoznawanie twarzy to automatyczne przetwarzanie obrazów cyfrowych zawierających twarze osób w celu identyfikacji lub weryfikacji tych osób za pomocą szablonów twarzy. Zastosowania tej technologii są liczne i zróżnicowane, a niektóre z nich mogą poważnie naruszać prawa osób, których dane dotyczą. 

Na przykład, integracja technologii rozpoznawania twarzy z istniejącymi systemami nadzoru stwarza poważne zagrożenie dla praw do prywatności i ochrony danych osobowych, a także innych praw podstawowych, ponieważ korzystanie z tych technologii nie zawsze wymaga świadomości lub współpracy osób, których przetwarzane są dane biometryczne, z uwzględnieniem np. możliwości dostępu do cyfrowych zdjęć osób fizycznych w Internecie.

W Dzień Ochrony Danych Osobowych, czyli 28 stycznia 2021 r.,  Komitet Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych przyjął „Wytyczne dotyczące rozpoznawania twarzy”. Dokument dotyczy zastosowań technologii rozpoznawania twarzy, w tym technologii rozpoznawania twarzy na żywo. Wytyczne zawierają wiele wskazówek w odniesieniu do zasad, które powinny być przestrzegane i stosowane w celu zapewnienie nienaruszalności godności ludzkiej, praw człowieka i podstawowych wolności każdej osoby, w tym prawa do ochrony danych osobowych.

Wytyczne są adresowane do ustawodawców i decydentów, twórców, producentów i dostawców usług oraz podmiotów wykorzystujących technologie rozpoznawania twarzy.

Wśród zaleceń skierowanych do ustawodawców i decydentów wskazano kwestie zgodności z prawem, niezbędnego zaangażowanie organów nadzorczych, certyfikacji oraz konieczności podnoszenia świadomości.

W dokumencie wskazano również zalecenia dla branż takich jak twórcy, producenci i dostawcy usług IT, tak by w tej dziedzinie również zadbano o przestrzeganie ochrony danych osobowych w kontekście m.in. jakości przetwarzanych danych i algorytmów, niezawodności wykorzystanych narzędzi, a także świadomości i rozliczalności. Dokument zawiera także wskazówki w odniesieniu do praw osób, których dane dotyczą.

Zalecenia dla podmiotów wykorzystujących technologie rozpoznawania twarzy obejmują m.in. kwestie zgodności przetwarzania danych z prawem i ich jakości, a także bezpieczeństwa oraz rozliczalności.

Z tekstem „Wytycznych dotyczących rozpoznawania twarzy” można zapoznać się na stronie internetowej Rady Europy, dostępnym pod tym linkiem.

Nieoficjalne tłumaczenie wytycznych na język polski jest  dostępne w załączniku poniżej.

źródło: https://www.coe.int/en/web/data-protection/-/ensure-that-facial-recognition-does-not-harm-fundamental-rights

58. Numer księgi wieczystej łatwo pozwala zidentyfikować właściciela nieruchomości

Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu do wyroku z 5 maja 2021 r., którym oddalił skargę Głównego Geodety Kraju na decyzję Prezesa UODO, potwierdził, że numery ksiąg wieczystych są danymi osobowymi. Stwierdził również, że GGK nie miał podstaw prawnych do ujawniania tych numerów w serwisie Geoportal2 i umyślnie naruszał przepisy o ochronie danych osobowych, dlatego kara pieniężna w wysokości 100 tys. zł, jaką Prezes UODO nałożył na GGK jest uzasadniona.

W uzasadnieniu do wyroku o sygn. akt. II Sa/Wa 2222/20 WSA uznał, że publikacja numerów ksiąg wieczystych pozwala w łatwy sposób pośrednio zidentyfikować właścicieli nieruchomości. Tym samym numer księgi wieczystej stanowi dane osobowe. WSA wskazał również, że pogląd, iż numery ksiąg wieczystych są danymi osobowymi, nie jest nowy i potwierdził to już Naczelny Sąd Administracyjny w wyroku z 26 września 2018 r. wydanym w sprawie o sygn. akt I OSK 11/17.

WSA badając skargę na decyzję Prezesa UODO uznał, że GGK swoim działaniem umożliwił użytkownikom serwisu Geoportal2 bezpośredni dostęp do zawartości ksiąg wieczystych. Umieszczone w nim numery ksiąg wieczystych były jednocześnie odnośnikami przekierowującymi użytkowników bezpośrednio na stronę Ministerstwa Sprawiedliwości do elektronicznych ksiąg wieczystych. W ocenie sądu ta funkcjonalność spowodowała, że użytkownicy nie musieli nawet podawać numeru księgi wieczystej, by uzyskać wgląd do informacji w niej zawartych, w tym do danych osobowych właściciela danej nieruchomości.

Klikając w link użytkownik miał wgląd w księgę wieczystą, w której są m.in. imiona, nazwiska właściciela nieruchomości, imiona rodziców, numer PESEL, adres nieruchomości. Nie potrzebował do tego żadnych dodatkowych uprawnień.

W ocenie WSA nie znalazł potwierdzenia argument GGK, że podstawę do publikowania numerów ksiąg wieczystych w serwisie ww.geoportal.pl stanowi rozdział 6 załącznika II do Rozporządzenia Komisji (UE) NR 1089/2010 z dnia 23 listopada 2010 r. w sprawie wykonania dyrektywy 2007/2AA/E Parlamentu Europejskiego i Rady w zakresie interoperacyjności zbiorów i usług danych przestrzennych. Zdaniem sądu regulacje zawarte w tym rozporządzeniu w żadnej mierze nie odnoszą się do kwestii publikowania w serwisie www.geoportal.gov.pl numerów ksiąg wieczystych.

WSA uznał również, że GGK poprzez publikowanie w serwisie geoportal.gov.pl numerów ksiąg wieczystych, pozyskanych z ewidencji gruntów, naruszał również art. 36 ze znaczkiem 4 ust. 16 ustawy z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece. Sąd stwierdził przy tym, że nietrafiony jest argument Głównego Geodety Kraju, iż ograniczenia określone w tym przepisie go nie dotyczą. Zdaniem sądu GGK ramach prowadzonej współpracy ze starostami na podstawie zawartych porozumień, nie może naruszać ograniczeń prawnych nałożonych na starostów wyżej wymienionym przepisem.

Ponadto przepis ten pozwala starostom pozyskiwać dostęp do danych zawartych w dziale pierwszym i drugim ksiąg wieczystych. Tymczasem GGK publikując numery ksiąg wieczystych, które jednocześnie były odnośnikami przekierowującymi na stronę Ministerstwa Sprawiedliwości do systemu elektronicznych ksiąg wieczystych, umożliwiał użytkownikom serwisu Geoportal2 na zapoznanie się z pełną zawartością księgi wieczystej.

Sąd ocenił również, że UODO w sposób prawidłowy zebrał i ocenił materiał dowodowy, co kwestionował GGK.

Poniżej pełna treść uzasadnienia wyroku WSA w Warszawie z dnia 5 maja 2021 r.

Źródło: UODO

59. Wyłączenia zaszczepionych z limitu osób na imprezach

Przepisy rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii nie uprawniają podmiotów zobowiązanych do przestrzegania określonego tymi przepisami limitu osób do żądania od nich udostępnienia informacji o zaszczepieniu przeciwko COVID-19. Ewentualne okazywanie dowodów potwierdzających fakt zaszczepienia może się odbywać z inicjatywy samej osoby zainteresowanej skorzystaniem z usług takiego podmiotu.

Ponieważ informacje o zaszczepieniu są danymi dotyczącymi zdrowia, to stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Ich przetwarzanie jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w ustępie 2 powołanego przepisu.

Przetwarzanie szczególnych kategorii danych jest więc dopuszczalne m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO).

Limit osób

W Polsce jednymi z przepisów regulujących kwestie postępowania w związku z przeciwdziałaniem rozprzestrzenianiu się koronawirusa jest rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii.

Określa ono m.in. limity osób mogących uczestniczyć w różnych wydarzeniach. Zgodnie z jego § 26 ust. 16, do liczby osób mogących uczestniczyć w imprezie i spotkaniu do 25 osób, które odbywają się w lokalu lub budynku wskazanym jako adres miejsca zamieszkania lub pobytu osoby, która organizuje imprezę lub spotkanie, a także w imprezie i spotkaniu do 150 osób, które odbywają się na otwartym powietrzu albo w lokalu lub w wydzielonej strefie gastronomicznej sali sprzedaży, o których mowa w § 9 ust. 15 pkt 2 tego rozporządzenia, nie wlicza się m.in. osób zaszczepionych przeciwko COVID-19.

Na jakich zasadach można uzyskać informacje o zaszczepieniu?

Przepisy wskazanego rozporządzenia nie regulują możliwości żądania od osób uczestniczących w takim wydarzeniu udostępnienia informacji na temat ich szczepienia. Nie określają też, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. Nie przewidują też „konkretnych środków ochrony”, o których mowa w powołanym wyżej art. 9 ust. 2 lit. i RODO.

Dlatego nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania.

W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione - spełniona bowiem będzie przesłanka, o której mowa w art. 9 ust. 2 lit. a RODO. Co istotne, zachowane muszą być przy tym warunki pozyskania zgody określone w art. 4 pkt 11 i art. 7 RODO. Oznacza to, że zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie.

Należy przy tym pamiętać również o tym, by nadmiarowo nie ingerować w prywatność osoby - np. poprzez utrwalanie okazanych dokumentów czy też zebranych oświadczeń woli. Brak jest bowiem przesłanek także do dalszego przechowywania informacji o zaszczepieniu po zweryfikowaniu informacji.

Zatem gdy osoba, której dane dotyczą, zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać.

Z poszanowaniem zasad RODO

Warto przypomnieć, że przetwarzanie takich informacji powinno odbywać się z zachowaniem zasad określonych w art. 5 ust. 1 i ust. 2 RODO. Zatem dane muszą być:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą,
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
• przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

60. Transfer danych do państw trzecich zgodny z RODO

Nowe standardowe klauzule umowne dotyczące przekazywania danych poza Europejski Obszar Gospodarczy (EOG) dostosowane do RODO i do bardziej złożonego transferu danych, w którym często uczestniczą nie dwa, a kilka różnych podmiotów.

27 czerwca 2021 wejdzie życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych  klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich. Zastąpiła ona wcześniejsze decyzje, które były przyjęte na podstawie dyrektywy 95/46 i wymagały dostosowania do RODO.

Standardowe klauzule umowne stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO, które umożliwiają przekazywanie danych poza Europejski Obszar Gospodarczy.  Standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych, tj. do:

- przekazywania danych między administratorami,

- przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim

- przekazywania między podmiotami przetwarzającymi

- przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim.

Wcześniejsze decyzje Komisji Europejskiej, tj. decyzja 2001/497/WE i decyzja 2010/87/UE tracą moc od 27 września 2021 r.

Jednocześnie umowy zawarte przed 27 września 2021 r. na podstawie wcześniejszych decyzji KE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 RODO  do  27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.

Zastosowanie nowych standardowych klauzul umownych nie wyłącza konieczności oceny planowanego transferu pod kątem zapewnienia zgodności z wyrokiem TSUE w sprawie Schrems II i ewentualnego wdrożenia środków uzupełniających standardowe klauzule umowne. Więcej:

https://uodo.gov.pl/pl/138/1768

 Link do decyzji:

DECYZJA WYKONAWCZA KOMISJI (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679

Link do  ostatecznej wersji Zaleceń 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE : https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_pl

61. Nie można kwestionować zasadności ani zakresu kontroli UODO

Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu do wyroku z 23 lutego 2021 r. w pełni podzielił stanowisko i wszystkie argumenty Prezesa UODO wyrażone w decyzji nakładającej 100 tys. zł kary na Głównego Geodetę Kraju za uniemożliwienie przeprowadzenia kontroli. Sąd krytycznie odniósł się zarówno do działań GGK w zakresie współpracy z UODO, jak i wszystkich jego argumentów przedstawionych w skardze na decyzję organu nadzorczego. 

W swoim uzasadnieniu do wyroku z 23 lutego 2021 roku (sygn. akt. II SA/Wa 1746/20) WSA stwierdził, że w państwie prawa nie do wyobrażenia jest uniemożliwianie kontroli, bojkotowanie i kwestionowanie uprawnień Prezesa UODO. Sąd zaznaczył też, że organ publiczny, jakim jest GGK, powinien też znać przepisy prawa i wiedzieć o tym, nawet bez konieczności uzyskiwania stosownych dokumentów, jakie uprawnienia posiada UODO i jakie są podstawy prawne jego działań.

WSA odniósł się do wyjaśnień GGK dotyczących adnotacji o odmowie wyrażenia zgody na przeprowadzenie czynności kontrolnych, jaką zamieścił na upoważnieniach UODO do przeprowadzenia kontroli. GGK w skardze do WSA twierdził, że była ona wyrażeniem krytycznej opinii na temat zakresu kontroli UODO, a nie przejawem utrudnienia lub uniemożliwienia przeprowadzenia kontroli. WSA uznał to twierdzenie za mało logiczne.

Nie znalazły też potwierdzenia argumenty GGK dotyczące tego, że kontrola powinna mieć miejsce nie u niego, ale w Głównym Urzędzie Geodezji i Kartografii. Sąd w pełni podzielił zdanie UODO, iż Główny Urząd Geodezji i Kartografii jest jednostką organizacyjną, przy pomocy której GGK realizuje swoje uprawnienia. WSA zaznaczył więc, że UODO prawidłowo wskazał miejsce przeprowadzania kontroli.

Nie znalazły też potwierdzenia argumenty GGK dotyczące m.in. tego, że w sprawie tej doszło do „uniemożliwienia wniesienia i rozpoznania skutecznego środka ochrony prawnej przed sądem” oraz do rozpoznania sprawy przez sąd nie posiadający pełnej jurysdykcji. W dodatku wzbudziły one poważny niepokój WSA o znajomość przepisów prawa przez GGK. Zdaniem Sądu Główny Geodeta Kraju powinien wiedzieć, że w polskim systemie prawnym kontrola decyzji Prezesa UODO odbywa się w drodze skargi do Wojewódzkiego Sądu Administracyjnego.

Oceniając wymiar i wysokość administracyjnej kary pieniężnej Sąd podzielił stanowisko Prezesa UODO w całości. Zdaniem Sądu kara w wysokości niższej niż 100 000 zł., nie spełniłaby funkcji odstraszającej. Kara w takiej wysokości ma ponadto charakter dyscyplinujący i prewencyjny.

Sąd orzekający w sprawie stwierdził także, że uzasadnienie wysokości nałożonej kary jest logiczne i zostało wyczerpująco przez Prezesa UODO wyjaśnione.

Argumentów GGK które nie znalazły przed WSA potwierdzenia jest więcej. Dlatego poniżej publikujemy pełną treścią uzasadnienia wyroku WSA i zachęcamy do zapoznania się z nim.

62. Wystąpienie ws. prowadzenia dokumentacji w poradniach psychologiczno-pedagogicznych

Prezes UODO wystąpił do Ministra Edukacji i Nauki o rozważenie kompleksowego uregulowania w przepisach prawa kwestii związanych z prowadzeniem dokumentacji przez poradnie psychologiczno-pedagogiczne.

Urząd Ochrony Danych Osobowych dostrzegając od wielu lat lukę prawną w dostosowaniu regulacji dotyczących działalności poradni psychologiczno-pedagogicznych do przepisów ogólnego rozporządzenia o ochronie danych (RODO) wystąpił do Ministra Edukacji i Nauki o systemowe zmiany w przepisach prawa. Obecnie Prawo oświatowe oraz akty wykonawcze do tej ustawy zapewniają jedynie fragmentaryczną ochronę danych osobowych zawartych w dokumentacji prowadzonej przez poradnie.

W celu udzielenia pomocy psychologiczno-pedagogicznej poradnie przetwarzają dane osobowe zarówno uczniów i ich rodziców, jak i nauczycieli czy psychologów udzielających pomocy. W prowadzonej dokumentacji są zebrane dane  zwykłe w postaci imienia i nazwiska, adresu zamieszkania,  a także szczególne kategorie danych osobowych. Te drugie to informacje m.in. o stanie zdrowia, ujawniające przekonania religijne czy światopoglądowe, a więc informacje wymagające szczególnej ochrony. Zdaniem UODO dokumentacja prowadzona przez poradnie, niezależnie od tego, czy jest w formie papierowej, czy elektronicznej, powinna być chroniona przy zapewnieniu wysokich standardów bezpieczeństwa.

Aktualne problemy

Obecne przepisy nie zapewniają kompleksowego uregulowania zasad działania tego typu poradni. Ponadto nie regulują procesów związanych z przetwarzaniem danych zawartych w dokumentacji, a są to m.in.: kwestie związane ze źródłami pozyskania danych osobowych, prowadzenia dokumentacji, zakresem informacji, jaki jest w niej gromadzony,. Dodatkowo nie są uregulowane kwestie związane z dostępem podmiotów do danych zawartych w tych dokumentach. Kluczowym problemem jest brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom.

Ocena skutków dla ochrony danych osobowych

UODO w wystąpieniu skierowanym do Ministra Edukacji i Nauki podkreślił, że przetwarzanie danych osobowych zawartych w dokumentacji wytwarzanej przez poradnie psychologiczno-pedagogiczne powinno zostać głęboko przeanalizowane z punktu widzenia zgodności z zasadami określonymi w RODO. Analiza taka przynosi realne korzyści, ponieważ pozwala projektodawcom dostrzec procesy, które powinny ulec zmianie. Zawsze należy pamiętać, aby odpowiednio wyważyć procesy związane z przetwarzaniem danych osobowych z prywatnością osób, których dane dotyczą. Zaprojektowanie ochrony danych osobowych a często także dokonanie oceny skutków dla ochrony danych osobowych pozwoli podczas tworzenia prawa ocenić, czy występują luki lub niespójności z obecnie obowiązującymi przepisami.

Zgodność z zasadami RODO

Każde przetwarzanie danych osobowych musi być zgodne z zasadami przyjętymi w RODO. Dane osobowe muszą być przede wszystkim przetwarzane zgodnie z prawem  (zasada legalizmu). Obecnie, jeśli chodzi o przetwarzanie danych w dokumentacji prowadzonej przez poradnie psychologiczno-pedagogiczne, zauważano brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom. Zdaniem UODO, należy rozważyć objęcie takiej dokumentacji prawnie chronioną tajemnicą, podobnie jak w przypadku dokumentacji medycznej, m.in. ze względu na  przetwarzane w niej zróżnicowanych danych, jakimi są także dane szczególnej kategorii.

Organ nadzorczy zwrócił także uwagę, że obecne regulacje w postaci rozporządzenia Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych stanowią iż wniosek o wydanie opinii lub orzeczenia przez poradnie zawiera oświadczenie wnioskodawcy o wyrażeniu zgody na przetwarzanie danych osobowych. Biorąc pod uwagę status podmiotów (podmioty publiczne i niepubliczne realizujące zadania publiczne), jak również charakter realizowanych przez nich zadań jako administratorów danych, to podstawy przetwarzania przez nich szczególnej kategorii danych osobowych powinny wynikać z przepisów ustawy zapewniających odpowiednie gwarancje ochrony danych osobowych,  a nie być  kształtowane wyłącznie w oparciu o zgodę, o której mowa w  art. 9 ust. 2 lit. a)  rozporządzenia 2016/679, która w każdym momencie może być wycofana, a jej wycofanie niesie określone konsekwencje prawne.  

Problem braku kompleksowych regulacji procesów związanych z przetwarzaniem danych zawartych w dokumentacji prowadzonej przez poradnie psychologiczno-pedagogiczne był sygnalizowany wielokrotnie jeszcze przez Generalnego Inspektora Ochrony Danych Osobowych.

Przegląd dotychczasowych reguł towarzyszących przetwarzaniu danych przez poradnie psychologiczno-pedagogiczne i przyjęcie nowych rozwiązań prawnych w tym obszarze z pewnością przyczyni się do wsparcia funkcjonowania poradni oraz podniesienia standardów ochrony danych osobowych. Przede wszystkim jednak wzmocni prawa osób, którym taka pomoc jest udzielana.