26 Wrz

Korzystanie z formularzy (i innych usług) Google, a ochrona danych osobowych

Designed by Freepik.com

W związku ze zmianami dotyczącymi zasad transferu danych poza obszar gospodarczy UE, pojawiło się ostatnio trochę pytań o korzystanie z usług Google w kontekście ochrony danych osobowych. Jedno z pytań, które dostałam dotyczyło formularzy Google:

Proszę o zaopiniowanie możliwości wykorzystania formularza Google, jako narzędzia gromadzenia i przechowywania danych osobowych przez instytucje kultury. Formularze Google są bezpłatnym narzędziem umożliwiającym tworzenie niestandardowych kwestionariuszy, współpracę w czasie rzeczywistym oraz zbieranie i przechowywanie danych na dysku internetowym. Więcej informacji o polityce bezpieczeństwa Google znajduje się na stronie: https://www.google.com/intl/pl_pl/policies/privacy/

Sondujemy możliwość jego wykorzystania w celu rekrutacji uczestników na wydarzenia organizowane przez instytucje kultury. Proszę o informację czy korzystanie z wyżej wspomnianego narzędzia będzie, zgodne z przepisami obowiązującego prawa w przypadku, gdy osoby fizyczne przesyłające swoje dane osobowe będą akceptowały poniższe zapisy:

Oświadczam, że wyrażam zgodę na przesyłanie wprowadzonych przeze mnie danych osobowych za pośrednictwem formularza Google. Jednocześnie oświadczam, że zostałem poinformowany o tym, że:

1. Administratorem danych osobowych jest: [tu właściwa nazwa i adres instytucji kultury]
2. Podanie danych jest dobrowolne. Nie przewiduje się przekazywania danych osobowych.
3. Przysługuje mi prawo do wglądu do moich danych osobowych i żądania ich poprawienia.

Osoby, które preferują inny sposób rekrutacji, będą miały możliwość wydrukowania zgłoszenia i złożenia go osobiście.  Zebrane dane osobowe będą przetwarzane zgodnie z przepisami obowiązującego prawa oraz w oparciu o wewnętrzną Politykę Bezpieczeństwa Informacji oraz Instrukcję Zarządzania Systemem Informatycznym instytucji kultury.

Czy to wystarczy, aby dane były zbierane legalnie poprzez formularze Google?

Przede wszystkim zalecane jest, aby taki formularz był wspomagającą formą zapisania się na usługę, a nie podstawową. Co do zasady powinny być spełnione warunki określone w ustawie o świadczeniu usług drogą elektroniczną, czyli osoba, korzystająca z usługi formularza, powinna być zobligowana do zaakceptowania regulaminu świadczenia usługi zapisu przez instytucję kultury.
Odnośnie transferu danych do państwa trzeciego w związku z korzystaniem z usługi formularzy Google, najłatwiej byłoby, gdyby z formularza mogła skorzystać tylko osoba, która ma już założone konto Google – wówczas akceptuje ona warunki świadczenia wszystkich usług przez Google oraz zgadza się na transfer jej danych poza obszar gospodarczy UE.
W przypadku, gdy ta osoba nie jest użytkownikiem, to na instytucji kultury ciąży odpowiedzialność za transfer danych (zgodnie z zasadami świadczenia usługi to instytucja kultury, a nie Google jest administratorem danych).
Zgodnie z ustawą o ochronie danych osobowych:
Art. 47. 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.
1a. Odpowiedni poziom ochrony danych osobowych, o którym mowa w ust. 1, jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.
2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych.
3. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;
W związku z tym, że został unieważniony program Safe Harbour (podmioty, które do niego przystąpiły gwarantowały odpowiedni poziom bezpieczeństwa o którym mowa w art. 47.1), 12 lipca 2016 roku Komisja Europejska przyjęła Program Tarcza Prywatności UE-USA.
Ze strony internetowej Komisji Europejskiej:
Decyzja w sprawie odpowiedniej ochrony danych osobowych zostanie notyfikowana w dniu dzisiejszym państwom członkowskim, a co za tym idzie, wejdzie niezwłocznie w życie. Po stronie amerykańskiej ramy prawne Tarczy Prywatności zostaną opublikowane w rejestrze federalnym, stanowiącym odpowiednik naszego Dziennika Urzędowego. Departament Handlu Stanów Zjednoczonych rozpocznie obsługę Tarczy Prywatności. Po tym jak przedsiębiorstwa będą miały możliwość przeglądu ram prawnych i aktualizacji swoich procedur zgodności z nimi, począwszy od 1 sierpnia będą mogły wystąpić o certyfikat w Departamencie Handlu. Równocześnie Komisja opublikuje krótki przewodnik dla obywateli, wyjaśniający dostępne środki zaradcze w przypadku, gdy osoba fizyczna uzna, że jej dane osobowe zostały wykorzystane bez uwzględnienia zasady ochrony danych.
Wobec tego po stronie instytucji kultury należy upewnienie się i kontrola, czy spółka świadcząca swe usługi na terenie USA (tak jak Google), z której usług chce skorzystać posiada odpowiedni certyfikat. Jeżeli go nie posiada, konieczna jest wcześniejsza zgoda na piśmie osoby, która będzie korzystała z elektronicznych formularzy Google.
W aktualnej polityce prywatności Google z dnia 29 sierpnia 2016 r. znalazła się informacja o uzyskaniu stosownego certyfikatu przez Google.
Regularnie sprawdzamy zgodność naszych procedur z Polityką prywatności. Przystępujemy również do kilku ram samoregulujących, w tym Tarczy Prywatności UE-USA. Po otrzymaniu formalnej skargi na piśmie kontaktujemy się z osobą, która ją złożyła. Współpracujemy z odpowiednimi instytucjami nadzorczymi, w tym z lokalnymi urzędami ochrony danych, w celu rozstrzygania wszelkich skarg dotyczących przekazywania danych osobowych, których nie możemy rozstrzygnąć bezpośrednio z użytkownikami naszych produktów.
W związku z tym, dopóki Google utrzymuje certyfikat, przetwarzanie danych w oparciu o świadczone przez niego usługi, nie będzie różnić się od przetwarzania danych przez firmy świadczące usługi na EOG. Oznacza to, że podana zgoda na przetwarzanie danych jest wystarczająca. Dotyczy to wszystkich usług, nie tylko formularzy.

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie