08 Lip

Transfer danych do Wielkiej Brytanii w związku z Brexit

Mam dla Was świetną wiadomość – Wielka Brytania (a w zasadzie zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej) została uznana przez Komisję Europejską za państwo dające wystarczające gwarancje ochrony danych osobowych. Ponieważ dotyczas obowiązywały tam przepisy RODO, w zasadzie wszyscy spodziewali się, że taka decyzja nastąpi. Jednakże fakt, że jej wydanie trwało tak długo nie ułatawiał biznesów z kontrahentami z wysp. Ok, ale na pewno Was interesuje tylko i wyłącznie to, co właściwie oznacza taka decyzja i jak wpływa na Wasze biznesy 🙂

W krótkich żołnierskich słowach: każde przekaznie danych do firmy z Wielkiej Brytanii realizujecie na takich samych zasadach, jak przekanie danych do firmy z Polski, z zastrzeżeniem, że trzeba o nim wspomnieć w obowiązku informacyjnym, gdyż jakby nie było jest to państwo trzecie w rozumieniu przepisów RODO.

Read More
30 Cze

Wzór umowy powierzenia

Być może słyszeliście, że Komisja Europejska zatwierdziła do stosowania wzorcowe klauzule umowy powierzenia, które mają ułatwić administratorom i podmiotom przetwarzającym poprawne zawarcie umowy powierzenia. Klauzule nie są niczym innym, niż rozbudowanym wzorem umowy powierzenia, z którego każdy z nas może korzystać. Jest to szczególnie przydatne, jeżeli dla swojej działalności nie masz jeszcze umowy powierzenia albo negocjujejsz jakieś warunki z kontrahentem i będziesz mógł odwołać się do wzorcowych zapisów.

Niestety klauzule zostały opublikowane w formacie pdf, w dodatku z różnymi komentarzami. W związku z tym przygotowałam dla Ciebie wersję edytowalną, bez niepotrzebnych elementów.

Read More
24 Cze

Wyłączenia zaszczepionych z limitu osób na imprezach

Do napisania tego wpisu zainspirował mnie Prezes UODO i jego opinia dotycząca ustalania limitu osób na imprezach, gdzie osoby zaszczepione przeciwko COVID-19 nie wliczają się do limitu, a także wasze bardzo liczne pytania. Mam wrażenie, że jest tak, że my, „ludzie od RODO”, mówimy jedno, a ludzie słyszą drugie. Z opinią naprawdę się zgadzam, bo sama doszłam do tych wniosków już dawno. A nawet przygotowywałam klientom (hotelom, agencjom reklamowym, domom kultury) odpowiednie procedury i formularze, które umożliwiają im zgodnie z RODO zapytać o zaszczepienie (jeżeli potrzebujesz wspracie w tym zakresie, napisz do mnie).

Zanim przejdziesz dalej, przeczytaj zacytowaną na początku opinię UODO, najlepiej dwa razy. I zastanów się, czy możesz, czy nie możesz pytać o zaszczepienie. Jeżeli masz wątpliwości, wyjaśniam.

Po pierwsze, aby w ogóle móc przetwarzać dane o zaszczepieniu, czyli zadać pytanie, musisz mieć faktyczny interes prawny. Czyli to pytanie musi czemuś konkretnemu służyć. Nie można pytać z ciekawości. Faktyczny cel w pytaniu o zaszczepienie mają podmioty, które muszą stosować ograniczenia wynikające z rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, w którym jest wskazane, że w określonych sytuacjach do limitu osób, nie wlicza się osób zaszczepionych. Zatem jest faktyczny, rzeczywisty powód do ustalenia, czy ktoś jest zaszczepiony. I tu zaczynają się schody.

Read More
10 Cze

Pytanie o zaszczepienie przeciwko COVID-19 a przepisy RODO

Na wstępie tego wpisu muszę zazanczyć, że przepisy dotyczące zapobiegania i zwalczania choroby COIVD-19 zmieniają się na tyle dynamicznie, że w momencie czytania przez Ciebie tego wpisu pewne rzeczy mogły ulec zmianie (np. limity osób, obowiązek noszenia masek). Zatem sięgnj do przepisów, które przywołuję, aby upewnić się jaki jest stan faktyczny, na dzień gdy chcesz podjąć jakieś działanie.

Omówię temat pytania o zaszczepienie przeciwko COVID-19 w kontekście relacji pracodawca – pracownik, a także organizator przedstawienia artystycznego – uczestnik. Zacznę od tego, że szczepienie przeciwko COVID-19 jest szczepieniem ochronnym i w tym momencie nieobowiązkowym. Nie stanowi warunku podjęcia pracy, czy udziału w jakimś wydarzeniu. Zatem co do zasady nie ma podstawy o uzyskiwanie od osoby, której dane dotyczą informacji o tym, czy przeszła szczepienie, czy nie. Jedakże w pewnych okolicznościach, opierając się na obowiązujących przepisach prawa, będzie przysługiwać uprawnienie do uzyskania tej informacji. Przepisy prawa, które są dla Was punktem wyjścia w tym zakresie to:

  • ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz.U. 2008 nr 234 poz. 1570 ze zm.);
  • przepisy wykonawcze do tejże ustawy, w tym momencie będę przywoływać rozporządzenie Rady Ministrów z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U. 2021 poz. 861) ze zmianami do tego rozporządzenia.

Koniecznie sprawdźcie aktualną treść przepisów wykonawyczych do wskazanej ustawy w momencie w zakresie aktualnych ograniczeń związanych z COVID-19. Przechodząc do konkretów:

Pracodawca

  • W większym zakładzie pracy może przeprowadzić anonimowe ankiety dotyczące stanu zaszczepienia personelu, z zastrzeżeniem że udzielenie odpowiedzi jest dobrowolne;
  • Może przyznać płatny dzień wolny osobom w dniu szczepienia pracownika, na podstawie jego oświadczenia o przyjęciu w tym dniu szczepionki.
Read More
11 Maj

Czy w skardze do Prezesa UODO mogę żażądać nałożenie na administratora kary pieniężnej?

Często piszecie do mnie w sprawie ukarania administratora za niezgodne z przepisami przetwarzanie Waszych danych, np. wysyła informacje handlowe bez zgody. Pytacie, czy można prosić Prezesa UODO, aby nałożył na tego administratora karę pieniężną? Jeżeli tak to w jaki sposób?

Co prawda bardzo dużo osób, które składają skargi do Prezesa UODO prosi o nałożenie kary administracyjnej pieniężnej, jednakże Prezes UODO nie może tego żądania zrealizować. Wynika to z faktu, że nie jest jedno z uprawnień osoby której dotyczą, z którego może skorzystać na mocy przepisów RODO. Oznacza to, że jeżeli poprosisz o ukaranie administratora, to nie będzie miało to wpływu na decyzję organu.

Read More
26 Kwi

Organizowanie szkoleń a RODO

Wielu moich klientów prowadzi szkolenia. Zresztą sama to robię, bardzo intensywnie, bo naprawdę lubię kontakt z ludźmi. Wbrew pozorom zorganizowanie szkolenia, to naprawdę ciężka praca po stronie organizatora. Podzielę się z Wami moim doświadczeniami, a także radami w zakresie przeprowadzenia szkolenia zgodnie z RODO.

Po pierwsze i najważniejsze – pamiętaj, że z uczestnikiem szkolenia zawierasz umowę. Jeżeli zgłasza on swój udział w Twoim szkoleniu, musi zaakceptować warunki udziału, w tym warunki płatności oraz wymagania techniczne. Jako organizator realizujesz na jego rzecz świadczenie, zgodne z przedstawionymi warunkami. Wobec tego dochodzi do zawarcia pomiędzy organizatorem a uczestnikiem umowy na szkolenie. Jest zatem spełniony warunek legalizujący przetwarzanie danych uczestnika, w zakresie niezbędnym do udziału w szkoleniu, zgodnie z art. 6 ust. 1 lit. b RODO. A mimo tego wielu organizatorów szkoleń woli prosić uczestnika o zgodę na przetwarzanie jego danych 🙁 Czy to ma sens? Moim zdaniem żadnego, a zgoda w takim wypadku jest szkodliwa. Przecież jeżeli proszę kogoś o zgodę, to wkracza mi cały arsenał praw wynikających z przepisów RODO, z wycofaniem zgody na czele. Zrealizowanie żądania wycofania zgody może okazać się niemożliwe, a brak realizacji żądania uczestnik może zgłosić do UODO. Jak bardzo problematyczna jest zgoda uzyskiwana wtedy, gdy nie jest potrzebna, przekonał się grecki PWC, który postanowił prosić pracowników o zgodę na przetwarzanie ich danych do celów związanych z zatrudnieniem (!). Po zakończeniu pracy, byli pracownicy cofali wyrażoną zgodę, a ich były pracodawca odmawiał zrealizowania żądania, bo przepisy prawa pracy wymagały od niego dalszego przetwarzania. Byli pracownicy postanowili złożyć skargę do greckiego organu nadzorczego, który ukarał spółkę PWC karą w wysokości 150 tys. Euro (https://rodoinspektor.eu/2019/07/31/wpis9/). Żartów nie ma.

Read More
12 Kwi

Czy mogę pracować na etacie i dorabiać sobie, jako inspektor ochrony danych?

Pytanie od mojego czytelnika: Czy jest możliwe bycie etatowym pracownikiem i dorabianie poza pracą, jako inspektor ochrony danych osobowych w innych firmach?

Szczerze? Będzie to bardzo trudne, ponieważ jeżeli jesteś na etacie, zwłaszcza jeżeli to jest pełny etat, nie wiem kiedy znajdziesz czas na to, aby być inspektorem. W końcu IOD musi być dostępny, szczególnie gdyby było naruszenie. W takim wypadku trzeba być w stanie pomóc administratorowi i być gotowym na to, że on będzie zestrestowany i oczekiwał wsparcia od razu. Warto także pamiętać o tym, że w przypadku kontroli przetwarzania danych u administratora z urzędu ochrony danych osobowych, Twoja obecność może być niezbędna.

Read More
25 Mar

Pytanie: Czy od mogę uzyskać oświadczenie dotyczące kontaktu z osobą zakażoną?

Otrzymałam pytanie: W związku z różnymi ograniczeniami podczas stanu epidemii, pojawiają się pytania dotyczące sposobów zapewniania bezpieczeństwa pracy stacjonarnej. W szczególności pytania osób, które mają wchodzić do biura o ich stan zdrowia lub kontakt w ostatnim czasie z osobami, które są chore.

Przyznam szczerze, że takie wątpliwości są jak najbardziej uzasadnione, ponieważ trudno tutaj znaleźć podstawę, która pozwalałaby na gromadzenie takiej informacji. Po pierwsze jest to informacja o stanie zdrowia. Nie zawsze dostajemy ją wprost, jednakże uzyskujemy to oświadczenie właśnie w celu oceny stanu zdrowia składającego oświadczenie, czyli tego czy potencjalnie, może być zarażony koronawirusem. Jeżeli mówimy o informacji o stanie zdrowia to wkracza z całą stanowczością art. 9 RODO, zgodnie z którym przetwarzanie takich danych jest zakazane z wyłączeniem warunków legalizujących wskazanych w ustępie drugim. Warto do niego czasami zerknąć, aby sprawdzić możliwości legalnego przetwarzania tego typu informacji.

Wśród przesłanek legalizujących przetwarzanie informacji o stanie zdrowia, jest w szczególności oparcie przetwarzania na przepisach powszechnie obowiązującego prawa. Na dzień dzisiejszy może to być indywidualna decyzja uprawnionego organu (w zależności od rodzaju podmiotu będzie to decyzja administracyjna wojewody, ministra zdrowia lub premiera) albo indywidualna decyzja sanepidu. Możliwość wydania takiej decyzji wynika ze spec ustawy covidowej, a także znowelizowanej ustawy o Państwowej Inspekcji Sanitarnej.

Read More
16 Mar

Szkolenie: Raport z zapewniania dostępności krok po kroku

Już tylko dwa tygodnie zostały do przekazania przez podmioty publiczne pierwszego raportu z zapewniania dostępności, jest to więc ostatni moment na przegląd tego co zostało i musi zostać zrobione. Zapewnianianie dostępności dla osób ze szczególnymi potrzebami w podmitoach publicznych to wyzwanie, ale postaram się przybliżyć dobre pomysły i praktyczne rozwiązania. Wiecie, że jestem praktykiem i chcę poprzez to szkolenie przekazać praktyczną wiedzę w zakresie tego, jak skutecznie wdrożyć dostępność w instytucji kultury.

Podczas szkolenia opowiem o rozwiązaniach, które dużo dają, a wymagają jedynie pracy ludzkiej lub minimalnych nakładów pieniężnych. Pokażę przykłady rozwiązań zwiększających dostępność komunikacyjno-informacyjną i jakie możemy zastosować racjonalne lub alternatywne rozwiązania, aby uzyskać zgodność z przepisami. Przejdę także krok po kroku przez raport dotyczący zapewniania dostępności.

Read More
10 Mar

Pytanie: Czy analizę ryzyka należy przeprowadzać ogólnie dla całego systemu ochrony danych, czy lepiej dla poszczególnych czynności na danych?

Kolejne pytanie z cyklu analizy ryzyka, dotycząca tego, czy należy analizę ryzyka przeprowadzać dla całego systemu ochrony danych osobowych w naszej organizacji czy dla poszczególnych procesów przetwarzania. W zasadzie prepisy nie narzucają tutaj konkretnych wymagań na adminstratora. Z zastrzeżeniem, że jego obowiązkiem jest „regularne” testowanie zastosowanych środków technicznycz oraz organizacyjnych.

Możecie zatem właściwie zrobić jak chcecie, chociaż jeżeli się już za to zabierzecie (myślę że to pytanie zadał ktoś kto nie robił nigdy analizy), to okaże się że w zasadzie dla całego systemu ochrony danych osobowych nie da się zrobić analizy za „jedynym zamachem”. W zasadzie musiałaby to być organizacja/firma/działalność w której nie ma wielu procesów przetwarzania lub są bardzo proste, np. przetwarzanie tylko w formie papierowej.

Read More