18 Wrz

Obowiązek informacyjny Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach. Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach :-) Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO. 1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane. 2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. 3) Cel i podstawa prawna przetwarzania zostały podane w odniesieniu do zarządcy, tzn. wskazano, że podstawą do przetwarzania danych przez zarządcę jest art. 6 ust. 1 lit. c RODO. To administrator danych powinien wskazać cel przetwarzania danych. Dla zarządcy podstawę stanowi umowa powierzenia danych ze wspólnotą (zazwyczaj jest to po prostu umowa powierzenia zarządu z odpowiednimi zapisami). Wskazywanie podstawy przetwarzania danych osobowych przez zarządcę, zamiast przez wspólnotę, wprowadza w błąd osobę, której dane dotyczą, sugerując że to zarządca jest administratorem jej danych osobowych. 4) Wskazując czas przechowywania danych, zarządca odniósł się tylko do tego wynikającego z przepisów prawa, zapominając, że w oświadczeniu pozyskiwał zgodę na przetwarzanie danych kontaktowych, która może być wycofana, tym samym w tym zakresie dane mogą być przechowywane krócej. Warto także zwrócić uwagę, że zarządca zapomniał wskazać zgodę (art. 6 ust. 1 lit. a RODO), jako jedną z podstaw przetwarzania danych członków wspólnoty. 5) Członkom wspólnoty przekazano informację, że ich dane nie będą udostępniane do podmiotów trzecich. Stoi to w oczywistej sprzeczności do faktu, że dane członków są udostępniane zarządcy nieruchomości. 6) Wśród praw przysługujących członkom wspólnoty wskazano „prawo do ochrony przed ryzykami ograniczenia praw i wolności związanymi z przetwarzaniem danych osobowych”. Przyznam, że naprawdę nie rozumiem na czym polega to prawo :-) 7) Wskazano, że podanie przez członka wspólnoty jego danych osobowych jest niezbędnym warunkiem do realizacji obowiązków Wspólnoty mieszkaniowej wynikających z przepisów prawa. Warto zwrócić uwagę, że część danych jest pozyskiwana na podstawie zgody, więc stoi to w sprzeczności z podaną informacją. Nie wskazano konsekwencji nie podania danych. 8) W obowiązku informacyjnym znalazło się zobowiązani zarządcy do zabezpieczenia przetwarzanych danych przed dostępem osób nieupoważnionych. Ufff, aż trudno uwierzyć, że to wszystko w jednym obowiązku informacyjnym. Mam nadzieję, że dobrze się bawiliście, a na osłodę dołączam przykładowy, moim zdaniem poprawny: wzór obowiązku informacyjnego realizowanego przez wspólnotę mieszkaniową wobec członków wspólnoty (przekazywany przez zarządcę lub zarząd wspólnoty) a także wzór zgody na przetwarzanie danych kontaktowych członków wspólnoty mieszkaniowej wraz z obowiązkiem informacyjnym (uzyskiwana przez zarządcę lub zarząd wspólnoty). [sc name="formatka" ]wobec członków wspólnoty mieszkaniowej

Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.

Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.

1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.

2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. Read More

10 Wrz

Obowiązki pracodawcy w związku z Pracowniczymi Planami Kapitałowymi

Do 25 września pracodawcy zatrudniający co najmniej 250 osób są zobligowani zawrzeć porozumienie z pracownikami w zakresie wyboru instytucji finansowej, która będzie prowadziła Pracownicze Plany Kapitałowe [PPK] w firmie. PPK będą wprowadzane stopniowo w corach mniejszych podmiotach, w związku z ciążącym na nich obowiązkiem prawnym wynikającym z ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych. Ponieważ plany kapitałowe to zupełna nowość, omówię to zagadnienie pod kątem wymagań przepisów RODO.

  1. Czy niezbędna jest umowa powierzenia z funduszem, do którego będą przekazywane dane?
    Nie, ponieważ zawarcie i realizacja umowy, w tym przekazanie danych osobowych pracowników, jest obowiązkiem prawnym ciążącym na administratorze danych w związku z przepisami ustawy o PPK. Udostępnianie danych do TFI można przyrównać do udostępniania danych do podmiotu leczniczego w związku z medycyną pracy. Podmiot leczniczy ma obowiązki wynikające z powszechnie obowiązujących przepisów prawa w zakresie przetwarzania danych pacjentów. Podobne obowiązki ciążą na TFI, który od momentu otrzymania danych pracownika będzie administratorem danych.
  2. Czy pracownicy powinni wyrazić zgodę na przetwarzanie ich danych w związku z PPK?
    Nie, przetwarzanie ich danych przez pracodawcę, jest obowiązkiem wynikającym z przepisów prawa.
  3. Czy w związku z udostępnieniem danych pracowników do funduszu, należy wypełnić wobec pracowników obowiązek informacyjny?
    Tak, ponieważ jest to nowy cel przetwarzania, o którym pracownik nie był wcześniej informowany podczas zatrudniania. Warto jednak zwrócić uwagę, że zgodnie z art. 13 ust. 4 RODO, w tym wypadku obowiązek wystarczy wypełnić w zakresie informacji, o których pracownik nie ma wiedzy, w szczególności cel i podstawa przetwarzania, odbiorcy danych oraz czas przetwarzania danych. Pracownik musi być także poinformowany o możliwości wycofania się z funduszu.
  4. Czy przekazanie danych kontaktowych pracownika do funduszu, wymaga zgody pracownika?
    Jeżeli pracodawca udostępnia jedynie służbowe dane, to zgoda pracownika nie jest wymagana. Jeżeli udostępnieniu będzie podlegał prywatny numer telefonu/adres e-mail, należy pozyskać zgodę na udostępnienie tych danych.
  5. Czy pracownikowi po wypisaniu się z funduszu będzie przysługiwało prawo do usunięcia danych?
    Nie, ponieważ prawo do usunięcia danych nie przysługuje, jeżeli administrator ma prawny obowiązek dalej przetwarzać dane osobowe. Tak będzie w przypadku danych przetwarzanych na potrzeby PPK.

Może jeszcze jakieś zagadnienia przychodzą Wam do głowy? Czekam na maile!


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych


26 Sie

Szkolenie RODO z naciskiem na cyberbezpieczeństwo oraz analizę ryzyka

Ofera szkoleń związanych z ochroną danych osobowych jest bardzo duża, dodatkowo osoby, które chciałby zajmować się na poważnie pracą w branży mogą skorzystać z oferty studiów podyplomowych (jeżeli chcecie spotkać się ze mną, jako wykładowcą, polecam zajęcia na Politechnice Białostockiej lub WSEI w Lublinie :-)). W związku z tym postanowiliśmy przygotować szkolenie nastawione na bardzo praktyczą wiedzę, w tym wiedzę w zakresie cyberbezpieczeństwa. Moje spotkania ze studenatami, ale także znajmomymi w branży wskazują na to, że inspektorom bardzo brakuje podstawowej wiedzy w zakresie bezpieczeństwa IT. Choćby takiej, aby być w stanie rozmawiać z osobami zajmującymi się bezpieczeństwem, a także zlecać audyty. Poza tym podstawowa wiedza jest potrzebna także, aby móc skutecznie szkolic personel, bo dzisiaj wiedza w zakresie ochrony cyfrowych zasobów jest nieoceniona.

Pod koniec września w Warszawie wraz z trójką innych, wspaniałych ekspertów, przeprowadzimy szkolenie dla „początkujących IOD„, czyli osób, które już zaczęły pracę, ale brakuje im doświadczenia, jak skutecznie realizować swoje obowiązki oraz tych, które chcą zacząć. Położymy nacisk na najtrudniejsze elementy pracy IOD 🙂

Dodatkowo zamierzamy zrobić dużo ćwieczeń i odpowiedzieć na wszystkie pytania (my nie zostawiamy pytań na koniec, wprost przeciwnie, stawiamy na dyskusję z uczestnikami). W zakresie cyberbezpieczeństwa zajęcia poprowadzi Michał, który na co dzień zajmuje się tym w praktyce, a z jego wiedzy korzystają m.in. duże instytujcje finansowe, jak banki. Chyba nie ma lepszej rekomendacji.

Uwaga, mówimy zwykłym, zrozumiałym i prostym językiem. Nie będzie niezrozumiałego informatycznego, czy branżowego żargonu. Na koniec będzie test wiedzy – osoby, które ukończą go z pozytywym wynikiem będą polecane naszym klientom.

Więcej o szkoleniu tutaj.

20 Sie

Fanpage a przepisy RODO

Europejskie organy nadzorcze dosyć skrupulatnie zaczęły badać sposoby przetwarzania danych osobowych przez takich gigantów, jak Facebook, czy Google. Przy okazji zmian związanych z przepisami RODO, postępowaniami organów nadzorczych oraz orzeczeń sądów, regulaminy i sposoby świadczenia usług przez te firmy ulegają drastycznym zmianom, za którymi większość użytkowników po prostu nie nadąża. Zresztą przeczytanie i zrozumienie skomplikowanych regulaminów, gdzie co chwilę są odnośniki do innych regulaminów i polityk prywatności, wymaga naprawdę dużej wytrwałości (wiem co mówię, ostatnio regularnie je studiuję w związku ze spieraniem klientów w korzytaniu z tych usług)!

Na początku odniosę się do najprostszej formy promocji, z jakiej korzysta wiele podmiotów, zarówno publicznych, jak i prywatnych, czyli fanpage na Facebooku. Założenie go nie wymaga skomplikowanej wiedzy, wystarczy jakiekolwiek konto na FB, kilka kliknięć, aby wskazać o czym będzie strona i już. Mało kto zdaje sobie sprawę, że pomimo tego, iż administratorem serwisu jest Facebook, to podmiot prowadzący fanpage staje się także administratorem danych.

Tych danych, które są przetwarzane w ramach fanpege, czyli:

  • dane osób, które lubią stronę,
  • komentarze zamieszczane pod postami,
  • prywatne wiadomości,
  • informacje o aktywności (kliknięcia w linki, polubienia, deklaracje udziału w wydarzeniach, udział w ankietach),
  • reakcje na reklamy,
  • czasami także dane przetwarzane w związku z konkursami.

Jeszcze do niedawna sama sądziłam, że administratorem wszystkich danych gromadzonych poprzez serwis Facebook, jest właśnie Facebook. W końcu to on udostępnia serwis, decyduje o jego funkcjach, sposobie przetwarzania danych. Jednakże nie da się ukryć, że jeżeli prowadzi się poprzez Facebook działalność komercyjną, w szczególności wyświetla reklamy lub kieruje do użytkowników posty, które mają skłonić ich do konkretnych reakcji, to o sposobach i celach przetwarzania danych, decyduje właściciel Facebooka. Read More

31 Lip

Udostępnianie kopii akt osobowych na wniosek pracownika w kontekście RODO

Możliwość żądania kopii danych osobowych przez osobę, której dane dotyczą, na mocy art. 15 ust. 3 RODO jest jednym najbardziej uciążliwych obowiązków dla administratorów. Szczególnie jeżeli żądania są nadmiarowe lub wiążą się z poniesieniem dużych kosztów.

Pisałam już o tym, że Prezes UODO odniósł się do zagadnienia realizowania obowiązku wynikającego z art. 15 ust. 3 RODO w swoich decyzjach administracyjnych, podkreślając, że należy rozróżnić pojęcie „kopii danych” od „kopii dokumentu” (decyzje nr ZSPR.440.913.2018). Przepisy RODO dają osobie, której dane dotyczą prawo do uzyskania wyczerpujących informacji o zakresie i sposobach przetwarzania jej danych, w szczególności poprzez umożliwienie uzyskania kopii danych. Nie wskazują jednak w jaki sposób administrator ma realizować ten obowiązek, dając mu możliwość podjęcia decyzji o tym, czy udostępni tylko informację przetworzoną z zakresem przetwarzanych danych, czy całe kopie dokumentów papierowych lub elektronicznych.

W decyzji nr ZSPR.440.913.2018 Prezes UODO odniósł się do sposobu realizacji żądania o udostępnienie kopii dokumentacji pracowniczej, wniesionego przez byłego pracownika. Pracodawca zamiast kopii akt osobowych udostępnił informację o zakresie przetwarzanych danych, co zostało uznane przez organ za poprawne i zgodne z wymaganiami przepisów RODO postępowanie. Należy jednak podkreślić, że wydana decyzja odnosiła się do stanu prawnego z 2018 roku, więc nie mogła uwzględniać nowelizacji przepisów prawa pracy. Gdyby takie żądanie wpłynęło w dniu dzisiejszym do administratora, musiałby je rozważyć nie tylko w kontekście art. 15 ust. 3 RODO, ale także art. 94^12 kodeksu pracy, który nakłada na pracodawcę obowiązek udostępnienia kopii dokumentacji pracowniczej na wniosek pracownika, byłego pracownika lub innej uprawnionej osoby. Co więcej, przepisy rozporządzenia MRPiPS z dn. 10-12-2018 r. w sprawie dokumentacji pracowniczej regulują sposób realizacji tego żądania. W takim wypadku udostępnienie, samego zakresu przetwarzanych danych, tak jak zrobił to pracodawca, o którym mowa we wspomnianej decyzji może stanowić naruszenie przepisów prawa pracy i skutkować dla pracodawcy nieprzyjemnymi konsekwencjami. Read More

12 Lip

Aktualizacja wzoru świadectwa pracy

Wakacje pełną parą, jednak zmiany w przepsiach nie dają o sobie zapomnieć. W maju weszły w życie przepisy  ustawy wdrażającej RODO, które wprowadziły kilka istotnych zmian do przepisów kodeksu pracy. Jedną  z nich była zmiana zakresu danych osobowych, do których przetwarzania jest uprawniony pracodawca:

Art. 22^1. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie
podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt
4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na
określonym stanowisku.
§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych
obejmujących:
1) adres zamieszkania;
2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu
potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i
innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest
konieczne ze względu na korzystanie przez pracownika ze szczególnych
uprawnień przewidzianych w prawie pracy;
4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała
podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę
wynagrodzenia do rąk własnych.

Wśród danych, do których przetwarzania jest uprawniony pracodawca pojawiły się dane kontaktowe, w szczególności mogą to być adres e-mail i telefon. Ustawodawca usunął możliwość żądania od przyszłego pracownika danych w zakresie imion rodziców. Jednakże dla pracodawców było to problematyczne, ponieważ obowiązujący wzór świadectwa pracy wymagał podania właśnie tych danych.

Read More

09 Lip

Czy i w jakim zakresie IOD powinien przeprowadzać audyt RODO w obszarze IT?

Chyba nikt nie ma wątpliwości, że bezpieczeństwo zasobów informacyjnych, w szczególności tych przetwarzanych elektronicznie ma dzisiaj kluczowe znaczenie dla większości usług. Informacja ma wartość i może mieć istotny wpływ na zyski lub straty firmy. Dane osobowe, jako szczególny rodzaj informacji, stanowią nie tylko cenne aktywo firmy (dane kontaktowe klientów, korespondencja, bazy marketingowe), ale często są podstawą działania (dane pracowników, dane z zamówień klientów). Są to zasoby, które muszą podlegać szczególnej ochronie. Wynika to nie tylko z wymagań RODO, ale przede wszystkim zdrowego rozsądku. Jako audytor często uświadamiam szefom spółek, jak cenne są ich zasoby informacyjne i jakie mogą być konsekwencje utraty ich dostępności lub kradzieży. Bardzo często jest tak, że teoretycznie wszyscy wiedzą, że informacje należy chronić, ale aż do momentu oceny ryzyka utraty tych danych, pracownicy i kierownictwo nie zdają sobie sprawy z tego, jak wielkie znaczenie ma podjęcie niezbędnych działań, aby ochrona była skuteczna.

Zgodnie z art. 39 RODO jednym z podstawowych obowiązków inspektora jest monitorowanie zgodności przetwarzania danych z przepisami, w szczególności, czy administrator wprowadził wystarczające zabezpezpieczenia techniczne i organizacyjne. Przyglądając się wymaganiamo pracodawców poszukujących osób mających pełnić rolę IOD, łatwo zauważyć, że poszukiwani są prawnicy lub inne osoby mające wiedzę w zakresie stosowania prawa. Mile widziana jest znajmość norm ISO. Bardzo rzadko, jako wymaganie pojawia się wiedza w zakresie bezpieczeństwa informatycznego. W praktyce mogę większość IOD, których znam podzielić na dwie grupy: IOD z wiedzą prawną lub IOD z wiedzą informatyczną. Ta druga grupa, to najczęściej informatycy, którzy zostali wyznaczeni na stanowisko IOD. Bardzo rzadko zdarza się, aby inspektor miał rozległą wiedzę w zakresie stosowania prawa oraz cyberbezpieczeństwa. W przypadku IOD/informatyków najczęściej dochodzi dodatkowo do konfilktu interesów, który utrudnia skuteczne realizowanie obowiązków. Moim zdaniem inspektor powinien być przede wszystkim osobą, która zna przepisy prawa w zakresie ochrony danych osobowych, a także wymagania przepisów sektorowych.

Jednak jak taka osoba ma realizować swoje obowiązki w zakresie audytów zabezpieczeń teleinformatycznych? Read More

12 Cze

Postępowanie Prezesa UODO po otrzymaniu zgłoszenia naruszenia od administratora

Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem z art. 33 RODO, który budzi wśród administratorów strach. Jak to, mają donosić sami na siebie, a następnie jeszcze otrzymać karę za to co zrobili? W efekcie pojawia się pokusa, aby nie dokonywać zgłoszenia i zamieść wszystko pod dywan. Takie postępowanie wynika z niewiedzy administratora. Przede wszystkim należy podkreślić, że zgłoszenie ma charakter informacyjny. Idą za nim dwa główne cele: ocena przez Prezesa UODO, czy administrator postąpił właściwie, a także prowadzenie statystyk. Prezes UODO może po przyjęciu zgłoszenia po prostu odnotować je i uznać za zamknięte lub zwrócić się do administratora o dodatkowe wyjaśnienia. Ostatecznym narzędziem jest nakazanie dokonania pewnych czynności, np. zawiadomienia osób, których dane dotyczą. Doskonale obrazują sposób postępowania Prezesa UODO decyzje wydane w sprawie firmy ubezpieczeniowej Y. S.A. , która zgłosiła do UODO aż 15 naruszeń ochrony danych osobowych. Read More

20 Maj

RODO: Monitorowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych

Zaznaczam to zawsze na szkoleniach, a także myślę, że na moim blogu, że najważniejszym, podstawowym obowiązkiem inspektora jest przeprowadzanie audytów.  W tym momencie powołując się na przepisy RODO osoba, która zaczyna w zawodzie IOD, może mieć wiele wątpliwości, w jaki sposób powinna ten audyt przeprowadzać.

Od czego zacząć

Osobiście uważam, że warto wrócić do starych, sprawdzonych rozwiązań, jak uchylone rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, opisano krok po kroku jak dawny inspektor, czyli administrator bezpieczeństwa informacji, które określa w jaki sposób dawny inspektor, czyli ABI powinien prowadzić sprawdzenia zgodności przetwarzania danych osobowych z przepisami. To rozporządzenie lubię szczególnie, ze względu na to, że pojawiły się w nim wytyczne, jak powinno być skonstruowane sprawozdanie ze sprawdzenia prowadzonego przez ABI.  Osoby, które zajmują się ochroną danych osobowych od czasów „sprzed RODO” bardzo często kontynuują swoje działania związane z przeprowadzeniem sprawdzeń na takich samych zasadach, jak to robiły zanim nowe przepisy weszły w życie. Przyczyna jest bardzo prosta, stare rozwiązania są logiczne, dobrze się sprawdzają, zostały już wypróbowane i łatwo jest uzasadnić, dlaczego w dalszym ciągu się je stosuje, tzn. były i są częścią dokumentacji ochrony danych osobowych i procedur związanych z ochroną danych osobowych u wielu administratorów. Dzisiaj skupiam się na innym temacie, czyli przygotowaniu do przeprowadzenia sprawdzenia. Sprawdzenia zgodności przetwarzania danych z przepisami możemy podzielić na dwa rodzaje, planowane i doraźne. Planowane to są te, które inspektor przeprowadza regularnie według wcześniej ustalonego planu. Doraźne sprawdzenia są realizowane, jeżeli jest podejrzenie naruszenia ochrony danych osobowych lub administrator danych wyraźnie prosi inspektora, aby dokonał audytu w określonym obszarze. Przygotowując plan audytu inspektor powinien zastanowić się nad tym ile ma czasu na jego realizację, uwzględniając czas niezbędny na opracowanie sprawozdania. Im więcej elementów będzie chciał sprawdzić, tym więcej czasu mu to zajmie. Read More

02 Maj

Ustawa wdrażająca RODO a upoważnienia do przetwarzania danych osobowych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO [ustawa wdrażająca RODO] według niektórych cofa nas o kilka lat wstecz w sposobie realizacji obowiązków związanych z ochroną danych osobowych. W zasadzie od samego początku funkcjonowania przepisów o ochronie danych osobowych, nadawanie upoważnień do przetwarzania danych osobowych było jednym z najważniejszych obowiązków administratora. Upoważnianie do przetwarzania danych zapewnia rozliczalność danych osobowych, poprzez kontrolę nad tym, kto i w jakim zakresie jest uprawniony do dostępu do danych. Przepisy nigdy dotychczas nie precyzowały w jaki sposób to upoważnienie powinno wyglądać. Administrator był jedynie zobligowany nadać stosowane upoważnienie pracownikowi przed przyznaniem mu  dostępu do danych osobowych, w formie papierowej lub elektronicznej. Upoważnienie stanowi potwierdzenie, że użytkownik otrzymał stosowne uprawnienie do przetwarzania danych od administratora. Przepisy RODO w zasadzie nic nie zmieniły w zakresie zarządzania upoważnieniami do przetwarzania danych. Zgodnie z art. 29 RODO przetwarzanie danych musi odbywać się tylko i wyłączenie na wyraźne polecenie administratora.  W celu wykazania, że polecenie zostało faktycznie wydane, administrator danych kontynuuje, tak jak to miało miejsce przed wejściem w życie RODO, nadawanie upoważnień do przetwarzania danych osobowych. Należy podkreślić, że upoważnienie przed zmianami wynikającymi z ustawy wdrażającej RODO mogło być w dowolnej formie, tzn. ustnej, wiadomości e-mail, elektronicznej, pisemnej.Jednakże administrator danych, aby wykazać, że wywiązał się z ciążącego na nim obowiązku, powinien przyjąć taką formę, która daje możliwość udowodnienia, że upoważnienie faktycznie zostało nadane. W praktyce najczęściej były stosowane upoważnienia w formie pisemnej lub elektronicznej przy użyciu specjalnego systemu informatycznego. Szczególnie w dużych organizacjach upoważnienia elektroniczne doskonale się sprawdzały, pozwalając skrócić czas zarządzania upoważnieniami i uprawnieniami pracowników, a także skutecznie przekazując informacje o wszelkich zmianach upoważnienia, osobom nadzorującym ochronę danych osobowych. Dzięki takim systemom pracownicy kadr mogli z dużym wyprzedzeniem przekazać informację, że pracownik planuje dłuższy urlop, złożył wypowiedzenie lub będzie zwolniony. Podobnie można było dzięki systemowi informatycznemu zarządzać przyjęciami nowych pracowników.  Ustawa wdrażająca RODO wprowadzając zmiany w prawie 170 ustawach zmodyfikowała także kwestie dotyczące nadawania upoważnień. W przepisach sektorowych pojawiły się zapisy obligujące administratora danych do nadawania pracownikom upoważnienia na piśmie do poszczególnych kategorii danych, jak dane związane z rekrutacją, zatrudnieniem, czy wypłatami z zakładowego funduszu świadczeń socjalnych. Read More