Author Archives: Sylwia Czub

W listopadzie ze zdumieniem odkryłam, że 11 października weszła w życie ustawa o kasach zapomogowo-pożyczkowych. Wcześniej bardzo ogólne zasady funkcjonowania kas były określone w ustawie o związkach zawodowych i nie da się ukryć, że była naprawdę duża potrzeba wprowadzenia odrębnej ustawy regulującej zasady funkcjonowania kas. Przepisy zmieniają się bardzo dynamicznie i czasami łapię się na tym, jak w przypadku kasy, że nie odnotuję jakieś zmiany. Tym bardziej, że jako IOD nie siedzę z nosem w przepisach, tylko zajmuję się monitorowaniem zgodności z RODO, więc po określone przepisy sięgam, gdy są mi potrzebne do zweryfikowania legalności przetwarzania danych w ramach określonego przepisu.

Przypuszczam, że wspomniana ustawa o kasach zapomogowo-pożyczkowych (ustawa o KZP) będzie podlegała licznym nowelizacjom, bo już dzisiaj widać potrzebę zmian, więc weź proszę na to poprawkę i po przeczytaniu tego wpisu sięgnij do tekstu ustawy, żeby sprawdzić, czy nie zostały w niej wprowadzone istotne zmiany. Oczywiście w tym wpisie odnoszę się do kwestii ochrony danych osobowych 🙂

Administrator danych

Zgodnie z ustawą o KZP, administratorem członków kasy, poręczycieli oraz innych osób uprawnionych jest kasa zapomogowo-pożyczkowa (art. 43 ust. 7 ustawy). Jest to bardzo ważna informacja dla zarządu kasy działającej przy określonym pracodawcy. Nie ma znaczenia, że kasa działa na terenie zakładu pracy, że korzysta z zasobów administracyjnych pracodawcy, to kasa jest administratorem danych, a zarząd kasy ponosi odpowiedzialność za zapewnienie przetwarzania danych zgodnie z RODO.

Pracodawcy i szkoły mogą zorganizować u siebie szczepienia przeciwko COVID-19. Niestety aktualne na dzień tworzenia tego wpisu przepisy nie regulują uprawnienia i zasad przetwarzania danych osobowych, na te potrzeby. Na stronach rządowych zostały udostępnione jedynie deklaracje przystąpienia do szczepienia, z których może skorzystać administrator. Nie ma natomiast ani słowa o obowiązkach informacyjnych wobec osobób, które zgłoszą chęć udział w szczepieniach. A te należy, wypełnić. W zasadzie nie sposób powołać się w tym wypadku na wyłączenia od obowiązku informacyjnego przewidziane w art. 13 ust. 4 lub art. 14 ust. 5 RODO.

W związku z licznymi pytaniami, jaka jest podstawa przetwarzania danych osób deklarujących chęć udział w szczepieniach organizowanych przez pracodawców / szkoły, a także jak długo należy te dane przechowywać, postanowiłam przygotować dla Was przykładową klauzulę informacyjną. Rekomenduję, aby dołączyć ją do deklaracji szczepienia, aby każda osoba, które dane dotyczą miała możliwość zapoznania się z jej treścią.

Do wpisu zainspirował mnie mem, poprzez który autor zastanawiał się, jak wyglądałoby zdjęcie ślimaka w prasie, gdyby trafił do więzienia. Intuicyjnie chcielibyśmy zasłonić mu górną część twarzy, ale jego oczy znajdują się przecież o wiele wyżej. Tylko czy zakrycie oczu znajdujących się na szczycie czułek ma sens, jeśli cała „twarz” jest poniżej? Sytuacja w zasadzie jest patowa, bo każde z rozwiązań jest nieskuteczne. Właśnie tak bardzo często wygląda anonimizacja w praktyce, która zaczyna i kończy się na dobrych chęciach. Efekt pracy pozostaje jednak nieskuteczny.

W tym wpisie postaram się wytłumaczyć na czym polega anonimizacja, a także pokazać, jak skutecznie ją wykonać. Skupię się na dwóch aspektach anonimizacji: obróbce graficznej oraz analizie tekstu. Anonimizacja to takie działanie, które doprowadza do skutecznego i nieodwracalnego uniemożliwienia zidentyfikowania osoby fizycznej. Oznacza to, że raz wykonana anonimizacja usuwa wszelkie dane osobowe z dokumentu, pliku lub systemu. Nie można później już tych danych w żaden sposób odzyskać lub powiązać z osobą fizyczną.

W dzisiejszych czasach anonimizacja jest coraz większym wyzwaniem ze względu na postęp techniczny. Kilka przypadkowych informacji wyłowionych z tekstu i wrzuconych w wyszukiwarkę, może pozwolić zidentyfikować jednoznacznie konkretną osobę. Doświadczyłam tego wiele lat temu na własnej skórze, gdy nowo poznanej osobie powiedziałam, że mam na imię Sylwia, organizacja, w której pracuję mieści się w Pałacu Kultury i Nauki i prowadzę szkolenia z ochrony danych osobowych. Mój rozmówca wyjął telefon i po minucie odnalazł mnie w Internecie. Nie prowadziłam wtedy bloga, nie byłam rozpoznawalna, nie było zbyt wielu moich zdjęć w Internecie. A jednak zostałam bardzo szybko odnaleziona. Wtedy zrozumiałam, co oznacza „pośrednia identyfikacja” oraz jak trudno jest być dzisiaj anonimowym.

Być może pamiętacie sprawę przetwarzania danych osobowych dzieci w jednej ze szkół podstawowywch, w związku z weryfikacją opłacenia przez ich rodziców obiadów. Szkoła zastosowała urządzenie, którego system powiązywał dane dziecka w postaci odcisku palca z informacją o dokonaniu płatności. W momencie wchodzenia na stołówkę dziecko przykładało palec do urządzenia, które potwierdzało lub nie, że opłata została wniesiona. Rozwiązanie służyło zniwelowaniu problemu poprzedniego systemu opartego na kartach magnetycznych, które dzieci bez przerwy gubiły i w związku z tym musiały czekać w kolejce przed stołówkę na sprawdzenie informacji o płatności przez nauczyciela, który miał przy sobie wydrukowaną listę.

Szkoła zaproponowała rodzciom nowe rozwiązanie, które miało przyśpieszyć wydawanie dzieciom posiłków, zastrzegając że zgoda na nie jest w pełni dobrowolna. Jeżeli rodzic nie wyrazi zgody, dziecko będzie weryfikowane ręcznie, poprzez nauczyciela z listą. W praktyce okazało się, że dzieci, których rodzice wyrazili zgodę na biometrię, były weryfikowane jako pierwsze, natomiast te, których rodzice się nie zgodzili, musiały czekać w kolejce. Prezes UODO uznał, że w tym wypadku dochodziło do nierównego traktowania dzieci. Tym samy podważył dobrowolność zgody rodziców, którzy jego zdaniem, czuli się zmuszeni do zgodzenia się na biometrię i nałożył na szkołę pieniężną karę finansową w wysokości 20 tys. złotych.

Decyzja UODO została zaskarżona przez szkołę do Wojewódzkiego Sądu Administracyjnego, który ją uchylił. WSA uznał, że wyrażenie zgody przewidziane w art. 9 ust. 1 lit. a RODO legalizuje pobieranie i przetwarzanie danych biometrycznych dzieci. Warto zwrócić uwagę na to, że WSA uznał, że to nie UODO powinno oceniać ważność zgody, a w swojej decyzji organ nadzorczy podszedł do zagadnienia zbyt rygorystycznie.

Wydawałoby się, że realizowanie obowiązków informacyjnych to najprostsza podstawa z podstaw. Wystarczy wziąć art. 13 (lub odpowiednio 14) RODO i punkt po punkcie wypisać poszczególne informacje. Jednak teoria i praktyka to dwie różne rzeczy. Powiedzmy sobie szczerze, nie jest łatwo zrobic dobrą klauzulę informacyjną. Wymaga to wiedzy i doświadczenia. Gdyby było to takie proste, nie spotykalibyśmy na każdym kroku źle zrobionych klauzul.

Jeżeli nie intersuje Cię, jak zrobić dobrą klauzulę, a wolisz, aby ekspert zrobił ją za Ciebie, napisz do mnie. Koszt standardowej klauzuli to zazwyczaj ok. 30 zł netto (bardziej skomplikowane są trochę droższe, ale nadal nie jest to majątek). Kontakt

Absolutnym punktem wyjścia, o którym zapominają osoby tworzące (lub sprawdzające) klauzule informacyjne jest sięgnięcie do przepisów RODO. Serio, ja robię to za każdym razem, bo przekonałam się wielokrotnie, że bez tego bez przerwy musiałam coś poprawiać lub dopisać. Zatem zacznij od otwarcia przepisów RODO.

Po drugie klauzula ma być skierowana do konkretnej kategorii osób. Dobijają mnie klauzule dla wszystkich i we wszystkich możliwych celach, których pełno jest w Internecie. Takie klauzule nic nie wnoszą i nie są zgodne z RODO, chyba że potrafisz to zrobić w taki sposób, aby rozdzielić poszczególne cele, podstawy, czasy przetwarzania, odbiorców danych, itd. dla poszczegolnych kategori odbiorców – taką klauzulę „dla wszystkich” ma Bank Millennium, ale jest ona tak zrobiona, że można bez problemu odnaleźć informacje dotyczące danego przetwarzania. Niestety większość klauzul to pomieszanie z poplątaniem. Dlatego może jednak zrób to prościej: jedna klauzula dla jednego celu przetwarzania lub jedna klauzula dla jednej kategorii osób, np. zleceniobioców, kandydatów do pracy, odbiorców treści marketingowych.

Forma klauzuli i kolejność przekazywanych informacji nie ma znaczenia. Klauzula nie musi być w punktach, nie musi być w tabeli. Ważne, żeby była przejrzysta i czytelna. Jeżeli ją drukujesz, pamiętaj aby nie była napisana czcionką mniejszą niż 8 pkt.

Wskazując administratora, pamiętaj aby podać kontakt do niego. Najlepiej zarówno adres jak i e-mail i/lub telefon. Jeżeli firma jest zarejestrowana pod innym adresem, niż adres korespondencyjny, wskaż adres korespondencyjny.

Jeżeli dane pozyskałeś z innego źródła, niż osoba której dane dotyczą, pamiętaj że poza wskazaniem tego źródła, należy także wskazać „kategorie odnośnych danych”. Częstym błędem jest pomijanie tej informacji, mimo że wymaga jej art. 14 RODO. Zatem informujesz, że dane pozyskałeś od XYZ w zakresie imienia, nazwiska, danych kontaktowych, itd.

Mam dla Was świetną wiadomość – Wielka Brytania (a w zasadzie zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej) została uznana przez Komisję Europejską za państwo dające wystarczające gwarancje ochrony danych osobowych. Ponieważ dotyczas obowiązywały tam przepisy RODO, w zasadzie wszyscy spodziewali się, że taka decyzja nastąpi. Jednakże fakt, że jej wydanie trwało tak długo nie ułatawiał biznesów z kontrahentami z wysp. Ok, ale na pewno Was interesuje tylko i wyłącznie to, co właściwie oznacza taka decyzja i jak wpływa na Wasze biznesy 🙂

W krótkich żołnierskich słowach: każde przekaznie danych do firmy z Wielkiej Brytanii realizujecie na takich samych zasadach, jak przekanie danych do firmy z Polski, z zastrzeżeniem, że trzeba o nim wspomnieć w obowiązku informacyjnym, gdyż jakby nie było jest to państwo trzecie w rozumieniu przepisów RODO.

Do napisania tego wpisu zainspirował mnie Prezes UODO i jego opinia dotycząca ustalania limitu osób na imprezach, gdzie osoby zaszczepione przeciwko COVID-19 nie wliczają się do limitu, a także wasze bardzo liczne pytania. Mam wrażenie, że jest tak, że my, „ludzie od RODO”, mówimy jedno, a ludzie słyszą drugie. Z opinią naprawdę się zgadzam, bo sama doszłam do tych wniosków już dawno. A nawet przygotowywałam klientom (hotelom, agencjom reklamowym, domom kultury) odpowiednie procedury i formularze, które umożliwiają im zgodnie z RODO zapytać o zaszczepienie (jeżeli potrzebujesz wspracie w tym zakresie, napisz do mnie).

Zanim przejdziesz dalej, przeczytaj zacytowaną na początku opinię UODO, najlepiej dwa razy. I zastanów się, czy możesz, czy nie możesz pytać o zaszczepienie. Jeżeli masz wątpliwości, wyjaśniam.

Po pierwsze, aby w ogóle móc przetwarzać dane o zaszczepieniu, czyli zadać pytanie, musisz mieć faktyczny interes prawny. Czyli to pytanie musi czemuś konkretnemu służyć. Nie można pytać z ciekawości. Faktyczny cel w pytaniu o zaszczepienie mają podmioty, które muszą stosować ograniczenia wynikające z rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, w którym jest wskazane, że w określonych sytuacjach do limitu osób, nie wlicza się osób zaszczepionych. Zatem jest faktyczny, rzeczywisty powód do ustalenia, czy ktoś jest zaszczepiony. I tu zaczynają się schody.

Na wstępie tego wpisu muszę zazanczyć, że przepisy dotyczące zapobiegania i zwalczania choroby COIVD-19 zmieniają się na tyle dynamicznie, że w momencie czytania przez Ciebie tego wpisu pewne rzeczy mogły ulec zmianie (np. limity osób, obowiązek noszenia masek). Zatem sięgnj do przepisów, które przywołuję, aby upewnić się jaki jest stan faktyczny, na dzień gdy chcesz podjąć jakieś działanie.

Omówię temat pytania o zaszczepienie przeciwko COVID-19 w kontekście relacji pracodawca – pracownik, a także organizator przedstawienia artystycznego – uczestnik. Zacznę od tego, że szczepienie przeciwko COVID-19 jest szczepieniem ochronnym i w tym momencie nieobowiązkowym. Nie stanowi warunku podjęcia pracy, czy udziału w jakimś wydarzeniu. Zatem co do zasady nie ma podstawy o uzyskiwanie od osoby, której dane dotyczą informacji o tym, czy przeszła szczepienie, czy nie. Jedakże w pewnych okolicznościach, opierając się na obowiązujących przepisach prawa, będzie przysługiwać uprawnienie do uzyskania tej informacji. Przepisy prawa, które są dla Was punktem wyjścia w tym zakresie to:

• ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz.U. 2008 nr 234 poz. 1570 ze zm.);
• przepisy wykonawcze do tejże ustawy, w tym momencie będę przywoływać rozporządzenie Rady Ministrów z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U. 2021 poz. 861) ze zmianami do tego rozporządzenia.

Koniecznie sprawdźcie aktualną treść przepisów wykonawyczych do wskazanej ustawy w momencie w zakresie aktualnych ograniczeń związanych z COVID-19. Przechodząc do konkretów:

Pracodawca

• W większym zakładzie pracy może przeprowadzić anonimowe ankiety dotyczące stanu zaszczepienia personelu, z zastrzeżeniem że udzielenie odpowiedzi jest dobrowolne;
• Może przyznać płatny dzień wolny osobom w dniu szczepienia pracownika, na podstawie jego oświadczenia o przyjęciu w tym dniu szczepionki.