Category Archives: Artykuły

14 lis

Czy z notariuszem trzeba podpisać umowę powierzenia danych?

Dostałam ostatnio pytanie, czy jeżeli deweloper korzysta z usług notariusza, któremu udostępnia dane osobowe klientów na potrzeby zawarcia aktów notarialnych w związku ze sprzedażą mieszkań, to czy notariusza można uznać za przetwarzającego dane w imieniu dewelopera zgodnie z art. 28 RODO.
Oczywiście takie pytanie pojawia się zawsze, gdy przekazujemy komuś dane. Co ciekawe, sam fakt, że ktoś realizuje dla nas usługę (lub na nasze żądanie) nie przesądza o tym, że będzie podmiotem przetwarzającym. Do powierzenia dochodzi wówczas, gdy inny podmiot działa na wyraźne polecenie administratora w określonym przez niego zakresie i w określony przez niego sposób. Administrator przekazując dane do powierzenia, decyduje o tym w jaki sposób będą one przetwarzane, a zatem też o zakresie udostępnianych danych, czy czasie ich przetwarzania. W relacji deweloper – notariusz albo ogólnie klient – notariusz trudno mówić o wydawaniu poleceń, czy decydowaniu o sposobach przetwarzania danych osobowych przez dewelopera/klienta. Zasady prowadzenia działalności przez notariusza, w tym sposoby przetwarzania przez niego danych, określają przepisy ustawy z dnia 14 lutego 1991 r. Prawo o notariacie, a także przepisy na podstawie, których realizuje poszczególne czynności, tj. przepisy Kodeksu cywilnego, Kodeksu Postępowania Cywilnego, itp. Read More

06 lis

RODO a Google Analitics, Facebook oraz inne mechanizmy śledzące (odc. 2)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Jak działa analityka Google i jakie obowiązki wiążą się z korzystaniem z niej. Dlaczego prowadząc fanpage na Facebooku trzeba wypełniać obowiązki informacyjne wobec fanów i jak to zrobić. Co powinna zawierać polityka prywatności na stronie internetowej. Jak skutecznie świadczyć usługi przez Internet.

Read More

21 paź

CI OD RODO, czyli o ochronie danych bez trzymanki!

Ten pomysł chodził nam już od dawna po głowie. Szczególnie, że widzieliśmy, że nasze wspólne szkolenia, to kompletna petarda, a ludzie chcą więcej i więcej. Z tematami do rozmowy i argumentami nie było problemu, za to trudniej było zmieścić się w narzuconym z góry rygorze czasowym 😉

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Read More

07 paź

Google Analitics a RODO

Chyba najpopularniejsze narzędzie służące do generowania statystyk z odwiedzin na stronie internetowej to Google Analitics. Jest ono tak popularne, że stanowi wręcz synonim tej usługi. W mojej praktyce zawodowej spotkałam się też z tym, że bardzo często dostawcy stron internetowych domyślnie instalują GA, nawet jeżeli klient nie zamówił takiej usług, bo to jest oczywiste, że będzie chciał przeglądać statystyki z odwiedzanych stron. Tematem GA zainteresowałam się już bardzo dawno temu, gdyż z natury jestem podejrzliwa i nie wierzę, że w życiu można mieć coś za darmo. Moje podejrzenia utwierdził najpierw regulamin Google Analitics (omówię poniżej), ale także akcja Panoptykon, dotycząca analizy stron administracji rządowej i samorządowej, pod kątem wykorzystywania narzędzi śledzących użytkownika, w tym korzystania przez te strony z GA.

Tak, GA jest narzędziem zbierającym i analizującym dane użytkowników, co więcej musi być w stanie go w jakiś sposób zidentyfikować, aby wygenerować dane statystyczne. Nieważne, że ja jako administrator stron widzę tylko i wyłącznie dane statystyczne, żeby je zebrać i przetworzyć, potrzebne były jakieś dane osobowe. Pytanie jednak, czy to narzędzie jedynie mieli te dane przez chwilę, aby dać nam wynik statystyczny, czy przetwarza je i wysyła dalej, aby móc wykorzystać do szeroko pojętych celów biznesowych Google. Nie bądźmy naiwni. Jaki jest sens dawać administratorom stron za darmo tak fajnie narzędzie, jak Google Analitics, jeżeli ma nie być z tego żadnych korzyści? Współpracując na co dzień z agencjami reklamowymi korzystającymi z szerokiej gamy narzędzi służących do analizy zachowań użytkowników w Internecie w celu generowania skutecznych reklam, utwierdziłam się w przekonaniu, że GA działa bardzo podobnie. Po jakimś czasie pojawiła się aktualizacja regulaminu tego narzędzia (najprawdopodobniej zrobiona w związku z RODO), z której czarno na białym wynika, że jest to narzędzie służące do przetwarzania danych osobowych. W dodatku regulamin korzystania z tego narzędzia jest dosyć, hmmm restrykcyjny. Read More

26 wrz

Czy kara dla Morele.net oznacza, że UODO będzie teraz nakładać wysokie kary pieniężne?

Nie ukrywajmy, najpierw milion złotych za niedopełnienie obowiązków informacyjnych, teraz prawie 3 miliony za nieskuteczne zabezpieczenie danych – to robi wrażenie. Jeżeli zestawimy to z karami innych europejskich organów, np. dla British Airways (ponad 200 mln euro), Marriott International (ponad 100 mln euro), Google Inc (ponad 50 mln euro), to człowiek zaczyna się zastanawiać, czy jest sens prowadzić biznes. Czy nie jest tak, że gdy zacznie mu się powodzić, to zaraz przyjdą do niego „po pieniądze”. Na marginesie kara nałożona na Morele.net jest w pierwszej 10 najwyższych kar pieniężnych nałożonych dotychczas przez europejskie organy nadzorcze.

Najniższe kary to raptem kilkaset euro. Warto zwrócić uwagę, że od początku bezwzględnego obowiązywania RODO, wszystkie europejskie organy nadzorcze nałożyły łącznie raptem 82 kary finansowe, z czego prawie 70% nie przekracza 50 tys. euro. Myślę, że nie przesadzę stwierdzając, że kary finansowe nie stanowią głównego narzędzia karania administratorów, gdyż skala ich nakładania jest niewielka. Szczególnie, jeżeli porównamy ją z liczbą postępowań prowadzonych przez organy. Prezes UODO w tylko w okresie 25 maja – 31 grudnia 2019 roku otrzymał ok. 4,5 tys. skarg. Dodatkowo prowadził postępowania zgodnie zapowiedzianym planem kontroli. Jak na skalę działalności, liczba nałożonych kar to raptem igła w stogu siana. Analizując same decyzje administracyjne wyraźnie widać, że organ stosuje przede wszystkim nakazy. Oczywiście każdy ma swoją cierpliwość i jeżeli nakaz nie zostanie właściwie zrealizowany przez administratora, może zakończyć się karą, jak to miało miejsce w przypadku Dolnośląskiego Związku Piłki Nożnej. W tym przypadku kara wyniosła „raptem” ok. 55 tys. złotych. Jest to najlepszy dowód na to, że wysokość kary jest proporcjonalna do przychodu administratora i mały podmiot nie otrzyma kary podobnej do tej nałożonej na Morele czy Google. Read More

18 wrz

Obowiązek informacyjny wobec członków wspólnoty mieszkaniowej

Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.

Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.

1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.

2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. Read More

10 wrz

Obowiązki pracodawcy w związku z Pracowniczymi Planami Kapitałowymi

Do 25 września pracodawcy zatrudniający co najmniej 250 osób są zobligowani zawrzeć porozumienie z pracownikami w zakresie wyboru instytucji finansowej, która będzie prowadziła Pracownicze Plany Kapitałowe [PPK] w firmie. PPK będą wprowadzane stopniowo w corach mniejszych podmiotach, w związku z ciążącym na nich obowiązkiem prawnym wynikającym z ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych. Ponieważ plany kapitałowe to zupełna nowość, omówię to zagadnienie pod kątem wymagań przepisów RODO.

  1. Czy niezbędna jest umowa powierzenia z funduszem, do którego będą przekazywane dane?
    Nie, ponieważ zawarcie i realizacja umowy, w tym przekazanie danych osobowych pracowników, jest obowiązkiem prawnym ciążącym na administratorze danych w związku z przepisami ustawy o PPK. Udostępnianie danych do TFI można przyrównać do udostępniania danych do podmiotu leczniczego w związku z medycyną pracy. Podmiot leczniczy ma obowiązki wynikające z powszechnie obowiązujących przepisów prawa w zakresie przetwarzania danych pacjentów. Podobne obowiązki ciążą na TFI, który od momentu otrzymania danych pracownika będzie administratorem danych.
  2. Czy pracownicy powinni wyrazić zgodę na przetwarzanie ich danych w związku z PPK?
    Nie, przetwarzanie ich danych przez pracodawcę, jest obowiązkiem wynikającym z przepisów prawa.
  3. Czy w związku z udostępnieniem danych pracowników do funduszu, należy wypełnić wobec pracowników obowiązek informacyjny?
    Tak, ponieważ jest to nowy cel przetwarzania, o którym pracownik nie był wcześniej informowany podczas zatrudniania. Warto jednak zwrócić uwagę, że zgodnie z art. 13 ust. 4 RODO, w tym wypadku obowiązek wystarczy wypełnić w zakresie informacji, o których pracownik nie ma wiedzy, w szczególności cel i podstawa przetwarzania, odbiorcy danych oraz czas przetwarzania danych. Pracownik musi być także poinformowany o możliwości wycofania się z funduszu.
  4. Czy przekazanie danych kontaktowych pracownika do funduszu, wymaga zgody pracownika?
    Nie, ponieważ jest realizowane na podstawie obowiązku prawnego, któremu podlega pracodawca.
  5. Czy pracownikowi po wypisaniu się z funduszu będzie przysługiwało prawo do usunięcia danych?
    Nie, ponieważ prawo do usunięcia danych nie przysługuje, jeżeli administrator ma prawny obowiązek dalej przetwarzać dane osobowe. Tak będzie w przypadku danych przetwarzanych na potrzeby PPK.

Read More

20 sie

Fanpage a przepisy RODO

Europejskie organy nadzorcze dosyć skrupulatnie zaczęły badać sposoby przetwarzania danych osobowych przez takich gigantów, jak Facebook, czy Google. Przy okazji zmian związanych z przepisami RODO, postępowaniami organów nadzorczych oraz orzeczeń sądów, regulaminy i sposoby świadczenia usług przez te firmy ulegają drastycznym zmianom, za którymi większość użytkowników po prostu nie nadąża. Zresztą przeczytanie i zrozumienie skomplikowanych regulaminów, gdzie co chwilę są odnośniki do innych regulaminów i polityk prywatności, wymaga naprawdę dużej wytrwałości (wiem co mówię, ostatnio regularnie je studiuję w związku ze spieraniem klientów w korzytaniu z tych usług)!

Na początku odniosę się do najprostszej formy promocji, z jakiej korzysta wiele podmiotów, zarówno publicznych, jak i prywatnych, czyli fanpage na Facebooku. Założenie go nie wymaga skomplikowanej wiedzy, wystarczy jakiekolwiek konto na FB, kilka kliknięć, aby wskazać o czym będzie strona i już. Mało kto zdaje sobie sprawę, że pomimo tego, iż administratorem serwisu jest Facebook, to podmiot prowadzący fanpage staje się także administratorem danych.

Tych danych, które są przetwarzane w ramach fanpege, czyli:

  • dane osób, które lubią stronę,
  • komentarze zamieszczane pod postami,
  • prywatne wiadomości,
  • informacje o aktywności (kliknięcia w linki, polubienia, deklaracje udziału w wydarzeniach, udział w ankietach),
  • reakcje na reklamy,
  • czasami także dane przetwarzane w związku z konkursami.

Jeszcze do niedawna sama sądziłam, że administratorem wszystkich danych gromadzonych poprzez serwis Facebook, jest właśnie Facebook. W końcu to on udostępnia serwis, decyduje o jego funkcjach, sposobie przetwarzania danych. Jednakże nie da się ukryć, że jeżeli prowadzi się poprzez Facebook działalność komercyjną, w szczególności wyświetla reklamy lub kieruje do użytkowników posty, które mają skłonić ich do konkretnych reakcji, to o sposobach i celach przetwarzania danych, decyduje właściciel Facebooka. Read More

31 lip

Udostępnianie kopii akt osobowych na wniosek pracownika w kontekście RODO

Możliwość żądania kopii danych osobowych przez osobę, której dane dotyczą, na mocy art. 15 ust. 3 RODO jest jednym najbardziej uciążliwych obowiązków dla administratorów. Szczególnie jeżeli żądania są nadmiarowe lub wiążą się z poniesieniem dużych kosztów.

Pisałam już o tym, że Prezes UODO odniósł się do zagadnienia realizowania obowiązku wynikającego z art. 15 ust. 3 RODO w swoich decyzjach administracyjnych, podkreślając, że należy rozróżnić pojęcie „kopii danych” od „kopii dokumentu” (decyzje nr ZSPR.440.913.2018). Przepisy RODO dają osobie, której dane dotyczą prawo do uzyskania wyczerpujących informacji o zakresie i sposobach przetwarzania jej danych, w szczególności poprzez umożliwienie uzyskania kopii danych. Nie wskazują jednak w jaki sposób administrator ma realizować ten obowiązek, dając mu możliwość podjęcia decyzji o tym, czy udostępni tylko informację przetworzoną z zakresem przetwarzanych danych, czy całe kopie dokumentów papierowych lub elektronicznych.

W decyzji nr ZSPR.440.913.2018 Prezes UODO odniósł się do sposobu realizacji żądania o udostępnienie kopii dokumentacji pracowniczej, wniesionego przez byłego pracownika. Pracodawca zamiast kopii akt osobowych udostępnił informację o zakresie przetwarzanych danych, co zostało uznane przez organ za poprawne i zgodne z wymaganiami przepisów RODO postępowanie. Należy jednak podkreślić, że wydana decyzja odnosiła się do stanu prawnego z 2018 roku, więc nie mogła uwzględniać nowelizacji przepisów prawa pracy. Gdyby takie żądanie wpłynęło w dniu dzisiejszym do administratora, musiałby je rozważyć nie tylko w kontekście art. 15 ust. 3 RODO, ale także art. 94^12 kodeksu pracy, który nakłada na pracodawcę obowiązek udostępnienia kopii dokumentacji pracowniczej na wniosek pracownika, byłego pracownika lub innej uprawnionej osoby. Co więcej, przepisy rozporządzenia MRPiPS z dn. 10-12-2018 r. w sprawie dokumentacji pracowniczej regulują sposób realizacji tego żądania. W takim wypadku udostępnienie, samego zakresu przetwarzanych danych, tak jak zrobił to pracodawca, o którym mowa we wspomnianej decyzji może stanowić naruszenie przepisów prawa pracy i skutkować dla pracodawcy nieprzyjemnymi konsekwencjami. Read More

12 lip

Aktualizacja wzoru świadectwa pracy

Wakacje pełną parą, jednak zmiany w przepsiach nie dają o sobie zapomnieć. W maju weszły w życie przepisy  ustawy wdrażającej RODO, które wprowadziły kilka istotnych zmian do przepisów kodeksu pracy. Jedną  z nich była zmiana zakresu danych osobowych, do których przetwarzania jest uprawniony pracodawca:

Art. 22^1. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie
podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt
4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na
określonym stanowisku.
§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych
obejmujących:
1) adres zamieszkania;
2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu
potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i
innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest
konieczne ze względu na korzystanie przez pracownika ze szczególnych
uprawnień przewidzianych w prawie pracy;
4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała
podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę
wynagrodzenia do rąk własnych.

Wśród danych, do których przetwarzania jest uprawniony pracodawca pojawiły się dane kontaktowe, w szczególności mogą to być adres e-mail i telefon. Ustawodawca usunął możliwość żądania od przyszłego pracownika danych w zakresie imion rodziców. Jednakże dla pracodawców było to problematyczne, ponieważ obowiązujący wzór świadectwa pracy wymagał podania właśnie tych danych.

Read More