19 sty

Przetwarzanie danych przez poradnie psychologiczno-pedagogiczne bez zgody

Pisałam ostatnio o problematycznej zgodzie na przetwarzanie danych osobowych w związku z kasami zapomogowo pożyczkowymi, wymaganej ustawą, jednak warto podkreślić, że podobnych problematycznych zgód, można znaleźć więcej w przepisach. I za każdym razem taka obligatoryjna zgoda, gdy przetwarzanie danych jest wyraźnie uregulowane w przepisach, stwarza więcej problemów, niż daje korzyści. Przykładem może być konieczność pozyskiwania zgody wnioskodawcy na przetwarzanie danych przez poradnię psychologiczno-pedagogiczną, na wniosku o wydanie orzeczena lub opinii, wymaganej par. 2 ust. 6 pkt 1 rozporządzenia MEN w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych. Pomijając to, że treść zgody odnosiła się do już uchylonej ustawy z 97 roku, warto zwrócić uwagę, że w tym wypadku w ogóle nie była ona potrzebna, a mogła stanowić duży problem, w związku z prawem do wycofania zgody w dowolnym momencie. Opieranie tego przetwarzania na zgodzie, utrudniało działanie poradni i budziło wiele wątpliwości interpretacyjnych.

Zmiana została wprowadzona w wyniku wystąpienia UODO z września 2021 r. do MEN, dotyczącego problematyki zbyt słabego uregulowania w przepisach prawa kwestii związanych z przetwarzaniem danych przez poradnie. W szczególności UODO wskazało, że przetwarzanie danych powinno w tym wypadku opierać się na przepisach prawa. W związku z tym 30 listopada 2021 dokonano nowelizacji rozporządzenia, usuwając zapis dotyczący wyrażania zgody na wniosku o orzeczenie lub opinię z poradnii.

Read More
08 lis

Zgoda zleceniobiorcy na przetwarzanie danych osobowych

Jesień jest dla mnie okresem audytowym, kiedy zbieram i weryfikuję informacje o zasadach przetwarzania danych u moich klientów, dlatego ostatnio tak cicho na blogu. Zresztą u Was też jest aktywnie, bo dosłownie zasypaliście mnie we wrześniu i w październiku mailami. Niektóre z nich dotyczyły umów zleceń i kwestii legalności przetwarzania danych zleceniobiorcy.

Wasze wątpliwości w większości wynikały z faktu, że w darmowych wzorach pobranych przez Was z Internetu, pojawia się „zgoda na przetwarzanie danych w celu zawarcia umowy”. Zadawaliście sobie i mi pytanie: a co jeżeli ta osoba odwoła zgodę? Zgodnie z art. 7 RODO, w takim wypadku należy dane zleceniobiorcy zebrane w celu, w jakim wyraził zgodę (zatem w celu realizacji umowy) usunąć. Ale to przecież nie ma sensu. Nie ma. Jeżeli w Waszym wzorze umowy zlecenia lub rachunku zleceniobiorcy widnieje zgoda zleceniobiorcy na przetwarzanie jego danych w celu realizacji umowy lub w celu rozliczeń lub w celu odprowadzenia podatku dochodowego – jest to szkodliwy błąd. O tym jak bardzo może taki błąd być bolesny przekonała się grecka spółka PWC, która prosiła swoich pracowników o wyrażenie zgody na „przetwarzanie danych w celach związanych z zatrudnieniem”. Zgoda oczywiście była niezbędna, do zawarcia umowy (!). W związku z przyjętym rozwiązaniem, pracownicy po zakończeniu stosunku pracy, cofali swoją zgodę na przetwarzanie danych i spotykali się z odmową zrealizowania żądania, gdyż na pracodawcy ciążyły obowiązki wynikające z przepisów prawa pracy. Grecki organ nadzorczy (odpowiednik polskiego UODO), po zapoznaniu się ze skargami byłych pracowników spółki, uznał że uzyskiwanie zgody na przetwarzanie w tym wypadku wprowadzało osoby, których dane dotyczą w błąd, gdyż obiecywano im prawa przysługujące z RODO, które im nie przysługiwały.

Read More
26 kwi

Organizowanie szkoleń a RODO

Wielu moich klientów prowadzi szkolenia. Zresztą sama to robię, bardzo intensywnie, bo naprawdę lubię kontakt z ludźmi. Wbrew pozorom zorganizowanie szkolenia, to naprawdę ciężka praca po stronie organizatora. Podzielę się z Wami moim doświadczeniami, a także radami w zakresie przeprowadzenia szkolenia zgodnie z RODO.

Po pierwsze i najważniejsze – pamiętaj, że z uczestnikiem szkolenia zawierasz umowę. Jeżeli zgłasza on swój udział w Twoim szkoleniu, musi zaakceptować warunki udziału, w tym warunki płatności oraz wymagania techniczne. Jako organizator realizujesz na jego rzecz świadczenie, zgodne z przedstawionymi warunkami. Wobec tego dochodzi do zawarcia pomiędzy organizatorem a uczestnikiem umowy na szkolenie. Jest zatem spełniony warunek legalizujący przetwarzanie danych uczestnika, w zakresie niezbędnym do udziału w szkoleniu, zgodnie z art. 6 ust. 1 lit. b RODO. A mimo tego wielu organizatorów szkoleń woli prosić uczestnika o zgodę na przetwarzanie jego danych 🙁 Czy to ma sens? Moim zdaniem żadnego, a zgoda w takim wypadku jest szkodliwa. Przecież jeżeli proszę kogoś o zgodę, to wkracza mi cały arsenał praw wynikających z przepisów RODO, z wycofaniem zgody na czele. Zrealizowanie żądania wycofania zgody może okazać się niemożliwe, a brak realizacji żądania uczestnik może zgłosić do UODO. Jak bardzo problematyczna jest zgoda uzyskiwana wtedy, gdy nie jest potrzebna, przekonał się grecki PWC, który postanowił prosić pracowników o zgodę na przetwarzanie ich danych do celów związanych z zatrudnieniem (!). Po zakończeniu pracy, byli pracownicy cofali wyrażoną zgodę, a ich były pracodawca odmawiał zrealizowania żądania, bo przepisy prawa pracy wymagały od niego dalszego przetwarzania. Byli pracownicy postanowili złożyć skargę do greckiego organu nadzorczego, który ukarał spółkę PWC karą w wysokości 150 tys. Euro (https://rodoinspektor.eu/2019/07/31/wpis9/). Żartów nie ma.

Read More
18 wrz

Obowiązek informacyjny wobec członków wspólnoty mieszkaniowej

Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.

Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.

1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.

2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. Read More

28 lut

Zgoda jako „świadome działanie”

W zasadzie ogólne rozporządzenie o ochronie danych osobowych [RODO] nie zmieniło nic w zakresie sposobu uzyskiwania zgody na przetwarzanie danych, gdyż w naszej ustawie o ochronie danych osobowych już od samego początku zdefiniowano „zgodę, jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (uchylona uodo: Dz.U.2016 poz. 922). Jednakże to sformułowanie definicji zgody powodowało problem z interpretacją, jaką formę powinno przyjąć oświadczenie woli, a także jakie dane osoby, której dane dotyczą należy pozyskać biorąc od niej zgodę.

RODO, a szczególnie preambuła, przyniosło odpowiedzi na pytanie, jak skutecznie pozyskiwać pozyskiwać zgodę i kiedy jest ona uważana za domniemaną lub nieważną.

Formy wyrażenia zgody

Zgoda może być (motyw 32 RODO):

  • złożona na piśmie
  • ustna
  • wyrażona poprzez świadomy gest
  • elektroniczna, np. poprzez zaznaczenie checkbox lub kliknięcie „zgadzam się”

Świadomy gest jest bardzo istotnym aspektem wyrażenia zgody, który może ułatwić administratorom oraz osobom, których dane dotyczą wzajemną komunikację i współpracę. Wyobraźmy sobie sytuację, że podczas dużego wydarzenia, organizator podczas rejestracji uczestników przedstawi im prosty regulamin imprezy, z którego będzie wynikało, że wydarzenie będzie dokumentowane fotograficznie oraz filmowo. Uczestnik może wyrazić zgodę na rozpowszechnianie jego wizerunku na zasadach określonych w regulaminie na przykład poprzez wybór koloru smyczy lub silikonowej bransoletki. Są to proste i skuteczne rozwiązania, które później pozwalają administratorowi dokonać łatwego wyboru zdjęć uczestników, którzy wyrazili świadomą zgodę. Podobnie zamieszczenie przed tak zwaną „ścianką” tablicy informacyjnej, że pozowanie oznacza zgodę na rozpowszechnianie wizerunku. Należy jednak pamiętać, że administrator ma obowiązek udowodnienia, że rzeczywiście uczestnik wyraził zgodę. Istotne jest także uwzględnienie zasady ograniczonego czasu przechowywania/rozpowszechniania/wykorzystywania danych pozyskanych na podstawie zgody. Artykuł 5 RODO wskazuje, że dane powinny być przechowywane przez rozsądny okres czasu, do wyczerpania celu przetwarzania. Nie należy bać się usuwania danych zebranych do celów promocyjnych. Po pewnym czasie ich atrybut promocyjny zupełnie wygasa, a koszty przechowywania materiałów oraz dowodów pozyskania zgody rosną. Read More

20 cze

Umowy zlecenia a RODO

Czy zgodnie z RODO należy prosić zleceniobiorcę o wyrażenie zgody na przetwarzanie jego danych osobowych? Jak powinna brzmieć zgoda zleceniobiorcy i gdzie należy ją umieścić? Jak wypełnić obowiązek informacyjny wobec niego?

To tylko kilka wątpliwości, które przewijają się w Waszych mailach do mnie w związku ze zmianami wynikającymi z RODO. Przede wszystkim chciałabym podkreślić, że RODO to nie rewolucja, a ewolucja dotychczasowych zasad ochrony danych osobowych i w zakresie legalności przetwarzania danych osobowych zleceniobiorców nic nie uległo zmianie. Read More

05 cze

Czy trzeba prosić o zgodę na przetwarzanie danych w związku z wystawieniem faktury

Na wstępie należy podkreślić, że zgoda to nie jedyna podstawa do legalnego przetwarzania danych. Tak naprawdę po zgodę sięgamy dopiero wtedy, gdy nie mamy innej przesłanki legalizującej przetwarzanie. Skupię się na danych zwykłych, czyli takich danych, które są zbierane do wystawienia faktury.

Zgodnie z art. 6 RODO:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; Read More

17 wrz

Czy dyrektorzy szkół biorących udział w turnieju mogą wyrazić zgodę na przetwarzanie danych uczestników?

Zupełnym przypadkiem trafiłam na regulamin turnieju, w którym znalazłam taki przedziwny zapis:

Dyrektorzy szkół drużyn biorących udział w Turnieju wyrażają zgodę na przechowywanie i przetwarzanie danych osobowych przez organizatora (zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. nr 101, poz. 926). Informacje zawierające dane szkoły: adres, nr telefonu, e-mail służą tylko do celów związanych z organizacją Turnieju.

Co ciekawe organizator stwierdził, że zapis jest „w porządku”, bo:

  1. Dyrektorzy szkół zbierają zgody na przetwarzanie danych osobowych uczniów;
  2. „Wszyscy” mają podobne zapisy w regulaminach.

Idąc tym tropem zapytałam wujka Google, czy rzeczywiście „wszyscy mają takie zapisy” i okazało się, że może nie wszyscy, ale bardzo wielu. Jeżeli wyszukacie to zdanie, będziecie wiedzieć o czym mówię. Organizatorami są podmioty publiczne, co potwierdza obawy o to, że są one nieprzygotowane do przetwarzania danych osobowych zgodnie z przepisami o ochronie danych (o zmianach wynikających z RODO nawet nie wspominam). Read More

09 wrz

Obowiązki związane z prowadzeniem bloga, serwisu lub sklepu internetowego

Coraz więcej osób decyduje się prowadzić swój biznes lub rozwijać hobby w Internecie. Niektórym wystarczy prosty blog wraz z możliwością zostawiania komentarzy, inni świadczą usługi o bardzo szerokim spektrum. To że nie zarabia się na serwisie, nie oznacza że nie trzeba spełnić pewnych obowiązków wynikających z przepisów o ochronie danych osobowych, prawa telekomunikacyjnego czy ustawy o świadczeniu usług elektronicznych. Zwłaszcza, że nieznajomość prawa nie zwalnia z odpowiedzialności.

Po pierwsze regulamin

Jest to rzecz, do której wiele osób nie przywiązuje wagi, a jednak jeżeli poprzez serwis świadczymy jakiekolwiek usługi, to powinniśmy opracować regulamin tej usługi. Przede wszystkim, aby zabezpieczyć własny interes prawny. Poza tym jest to obowiązek wynikający wprost z ustawy o świadczeniu usług drogą elektroniczną: Read More

02 sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych:  zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO:  Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. https://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More