18 Wrz

Obowiązek informacyjny wobec członków wspólnoty mieszkaniowej

Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.

Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.

1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.

2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. Read More

28 Lut

Zgoda jako „świadome działanie”

W zasadzie ogólne rozporządzenie o ochronie danych osobowych [RODO] nie zmieniło nic w zakresie sposobu uzyskiwania zgody na przetwarzanie danych, gdyż w naszej ustawie o ochronie danych osobowych już od samego początku zdefiniowano „zgodę, jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (uchylona uodo: Dz.U.2016 poz. 922). Jednakże to sformułowanie definicji zgody powodowało problem z interpretacją, jaką formę powinno przyjąć oświadczenie woli, a także jakie dane osoby, której dane dotyczą należy pozyskać biorąc od niej zgodę.

RODO, a szczególnie preambuła, przyniosło odpowiedzi na pytanie, jak skutecznie pozyskiwać pozyskiwać zgodę i kiedy jest ona uważana za domniemaną lub nieważną.

Formy wyrażenia zgody

Zgoda może być (motyw 32 RODO):

  • złożona na piśmie
  • ustna
  • wyrażona poprzez świadomy gest
  • elektroniczna, np. poprzez zaznaczenie checkbox lub kliknięcie „zgadzam się”

Świadomy gest jest bardzo istotnym aspektem wyrażenia zgody, który może ułatwić administratorom oraz osobom, których dane dotyczą wzajemną komunikację i współpracę. Wyobraźmy sobie sytuację, że podczas dużego wydarzenia, organizator podczas rejestracji uczestników przedstawi im prosty regulamin imprezy, z którego będzie wynikało, że wydarzenie będzie dokumentowane fotograficznie oraz filmowo. Uczestnik może wyrazić zgodę na rozpowszechnianie jego wizerunku na zasadach określonych w regulaminie na przykład poprzez wybór koloru smyczy lub silikonowej bransoletki. Są to proste i skuteczne rozwiązania, które później pozwalają administratorowi dokonać łatwego wyboru zdjęć uczestników, którzy wyrazili świadomą zgodę. Podobnie zamieszczenie przed tak zwaną „ścianką” tablicy informacyjnej, że pozowanie oznacza zgodę na rozpowszechnianie wizerunku. Należy jednak pamiętać, że administrator ma obowiązek udowodnienia, że rzeczywiście uczestnik wyraził zgodę. Istotne jest także uwzględnienie zasady ograniczonego czasu przechowywania/rozpowszechniania/wykorzystywania danych pozyskanych na podstawie zgody. Artykuł 5 RODO wskazuje, że dane powinny być przechowywane przez rozsądny okres czasu, do wyczerpania celu przetwarzania. Nie należy bać się usuwania danych zebranych do celów promocyjnych. Po pewnym czasie ich atrybut promocyjny zupełnie wygasa, a koszty przechowywania materiałów oraz dowodów pozyskania zgody rosną. Read More

20 Cze

Umowy zlecenia a RODO

Czy zgodnie z RODO należy prosić zleceniobiorcę o wyrażenie zgody na przetwarzanie jego danych osobowych? Jak powinna brzmieć zgoda zleceniobiorcy i gdzie należy ją umieścić? Jak wypełnić obowiązek informacyjny wobec niego?

To tylko kilka wątpliwości, które przewijają się w Waszych mailach do mnie w związku ze zmianami wynikającymi z RODO. Przede wszystkim chciałabym podkreślić, że RODO to nie rewolucja, a ewolucja dotychczasowych zasad ochrony danych osobowych i w zakresie legalności przetwarzania danych osobowych zleceniobiorców nic nie uległo zmianie. Read More

05 Cze

Czy trzeba prosić o zgodę na przetwarzanie danych w związku z wystawieniem faktury

Na wstępie należy podkreślić, że zgoda to nie jedyna podstawa do legalnego przetwarzania danych. Tak naprawdę po zgodę sięgamy dopiero wtedy, gdy nie mamy innej przesłanki legalizującej przetwarzanie. Skupię się na danych zwykłych, czyli takich danych, które są zbierane do wystawienia faktury.

Zgodnie z art. 6 RODO:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; Read More

17 Wrz

Czy dyrektorzy szkół biorących udział w turnieju mogą wyrazić zgodę na przetwarzanie danych uczestników?

Zupełnym przypadkiem trafiłam na regulamin turnieju, w którym znalazłam taki przedziwny zapis:

Dyrektorzy szkół drużyn biorących udział w Turnieju wyrażają zgodę na przechowywanie i przetwarzanie danych osobowych przez organizatora (zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. nr 101, poz. 926). Informacje zawierające dane szkoły: adres, nr telefonu, e-mail służą tylko do celów związanych z organizacją Turnieju.

Co ciekawe organizator stwierdził, że zapis jest „w porządku”, bo:

  1. Dyrektorzy szkół zbierają zgody na przetwarzanie danych osobowych uczniów;
  2. „Wszyscy” mają podobne zapisy w regulaminach.

Idąc tym tropem zapytałam wujka Google, czy rzeczywiście „wszyscy mają takie zapisy” i okazało się, że może nie wszyscy, ale bardzo wielu. Jeżeli wyszukacie to zdanie, będziecie wiedzieć o czym mówię. Organizatorami są podmioty publiczne, co potwierdza obawy o to, że są one nieprzygotowane do przetwarzania danych osobowych zgodnie z przepisami o ochronie danych (o zmianach wynikających z RODO nawet nie wspominam). Read More

09 Wrz

Obowiązki związane z prowadzeniem bloga, serwisu lub sklepu internetowego

Coraz więcej osób decyduje się prowadzić swój biznes lub rozwijać hobby w Internecie. Niektórym wystarczy prosty blog wraz z możliwością zostawiania komentarzy, inni świadczą usługi o bardzo szerokim spektrum. To że nie zarabia się na serwisie, nie oznacza że nie trzeba spełnić pewnych obowiązków wynikających z przepisów o ochronie danych osobowych, prawa telekomunikacyjnego czy ustawy o świadczeniu usług elektronicznych. Zwłaszcza, że nieznajomość prawa nie zwalnia z odpowiedzialności.

Po pierwsze regulamin

Jest to rzecz, do której wiele osób nie przywiązuje wagi, a jednak jeżeli poprzez serwis świadczymy jakiekolwiek usługi, to powinniśmy opracować regulamin tej usługi. Przede wszystkim, aby zabezpieczyć własny interes prawny. Poza tym jest to obowiązek wynikający wprost z ustawy o świadczeniu usług drogą elektroniczną: Read More

02 Sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych:  zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO:  Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. https://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More

26 Maj

Organizowanie konkursów – kompleksowe omówienie, nie tylko w kontekście RODO

Konkursy to jedna z najpopularniejszych metod na promocję podmiotu lub marki. Konkursy często robione są „na szybko”, co może pociągać za sobą negatywne konsekwencje dla organizatora, jeżeli nie zabezpieczył właściwie swojego interesu. Omówię organizowanie w kontekście szerszym niż ogólne rozporządzenie o ochronie danych osobowych (RODO), mając nadzieję, że będzie to dla Was bardziej wartościowe i łatwiejsze do wykorzystania, gdyż kompleksowe.

Konkurs czy loteria?

Mówiłam o pułapkach, pierwszą z nich jest organizowanie konkursu, który w praktyce okazuje się loterią. Bardzo ciekawy artykuł na ten temat, szeroko omawiający zagadnienie, jest tutaj. Ja natomiast powiem krótko: Konkurs wyróżnia to, że jego uczestnicy muszą wykazać się obiektywnie ocenionymi umiejętnościami, które można uznać za najlepsze (a tym samym nagrodzić w konkursie). Konkurs, w którym wszyscy wygrywają albo losuje się nagrody z dostępnej puli, nie jest konkursem tylko loterią. Loteria nie jest niczym złym, jednakże wymaga dopełnienia większej liczby formalności (zgłoszenie organom celnym), których niedopełnienie może pociągać nieprzyjemne konsekwencje, w szczególności kary finansowe. Read More

10 Maj

RODO: rozszerzona zgoda na przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych (RODO) kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówię w kolejnym wpisie, na razie skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.

Forma wyrażenia zgody

Sama definicja zgody nie uległa dużej zmianie:  jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO). Pozostawiono możliwość pozyskania ustnej zgody, dodatkowo podkreślono, że może być ona uzyskiwana elektronicznie (np. poprzez zaznaczenie odpowiednich okienek). Należy pamiętać, że w przypadku pozyskiwania zgody w innej formie niż pisemna, to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. RODO określa wprost: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (ust. 32 preambuły).Takim dowodem może być na przykład film z wydarzenia, przed którym uczestnicy zostaną zapytani o zgodę na przetwarzanie ich danych. Read More

22 Mar

Listy poparcia a dane osobowe

Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).

Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.

Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.

Read More