Dane osobowe Rodo

FAQ

47
Podstawowe pojęcia RODO
Co to są dane osobowe?

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

47
Podstawowe pojęcia RODO
Czy osoba prawna ma dane osobowe?

Nie, dane osobowe odnoszą się tylko do żyjących osób fizycznych. RODO nie dotyczy więc przetwarzania danych dotyczących przedsiębiorców będących osobami prawnymi, w tym firmy (nazwy) i formy prawnej oraz danych kontaktowych osoby prawnej. W przypadku osoby fizycznej prowadzącej działalność gospodarczą dane takiej osoby są uważane za dane osobowe podlegające ochronie.

47
Podstawowe pojęcia RODO
Co to jest przetwarzanie danych?

Przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Z praktyki:

Gromadzenie danych osobowych np. w archiwalnej poczcie e-mail jest uważane za przetwarzanie danych osobowych.

47
Podstawowe pojęcia RODO
Kto jest administratorem danych?

Administratorem danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

47
Podstawowe pojęcia RODO
Jaka jest różnica pomiędzy administratorem i podmiotem przetwarzającym dane?

Administrator jest podmiotem, który samodzielnie ustala cele i sposoby przetwarzania danych. Natomiast podmiot przetwarzający dane osobowe przetwarza dane w imieniu administratora, na podstawie zawartej z nim umowy oraz na zasadach ustalonych i opisanych w umowie. RODO wskazuje, jakie podstawowe elementy powinna zawierać umowa o powierzeniu przetwarzania danych.

47
Podstawowe pojęcia RODO
Czy trzeba rejestrować zbiory danych?

Na podstawie obecnie obowiązujących przepisów nie ma już obowiązku rejestracji zbioru danych.

47
Podstawowe pojęcia RODO
Co to jest pseudonimizacja i anonimizacja danych, jakie są pomiędzy nimi różnice?

Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można było ich przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Proces anonimizacji polega na takim przetworzeniu danych, aby nie istniała możliwość użycia tych danych do zidentyfikowania osoby fizycznej przez administratora. Anonimizacja jest procesem nieodwracalna (w przeciwieństwie do pseudonimizacji) i jeżeli została przeprowadzona skutecznie, nie będzie już możliwości przetwarzania danych osobowych, które zostały zanonimizowane.

47
Podstawowe pojęcia RODO
Co to są szczególne kategorie danych (dane wrażliwe)?

Szczególne kategorie danych (tzw. dane wrażliwe) obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

47
Podstawowe pojęcia RODO
Co to jest profilowanie i kiedy konieczna jest uzyskanie zgody na profilowanie?

Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Samo profilowanie nie wymaga uzyskania zgody, natomiast wykorzystanie go do automatycznego podejmowania decyzji w oparciu o wyniki profilowania, zgody już wymaga.

47
Podstawowe pojęcia RODO
Co oznacza prawo do bycia zapomnianym?

Prawo do bycia zapomnianym oznacza, iż osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe oraz podjąć działania, aby dane zostały usunięte także przez podmioty, którym te dane przekazał.

94
Zasady przetwarzania danych
Kiedy można przetwarzać szczególne kategorie danych?

Szczególne kategorie danych mogą być przetwarzane w następujących przypadkach:

  • osoba, której dane dotyczą wyraziła zgodę;
  • przetwarzanie tych danych jest niezbędne do wypełnienie przez administratora obowiązków w zakresie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą (np. w celu udzielenia pomocy medycznej);
  • przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej przez fundację, stowarzyszenie lub inny niezarobkowy podmiot, z zachowaniem odpowiednich zabezpieczeń światopoglądowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty;
  • przetwarzanie dotyczy danych osobowych, które zostały upublicznione przez osobę, której dotyczą;
  • przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym;
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
  • przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
94
Zasady przetwarzania danych
Jaki organ jest obecnie organem nadzorczym w zakresie danych osobowych?

Obecnie, zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych, organem nadzorczym w zakresie danych osobowych jest Urząd Ochrony Danych Osobowych.

94
Zasady przetwarzania danych
Czy legalne jest zbieranie danych z internetu? Pod jakimi warunkami?

Tak, dopuszczalne jest zbieranie danych z publicznie dostępnych źródeł, np. z internetu lub publicznie dostępnych rejestrów (np. KRS). Dane zebrane w ten sposób mogą być przetwarzane, jednak tylko dla w celu wynikającym z okoliczności, w związku z którymi dane te zostały upublicznione.

Przykładowo, dane kontaktowe do rzecznika ds. PR spółki mogą być przetwarzane w celu skontaktowania się z rzecznikiem w sprawach dotyczących tej spółki, ale już nie w celu przesłania mu informacji dotyczącej jego sfery prywatnej.

95
Obowiązki administratora danych
Na czym polega ustalenie podstawy prawnej przetwarzania danych?

Każde przetwarzanie danych osobowych musi mieć podstawę prawną, jej ustalenie polega na wskazaniu przypadków lub czynności, których spełnienie legalizuje proces przetwarzania danych.

Zgodnie z art. 6 RODO przetwarzanie jest zgodne z prawem, gdy:

  • osoba, której dane dotyczą, wyraziła na to zgodę;
  • jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań przed zawarciem umowy;
  • jest to niezbędne do wypełnienia obowiązku prawnego;
  • nie do niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
  • jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  • jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów.
95
Obowiązki administratora danych
Jakie są podstawowe cechy prawidłowej zgody?

Oświadczenie o wyrażeniu zgody musi być jednoznaczne i musi pozwalać odróżnić je od pozostałych kwestii. Ponadto zgoda musi zostać wyrażona świadomie i dobrowolnie oraz powinna precyzyjnie określać cel przetwarzania danych oraz zakres danych, których dotyczy. Niedopuszczalne jest zbieranie zgód ogólnych lub domyślnych (np. opartych na braku reakcji).

95
Obowiązki administratora danych
Czy można udzielić zgody domyślnie?

Zgody nie można udzielić w sposób automatyczny ani domyślny. Dla ważności udzielonej zgody niezbędne jest dokonanie odpowiedniej czynności przez osobę, która wyraża zgodę, np. zaznaczenie pola, które oznacza wyrażenie zgody.

95
Obowiązki administratora danych
Od jakiego wieku i kiedy dzieci mogą samodzielnie udzielać zgody?

Zgodnie z polskim prawem dziecko, które ukończyło lat 13 może samo wyrazić zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego skierowanych bezpośrednio do dzieci (np. media społecznościowe). W przypadku dziecka poniżej 13 roku życia zgodę może wyrazić osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.

95
Obowiązki administratora danych
Jak długo można przechowywać dane osobowe?

Dane osobowe mogą być przechowywane jedynie przez okres konieczny do osiągnięcia celów, dla których zostały pozyskane. Po tym czasie dane muszą zostać usunięte.

95
Obowiązki administratora danych
Kiedy można wysłać ofertę lub materiały marketingowe bez potrzeby uzyskiwania zgody?

Nie wymaga uzyskania zgody wysyłanie ofert w ramach marketingu usług własnych przez administratora danych, który przetwarza dane w ramach wykonywania umowy. Każdy inne działania marketingowe (np. usług podmiotów powiązanych z administratorem) wymagają uzyskania zgody.

95
Obowiązki administratora danych
Jakie są dodatkowe wymogi legalności marketingu bezpośredniego?

W przypadku realizowania marketingu usług własnych poprzez środki komunikacji elektronicznej wymagana jest uzyskanie zgody na przesłanie takiej wiadomości tą drogą (art. 10 ust. 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną). Marketing bez uzyskania takiej zgody może zostać uznany za wysłanie niezamówionej informacji handlowej.

W przypadku używania dla celów marketingu bezpośredniego telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących trzeba uzyskać zgodę na przesłanie informacji tą drogą (art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne).

95
Obowiązki administratora danych
Co to jest polityka prywatności i kiedy należy ją wdrożyć?

RODO nie wprowadza wprost obowiązku wdrożenia dokumentu nazywanego „polityką prywatności”, jednak ustanawia obowiązek przekazania użytkownikowi szeregu informacji wynikających z RODO, a te najprościej przekazać właśnie w polityce prywatności. Od polityki prywatności, czyli dokumentu skierowanego do podmiotu danych, należy odróżnić „politykę bezpieczeństwa”, czyli wewnętrzny dokument, który powinien posiadać każdy administrator.

W polityce prywatności powinny znaleźć się informacje, które każdy administrator zobowiązany jest przekazać osobom, których dane przetwarza, takie jak informacje o celach i okresie przetwarzania danych oraz prawach tych osób. W dokumencie tym warto także zamieścić informacje o plikach cookies (o ile polityka dotyczy serwisu, który korzysta z takich plików).

95
Obowiązki administratora danych
Kiedy konieczne jest powołanie inspektora ochrony danych?

Inspektor danych osobowych powinien zostać powołany w następujących przypadkach:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).
95
Obowiązki administratora danych
Czy inspektorem może być podmiot zewnętrzny?

Tak. Inspektor ochrony danych może być pracownikiem administratora lub wykonywać zadania na podstawie umowy o świadczenie usług. Ważne, aby osoba, która ma być inspektorem posiadała odpowiednie kwalifikacje, a w szczególności dysponowała wiedzą na temat prawa i praktyk w dziedzinie ochrony danych oraz miała umiejętność wypełniania zadań nałożonych na nią przez RODO.

95
Obowiązki administratora danych
Kiedy trzeba prowadzić rejestr czynności przetwarzania danych?

Co do zasady każdy administrator jest zobowiązany do prowadzenia rejestru czynności przetwarzania danych. Z obowiązku tego są zwolnieni administratorzy, którzy zatrudniają mniej niż 250 osób, chyba że przetwarzanie którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • nie ma charakteru sporadycznego; lub
  • obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
95
Obowiązki administratora danych
Co oznacza obowiązek szacowania ryzyka przetwarzania danych?

W przypadku, gdy administrator przetwarza dane osobowe i w związku z tym istnieje duże prawdopodobieństwo, iż może to powodować wysokie ryzyko naruszenia praw lub wolności, administrator jest zobowiązany, przed rozpoczęciem takiego przetwarzania, dokonać oceny skutków planowanych operacji przetwarzania. W przypadku wykazania wysokiego ryzyka administrator ma obowiązek skonsultowania się, przed rozpoczęciem przetwarzania danych, z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych), który może wydać stosowne zalecenia.

95
Obowiązki administratora danych
Kiedy trzeba zgłaszać incydenty dotyczące naruszenia ochrony danych osobowych?

Administrator ma obowiązek zgłoszenia bez zbędnej zwłoki, ale nie później niż w ciągu 72 godzin, naruszenia ochrony danych osobowych. Naruszenia nie trzeba zgłaszać, gdy jest mało prawdopodobne, że naruszenie będzie skutkowało naruszeniem praw lub wolności osób fizycznych.

95
Obowiązki administratora danych
Jakie kary grożą za naruszenie przepisów RODO?

RODO przewiduje bardzo wysokie administracyjne kary pieniężne za naruszenie przepisów dotyczących ochrony danych osobowych.
Kara w wysokości do 10 milionów EURO, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przewidziana jest m.in. za:

  • niestosowanie mechanizmów privacy by design i privacy by default;
  • naruszenie obowiązków w zakresie powierzania przetwarzania danych osobowych;
  • niestosowanie odpowiednich środków bezpieczeństwa.

Kara w wysokości do 20 milionów EURO i odpowiednio do 4% całkowitego rocznego światowego obrotu może być nałożona m.in. za:

  • niestosowanie się do podstawowych zasad przetwarzania danych;
  • naruszenie praw osób, których dane dotyczą.
95
Obowiązki administratora danych
Jaką inną odpowiedzialność może ponieść administrator danych osobowych?

Za przetwarzanie danych osobowych, poza wysokimi karami pieniężnymi, grozi także odpowiedzialność karna w postaci grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch.

Dodatkowo każdy administrator danych może ponosić bezpośrednią odpowiedzialność odszkodowawczą względem osób, których dane osobowe przetwarza - na zasadach ogólnych przewidzianych w kodeksie cywilnym.

95
Obowiązki administratora danych
Czy wcześniej udzielone zgody na przetwarzanie danych są aktualne? Pod jakimi warunkami?

Zgody udzielone przed wejściem w życie RODO są aktualne, o ile spełniają wszystkie wymogi udzielania zgód określone przez RODO. Oznacza to, że administrator może przetwarzać dane na podstawie zgód, które były udzielone dobrowolnie i świadomie, a administrator jest w stanie to udowodnić.

95
Obowiązki administratora danych
Czy można uzyskać zgodę telefonicznie?

Tak, o ile będzie możliwe udowodnienie udzielenia takiej zgody w ramach zasady rozliczalności.

Z praktyki:

Uzyskiwanie zgód telefonicznie możliwe jest w przypadku, gdy rozmowy są nagrywane.

96
Udostępnianie i przekazywanie danych
Na jakich zasadach można przekazywać dane osobowe poza obszar Unii?

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, może nastąpić tylko wtedy, gdy administrator i podmiot przetwarzający lub organizacja w tym państwie trzecim zapewniają odpowiedni stopień ochrony danych.

W przypadku przekazywania danych do USA odbiorca danych powinien być podmiotem certyfikowanym w ramach porozumienia Privacy Shield (Tarcza Prywatności) lub podmiotem, które stosuje się do tzw. wiążących reguł korporacyjnych lub standardowych klauzul ochrony danych, które zapewniają adekwatny stopień ochrony.

97
Prawa podmiotów danych
Co to jest obowiązek informacyjny i kto go musi wypełniać?

Administrator podczas pozyskiwania danych osobowych od osoby, której dane dotyczą, jest obowiązany do przekazania tej osobie następujących informacji:

  • dane administratora i dane kontaktowe;
  • dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania;
  • informacja o odbiorcach danych osobowych lub o kategoriach odbiorców;
  • informacja o zamiarze przekazania danych osobowych do państwa trzeciego;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie cofnięcia zgody w dowolnym momencie;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
97
Prawa podmiotów danych
Czy zbiór wizytówek podlega RODO?

Co do zasady nie podlega. Trudno sobie wyobrazić spotkanie biznesowe bez wymiany wizytówek. Należy przyjąć, że osoba, które przekazuje nam swoją wizytówkę wyraża jednocześnie zgodę na przetwarzanie jej danych osobowych w celu podtrzymywania kontaktu. Jeżeli jednak z otrzymanych wizytówek zostanie stworzony uporządkowany zbiór, np. w celu wysyłania informacji handlowych, to wówczas powstanie kwestia zgodności przetwarzania danych osobowych z RODO.

97
Prawa podmiotów danych
Kiedy nie ma obowiązku informowania o przetwarzaniu danych?

Administrator musi spełnić obowiązek informacyjny podczas pozyskiwania danych osobowych - zarówno wtedy, gdy pozyskuje je od podmiotu danych (od osoby, której dane dotyczą) jak i od innych podmiotów. Obowiązek ten nie powstaje, gdy podmiot danych osobowych już posiada te informacje.

Ponadto, w przypadku pozyskiwania danych nie od osoby, której te dane dotyczą, obowiązku informacyjnego nie trzeba spełniać, gdy udzielenie informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, gdy dane muszą pozostać poufne albo pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego.

98
Powierzenie przetwarzania danych
Co to jest powierzenie przetwarzania danych?

Jeżeli administrator zleca przetwarzanie danych osobowych innemu podmiotowi, to mamy do czynienia z powierzeniem przetwarzania danych. Podmiot ten (procesor) przetwarza dane osobowe w imieniu administratora i na jego polecenie.

98
Powierzenie przetwarzania danych
Jakie są wymogi prawidłowego powierzenia przetwarzania danych?

Podstawowym wymogiem jest zawarcie przez administratora z procesorem umowy, której zakres szczegółowo wyznacza RODO w art. 28 ust. 3.

98
Powierzenie przetwarzania danych
Kiedy trzeba zawrzeć umowę o powierzeniu przetwarzania danych?

Umowę o powierzeniu przetwarzania danych należy zawrzeć wtedy, gdy administrator przekazuje dane innemu podmiotowi (np. w ramach outsourcingu usług) i dane mają być przetwarzane w imieniu administratora. Typową sytuacją, gdy konieczne jest zawarcie umowy o powierzeniu przetwarzania danych jest powierzenie zewnętrznemu podmiotowi świadczenia usług kadrowo-płacowych (tzw. payroll).

98
Powierzenie przetwarzania danych
Czy taką umowę trzeba zawrzeć z Pocztą Polską lub firmą kurierską?

Nie, z tymi podmiotami nie trzeba zawrzeć umowy o powierzeniu przetwarzania danych, ponieważ realizują one swoje usługi na podstawie obowiązujących przepisów prawa i same wyznaczają sposoby przetwarzania danych osobowych. Umowę trzeba będzie zawrzeć, gdy tym podmiotom wyznaczymy zadania szczególne, np. wysyłkę umów do podpisania przez klientów.

98
Powierzenie przetwarzania danych
Czy trzeba zawierać umowę z kancelarią prawniczą?

Nie, kancelaria prawnicza jest administratorem danych osobowych, a nie podmiotem przetwarzających dane na zlecenie klienta. Kancelaria (zatrudnieniu w niej prawnicy) w ramach świadczenia pomocy prawnej samodzielnie wyznacza cele i sposoby przetwarzania danych i nie działa w tym zakresie na niczyje polecenie.

Adwokaci i radcowie prawni mają też szczególne obowiązki w zakresie zachowania tajemnicy zawodowej, co jest niezbędne do prawidłowego wykonywania tych zawodów. W pewnym zakresie adwokat i radca prawny muszą wręcz być niezależni od poleceń klienta co do celów i sposobów przetwarzania danych osobowych, które zostały im przekazane lub które zebrali przy okazji świadczenia usług prawnych.

99
Dokumentacja i zabezpieczenie danych
Jakie podstawowe dokumenty wewnętrzne powinien sporządzić i posiadać administrator danych osobowych?

Administrator obowiązany jest wprowadzić Politykę ochrony danych, która powinna m.in. zawierać wzór oświadczenia o zapoznaniu się z zasadami przetwarzania danych osobowych jak również wzór upoważnienia do przetwarzania danych osobowych. Poza tymi dokumentami administrator, w warunkach określonych przez RODO, zobowiązany jest do prowadzenia rejestru czynności przetwarzania, rejestr może być prowadzony w formie elektronicznej.

99
Dokumentacja i zabezpieczenie danych
Kiedy należy udzielić upoważnienia?

Każdy administrator danych, który dopuszcza do przetwarzania danych osoby fizyczne, powinien udzielić im stosownego upoważnienia. RODO nie określa formy takiego upoważnienia, jednak powinno ono być możliwe do udokumentowania, stąd zalecana jest forma pisemna.

100
Ochrona danych osób zatrudnionych
Jaka jest podstawa przetwarzania danych osobowych pracowników?

Podstawę prawną do przetwarzania danych osobowych pracownika tworzy art. 221 par. 1 Kodeksu pracy, który zawiera wykaz danych, jakich pracodawca może żądać od kandydata do pracy. W odniesieniu do innych danych osobowych (np. wizerunku) ich przetwarzanie może się co do zasady opierać na zgodzie pracownika, chociaż należy w każdym przypadku badać, czy zachowany jest warunek dobrowolności wyrażenia zgody.

100
Ochrona danych osób zatrudnionych
Czy wobec pracownika należy spełnić obowiązek informacyjny?

Na podstawie art. 13 ust. 4 RODO można pominąć podawanie informacji m.in. o administratorze i celach przetwarzania danych, o okresie przetwarzania danych oraz o prawach podmiotu danych, gdy podmiot danych już dysponuje tymi informacjami. Można założyć, że tak będzie z reguły w przypadku pracownika, gdyż podając dane do zatrudnienia pracownik wie komu i w jakim celu podał dane.

Pracodawca powinien natomiast zadbać o przekazanie informacji o prawach pracownika jako podmiotu danych, ale te informacje mogą z kolei zostać podane w formie polityki ochrony danych osobowych, z którą każdy pracownik powinien się zapoznać przed podjęciem zatrudnienia.

101
Wykorzystywanie wizerunku pracownika
Na jakich warunkach można wykorzystywać wizerunek pracownika/współpracownika?

Generalnie podstawą do przetwarzania danych osobowych pracownika jest art. 221 Kodeksu pracy, który wskazuje katalog danych osobowych, których podania może żądać pracodawca. Ponieważ powołany przepis nie wymienia wizerunku pracownika, pracodawca potrzebuje co do zasady zgody pracownika na wykorzystanie jego wizerunku.

Nie dotyczy to sytuacji, gdy wizerunek jest niezbędny do celów związanych np. z zabezpieczeniem dostępu do zakładu pracy lub wykorzystaniem wizerunku w intranecie. Pracodawca może wówczas powołać się na prawnie uzasadniony interes administratora.

Z praktyki:

Wskazane jest, aby zgoda pracownika była udzielona w formie pisemnej i wprost wskazywała, w jakim celu i jak długo pracodawca będzie wykorzystywał wizerunek pracownika/współpracownika.

Wzory dokumentów

Zasady przetwarzania danych
Obowiązki administratora danych
Prawa podmiotów danych
Powierzenie przetwarzania danych
Powierzenie przetwarzania danych
Ochrona danych osób zatrudnionych

CDZ LEGAL CARE – portal stworzony i prowadzony przez kancelarię Chajec, Don-Siemion & Żyto

ul. Wspólna 70
00-687 Warszawa
t: +48 22 496 82 00
info@cdzlegalcare.com.pl

Informacje i wzory zawarte w CDZ Legal Care nie stanowią porady prawnej.
Kancelaria Chajec, Don-Siemion i Partnerzy nie ponosi odpowiedzialności za skutki wykorzystania tych informacji
bez uprzedniej analizy konkretnego stanu faktycznego.

POLITYKA PRYWATNOŚCI

CHAJEC, DON-SIEMION I PARTNERZY sp. k. z siedzibą w Warszawie
Sąd Rejestrowy: Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego
KRS: 0000184058, NIP: 526-27-40-114