Czy wystarczy zamieszczenie klauzuli informacyjnej na stronie internetowej ?

Ograniczenie realizacji obowiązku informacyjnego do zamieszczenia komunikatu na stronie internetowej jest dopuszczalne w sytuacji, w której dane są zbierane z innych źródeł, niż bezpośrednio od osoby, której dane dotyczą, a jednocześnie ADO jest w stanie wykazać, że przekazanie informacji wskazanych w art. 14 RODO byłoby niemożliwe lub wymagało niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO).

W sytuacji najczęściej spotykanej, gdy dane zbierane są bezpośrednio od osób, których dane dotyczą, należy przynajmniej wskazać link, pod którym w przejrzystej formie osoba, której dane są przetwarzane będzie mogła zapoznać się z przeznaczonymi dla niej informacjami. ADO musi podjąć „aktywne” działania związane z podaniem osobom wymaganych informacji.

Czy od 25 maja muszę pobierać zgody od każdej osoby, której dane przechowuję ? Czy muszę pobierać zgody na przetwarzanie danych od swoich pracowników ?

Zgoda jest tylko jedną z kilku możliwych do przyjęcia podstaw prawnych na przetwarzanie danych osobowych – w przypadku relacji pracodawca-pracownik zasadą jest, że dane osobowe pracownika przetwarzane są jako realizacją obowiązku wynikającego z przepisu prawa (przede wszystkim kodeksu pracy, prawa podatkowego i przepisów dotyczących ubezpieczeń społecznych). Jeżeli pracodawca chce wykroczyć poza tą granicę, wtedy musi znaleźć odpowiednią podstawę prawną – może nią być zgoda, jeżeli gwarantuje on realną dobrowolność, może nią być też prawnie uzasadniony interes, jeżeli uznaje pozykiwanie określo0nych informacji za obowiązkowe.

 

Inaczej mówiąc, zgody nie stosujemy wszędzie, nie stosujemy jej też „na wszelki wypadek”, a jedynie tam, gdzie jest to odpowiednie, czyli tam, gdzie wprowadzamy realną dobrowolność.

Czy muszę usuwać dane gdy klient zwróci się do mnie z żądaniem usunięcia danych ? Ile czasu mam na odpowiedź ?

Prawo do usunięcia danych (prawo do bycia zapomnianym) nie jest prawem absolutnym, istnieje ono wyłącznie w sytuacji, gdy zostanie spełniona jedna z przesłanek wskazanych w art. 17 ust. 1 lit. a-f, np. dane osobowe nie są już niezbędne do celów, w których zostały zebrane.

W przypadku relacji z klientem, podstawą prawną do przetwarzania jego danych osobowych jest niezbędność do realizacji zawartej umowy, a po jej zakończeniu prawnie uzasadniony interes w postaci zabezpieczenia się przed ewentualnymi roszczeniami do czasu upływu okresu przedawnienia – jeżeli więc przedsiębiorca ogranicza się wyłącznie do tego, co niezbędne, nie jest on zobligowany do usuwania danych na żądanie, ponieważ dysponuje ważną podstawą prawną na przetwarzanie tych danych osobowych.

Nie należy też zapominać, że przedsiębiorca jako ADO nie może czekać na to, aż ktoś zażąda usunięcia danych, ponieważ z mocy prawa jest zobowiązany by przechowywać dane osobowe jedynie tak długo, jak jest to niezbędne do realizacji celów zgodnych z przyjętymi podstawami prawnymi.

Czy przedsiębiorca zatrudniający poniżej 10 pracowników podlega pod RODO i inne przepisy o ochronie danych osobowych, czy z uwagi na ograniczoną skalę działalności jest zwolniony od obowiązku stosowania tych przepisów ?

W jednym z pierwszych projektów nowej, krajowej ustawy o ochronie danych osobowych znajdował się przepis, który przewidywał, że przedsiębiorcy zatrudniający mniej niż 250 będą zwolnieni z realizacji, między innymi części obowiązków informacyjnych.

W kolejnej wersji projektu zawężono to zwolnienie do „mikroprzedsiębiorców” a więc tych, którzy zatrudniają mniej niż 10 osób. Jednak w ostatecznej wersji projektu ustawy, który trafił do sejmu  nie było już żadnego z tych zwolnień.

Przepisy RODO stosujemy więc do przedsiębiorstw niezależnie od skali ich działalności – mimo, iż RODO w wielu miejscach odnosi się do szczególnej sytuacji mikroprzedsiębiorców – zasady stosowania przepisów pozostają te same.

Komu należy wydać upoważnienie do przetwarzania danych, czy dotyczy to także osób, które podpisują wnioski urlopowe lub np. tworzą imienne listy, harmonogramy i grafiki ?

Tak – takie osoby też powinny mieć upoważnienia – oczywiście, im na konkretnym stanowisku mniej zadań związanych z przetwarzaniem danych osobowych, tym upoważnienie może być prostsze, krótsze – najważniejsze, by jasno i precyzyjnie wskazać kto, na jakim stanowisku, do czego ma dostęp, od rzeczy bardzo prozaicznych i prostszych, po te bardziej skomplikowane. Od strony praktycznej – wskazane jest też precyzyjne określenie rodzajów oprogramowania komputerowego, baz danych itd. do których konkretna osoba ma dostęp, wskazane jest też też by od strony IT wprowadzić rozróżnienie poziomów dostępu do konkretnych programów służących do przetwarzania danych.

Czy wykaz zbiorów danych osobowych pokrywa się z zakresem rejestru czynności przetwarzania danych?

Pojęcie zbioru danych jest szersze – chodzi kierowanie się przede wszystkim celem przetwarzania, podstawą prawną, a nie fizycznym podziałem czy odrębnością. Inaczej mówiąc – jeden zbiór danych np. zbiór danych osobowych pracowników może się składać z wielu różnych kartotek, segregatorów, programów lub aplikacji – ale to są jedynie narzędzia w ramach których zbiór danych pracowników jest przetwarzany, a nie odrębne zbiory.

W praktyce, od 25 maja samo pojęcie „zbioru danych” straciło swoje dotychczasowe znaczenie (pomimo tego, że w RODO wciąż zawarta jest definicja zbioru danych), ponieważ ewidencjonować będzie trzeba czynności, operacje, procesy – w praktyce chodzi o bardzo podobny w efekt, by ustalić „co, gdzie, przez kogo, w jaki sposób, w jakim celu,  na jakiej podstawie i przez jaki okres jest przetwarzane”.

Dlatego w praktyce najważniejsze jest zrobienie inwentaryzacji – jak to będzie zrobione, to sam „rejestr czynności” będzie już tylko formalnością.

W przypadku większości firm należy przynajmniej wyróżnić zbiór danych osób zatrudnionych oraz zbiór danych osób wykonujących na rzecz firmy usługi na podstawie umów cywilno-prawnych, oraz zbiór danych osób reprezentujących podmioty nabywające od spółki towary (lub usługi), czyli klientów

Czy dane na fakturze, które trafiają do księgowości stanowią dokument zawierający dane osobowe? Czy czynności z nimi związane powinny być wskazane w rejestrze czynności przetwarzania ?

Nie każda faktura musi być dokumentem zawierającym informacje o charakterze danych osobowych – ale w praktyce należy zakwalifikować te dokumenty jako mogące zawierać dane osobowe (chociażby dlatego, że w praktyce byłoby jeszcze większym utrudnieniem „segregowanie” tych faktur, na te, które dane osobowe zawierają, i tych, na których ich nie ma). W decyzji GIODO DIS/DEC-46/12/2681 z 17 stycznia 2012 roku wprost wymieniono faktury vat jako przykład dokumentu zawierającego dane osobowe.

Czy szafa do przechowywania papierowych dokumentów zawierających dane osobowe musi być metalowa?

Nie istnieje przepis prawa, które nakazywałby stosować meble biurowe o określonej klasie – to Administrator danych sam musi podjąć decyzję, jaki rodzaj mebli biurowych stosować – po to właśnie przeprowadza się szacowanie ryzyka. Należy uwzględnić zawartość dokumentów, nasze możliwości budżetowe i najbardziej prawdopodobne w konkretnym przypadku zagrożenia.

Czy Inspektorem Ochrony danych może być osoba, która w firmie pełni funkcję informatyka lub kadrowej ?

Nie, ponieważ Inspektor Ochrony Danych Osobowych nie może działać w konflikcie interesów – wprost zostało to wskazane w wytycznych grupy roboczej art. 29 nr 243:

„(…)stanowiska w organizacji, w przypadku których dochodzi do konfliktu interesów, mogą obejmować stanowiska w strukturze kadry kierowniczej wyższego szczebla (takie jak dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. finansowych, dyrektor ds. medycznych, kierownik departamentu marketingu, kierownik działu kadr lub kierownik departamentów IT), ale również inne stanowiska na niższych szczeblach struktury organizacyjnej, jeżeli piastowanie tych stanowisk lub pełnienie tych funkcji zapewnia możliwość ustalenia celów i sposobów przetwarzania.” – s.20 Wytycznych dotyczących DPO ;WP243,pkt 3.5

Czy po 25 maja musimy zgłaszać zbiory danych osobowych do GIODO ?

Z dniem 25 maja 2018 roku zniesiony został obowiązek zgłaszania zbiorów danych, zmieniła się także nazwa organu nadzorczego – z GIODO (Generalnego Inspektora Ochrony Danych Osobowych) na PUODO (Prezesa Urzędu Ochrony Danych Osobowych). Nie należy jednak zapominać, że wprowadzone zostały nowe obowiązki w szczególności obowiązek ewidencjonowania i zgłaszania naruszeń ochrony danych, prowadzenia rejestru czynności przetwarzania oraz (dla niektórych) powołanie Inspektora Ochrony Danych Osobowych.

Jeżeli jako biuro rachunkowe w każdym miesiącu rozliczamy faktury konkretnego klienta zawierające dane osobowe jego klientów – on przekazuje te dane w postaci dokumentów, mój pracownik je przetwarza, ja je weryfikuję i wysyłam niektóre dane do urzędu a dokumenty papierowe archiwizuję, to czy muszę ten proces opisać w rejestrze czynności tylko jednorazowo czy muszę to powtarzać i uzupełniać go analogicznie za każdym razem co miesiąc z różnymi datami?

Jednorazowo. Nie tylko w rejestrze czynności z art. 30 ust. 1 RODO, ale także w rejestrze kategorii czynności (art. 30 ust. 2 RODO) jakie firma wykonuje jako procesor dla swojego klienta, który jest ADO dla swoich klientów.

Czy obowiązek informacyjny musimy wykonać jedynie w stosunku do osób, których dane będą zbierane po 25 maja 2018, czy także w stosunku do osób, których dane zostały zebrane przed 25 maja 2018 roku ?

Istnieje stanowisko, prezentowane między innymi w jednym z komentarzy do RODO które zakłada, że obowiązek informacyjny z RODO wypełniamy tylko w stosunku do osób, których dane pozyskaliśmy przed 25 maja 2018 roku, opierające się na tym, że art. 13 RODO stanowi, że musimy przekazać wymagane informacje „podczas zbierania”, a skoro moment zebrania nastąpił jeszcze podczas obowiązywania starych przepisów, to wystarczy, że wypełniliśmy obowiązek informacyjny z art. 24 starej uodo z 1997 roku.

Jednak wytyczne grupy roboczej art. 29 nr 260 wskazują, że:
„(…)prior to 25 May 2018, data controllers should revisit all information provided to data subjects on processing of their personal data (for example in privacy statements/ notices etc.) to ensure that they adhere to the requirements in relation to transparency which are discussed in these guidelines. Where changes or additions are made to such information, controllers should make it clear to data subjects that these changes have been effected in order to comply with the GDPR. WP29 recommends that such changes or additions be actively brought to the attention of data subjects but at a minimum controllers should make this information publically available (e.g. on their website). However, if the changes or additions are material or substantive, then in line with paragraphs 29 to 32 below, such changes should be actively brought to the attention of the data subject. „

Dlatego zalecamy, by wykonać obowiązek informacyjny w stosunku do wszystkich osób, których dane są przetwarzane niezależnie od tego, czy zostały pozyskane przed, czy po 25 maja 2018 w sposób zgodny już z nowymi przepisami.

Jak sformułować zgodną z RODO zgodę na przetwarzanie danych osobowych, którą klient wyrażałby w celu wykonania zawartej umowy ?

W takiej sytuacji podstawą prawną nie będzie zgoda – wszędzie tam, gdzie podanie danych jest niezbędne do zawarcia/wykonania umowy, podstawą prawną jest ta umowa, choćby jeszcze nie zawarta.

Zgoda może być podstawą prawną wyłącznie tam, gdzie istnieje faktyczna dobrowolność, czyli nie uzależniamy wykonania umowy od jej udzielenia.

W przytaczanej sytuacji potrzebna klauzula informacyjna, a nie zgoda.

Tworzymy bazę naszych potencjalnych klientów poprzez zbieranie danych z internetu, jakie obowiązki wynikające z RODO powinniśmy wykonać ?

Należy zrealizować obowiązek informacyjny z art. 14 RODO – zbieranie z innych źródeł niż osoba której dane dotyczą, (a nie 13 RODO – zbieranie bezpośrednio od osoby), to, że dane osobowe pochodzą ze źródeł powszechnie dostępnych nie oznacza, że nie podlegają one pod zasady określone w RODO. To stanowisko GIODO: https://giodo.gov.pl/317/id_art/3162/j/pl  – jeszcze na podstawie starych przepisów, ale co do swej istoty aktualne.

Należy wykonać obowiązek informacyjny chyba, że zajdą przesłanki stypizowane w art. 14 ust. 5 RODO – np. przekazanie tych informacji wymagałoby niewspółmiernie dużego wysiłku, np. trzeba by było ustalać dane kontaktowe do tych osób innymi drogami.

Jakie czynności powinny być uwzględniane w rejestrze czynności, czy każde księgowanie dokumentów ? Czy każda wystawiona lista płac/faktura, obsługa nowego klienta ?

Nie na tym polega prowadzenie rejestru czynności przetwarzania – należy w nim wyodrębnić w istocie „zespoły czynności”, jak to wskazano w wytycznych GIODO odnośnie sposobu prowadzenia rejestru czynności przetwarzania. Czynnością przetwarzania może być np. rekrutacja pracowników, negocjowanie i zawieranie umów – czyli należy to wyodrębnić na dość dużym poziomie ogólności – przy czym najważniejszym kryterium jest cel, w jakim się to odbywa. Zabezpieczeniem przed tym, że rejestr czynności zostanie podważony jako zbyt ogólny jest wyczerpująco przeprowadzona inwentaryzacja zasobów informacyjnych (data mapping).