Baza wiedzy RODO

Najczęściej zadawane pytania



Definicje RODO – Artykuł 4

  Definicje:

  1.  „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  2. „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  3. „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
  4. „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
  5. „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  6. „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
  7. „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
  8. „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  9. „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;
  10. „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
  11. „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
  12. „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  13. „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
  14. „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
  15. „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
  16. główna jednostka organizacyjna” oznacza:
    • jeżeli chodzi o administratora posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organizacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;
    • jeżeli chodzi o podmiot przetwarzający posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarzającego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organizacyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia;
  17. „przedstawiciel” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia;
  18. „przedsiębiorca” oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;
  19. „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;
  20. „wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą;
  21. „organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO;
  22. organ nadzorczy, którego sprawa dotyczy” oznacza organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:
    • administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;
    • przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
    • wniesiono do niego skargę;
  23. „transgraniczne przetwarzanie” oznacza:
    • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
    • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;
  24. „mający znaczenie dla sprawy i uzasadniony sprzeciw” oznacza sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii;
  25. „usługa społeczeństwa informacyjnego” oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 (1);
  26. „organizacja międzynarodowa” oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

 


 

 

Czy zarząd Spółki z o. o. jest Administratorem?

Administratorem  jest Spółka z o. o., lecz obowiązki Administratora pełni w niej zarząd. Zgodnie bowiem z Kodeksem Spółek Handlowych (dalej "KSH") Zarząd posiada prawo reprezentowania Administratora danych osobowych oraz prowadzi sprawy Spółki. W przypadku zarządu jednoosobowego wszystkie uprawnienia do reprezentacji Spółki przysługują jedynemu jego członkowi. Z kolei w zarządzie wieloosobowym zasady reprezentacji określa umowa spółki lub stosowane są zasady reprezentacji określone w KSH.
Dane wymagane od kandydata podczas rekrutacji
Pracodawca może oczekiwać od kandydata do pracy podania mu danych, które ogólnie możemy określić, jako dane:
  • identyfikacyjne (imię, nazwisko, data urodzenia);
  • kontaktowe oraz
  • o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych)1.

Jest to katalog danych, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy2. Co istotne, z uwagi na specyfikę procesu rekrutacji, do zawarcia tej umowy wcale nie musi ostatecznie dojść.


Podstawa prawna:

1Zakres danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie wskazany został w art. 221 Kodeksu pracy (od 4 maja 2019 r.) oraz rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

2Art. 6 ust. 1 lit. b RODO

 

Jakich danych pracodawca nie może żądać od kandydata do pracy?

 

Pracodawca nie me żądać od kandydata danych wykraczających poza zakres, który został wskazany w przepisach prawa, danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych czy orientacji seksualnej). Me się oczywiście zdarzyć, że osoba kandyduca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wówczas pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie.

 

 

Czy pracodawca może zbierać informacje o karalności kandydata do pracy?

 

Zaświadczenie o niekaralności jest dokumentem zawierającym dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa zawartych w Krajowym Rejestrze Karnym, którego funkcjonowanie jest uregulowane przepisami ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (ustawa o KRK). Zgodnie z art. 6 ust. 1 pkt 10 ustawy o KRK, prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

Pracodawca może żądać od przyszłego i obecnego pracownika dokumentów wynikających również z przepisów szczególnych, odnoszących się do konkretnych uregulowań wykonywania określonych zawodów. Jednakże pracodawca musi pamiętać, że w odniesieniu do danych dotyczących niekaralności, musi wynikać to wprost z przepisów prawa. Oznacza to, że pracodawca nie może żądać każdego dokumentu na wszelki wypadek, np. zaświadczenia o niekaralności, chyba że jest do tego uprawniony z mocy ustawy.

Przykład:
Istnieją zawody, do których dostęp ograniczony jest ze względu na wymóg niekaralności:

  • nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela),
  • straż graniczna (art. 31 ust. 1 ustawy o Straży Granicznej),
  • detektywi (art. 29 ust. 2 ustawy o usługach detektywistycznych),
  • osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego (art. 3 ustawy z dnia z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego) – w zakresie dotyczącym skazania prawomocnym wyrokiem za przestępstwa wskazane w tej ustawie.




Czy pracodawca, który poszukuje pracowników cieszących się nieposzlakowaną opinią, może żądać od nich informacji o karalności?


Nie. Przepisy szczególne regulujące wykonywanie niektórych zawodów wskazują często na przesłankę nieposzlakowanej opinii, która jest terminem nieostrym i stanowi zwrot niedookreślony odwołujący się do przesłanek uznaniowych, o charakterze ocennym. Nie stanowi ona jednak podstawy do tego, aby pracodawca miał prawo przetwarzać dane pracownika o jego niekaralności, ponieważ nie wynika to bezpośrednio z przepisów prawa. Pracodawca nie może przetwarzać danych, o których mowa w art. 10 RODO nawet za zgodą pracownika. Podkreślić również należy, że przesłanka zgody, rozpatrywana na gruncie prawa pracy, wskazuje na nie- równość podmiotów, w związku z tym w przedmiotowej sprawie nie miałaby podstawy zastosowania. Należy także podkreślić, że informacja, iż dana osoba nie widnieje w Krajowym Rejestrze Karnym jest również informacją zawierającą dane określone w art. 10 RODO. Zatem, każde zaświadczenie o niekaralności, które będzie zawierało informacje o wyrokach skazujących, czy też informację o tym, że dana osoba nie była skazana, będzie informacją dotyczącą wyroków skazujących i czynów zabronionych w rozumieniu RODO.

 


Czy pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?

 

Tak. Każdy potencjalny pracodawca, który zbiera dane od kandydatów do pracy, jest zobowiązany poinformować te osoby o :

  •  pełnej nazwie i adresie swojej siedziby,
  •  danych kontaktowych inspektora ochrony danych (o ile go wyznaczył),
  • celu przetwarzania danych oraz podstawie prawnej przetwarzania,
  • znanych mu w chwili gromadzenia danych odbiorcach danych (rozumianych szeroko) lub ich kategoriach,
  • zamiarze transgranicznego przetwarzania danych (o ile taki istnieje),
  • okresie, przez który dane będą przetwarzane bądź kryteriach ustalania tego okresu,
  • przysługujących jej prawach do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania,
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli dane są zbierane na podstawie zgody),
  • prawie wniesienia skargi do Prezesa UODO,
  • dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania.

Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy.
 
Dane osobowe - kategorie.

 

Dane osobowe dzielą się na trzy kategorie:

  • dane tzw. zwykłe, takie jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wizerunek, adres e-mail itp.,

  • szczególne kategorie danych osobowych (uprzednio zwane danymi wrażliwymi), wymienione w art. 9 RODO ujawniające:
    • pochodzenie rasowe lub etniczne,
    • poglądy polityczne,
    • przekonania religijne lub światopoglądowe,
    • przynależność do związków zawodowych,
    • dane genetyczne,
    • dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
    • dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby,

  • dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wymienione w art. 10 rozporządzenia (uprzednio również zaliczane do danych wrażliwych).

Czy pracodawca może przetwarzać dane zamieszczone przez kandydata w CV, które wykraczają poza to, co przewidują przepisy prawa pracy?

Zdarza się, że osoby kandydujące do pracy przekazują z własnej inicjatywy więcej danych, niż wskazane  w Kodeksie pracy. W takiej sytuacji dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Aplikacja kandydata stanowi zazwyczaj odpowiedź na ogłoszenie o pracę pracodawcy, kandydat jest świadomy, do jakiego podmiotu składa aplikację oraz w jakim celu jego dane mają być przetwarzane. Kandydat zna jednocześnie zakres danych, jaki przekazuje pracodawcy. Oznacza to, że zwykłe dane osobowe, które wykraczają poza zakres uregulowany przepisami  prawa pracy, są  przetwarzane  przez  pracodawcę  na  podstawie  zgody  kandydata, która przejawia się przez działanie, polegające np. na przesłaniu pracodawcy życiorysu i listu motywacyjnego.
Osoba ubiegająca się o pracę umieściła w CV szczególne kategorie danych (tzw. dane wrażliwe). Czy pracodawca może je przetwarzać?

 

W toku prowadzonej rekrutacji może zdarzyć się, że kandydat z własnej inicjatywy przekaże administratorowi dane osobowe np. o swoim stanie zdrowia. Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca powinien usunąć te dane ze swoich zasobów. Ewentualna zgoda na przetwarzanie szczególnych kategorii danych, powinna być wyraźna, np. w formie odrębnego oświadczenia. Są jednak pewne sytuacje, w których potencjalny pracodawca będzie uprawniony do przetwarzania szczególnych kategorii danych na podstawie odrębnych przepisów prawa. Przykładem takich regulacji są np. przepisy dotyczące wymogów dotyczących stanu zdrowia, jakie musi spełniać kandydat na policjanta.


Przykład:

Art. 25 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o policji (t. j. Dz.U. z 2017 r. ,poz. 2067) stanowi, że przyjęcie kandydata do służby w policji następuje po przeprowadzeniu postępowania kwalifikacyjnego mającego na celu ustalenie, czy kandydat spełnia warunki przyjęcia do służby w policji oraz określenie jego predyspozycji do pełnienia tej służby. Postępowanie kwalifikacyjne, składa się m.in. z testu sprawności fizycznej, test psychologicznego oraz ustalenia zdolności fizycznej i psychicznej do służby w policji.

 

 

Czy pracodawca może wykorzystać dane kandydatów do pracy pozyskane w konkretnym procesie rekrutacyjnych do celów przyszłych rekrutacji?


Nie, jeżeli kandydat nie wyraził na to zgody. Pracodawca po zakończeniu procesu rekrutacji powinien usunąć dane osobowe kandydata, jeżeli jednak kandydat do pracy, w składanych potencjalnemu pracodawcy dokumentach, wyraził zgodę na przetwarzanie jego danych w celu wzięcia udziału w przyszłych rekrutacjach prowadzonych przez pracodawcę, dane te mogą być w tym celu przetwarzane.

Przykład 1:
„Wyrażam zgodę na przetwarzanie danych w celu wykorzystania ich w kolejnych naborach prowadzonych przez X przez okres najbliższych 6 miesięcy.”

Przykład 2:
„Wyrażam zgodę na przetwarzanie szczególnych kategorii danych, o których mowa w art. 9 ust. 1 RODO, które zamieściłem w liście motywacyjnym oraz załączonych do niego dokumentach.”

 

Ważne!

Kandydat musi być poinformowany  o możliwości i sposobie wycofania zgody.  Sposób wycofania zgody powinien być równie łatwy, jak było jej wyrażenie.

 


 

Czy osoba uczestnicząca w rekrutacji może wycofać swoją zgodę na przetwarzanie danych?


Tak. Zgoda na przetwarzanie danych w celach rekrutacyjnych może być wycofana w dowolnym momencie. W takiej sytuacji pracodawca traci uprawnienie do dalszego przetwarzania tych danych i powinien niezwłocznie je usunąć. 

 

 

 


Na co pracodawca powinien zwrócić uwagę decydując się na poszukiwanie pracowników za pośrednictwem stron internetowych?

W zależności od tego czy zadaniem podmiotu zajmującego się publikacją ogłoszeń o pracę jest tylko i wyłącznie udostępnienie narzędzi do ich publikacji, czy również przetwarzanie danych kandydatów, pracodawca powinien rozważyć, czy zawrzeć z takim podmiotem umowę powierzenia przetwarzania danych osobowych. Umowę powierzenia należy zawrzeć, jeżeli podmiot zajmujący się publikacją ogłoszeń o pracę będzie przetwarzał dane kandydatów wyłącznie w imieniu i na rzecz pracodawcy. Należy w niej określić m.in. charakter i cel przetwarzania, przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób (w tym przypadku dane kandydatów do pracy), których dane dotyczą, a także obowiązki i prawa administratora. Przypomnieć należy, że pracodawca może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą, czyli osób fizycznych (kandydatów do pracy). Przed powierzeniem danych pracodawca musi, więc ocenić czy poziom zabezpieczeń danych osobowych, stosowanych przez podmiot przetwarzający, jest odpowiedni.


Czy można poszukiwać pracowników w ramach tzw. rekrutacji „ślepych”, „ukrytych”?

Prowadzenie procesów rekrutacyjnych, w których pracodawca zlecający firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego, zastrzega sobie anonimowość, jest coraz powszechniejszym zjawiskiem na rynku pracy. Motywy pracodawców decydujących się na ich przeprowadzenie są różne – od chęci utajnienia rekrutacji przed pracownikiem, którego mają zamiar zwolnić (najczęściej, gdy zatrudniony jest na samodzielnym stanowisku, np. głównego księgowego), po chęć gromadzenia bazy kandydatów niejako „na zapas”. Do przeprowadzenia rekrutacji „ukrytej” wykorzystywane są zazwyczaj portale internetowe, które pośredniczą w rekrutacji udostępniając narzędzie wykorzystywane do publikowania ogłoszeń. Takiego typu rekrutacji, nie można uznać za zgodną z przepisami o ochronie danych osobowych, ponieważ kandydat do pracy nie posiada wiedzy, jaki podmiot zbiera jego dane osobowe i wobec jakiego podmiotu może realizować swoje prawa. O prawidłowym wykonaniu obowiązku informacyjnego, nie możemy mówić również w sytuacji, gdy klauzula informacyjna zostanie wysłana przez potencjalnego pracodawcę w odpowiedzi na otrzymaną aplikację, ponieważ obowiązek poinformowania m.in. o tożsamości pracodawcy powinien być realizowany przez niego na etapie zbierania danych osobowych, a nie na etapie ich utrwalania. Osoba przekazująca dane osobowe  powinna  posiadać  wiedzę  odnośnie  tego,  komu  je  udostępnia.  Ma  to  szczególne  znaczenie w związku z sytuacjami, w których ogłoszenia o prace są sposobem na wyłudzanie danych osobowych przez nieuczciwe podmioty do własnych celów niezwiązanych z zatrudnianiem pracowników.

Jaka będzie rola agencji zatrudnienia w procesie przetwarzania danych kandydatów do pracy? Jakie są obowiązki przyszłego pracodawcy, a jakie agencji?

 

Gdy pracodawca zleca rekrutację agencji zatrudnienia kandydaci mogą kierować swoje zgłoszenia do agencji, która w takiej sytuacji będzie pełniła rolę administratora ich danych. Będzie ona przetwarzać dane osobowe kandydatów na podstawie ich zgody wyrażonej w zgłoszeniu w celu przeprowadzenia pierwszego etapu rekrutacji – pozyskania CV oraz selekcji pracowników. W tej sytuacji obowiązek informacyjny podczas pozyskiwania danych powinna spełnić agencja. Obowiązek informacyjny po stronie pracodawcy, który wcześniej nie ujawnił swojej tożsamości powstaje w momencie, kiedy dane wybranych przez agencję kandydatów mają być mu przekazane. Wówczas wybrani kandydaci przed przekazaniem danych powinni zostać poinformowani przez agencję o danych potencjalnego pracodawcy oraz wyrazić zgodę na przekazanie ich kandydatur. Praco- dawca otrzymuje dane osobowe tylko tych kandydatów, którzy wyrażą stosowną zgodę.

Jakie dane kandydata pracodawca może gromadzić w trakcie rozmowy kwalifikacyjnej?

Podczas rozmowy kwalifikacyjnej pracodawca może zadawać szereg szczegółowych pytań odnoszących się do informacji, jakie kandydat na pracownika zawarł w swoim CV. Musi jednak pamiętać, że powinny się one odnosić wyłącznie do kwestii związanych ze stanowiskiem, na które on aplikuje. Należy unikać zadawania pytań, które kandydata na pracownika mogą zawstydzić, lub naruszyć jego prawo do prywatności bądź dobra osobiste (np. dotyczących wyznania, orientacji seksualnej, przekonań politycznych, życia prywatnego, rodzicielstwa czy planowanego potomstwa). W pewnych sytuacjach jednak, o ile wynika to bezpośrednio
z przepisów prawa, pracodawca może być uprawniony do zadania pytań niedyskretnych (np. pytanie starającego się o posadę nauczyciela w szkole publicznej czy był karany za przestępstwo popełnione umyślnie).



Czy można skontaktować się z poprzednim pracodawcą kandydata w celu uzyskania informacji na jego temat?

 

Niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie posiada on zgody kandydata na powyższe. Należy też pamiętać, że złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie. Pamiętać należy, że udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Potencjalny pracodawca nie może tym samym zwrócić się do poprzedniego pracodawcy o informację, jakie zadania realizował kandydat u tego podmiotu oraz jaką ma opinię o kandydacie do pracy. Podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat.

 

Czy potencjalny pracodawca może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy uzyskał w niej dyplom?

Nie. Potwierdzanie prawdziwości dyplomu ukończenia studiów wyższych, jak i innych danych zawartych w dokumentach przedkładanych przez kandydata w toku rekrutacji, poprzez kierowanie zapytań do podmiotów, które wydały te dokumenty jest niedopuszczalne. Polski prawodawca co zasady nie przewiduje w przepisach krajowych uprawnienia pracodawcy do występowania do innych podmiotów w celu potwierdzenia lub sprawdzenia prawdziwości dokumentów i danych w nich zawartych przedłożonych przez kandydatów w toku rekrutacji.

Takie działanie nie ma również oparcia w przesłance określonej w art. 6 ust. 1 lit. f RODO. Przypomnieć należy, że zgodnie z art. 22 1 § 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, zatem należy uznać, że praktyka polegająca na dodatkowej weryfikacji informacji uzyskanych od kandydata, naruszałaby prawa i wolności osoby. Polski ustawodawca zdecydował, w jakiej formie pracodawca powinien pozyskiwać informacje o kandydacie do pracy.

 
Wskazać należy, że praktyka polegająca na pozyskiwaniu zgód od kandydata na weryfikowanie prawdziwości złożonych oświadczeń i danych zawartych w dokumentach również nie znajduje oparcia w przepisach RODO. Podkreślenia wymaga, że jednym z warunków skuteczności zgody jest jej dobrowolność, co oznacza, że osoba, której dane dotyczą nie powinna ponosić żadnych negatywnych konsekwencji, jeżeli odmówi jej wy- rażenia. Niewyrażenie zgody przez kandydata na kontakt z uczelnią przez pracodawcę (choćby z powodów subiektywnych np. konfliktu z uczelnią), może spowodować, że potencjalny pracodawca odrzuci jego kandydaturę.

 
Jeżeli pracodawca ma podejrzenia, że przedkładany dokument został sfałszowany powinien złożyć zawiadomienie o możliwości popełnienia przestępstwa określonego w art. 270 § 1 Kodeksu karnego.

 
Jak długo można przetwarzać dane kandydatów do pracy?

Okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wydłużenie okresu przechowywania danych zawartych w aplikacji, powinno być zatem wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione.

Czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?

 

Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą. W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.

 



Czy możliwość wystąpienia roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych?

W przypadku roszczeń wynikających z dyskryminacji kandydata do pracy, to na kandydacie spoczywa obowiązek przedstawienia faktów, z których wynika domniemanie nierównego traktowania, a następnie na pracodawcę zostaje przerzucony ciężar udowodnienia, że nie traktował kandydata gorzej od innych albo, że, traktując go odmiennie od innych, kierował się obiektywnymi i usprawiedliwionymi przyczynami. Pracodawca może np. wykazać przed sądem, z jakiego powodu zatrudnił inną osobę na stanowisko, na które aplikował kandydat. Pracodawca w procesie rekrutacji podejmuje czynności zmierzające do zatrudnienia pracownika.
 
Powszechną praktyką jest zapraszanie na rozmowę kwalifikacyjną kandydatów do pracy. To głównie w jej wyniku kandydat może odnieść wrażenie, że jest dyskryminowany.

Należy jednocześnie pamiętać, że osobiste przekonanie kandydata o tym, że jest dyskryminowany nie jest równoznaczne z uprawdopodobnieniem przez niego wystąpienia dyskryminacji.

Może zatem dojść do sytuacji, w której kandydat zgodnie z jego CV legitymuje się dużym doświadczeniem, w porównaniu do innych kandydatów  ma wysokie kwalifikacje, jednak nie otrzymuje propozycji pracy,
z uwagi na to, że rozmowa kwalifikacyjna nie poszła mu dobrze (np. był nieuprzejmy lub nie znał odpowiedzi na merytoryczne pytania, zadawane przez rekrutera), w efekcie czego pracodawca nie zatrudnia takiego kandydata. Kandydat natomiast uważa, że nie dostał pracy z uwagi na dyskryminację ze względu na płeć.

Zarówno w tej, jak i w innych przypadkach przechowywanie danych osobowych takiego kandydata do pracy po zakończeniu rekrutacji nie można uznać za niezbędne dla pracodawcy.

Istotą roszczenia z tytułu dyskryminacji ze względu na jakąś cechę lub przekonania jest uprawdopodobnienie, że to właśnie z tej przyczyny kandydat został potraktowany w sposób gorszy niż reszta kandydatów, natomiast dopiero wtedy pracodawca musi wykazać, że ta cecha nie miała wpływu na dokonanie przez niego oceny negatywnej, do czego, nie jest konieczne przetwarzanie danych zawartych w życiorysie kandydata do pracy.

 


 

Jak powinien się zachować pracodawcą z sektora służby cywilnej, gdy wpływa do niego CV (lub inne dokumenty rekrutacyjne), choć nie jest przeprowadzany nabór?


Z art. 28 ust. 1 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. z 2018 r. poz. 1559 tj.) wynika obowiązek dyrektora generalnego urzędu do upowszechniania informacji o wolnych stanowiskach pracy przez umieszczanie ogłoszeń o naborach w miejscu powszechnie dostępnym w siedzibie urzędu, w Biuletynie Informacji Publicznej urzędu, oraz w Biuletynie Informacji Publicznej Kancelarii Prezesa Rady Ministrów. W sytuacji, kiedy do urzędu wpłyną dokumenty potencjalnego kandydata do pracy, a nieprzeprowadzany jest nabór na wolne stanowisko pracy dyrektor generalny nie ma prawa zatrudnić takiej osoby. Zatem albo musi niezwłocznie usunąć dane dotyczące takiego kandydata ze swoich zasobów albo skontaktować się z kandydatem, aby otrzymać ewentualną zgodę kandydata na przetwarzanie jego danych osobowych zawartych w takiej dokumentacji dla celów przyszłych naborów na wolne stanowiska pracy w urzędzie.

 



Jakimi zasadami powinienem się kierować pracodawca z sektora służby cywilnej publikując informacje związane z prowadzonym naborem?

 

Istnieją przepisy prawa, które w sposób szczególny regulują kwestie dotyczące naboru pracowników, np. w służbie cywilnej. I tak, art. 31 ustawy o służbie cywilnej stanowi, że dyrektor generalny urzędu niezwłocznie  po przeprowadzonym naborze upowszechnia informację o wyniku naboru przez umieszczenie jej w miejscu powszechnie dostępnym w siedzibie urzędu, w Biuletynie urzędu oraz w Biuletynie Kancelarii.

Przepisy ustawy nie wskazują okresu, przez jaki taka informacja ma być dostępna publicznie. W takim przypadku administrator danych osobowych powinien kierować się zasadą ograniczenia przechowywania (retencji) danych osobowych określoną w art. 5 ust. 1 lit. e RODO. Zgodnie z tą zasadą dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Celem publikacji danych wybranego kandydata jest realizacja zasady jawności, która umożliwia dokonanie społecznej kontroli prawidłowości przebiegu postępowania rekrutacyjnego. Zatem czas publikacji takich danych powinien być wystarczający do umożliwienia przeprowadzenia takiej kontroli w czasie niezbyt odległym od dokonanego wyboru, tzn. w czasie, kiedy kandydaci lub osoby trzecie mogą być zainteresowane danym naborem i będą chciały skorzystać z prawa do takiej informacji, jakie mają na podstawie art. 31 tej ustawy.

Wydaje się, że optymalnym okresem czasu, przez jaki takie informacje mogą być ujawniane na podstawie art. 31 ustawy jest okres trzech miesięcy liczony od dnia ich publikacji. Na taki okres czasu może wskazywać art. 33 ustawy stanowiący przepis dotyczący wyjątku od zasady obowiązku przeprowadzenia naboru1. Jednocześnie trzeba pamiętać, że przepis art. 29 ustawy o służbie cywilnej uznaje wyniki naboru za informację publiczną, a zatem każda osoba zainteresowana wynikiem naboru może złożyć wniosek o udostępnienie takich informacji w sytuacji, kiedy zostaną one usunięte z Biuletynu urzędu, Biuletynu Kancelarii czy przestaną być dostępne w siedzibie urzędu, do którego przeprowadzany był nabór.

 


1Jeżeli w ciągu 3 miesięcy od dnia nawiązania stosunku pracy z osobą wyłonioną w drodze naboru istnieje konieczność ponownego obsadzenia tego samego stanowiska pracy, dyrektor generalny urzędu może zatrudnić na tym samym stanowisku inną osobę spośród kandydatów, o których mowa w art. 29a ust. 1.
 

Czy można tworzyć tzw. „czarne listy” osób ubiegających się o zatrudnienie?

Nie. Za niedopuszczalne należy uznać tworzenie tzw. „czarnych list” osób ubiegających się o zatrudnienie. Podstawy prawnej nie znajduje ponadto wymienianie się informacjami pomiędzy pracodawcami o kandydatach do pracy, których zatrudniać nie chcą. Ponadto należy pamiętać, że tworzenie zbiorów danych o charakterze negatywnym może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.

Wpływa do pracodawcy CV potencjalnego kandydata do pracy, jednak nie prowadzi on rekrutacji. Czy zachować przesłane dane w nim na potrzeby przyszłych rekrutacji?

Zdarzają się sytuacje, w których osoby poszukujące pracy z własnej inicjatywy, niezależnie od tego, czy potencjalny pracodawca prowadzi proces rekrutacji czy też nie, wysyłają do różnych podmiotów swoje aplikacje. Pracodawca po otrzymaniu takiej kandydatury powinien rozważyć, czy chce rozpocząć rekrutację, czy też nie jest zainteresowany zatrudnianiem nowych pracowników. W przypadku, gdy zdecyduje, że jest zainteresowany zatrudnieniem nowej osoby, powinien niezwłocznie wykonać w stosunku do niej obowiązek informacyjny oraz rozpocząć podejmowanie działań zmierzających do zawarcia umowy (np. przeprowadzenie rozmowy kwalifikacyjnej, gromadzenie koniecznej dokumentacji). Jeżeli jednak pracodawca stwierdzi, że nie jest zainteresowany poszerzeniem swojej kadry, powinien niezwłocznie usunąć dane dotyczące kandydata ze swoich zasobów.
Czy potencjalny pracodawca może pozyskiwać dane kandydata z portali społecznościowych?

Co do zasady niedopuszczalne jest gromadzenie przez pracodawców i agencje rekrutacyjne informacji zamieszczanych przez kandydatów do pracy na swój temat w mediach społecznościowych i innych ogólnodostępnych źródłach. Co prawda rozwój społeczeństwa informacyjnego pozwala na „budowanie” przez potencjalnych kandydatów do pracy swojego wizerunku w sieci, również w oczach przyszłego pracodawcy, poprzez zamieszczane w Internecie różnych informacji na swój temat, ale nie oznacza to, że informacje te mogą zostać wykorzystane w procesie rekrutacyjnym. Należy również pamiętać, że takie działanie potencjalnie może mieć negatywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go na podstawie dostępnych w Internecie danych.



Czy potencjalny pracodawca może zweryfikować kandydata lub komunikować się z nim za pośrednictwem branżowych portali społecznościowych np. LinkedIn?

 

Jako że żyjemy w dobie społeczeństwa informacyjnego, coraz częściej przyszli pracodawcy korzystają z możliwości weryfikacji kandydatów do pracy lub komunikacji z nimi, korzystając z portali internetowych dedykowanych takim celom. Portale takie, umożliwiając kandydatom do pracy, czy pracodawcom wzajemny kontakt, umożliwiają efektywne znalezienie pracy lub pracownika. Użytkownicy takich portali (poszukujący pracy) najczęściej zanim zaczną korzystać z usług oferowanych przez portale, muszą zapoznać się z regulaminami, politykami prywatności i je zaakceptować.

Jeżeli możliwość korzystania z takiego portalu będzie wiązała się z obowiązkiem podania danych, a może tak być, bo żeby założyć konto i aby dane z tego konta mogły być udostępniane potencjalnym pracodawcom, to portal musi mieć do tego podstawy prawne. Przepisem umożliwiającym pozyskiwanie, gromadzenie, udostępnianie danych użytkowników (kandydatów) do pracy, będzie zgoda osoby, której dane dotyczą   czy też/lub potrzeba wykonania umowy (ewentualnie podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy) . Inną kwestią natomiast będzie możliwość kontaktowania się (przetwarzania danych w związku z tym) przez pracodawcę z kandydatem w innej formie np. mailowej (poza portalem, na którym doszło do kontaktu).

Czy pracodawca może wykonać kserokopię dokumentu tożsamości pracownika, którego zatrudnia?

Zazwyczaj nie istnieje prawnie uzasadniona potrzeba wykonywania kopii tego typu dokumentu. Co więcej posiadanie jej będzie prowadziło do gromadzenia nadmiarowych danych niezwiązanych z wykonywaną przez pracownika pracą.
Czy pracodawca może przechowywać informacje związane z życiem osobistym pracowników w ich aktach osobowych?

Nie zawsze będzie tak, że w aktach osobowych pracownika znajdować się będą wyłącznie informacje związane z jego stosunkiem pracy. Zazwyczaj, aby pracownik mógł skorzystać z określonych uprawnień będzie musiał udostępnić pracodawcy informacje dotyczące jego życia osobistego. Przykładem może być urlop związany z realizacją jego zobowiązań cywilnych, publicznych itp. (zawarcie małżeństwa, śmierć krewnego, oddanie krwi, wezwanie do sądu itd.).

Czy w przypadku zatrudnienia pracownika pracodawca musi ponownie spełnić wobec niego obowiązek informacyjny?


Ponieważ dane pracownika już zatrudnionego pracodawca będzie przetwarzał w innym celu aniżeli kandydata oraz zmieni się krąg odbiorców tych danych, pracownik powinien pozyskać informacje w tym zakresie. Cel ten można osiągną umieszczając powyższe informacje w ramach klauzuli informacyjnej przekazywanej kandydatom w toku rekrutacji (poprzez uzupełnienie jej o informacje dotyczące celu przetwarzania danych i wskazanie odbiorców danych w razie zatrudnienia kandydata) lub też poprzez uzupełnienie tych informacji już po zatrudnieniu pracownika.

Jakie informacje o pracowniku można umieścić na liście obecności pracowników?

Przepisy prawa nie precyzują sposobu potwierdzania obecności pracownika w pracy. Często spotykanym sposobem jest złożenie podpisu na liście obecności. W wielu sytuacjach na owych listach, dostępnych dla wszystkich pracowników można było znaleźć informację o tym, że dany pracownik jest chory bądź korzysta  z urlopu „na żądanie”. Taka praktyka jest niewłaściwa, a informacje m.in. o zwolnieniach lekarskich czy urlopie „na żądanie”, więc o szczególnych rodzajach nieobecności powinny znaleźć się w ewidencji czasu pracy, do którego dostęp oprócz samego pracownika, którego karta dotyczy mogą mieć jeszcze osoby odpowiedzialne za sprawy kadrowe i osoba reprezentująca pracodawcę (bezpośredni przełożony, osoby zarządzające zakładem pracy). Reasumując symbol absencji nie powinien być zamieszczony na liście obecności. Wystarczy wskazanie czy dany pracownik jest obecny czy też nie. W przeciwnym razie może to naruszać zasady minimalizacji oraz poufności danych osobowych. Czas pracy jest jednym z kluczowych elementów pracy zarówno dla pracownika jak i pracodawcy. To jak kwestia potwierdzania obecności w pracy przez pracownika będzie zorganizowana określać powinien regulamin lub inny wewnętrzny dokument, niezależnie czy będzie to lista obecności czy system kart zbliżeniowych - to już wewnętrzna sprawa samego pracodawcy - ważne jest by przy tych czynnościach nie naruszać praw i wolności swoich pracowników.

Czy pracodawca może umieścić zdjęcia pracowników na identyfikatorach?

 

Ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, aby pracodawca mógł je pozyskać i umieścić np. na identyfikatorze musi legitymować się zgodą pracownika. Należy jednak zaznaczyć, że zgoda musi być udzielona dobrowolnie, a zatem pozyskiwanie przez pracodawcę zgody pracownika będzie możliwe, jeżeli pracownik będzie miał możliwość odmowy jej udzielenia i nie spotkają go z tego powodu żadne negatywne konsekwencje. Warto dodać, że zgoda może być odwołana w każdym czasie.

Istnieją jednak sytuacje wyjątkowe, gdy wizerunek pracownika jest ściśle związany z wykonywanym przez niego zawodem czy charakterem pracy i wskazywanie wizerunku pracownika przewidują wprost przepisy prawa. Jako przykład podać można choćby pracowników ochrony, co do których – ze względów bezpieczeństwa – powinna być możliwość ich identyfikacji. Wówczas pracodawca nie jest zobowiązany do pozyskiwania zgody w tym właśnie celu.

Przykład:Art. 9 a ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U. z 2017 r., poz. 2213) stanowi, iż legitymacja kwalifikowanego pracownika ochrony fizycznej lub kwalifikowanego pracownika zabezpieczenia technicznego zawiera m.in. jego aktualne zdjęcie.

 

Czy pracodawca może umieścić na swojej stronie internetowej takie dane osobowe pracowników, jak ich imiona i nazwiska, stanowiska, numery telefonów, czy adresy e-mail?

Informacje o pracowniku takie jak np. jego imię i nazwisko, czy właśnie służbowy adres e-mail są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (np. udostępniane) przez pracodawcę nawet bez zgody pracownika, którego one dotyczą. Pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji i pozostających w kontakcie z podmiotami zewnętrznymi – kontrahentami, klientami. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. Z tego też względu za dopuszczalne uznać także należy umieszczanie imion i nazwisk pracowników na drzwiach w zakładach pracy, na pieczątkach imiennych, pismach sporządzanych w związku z pracą oraz prezentowanie w informatorach o instytucjach i przedsiębiorstwach. Kwestie tego typu uregulowane powinny zostać w regulaminach pracy, a pracownik powinien być świadomy tego przed nawiązaniem stosunku pracy.

Czy pracodawca może umieścić na swojej stronie internetowej wraz z danymi kontaktowymi wizerunek pracownika?

Nie. Publikacja wizerunku pracownika na stronie internetowej będzie wymagała uzyskania jego dobrowolnej zgody.

Czy pracodawca może umieszczać zdjęcia pracowników w Intranecie?

Sytuacja umieszczania zdjęć pracownika w Intranecie jest sytuacją szczególną, gdyż dostęp do tego wewnętrznego systemu ma ściśle określony krąg osób, tj. pracownicy, którzy znają się nawzajem, oraz z uwagi na cel, jaki przyświeca tego typu działaniom pracodawcy, jakim jest usprawnienie procesu zarządzania i wewnętrznej komunikacji w firmie. Jeśli pracodawca jest podmiotem z sektora prywatnego, można więc się za- stanowić czy takie działanie nie będzie się mieściło w granicach jego usprawiedliwionego celu zgodnie z art. 6 ust. 1 lit. f RODO. Należy pamiętać, że w niektórych sytuacjach może wystąpić nawet konieczność umożliwienia wizualnej identyfikacji pracownika wynikająca np. z zakresu jego obowiązków, charakteru wykonywanej pracy czy potrzeb pracodawcy związanych z konkretnym stanowiskiem pracy. O ile więc umieszczenie zdjęć w Intranecie służy jedynie polepszeniu i usprawnieniu zarządzania firmą, a dostępu do nich nie mają osoby z zewnątrz, to można przyjąć to za dopuszczalne.

Gdyby jednak w ocenie pracownika wspomniana praktyka godziła w jego dobro, może on skorzystać z unormowań art. 21 ust. 1 RODO regulującego prawo do sprzeciwu z przyczyn związanych ze szczególną sytuacją takiej osoby.


Czy, a jeśli tak, to w jakim zakresie pracodawca może wykorzystać służbowy adresu e-mail po byłym pracowniku?

W związku z dynamicznym rozwojem nowych technologii, jednym z podstawowych sposobów komunikacji w relacjach pomiędzy firmami i instytucjami jest poczta elektroniczna. Powszechną praktyką jest nadawanie pracownikom adresów e-mailowych, składających się z imienia i nazwiska, pierwszej litery imienia i nazwiska lub w niektórych przypadkach z pseudonimu. Zarówno taki adres mailowy, jak też pozbawiony imienia  i nazwiska, ale powiązany z konkretną osobą, uznawany jest za dane osobowe związane z zatrudnieniem. Problem pojawia się w sytuacji ustania stosunku pracy. Jeśli adres e-mail byłego pracownika stanowi dane osobowe, wówczas taki adres powinien zostać usunięty z chwilą zakończenia stosunku pracy, a przed usunięciem konta wszystkie dane związane z wykonywaną pracą powinny zostać przekazane pracodawcy. Pracodawca może zobowiązać pracownika do skontaktowania się z osobami, z którymi pracownik pozostawał w służbowych relacjach, celem poinformowania ich o usunięciu adresu e-mail. Natomiast po zakończeniu współpracy pracodawca może tak skonfigurować serwer poczty, aby korespondencja była przekierowana na inny adres, a także żeby nadawca otrzymywał zwrotną wiadomość informującą, że  nie ma takiego użytkownika.

Czy i jakie dane pracownika można pozyskać, aby zweryfikować czy przysługuje mu prawo do pozyskania świadczenia z Funduszu?


Prawo uzależnia przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu od określonych kryteriów, tj. sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej. Przyznanie świadczeń, a także ich wysokość, uzależniona jest od spełnienia przez osobę ubiegającą się o to świadczenie określonych kryteriów socjalnych. Kryterium dotyczące sytuacji rodzinnej i materialnej pracownika oznacza, że przy ustalaniu wysokości świadczenia znaczenie ma sytuacja życiowa i materialna wszystkich członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. Jeżeli zatem przyznawanie świadczeń jest uzależnione od kryterium socjalnego, to oznacza, że sytuacja pracownika lub innej osoby uprawnionej do korzystania z Funduszu wymaga każdorazowo jej określenia, czyli przetwarzania danych osobowych pracownika i członków jego rodziny. Przetwarzanie tych danych nie może jednak prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane są pozyskiwane, bowiem adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana, jako równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora danych (pracodawcy).


Czy można żądać od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych?

Uprawnienie pracodawcy do żądania podania stosownych informacji oraz przedłożenia odpowiednich dokumentów uzasadniających przyznanie świadczenia z Funduszu powinno zatem znajdować uzasadnienie w regulaminie, o którym mowa powyżej, który powinien precyzować zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu oraz tryb rozpatrywania wniosków o ich przyznanie. Należy jednak mieć na względzie, że zakazane jest zbieranie danych niemających znaczenia, jak i danych o większym, niż  konieczny stopniu szczegółowości, jak również danych zbieranych „na przyszłość”. Zatem konieczność weryfikacji sytuacji materialnej osoby ubiegającej się o środki z Zakładowego Funduszu Świadczeń Socjalnych może być do- kona w inny sposób, niż pozyskiwanie przez pracodawcę np. kopii zeznania podatkowego (PIT) osoby będącej członkiem rodziny pracownika. Przedstawienie takiego dokumentu jedynie do wglądu pracodawcy będzie w celu dokonania takiej weryfikacji w pełni wystarczające. Warto również rozważyć przyjęcie rozwiązań polegających na respektowaniu oświadczeń o wysokości dochodu przypadającego na jednego członka rodziny ze wskazaniem ile osób i w jakim wieku składa się na rodzinę pracownika. Należy również wskazać, że forma oświadczenia wskazuje na dobrowolność jego złożenia. Pracownik, który będzie chciał skorzystać z przysługującego  mu  uprawnienia,  np.  dofinansowania  do  wypoczynku,  będzie  obowiązany  wypełnić oświadczenie. W sytuacji, kiedy nie będzie on chciał złożyć stosownego oświadczenia, pracodawca nie będzie zaś miał podstaw do wypłacenia danego świadczenia, ponieważ przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu jest uzależniona od określonych w ustawie kryteriów.



Przez jaki czas można przetwarzać dane pracownika udostępnione na potrzeby rozpatrzenia jego wniosku przez ZFSŚ?

 

Dane osobowe powinny być przechowywane przez pracodawcę przez okres nie dłuższy niż jest to niezbędne do przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres dochodzenia do nich praw lub roszczeń. Pracodawca powinien także dokonywać systematycznego, np. raz w roku, przeglądu danych osobowych w celu ustalenia, które dane osobowe są niezbędne do ich dalszego przechowywania oraz usuwać te dane, których dalsze przechowywanie jest zbędne. Przykładowo, jeżeli pracodawca w ramach ZFŚS wspiera pracownika poprzez dofinansowanie wypoczynku, tzw. wczasy pod gruszą, powinien on usunąć dane z ubiegłych lat. Pracodawca nie ma podstaw do tego, aby zbierać dane osobowe „na przyszłość” oraz dane niepotrzebne do wypłacenia należnego świadczenia, mając na uwadze zasadę minimalizacji danych. W związku z tym oświadczenie pracownika o wysokości dochodu przypadającego na jednego członka rodziny ze wskazaniem ile osób i w jakim wieku składa się na rodzinę pracownika wydaje się być w pełni wystarczające i zgodne z zasadami celowości, minimalizacji danych, przejrzystości i rozliczalności. Dane te pracodawca może przetwarzać w zakresie niezbędnym do czasu wykonania koniecznych rozliczeń i sprawozdawczości (w przypadku np. jednostek publicznych).


Czy pracodawca ma prawo zażądać od organizacji związkowej przedstawienia pełnej listy osób pozostających pod jej ochroną, gdy nie ma zamiaru zwolnić ich z pracy?

 

Przepisy prawa pracy przewidują współdziałanie pracodawcy z zakładową organizacją związkową w indywidualnych sprawach ze stosunku pracy. Pracodawca ma obowiązek współdziałać w takich sprawach z zakładową organizacją związkową reprezentującą pracownika z tytułu jego członkostwa w związku zawodowym albo wyrażenia zgody na obronę praw pracownika niezrzeszonego w związku zgodnie z ustawą o związkach zawodowych. Jednak przepisy te nie mogą stanowić podstawy do pozyskiwania przez pracodawcę od związku zawodowego, wszystkich danych osobowych pracowników korzystających z ochrony tego związku. Odnoszą się one bowiem do ochrony stosunku pracy indywidualnego pracownika, w stosunku, do którego pracodawca chce np. wypowiedzieć umowę o pracę. Oznacza to, że pozyskiwanie informacji o przynależności związkowej pracownika w toku konsultacji ze związkami zawodowymi jest uzasadnione w razie zamiaru rozwiązania umowy o pracę z konkretnym pracownikiem. Jednak brak jest podstaw do pozyskiwania przez pracodawcę od związku zawodowego danych osobowych w  odniesieniu do wszystkich pracowników korzystających z ochrony danego związku zawodowego, w sytuacji, gdy pracodawca nie ma zamiaru ich zwolnić z pracy.

Czy kierując pracowników na badania profilaktyczne pracodawca musi zawrzeć z jednostką służby medycyny pracy umowę powierzenia?

 

Kodeks pracy zobowiązuje pracodawcę do kierowania pracowników na wstępne, okresowe i kontrolne badania lekarskie (zwane łącznie badaniami profilaktycznymi) i przechowywania orzeczeń wydanych na ich podstawie. Z kolei kwestię sposobu kierowania pracownika na te badania regulują przepisy ustawy o służbie medycyny pracy1, które stanowią, że badania wstępne, okresowe i kontrolne pracowników oraz inne świadczenia zdrowotne są wykonywane na podstawie pisemnej umowy zawartej przez podmiot obowiązany do ich zapewnienia (pracodawcę) z podstawową jednostką służby medycyny pracy (podmioty wykonujące działalność leczniczą w celu sprawowania profilaktycznej opieki zdrowotnej nad pracującymi).

Pracodawca i podstawowa jednostka służby medycyny pracy zawierając umowę, o której mowa powyżej, działają niezależnie od siebie (każdy z nich samodzielnie ustala cele i środki przetwarzania danych osobowych). A zatem są oddzielnymi administratorami danych - nie zawierają umowy powierzenia przetwarzania danych osobowych.

 


1Ustawa z dnia 27 czerwca 1997 r. o służbie medycyny pracy (t. j. Dz.U .z 2018 r., poz. 1155).


Czy, a jeśli tak, to w jakim zakresie pracodawca może przetwarzać dane pracowników związane z przeprowadzonymi wobec nich badaniami profilaktycznymi?

 

Po przeprowadzonym badaniu profilaktycznym lekarz przeprowadzający badanie profilaktyczne dokonuje w dokumentacji medycznej pracownika opisu badania oraz wpisu treści orzeczenia, a następnie wydaje orzeczenie lekarskie osobie badanej oraz pracodawcy. Do przechowywania dokumentacji badań profilaktycznych stosuje się odpowiednio ogólnie obowiązujące przepisy o dokumentacji medycznej. Należy pamiętać przy tym, że dane zawarte w dokumentacji medycznej oraz dane zawarte w dokumentacji (dokumentacji badań i orzeczeń psychologicznych), są objęte tajemnicą zawodową i służbową. Dane te mogą być udostępniane wyłącznie podmiotom określonym w odrębnych przepisach i na zasadach określonych w tych przepisach.



Czy osoby szkolące z zakresu bhp mogą przetwarzać dane pracowników szkolonych?

 

Szkolenia z zakresu bhp mogą być przeprowadzone przez pracownika pracodawcy wyznaczonego np. ds. bhp lub podmiot zewnętrzny (osobę fizyczną lub firmę). Pracownik ds. bhp lub podmiot zewnętrzny będący osobą fizyczną powinni posiadać upoważnienie do przetwarzania danych osób biorących udział w szkoleniu. Z kolei firma zewnętrzna będzie musiała zawrzeć z pracodawcą umowę powierzenia przetwarzania danych osobowych.

Pracodawca chce zaoferować pracownikom szkolenia podnoszące ich kwalifikacje zawodowe. Jak się to ma do przetwarzania ich danych osobowych przez podmioty szkolące?

Podobnie jak w przypadku szkoleń z zakresu bhp, jeśli szkolenie prowadzi pracownik pracodawcy wyznaczony do przeprowadzania takich szkoleń, może szkolić pracowników. Jeżeli zewnętrzna firma szkoleniowa prześle do pracodawcy ofertę szkoleń i pracownicy pracodawcy zdecydują się na skorzystanie z tych szkoleń i następnie firma ta przekaże za pośrednictwem pracodawcy formularze (zgłoszenia) do wypełnienia przez pracowników (poprzez wpisanie ich danych osobowych), wówczas firma taka będzie administratorem ich danych osobowych. W tym przypadku firma szkoleniowa może przetwarzać dane osobowe pracownika na podstawie jego zgody. Natomiast, jeżeli pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (by je przekazać firmie szkoleniowej) wówczas firma szkoleniowa będzie musiała zawrzeć z tym pracodawcą umowę powierzenia przetwarzania danych osobowych pracowników.


Jakie obowiązki wobec pracowników będzie miał pracodawca w przypadku zlecenia ich przeszkolenia firmie zewnętrznej?

Jeżeli szkolenie odbywa się w taki sposób, że pracownik bierze udział w szkoleniu, na które sam się zapisał w firmie zewnętrznej, natomiast pracodawca jedynie finansuje udział tego pracownika w szkoleniu, to firma zewnętrzna, jako odrębny administrator, przetwarza dane osobowe pracownika i będzie musiała wykonywać w stosunku do niego obowiązki informacyjne oraz pozostałe zadania określone w RODO.

Jeżeli firma szkoleniowa zewnętrzna będzie podmiotem, któremu pracodawca powierzy przetwarzanie danych osobowych, wówczas będzie musiała spełnić obowiązki spoczywające na takim podmiocie oraz zawarte w umowie powierzenia.



Jakie dane pracowników może przetwarzać podmiot zewnętrzny prowadzący szkolenie?

 

Adekwatne do celu pozyskania, czyli np.: imię, nazwisko, stanowisko służbowe, miejsce pracy. Dane takie mogą być niezbędne np. do sporządzenia listy obecności, jej sprawdzenia lub wydania zaświadczenia ze szkolenia. Należy pamiętać, że tzw. dane służbowe pracownika to też dane osobowe.

 

Ważne!

Zlecenie przeszkolenia pracowników nie zawsze będzie wiązało się z koniecznością przetwarzania ich danych. Jeśli to niego nie dojdzie, np. firma zewnętrzna jedynie przeszkoli pracowników bez uzyskiwania jakichkolwiek informacji o nich (np. w postaci list obecności, innych dokumentów), pracodawca nie musi zawierać z nią umowy powierzenia ani w inny sposób regulować kwestii przetwarzania danych.
 

W jaki sposób można przekazać dane pracowników zewnętrznemu podmiotowi w celu ich przeszkolenia?

 

Dane pracowników mogą być przekazane w formie listy pracowników. Przekazanie może nastąpić również w formularzach firmy zewnętrznej, wypełnionych przez pracowników.


Czy pracodawca może zgłosić pracownika na szkolenie bez jego zgody i w związku z tym również bez jego zgody przekazać jego dane osobowe?

 

Tak, ale pod pewnymi warunkami. Jeżeli pracodawca prowadzi szkolenie wewnętrzne lub zawiera umowę powierzenia przetwarzania danych z firmą zewnętrzną, to jest on uprawniony do udostępnienia danych osobowych pracownika w tym celu, również do firmy zewnętrznej. Powierzenie przetwarzania danych osobowych nie zmienia podstawy przetwarzania danych osobowych, skutkując jedynie tym, że przetwarza je podmiot trzeci na polecenie pracodawcy.

Przekazywanie danych w związku z oferowanymi przez pracodawcę dodatkowymi świadczeniami pracowniczymi

 

Coraz częściej pracodawcy, aby zachęcić pracowników do podjęcia pracy w ich firmach oferują różnego rodzaju udogodnienia np. karnety na siłownię, prywatną opiekę zdrowotną czy też dodatkowe ubezpieczenia pracownicze. W związku z faktem, iż korzystanie z tych udogodnień jest w pełni dobrowolne, pracodawca nie może udostępnić danych osobowych pracowników bez ich wiedzy i zgody na rzecz podmiotów świadczących te usługi. Udostępnienie danych osobowych przez pracodawcę odbywa się na podstawie zgody wyrażonej przez pracownika. Przetwarzanie przez podmioty świadczące tego typu usługi danych osobowych pracowników lub innych osób zgłoszonych do programu odbywa się zatem na podstawie uprzednio wyrażonej przez nich zgody, tj. na podstawie art. 6 ust. 1 lit. a RODO. Podmioty te stają się administratorami danych osobowych osób korzystających z ich usług, niemniej jednak wszelkie roszczenia z tytułu zawartych umów przysługują im względem pracodawców, a nie pracowników będących beneficjentami usług. Konsekwencją uznania takiego podmiotu za administratora danych osobowych jest konieczność stwierdzenia, że takie podmioty są zobowiązane do informowania osób, których dane dotyczą o okolicznościach wskazanych w art. 13 RODO np. w deklaracji przystąpienia. Jednocześnie nie ma tu zastosowania instytucja powierzenia przetwarzania danych osobowych. Podkreślić należy, że istota powierzenia przetwarzania danych osobowych polega m.in. na tym, że nie jest wymagane uzyskanie zgody osoby, której dane dotyczą, na powierzenie jej danych.

 



Czy należy zawrzeć umowę powierzenia z podmiotem oferującym benefity?

 

Zasadniczą kwestią decydującą o uznaniu, czy podmiot przetwarzający dane osobowe jest ich administratorem jest stwierdzenie czy decyduje on o celach i środkach przetwarzania. Zaznaczyć należy, że pracodawca przetwarza dane osobowe pracowników w zakresie i celu niezbędnym dla wykonania ciążących na nim obowiązków wynikających ze stosunku pracy. Natomiast usługodawcy przetwarzają dane osobowe pracowników w celu i zakresie świadczonych przez nich usług. Mamy więc tutaj do czynienia z dwoma odrębnymi zbiorami danych osobowych prowadzonymi przez odrębnych administratorów danych. Pracodawca nie może więc zażądać od podmiotów medycznych czy ubezpieczycieli, z którymi ma podpisaną umowę na świadczenie usług wobec swoich pracowników, przekazania danych osobowych np. na temat ich zdrowia.

 

Jakie dane pracowników pracodawca może udostępnić?

 

Zakres danych osobowych udostępnianych przez pracodawcę jest ograniczony i ściśle związany
z przedmiotem działalności podmiotu świadczącego usługę. Musi on być zatem niezbędny do realizacji danej usługi. Podkreślić należy, że jeśli przekazane dane obejmują szczególne kategorie danych, o których mowa w art. 9 ust. 1 RODO niezbędne jest uzyskanie odrębnej zgody pracownika (art. 9 ust. 2 pkt a RODO).



Czy można przekazywać dane pracowników w ramach grupy przedsiębiorstw, do której należy pracodawca?

Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników1. Oznacza to, że przekazywanie w ramach grupy przedsiębiorstw danych osobowych pracowników poszczególnych podmiotów z grupy (np. w związku z centralizacją określonych procesów w zakresie kadr i płac) może znajdować oparcie w prawnie uzasadnionym interesie pracodawcy2.

 

Podstawa Prawna:

1Motyw 48 RODO
2Art. 6 ust. 1 lit. f RODO

Na czym polegają cele administracyjne, w których można przetwarzać dane pracowników w ramach grupy przedsiębiorstw?

 

Poprzez cele administracyjne należy rozumieć wszelkie czynności bezpośrednio związane ze stosunkiem pracy, np. przekazanie pracownika do innego miejsca, w tym delegowanie go na jakiś czas do pracy w innej spółce w ramach grupy, działania związane z rozwojem pracownika - organizacja szkoleń, zatwierdzania wysokości wynagrodzenia, czy też prowadzenia statystyk dotyczących zatrudnienia w grupie, jak również rekrutację pracowników (spółka córka utworzona na potrzeby rekrutacji). Jedynym ograniczeniem są sytuacje, w których nadrzędny charakter wobec prawnie uzasadnionego interesu pracodawcy mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.



Jakie będą obowiązki administratora danych pracowników przetwarzanych w ramach grupy przedsiębiorstw?

 

Administratorzy będący częścią grupy przedsiębiorstw powinni rozważyć współpracę w zakresie administrowania danymi osobowymi. Specyfika relacji współadministrowania polega przede wszystkim na tym, że administratorzy wspólnie ustalają cele i sposoby przetwarzania, a także wspólnie realizują obowiązki wynikające z przepisów i podejmują procesy przetwarzania. Tym samym nie dochodzi między tymi podmiotami do po- wierzenia ani udostępnienia danych, ponieważ przetwarzają dane wspólnie, w ramach ustalonych celów. Należy przy tym pamiętać, że:

  • Współadministratorzy w drodze wspólnych uzgodnień w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikającychz rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków informacyjnych, chyba że przypadające im obowiązkii ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą – wymóg transparentnego i przejrzystego komunikowania osobie, której dane dotyczą, kluczowych informacji dotyczących przetwarzania jej danych.
  • W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Może to odbywać się poprzez powierzenie tej funkcji inspektorowi ochrony danych. Osoby te mogą kontaktować się
    z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem ich praw. Tym samym nie ma przeszkód, by inspektor udzielał także informacji w zakresie uzgodnień między współadministratorami.
  • Osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego z administratorów, niezależnie od uzgodnień pomiędzy współadministratorami.




Na jakiej podstawie pracodawca może prowadzić monitoring poczty elektronicznej pracownika?

 

Pracodawca może monitorować pocztę elektroniczną swoich pracowników, ale musi pamiętać, że uprawnienie to dotyczy tylko służbowej poczty elektronicznej. Ma takie prawo, jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Takie uprawnienie pracodawcy zostało przewidziane w art. 223 Kodeksu pracy.

 


Czy pracodawca może kontrolować służbową pocztę elektroniczną pracownika?

Tak. Pracodawca może kontrolować aktywność swoich pracowników w trakcie pozostawania ich do jego dyspozycji w miejscu pracy, tzn. może sprawdzać czy pracownicy nie korzystają ze stron zabronionych czy też z innych witryn, które nie służą wykonywaniu przez nich obowiązków służbowych. Pracodawcy zależy przecież na tym, aby pracownicy jak najpełniej wykorzystali czas pracy na wykonywanie swoich obowiązków, a także, aby prawidłowo korzystali z udostępnionych im w tym celu narzędzi. Co istotne, kontrola nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Kontrola taka ma służyć zapewnieniu, by pracownik nie był zbytnio obciążony pracą oraz wykorzystywał powierzone mu narzędzia do celów zawodowych.
Czy pracodawca może kontrolować prywatną skrzynkę pocztową swojego pracownika?

 

Pracodawca nie może kontrolować prywatnej korespondencji swoich pracowników, jest to wręcz zabronione. Takie zachowanie naruszałoby konstytucyjne prawo do prywatności. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

 

Jakie obowiązki spoczywają na pracodawcy względem pracowników w zakresie monitoringu ich poczty elektronicznej?
  • Przede wszystkim pracodawca musi ustalić cel, zakres oraz sposób zastosowania monitoringu poczty elektronicznej w układzie zbiorowym pracy lub regulaminie pracy, bądź w obwieszczeniu - jeżeli nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. O celu, zakresie oraz sposobie zastosowania monitoringu musi powiadomić pracowników.

  • Pracodawca musi poinformować pracowników o planowanym uruchomieniu monitoringu, najpóźniej na 2 tygodnie przed jego uruchomieniem (poza sytuacjami, kiedy monitoring taki jest już stosowany). W przypadku nowych pracowników realizacja tego obowiązku powinna nastąpić przed dopuszczeniem ich do pracy1. Ponadto w przypadku pracowników, który zostali już dopuszczeni do pracy, pracodawca powinien poinformować ich o zamiarze prowadzenia monitoringu. Nieprawidłowym jest jednocześnie prowadzenie monitoringu aktywności obejmującej okres sprzed poinformowania pracownika zamiarze jego prowadzenia. Dla celów dowodowych dobrze będzie udokumentować taką czynność na piśmie.

  • Dodatkowo pracodawca musi pamiętać o wykonywaniu w stosunku do monitorowanych pracowników obowiązków informacyjnych określonych w RODO2.


Podstawa prawna:

1Art. 222 §6 Kodeksu pracy
2Art. 13, art. 15 RODO


Czy pracodawca może wybrać każdy rodzaj odnotowywania obecności swoich pracowników?

 

Niezupełnie. Odnotowywanie obecności pracowników to tylko element wewnętrznej organizacji, wewnętrznego postępowania dotyczącego obecności w pracy, procedury wejść i wyjść i tym podobnych operacji. Prawo w tym elemencie daje dużą swobodę, ale wprowadza też wymogi. Jednym z nich jest kategoryczny zakaz wykorzystywania danych biometrycznych dla celów ewidencji czasu pracy. Postęp technologiczny sprawia, że coraz większą popularność zyskują metody oparte na wykorzystywaniu danych biometrycznych pracowników jak odcisk palca, zdjęcie tęczówki, siatkówki oka, układu żył na ręce czy też biometria kształtu ucha. Elementy te są charakterystyczne dla każdej osoby i umożliwiają ich identyfikację.



Czy pracodawca może skanować indywidualne cechy ludzkiego organizmu (np. linie papilarne) należące do swoich pracowników w ramach sprawdzenia obecności?

 

Nie. Pracodawca nie może skanować czy pobierać danych biometrycznych pracowników w celu rejestracji godzin przyjścia i wyjścia z zakładu, nawet za zgodą takiego pracownika. Pobieranie danych biometrycznych od pracowników nie służy celowi, jakim jest ewidencja czasu pracy, a jedynie ograniczeniu dostępu do miejsc, w stosunku, do których pracodawca może wymagać specjalnych uprawnień ze względu na tajemnice przedsiębiorstwa bądź ograniczony zakres osób o fachowych umiejętnościach mogących dostać się na pewien chroniony obszar. Pracodawca zgodnie z zasadą rozliczalności nie byłby w stanie wykazać, dlaczego stosuje monitoring danych biometrycznych dla celów związanych z obecnością w pracy. Trzeba także pamiętać, że dane biometryczne to dane szczególnej kategorii i mogą być przetwarzane tylko
w enumeratywnie wymienionych sytuacjach, wśród których nie ma kwestii odnotowywania obecności pracownika w pracy.


Ważne!

Jak stwierdził Naczelny Sąd Administracyjny w wyroku z dnia 1 grudnia 2009 r. (sygn. I OSK 249/09):

  • Brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu Pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody, jako okoliczności legalizującej pobranie od pracownika innych
    danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu.

  • Ryzyko naruszenia swobód i fundamentalnych praw obywatelskich musi być proporcjonalne do celu, któremu służy. Skoro zasada proporcjonalności, jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych, to stwierdzić należy, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania. Pracodawca może monitorować pocztę elektroniczną swoich pracowników, ale musi pamiętać, że uprawnienie to dotyczy tylko służbowej poczty elektronicznej. Ma takie prawo jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie.

Czy przedsiębiorca może monitorować swoich pracowników za pomocą urządzeń lokalizujących (np. GPS)?

 

Kodeks pracy wprowadza możliwość stosowania innych form monitoringu aniżeli monitoring wizyjny czy monitoring poczty elektronicznej, jeżeli zastosowanie takiego monitoringu służy celowi, w zakresie zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Analogicznie jak w przypadku monitoringu poczty elektronicznej pracodawca obowiązany jest uprzedzić pracownika o stosowaniu urządzeń monitorujących samochód (GPS) przed przystąpieniem pracownika do pracy bądź na dwa tygodnie przed uruchomieniem monitoringu. Pracodawca ma obowiązek poinformowania pracownika na piśmie o celach, zakresie i sposobie monitorowania urządzenia, także umieszczenia w widocznym miejscu w samochodzie symbolu obrazkowego informującego o tym, iż trasa pojazdu i jego wykorzystanie będzie monitorowane za pomocą urządzenia lokalizującego oraz jakie dane będą przy pomocy takiego urządzenia zbierane, gdzie rejestrowane, jak długo przechowywane i kto będzie miał do nich dostęp. Pracodawca musi pamiętać, że nowe regulacje prawa w zakresie monitorowania są dla niego pomocą, ale i obowiązkiem. Dane, które będzie rejestrował muszą mieścić się w celu, jakim jest to niezbędne dla zapewnienia sprawnej organizacji pracy, a zasady zbierania i wykorzystywania danych muszą być rzetelne i przejrzyste, jasno określone oraz dostępne dla pracownika.



Jakie dane pracownika można pozyskiwać za pomocą urządzeń GPS?

 

Niejednokrotnie w trakcie monitorowania przy pomocy urządzeń lokalizujących pojazd pracodawca może uzyskać także dane o tym, jakim stylem jazdy porusza się dany kierowca, gdzie się zatrzymuje, gdzie tankuje, gdzie je. Istnieje zatem ryzyko, że za pomocą monitorowania lokalizującego pracodawca może uzyskać więcej informacji niż tego potrzebuje. Dodatkowy problem pojawia się w sytuacji, gdy pojazd służbowy wykorzystywany jest także w celach prywatnych. W takiej sytuacji zbierając dane o pojeździe jednocześnie pracodawca pozyskuje informacje o pracowniku np. gdzie obecnie przebywa. Pracodawca nie jest uprawniony do pozyskiwania takich danych chyba, że mamy do czynienia z sytuacją wyjątkową np. z kradzieżą samochodu lub koniecznością ustalenia odpowiedzialności pracownika za uszkodzenie pojazdu.



Czy można przetwarzać dane pracownika pozyskane za pomocą GPS, a dotyczące jego aktywności w czasie wolnym?

 

Rozwiązaniem jest precyzyjne określenie, że samochód służbowy używany jest tylko do celów służbowych. W innym wypadku należy dostosować lub zmienić regulamin wykorzystywania samochodu służbowego do celów prywatnych. W takiej sytuacji należy uzyskać zgodę pracownika na przetwarzanie tych danych oraz wypełnić wobec niego obowiązek informacyjny.

Czy umieszczenie w układzie zbiorowym pracy, regulaminie pracy czy obwieszczeniu informacji o celach, zakresie oraz sposobie zastosowaniu monitoringu jest wystarczające?

Niezupełnie, ważne, aby cel przetwarzania był rzeczywiście zgodny z danymi, które przetwarzamy i wykorzystujemy. Nie możemy bowiem wykorzystywać danych przy użyciu systemu GPS zamontowanego w użytkowanej przez nas flocie pojazdów w celu ochrony mienia, gdy tymczasem w regulaminie pracy pracodawca określił cel inny np. organizacja czasu pracy poprzez wytyczanie jak najkrótszych i najszybszych tras potrzebnych do zrealizowania transportu. Pracodawca musi pamiętać o tym, że cel wpisany w dokumentacji musi być tożsamy z celem wykorzystywania urządzenia i danych w ten sposób otrzymywanych. Nie zmienia to faktu, że cele, zakres oraz sposób zastosowania również takiej formy monitoringu muszą być ustalone w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia
regulaminu pracy.

Jakie dane o osobie, która wykonuje zadania na podstawie umowy cywilnoprawnej, można zbierać?

Ze względu na mnogość możliwych form prawnych i charakteru współpracy między stronami, różny będzie zestaw danych osobowych, który jest niezbędny do zawarcia i realizacji takich umów. W odróżnieniu od pracowniczych form zatrudnienia, przepisy prawa cywilnego nie określają wprost zakresu danych, które mogą być pozyskiwane przez podmiot zatrudniający w ramach niepracowniczych form zatrudnienia. Prawo cywilne statuuje zasadę swobody umów, która umożliwia dowolne kształtowanie treści umów o ile nie sprzeciwia się to charakterowi i naturze stosunku zobowiązaniowego. W takiej sytuacji podmiot zatrudniający powinien dokonać analizy zakresu danych, których zebranie jest konieczne w związku z realizacją umowy i ciążącymi na nim obowiązkami wynikającymi z umowy (np. wypłata wynagrodzenia) lub z przepisów prawa (np. płatność składek na ubezpieczenie społeczne). Nie ma on tutaj pełnej swobody, gdyż jest on związany wymogami określonymi przez postanowienia RODO, a w szczególności musi zapewnić zgodność z zasadami ograniczenia celu oraz minimalizacji danych.

 

Jakie dane o przedsiębiorcy można zbierać, gdy zamierza się z nim współpracować?

 

Jeżeli osoba fizyczna prowadząca działalność gospodarczą zawiera umowę z inną osobą prowadzącą działalność gospodarczą z prawnego punktu widzenia należy uznać, że brak jest „silniejszej” strony stosunku zobowiązaniowego. Działalność gospodarcza jest prowadzona w celu zarobkowym, ma charakter zorganizowany i jest wykonywana w imieniu własnym, na własny rachunek, zatem po jednej, jak i po drugiej stronie umowy mamy do czynienia z podmiotami profesjonalnymi. Zgodnie zatem z zasadą swobody umów, obie strony umowy są równe i wspólnie powinny określić zakres potrzebnych im danych. Nie oznacza to jednak możliwości zupełnie dowolnego określania zakresu danych, gdyż zakres ten musi być zgodny
z zasadą celowości oraz zasadą minimalizacji danych.



Jak długo można przetwarzać dane o współpracownikach wykonujących swoje zadania na podstawie umów cywilnoprawnych?

Zgodnie z zasadą ograniczenia przechowywania, dane osobowe mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których te dane są przetwarzane.

Przy określeniu czasu przechowywania podmiot zatrudniający takich współpracowników powinien wziąć pod uwagę:

  • okres trwania umowy,
  • okres ewentualnego dochodzenia roszczeń związanych z umową (okres przedawnienia roszczeń),
  • obowiązki wynikające z przepisów prawa.


Podstawą przetwarzania danych osobowych w związku z wykonywaniem usługi na podstawie umowy cywilnoprawnej jest niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub niezbędność do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Część danych może być natomiast zbierana ze względu na ciążące obowiązki prawne (np. w związku ze zgłoszeniem do ubezpieczenia zdrowotnego1).

 

 


1Obwieszczenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 29 marca 2018 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Ministra Pracy i Polityki Społecznej w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze oraz innych dokumentów, t. j. Dz. U. z 2018 r. poz. 804.



Czy, a jeśli tak, to, na jakich zasadach osoby wykonujące usługi na podstawie umów cywilnoprawnych mają dostęp do danych będących w dyspozycji ich administratora?

Często rodzi się pytanie, w jakich ramach prawnych osoby fizyczne wykonujące usługi na podstawie umów cywilnoprawnych, w tym również osoby wykonujące zadania w ramach tzw. samozatrudnienia, mogą uzyskiwać dostęp do danych osobowych będących w dyspozycji podmiotu zatrudniającego te osoby w tych formach. Należy pamiętać, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba, że inne przepisy przewidują od tego wyjątek. W razie pozostawania przez pracownika z pracodawcą w stosunku pracy, może on przetwarzać dane osobowe administrowane przez pracodawcę na podstawie udzielonego upoważnienia. W sytuacji, gdy administrator korzysta również z cywilnoprawnych form zatrudnienia (w tym także samozatrudnienia), gdzie tak zatrudnione osoby w efekcie przy przetwarzaniu danych osobowych korzystają ze środków i rozwiązań organizacyjnych administratora (np. systemów, pomieszczeń), a ponadto robią to na polecenie administratora, również należy uznać upoważnienie, jako warunek dopuszczający przetwarzanie danych. Administrator, zgodnie z zasadą rozliczalności, powinien móc udowodnić fakt udzielenia upoważnienia do przetwarzania danych.  W takich sytuacjach, co do zasady nie dochodzi więc do powierzenia przetwarzania danych.



Na jakiej podstawie przedsiębiorcy wykonujący wybrane operacje na danych osobowych na zlecenie ich administratora mają do nich dostęp?

 

W sytuacji typowego zlecania części operacji przetwarzania danych osobowych (gałęzi – np. danych kadrowych, płacowych) innym podmiotom, które są wyodrębnione od jednostki organizacyjnej administratora, dokonują one przetwarzania w swoich własnych systemach, przekazując administratorowi ewentualnie efekt swoich działań. W konsekwencji należy uznać, że takie podmioty nie stanowią szeroko rozumianego personelu administratora, co oznacza, iż przetwarzają one dane na zasadach powierzenia. Determinuje to konieczność zawarcia z nimi umowy powierzenia. Dla przykładu może to dotyczyć prowadzenia księgowości przez biuro rachunkowe, hostingu, czy prowadzenia rekrutacji czy działań szkoleniowych realizowanych poza strukturą pracodawcy.

 

Czy jest dopuszczalne przetwarzanie danych dotyczących kontrahentów, z którymi aktualnie się już nie współpracuje, lecz taka współpraca może być nawiązana na nowo w przyszłości?

 

W przypadku posiadania przez administratora swojej bazy kontrahentów (osób fizycznych), podstawę przetwarzania ich danych w celach przyszłej współpracy należy upatrywać w udzielonej zgodzie. W razie stałej współpracy między podmiotami, można również wskazywać na niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Uzasadniony interes administratora powinien być z góry określony i podany do wiadomości osoby, której dane dotyczą.


Zatrudniam pracownika tymczasowego. Kto jest administratorem danych takiego pracownika: agencja pracy tymczasowej czy pracodawca użytkownik?

 

Pracownik tymczasowy jest osobą zatrudnioną przez agencję pracy tymczasowej. Zasadniczo zatem administratorem danych osobowych pracowników tymczasowych jest agencja pracy tymczasowej. Jednocześnie, stosunek pracy tymczasowej wymaga, aby agencja zawarła z pracodawcą użytkownikiem umowę powierzenia przetwarzania danych osób świadczących pracę tymczasową, która określałaby zakres i cel przetwarzania przez niego danych. Jednakże konieczność wykonywania przez pracodawcę użytkownika niektórych, wymienionych w ustawie o zatrudnianiu pracowników tymczasowych, uprawnień i obowiązków pracodawcy (np. dotyczących prowadzenia ewidencji czasu pracy pracownika tymczasowego w zakresie i na zasadach obowiązujących w stosunku do jego pracowników) powoduje, że w tym zakresie będzie mu przysługiwał status administratora danych osobowych osób świadczących u niego pracę tymczasową. Pracodawca użytkownik będzie zatem administratorem danych osobowych wszystkich pracowników, w tym pracowników tymczasowych, zawartych np. w ewidencji czasu pracy.

Z tego powodu to pracodawca użytkownik, jako administrator danych, winien uregulować kwestię dostępu do danych osobowych bezpośrednio z pracownikiem tymczasowym i wydać mu stosowne upoważnienie do przetwarzania danych osobowych, o ile oczywiście w ramach wykonywania powierzonych mu obowiązków służbowych ma do nich dostęp.

Czy upoważnienia do przetwarzania danych osobowych udzielone pracownikom na podstawie ustawy o ochronie danych osobowych z 1997 r. zachowują ważność?


Jeśli precyzyjnie określają zakres upoważnienia i jest on zgodny z nowymi politykami bezpieczeństwa, to tak. Jeżeli w dotychczasowych upoważnieniach wskazana była podstawa prawna ich wydania (ustawa o ochronie danych osobowych z 1997 r.), takie upoważnienia należy zmienić, powołując się na obowiązujące przepisy. RODO, w przeciwieństwie do ustawy z 1997 r., nie narzuca jednego modelu zarządzania uprawnieniami pracowników do przetwarzania danych osobowych. A więc, może być to zarówno upoważnienie do przetwarzania danych osobowych jak i wpisanie zakresu czynności przetwarzania w regulamin wewnętrzny komórki organizacyjnej, opis stanowiska pracy czy też rejestr czynności przetwarzania, rozbudowany o informacje o osobach lub komórkach realizujących poszczególne czynności. Ważne jest, by administrator, zgodnie z zasadą rozliczalności, był w stanie wykazać jakie czynności przetwarzania wykonują konkretni pracownicy i z czego wynika ich umocowanie.

 

Czy akty podstawowe (rozporządzenia, akty prawa miejscowego) mogą stanowić źródło obowiązku administratora, o którym mowa w art. 6 ust. 1 lit. c RODO, a jeśli tak, to w jakich sytuacjach?

RODO nie przesądza jednoznacznie, jaka powinna być ranga aktu prawnego, będącego źródłem obowiązku administratora, o którym mowa w art. 6 ust. 1 lit. c RODO. Uzasadnione jest zatem przyjęcie, iż taki obowiązek prawny może  być regulowany w aktach o różnej  randze – nie tylko w ustawach i ratyfikowanych umowach międzynarodowych. Jako podstawowy punkt  odniesienia przyjąć należy  art. 87 Konstytucji RP, który stanowi, iż źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (ust. 1). Źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są na obszarze działania organów, które  je ustanowiły, akty prawa miejscowego (ust. 2).

Co prawda, zgodnie z motywem 41. RODO, w przypadku gdy w rozporządzeniu 2016/679 jest mowa o podstawie prawnej lub akcie  prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament. Jednakże, jak zastrzega dalej ustawodawca unijny, wymagania te wynikać  muszą z porządku konstytucyjnego danego państwa członkowskiego. I tak, pojęcie podstaw prawnych rozpatrywać należy przez pryzmat źródeł prawa wskazanych w art. 87 ust. 1 i 2 Konstytucji RP, ze szczególnym naciskiem na charakter przepisów o ochronie danych osobowych i wymagań względem nich wynikających - przepisów art. 7 i 8 ust. 2 EKPC [Konwencja o ochronie praw człowieka i podstawowych wolności sporządzona w Rzymie
04.11.1950 r., zmieniona następnie Protokołami nr 3, 5 i 8 oraz uzupełniona Protokołem nr 2 (Dz.U. z 1993 r. poz. 284 ze zm.)] oraz  art. 52 ust. 1 KPP [Karta praw  podstawowych Unii Europejskiej (Dz.Urz. UE C 202 z 2016 r.)], a dalej zasad wyrażonych w art. 31 ust. 3 i art. 51 ust. 1 i 5 Konstytucji RP. Co oznacza, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw  mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie prawa i nie naruszają istoty wolności i praw. Akty niższego rzędu, takie jak rozporządzenia, operować mogą więc wyłącznie w granicach delegacji ustawowej, która musi w sposób jasny i precyzyjny wskazywać cele przetwarzania danych tak, by zapewnić podmiotom danych świadomość i przewidywalność przetwarzania ich danych osobowych (art. 6 ust. 3 zd. 2 RODO). Z uwzględnieniem tych ograniczeń i zasad, jak wskazuje w dalszej części przywołanego przepisu ustawodawca unijny, fakultatywnie podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie  rozporządzenia 2016/679, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym  można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy  przechowywania; oraz  operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX.



Czy organ publiczny, realizując prawa osoby, której dane dotyczą, o których mowa w art. 16 – 22 RODO, np. podczas rozpatrywania żądania usunięcia danych lub sprzeciwu wobec przetwarzania, powinien prowadzić postępowanie administracyjne zgodnie z Kodeksem


Realizując prawa osoby, której dane dotyczą w zakresie art. 16 – 22 RODO organ publiczny nie ma obowiązku prowadzić postępowania administracyjnego zgodnie z KPA, gdyż instrukcje co do sposobu realizacji tych praw  są zawarte w samym RODO w motywie 59, jak również w art. 12.Przepisy te wyraźnie wskazują na ułatwienie procedury realizacji praw  osób, których dane dotyczą. W art. 5 ust. 2 zdanie drugie ustawy o ochronie danych osobowych, który dotyczy ograniczenia stosowania art. 15 ust. 1-3 RODO, mowa jest wyłącznie o odpowiednim stosowaniu art. 64 Kodeksu postępowania administracyjnego. Administrator danych ma obowiązek zapewnić pełną rozliczalność przetwarzanych danych, czyli dokładnie wiedzieć kto i kiedy wykonuje operacje na danych osobowych oraz  jakiego rodzaju są to operacje. Usunięcie danych na wniosek osoby, której dane dotyczą, sprostowanie tych danych, czy też ograniczenie ich przetwarzania z jednej strony  wymaga potwierdzenia tożsamości tej osoby, z drugiej potwierdzenia rozliczalności działań podejmowanych przez umocowany do tego personel administratora.

Dlatego, w pierwszej kolejności należy wykazać się takim  żądaniem od osoby, której dane dotyczą. Mimo, że przepisy wprost nie mówią w jakiej postaci powinien być złożony wniosek o usunięcie, sprostowanie czy ograniczenie przetwarzania danych, należałoby wewnętrznie ustalić taką procedurę składania tego typu wniosków, aby można było do nich się odnieść np. podczas kontroli (czyli nie mogę powiedzieć, że ktoś mnie o to poprosił telefonicznie, czy nawet osobiście) oraz, aby można było zweryfikować tożsamość tej osoby. Może to być np. e-mail, ale podpisany podpisem kwalifikowanym, chyba, że korespondencja do tej pory odbywała się wyłącznie mailowo z konkretnego, znanego obu stronom adresu. Mogą to również być wszelkie formy składania podań, które są znane z KPA itp. Ważne  jednak jest to, aby nie utrudniać składania wniosków. Również  forma odpowiedzi powinna być dostosowana do rodzaju i wagi wniosku. Inaczej rozpatrzymy wniosek o usunięcie adresu mailowego z bazy newslettera, a inaczej rozpatrzymy wniosek o usunięcie danych osoby  np. w sprawie związanej z zadłużeniem.

 



Czy należy spełniać obowiązek informacyjny, o którym mowa w art. 14 RODO w stosunku do osoby wskazanej do kontaktu w umowie zawieranej przez podmiot publiczny?

 

Osoba wskazana do kontaktu przez podmiot publiczny, co do zasady, ma wiedzę na temat celu przekazywania jej danych innemu administratorowi i zna tożsamość tego administratora. W szczególności dotyczy  to sytuacji w której osoba ta brała udział przy negocjowaniu treści  umowy lub przygotowaniu oferty  wykonawcy w postępowaniu o udzielenie zamówienia publicznego. A zatem obowiązek ten nie ma zastosowania wtedy, gdy osoba, której dane dotyczą dysponuje już niezbędnymi informacjami na temat administratora (art. 14 ust. 5 lit. a RODO).



Czy transmitowanie on-line posiedzeń Rady Gminy, Rady Powiatu oraz Sejmików Województwa bez anonimizacji imion i nazwisk osób uczestniczących w posiedzeniach (w tym gości) pozostaje w pełnej zgodności z RODO?


Zasada jawności i dostępności do posiedzeń kolegialnych organów władzy publicznej została przewidziana w Konstytucji RP, w ustawach o samorządzie gminnym, samorządzie powiatowym i samorządzie województwa, a także w ustawie o dostępie do informacji publicznej. Przebieg obrad rady gminy ma być obowiązkowo utrwalany za pomocą urządzeń rejestrujących (nie tylko dźwięk, ale i obraz), co wprost wynika ze znowelizowanych w tym roku przepisów ustaw o samorządzie gminnym, samorządzie powiatowym i samorządzie województwa (które będzie miał zastosowanie do kadencji organów jednostek samorządu terytorialnego następujących po kadencji, w czasie której przepis ten wszedł w życie). Co więcej, jednostki samorządu terytorialnego będą zobowiązane do udostępniania nagrań sesji w Biuletynie Informacji Publicznej, na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty. Ewentualna anonimizacja może być konieczna, ale dopiero na etapie publikacji nagrań – i to tylko w zakresie, w jakim udostępnienie określonych informacji naruszałoby prywatność osoby fizycznej, np. wówczas, gdy wiązałoby się z ujawnieniem szczególnych kategorii danych osobowych.

Jeśli chodzi o przetwarzanie danych osobowych osób  uczestniczących w sesji, to nie ma konieczności uzyskiwania ich zgody, gdyż zgodnie z art. 6 ust. 1 lit. c ogólnego rozporządzenia o ochronie danych (RODO) przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Wskazane przepisy ustaw szczególnych nakładają na gminę  obowiązki, dla realizacji których niezbędne jest przetwarzanie danych osobowych uczestników sesji. Ponadto zgodnie z art. 81 ustawy  o prawie autorskim i prawach pokrewnych zgoda osoby fizycznej  na rozpowszechnianie jej wizerunku nie jest wymagana w szczególności, gdy wizerunek osoby stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza lub chodzi o wizerunek osoby powszechnie znanej, jeżeli  wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych.

Jeśli chodzi o obowiązek informacyjny, to RODO nie precyzuje, w jakiej formie powinien on być spełniony. Może to być informacja pisemna, elektroniczna, a w niektórych przypadkach nawet ustna. Zgodnie z zasadą rozliczalności administrator danych powinien umieć  wykazać, że wypełnił  obowiązek informacyjny zgodnie z wymogami RODO. Klauzula informacyjna może być również zamieszczona np. w ogłoszeniu o sesji rady gminy (rady powiatu, sejmiku województwa) czy w widocznym miejscu przed wejściem na salę  obrad.
 


Czy ustawowe upoważnienie do kontroli lub audytu uprawnia do przetwarzania danych bez dodatkowego (odrębnego) dokumentu?


Opierając się na koncepcji ustawowego upoważnienia, należy uznać, że w przypadku kontrolerów realizujących swoje obowiązki, zgodnie z ustawą o kontroli w administracji rządowej, upoważnienie do przetwarzania danych osobowych wynika wprost z art. 22 pkt 4 ustawy  o kontroli w administracji rządowej i nie wymaga dodatkowych dokumentów. Zgodnie z art. 29 RODO, każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Analizując przytoczony zapis, należy wskazać, że zarówno kontrolerzy, jak również audytorzy działają na podstawie prawa państwa członkowskiego. W przypadku kontrolerów, którzy  przeprowadzają czynności kontrolne poza jednostką, w której są zatrudnieni, działają na podstawie przepisów prawa np. ustawa o kontroli w administracji publicznej, ustawa o NIK. Przywołana ustawa o kontroli w administracji publicznej w art. 22 pkt 4 jednoznacznie wskazuje, że w trakcie czynności kontrolnych kontroler ma prawo przetwarzać dane osobowe niezbędne do przeprowadzenia kontroli. W przypadku audytorów występują obydwa elementy wskazane w art. 29 RODO tj. audytor działa na polecenie administratora oraz  posiada upoważnienie ustawowe wynikające z art. 282 ustawy o finansach publicznych tj.

„audytor wewnętrzny ma  prawo  wstępu  do pomieszczeń jednostki  oraz wglądu  do wszelkich  dokumentów, informacji i danych oraz do innych  materiałów związanych  z funkcjonowaniem jednostki,  w tym utrwalonych na elektronicznych nośnikach  danych, jak również do sporządzania  ich  kopii,  odpisów,  wyciągów, zestawień  lub wydruków, z zachowaniem przepisów o tajemnicy ustawowo  chronionej”.

A zatem do realizacji zadań przewidzianych przepisami prawa zarówno kontrole jak i audytor posiadają ustawowe upoważnienie do przetwarzania danych osobowych.

 


Czy podstawą prawną przetwarzania danych osobowych przez organy administracji publicznej może być zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO)? Jakie są podstawowe różnice pomiędzy przetwarzaniem danych osobowych przez organy administracj

Przepisy RODO ani przepisy prawa krajowego nie zabraniają organom administracji publicznej przetwarzania danych osobowych na podstawie zgody osoby, od której  dane te pochodzą. Zgodnie z art. 6 ust. 1 zdanie ostatnie RODO, organy  publiczne, w ramach realizacji zadań, nie mogą  jedynie  przetwarzać danych osobowych w oparciu o przesłankę prawnie uzasadnionych interesów (art. 6 ust. 1 lit. f RODO). RODO nie zawiera jednak takiego zakazu w odniesieniu do przetwarzania wykonywanego na podstawie innych przesłanek, w tym zgody osoby, której  dane dotyczą.
Jeżeli jednak przetwarzanie danych osobowych odbywa  się na podstawie zgody osoby, której dane dotyczą, ma ona możliwość jej wycofania, a także prawo  żądania od organu administracji publicznej niezwłocznego usunięcia swoich danych. Organ administracji publicznej może odmówić uwzględnienia tego  żądania, jeżeli istnieje  inna niż zgoda podstawa prawna przetwarzania. Sytuacja  taka  może  mieć miejsce w szczególności w przypadku, gdy osoba której dane dotyczą wystąpiła do organu z pismem, które  nie jest załatwiane w trybie postępowania administracyjnego. Pismo takie  podlega jednak rejestracji w organie i udzielana jest na nie odpowiedź, która  może  podlegać obowiązkowi archiwizacji, zgodnie z przepisami o narodowym zasobie archiwalnym.
Innym przykładem przetwarzania danych na podstawie zgody przez  organ  administracji publicznej jest sytuacja, w której  urzędowy formularz (którego zakres reguluje przepis prawa) będzie dodatkowo przewidywał możliwość podania przez  osobę, której  dane dotyczą, jej danych kontaktowych (nr telefonu, adres e-mail). Wówczas przesłanką przetwarzania tych dodatkowych danych, udostępnianych na zasadzie dobrowolności, stanowić będzie zgoda osoby (art. 6 ust. 1 lit. a RODO). W takiej sytuacji konieczne jednak będzie poinformowanie osoby, której  dane dotyczą, o możliwości wycofania zgody oraz dobrowolności jej wyrażenia, a także wyraźne wskazanie w klauzuli  informacyjnej, że zgoda dotyczy wyłącznie dodatkowych danych, pozostałe są bowiem pozyskiwane na podstawie uregulowanego w przepisach prawa obowiązku.

 



Czy organizując imprezę masową np. na plakacie musi być zawarta informacja, iż uczestnictwo jest jednoznaczne z wyrażeniem zgody na publikację wizerunku np. na stronie urzędu (czy to zakres ustawy o prawie autorskim i prawach pokrewnych)?

 

Fotografowanie imprezy, w której bierze udział większa liczba osób nie musi wymagać na gruncie RODO zgody każdej osoby, biorącej udział w wydarzeniu, na utrwalenie jej wizerunku. Punktem wyjścia jest ustalenie, czy wizerunek osób fotografowanych w danych okolicznościach stanowi dane osobowe (art. 4 ust. 1 RODO). Jeżeli wizerunek osoby (fotografia, nagranie) stanowi dane osobowe, to zgoda na przetwarzanie danych każdej osoby nie będzie konieczna, jeżeli  przed wejściem na wydarzenie widnieje informacja, że jest ono fotografowane/nagrywane oraz informacja ta zawiera wskazanie odpowiedniej podstawy prawnej. Należy  jednak pamiętać, że zgoda nie jest jedyną podstawą przetwarzania danych wynikającą z RODO oraz  o wymogach mogących wynikać  z innych przepisów, np. zezwolenie na rozpowszechnienie wizerunku, o którym  mowa w art. 81 ustawy  o prawie autorskim i prawach pokrewnych.



Umieszczanie np. na stronach internetowych fotorelacji z imprezy kulturalnych i innych wydarzeń, zawierających zdjęcia uczestników, w tym też pojedynczych zdjęć laureatów podczas wręczenia nagród – czy dotychczasowa praktyka i orzecznictwo, wskazujące na

 

Dziennikarz, fotoreporter wykonujący zdjęcia na zlecenie redakcji lub w ramach działalności prasowej może wykonywać takie zdjęcia bez zgody osób fotografowanych, jeśli celem zdjęć wykonywanych w ramach działalności dziennikarskiej czy prasowej jest przygotowanie realizacji prasowej imprez typu: koncerty, strajki, wiece publiczne. W tym zakresie zbieranie danych i ich przetwarzanie jest zwolnione z obowiązku pozyskiwania zgody na mocy art. 85 RODO w zw. z art. 2 ustawy  z dnia 10 maja 2018 r. o ochronie danych osobowych.


Czy złożenie oświadczenia RODO o zapoznaniu się z klauzulą informacyjną jest wymagane każdorazowo czy raz złożone wystarczy? Czy na klauzulach informacyjnych powinniśmy pobierać podpisy klientów/interesantów? Czy można na dole wniosku dopisać zdanie „ośw

Przepisy RODO nie wymagają składania oświadczeń o zapoznaniu się z klauzulą informacyjną. Z punktu widzenia zasady rozliczalności (art. 5 ust. 2 RODO) konieczne jest jedynie, aby administrator był w stanie wykazać przestrzeganie przepisów RODO, w tym również  udzielenie osobie, której dane dotyczą, wszystkich informacji, o których mowa w art.
13 i 14 RODO.
Obowiązek informacyjny spełniamy tylko raz przy pozyskiwaniu danych osobowych (jeżeli otrzymujemy dane bezpośrednio od osoby, której dane dotyczą (art. 13)), najpóźniej w ciągu miesiąca od pozyskania danych lub przy pierwszym kontakcie z osobą, której dane dotyczą (w przypadku pozyskania danych z innego  źródła, niż osoba której dane dotyczą (art. 14)), chyba, że nastąpiła istotna zmiana w treści pierwotnie przekazanych informacji. Jak wskazuje Grupa Robocza art. 29 w Wytycznych dotyczących przejrzystości na mocy rozporządzenia 2016/679 (WP260): „Administrator powinien przestrzegać tych samych zasad przy przekazywaniu zarówno pierwotnego oświadczenia/informacji dotyczących ochrony prywatności, jak i wszelkich dalszych istotnych lub merytorycznych zmian w tym oświadczeniu/ informacji. Przy ocenie tego, co jest istotną lub merytoryczną zmianą administratorzy powinni wziąć pod uwagę wpływ na osoby, których dane dotyczą (w tym ich zdolność do korzystania z przysługujących im praw), i to, jak bardzo nieoczekiwana/zaskakująca byłaby ta zmiana dla osób, których dane dotyczą. Zmiany w oświadczeniu/informacji dotyczące ochrony prywatności, które zawsze powinny być przekazywane osobom, których dane dotyczą, obejmują między innymi: zmianę celu przetwarzania, zmianę tożsamości administratora lub zmianę sposobu, w jaki osoby, których dane dotyczą, mogą wykonywać swoje prawa w związku z przetwarzaniem”. Jeśli zatem administrator planuje przetwarzać dane osoby w innym celu niż wskazał w klauzuli informacyjnej, z którą osoba której dane dotyczą zapoznała się za pierwszym razem, to obowiązkiem administratora jest przekazać takiej osobie  informację na temat tego "innego" celu przetwarzania wraz ze stosownymi informacjami. Zgodnie z art. 13 ust. 4 RODO, administrator nie ma obowiązku podawania osobie  której dane dotyczą informacji zawartych w art. 13 ust. 1, 2 i 3 RODO, jeśli taka osoba dysponuje już takimi danymi. Więc wystarczy jednorazowe zapoznanie się z klauzulą informacyjną.

Czy czytelnik, który skończył 16 lat może założyć kartę i wypełnić zobowiązanie (gdzie potwierdza znajomość regulaminu oraz zgodę na przetwarzanie danych osobowych) oraz podpisać klauzulę informacyjną?

 

Zgodnie z art. 8 RODO, „Jeżeli zastosowanie ma art. 6 ust. 1 lit. a) [przetwarzanie na podstawie zgody osoby, której dane dotyczą – przyp. autora], w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli  dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz  wyłącznie w zakresie wyrażonej zgody.” Granica wieku 16 lat odnosi się do więc wyłącznie do usług społeczeństwa informacyjnego i nie może mieć zastosowania do przetwarzania danych na potrzeby założenia, a następnie korzystania z karty bibliotecznej. Jednocześnie trzeba podkreślić, iż w opisywanym przypadku podstawą przetwarzania danych w ogóle nie będzie zgoda osoby, której dane dotyczą, a obowiązek prawny ciążący na administratorze (art. 6 ust. 1 lit. c RODO) – wynikający z przepisów ustawy o bibliotekach oraz  ustawy  – Prawo oświatowe.


RODO a przekazywanie spraw zgodnie z właściwością – czy spełniać obowiązek informacyjny w rozumieniu RODO skoro powiadamiamy tylko interesanta, zgodnie z Kpa, o przekazaniu jego sprawy (do załatwienia) innemu urzędowi właściwemu w sprawie?

 

Organ, do którego dana sprawa wpłynęła ma obowiązek spełnić obowiązek informacyjny również w przypadku, gdy przekazuje sprawę wg właściwości rzeczowej lub miejscowej innemu organowi, gdyż w pewnym, ograniczonym zakresie również będzie on administratorem danych wnioskodawcy. Zawiadomienie o przekazaniu sprawy  według właściwości powinno zatem również zawierać informacje, o których mowa w art. 13 ust. 1 i 2 RODO, w zakresie danych przetwarzanych w organie przekazującym – chyba, że osoba posiada już te informacje a zakres tych informacji lub ich treść  nie uległy zmianie.



Publikacja imion i nazwisk pracowników urzędu (bez anonimizacji) w protokołach z komisji rady i sesji rady gminy.

 

Zgodnie z art. 11b ust. 2 ustawy  o samorządzie gminnym, jawność działania organów gminy obejmuje w szczególności prawo obywateli do uzyskiwania informacji, wstępu na sesje  rady gminy i posiedzenia jej komisji, a także dostępu do dokumentów wynikających z wykonywania zadań publicznych, w tym protokołów posiedzeń organów gminy i komisji rady gminy. Oczywiste jest, że w treści  protokołów znajdować się będą dane osobowe, jednak w odniesieniu do danych pracowników urzędu nie zachodzi potrzeba ich anonimizacji. Ograniczenie prawa dostępu do informacji publicznej ze względu na prywatność osoby fizycznej, o którym  mowa w art. 5 ust. 2 ustawy  o dostępie do informacji publicznej nie dotyczy  informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji.


Czy po zawarciu umowy, o której mowa w art. 28 RODO, administrator powinien/może nadawać pracownikom podmiotu przetwarzającego lub samemu temu podmiotowi upoważnienia do przetwarzania danych?

 

Zgodnie z art. 28 ust. 3 lit. a RODO, umowa lub inny instrument prawny na podstawie którego następuje powierzenie przetwarzania danych osobowych, stanowią w szczególności, że podmiot
przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Jak zaś stanowi art. 29 RODO, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego  prawo  Unii lub prawo  państwa członkowskiego. Wynika z tego, że upoważnienia konkretnych osób do przetwarzania danych osobowych może dokonać sam podmiot przetwarzający, w zakresie, w jakim pozwala mu na to polecenie administratora.



Czy w przypadku Karty Dużej Rodziny, gdzie administratorem jest Burmistrz/Wójt, należy zawrzeć umowę powierzenia danych osobowych z Kierownikiem OPS?

 

Przepisy ustawy o Karcie Dużej Rodziny wyraźnie wskazują wójta  jako administratora danych osobowych przetwarzanych w zakresie niezbędnym do realizacji zadań wynikających z ustawy  (art. 21 ust. 2). Wykonywanie tych zadań wójt może zlecić  np. ośrodkowi pomocy społecznej lub innej jednostce organizacyjnej gminy, co oczywiście będzie się wiązało z koniecznością powierzenia przetwarzania danych osobowych takiej jednostce. Zgodnie z art. 28 ust. 3 RODO, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Jako że przepisy ustawy  o Karcie Dużej Rodziny nie odwołują się wprost do konstrukcji powierzenia przetwarzania danych i nie zawierają niezbędnych elementów wynikających z art. 28 RODO, konieczne jest zawarcie umowy z jednostką, która będzie pełniła funkcję podmiotu przetwarzającego albo uregulowanie tej kwestii np. w uchwale zlecającej jednostce organizacyjnej gminy realizację zadań związanych z przyjmowaniem wniosków i wydawaniem Kart Dużej Rodziny.



Czy podczas organizacji i przeprowadzenia wyborów powinniśmy zachować jakieś szczególne warunki ostrożności podczas przetwarzania danych – przykład spis wyborczy - wyborca podchodzi po kartę głosowania jednocześnie odnajdując się w spisie w którym znajduj


Na administratorze ciąży obowiązek przetwarzania danych osobowych zgodnie z zasadami, o których  mowa w art. 5 RODO, w tym zgodnie z zasadą integralności i poufności (art. 5 ust. 1 lit. f RODO), w myśl której  dane osobowe muszą  być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków  technicznych lub organizacyjnych. Konieczne jest zatem takie  zorganizowanie działania lokali wyborczych, aby przetwarzanie  w nich danych osobowych przebiegało w sposób zgodny z prawem – dotyczy to również procedury wydawania kart do głosowania. Wybór konkretnych środków  bezpieczeństwa należy jednak do administratora danych.
Pomocniczo przywołać tu można fragment Uchwały Państwowej Komisji Wyborczej z dnia 25 września 2015 r. w sprawie wytycznych  dla obwodowych komisji wyborczych dotyczących zadań i trybu przygotowania oraz przeprowadzenia głosowania w obwodach głosowania utworzonych w kraju w wyborach do Sejmu Rzeczypospolitej Polskiej i do Senatu Rzeczypospolitej Polskiej, zarządzonych na dzień 25 października 2015 r. Rozdział IV pkt 26: „Zwrócić także należy  uwagę na konieczność zapewnienia ochrony danych osobowych wyborców  ujętych  w spisie, w tym przed ujawnieniem danych osobowych innych osób przy potwierdzaniu przez  wyborcę  odbioru kart do głosowania. W tym celu komisja  stosuje nakładki na spis zabezpieczające dane osobowe innych osób ujętych  w spisie, które  powinny być przekazane przez  urząd  gminy”.



Czy główna księgowa przekazując tzw. „pasek wynagrodzeniowy” może przekazać konkretną pulę takich pasków do kierowników, którzy rozdadzą to w swoich wydziałach wszystkim pracownikom czy indywidualnie każdy powinien się zgłaszać do księgowej pod odbiór tak


Pracownicy działają na wyraźnie polecenie administratora danych. Takim poleceniem są zazwyczaj upoważnienia do przetwarzania danych osobowych, które upoważniają pracowników do przetwarzania danych w konkretnych zbiorach. Nie wydaje się zasadnym upoważnianie kierowników do przetwarzania danych związanych z płacami, chyba, że kierownik, jako bezpośredni przełożony, zgodnie z zakresem swoich  obowiązków, określa wysokość wynagrodzenia, wysokość premii  lub innych składników pensji  pracownika. Jednak należy wziąć pod uwagę fakt, że na pasku wynagrodzeniowym, oprócz danych dotyczących wysokości wynagrodzenia, mogą znajdować się również dane dotyczące potrąceń (np. spłata pożyczki z ZFŚS), a do takich danych kierownik nie powinien mieć dostępu. W związku z tym, przekazywanie kierownikowi pasków wynagrodzeniowych w celu rozdania ich pracownikom mogłoby naruszać zasady ochrony danych osobowych. Co do zasady dane dot. płac  nie powinny wychodzić poza komórkę płacową.  Osobisty odbiór pasków wynagrodzeniowych od osoby  naliczającej płace leży więc w interesie pracownika. Ewentualnie, „paski” mogą zostać tak złożone i spięte zszywaczem, aby ich zawartość nie była widoczna dla kierowników.



Czy na liście obecności można wymienić na jednej stronie kilku pracowników w kolumnach, czy każdy pracownik powinien mieć oddzielną stronę?


Dane  identyfikacyjne pracowników w postaci imienia i nazwiska mogą być udostępniane przez pracodawcę również na zewnątrz, na co wskazuje np. stanowisko zawarte w wyroku Sądu Najwyższego z dnia 19 listopada 2003 r. (sygn. I PK 590/02), które należy uznać za aktualne również w obecnym stanie prawnym: „nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej  i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej. Ujawnienie przez pracodawcę nazwiska (imienia)  pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli  jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw  oraz  wolności pracownika”. Ponadto Sąd w powyższym wyroku wskazał, że „najistotniejszym składnikiem zakładu pracy  (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże  się nierozłącznie z kontaktami zewnętrznymi – kontrahentami, klientami (...).

Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw  pracownika (...). Imiona  i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, ze zgodnie powszechną praktyką są one zasadniczo jawne”. Tym bardziej zatem jest uzasadnione, a nawet wskazane, aby imiona i nazwiska pracowników były udostępniane wewnątrz zakładu pracy. Na listach nie powinna być jednak ujawniana ewentualna przyczyna nieobecności w pracy, tj. urlop  wypoczynkowy czy zwolnienie lekarskie.



Czy Powiatowy Rzecznik Konsumentów ma obowiązek informowania konsumentów w związku z RODO? (czy musi przekazywać klauzulę informacyjną dla swoich interesantów)

 

Powiatowy Rzecznik  Konsumentów przetwarza dane osobowe w celu ochrony interesów konsumentów. Mamy więc do czynienia z przetwarzaniem niezbędnym do wypełnienia obowiązku prawnego ciążącego na administratorze zgodnie z art. 6 ust. 1 lit. c RODO, którego celem jest realizacja ustawowych zadań Powiatowego Rzecznika Konsumenta. Podstawą prawną przetwarzania danych jest art. 37 w zw. z art. 39 oraz  42 ust. 1-5 ustawy  z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (tekst jednolity Dz. U. z 2018 r. poz. 798). Podanie danych osobowych Powiatowemu Rzecznikowi Konsumentów jest dobrowolne, ale konieczne dla celów  związanych z ochroną praw  konsumentów. W związku z tym, że wykonywanie obowiązków Powiatowego Rzecznika Konsumentów wiąże  się ze zbieraniem i przetwarzaniem danych osobowych, to jak najbardziej jest on zobowiązany do spełnienia obowiązku informacyjnego, o którym  mowa w art. 13 RODO.



Czy obowiązek informacyjny będzie wystarczający poprzez wywieszenie owej informacji na tablicy ogłoszeń i stronie BIP jednostki?

Właściwe dostosowanie treści klauzuli informacyjnej oraz wybór formy jej przedstawienia jest niezwykle ważny z punktu widzenia zasady rozliczalności. To na administratorze danych będzie bowiem ciążył obowiązek udowodnienia, że akurat taki rodzaj komunikacji był w danym przypadku najbardziej właściwy. W niektórych ustawach szczególnych zmienianych w związku z rozpoczęciem stosowania RODO ma zostać przyjęte rozwiązanie, zgodnie z którym dany podmiot publiczny realizuje obowiązek, o którym mowa w art. 13 RODO poprzez zamieszczenie informacji w Biuletynie Informacji  Publicznej na stronie podmiotowej, na stronie internetowej oraz w miejscu powszechnie dostępnym w siedzibie tego podmiotu. W projektowanych zmianach Kodeksu postępowania administracyjnego jako zasadę zaproponowano udzielanie przez  organ informacji, o których mowa w art. 13 RODO przy pierwszej czynności  skierowanej do osoby. Pamiętać jednocześnie należy, że w art. 13 ust. 1 RODO mowa jest o podawaniu przez administratora informacji podczas pozyskiwania danych osobowych. Grupa Robocza art. 29 w Wytycznych dotyczących przejrzystości na mocy rozporządzenia 2016/679 (WP260), podkreśla, iż „(…) osoba, której  dane dotyczą, nie powinna być zmuszona do poszukiwania informacji; powinno być dla niej natychmiast oczywiste, gdzie i jak można uzyskać  dostęp do tych informacji (…) administrator danych musi podjąć aktywne działania w celu zapewnienia przedmiotowych informacji osobie, której  dane dotyczą, lub aktywnie skierować osobę, której  dane dotyczą, do miejsca, gdzie takie  informacje się znajdują (np. poprzez bezpośredni link, kod QR, itd.). Osoba, której  dane dotyczą, nie musi podejmować aktywnych działań w celu znalezienia informacji, o których  mowa w tych artykułach, wśród innych informacji, takich  jak regulamin korzystania ze strony internetowej lub aplikacji”.

Rekomendowaną przez  Grupę roboczą praktyką jest uzupełnianie urzędowych wzorów
formularzy/wniosków o klauzulę informacyjną.

 



Jaka dokumentacja jest niezbędna w kwestii RODO w jednostce samorządowej (czy można określić jednoznacznie minimalny zakres takiej dokumentacji)?

Opracowanie dokumentacji zgodnej z RODO musi być  poprzedzone wieloaspektową analizą i oceną ryzyka. Następnie należy wdrożyć system bezpieczeństwa danych osobowych. Ten system musi być cały czas zarządzany i udoskonalany. Samo posiadanie dokumentacji nie wystarczy. Trzeba wdrożyć skuteczne i realnie funkcjonujące procedury, polityki  bezpieczeństwa i instrukcje zarządzania systemami informatycznymi itd. zgodne z obecnie obowiązującymi przepisami, ewentualnie posiadaną dokumentację zaktualizować i uzupełnić.
W skład  dokumentacji związanej z przetwarzaniem danych osobowych w danej jednostce mogą wejść np.:

  1. Polityki ochrony danych osobowych, np. Polityka bezpieczeństwa i instrukcje zarządzania systemami informatycznymi (środki techniczne i organizacyjne itd.),
  2. Rejestr Czynności  Przetwarzania Danych  Osobowych (ADO) lub Rejestr Wszystkich Kategorii Czynności  Przetwarzania Dokonywanych w Imieniu  Administratora (jeżeli podmiot przetwarzający),
  3. wzory klauzul zgód  na przetwarzania danych osobowych,
  4. wzory klauzul informacyjnych o przetwarzanie danych osobowych,
  5. wzór umowy  na przetwarzanie danych osobowych lub wzór umowy o współadministrowaniu (o ile są potrzebne),
  6. rejestr upoważnień na przetwarzanie danych osobowych i wzór upoważnienia na przetwarzanie danych osobowych,
  7. procedurę w przypadku naruszenia ochrony danych osobowych i rejestr naruszeń ochrony danych osobowych,
  8. procedurę prostowania i usuwania danych osobowych
  9. inne.

Samo RODO wymaga wprost tylko posiadania Rejestrów, z pkt. 2) i dokumentowaniu wszelkich naruszeń ochrony danych osobowych. RODO mówi o odpowiednich Politykach ochrony danych. Dlatego każdy podmiot powinien posiadać adekwatną dokumentację. Ponadto, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), każdy administrator (podmiot przetwarzający) musi być  w stanie wykazać: przestrzeganie zasad dotyczących przetwarzania danych osobowych, wdrożenie odpowiednich środków technicznych i organizacyjnych.



RODO a ustawa o cyberbezpieczeństwie

 

Ustawa o cyberbezpieczeństwie z 5.07.2018 r. w rozdz. 5 art. 21 wskazuje na obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa. Tym samym podanie danych kontaktowych jako obligatoryjne zostało określone w Ustawie, a warunkiem jego stosowania jest określenie w zakresie obowiązków pracownika realizacji zadań wynikających z tej ustawy (ale również innych, związanych z obronnością a nie wynikających z tej ustawy). Dodatkowe dane osobowe, niezbędne do realizacji zadań ustawowych, czyli dane kontaktowe osób odpowiedzialnych za realizację planów kryzysowych, które osoba wskazana na podstawie art. 21 powinna posiadać (imię, nazwisko, nr telefonu, adres zamieszkania) również mieszczą się w grupie danych, których podanie jest obowiązkowe do tego celu. Niezbędne jest wskazanie tego obszaru w zakresie obowiązków pracownika. Przyjęcie art. 6 ust. 1 lit. a skutkowałoby brakiem możliwości kontaktu z osobami, a tym samym  niemożnością realizacji zadań ustawowych.

 



Prawo do usunięcia danych (prawo do bycia zapomnianym)

RODO przyznaje osobom, których dane dotyczą, prawo do usunięcia danych, w tym prawo do bycia zapomnianym. Zgodnie z przepisami RODO osoba taka ma prawo w przypadkach opisanych w RODO (wskazanych poniżej) żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki te dane osobowe usunąć. Prawo do bycia zapomnianym obejmuje także prawo do żądania od administratora, który upublicznił dane (np. wyszukiwarkę internetową), aby ten podjął działania w celu poinformowania innych administratorów przetwarzających te dane, że podmiot danych żąda ich usunięcia. Administrator musi zapewnić odpowiednie techniczne i organizacyjne środki pozwalające na całkowite usunięcie danych osoby, która korzysta z prawa do bycia zapomnianym. Należy usunąć dane ze wszystkich miejsc, czyli z m.in.: serwera, poczty, plików Word i Excel, dysków zewnętrznych i przenośnych, ale również z papierowych kopii. Samo przechowywanie przez administratora danych nadal kwalifikowane
jest jako przetwarzanie danych osobowych. Dane osobowe muszą być także usuwane ze wszystkich kopii zapasowych oraz logów. Jeżeli usuwanie z kopii zapasowych pojedynczych rekordów grozi naruszeniem integralności pozostałych gromadzonych danych, to administrator może manualnie przywracać kopie do bazy głównej, a następnie usuwać z nich pojedyncze rekordy i „backupować” bazy zmniejszone o ten rekord, choć jest to dość czasochłonny proces.

Niezbędna jest także wiedza komu, w czasie trwania współpracy, przekazano przetwarzanie danych osoby, która wnosi o prawo do bycia zapomnianym. Obowiązkiem administratora jest
poinformowanie podmiotów przetwarzających (np. dostawców, firmę obsługującą newslettera), by także usunęli dane tej osoby. Kiedy powstaje – na podstawie „prawa do bycia
zapomnianym” – obowiązek usunięcia danych:

  • dane osobowe nie są już niezbędne do celów, do których je zebrano,
  • podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych,
  • podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
  • dane osobowe były przetwarzane niezgodnie z prawem,
  • dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej),
  •  dane zostały zebrane w celu świadczenia usług internetowych dziecku.

Przykłady

  1. Usuwanie danych z kopii zapasowych

Serwis internetowy zajmuje się sprzedażą odzieży online, przetwarzając dane niezbędne do dokonania sprzedaży, w tym doręczenia ubrań kupującemu. Pan Michał Tuz, realizując przysługujące mu na podstawie RODO „prawo do bycia zapomnianym” niezwłocznie po dokonaniu zakupów, zażądał usunięcia swoich danych z wszystkich baz oraz kopii zapasowych sklepu.

Czy sklep ma obowiązek usunąć dane?

Sklep będzie mógł przetwarzać dane Pana Michała Tuz w bazie głównej oraz archiwalnej, a także w kopiach zapasowych, mimo skierowanego żądania usunięcia danych w celu wykazania, że sprzedaż ubrań została dokonana. Zasadniczym celem kopii zapasowych jest jednak zapewnienie ciągłości funkcjonowania systemów informatycznych, nie mogą być one więc utożsamiane z bazami archiwalnymi. Dane w kopiach zapasowych są więc przechowywane krótkotrwale i usuwane chociażby przez nadpisywanie danych. Dane podane przez kupującego jak: imię, nazwisko, adres dostawy oraz dane kontaktowe  mogą być wykorzystywane m.in. przy realizacji jego prawa do gwarancji bądź do ochrony sprzedawcy przed ewentualnymi przyszłymi roszczeniami. Dopóki istnieją podstawy do przetwarzania danych, to sklep może je w tych miejscach przetwarzać. Jednakże gdy przestaną one istnieć, będzie on musiał usunąć dane ze wszystkich wspomnianym miejsc.

        2.Usuwanie danych osób trzecich

Kwiaciarnia internetowa, zbierając zamówienia na doręczenia bukietów, gromadzi m.in. dane
osobowe nadawcy oraz odbiorcy kwiatów, w tym adresy do doręczeń. Kobieta, której kwiaty zostały doręczone, dowiedziawszy się o przekazaniu jej danych przez przesyłającego kwiaty przyjaciela, zażądała natychmiastowego usunięcia jej danych, w tym z wszelkich posiadanych przez kwiaciarnię baz danych oraz kopii. Kwiaciarnia odmówiła usunięcia danych z wszystkich kopii wskazując, że w razie ewentualnej przyszłej kontroli organu nadzorczego, będzie musiała przedstawić, w jaki sposób realizuje prawo do usunięcia danych. W ocenie kwiaciarni nie da się tego zrobić, bez przetwarzania danych osób, które występują z takimi żądaniami.

 Czy kwiaciarnia miała prawo odmówić takiego żądania?

Realizacja obowiązków wynikających z RODO nie powinna być uzasadnieniem gromadzenia
nadmiernej ilości danych osobowych. Kwiaciarnia realizując zasadę rozliczalności może gromadzić dane niezbędne do wykazania, że dane usunęła. W tym przypadku mogą być to jednak logi, które nie prowadzą do konkretnego żądania, identyfikując daną osobę. Kwiaciarnia chcąc dalej przetwarzać dane, nie może uzasadniać więc tego koniecznością rozliczenia się przed organem z wykonania obowiązków wynikających z RODO. Jedynym uzasadnieniem mogłaby być ochrona przed ewentualnymi przyszłymi roszczeniami.

Istnieją sytuacje, kiedy administrator danych nie będzie musiał zrealizować prawa do bycia zapomnianym. Są to m.in. sytuacje, gdy przetwarzanie przez administratora jest wymagane przez prawo unijne albo krajowe bądź jest to niezbędne do ustalenia, dochodzenia lub obrony
roszczeń. Przykładem może być tutaj pracodawca, który ma obowiązek gromadzenia dokumentacji pracowniczej przez 50 lat. Pełna lista wyłączeń zawarta jest w art. 17 ust. 3 RODO.

Podstawa prawna:
Preambuła: motywy 65, 66, 156
art. 17 RODO

Prawo do przenoszenia danych osobowych


Objęte prawem do przenoszenia są dane przetwarzane w systemach IT w związku z korzystaniem przez osobę, której dane dotyczą, z usług lub urządzeń – jak na przykład historia logowania. Prawo do przeniesienia danych nie obejmuje jednak „danych wywnioskowanych” i „danych wywiedzionych”, a są nimi np. wyniki algorytmiczne, które administrator pozyskał na podstawie analizy danych osoby, której dane dotyczą. Przykładowo, dane które posiada służba zdrowia na nasz temat, są przez nas przekazane, ale to, że lekarz je analizuje i wyciąga wnioski to już dane wywiedzione i wywnioskowane. Kolejnym przykładem może być też ocena wiarygodności kredytowej oraz ryzyka ubezpieczeniowego. Prawo do przeniesienia danych stosuje się, jeśli przetwarzanie opiera się podstawie zgody lub umowy. Nie obejmuje ono administratorów, którzy przetwarzają dane niezbędne do wykonania zadania realizowanego w interesie publicznych lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Zakres danych podlegających przeniesieniu obejmuje też dane poddane pseudonimizacji. Zdarza się, że administratorzy danych przetwarzają informacje, które zawierają dane osobowe kilku osób. W takich przypadkach nie powinni oni zbyt wąsko interpretować tego, kogo te dane dotyczą i traktować taką informację jako dane osobowe osoby wnioskującej, np. rejestry połączeń telefonicznych bądź przelewów bankowych. Mimo że zawierają dane nie tylko osoby wnioskującej czy dokonującego przelewu, ale też innych osób, to abonent lub nadawca przelewu powinien mieć możliwość ich otrzymania. Gdy przekazywane dane osobowe dotyczą osób trzecich, to „nowy” administrator nie może ich wykorzystywać do własnych celów (np. oferowania im produktów).  Dane osobowe powinny być przekazywane w powszechnie używanym formacie, który pozwoli je odczytać maszynowo, np. w formacie XML, CSV albo JSON. Administrator we współpracy ze swoimi ewentualnymi podwykonawcami powinien jasno wskazać procedury tak, aby był on w stanie odpowiedzieć na wnioski o przeniesienie danych, podobnie współadministratorzy powinni jasno określić zasady współpracy w tym obszarze. Administratorzy powinni także ustalić procedury identyfikacji osób żądających przeniesienia danych.

„Nowy” administrator danych będzie odpowiedzialny za zapewnienie, aby przekazane mu dane osobowe nie były nadmierne w stosunku do nowego celu przetwarzania danych, dlatego ważne jest wyraźne i bezpośrednie określenie celów, dla których będzie przetwarzał dane osobowe.
Prawo do przeniesienia danych nie jest tym samym co prawo do bycia zapomnianym. „Stary” administrator danych nie będzie miał automatycznie obowiązku usunięcia przeniesionych danych, jednak na żądanie podmiotu danych będzie musiał przeniesione już dane usunąć. Przeniesienie danych nie może niekorzystnie wpływać na prawa i wolności innych osób, czyli np. uniemożliwiać im realizacji prawa do dostępu.

Wyjątki
Przenoszenie danych nie ma zastosowania do ich przetwarzania w zakresie:

  • niezbędnym do wykonania zadania realizowanego w interesie publicznym,
  • niezbędnym w ramach sprawowania władzy publicznej powierzonej administratorowi.

Podstawa prawna:
Preambuła: motywy 68, 73, 156
art. 13 ust. 2 pkt b, art. 14 ust. 2 pkt c, art. 20 RODO

Uzyskiwanie zgody dziecka


Dzieci, które korzystają z usług internetowych, np. portali społecznościowych, są często narażone na wykorzystanie swoich danych osobowych bez ich świadomej zgody, np. w celach marketingowych. Kierując się potrzebą większej ochrony osób małoletnich, RODO reguluje szczególną formę zgody dziecka w stosunku do usług społeczeństwa informacyjnego. Za taką usługę uważa się każdą odpłatną usługę świadczoną na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Wielu administratorów mylnie identyfikuje obowiązek odbierania zgody rodzica zawsze, gdy usługa świadczona jest w sieci Internet. Ma on jednak zastosowanie tylko w ograniczonym zakresie tam, gdzie podstawą przetwarzania danych jest zgoda, a nie np. umowa. W ogromnej ilości przypadków podstawą korzystania z usługi jest akceptacja regulaminu świadczenia usług drogą elektroniczną, np. przy zakładaniu kont na portalach społecznościowych bądź zakładaniu konta e-mail. W takich przypadkach zgoda rodzica na przekazanie danych osobowych z punktu widzenia RODO nie jest wymagana, jednak wymagana może okazać się zgoda rodzica na zawarcie umowy zgodnie z przepisami prawa cywilnego – nie mająca jednak nic wspólnego ze zmianami wynikającymi z RODO. Trzeba odróżniać wyrażenie zgody na przekazanie danych osobowych od wyrażenia zgody na zawarcie umowy.
RODO nakazuje administratorowi podjęcie rozsądnych działań w celu weryfikacji zgody lub aprobaty rodzica lub opiekuna prawnego. Administrator może w tym celu na przykład wprowadzić zasadę uwierzytelniania przez inne konto, która pozwoli dziecku przesłać prośbę o zgodę do sprawdzonego konta rodzica na tym samym portalu.

Przykłady:

  1. Uzyskiwanie zgody dziecka

11-letnia Agnieszka chce wziąć udział w konkursie internetowym na najlepszy plakat. W formularzu zgłoszeniowym trzeba podać numer telefonu, można też wyrazić zgodę na cele marketingowe.

Czy organizatorzy mogą uzyskać zgodę Agnieszki  na cele marketingowe?

Po pierwsze należy zaznaczyć, że do udziału Agnieszki w konkursie niezbędne będzie na gruncie prawa cywilnego wyrażenie zgody przez jej rodziców.
Odnosząc się natomiast do wyrażenia przez Agnieszkę zgody na cele marketingowe, to Agnieszka nie będzie mogła takiej zgody udzielić samodzielnie. Agnieszka musi o to poprosić rodzica bądź opiekuna prawnego. Jednak to na administratorze ciąży obowiązek podjęcia rozsądnych starań w celu zweryfikowania, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Dlatego organizatorzy konkursu powinni wyświetlić komunikat z zapytaniem o wiek. Natomiast po zaznaczeniu opcji wskazującej, że Agnieszka ma poniżej 16 lat (propozycja Ministra Cyfryzacji w nowym projekcie ustawy o ochronie danych osobowych obniża granicę do lat 13), powinien się wyświetlić następny komunikat, w którym zgodę na udział oraz na cele marketingowe może wyrazić tylko rodzic lub opiekun prawny.

Podstawa prawna:
Preambuła: motywy 38, 58, 65
art. 4 pkt 25, art. 8, art. 12 ust. 1, art. 40 ust. 2 pkt g RODO

Anonimizacja a pseudonimizacja

 

Anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których dane dotyczą. Zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym, zasady ochrony danych nie powinny mieć zastosowania do danych zanonimizowanych, co oznacza, że RODO nie stosuje się do przetwarzania takich anonimowych informacji.
Natomiast pseudonimizacja to „ukrycie” danych osobowych, ponieważ nadal istnieje narzędzie, które pozwala je odczytać. Dane osobowe, które są spseudonimizowane, pozostają danymi osobowymi. Poddając je pseudonimizacji, tylko na jakiś czas „ukrywamy” informacje pozwalające zidentyfikować osobę, której dane dotyczą. Aby dokonać skutecznie czynności pseudonimizacji istotne jest to, aby klucz pozwalający odczytać dane był przechowywany osobno, tj. w innym miejscu, niż same dane. Ponadto, klucz musi być odpowiednio zabezpieczony w sposób techniczny i organizacyjny.

Różnica między tymi dwoma procesami wymaga analizy tego, czy dana osoba fizyczna jest nadal możliwa do zidentyfikowania
. Dlatego trzeba wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, co do których istnieje możliwość, że zostaną wykorzystane przez administratora lub inną osobę w celu zidentyfikowania tożsamości tej osoby fizycznej. W tym celu należy wziąć pod uwagę wszelkie czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Podstawa prawna:
Preambuła: motywy 26, 28, 29, 75, 78, 85, 156
art. 4 pkt 5 RODO

Obowiązek zgłaszania naruszeń


Administrator jest zobowiązany do dokumentowania naruszeń ochrony danych osobowych. Zgodnie z RODO naruszenie ochrony danych osobowych, należy bezwzględnie zgłosić w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Nie zawsze występuje konieczność zgłoszenia przypadków naruszenia bezpieczeństwa danych osobowych. Takich przypadków, które nie wywołują bezpośredniego skutku względem osób, których dane dotyczą nie trzeba zgłaszać. Taka sytuacja ma miejsce wtedy, gdy – przykładowo – doszło do przypadkowego zniszczenia nośnika z danymi osobowymi przez osobę upoważnioną do przetwarzania, jednak istniałyby jednocześnie inne nośniki, na których przechowywane są te same dane. Mogłaby być to również sytuacja, gdy poza obszar przetwarzania danych dane nawet w dużych zasobach są wyniesione przez osobę mającą prawo do ich dostępu, ale nie zostały ujawnione i niedługo potem bezpiecznie wróciły na swoje miejsce.

Zgłoszenie musi zawierać m.in.:

  • opis naruszenia, kategorię danych, przybliżoną liczbę osób, których dane dotyczą, liczbę wpisów, których dotyczy naruszenie,
  • opis konsekwencji naruszenia danych,
  • opis środków jakie zastosowano lub jakie administrator proponuje, w celu naprawy sytuacji lub zminimalizowania negatywnych konsekwencji naruszenia.

W przypadku, kiedy naruszenie może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator musi bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą.

Przykłady:

  1. Naruszenie nie powodujące wysokiego ryzyka naruszenia praw lub wolności

Kadrowa firmy X przekopiowała listę płac na niezaszyfrowanego pendrive’a, po czym zabrała go poza siedzibę firmę, by dokończyć pracę w domu. Niestety zgubiła go w drodze do domu.

Czy firma powinna zgłosić takie naruszenie?


W powyższej sytuacji naruszenie trzeba zgłosić, bo niezaszyfrowane dane mogły zostać odczytane przez nieuprawnione do tego osoby. Należy także bezwzględnie pouczyć kadrową i podjąć koniecznie wewnętrzne działania, aby takie sytuacje nie miały miejsca w przyszłości.
Gdyby dane z pendrive’a były szyfrowane, nie dostały się w nieuprawnione do tego ręce i następnego dnia bezpiecznie wróciły do firmy, to nie byłoby potrzeby zgłaszania incydentu, ponieważ dane nie zostały udostępnione osobom nieupoważnionym do przetwarzania. Zostałyby tylko narażone na takie ryzyko.

Wyjątki

Przypadki kiedy nie musimy zgłaszać naruszeń osobom, których dane przetwarzamy są następujące:

  • administrator zastosował odpowiednie środki techniczne i organizacyjne dla danych których dotyczy naruszenie, takie jak szyfrowanie, aby uniemożliwić osobom nieuprawnionym odczytanie danych,
  • administrator w dalszej kolejności użył środków, które eliminują prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą,

  • administrator musiałby dokonać niewspółmiernie dużego wysiłku by powiadomić osobę której dane dotyczą o naruszeniu, wówczas wydawany jest publiczny komunikat lub inny podobny środek by poinformować osoby w skuteczny sposób.

Natomiast niezależnie od tego, przypadki takich naruszeń trzeba będzie udokumentować i przedstawić w razie kontroli organu nadzoru.

Podstawa prawna:
Preambuła: motywy 73, 75, 85-88
art. 33-34 RODO


Czy Uczelnie Wyższe mogą kopiować dowód osobisty?

Nie. Obowiązek ten wynikał z rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów. Jednak rozporządzenie zostało uchylone wraz z nowelizacją Prawa o szkolnictwie wyższym i nauce w 2018 roku. W tym momencie nie ma przepisu, który wymagałby zbieranie kopii dowodów osobistych studentów.


Obowiązki dyrektora szkoły w zakresie ochrony danych osobowych

 

Szkoły oraz placówki oświatowe w swojej działalności wykorzystują dane osobowe uczniów, ich rodziców, nauczycieli i pozostałych pracowników szkoły oraz innych osób, np. zaproszonych gości na uroczystości szkolne, innych członków rodziny dziecka. Oznacza to, że są one zobowiązane do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO).

„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub je-den bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

RODO stosuje się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz w przypadku przetwarzania w sposób inny niż zautomatyzowany, np. w formie tradycyjnej - papierowej, jeżeli dane stanowią lub mogą stanowić część zbioru. Przykładami takich zbiorów danych w szkole są: dzienniki lekcyjne, listy zatrudnionych pracowników, księga ewidencji dzieci, księga uczniów, dzienniki zajęć w świetlicy, arkusze ocen ucznia, księgi arkuszy ocen, które są prowadzone zarówno w systemie informatycznym, jak i przetwarzane tradycyjnie.

Uwaga:

Zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie C-434/16 Nowak pojęcie danych osobowych obejmuje także pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i ewentualne naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi.

 Dane osobowe dzielą się na trzy kategorie:

  1. dane tzw. zwykłe, takie jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wizerunek, adres e-mail itp.,
  2. szczególne kategorie danych osobowych (uprzednio zwane danymi wrażliwymi), wymienione w art. 9 RODO ujawniające: 

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby,

    c. dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wymienione w art. 10 rozporządzenia (uprzednio również zaliczane do danych wrażliwych).

Przetwarzanie danych wrażliwych wiąże się z koniecznością wypełnienia dodatkowych gwarancji ich ochrony ujętych w art. 9 ust. 2 i art. 10 RODO.

RODO zabrania przetwarzania danych wrażliwych, o ile nie jest spełniona jedna z przesłanek wymienionych w art. 9 ust. 2 RODO. Przetwarzanie danych o wyrokach skazujących i czynach zabronionych jest natomiast możliwe jedynie po spełnieniu warunków wskazywanych w art. 10 RODO.

Podkreślić także należy, że RODO odrębnie reguluje dane dotyczące wyroków skazujących oraz czynów zabronionych. O ich szczególnym statusie prawnym rozstrzyga w odrębnej regulacji, tj. w art. 10. RODO dopuszcza przetwarzanie takich danych osobowych na podstawie przesłanek wynikających z art. 6 ust. 1, jedynie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. W szkołach i placówkach oświatowych przetwarzanie danych o karalności (zarówno o skazaniu, jak i o braku skazania) jest dopuszczalne jeżeli przewidują to wprost przepisy prawa.

 

Administrator w szkole

 

W świetle RODO może nim być osoba fizyczna, osoba prawna, organ publiczny, jednostka organizacyjna i inne podmioty, które decydują o celach i sposobach przetwarzania danych. 

 Często o tym, kto jest administratorem, decydują przepisy sektorowe np. dotyczące oświaty. I tak, status administratora co do zasady przysługuje szkole lub placówce oświatowej.

 Administratorem danych osobowych uczniów, ich rodziców, nauczycieli, pracowników szkoły jest ten, kto decyduje o celach i sposobach przetwarzania tych danych, czyli szkoła, którą reprezentuje dyrektor szkoły.

Należy jednak pamiętać, że to dyrektor szkoły reprezentujący administratora (tj. szkołę) ma zapewnić zgodne z prawem przetwarzanie danych osobowych, jak również to on ponosi odpowiedzialność za działania wszystkich osób upoważnionych do przetwarzania danych osobowych w jednostce. Nie należy zapominać, że odpowiednie zarządzanie danymi osobowymi stanowi element odpowiedzialnego oraz dobrego zarządzania placówką. Ma to też istotny wpływ na budowanie odpowiednich relacji z uczniami oraz ich rodzicami lub opiekunami. 

 

RODO - podstawowe zasady ochrony danych osobowych

 

RODO wprowadza obowiązek przestrzegania następujących zasad ochrony danych osobowych, zgodnie z którymi dane osobowe muszą być: 

  1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);
  2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu);
  3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych);
  4. prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość);
  5. przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania);
  6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

Jednocześnie administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (rozliczalność). Ta zasada kładzie nacisk na praktyczne aspekty wdrożenia RODO w każdej jednostce poprzez wprowadzenie w praktyce odpowiednich procedur i innych działań zapewniających przestrzeganie przepisów o ochronie danych osobowych.

 

Obowiązki szkoły w zakresie ochrony danych osobowych


Szkoła lub placówka oświatowa zobowiązana jest do przestrzegania zasad ochrony danych osobowych, w tym m.in. do:

  • spełnienia względem osób, których dane dotyczą, obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO,
  • zabezpieczenia danych osobowych przez zastosowanie odpowiednich środków technicznych i organizacyjnych, tak aby dane te nie były udostępniane osobom nieupoważnionym oraz aby dane te były chronione przed zniszczeniem albo utratą (np. poprzez szyfrowanie danych, pseudonimizację1, zapewnienie integralności i poufności danych),
  • respektowania praw osób, których dane są przetwarzane, np. udzielania informacji co do celów, sposobów, źródeł, zakresu przetwarzania danych osobowych, spełniania żądań sprostowania, uaktualnienia albo uzupełnienia czy też czasowego wstrzymania ich przetwarzania,
  • wyznaczenia inspektora ochrony danych, co opisane zostało w art. 37 RODO. Szkoła powinna opublikować dane inspektora ochrony danych i powiadomić o jego powołaniu organ nadzorczy, czyli Prezesa UODO. RODO wymaga, by inspektor posiadał fachową wiedzę na temat prawa oraz praktyki w zakresie ochrony danych. Jego stanowisko ma samodzielny i niezależny charakter.

1Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO).

 

Legalność przetwarzania danych osobowych w szkole


Na gruncie RODO przez przetwarzanie danych osobowych należy rozumieć każdą czynność wykonywaną na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, np.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie danych, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnia-nie, dopasowywanie, łączenie, ograniczanie, usuwanie lub niszczenie danych.

 Przetwarzanie danych osobowych zwykłych jest zgodne z prawem wyłącznie wtedy, gdy:

  • osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie,
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub jest konieczne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
  • przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub prawa i wolności osoby, której dane dotyczą. Na przesłankę prawnie uzasadnionego interesu realizowanego przez administratora lub osobę trzecią nie mogą się powołać organy publiczne w ramach wykonywania swoich zadań.

Każda z wyżej wymienionych przesłanek ma charakter autonomiczny i może stanowić samodzielną podstawę przetwarzania danych osobowych. W szkołach i placówkach oświatowych najczęściej przetwarzanie danych odbywa się na podstawie przepisów prawa. W takiej sytuacji nie ma konieczności wyrażenia zgody przez osobę, której dane dotyczą. O zgodę na przetwarzanie danych osobowych należy prosić jedynie wtedy, gdy nie istnieją inne przesłanki przetwarzania danych.

 Jeżeli przetwarzanie danych odbywa się na podstawie zgody, szkoła lub placówka oświatowa musi być w stanie wykazać, że osoba, której dane dotyczą (lub w przypadku osób niepełnoletnich – jej opiekun prawny), wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli oświadczenie zgody jest zawarte w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Bardzo ważne jest to, że zgoda może być w dowolnym momencie wycofana. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. O możliwości wycofania zgody należy poinformować osobę, której dane dotyczą, zanim wyrazi zgodę, a wycofanie zgody musi być równie łatwe jak jej wyrażenie.

 Uwaga:
„Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. 

Na szczególną uwagę zasługuje problematyka przetwarzania szczególnych kategorii danych. Przetwarzanie ich jest co do zasady zabronione, aczkolwiek art. 9 ust. 2 RODO przewiduje zamknięty katalog przesłanek, a spełnienie choć jednej uprawnia szkołę do przetwarzania tego rodzaju danych osobowych. W przypadku szkoły będą to najczęściej:

  • udzielenie przez osobę, której dane dotyczą, lub przez jej opiekuna prawnego (w przypadku niepełno letnich), wyraźnej zgody na przetwarzanie danych w konkretnym celu lub celach,
  • niezbędność przetwarzania danych do wypełnienia obowiązków i wykonywania poszczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia socjalnego i społecznego;
  • niezbędność przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, o ile osoba, której dane dotyczą jest niezdolna do wyrażenia zgody;
  • przetwarzanie danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane do-tyczą;
  • niezbędność przetwarzania danych ze względów związanych z ważnym interesem publicznym, o ile przepisy nie naruszają istoty prawa do ochrony danych;
  • niezbędność przetwarzania danych do celów oceny zdolności pracownika do pracy;
  • niezbędność przetwarzania danych do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych.

Każda z przesłanek legalności przetwarzania szczególnych kategorii danych ma charakter samodzielny. Spełnienie przynajmniej jednej z nich uprawnia administratora do ich przetwarzania.

Szkoła, reprezentowana przez swojego dyrektora, przetwarza dane na podstawie przepisów odnoszących się ściśle do funkcjonowania oświaty. Przede wszystkim są to:

  • Prawo oświatowe;
  • Karta Nauczyciela;
  • ustawa o systemie oświaty;
  • ustawa o systemie informacji oświatowej;
  • ustawa o finansowaniu zadań oświatowych;
  • rozporządzenia do ww. ustaw. 

Szkoła w ramach określonych tymi przepisami może przetwarzać dane osobowe: uczniów i ich opiekunów prawnych (np. rodziców, nauczycieli, innych niż nauczyciele pracowników pedagogicznych, pracowników niebędących nauczycielami zatrudnionych w szkołach prowadzonych przez jednostki samorządu terytorialnego, osób niebędących nauczycielami – asystentów nauczycieli, wolontariuszy itp.

 

Bezpieczeństwo przetwarzania danych osobowych w szkole

 

Jednym z obowiązków szkoły wynikającym z RODO jest właściwe zabezpieczenie danych osobowych. Szkoła zobowiązana jest, zgodnie z art. 32 RODO, przy uwzględnieniu różnych czynników o charakterze technicznym oraz organizacyjnym, zapewnić należyte bezpieczeństwo przetwarzanych danych oraz prowadzić rejestr czynności przetwarzania zgodnie z art. 30 RODO.

Przykładowe środki służące zabezpieczeniu danych to:

  •  pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie uszkodzenia fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

RODO nie zawiera szczegółowych wymogów dotyczących organizacyjnego i technicznego zabezpieczenia danych osobowych, lecz określa jedynie ogólne zasady w tym zakresie. Środki te powinny być dostosowane do zidentyfikowanych ryzyk w organizacji oraz uwzględniać aktualny stan wiedzy w tym zakresie. Publiczne szkoły oraz publiczne placówki oświatowe powinny wziąć pod uwagę wymogi określone przepisami rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

 

Dokumentacja przetwarzania danych osobowych w szkole

 

Szkoła i placówka oświatowa jest zobowiązana prowadzić dokumentację opisującą sposób przetwarzania i zabezpieczenia danych osobowych. Jednak w odróżnieniu od dotychczasowych przepisów RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych. Wymaga jednak, aby zastosowane środki bezpieczeństwa i wszystkie podejmowane w tym zakresie działania można było wykazać. RODO mówi jedynie ogólnie o wdrożeniu przez administratora odpowiednich polityk ochrony danych, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania. RODO bardziej konkretnie wskazuje na: dokumentowanie przeprowadzenia oceny skutków dla ochrony danych, wprowadzenie procedury postępowania w razie naruszenia ochrony danych, czy prowadzenie rejestru czynności przetwarzania danych osobowych. 

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych w szkole

 

RODO przewiduje, że administratorzy mają obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Art. 30 RODO wskazuje jego obligatoryjne elementy. Ze względu na charakter przetwarzania danych osobowych przez szkoły i placówki oświatowe należy przyjąć, że mają one obowiązek prowadzenia rejestru czynności przetwarzania.

 

Obowiązek szkoły - zgłaszanie naruszeń ochrony danych


Art. 33 RODO - obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi UODO. Przez pojęcie naruszenia ochrony danych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).

Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Można wyróżnić trzy typy naruszenia ochrony danych osobowych:

  •  naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;

Przykład: Przypadkowe wysłanie danych osobowych ucznia do niewłaściwego rodzica.

  • naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;

Przykład: Zgubienie lub kradzież nośnika zawierającego kopię danych kontaktowych rodziców.

Przykład: Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane z e-dziennika. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu.

  • naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.

Przykład: Pracownik szkoły przez pomyłkę zmienia nazwiska rodziców uczniów poprzez dopisanie litery „s” na końcu każdego z nich.

Uwaga:
W przypadku naruszenia administrator danych osobowych niezwłocznie (w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenie naruszenia) zgłasza je Prezesowi UODO, chyba że jest mało prawdopodobne, żeby naruszenie powodowało uszczerbek w prawach lub wolnościach osób fizycznych. 

Zgłoszenie naruszenia organowi nadzorczemu powinno, co najmniej zawierać takie informacje, jak:

  • charakter naruszenia, w tym w miarę możliwości rodzaj danych oraz przybliżoną liczbę osób, których naruszenie dotyczy,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • przewidywane konsekwencje naruszenia ochrony danych osobowych,
  • zastosowane lub proponowane środki w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środki służące zminimalizowaniu ewentualnych negatywnych skutków naruszenia.

Zgodnie z art. 34 pkt 1 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zatem administrator jest zobowiązany do zawiadomienia osoby, której dane dotyczą, gdy spełnione zostaną łącznie dwie przesłanki:

  • dojdzie do naruszenia ochrony danych osobowych;
  • może ono powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się i by faktycznie doszło do naruszenia praw lub wolności; dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczający jest fakt samego pojawienia się wysokiego ryzyka naruszenia praw lub wolności.

RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować przedmiotowy obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności pod-miotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO. Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie im podjęcia niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Jako przykład można wskazać wyciek haseł bankowych, w przypadku którego reakcja banku powinna być natychmiastowa.


Wyznaczenie inspektora ochrony danych (IOD)


Co do zasady wyznaczenie inspektora ochrony danych (IOD) jest uprawnieniem administratora. Jednak RODO wskazuje przypadki, w których istnieje obowiązek wyznaczenia IOD, w szczególności art. 37 ust. 1 lit. a RODO wskazuje, że administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują: organ lub podmiot publiczny,

Wyznaczenie inspektora ochrony danych (IOD) w szkole


Co do zasady wyznaczenie inspektora ochrony danych (IOD) jest uprawnieniem administratora. Jednak RODO wskazuje przypadki, w których istnieje obowiązek wyznaczenia IOD, w szczególności art. 37 ust. 1 lit. a RODO wskazuje, że administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują: organ lub podmiot publiczny.

Na tej podstawie dyrektorzy szkół publicznych będących jednostkami budżetowymi zobowiązani są do wyznaczenia inspektora ochrony danych oraz zawiadomienia o tym Prezesa UODO. Inspektorem ochrony danych może być osoba zatrudniona w szkole lub osoba wykonująca zadania na podstawie umowy o świadczenie usług. Inspektor ochrony danych osobowych może wykonywać inne zadania i obowiązki, jednakże administrator musi zapewnić, żeby takie zadania lub obowiązki nie powodowały konfliktu interesów (art. 38 ust. 6 RODO).

Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć - z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych osobowych.

RODO podkreśla, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Powołany w szkole inspektor ochrony danych powinien odznaczać się wiedzą na temat prawa i praktyk w zakresie RODO, pozostałych przepisów unijnych oraz krajowych przepisów odnoszących się do ochrony danych osobowych, wiedzą w obszarze działania administratora (w tym przypadku systemu oświaty) i znajomością procedur administracyjnych oraz funkcjonowania jednostki. Ponadto inspektor ochrony danych powinien posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych w szkole.


 

Przetwarzanie danych w imieniu administratora (Szkoły) w ramach powierzenia przetwarzania danych


W działalności szkół niejednokrotnie dochodzi do udostępnienia danych osobowych innym podmiotom (określanym zgodnie z RODO, jako podmioty przetwarzające) w związku ze zleceniem realizacji określonych zadań, np. prowadzenia obsługi dzienników elektronicznych, czy całego systemu monitoringu zainstalowanego w danej szkole. Zgodnie z art. 4 pkt 8 RODO, podmiotem przetwarzającym może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Szczegółowe uregulowanie tego stosunku zawiera art. 28 RODO. Szkoła, jako administrator, może powierzyć wykonanie takiej usługi podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Przetwarzanie przez podmiot przetwarzający odbywa się przede wszystkim na podstawie umowy określającej:

  1. przedmiot i czas trwania przetwarzania,
  2. charakter i cel przetwarzania,
  3. rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  4. obowiązki i prawa administratora.

Ponadto podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za przetwarzanie danych niezgodnie z zawartą umową. Zawarcie takiej umowy nie zmienia statusu ich administratora - jest on w dalszym ciągu odpowiedzialny za ich prawidłowe przetwarzanie. Odnosi się to również do sytuacji ustawowego powierzenia przetwarzania danych, np., gdy obsługę administracyjną, czy księgową pełni jednostka powołana przez organ prowadzący.

 

Przetwarzanie danych przez organ prowadzący szkołę


Organem prowadzącym szkołę może być minister, jednostka samorządu terytorialnego (gmina, powiat, województwo), inne osoby prawne i fizyczne1.

Szkoły co do zasady mogą przetwarzać dane osobowe w ramach realizacji zadań wynikających z przepisów oświatowych2. Szkoły są również uprawnione do przekazywania zebranych przez siebie danych organom je prowadzącym, gdy wiąże się to z wykonywaniem przez nie swoich kompetencji lub obowiązków określonych tymi przepisami prawa. W takiej sytuacji przesłanką legalności przetwarzania tych danych będzie art. 6 ust. 1 lit. c lub lit. e RODO.

Organ prowadzący szkołę odpowiada za jej działalność. Do zadań organu prowadzącego szkołę należy w szczególności3:

  • zapewnienie warunków działania szkoły lub placówki, w tym bezpiecznych i higienicznych warunków nauki, wychowania i opieki,
  • zapewnienie warunków umożliwiających stosowanie specjalnej organizacji nauki i metod pracy dla dzieci i młodzieży objętych kształceniem specjalnym,
  • wykonywanie remontów obiektów szkolnych oraz zadań inwestycyjnych w tym zakresie,
  • wyposażenie szkoły lub placówki w pomoce dydaktyczne i sprzęt niezbędny do pełnej realizacji pro-gramów nauczania, programów wychowawczo-profilaktycznych, przeprowadzania egzaminów oraz wykonywania innych zadań statutowych,
  • zapewnienie obsługi administracyjnej, w tym prawnej, obsługi finansowej, w tym w zakresie wykonywania czynności, o których mowa w ustawie o rachunkowości4 i obsługi organizacyjnej szkoły (nie dotyczy to organów prowadzących szkoły, które na podstawie art. 2 ust. 1 pkt 2 oraz ust. 4 ustawy o rachunkowości, nie są obowiązane do stosowania zasad rachunkowości określonych tą ustawą),
  • wykonywanie czynności w sprawach z zakresu prawa pracy w stosunku do dyrektora szkoły.

Zadania organu prowadzącego szkołę w samorządach terytorialnych sprawują: wójt (burmistrz, prezydent miasta), zarząd powiatu, zarząd województwa, rada gminy, rada powiatu, sejmik województwa, starosta, marszałek województwa5.

W odniesieniu do osób prawnych, np. stowarzyszeń, zadania organu prowadzącego szkołę sprawują ich zarządy (organy wykonawcze).

 

 


1Art. 3 pkt 5 ustawy o systemie oświaty w zw. z art. 4 pkt 16 ustawy Prawo oświatowe.
2Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2018 r., poz. 1457), ustawa z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2018 r., poz. 996), ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela (Dz. U. z 2018 r., poz. 967), ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2018 r., poz. 917).
3Art. 10 ust. 1 i 2 ustawy Prawo oświatowe.
4Art. 4 ust. 3 pkt 2-6 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2018 r. poz. 395, 398 i 650).
5Art. 29 ustawy Prawo oświatowe

 

Sytuacje, w których organ prowadzący szkołę zgodnie z prawem ma dostęp do danych


Organ prowadzący szkołę ma dostęp (a szkoła mu ten dostęp zapewnia) do danych osobowych przetwarzanych w szkole w związku z realizacją swoich obowiązków wynikających z przepisów prawa.

Dostęp organu prowadzącego do danych osobowych musi być adekwatny do celu przetwarzania danych, co oznacza, że zakres udostępnianych danych musi być odpowiedni (bez nadmiaru) do celu przetwarzania (zasada minimalizacji danych).

Organ prowadzący szkołę ma prawo dostępu - na potrzeby kontroli - do objętej zakresem kontroli dokumentacji będącej w posiadaniu szkoły. W takiej sytuacji organ ten będzie odrębnym administratorem danych osobowych przetwarzanych w związku z kontrolą od szkoły lub placówki. Osoba kontrolująca powinna mieć upoważnienie do przetwarzania danych osobowych w zakresie przeprowadzenia kontroli, nadane przez organ prowadzący1.

Jeżeli organ prowadzący szkołę zapewnia jej obsługę administracyjną, prawną, czy finansową, to szkoła, jako administrator danych, udostępnia dane w ramach powierzenia przetwarzania danych tylko w zakresie niezbędnym do realizacji tego celu oraz po spełnieniu wymogów określonych w art. 28 RODO.

Przed udostępnieniem danych organowi prowadzącemu, np. na potrzeby kontroli, szkoła powinna wiedzieć, jakie dane ma udostępnić oraz rozważyć, czy żądany przez organ prowadzący zakres danych nie jest zbyt szeroki w stosunku do celu kontroli.

Organ prowadzący szkołę ma dostęp do danych osobowych nauczycieli (tj. imion, nazwisk, stopni awansów zawodowych, kwalifikacji poszczególnych nauczycieli oraz rodzajów prowadzonych przez nich zajęć, w tym liczby godzin tych zajęć), zawartych w arkuszu organizacyjnym szkoły2. Arkusz organizacyjny szkoły jest zatwierdzany przez organ prowadzący i stanowi informację publiczną3.

 


1Art. 29 i 32 ust. 4 RODO
2Art. 110 ustawy Prawo oświatowe w zw. z § 17 rozporządzenia ministra Edukacji Narodowej z dnia 17 marca 2017 r. w sprawie szczegółowej organizacji publicznych szkół i publicznych przedszkoli (Dz. U. z 2017 r., poz. 649)
3Art. 1, 4 i 6 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r., poz. 1330)

  

Sytuacje, w których organ prowadzący nie może mieć dostępu do danych gromadzonych w szkole

 

Organ prowadzący szkołę nie może mieć dostępu do danych zawartych w aktach osobowych: nauczycieli, innych niż nauczyciele pracowników pedagogicznych, osób niebędących nauczycielami – np. asystentów nauczycieli (w kontekście zwierzchnictwa służbowego dyrektora szkoły). To dyrektor szkoły ma prawo dostępu do danych pracowniczych z akt osobowych ww. osób, ponieważ wykonuje w stosunku do tych osób obowiązki pracodawcy. Organ prowadzący szkołę ma dostęp wyłącznie do danych dyrektora szkoły (zawartych w jego aktach osobowych), w związku z wykonywaniem czynności w sprawach z zakresu prawa pracy w stosunku do dyrektora.

Organ prowadzący szkołę nie powinien mieć dostępu do danych uczniów (i ich rodzin) zawartych w dokumentacji prowadzonej przez szkołę, które odnoszą się do indywidualnych problemów psychologicznych, czy pedagogicznych uczniów. 

Przekazanie danych osobowych organowi prowadzącemu przez szkołę

 

Szkoła może przekazywać gromadzone przez siebie dane osobowe w postaci papierowej lub elektronicznej organowi prowadzącemu, jeżeli takie działanie ma odpowiednią podstawę prawną oraz spełnione zostały wymogi bezpieczeństwa danych osobowych1. Organ prowadzący jest obowiązany przetwarzać pozyskane od szkoły dane w sposób zapewniający ich bezpieczeństwo.

 

 


1Art. 32 RODO.

 

Realizacja obowiązku informacyjnego przez szkołę w trakcie rekrutacji

 

Przepisy prawa oświatowego regulują zagadnienie realizacji obowiązku rocznego przygotowania przedszkolnego, obowiązku szkolnego i obowiązku nauki. Dzieci, młodzież oraz osoby pełnoletnie przyjmuje się odpowiednio do publicznych przedszkoli, oddziałów przedszkolnych w publicznych szkołach podstawowych, publicznych innych form wychowania przedszkolnego, publicznych placówek oraz do klas I szkół wszystkich typów oraz klas wstępnych po przeprowadzeniu postępowania rekrutacyjnego. Do klasy I publicznej szkoły podstawowej, której ustalono obwód, dzieci zamieszkałe w obwodzie przyjmuje się z urzędu.

W toku postępowania rekrutacyjnego lub zgłaszania dziecka do szkoły lub placówki rodzice zobowiązani są do dopełnienia wynikających z przepisów czynności. Prawo oświatowe w art. 150 i 151 wskazuje wprost na treść wniosku i niezbędne załączniki oraz na treść zgłoszenia. Przepisy wskazują m.in. na konieczność podania danych osobowych kandydata, takich jak: imię, nazwisko, data urodzenia, nr PESEL, adres zamieszkania jak również przewidują konieczność dołączenia w określonych przypadkach np. prawomocnego wyroku sądu rodzinnego orzekającego rozwód lub separację lub aktu zgonu oraz oświadczenia o samotnym wychowywaniu dziecka oraz niewychowywaniu żadnego dziecka wspólnie z jego rodzicem, oświadczenia o dochodzie na osobę w rodzinie kandydata - jeżeli organ prowadzący określił kryterium dochodu na osobę w rodzinie kandydata.

Należy zatem zwrócić uwagę, że w toku postępowania rekrutacyjnego gromadzone są liczne dane osobowe kandydata do szkoły, a w przypadku kandydata niepełnoletniego, także dane jego rodziców.

Tym samym należy zwrócić szczególną uwagę na konieczność przestrzegania przez szkoły obowiązków wynikających z przepisów dotyczących ochrony danych osobowych. Na etapie pozyskiwania danych osobowych, szczególne znaczenie ma konieczność spełnienia przez szkoły obowiązku informacyjnego. Dotyczy to postępowania rekrutacyjnego do wszystkich szkół i placówek. 

Obowiązek informacyjny na gruncie przepisów RODO to obowiązek przekazania osobie, której dane dotyczą, informacji na temat przetwarzania danych osobowych. Realizacja obowiązku informacyjnego oraz zapewnienie zgodności z prawem przetwarzania danych osobowych spoczywa na szkole.

 

Informowanie osób, których dane dotyczą, o przetwarzaniu ich danych, stanowi jeden z podstawowych obowiązków administratora określonych w art. 13 i 14 RODO. 

RODO wyróżnia dwie sytuacje, w których może mieć miejsce zbieranie danych osobowych:

  • zbieranie danych od osoby, której dane dotyczą (tzw. pierwotne gromadzenie danych osobowych, o którym mowa w art. 13 RODO),
  • zbieranie danych nie od osoby, której dane dotyczą (tzw. wtórne gromadzenie danych osobowych, o którym mowa w art. 14 RODO).

W tym miejscu należy również podkreślić, że przepisy RODO przewidują możliwość zwolnienia z obowiązku informacyjnego. Kwestia ta została odmiennie uregulowana w zależności od tego, czy mamy do czynienia z pierwotnym czy z wtórnym pozyskiwaniem danych.

W przypadku pierwotnego pozyskiwania danych, ustawodawca przewidział zwolnienie z obowiązku informacyjnego wyłącznie w zakresie, w jakim osoba, której dane dotyczą, dysponuje już informacjami.

W przypadku wtórnego pozyskiwania danych, RODO wymienia cztery przypadki, w których administrator jest zwolniony z obowiązku informacyjnego. Są to sytuacje, gdy:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami,
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, lub o ile spełnienie tego obowiązku, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W ta-kich przypadkach administrator musi podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie,
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator,
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Zarówno w przypadku zgłoszenia, jak i wniosku o przyjęcie do szkoły, co do zasady mamy do czynienia ze zbieraniem danych osobowych od osoby, której dane dotyczą. W świetle przepisów RODO w takim przypadku istnieje obowiązek informacyjny. Sposób jego spełnienia jest dowolny, ale należy pamiętać, że trzeba go spełnić podczas pozyskiwania danych osobowych.

Art. 152 Prawa oświatowego uprawnia organy prowadzące szkoły publiczne do określenia wzoru wniosku lub zgłoszenia. Niejednokrotnie na proponowanych przez organy prowadzące dotychczasowych wzorach za-warte są informacje dotyczące przetwarzania danych osobowych. Prawidłową praktyką, zgodną z aktualnie obowiązującymi przepisami, będzie zatem np. dołączanie odpowiedniej klauzuli informacyjnej bezpośrednio do wzoru wniosku czy zgłoszenia lub jako załącznika w postaci elektronicznej

Sporządzenie wzoru wniosku lub zgłoszenia nie jest jednak obowiązkiem organu prowadzącego. Zatem w przypadku, gdy nie został sporządzony taki wzór lub kandydat do szkoły czy jego opiekun prawny nie zdecydował się skorzystać ze wzoru, klauzula informacyjna powinna być wręczana podczas składania dokumentów.

Przepisy Prawa oświatowego uprawniają do przeprowadzania postępowania rekrutacyjnego z wykorzystaniem systemów informatycznych. W takiej sytuacji możliwe jest sporządzenie formularza elektronicznego zawierającego odpowiednią klauzulę informacyjną, co stanowić będzie niezbędny element formularza.

Oczywisty wydaje się fakt, że realizacja obowiązku informacyjnego powinna odbywać się poprzez doręczanie prawidłowej klauzuli odpowiednio pełnoletnim kandydatom do szkół lub opiekunom prawnym działającym w imieniu kandydatów niepełnoletnich.

Niespełnienie obowiązku rocznego przygotowania przedszkolnego, obowiązku szkolnego lub obowiązku nauki podlega egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji. W takiej sytuacji w świetle tych przepisów wierzycielem obowiązku jest:

  • w przypadku obowiązku szkolnego - dyrektor publicznej szkoły podstawowej, w której obwodzie dziecko mieszka,
  • w przypadku obowiązku nauki - organ gminy (jej organ wykonawczy, tj. wójt, burmistrz, prezydent miasta). 

Natomiast organem egzekucyjnym w zakresie wszystkich obowiązków edukacyjnych jest wójt, burmistrz lub prezydent miasta.

Organ gminy jest organem odpowiedzialnym za przekazanie dyrektorom szkół obwodowych informacji o dzieciach i młodzieży zamieszkałych w gminie, sporządzanych na podstawie ewidencji ludności. Dyrektor obwodowej szkoły podstawowej jest organem kontrolującym spełnienie obowiązku szkolnego. Jest on zobowiązany do prowadzenia księgi ewidencji dzieci i młodzieży podlegających obowiązkowi szkolnemu.

Mając na uwadze powyższe w kontekście uregulowanego w RODO obowiązku informacyjnego wskazać na-leży, że w wyniku realizacji tego obowiązku, dyrektor szkoły pozyskuje dane osobowe nie od osoby, której dane dotyczą. Mając na uwadze, że przekazywanie powyższych danych wynika wprost z przepisów Prawa oświatowego (art. 41 i 42) uznać należy, że szkoła nie musi informować o pozyskaniu danych z gminy. Natomiast na etapie prowadzenia rekrutacji, gdy do szkoły zgłaszają się kandydaci, obowiązek informacyjny musi być spełniony niezależnie od tego czy mieszkają oni w obwodzie szkoły, czy też poza nim.

Uwaga: 
Obowiązek informacyjny należy spełnić w sposób jasny, przejrzysty i łatwo dostępny dla osoby, której dane dotyczą. Należy unikać języka prawniczego i dostosować treść do odbiorcy. Realizacja obowiązku informacyjnego wymaga analizy wszystkich kanałów komunikacji między szkołą a różnymi osobami, których dane dotyczą. 

W zależności od sposobu zbierania danych szkoła może w różny sposób spełniać obowiązek informacyjny. Nota informacyjna może być umieszczona w formularzu, wywieszona w miejscu, gdzie osoby, których dane dotyczą podają swoje dane.

W wielu sytuacjach, by zapewnić większą przejrzystość, można skorzystać z warstwowych sposobów informowania. W pierwszej kolejności przekazuje się tylko podstawowe informacje, umożliwiając osobie, której dane dotyczą, łatwe zapoznanie się z pełną informacją wymaganą przez RODO. 

 

Obowiązek informacyjny w kontekście zaproszenia na uroczystości i wydarzenia szkolne

 

W ramach prowadzonej działalności edukacyjnej i wychowawczej, szkoły organizują liczne uroczystości i wydarzenia, jak np. koncerty, przedstawienia. Niejednokrotnie na udział w tego typu wydarzeniach zapraszani są szczególni goście. Kluczową kwestią w tej sytuacji jest decyzja, w jaki sposób zapewnić takim osobom prawo do informacji o przetwarzaniu ich danych osobowych, bez konieczności dołączania do zaproszeń dodatkowych kart zawierających pełną treść obowiązku informacyjnego. Rozwiązaniem w takim przypadku wydaje się być tzw. warstwowe przekazywanie informacji.

Warstwowe przekazywanie informacji polega na wskazaniu osobie, której dane dotyczą, jedynie najistotniejszych elementów wynikających z art. 13 lub 14 RODO (np. kto jest administratorem, w jakim celu dane są przetwarzane), odsyłając jednocześnie do pełnej treści obowiązku informacyjnego, np. na konkretnej stronie internetowej. Takie rozwiązanie jest dopuszczalne w przypadku, gdy administrator z uwagi na kontekst przetwarzania danych oraz narzędzia komunikacji nie ma możliwości, żeby wykonać w pełni obowiązek informacyjny lub byłoby to utrudnione. Z uwagi na powyższe wydaje się, że w przypadku kierowania zaproszeń na uroczystości odbywające się w szkole dopuszczalne jest warstwowe przekazywanie informacji.

Uwaga:
W zależności od tego, kogo zapraszamy i jakie jest źródło danych osobowych gościa, w każdym indywidualnym przypadku należy rozważyć konieczność i sposób wypełnienia obowiązku informacyjnego.

 

 

Publikacja list uczniów przyjętych do szkoły


Szkoły i placówki publikują listy kandydatów zakwalifikowanych i niezakwalifikowanych oraz przyjętych i nieprzyjętych w swojej siedzibie. Wynika to wprost z art. 157 ust. 2 pkt 2 i art. 158 ust. 1, 3 i 4 ustawy Prawo oświatowe. Szkoły i placówki zostały więc zobowiązane do podania do publicznej wiadomości poprzez umieszczenie w widocznym miejscu w siedzibie danego publicznego przedszkola, publicznej innej formy wychowania przedszkolnego, publicznej szkoły lub publicznej placówki listy zawierającej imiona i nazwiska kandydatów oraz informację o zakwalifikowaniu albo niezakwalifikowaniu, przyjęciu albo nieprzyjęciu kandydata do danego publicznego przedszkola, oddziału przedszkolnego w publicznej szkole podstawowej, publicznej innej formy wychowania przedszkolnego, publicznej szkoły, publicznej placówki, na zajęcia w publicznej placówce oświatowo-wychowawczej, na kształcenie ustawiczne w formach pozaszkolnych lub na kwalifikacyjny kurs zawodowy. Listy powinny zawierać imiona i nazwiska kandydatów uszeregowane w kolejności alfabetycznej oraz najniższą liczbę punktów, która uprawnia do przyjęcia. Publikacja jest ograniczona w czasie – zgodnie z art. 158 ust. 10 ustawy Prawo oświatowe.

Polski prawodawca wprost zdecydował, w jakim zakresie oraz w jaki sposób powinny zostać opublikowane listy uczniów. Zatem publikowanie wyników procesu rekrutacyjnego na stronie internetowej szkoły jest niedopuszczalne, niezależnie od tego, czy na taką publikację wyraził zgodę uczeń lub opie-kun prawny ucznia.

 

Przetwarzanie danych przez pielęgniarkę w szkole

 

Zgodnie z przepisami prawa uczniowie są w szkole objęci podstawową opieką zdrowotną. Jej realizacja odbywa się na podstawie porozumienia zawartego pomiędzy podmiotem leczniczym i szkołą oraz umowy o udzielanie świadczeń opieki zdrowotnej zawartej między podmiotem leczniczym i Narodowym Funduszem Zdrowia. Zasady funkcjonowania gabinetu profilaktyki zdrowotnej zostały szczegółowo uregulowane w przepisach prawa. Należy wskazać, że pielęgniarka lub higienistka szkolna nie jest pracownikiem szkoły oraz nie jest podległa służbowo dyrektorowi szkoły. Na dyrektorze ciąży obowiązek zapewnienia uczniom dostępu do gabinetu profilaktyki zdrowotnej (zawarcie umowy i zapewnienie miejsca). Poza kompetencją dyrektorów szkoły są natomiast kwestie samego świadczenia podstawowej opieki zdrowotnej, jak i zasady postępowania z dokumentacją tworzoną w wyniku jej świadczenia.

Obowiązek właściwego przechowywania dokumentacji medycznej ciąży na podmiocie leczniczym świadczącym opiekę zdrowotną w szkole. Zasady obchodzenia się z tego typu dokumentacją określają zwłaszcza przepisy ustawy o prawach pacjenta oraz rozporządzeń wykonawczych. W związku z niezależnością świadczenia opieki zdrowotnej, zarówno szkołę, jak i podmiot leczniczy należy traktować jako odrębnych administratorów danych, którzy sami, każdy w swoim zakresie i celu, określają sposoby przetwarzania danych osobowych.

Dokumentacja medyczna uczniów jest przechowywana w gabinecie profilaktyki zdrowotnej znajdującym się w szkole przez okres pobierania przez niego nauki w danej szkole. W przypadku zmiany szkoły, tak zebraną dokumentację medyczną powinni odebrać opiekunowie prawni lub faktyczni ucznia celem przekazania jej nowej szkole. Natomiast gdy uczeń kończy edukację, pielęgniarka lub higienistka szkolna przekazuje dokumentację lekarzowi podstawowej opieki zdrowotnej, który sprawuje opiekę zdrowotną nad uczniem na podstawie deklaracji wyboru lekarza podstawowej opieki zdrowotnej (lekarzowi rodzinnemu). W przypadku np. zaprzestania wykonywania działalności leczniczej, podmiot udzielający świadczeń zdrowotnych przekazuje dokumentację medyczną podmiotowi przejmującemu jego zadania. Powinno to nastąpić w sposób zapewniający zabezpieczenie jej przed zniszczeniem, uszkodzeniem lub utratą oraz dostępem osób nieuprawnionych.

 

Przetwarzanie danych uczniów w dokumentacji udzielania pomocy psychologiczno-pedagogicznej w szkole

Dokumentowanie udzielania pomocy psychologiczno-pedagogicznej w szkołach regulują przepisy ustawy – Prawo oświatowe oraz akty wykonawcze1.

Publiczne przedszkola i oddziały przedszkolne w szkołach podstawowych, publiczne szkoły oraz publiczne placówki udzielają uczniom uczęszczającym do tych przedszkoli, szkół i placówek, ich rodzicom oraz nauczycielom pomocy psychologiczno-pedagogicznej, którą organizuje dyrektor przedszkola, szkoły lub placówki. Specjaliści, którzy udzielają uczniom tej pomocy, prowadzą dokumentację w formie dzienników zajęć. Ponadto w indywidualnej teczce, dla każdego dziecka, ucznia, czy uczestnika objętego pomocą psychologiczno-pedagogiczną, placówki gromadzą dokumentację badań i czynności uzupełniających prowadzonych w szczególności przez pedagoga, psychologa, logopedę, doradcę zawodowego, terapeutę pedagogicznego, lekarza oraz innego specjalistę, a także gromadzą indywidualne programy edukacyjno-terapeutyczne.

Zajęcia z zakresu pomocy psychologiczno-pedagogicznej dla dzieci są prowadzone w związku z realizacją przez szkoły swoich systemowych zadań. Dokumentacja pomocy psychologiczno-pedagogicznej udzielonej uczniowi stanowi część dokumentacji przebiegu nauczania i zawiera dane osobowe, w tym dane szczególnie chronione. Udzielanie pomocy psychologiczno-pedagogicznej jest uregulowane przepisami prawa. Z tego względu spełnione są przesłanki określone w art. 6 i art. 9 RODO.

Należy zaznaczyć, że pojęcie dokumentacji nie jest tożsame z pojęciem danych osobowych. RODO w art. 15 wprowadziło prawo dostępu przysługujące osobie, której dane dotyczą. Zgodnie z art. 15 ust. 3 RODO, administrator, w przypadku szkoły – reprezentujący ją dyrektor, dostarcza (na wniosek) osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Osoba, której dane dotyczą, nie jest uprawniona do żądania innych niż dotyczących jej danych. Uprawnienie przewidziane w art. 15 ust. 3 RODO, dotyczące możliwości pozyskania kopii danych ma, jako jedno z najważniejszych praw podmiotu danych, charakter gwarancyjny i kontrolny, pozwalający np. na zweryfikowanie zgodności przetwarzania danych z prawem. 

 


1Rozporządzenie z dnia 9 sierpnia 2017 r. w sprawie zasad organizacji i udzielania pomocy psychologiczno-pedagogicznej w publicznych przedszko-lach, szkołach i placówkach (Dz.U. z 2017 r. poz. 1591) oraz rozporządzenie z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2014 r. poz. 1170)

 

Udzielanie informacji o uczniu osobom trzecim

 

W przypadku dzieci w wieku szkolnym dość często zdarza się, że podczas nieobecności rodziców, opiekę nad nimi sprawują dziadkowie lub rodzeństwo. Przyjętą dobrą praktyką jest zgłaszanie przez opiekunów prawnych osoby lub osób, które mogą pozyskiwać informacje o dziecku, gdy opiekun prawny nie jest dostępny.

Każdorazowe udostępnienie danych dotyczących ucznia innym podmiotom trzecim musi mieć podstawę w obowiązujących przepisach prawa, na które powinny się one powołać. Zgodnie bowiem z art. 6 ust. 1 lit. c RODO, przetwarzanie (w tym udostępnianie) jest dozwolone, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Zakres udostępnianych danych osobowych nie powinien być szerszy niż jest to niezbędne do realizacji zadań nałożonych przepisami prawa na podmiot wnioskujący o udostępnienie danych.
Udzielanie informacji o uczniu przez telefon

 

Przy przetwarzaniu danych osobowych zawsze należy wziąć pod uwagę to, czy przetwarzanie danych osobowych wiąże się lub może wiązać się z naruszeniem praw lub dóbr tej osoby. Najważniejsze jest zidentyfikowanie dzwoniącego oraz ustalenie, czy jest on uprawniony do pozyskania informacji o dziecku. Należy bowiem pamiętać, że szkoła jest zobowiązana zapewnić, aby dane nie były udostępniane osobom nieupoważnionym. Dlatego w takich sytuacjach ważne jest dążenie do potwierdzenie, że osoba dzwoniąca jest tą, za którą się podaje. Informacjami służącymi do weryfikacji dzwoniącego może być np. imię i nazwisko dziecka, wiek dziecka, imiona rodziców, w co dziecko jest ubrane, w której jest klasie, nazwisko wychowawcy itp.

W przypadku wątpliwości co do tożsamości osoby usiłującej pozyskać informacje dotyczące dziecka, powinno się odmówić ich udzielenia, ewentualnie podać informacje ogólne lub odesłać do informacji opublikowanych np. na stronie szkoły.

 

 

Udzielanie informacji o uczniu przez telefon w sytuacjach nagłych

 

Szkoły powinny być przygotowane na to, by w nagłych sytuacjach móc skontaktować się z rodzicem lub opiekunem prawnym ucznia tak, aby móc przekazywać lub pozyskiwać niezbędne informacje. Dzięki temu nie powinno dochodzić do sytuacji, w której odmawia się prawnemu opiekunowi lub osobie upoważnionej udzielenia informacji o nagłym zdarzeniu czy zaistniałym niebezpieczeństwie dotyczącym dziecka.

W sytuacjach kryzysowych zazwyczaj nie ma potrzeby udzielania szczegółowych informacji o stanie zdrowia. Wystarczającymi informacjami przekazywanymi przez telefon może być np. wskazanie, gdzie obecnie znajduje się dziecko, miejsce zdarzenia, rodzaj zdarzenia. Udostępnienie informacji o przebywaniu dziecka w szpitalu będzie miało oparcie w przesłance określonej w art. 9 ust. 2 lit. c RODO – tj. jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Konieczna jest jednak ostrożność, komu udziela się ta-kich informacji.

 

Wykonywanie obowiązków służbowych przez nauczycieli poza szkołą

 

Bardzo ważnym obowiązkiem ciążącym na szkole, jako administratorze danych, jest właściwe zabezpieczenie danych osobowych. Zgodnie z art. 32 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obowiązek ten wiąże się z podjęciem działań technicznych oraz organizacyjnych. Jednocześnie – jak pokazuje praktyka - odpowiednie zabezpieczenie danych nie wymaga wdrożenia wyrafinowanych środków technicznych. Niejednokrotnie wystarczające jest zastosowanie środków technicznych, które są powszechnie dostępne, jak również środków organizacyjnych w dużej mierze będących wyrazem zdrowego rozsądku.

Wynoszenie do domu przez nauczycieli arkuszy ocen czy klasówek stwarza ryzyko naruszenia ochrony danych osobowych poprzez ich utratę, zniszczenie, zmianę treści, uszkodzenie czy też udostępnienie osobom nieupoważnionym (chociażby innym domownikom). 

W przypadku wykonywania obowiązków służbowych poza siedzibą administratora, należy w każdym przypadku rozważyć możliwości odpowiedniego zabezpieczenia danych osobowych, uwzględniając stopień ryzyka naruszenia ochrony danych osobowych i ewentualnie wdrożyć odpowiednie środki minimalizujące to ryzyko lub zrezygnować z tego rodzaju praktyki. 

 

Informacja o zastępstwach w szkole

 

Dyrektor, wykonując swoje obowiązki w zakresie właściwej realizacji dydaktycznych, wychowawczych i opiekuńczych zadań szkoły, powinien organizować zastępstwa doraźne za nieobecnego nauczyciela oraz informować nauczycieli, uczniów i ich rodziców o takich zastępstwach. Dyrektor może udostępnić informacje o zastępstwach w pokoju nauczycielskim, jeżeli zostało to przewidziane w regulaminie przydzielania i organizowania zastępstw doraźnych za nieobecnych nauczycieli stworzonym na podstawie ustawy Karta Nauczyciela1. W tym miejscu wskazać należy, że szkoła powinna przetwarzać dane zgodnie z zasadą minimalizacji, tj. dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 pkt c RODO). Ponadto wskazać należy, że szkoła może przetwarzać (udostępniać) dane osobowe nauczycieli, jeśli dane te nie dotyczą prywatnej sfery jego życia, także bez zgody osoby, której one dotyczą, jeżeli jest to niezbędne do prawidłowego funkcjonowania szkoły. Z tego powodu przekazanie informacji o zastępstwie uczniom i ich rodzicom (imię i nazwisko nauczyciela zastępującego) będzie zgodne z przepisami, ale dodatkowa informacja – np. o stanie zdrowia nauczyciela zastępowanego – nie będzie już zgodna z zasadą minimalizacji.


1Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela (Dz. U. z 2018 r. poz. 967)

 

Wykorzystywanie adresów e-mail do kontaktu nauczyciela z rodzicami

 

Szkoła może wykorzystywać adresy e-mail do kontaktu z rodzicami, jeżeli rodzice wyrażą na to zgodę. Wykorzystując pocztę elektroniczną do kontaktów z rodzicami, szkoła powinna - zgodnie art. 32 RODO - wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiedni do ryzyka. Niemniej należy pamiętać, że istnieją bezpieczniejsze kanały komunikacji z rodzicami, np. poprzez usługę e-dziennika.

Nauczyciele do e-mailowego kontaktu z rodzicami powinni korzystać ze służbowych adresów e-mail oraz odpowiednio zabezpieczać dane osobowe udostępniane w przesyłanych wiadomościach. Nauczyciele nie powinni być zmuszani przez dyrektorów do wykorzystywania w tym celu prywatnego e-maila.

Pozostawienie podpisanych podręczników w szkole

 

Uczniowie mogą pozostawiać w szkole podręczniki, biorąc pod uwagę, że są one podpisane imieniem i nazwiskiem. Należy jednak pamiętać, że administratorem danych osobowych ucznia jest szkoła i to na niej spoczywa obowiązek odpowiedniego zabezpieczenia danych osobowych przed ich dostępem przez osoby nieuprawnione. Jeżeli zatem szkoła przewiduje możliwość pozostawiania przez uczniów podręczników w szkole, to zgodnie z art. 24 ust. 1 RODO uwzględniając ryzyko naruszenia praw lub wolności uczniów o różnym prawdopodobieństwie i wadze zagrożenia, musi wdrożyć właściwe środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Zabezpieczenia powinny zapobiegać dostępowi do danych przez osobę nieuprawnioną, a także chronić dane przed uszkodzeniem, zniszczeniem lub utratą.

Przykładem zabezpieczenia danych, które znajdują się m.in. na podręcznikach czy też innych przyborach szkolnych, jest możliwość korzystania przez uczniów z indywidualnych szafek, które są zamykane na klucz lub za pomocą szyfru, który ustala indywidualnie uczeń. W przypadku bardzo małych dzieci dobrym rozwiązaniem jest przechowywanie książek i innych artykułów szkolnych w sali lekcyjnej w specjalnej szafce, która po zakończeniu zajęć jest zamykana przez nauczyciela i osoby trzecie korzystające z takiej sali nie mają dostępu do tych danych.

 

Karty dostępu w szkole

 

Co natomiast w sytuacji gdy przetwarzanie danych osobowych nie wynika wprost z przepisów dotyczących szeroko rozumianej oświaty?

W takiej sytuacji, gdy podstawa przetwarzania nie wynika z przepisów prawa, niezbędne jest poszukiwanie uzasadnienia osobno dla każdej operacji na danych osobowych.

Jednym z takich przykładów uzasadnionego przetwarzania danych osobowych jest z pewnością zabezpieczenie dostępu do szkoły tylko dla uprawnionych do tego osób, wśród których niewątpliwie znajdować się będą dzieci. Trzeba jednak pamiętać o tym, aby były to środki adekwatne do celów, jakim mają służyć oraz aby dane przetwarzane za pomocą tych środków były jak najbardziej ograniczone i odpowiednio zabezpieczone. To szkoły bowiem będą musiały zadbać o odpowiednie zabezpieczenie danych, które przetwarzają.

Pojawia się zatem pytanie o możliwość stosowania odpowiednich kart dostępu, przy użyciu których wstęp na teren placówki będą miały tylko osoby upoważnione. Jest to niejednoznaczna sytuacja, ponieważ stosowanie tego typu zabezpieczeń nie wynika wprost z przepisów prawa. Podstawy zatem należy szukać posiłkując się innymi uregulowaniami odnoszącymi się do przesłanek przetwarzania danych osobowych, np. art. 6 ust. 1 pkt a RODO. Kolejną przesłanką, której zastosowanie można rozważyć pod kątem stosowania odpowiednich systemów zabezpieczeń, jest przesłanka z art. 6 ust. 1 pkt e RODO, czyli przetwarzania danych w celu wykonania zadania realizowanego w interesie publicznym, takim jak utrzymywanie bezpiecznych i higienicznych warunków nauki, wychowania i opieki w szkołach i placówkach. 

Szkoła w zakresie swojego statutu może zadecydować, że wstęp na teren szkoły mogą mieć tylko osoby wyposażone w odpowiednie identyfikatory. Istotne jest jednocześnie, jaką formę będzie miał taki czytnik, czy będzie on powiązany z systemem, który w wyniku odpowiednich powiązań algorytmicznych będzie w stanie połączyć daną kartę magnetyczną z uczniem, czy będzie tylko narzędziem dostępu niepołączonym z dodatkowym systemem. Potrzebna jest zatem analiza, jakie dane będą przetwarzane i przez jaki czas. Należy pamiętać, że jeżeli dane będą przetwarzane w celu zapewnienia bezpieczeństwa, szkoła nie może przetwarzać tych danych w innym celu, np. dla prowadzenia ewidencji czasu pracy nauczyciela.

W odniesieniu do wskazanych wyżej kwestii należy przypomnieć, że przetwarzanie danych biometrycznych w celach kontroli dostępu na teren szkoły pozbawione jest nie tylko podstawy prawnej, ale także logicznego i racjonalnego uzasadnienia. Przetwarzanie takie, np. w drodze skanowania odcisków palców byłoby pozyskiwaniem danych ponad miarę, z naruszeniem zasady adekwatności oraz uzasadnionego celu. Ograniczenie dostępu na teren szkoły można rozważać pod kątem stosowania kart magnetycznych w drodze właściwie zaprojektowanego i zabezpieczonego systemu.

Należy pamiętać, że oprócz zadania edukacyjnego, to bezpieczeństwo uczniów jest jednym z najważniejszych wyzwań, jakie stoją przed dyrekcją oraz kadrą nauczycielską. W dzisiejszych czasach nietrudno znaleźć rozwiązania z dziedziny nowych technologii, które to bezpieczeństwo mogą zwiększyć - ważne, aby przy ich stosowaniu nie naruszać prawa oraz prywatności uczniów i nauczycieli. 

 

Wywieszanie danych osobowych uczniów na tablicach na terenie szkoły lub umieszczanie ich na stronie internetowej

 

Obowiązki prawne szkoły jako administratora danych

Szkoła ma zapewniać każdemu uczniowi warunki niezbędne do kształcenia się oraz do jego wychowania i opieki, odpowiednio do wieku i osiągniętego rozwoju, tj. wspierać dziecko w rozwoju ku pełnej dojrzałości fizycznej, emocjonalnej, intelektualnej, duchowej i społecznej, które powinno być wzmacniane i uzupełniane przez działania z zakresu profilaktyki problemów dzieci i młodzieży1.

Umieszczanie na tablicach na terenie szkoły danych osobowych uczniów w celu ich wyróżnienia za szczególne osiągnięcia, jak również wywieszanie pod różnego rodzaju pracami artystycznymi podpisów zawierających pełne imiona i nazwiska uczniów, którzy te prace wykonali, nie wymaga wcześniejszej zgody rodziców lub opiekunów prawnych, czy samych uczniów, jeżeli są pełnoletni, gdyż jest to związane z zadaniem realizowanym przez szkołę w interesie publicznym (art. 6 ust. 1 lit. e RODO). Należy pamiętać, że taka praktyka stanowi element działań motywacyjnych, nagradzających wysiłek włożony w realizację powierzonych dzieciom zadań. Przyczynia się też do wzmocnienia poczucia własnej wartości ucznia.

Gdyby jednak wspomniana praktyka wystawiania prac godziła w ocenie rodziców w jego dobro, rodzice takiego ucznia na podstawie art. 21 ust. 1 RODO mogą skorzystać z uprawnienia do złożenia sprzeciwu z przyczyn związanych ze szczególną sytuacją takiej osoby.

Obowiązek uzyskania zgody

Są jednak sytuacje, w których przetwarzanie danych dzieci lub rodziców jest dopuszczalne wyłącznie na podstawie zgody rodzica lub opiekuna prawnego albo ucznia, jeżeli jest pełnoletni.

Publikacja zdjęć uczniów na stronie internetowej nie znajduje oparcia w żadnym przepisie prawa. Zagadnienie to wiąże się nie tylko z ochroną danych osobowych dzieci, lecz także z ochroną ich wizerunku - rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej - art. 81 ust.1 ustawy o prawie autorskim i prawach pokrewnych2. Niezależnie od ochrony przewidzianej w innych przepisach, wizerunek pozostaje ponadto pod ochroną prawa cywilnego - art. 23 Kodeksu cywilnego3.  

Publikacja zdjęć dziecka na stronie internetowej ułatwia identyfikację konkretnego ucznia i powiązanie go z konkretną szkołą, co rodzi różnego rodzaju niebezpieczeństwa.

Z tego względu niezbędne jest umożliwienie rodzicom/opiekunom lub pełnoletniemu uczniowi podjęcia swobodnej decyzji w tym zakresie. Zgoda ta jednak nie może być ogólna, lecz precyzyjnie określać, jakie dane i w jakim celu mają zostać udostępnione w konkretnym przypadku. Jeżeli zatem szkoła będzie chciała opublikować wizerunek ucznia na stronie internetowej, do tego rodzaju działania wymagana będzie odrębna zgoda. Trzeba przy tym pamiętać, że zgodnie z art. 7 ust. 3 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Powyższy przepis nakłada na administratora obowiązek poinformowania osoby, której dane dotyczą, o tym prawie zanim wyrazi zgodę. Wycofanie zgody musi być zaś równie łatwe, jak jej wyrażenie.

Przy zarządzaniu danymi osobowymi uczniów trzeba mieć na uwadze dwa interesy: interes prawny, opierający się na skrupulatnym oraz rzetelnym traktowaniu przepisów RODO oraz interes i dobro dziecka, które ma prawo do wszechstronnego rozwoju, realizacji własnych pasji i talentów, a także nagradzania za osiągnięcia. Administrator powinien w sposób odpowiedni wyważyć te wartości.

Fotografia to nie dane biometryczne

Co do zasady przetwarzanie wizerunku w postaci fotografii samo przez się nie stanowi jeszcze o przetwarzaniu danych biometrycznych. Zgodnie z definicją wyrażoną w art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Zatem fotografie są objęte definicją "danych biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Takich danych osobowych nie należy przetwarzać, chyba że RODO dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów RODO tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

 

 


1Art. 1 pkt 3 ustawy Prawo oświatowe.
2Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz.U. z 2018 r. poz. 1191).
3Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz.U. z 2018 r. poz. 1025).

 

 

Przetwarzanie danych w szkole – konkursy, zdjęcia szkolne

 

Na administratorze danych ciąży obowiązek uzyskania zgody od uprawnionej osoby na publikację jej danych osobowych, a w szczególności jej wizerunku. Taka zgoda jest wymagana, gdy uprawnienie do przetwarzania danych osobowych nie wynika wprost z przepisów prawa. Należy pamiętać, że wykorzystywanie danych osobowych uczniów – np. na stronach szkoły - i rozpowszechnianie wizerunku wymaga zezwolenia osoby, której wizerunek jest rozpowszechniany. Podstawa do publikowania wizerunku takich osób określona jest m.in. w art. 6 ust. 1 lit. a RODO. Ważne w tym miejscu jest to, abyśmy pamiętali, że zgodę należy uzyskać od opiekuna prawnego dziecka. Przypomnieć należy, że zgodnie z motywem 171 preambuły RODO, szkoła nie będzie zobligowana do pozyskiwania zgody na wykorzystanie danych uczniów od rodziców, pod warunkiem że zebrane dotychczas zgody odpowiadają warunkom RODO. Zgoda taka (udzielona najpóźniej w momencie rozpoczęcia przetwarzania danych osobowych) powinna być wyrażona wprost, powinna ona określać osobę, która zgody udziela, oraz osobę, której dane osobowe mają być udostępnione, podmiot, któremu zgoda jest udzielana, okres, na który taka zgoda jest udzielana, zakres danych osobowych, które mają być przetwarzane oraz cel przetwarzania. Nie bez znaczenia na powyższe ma uregulowanie art. 81 ust. 2 pkt 2 ustawy o prawie autorskim i prawach pokrewnych, zgodnie z którym „Zezwolenia nie wymaga rozpowszechnianie wizerunku:

  1.  osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
  2. osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza”.

Zatem jeżeli przetwarzanie wizerunku będzie mieściło się w ramach przytoczonej definicji, można przyjąć, że zgoda uwidocznionych na nich osób lub rodziców tych osób nie jest konieczna, co jednocześnie oznacza, że możliwe jest rozpowszechnianie zdjęć z zabaw szkolnych, wycieczek, na których sylwetka stanowi jedynie szczegół całości uwiecznionej na zdjęciu.

Uwaga:
Pamiętać jednak należy, by takie zdjęcie nie naruszało dóbr osobistych przedstawionych na nim osób oraz ich prawa do prywatności. 

Organizator konkursu, olimpiady czy turnieju, planując takie wydarzenie, musi tak je przygotować, by jego działania były zgodne z zasadami przetwarzania danych osobowych, zwłaszcza z art. 5 oraz art. 7 RODO. Powinien ocenić, jakie ryzyka dla praw uczestników, mogą wiązać się z przetwarzaniem ich danych osobowych na potrzeby konkursu. Powinien też zadbać o to, żeby przygotować jasne i rzetelne klauzule informacyjne.

Trzeba pamiętać, że wymagana w takich sytuacjach zgoda na przetwarzanie danych osobowych musi odnosić się do każdego rodzaju operacji przetwarzania, w tym - jeżeli jest to przewidywane - do rozpowszechniania wizerunków utrwalonych przy użyciu urządzeń rejestrujących obraz i dźwięk. Bardzo ważne jest zaakcentowanie, że zgodę na przetwarzanie danych w ramach konkursu może wyrazić bezpośrednio opiekun prawny ucznia lub, w przypadku uczniów pełnoletnich, sam uczeń. Dyrektor nie jest upoważniony do wyrażenia takiej zgody. Jak już wskazaliśmy, przesłanki wyrażenia zgody określone są w art. 7 RODO. Bardzo ważne jest, by sposób wycofania zgody był równie łatwy jak jej wyrażenia. Dodatkowo zgoda taka powinna być dobrowolna. Jednocześnie należy zasygnalizować, że jeżeli szkoła będzie organizatorem międzyszkolnego konkursu lub olimpiady to wówczas, jeżeli będzie przetwarzać dane osobowe uczniów innych placówek. Na takie operacje będzie potrzebowała odpowiednio wyrażonej zgody opiekunów prawnych dziecka lub pełnoletniego ucznia.

Pamiętać należy, że odpowiedzialność za legalne przetwarzanie danych ciąży na administratorze danych, czyli organizatorze olimpiady, konkursu lub turnieju, któremu na potrzeby ww. zawodów wiedzy udostępnianie są dane osobowe uczniów-uczestników. 

Ułatwieniem dla powyższych sytuacji z pewnością byłaby praktyka dotycząca poinformowania przez szkołę, np. na początku roku szkolnego, uczniów i rodziców o planowanych czynnościach wykonywania zdjęć i ich ewentualnego wykorzystywania na stronach szkoły. Takie informacyjne zebranie da możliwość uniknięcia ewentualnych nieporozumień czy poważniejszych sporów oraz umożliwi zgłoszenie sprzeciwu wobec planowanej przez szkołę formy przetwarzania danych

.

Przetwarzanie danych uczniów na uroczystościach szkolnych

 

Publiczne wyczytywanie w czasie uroczystości szkolnej imion i nazwisk uczniów wyróżnionych za wybitne osiągnięcia edukacyjne uznać należy za czynności dozwolone i niewymagające uprzedniej zgody opiekuna prawnego ucznia - albo w przypadku ucznia pełnoletniego - przez samego ucznia.

Zgodnie z ustawą o systemie oświaty i ustawą Prawo oświatowe, szkoła nie potrzebuje zgody, jeśli przetwarza dane uczniów w celach wynikających z tych ustaw, a związanych z nauką i wychowaniem uczniów, a zatem w ustawowych celach oświatowych.

Pobyt w szkole służy nie tylko edukacji przedmiotowej, ale także edukacji społecznej, wyrabianiu właściwych postaw, zachowań, to najlepszy czas dla ucznia na „zaszczepienie” wzorców postępowania. O tej prospołecznej i wychowawczej roli szkoły wspominają już pierwsze uregulowania ustawy Prawo oświatowe. Zgodnie z jej art. 1 pkt 1, system oświaty, którego nieodzownym elementem jest szkoła, zapewnia realizację prawa każdego obywatela Rzeczpospolitej Polskiej do kształcenia się oraz prawa dzieci i młodzieży do wychowania i opieki (…). Punkt 2 stanowi, że celem systemu oświaty jest wspomaganie przez szkołę wychowawczej roli rodziny. Punkt 3 natomiast wspomina o wspieraniu dziecka w rozwoju ku pełnej dojrzałości w sferze fizycznej, emocjonalnej, intelektualnej, duchowej i społecznej (…).

To na szkole jako instytucji ciąży obowiązek kreowania właściwych postaw, formowania pozytywnych zachowań i odruchów. Temu niewątpliwie służy prezentowanie społeczności szkolnej osób, które właściwą po-stawą w trakcie roku szkolnego i ciężką pracą zasługują na szczególne wyróżnienie. Tym samym spełniona jest w takiej sytuacji przesłanka legalności określona w art. 6 ust. 1 lit. e RODO.

Gdyby jednak w ocenie opiekunów prawnych ucznia wspomniana praktyka godziła w jego dobro, opiekunowie prawni takiego ucznia mogą skorzystać z unormowań art. 21 ust. 1 RODO regulującego prawo do sprzeciwu z przyczyn związanych ze szczególną sytuacją takiej osoby.

Podsumowując, przetwarzanie danych osobowych polegające na wyróżnianiu uczniów za osiągnięcia edukacyjne na uroczystościach szkolnych służy realizacji zadania w interesie publicznym tj., wspierania wychowawczej roli rodziny, prawa dzieci do wychowania oraz wspierania dziecka w rozwoju ku pełnej dojrzałości w sferze emocjonalnej, intelektualnej i społecznej. Takie przetwarzanie ma zatem oparcie w przesłance określonej w art. 6 ust. 1 lit. e RODO. 

 

Pozyskiwanie przez podmioty zewnętrzne danych osobowych uczniów przy wykorzystaniu imiennych ankiet

 

Pozyskiwanie danych osobowych uczniów lub ich rodziców poprzez wypełnienie przez uczniów lub opiekunów prawnych imiennych ankiet przekazanych im w szkole przez firmy zewnętrzne lub przez nauczycieli, w celu przedłożenia im oferty przez te firmy może odbywać się wyłącznie za wyraźną zgodą rodziców (opiekunów prawnych) lub pełnoletnich uczniów. Zgoda na przetwarzanie danych osobowych wyrażona przez osoby małoletnie pozostaje bezskutecznym oświadczeniem woli do czasu jej potwierdzenia przez rodziców czy też opiekunów prawnych małoletnich.

Podkreślić należy, że zgoda dyrektora szkoły, poszczególnych nauczycieli lub wychowawców na przetwarzanie danych osobowych dzieci lub ich rodziców nie jest wystarczająca, by można było mówić o legalnym wykorzystywaniu tych danych.

Szkoła, poza wypełnianiem swoich dydaktyczno-wychowawczych obowiązków, powinna jednocześnie czuwać nad zapewnieniem ochrony prywatności uczniów. Nauczyciele nie są uprawnieni do udostępnienia podmiotom zewnętrznym danych uczniów z dziennika zajęć lekcyjnych lub innych posiadanych przez szkołę dokumentów. Nie są też uprawnieni do wyrażenia w imieniu uczniów skutecznej zgody na przetwarzanie danych uczniów. Dlatego nauczyciele nie powinni podejmować czynności, które narażają na niebezpieczeństwo zarówno prywatność uczniów, jak i ich rodziców. 

 

Udostępnienie danych osobowych absolwentowi

 

Dyrektor szkoły może udostępnić absolwentowi szkoły, dane uczniów z określonego rocznika lub określonej klasy (której sam był uczniem), w szczególności imię i nazwisko, adres zamieszkania, adres e-mail, telefon w celu zorganizowania zjazdu absolwentów, tylko i wyłącznie w przypadku, gdy wcześniej osoba, której dane osobowe będą udostępniane, wyrazi na to zgodę zgodnie z art. 6 ust. 1 lit. a RODO.

 

E-dziennik w szkole

 

Dziennik elektroniczny może być prowadzony w szkole na podstawie rozporządzenia Ministra Edukacji Narodowej z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji. Zgodnie z § 21 ww. rozporządzenia MEN, dzienniki mogą być prowadzone w postaci elektronicznej. Za zgodą organu prowadzącego szkołę, mogą być prowadzone wyłącznie w postaci elektronicznej. Na pod-stawie § 21 ust. 3 rozporządzenia MEN prowadzenie dziennika elektronicznego wymaga zachowania selektywności dostępu do danych stanowiących dziennik elektroniczny czy zabezpieczenia danych stanowiących dziennik elektroniczny przed dostępem osób nieuprawnionych.

Jeżeli szkoła zleca zapewnienie funkcjonowania dziennika elektronicznego podmiotowi zewnętrznemu, to przetwarzanie danych przez ten podmiot ma miejsce na podstawie umowy. Zgodnie z art. 28 ust. 1 RODO, jeśli przetwarzanie danych osobowych ucznia ma być dokonywane w imieniu administratora (szkoły i placówki oświatowej), korzysta on jedynie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie chroniło prawa uczniów, których dane dotyczą.

RODO w swoich postanowieniach wskazuje na formę pisemną umowy powierzenia przetwarzania danych osobowych, w tym formę elektroniczną. Zgodnie z art. 28 ust. 3 RODO, koniecznymi elementami umowy powierzenia są określenie przedmiotu i czasu trwania przetwarzania, charakter oraz cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

 

Kodeks karny Art. 265 Przestępstwa przeciwko ochronie informacji


Art .265

§1.   Kto   ujawnia   lub   wbrew   przepisom   ustawy   wykorzystuje informacje niejawne o klauzuli „tajne” lub „ściśle tajne”, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§2. Jeżeli  informację  określoną  w §1 ujawniono  osobie  działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

§3. Kto nieumyślnie ujawnia informację określoną w§1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 

 

Kodeks karny Art. 266 Przestępstwa przeciwko ochronie informacji


Art. 266

§1.  Kto,  wbrew  przepisom  ustawy  lub  przyjętemu  na  siebie zobowiązaniu,  ujawnia  lub  wykorzystuje  informację,  z którą  zapoznał  się w związku  z pełnioną  funkcją,  wykonywaną  pracą,  działalnością  publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§2. Funkcjonariusz  publiczny,  który  ujawnia  osobie  nieuprawnionej informację niejawną o klauzuli „zastrzeżone” lub „poufne” lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3.

§3. Ściganie  przestępstwa  określonego  w §1następuje  na  wniosek pokrzywdzonego.

 

 

Kodeks karny Art. 267 Przestępstwa przeciwko ochronie informacji

Art. 267


§1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

§3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony,  zakłada  lub  posługuje  się  urządzeniem  podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

§4.Tej samej karze podlega, kto informację uzyskaną w sposób określony w §1–3 ujawnia innej osobie.

§5. Ściganie  przestępstwa  określonego  w §1–4 następuje  na  wniosek pokrzywdzonego.


Kodeks karny Art. 268 Przestępstwa przeciwko ochronie informacji

 

Art.268

§1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo winny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§2. Jeżeli czyn określony w §1dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.

§3. Kto, dopuszczając się czynu określonego w §1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3miesięcy do lat 5.

§4. Ściganie  przestępstwa  określonego  w §1–3 następuje  na  wniosek pokrzywdzonego.

 

Kodeks karny Art. 268a Przestępstwa przeciwko ochronie informacji

Art.268a

§1.  Kto,  nie  będąc  do  tego  uprawnionym,  niszczy,  uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych  albo  w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.

§2. Kto,  dopuszczając  się  czynu  określonego  w §1,  wyrządza  znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3miesięcy do lat 5.

§3. Ściganie  przestępstwa  określonego  w §1  lub 2 następuje  na  wniosek pokrzywdzonego.

 

Kodeks karny Art. 269 Przestępstwa przeciwko ochronie informacji


Art.269

§1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej  albo  samorządu  terytorialnego  albo  zakłóca  lub  uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

§2. Tej samej karze podlega, kto dopuszcza się czynu określonego w §1, niszcząc  albo  wymieniając  informatyczny  nośnik  danych  lub  niszcząc  albo uszkadzając urządzenie służące do  automatycznego  przetwarzania,  gromadzenia lub przekazywania danych informatycznych.

 

Kodeks karny Art. 269a Przestępstwa przeciwko ochronie informacji

 

Art. 269a

Kto,  nie  będąc  do  tego  uprawnionym,  przez  transmisję, zniszczenie,  usunięcie,  uszkodzenie,  utrudnienie  dostępu  lub  zmianę  danych informatycznych,  w istotnym  stopniu  zakłóca  pracę  systemu  informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3miesięcy do lat 5.

 

Kodeks karny Art. 269b Przestępstwa przeciwko ochronie informacji

Art.2 69b

§1.  Kto  wytwarza,  pozyskuje,  zbywa  lub  udostępnia  innym osobom  urządzenia  lub  programy  komputerowe  przystosowane  do  popełnienia przestępstwa określonego w art.165 §1  pkt 4,  art. 267 §3,  art.268a §1 albo §2 w związku z §1, art.269 §1 lub 2 albo art.269a, a także hasła komputerowe, kody dostępu  lub  inne  dane  umożliwiające  nieuprawniony  dostęp  do  informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§1a. Nie  popełnia  przestępstwa  określonego  w §1,  kto  działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

§2. W razie skazania za przestępstwo określone w §1, sąd orzeka przepadek określonych w nim przedmiotów,  a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.


Kodeks karny Art. 269c Przestępstwa przeciwko ochronie informacji

 

Art. 269c

Nie podlega karze za przestępstwo określone w art.267 §2  lub art.269a, kto działa wyłącznie w celu  zabezpieczenia  systemu  informatycznego, systemu   teleinformatycznego   lub   sieci  teleinformatycznej   albo   opracowania metody   takiego   zabezpieczenia   i niezwłocznie  powiadomił  dysponenta  tego systemu  lub  sieci  o ujawnionych  zagrożeniach,  a jego  działanie  nie  naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

 

Retencja – kiedy należy usuwać dane osobowe

 

Zgodnie z art. 5 ust. 1e RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których dane te są przetwarzane. Wyrażona w tym przepisie zasada ograniczenia przechowywania wskazuje, że dane nie mogą być przetwarzane w nieskończoność i w każdym przypadku należy ocenić, czy dla danego podmiotu są one niezbędne w kontekście realizacji konkretnych celów.

Usuwamy zatem dane, gdy:

  •     minął okres ich przydatności;
  •     okaże się, że cel który chcemy osiągnąć, nie wymaga już przetwarzania takich danych.

Co to jest kancelaria tajna i czym się zajmuje?

Zgodnie z art. 42 ust. 4 ustawy kancelaria tajna to wyodrębniona komórka organizacyjna, w zakresie ochrony informacji niejawnych podległa pełnomocnikowi ochrony, obsługiwana przez pracowników pionu ochrony, odpowiedzialna za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów uprawnionym osobom. 

Zgodnie z art. 43 ust. 1 ustawy organizacja pracy kancelarii tajnej zapewnia możliwość ustalenia w każdych okolicznościach, gdzie znajduje się materiał o klauzuli "tajne" lub "ściśle tajne" pozostający w dyspozycji jednostki organizacyjnej oraz kto z tym materiałem się zapoznał.

 

Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

Jakie informacje niejawne są przetwarzane w kancelariach tajnych?

Zgodnie z art. 2 pkt 5 ustawy przetwarzaniem informacji niejawnych są wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.
Zgodnie z art. 42 ust. 1 ustawy obowiązek utworzenia kancelarii tajnej, spoczywa jedynie na kierownikach jednostek organizacyjnych, w których są lub będą przetwarzane informacje niejawne oznaczone klauzulami „tajne” bądź „ściśle tajne”.

Zgodnie jednak z art. 42 ust. 5 ustawy kierownik jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli „poufne” lub „zastrzeżone”.

 

Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

Czy kierownik jednostki organizacyjnej może nazwać komórkę organizacyjną odpowiedzialną za przetwarzanie informacji niejawnych o klauzuli tajności POUFNE - Kancelarią tajną? Czy też nazwa „Kancelaria tajna” jest zastrzeżona?

W jednostce, w której przetwarzane są tylko i wyłącznie informacje niejawne o klauzuli „zastrzeżone” i „poufne” nie powinna funkcjonować komórka organizacyjna pod nazwą kancelaria tajna. W rozumieniu ustawy kancelaria tajna funkcjonuje w jednostkach przetwarzających informacje „ściśle tajne” lub „tajne”. Niezasadne określenie mianem kancelarii tajnej w/w komórki organizacyjnej mogłoby zatem spowodować problemy praktyczne, skutkujące przesyłaniem informacji niejawnych o klauzuli „tajne” lub „ściśle tajne” do jednostki organizacyjnej, która nie ma możliwości przetwarzania informacji o klauzuli wyższej niż „poufne”. Należy także mieć na względzie, że w art. 43 ust. 2, 3 i 6 ustawodawca posłużył się różnymi terminami komórek organizacyjnych dla obsługi dokumentów „ściśle tajnych” i „tajnych” (w tym przypadku jest to „kancelaria tajna”) oraz „poufnych” (mówi się o „innej niż kancelaria tajna komórce”).


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Czy w kancelariach tajnych można przetwarzać informacje niejawne o klauzuli „poufne” lub „zastrzeżone”?

Zgodnie z art. 42 ust. 5 ustawy kierownik jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli „poufne” lub „zastrzeżone”. 
Zgodnie z art. 43 ust. 2 i art. 44 ustawy, jeżeli jednostka organizacyjna przetwarza lub będzie przetwarzała materiały niejawne oznaczone maksymalnie klauzulą „poufne”, to funkcję kancelarii tajnej może spełniać inna komórka organizacyjna, pod warunkiem, że jej organizacja zapewni możliwość ustalenia w każdych okolicznościach, gdzie znajduje się materiał niejawny pozostający w dyspozycji jednostki organizacyjnej. O sposobie i trybie przetwarzania informacji niejawnych w podległej jednostce (jednostkach) zadecyduje kierownik jednostki organizacyjnej, zatwierdzając sporządzone przez pełnomocnika ochrony stosowne procedury wynikające z art. 43 ust. 3 ustawy.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Kiedy należy utworzyć kancelarię tajną?

 

Zgodnie z art. 2 pkt 5 ustawy przetwarzaniem informacji niejawnych są wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.

Zgodnie z art. 42 ust. 1 ustawy obowiązek utworzenia kancelarii tajnej, spoczywa jedynie na kierownikach jednostek organizacyjnych, w których są lub będą przetwarzane informacje niejawne oznaczone klauzulami „tajne” bądź „ściśle tajne”.
Zgodnie jednak z art. 42 ust. 5 ustawy kierownik jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli „poufne” lub „zastrzeżone”.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Czy kierownik jednostki organizacyjnej może utworzyć więcej niż jedną kancelarię tajną?

 

Zgodnie z art. 42 ust. 2 ustawy w przypadku uzasadnionym względami organizacyjnymi kierownik jednostki organizacyjnej może utworzyć więcej niż jedną kancelarię tajną.



Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

 

Czy jedna kancelaria tajna może obsługiwać więcej niż jedną jednostkę organizacyjną?

Zgodnie z art. 42 ust. 3 ustawy w uzasadnionych przypadkach istnieje możliwość utworzenia kancelarii tajnej obsługującej więcej niż jedną jednostkę organizacyjną.
Warunkami skorzystania z takiego rozwiązania będzie:
  • porozumienie zainteresowanych kierowników jednostek organizacyjnych w zakresie zasad funkcjonowania wspólnej kancelarii pod względem podległości, personalnym oraz finansowym,
  • uzyskanie zgody ABW lub SKW - zgoda taka będzie uzależniona od oceny poziomu skuteczności zastosowanych rozwiązań organizacyjnych i środków ochrony.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Jak wygląda procedura wyrażenia zgody przez ABW na utworzenie kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych?

 

W przypadku występowania okoliczności, o których mowa w art. 42 ust. 3 ustawy obowiązuje następujący tryb postępowania:

  1. Przesłanie do ABW wniosku w przedmiotowej sprawie wraz z uzasadnieniem oraz podaniem nazw i adresów zainteresowanych podmiotów.
  2. Do wniosku należy dołączyć porozumienie zainteresowanych kierowników jednostek organizacyjnych, zawierające rozwiązania w zakresie organizacji i funkcjonowania wspólnej kancelarii tajnej oraz nadzoru i odpowiedzialności kierowników jednostek organizacyjnych i pełnomocników ochrony.
  3. Biorąc pod uwagę lokalizację wspólnej kancelarii tajnej, wniosek wraz z dokumentacją o udzielenie zgody w ww. kwestii, należy przesłać odpowiednio do Departamentu Ochrony Informacji Niejawnych ABW lub do w właściwych terytorialnie komórek organizacyjnych ABW.
  4. Stanowisko ABW w postaci udzielenia lub nie udzielenia zgody w przedmiotowej sprawie zostanie przekazane wszystkim zainteresowanym kierownikom jednostek organizacyjnych.
W celu ograniczenia prowadzenia korespondencji, jednostki występujące o wydanie zgody na utworzenie wspólnej kancelarii tajnej mogą przekazać do ABW jeden egzemplarz wniosku i porozumienia.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Kto powołuje kierowników oddziałów kancelarii tajnych?

Zgodnie z § 2 ust. 3 rozporządzenia Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (Dz.U. z 2011 r., Nr 276, poz. 1631) oddziałem kancelarii tajnej kieruje:
  • zastępca kierownika kancelarii tajnej, który jest wyznaczany przez kierownika jednostki organizacyjnej na wniosek pełnomocnika ochrony lub
  • inny wyznaczony przez pełnomocnika ochrony pracownik pionu ochrony.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)
Czy kierownik kancelarii tajnej może być pełnomocnikiem ochrony?


Zgodnie z art. 42 ust. 4 ustawy kancelaria tajna podlega pełnomocnikowi ochrony. Kierujący kancelarią kierownik podlega zatem bezpośrednio pełnomocnikowi ochrony i ta podległość służbowa uniemożliwia jednoczesne bycie pełnomocnikiem ochrony i kierownikiem kancelarii tajnej.

 

Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.) 


Czy i kogo trzeba informować o utworzeniu lub likwidacji kancelarii tajnej?

Zgodnie z art. 42 ust. 6 ustawy kierownik jednostki organizacyjnej informuje odpowiednio Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego o fakcie utworzenia lub likwidacji kancelarii tajnej, z określeniem klauzuli tajności przetwarzanych w niej informacji niejawnych. Ten obowiązek informacyjny pozwoli na bieżące uaktualniane wykazu kancelarii tajnych funkcjonujących odpowiednio w tzw. sferze cywilnej lub wojskowej.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)
Gdzie powinny być przetwarzane informacje niejawne o klauzuli „poufne” lub „zastrzeżone”?

Zgodnie z art. 43 ust. 2 i art. 44 ustawy, jeśli jednostka organizacyjna przetwarza lub będzie przetwarzała materiały niejawne oznaczone maksymalnie klauzulą „poufne”, to funkcję kancelarii tajnej może spełniać inna komórka organizacyjna, pod warunkiem, że jej organizacja zapewni możliwość ustalenia w każdych okolicznościach, gdzie znajduje się materiał niejawny pozostający w dyspozycji jednostki organizacyjnej.
Zgodnie z art. 43 ust. 3 ustawy o sposobie i trybie przetwarzania informacji niejawnych o klauzuli „poufne” w podległej jednostce (jednostkach) zadecyduje kierownik jednostki organizacyjnej, zatwierdzając sporządzone przez pełnomocnika ochrony stosowne procedury.
Zgodnie z art. 43 ust. 5 ustawy kierownik jednostki organizacyjnej zatwierdza, opracowaną przez pełnomocnika ochrony, instrukcję dotyczącą sposobu i trybu przetwarzania informacji niejawnych o klauzuli „zastrzeżone” w podległych komórkach organizacyjnych oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Co to jest pion ochrony?

 

Zgodnie z art. 15 ust. 2 ustawy pion ochrony to wyodrębniona i podlegająca pełnomocnikowi ochrony komórka organizacyjna do spraw ochrony informacji niejawnych. W pionie ochrony zatrudnieni są pracownicy pionu ochrony, którzy podlegają pełnomocnikowi ochrony.

Obowiązek powołania pionu ochrony i zatrudnienia pełnomocnika ochrony, który będzie nim kierował obowiązuje niezależnie od klauzuli przetwarzanych w jednostce organizacyjnej informacji niejawnych. Co ważne, ustawa wprowadza wyjątki od obowiązku utworzenia pionu ochrony oraz powołania pełnomocnika ochrony:
  • zgodnie z art. 54 ust. 3 i ust. 5 ustawy, w przypadku przedsiębiorcy prowadzącego działalność jednoosobowo i osobiście powołanie pełnomocnika ochrony oraz utworzenie pionu ochrony nie jest wymagane, z wyjątkiem ubiegania się o świadectwo potwierdzające zdolność do ochrony informacji niejawnych o klauzuli będącej zagranicznym odpowiednikiem klauzuli „tajne” lub „poufne”, stosowanym przez organizacje międzynarodowe,
  • zgodnie z art. 54 ust. 10 ustawy, w przypadku przedsiębiorcy zamierzającego wykonywać umowy związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone”, nie ma wymogu zatrudnienia pełnomocnika ochrony, ale nie ma wówczas możliwości przetwarzania informacji niejawnych w użytkowanych przez niego obiektach,
  • zgodnie z art. 60 ust. 1 ustawy, w przypadku postępowania bezpieczeństwa przemysłowego trzeciego stopnia powołanie pełnomocnika ochrony oraz utworzenie pionu ochrony nie jest wymagane. W takiej sytuacji zwykłe postępowania sprawdzające oraz szkolenie pracowników przedsiębiorcy może przeprowadzić pełnomocnik ochrony jednostki zlecającej wykonanie umowy (art. 60 ust. 2 ). Powołanie pełnomocnika i utworzenie pionu ochrony jest jednak konieczne, jeśli przedsiębiorca ubiega się o wydanie świadectwa bezpieczeństwa przemysłowego III stopnia potwierdzającego zdolność do ochrony informacji niejawnych międzynarodowych o klauzulach będących odpowiednikami klauzul „poufne” lub „tajne”.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

W jaki sposób należy wyodrębnić pion ochrony w małych jednostkach organizacyjnych, żeby spełnione zostały wymogi art 15 ust 2 ustawy?

Wyodrębnienie komórki organizacyjnej w postaci pionu ochrony, wymagane expressis verbis przez art. 15 ust. 2 ustawy, powinno przybrać postać indywidualnej i konkretnej normy prawnej wynikającej z przepisu o charakterze organizacyjno-prawnym i zawartej w akcie prawa wewnętrznego jednostki - regulaminu organizacyjnego, zarządzenia, decyzji lub polecenia służbowego na piśmie. Norma zawarta w takim akcie prawnym powinna określać zakres działania, zadania, obowiązki, kompetencje i uprawnienia oraz podległość osób wchodzących w skład pionu ochrony. Co ważne wyodrębnienie w ten sposób pionu ochrony nie musi mieć w przypadku małych jednostek organizacyjnych charakteru strukturalnego, budżetowego czy finansowego. Nie musi mieć także charakteru kadrowego, ani etatowego. Nie wymaga ono (stworzenie normy wyodrębniającej komórkę organizacyjną w postaci pionu ochrony) żadnych dodatkowych nakładów finansowych, ani stworzenia nowej struktury w postaci wydziału, oddziału, samodzielnego referatu, sekcji czy wieloosobowego stanowiska pracy. Wystarczy, jeżeli wyodrębnienie to będzie miało charakter wyłącznie normatywny, prawny, oparty wyłącznie na kryteriach merytorycznych, umożliwiających skuteczne wydawanie poleceń służbowych, podejmowanie działań, wykonywanie zadań, realizowanie kompetencji pełnomocnika wobec pionu ochrony. Zastosowanie takiego rozwiązania nie powoduje generowania dodatkowych zbędnych w przypadku małych jednostek organizacyjnych kosztów związanych z powołaniem pionu ochrony jako odrębnej komórki organizacyjnej, co jest zgodne z założeniami i intencjami projektodawców ustawy.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

Kto może być pracownikiem pionu ochrony?

 

Zgodnie z art. 16 ustawy pracownikiem pionu ochrony może być osoba, która posiada:

  • obywatelstwo polskie, z wyjątkiem pracowników pionu ochrony zatrudnionych u przedsiębiorców,
  • odpowiednie poświadczenie bezpieczeństwa lub upoważnienie do klauzuli „zastrzeżone”,
  • zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych.
Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)


Jak należy zorganizować pion ochrony, jeżeli w jednostce przetwarzane są informacje niejawne o klauzuli „poufne”?

Zgodnie z art. 15 ust. 2 i art. 43 ust. 3 ustawy organizacja pionu ochrony w jednostkach organizacyjnych, w których przetwarzane są informacje niejawne o klauzuli „poufne” opiera się na zatwierdzonym przez kierownika jednostki organizacyjnej, a opracowanym przez pełnomocnika ochrony sposobie i trybie przetwarzania informacji niejawnych. Zgodnie z art. 43 ust. 4 ustawy pełnomocnik ochrony jednostki organizacyjnej, w której przetwarzane są informacje niejawne o klauzuli „poufne” lub wyższej opracowuje także dokumentację określającą poziom zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą. Dokumentacja ta podlega zatwierdzeniu przez kierownika jednostki organizacyjnej.

W skład pionu ochrony jednostek organizacyjnych, w których przetwarzane są informacje niejawne o klauzuli „poufne” mogą wchodzić następujące osoby:
  • pełnomocnik ochrony oraz jego zastępcy,
  • pracownicy piony ochrony,
  • inspektor bezpieczeństwa teleinformatycznego.
Co ważne, ustawa wprowadza wyjątki od obowiązku utworzenia pionu ochrony oraz powołania pełnomocnika ochrony:
  • zgodnie z art. 54 ust. 3 i ust. 5 ustawy, w przypadku przedsiębiorcy prowadzącego działalność jednoosobowo i osobiście powołanie pełnomocnika ochrony oraz utworzenie pionu ochrony nie jest wymagane, z wyjątkiem ubiegania się o świadectwo potwierdzające zdolność do ochrony informacji niejawnych o klauzuli będącej zagranicznym odpowiednikiem klauzuli „tajne” lub „poufne”, stosowanym przez organizacje międzynarodowe,
  • zgodnie z art. 54 ust. 10 ustawy, w przypadku przedsiębiorcy zamierzającego wykonywać umowy związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone”, nie ma wymogu zatrudnienia pełnomocnika ochrony, ale nie ma wówczas możliwości przetwarzania informacji niejawnych w użytkowanych przez niego obiektach,
  • zgodnie z art. 60 ust. 1 ustawy, w przypadku postępowania bezpieczeństwa przemysłowego trzeciego stopnia powołanie pełnomocnika ochrony oraz utworzenie pionu ochrony nie jest wymagane. W takiej sytuacji zwykłe postępowania sprawdzające oraz szkolenie pracowników przedsiębiorcy może przeprowadzić pełnomocnik ochrony jednostki zlecającej wykonanie umowy (art. 60 ust. 2 ). Powołanie pełnomocnika i utworzenie pionu ochrony jest jednak konieczne, jeśli przedsiębiorca ubiega się o wydanie świadectwa bezpieczeństwa przemysłowego III stopnia potwierdzającego zdolność do ochrony informacji niejawnych międzynarodowych o klauzulach będących odpowiednikami klauzul „poufne” lub „tajne”.

Akty  prawne: 


Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Jak należy zorganizować pion ochrony, jeżeli w jednostce przetwarzane są tylko informacje niejawne o klauzuli „zastrzeżone”?

 

Zgodnie z art. 15 ust. 2 ustawy organizacja pionu ochrony w jednostkach organizacyjnych, w których przetwarzane są informacje niejawne o klauzuli „zastrzeżone”, nie różni się zasadniczo od organizacji pionu ochrony jednostek, w których przetwarzane są informacje „poufne”.

Różnice dotyczą jedynie zadań pełnomocników ochrony w obu jednostkach. Zgodnie z art. 43 ust. 5 ustawy w przypadku przetwarzania informacji niejawnych oznaczonych klauzulą „zastrzeżone” pełnomocnik ochrony zobowiązany jest do sporządzenia instrukcji dotyczącej sposobu i trybu przetwarzania tych informacji oraz zakresu i warunków stosowania środków bezpieczeństwa fizycznego w celu ich ochrony. 
W skład pionu ochrony jednostek organizacyjnych, w których przetwarzane są informacje niejawne o klauzuli „zastrzeżone” mogą wchodzić następujące osoby:
  • pełnomocnik ochrony oraz jego zastępcy,
  • pracownicy piony ochrony,
  • inspektor bezpieczeństwa teleinformatycznego.
Co ważne, ustawa wprowadza wyjątki od obowiązku utworzenia pionu ochrony oraz powołania pełnomocnika ochrony:
  • zgodnie z art. 54 ust. 3 i ust. 5 ustawy, w przypadku przedsiębiorcy prowadzącego działalność jednoosobowo i osobiście powołanie pełnomocnika ochrony oraz utworzenie pionu ochrony nie jest wymagane, z wyjątkiem ubiegania się o świadectwo potwierdzające zdolność do ochrony informacji niejawnych o klauzuli będącej zagranicznym odpowiednikiem klauzuli „tajne” lub „poufne”, stosowanym przez organizacje międzynarodowe,
  • zgodnie z art. 54 ust. 10 ustawy, w przypadku przedsiębiorcy zamierzającego wykonywać umowy związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone”, nie ma wymogu zatrudnienia pełnomocnika ochrony, ale nie ma wówczas możliwości przetwarzania informacji niejawnych w użytkowanych przez niego obiektach,
  • zgodnie z art. 60 ust. 1 ustawy, w przypadku postępowania bezpieczeństwa przemysłowego trzeciego stopnia powołanie pełnomocnika ochrony oraz utworzenie pionu ochrony nie jest wymagane. W takiej sytuacji zwykłe postępowania sprawdzające oraz szkolenie pracowników przedsiębiorcy może przeprowadzić pełnomocnik ochrony jednostki zlecającej wykonanie umowy (art. 60 ust. 2 ). Powołanie pełnomocnika i utworzenie pionu ochrony jest jednak konieczne, jeśli przedsiębiorca ubiega się o wydanie świadectwa bezpieczeństwa przemysłowego III stopnia potwierdzającego zdolność do ochrony informacji niejawnych międzynarodowych o klauzulach będących odpowiednikami klauzul „poufne” lub „tajne”.

Akty  prawne: 


Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Co to jest strefa ochronna?


Zgodnie z art. 46 pkt 1 ustawy w celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych o klauzuli „poufne” lub wyższej należy w szczególności zorganizować strefy ochronne.

W opinii Agencji Bezpieczeństwa Wewnętrznego, strefa ochronna to obszar np.: wydzielona części budynku lub cały budynek, a także pomieszczenie wyposażone lub zabezpieczone w odpowiednie środki bezpieczeństwa fizycznego, w którym można przetwarzać informacje niejawne. Pojęcie „strefa ochronna” zastępuje dotychczasowe pojęcia „strefa administracyjna”, „strefa bezpieczeństwa” i „specjalna strefa bezpieczeństwa”. Zadania, które spełniały wymienione strefy zostały przejęte przez strefy ochronne, zabezpieczone w środki bezpieczeństwa fizycznego adekwatne do klauzuli przetwarzanych informacji niejawnych oraz poziomu zagrożeń nieuprawnionego ich ujawnienia lub utraty.

Do dnia 2 stycznia 2011 r. obowiązek zabezpieczenia informacji niejawnych oznaczonych klauzulą „poufne” lub wyższą był realizowany przez zorganizowanie pomieszczenia kancelarii tajnej wyposażonego w odpowiednie środki ochrony fizycznej.

Obecnie to strefy ochronne zorganizowane w sposób uwzględniający klauzulę tajności przetwarzanych dokumentów, jak i poziom zagrożenia, będąc wyposażonymi w środki bezpieczeństwa fizycznego mają za zadanie zapewnić ochronę materiałów niejawnych. Natomiast zadaniem kancelarii tajnej – jako komórki organizacyjnej – jest przede wszystkim dbanie o rejestrację i obieg dokumentów.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Gdzie można odbywać posiedzenia niejawne?

 

Stosownie do przepisów § 5 ust. 1 rozporządzenia Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U. z 2012 r., poz. 683), informacje niejawne o klauzuli ,,poufne” lub wyższej są przetwarzane w strefie ochronnej I lub II. W związku z przyjętą w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. Nr l82, poz. 1228) definicją ,,przetwarzania informacji niejawnych”, zawierającą w sobie dokonywanie wszelkich operacji w odniesieniu do informacji niejawnych, we wskazanych strefach ochronnych, tj. w I lub w II, można przeprowadzać rozmowy o charakterze niejawnym (w tym posiedzenia niejawne). Strefy takie muszą zostać zorganizowane w sposób wskazany w cytowanym przepisie rozporządzenia. Wśród kryteriów tworzenia przedmiotowych stref nie ma obowiązku zabezpieczenia tych stref przed podsłuchem. 

Jeżeli natomiast kierownik jednostki organizacyjnej, w której odbywać się będą posiedzenia niejawne uzna, że informacje niejawne przetwarzane w trakcie takiego posiedzenia powinny być dodatkowo chronione przed podsłuchem, powinien wówczas zorganizować specjalną strefę ochronną stosownie do dyspozycji przepisu § 5 ust. 1 pkt 4 wspomnianego rozporządzenia. Taka strefa, poza wymogami wynikającymi z cyt. rozporządzenia, powinna być wyposażona w stałe elementy techniczne uniemożliwiające podsłuch.

Ponadto przepisy rozporządzenia w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych w treści § 5 ust. 4, dają możliwość utworzenia ,,tymczasowej strefy ochronnej” (I, II lub specjalnej) w celu odbycia posiedzenia niejawnego. W związku z brakiem określenia w przywołanym przepisie prawa wymogów co do utworzenia przedmiotowych stref należy stosować kryteria tworzenia poszczególnych stref, które wskazane zostały we właściwych przepisach rozporządzenia. Jedynie w przypadku utworzenia tymczasowo specjalnej strefy ochronnej w związku z § 5 ust. l pkt 4 cyt. rozporządzenia obligatoryjnie będzie wymagana ochrona takiej strefy przed podsłuchem. Przepisy bowiem § 5 ust. 1 pkt l i pkt 2 odnoszące się do kryteriów tworzenia, odpowiednio strefy ochronnej I i II nie określają wymogu ochrony takich stref przed podsłuchem. 

W przypadku posiedzeń niejawnych obejmujących w swoim przedmiocie informacje o klauzuli „zastrzeżone” nie ma obowiązku organizowania ich w strefach ochronnych. Zgodnie bowiem z art. 46 cyt. ustawy obowiązek zorganizowania stref ochronnych dotyczy wyłącznie informacji niejawnych o klauzuli „poufne” lub wyższej. W takim przypadku należy stosować
przepisy § 7 ust. 4 cyt. rozporządzenia wskazującego wymogi przetwarzania informacji o klauzuli „zastrzeżone”.

 

Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

 

Czym są środki bezpieczeństwa fizycznego?

W opinii Agencji Bezpieczeństwa Wewnętrznego bezpieczeństwo fizyczne informacji niejawnych to system powiązanych ze sobą przedsięwzięć organizacyjnych, osobowych, technicznych i fizycznych służących ochronie tych informacji przed nieuprawnionym dostępem lub utratą. Kompleksowe podejście do bezpieczeństwa fizycznego informacji niejawnych wymaga wzajemnego uzupełniania się przyjętych rozwiązań. Na elementy składowe systemu służącego ochronie informacji niejawnych w szczególności składają się: 

  • działania organizacyjne – opracowanie planów, instrukcji, regulaminów i procedur;
  • ochrona osobowa (ochrona czynna) - zorganizowanie wewnętrznej służby ochrony lub skorzystanie z usług koncesjonowanej agencji ochrony;
  • ochrona bierna – wydzielenie, zorganizowanie i wdrożenie zabezpieczeń architektoniczno-budowlanych w postaci: ogrodzeń, zapór, bram, przegród, a w szczególności ścian i stropów stref chronionych, przed nieuprawnionym wtargnięciem;
  • strefy ochronne - wyznaczenie, zorganizowanie i zabezpieczenie obszarów podlegających kontroli wejścia, wyjścia oraz kontroli przebywania (obustronna kontrola dostępu);
  • elektroniczne – zabezpieczenie i nadzór nad odpowiednimi strefami ochronnymi przy wykorzystaniu systemów włamania i napadu, systemów kontroli dostępu, systemów telewizji dozorowej CCTV, systemów sygnalizacji pożaru, systemów zasilania awaryjnego i innych zintegrowanych elektronicznych systemów bezpieczeństwa;
  • mechaniczne – zastosowanie do zabezpieczenia odpowiednich stref ochronnych technicznych środków ochrony w postaci: tripodów, śluz, bramek magnetycznych, certyfikowanych: drzwi, krat, żaluzji, zamków, kłódek, szaf matalowych.


Akty  prawne: 

 Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

Co to znaczy wyposażenie i urządzenia, którym przyznano certyfikaty?

Zgodnie z art. 46 pkt 4 ustawy jednostki organizacyjne dysponujące informacjami niejawnymi o klauzuli „poufne” lub wyższej są zobligowane do stosowania wyposażenia i urządzeń, którym na podstawie odrębnych przepisów przyznano certyfikaty.

W opinii Agencji Bezpieczeństwa Wewnętrznego pojęcia „urządzenia” lub „wyposażenie” oznaczają m.in. szafy metalowe  służące do przechowywania materiałów niejawnych lub systemy alarmowe oraz dozorowe służące do ochrony informacji, a także systemy teleinformatyczne służące do przetwarzania informacji niejawnych.

Certyfikacje wyrobów służących ochronie informacji niejawnych przeprowadzają jednostki posiadające akredytację Polskiego Centrum Akredytacji. Urządzenia wyprodukowane, zakupione i zamontowane w okresie ważności certyfikatu zachowują ważność przez cały okres eksploatacji. Urządzenie traci certyfikat w przypadku dokonania zmian konstrukcyjnych lub w przypadku zmiany przepisów. Wyroby, na które wydano certyfikat zgodności, podlegają oznakowaniu potwierdzającemu zgodność wyrobu z zasadniczymi wymaganiami.

Zgodnie z art. 50 ustawy Departament Bezpieczeństwa Teleinformatycznego ABW w ramach realizacji zadań w zakresie bezpieczeństwa systemów teleinformatycznych przeprowadza certyfikacje środków (wyrobów) w zakresie:
  • ochrony elektromagnetycznej,
  • ochrony kryptograficznej.
Certyfikacja środków ochrony bezpieczeństwa teleinformatycznego prowadzona jest według polskich i europejskich norm i kryteriów oceny. Wyroby spełniające określone wymagania mogą uzyskać:
  • certyfikat ochrony elektromagnetycznej,
  • certyfikat ochrony kryptograficznej.

Certyfikat ochrony potwierdza, że wyrób spełnia określone odpowiednią normą wymagania i może być wykorzystywany do ochrony informacji niejawnych przetwarzanych w systemach teleinformatycznych.


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)



Jak określać poziom zagrożeń?

Zgodnie z art. 45 ustawy jednostki organizacyjne, w których są przetwarzane informacje niejawne, stosują środki bezpieczeństwa fizycznego odpowiednie do poziomu zagrożeń w celu uniemożliwienia osobom nieuprawnionym dostępu do takich informacji.

W opinii Agencji Bezpieczeństwa Wewnętrznego przez poziom zagrożenia nieuprawnionego ujawnienia lub utraty informacji niejawnych, należy rozumieć wpływ szeregu czynników, mogących mieć istotne znaczenie dla bezpieczeństwa przetwarzanych w jednostce organizacyjnej informacji niejawnych. Określając poziom zagrożeń w szczególności należy
uwzględnić: 
  • klauzulę tajności i liczbę dokumentów niejawnych pozostających w dyspozycji jednostki organizacyjnej,
  • lokalizację pomieszczeń, w których będą przetwarzane informacje niejawne,
  • liczbę osób mających dostęp do informacji niejawnych w danej jednostce organizacyjnej,
  • działanie sił natury.
Określenie poziomu zagrożenia w połączeniu z klauzulami przetwarzanych informacji niejawnych wskazują klasę strefy ochronnej, w której mogą być przetwarzane informacje niejawne oraz środki bezpieczeństwa fizycznego niezbędne do zabezpieczenia tej strefy. Zgodnie z art. 45 ust. 3 ustawy w uzasadnionych przypadkach przy określaniu poziomu zagrożeń uwzględnia się wskazania ABW lub SKW.

Szczegółowy sposób określania poziomu zagrożeń oraz doboru środków bezpieczeństwa fizycznego reguluje rozporządzenie  Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych (Dz.U. z 2012 r. poz. 683).


Akty  prawne: 

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz.742. z późn. zm.)

Pojęcie naruszenia ochrony danych osobowych - definicja i przykłady

 

Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).

 

Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych. 

Można wyróżnić trzy typy naruszeń ochrony danych osobowych:

  • NARUSZENIE POUFNOŚCI – polega na ujawnieniu danych osobowych nieuprawnionej osobie 

Przykład 1:

Przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej.

 Przykład 2:

System informatyczny administratora został zainfekowany złośliwym oprogramowaniem. Po przeprowadzeniu wstępnej analizy administrator stwierdził, że w wyniku działania tego oprogramowania osoba nieupoważniona uzyskała dostęp do danych osobowych.

  • NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych 

Przykład 1:

Zgubienie lub kradzież nośnika zawierającego bazy danych klientów administratora przy braku kopii zapasowej. 

Przykład 2:

Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu. 

Przykład 3:

W wyniku przerwy w dostawie prądu lub ataku typu „odmowa usługi” (tzw. DDoS), administrator tymczasowo lub trwale traci dostęp do danych osobowych.

W przykładzie III mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien czas. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa lub wolności osób fizycznych. Jednak nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych, np. w przypadku szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw lub wolności osób fizycznych. W przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Podobnie w przypadku planowanej konserwacji systemu, dane osobowe mogą być niedostępne przez pewien czas i nie należy traktować tego jako naruszenia bezpieczeństwa. 

  • NARUSZENIE INTEGRALNOŚCI – polega na zmianie treści danych osobowych w sposób nieautoryzowany. 

„Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „a” na końcu każdego z nich.”

 

Jakie obowiązki w związku z naruszeniami ochrony danych osobowych przewiduje RODO?

 

RODO przewiduje następujące obowiązki administratora związane z naruszeniem ochrony danych osobowych:

  • wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
  • prowadzenie wewnętrznej ewidencji naruszeń;
  • zgłaszanie naruszeń organowi nadzorczemu;
  • powiadamianie osoby, której dane dotyczą, o naruszeniu;
  • podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Ważnym, jeśli nie najważniejszym, elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą. 

Obowiązki administratorów związane z naruszeniami ochrony danych osobowych

 

Żeby zapewnić działania bez zbędnej zwłoki, administratorzy powinni opracować i wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych. Taka procedura pomoże ujednolicić, usprawnić oraz przyśpieszyć działania w przypadku wykrycia naruszenia ochrony danych. W tej procedurze powinno się zawrzeć m.in.:

  • cel, w jakim procedura została opracowana;
  • zakres jej stosowania;
  • katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
  • opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
  • opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych.
Zdolność do zapobiegania naruszeniom w przypadkach, w których jest to możliwe, oraz zdolność do niezwłocznego reagowania na naruszenia w sytuacjach, w których mimo to dojdzie do ich wystąpienia, stanowi kluczowy element każdej polityki w zakresie bezpieczeństwa danych.
Dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO).

Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenie danych osobowych.

 

Obowiązki współadministratorów związane z naruszeniami ochrony danych osobowych

 

Współadministratorzy, zgodnie z art. 26 RODO, w ramach realizowanego wspólnie przedsięwzięcia, określają zakresy swojej odpowiedzialności, dotyczącej wypełniania obowiązków wynikających z RODO. Wiąże się to z koniecznością ustalenia, która strona będzie odpowiedzialna za wywiązywanie się ze zobowiązań ustanowionych w art. 33 i 34 RODO oraz jakie będą obowiązki pozostałych stron w zakresie wymiany informacji dotyczących naruszeń ochrony danych osobowych. Ważne jest, aby podjęte uzgodnienia zapewniały efektywne wywiązywanie się z obowiązków wynikających z przepisów prawa.

Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) zaleca, aby uzgodnienia umowne między współadministratorami uwzględniały postanowienia wskazujące administratora, który będzie zajmował się dbaniem o wypełnianie ustanowionych w RODO obowiązków w zakresie zgłaszania naruszeń lub który będzie odpowiedzialny za wypełnianie tych obowiązków.

 

 

Obowiązki podmiotu przetwarzającego związane z naruszeniami ochrony danych osobowych

 

Administrator ponosi odpowiedzialność prawną za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu (motyw 74 RODO). Podmiot przetwarzający odgrywa istotną rolę w zapewnianiu administratorowi możliwości wywiązania się ze spoczywających na nim obowiązków. Zgodnie z art. 28 ust. 3 lit. f RODO, umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, a zatem również obowiązków określonych w art. 33 i 34 RODO.

Zgodnie z art. 33 ust. 2 RODO, podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Bez zbędnej zwłoki oznacza najszybciej jak to możliwe i taki termin wywiązywania się z tego obowiązku powinien być nałożony na podmioty przetwarzające w umowach powierzenia. Jeżeli podmiot przetwarzający świadczy usługi na rzecz wielu administratorów, a dany incydent wywiera wpływ na wszystkich z nich, podmiot przetwarzający będzie zobowiązany do zgłoszenia naruszenia bez zbędnej zwłoki każdemu z tych administratorów.

Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania (motyw 81 RODO).

Oznacza to na przykład, że gdy naruszenie ochrony danych osobowych wymaga podjęcia działań mających na celu jak najszybsze zablokowanie nieuprawnionego dostępu do danych osobowych, a dotyczy to danych przetwarzanych w ramach powierzenia, administrator powinien wydać odpowiednie polecenie podmiotowi przetwarzającemu i zadbać o to by żądanie organu nadzorczego zostało jak najszybciej i skutecznie zrealizowane. Pamiętać należy, że brak odpowiedniego działania po stronie podmiotu przetwarzającego w sytuacji naruszenia ochrony danych osobowych może skutkować zastosowaniem przez organ wobec podmiotu przetwarzającego uprawnień określonych w art. 58 RODO. Dotychczasowe doświadczenia Urzędu Ochrony Danych Osobowych wskazują, że nie wszystkie podmioty, przy pomocy których administratorzy przetwarzają dane osobowe, gwarantują odpowiednie bezpieczeństwo danych osobowych oraz szybkie i skuteczne rozwiązania służące prawidłowemu wywiązywaniu się z obowiązków określonych w art. 33 i 34 RODO.

 

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

 


W jaki sposób powiadomić Prezesa UODO o naruszeniu?

Zgłoszenia można dokonać za pomocą formularza dostępnego na stronie uodo.gov.pl na 4 sposoby:
  1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP
  3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia ochrony danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy (więcej: Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego (WP 244 rew. 01).

 

 

Jakie informacje musi zawierać zgłoszenie naruszenia kierowane do Prezesa UODO?

 

Zgodnie z art. 33 ust. 3 RODO, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:

  • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
  • wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych;
  • wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Istotne jest, aby opis charakteru naruszenia był na tyle szczegółowy i jasny, aby organ nadzorczy mógł ocenić całość zdarzenia i podjąć skuteczne działania, takie jak np. skierowanie wystąpienia do administratora o zawiadomienie bądź ponowne prawidłowe zawiadomienie osób, których dane dotyczą (gdy administrator zrezygnował z zawiadomienia bądź dokonał zawiadomienia osób w sposób nieprawidłowy). Zbyt lakoniczna informacja nie spełnia tej funkcji, a tym samym nie pozwala organowi nadzorczemu na podjęcie szybkich i właściwych działań mających na celu ochronę praw i wolności osób fizycznych. Przede wszystkim należy pamiętać, aby poinformować organ nadzorczy o zastosowanych środkach zaradczych (np. czy stosowano metody szyfrowaniu w utraconym nośniku elektronicznym zawierającym dane osobowe, a jeśli tak, to jakie to były metody).

 

W jakim terminie należy zgłosić naruszenie Prezesowi UODO?

 

Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

To czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej Art. 29, administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.

Należy pamiętać, że podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zobowiązany jest do zgłoszenia go administratorowi (art. 33 ust. 2 RODO). Administrator, dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych, decyduje czy zgłosić takie naruszenie organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą. 

 

Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?

 

Administratorzy nie zawsze będą dysponować wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. W związku z tym, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Zawiadamianie „sukcesywne” jest dopuszczalne, pod warunkiem że administrator poda organowi nadzorczemu przyczyny opóźnienia.

Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) również niejednokrotnie podkreśla, że np. brak dostępu do szczegółowych informacji (np. informacji o dokładnej liczbie osób, których dane dotyczą, na które naruszenie wywarło wpływ) nie powinien stanowić przeszkody dla terminowego zgłoszenia naruszenia. Przepisy RODO dopuszczają możliwość wskazywania przybliżonej liczby osób fizycznych, na które dane naruszenie wywarło wpływ, oraz przybliżonej liczby wpisów danych osobowych, których dotyczy to naruszenie.

 

Najczęściej popełniane błędy podczas zgłaszania naruszeń

 

Administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

 

Najczęściej popełniane błędy przy zgłaszaniu naruszeń:

1. Brak niektórych wymaganych w art. 33 ust. 3 RODO informacji (przekazane w zgłoszeniu informacje są niekompletne).

Prawidłowo wypełnione zgłoszenie naruszenia ochrony danych powinno zawierać co najmniej:

  • opis charakteru naruszenia ochrony danych osobowych - w tym w miarę możliwości wskazywanie kategorii i przybliżonej liczby osób, których dane dotyczą oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisanie możliwych konsekwencji naruszenia ochrony danych osobowych;
  • opisanie środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosowanych przypadkach środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Przekazanie wszystkich wymaganych informacji ułatwia elektroniczny formularz, który nie jest obowiązkowy, lecz jego usystematyzowany układ pozwala administratorom na sporządzenie prawidłowego zgłoszenia, które zawiera wszystkie wymagane informacje.

Prawidłowo wypełnione zgłoszenie pozwoli organowi nadzorczemu ocenić skalę i charakter naruszenia i – w razie potrzeby - podjąć odpowiednie i szybkie działania naprawcze w związku z jego zaistnieniem. Jeżeli z jakichś względów administrator nie może skorzystać z formularza, powinien zawrzeć wszystkie informacje wskazane w art. 33 ust. 3 RODO w piśmie kierowanym do Prezesa UODO.

Zgłoszenie naruszenia powinno nastąpić w terminie do 72 godzin od jego stwierdzenia. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Gdy w chwili zgłaszania naruszenia administrator nie dysponuje wszystkimi wymaganymi informacjami, to w terminie 72 godzin od wykrycia naruszenia powinien przekazać organowi nadzorczemu te informacje, które na temat naruszenia posiada. Jeśli zgłoszenie następuje na formularzu, należy zaznaczyć pole „Zgłoszenie wstępne” w pkt 1 formularza. W takim przypadku, zgodnie z art. 33 ust. 4 RODO, administrator powinien przekazać brakujące informacje po ich uzyskaniu, bez zbędnej zwłoki.

2. Niedokładne wypełnianie zgłoszeń (informacje przekazywane w zgłoszeniu są lakoniczne i nierzetelne).

Brak rzetelnego opisu (np. wpisanie jedynie sformułowania „zagubiono dokument”) rodzi konieczność podejmowania przez organ dodatkowych czynności w celu ustalenia np. rodzaju dokumentu i zakresu danych, jaki on zawiera. Po skontaktowaniu się z inspektorem ochrony danych lub innym wskazanym przez administratora punktem kontaktowym w tej sprawie okazuje się, że dany dokument był np. oryginałem umowy zawierającym podstawowe dane identyfikacyjne wraz z numerem PESEL, adresem zamieszkania, numerem dokumentu tożsamości oraz szczegółowymi informacjami finansowymi wskazującymi na status materialny danej osoby fizycznej. „Charakter naruszenia” powinien więc zawierać szczegółowy opis stanu faktycznego oraz okoliczności naruszenia.

Nierzetelne, zdawkowe przekazywanie informacji uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Jednym z najważniejszych celów zgłaszania naruszeń ochrony danych jest ograniczenie szkód dla osób fizycznych. Uzyskanie przez organ nadzorczy pełnych, wymaganych w art. 33 ust. 3 RODO informacji o określonym naruszeniu, pozwala mu na właściwą ocenę naruszenia i odpowiednią reakcję polegającą np. na zażądaniu od administratora powiadomienia osób, których dane dotyczą, w sytuacji, gdy jest to konieczne, a administrator nie uczynił tego z własnej inicjatywy. Brak odpowiedniej i szybkiej reakcji na naruszenia ochrony danych osobowych zwiększa ryzyko urzeczywistnienia się związanych z nimi szkód.

W przypadku braku w zgłoszeniu wymaganych informacji, konieczne jest wezwanie administratora do ich uzupełnienia. Brak reakcji administratora na takie wezwanie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e RODO.

3. Wypełnianie zgłoszeń w sposób rutynowy, prowadzący do błędów.

W przypadku administratorów kierujących do urzędu znaczne ilości zgłoszeń, zauważalna jest tendencja do niedbałego i szablonowego sposobu wypełniania formularza zgłoszenia naruszenia. To powoduje, że w zgłoszeniach od tych administratorów często obecne są błędy wynikające z automatycznego przenoszenia informacji dotyczących innych zdarzeń, np. wcześniej zgłoszonych naruszeń. Takie błędne, nieścisłe przekazywanie informacji powoduje konieczność prowadzenia z administratorem dalszej korespondencji lub innej formy kontaktu, a tym samym ponoszenia niepotrzebnych nakładów czasu i pracy zarówno po stronie administratora, jak i organu nadzorczego. 

4. Podmiot przetwarzający nie zgłasza naruszeń ochrony danych osobowych organowi nadzorczemu.

Obowiązek ten ciąży na administratorze. Zgodnie z art. 33 ust. 2 RODO podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Również art. 28 ust. 3 lit. f RODO zobowiązuje podmiot przetwarzający do pomagania administratorowi w wywiązaniu się z obowiązków określonych w art. 33 RODO (np. poprzez udzielenie dostępnych mu w danej sprawie informacji). Na podstawie zgromadzonych informacji administrator stwierdza naruszenie ochrony danych i podejmuje decyzję o właściwym zaklasyfikowaniu naruszenia w zależności od poziomu ryzyka dla praw lub wolności osób, których dane dotyczą, a tym samym o konieczności zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osób, których dane dotyczą.

 

Jak oceniać ryzyko naruszenia praw lub wolności osób fizycznych na wypadek stwierdzenia naruszenia?

 

Uzyskanie informacji przez administratora o zaistnieniu incydentu mającego znaczenie dla ochrony danych osobowych, obliguje go do dokonania rzeczowej analizy w celu stwierdzenia czy doszło do naruszenia ochrony danych osobowych, w rozumieniu art. 4 pkt 12 RODO.

Według Grupy Roboczej Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych. Konsekwencją stwierdzenia naruszenia jest konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwoli stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą o naruszeniu).

Ważne:

Wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych jest obowiązkiem administratora niezależnie od zaistnienia naruszenia ochrony danych osobowych. 

Podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia, kładzie się nacisk na inne kwestie, niż uwzględniane w ocenie skutków dla ochrony danych. W ocenie skutków dla ochrony danych bierze się pod uwagę zarówno ryzyko dla planowego przetwarzania danych, jak i ryzyko powstałe w przypadku wystąpienia naruszenia. Badając możliwe naruszenie, rozpatruje się w ujęciu ogólnym prawdopodobieństwo jego wystąpienia oraz szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć. Innymi słowy, jest to ocena wydarzenia hipotetycznego. W przypadku faktycznego naruszenia zdarzenie już nastąpiło, więc nacisk kładzie się w całości na powstałe ryzyko, że naruszenie będzie skutkowało wpływem na osoby fizyczne. Zgodnie z motywem 76 RODO, mówiąc o ocenie ryzyka naruszenia praw i wolności osób fizycznych konieczne jest uwzględnienie:

  • powagi tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą oraz
  • prawdopodobieństwa wystąpienia tego zdarzenia będącego skutkiem naruszenia.

Urzeczywistnienie się określonego zagrożenia może nie spowodować skutków dla praw lub wolności osób, których dane są przetwarzane, spowodować znikome skutki lub skutki katastrofalne. W skrajnych przypadkach, np. w systemach przetwarzania informacji medycznej, nieuprawniona modyfikacja danych lub niedostępność danych w wyniku złego ich zabezpieczenia może skutkować utratą zdrowia, a nawet życia. Dlatego oceniając ryzyko naruszenia praw i wolności osób, których dane dotyczą, osoby odpowiedzialne za przeprowadzenie tego procesu powinny przyjąć perspektywę osób, których dane są przetwarzane i właśnie z tej perspektywy oceniać stopień dotkliwości w przypadku zmaterializowania się zagrożenia.

Nie jest konieczne, aby ryzyko się zmaterializowało (by faktycznie doszło do naruszenia praw lub wolności). Administrator, który ocenił wielkość potencjalnej szkody, które naruszenie może spowodować, biorąc pod uwagę kontekst i okoliczności całego zdarzenia, powinien ocenić prawdopodobieństwo jego zaistnienia.

Przykład:

Pracownik administratora porzucił dokumenty kadrowe i finansowe (zawierające m.in. takie dane, jak: imię, nazwisko, PESEL, adres zamieszkania, informacje o wynagrodzeniach) w kontenerze na odpady. Administrator stwierdził, że doszło do naruszenia ochrony danych.

Jednak z uwagi na:

  • krótki okres jaki upłynął od zaistnienia do stwierdzenia naruszenia,
  • zamknięty teren zakładu pracy,
  • monitoring kontenerów na odpady,
  • podjęte natychmiastowo działania zaradcze,

mimo powagi tego zdarzenia, a w szczególności zakresu i kategorii danych, prawdopodobieństwo zmaterializowania się szkody dla osób, których te dane dotyczą (np. posłużenia się danymi w celu wyłudzenia ubezpieczenia) ocenił jako niskie. 

Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma ryzyka naruszenia praw lub wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Należy jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Przykłady naruszeń, w których nie wystąpiło ryzyko naruszenia praw lub wolności osób fizycznych (brak obowiązku zawiadomienia Prezesa UODO o naruszeniu): 

Przykład 1: 

Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych. Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie mogło skutkować naruszeniem praw lub wolności osób fizycznych, gdyż dane nie zostały udostępnione.

 Przykład 2: 

Administrator traci bezpiecznie zaszyfrowany pendrive (zgodnie z aktualnym stanem wiedzy technicznej). Klucz szyfrowania pozostaje w posiadaniu administratora i nie jest to jedyna kopia danych osobowych. W takiej sytuacji dane pozostają niedostępne dla złodzieja. Oznacza to małe prawdopodobieństwo, by naruszenie stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą.

Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może się zdarzyć, gdy w sytuacji zaistnienia naruszenia administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu.

Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.:

  • dyskryminacja,
  • kradzież tożsamości lub oszustwo dotyczące tożsamości,
  • nadużycia finansowe,
  • straty finansowe,
  • nieuprawnione cofnięcie pseudonimizacji,
  • utrata poufności danych osobowych chronionych tajemnicą zawodową,
  • naruszenie dobrego imienia
  • lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

    Jeżeli naruszenie dotyczy danych osobowych ujawniających:  pochodzenie etniczne,  poglądy polityczne,  przekonania religijne lub światopoglądowe,  przynależność do związków zawodowych,  dane genetyczne,  dane dotyczące zdrowia,  dane dotyczące życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody. Niemniej jednak każde z takich zdarzeń należy rozpatrywać indywidualnie. 

Jeżeli naruszenie dotyczy danych osobowych ujawniających:

  • pochodzenie etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane dotyczące zdrowia,
  • dane dotyczące życia seksualnego,

należy uznać, że występuje duże prawdopodobieństwo takiej szkody. Niemniej jednak każde z takich zdarzeń należy rozpatrywać indywidualnie.

 




Jak mogę Ci pomóc?