Co powinna zawierać polityka cookies - udostępniamy wzór

Polityka plików cookie to dokument, w którym właściciel strony internetowej lub aplikacji przekazuje użytkownikom informacje na temat stosowanych za jej pośrednictwem narzędzi śledzących. Polityka cookies może być częścią polityki prywatności, ale równie dobrze może stanowić odrębny dokument. Ponieważ żaden przepis nie reguluje dokładnie, z jakich elementów powinna się składać, jej opracowanie przysparza sporo trudności. W naszym artykule, uwzględniając orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej oraz zalecenia europejskich organów nadzorczych, wyjaśniamy, w jaki sposób opisać stosowane pliki cookie, aby spełnić wymagania dotyczące przejrzystości na gruncie RODO. Oprócz tego, wychodząc naprzeciw oczekiwaniom czytelników naszej strony internetowej, dołączamy do niniejszego artykułu wzór polityki cookies, który może stanowić wartościowy wkład do tworzonych przez Państwa dokumentów.

Jakie są ramy prawne korzystania z plików cookie?

Ochronę poufności komunikacji, w związku z wykorzystaniem plików cookie i podobnych rozwiązań, regulują przede wszystkim:

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

  • Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej „Dyrektywa 2002/58/WE”) oraz implementująca ją do polskiego porządku prawnego ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2004 r. nr 171 poz. 1800 z późn. zm., dalej „UPT”).
  • Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”).

Ze względu na nakładające się obowiązki, określone w powyższych przepisach, pierwszą rzeczą jest określenie relacji między nimi. W tym zakresie zwracamy uwagę na dwa postanowienia:

  • Motyw 10 Dyrektywy 2002/58/WE: (…) Dyrektywę 95/46/WE (zgodnie z treścią art. 94 ust. 1 RODO Dyrektywa 95/46/WE została uchylona ze skutkiem od 25.5.2018 r., a zakres jej regulacji przekazano pod reżim RODO) stosuje się w szczególności do wszystkich spraw dotyczących ochrony podstawowych praw i wolności, które nie są szczegółowo objęte przepisami niniejszej dyrektywy, włączając zobowiązania nałożone na kontrolera oraz prawa jednostek.
  • Motyw 173 RODO: niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich tych kwestii dotyczących ochrony podstawowych praw i wolności w związku z przetwarzaniem danych osobowych, które nie podlegają szczególnym obowiązkom mającym ten sam cel, określonym w dyrektywie Parlamentu.

Powyższe jest zgodne z doktryną, że prawo regulujące kwestie szczegółowe (lex specialis) ma pierwszeństwo przed prawem regulującym jedynie kwestie ogólne (lex generalis). Zatem bezpośrednie zastosowanie w zakresie zapisywania lub uzyskiwania dostępu do plików cookie zapisanych na urządzeniu końcowym abonenta lub użytkownika końcowego będzie miał art. 173 i 174 ustawy prawo telekomunikacyjne. RODO będzie miało zastosowanie w całości, wyłączając kwestie uregulowane szczegółowo w prawie telekomunikacyjnym, dotyczące przede wszystkim warunków uzyskania zgody abonenta lub użytkownika końcowego.

Pozostałe przepisy RODO, w tym zasady określające jakość danych, prawa osób, których dane dotyczą, poufność i bezpieczeństwo przetwarzania oraz kwestie przekazywania danych osobowych do państw trzecich będą miały zastosowanie w całej rozciągłości.

Polityka  cookie - udostępniamy wzór

Olga Jaworowska

Narzędzia RODO

Wzór polityki cookie

Przygotowaliśmy dla Ciebie wzór polityki cookie, zawierający wszystkie elementy wymagane przez orzeczenie TSUE ws. Planet49. Gdybyś potrzebował/a pomocy z niej wypełnieniem, nie wahaj się pytać.

Pobierz

Jak odebrać zgodę na pliki cookie?

Przedmiotem dalszej analizy w tej części artykułu pozostaje zatem jedynie kwestia warunków odebrania zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego (rzutuje bezpośrednio na istotę wskazanego we wstępie rozstrzygnięcia). Bez znaczenia dla dalszej analizy pozostaje fakt, czy informacje przechowywane na urządzeniu końcowym abonenta lub użytkownika końcowego (np. pliki cookie) stanowią dane osobowe, czy nie, gdyż zgodnie z orzeczeniem TSUE (C 673/17 w sprawie Planet49) sposób interpretowania art. 2 lit. f) i art. 5 ust. 3 Dyrektywy 2002/58/WE w związku z art. 2 lit. h) Dyrektywy 95/46, a także z art. 4 pkt 11 i art. 6 ust. 1 lit. a) RODO, nie powinien być różny w zależności od tego, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika strony internetowej stanowią dane osobowe na gruncie art. 173 ust. 1 UPT. Instalowanie plików cookie oraz korzystanie z informacji już zapisanych na urządzeniu końcowym dopuszczalne jest po wyrażeniu zgody przez abonenta lub użytkownika końcowego. Przed wyrażeniem zgody użytkownik musi być poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:

  • celu przechowywania i uzyskiwania dostępu do tych informacji (np. plików cookie);
  • możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do informacji za pomocą ustawień oprogramowania, zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Art. 173 ust. 2 UPT wskazuje, że abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi, dodając równocześnie (art. 174 UPT), że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych,
a zatem powinna ona stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Równocześnie należy zaznaczyć, że UPT obejmuje zakresem swoich regulacji działania o różnej naturze i rozmaitym charakterze. W konsekwencji, szczególnego znaczenia nabiera wymóg konkretności
w kontekście zgód wyrażanych na mocy UPT (P. Litwiński, Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).

Funkcja IOD - to się dobrze przekazuje

Na gruncie art. 4 pkt 11 RODO możliwe jest odebranie zgody na przetwarzanie danych osobowych poprzez wyraźne działanie potwierdzające (z takim działaniem mamy do czynienia w sytuacji uzyskiwania zgody za pomocą ustawień przeglądarki). Grupa Robocza Art. 29 w opinii 2/2010 w sprawie internetowych reklam behawioralnych wskazuje, że zgoda może zostać udzielona na różne sposoby – jeśli jest to możliwe z technicznego punktu widzenia, skuteczne i zgodne z innymi obowiązującymi wymogami – zaznaczając równocześnie, że w przypadku zgody odbieranej poprzez ustawienia przeglądarki jedynie w bardzo nielicznych sytuacjach pozostanie ona skuteczna, ponieważ:

  • Nie można domniemywać zgody użytkowników na podstawie faktu, że nabyli lub wykorzystali przeglądarkę lub inną aplikację działającą w określony sposób. Takie podejście oznacza, że zgoda zależy głównie od budowy aplikacji opracowanych przez strony trzecie, takich jak wyszukiwarki, lub od sposobu ich wprowadzenia na rynek, tj. z ustawieniami prywatności nastawionymi na akceptowanie plików cookie. Jak wskazano powyżej, co do zasady przeciętni użytkownicy nie są świadomi zbierania danych i śledzenia ich zachowania, celów takiego śledzenia itp. Złudzeniem byłoby oczekiwanie, że brak działania użytkownika uznać można za jasne i jednoznaczne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie.
  • Jeśli ustawienia przeglądarki miałyby umożliwiać wyrażenie świadomej zgody, nie powinno być możliwe „ominięcie” decyzji podjętej przez użytkownika podczas ustawiania wyszukiwarki. W praktyce jednak usunięte pliki cookie mogą zostać poddane tzw. respawningowi za pomocą plików typu flash cookie, co pozwala dostawcy sieci reklamowej kontynuować monitorowanie użytkownika.
  • Zgoda wyrażona poprzez ustawienie wyszukiwarki na przyjmowanie wszystkich plików cookie pozwala założyć, że użytkownicy akceptują przyszłe przetwarzanie, mimo że nie mają żadnej wiedzy o jego celach i zastosowaniach plików cookie. Takie zezwolenie na wszelkiego rodzaju przyszłe przetwarzanie bez wiedzy o jego okolicznościach nie może stanowić ważnej zgody.

Powyższe prowadzi do wniosku, że jedynie zastosowanie mechanizmu opt-in gwarantuje odbieranie zgody w sposób zgodny z przepisami o ochronie danych osobowych.

Treść polityki plików cookie

Grupa Robocza z art. 29 (obecnie Europejska Rada Ochrony Danych) w wytycznych 2/2013 w sprawie pozyskiwania zgody na zapisywanie plików cookie oraz organy nadzorcze (m.in. CNIL) wskazują, iż
w polityce cookies należy określić cele uzyskiwania dostępu i przechowywania plików cookie, jeżeli to istotne, wskazanie plików cookie pochodzących od stron trzecich lub dostęp strony trzeciej do danych zbieranych przez pliki cookie na stronie internetowej, szczegółowe informacje na temat plików cookie strony trzeciej oraz inne techniczne informacje.

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
WCHODZĘ W TO
Aby w pełni poinformować użytkowników, zaleca się wskazywanie okresu przechowywania (tj. daty wygaśnięcia pliku cookie)  oraz kompleksowe informacje dotyczące tego, w jaki sposób mogą wyrazić (lub cofnąć) zgodę.

Treść polityki cookies jest determinowana także przez orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Wyrok TSUE Planet49 GmbH C-673/17 wskazuje, iż usługodawcy (właściciele stron internetowych) powinni w politykach cookies wskazywać co najmniej na tożsamość administratora danych, cel przetwarzania, okres ważności cookies, informacje o odbiorcach lub kategoriach odbiorców danych.

Powyższe prowadzi do wniosku, że polityka cookies powinna zawierać co najmniej następujące elementy:

  • Tożsamość usługodawcy – tj. wskazanie jego nazwy, adresu oraz danych do kontaktu. Należy także podać nazwę (domenę) strony internetowej, na której instalowane są pliki cookie.
  • Rodzaje wykorzystywanych plików cookie (istnieją różne rodzaje cookies). Poniżej przedstawiamy ich najczęstszy podział.

Ze względu na konieczność uzyskania zgody:

  • wymagające uzyskania zgody na ich funkcjonowanie, np. marketingowe, analityczne;
  • uważane za niezbędne do funkcjonowania strony internetowej, które nie wymagają uzyskania zgody; według francuskiego organu nadzorczego CNIL będą to cookies, których dostęp do informacji przechowywanych na urządzeniu końcowym lub ich zapis odbywa się wyłącznie w celu umożliwienia lub ułatwienia komunikacji za pomocą drogi elektronicznej lub jest ściśle konieczny do dostarczenia usług komunikacji sieciowej na wyraźne żądanie użytkownika.

Ze względu na czas funkcjonowania:

  • pliki cookie sesyjne – są to pliki tymczasowe przechowywane tylko do momentu zamknięcia przeglądarki lub wylogowania się ze strony internetowej,
  • stałe, tzw. cookies śledzące – pliki, które zostają w pamięci przeglądarki przez dłuższy czas, zależny od ustawień przeglądarki użytkownika.

Ze względu na podmiot, od którego pochodzą:

  • pliki cookie własne – podchodzące od usługodawcy, przechowywane przez stronę, którą użytkownik odwiedza,
  • pliki cookie podmiotów trzecich – tworzone przez domeny, które nie są witryną, którą odwiedza użytkownik.

Organy nadzorcze wskazują, iż usługodawca, w celu zachowania transparentności, jest zobowiązany do informowania o podmiotach trzecich, których plikami cookie  się posługuje. Francuski organ nadzorczy przypomina, że aby zgoda spełniała wymogi RODO, użytkownik musi być w stanie zidentyfikować wszystkie podmioty stosujące pliki śledzące, zanim będzie mógł wyrazić swoją zgodę. Znajduje tu zastosowanie zasada, zgodnie z którą, aby zgoda na dostęp i przechowywanie plików cookie spełniała wymogi RODO, usługodawca (właściciel strony internetowej) musi poinformować użytkowników strony internetowej przed wyrażeniem przez nich zgody o:

  • celu dostępu i przechowywania plików cookie (atrybut konkretności zgody),
  • podmiocie, dla którego zgoda jest wyrażana (atrybut świadomości zgody), tj. wskazanie wszystkich podmiotów stosujących pliki śledzące. Nazwy podmiotów trzecich wskazuje się w banerze cookie, ale oczywiście należy wymienić te podmioty także w polityce cookies.

Ważne, aby pamiętać także o innych technologiach, wtyczkach i rozszerzeniach stosowanych przez usługodawcę, np. FLASH, SILVERLIGHT, czy JAVA oraz o informowaniu o tym użytkownika strony internetowej, mając na uwadze zasady opisane w niniejszym artykule.

RODO. Wspracie się przydaje!

Warto również zwrócić uwagę na pewne rozbieżności pomiędzy stanowiskiem francuskiego organu nadzorczego CNIL i brytyjskiego organu nadzorczego ICO. Brytyjski organ wskazał np., że analityczne pliki cookie nie są ściśle niezbędne i wymagają zgody, natomiast  CNIL wskazał, że stosowanie pewnych cookies analitycznych może być w niektórych sytuacjach uznane za konieczne dla dostarczenia usługi wyraźnie zażądanej przez użytkownika i nie podlegać obowiązkowi zbierania zgody. Powyższe wskazuje, że do każdego pliku cookie należy podejść indywidualnie, by ocenić jego zadanie, które ma do spełnienia na stronie internetowej.

  • Czas przechowywania plików cookie – żywotność plików cookie musi być proporcjonalna do zamierzonego wyniku i ograniczona do tego, co jest konieczne do osiągnięcia celu. Organy nadzorcze proponują, aby żywotność plików cookie analitycznych nie przekraczała 13 miesięcy, natomiast informacje zebrane za ich pośrednictwem można przechowywać maksymalnie przez 25 miesięcy.
  • Informacje na temat możliwości zmiany swoich wyborów – usługodawca w sposób klarowny powinien poinformować użytkownika strony internetowej o zasadach wyrażania zgody, o możliwości odrzucenia plików cookie oraz o możliwości zmian w plikach cookie. Powinna znaleźć się też informacja o prawie do cofnięcia zgody w dowolnym momencie oraz o tym, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Usługodawca informuje, że zgodami na wykorzystywanie plików cookie można zarządzać za pośrednictwem ustawień prywatności na stronie lub za pomocą swojej przeglądarki internetowej. Należy przekazać użytkownikowi narzędzia do zmian w zgodach plików cookie. Przede wszystkim należy podać źródła kontaktu, ale także z poziomu strony internetowej użytkownik powinien móc w sposób zgodny z art. 7 RODO wycofać zgodę – czy to za pomocą wskazówek usługodawcy (patrz wyżej: zestawienie), czy za pomocą baneru cookie. Użytkownik powinien otrzymać szczegółowe informacje na ten temat, aby nie miał wątpliwości, jak może skorzystać z proponowanych narzędzi.
  • Zmiany w polityce cookiew celu spełnienia zasady przejrzystości usługodawca powinien również informować użytkowników o z góry przewidzianych zasadach zmian
  • w polityce należy rozważyć, jakie zmiany mogą nastąpić, w jaki sposób wpłyną na użytkowników oraz jak należy je wprowadzić w życie, tj. określić zasady publikacji i wejścia w życie zmian.

Kilka słów o cookies w aplikacji mobilnej

Cookies w aplikacji mobilnej mają ograniczoną użyteczność, ponieważ środowisko mobilne nie należy do środowisk jednorodnych, co powoduje, że cookies nie łączą aktywności użytkowników w ramach różnych aplikacji. Użytkownik może korzystać z przeglądarki w wersji mobilnej oraz aplikacji dostarczanych przez różne podmioty. Alternatywą dla plików cookie są identyfikatory, np. UDID (Universal Device Identifier – ciąg znaków nadawanych przez Apple wszystkim urządzeniom mobilnym, IDFA (Apple’s Identifier for Advertising) – identyfikator obsługiwany przez system iOS). Zasady wskazane w niniejszym artykule powinny być stosowane także do dostępu i przechowywania danych w każdej technologii śledzącej, umieszczonej w aplikacjach mobilnych.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Którego z poniższych elementów nie musi zawierać polityka cookies (zgodnie z orzeczeniem TSUE)?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska

„Dane naszych pracowników i kontrahentów są bezpieczne”

Jesteś tego pewien?

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".