Obowiązek informacyjny w świetle pierwszej kary PUODO - udostępniamy wzór

15 marca 2019 r. – ta data może zapaść w pamięć każdemu administratorowi, inspektorowi ochrony danych, a także osobom zajmującym się ochroną danych osobowych. W tym dniu bowiem Prezes Urzędu Ochrony Danych Osobowych wydał pierwszą w historii obowiązywania przepisów RODO karę administracyjną.

Jak się okazało, podstawowym przewinieniem, za które nałożono blisko milionową karę, był brak realizacji obowiązku informacyjnego. Przypomnijmy zatem najważniejsze kwestie w zakresie jego spełniania przez administratora.

Interesują Cię szczegóły dotyczące pierwszej w Polsce kary administracyjnej na gruncie RODO? – zachęcamy do przeczytania artykułu: "Milion za niezgodność z RODO".

Obowiązek informacyjny – czym jest i dlaczego jest taki ważny

Każdy podmiot przetwarzający dane osobowe, będący  administratorem, jest obarczony licznymi obowiązkami na gruncie RODO. Jednym z nich jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. To właśnie dzięki obowiązkowi informacyjnemu osoba ta może uzyskać podstawowe informacje na temat przetwarzania jej danych osobowych.

Realizacja omawianego obowiązku polega na podaniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Grupa Robocza art. 29 (obecnie: Europejska Rada Ochrony Danych) w swoich wytycznych dotyczących przejrzystości słowo  „podaje” rozumie jako czynne działania administratora w celu udzielenia wszelkich informacji lub czynne skierowanie tej osoby do miejsca, w którym znajdują się takie informacje. Co istotne, osoba, której dane dotyczą, nie powinna być zmuszona do samodzielnego szukania informacji odpowiadających obowiązkowi informacyjnemu pośród innych treści, np. w ramach obszernych regulaminów.

Treść obowiązku informacyjnego

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. W wytycznych dotyczących przejrzystości Grupa Robocza art. 29 wskazuje następujące przykłady takich sytuacji:

  1. osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
  2. administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. Przywołane wytyczne w sprawie przejrzystości wskazują jako przykłady konieczności zastosowania tego przepisu m.in.:

  1. pozyskanie danych osobowych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  2. pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  3. pozyskanie danych osobowych od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Jeżeli dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, prawidłowo sformułowany obowiązek informacyjny, stosownie do art. 13 RODO, powinien zawierać:

  1. tożsamość i dane kontaktowe administratora (ewentualnie jego przedstawiciela),
  2. dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
  3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
  4. wyjaśnienie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią (jeżeli podstawą przetwarzania danych jest art. 6 ust. 1 lit. f RODO),
  5. listę odbiorców danych osobowych lub ich kategorie (jeżeli przetwarzane dane osobowe będą przekazywane np. do podmiotów przetwarzających dane lub innych administratorów danych),
  6. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
  8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  9. informacje o prawie do cofnięcia zgody (jeżeli stanowiła ona podstawę prawną przetwarzania danych),
  10. informacje o prawie wniesienia skargi do organu nadzorczego,
  11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, z uwzględnieniem informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli podstawą realizacji obowiązku informacyjnego będzie art. 14 RODO, oprócz wyżej wymienionych informacji administrator jest zobowiązany podać:

  1. kategorie danych, które przetwarza,
  2. źródło pozyskania danych.

Z przykładową klauzulą informacyjną można  zapoznać się w materiale: "Klauzule RODO".

Realizacja obowiązku informacyjnego

Jeżeli administrator będzie pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny podczas pozyskiwania tych danych. Realizacja obowiązku informacyjnego powinna zatem nastąpić najpóźniej przed zakończeniem zbierania danych osobowych. Rekomenduje się jednak, aby do spełnienia obowiązku informacyjnego doszło jeszcze przed pozyskaniem danych osobowych. W praktyce będzie się to odnosiło do umożliwienia osobie, której dane dotyczą, zapoznania się treścią klauzuli informacyjnej. Jako przykłady rozwiązań w tym zakresie można wskazać:

  1. umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych,
  2. spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej (dotyczy to np. telefonicznych biur obsługi klienta),
  3. przekazanie podstawowych informacji – takich jak tożsamość administratora danych, cele przetwarzania danych, opis praw przysługujących osobie, do której należą dane osobowe – z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, np. poprzez podany link (tzw. warstwowy obowiązek informacyjny).

Praca dobryymi narzędziami RODO - to nie praca!

Termin na spełnienie obowiązku informacyjnego, w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, jest dłuższy (art. 14 ust. 3 RODO). W takim scenariuszu administrator ma maksymalnie miesiąc na zrealizowanie tego obowiązku od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu, jeżeli:

  1. dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą,
  2. dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu.

Przy podejmowaniu decyzji odnośnie do terminu przekazania informacji o przetwarzaniu danych osobowych administrator powinien uwzględnić rozsądne oczekiwania osób, których dane są przetwarzane, oraz wpływ tego przetwarzania na te osoby i ich prawa.

Jeżeli administratora dotyczy przypadek wskazany w art. 14 RODO, sposoby realizacji obowiązku informacyjnego mogą być następujące:

  1. przesłanie e-maila lub listu pocztą tradycyjną z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli,
  2. załączenie klauzuli informacyjnej do pierwszej wiadomości e-mailowej lub do listu przesłanego pocztą tradycyjną,
  3. zawarcie na stałe w stopce e-maila klauzuli informacyjnej lub odesłania do pełnej treści klauzuli

Omawiając sposób realizacji obowiązku informacyjnego, warto zwrócić uwagę na stanowisko Grupy Roboczej art. 29, zawarte w cytowanych już wytycznych. Zgodnie z nim wszelkie informacje, które zostały przekazane osobie (np. w liście, e-mailu lub formularzu do pozyskiwania danych), powinny być dla niej dostępne niezależnie w innym miejscu lub w ramach innego dokumentu. Takie miejsce lub taki dokument powinny być łatwo dostępne, jeżeli osoba, której dane są przetwarzane, chciałaby zapoznać się ponownie z całością klauzuli informacyjnej (przykładem takich rozwiązań są zakładki pojawiające się na stronach internetowych administratorów, np. „Polityki prywatności”, „Zasady przetwarzania danych osobowych”, „RODO”).

Wyłączenia (teoretyczne) realizacji obowiązku informacyjnego

Przepisy RODO przewidują kilka sytuacji, w których realizowanie obowiązku informacyjnego może zostać wyłączone (tak stanowi teoria). Przykładem może być taki stan rzecz (wskazany w art. 13 ust. 4 RODO), gdy administrator przetwarza dane osoby, które pozyskał bezpośrednio od niej, i osoba ta dysponuje już wszelkimi informacjami z art. 13 ust. 1, 2 i 3 RODO, wymienionymi w niniejszym artykule w części „Treść obowiązku informacyjnego”.

W przypadku zaś pośredniego pozyskiwania danych osobowych, zgodnie z art. 14 ust. 5 RODO, administrator może nie realizować obowiązku przekazywana informacji na temat przetwarzania danych osobowych, jeżeli:

  1. osoba, której dane dotyczą, dysponuje już informacjami w zakresie przetwarzania jej danych osobowych przez administratora,
  2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO,
  3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą,
  4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Niezależnie od powyższego zwolnieniem z obowiązku informacyjnego z art. 14 ust. 1 i 2 RODO objęto administratorów wykonujących zadania publiczne, jeżeli takie zwolnienie służy realizacji zadania publicznego. Podstawę zwolnienia w tym przypadku stanowi art. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.). Przywołana ustawa w art. 2 przewiduje również całościowe wyłączenia stosowania art. 13 i art. 14 RODO w przypadku działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (t.j. Dz.U. z 2018 r. poz. 1914).

Warto w tym miejscu wskazać, że realizacja obowiązku informacyjnego nie będzie wymagana wówczas, gdy administrator danych nie przetwarza danych teleadresowych (np. numer telefonu, adres e-mailowy, adres miejsca zamieszkania/korespondencyjny) osób znajdujących się w jego systemach. Pozyskanie takich danych tylko w celu dokonania obowiązku informacyjnego nie jest konieczne (zważywszy na treść art. 11 ust. 1 RODO), a nawet może zostać uznane za złamanie zasady minimalizacji danych, gdyż nie są one potrzebne administratorowi do realizacji podstawowego celu ich przetwarzania.

Wpływ pierwszej kary za naruszenie RODO
na realizację obowiązku informacyjnego – apetyt na ryzyko

Akredytowany kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Jakość kursu potwierdził Mazowiecki Kurator Oświaty. Zapraszamy!
WYBIERZ TERMIN
Informacja o administracyjnej karze pieniężnej nałożonej przez Prezesa Urzędu Ochrony Danych decyzją z dnia 15  marca 2019 r. (ZSPR.421.3.2018) rozpowszechniła się nie tylko z tego względu, że jest to pierwsze tego typu rozstrzygnięcie polskiego organu nadzorczego. Bardzo istotne dla praktyków zajmujących się prawem ochrony danych osobowych jest podważenie w tej decyzji zasadności skorzystania przez administratora z przepisu wyłączającego konieczność spełnienia obowiązku informacyjnego.

Więcej na ten temat w artykule: "Milion za niezgodność z RODO".

Mając na względzie powyższe, należy podkreślić, że powoływanie się na wymienione wyłączenia będzie musiało być związane z pewnym apetytem na ryzyko. Wynika to w szczególności z faktu, że sam Urząd Ochrony Danych Osobowych nie przedstawia jednolitego stanowiska w prezentowanych przez siebie poglądach. Czytając komentarze przedstawicieli Urzędu Ochrony Danych Osobowych do decyzji z dnia 15 marca  2019 r., można spotkać się ze opinią, że realizacja obowiązku informacyjnego przez przesłanie stosownych informacji listem poleconym to nie jedyne możliwe rozwiązanie. Jest to istotne dla administratorów ze względu na koszty związane realizacją obowiązku informacyjnego w taki sposób, szczególnie jeżeli w grę wchodzi przetwarzanie danych osobowych dotyczących dużej liczby osób.

Nie byłoby w tym poglądzie nic niewłaściwego  (zdaniem autora jest on całkowicie słuszny), gdyby nie fakt, że w decyzjach Prezesa Urzędu Ochrony Danych można znaleźć stanowisko podważające jego zasadność. Mowa tutaj o decyzji z dnia 21 grudnia 2018 r. (ZSPR.440.854.2018), w której organ nadzorczy uznał, że samo potwierdzenie nadania listu zwykłego zawierającego treść klauzuli informacyjnej nie jest wystarczającym dowodem na to, że osoba została skutecznie poinformowana o fakcie przetwarzania jej danych osobowych. Z przywołanej decyzji można wysnuć wniosek, że w celach dowodowych administrator powinien dysponować zwrotnym potwierdzeniem odbioru lub innym dokumentem potwierdzającym odbiór korespondencji przez osobę, której dane przetwarza. W tym miejscu trzeba podkreślić, że komentowana decyzja dotyczyła interpretacji art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2018 r. poz. 2187 ze zm.),  regulującego konieczność poinformowania osoby o przetwarzaniu jej danych osobowych. Jednakże zdaniem autora mocno rzutuje ona również na interpretację słowa „podaje”,  użytego w art. 13 i art. 14 RODO.

Efektem przywołanych decyzji Prezesa Urzędu Ochrony Danych będzie zapewne konieczność asekuracyjnego podejścia administratorów do rezygnacji z realizacji obowiązku informacyjnego. Zdaniem autora podjęcie decyzji o skorzystaniu z możliwości nieprzekazywania treści klauzul informacyjnych, przewidzianych w przepisach art. 13 ust. 4 lub art. 14 ust. 5 RODO, będzie musiało być związane z wysokim apetytem na ryzyko, wynikającym z prawdopodobieństwa podważenia prawidłowości przyjętego rozwiązania przez organ nadzorczy.

Podsumowanie

Przed podjęciem decyzji o realizacji obowiązku informacyjnego administrator powinien w pierwszej kolejności poszukać odpowiedzi na pytania:

  1. skąd będą pochodzić dane osobowe (czy bezpośrednio od osoby, której one dotyczą, czy z innego źródła)?
  2. jakie dokładnie dane osobowe administrator będzie przetwarzał?

Pytania te powinny być dla administratora szczególnie istotne przy podejmowaniu decyzji, czy w ogóle będzie realizować obowiązek informacyjny (mając na względzie art. 11 ust. 1 RODO), a jeżeli tak, to w jaki sposób – ten uregulowany w art. 13 czy też w art. 14 RODO. Ustalenia w tym zakresie pozwolą również na precyzyjne określenie terminu, w jakim administrator powinien przekazać klauzulę informacyjną.

Należy podkreślić, że administrator powinien udzielić odpowiedzi na powyższe pytania już na etapie projektowania danego procesu przetwarzania danych. Wówczas niezbędne jest również ustalenie dalszych bardzo ważnych kwestii, mianowicie:

  1. jaki jest cel oraz jaka jest podstawa prawna przetwarzania?
  2. przez jaki czas administrator będzie przetwarzać dane osobowe?
  3. jakiemu odbiorcy administrator będzie udostępniać/powierzać dane osobowe?
  4. czy dane będą przekazywane do państw trzecich?
  5. czy dane będą podlegały zautomatyzowanemu przetwarzaniu?

Dopiero tak usystematyzowana wiedza pozwoli administratorowi na przygotowanie prawidłowej klauzuli informacyjnej. Podobne informacje należy zawrzeć i na bieżąco aktualizować w rejestrze czynności przetwarzania, o którym piszemy w artykule: "Nowy dokument z zakresu ochrony danych osobowych już od 25 maja 2018r.".

Czytaj także:

-
4.53/5 (43) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".