Autor: Natalia Groszyk

Zgoda dziecka na przetwarzanie danych

Warunki wyrażenia zgody przez dziecko na przetwarzanie danych reguluje art.8  Rozporządzenia. Według RODO zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło lat 16 i wyraziło na to zgodę w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku. W przypadku, gdy dziecko nie ukończyło lat 16, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską  lub opiekę nad dzieckiem. Reguła ta dotyczy dwóch przypadków:

  • wyrażenia zgody zamiast dziecka;
  • potwierdzenia wyrażenia zgody przez dziecko.

Komentowany przepis RODO nie odpowiada jednak na pytanie, kiedy wymagana jest zgoda dziecka, a kiedy można ją zastąpić oświadczeniem osoby sprawującej władzę rodzicielską lub opieką nad dzieckiem. W nawiązaniu do polskiego prawa cywilnego, należy zauważyć, że w sytuacji osób z ograniczoną zdolnością do czynności prawnych (dzieci, które ukończyły lat 13) przepisy Kodeksu cywilnego wskazują na konieczność potwierdzenia czynności prawnej dokonanej przez dziecko dla jej ważności przez opiekuna prawnego, a zatem należy je traktować jako dodatkowe względem oświadczenia dziecka. Natomiast do odwołania zgody wystarczyłoby tylko oświadczenie dziecka które ukończyło 13 lat. W przypadku dziecka poniżej 13 roku życia, należy przyjąć, że oświadczenie przedstawiciela ustawowego powinno być uznane za wystarczające.

Należy zauważyć, że w polskiej ustawie o ochronie danych kwestia granicy wieku nie została uregulowana, co oznacza, że granica wieku w Polsce w tym kontekście zgodnie z RODO wynosi 16 lat. Zgodnie z RODO każde Państwo członkowskie może przewidzieć w swoim prawie niższą granicę wiekową, która wynosi co najmniej 13 lat.

Według RODO administrator uwzględniając dostępną technologię, jest zobowiązany podjąć rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Każdy administrator musi także ocenić, jaki mechanizm będzie w sposób rzeczywisty oraz rozsądny weryfikować wiek dziecka. Ponadto w celu uzyskania świadomej zgody dziecka, administrator ma obowiązek wyjaśnić w jaki sposób i w jakim celu będzie przetwarzać gromadzone dane, przy użyciu języka który jest jasny i zrozumiały dla dziecka.

Wytyczne Europejskiej Rady Ochrony Danych dotyczące terytorialnego zakresu stosowania RODO

23 listopada Europejska Rada Ochrony Danych poinformowała na swojej stronie o możliwości zgłaszania uwag do Wytycznych 3/2018 dotyczących terytorialnego zakresu stosowania RODO  (art. 3).
Uwagi w ramach konsultacji publicznych można zgłaszać do 18 stycznia 2019 r. na adres e-mail: EDPB@edpb.europa.eu.

Wytyczne dotyczące terytorialnego zakresu stosowania RODO mają na celu ujednolicenie zasad współpracy gospodarczej w ramach przetwarzania danych przez administratorów mających siedzibę w EOG, ale także tych, którzy mimo zlokalizowania poza EOG, przetwarzają dane osób przebywających na jego terenie.

 

W opublikowanej przez EROD wersji wytycznych możemy przeczytać także o podejściu do przedstawiciela administratora lub podmiotu przetwarzającego, o którym mowa w art. 27 RODO.

Szczególne zainteresowania wzbudza nieuregulowana do tej pory kwestia możliwości nakładania na przedstawicieli sankcji administracyjnych przez właściwe organy nadzorcze.

 

Więcej informacji pod linkiem: https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en.

Kartki świąteczne – co na to RODO?

Wraz z nadchodzącymi Świętami Bożego Narodzenia w wielu firmach rozpoczęła się akcja wysyłania kartek świątecznych lub upominków do partnerów biznesowych. Zwyczajowo tego rodzaju przesyłki adresowane są do konkretnych osób, a nie na dane adresowe organizacji, firmy czy organu publicznego. Powód jest dosyć oczywisty – firma to ludzie i trudno sobie wyobrazić podtrzymywanie relacji biznesowych z organizacją jako całością.

Nie da się ukryć, że RODO wywarło wpływ na praktycznie każdy aspekt działania organizacji i nie ominęło również tego obszaru. Aktualnie otrzymujemy wiele pytań czy chcąc działać zgodnie z przepisami RODO należy wprowadzić zmiany w tej stosowanej od lat praktyce, czy też całkowicie jej zaniechać. Odpowiedź na to pytanie w dużej mierze zależy od ogólnego podejścia organizacji do wdrożenia przepisów RODO.

Argumenty na „nie”.

Przy podejściu ostrożnościowym można argumentować, iż wysyłając kartki świąteczne dotykamy bardzo prywatnej sfery życia adresata. Nierzadko możemy posiadać informacje czy jest to osoba wierząca i w ten sposób próbować wywierać wpływ na podejmowane przez nią decyzje. W konsekwencji takiego spojrzenia należałoby przyjąć, iż takie działania wykraczają poza standardowy kontakt biznesowy i tym samym jako firma kierująca przesyłkę, nie mamy podstawy prawnej do jej wysłania.

Warto również zastanowić się czy tego rodzaju przesyłka spełnia definicję informacji handlowej. Zgodnie z ustawą o świadczeniu usług drogą elektroniczną jest to informacja, która w szczególności ma bezpośrednio lub pośrednio promować wizerunek przedsiębiorcy. Nie da się ukryć, że celem tego rodzaju przesyłki jest osiągnięcie efektu handlowego w przyszłości – budowanie pozytywnego wizerunku, w celu np. sprzedaży dodatkowych usług.

Jeżeli jest to informacja handlowa to – szczególnie wysyłając kartkę w formie elektronicznej – nie możemy jej wysłać bez posiadania zgody od adresata.

Argumenty na „tak”.

Przy pro-biznesowym podejściu do przepisów RODO operacja nie wygląda już na tak ryzykowną. Podkreśla się, że celem RODO nie jest niszczenie relacji międzyludzkich. Życzenia świąteczne wiążą się z przyjemnym dla większości osób czasem i trudno doszukiwać się w tym kontekście naruszenia praw i wolności adresata.

Można spotkać się również z argumentacją, iż imię i nazwisko naszego partnera biznesowego w połączeniu z adresem jego biura to wyłącznie tzw. „dane służbowe”. Tego rodzaju dane na gruncie motywu 14. RODO są wyłączone spod jego przepisów, a więc możemy bez przeszkód wykorzystywać je w działalności marketingowej. Dodatkowo – w motywie 47. – RODO wprost stwierdza, że działalność marketingowa jest przykładem działalności mieszczącej się w prawnie uzasadnionym interesie administratora, co jest legalną podstawą do przetwarzania danych osobowych.

Co zrobić?

Jak przy wielu innych pytaniach o zgodność z przepisami RODO każdy administrator powinien dokonać własnej analizy ryzyka i odpowiedzieć sobie na pytanie, czy w jego organizacji wysyłanie kartek świątecznych do pracowników kontrahentów może naruszać ich prawa i wolności, czy jednak stanowi jedynie pozytywny aspekt współpracy biznesowej.

Pół roku stosowania RODO – podsumowanie PUODO

Niebawem minie pół roku od kiedy stosowane są przepisy unijnego rozporządzenia o ochronie danych osobowych (RODO). Z tej okazji UODO podjął próbę podsumowania doświadczeń z pierwszego półrocza i opublikował na stronie internetowej materiały zwierające pierwsze przemyślenia.

 

Jednym z nich jest krótki poradnik dla administratorów jak stosować RODO. Zawiera on 10 wskazówek, których wdrożenie ma pomóc administratorom w korzystaniu z przepisów rozporządzenia na co dzień. Wśród nich znajdziemy następujące zalecenia:

  • ustalenie właściwej podstawy zbierania danych,
  • spełnienie obowiązku informacyjnego zgodnie z nowymi zasadami,
  • prowadzenie przejrzystej komunikacji z osobami, których dane dotyczą,
  • respektowanie praw osób,
  • możliwość wycofania zgody w każdym momencie,
  • zgłaszanie naruszeń do Prezesa UODO oraz, jeśli to konieczne, informowanie osoby, których dane zostały naruszone,
  • nie tworzenie zbędnej dokumentacji,
  • informowanie o profilowaniu, jeśli jest stosowane,
  • wyznaczenie IOD i udostępnienie jego danych kontaktowych.

 

Kolejny poradnik dotyczy korzystania z praw gwarantowanych przez RODO. Zawiera on również 10 wskazówek, które mają pomóc osobom indywidualnym korzystać z przysługujących im praw. Zatem osoba:

  • ma prawo wiedzieć, co dzieje się z jej danymi,
  • ma prawo wycofać zgodę w każdym momencie,
  • powinna zostać poinformowana w zrozumiały sposób o przetwarzaniu jej danych osobowych,
  • ma prawo do bycia zapomnianym, ale nie zawsze,
  • ma prawo do informacji o naruszeniu jej danych,
  • ma prawo wnieść sprzeciw, gdy jej dane przetwarzane są w celach marketingowych,
  • ma prawo chronić dzieci przed nieuczciwymi praktykami,
  • ma prawo żądać realizacji swoich praw u administratora,
  • może dochodzić odszkodowania przed sądem, jeśli dane wykorzystywane są niezgodnie z RODO,
  • ma prawo zgłosić skargę do Prezesa UODO.

Dokonując bilansu półrocza UODO pozytywnie odniósł się do rozwiązań stosowanych przez administratorów w celu zapewnienia zgodności z RODO, choć nadal zdarzają się wśród nich i tacy, którzy mają problemy z wdrożeniem nowych przepisów lub przyjęte przez nich rozwiązania są absurdalne. Wdrożenie nowych przepisów pozytywnie wpłynęło na zmianę podejścia do ochrony danych osobowych. Wśród tych najważniejszych efektów UODO wymienia:

  • wzrost znaczenia kwestii ochrony danych osobowych i prywatności,
  • uporządkowanie przez firmy procesów związanych z przetwarzaniem danych osobowych,
  • szybsze reagowanie na żądania osób,
  • uproszczenie i stosowanie klauzul informacyjnych,
  • informowanie osób o naruszeniu ochrony ich danych osobowych,
  • powoływanie inspektorów ochrony danych (IOD),
  • uwzględnienie przepisów RODO przez firmy globalne.

Choć zmiany są widoczne i korzystne dla osób, których dane są przetwarzane, należy pamiętać, iż zapewnienie zgodności z RODO jest procesem ciągłym i firmy muszą podejmować kolejne działania, aby proces ten wciąż doskonalić, np. poprzez pogłębianie wiedzy w zakresie ochrony danych osobowych, doskonalenie analizy ryzyka czy wprowadzenie rozwiązań mających na celu zwiększenie ochrony dzieci.

Kontrola przeprowadzana przez organ nadzorczy – przebieg kontroli (cz. III)

Ustawa przewiduje możliwość przeprowadzenia kontroli także pod nieobecność kontrolowanego. W takiej sytuacji upoważnienie do przeprowadzenia kontroli będzie mogło zostać okazane pracownikowi kontrolowanego lub przywołanemu świadkowi, którym powinien być funkcjonariusz publiczny. Jeżeli jest to niezbędne do wykonywania czynności kontrolnych np. gdy kontrolujący natrafi na opór, który utrudnia lub uniemożliwia mu wykonywanie kontroli, kontrolujący może korzystać z pomocy Policji.

 

Kontrola może być przeprowadzona w godzinach 6.00 – 22.00.

 

Podczas prowadzonej kontroli kontrolujący ma prawo:

  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli – w przypadkach gdy jest to niezbędne;
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka pracowników w zakresie niezbędnym do ustalenia stanu faktycznego; przy czym za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej;
  • zlecać sporządzanie ekspertyz i opinii.

 

W uzasadnionych przypadkach, po uprzednim poinformowaniu kontrolowanego,  przebieg kontroli lub poszczególne czynności mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. W takim przypadku informatyczne nośniki danych, na których zarejestrowano przebieg kontroli lub poszczególne czynności, stanowią załącznik do protokołu kontroli.

 

Kontrolujący może żądać od kontrolowanego przedstawienia tłumaczenia na język polski dokumentów sporządzonych w języku obcym, do których uzyskał dostęp w toku kontroli – koszty tłumaczenia ponosi kontrolowany podmiot.

Kontrolujący ma również dostęp do informacji stanowiących tajemnicę prawnie chronioną, chyba że przepisy szczególne stanowią inaczej – np. przepisy zobowiązujące do zachowania tajemnicy zawodowej.

Kontrolowany ma również możliwość zastrzeżenia informacji, dokumentów lub ich części zawierających tajemnicę przedsiębiorstwa, jednak Prezes Urzędu nie jest związany zastrzeżeniem i może je uchylić, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.

Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

 

Jeżeli na podstawie zgromadzonego podczas kontroli materiału Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania, o którym mowa w art. 60 Ustawy o ochronie danych osobowych, czyli postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

 

 

Kontrola przeprowadzana przez organ nadzorczy – kontrolujący, upoważnienia (cz. II)

Kontrolującym może być jedyne upoważniony przez Prezesa Urzędu: pracownik Urzędu, a w przypadku wspólnych operacji organów nadzorczych członek lub pracownik organu nadzorczego państwa członkowskiego Unii zobowiązany do zachowania w tajemnicy informacji, o  których dowiedział się w toku kontroli.

Ponadto, mając na uwadze, że ochrona danych osobowych wymaga wiedzy z zakresu prawa, sektora IT oraz analityki, Prezesa Urzędu ma możliwość upoważnienia do udziału w kontroli osoby posiadającej ww. wiedzę specjalistyczną z zastrzeżeniem  zachowania przez tę osobę w tajemnicy informacji, o których dowiedziała się w toku kontroli.

W celu zapewnienia gwarancji bezstronnego przeprowadzenia kontroli w ustawie o ochronie danych osobowych zostały wymienione przesłanki wyłączenia osoby przeprowadzającej kontrolę w przypadku gdy:

  • wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki kontrolującego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli – przy czym powody wyłączenia, trwają również po ustaniu małżeństwa, przysposobienia, opieki lub kurateli;
  • zachodzą uzasadnione wątpliwości co do bezstronności kontrolującego.

 

Wyłączenie następuje na wniosek lub z urzędu.

Kontrolujący lub kontrolowany niezwłocznie zawiadamiają Prezesa UODO o przyczynach uzasadniających wyłączenie kontrolującego. Prezes Urzędu rozstrzyga o  wyłączeniu w formie postanowienia, przy czym  do czasu jego wydania, zgodnie z ustawą kontrolujący podejmuje czynności niecierpiące zwłoki.

Na marginesie należy zauważyć, że protokół z kontroli powinien zawierać wyjaśnienie przyczyny działań podejmowanych przez wyłączonego kontrolującego.

Kontrole będą przeprowadzane przez imiennie upoważnionych pracowników Urzędu Ochrony Danych Osobowych po okazaniu przez nich legitymacji służbowej, a w przypadku gdy kontrolującym będzie członek lub pracownik organu nadzorczego państwa członkowskiego Unii – po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość.

 

W przypadku wątpliwości co do wiarygodności osoby, która okaże dokumenty upoważniające do kontroli, zgodnie z informacją zamieszczoną na stronie internetowej Urzędu (https://uodo.gov.pl/pl/138/465)istnieje możliwość telefonicznego zweryfikowania, czy rzeczywiście kontrolujący jest tą, za którą się podaje i jest upoważniona przez Prezesa UODO do przeprowadzenia kontroli. (…) wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych

 

Jednym z zabezpieczeń takiej legitymacji jest m.in. hologram. Musi on być na każdej legitymacji, którą posługują się kontrolerzy Prezesa UODO.”.

 

 

Kontrola przeprowadzana przez organ nadzorczy – zawiadomienie, czas trwania, protokół kontroli (cz. I)

Jednym z podstawowych uprawnień  Prezesa Urzędu Ochrony Danych Osobowych (Prezes Urzędu) jako organu nadzorczego,  jest przeprowadzanie kontroli przestrzegania przepisów o ochronie danych osobowych. Czynności kontrolne podejmowane będą zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.

 

Każdą z wskazanych powyżej kontroli poprzedzi zawiadomienie PUODO. Przepisy ustawy o ochronie danych osobowych nie regulują kwestii zawiadomienia, natomiast znajdzie tutaj zastosowania – reguła uprzedniego powiadomienia przedsiębiorcy o kontroli zawarta w art. 48 ustawy prawo przedsiębiorców z dnia z dnia 6 marca 2018r., a zgodnie z informacją zamieszczoną na stronie Urzędu Ochrony Danych – „Urząd co do zasady pisemnie uprzedza o planowanej kontroli”.

 

Prawidłowe zawiadomienie o kontroli zawiera:

  1. oznaczenie organu;
  2. datę i miejsce wystawienia;
  3. oznaczenie przedsiębiorcy;
  4. wskazanie zakresu przedmiotowego kontroli;
  5. imię, nazwisko oraz podpis osoby udzielającej upoważnienia z podaniem zajmowanego stanowiska lub funkcji.

 

Kontrola prowadzona jest nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do powyższego terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego.

 

Protokół sporządzany jest w postaci elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Następnie zostaje on doręczony kontrolowanemu, który w terminie 7 dni od otrzymania protokołu zobowiązany jest do jego podpisania albo złożenia pisemnych zastrzeżenia co do jego treści. Brak aktywności po stronie kontrolowanego w ww. terminie uznany jest za odmowę podpisania protokołu.

 

W przypadku złożenia zastrzeżeń do protokołu kontroli, kontrolujący zobligowany jest  do ich przeanalizowania i jeżeli zachodzi taka potrzeba – do dokonania dodatkowych czynności kontrolnych. W przypadku uznania zastrzeżeń za zasadne kontrolujący zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu.

 

Dniem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania protokołu.

 

 

 

 

 

Upoważnienia do przetwarzania danych

Zanim Rozporządzenie o ochronie danych osobowych (RODO) zaczęło obowiązywać administratorzy danych osobowych zastanawiali się, czy konieczne będzie wydawanie upoważnień do przetwarzania danych i prowadzenie ewidencji osób upoważnionych.

Dotychczas obowiązek ten wynikał z art. 37 ustawy z dnia z dnia 29 sierpnia 1997 r.o ochronie danych osobowych (UODO), zgodnie z którym do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych oraz z art. 39 UODO, zgodnie z którym administrator zobowiązany był do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.

Jak się okazuje, obowiązek wydawania przez administratorów danych upoważnień do przetwarzania danych osobowych został w RODO utrzymany. Wskazuje na to art. 29 RODO zgodnie z którym „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.” Należy w tym miejscu podkreślić znaczenie słowa polecenie, które podkreśla istotę tego obowiązku i wskazuje, iż upoważnienie wydane bez polecenia administratora danych nie upoważnia do przetwarzania danych zgodnie z prawem.

Ponadto art. 28 pkt. 3 lit. a wskazuje, iż podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, co oznacza, iż dane mogą być przetwarzane jedynie w zakresie, jaki określi administrator danych. Podobnie w art. 32 ust. 4 RODO odnoszącym się do kwestii bezpieczeństwa przetwarzania, również jest odniesienie do przetwarzania danych osobowych wyłącznie na polecenie administratora.

RODO nie wskazuje w jakiej formie upoważnienie powinno być wydane, jednak w celu zachowania zasady rozliczalności zasadne jest, aby była to forma papierowa lub elektroniczna, z zaznaczeniem, że osoba będzie miała wgląd do tego upoważnienia.

Jeśli przetwarzanie wykraczałoby poza zakres wskazany przez administratora danych w upoważnieniu, to wówczas odbywa się ono bezpodstawnie. W art. 107 Ustawy o ochronie danych osobowych zostały przewidziane kary za nielegalne przetwarzanie danych w postaci grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeśli bez uprawnienia przetwarzane są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej postępowanie takie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Współadministrowanie danymi osobowymi

Podstawowym obowiązkiem wynikającym z RODO,  jest zapewnienie należytej ochrony praw i wolności osób których dane przetwarzamy. Odpowiedzialność w tym zakresie spoczywa na administratorze, który zazwyczaj jest samodzielną organizacją. Jeżeli natomiast co najmniej dwóch administratorów wspólnie ustala cele i środki przetwarzania, są oni określani mianem współadministratorów wg art. 26 RODO. Warunkiem współadministrowania jest wspólne podejmowanie decyzji, a nie tylko sam udział więcej niż jednego podmiotu w procesie przetwarzania.

Sama definicja administratora wskazuje, że  może on  ustalać cele i środki przetwarzania samodzielnie, lub wspólnie z innymi podmiotami. Fundamentem współadministrowania jest właśnie owe wspólne ustalenie celów i sposobów przetwarzania danych osobowych.

Do analizy  pozostają następujące kwestie: po pierwsze, ustalenie jak razem realizować prawa osób których dane będą przetwarzane; po drugie, ustalenie  jasnego podziału obowiązków jak i odpowiedzialności pomiędzy współadministratorami.

RODO w art. 26 ust. 1 wskazuje na wspólne „uzgodnienia”, natomiast jest to pojęcie mało szczegółowe, dlatego niezbędny jest podział obowiązków który współadministratorzy powinni  ustalić wg dwóch kryteriów: jako uzgodnienia wewnętrzne (kiedy administratorzy dzielą się swoimi obowiązkami) oraz uzgodnienia zewnętrzne (czyli kierowane bezpośrednio do osób których dane będą przetwarzane, jaki i do organu nadzorczego). Należy się także zastanowić nad punktem kontaktowym. Dla przejrzystości warto wskazać jeden adres mailowy, aby osoby których dane będą  przetwarzane mogły korzystać z przysługujących im praw wynikających z art. 15-22 RODO. W ramach transparentności, podział musi być przejrzysty i aktualny, a co za tym idzie odzwierciedlać stan faktyczny aby należycie chronić prawa i wolności osób których dane będą przetwarzane. Dlatego też motyw 79 RODO wskazuje aby współadministratorzy dokonali jasnego podziału obowiązków.

Uzgodnienia współadministratorów są niezbędne nie tylko w ramach przejrzystości ale także dlatego, że ich zasadnicza  treść będzie udostępniana podmiotom danych. Także organ nadzorczy w ramach ewentualnej kontroli, będzie mógł uzyskać informacje dotyczące podziału obowiązków. Należy mieć na uwadze, że współpraca oparta na współadministrowaniu nie może usprawiedliwiać utraty kontroli na przetwarzanymi danymi czy braku odpowiedzialności przetwarzających. Współadministratorzy muszą jasno określić granice swoich odpowiedzialności. Dodatkowo każdy z współadministratorów powinien  przestrzegać  zobowiązań wynikających z art. 5 ust. 2 RODO.

Relacje jakie zachodzą między współadministratorami mogą być trudne do ustalenia , dlatego każdemu z nich należy przyporządkować odpowiednie role i zakres obowiązków.

Art. 26 RODO nie wskazuje wprost co powinny zawierać uzgodnienia między współadministratorami i jaka powinna być ich forma. Natomiast doktryna niemiecka proponuje, by w tej sytuacji pomocniczo posługiwać się art. 28 ust. 3 RODO, niejako adaptując go do umów między współadministratorami, w takim zakresie, w jakim jest to niezbędne.

Umowa na współadministrowanie powinna zatem określać:

– opis przetwarzania danych (cel, sposób, okres przetwarzania, kategorie danych);

– ogólny opis obowiązków każdego z podmiotów odpowiedzialnych za przetwarzanie;

-informacje który z podmiotów zapewnia odpowiednią dokumentację w ramach rozliczalności;

– zasady realizacji praw osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada na żądania osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada za zadania wynikające z art. 24, 25,32-36;

– zasady w przypadku transferu danych do państw trzecich;

– zasady współodpowiedzialności w tym min, wynikające z art. 82 RODO;

Powyższe informacje są jednym z rozwiązań możliwych do zastosowania w ramach współadministrowania, ponieważ na dzień dzisiejszy nie ma wytycznych które określałyby w jakiej dokładnie formie współadministratorzy mają ustalić swoje obowiązki wynikające z RODO.

Potrzebujesz wsparcia w RODO?

Zapraszamy do kontaktu.

Śniadanie biznesowe – Wyzwania HR

 

Zapraszamy na śniadanie biznesowe poruszające ważne tematy z punktu widzenia działów HR.
W programie m.in. Mobbing / RODO / Komunikacja wewnętrzna /Wirtualna Rzeczywistość w szkoleniach.

Agenda spotkania:

9:30 – 10:00 Rejestracja uczestników

10 – 10:45 Mobbing – specyfika zjawiska oraz jego konsekwencje. Sposoby przeciwdziałania zjawiskom mobbingowym oraz najnowsze zmiany w prawie pracy.

Poprowadzi: Joanna Wyleżałek, SGGW

10:45 – 11:30 – Rodo od kuchni. Analiza najważniejszych wyzwań dla HR w zakresie RODO, w tym zbiór najczęstszych błędów/niezgodności.

Poprowadzi: Daria Worgut-Jagnieża, Audytel

11:30 – 11:45 – Przerwa kawowa

11:45 – 13:00 – Międzypokoleniowy i międzydziałowy transfer wiedzy, czyli jakie korzyści niesie za sobą dobra komunikacja wewnętrzna – panel dyskusyjny.

13:00 – 13:30 – Zastosowanie Wirtualnej Rzeczywistości (VR) w szkoleniach.

Poprowadzi: Bartosz Żuk, HTC Polska

 

Liczba miejsc jest ograniczona, dlatego prosimy o mailowe potwierdzenie udziału w spotkaniu na adres: marketing@audytel.pl