Natalia Groszyk, Autor w serwisie RODOradar.pl

Czy numery telefonów stanowią dane osobowe?

Uchylenie decyzji Prezesa UODO

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 kwietnia 2021 r. (sygn. akt II SA/ Wa 1898/ 20) [1] w istocie sprowadza się do odpowiedzi na ważne pytanie, postawione w tytule niniejszego artykułu – czy numery telefonów stanowią dane osobowe?

Wojewódzki Sąd Administracyjny w Warszawie uchylił Decyzję Prezesa UODO, udzielającej skarżącej Spółce upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO [2], polegające na odmowie realizacji przez nią żądania posiadacza numeru telefonu (Wnioskodawcy) udzielenia wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz kopii tychże danych.

Outsourcing IOD – sprawdź naszą usługę

Spółka dowodziła, że pozyskała numer telefonu Wnioskodawcy w związku z nabyciem pakietu danych (numerów telefonów) od innego podmiotu. Wnioskodawca zwrócił się do Spółki z żądaniem dostarczenia kopii danych przetwarzanych przez Spółkę oraz udzielenia informacji o źródle ich pozyskania. Spółka odmówiła realizacji żądania Wnioskodawcy tłumacząc, iż pozyskany w ten sposób numer telefonu nie należy do kategorii danych osobowych.

W toczącym się przed Organem postępowaniu Spółka, której działalność polega na umawianiu pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej potwierdziła, iż wykonała połączenie pod wskazany w skardze numer telefonu, jednak w toku przeprowadzonej rozmowy nie doszło do pobrania jakichkolwiek danych osobowych Wnioskodawcy.

W wyniku przeprowadzonego postępowania Prezes UODO uznał, iż z uwagi na podjęcie przez Spółkę działań nakierowanych na identyfikację Wnioskodawcy brak nadmiernych kosztów i czasu, jaki potrzeba na jej dokonanie, przetwarzanie numeru telefonu Wnioskodawcy podlega przepisom o ochronie danych osobowych i tym samym nałożył na Spółkę karę upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO.

Od przedmiotowej decyzji Spółka złożyła skargę do WSA zarzucając Organowi naruszenie szeregu przepisów prawa materialnego, w tym najważniejszego, tj. art. 4 pkt 1 RODO, że „numer telefonu stanowi dane osobowe”. Pozostałe zarzuty Spółki były logiczną konsekwencją tego najważniejszego, bowiem odnosiły się do kwestii przetwarzania danych osobowych, występowania Spółki wobec tych danych w roli administratora danych osobowych (ADO), odmowy realizacji żądania Wnioskodawcy udzielenia dostępnych informacji o źródle pozyskania danych oraz udostępnienia mu ich kopii.

Uchylając Decyzję Organu Sąd uznał za trafne, sformułowane przez Spółkę, zrzuty naruszenia przez Organ przepisów prawa materialnego, uznając, iż numer telefonu nie należy do kategorii danych osobowych, które podlegałby ograniczeniom co do ich przetwarzania, wynikającymi z RODO.

Jak to właściwie jest z numerami telefonów?

Aby odpowiedzieć na tak sformułowane pytanie, należy sięgnąć do źródła, czyli do definicji „danych osobowych” zawartej w RODO.

Zgodnie z treścią art. 4 pkt 1 tegoż rozporządzenia, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Wskazana powyżej definicja zawiera w sobie cztery kumulatywne przesłanki, których łączne spełnienie wypełnia pojęcie „danych osobowych”:

Informacje (wł. „wszelkie informacje” – tak, jak w innych wersjach językowych, np. fr. „toute information”, ang. „any information”);
Dotyczące;
Zidentyfikowanej, lub możliwej do zidentyfikowania osobie;
Osoby fizycznej.

Pierwszą przesłankę należy interpretować możliwie szeroko, zważywszy na brzmienie art. 1 RODO, oddające perspektywę zapewnienia ochrony danych osobowych przez pryzmat jej celów. Podobne stanowisko zostało sformułowane także w opinii 4/ 2007 w sprawie pojęcia danych osobowych, wyrażone przez Grupę Roboczą ds. ochrony danych osobowych, powołaną na mocy art. 29 dyrektywy 95/ 46/ WE („Grupa Roboczą art. 29”). Mowa w niej jest o tym, iż „dla oceny osobowego wymiaru informacji nie ma znaczenia, czy mają one charakter obiektywny, czy subiektywny, jak również irrelewantne jest, w jaki sposób są utrwalone, w szczególności na jakim nośniku” [3].

Druga przesłanka dotyczy wymogu istnienia relacji pomiędzy informacją a osobą fizyczną, pomimo, iż znowu, w polskiej wersji językowej, ograniczono się do słowa „o” (informacje „o” zidentyfikowanej lub możliwej do zidentyfikowania osobie”, podczas, gdy w innych wersjach językowych mamy odmienne sformułowania, tj. fr. „se rapportant” ang. „relating to”).

Przesłanka identyfikalności wskazuje nam na konieczność posiadania przez informację waloru umożliwiającego w sposób bezpośredni lub pośredni ustalenie tożsamości konkretnej osoby fizycznej.

Ostatnia przesłanka wydaje się najbardziej oczywista, odnosi się bowiem do pojęcia „osoby fizycznej” w sensie cywilistycznym. Nie będzie zatem osobą fizyczną zmarły ani osoba prawna.

Nie wchodząc w szczegółowe rozważania dotyczące poszczególnych przesłanek, które składają się na definicję danych osobowych, skupmy się w tym momencie wyłącznie na kwestii „identyfikalności osoby fizycznej”, bowiem ta sprawa w istocie stanowi oś sporu, który toczy się wokół orzeczenia WSA, stojącego w sprzeczności ze stanowiskiem UODO, wcześniejszymi orzeczeniami TSUE oraz opiniami Grupy Roboczej Art. 29.

Stanowisko PUODO (wcześniej GIODO) w tej sprawie jest od samego początku konsekwentne (por. sygnalizacja GIODO z dnia 19 grudnia 2007 r., „nr telefonu stanowi dane osobowe w rozumieniu art. 6 ust. 1 {uchylonej} ustawy z dnia 19 sierpnia 1997 r. o ochronie danych osobowych, bowiem dotyczy możliwej do zidentyfikowania osoby fizycznej” oraz uzasadnienie decyzji GIODO z dnia 22 stycznia 2008 r. [4], w której czytamy, iż „informacje w zakresie: kod respondenta, numer telefonu i imię respondenta stanowią dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Wprawdzie ww. informacje rzeczywiście nie określają bezpośrednio tożsamości osoby, jednakże dają możliwość określenia tożsamości tych osób np. poprzez bezpośredni kontakt z respondentem. Z powyższego wynika więc jednoznacznie, że wskazane wyżej dane dotyczące respondentów stanowią informacje dotyczące możliwej do zidentyfikowania osoby fizycznej, a samo ustalenie tożsamości nie wymaga nadmiernych kosztów, czasu lub działań. Wobec tego, stosownie do treści cytowanego wyżej art. 6 ustawy, stanowią one dane osobowe)”.

Należy mieć również w pamięci, że w 2018 r. Prezes UODO jednoznaczne wskazała, iż tzw. „czarne listy pacjentów” na których znajdowały się wyłącznie numery telefonów pacjentów, do których mieli dostęp tylko lekarze, stanowi zbiór danych osobowych.

Doktryna przychyla się do stanowiska, iż numer telefonu będzie można zliczyć do kategorii danych osobowych dopiero po połączeniu go z innymi informacjami (np. imię i nazwisko, nr PESEL). Paweł Litwiński w komentarzu do RODO wskazuje, iż „sam numer telefonu w większości przypadków nie będzie stanowił danych osobowych”. Dopiero bowiem po ustaleniu, do kogo ów numer należy, przekształci się on w dane osobowe.

Biorąc pod uwagę powyższe, należy dobrze zrozumieć, co ustawodawca rozumie pod pojęciami „zidentyfikowana” i „możliwa do zidentyfikowania” osoba fizyczna.

„Zidentyfikowaną osobą fizyczną jest osoba, której tożsamość jest ustalona bezpośrednio i natychmiast” [5]. Grupa Robocza Art. 29 w opinii 4/ 2007 wskazuje, iż „osobę fizyczna można uznać za zidentyfikowaną, jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy” [3].

„Możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni bądź pośredni” [6].

Motyw 26 Preambuły RODO wskazuje, że „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (fr. „raisonnablement susceptible, ang. „reasonably likely”), w stosunku do których istnieje uzasadnione prawdopodobieństwo (fr. „raisonnablement susceptible, ang. „reasonably likely”), iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.

Aby więc podjąć próbę odpowiedzi na postawione w tytule tego artykułu pytanie, warto również spojrzeć na przesłankę „identyfikalności” w wersji, którą zaproponował rzecznik generalny w pkt. 68 swojej opinii [5]. Zgodnie z tym stanowiskiem, oceniając możliwe do zastosowania sposoby aktywności administratora mające na celu identyfikację konkretnej osoby fizycznej, nie bierze on pod uwagę dowolnych środków, lecz jedynie te, wynikające z racjonalnych przesłanek, również w odniesieniu do osób trzecich. Jak wskazuje TSUE, odwołując się do tejże opinii, nie miałoby to miejsca w wypadku, gdyby kontakt z osobami trzecimi był nadmiernie kosztowny, niewykonalny lub bezprawny.

Podobne stanowisko zaprezentowała też Grupa Robocza Art. 29, w opinii 1/ 2008 [7], dotyczącej wyszukiwarek internetowych, stwierdzając, że „dopóki operator wyszukiwarki z całą pewnością nie jest w stanie wykluczyć zidentyfikowania użytkownika, wychodząc od jego adresu IP, należy taką informację traktować jako dane osobowe”. Jest to istotne stwierdzenie, dające wskazówkę sądom, po czyjej stronie leży ciężar dowodzenia w wypadku wątpliwości co do statusu danej informacji, którą, per analogiam, może być np. numer telefonu.

Z uwagi na to, że w samym RODO przyjęto koncepcję subiektywną przesłanki identyfikowalności, zgodnie z którą irrelewantne, z punktu widzenia dokonywania identyfikacji stają się informacje, których administrator nie wykorzystuje, mimo że mógłby to uczynić, w celu dokonania identyfikacji, a perspektywa ocenna administratora i jego aktywności jest rozstrzygająca, dlatego pojęcie „danych osobowych” zostaje w znacznym stopni zrelatywizowane do określonej perspektywy, tracąc swój uniwersalny charakter [8].

Za relatywizacją pojęcia danych osobowych przemawia także podstawowa koncepcja RODO, czyli „podejście bazujące na ryzyku” (risk-based approach), zgodnie z którą na administratorze ciąży obowiązek dokonywania czynności w zakresie ochrony danych osobowych w oparciu o analizę ryzyka. Zgodnie z powyższym, spełnienie „przesłanki identyfikacyjnej” powinno być oceniane przez pryzmat podejmowanej przez administratora aktywności o określonym rozsądnym prawdopodobieństwie, ograniczonym jednak przez zobiektywizowane czynniki, takie jak czas potrzebny do owej identyfikacji, koszt czy dostępne narzędzia technologiczne (por. Motyw 26 zd. 4 RODO). Zobiektywizowane kryteria bowiem dają podstawę do dokonywania analizy ryzyka i uznania danej informacji za osobową, a w konsekwencji objęcia jej zakresem zastosowania RODO.

W opisanej we wstępie artykułu sprawie Prezes UODO zapowiedział złożenie skargi kasacyjnej do Naczelnego Sądu Administracyjnego. Jeśli tak się stanie, to biorąc pod uwagę powyższe i oczekując na ostateczne rozstrzygnięcie NSA, trudno jest jednoznacznie wskazać, za którym podejściem opowie się sąd. Jeśli przychyli się do stanowiska, prezentowanego konsekwentnie przez PUODO, zgodnego ze stanowiskiem wyrażanym w orzecznictwie TSUE oraz opiniach Grupy Roboczej Art. 29, to wyrok WSA winien zostać uchylony. Jeśli jednak NSA podzieli stanowisko sądu administracyjnego I instancji, uznając, iż pod pojęciem „danych osobowych” nie mieszczą się odizolowane informacje, takie jak np. sam nr telefonu, bez przyporządkowanej do niego konkretnej osoby, wtedy skarga PUODO na wyrok WSA zostanie oddalona.

Przypisy:

Wyrok WSA w Warszawie z 13 kwietnia 2021 r., II SA/ Wa 1898/ 20, LEX nr 3185223.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Opinia 4/ 2007 Grupy Roboczej art. 29 w sprawie pojęcia danych osobowych (WP 136).
Decyzja nr DIS-DEC0150-42/ 1511, 1515, 1520/ 08/ 08, niepublikowana;
Opinia rzecznika generalnego M. Camposa Sáncheza-Bordony przedstawiona w dniu 12 maja 2016 r. w sprawie C-582/ 14, Patrick Breyer v. Bundesrepublik Deutschland, CURIA, pkt 56.
Punkt 40 Wyroku Trybunału Sprawiedliwości UE z dnia 19 października 2016 r., w sprawie C-582/ 14, Patrick Breyer v. Bundesrepublik Deutschland, CURIA.
Opinia 1/ 2008 Grupy Roboczej art. 29 w sprawie ochrony danych związanych z wyszukiwarkami (WP 148);
Paweł Litwiński Pojęcie danych osobowych w rozporządzeniu ogólnym o ochronie danych osobowych, Informacja w administracji publicznej nr 3/ 2016, s. 52.

Whistleblowing, czyli Sygnalista a RODO

„Whistleblower” to dosłownie osoba dmuchająca w gwizdek w celu nagłośnienia zauważonych nieprawidłowości lub naruszeń prawa. Sygnaliści odgrywają zatem kluczową rolę w ujawnianiu naruszeń, w szczególności że mogą znajdować się wokół nas w każdej organizacji publicznej lub prywatnej. Aktualnie potencjalni sygnaliści często rezygnują ze zgłaszania zauważonych błędów w organizacji z obawy przed działaniami odwetowymi. W celu odwrócenia tego zjawiska powstała Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii[1] oraz projekt ustawy o ochronie osób zgłaszających naruszenia prawa[2].

Jak przygotować się do wdrożenia procedury whistleblowingowej uwzględniając ochronę danych osobowych?

Zgodnie z art. 17 dyrektywy proces whistleblowingowy powinien być zgodny z RODO[3]. Oznacza to, iż unijny prawodawca obliguje każdego z administratorów do uwzględnienia przepisów o ochronie danych osobowych w tym procesie. Rekomendowanym jest wprowadzenie check listy uwzględniającej w szczególności:

Wyznaczenie osoby lub osób odpowiedzialnych za przyjmowanie i procedowanie zgłoszeń sygnalistów oraz nadanie im upoważnień do przetwarzania danych osobowych.

Podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek ustanowienia wewnętrznych kanałów zgłaszania naruszeń niezależnie od tego, czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników. Dla pozostałych podmiotów zatrudniających poniżej 50 pracowników utworzenie wewnętrznych kanałów dokonywania zgłoszeń nie będzie obligatoryjne, ale podmioty te, w zależności od potrzeb, będę mogły utworzyć je dobrowolnie, stosując zasady przewidziane w ustawie krajowej[4].

Zatrudnienie w podmiocie, w którym nie będzie ustanowionych wewnętrznych kanałów dokonywania zgłoszeń, nie wyłączy możliwości zgłoszenia naruszenia prawa. Osoby takie będą mogły dokonać zgłoszenia naruszenia prawa za pośrednictwem zewnętrznych kanałów zgłoszeń lub w drodze ujawnienia publicznego.

Wysoce rekomendowanym jest zatem wyznaczenie osoby lub osób wewnątrz organizacji lub outsourcing obsługi tego procesu do podmiotu zewnętrznego w celu dochowania niezależności i neutralności przy ocenie zgłoszenia wpływającego od sygnalisty. Nie można bowiem wykluczyć sytuacji, gdy sygnalista złoży zawiadomienie o naruszeniu na osobę właśnie dokonującą oceny naruszeń w organizacji. Outsourcing tego procesu umożliwi wyeliminowanie tego rodzaju sytuacji.

Przygotowanie polityki zgłaszania naruszeń i postępowania whistleblowingowego.

Uprzednie przygotowanie kampanii informacyjnej w organizacji oraz przygotowanie procedur postępowania whistleblowingowego umożliwi prawidłową implementację dyrektywy. Właściwie przygotowana dokumentacja pozwoli usystematyzować proces oraz określi zasady komunikacji z sygnalistą oraz postępowania wewnątrz organizacji w przypadku otrzymania zawiadomienia o naruszeniu. Należy pamiętać, iż procedury powinny uwzględniać okres retencji danych, informację i terminie przekazania klauzuli informacyjnej (jeżeli dochodzić będzie do przetwarzania danych osobowych), jak i ogólne zasady dotyczące przetwarzania danych osobowych wynikające z RODO.

Wyznaczenie kanału zgłaszania naruszeń oraz wykonanie testu Privacy by design, który pozwoli na przygotowanie systemu informatycznego z uwzględnieniem ochrony danych osobowych.

Wyznaczenie kanału zgłaszania naruszeń oraz wykonanie testu Privacy by design jest kluczowe dla obsługi całego procesu whisteblowingowego. Kanał komunikacji z sygnalistą powinien zapewniać możliwość anonimowego przekazania zgłoszenia, niemniej system może umożliwiać podanie personaliów osoby zgłaszające naruszenie. Ponadto, nie można wykluczyć sytuacji, iż po przekazaniu informacji o zgłoszeniu, administrator będzie w stanie dokonać identyfikacji sygnalisty. Należy zatem pamiętać, iż przekazane informacje z danych nieosobowych mogą stać się danymi osobowymi. Kanał komunikacji powinien zatem uwzględniać m.in.: opis zdarzenia, dane do komunikacji z sygnalistą, miejsce przechowywania danych, okres retencji, dostęp do danych oraz sposób ich archiwizacji. Przeprowadzony zaś test Privacy by design umożliwi wdrożenie procesu z uwzględnieniem ochrony danych osobowych.

Przygotowanie klauzul informacyjnych dla sygnalisty, świadków oraz potencjalnego „sprawcy”.

Administrator zgodnie z art. 13 i 14 RODO zobowiązany jest do realizacji obowiązków informacyjnych wobec podmiotów danych. W procesie whistleblowing może niewątpliwie dochodzić do przetwarzania danych osobowych. Administrator powinien zatem przygotować klauzule informacje dla trzech grup podmiotów: sygnalistów, świadków oraz potencjalnego „sprawcy”. Kluczowym problemem dla administratorów będzie czas realizacji obowiązku informacyjnego. Należy bowiem zwrócić uwagę, iż realizacja klauzuli informacyjnej może odbywać się w zupełnie innym czasie wobec każdej ze wskazanych powyżej grup podmiotów. Czas realizacji obowiązku wobec sygnalisty nastąpi zatem w momencie, gdy administrator będzie w stanie zidentyfikować podmiot danych. Dobrą praktyką jest również poinformowanie sygnalisty o osobach, do których dane zostały przekazane w ramach realizacji procedury, jak i o konsekwencjach jakie mogą spotkać sygnalistę, gdy zgłoszenie zostało dokonane w złej wierze. W przypadku osób trzecich, obowiązek informacyjny należy zrealizować jak najszybciej, jednocześnie pamiętając o możliwych konsekwencjach przekazania obowiązku informacyjnego na zbyt wczesnym etapie postępowania, co w ostateczności może być szkodliwe dla przeprowadzenia procedury whistleblowingowej.

Przeprowadzenie szkolenia dla kluczowych osób uczestniczących w procesie.

Szkolenia dla kluczowych osób uczestniczących w procesie whistleblowingowym umożliwi właściwe funkcjonowanie procedur w organizacji oraz zniwelowania ryzyka naruszenia ochrony danych osobowych. Rekomendowanym jest uwzględnienie kwestii ochrony danych osobowych w przedmiocie szkoleń, a w szczególności: przetwarzania danych szczególnej kategorii, prawidłowego przechowywania danych, retencji tych danych, odpowiednim ich zabezpieczeniu, wprowadzenia informacji w aktach osobowych (w przypadku postępowania dyscyplinarnego) oraz ograniczenia osób uczestniczących w procesie. Należy bowiem wskazać, iż najczęstszą przyczyną naruszeń ochrony danych osobowych jest błąd ludzki (ponad 89%) zatem właściwe przeszkolenie osób kluczowych w procesie whisleblowing powinno być istotne dla administratora[5].

Wykonanie testu DPIA w przedmiocie procesu whisteblowingu, który zgodnie z wykazem przygotowanym przez Prezesa Urzędu Ochrony Danych został obligatoryjnie wskazany jako proces wymagający przeprowadzenia analizy skutków dla ochrony danych.

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony[6], whistleblowing został zakwalifikowany jako rodzaj operacji przetwarzania wymagający przeprowadzania oceny skutków dla ochrony danych. Administrator zatem dokonując przetwarzania, został zobligowany przez organ nadzorczy do przeprowadzania dodatkowej analizy. Test DPIA pozwoli administratorowi zweryfikować podatności, jak i wdrożyć odpowiednie środki w celu zmniejszenia wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Zgodnie z obecnym projektem ustawy implementującej dyrektywę, ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia. Wobec podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników okres implementacji został wydłużony do 17 grudnia 2023 r. Obecnie organizacje powinny rozpocząć przygotowania do wdrożenia polityk oraz implementacji wewnętrznych kanałów zgłaszania. Za utrudnianie dokonania zgłoszenia, podejmowanie działań odwetowych lub naruszenie obowiązku zachowania poufności tożsamości osoby, która dokonała zgłoszenia, jak i nieustanowienie wewnętrznej procedury zgłaszania naruszeń albo ustanowienie procedury z naruszeniem przepisów ustawy krajowej, przewidziano sankcje karne – grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 3.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.U.UE.L.2019.305.17)

[2] https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822857#12822857

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[4] Projekt ustawy o ochronie osób zgłaszających naruszenie prawa (https://archiwum.bip.kprm.gov.pl/kpr/form/r230343592,Projekt-ustawy-o-ochronie-osob-zglaszajacych-naruszenia-prawa.html)

[5] Raport Związku Firm Ochrony Danych Osobowych – Incydenty ochrony danych osobowych

[6] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Dz. U. poz. 666)

TOP 10 czyli jak prowadzić postępowania rekrutacyjne w sposób zgodny z zasadami ochrony danych osobowych?

Sukces firmy tworzą ludzie. Motywacyjny slogan wygłaszany przez kadrę zarządzającą w prawie każdej organizacji. Nasi klienci, a w szczególności menedżerowie działów prowadzący postępowania rekrutacyjne często zadają nam pytania w jaki sposób prowadzić postępowania rekrutacyjne w sposób zgodny z RODO. W związku z licznymi pytaniami oraz mitami w tym obszarze postanowiliśmy przygotować naszą listę TOP 10 pytań, które dotyczyć mogą każdego spotkania rekrutacyjnego.

1. Jakich informacji mogę żądać od kandydata do pracy?

Zgodnie z przepisami Kodeksu pracy od każdego kandydata do pracy można żądać podania informacji w zakresie: imienia (imion) i nazwiska, daty urodzenia oraz danych kontaktowych wskazanych przez taką osobę. Dodatkowo od kandydata do pracy (ale już nie każdego) można żądać informacji w zakresie wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia – z zastrzeżeniem, jeśli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Od razu padają pytania, co oznacza to w praktyce? Czy ustawodawca jasno określił na jakich stanowiskach można żądać podania ww. informacji? Odpowiedź brzmi niestety nie…. Podnosi się, że do wykonywania prostych prac fizycznych nie ma potrzeby pozyskiwania informacji o wykształceniu, ale już od kandydata do pracy aplikującego na stanowisko samodzielnej księgowej wydaje się, że pozyskanie informacji o wykształceniu, kwalifikacjach zawodowych oraz przebiegu dotychczasowego zatrudnienia wydaje się w pełni uzasadnione.

Dobrym rozwiązaniem jest to by na etapie planowania procesu rekrutacyjnego pracodawcy dokonali wnikliwej oceny przeglądu instrukcji stanowiskowej oraz przeprowadzili analizę jakie dane są niezbędne do wykonywania czynności służbowych. Niewątpliwie dobrym rozwiązaniem jest określanie precyzyjnie zakresu pożądanych informacji w ramach ogłoszenia o pracę. Jeśli klienci wykorzystują formularz aplikacyjny na stronie internetowej warto sprecyzować odgórnie zakres żądanych danych.

2. Czy można weryfikować kandydata do pracy na portalach społecznościowych typu Facebook, Instagram?

Nie można weryfikować kandydata do pracy ww. portalach społecznościowych. Konta te nie są dedykowane sferze zawodowej. Należy zauważyć, że w ramach kont pojawiają się często zdjęcia (w tym członków rodziny) oraz informacje, które mogą zostać zakwalifikowane jako szczególnie chronione zgodnie z art. 9 ust. 1 RODO (np. poglądy polityczne, przekonanie światopoglądowe). W przypadku kandydatów do pracy można korzystać z portali biznesowych np. LinkedIn.

3. Czy mogę żądać podania od kandydata do pracy zaświadczenia o niekaralności?

Zasadą jest to, że jeśli potencjalny pracodawca nie posiada podstawy prawnej uprawniającej do żądania ww. informacji – odpowiedź na pytanie brzmi nie. Często klienci zadają nam pytanie, czy mogą zebrać zgodę kandydata do pracy jako podstawę prawną legalizująca przetwarzanie informacji o niekaralności? Należy zwrócić uwagę, że w tym przypadku zgoda osoby, której dane dotyczą może zostać zakwalifikowana przez organ nadzorczy jako nieważna.

4. Jakich informacji nie mogę żądać od kandydata do pracy?

Nie można żądać od kandydata danych wykraczających poza zakres, który został wskazany w przepisach prawa. Mówimy o danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych czy orientacji seksualnej[1]).

5. Czy można kontaktować się z byłym pracodawcą w celu uzyskania referencji?

Tak, potencjalny pracodawca może kontaktować się z byłym pracodawcą w celu uzyskania referencji o ile posiada zgodę kandydata na prowadzenie takich działań. Pamiętać należy przy tym, że zgoda musi spełniać wszystkie wymogi zgodnie z art. 7 RODO.

Jednocześnie należy wskazać, że pozyskanie zgody kandydata do pracy może przysporzyć wiele problemów. Tym samym rozwiązaniem obarczonym mniejszym ryzykiem prawnym jest opieranie się wyłącznie na referencjach przekazanych przez samego kandydata do pracy.

6. Czy mogę zadać pytania o oczekiwania finansowe?

Pytanie kiler każdego szkolenia z zakresu ochrony danych osobowych. Czy informacja o tym, ile zarabiam jest informacją szczególnie chronioną? Większość odpowiedzi uczestników szkolenia oczywiście jest twierdząca. Obalając mit – informacja o wysokości wynagrodzenia jest informacją z kategorii danych zwykłych. Pamiętajmy, że katalog danych szczególnych kategorii (tzw. sensytywnych) jest zamknięty, enumeratywnie wskazany w art. 9 ust 1 RODO.

Odpowiadając zatem na pytanie – tak, można pytać kandydata do pracy jakie są jego oczekiwania finansowe. Podstawą prawną przetwarzania danych w tym zakresie jest prawnie uzasadniony interes potencjalnego pracodawcy zgodnie z art. 6 ust 1 lit f) RODO.

7. Czy mogę tworzyć tzw. „czarne listy kandydatów do pracy”?

Nie. Za niedopuszczalne należy uznać tworzenie tzw. „czarnych list” osób ubiegających się o zatrudnienie. Należy pamiętać, że tworzenie jakichkolwiek list mających charakter negatywny może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje[2]. Notatki o kandydacie muszą zawierać wyłącznie informacje merytoryczne bez subiektywnych odczuć na temat kandydata do pracy.

8. Czy mogę przesyłać CV kandydata do pracy do innego menedżera w celu potwierdzenia wyboru?

Często słyszymy to pytanie. Odpowiedź brzmi tak, ale po zweryfikowaniu czy też zapewnieniu, że będzie to zgodne z szeroko rozumianą zasadą bezpieczeństwa. Jak mantrę powtarzamy by zapewnić bezpieczeństwo przetwarzanych danych osobowych przesyłanych za pośrednictwem poczty elektronicznej. RODO nie wskazuje konkretnie jakie środki techniczne zastosować. Wynika to z ogólnej zasady risk based approach, a mianowicie podejściu opartym na zasadzie ryzyka. Rozwiązań w celu zapewnienia bezpieczeństwa jest wiele. W szczególności można nałożyć hasło na dokumenty aplikacyjne bądź utworzyć dedykowany folder na dysku, gdzie dostęp będą miały wyłącznie osoby do tego upoważnione.

9. Czy kandydat do pracy ma możliwość żądania kopii danych osobowych pozyskanych w ramach postępowania rekrutacyjnego? W jaki sposób zapewnić realizację tego prawa?

Odpowiedź na pytanie jest twierdząca. Zgodnie z decyzją PUODO o sygn. ZSZZS.440.660.2018 z dnia 22 marca 2019 r. (co prawda odnoszącej się do statusu pracownika) administrator nie ma obowiązku udostępniania osobie, której dane dotyczą nośnika, na którym przetwarzane są dane osobowe oraz danych, które nie są kwalifikowane jako dane osobowe w rozumieniu art. 4 pkt 1 RODO. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, Administrator może poprzestać na wskazaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku[3].

10. Czy można pytać o dostępność tzn. od kiedy kandydat może pojawić się w pracy?

Tak, można swobodnie pytać o takie informacje.

Zwracamy uwagę, że lista pytań nie jest wyczerpująca. Postęp technologiczny w tym wykorzystywanie nowych narzędzi rekrutacyjnych na pewno będą przysparzać wiele wątpliwości pod kątem ich zgodności nie tylko z RODO. W tym zakresie zawsze niezbędna jest i będzie konsultacja z osobą odpowiedzialną za ochronę danych w organizacji.

[1] Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, Urząd Ochrony Danych Osobowych, październik 2018 r.

[2] Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, Urząd Ochrony Danych Osobowych, październik 2018 r.

[3] Decyzją PUODO o sygn. ZSZZS.440.660.2018 z dnia 22 marca 2019 r.

Podstawy cyberbezpieczeństwa w organizacji

Obecnie każda organizacja opiera swoje działanie na systemach komputerowych, bez których nie mogłaby funkcjonować efektywnie. Dlatego powinna ona zadbać o procesy zabezpieczenia swojej infrastruktury technicznej i informatycznej, gdyż każdy cyberatak może spowodować straty ty nie tylko finansowe, czy wizerunkowe, ale również wiąże się z możliwością postępowania kontrolnego przeprowadzonego przez Urząd Ochrony Danych Osobowych.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wydała poradnik wskazujący na 12 podstawowych kroków, jakie trzeba podjąć w celu zabezpieczenia organizacji przed cyberzagrożeniami.
Są to ogólne wytyczne, które należy dostosować do każdej organizacji mając na względzie jej specyfikę i związane z jej działalnością zagrożenia.

1. Rozwijaj dobrą kulturę cyberbezpieczeństwa.

To podstawowe zalecenie, bez którego niemożliwe jest zapewnienie cybernetycznego bezpieczeństwa organizacji. Każda organizacja powinna wyznaczyć osobę odpowiedzialną za nadzór nad procesem zapewnienia cyberbezpieczeństwa. Pomocne jest również opracowanie standardów bezpieczeństwa spisanych w jednym dokumencie. Poziom przyjętych zabezpieczeń i adekwatność przyjętych rozwiązań powinna być weryfikowana poprzez audytorów. Tworząc system cyberbezpieczeństwa należy pamiętać o spełnieniu wymagań RODO stosując zasadę „privacy by design” tak by system przewidywał bezpieczne przetwarzanie danych osobowych już w fazie projektowania nowych produktów lub usług.

2. Organizuj odpowiednie szkolenia.

Żadna organizacja nie może dobrze funkcjonować bez odpowiednio przeszkolonych pracowników. W świecie szybko zmieniających się zagrożeń jest to zadanie, które nie może być jednorazowe. Cykliczność szkoleń warto uwzględnić w polityce cyberbezpieczeństwa.

3. Zapewnij skuteczne zarządzanie podmiotami zewnętrznymi.

Przy wyborze dostawcy organizacja powinna kierować się nie tylko jakością wykonanych usług, ale również odpowiednim poziomem zabezpieczeń, jaki dostawca posiada. Pomocna w ocenie poziomu zabezpieczeń może być ankieta weryfikująca. Nie można zapomnieć również, iż w przypadku przetwarzania danych osobowych w ramach realizacji umowy należy zabezpieczyć proces przetwarzania poprzez zawarcie odpowiedniej umowy powierzenia.

4. Opracuj plan reagowania na incydenty.

Przygotowanie szczegółowych procedur jest konsekwencją wdrożenia w organizacji polityki cyberbezpieczeństwa. Opracowanie planu działania przed wystąpieniem incydentu jest przejawem pragmatycznego podejścia oraz zapewni organizacji ukierunkowanie podjętych działań w stresującej sytuacji. Należy zatem przygotować odpowiednie procedury i przeszkolić z ich stosowania pracowników, tak aby w momencie wystąpienia incydentu można było działać według wcześniej przyjętego scenariusza.

5. Zabezpiecz dostęp do systemów.

W polityce cyberbezpieczeństwa konieczne jest ujęcie kwestii zabezpieczenia i dostępów do zasobów organizacji. Ważną kwestią jest ustalenie i przekazanie pracownikom wytycznych dotyczących haseł, tj. ich długości, konieczności zawarcia małych i wielkich liter, cyfr, znaków specjalnych. Warto mieć na względzie m.in. to aby hasła były odpowiednio zabezpieczone przed dostępem innych osób i nie powtarzały się.

6. Zabezpiecz urządzenia.

Tak jak odpowiednio przeszkoleni pracownicy również właściwe zabezpieczenia techniczne pozwolą nam uniknięcie zagrożeń w sieci. Dbałość o bezpieczeństwo infrastruktury jest podstawowym działaniem każdej organizacji. Należy regularnie aktualizować oprogramowanie, stosować programy antywirusowe, stosować tylko autoryzowane oprogramowanie. Pomocne jest również szyfrowanie i zabezpieczanie hasłem dokumentów. W przypadku pracy zdalnej należy określić obowiązujące zasady wykonywania takiej pracy.

7. Zabezpiecz swoją sieć.

Należy również pamiętać o zabezpieczeniu wewnętrznej sieci organizacji. Odpowiednie monitorowanie i ograniczanie ruchu, wydawanie dostępów do zasobów oraz ustanowienie zapory sieciowej jest kluczowe dla zapewnienia bezpieczeństwa sieci.

8. Popraw bezpieczeństwo fizyczne.

Oprócz technicznych zabezpieczeń konieczna jest dbałość o zabezpieczania fizycznie, tj. o umiejscowienia i rodzaj zabezpieczeń fizycznych serwerowni, sposoby zabezpieczenia komputerów i telefonów po zakończonej pracy, określenie procedury przenoszenia sprzętu służbowego w celu pracy zdalnej.

9. Zabezpiecz kopie zapasowe.

Robienie kopii zapasowych danych organizacji jest podstawą formą zabezpieczenia organizacji przed utratą dostępu do danych lub ich kradzieżą. Dlatego istotnym jest opracowanie planu tworzenia kopii zapasowych oraz zautomatyzowanie tego procesu. Należy pamiętać aby kopie zapasowe były przechowywane na innej infrastrukturze technicznej – w przypadku cyberataku pozwoli to na zniwelowanie szkód wynikłych z utracenia dostępu do danych.

10. Korzystaj z chmury.

Wartym rozważenia pomysłem jest przechowywanie danych organizacji w chmurze. Obecnie na rynku jest wiele podmiotów świadczących usługi chmurowe. Przy wyborze odpowiedniego dostawcy rozwiązania chmurowego należy sprawdzić czy dostawca oferuje odpowiedni poziom zabezpieczeń.

11. Zabezpiecz strony internetowe.

Równie istotne jak zabezpieczenie infrastruktury wewnętrznej jest zabezpieczenie strony internetowej. Odpowiednio zabezpieczona strona internetowa w przypadku wielu organizacji jest nie tylko wymaganiem prawnym, ale również świadczy o zachowaniu dbałości o bezpieczeństwo danych klientów. Konieczne jest zabezpieczenie strony poprzesz szyfrowanie używając protokołów HTTPS oraz TLS pomagającego zapewnić prywatność w sieci.

12. Poszukuj informacji i dziel się nimi.

Wymiana informacji związanych z cyberbezpieczeństwem w obrębie własnej organizacji pozwoli na budowanie świadomości pracowników oraz będzie rozwijać kulturę cyberbezpieczeństwa w danej organizacji. Również istotne jest zdobywanie wiedzy na temat nowych zagrożeń oraz odpowiadającym im nowym zabezpieczeniom.

Poza stosowaniem ww. wytycznych warto również zadbać o cykliczne testowanie stosowanych zabezpieczeń. Musimy być pewni, że zastosowane zabezpieczenia działają i są skuteczne.

Wprowadzenie powyższych zasad i niezbędnych procedur w organizacji nie jest proste. Dlatego warto rozważyć sięgnięcie po pomoc specjalistów w danej dziedzinie. W naszej ofercie znajdą Państwo zarówno usługi wdrożenia i szkolenia z cyberbezpieczeństwa w Państwa organizacji, jak również wdrożenia i szkolenia z zakresu ochrony danych.

Długo wyczekiwana zmiana przepisów o zapobieganiu, przeciwdziałaniu i zwalczaniu COVID-19

W wykazie prac legislacyjnych i programowych Rady Ministrów dostępna jest informacja o projekcie ustawy o zmianie ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych oraz niektórych innych ustaw. Organem odpowiedzialnym za projekt jest Minister Zdrowia. Prace nad projektem trwają i dopiero przed kilkoma dniami MZ zapowiedział, że zostanie on włączony do porządku pierwszych wrześniowych obrad RM, a następnie niezwłocznie przekazany pod obrady Sejmu. Taka intensyfikacja prac legislacyjnych ma pozwolić na uchwalenie zmiany ustawy jeszcze w III kwartale bieżącego roku.

Czy pracodawcy będą uprawnieni do działań zapewniających odpowiednią ochronę w zakładach pracy?

Obecnie większość inicjatyw pracodawców, które miałyby uchronić pracowników i klientów przed zakażeniem, jest oceniana przez specjalistów prawa pracy i prawa ochrony danych osobowych, jako niezgodna z obowiązującymi przepisami i tym samym nie są one możliwe do stosowania w przedsiębiorstwach. Tym samym, mimo chęci działania w interesie całego społeczeństwa, pracodawcy mają bardzo ograniczony, prawie żaden, wybór środków przeciwdziałania zakażeniom zgodnie z przepisami prawa pracy, a co za tym idzie – zgodnie z RODO.

Aby wesprzeć pracodawców w przeciwdziałaniu COVID, w projektowanej regulacji przewiduje się:

Wprowadzenie rozwiązań, które pozwolą pracodawcom uzyskiwać informacje dotyczące zaszczepienia, faktu przebycia zakażenia SARS-CoV-2 lub posiadania ważnego negatywnego wyniku testu diagnostycznego w kierunku SARS-CoV-2.
W przypadku osoby, która przekazała informację o braku zaszczepienia przeciwko COVID-19 lub nieprzebyciu infekcji wirusa SARS-CoV-2 potwierdzonej wynikiem testu diagnostycznego w kierunku SARS-CoV-2 lub posiadania ważnego pozytywnego wyniku testu diagnostycznego w kierunku SARS-CoV-2, pracodawca mógłby delegować te osobę do pracy poza jej stałe miejsce pracy lub do innego rodzaju pracy, z wynagrodzeniem odpowiadającym rodzajowi pracy albo skierować na urlop bezpłatny.
Możliwość oczekiwania powyższych informacji przed nawiązaniem stosunku pracy z osobą ubiegającą się o pracę.
Przedsiębiorca lub podmiot prowadzący działalność gospodarczą nie podlegałby czasowemu ograniczeniu w prowadzeniu działalności gospodarczej[1], jeżeli działalność gospodarcza jest wykonywana na rzecz osoby zaszczepionej przeciwko COVID-19, osoby po przebytej infekcji wirusa SARS-CoV-2 potwierdzonej wynikiem testu diagnostycznego w kierunku SARS-CoV-2 lub osoby posiadającej ważny negatywny wynik testu diagnostycznego w kierunku SARS-CoV-2.
Będzie możliwość stosowania aplikacji mobilnej udostępnionej przez Centrum e-Zdrowia lub wykorzystywania zaświadczeń, na których umieszczony będzie wizerunek twarzy posiadacza zaświadczenia (będą one mogły być wydawane przez osoby wykonujące zawód medyczny. Fotografie będą pochodzić z Rejestru Dowodów Osobistych oraz ewidencji wydanych i unieważnionych dokumentów paszportowych).

Przepisy zostały przygotowane na wzór francuski. Francja już wprowadziła obowiązek „przepustki zdrowotnej”, polegający na uzależnieniu dostępu do określonych miejsc od okazania dowodu stanu zdrowia osoby (zaświadczenie o szczepieniu, wynik przesiewowego badania wirusologicznego) z ujemnym wynikiem na COVID-19 lub zaświadczeniem o wyzdrowieniu z COVID-19). Jeżeli francuski pracownik nie przedstawi wymaganych dowodów (zaświadczeń lub wyników badań), jego umowa o pracę zostanie natychmiast zawieszona bez wynagrodzenia, chyba że w porozumieniu z pracodawcą zdecyduje się skorzystać z umownych dni odpoczynku lub płatnego urlopu, trwającego do czasu okazania przez pracownika przepustki zdrowotnej. Chociaż w projekcie MZ znajduje się podobna propozycja, to polscy pracodawcy otrzymaliby możliwość skierowania pracownika na bezpłatny urlop, nie ma jednak w projekcie mowy o takim obowiązku. Wydaje się, że jest to dobry kompromis z uwagi na charakter naszego rynku pracy, gdzie pracodawcy nie ukrywają problemów z rekrutacją specjalistów. Obowiązkowy bezpłatny urlop osób niezaszczepionych groziłby destabilizacją wielu przedsiębiorstw i instytucji.

Nad Sekwaną wprowadzono też obowiązek szczepień, który będzie miał zastosowanie do każdej osoby pracującej w określonych placówkach (zakłady opieki zdrowotnej, przychodnie lekarskie, placówki dla osób starszych lub niepełnosprawnych itp.), wszystkich pracowników służby zdrowia, a także osób pracujących w tym samym lokalu co ci specjaliści. Na wysunięcie takiej propozycji na razie nie zdecydowano się w polskim projekcie, a sondaże wykazują, że nie byłoby to zgodne z oczekiwaniami społecznymi.

We Francji już funkcjonują systemy informatyczne do wdrożenia i monitorowania przyjętej polityki zdrowotnej. Aplikacja o takim przeznaczeniu została zaproponowana również w projekcie MZ.

Będziemy śledzić kolejne etapy prac legislacyjnych nad projektem.

Do znacznej części zakażeń SARS-CoV-2 dochodzi właśnie w zakładach pracy i dlatego konieczne jest dostarczenie pracodawcom odpowiednich prawnych instrumentów wspomagających walkę z pandemią w sposób zgodny z przepisami, w tym z RODO.

[1] Ograniczenie, o którym mowa w art. 46b pkt 2 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.

Kiedy nie trzeba spełniać obowiązku informacyjnego z RODO

Administrator danych podczas pozyskiwania danych osobowych, zbieranych od osoby, której dane dotyczą dopełnia tzw. obowiązek informacyjny, czyli podaje jej wszystkie wymagane przez RODO informacje. Warto jednak pamiętać, że RODO przewiduje wyłączenia od tego obowiązku. I właśnie te sytuacje omawiamy.

Outsourcing IOD

Obowiązek informacyjny jest wyłączony gdy:

Osoba, której dane dotyczą, dysponuje już tymi informacjami; do skutecznego powołania się na tę przesłankę nie jest wystarczające jedynie subiektywne przekonanie administratora o zaistnieniu tej okoliczności. To, że podmiot danych dysponuje określonymi informacjami, musi być potwierdzone.
Udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem zastosowania odpowiednich warunków i zabezpieczeń przewidzianych przez RODO.
Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą.

Na przykład a podstawie prawa krajowego organ podatkowy podlega obowiązkowemu wymogowi pozyskania od pracodawcy szczegółowych informacji na temat wynagrodzenia pracowników. Dane osobowe nie zostają pozyskane od osoby, której dane dotyczą, i w związku z tym organ podatkowy podlega wymogom określonym w art. 14. Ponieważ pozyskiwanie danych osobowych od pracodawcy przez organ podatkowy jest wyraźnie uregulowane prawem, w tym przypadku wymogi udzielenia informacji określone w art. 14 nie mają zastosowania do organu podatkowego.

Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Na przykład przedstawiciel zawodu medycznego (administrator danych) podlega zawodowemu obowiązkowi zachowania tajemnicy w odniesieniu do informacji medycznych dotyczących jego pacjenta. Pacjentka (w odniesieniu do której zawodowy obowiązek zachowania tajemnicy ma zastosowanie) dostarcza przedstawicielowi zawodu medycznego informacje dotyczące jej zdrowia związane z chorobą genetyczną, na którą cierpi również wielu jej krewnych. Pacjentka dostarcza również przedstawicielowi
zawodu medycznego niektóre dane osobowe dotyczącego jej krewnych (osób, których dane dotyczą), którzy cierpią na tę samą chorobę. Przedstawiciel zawodu medycznego nie ma obowiązku udzielania krewnym informacji, o których mowa w art. 14, ponieważ zastosowanie ma odstępstwo określone w art. 14 ust. 5 lit. d). Jeśli przedstawiciel zawodu medycznego udzieliłby krewnym informacji, o których mowa w art. 14, naruszony zostałby obowiązek zachowania tajemnicy zawodowej, który przedstawiciel zawodu medycznego ma wobec swojego pacjentaOcena, czy w danym przypadku obowiązek informacyjny spoczywa na administratorze i w jakim zakresie, powinna być dokonywana na czas pozyskiwania danych, a katalog tych sytuacji, jest katalogiem zamkniętym i różni się w zależności od tego czy dane zbierane są bezpośrednio od osoby, której dotyczą czy z innego źródła.

Możliwe jest zwolnienie z obowiązku informacyjnego w części – w zakresie, w jakim osoba, której dane dotyczą, te informacje posiada. W pozostałym zakresie obowiązek ten pozostaje aktualny.

Przepisy prawa mogą zwalniać administratorów z obowiązku informacyjnego w niektórych przypadkach. Przykładem takiego częściowego zwolnienia może być sytuacja, kiedy klient wobec którego administrator dopełnił w całości obowiązku informacyjnego podczas zawierania pierwszej umowy, decyduje się na skorzystanie z innych ofert tego samego administratora. W tym zakresie podaje on, jeśli jest taka potrzeba, dodatkowe dane i zawiera nową umowę. W tym zakresie, administrator przyjmuje, że ten klient dysponuje już informacjami co do tego, kto przetwarza jego dane osobowe, jakie przysługują mu w tym zakresie prawa. Obowiązek informacyjny może być w takim wypadku ograniczony do podania nowych podstaw i celów przetwarzania danych, terminów usunięcia danych czy też kategorii odbiorców. Trzeba tutaj pamiętać, że zgodnie z zasadą rozliczalności, administrator, który powołuje się na zwolnienie z obowiązku, powinien być w stanie przedstawić, jakie informacje osoba już posiada, jak i kiedy je otrzymała oraz, że od czasu pierwszego dopełnienia obowiązku informacyjnego nie nastąpiły żadne zmiany w tych informacjach, które uczyniłyby je nieaktualnymi.

W przypadku pozyskiwania danych z innego źródła niż od osoby, której dane dotyczą RODO przewiduje zwolnienie z obowiązku informacyjnego, nie tylko gdy podmiot danych dysponuje już określonymi informacjami, ale także w sytuacji gdy udzielenie niezbędnych informacji jest niemożliwe lub co prawda byłoby możliwe, jednak wymagałoby niewspółmiernie dużego wysiłku. Prawodawca europejski wskazał, że z taką sytuacją administrator może mieć do czynienia w szczególności w przypadku przetwarzania danych do celów archiwalnych w interesie publicznym, badań naukowych, badań historycznych lub statystycznych.

Rozpatrując zaistnienie okoliczności w postaci niemożności lub niewspółmiernie dużego wysiłku jako podstawy do zwolnienia z obowiązku informacyjnego, uwzględnić należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia. Ocena taka powinna być dokonywana indywidualnie w odniesieniu do każdego przypadku.

Odstępując od realizacji obowiązku informacyjnego z uwagi na brak możliwości powiadomienia lub niewspółmiernie duży wysiłek, administrator musi podjąć odpowiednie środki mające chronić prawa i wolności oraz prawnie usprawiedliwione interesy podmiotu danych. Naukowcy zajmujący się badaniami historycznymi, którzy chcą prześledzić pochodzenie na podstawie nazwisk, pośrednio uzyskują obszerny zbiór danych dotyczących 10 000 osób. Dane należące do zbioru zostały jednak zebrane 30 lat temu i nie były od tego czasu aktualizowane oraz nie zawierają żadnych danych kontaktowych. Biorąc pod uwagę wielkość bazy danych, a w szczególności okres przechowywania danych, podjęcie przez naukowców indywidualnych prób odnalezienia osób, których dane dotyczą, w celu udzielenia im informacji określonych w art. 14 wymagałoby niewspółmiernie dużego wysiłku.

Udzielenie informacji podmiotowi danych, przy pośrednim gromadzeniu jego danych osobowych może być niemożliwe w przypadku zakupu bazy bez danych kontaktowych tych osób. Niewspółmiernie duży wysiłek będzie miał z kolei miejsce w przypadku zakupu wielomilionowej bazy danych, gdzie administrator nie ma pewności co do aktualności kupowanych danych osobowych. W takim przypadku warto jednak zastanowić się nad zasadnością kupna takiej bazy, na co wielokrotnie prawnicy Audytela zwracają uwagę uczestnikom na szkoleniach

RODO, daje także administratorowi podstawę zwolnienia z realizacji obowiązku informacyjnego, w przypadkach, kiedy przekazanie przez administratora informacji może uniemożliwić lub poważnie zaszkodzić realizacji celów przetwarzania.
Przykładem może być gromadzenie danych z innych źródeł niż od osoby, której dane dotyczą w związku z obowiązkami prawnymi, gdzie przedstawienie osobie, której dane dotyczą informacji o przetwarzaniu jej danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu).

Prawo przewiduje także zwolnienia niektórych podmiotów z obowiązku informacyjnego np. adwokatów i radców prawnych, w stosunku do których istnieje ustawowy obowiązek zachowania tajemnicy zawodowej.

Podsumowując, obowiązki informacyjne odgrywają bardzo istotną rolę, a prawidłowo dopełnione sprawią że zaufanie do administratora wzrośnie. Warto jednak zwrócić uwagę na istnienie zwolnień od tego obowiązku.

Monitorowanie i testowanie zgodności z RODO z perspektywy prawnika i informatyka

Pragniemy Państwa poinformować o publikacji naszej książki, która powstała we współpracy z wydawnictwem Must Read Media.

Publikacja ma za zadanie przedstawienie najlepszych praktyk z zakresu monitorowania zgodności z RODO, w organizacjach prowadzących działalność na polskim rynku.

W materiale zostały przedstawione m.in. formy weryfikacji dokumentacji, istota regularnych przeglądów bezpieczeństwa oraz budowanie świadomości pracowników poprzez zwiększanie wiedzy na temat RODO.

Autorzy zadbali również o prezentację wniosków z decyzji UODO, dotyczących utrzymania i testowania zgodności z RODO, które jednocześnie pozwolą na sprawne przygotowanie się organizacji do kontroli Prezesa UODO.

Książka jest dostępna zarówno na stronie Wydawnictwa, jak i bezpośrednio po kontakcie z Nami!

Link: Kup książkę!

Skontaktuj się z Nami w sprawie książki lub konsultacji!

Kontakt:

Monika Machelak

monika.machelak@audytel.pl

tel. 538 891 083

Zagubiony pendrive – administrator ukarany przez UODO

Zgubienie służbowego pendrive’a niesie za sobą nie tylko biznesowe ryzyko utraty istotnych informacji, ale może także stanowić incydent bezpieczeństwa – naruszenia ochrony danych osobowych, które rodzi określone konsekwencje na gruncie RODO, m. in. nałożenie kary przez Prezesa Urzędu Ochrony Danych Osobowych. Administratorzy powinni przywiązywać dużą wagę do odpowiedniego zabezpieczania służbowych nośników informacji. Takiej uwagi zabrakło w przypadku Sądu Rejonowego w Zgierzu – UODO poinformował o nałożeniu kary finansowej na Prezesa tego sądu w wysokości 10 000 zł.

Incydent bezpieczeństwa polegał na zgubieniu przez kuratora sądowego pendrive’a, na którym przechowywano dane 400 osób podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Prezes Sądu Rejonowego w Zgierzu zgłosił naruszenie do UODO oraz opublikował na swojej stronie internetowej informację o tym zdarzeniu.

W komunikacji z urzędem sąd wskazywał, że wdrożył odpowiednie procedury postępowania z danymi osobowymi, szkoli pracowników sądu stacjonarnie oraz e-learningowo w zakresie ochrony danych osobowych oraz obowiązujących w sądzie zasad postępowania z danymi osobowymi.

UODO dopatrzył się naruszenia zasady poufności i integralności danych osobowych przez Prezesa Sądu Rejonowego w Zgierzu. Naruszenie to zdaniem UODO miało polegać na tym, że kuratorom sądowym zostały wydane pendrive’y oraz zostali oni zobowiązani do wdrożenia zabezpieczeń tych nośników pamięci we własnym zakresie. Sam administrator nie wdrożył jednak odpowiednich środków technicznych. W konsekwencji, gdy doszło do zagubienia niezabezpieczonego pendrive’a, nieuprawnione osoby mogły uzyskać dostęp do znacznej ilości poufnych danych osobowych.

UODO przypomniał, że to na administratorze ciąży obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Nie wystarczy, że administrator zobowiąże swoich pracowników do samodzielnego wdrożenia takich środków, zwłaszcza że pracownicy zwykle nie dysponują fachową wiedzą o odpowiednich zabezpieczeniach.

Okiem informatyka:

Komentarz Wiesława Krawczyńskiego

W opisanym przypadku można było uniknąć tego incydentu. Zakładając, że dane osobowe musiały być przenoszone na pendrive, wystarczyło wdrożyć narzędzia do szyfrowania danych, które były przenoszone na nośniki zewnętrzne oraz wprowadzić procedurę monitorowania stosowania tego zabezpieczenia. Jeszcze lepszym rozwiązaniem, które zapobiegłoby powstaniu sytuacji opisanej w tym artykule byłoby wdrożenie rozwiązania informatycznego klasy DLP (Data Loss Prevention). To rozwiązanie informatyczne służące do ochrony danych – zapobiegania utracie danych. Dobrze wdrożony system DLP uniemożliwia kopiowanie wrażliwych danych na nośniki zewnętrzne bez ich zaszyfrowania. Zapobiega zarówno wyciekom przypadkowym, wynikającym na przykład z nieostrożności pracowników, jak i celowym (kradzieży danych).

Wiesław Krawczyński

Certyfikowany Audytor Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. Posiada doświadczenie w projektowaniu i audycie systemów z zakresu ISO 22301 oraz regulacji prawnych np. RODO, ustawy o krajowym systemie cyberbezpieczeństwa czy rozporządzeniu w sprawie Krajowych Ram Interoperacyjności.

Amazon ponownie ukarany za nieprzestrzeganie przepisów RODO

Luksemburski organ nadzorczy Commission Nationale pour la Protection des Données (CNPD) nałożył rekordową karę na internetowego giganta.
Kara w wysokości 746 mln euro została nałożona na europejską spółkę Amazona za przetwarzanie danych swoich klientów z naruszeniem przepisów RODO. Tym samym nałożona kara przewyższyła dotychczasową najwyższą karę w Unii Europejskiej w sprawie naruszenia RODO, tj. 50 mln euro nałożoną na spółkę Google.
Wcześniej spółka Amazona została ukarana przez CNIL, francuski organ właściwy ds. ochrony danych osobowych, karą 35 milionów euro za zapisywanie plików cookies na urządzeniach osób korzystających ze stron internetowych tych podmiotów bez uzyskania uprzedniej zgody użytkowników oraz za brak przekazania im odpowiednich informacji. O tej karze również pisaliśmy na naszym blogu.

Obecnie kara została nałożona w wyniku skargi złożonej w 2018 r. przez francuską organizację La Quadrature du Net reprezentującej 10.000 osób, w przeświadczeniu których ich prawa przez Amazon zostały naruszone. Prawo krajowe uniemożliwia CNDP komentowanie poszczególnych spraw i urząd ten nie może publikować swoich decyzji przed upływem terminów składania odwołań. Z doniesień prasowych wiemy, że naruszenie polegało sposobie prezentowania reklam internautom. CNPD zakwestionowała zmuszanie użytkowników do akceptacji śledzącej reklamy w ramach zakupów online, podczas gdy Amazon twierdził, że reklama jest częścią świadczonej przez niego usługi e-commerce i dane klientów nie zostały udostępnione żadnej stronie trzeciej.

Wspomniane powyżej kary nałożone na Googla i Amazon wskazują, iż europejskie organy nadzorcze kontrolują działania gigantów internetowych w aspekcie przetwarzania przez nich danych osobowych. Można przypuszczać, iż trend ten utrzyma się i spowoduje kontrolę innych wielkich przedsiębiorstw cyfrowych przetwarzających dane osobowe w Unii Europejskiej na masową skalę. Co może realnie wpłynąć na podniesienie poziomu bezpieczeństwa przetwarzania danych osobowych osób korzystających z ich usług.

Trudno jest ocenić zakres naruszenia prawa przez Amazon, a także poprawność rozumowania luksemburskiego organu nadzorczego bez dostępu do decyzji, która ze względu na wewnętrzne uwarunkowania prawne nie została opublikowana. Jednak kluczowa w tej sprawie wydaje się ocena podstawy prawnej targetowania reklam. Przyjęte rozstrzygnięcie wskazuje, że organ nadzorczy poszedł w kierunku wymagania uzyskania zgody na takie targetowanie albo że w przyjętym przez Amazon mechanizmie opartym na prawnie uzasadnionym interesie zabrakło jasnych ram złożenia sprzeciwu wobec targetowania przez użytkowników.

Uzasadnienie rozstrzygnięcia a także dalsze losy tej sprawy będą zatem bardzo ważnym źródłem interpretacji prawa dla podmiotów z branży internetowej, w szczególności co do dopuszczalności targetowania reklam jako elementu świadczonej usługi.

Źródło:

https://cnpd.public.lu/en/actualites/international/2021/08/decision-amazon-2.html

https://panoptykon.org/amazon-rekordowa-kara-rodo

Transfer danych do Wielkiej Brytanii po brexicie – jest decyzja Komisji

Komisja Europejska przyjęła 28 czerwca 2021 r. dwie decyzje stwierdzające odpowiedni stopień ochrony danych osobowych. Jedną dotyczącą RODO a drugą związaną z dyrektywą 2016/680 regulującą kwestie wyłączone spod RODO, czyli przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar. Na podstawie tych decyzji przekazywanie danych osobowych do Zjednoczonego Królestwa będzie możliwie bez konieczności podejmowania dodatkowych środków ochronnych zabezpieczających transfer.

Decyzja stwierdzająca odpowiedni stopień ochrony w państwie trzecim jest mechanizmem, za pomocą którego przekazywanie danych osobowych do tego kraju odbywa się bez dodatkowych zabezpieczeń[1]. Przy wydawaniu decyzji Komisja ma obowiązek zbadać praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo dotyczące danych osobowych, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego oraz międzynarodowe zobowiązania zaciągnięte przez określone państwo trzecie w dziedzinie danych osobowych. Co interesujące, Komisja po raz pierwszy wydała decyzje stwierdzające odpowiedni stopień ochrony ograniczone czasowo – po czterech latach decyzje wygasają i będzie konieczne ich ponowne wydanie. Termin wygaśnięcia decyzji uzasadniany jest obawami, czy standard ochrony danych osobowych w Wielkiej Brytanii pozostanie na obecnym poziomie w dłuższej perspektywie czasu.

Komisja wskazała 4 kluczowe elementy swoich decyzji.

Po pierwsze, zdaniem Komisji Wielka Brytania utrzymuje system ochrony danych osobowych na tych samym zasadach, jak w czasie członkostwa w Unii Europejskiej, wdrażając zasady, prawa i obowiązki przewidziane w RODO i dyrektywie 2016/680 do swojego porządku prawnego.

Drugą istotną okolicznością podjęcia ww. decyzji było wg Komisji to, że system prawny Wielkiej Brytanii zapewnia silne środki ochronne ograniczające dostęp służb specjalnych do danych osobowych. Przykładowo, taki dostęp wymaga uprzedniej decyzji niezależnego organu sądowego, podejmowane środki muszą być konieczne i proporcjonalne do osiągnięcia celów, zapewniona jest także możliwość odwołania się od decyzji.

Po trzecie, Komisja ograniczyła obowiązywanie decyzji do czterech lat w związku z koniecznością monitorowania poziomu ochrony danych osobowych w Wielkiej Brytanii.

Dodatkowo spod zakresu zastosowania decyzji został wyłączony transfer danych osobowych do celów związanych z kontrolą imigracji, co wynika z wyroku Sądu Apelacyjnego Anglii i Walii (England and Wales Court of Appeal).

Źródło:

https://ec.europa.eu/commission/presscorner/detail/pl/ip_21_3183

[1] Mechanizm przewidziany jest przez art. 45 RODO.

Potrzebujesz oferty na wdrożenie RODO?

Potrzebujesz usługi Outsourcingu IOD?

Potrzebujesz oferty na audyt RODO?