Pierwsza kara dla organu publicznego za naruszenia RODO – uzasadnienie do wyroku sądu utrzymującego w mocy decyzję Prezesa UODO

Dostępne są już długo wyczekiwane wyrok oraz jego uzasadnienie w sprawie kary finansowej nałożonej na burmistrza jednego z miast w województwie kujawsko-pomorskim. Emocje budzi już sam fakt, że to rozstrzygnięcie sądu dotyczy pierwszej decyzji polskiego organu nadzorczego nakładającej karę finansową za naruszenie RODO na organ publiczny. Jednak, co istotniejsze, omawiana decyzja i uzasadnienie wyroku utrzymującego ją, stanowią bogate źródło wiedzy dla przedsiębiorców o kierunku interpretowania naruszeń przepisów o ochronie danych osobowych.

Czego dotyczyła decyzja Prezesa UODO

O samej decyzji Prezesa UODO pisaliśmy dokładnie rok temu. Warto w tym miejscu jedynie przypomnieć, że zarzuty dotyczyły następujących naruszeń:

  • Braku zawartych umów powierzenia danych z zewnętrznymi dostawcami usług.
  • Braku ustalenia w organizacji odpowiednich terminów przechowywania danych osobowych oraz ich przestrzegania (tzw. retencji danych).
  • Braku wykonania analizy ryzyka, która powinna poprzedzić dobór odpowiednich środków zabezpieczeń danych osobowych.
  • Braków w prowadzonej dokumentacji RODO ze względu na nieprawidłowości w sposobie prowadzenia rejestru czynności przetwarzania.

Potwierdzenie zarzutów doprowadziło do nałożenia stosunkowo wysokiej kary, bo wynoszącej aż 40% jej maksymalnego wymiaru, oraz do stwierdzenia przez organ nadzorczy naruszenia elementarnych zasad przetwarzania danych takich jak w szczególności:

  • Zasady przetwarzania danych zgodnie z prawem, określonej w art. 5 ust. 1 lit. a RODO.
  • Zasady poufności, określonej w art. 5 ust. 1 lit. f RODO.
  • Zasady ograniczonego przechowywania, określonej w art. 5 ust. 1 lit. e RODO.
  • Zasada integralności i poufności określonej w art. 5 ust. 1 lit. f RODO.
  • Zasada rozliczalności, określonej w art. 5 ust. 2 RODO.

Burmistrz zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego. Jednak sąd wydając wyrok w tej sprawie uznał, że skarga nie zasługiwała na uwzględnienie.

Dlaczego Sąd utrzymał decyzję w mocy

Sąd stwierdził, że zasady określone w art. 5 rozporządzenia 2016/679 (RODO) odgrywają istotną rolę wśród norm prawnych, regulujących ochronę danych osobowych.

Zdaniem Sądu to administrator danych powinien wykazać, udowodnić, że przestrzega zasad określonych we wspomnianym przepisie RODO. W ocenie Sądu skarżący, jako administrator danych, na którym spoczywał ciężar dowodu nie wykazał, że przestrzega wszystkich zasad przetwarzania danych osobowych.

Sąd w całości podzielił dokonaną przez organ nadzorczy ocenę poszczególnych naruszeń przepisów prawa materialnego. W uzasadnieniu wyroku sąd zwrócił uwagę m.in. na następujące kwestie:

  • Potrzebę zapewnienia odpowiedniego bezpieczeństwa danych, w tym na potrzebę ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Od administratora danych osobowych wymagane jest podjęcie proporcjonalnych środków celem zabezpieczenia danych.
  • Konieczność przeprowadzania analizy ryzyka. W ocenie Sądu wdrożenie takiej analizy zminimalizowałoby ryzyko powstania uchybień w procesie przetwarzania danych osobowych; Sąd zwrócił uwagę, że środki techniczne i organizacyjne, które należy wdrożyć muszą być adekwatne do ryzyka związanego z przetwarzaniem tych danych osobowych.
  • Konieczność przestrzegania zasady ograniczenia przechowania, także wówczas gdy maksymalny okres przechowywania danych nie wynika wprost z przepisów prawa. Z zasady tej wynika, że dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Jakie ważne wnioski płyną z tej decyzji dla biznesu

RODO nakłada szereg obowiązków. Mając jednak na uwadze wyrok oraz samą decyzję Prezesa UODO, przetwarzając dane osobowe należy zwrócić jeszcze większą niż dotychczas uwagę na:

  • Zawarcie umów powierzenia przetwarzania danych wszędzie tam gdzie podmiot realizujący usługi (tzw. procesor) przetwarza dane osobowe w imieniu administratora.
  • Dobór środków zabezpieczeń danych poprzedzony analizą ryzyka dla poszczególnych procesów przetwarzania danych.
  • Przyjęcie odpowiedniego planu retencji danych, który musi określać terminy zaprzestania przetwarzania danych w tym ich usunięcia; taki plan retencji powinien być elementem dokumentacji RODO i powinien być faktycznie stosowany w organizacji.
  • Zapewnienie, że Rejestr Czynności Przetwarzania jest właściwie prowadzony tj. zawiera wszystkie niezbędne elementy oraz jest systematycznie uzupełniany.

Źródła:

Wyrok WSA z 26.08.2020 r. w sprawie o sygnaturze w sprawie

Komunikat UODO po wydaniu decyzji z dnia 18.10.2019 r. nr

Decyzja Prezesa UODO z dnia 18.10.2019 r. nr

Angielska pogoda, czyli czarne chmury nad transferem danych do Wielkiej Brytanii po Brexicie

Trybunał Sprawiedliwości Unii Europejskiej orzekł o konieczności ograniczenia nadzoru nad danymi telefonicznymi i internetowymi np. dotyczącymi geolokalizacji, przez państwa członkowskie UE, w szczególności w odniesieniu do Belgii, Francji i Wielkiej Brytanii. Tak wynika z komunikatu prasowego z 6 października 2020 r. w sprawach C-511/18,C-512/18,C-520/18,C-623/17 La Quadrature du Net i innych. Orzeczenia TSUE stawiają kolejny znak zapytania w kontekście transferów danych osobowych z Unii Europejskiej do Zjednoczonego Królestwa po Brexicie. 

Główne wnioski wynikające z wyroku 

Przede wszystkim TSUE orzekł, że do przechowywania danych i udostępniania ich służbom przez operatorów telekomunikacyjnych znajduje zastosowanie dyrektywa o prywatności i łączności elektronicznej nr 2002/58/WE 

Na podstawie dyrektywy 2002/58/WE nie jest możliwe masowe żądanie dostępu do danych internetowych i komunikacyjnych ze strony służb. Co do zasady jest ono niezgodne z prawem i powinno być stosowane wyłącznie przy wystąpieniu „poważnego zagrożenia dla bezpieczeństwa narodowego”. W tym kontekście Trybunał negatywnie ocenił krajowe przepisy m.in. Wielkiej Brytanii wymagające od dostawców usług łączności elektronicznej przesyłania w sposób masowy danych o ruchu i lokalizacji do służb bezpieczeństwa i wywiadu w celu ochrony bezpieczeństwa narodowego.  

Trybunał ograniczył dopuszczalność stosowania takiej inwigilacji do sytuacji, w których państwo członkowskie znajduje się w obliczu poważnego zagrożenia bezpieczeństwa narodowego. Oznacza to, że zaostrzone przepisy mogłyby być dopuszczalne jedynie z uwagi na niecodzienną sytuację i tylko w trakcie jej trwania. Trybunał przypomniał, że zgodnie z dyrektywą 2002/58/WE użytkownicy usług łączności elektronicznej mogą co do zasady oczekiwać, że ich komunikacja i dane z nią związane pozostaną anonimowe i nie będą rejestrowane 

Bliski koniec okresu przejściowego 

Zgodnie z umową zawartą pomiędzy Zjednoczonym Królestwem a UE, do końca grudnia 2020 roku trwać będzie „okres przejściowy”, w trakcie którego Wielka Brytania podlega prawu unijnemu, o czym informowaliśmy w lutym. Za niespełna dwa miesiące (o ile nie będzie nowych ustaleń) Wielka Brytania będzie traktowana jako państwo trzecie w rozumieniu RODO.

Zgodnie z tym, począwszy od nowego roku, dalsze przekazywanie danych do Wielkiej Brytanii, może wiązać się z dodatkowymi wymogami wynikającymi z rozdziału V RODO. Jednym ze scenariuszy branych pod uwagę w odniesieniu do Wielkiej Brytanii było spodziewane wydanie przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony – Komisja Europejska wydała takie decyzje przykładowo w odniesieniu do Szwajcarii, czy Japonii. Jedną z decyzji wykonawczych dotyczącą adekwatnego poziomu ochrony danych była też tak zwana Tarcza Prywatności (Privacy Shield), która jednak została uchylona jednym z ostatnich wyroków TSUE. Stanowiła ona główną podstawę transferu danych osobowych do Stanów Zjednoczonych. Trybunał unieważnił Tarczę Prywatności z powodu niedostatecznej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju. Tymczasem pomiędzy powyższymi orzeczeniami (w sprawie Tarczy Prywatności oraz obecnie w sprawie m.in. Wielkiej Brytanii) istnieją podobieństwa. Dotyczą one bowiem naruszenia praw podstawowych – prawa do prywatności i prawa ochrony danych osobowych.  

Co więcej, obydwa naruszenia będące przedmiotem orzecznictwa TSUE dotyczą również nadmiernej, nieograniczonej ingerencji w dane osobowe w celach związanych z bezpieczeństwem publicznym. 

Jak wskazuje m. in. Prezes UODO przekazywanie danych do państw trzecich „może mieć miejsce, gdy Komisja Europejska stwierdzi, że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. Jednak zdaniem Prezesa UODO „do czasu wydania przez KE stosownej decyzji należy sprawdzić alternatywne rozwiązania, które umożliwią przekazywanie danych 

Komisja Europejska, aby wydać taką decyzję w odniesieniu do Wielkiej Brytanii, musiałaby jednak ocenić adekwatność ochrony danych osobowych. Jak wskazuje Trybunał wydanie decyzji stwierdzającej odpowiedni stopień ochrony poprzedzić musi „badanie przepisów danego państwa trzeciego, uwzględniające w szczególności właściwe ustawodawstwo w dziedzinie bezpieczeństwa narodowego i dostępu organów władzy publicznej do danych osobowych”. Przytoczone orzeczenia   mogą wpłynąć na ocenę Komisji Europejskiej do poziomu ochrony danych osobowych w Wielkiej Brytanii. W przeddzień Brexitu okazuje się, że TSUE ma zastrzeżenia dotyczące poziomu ochrony danych zapewnianemu przez Zjednoczone Królestwo, co rodzi niepokój o najbliższą przyszłość transferów danych do tego państwa. 

Źródła: 

  • http://curia.europa.eu/juris/document/ document.jsf? text=&docid=228677
  • https://iapp.org/news/a/ cjeu-throws-wrinkle-into-eu-uk-adequacy-talks/ 
  • https://uodo.gov.pl/pl/138/665  

Kara za brak informacji o ustosunkowaniu się do żądania usunięcia danych

Rumuński organ nadzorczy (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) nałożył kolejną karę za naruszenie przepisów RODO. Administrator wprawdzie podjął działania na żądanie podmiotu danych, jednak nie poinformował o tym wnioskodawcy, co stanowiło dla organu wystarczającą podstawę do nałożenia kary.

Kara administracyjna w wysokości 2000 euro została nałożona za naruszenie art. 12 ust. 3, art. 12 ust. 4 oraz art. 17 RODO.

Postępowanie zostało wszczęte przez właściwy organ nadzorczy wskutek skargi podmiotu danych, iż administrator nie ustosunkował się do żądania usunięcia danych na podstawie art. 17 RODO.

Organ nadzorczy stwierdził, że spółka wprawdzie podjęła działania na żądanie podmiotu danych, jednak nie poinformowała wnioskodawcy o fakcie rozpatrzenia żądania.

Zgodnie z art. 12 ust. 3 RODO administrator ma bez zbędnej zwłoki, jednak nie później niż miesiąc od otrzymania żądania podmiotu danych, poinformować o działaniach podjętych na żądanie podmiotu danych.

Warto mieć na uwadze, że prawa, które przysługują osobom w związku z przetwarzaniem ich danych osobowych, nie w każdych okolicznością mogą być zrealizowane. Przykładowo administrator nie musi usunąć danych po otrzymaniu żądania w przypadku, jeśli dane są w dalszym ciągu niezbędne do realizacji celu przetwarzania, a dane nie są przetwarzane na podstawie zgody czy prawnie uzasadnionego interesu administratora.

Istotne jest, aby nawet w przypadku, gdy administrator uzna, że nie zachodzą podstawy do usunięcia danych na żądanie podmiotu danych, zostały przekazane wnioskodawcy informacje, że żądanie nie zostanie spełnione oraz na jakiej podstawie. Zgodnie z art. 12 ust. 4 RODO administrator ma miesiąc na przekazanie informacji o powodach niepodjęcia działań na żądanie osoby, której dane dotyczą oraz o możliwości wniesienia skargi do organu nadzorczego, a także skorzystania ze środków ochrony prawnej przed sądem.

Zamieszczamy poniżej przypomnienie o tym, kiedy przysługuje, a kiedy nie prawo do zapomnienia z art. 17 RODO.

Prawo do usunięcia danych przysługuje m.in. w następujących przypadkach:

  • Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub dla których są one w inny sposób przetwarzane.
  • Osoba, której dane dotyczą, cofnęła zgodę i nie ma innej podstawy prawnej przetwarzania.
  • Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego.
  • Osoba, której dane dotyczą, wniosła sprzeciw z przyczyn związanych z jej szczególną sytuacją wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu, jeśli nie występują ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  • Dane osobowe były przetwarzane niezgodnie z prawem.
  • Przepis prawa nakazuje usunięcie danych.
  • Dane osobowe zostały zebrane na podstawie zgody w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.

Prawo do usunięcia danych nie przysługuje m.in. w zakresie w jakim przetwarzanie jest niezbędne:

  • Do korzystania z prawa do wolności wypowiedzi i informacji.
  • Do realizacji obowiązku prawnego.
  • Z uwagi na realizację interesu publicznego w dziedzinie zdrowia publicznego.
  • Do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, w określonych w RODO przypadkach.
  • Do ustalenia, dochodzenia lub obrony roszczeń.

Źródło:

https://www.dataprotection.ro/index.jsp?page=Amenda_pentru_incalcarea_RGPD_Viva_Credit_IFN&lang=en

Wysoka kara niemieckiego urzędu ochrony danych dla znanej szwedzkiej sieci odzieżowej za naruszenie RODO

O tej sprawie już jakiś czas temu zrobiło się głośno kiedy świat obiegła informacja o gromadzeniu przez rozpoznawalną na całym świecie firmę odzieżową danych osobowych co bardzo znacząco ingerowało w prywatność swoich pracowników. Niemiecki organ ochrony danych przeprowadził w tej sprawie postępowanie, którego efektem jest decyzja wydana 1 października, nakładająca na przedsiębiorcę rekordowo wysoką karę 35,5 mln EUR. 

W wyniku postępowania ujawniono, że przynajmniej od 2014 r. część pracowników miała prowadzoną obszerną dokumentację zawierającą szczegóły na temat ich życia prywatnego. Do ujawnienia tego naruszenia doszło z powodu wycieku w październiku 2019 r. na kilka godzin w całej firmie pliku o wielkości około 60 gigabajtów, w wyniku błędu w konfiguracji systemu. 

Informacje na temat życia prywatnego pracowników były trwale zapisywane na dysku sieciowym. Jedną z form pozyskiwania informacji były tzw Welcome Back Talk. Tego typu rozmowy przeprowadzane były z pracownikami np. po wakacjach i nieobecnościach chorobowych (nawet krótkich). Po tych rozmowach odnotowywano konkretne doświadczenia pracowników, ale także objawy choroby i diagnozy. Niektórzy przełożeni zdobywali szeroką wiedzę na temat życia prywatnego swoich pracowników dzięki nieformalnym rozmowom obejmującym m.in. problemy rodzinne i przekonania religijne. 

Takie działanie zostało uznane za wyjątkowo szkodliwą ingerencję w życie prywatne pokrzywdzonych osób.  

Zdaniem organu ochrony danych osobowych wysokość nałożonej kary pieniężnej jest odpowiednia do wagi naruszenia i ma na celu m.in. zniechęcić inne firmy od naruszania prywatności swoich pracowników. Ukarany przedsiębiorca przyznał się do nieprawidłowości i poinformował o podjęciu zdecydowanych działań naprawczych. W postępowaniu doceniono wysiłek kierownictwa firmy zmierzający do zrekompensowania szkód osobom, których dane dotyczyły oraz zmierzający do odzyskania zaufania do firmy jako pracodawcy. 

Kara nałożona przez niemiecki organ jest jedną z większych nałożonych do tej pory za naruszenie RODO.  

Źródło: 

https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren  

Najnowsze wytyczne EIOD dotyczące kontroli temperatury ciała

Europejski Inspektor Ochrony Danych (EIOD) wydał wytyczne dotyczące stosowania kontroli temperatury ciała przez unijne instytucje, organy, urzędy i agencje (EUI) w kontekście kryzysu COVID-19. Wytyczne skierowane są do instytucji unijnych, w przypadku których zasady przetwarzania danych określa Rozporządzenie 2018/1725. Stanowią one jednak cenną wskazówkę dotyczącą pomiaru temperatury na gruncie RODO np. w relacjach pracowniczych.

Poniżej przedstawiono najważniejsze wnioski wytycznych.

Dopuszczalne formy kontroli temperatury ciała

Pomiar temperatury, dokonywany przy użyciu termometru nie podlega przepisom o ochronie danych, jeżeli temperatura następnie nie jest rejestrowana ani zapisywana.  Przy czym rodzaj użytego termometru nie ma znaczenia.

Pomiar ręczny, który następnie jest rejestrowany oraz pomiar zautomatyzowany (np. z użyciem kamery termowizyjnej, lub bramek mierzących temperaturę) jest objęty zakresem stosowania RODO, a w dodatku jako że dotyczy danych dotyczy zdrowia, jest również traktowane jako przetwarzanie szczególnych kategorii danych.

Niedopuszczalna forma kontroli temperatury

Jak wskazuje EIOD dokonywanie pomiaru temperatury wyłącznie w sposób zautomatyzowany jest co do zasady niedopuszczalne. Pomiar ten może bowiem skutkować decyzją o niewpuszczeniu pracownika na teren budynku. Taki pomiar może bowiem spełniać kryteria zautomatyzowanego podejmowania decyzji, o którym mowa w art. 22 RODO. Jako że podmiot kontrolujący temperaturę nie spełnia co do zasady przesłanek legalizujących takie przetwarzanie danych, osoba, której dane dotyczą ma prawo, aby takiej decyzji nie podlegać. Z tego powodu brak jest podstaw prawnych do dokonywania pomiaru temperatury oraz podejmowania decyzji w oparciu o ten pomiar w sposób w pełni zautomatyzowany.

Znaczący czynnik ludzki

EIOD wskazuje, że w przetwarzaniu danych w ramach kontroli temperatury kluczowy powinien być czynnik ludzki, tak aby przetwarzanie nie mieściło się w zakresie art. 22 RODO. EIOD powołuje się przy tym na stanowisko Grupy Roboczej Art. 29. Zgodnie z tym stanowiskiem, aby można było uznać, że ma miejsce udział człowieka, administrator musi zapewnić, aby jakikolwiek nadzór nad decyzją był znaczący, a nie stanowił tylko symboliczny gest[1].

EIOD wskazuje, że zaangażowanie człowieka jest szczególnie istotne na etapie odmowy dostępu, z uwagi na zbyt wysoką temperaturę osoby kontrolowanej. Przykładem takiego zaangażowania może być przeprowadzenie drugiej lub trzeciej kontroli przez osobę mającą odpowiednie uprawnienia i kompetencje (np. lekarza lub pielęgniarkę) do oceny szczególnej sytuacji osoby, której dane dotyczą, oraz do oceny dalszego postępowania w określonej sytuacji.

Odpowiednie środki techniczne i organizacyjne

Zgodnie z Wytycznymi EIOD w przypadku przetwarzania danych w ramach kontroli w sposób zautomatyzowany, należy zwrócić uwagę na następujące kwestie:

  • Systemy do przeprowadzania kontroli temperatury ciała, powinny działać niezależnie i nie powinny być połączone z żadnymi innymi systemami informatycznymi, w szczególności z systemem monitoringu wizyjnego. Niezależność oznacza również, że system do przeprowadzania kontroli temperatury ciała nie sprawdza tożsamości osoby kontrolowanej.
  • System powinien działać w czasie rzeczywistym – nie może zapisywać danych ani dokumentować wyników kontroli. W pobliżu skanera termicznego powinien zostać umieszczony system zdalnego podglądu, który uniemożliwia odczytującemu zapisanie obrazu i w którym wyniki są wyświetlane tylko „na żywo”.
  • W przypadku użycia niektórych przemysłowych kamer termowizyjnych, które nie zostały zaprojektowane w celu przeciwdziałania pandemii, kamery powinny być dostosowane do wymogów technicznych i organizacyjnych wynikających z prawa ochrony danych.
  • Należy upewnić się, że system wyświetla wyniki jedynie na żywo i nie utrwala obrazu, zwłaszcza jeśli może przesyłać wyniki lub obraz zdalnie za pośrednictwem protokołu przewodowego lub bezprzewodowego (takich jak np. Bluetooth, Wi-Fi, Ethernet). W takim przypadku należy upewnić się, że nie powstawał żaden zapis kontrolowanych informacji.
  • Administrator danych (np. pracodawca dokonujący pomiaru temperatury) powinien zweryfikować dostęp do danych przez producenta urządzeń mierzących temperaturę, jeżeli system kontrolujący temperaturę jest monitorowany przez niego pod kątem poprawności działania.
  • Należy przeanalizować cały cykl życia danych, aby upewnić się, że nie jest dokonywany żaden zapis lub przechowywanie. Ponadto korzystanie z systemu powinno być podporządkowane zasadzie ograniczenia celu, zatem przetwarzane dane nie powinny być wykorzystywane do innych celów. W ramach kontroli dostępu do pomieszczeń celem powinno być wykrycie osoby o podwyższonej względem ustalonego progu temperaturze, jeżeli osoba ta chce dostać się na teren objęty kontrolą. Ustalenie progu temperatury, którego przekroczenie uniemożliwia osobie kontrolowanej przejście kontroli powinien zostać uzasadniony i udokumentowany przez administratora.
  • W przypadku, w którym istnieje niewielka różnica pomiędzy temperaturą 36,6 °C, a ustalonym progiem temperatury, należy zweryfikować dokładność urządzeń i regularnie kalibrować czujnik.
  • Personel, odpowiedzialny za kontrolę, musi zostać odpowiednio przeszkolony w zakresie obsługi i interpretacji wyników. Należy pamiętać również o nadaniu temu personelowi upoważnień do przetwarzania danych osobowych.

Transparentność:

Zgodnie ze wskazaniami EIOD, podmioty danych powinny zostać wyraźnie poinformowane o istnieniu systemu kontroli temperatury, wraz z wyraźnym wskazaniem celu kontroli podmiotu, który o niej zdecydował oraz daty decyzji. Informacja powinna być przekazana poprzez oznaczenia informujące o kontrolach temperatury. Oznaczenia te powinny być:

  • Umieszczone w widocznych miejscach.
  • Na tyle duże, aby każdy mógł je zauważyć i bez trudu odczytać.
  • Ogólnie zrozumiałe dla pracowników i najczęściej odwiedzających (w razie potrzeby w kilku wersjach językowych).

W przypadku pojawienia się ewentualnych pytań lub wątpliwości dotyczących sposobu działania urządzenia do pomiaru temperatury i rodzaju gromadzonych danych, podmioty danych powinny mieć możliwość uzyskania odpowiednich informacji od administratora.

Procedura postępowania w wypadku pozytywnego wyniku testu

W przypadku stwierdzenia podwyższonej temperatury, powinna być wdrożona odpowiednia procedura kontrolna.

Drugi pomiar. Na tym etapie osoba kontrolowana powinna mieć możliwość skorzystania z drugiego pomiaru. Drugi pomiar powinien wykluczyć ewentualną wadliwość sprzętu mierzącego temperaturę lub problem z kalibracją urządzenia.

W przypadku, gdy również po drugim pomiarze temperatura jest nadal powyżej zdefiniowanego progu, osoba kontrolowana powinna mieć możliwość skorzystania z trzeciego pomiaru wykonanego innym urządzeniem przez pracownika służby zdrowia.

Odmowa wejścia. Jeżeli po trzecim pomiarze temperatura ciała osoby kontrolowanej nadal utrzymuje się powyżej zdefiniowanego progu, osobie tej odmawia się wejścia do budynku. Osobie, której odmówiono wejścia do budynku, należy udzielić odpowiednich porad i informacji, w tym co najmniej przekazać ulotkę z danymi kontaktowymi organów ochrony zdrowia oraz miejsc badań wykrywających obecność COVID-19.

Jeżeli osoba (pracownik, gość, inna), której odmówiono dostępu, zażąda dowodu odmowy, pracownicy ochrony powinni przedstawić potwierdzenie z datą, godziną i miejscem wejścia ze wskazaniem, że posiadaczowi tego dokumentu odmówiono wejścia z powodu pozytywnego pomiaru temperatury.

W przypadku, gdy pracownicy są zmuszeni do usprawiedliwiania nieobecności w biurze swoim przełożonym, taką nieobecność z powodu przekroczenia temperatury należy usprawiedliwić zgodnie z normalną procedurą obowiązującą w takich przypadkach. Przetwarzanie danych osobowych związanych z urlopami i nieobecnościami powinno pozostać wyraźnie oddzielone od stosowanego systemu kontroli temperatury. Zainteresowanemu pracownikowi (albo innemu członkowi personelu) należy zapewnić rozwiązania, które ograniczają zakłócanie jego życia prywatnego takie jak: telepraca, czy zwolnienie lekarskie. W wytycznych podkreślono, że nie wolno takiego pracownika ani karać ani stygmatyzować w związku z pozytywną kontrolą temperatury.

EIOD wskazuje też na konieczność dostosowywania użytych środków do zmieniającej się sytuacji i dokonywania ich przeglądu.

Źródła:

https://edps.europa.eu/data-protection/our-work/publications/guidelines/orientations-edps-body-temperature-checks-eu_en

Wytyczne Grupy Roboczej art. 29 dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679, 17/EN WP251rev.01

Wytyczne Grupy Roboczej art. 29 dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679, 17/EN WP251rev.01

Audyt IT – czas na weryfikację – część II

Ostatnio na Rodoradarze pisaliśmy na temat audytu IT, który warto przeprowadzić po ponad dwóch latach od czasu obowiązywania RODO. W większości organizacji zakończono prace wdrożeniowe, a zatem audyt może służyć zweryfikowaniu poprawności i skuteczności wdrożonych rozwiązań.

W pierwszej części artykułu skoncentrowaliśmy się na prawidłowym określeniu zakresu audytu. Poniższa, druga część artykułu poświęcona jest ocenie bezpieczeństwa.

Inwentaryzacja komponentów techniczno-systemowych będzie zazwyczaj pierwszym krokiem w kierunku oceny bezpieczeństwa stosowanych zasobów. Pełny rejestr komponentów IT, tj. systemów, aplikacji, sieci oraz urządzeń, pozwoli przyjrzeć się ich aktualności oraz pokaże zakres obszaru do wprowadzenia ewentualnych zmian, co przydatne będzie w późniejszych etapach.
Na podstawie aktualnego rejestru przeprowadza się analizę ryzyka w tym zakresie, w jakim dotyczy ona komponentów IT, badając podatności dla zastosowanych rozwiązań. Przeprowadzając analizę ryzyka, należy odnieść się do znanych zagrożeń dla stosowanych aktywów: uwzględnić ich źródło, wersję, zastosowanie oraz incydenty, do których doszło z ich wykorzystaniem. Nie należy jednak pomijać zbadania potencjalnych ryzyk dla danych przetwarzanych z wykorzystaniem komponentów IT. Jak pokazują ostatnie przykłady, wykonanie analizy ryzyka ograniczonej jedynie do sprawdzenia aktualności stosowanych środków zabezpieczeń w obszarze IT, nie pozwala w pełni uchronić się przed wyciekiem danych osobowych, a przy tym także przed nałożeniem na administratora nawet kilkumilionowej sankcji finansowej.
Analizując ryzyko, proces ten należy przeprowadzić szerzej, uwzględniając nie tylko zagrożenia znane, ale też podatności potencjalne, które co prawda do tej pory nie przełożyły się na realną stratę, czy zakłócenie poprawności działania stosowanych zabezpieczeń, ale stanowią lukę w systemie ochrony danych, która w przyszłości może skutkować incydentem. Wykonywanie okresowej analizy ryzyka, uwzględniającej zmiany, które zostają na bieżąco wprowadzane do stosowanych narzędzi IT, pozwala systematycznie minimalizować wpływ słabych punktów środowiska IT, a finalnie pomaga eliminować możliwości wystąpienia sytuacji skutkującej naruszeniem praw i wolności podmiotów danych.
Wynikiem przeprowadzonej analizy ryzyka jest informacja o skali zagrożenia dla zidentyfikowanych aktywów. Dla wskazanych zagrożeń należy opracować plan postępowania z ryzykiem. Warto by plan ten zawierał zatwierdzoną propozycję zmian, których wdrożenie zminimalizuje lub wykluczy materializację wykrytego zagrożenia, termin wdrożenia oraz osoby odpowiedzialne w organizacji za realizację poszczególnych zadań. Plan postępowania z ryzykiem wymaga także bieżącego nadzorowania postępów w jego realizacji oraz przeglądów pod kątem priorytetów.

Organizacje wdrażające środki zabezpieczające powinny mieć świadomość, iż należy cyklicznie dokonywać weryfikacji wprowadzonych mechanizmów, oceniając poufność, integralność i dostępność danych w środowisku IT. W tym celu należy przeprowadzić analizę stosowanych metod uwierzytelniania i autoryzacji użytkowników w systemach IT. W ramach weryfikacji przegląda się stosowane metody zabezpieczania danych na poziomie warstw aplikacji. Stosowanie tzw. dynamicznego maskowania danych (ang. dynamic data masking) pozwala w wielu przypadkach uniknąć dostępu do danych osobom nieuprawnionym, a przez to minimalizuje ryzyko naruszenia praw podmiotów danych. Rozwiązanie to polega na zróżnicowaniu uprawnień w zakresie dostępu do danych widocznych z poziomu interfejsu systemu dla różnych kategorii użytkowników. Stosowanie tego rozwiązania wprowadza pewien stopień pseudonimizacji dla danych szczególnie istotnych, przez co wybrani użytkownicy widzą tylko fragment danych posiadanych o osobie fizycznej. Zróżnicowanie uprawnień poza zmniejszeniem ryzyka przypadkowego, lub też celowego ujawnienia danych, np. przez ich eksport, pozwala także zapewnić adekwatność przetwarzania, poprzez jawność na różnym etapie operacji przetwarzania tylko tego zakresu danych, który do przeprowadzenia konkretnej operacji jest niezbędny. W trakcie audytu dobrze zatem sprawdzić, czy stosowane techniki ograniczające dostęp do danych są wystarczająco dostosowane i celowe. Podobną weryfikację pod kątem adekwatności należy przeprowadzić w zakresie stosowania innych narzędzi, np. typu SIEM lub DLP. Zasadnym jest przeprowadzenie przeglądu polityk w zakresie bezpiecznej wymiany danych. Rozwiązania pozwalające wysyłać pocztę, nawet w sposób szyfrowany, obsługiwane są jednak przez użytkowników – a to zawsze generuje potencjalną możliwość pomyłki. Z dotychczasowych doświadczeń wynika, że jednym z najczęstszych powodów wystąpienia incydentów, jest pomyłka w adresie mailowym osoby, do której przesyłane są informacje zawierające dane osobowe. Warto w tym zakresie przejrzeć stosowane zabezpieczenia i zastanowić się nad zasadnością wprowadzenia dodatkowych mechanizmów typu IRM/ERM, na podstawie których można już na etapie tworzenia dokumentu, zapisać uprawnienia odczytu tylko do wybranych osób, przy czym nie trzeba się ograniczać do osób wewnątrz organizacji; te rozwiązania pozwalają także dodatkowo zabezpieczać pliki wysyłane mailowo na zewnątrz. W czasie audytu IT warto przyjrzeć się konieczności wprowadzenia takich rozwiązań oraz poprawności ich działania, jak też poprawności całej polityki bezpiecznej wymiany danych.

W ostatniej, trzeciej części artykułu omówimy audyt IT pod kątem procesów utrzymaniowych i eksploatacyjnych. Zapraszamy do systematycznego śledzenia publikacji na Rodoradar.pl.

Monitoring pracownika na pracy zdalnej

Wprawdzie są już za nami ostatnie etapy odmrażania gospodarki, jednak dzienne liczby nowych zakażeń a także oficjalne zalecenia zwracają uwagę na konieczność zachowywania dystansu społecznego. Takie podejście powoduje, że nadal duża część pracowników pracuje zdalnie. W związku z tym pracodawcy mogą planować wprowadzenie różnych sposobów kontroli pracownika oraz monitorowania jego czasu pracy. Przepisy kodeksu pracy regulują takie działania, zatem warto zwracać uwagę, czy pracodawcy nie przekraczają dopuszczalnych form kontroli pracy pracownika w miejscu wykonywania pracy zdalnej oraz czy realizują wszystkie obowiązki z tym związane, by nie narazić się na ryzyko nałożenia kar administracyjnych.

Jedną z form monitoringu opisanego w kodeksie pracy jest monitoring poczty elektronicznej pracownika, określony w art. 223 kodeksu pracy.

Przepis ten określa kilka przesłanek, które muszą być spełnione, aby taka forma monitoringu była dopuszczalna.

Podstawowym wymogiem jest niezbędność takiego monitorowania do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy. Konieczne jest zatem dokonanie przez pracodawcę oceny, czy jest możliwe osiągnięcie celu, któremu ma służyć wprowadzenie monitoringu poczty elektronicznej, za pomocą innych, mniej „inwazyjnych” środków. Na podstawie przepisów o pracy zdalnej zawartych w Tarczy 4.0. zasadą jest, ze to pracodawca zapewnia pracownikom sprzęt niezbędny do pracy zdalnej.  Ponieważ jedną z przesłanek wprowadzenia monitoringu pracy zdalnej jest właściwe użytkowanie udostępnionych pracownikowi narzędzi pracy, to w przypadku, gdy pracownicy korzystają jednak z własnych urządzeń, możliwość monitorowania tych urządzeń przez pracodawcę jest wyłączona.

Kodeks pracy stanowi również, że monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Jeśli pracodawca uzna, że, zwłaszcza w obecnej sytuacji, zachodzi niezbędność wprowadzenia takiej formy monitoringu, należy pamiętać o dodatkowych obowiązkach przewidzianych w przepisach prawa:

  1. Cele, zakres oraz sposób zastosowania monitoringu należy ustalić w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.
  2. Pracodawca musi poinformować pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem.
  3. Należy spełnić obowiązek informacyjny z RODO, wiążący się z przetwarzaniem danych osobowych pracowników w celu monitorowania jego poczty elektronicznej.

Art. 223 §  4 kodeksu pracy stanowi, że jest możliwe wprowadzenie innych form monitoringu, niż monitoring poczty elektronicznej pracownika, jedynie przy spełnieniu wszystkich określonych powyżej wymogów. Do takich innych form monitoringu mogą należeć m.in. sprawdzanie czasu podłączenia pracownika do VPN, mierzenie liczby wysyłanych maili, czasu odpowiadania na wiadomości, ustalenie przebiegu trasy samochodu służbowego czy tzw. keylogger (kontrolowanie liczby znaków wprowadzanych na klawiaturze). Działania te nie są zatem z góry zabronione przez przepisy prawa. Jeśli w konkretnych sytuacjach pracodawcy są w stanie wykazać niezbędność takich działań do zapewnienia pełnego wykorzystania czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, to mogą one zostać uznane za dopuszczalne. Warunkiem jest jednak spełnienie wszystkich wymogów ustawowych.

Ocena wprowadzanych rozwiązań zawsze powinna być jednak zawsze zindywidualizowana do konkretnej sytuacji firmy, rodzaju prowadzonej działalności a nawet do konkretnego stanowiska pracy, przy uwzględnieniu zasad przetwarzania danych osobowych określonych w RODO (m.in. zasady: legalności, ograniczenia celu, minimalizacji danych, ograniczenia przechowywania, rozliczalności).

Audyt IT – czas na weryfikację – część I

Od rozpoczęcia obowiązywania RODO minęły już ponad dwa lata, zatem w większości organizacji zakończono prace wdrożeniowe i przyszedł czas, aby zweryfikować poprawność i skuteczność wdrożonych rozwiązań.

O ile wdrożenie wymogów formalno-prawnych zapewne udało się do tej pory przeprocesować, zwłaszcza w przedsiębiorstwach, które nie zostawiły tego tematu na ostatnią chwilę, o tyle w przypadku zmian w środowiskach IT, systemach i infrastrukturze służącej do przetwarzania danych osobowych, proces dostosowania może ciągle trwać. Przyczyną takiej sytuacji jest często złożoność i różnorodność dostępnych na rynku rozwiązań, jak też konieczność planowania wdrażania zmian w obszarze IT, w sposób który nie zakłóci działalności biznesowej organizacji. Nierzadko prace wdrożeniowe dotyczące zmian lub aktualizacji komponentów IT zostały, zwłaszcza w większych podmiotach, rozłożone w czasie i plany te obejmują nawet kilka lat. Doroczne audyty IT mogą zatem posłużyć do przejrzenia statusu zaplanowanych działań, a w ramach potrzeb, także ich aktualizacji lub korekty priorytetów. Rynek narzędzi IT jest mocno dynamiczny, a to powoduje że komponent, którego implementację zaplanowano rok, czy dwa lata temu, obecnie może być już uznawany jako przestarzały (ang. legacy). Może się zatem okazać nieadekwatny i w konsekwencji zapadnie decyzja o odstąpieniu od jego wdrażania, z uwagi na to, że istnieją rozwiązania które skuteczniej zrealizują konkretną potrzebę w obszarze funkcjonalności lub zabezpieczeń IT.

Przepis art. 32 RODO zobowiązuje administratorów danych, ale też podmioty przetwarzające do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.
W przepisie tym właśnie mowa o regularnym testowaniu i ocenianiu zastosowanych w celu ochrony danych środków technicznych i organizacyjnych. Regularne audyty IT, które stanowią obowiązek, warto jednak traktować przede wszystkim jako realną pomoc w dostosowaniu wykorzystywanych narzędzi pod kątem ich adekwatności, tzn. zastosowania rozwiązań, które skutecznie i wystarczająco będą chronić przetwarzane dane osobowe.

Jak zatem przeprowadzić okresowy przegląd obszaru IT pod kątem bezpieczeństwa przetwarzania danych?

 

Zdecyduj, co zbadać

Skoro obowiązek zapewnienia bezpieczeństwa dotyczy przetwarzania danych osobowych, to nie sposób nie rozpocząć audytu IT od weryfikacji rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania. Rejestr prowadzą podmioty zobowiązane do tego przepisami Rozporządzenia lub postanowieniami kontraktowymi, ale jest on także często prowadzony przez organizacje, które choć do jego prowadzenia nie są zobowiązane, mają świadomość jego przydatności. W samym rejestrze czynności przetwarzania często znajduje się wykaz systemów, aplikacji i innych miejsc służących do przetwarzania danych. Będzie on zatem punktem wyjścia, pomocnym do określenia które aplikacje należy zbadać pod kątem bezpieczeństwa, a jednocześnie pozwoli utrzymać aktualne informacje, spinające cały system ochrony danych osobowych w zakresie stosowanych aplikacji, narzędzi lub miejsc przechowywania danych. Ważne by przy weryfikacji rejestru czynności przetwarzania zwrócić uwagę na dane już nieaktualne – aplikacje, z których stosowania zrezygnowano, albo które zostały wyparte przez nowsze rozwiązania. Druga ważna do zbadania kwestia to sprawdzenie, czy w rejestrze znajdują się informacje kompletne, czyli czy wymieniono wszystkie komponenty służące do przetwarzania danych, oraz czy zaktualizowano rejestr pod kątem rozwiązań nowowprowadzonych lub stosowanych od niedawna.

 

Mapa przepływów danych jest rozwiązaniem często stosowanym w przypadku rozbudowanej
i skomplikowanej architektury systemów IT. Mapa stanowi znaczne ułatwienie w zarządzaniu stosowanymi systemami IT, wskazuje na zależności między aplikacjami, pomaga także zebrać wszystkie miejsca, w których przetwarzane są dane osobowe. Oczywiście pod warunkiem, że jest aktualna. Warto zadbać o bieżące aktualizowanie mapy przepływów danych, a przy audycie IT zbadać jej kompletność i aktualność. W krytycznych sytuacjach dobrze opracowana i aktualna mapa może znacznie ułatwić skuteczne wykonanie praw podmiotów danych, a także skrócić czas wykrycia i trwania incydentu naruszenia ochrony danych osobowych. Żądania osób fizycznych, w tym np. żądanie usunięcia danych, dla którego wykonania administrator nie widzi przeszkód, łatwiej będzie skutecznie zrealizować w oparciu o aktualną mapę przepływów, za pomocą której odnaleźć można wszystkie aplikacje i komponenty środowiska IT, które są wykorzystywane do przetwarzania informacji o osobie zgłaszającej żądanie. Wykonanie praw w oparciu o mapę, pomoże zatem uniknąć sytuacji, kiedy dane osobowe zgodnie z żądaniem zostały usunięte z systemu, ale po jakimś czasie okazuje się, że jednak nadal są przetwarzane z poziomu komponentu IT, wspierającego główny system dedykowany przetwarzaniu danych. Oczywista jest także przydatność mapy przepływów danych w sytuacji wykrycia incydentu ochrony danych, kiedy czas jest niezwykle cenny – a kompletna mapa pozwoli zaoszczędzić sporo czasu. Tym samym możliwe będzie zatrzymanie lub ograniczenie negatywnych skutków wystąpienia incydentu tak dla administratora danych, jak i dla samych podmiotów danych.

Zmiany w architekturze IT zdarzają się dosyć często i stanowią odzwierciedlenie potrzeb organizacji. Jeśli jednak zmiany te nie są w żaden sposób odnotowywane, to zwłaszcza w rozrastającym się środowisku IT, trudniej sprawować nad nim kontrolę i skutecznie nim zarządzać. Odzwierciedlająca stan faktyczny mapa pomoże także uniknąć sytuacji utraty danych osobowych, np. w przypadku usunięcia aplikacji służącej do ich przetwarzania. Ułatwi ona ponadto proces nadzorowania danych, jeśli zawierać będzie informacje o zastosowanych narzędziach centralizacji danych.  Przy takim podejściu jedno miejsce przetwarzania na wzór „hurtowni danych”, zasila inne aplikacje w dane i stanowi ich jedyne źródło, przez co aktualizacja danych w jednym systemie, czy ich usunięcie, zapewnia aktualność w całym obszarze IT.

Niezwykle istotnym elementem podczas audytu IT okazuje się weryfikacja retencji danych w systemach informatycznych. Każdy podmiot, który przetwarza dane osobowe, powinien wdrożyć w swojej organizacji zasady ich retencji. Audyt jest dobrą okazją do sprawdzenia faktycznej realizacji tych zasad (w szczególności terminów przechowywania danych w systemach IT), zwłaszcza jeśli ich wykonanie odbywa się w sposób manualny, a nie zautomatyzowany. Warto zwrócić uwagę na to, czy też same zasady nie wymagają aktualizacji ze względu na działania wymuszone na organizacji np. zmieniającymi się przepisami prawa. Istotne będzie dodatkowo zbadanie, czy od ostatniego przeglądu nie pojawiły się na rynku mechanizmy automatyzujące wykonywanie zasad retencji danych w organizacji, które można zaimplementować, a przez to usprawnić procesy retencji danych w obszarze IT.

Nie należy przy okazji audytu IT pomijać rejestru incydentów. Choć badanie przyczyn wystąpienia incydentu oraz działania mające wykluczyć wystąpienie podobnego incydentu w przyszłości, powinno odbywać się na bieżąco, to w związku z rocznym przeglądem warto spojrzeć na zastosowane lub zaplanowane mechanizmy pod kątem ich aktualności i adekwatności w kontekście zmian w całym środowisku IT.

Temat audytu IT z pewnością będzie jeszcze będzie przez nas kontynuowany. W kolejnych częściach poświęconych temu zagadnieniu zajmiemy się problematyką oceny bezpieczeństwa oraz procesów utrzymaniowych i eksploatacyjnych. Zapraszamy do lektury kolejnych części tego artykułu.

Rekrutacja – dane „niechciane”

Od rekrutacji zaczyna się cała przygoda z danymi osobowymi kandydata. Jest to temat rzeka i im bardziej się w niego zagłębimy,  tym więcej pojawi się zagadnień związanych z  przetwarzaniem danych przez potencjalnego pracodawcę.

Większość opracowań skupia się na tym, których danych można od kandydata żądać. Zainteresowanych odsyłam do art. 22(1) kodeksu pracy i opracowań do niego, gdyż tym razem  zostaną wzięte pod lupę dane, które pracodawca otrzymał od kandydata, chociaż tak naprawdę ich nie chce a nawet zgodnie z prawem nie może ich przetwarzać.

Sprawa wydaje się prosta – jeżeli sam nam je przesłał („nieproszony”) to znaczy, że wyraził na to zgodę. Otóż nie zawsze.

Dane dotyczące niekaralności – przetwarzanie tej kategorii danych przez pracodawcę jest dopuszczalne tylko w przypadkach, gdy prawo dopuszcza możliwość zażądania zaświadczenia o niekaralności. W takim przypadku przetwarzanie tych danych jest niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisem prawa.

W sytuacji, gdy kandydat sam dostarczył ww. zaświadczenia a pracodawcy nie przysługuje uprawnienie  do jego pozyskiwania od kandydata – pracodawca nie ma podstaw do ich przetwarzania. Zgoda kandydata w tym przypadku nie jest wystraczająca.

W przypadku pozostałych danych „niechcianych” wyrażenie zgody przez kandydata również może okazać się niewystarczające dla zachowania przez pracodawcę „zgodności z  RODO”.

Sama podstawa do przetwarzania danych to nie wszystko. Pracodawca zobowiązany jest do przestrzegania zasad przetwarzania danych osobowych – w tym zasady minimalizmu i związania celem przetwarzania. Czyli do celów rekrutacji należy przetwarzać tylko te dane, które są niezbędne, wszystko ponad jest nadmiarowe i nie ma uzasadnienia.

W sytuacji, gdy kandydat sam wpisał do CV lub innym formularzu dane, których pracodawca nie potrzebuje, należy wziąć pod uwagę tylko te dane, których pracodawca może żądać, a pozostałych nie przetwarzać w procesie rekrutacyjnym (ani innym).

A co w sytuacji, gdy kandydat na rozmowie kwalifikacyjnej – nie pytany – zaczyna dostarczać informacji na swój temat, które mieszczą się w pojęciu danych szczególnych kategorii, albo wykraczają poza zakres danych, które pracodawca ma prawo zbierać podczas procesu rekrutacji?

Odpowiedź jest prosta – nic. Dosłownie nic.

Nie należy robić notatek zawierających te dane, jak również  nie należy brać tych informacji pod uwagę przy wyborze konkretnego kandydata.

Nie zapisaliśmy tych danych, nie wykorzystaliśmy w celach rekrutacyjnych – można uznać, że ich nie przetwarzamy.

101 skarg Maxa Schrems’a na przekazywanie danych do USA

Nie milkną echa wydanego niewiele ponad miesiąc temu orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (Schrems II).

17 sierpnia austriacki aktywista wraz z organizacją NOYB – European Center for Digital Rights (dalej: NOYB lub Organizacja), której jest współzałożycielem oraz honorowym przewodniczącym, poinformował o złożeniu skarg na 101 podmiotów z 30 państw członkowskich Unii Europejskiej (UE) i Europejskiego Obszaru Gospodarczego (EOG).  Jak tłumaczy Organizacja na swojej stronie internetowej:


Szybka analiza kodu źródłowego HTML głównych stron internetowych UE pokazuje, że wiele firm nadal korzysta z Google Analytics lub Facebook Connect miesiąc po wydaniu przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) ważnego wyroku – pomimo tego, że obie firmy wyraźnie podlegają amerykańskim przepisom dotyczącym nadzoru, takim jak FISA 702. Wydaje się, że ani Facebook, ani Google nie mają podstawy prawnej do przekazywania danych. Google nadal twierdzi, że opiera się na „tarczy prywatności” miesiąc po jej unieważnieniu, podczas gdy Facebook nadal korzysta z „SCC”, mimo że Trybunał stwierdził, że amerykańskie przepisy dotyczące nadzoru naruszają istotę praw podstawowych UE.


NOYB wzięło na celownik rozwiązania takie jak Google Analytics  służące do badania ruchu na stronach internetowych czy Facebook Connect, który pozwala na logowanie się do innych witryn internetowych przy wykorzystaniu facebookowego loginu i hasła. Systemy te przesyłają dane o obywatelach UE do Google i Facebooka, które następnie przekazują dane do USA, co – jak wskazuje Organizacja – jest sprzeczne z RODO w świetle orzeczenia TSUE z zeszłego miesiąca.

NOYB stoi na stanowisku, że administratorzy danych z UE/EOG nie mogą opierać przekazywania danych na standardowych klauzulach ochrony danych z art. 46 ust. 2 lit. c) i d) RODO, jeśli prawo państwa trzeciego nie zapewnia właściwej, w świetle prawa Unii, ochrony danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych. Nawiązują przy tym do orzeczenia TSUE, w którym ten wyraźnie stwierdził, że dalsze przekazywanie danych przedsiębiorstwom objętym amerykańską regulacją pozwalającą na śledzenie osób spoza Stanów Zjednoczonych przez agencje wywiadowcze nie tylko narusza odpowiednie artykuły w rozdziale piątym RODO, ale także art. 7 i 8 Karty praw podstawowych Unii Europejskiej. W opinii Organizacji  dalsze przekazywanie danych do Stanów Zjednoczonych narusza podstawowe prawo do prywatności i ochrony danych. Takie stanowisko wynika m.in. z braku uregulowania przewidującego dla osób, których dane dotyczą drogi prawnej w celu uzyskania dostępu do ich danych osobowych, ich sprostowania czy usunięcia takich danych. Zdaniem Organizacji takie przekazywanie narusza także prawo do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu (art. 47 Karty praw podstawowych Unii Europejskiej).

Organizacja stoi na stanowisku, że administratorzy danych, których działań dotyczą skargi ignorują punkty 134. i 135. wyroku, które zgodnie z jej oceną, nakładają na administratorów prawny obowiązek powstrzymania się od przekazywania danych do USA. Wydaje się jednak, że NOYB interpretuje orzeczenie TSUE niezwykle zasadniczo, gdyż Trybunał w pierwszej kolejności nakazał administratorowi danych lub podmiotowi przetwarzającemu sprawdzenie w każdym konkretnym przypadku czy prawo państwa trzeciego odbiorcy danych zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach. Dopiero w przypadku braku możliwości podjęcia dodatkowych środków, odpowiednich dla zagwarantowania takiej ochrony przez administratorów danych lub podmioty przetwarzające mające siedzibę w Unii, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego.

W związku z podniesionymi zarzutami, oprócz żądania nałożenia „skutecznej, proporcjonalnej i odstraszającej administracyjnej kary pieniężnej”, Organizacja wniosła również o niezwłoczne wprowadzenie zakazu lub zawieszenie wszelkich przepływów danych pomiędzy spółkami, których dotyczą skargi a Google lub/i Facebookiem oraz o nakazanie zwrotu takich danych do UE/EOG lub innego państwa, które zapewnia odpowiednią ochronę – na mocy art. 58 ust. 2 lit. d), f) i j) RODO. Urzeczywistniają się zatem obawy, że wyrok może nieść poważne konsekwencje organizacyjne i finansowe dla podmiotów mających siedziby w UE/EOG, które transferują dane do Stanów Zjednoczonych. Rynek z pewnością niecierpliwie będzie oczekiwał na wynik tych spraw.

Na wspomniane rozstrzygnięcie będą czekały również podmioty mające siedzibę w Polsce, gdyż 5 spośród 101 skarg zostało złożonych do Prezesa Urzędu Ochrony Danych Osobowych.

Pełna lista spółek, wobec których zostały złożone skargi, dostępna jest na stronie organizacji NOYB: https://noyb.eu/en/eu-us-transfers-complaint-overview

Źródła:

https://noyb.eu/en/ 101-complaints-eu-us-transfers-filed

https://eur-lex.europa.eu/ legal-content/PL/TXT/HTML/ ?uri=CELEX:32016R0679&from=PL

https://eur-lex.europa.eu/ legal-content/PL/TXT/PDF/ ?uri=CELEX:12012P/TXT

http://curia.europa.eu/ juris/document/document.jsf;jsessionid= 84EBE1FB9493102093ED96177D96078E? text=&docid=228677&pageIndex= 0&doclang=pl&mode=req&dir=&occ= first&part=1&cid=9753969

https://www.govinfo.gov/ content/pkg/USCODE-2014-title50/ html/USCODE-2014-title50-chap36-subchapVI-sec1881a.htm