RODOpedia. Kontrole RODO okiem uważnego IOD

Zapowiedź Kontroli na stronach Urzędu

Wszystko wskazuje na to, że w najbliższym czasie szykuje się kolejna kontrola UODO. Tym razem - po doniesieniach prasowych o problemach portalu Morele.net - Prezes UODO zapowiedział kontrolę właśnie tam. Co ciekawe - to pierwszy przypadek, kiedy kontrola została zapowiedziana publicznie na stronach Urzędu.

Co wynika z zapowiedzi?

Prezes UODO stwierdził w krótkiej notce, że "prowadzone są czynności zmierzające do oceny, czy działalność podmiotu odbywa się zgodnie z przepisami o ochronie danych osobowych". Jakie to czynności, kiedy się rozpoczęły, co obejmują, czy są realizowane na miejscu? Tego nie wiemy. Zapewne niedługo się dowiemy, jak kontrola UODO przebiega.

Złowrogie obietnice

Końcówka komunikatu brzmi co najmniej bojowo. "konieczne będą dalsze działania przewidziane przepisami o ochronie danych osobowych . W ramach oceny działalności Morele.net Prezes UODO będzie korzystała z uprawnień przewidzianych w RODO oraz ustawie o ochronie danych osobowych.". Pierwsza ciekawa rzecz, to że konieczne będą dalsze działania. Pojawia się pytanie, czyje? Bo to, że Administratora, to jasne, pytanie czy także Prezesa UODO? Czy może bardziej odmieniając na rodzaj żeński - jak to zrobiono w komunikacie. To zresztą trochę dziwi, że Prezes UODO będzie korzystała... Ale może to moje niewyczucie zawodowe.

Jedna z warszawskich kancelarii (nie podaję nazwy, bo po co reklamować konkurencję, aczkolwiek widać na obrazku), przygotowała bardzo fajną infografikę ze schematem kontroli Prezesa UODO w zakresie przestrzegania wymogów RODO. 

Infografika dostępna jest tutaj.

Jak dokładnie wygląda realizacja procesu marketingu behawioralnego?

W procesie wyświetlania użytkownikom reklamy behawioralnej zaangażowane mogę być następujące typy podmiotów:

Reklamodawcy - podmioty zlecające przeprowadzenie kampanii reklamowych w zakresie swoich towarów/ usług;

Każdemu z ww. typów podmiotów możliwe jest przypisanie jednej z następujących ról w zakresie przetwarzania danych osobowych:

W związku z różnorodnością scenariuszy, w jakich realizowany jest marketing behawioralny oraz rozbieżnościami interpretacyjnymi w tym zakresie, jednoznaczne przypisanie poszczególnym podmiotom ww. ról w wielu przypadkach nie jest możliwe. Konieczne jest więc podjęcie decyzji biznesowej, co do modelu, w jakim realizowane są działania. Wybór poszczególnych modeli wiąże się z różnym stopniem ryzyka.

Ryzyko to powinno być oceniane z perspektywy każdego z typów podmiotów zaangażowanych w prowadzenie działań marketingowych.

Upoważnienia a inne konstrukcje.

Upoważnienia dla pracowników to rzecz wielce dyskutowana ale też często mylona z powierzeniem i udostępnieniem innemu administratorowi. A są to trzy zupełnie różne konstrukcje. Najprościej wskazać różnicę pomiędzy relacją wewnętrzną administratora (do swoich pracowników) i zewnętrzną (procesor, inny administrator).

Zgoda na przetwarzanie danych?

Udostępnianie pracownikom danych osobowych jest immanentnie związane z działalnością pracodawcy. Jest to rzecz normalna i nie wymaga czyjejkolwiek zgody.

Cele i zasady związane z udostępnianiem pracownikom

Udostępnianie pracownikom danych osobowych w celu wykonywania ich obowiązką wiąże się z kilkoma zasadami. Pierwse powiązanie - z zasadą minimalizacji danych. Administrator udostępnia tylko te dane, które są niezbędne do realizacji celu przetwarzania (wykonania obowiązku pracowniczego). Druga to zasada poufności danych osobowych. Zasada poufności mówi, że nie należy udostępniać danych pracownikom więcej niż jest to niezbędne do realizacji zadań przez nich wykonywanych. Innymi słowy, jeżeli pracownik jest tylko i wyłącznie odpowiedzialny za przyjmowanie reklamacji klientów, to nie są mu potrzebne dane HRowe kolegów i koleżanek z pracy. Konsekwentnie - nie są też zawsze potrzebne dane windykacyjne czy o marketingu.

Upoważnienia jako forma nadzoru pracodawcy

Udostępnianie pracownikom danych osobowych wiąże się istotnie z koniecznością kontrolowania z zakresu takiego udostępnienia. Proszę zwrócić uwagę, że naturalną tendencją będzie zwiększanie zakresu danych do których pracownicy mają dostęp. Absolutnie niezbędna dla podejścia opartego na ryzyku jest toodpowiednia polityka zarządzania uprawnieniami do przetwarzania konkretnych danych. Jest to tym istotniejsze, że jedna z dwóch kar nałożonych po 25 maja w Europie za nieprzestrzeganie wymogów RODO dotyczyła właśnie nieprawidłowego zarządzania uprawnieniami do przetwarzania danych osobowych.

Jaką formę powinno mieć upoważnienie do przetwarzania danych osobowych?

Trzecią kwestią istotną jest forma nadania upoważnienia. W odróżnieniu od poprzedniej ustawy, rodo nie wymaga formy pisemnej upoważnienia. RODO oczekuje, aby dane były przetwarzane przez osoby do tego uprawnione, nie definiując ani przez kogo, ani w jaki sposób. Z zasady rozliczalności wywodzi się natomiast, że w tym wypadku rozmiar ma kluczowe znaczenie. W przypadku kilkuosobowej organizacji możliwe jest przyjęcie, że takie upoważnienie zostało nadane ustnie. Jednak przy organizacji kilkusetosobowej czy nawet większej mało prawdopodobne jest, żeby administrator danych osobowych ustnie sprawował kontrolę nad wszystkim bezpośrednio. W takim wypadku ADO, czyli zarząd lub osoba wyznaczona do realizacji funkcji administratora w tym zakresie, musi umieć w należyty sposób kontrolować proces wydawania upoważnień, a to już wymaga śladu dowodowego. Niekoniecznie na papierze, równie dobrze w systemie IT, byle wiarygodnie i trwale. Wydaje się jednak, że konkluzja o faktycznym wymogu pisemności upoważnień. w przypadku średnich i dużych organizacji jest uzasadniona. Stworzenie odpowiedniego systemu upoważnień do przetwarzania danych osobowych jest rzeczą nie tylko cenną, ale wręcz niezbędną, jeśli nie konieczną.

Zawartość i wzór upoważnienia do przetwarzania danych osobowych

Co konkretnie powinno zawierać upoważnienie do przetwarzania danych osobowych? Napewno kluczową kwestią jest wskazanie osoby, która została uprawniona. A więc podajemy imię lub imiona i nazwisko lub nazwiska pracownika. Drugą kwestią jest zakres danych, jakie dana osoba może przetwarzać. Taki zakres danych osobowych można wskazać zarówno od strony podmiotowej (np. czyje dane są przetwarzane?), jak i od strony przedmiotowej (np. które konkretnie dane mogą być przetwarzane) lub też od strony procesowej (np. w jakich procesach możliwe jest przetwarzanie danych osobowych przez konkretną osobą fizyczną będącą pracownikiem). Możliwe jest tutaj stworzenia swojego własnego systemu nadawania uprawnień. Na przykład powiązanie zakresu danych lub procesów z konkretnymi systemami informatycznymi, co często zdarza się w życiu.

Nadawanie upoważnień do konkretnych systemów IT na przykładzie CRM.

Nie dla wszystkich systemów można nadać jedno uprawnienie. Spójrzmy przykładowo na system CRM. Realizuje on szereg czynności przetwarzania danych w wielu organizacjach nie tylko związane z działalnością marketingową. Bardzo często CRMy obejmują także działalność sprzedażową, obsługę klienta i wszelkich innych czynności klientocentrycznych. W takiej sytuacji do systemu może być konieczne nadanie kilku różnych typów uprawnień (nawet jeśli nastąpi w jednym dokumencie). Wówczas skupienie czynności upoważnienia do przetwarzania danych osobowych na całym systemie będzie niewystarczające.

Upoważnienie do przetwarzania danych i zakres danych opisany przez procesy

Bardzo dobrym przykładem wskazania zakresu danych poprzez odwołanie się do procesów będzie upoważnienie do przetwarzania danych osobowych w ramach procesów rekrutacyjnych. W tym wypadku od strony przedmiotowej pracodawca nigdy nie będzie w stanie określić zamkniętego katalogu danych. Natomiast poprzez wskazanie procesu nie ma wątpliwości które dane objęte są zakresem upoważnienia.

Kto nadaje upoważnienia?

Kto powinien wystawić upoważnienie do przetwarzania danych osobowych? Odpowiedź jest prosta i skomplikowana zarazem. Jednocześnie prosta, ponieważ za tego rodzaju czynność odpowiada zawsze administrator danych osobowych (a więc jest winowajca). Bardziej skomplikowana, gdyż o ile nie znajdziemy innego właściciela problemu, odpowiedzialnym tym będzie zarząd. Idąc tym tokiem rozumowania - trudno jednocześnie wyobrazić sobie prezesa poważnej spółki, który nie robi nic innego jak tylko nadaje zmienia i odbiera upoważnienia do przetwarzania danych osobowych.

Kto nadaje upoważnienia?

Zazwyczaj będzie to więc osoba upoważniona przez administratora do wystawiania tego rodzaju upoważnień. Podstawą konkretnych decyzji o zakresie danych do upoważnienia których do przetwarzania których dochodzi następuje upoważnienie musi następować w ścisłej współpracy z właścicielami biznesowymi poszczególnych czynności przetwarzania danych.

Taka osoba (wykonująca techniczne czynności wystawiania upoważnień) nie będzie bowiem wiedziała czy pracownik Jan Kowalski powinien dostać upoważnienie do przetwarzania danych z zakresu x y czy z. Do tego będzie potrzebna decyzja własna, zwierzchnika Jana Kowalskiego albo innej osoby która podejmuje w tym aspekcie decyzję i która kontroluje w imieniu administratora proces przetwarzania danych w ramach taki czynności

Kto powinien wystawić upoważnienie do przetwarzania danych osobowych?

Odpowiedź jest prosta i skomplikowana jednocześnie prosta ponieważ za tego rodzaju czynność odpowiada administrator danych osobowych bardziej skomplikowana, Wynika to z faktu, że o ile nie znajdziemy innego właściciela problemu, odpowiedzialnym tym znowu będzie zarząd. Trudno jednocześnie wyobrazić sobie prezesa poważnej spółki który nie robi nic innego jak tylko nadaje zmienia i odbiera upoważnienia do przetwarzania danych osobowych. Zazwyczaj będzie to więc osoba upoważniona przez administratora do wystawiania tego rodzaju upoważnień. Co istotne - jak wynika z wypowiedzi GIODO - osobą tą nie powinien być ABI (obecnie IOD).

Podstawa decyzji o nadaniu upoważnienia

Podstawą konkretnych decyzji o zakresie danych do upoważnienia których do przetwarzania których dochodzi następuje upoważnienie musi następować w ścisłej współpracy z właścicielami b z nowymi biznesowymi poszczególnych czynności przetwarzania danych taka osoba wykonująca techniczne czynności wystawiania upoważnień nie będzie bowiem wiedziała czy pracownik Jan Kowalski powinien dostać upoważnienie do przetwarzania danych z zakresu x, y czy z. do tego będzie potrzebna decyzja albo zwierzchnika Jana Kowalskiego albo innej osoby która podejmuje w tym aspekcie decyzję i która kontroluje w imieniu administratora proces przetwarzania danych w ramach taki czynności.

1.       Polityka prywatności na stronę WWW

2.       Przykład DPIA/Szablon oceny skutków dla ochrony danych/

3.       Rejestr naruszeń RODO

4.       Odszkodowania za wyciek danych osobowych

5.       Rejestr udostępnień danych osobowych

6.       Dokumentacja RODO

7.       RODO bez prawnika

8.       Rodo bez specjalisty ds. IT

9.       Ochrona danych osobowych w HR

10.   RODO w e-commerce

11.   Kary rodo

12.   Mikrotargetowanie

13.   Jak stworzyć umowę powierzenia?

14.   Zgłoszenie naruszenia danych osobowych

15.   RODO w firmie produkcyjnej

16.   Prawidłowy formularz kontaktowy RODO

17.   Zarządzanie dokumentacją RODO

18.   Klauzula zapisu na newsletter zgodna z RODO

19.   Szacowanie ryzyka zgodne z rodo wzór

20.   Czym są dane nieustrukturyzowane?

21.   Procedura retencji danych

22.   RCPD – przykładowe czynności przetwarzania – wzór

23.   RKCP – przykłady

24.   Outsourcing IOD – kiedy się opłaca?

25.   Administrator Danych Osobowych

26.   Polityka bezpieczeństwa informacji

KONTROLA RODO

Jeszcze przed świętami pokazał mi się na LInkedinie schemat kontroli Prezesa UODO. Wygląda bardzo schludnie i przejrzyście, rzeczywiście ktoś się przy jego opracowaniu napracował. Trzeba będzie chwilę posiedzieć, żeby zweryfikować, czy zawiera on aby na pewno wszystko co powinien. Na pewno pomaga wydzielenie odrębnych części postępowań. Osobno wskazana została część  "właściwa kontrola RODO", osobno protokoły z postępowania. Dalej idąc - wskazuje się na postępowanie administracyjne, możliwość zaskarżenia do WSA.

KONTROLA UODO 2018?

Kontrola UODO w 2018 r. to bardziej jak wilk w Polsce. Wielu słyszało, nieliczni doświadczyli, ale strach na samo wspomnienie ogarnia nieludzki. Wg samego urzędu kontroli było kilkanaście w sektorze prywatnym. Co ciekawe - tylko jedna kancelaria podzieliła się doświadczeniami z wydarzenia kontrola UODO, która dotyczyła szeroko rozumianego sektora finansowego. Nota bene, ponoć była bardzo podobna do kontroli GIODO sprzed 25 maja, pod rządami starej ustawy o ochronie danych osobowych.

JAK WYGLĄDA KONTROLA RODO

Choć w żaden sposób nie wynika to z przepisów, zaczyna się od telefonu. Dlatego - że jak twierdzą urzędnicy - to nie era najazdów porannych, a miejsce na rzetelną analizę dokumentów i podejścia. Z tego względu UODO chce dać każdemu czas na przygotowanie dokumentów, świadków, etc. po to, by sama kontrola przebiegała sprawnie. Nie umniejsza to faktowi, że z samego Prawa Przedsiębiorców wynika, że kontrola nie musi być zapowiedziana. 

Mało prawdopodobne, żeby kontrola UODO działa się w pełnym zakresie godzin od 6:00 do 22:00. Należy liczyć się z godzinami pracy urzędników. W trakcie tego czasu konieczne jest zebranie informacji, zgromadzenie dowodów, przeprowadzenie działań kontrolnych (np. przesłuchanie świadków, oględziny, uzyskanie wyjaśnień strony, etc.).

PRZESŁUCHANIE ŚWIADKÓW A KONTROLA RODO

W ramach aktu kontrola UODO należy spodziewać się, że kontrolujący będą chcieli przesłuchać świadków. Czy to obligatoryjne? Ależ oczywiście, że nie. Czy wskazane? W tym wypadku to zależy, czego dotyczy kontrola RODO. CZasem tak, czasem nie. Trzeba uważać, kto jest wskazywany na świadka - ale o tym już kiedy indziej.

Kara RODO - kiedy w końcu się pojawi?

Naprawdę ciężko to ustalić, choć tak naprawdę Prezes UODO raczej w 2018 jej nie nałoży. Wg jednej z kancelarii specjalizującej się w tematyce RODO, która uczestniczyła już w kontroli RODO na rynku prywatnym, raczej nie. W mojej ocenie też nie. Nie ma się co łudzić, UODO na razie cały czas uczy się, jak kontrolować. KAry pojawią się dopiero wtedy, gdy Urząd nauczy się skutecznie prowadzić kontrole zgodności z RODO. I jak już będzie pewny, że robi to dobrze, będą nakładane kary.

Brak kary UODO

Na pewno kary RODO będzie można uniknąć. Zresztą nawet sam Urząd Ochrony Danych Osobowych przyznaje, że kara jest ostatnim środkiem ratunku. Wcześniej na pewno będzie edukacja, sankcje nie będące karami pieniężnymi, a tylko przy krnąbrnych administratorach danych osobowych i bardzo ciężkich naruszeniach pojawią się kary za naruszenie RODO.

Kary RODO - dyrektywy wymiaru

 Dyrketywy wymiaru kary opisuje wprost RODO. Częściowo jest to miejsce na doprecyzowanie przez UODO w ramach polityki ochrony danych osobowych. Stopień zawinienienia, wpływ na prywatność, zasięg naruszenia, liczba podmiotów dotkniętych czy rodzaj danych. To tylko niektóre czynniki wpływające na to, czy kara zostanie nałożona czy nie. 

KWESTIE PROCEDURALNE A KARY UODO

Na pewno kluczowa będzie walka proceduralna z Urzędem z etapu kontrola UODO. Dlaczego? Dlatego że wszelkie naruszenia proceduralne dają szansę na powrót sprawy na drogę postępowania administracyjnego, a tu z powrotem duż się może zdarzyć.

UWAGA: artykuł o tematyce "dane pracownicze" opracowany na podstawie wiedzy prawnej i praktyki wg stanu na dzień 12 grudnia 2017 r.

AKTUALIZACJA: zobacz nowe podejście UODO do danych pracowniczych w dokumencie "Dane osobowe - przewodnik dla pracodawców"

Dane pracownicze a ograniczenia kodeksu pracy

Kodeks pracy przewiduje szczególne – w stosunku do przepisów uodo – zasady przetwarzania danych osobowych pracownika. Art. 22 (1) kp określa zakres danych o pracowniku, jakie może przetwarzać pracodawca. Jednocześnie wskazuje on że zakres ten może zostać poszerzony w przypadku, gdy dopuszczają to inne przepisy prawa. Zgodnie z tym przepisem, pracodawca może przetwarzać podstawowe dane o pracowniku (np. imię i nazwisko, PESEL, przebieg zatrudnienia itp.).

Konserwatywne podejście do ochrony danych osobowych w kodeksie pracy

Restrykcyjna wykładnia art. 22 (1) kp prowadzi do bardzo daleko idących wniosków. Nakazuje przyjąć m.in, że w ramach stosunku pracy pracodawca nie może powoływać się na jakąkolwiek inną podstawę przetwarzania danych osobowych pracownika. W konsekwencji oznaczaloby to, że inne dane pracownicze nie mogą być przetwarzane przez pracodawcę.

Teoria a praktyka

Takie podejście jest nieakceptowalne dla praktyki obrotu. Pracodawca musi umieć przetwarzać różne dane pracownicze. Względy praktyczne nakazują jednak rozważać dopuszczalność przyjęcia innych niż przepis prawa podstaw prawnych przetwarzania danych osobowych. W tym kontekście należy wziąć pod uwagę dwie możliwe przesłanki legalności takiego przetwarzania – tzn. zgodę podmiotu danych (pracownika) oraz uzasadniony interes pracodawcy. Każda z nich wymaga osobnej analizy w kontekście pojęcia dane pracownicze.

Dane pracownicze a zgoda pracownika na przetwarzanie danych osobowych

Dopuszczalność odbierania zgody przez pracodawcę od swojego pracownika jest aktualnie co do zasady kwestionowana, zarówno przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO), jak i w orzecznictwie (por. np. wyrok Naczelnego Sądu Administracyjnego z 1 grudnia 2009, I OSK 249/09). Podobnie Grupa Robocza Art. 29 (obecnie Europejska Rada ochrony danych), wskazuje, że tylko w wyjątkowych okolicznościach zgoda może stanowić ważną podstawę prawną przetwarzania danych pracowniczych. Co do zasady pracodawca powinien polegać w takim wypadku na innej podstawie prawnej. Z powyższego względu za nieprawidłowe należy uznać odbieranie przez Spółkę zgody na przetwarzanie danych pracowniczych zawartej w treści Oświadczenia.

Wzór klauzuli zgody pracownika na przetwarzanie danych pracowniczych

W związku z rozpoczęciem stosowania RODO, procedowana jest aktualnie nowelizacji Kodeksu pracy. Nie można zatem wykluczyć wprowadzenia szczególnych regulacji również w powyższym zakresie i uznania przez prawodawcę zgody pracowniczej jako skutecznej podstawy przetwarzania danych.

Uzasadniony interes jako podstawa prawna na przetwarzanie danych pracowniczych

Drugą wartą rozważenia podstawą prawną przetwarzania danych stanowi uzasadniony interes pracodawcy (art. 23 ust. 1 pkt 5) ustawy o ochronie danych osobowych (art. 6 ust. 1 pkt f) RODO). Powołanie się na tę przesłankę jest możliwe, pod warunkiem, że:

W naszej ocenie istnieją argumenty za przyjęciem, że stosowanie systemu telemetrii w pojazdach powierzanych pracownikom dla celów służbowych w celu zapewnienia bezpieczeństwa powierzonego mienia oraz prawidłowej eksploatacji pojazdów stanowi uzasadniony interes pracodawcy. Uzasadniony interes mogący stanowić podstawę prawną przetwarzania przez pracodawcę danych  o pracowniku zabranych za pomocą przedmiotowej technologii o pracowniku.

Na czym polega uzasadniony interes pracodawcy?

Pracodawca jest co do zasady uprawniony do monitorowania sposobu wykorzystywania i bezpieczeństwa mienia przekazanego pracownikom (w szczególności w celu zabezpieczenia przed kradzieżą), a skutkująca tym ingerencja w prywatność pracowników nie powinna w naszej ocenie zostać uznana za nadmierną. Szczególnie istotne jest to w kontekście kontroli zgodności z RODO prowadzonej przez Urząd Ochrony Danych Osobowych.