RODO – Udostępnianie danych kontaktowych

Udostępnianie danych kontaktowych osób fizycznych to aktualnie szeroko komentowane zagadnienie prawne, ale też istotna kwestia praktyczna. Zawieranie bowiem umów i związana z tym potrzeba udostępniania danych kontaktowych jest codziennością niemal każdej firmy.

Jak zatem rozstrzygnąć kwestię danych kontaktowych. Czy należy z pełnymi konsekwencjami stosować RODO, czy może jednak RODO przewiduje dla przetwarzania tych danych jakieś specjalne wyjątki.

Jak na razie niestety kwestia ta pozostaje nierozstrzygnięta, mimo postulatów płynących od doktryny prawniczej włacznie z odpowiednią zmianą przepisów prawnych.

Motyw 14 preambuły RODO wyłącza stosowanie rozporządzenia do danych kontaktowych osób prawnych. Aktualnie Ministerstwo Cyfryzacji stoi na stanowisku, że  obejmuje to dane kontaktowe osób figurujących w KRS.

Doktryna prawnicza sugeruje, aby wyłączeniem objąć także dane kontaktowe  pełnomocników i innych osob, ktore firma wskazuje np. w umowach jako osoby kontaktowe, co chyba byłoby najwłaściwyszym rozwiązaniem tej sytuacji.

Na ten moment jednak dane kontaktowe inne niż dane kontaktowe osób prawnych wskazane w KRS nie są objęte wyłączeniem spod reżimu RODO, co wiąże się z realizacją wszystkich obowiązków wynikających z rozporządzenia związanych z przetwarzaniem danych kontaktowych osób fizycznych min. wykonywania obowiązków informacyjnych.

O udostępnianiu danych przeczytasz również w innym moim artykule, który znajdziesz Tutaj.

Jak informować zgodnie z RODO

Jak informować zgodnie z RODO, jak wykonać obowiązki informacyjne to pytanie zadaje sobie każdy administrator a odpowiedź niestety nie zawsze jest łatwa i oczywista.

Wiadomo, że osoby, których dane dotyczą, aby mogły korzystać z przysługujących im w świetle RODO rozlicznych praw, muszą o nich wiedzieć. Obowiązki informacyjne z RODO skorelowane są zatem z prawem do informacji osób, których dane są przetwarzane.

Przekazywanie informacji podmiotom danych i komunikacja z nimi w poszczególnych przypadkach jest zróżnicowana a środowisko przetwarzania danych często determinuje sposoby przekazania informacji.

Jak zatem informować, aby wypełnić obowiązki informacyjne zgodnie z RODO i dostarczyć osobom, których dane są przetwarzane niezbędnych informacji o szczegółach przetwarzania danych osobowych.

Czytaj więcej

RODO umożliwi legalny video monitoring w miejscach pracy

Kamery w miejscach pracy to dla pracowników codzienność. Jednakże ich obecność mimo wszystko wzbudza w pracownikach emocje. Trudno się dziwić, świadomość, że jest się obserwowanym wywołuje uzasadniony dyskomfort.

Czy kamery są dozwolone, w jakich miejscach, na jakich zasadach. Dotychczas brakowało przepisów prawa, które w spoósb kompleksowy regulowałyby tę istotną kwestię. Niemniej jednak stosowanie video monitoringu w miejscach pracy często jest koniecznością. Dotąd brakowało przepisów prawnych regulujących stosowanie monitoringu wizyjnego.

Dotychczas powoływano się na ogólne przepisy o ochronie danych osobowych czy orzecznictwo Europejskiego Trybunału Praw Człowieka.
Czytaj więcej

Ograniczenie obowiązków informacyjnych dla MŚP

Ostatnio gorącym tematem stały się rzekome wyłączenia w zakresie stosowania obowiązków informacyjnych przewidzianych w RODO dla MŚP. Wyłączenia ma wprowadzić krajowa ustawa o ochronie danych osobowych, która aktualnie jest procedowana.

Informację podały media w taki sposób, że powstało zamieszanie wokół MŚP i w ogóle ich podlegania pod reżim RODO. Jednakże omawiana kwestia dotyczyła nie wszystkich obowiązków przewidzianych w RODO a jedynie obowiązków informacyjnych ciążących na administratorze danych.

Niemniej jednak z punktu widzenia osób, których dane są przetwarzane i zasady przejrzystości przetwarzania danych, obowiązki informacyjne mają kluczowe znaczenie. Podmiot, który nie wie kto, w jakim celu oraz na jakiej podstawie przetwarza jego dane nie ma szans na należytą ochronę a także korzystanie z przyznanych mu praw.

Wszyscy eksperci byli zgodni, iż całkowite wyłączenie jest niezgodne z RODO, gdyż godzi w istotę prawa do ochrony danych osobowych. Niepewność jednak została skutecznie zasiana.

Zamieszanie woków w/w kwestii zaowocowało wydaniem  wspólnego oświadczenia MC i MPiT pt. Stosowanie przepisów RODO do MŚP.

W oświadczeniu czytamy:

“W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii, MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2.  MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).”

Reasumując nie ma mowy o wyłączeniu obowiązków informacyjnych dla sektora MŚP a jedynie o ich ograniczeniu. Najważniejsze informacje wymagane przez RODO, każdy przedsiębiorca należący do sektora MŚP, będzie zobowiązany przekazać podmiotowi danych a w przypadku niewywiązania się z tego obowiązku niewątpliwie narazi się na sankcje karne.

Wdrażanie RODO – zakres danych i obowiązki informacyjne

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.

GIODO publikuje zestaw pytań

Biuro GIODO wychodząc na przeciw oczekiwaniom przedsiębiorców zwłaszcza tych mniejszych aktywnie edukuje w zakresie RODO. Tym razem na stronie GIODO znajdziesz listę pytań pomocniczych, które pozwolą Ci ocenić swoją gotowość w zakresie stosowania RODO.

W załączeniu ( Tutaj ) link do listy dla tych, którzy jeszcze się nie zapoznali. Rok to naprawdę już mało czasu w szczególności dla tych, którzy tak naprawdę nigdy porządnie nie uporządkowali sfery ochrony danych osobowych w swojej organizacji.

Warto zatem skorzystać z zestawu pytań opracowanych przez GIODO i w oparciu o nie sprawdzić stan gotowości swojej firmy na przyjęcie i stosowanie nowych przepisów w zakresie ochrony danych osobowych już za rok.