kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Latest Posts

Kara za brak zgody na SMSy marketingowe

Urząd Komunikacji Elektronicznej nałożył na Orange Polska kary pieniężne w łącznej wysokości 9,1 mln zł za wysyłanie SMS-ów marketingowych bez posiadania zgody klientów.

Zgoda na marketing bezpośredni

Jak to możliwe, że w dobie RODO, w kilka miesięcy po rozpoczęciu stosowania rozporządzenia, kara za nieuprawnione SMSy nałożona na tak duży podmiot. Co ciekawsze w tym przypadku organem, który nałożył karę jest Prezes UKE a nie UODO, gdyż operator naruszył przepisy prawa telekomunikacyjnego, które stosuje się do ochrony praw i wolności osób fizycznych  w odniesieniu do świadczenia usług łączności elektronicznej.

Przepisy prawa telekomunikacyjnego zakazują przesyłania treści marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych bez uprzedniej zgody abonenta lub użytkownika końcowego. Przesyłanie SMSów marketingowych powinno odbywać się na podstawie uprzedniej zgody.

Administrator musi udowodnić  zgodę

Orange Polska nie wykazała, że posiadała utrwalone zgody udzielone przez swoich abonentów i użytkowników końcowych na otrzymywanie wiadomości o charakterze marketingowym, przy użyciu automatycznych systemów wywołujących.

Niewykluczone, że osoby, do których były wysyłane SMSy wyraziły nawet zgody na przetwarzanie ich danych osobowych w celach marketingowych, ale, co kluczowe, w niniejszej sprawie Orange nie udowodniła tego.

Na gruncie RODO również zasadą jest, iż w przypadku, gdy przetwarzanie odbywa się na podstawie zgody administrator musi być w stanie wykazać, że osoba, której dane dotyczą, skutecznie wyraziła zgodę. Czytaj więcej

Ściszonym głosem do pacjenta

Czy poszanowanie godności pacjenta ma coś wspólnego z RODO, czy RODO nakazuje szanować godność pacjenta czy może tylko chronić dane osobowe tego pacjenta. Czy są to różne czy zbieżne zagadnienia.

Prawo do poszanowania godności i intymności pacjenta wynika z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Natomiast prawo do ochrony danych osobowych wynika z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Prawa te mogą się krzyżówać i w przypadku, gdy zostaną naruszone prawa pacjenta w związku z przetwarzaniem jego danych osobowych prawie zawsze zostanie też naruszone prawo do poszanowania godności i intymności pacjenta.

Poszanowanie godności pacjenta oraz przetwarzanie danych pacjentów zgodne z wymogami prawa to kwestia fundamentalna w sektorze zdrowia. Podmioty udzielające świadczeń zdrowotnych mające dostęp do najbardziej wrażliwych danych, bo dotyczących stanu zdrowia powinny dochować najwyższej staranności, aby przetwarzać dane pacjentów zgodnie z przepisami prawa. Czytaj więcej

Ewentualne roszczenia po zakończeniu rekrutacji – uwagi do Poradnika PUODO

Nie milkną komentarze do wydanego ostatnio przez PUODO Poradnika dla pracodawców. Jedną z kwestii budzącą wątpliwości komentujących, była zawarta w Poradniku opinia o braku możliwości przetwarzania przez pracodawców danych kandydatów do pracy, po zakończeniu rekrutacji, w celu zabezpieczenia się przed ich ewentualnymi roszczeniami.

„Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”

W uzasadnieniu dla tak postawionej tezy czytamy:

„W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.  Czytaj więcej

Udostępnianie danych osobowych w celach marketingowych

Dzisiaj chciałabym się podzielić, kolejny już raz, refleksją  na temat udostępniania danych osobowych w celach marketingowych i poruszyć dla praktyków ochrony danych rzeczy oczywiste, a dla innych pewnie abstrakcyjne.

Udostępnianie  danych  w celach marketingowych przez jednego administarotra innym administratorom skutkuje tym, że określone dane osobowe od jednego administratora są przekazywane do innego, który wykorzystuje dane do własnych celów marketingowych. W literaturze podkreśla się, że udostępnianie obejmuje swoim zakresem nie tylko fizyczne przekazanie danych innemu podmiotowi, lecz również zapewnienie mu dostępu do treści danych, bez elementu fizycznego ich przekazywania.

W praktyce obrotu gospodarczego udostępnianie danych osobowych najczęściej odbywa się właśnie w celach marketingowych i nierozerwalnie z tą działalnością jest związane. Ilość działań marketingowych i specyfika tych działań zwłaszcza w internecie jak wiemy jest bardzo różnorodna i o różnym też stopniu skomplikowania. Ma to oczywiście wpływ na ocenę dopuszczalności udostępniania danych. Czytaj więcej

Inspektor Ochrony Danych (IOD) w branży medycznej

31 lipca 2018 r. upłynął określony w ustawie o ochronie danych osobowych termin zgłaszania inspektorów ochrony danych (IOD) do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Termin ten dotyczył tych podmiotów, w których nie był powołany ABI, a zgodnie z RODO musi być IOD.

Wydaje się, że w branży medycznej wyznaczenie IOD z reguły będzie obowiązkowe. Przepisy prawa nie rozstrzygają jednak tej kwestii w sposób oczywisty i jednoznaczny. Dodatkowo praktyka nie wypracowała jeszcze standardów postępowania w tej kwestii. Pozostaje więc traktować każdy przypadek jako indywidualną sytuację podlegającą analizie z punktu widzenia obowiązku wyznaczenia IOD.

Zgodnie z wytycznymi dotyczącymi IOD każdy administrator danych powinien przeprowadzić w swojej organizacji analizę pod kątem obowiązkowego wyznaczenia IOD a nadto ją udokumentować.

Dzisiaj chciałabym napisać o obowiązku wyznaczenia IOD lub jego braku przez  “pojedynczego lekarza” albowiem pojęcie to pojawia się wprost w RODO. Jest ono jednak niestety nieprecyzyjne i wymaga interpretacji również z uwzględnieniem przepisów sektorowych prawa medycznego.

Obowiązkowe wyznaczenie IOD 

Obowiązek wyznaczenia IOD występuje w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czytaj więcej

RODO – Udostępnianie danych kontaktowych

Udostępnianie danych kontaktowych osób fizycznych to aktualnie szeroko komentowane zagadnienie prawne, ale też istotna kwestia praktyczna. Zawieranie bowiem umów i związana z tym potrzeba udostępniania danych kontaktowych jest codziennością niemal każdej firmy.

Jak zatem rozstrzygnąć kwestię danych kontaktowych. Czy należy z pełnymi konsekwencjami stosować RODO, czy może jednak RODO przewiduje dla przetwarzania tych danych jakieś specjalne wyjątki.

Jak na razie niestety kwestia ta pozostaje nierozstrzygnięta, mimo postulatów płynących od doktryny prawniczej włacznie z odpowiednią zmianą przepisów prawnych.

Motyw 14 preambuły RODO wyłącza stosowanie rozporządzenia do danych kontaktowych osób prawnych. Aktualnie Ministerstwo Cyfryzacji stoi na stanowisku, że  obejmuje to dane kontaktowe osób figurujących w KRS.

Doktryna prawnicza sugeruje, aby wyłączeniem objąć także dane kontaktowe  pełnomocników i innych osob, ktore firma wskazuje np. w umowach jako osoby kontaktowe, co chyba byłoby najwłaściwyszym rozwiązaniem tej sytuacji.

Na ten moment jednak dane kontaktowe inne niż dane kontaktowe osób prawnych wskazane w KRS nie są objęte wyłączeniem spod reżimu RODO, co wiąże się z realizacją wszystkich obowiązków wynikających z rozporządzenia związanych z przetwarzaniem danych kontaktowych osób fizycznych min. wykonywania obowiązków informacyjnych.

O udostępnianiu danych przeczytasz również w innym moim artykule, który znajdziesz Tutaj.