Czy masz dowody…

Czy masz dowody na zgodność z RODO. Dzisiaj o sprawie wydawałoby się oczywistej a jednak jak sie okazuje w praktyce nie do końca.

Każdy wie, że aby wygrać w sądzie trzeba mieć dowody na popracie swojego stanowiska. Trzeba mieć dowody winy, aby kogoś skazać. W procesie karnym wątpliwości nie dające się rozstrzygnąć intrepretuje się na korzyść oskrażonego. W procesie cywilnym ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne.

W życiu też często poszukujemy dowodów na popracie swoich racji lub podejrzeń. Nawet małe dzieci, jeśli chodzi o dowody, wiedzą, że coś jest na rzeczy. Moja 7-letnia córka, gdy jej zarzucam, że jakaś wykryta przeze mnie psota jest na pewno jej dziełem patrząc na mnie bardzo poważnie z wyrzutem pyta czy mam na to dowody. Hm no faktycznie  namacalnych dowdów nie miałam.

To tak humorystycznie oczywiście, bo zmierzam do tego, że wykazanie zgodności przetwarzania danych osobowych z RODO również wymaga gromadzenia różnych dowodów.

Na przykład jeśli przetwarzasz dane na podstawie zgody muisz być w stanie wykazać, że osoba, której dane przetwarzasz rzeczywiście tę zgodę wyraziła. Musisz utrwalać dowody uzyskiwania zgód na przetwarzanie danych i je przechowywać tak, aby móc je okazać na przykład w razie kontroli urzędu lub w przypadku zgłoszenia roszczeń przez podmiot danych.

Czy gromadzisz  dowody pozyskiwania zgód, czy je utrwalasz, czy może tylko zabepieczasz się umownie obciążając odpowiedzialnością za proces zbierania zgód oraz ich utrwalania i przechowywania kontrahenta, który Ci dane udostępnia. Takie postanowienia w umowach są oczywiście pożądane w przypadku pozyskiwania danych od podmiotów trzecich. Jednak niestety nie są wystarczające.

Pamiętaj, że jako administrator to ty jesteś zobowiązany do wykazania dowódów, że osoba, której dane przetwarzasz wyraziła zgodę. W razie kontroli urzędu, jeśli twój kontrahent nie dostarczy Ci dowódów uzyskania zgód, do czego zobowiązał się w umowie, to ty jako administrator będziesz odpowiadał przed urzędem za uchybienia w tym zakresie. A także przed osobą, która doznała szkody, na skutek przetwarzania niezgodnie z prawem jej danych.

Czy coś daje ci w takiej sytuacji zawarta umowa oraz postanowienia w zakresie odpowiedzialności kontraktowej. Z pewnością, w zależności od treści umowy, będziesz mógł żądać od swojego kontrahenta naprawienia szkody, którą poniosłeś, bo na przykład urząd ukarał cię karą finansową lub zapłaciłeś odszkodowanie podmiotowi danych.

Jednakże twój kontrahent może podnosić swoje argumenty i niewykluczone, że dopiero na drodze sądowej uda Ci się odzyskać stracone pieniądze, o ile oczywiście, w sądzie przedstawisz odpowiednie dowody na poparcie swoich racji.

Szeroko w prasie omawiana była ostatnia kara, którą  UKE nałożył na Orange, gdyż firma nie wykazała dowdów pozyskania zgód osób, do których kierowała wiadomości SMS/MMS w ramach kampanii marketingwej. Na blogu również poruszałam ten przypadek TUTAJ.

Jak widać kwestia wydawałoby się oczywista, może umknąć lub zostać zaniedbana przez największę nawet firmy a konsekwencje takich zaniedbań, co widzimy na przykładzie Orange mogą być bardzo dotkliwe. Warto więc pamiętać i utrwalać niezbędne dowody na wykazanie zgodności przetwarzania z RODO.

Linie papilarne pod ochroną

Rejestrowanie czasu pracy przy wykorzystaniu linii papilarnych w stosunkach pracowniczych w aktualnym stanie prawnym oraz z uwagi na stanowisko GIODO poparte rozstrzygnięciem Naczelnego Sądu Administracyjnego, nie może być wprowadzane przez pracodawców.

Ciekawe ilu z nas życzyłoby sobie, aby Pracodawca dla potrzeb rejestracji czasu pracy pobierał, za zgodą, nasze linie papilarne i czy tacy w ogóle są. Myślę, że standardowo napawa nas to jednak lękiem i obawą przed zbyt daleko idącą ingerencją w naszą prywatność. W sprawie jednak nie było zgodności i decyzja GIODO zakazująca pracodawcom przetwarzania takowych danych została zaskarżona do sądu, który ją uchylił nie podzielając obaw GIODO w zakresie przetwarzania danych biometrycznych.

Dopiero Naczelny Sąd Administracyjny rozstrzygnął, iż przetwarzanie danych biometrycznych w celu rejestracji czasu pracy jest, w świetle obowiązującego prawa, niedopuszczalne nawet w sytuacji udzielenia przez przez praconików zgody na przetwarzanie takich danych. Naczelny Sąd Administracyjny stwierdził, że wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych narusza prawa pracownika i swobodę wyrażenia przez niego woli z uwagi na zależność pracownika od pracodawcy. Brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych.). Z tego względu zdaniem Sądu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody przez pracownika za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 KP stanowiłoby naruszenie tego przepisu Kodeksu pracy.

Sąd uznał też, że przetwarzanie danych biometrycznych do kontroli czasu pracy pracowników zatrudnionych w przedsiębiorstwie jest nieproporcjonalne do zamierzonego celu ich przetwarzania i jako takie sprzeczne z zasadą proporcjonalności, która jest głównym kryterium przy podejmowaniu decyzji dotyczących przetwarzania danych biometrycznych.