Ewentualne roszczenia po zakończeniu rekrutacji – uwagi do Poradnika PUODO

Nie milkną komentarze do wydanego ostatnio przez PUODO Poradnika dla pracodawców. Jedną z kwestii budzącą wątpliwości komentujących, była zawarta w Poradniku opinia o braku możliwości przetwarzania przez pracodawców danych kandydatów do pracy, po zakończeniu rekrutacji, w celu zabezpieczenia się przed ich ewentualnymi roszczeniami.

„Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”

W uzasadnieniu dla tak postawionej tezy czytamy:

„W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”. 

A zatem przechowywanie danych kandydata po zakończeniu procesu rekrutacji jest niedopuszczalne, gdyż:

  • W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy pracodawcą a kandydatem do pracy,
  • Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania,
  • Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.

Trudno zgodzić się z tak postawioną tezą a zwłaszcza z jej uzasadnieniem, nawet, jeśli jest to Poradnik (nie dycyzja lub wyrok). W szczególności dlatego, iż przetwarzanie danych na potrzeby ewentualnych roszczeń nie odnosi się wyłącznie do procesów rekrutacyjnych.

Czytając różne klauzule informacyjne różnych  administratorów, zwłaszcza w tej części, które dotyczą informacji o retencji danych to bardzo często czytamy właśnie na przykład, że:

  • dane będą przechowywane do momentu przedawnienia ewentualnych roszczeń,
  • ze względu na możliwe roszczenia z innych tytułów niż umowa okres przechowywania danych w celu obrony przed potencjalnymi roszczeniami określa art.118KC.

Jednakże w świetle tego, co zostało napisane w ostatnim Poradniku PUODO, przechowywanie danych przez administratora na wypadek ewentualnych roszczeń podmiotów danych, z którymi nie zawał on żadnych umów, może zostać  uznane za przetwarzanie „na wszelki wypadek” i niezgodne z RODO.

Czy oznacza to, że  dopuszczalne jest przechowywanie danych wyłącznie dla  ewentualnych roszczeń, których źródłem jest zobowiazanie umowne. Jednak nawet w przypadku istnienia umowy,  przechowywanie danych, po jej zakończeniu, na wypadek ewentualnych roszczeń, czym jest, jeśli nie przetwarzaniem “na wszelki wypadek”. Może się też okazać i często przecież się okazuje, iż po zakończeniu umowy żadna ze stron nie wystąpiła z  roszczeniem.

W mojej ocenie przetwarzanie danych w celu ustalenia, dochodzenia lub obrony roszczeń przyszłych zawsze będzie takim prewencyjnym przetwarzaniem, na wypadek ziszczenia się zdarzenia przyszłego i niepewnego czyli trochę “na wszelki wypadek” właśnie.

Faktem jest, że zaprezentowane w Poradniku stanowisko dotyczy ściśle procesu rekrutacyjnego i nie jest przesądzające. Mimo to, zgadzam się z innymi komentującymi już tę kwestię, że zaprezentowane stanowisko wraz z uzasadnieniem jest nieprawidłowe.

 

 

Udostępnianie danych osobowych w celach marketingowych

Dzisiaj chciałabym się podzielić, kolejny już raz, refleksją  na temat udostępniania danych osobowych w celach marketingowych i poruszyć dla praktyków ochrony danych rzeczy oczywiste, a dla innych pewnie abstrakcyjne.

Udostępnianie  danych  w celach marketingowych przez jednego administarotra innym administratorom skutkuje tym, że określone dane osobowe od jednego administratora są przekazywane do innego, który wykorzystuje dane do własnych celów marketingowych. W literaturze podkreśla się, że udostępnianie obejmuje swoim zakresem nie tylko fizyczne przekazanie danych innemu podmiotowi, lecz również zapewnienie mu dostępu do treści danych, bez elementu fizycznego ich przekazywania.

W praktyce obrotu gospodarczego udostępnianie danych osobowych najczęściej odbywa się właśnie w celach marketingowych i nierozerwalnie z tą działalnością jest związane. Ilość działań marketingowych i specyfika tych działań zwłaszcza w internecie jak wiemy jest bardzo różnorodna i o różnym też stopniu skomplikowania. Ma to oczywiście wpływ na ocenę dopuszczalności udostępniania danych.

W niniejszym artykule chciałbym podzielić się kilkoma ogólnymi refleksjami na temat podejścia administratorów do udostępniania danych w celach marketingowych bez wnikania w złożone stany faktyczne tego udostępniania w poszczególnych działalniach marketingowych.

Z moich obserwacji  wynika, iż dane osobowe, jeśli chodzi o  udostępnianie, często traktowane są jak przysłowiowa marchewka. Marchewkę kupujemy prawie bez zastanowienia, nie analizujemy jakoś specjalnie czy wybrać tego czy innego dostawcę, nie badamy wnikliwie źródeł pochodzenia marchewki czy ewentualnego nabycia marchewki wadliwej. Dość często podobne podejście można zaobserwować do udostępniania (pozyskiwania) danych osobowych w celach marketingowych.

Tymczasem udostępnianie danych osobowych a z drugiej odpowiadające mu pozyskiwanie, powinno być traktowane adekwatnie do ryzyk, którymi takie operacje na danych są obciążone. Jak wiemy ryzyka wynikające choćby z sankcji przewidzainych w RODO nie są małe.

Podejście do udostępniania danych osobowych jak do przysłowiowej marchewki jest w mojej ocenie bardzo ryzykowne, a nie jest to niestety, jak obserwuję, jakiś marginalny problem.

Spójrzmy na przykład na podejście do nabywania innego bardzo popularnego dobra tj. pojazdu mechanicznego. Każdy, kto kupuje taki pojazd z reguły zanim go kupi sporo się zastanawia i analizuje, a gdy już znajdzie jakiś konkretny  to się zaczyna prawdziwe badanie, sprawdzanie, dociekanie. Ustalamy więc źródła pochodzenia pojazdu, stan techniczny, stan prawny, specyficzne kwestie podatkowe, dokumenty, numery VIN i inne.

Bo wiadomo, jeśli kupimy auto obciążone wadą prawną (z kradzieży) albo wadą fizyczną (z wypadku) czeka nas wiele kłopotów oraz wymiernych szkód finansowych.

Pamiętajmy, że z udostępnianiem danych osobowych może być tak samo.

Jeśli w celu prowadzenia marketingu telefonicznego pozyskamy dane podmiotów, które na taki marketing zgody nie wyraziły (pochodzą jakby z kradzieży), to niedopuszczanlne w świetle prawa będzie wykorzystywanie  danych w tych celach. To jednak nie koniec, bo niezadowolony podmiot danych może wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, może też na drodze cywilnej dochodzić odszkodowania z powodu naruszenia swoich praw. Nabywcę, ale i zbywcę może czekać wiele kłopotów.

W przypadku kupna samochodu każdy chce mieć umowę kupna-sprzedaży samochodu, w której będzie określone, kto sprzedaje, kto kupuje, co jest przedmiotem sprzedaży, jakie są prawa i obowiązki stron, oświadczenia stron o stanie prawnym i techcznicznym pojazdu, odpowiedzialność za wady prawne oraz fizyczne.

A jak jest w przypadku nabywania danych osobowych. Niestety w tych przypadkach nie dostrzegam aż takiej czujności, zapobiegliwości czy świadomości jak przy nabywaniu pojazdów mechanicznych. Pamiętajmy przy tym, że do udostępniania danych osobowych w celach marketingowych  dochodzi pomiędzy profesjonalistami tj. podmiotami prowadzącymi działalność gospodarczą lub zawodową, którzy są zainteresowani pozyskiwaniem  baz danych osobowych (tzw. leady) w celach marketingowych.

Dlaczego jest to aż tak ważne, dlaczego tak sprawdzać i analizować okoliczności udostępniania danych, dlaczego zawierać odpowiednie umowy. Udostępnianie danych, jak i inne operacje na danych osobowych jest przecież dopuszczalne, ale o ile jest zgodne z wymaganiami RODO. Udostępnianie danych jest o tyle trudne, że nie zostało określone w przepisach RODO jak na przykład powierzenie danych, z którym często jest mylone.

Przepisy RODO nie zawierają odrębnych zasad dla udostępniania danych. Zainteresowane podmioty powinny więc dokonać analizy jego dopuszczalności z uwzględnieniem ogólnych zasad przetwarzania danych, określonych w art. 6 i 9 RODO a szczegóły określić we wzajemnej umowie, na podstawie której do takiego udostępnienia dochodzi.

Zachowując czujność i stosując się do powyższych wskazówek można zapobiec ryzykom naruszenia zasad przetwarzania danych i innych wymagań RODO związanych z udostępnianiem danych, a przede wszystkim ustrzec się przed karami finansowymi, które w przypadku niezgodnego z prawem udostępniania mogą być bardzo dotkliwe.

Tymczasem wiele operacji udostępniania danych pozostawia do życzenia. Inna sprawa, że RODO nie daje  wskazówek, mało jest oficjalnych wytycznych czy  fachowej literatury w temacie udostępniania, które coby nie mówić jest jednym z trudniejszych zagadnień w prawie ochrony danych osobowych.

 

 

Inspektor Ochrony Danych (IOD) w branży medycznej

31 lipca 2018 r. upłynął określony w ustawie o ochronie danych osobowych termin zgłaszania inspektorów ochrony danych (IOD) do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Termin ten dotyczył tych podmiotów, w których nie był powołany ABI, a zgodnie z RODO musi być IOD.

Wydaje się, że w branży medycznej wyznaczenie IOD z reguły będzie obowiązkowe. Przepisy prawa nie rozstrzygają jednak tej kwestii w sposób oczywisty i jednoznaczny. Dodatkowo praktyka nie wypracowała jeszcze standardów postępowania w tej kwestii. Pozostaje więc traktować każdy przypadek jako indywidualną sytuację podlegającą analizie z punktu widzenia obowiązku wyznaczenia IOD.

Zgodnie z wytycznymi dotyczącymi IOD każdy administrator danych powinien przeprowadzić w swojej organizacji analizę pod kątem obowiązkowego wyznaczenia IOD a nadto ją udokumentować.

Dzisiaj chciałabym napisać o obowiązku wyznaczenia IOD lub jego braku przez  “pojedynczego lekarza” albowiem pojęcie to pojawia się wprost w RODO. Jest ono jednak niestety nieprecyzyjne i wymaga interpretacji również z uwzględnieniem przepisów sektorowych prawa medycznego.

Obowiązkowe wyznaczenie IOD 

Obowiązek wyznaczenia IOD występuje w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czytaj więcej

RODO – Udostępnianie danych kontaktowych

Udostępnianie danych kontaktowych osób fizycznych to aktualnie szeroko komentowane zagadnienie prawne, ale też istotna kwestia praktyczna. Zawieranie bowiem umów i związana z tym potrzeba udostępniania danych kontaktowych jest codziennością niemal każdej firmy.

Jak zatem rozstrzygnąć kwestię danych kontaktowych. Czy należy z pełnymi konsekwencjami stosować RODO, czy może jednak RODO przewiduje dla przetwarzania tych danych jakieś specjalne wyjątki.

Jak na razie niestety kwestia ta pozostaje nierozstrzygnięta, mimo postulatów płynących od doktryny prawniczej włacznie z odpowiednią zmianą przepisów prawnych.

Motyw 14 preambuły RODO wyłącza stosowanie rozporządzenia do danych kontaktowych osób prawnych. Aktualnie Ministerstwo Cyfryzacji stoi na stanowisku, że  obejmuje to dane kontaktowe osób figurujących w KRS.

Doktryna prawnicza sugeruje, aby wyłączeniem objąć także dane kontaktowe  pełnomocników i innych osob, ktore firma wskazuje np. w umowach jako osoby kontaktowe, co chyba byłoby najwłaściwyszym rozwiązaniem tej sytuacji.

Na ten moment jednak dane kontaktowe inne niż dane kontaktowe osób prawnych wskazane w KRS nie są objęte wyłączeniem spod reżimu RODO, co wiąże się z realizacją wszystkich obowiązków wynikających z rozporządzenia związanych z przetwarzaniem danych kontaktowych osób fizycznych min. wykonywania obowiązków informacyjnych.

O udostępnianiu danych przeczytasz również w innym moim artykule, który znajdziesz Tutaj.

RODO w małym salonie kosmetycznym

Czy RODO dotyczy branży kosmetycznej, czy właściciel salonu kosmetycznego jest administratorem w rozumieniu RODO. Czy przetwarzanie danych klientek w salonie kosmetycznym może być ryzykowne z punktu widzenia nowej regulacji. Te i inne pytania stawiają sobie aktualnie właściciele salonów kosmetycznych, fryzjerskich i w ogóle branża beauty.

Wielokrotnie pisałam, że RODO nie przewiduje ogólnych wyłączeń spod swojego reżimu, na przykład dla niektórych branż, sektorów, czy małych firm. RODO dotyczy wszystkich podmiotów, które przetwarzają dane osobowe osób fizycznych w związku z prowadzoną działalnością zawodową, zarobkową, statutową. Zatem RODO w salonie kosmetycznym jak najbardziej będzie miało zastosowanie.

RODO na pewno dotyczy salonów kosmetycznych, fryzjerskich o ile zbierają dane o swoich klientach, przetwarzają te dane czyli wykonują jakiekolwiek operacje na danych np. korzystają z dedykowanych dla salonów programów informatycznych.

Program informatyczny wykorzystywany w pracy salonu kosmetycznego z pewnością umożliwia przetwarzanie danych osobowych klientów. Wykorzystywane programy najczęściej służą właśnie do obsługi klientów.

Czytaj więcej

Jak informować zgodnie z RODO

Jak informować zgodnie z RODO, jak wykonać obowiązki informacyjne to pytanie zadaje sobie każdy administrator a odpowiedź niestety nie zawsze jest łatwa i oczywista.

Wiadomo, że osoby, których dane dotyczą, aby mogły korzystać z przysługujących im w świetle RODO rozlicznych praw, muszą o nich wiedzieć. Obowiązki informacyjne z RODO skorelowane są zatem z prawem do informacji osób, których dane są przetwarzane.

Przekazywanie informacji podmiotom danych i komunikacja z nimi w poszczególnych przypadkach jest zróżnicowana a środowisko przetwarzania danych często determinuje sposoby przekazania informacji.

Jak zatem informować, aby wypełnić obowiązki informacyjne zgodnie z RODO i dostarczyć osobom, których dane są przetwarzane niezbędnych informacji o szczegółach przetwarzania danych osobowych.

Czytaj więcej