Ewentualne roszczenia po zakończeniu rekrutacji – uwagi do Poradnika PUODO

Nie milkną komentarze do wydanego ostatnio przez PUODO Poradnika dla pracodawców. Jedną z kwestii budzącą wątpliwości komentujących, była zawarta w Poradniku opinia o braku możliwości przetwarzania przez pracodawców danych kandydatów do pracy, po zakończeniu rekrutacji, w celu zabezpieczenia się przed ich ewentualnymi roszczeniami.

„Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”

W uzasadnieniu dla tak postawionej tezy czytamy:

„W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.  Czytaj więcej

GIODO przestrzega…

GIODO przestrzega, by z rozwagą korzystać z ofert podmiotów oferujących pomoc w przygotowaniu się do RODO.

“Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, by decydując się na usługi lub pomoc podmiotu zewnętrznego oraz dokonując wyboru oferty, zachować dużą ostrożność. Dotyczy to zwłaszcza przypadków, w których:

  • proponuje się kupno certyfikatów, zwłaszcza tych, które mają gwarantować, że legitymujący się nimi podmiot postępuje zgodnie z RODO, co uchroni go np. przed kontrolą ze strony urzędu,
  • żąda się przedstawienia określonych informacji lub dokumentów pod groźbą „oddania sprawy do GIODO, sądu i prokuratury”, a jednocześnie oferuje kupno produktów lub usług.

Czytaj więcej

Nie ma ucieczki przed GIODO…

Okazuje się, że są firmy, które chcą zapłacić za to, aby pomóc im uciec przed GIODO przynajmniej mnie zdarzyło się otrzymać takie dość niecodzienne zapytanie. Zasadniczo otrzymuję zlecenia, aby pomóc firmie osiągnąć stan zgodności z GIODO, ale żeby uciec to już rzadziej.

Z reguły ucieczka przed GIODO to takie “siedzenie cicho” i udawanie, że prawo ochrony danych osobowych nas nie dotyczy, kiedyś się tym zajmiemy, ale aktualnie są ważniejsze rzeczy do załatwienia. Podmioty, które podejmują zorganizowaną ucieczkę przed GIODO jest zdecydowana mniejszość, ale zdarzają się i takie.

Przykład z ostatniego szkolenia dla branży kosmetycznej jest taki, że więcej chętnych chciało szkolić się z pielęgnacji paznokci niż z aspektów prawnych uświadomionej zgody lub ochrony danych osobowych i tajemnicy przedsiębiorstwa.

Zapominamy, że dobrze wykonana usługa to nie tylko dosłownie rozumiany zabieg fryzjerski, kosmetyczny czy inny, ale to także dbanie o informacje o klientach, informacjach często wrażliwych. Pamiętajmy, ze prawo do prywatności jest prawem podstawowym jednostki. Przetwarzanie danych osobowych o osobach fizycznych powinno być zgodne z przepisami o ochronie danych osobowych.

Jednakże sfera ochrony danych osobowych w dalszym ciągu pozostaje  słabo zabezpieczona i stąd być może zlecenie dla mnie, aby w ogóle uwolnić się od GIODO np. poprzez założenie firmy w kraju, który nie posiada odpowiednich z zakresu ochrony danych osobowych regulacji prawnych a jednocześnie będzie poza jurysdykcją przepisów krajowych oraz unijnych.

Pomysł nie jest, aż tak naiwny bowiem w świetle aktualnych przepisów dominującą w prawie ochrony danych osobowych w UE jest zasada podlegania przepisom Państwa właściwego dla siedziby administratora danych osobowych. Jest to rozwiązanie od pewnego czasu bardzo krytykowane, gdyż poza jurysdykcją GIODO pozostają na przykład takie organizacje jak Google czy Facebook, których przetwarzanie danych osobowych nie zawsze podoba się europejskim organom ochrony danych osobowych.

Najnowszej Rozporządzenie unijne w sprawie ochrony danych osobowych odchodzi od zasady podlegania prawu właściwemu dla państwa siedziby administratora danych. Istotnym novum będzie objęcie nową regulacją również tych administratorów danych osobowych, te firmy, które mając siedzibę poza UE świadczą usługi dla jej obywateli.

Z tego też powodu reasumując można powiedzieć, iż nie ma ucieczki przed GIODO (jeśli firma świadczy usługi w UE lub dla jej obywateli) i zamiast tracić czas i pieniądze na poszukiwanie wątpliwych rozwiązań w świetle nadchodzących zmian, skupić się raczej należy na dostosowaniu swojej działalności do stanu zgodności z obowiązującym prawem.

Kazus Policji cd.

Celem ostatniego artykułu na blogu,  na temat udostępniania danych osobowych było wskazanie na pewne sytuacje, gdy różne podmioty są zobowiązane do udostępnienia danych osobowych, jeśli jest ku temu odpowiednia podstawa prawna.

Podstawą dla udostępniania danych osobowych Policji są przepisy ustawy o Policji i przepisy wykonawcze. Oznacza to, że Policja uprawniona jest do pozyskiwania i przetwarzania danych w związku z prowadzonymi czynnościami a podmioty, do których zwraca się o udostępnienie takich danych powinny dane udostępnić.

Na tle jednak tego artykułu wywiązała się na blogu dyskusja o przetwarzaniu  danych osobowych przez Policję przy wykonywaniu przez nią czynności operacyjno-rozpoznawczych, dochodzeniowo- -śledczych i administracyjno-porządkowych. W celu realizacji tych zadań Policja może przetwarzać dane osobowe w rozumieniu ustawy o ochronie danych osobowych również bez wiedzy i zgody osoby, której dane dotyczą.

Czy to oznacza, że przepisy o ochronie danych osobowych Policji nie dotyczą.

Przepisy ustawy o Policji dają jej umocowanie do przetwarzania danych osobowych ale także nakładają na funkcjonariuszy Policji obowiązek respektowania godności ludzkiej i ochrony praw człowieka. Przepis ten stanowi rozwinięcie ogólnej normy konstytucyjnej, zgodnie z którą godność człowieka stanowiąca źródło jego wolności i praw jest nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych.

Okazuje się jednak, że przetwarzanie danych podczas wykonywania czynności przez policję nie zawsze zgodne jest z zasadami konstytucji czy nakazami prawa. Dotyczy to na przykład sytuacji, gdy osoby składające zawiadomienia o popełnieniu przestępstwa w tym samym czasie, w tym samym miejscu znajdują się w warunkach, które nie zapewniają poszanowania wymienionych wyżej praw.

Przykładem są sytuacje, w których ramię w ramię jedna osoba wyjaśnia okoliczności kradzieży samochodu a inna szczegóły przemocy w rodzinie nie mogą mieć miejsca. Innym przykładem jest sytuacja, gdy funkcjonariusze Policji podczas wykonywania czynności służbowych w celu ustalenia tożsamości osoby legitymowanej głośno wymieniaj dane osobowe osoby legitymowanej, co powoduje, i  osoby postronne przebywające w pobliżu mają możliwość zapoznania si z tymi danymi.

 Prawo do przetwarzania danych osobowych przyznane podmiotom przez ustawy nie oznacza, że w zakresie respektowania prawa osób, których dane dotyczą istnieją dla tych podmiotów wyłączenia.

Wszystkie podmioty uprawnione do przetwarzania danych osobowych mają obowiązek przetwarzania tych danych z poszanowaniem praw człowieka tj. godności ludzkiej oraz prawa do prywatności oraz chronić dane o osobie przed nieuprawnionym dostępem osób nieupoważnionych.

Na koniec warto wspomnieć, że GIODO oficjalnie występował do Komendanta Głównego Policji sygnalizując mu  naruszenia w wykonywaniu czynności przez funkcjonariuszy Policji w zakresie wyżej opisanym.

Klient nasz Pan – kontrola GIODO

Każdy przedsiębiorca hołduje tej maksymie. O klienta trzeba zabiegać, dbać, chuchać i dmuchać. Robić wszystko co możliwe, aby niezadowolonych klientów było jak najmniej a najlepiej wcale.

W jaki sposób na gruncie ochrony danych osobowych może zaszkodzić przedsiębiorcy niezadowolony klient. A no na przykład w taki, że poskarży się do Generalnego Inspektora Ochrony Danych Osobowych, że jego prawa zostały naruszone.

Co w takiej sytuacji może zrobić GIODO. GIODO może wiele, jednak na pewno nie może, poza zupełnymi wyjątkami, skargi zbagatelizować. Jako organ musi zareagować. Standardowo więc wszczyna postępowanie administracyjne, aby zbadać zasadność skargi naszego klienta.

Bywa, że klienci nie do końca mają rację, bywa, że ich skargi nie są w świetle prawa nieuzasadnione. Mądry GIODO wszystko to zbada, ustali i orzeknie co do istoty sprawy. W przypadku skargi nieuzasadnionej odmówi naszemu klientowi ochrony.

Ale ale niestety nie jest tak łatwo bo, gdy GIODO już wejdzie na kontrolę i badając przedmiot skargi zauważy jakieś inne, niezwiązane z nim uchybienie to niestety wytknie je używając odpowiednich środków prawnych.

Tak więc niezadowolony klient, który idzie ze skargą do GIODO może zaszkodzić nawet, jeśli mamy przekonanie o  niezasadaności jego skargi. Bowiem dla GIODO będzie to okazja, aby prześwietlić organizację pod kątem respektowania obowiązków w zakresie ochrony danych osobowych.

Wobec powyższego trzeba czynić wszystko, aby klienci byli zadowoleni ale również, aby organizacja chroniła w należyty sposób dane osobowe tak, żeby nawet, gdy GIODO się zjawi mieć pewność, że nie znajdzie niczego, co mogłóby nam wytknąć.

Rejestracja ABI i wprowadzenie uproszczonej kontroli

Trwają prace nad ustawą o ułatwieniu warunków wykonywania działalności gospodarczej tzw. IV ustawą deregulacyjną, w ramach której znowelizowana zostanie również ustawa o ochronie danych osobowych.
W projekcie proponuje się kompleksowe zwolnienie z obowiązku rejestracyji zbiorów danych przez administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji (ABI). Zmianie ulegają przepisy odnoszące się do zadań ABI i jego usytuowania organizacyjnego w jednostce administratora danych. Powyższe zwolnienie z obowiązku rejestracyjnego nie dotyczy jednakże zbiorów zawierających dane wrażliwe.

Zgodnie z nowelizacją administrator danych będzie obowiązany zgłosić Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji (ABI), a także zmian objętych zgłoszeniem.

Projekt ustawy przewiduje rozszerzenie kompetencji rejestracyjnych Generalnego Inspektora Ochrony Danych Osobowych, który będzie zobowiązany do prowadzenia jawnego rejestru ABI.
Wykreślenie ABI z rejestru następuje po złożeniu przez administratora danych zawiadomienia o jego odwołaniu. GIODO może z urzędu wydać administratorowi danych decyzję o wykreśleniu ABI z rejestru, jeżeli ABI nie spełnia określonych prawem warunków lub nie wykonuje zadań, dla których został powołany.

 W przypadku wykreślenia ABI z rejestru administratorów bezpieczeństwa informacji administrator danych traci prawo do zwolnienia go z obowiązku rejestracji zbiorów. Oznacza to, iż obowiązany będzie w takim przypadku zgłosić wszystkie zbiory danych osobowych, które przetwarza. Nowelizacja przewiduje jednak możliwość ponownego zgłoszenia do rejestracji ABI wykreślonego z rejestru.

System rejestracji ABI ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego.

Jednocześnie w ramach proponowanych rozwiązań określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowania funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych. Projektowana nowelizacja przyjmuje, że ABI może wykonywać inne nałożone na niego zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych.  Celowo projektowana zmiana unika regulowania kwestii zmierzającej w kierunku tworzenia nowej grupy zawodowej

Jeśli chodzi o wymagania stawiane ABI to projekt stanowi, iż administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
3) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
4) nie była karana za przestępstwo popełnione z winy umyślnej.

Natomiast do zadań ABI należało będzie:

1) zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji (polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym)
c) zapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje oraz inne informacje identyfikujące zbiór.

W świetle regulacji ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, którzy zapewniają środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez administratora bezpieczeństwa informacji powierzonych mu zadań.

Niezależnie od zwolnienia z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji, proponuje się wprowadzenie zwolnienia w odniesieniu do zbiorów danych, które nie są prowadzone w systemie informatycznym, za wyjątkiem zbiorów zawierających dane szczególnie chronione.

Nowelizacja wprowadza możliwość uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych, która będzie wykonywana – na wniosek GIODO przez niezależnego ABI, zastępując w tym zakresie bezpośrednią kontrolę Generalnego Inspektora.

Po przeprowadzonej kontroli ABI będzie sporządzał sprawozdanie zawierające informacje określone w ustawie, które następnie przedstawi Generalnemu Inspektorowi.

Nowe przepisy niosą za sobą również szereg wątpliwości, którym nierzadko towrzyszą krytyczne refleksje. Wszyscy są zgodni, że stanowi nowa regulacja to istotne novum w krajowym prawie ochrony danych osobowych. Bezsprzecznie nowelizacja podnosi rangę ABI przez wyznaczenie katalogu jego zadań, podległość bezpośrednio kierownikowi jednostki organizacyjnej, obowiązek zapewnienia ABI środków niezbędnych do realizacji jego zadań.

Mnożą się pytania dotyczące wprowadzanych nowelą instytucji. Jakie skutki w odniesieniu do wcześniej zgłoszonych zbiorów danych będzie miało wyznaczenie ABI i zgłoszenie tego faktu do GIODO, czy zbiory wcześniej zgłoszone podlegają aktualizacji a może tylko wykreśleniu.

Jaka będzie praktyka GIODO w zakresie prawa zlecenia ABI przeprowadzenia kontroli i przedstawienia organowi sprawozdania z tej kontroli.

Jaki status ma ABI w okresie przejściowym tj. do 30 czerwca 2015 r. Jakie zadania musi a jakie może w tym okresie wykonywać. To najważniejsze, ale niestety nie jedyne zagadnienia wzbudzające najwięcej emocji i kontrowersji.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam stworzyć profesjonalny Poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik jest dostępny odpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji. Więcej informacji o poradniku znajdziesz tutaj.