Nowy numer Poradnika ABI już dostępny

Kolejny numer Poradnika ABI już jest dostępny. Tym razem poradnik został poświęcony kompleksowemu omówieniu przetwarzania danych osobowych pracowników.

Zdarza się niestety, iż administratorzy danych sądzą, że jeśli zbiór danych osobowych pracowników nie podlega zgłoszeniu to problem mają z głowy. Nic bardziej mylnego, gdyż zwolnienie ze zgłoszenia rejestracji zbioru w GIODO nie oznacza wyłączenia spod reżimu przepisów o ochronie danych osobowych.

Często zbiory danych osobowych to są ogromne bazy danych osobowych pracowników, zawierające nierzadko dane wrażliwe podlegające  szczególnej ochronie prawnej.

Dodatkowo przetwarzanie danych osobowych pracowników w związku z używaniem nowych technologii. Prawie każda firma posiada swoją witrynę internetową, często publikowane są tam dane osobowe pracowników do kontaktów, ale bywa, że i wizerunki pracowników. Bywa, że pracownikowi zostaje powierzone zadanie prowadzenie strony fanowskiej na FB. Są to sytuacje, które wymagają analizy w świetle wymagań prawa ochrony danych osobowych i odpowiedniej ich kwalifikacji w kontekście tych przepisów.

Kolejna kwestia wynikająca z braku świadomości konsekwencji dotyczy braku stosownych upoważnień pracowników do przetwarzania danych osobowych. Należy pamiętać, że udostępnianie danych osobowych osobom nieupoważnionych jest zagrożone odpowiedzialnością karną.

Dodatkowo upoważniając pracowników i odbierając od nich zobowiązanie do poufności zabezpieczamy się na przyszłość przed nielojalnością pracowników. Sytuację, w których pracownicy poprzez bezprawne rozporządzanie informacjami stanowiącymi tajemnicę przedsiębiorstwa narazili pracodawcę na wymierne szkody nie należą do rzadkości. Pracodawcy jednak zapominają, iż zaniedbania formalne uniemożliwiają im późniejsze skuteczne dochodzenie roszczeń związanych z naruszeniem tajemnicy.

Bardzo ciekawą kwestią jest prawo do kontroli pracownika podczas wykonywania pracy w szczególności w zakresie korzystania z telefonu komórkowego czy internetu w celach niezwiązanych z wykonywaną pracą. Jest to o tyle istotna kwestia, że kontrola nie spełniająca wymagań prawnych w tym zakresie naraża pracodawcę na odpowiedzialność karną, cywilną oraz administracyjną wobec pracownika.

Poradnik porusza i rozstrzyga wszystkie kwestie zasygnalizowane powyżej a także wiele innych.

W poradniku omówiona została również bardzo ciekawa instytucja nowego prawa ochrony danych osobowych, które w ramach UE doczekało się finalizacji. Chodzi o prawo do zapomnienia, które poprzez wyrok TS w sprawie przeciwko Google Spain już jest stosowane. Publikacja omawia szczegółowo to nowe prawo.

Zachęcam do lektury wszystkich zainteresowanych.

Spis treści nowego Poradnika ABI znajdziesz TUTAJ.

Podstawy przetwarzania danych osobowych – refleksja

Do napisania tego artykułu skłoniły mnie poaudytowe refleksje dotyczące stanu wiedzy osób upoważnionych do przetwarzania danych osobowych, teoretycznie więc zapoznanych z zasadami dotyczącymi przetwarzania danych osobowych.

Okazuje się, że zwykle osoby upoważnione do przetwarzania danych z reguły dysponują jakimś minimum wiedzy w zakresie obowiązku zabezpieczenia danych czy nieudostępniania ich osobom nieupoważnionym. Jednak rzadko potrafią poprawnie odpowiedzieć np. na pytanie na jakiej podstawie przetwarzane są dane osobowe w ich organizacji. Pojawiają się stwierdzenia, że na podstawie ustawy o ochronie danych osobowych lub na podstawie zgody podmiotu danych w sytuacji, gdy takiej zgody brak.

Zdaję sobie sprawę, że są to rozważania teoretyczne i wymagają podstaw wiedzy w zakresie przepisów o ochronie danych osobowych, bo przesłanki przetwarzania danych wskazane są właśnie w ustawie o ochronie danych osobowych, nie oznacza to jednak, że sama ustawa jest taką podstawą.

Piszę o tym, bo z mojej perspektywy prawnika, który specjalizuje się w prawie ochrony danych osobowych pytanie o podstawy przetwarzania danych osobowych jest kwestią zasadniczą. Wie o tym każdy ABI, który zaczyna proces sprawdzenia. Na  początku poza stwierdzeniem, że organizacja przetwarza dane osobowe należy ustalić w oparciu o jakie podstawy prawne to przetwarzanie się opiera. Następnie sprawdzamy kolejne zagadnienia.

W praktyce osoby upoważnione do przetwarzania danych osobowych mają wiedzę np. o zasadzie “czystego biurka” czy obowiązku wylogowania się z systemu, jednak nie mają pojęcia na jakiej to podstawie mają prawo do przetwarzania danych osobowych w swoich codziennych czynnościach.

W imieniu swojego pracodawcy zawierają np. setki umów, które implikują wiele czynności związanych z przetwarzaniem danych osobowych w związku z wykonaniem tejże umowy, jednak rzadko wpadają na trop, że to ta umowa jest podstawą przetwarzania danych osobowych. Obnaża to brak podstawowej wiedzy z zakresu ochrony danych osobowych. Nie dziwi mnie to  aż tak bardzo biorąc pod uwagę ogólną niską świadomość w tym obszarze.

Pragnę tylko wskazać administratorom bezpieczeństwa informacji, którzy są odpowiedzialni za zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o pewnych fundamentalnych zasadach, które należy wpajać od początku, z tego powodu, że jest to wiedza elementarna, którą osoby przetwarzające dane osobowe powinny posiadać.

Ochrona danych osobowych w spółdzielni mieszkaniowej – poradnik

Spółdzielnie mieszkaniowe to administratorzy danych przetwarzający zazwyczaj bardzo duże ilości danych osobowych w związku ze swoją działalnością statutową. Głównym celem działania spółdzielni mieszkaniowej jest zaspakajanie potrzeb mieszkaniowych jej członków przez dostarczanie członkom samodzielnych lokali mieszkalnych lub domów jednorodzinnych, a także lokali o innym przeznaczeniu.

W Spółdzielni znajdują się dane osobowe członków Spółdzielni, osób niebędących członkami, którym przysługuje tytuł prawny do lokalu znajdującego się w zasobach Spółdzielni, dane osobowe najemców, osób zajmujących lokal bez tytułu prawnego, dane osobowe kontrahentów, dane osobowe pracowników czy też inne jeszcze dane. Są to min.:

  • dane  identyfikacyjne takie jak imię, nazwisko, numer pesel, adres zamieszkania, numer telefonu, adres e-mail,
  • informacje dotyczące tytułu prawnego do lokalu (określenie rodzaju prawa do lokalu)
  • informacje związane z rozliczaniem kosztów związanych z eksploatacją i utrzymaniem lokalu oraz nieruchomości wspólnych,
  • informacje związane z windykacją należności (m.in. wykaz zadłużeń, analiza dłużnika, wezwania do zapłaty, naliczanie odsetek) i inne.

Spółdzielnia przetwarza dane osobowe w zbiorach w szczególności przy pomocy dedykowanych systemów informatycznych. Jako administrator danych spółdzielnia jest podmiotem odpowiedzialnym za przetwarzanie danych zgodnie z przepisami o ochronie danych osobowych.

Ważną kwestią jest obowiązek zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych czyli obowiązek ich przeszkolenia. Jest to o tyle ważne, że od osób upoważnionych odbierane są oświadczenia o zachowaniu tajemnicy i zapoznaniu z zasadami ochrony danych osobowych wraz z pouczeniem o odpowiedzialności w przypadku niedochowania tajemnicy.

Osoby upoważnione do przetwarzania powinny więc dysponować wiedzą na temat zasad ochrony danych osobowych w spółdzielni. Zapoznanie osób upoważnionych może nastąpić w ramach wewnętrznie prowadzonych szkoleń, przez udostępnienie szkoleń e-learningowych czy dedykowanych spółdzielniom poradników.

W celu spełnienia obowiązku w zakresie zapoznania osób upoważnionych z zasadami ochrony danych zachęcam do zapoznania się z ofertą poradnika “Ochrona danych osobowych w spółdzielniach mieszkaniowych”, który w prosty i przejrzysty sposób omawia wszystkie najważniejsze zagadnienia z zakresu prawa ochrony danych osobowych z odniesieniem do branży spółdzielczej.

Szczegółowa oferta tutaj.

Czy informacje o wykształceniu to dane osobowe

Taka fraza została wpisana przez osobę przeglądającą mojego bloga w poszukiwaniu interesujących informacji. Więc odpowiadam tak informacje o wykształceniu, jeśli dotyczą możliwej do zidentyfikowania osoby fizycznej są danymi osobowymi.

Temat dotyczący danych osobowych a dokładnie co tak naprawdę tymi danymi jest poruszałam w ostatnim wpisie o danych w salonach urody.

Dane osobowe to wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej a więc mogą to być dane identyfikacyjne takie jak imię, nazwisko, numer pesel, numer NIP, adres zamieszkania, numer telefonu. adres e-mail ale też dane dotyczące zatrudnienia, wykształcenia, stanu zdrowia oraz wszelkie informacje, które konkretnej osoby dotyczą.

Czy informacje, że pan Jan Kowalski ma kochankę to dane osobowe to zależy od kontekstu i od możliwości odniesienia tej informacji do konkretnej osoby fizycznej.

To, czy informacje pozwalają na identyfikację osoby, wynika z kontekstu, w jakim informacja ta występuje. Czasami bowiem podanie imienia i nazwiska osoby, nie pozwala na określenie tożsamości tej osoby.

Jednak jeśli pracujemy w małej firmie, w której pracuje tylko jeden Jan Kowalski to oczywiście informacja o tym, że ma kochankę będzie dotyczyła tego konkretnego Jana Kowalskiego i będzie oczywiście stanowiła jego dane osobowe.

Jednak nie zapominajmy, iż ustawa o ochronie danych osobowych określając zasady przetwarzania danych osobowych osób fizycznych odnosi się do przetwarzania tych danych przez administratorów danych osobowych, którzy przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Nie każda więc sytuacja przetwarzania informacji, że Jan Kowalski ma kochankę będzie podlegała ocenie w świetle prawa ochrony danych osobowych. Czasami osoba, której informacje na jej temat są przetwarzane niezgodnie z prawem będzie musiała dochodzić swoich  na zasadach ogólnych w szczególności korzystając z reżimu ochrony dóbr osobistych.

Obrót danymi osobowymi – ochrona danych osobowych

Obrót danymi osobowymi czyli tak naprawdę udostępnianie danych osobowych w oparciu o umowy cywilnoprawne w świetle prawa jest dozwolona. Pamiętać jednak należy, iż udostępnianie danych osobowych w ramach zawieranych umów musi być zgodne z ustawą o ochronie danych osobowych.

W mojej opinii obrót danymi osobowymi musi legitymować się odpowiednią podstawą prawną wymienioną w uodo.

W obrocie róznie  bywa z przestrzeganiem warunków legalnego przetwarzania danych. Pokłosiem takiego postępowania jest udostęnianie danych osobowych osobom nieuprawnionym. Ochrona danych osobowych gwarantowana przez przepisy prawne staje się wówczas iluzoryczna.

Nie jednemu z nas zdarzyło się otrzymać telefon czy e-mail od firmy, której nie udostęniał swoich danych osobowych. Niestety takie sytuacje nie należą do rzadkości. Firmy pamiętać jednak powinny, iż taki nielegalny obrót danymi osobowymi wypełnia znamiona czynów zabronionych, za które ustawa przewiduje sankcje karne.

Bywa też, że winne są same osoby udostępniające swoje dane osobowe, które często nie czytają dokadnie zgód, które podpisują a które zawierają w swojej treści niejednokrotnie zgodę na udostępnianie danych osobom trzecim.

Czasami też podmioty, którym administrator danych powierzył do przetwarzania dane powołują się na umowę powierzenia do przetwarzania, jako podstwę prawną przetwarzania danych. Jednakże należy pamiętać, iż w przypadku, gdy przetwarzający wykorzystuje dane do własnych a nie administratora danych celów umowa o powierzenie do przetwarzania nie może stanowić podstawy prawnej takiego przetwarzania.

Dane osobowe z przeszłości…

Dane osobowe w potocznym odczuciu kojarzą się z nazwiskiem i imieniem osoby fizycznej. Ustawa o ochronie danych osobowych mówi jednak, iż dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Zakres wobec tego informacji chronionych jest bardzo szeroki i wykracza poza dane stricte osobowe. Są to bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Ciekawa sprawa dotycząca tego zagadnienia znalazła swój finał przed sądem. Zaczęło się od niewinnego zamieszczenia na naszej klasie przez jednego z użytkowników grupowego zdjęcia klasy uczniów konkretnej  szkoły podstawowej. Wszyscy uczniowe również zostali oznaczeni personalnie z imienia i nazwiska.

Jednemu z uczniów ten fakt się nie spodobał. Uznał, ze jego prywatność została naruszona, nie wyrażał zgody na udostępnianie swoich danych w internecie.

Co ciekawe GIODO uznał, iż zdjęcie sprzed 30 czy 40 lat nawet oznaczone imieniem i nazwiskiem nie pozwala na identyfikację konkretnej osoby fizycznej, tego dzisiejszego 40 latka. Dziwne prawda.

Sprawa znalazła swój finał przed Sądem. Pomijając inne ważne wątki wynikłe na jej tle sentencja orzeczenia nie pozostawiała wątpliwości. Zamieszczone na naszej klasie grupowe zdjęcie klasy konkretnej szkoły podstawowej, oznaczone imieniem i nazwiskiem, pozwala na identyfikację konkretnej osoby fizycznej. Sąd uznał, iż nie ma znaczenia fakt, iż wizerunek tejże osoby znacząco odbiega od tego sprzed 30 lat, widniejącego na szkolnej fotografii.

Orzeczenie wydaje się być logiczne i zaspokaja poczucie społecznej sprawiedliwości. Jednakże jak widać kwestia nie była taka oczywista nawet dla samego GIODO.