RODO

< class="item_title"> Czy były dyrektor ma prawo do bycia zapomnianym i do żądania usunięcia swoich danych osobowych, w tym wizerunku, które zostały zgromadzone i upublicznione w związku z pełnioną przez niego funkcją?

Pełnienie funkcji publicznej niesie ze sobą określone konskwencje prawne, a w przypadku ochrony danych osobowych pewne ograniczenia tej ochrony.

Z jednej strony mamy obowiązek archiwizowania dokumentacji wytworzonej w związku z pełnieniem przez daną osobę w przeszłości funkcji dyrektora szkoły oraz udostępniania informacji publicznej dotyczącej działalności danej osoby jako pełniącej funkcję organu szkoły (art. 4 ust. 1 pkt 5 i art. 6 ustawy o dostępie do informacji publicznej). W orzecznictwie ugruntowany jest pogląd, że zaprzestanie pełnienia funkcji publicznej nie oznacza, że informacje z okresu, gdy funkcja ta była pełniona, przestają podlegać udostępnieniu z ograniczeniem prywatności jednostki, bowiem wciąż będą one udostępniane osobom zainteresowanym w odniesieniu do okresu pełnienia funkcji  (wyrok Naczelnego Sądu Administracyjnego z 8 lipca 2015 r., sygn. akt I OSK 1530/14). Z kolei wizerunek osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych – np. dyrektora szkoły pobierającego wynagrodzenie ze środków publicznych oraz wizerunek osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza może być rozpowszechniany (czyli przetwarzany) bez zezwolenia tej osoby (art. 81 ust. 2 ustawy o prawie autorskim i prawach pokrewnych). 

Natomiast z drugiej strony, ogólną zasadą RODO jest zakaz przechowywania danych w nieskończoność oraz nie są wyraźnie wyłączone uprawnienia osoby obecnie lub w przeszłości pełniącej funkcję publiczną do korzystania m.in. z uprawnienia do bycia zapomnianym, o którym mowa w art. 17 ust. 1 RODO, czyli do usunięcia jej danych osobowych i zaprzestania ich przetwarzania. Problematyczna jest natomiast kwestia, z uwagi na konieczność pogodzenia uprawnień publicznych oraz prywatnych, od jakiego momentu z takich uprawnień były dyrektor korzysta. Obowiązujące przepisy nie określają, przez jak długi okres dla celów archiwizacyjnych i związanych z dostępem do informacji publicznej mogą być przechowywane dane osoby, która pełniła funkcję publiczną. W związku z tym obecnie zagadnienia te regulują samodzielnie administratorzy danych, którzy indywidualnie ustalają terminy przetwarzania danych w celach archiwizacyjnych i związanych z dostępem do informacji publicznej – art. 30 ust. 1 lit. f RODO. Przed upływem tego terminu, szkoła jako administrator może odmówić usunięcia danych byłego dyrektora, z uwagi na potrzebę ich dalszego przetwarzania. Usunięciu podlegają natomiast dane byłego dyrektora, które nie służą takim celom lub upłynął czas, przez jaki administrator może lub musi przechowywać określone dane, jak ma to np. miejsce w odniesieniu do przechowywania przez 6 lat oświadczeń majątkowych w BIP (art. 24h ust. 6 ustawy o samorządzie gminnym)

 

Podstawa prawna:

 

Dariusz Skrzyński

09-10-2019

więcej
< class="item_title"> Czy dyrektor może kontaktować się z pracownikiem korzystając z jego prywatnego numeru telefonu?

Wielokrotnie zdarza się, że dyrektor kontaktuje się z pracownikiem na jego prywatny numer telefonu. Czy pracodawca może wykorzystywać do kontaktu prywatny numer telefonu pracownika? Czy może żądać podania jego prywatnego numeru telefonu? 

 

Kodeks pracy dokładnie wskazuje dane, jakie pracodawca może żądać od pracownika. Zgodnie z zapisami art. 221 § 1:

    § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

(§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.)

Ponadto § 3. określa, że pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie.

W katalogu tych danych nie został ujęty wprost prywatny numer telefonu pracownika, zostały wskazane dane do kontaktu – może to być adres e-mail, adres do korespondencji. Zatem jeśli pracownik poda inne dane kontaktowe niż prywatny numer telefonu, to jego podanie będzie miało charakter dobrowolny, a zgodnie z art.. 221a zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.)) – dalej zwanej RODO.

Zatem, aby pracodawca mógł kontaktować się z pracownikiem wykorzystując jego prywatny numer telefonu musi uzyskać zgodę pracownika – na piśmie – gdyż zgodnie z art. 7 RODO ust. 1. jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Warto także, aby taka zgoda wskazywała zasady kontaktu. Co więcej kontakt powinien następować w godzinach pracy.

Jeśli natomiast pracownik nie wyrazi zgody na podanie prywatnego numeru kontaktowego lub wycofa zgodę, to zgodnie z  art. 221a § 2 nie może być to podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę, a dla pracodawcy oznacza zakaz kontaktowania się w ten sposób z pracownikiem (z wyjątkiem sytuacji naglących, które mogą powodować zagrożenie mienia i interesów pracodawcy).

 

Opracowane na podstawie ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)podpisanej w dn. 3 kwietnia br. przez Prezydenta, zmieniającej brzmienie art. Art. 221i wprowadzającej art. 221ado Kodeksu pracy.

 


Podstawa prawna:

Art. 221i 221austawy dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2018 r. poz. 917 z późn. zm.).

 

Beata Linowska

02-04-2019

więcej
< class="item_title"> Czy pracodawca może sprawdzić stan trzeźwości pracownika?

W obecnym stanie prawnym pracodawcy nie mogą samodzielnie prowadzić kontroli stanu trzeźwości pracowników. Przesądza o tym brzmienie art. 17 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi.

Dodany art. 221b Kodeksu pracy, który obowiązuje od 4 maja 2019 r. określa, że tzw. dane szczególnych kategorii, w tym o zdrowiu, pracodawca może przetwarzać, gdy pracownik bądź kandydat do pracy wyrazi na to zgodę i z własnej inicjatywy przekaże takie dane. W opinii UODO wiedza o tym, czy ktoś jest nietrzeźwy jest informacją o stanie zdrowia. Przywołany przepis Kodeksu pracy jednak w ogóle nie ma związku z badaniem pracowników alkomatem przez pracodawcę.

Kiedy można przeprowadzić badanie trzeźwości?

Okoliczności i zasady, na jakich można przeprowadzić badanie trzeźwości pracownika określa art. 17 ustawy z dnia 26 października 1982 r. o wychowaniu w trzeźwościi przeciwdziałaniu alkoholizmowi.

Zgodnie z przywołanym przepisem stan trzeźwości pracowników można więc sprawdzać, ale tylko wtedy,gdy łącznie są spełnione dwa warunki:

  • badanie odbywa się na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej lub pracownika, co do którego zachodzi uzasadnione podejrzenie, że spożywał alkohol w czasie pracy lub stawił się do niej w stanie po użyciu alkoholu,
  • badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego (np. policja), zaś zabiegu pobrania krwi dokonuje osoba posiadająca odpowiednie kwalifikacje zawodowe, co ma zapewnić wiarygodność wyniku badania.

Zgodnie z ustawą o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi dopiero, gdy zachodzi uzasadnione podejrzenie, że pracownik stawił się do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie wykonywania obowiązków służbowych, to kierownik zakładu pracy lub osoba przez niego upoważniona mają obowiązek niedopuszczenia takiej osoby do pracy. W takiej sytuacji pracodawca w ogóle nie musi np. wzywać policji, by zbadała alkomatem pracownika. Samo uzasadnione podejrzenie, że dana osoba jest pod wpływem alkoholu jest wystarczające, by nie dopuścić jej do pracy. Dlatego też badanie alkomatem może być zainicjowane przez pracownika np. w odpowiedzi na zarzut, że jest pod wpływem.

Brzmienie ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi wyklucza, więc wyrywkowe czy prewencyjne badania pracowników alkomatem.

 

Art. 17. 1. Kierownik zakładu pracy lub osoba przez niego upoważniona mają obowiązek niedopuszczenia do pracy pracownika, jeżeli zachodzi uzasadnione podejrzenie, że stawił się on do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy. Okoliczności stanowiące podstawę decyzji powinny być podane pracownikowi do wiadomości.

3. Na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej, a także na żądanie pracownika, o którym mowa w ust. 1, badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego. Zabiegu pobrania krwi dokonuje osoba posiadająca odpowiednie kwalifikacje zawodowe. Do badania stanu trzeźwości stosuje się przepisy, wydane na podstawie art. 47 ust. 2. 

 

Brak podstawy prawnej do samodzielnego przeprowadzenia badania

W opinii organu ds. ochrony danych osobowych nie ma więc podstawy prawnej, która umożliwiłaby pracodawcom samodzielną kontrolę pracowników alkomatem. Według UODO nie można więc traktować badania stanu trzeźwości pracowników m.in. jako:

  • formy monitorowania pracy pracowników, o której mowa w art. 22 (3) § 4 Kodeksu pracy,
  • działania niezbędnego dla zapewnienia ogółowi pracowników bezpiecznych lub higienicznych warunków pracy,
  • usprawiedliwionego ze względu na uzasadniony interes pracodawcy.

 

Źródło:

https://uodo.gov.pl/pl/138/1076

 

27-06-2019

więcej
< class="item_title"> Czy pracodawca powinien zawierać umowy powierzenia z takimi podmiotami, jak ZUS czy bank?

Wykonując funkcję inspektora ochrony danych często spotykam się z wątpliwościami  pracodawców dotyczącymi konieczności zawierania przez nich jako administratorów  umów powierzenia przetwarzania danych osobowych z takim podmiotami, jak GUS, ZUS, urząd skarbowy czy bank. Czy takie umowy powinny być zawierane? 

W przypadkach odnoszących się do przekazywania przez administratora, jako pracodawcy danych osobowych takim podmiotom, jak GUS, ZUS, czy urząd skarbowy mamy do czynienia z udostępnieniem danych na podstawie przepisów prawa, nie zaś z powierzeniem przetwarzania. Na administratorze, jako pracodawcy ciąży bowiem obowiązek przekazywania szeregu danych osobowych pracowników w związku z realizacją ustawowych zadań. Do obowiązków tych należą m.in.:

  1. wobec ZUS – obowiązki wynikające z art. 49 ust. 2 i 4 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych na podstawie wzoru określonego w rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów,
  2. wobec Urzędu Skarbowego - obowiązki w zakresie odprowadzania podatku dochodowego od osób fizycznych na podstawie ustawy z 26 lipca 1991 r. o podatku dochodowym od osób fizycznych,
  3. wobec GUS - obowiązek wynikający z art. 237 § 3 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy na podstawie rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 7 stycznia 2009 r. w sprawie statystycznej karty wypadku przy pracy.

Odnosząc się do kwestii umów zawieranych przez pracodawcę z bankiem, to w tym przypadku również nie możemy mówić o powierzeniu przetwarzania danych. Pracodawca zawiera z bankiem umowę o świadczenie usług bankowych i to na jej podstawie udostępnia dane swoich pracowników w celu dokonania przelewów wynagrodzeń. Bank realizuje zadania wynikające z przepisów ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe i w momencie otrzymania od pracodawcy danych pracowników w celu świadczenia usług bankowych, staje się administratorem tych danych.

 

Źródło:

https://uodo.gov.pl/pl/225/878

więcej
< class="item_title"> Czy rada rodziców może być administratorem danych osobowych?

Do UODO trafilło pytanie dotyczące przetwarzania danych osobowych rodziców i ich przetwarzania przez radę rodziców:

 

"Odpowiadając na pytanie jednego z inspektorów UODO stwierdził, że administratorem danych osobowych rodziców uczestniczących w radzie rodziców, jak i danych przetwarzanych na jej posiedzeniach jest szkoła, w ramach której ta rada działa, nie zaś sama rada rodziców.

Rada rodziców jest wewnętrznym organem szkoły, który reprezentuje ogół rodziców uczniów. Jej działanie regulują art. 83 i 84 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz.U. z 2018 r., poz. 996). Tworzenie rady rodziców jest obligatoryjne (za wyjątkiem szkół i placówek artystycznych określonych w rozporządzeniu ministra właściwego do spraw kultury i ochrony dziedzictwa narodowego). Rada rodziców posiada określone w ustawach samodzielne kompetencje, jednak mimo to nie można jej uznać za administratora danych osobowych, bowiem jest to organ wewnętrzny szkoły o charakterze społecznym, działający w ramach jej struktury organizacyjnej, nie posiadający osobowości prawnej. Rada rodziców nie ma również charakteru jednostki organizacyjnej i nie została wyposażona w przymiot zdolności prawnej (vide wyrok Naczelnego Sądu Administracyjnego z 22 czerwca 2017 r., sygn. akt I OSK 2505/16). Co więcej zgodnie z ugruntowanym orzecznictwem rada rodziców nie ma zdolności sądowej, tzn. nie jest osobą fizyczną, osoba prawną, nie jest także jednostką organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną. Nie jest również organizacją społeczną w rozumieniu art. 33 § 2 k.p.a. uprawnioną do występowania w interesie rodziców uczniów (vide postanowienia Wojewódzkiego Sądu Administracyjnego w Warszawie z 8 czerwca 2016 r., sygn. II SA WA 754/16; postanowienie Naczelnego Sądu Administracyjnego z 14 czerwca 2012 r., sygn. I OZ 421/12; postanowienie Naczelnego Sądu Administracyjnego z 16 lutego 2009 r., sygn. I OSK 121/09)."

 

Źródło:

uodo.gov.pl

 

17-06-2019

więcej
< class="item_title"> Czy szkoła może tworzyć tablice pamięci z wizerunkami absolwentów?

W wielu szkołach, przedszkolach od lat wiszą tablice, na których upamiętnieni zostali byli uczniowie, wychowankowie – przez zdjęcia opisane imionami i nazwiskami.

 

Czy pod rządami RODO dalej mogą wisieć?

Obowiązujące przepisy prawa nie przyznają uprawnienia jednostce oświatowej do publikowania zdjęć swoich absolwentów. A wizerunek jest chroniony nie tylko przez przepisy o ochronie danych osobowych (art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), który określa możliwości przetwarzania danych osobowych), ale także przez ustawę o prawie autorskim i prawach pokrewnych (Dz. U. z 2018 r. poz. 1191 z późn. zm.), która w art. 81 określa warunki legalności rozpowszechniania wizerunku. 

 

Co zatem będzie decydowało o możliwości tworzenia takich miejsc pamięci?

Po pierwsze wyraźna zgoda każdej z osób lub jej przedstawiciela ustawowego (gdy absolwent nie jest jeszcze pełnoletni). Dotyczy to przede wszystkim zdjęć indywidualnych oraz grupowych prezentujących daną osobę na tle innych.

Po drugie spełnienie warunków określonych w art. 81 ustawy o prawie autorskim i prawach pokrewnych. tzn. bez zgody można rozpowszechniać wizerunek osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych,  a także jeśli wizerunek osoby stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

Po trzecie, gdy niemożliwa jest identyfikacja osób znajdujących się na zdjęciu. Bez zgody absolwentów można publikować zdjęcia zbiorowe (np. klasowe), które nie eksponują danej osoby, gdy dodatkowo nie towarzyszy im opis (w szczególności lista imion i nazwisk) lub inne elementy pozwalające na zidentyfikowanie tych osób lub zdjęcia są rozpowszechniane po upływie czasu, gdy na podstawie fotografii (oraz ewentualnie towarzyszących informacji) będzie niemożliwa identyfikacja wizerunku danej osoby z uwagi na jej wiek oraz zmianę wyglądu.

 

Podstawy prawne:

Art. 81. ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2018 r. poz. 1191 z późn. zm.).

 

Więcej w e-szkoleniu "RODO w codziennej pracy nauczyciela - cz. III" 

 

Beata Linowska

26-02-2019

więcej
< class="item_title"> Czy szkoła może wprowadzić system biometrycznej identyfikacji uczniów przy korzystaniu przez nich ze stołówki szkolnej?

Prezes Urzędu Ochrony Danych Osobowych wydał decyzję w sprawie przetwarzania przez szkołę danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej.

Szkoła Podstawowa nr 2 w Gdańsku korzysta z czytnika biometrycznego przy wejściu do stołówki szkolnej, który identyfikuje dzieci w celu weryfikacji uiszczenia opłaty za posiłek.

Szkoła pozyskuje te dane i przetwarza je na podstawie pisemnej zgody rodziców lub opiekunów prawnych. To rozwiązanie funkcjonuje w placówce od 1 kwietnia 2015 r. W roku szkolnym 2019/2020 z czytnika biometrycznego korzysta 680 uczniów, a czterech uczniów z alternatywnego systemu identyfikacji.

Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym Prezes UODO stwierdził, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując tę usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Prezes UODO wskazał, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych, jakie szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania. 

W takiej sytuacji zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na to przetwarzanie. Uznanie faktu wyrażenia zgody przez rodziców dzieci jako okoliczności legalizującej pobranie od dzieci innych danych niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów. 

Wobec powyższego uznać należy, że Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej. W związku z tym, z uwagi na to, że Szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2 RODO, takie postępowanie prowadzi do naruszenia art. 9 ust. 1 RODO oraz zasady minimalizacji danych ustanowionej w RODO, zgodnie z którą administrator danych czyli w tym przypadku Szkoła, nie powinna pozyskiwać danych ponad miarę, lecz jedynie te, które są niezbędne dla zrealizowania celów. Należy zauważyć, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. 

Za to naruszenie została nałożona administracyjna kara pieniężna na Szkołę. Co więcej Prezes UODO nakazał jej usunięcie danych osobowych przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci oraz zaprzestanie dalszego zbierania danych osobowych.

W ukaranej Szkole Podstawowej nr 2, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. W ocenie Prezesa UODO wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne.

Prezes UODO uzasadniając swoja decyzję podkreślił, że dane osobowe dzieci wymagaja szczególnej ochrony, a w omawianej sprawie przetwarzane dane są szczególnych kategorii. System biometryczny identyfikuje cechy, które są niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemożliwe do zmiany. Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się z ostrożnością i rozwagą. Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych.

 

Na podstawie: https://uodo.gov.pl/pl/138/1453

 

Beata Linowska

06-03-2020

 

więcej
< class="item_title"> Czy szkoła musi prowadzić rejestr czynności przetwarzania?

Art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 określa podmioty, które obowiązane są prowadzić taki rejestr,  a także warunki, które mają wpływ na konieczność realizowania takiego obowiązku.

Zgodnie z nim taki obowiązek spoczywa na przedsiębiorcach lub podmiotach zatrudniających co najmniej 250 osób, ale także rejestr czynności przetwarzania należy prowadzić (art. 30 ust. 5 RODO), gdy przetwarzanie danych osobowych:

  • może powodować ryzyko naruszenia prawa lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mówi art. 9 ust. 1 RODO,
  • obejmuje dane dotyczące wyroków skazujących i czynów zabronionych.

Taki rejestr należy prowadzić, gdy zachodzi przynajmniej jeden z ww. warunków, ale tylko dla tych wskazanych rodzajów przetwarzania.

Zatem szkoła, jak i każda placówka oświatowa obowiązana jest prowadzić rejestry czynności przetwarzania, gdyż posiada dane, które przetwarza w sposób ciągły (dane pracowników, uczniów), a także przetwarza dane szczególnej kategorii (dane kandydatów do szkoły).

Art. 30 ust. 1 wskazuje składowe takiego rejestru. Rejestr czynności przetwarzania powinien zawierać:

imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz inspektora ochrony danych;

  1. cele przetwarzania;
  2. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  3. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
  4. jeżeli jest to możliwe, planowany termin usunięcia poszczególnych kategorii danych;
  5. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Na stronach Urzędu Ochrony Danych Osobowych został zamieszczony przykładowy rejestru czynności dla szkół (www.uodo.gov.pl). Przedstawiony wzór nie jest jedynym właściwym, niemniej jednak wskazuje pozycje jakie powinny się w nim znaleźć.

W załączeniu zamieszczamy proponowany przez nas sposób prowadzenia takiego rejestru czynności.

 

Podstawy prawne:

  • Art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób   
    fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

Beata Linowska

26-02-2019

więcej
< class="item_title"> Czy w przypadku dożywiania dzieci szkoła musi zawrzeć umowę powierzenia danych z OPS?

Gminny ośrodek pomocy społecznej na podstawie ustawy z dnia 12 marca 2004 r. o pomocy społecznej oraz uchwały nr 140 z dnia 15 października 2018 r. w sprawie ustanowienia wieloletniego rządowego programu „Posiłek w szkole i w domu” na lata 2019-2023 realizuje zadanie jakim jest dożywanie dzieci w szkołach. W związku z ww. zadaniem pomiędzy GOPS, a szkołą dochodzi do wymiany danych osobowych uczniów, którzy potrzebują takiej formy wsparcia. Czy w ww. przypadku będzie dochodziło do powierzenia danych osobowych uczniów między tymi podmiotami oraz konieczności zawarcia umowy, czy raczej będzie tu miało miejsce udostępnienie danych osobowych?


W ww. przypadku mamy do czynienia z udostępnieniem danych osobowych na podstawie przepisów prawa.


Kwestie realizacji zadania, jakim jest dożywianie dzieci w szkołach reguluje ustawa z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2018 r., poz. 1508) oraz uchwała nr 140 z dnia 15 października 2018 r. w sprawie ustanowienia wieloletniego rządowego programu „Posiłek w szkole i w domu” na lata 2019-2023.


Zgodnie z art. 17 ust. 1 pkt 14 ustawy o pomocy społecznej do zadań własnych gminy o charakterze obowiązkowym należy m.in. dożywianie dzieci. Natomiast program „Posiłek w szkole i w domu” na lata 2019-2023 jest programem wspierania finansowego gmin w zakresie realizacji powyższego zadania. Koordynatorem programu na szczeblu gminy jest wójt, burmistrz, prezydent miasta, zaś sam program w gminie realizują samorządowe jednostki organizacyjne pomocy społecznej, przy udziale właściwych jednostek organizacyjnych gminy.


Na podstawie powyższego programu gmina realizuje pomoc w dożywianiu dzieci poprzez ośrodki pomocy społecznej, przy udziale właściwych jednostek organizacyjnych gminy tj. szkół oraz przedszkoli (pkt IV.1.1 programu). Stosownie, zaś do pkt III.1.2 ww. programu w szczególnie uzasadnionych przypadkach, gdy uczeń albo dziecko nie spełnia wymagań, o których mowa w programie, a wyraża chęć zjedzenia posiłku dyrektor szkoły lub przedszkola informuje ośrodek pomocy społecznej, właściwy ze względu na miejsce zamieszkania ucznia lub dziecka, o potrzebie udzielenia pomocy w formie posiłku.


Zgodnie z wyżej wskazanymi przepisami, aby możliwe było zrealizowanie celu, jakim jest dożywianie dzieci niezbędne jest przetwarzanie określonych danych osobowych przez ośrodek pomocy społecznej oraz szkołę.


Wobec powyższego ww. sytuacji nie zachodzi konieczność zawarcia między tymi podmiotami umowy powierzenia przetwarzania danych. Mamy tu bowiem do czynienia z udostępnieniem danych na podstawie przepisów prawa. Każdy z tych podmiotów jest odrębnym administratorem względem przetwarzanych przez siebie danych i przetwarza te dane w oparciu o obowiązujące przepisy prawa.

 

Źródło:

https://uodo.gov.pl/pl/225/1170

więcej
< class="item_title"> Czy w przypadku kierowania ucznia na praktyki zawodowe konieczne jest powierzenie?

Zgodnie z przepisami RODO konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator danych osobowych zleca przetwarzanie danych innemu podmiotowi (podmiotowi przetwarzającemu). Wówczas podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Kwestie związane z praktyczną nauką zawodu uregulowane zostały w ustawie Prawo oświatowe oraz w rozporządzeniach wykonawczych. Zgodnie z przepisami rozporządzenia Ministra Edukacji Narodowej z dnia 22 lutego 2019 r. w sprawie praktycznej nauki zawodu, uczniowie i słuchacze (dalej: uczniowie) publicznych szkół ponadgimnazjalnych prowadzących kształcenie zawodowe uczestniczą w zajęciach praktycznych bądź praktykach zawodowych. Mogą być one organizowane na podstawie umowy zawartej przez szkołę z pracodawcą w przypadku ucznia lub na podstawie umowy zawartej z pracodawcą przez młodocianego pracownika.

W przypadku organizacji praktycznej nauki zawodu przez szkołę przekazuje ona na mocy umowy dane osobowe uczniów podmiotowi, z którym zawarła umowę o realizacje takiej nauki. Podmiot ten z chwilą otrzymania danych ucznia staje się ich administratorem. Zwrócić bowiem należy uwagę, że zarówno szkoła, jak i pracodawca mają określone w ww. rozporządzeniu role i zadania związane z organizacją praktycznej nauki zawodu. Pracodawca zapewnia możliwość faktycznego odbywania praktyk, zapoznając praktykanta m.in. z organizacją pracy, regulaminem oraz dyscypliną pracy. Może też upoważnić go do przetwarzania danych osobowych, jeżeli będzie to niezbędne w  związku z odbywaniem praktyki.

Oznacza to, że zarówno szkoła, jak i podmiot przyjmujący uczniów na praktyczną naukę zawodu występują w roli odrębnych administratorów. Wobec powyższego – skoro nie występuje sytuacja określona w art. 28 RODO (tj. przetwarzanie danych w imieniu administratora) – nie ma obowiązku zawierania umowy powierzenia przetwarzania danych osobowych. W tej sytuacji mamy do czynienia z udostępnieniem danych osobowych niebędącym powierzeniem – podmiot, który otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego.

 

Źródło: https://uodo.gov.pl/pl/225/1465

więcej
< class="item_title"> Dlaczego prowadzenie rejestru czynności jest zaliczane do zadań IOD?

Zgodnie z art. 30 ust. 1 i 2 RODO, do administratora należy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada, a do podmiotu przetwarzającego - prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. To te podmioty są odpowiedzialne za efektywne wykonanie tego obowiązku i pozostawanie w gotowości do wykazania tego na żądanie organów ochrony danych. Tym samym są one zobowiązane samodzielnie określić, kto konkretnie w danej organizacji ma wykonywać określone czynności składające się na spełnienie wymogów określonych w art. 30 RODO, uwzględniając konkretne okoliczności, m.in. takie jak wielkość i struktura organizacyjna danego podmiotu oraz skala przetwarzania danych. Zgodnie z jedną z najważniejszych zasad, na których oparta jest nowa regulacja – zasadą rozliczalności, odpowiedni dobór rozwiązań zapewniających zgodność z przepisami o ochronie danych osobowych należy do administratorów danych i podmiotów przetwarzających.

Ze względu na swoją zawartość i cele, rejestry czynności oraz rejestry kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów należy do administratorów i podmiotów przetwarzających, nie zaś do inspektora ochrony danych, niemniej trudno sobie wyobrazić, że inspektor ochrony danych - jako osoba dysponująca odpowiednią wiedzą i umiejętnościami w dziedzinie ochrony danych osobowych - nie będzie angażowała się w tworzenie i prowadzenie rejestrów, a następnie wykorzystywała ich w swojej pracy.

Inspektor ochrony danych jako fachowiec może wspomagać administratora w tworzeniu i prowadzeniu rejestrów na przykład poprzez zbieranie informacji w celu identyfikacji procesów przetwarzania.

Ponadto zgodnie z art. 38 RODO, administrator oraz podmiot przetwarzający zobowiązani są do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Udział w prowadzeniu wskazanego rejestru może w znacznym stopniu przyczyniać się do realizacji ww. obowiązku.

W Wytycznych Grupa Robocza Art. 29 wskazuje, że obowiązki prowadzenia rejestru są obowiązkami administratora i podmiotu przetwarzającego, jednak w praktyce często to inspektor ochrony danych tworzy i prowadzi powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji. Jak wskazano w Wytycznych: „Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich i przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE”.

 

Źródło:

więcej
< class="item_title"> Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak ma następować, to przetwarzanie danych osobowych w tym celu musi odpowiadać wymogom określonym w przepisach o ochronie danych osobowych.

Do Prezesa UODO napływają informacje o tym, że od osób wchodzących na teren firm prywatnych czy instytucji publicznych wymaga się podawania danych osobowych, nie realizując przy tym jednego z podstawowych obowiązków administratora, jakim jest informowanie osób o przetwarzaniu dotyczących ich danych. Tymczasem w takich sytuacjach osoby te powinny zostać poinformowane już na etapie gromadzenia danych m.in.:

  • kto przetwarza ich dane osobowe (art. 13 ust. 1 pkt a RODO)
  • w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 pkt c RODO)
  • kim są odbiorcy danych osobowych (art. 13 ust. 1 pkt e RODO)
  • jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 pkt a RODO)
  • o prawie dostępu do danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do sprostowania danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do wniesienia skargi do UODO (art. 13 ust. 2 pkt d RODO).

Informacja (klauzula informacyjna) dotycząca spełnienia przez administratora obowiązku informacyjnego wobec osoby wchodzącej na teren budynku musi być czytelna i znajdować się w miejscu odbierania danych, tak żeby osoba mogła się bez problemu z nią zapoznać np. na kontuarze recepcyjnym lub tablicy umieszczonej tuż nad nim.

Prowadzenie ewidencji wejść i wyjść w celu np. zapewnienia bezpieczeństwa osób przebywających w budynku lub znajdującego się w budynku mienia może dotyczyć wielu administratorów, realizujących to zadanie na podstawie różnych przepisów prawa. W określonych przypadkach, przetwarzanie danych może być niezbędne w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Przykładem zadań, 
o których mowa w tej przesłance są zadania określone w ustawie o zasadach zarządzania mieniem państwowym, gdzie dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe (art. 5a ustawy o zasadach zarządzania mieniem państwowym). Innym przykładem może być ogólny  obowiązek zapewnienia bezpieczeństwa w szkole ( art. 1 pkt 14 ustawy prawo oświatowe), który wskazuje, iż system oświaty zapewnia utrzymywanie bezpiecznych i higienicznych warunków nauki, wychowania i opieki w szkołach i placówkach. W innych przypadkach, przetwarzanie danych może być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt. 1 ustawy o ochronie informacji niejawnych). Przepisy ustawy o ochronie osób i mienia dają podstawę pracownikom ochrony do przetwarzania danych osób wchodzących do budynku czy na teren przedsiębiorcy (art. 36 ust. 1 ustawy o ochronie osób i mienia). Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść może być także  prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Wprowadzenie ewidencji wejść i wyjść rodzi również po stronie administratora szereg innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator musi wypracować wewnętrzne procedury, w których precyzyjnie określi, w jaki sposób będzie on gromadzić, a następnie w jaki sposób i jak długo  - przechowywać dane osobowe w związku z przedmiotową ewidencją. Starannego przemyślenia wymaga również ustalenie, w jaki sposób dokonywana będzie weryfikacja tożsamości danej osoby, która zamierza wejść do określonej przestrzeni. Administrator zobowiązany jest precyzyjnie określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO). Pozyskiwanie danych osobowych przez zarządców czy właścicieli budynków, będzie działaniem dopuszczalnym, jeżeli będzie ograniczone do niezbędnych danych, tj. obejmujących imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą.

Administrator powinien każdorazowo pamiętać o tzw. zasadzie „ograniczenia przechowywania”, czyli gromadzeniu danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są zebrane (art. 5 ust. 1 lit. e RODO). Innymi słowy, w sytuacji zrealizowania przez administratora zamierzonego celu, dane powinny zostać usunięte.

Niezmiernie istotne jest również zagwarantowanie odpowiedniego zabezpieczenia danych osobowych zawartych w ewidencji, w tym przed dostępem osób nieupoważnionych przez administratora. Administrator lub podmiot przetwarzający zobowiązany jest bowiem - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia - wdrożyć i zapewnić skuteczne funkcjonowanie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa danym osobowym (art. 24 i art. 32 ust. 1 RODO). Innymi słowy administrator ma  obowiązek zorganizowania bezpieczeństwa procesu przetwarzania danych osobowych, w sposób odpowiadający obowiązującym przepisom w zakresie przetwarzania danych osobowych i  dokonania tego w taki sposób, który odpowiadał będzie zagrożeniom oraz kategoriom przetwarzanych danych.

 

Źródło:

https://uodo.gov.pl/pl/138/883

więcej
< class="item_title"> Inspektor Ochrony Danych, kontrola UODO | szkolenie

Szanowni Państwo,

 

zapraszamy na nasze nowe szkolenie, na którym przedstawimy zadania i obowiązki Inspektora Ochrony Danych, a także sposoby ich wykonywania i dokumentowania w placówce oświatowej.

Jednocześnie w związku z planowanymi kontrolami sektorowymi UODO konieczne jest przygotowanie się do nich. W trakcie szkolenia dowiedzą się Państwo czego się spodziewać, jakie działania podjąć i z jakich uprawnień korzystać podczas samej kontroli.

 

Więcej szczegółow odnośnie proponowanego szkolenia znajdą Państwo w zakładce Szkolenia.

Serdecznie zapraszamy

 

 

więcej
< class="item_title"> Jak powinien zareagować dyrektor na wniosek o usunięcie danych osobowych?

Reakcją administratora na wniosek o usunięcie danych osobowych winno być usunięcie tych danych zgodnie z żądaniem, jeśli spełnione są przesłanki uwzględnienia wniosku z art. 17 ust. 1 RODO.

 

Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomnianym”)

1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a)      dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b)      osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c)      osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d)      dane osobowe były przetwarzane niezgodnie z prawem;

e)      dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f)       dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

W szczególności żądanie usunięcia danych powinno być zrealizowane, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane bądź osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania.

W każdym indywidualnym przypadku administrator danych zobowiązany jest ustalić, czy na podstawie dotychczas posiadanych przez siebie informacji jest w stanie ustalić tożsamość osoby, która wystąpiła z żądaniem. Dopiero w razie niemożności zweryfikowania tożsamości osoby żądającej usunięcia danych administrator może zażądać dodatkowych informacji od podmiotu danych. Dla potwierdzenia tożsamości podmiotu, który zażądał usunięcia danych wystarczający może okazać się zwykły e-mail zawierający skan podpisanego żądania o usunięcie danych (np. w sytuacji gdy e-mail wysłany został ze znanego administratorowi danych adresu albo gdy podpis na skanie dokumentu jest zgodny z podpisem znajdującym się na dokumentach składanych do tej pory przez podmiot danych). Natomiast chodzi o e-mail czy pismo, które zawiera żądanie usunięcia danych, to ze względu na zasadę rozliczalności i uprawnienia podmiotów danych (np. prawo do przeniesienia danych) administrator powinien rozważyć pozostawienie e-miala, pisma w dokumentacji, ale jednoczesne podjęcie czynności prowadzących do zminimalizowania zawartych w nich danych osobowych.

Zapraszamy na szkolenia dotyczące ochrony danych osobowych,gdzie odpowiemy na wiele innych pytań nurtujących ADO, IOD.

 

Dariusz Skrzyński

17-09-2019

więcej
< class="item_title"> Jak Prezes UODO nakłada administracyjne kary pieniężne?

Na stronach Urzędu Ochrony Danych Osobowych pojawia się coraz więcej informacji dotyczących nałożenia kar finansowych przez Prezesa UODO. Warto wiedzieć jakie okoliczności bierze pod uwagę Prezes Urzędu nakładając karę?

 

Status i kompetencje Prezesa UODO

Prezes UODO to niezależny organ, który stoi na straży gwarantowanych w Konstytucji RP oraz prawie UE praw podstawowych: prawa do ochrony danych osobowych i prawa do prywatności. Dba, by wykorzystywanie danych osobowych odbywało się zgodnie z zasadami przetwarzania danych. Zabiega też o właściwe rozwiązania prawne i podejmuje działania mające na celu podnoszenie świadomości w zakresie ochrony danych osobowych, w szczególności upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych, jak również upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o spoczywających na nich obowiązkach związanych z przetwarzaniem danych osobowych.

Prezes UODO monitoruje i egzekwuje przestrzeganie przepisów o ochronie danych osobowych oraz rozpatruje skargi wniesione przez osoby, których dane dotyczą.

Prezes UODO jest jedynym organem umocowanym prawnie do wydawania wytycznych i interpretowania postanowień ogólnego rozporządzenia o ochronie danych (RODO) i innych przepisów o ochronie danych osobowych.

 

Nie tylko kara pieniężna. Sankcje w razie naruszenia przepisów o ochronie danych osobowych

Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO.

Uprawnienia naprawcze Prezesa UODO są określone w art. 58 ust. 2 RODO. Na ich podstawie Prezes UODO może np.:

  • wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,
  • udzielać upomnień w przypadku naruszenia RODO,
  • nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,
  • wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania
  • nałożyć, oprócz lub zamiast pozostałych środków naprawczych, administracyjną karę pieniężną

Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na możliwość zastosowania przez Prezesa UODO innych uprawnień, czy też sankcji.

 

Kara jest zawsze zindywidualizowana  

Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.

Każda sytuacja jest badana przez organ nadzorczy indywidualnie. Prezes UODO, wydając decyzję w konkretnej sprawie, analizuje stan faktyczny i prawny na dzień jej wydania. Nawet w przypadku dwóch podobnych zdarzeń, w jednym może zostać nałożona administracyjna kara finansowa, a w drugim nie. Przesądzić bowiem o tym mogą specyficzne okoliczności związane z tymi sprawami.

Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników.

Istotne będą więc m.in.:

  • charakter, waga i czas trwania naruszenia;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
  • wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
  • stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).

 

Wysokość kary

Prezes UODO bierze pod uwagę ww. czynniki zarówno wtedy, gdy decyduje o zasadności nałożenia administracyjnej karypieniężnej, jak i wtedy, gdy określa jej wysokość. Przepisy przewidują górne limity wysokości kar. Prezes UODO nakłada karę pieniężną za naruszenie w wysokości:

  • do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
  • do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
  • do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
  • do 10 000 złotych na państwowe i samorządowe instytucje kultury.

Równowartość wyrażonych w euro kwot administracyjnych kar pieniężnych oblicza się według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, kiedy obchodzony jest Dzień Ochrony Danych Osobowych.

Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa. Nie zasilają one  samego Urzędu.

Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na wniosek podmiotu ukaranego Prezes UODO może odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty jeżeli przemawia za tym ważny interes wnioskodawcy.

 

Źródło:

https://uodo.gov.pl/pl/138/1244

więcej
< class="item_title"> Jaka jest podstawa przetwarzania danych członków rodziny pracownika korzystającego z ZFŚS?

Pracownicy, składając wniosek o uzyskanie świadczenia z ZFŚS i przedstawiając dane o swojej sytuacji życiowej, rodzinnej i materialnej,podają również dane członków swojej rodziny. Jaka jest podstawa prawna przetwarzania danych tych osób (dane małżonka, dzieci pracownika)Czy właściwą przesłanką jest zgoda?

Zgodnie z przepisami ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Artykuł 8 ust. 1 wspomnianej ustawy zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. A zatem podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych oraz ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO w połączeniu z właściwym, wyżej wskazanym przepisem ustawy o zakładowym funduszu świadczeń socjalnych.

Pracodawca nie powinien zatem pozyskiwać zgody na przetwarzanie danych osobowych od członków rodziny pracownika, bowiem żeby przyznać pracownikowi świadczenie z zakładowego funduszu świadczeń socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi on wspólne gospodarstwo domowe. W celu realizacji tych potrzeb musi więc przetwarzać dane osobowe tych osób, ale tylko te dane, które są niezbędne dla realizacji celu, w jakim je pozyskał.

 

Źródło: https://uodo.gov.pl/pl/138/1360

06-08-2020

więcej
< class="item_title"> Jakie dane nauczycieli szkoła może przekazać organowi prowadzącemu?

W przepisach prawa oświatowego zostały ściśle określone dane osobowe nauczycieli, które szkoła może przekazać organowi prowadzącemu.

Zgodnie z art. 110 ust. 2 ustawy Prawo oświatowe dyrektor zobowiązany jest opracować arkusz organizacyjny szkoły, który przekazuje organowi prowadzącemu do zatwierdzenia. Natomiast rozporządzenie MEN w sprawie szczegółowej organizacji publicznych szkół i publicznych przedszkoli określa dane, jakie taki arkusz musi zawierać:

     § 17 Arkusz organizacji szkoły określa:

1) liczbę nauczycieli ogółem, w tym nauczycieli zajmujących stanowiska kierownicze;

2) imię, nazwisko, stopień awansu zawodowego i kwalifikacje poszczególnych nauczycieli oraz rodzaj prowadzonych przez nich zajęć, w tym liczbę godzin tych zajęć; (…).

 

W związku z tym organ prowadzący szkołę ma dostęp do takich danych osobowych jak: imię i nazwisko nauczyciela, jego stopień awansu zawodowego, kwalifikacje oraz rodzaj prowadzonych przez niego zajęć.

Do przekazania tych danych administrator danych nie potrzebuje zgody nauczyciela. Obowiązek przekazania wynika wprost z ustawy i przepisów wydanych na jej podstawie.

 

Podstawy prawne:

Art. 110 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2018 r. poz. 996 z późn. zm.).

§ 17 ust. 2 rozporządzenia Ministra Edukacji Narodowej z dnia 17 marca 2017 r. w sprawie szczegółowej organizacji publicznych szkół i publicznych przedszkoli (Dz. U. z 2017 r. poz. 649 z późn. zm.).

 

Beata Linowska

26-02-2019

więcej
< class="item_title"> Jest już podręcznik dla IOD!

Na stronach UODO udostępniono polską wersję językową podręcznika dedykowanego inspektorom ochrony danych osobowych. Nie jest to materiał dedykowany ściśle inspektorom działającym tylko w obszarze oświaty, ale niewątpliwie zawiera konkretne wytyczne i wskazówki, które mają ułatwić wykonywanie prze nich zadań.

Podręcznik to zbiór wytycznych dla IOD dotyczących sposobu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO).

 

UWAGA!

Udostępniony poradnik nie może być traktowany jako oficjalne stanowisko organu nadzorczego (PUDOD), to jednak zawarta w nim wiedza może stanowić pomoc w pełnieniu funkcji inspektora.

 

Co znajdziemy w podręczniku:

  • omówienie historii regulacji europejskich w zakresie ochrony danych osobowych oraz obecnie obowiązujących przepisów w tym zakresie;
  • podstawowe definicje związane z ochroną danych osobowych;
  • przegląd najważniejszych przepisów RODO;
  • praktyczne wskazówki w zakresie realizacji zadań IODO.

 

Podręcznik w formacje PDF dostępny na stronie PUODO: https://uodo.gov.pl/pl/168/1298

 

Dariusz Skrzyński

09-01-2020

 

 

więcej
< class="item_title"> Kiedy można umieścić zdjęcie ucznia na stronie www szkoły?

Przepisy prawa oświatowego dokładnie określają, jakie dane osobowe ucznia może pozyskiwać i przetwarzać szkoła. Nie ma wśród nich wizerunku ucznia. Dlatego zgodnie z zapisami art. 6 ust 1 lit a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych (…) administrator danych zobowiązany jest do uzyskania zgody rodzica (opiekuna prawnego) lub pełnoletniego ucznia do przetwarzania wizerunku ucznia.

Samo rozpowszechnianie zdjęć, a zatem umieszczanie ich na stronie internetowej szkoły, podlega przepisom ustawy o prawie autorskim i prawach pokrewnych (art. 81), który uzależnia możliwość rozpowszechniania zdjęć od:

  1. zgody osoby na nim przedstawionej (w przypadku niepełnoletniego ucznia – jego rodziców (opiekunów prawnych)).
  2. tego czyj wizerunek widnieje na zdjęciu, bowiem można rozpowszechniać wizerunek osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych
  3. przedstawienia osób na zdjęciu - zezwolenia nie wymaga rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

Reasumując, do zamieszczania zdjęć ucznia na stronie internetowej szkoły, konieczne jest uzyskanie zgody rodziców (opiekunów prawnych) ucznia bądź też pełnoletniego ucznia, chyba, że prezentowany wizerunek stanowi jedynie szczegół zdjęcia.

Należy także pamiętać o uzyskaniu takich zgód na przetwarzanie wizerunku uczniów biorących udział w konkurach międzyszkolnych i przedstawieniu odpowiednich klauzul informacyjnych.

 

Podstawy prawne:

Art. 81. ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2018 r. poz. 1191 z późn. zm.).

Art. 6. ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

Więcej w e-szkoleniu "RODO w codziennej pracy nauczyciela - cz. III"

 

Beata Linowska

26-02-2019

więcej
< class="item_title"> Kilka porad jak w czasie wakacji zadbać o swoje dane osobowe

Dowód osobisty pozostawiony w zastaw za wypożyczony sprzęt rekreacyjny. Zgubiony portfel z dokumentami. To najczęstsze sytuacje podczas wakacji, gdy narażamy się na to, że nasze dane wpadną w niepowołane ręce i mogą zostać wykorzystane np. do zaciągnięcia na nas pożyczki. Zadbaj o bezpieczeństwo swoich danych osobowych, aby tegoroczny urlop nie przysporzył niepotrzebnych problemów.

Rower wodny, kajak czy łódka wypożyczone tylko na godzinę. Chwila przyjemności, relaksu, a dowód osobisty jest przecież bezpieczny – w szufladzie firmy wypożyczającej sprzęt wodny. Bez pozostawienia dokumentu w zastaw nie moglibyśmy przecież w pełni skorzystać z oferowanych atrakcji. Tyle że godzina to wystarczająco długo, by ktoś (niekoniecznie pracownik firmy) wyjął dokument z szuflady, zrobił jego kopię i …  zaczynają się problemy.

Ktoś, kto pozyska nasze dane, może dzięki nim zaciągnąć pożyczkę, zrobić zakupy przez internet. Mogą też one posłużyć do zawarcia umów np. z operatorem telefonii komórkowej, wypożyczenia drogiego sprzętu i następnie jego kradzieży.

 

Nie zostawiaj dowodu w zastaw

Urząd Ochrony Danych Osobowych przypomina, że nikt zgodnie z prawem nie może od nas wymagać, byśmy zostawili dokument tożsamości (np. dowód osobisty, paszport, prawo jazdy) w zastaw np. za wypożyczany sprzęt. Dokumenty są wydawane w celach ściśle określonych przepisami prawa i zawierają wskazany w nich katalog danych osobowych, który jest szerszy niż ten, jaki można uznać za niezbędny dla realizacji określonego celu.

Pamiętajmy też, że dokumentami mogą posługiwać się tylko te osoby, którym zostały one wydane. Prawo zabrania zatrzymywania dokumentów potwierdzających tożsamość, jak i przetwarzania danych w nich zawartych. Uprawnione do tego są jedynie instytucje wskazane w aktach prawnych regulujących funkcjonowanie określonych podmiotów bądź sektorów. Dlatego np. ustawa o dowodach osobistych określa, że za zatrzymywanie bez podstawy prawnej naszego dowodu osobistego grozi kara ograniczenia wolności albo kara grzywny.

Z kolei paszport, nie jest nawet naszą własnością, ale Rzeczypospolitej Polskiej. Został on nam wydany jedynie w celu przekraczania granicy i pobytu za granicą oraz poświadczania obywatelstwa polskiego, a także tożsamości. Nie można więc nim dowolnie dysponować w innych celach niż te, dla których został wydany.

Zatrzymywanie tych, jak i innych dokumentów potwierdzających tożsamość prowadzi nie tylko do naruszenia krajowych przepisów, ale także zasad zawartych w ogólnym rozporządzeniu ochronie danych (RODO). Chodzi o zasady: zgodności z prawem, ograniczenia celu oraz adekwatności (art. 5 RODO).

 

Nie pozwól robić ksera

Niektórzy usługodawcy przy wypożyczaniu sprzętu rekreacyjnego, np. łódek czy kajaków, nie chcą w zastaw dokumentu, ale jego kserokopię. Tego również nie wolno im robić. W dalszym ciągu taka praktyka naraża nas na te same niebezpieczeństwa. Dlatego nie gódźmy się na to, nawet gdy przedsiębiorca tłumaczy, że to jest wymagane do dochodzenia ewentualnych roszczeń, np. za zniszczony czy nieoddany sprzęt. Do tego wystarczające powinno być spisanie z dokumentu informacji, które będą pomocne przy dochodzeniu ewentualnych roszczeń np. imienia i nazwiska czy numeru PESEL Nieuzasadnione jest jednak przetwarzanie wszystkich danych widniejących np. w dowodach osobistych. Innym rozwiązaniem jest też wpłacenie kaucji za wypożyczony sprzęt.

Jeżeli przedsiębiorca postanowił spisać twoje dane z dowodu osobistego, to domagaj się, by po tym jak zwrócisz wypożyczony sprzęt, usunął je albo zwrócił ci formularz lub notatkę,  którychj je zapisał.

Z podobnymi żądaniami o pozostawienie dokumentu albo pozwolenie na jego skopiowanie możemy się spotkać choćby w hotelowej recepcji. Nie wolno tego robić. Pracownik recepcji może jedynie poprosić nas o przedstawienie dokumentu w celu ustalenia naszej tożsamości. To oznacza, że recepcjonista ma prawo wglądu do naszego dowodu osobistego, ale nie do jego kopiowania czy zatrzymywania.

 

Nie trać kontroli nad danymi

Okazji, by podczas wakacji pozyskać od nas nie tylko pieniądze, ale i dane osobowe jest więcej. Przykładem mogą być koncerty czy festiwale, których organizatorzy proponują nam bilet w atrakcyjnej cenie lub za darmo, gdy np. wypełnimy dodatkowy formularz i wyrazimy zgody na przetwarzanie danych, jakie w nim udostępniamy. Niestety, w ten sposób zaczynamy tracić kontrolę nad tym komu i w jakim celu udostępniliśmy nasze dane. A problem staje się jeszcze większy, gdy każdy z tych podmiotów udostępnił nasze dane swoim partnerom do celów marketingowych, na co przecież wyraziliśmy zgodę. Często więc po wakacjach zastanawiamy się skąd kolejna firma ma nasz numer telefonu? Nie doczytaliśmy lub nie pamiętamy, że sami je przekazaliśmy oraz wszelkie możliwe zgody.

Bywa i tak, że nieuczciwe podmioty przekazują nasze dane kolejnym firmom – już bez naszej zgody. I po kilku miesiącach firm dysponujących naszymi danymi jest znacznie więcej, co komplikuje możliwość dochodzenia swoich praw i kierowania żądań o usunięcie naszych danych.

 

Uważaj na ogłoszenia

Przykładem innej sytuacji, gdy w okresie wakacyjnym jesteśmy narażeni na utratę danych jest poszukiwanie pracy tymczasowej, np. przy zbiorze owoców lub w gastronomii. Niestety, wśród prawdziwych ogłoszeń są i takie, których celem jest pozyskanie jak najdokładniejszych informacji na nasz temat. Warto więc bardzo dokładnie analizować takie treści i szczególną ostrożność zachować, gdy potencjalny pracodawca chce, byśmy oprócz podstawowych danych na swój temat i wskazania danych do kontaktu, podali także np. numer PESEL i udostępnili skany naszych dokumentów tożsamości, co nie jest niezbędne w procesie rekrutacji.

Naszą czujność powinno wzbudzić także takie ogłoszenie, w którym podany jest link kierujący do dodatkowego  formularza w internecie. Należy też uważać, gdy potencjalny pracodawca, który nie jest nam znany, wysłała nam taki formularz w załączniku, który może być zainfekowany złośliwym oprogramowaniem.

Pamiętajmy, że do celów rekrutacyjnych pracodawca uprawniony jest do pozyskiwania tylko takich danych jak: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia.

 

Źródło:

https://uodo.gov.pl/pl/138/1073

 

25-06-2019

więcej

ECRK s.c.
ul. Elektryczna 1/3 lok. 216
15-080, Białystok
Oddział Warszawa:
ul. Zaruby 6A lok. 32
 
Telefony

logo