Jesteś ciekaw, czy naprawdę aż tyle spraw wygrywamy?

Jeżeli dalej nie wierzysz, możesz sprawdzić autentyczne wyroki, które regularnie publikujemy w zakładce "AKTUALNOŚCI → WYROKI I UGODY"

Logo knf 3bfdf6af59f99be054f73a98975072c85da3fffc09285bf1f9155682e735a0e1

RODO

04.06.2019

Zmiany w sektorze bankowym w kontekście przetwarzania i ochrony danych osobowych


ZMIANY W SEKTORZE BANKOWYM W KONTEKŚCIE PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH


Jak wiadomo zmiany w przepisach obowiązujące od 4 maja 2019 r. (ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE)  (ogólne rozporządzenie o ochronie danych, RODO) a dotyczące przetwarzania i ochrony danych osobowych, dotknęły również sektor bankowy. Warto się przyjrzeć tym zmianom ponieważ dotyczą one klientów korzystających z szerokiej gamy produktów bankowych i w związku z tym, niekiedy obligatoryjnie, zobowiązanych udostępnić bankom szerszy zakres swoich danych osobowych niż tylko wynikający z konieczności zawarcia z bankiem umowy.


OCENA ZDOLNOŚCI KREDYTOWEJ


Profilowanie


Jedną z nowości w prawie bankowym jest pojawienie się definicji profilowania – definicji obowiązującej wg przepisów ogólnego rozporządzenia o ochronie danych. Czym więc jest profilowanie? Zgodnie z art. 4 pkt 4) oznacza ono „…dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się


Profilowanie składa się więc z trzech elementów:


 musi być zautomatyzowaną formą przetwarzania – ocena danej osoby generowana jest „automatycznie” przez system;


 musi być prowadzone odnośnie danych osobowych; oraz


 celem profilowania musi być ocena niektórych czynników osobowych osoby fizycznej.


Banki dysponują dużą ilością danych o klientach  - posiadając dostęp do historii rachunku są w stanie ustalić preferencje czy styl życia klienta, nawet informacje o jego stanie zdrowia. Nierzadko banki stosują algorytmy i modele scoringowe, które w sposób zautomatyzowany, na podstawie określonych danych o osobie przyporządkowują ją do określonej kategorii i np. „decydują” o warunkach kredytu lub o odrzuceniu wniosku kredytowego. To jest właśnie profilowanie.


Podstawą przetwarzania danych w postaci profilowania jest art. 105a ust. 1a-1c dający bankom oraz innym instytucjom prawo, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, podejmowania decyzj w oparciu wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych – również stanowiących tajemnicę bankową –pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana wsposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.


Ustawodawca wprost zaaprobował możliwość podejmowania decyzji, opierając się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych (w tym profilowaniu), jednak wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Ustawodawca nakłada na bank obowiązek wyjasnienia wnioksodawcy podstaw takiej decyzji, obowiązek umożliwienia interwencji “ludzkiej” (a więc z pominięciem automatycznego przetwarzania) w celu ponownego podjęcia decyzji o przyznaniu kredytu (pożyczki) oraz daje prawo wnioskodawcy do wyrażenia własnego stanowiska w sytuacji odmowy przyznania kredytu.


Bank w tym celu powinien wykorzystywać tylko dane niezbędne. Te dane to dane dotyczące osoby fizycznej (wnioskodawcy) oraz dane dotyczace zobowiązania.


Ustawodawca wśród danych dotyczacych osobowy fizycznej wymienia: imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, wiek, płeć, obywatelstwo, tytuł prawny do zajmowanego lokalu. formę zatrudnienia) sytuację finansową, w tym dochody i wydatki, sytuację finasnsową. Dane dotyczące zobowiązań to źródło zobowiązania (umowa, poręczenie, weksel) oraz jego kwotę i walutę, numer i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, nazwę i adres siedziby lub oddziału banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, datę powstania zobowiązania, warunki spłaty zobowiązania, ustanowione zabezpieczenia prawne, przebieg realizacji zobowiązania, stan zadłużenia z tytułu zobowiązania, datę wygaśnięcia zobowiązania, przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki. Zakres danych jakie banki mogą temat gromadzić na temat swoich klientów (zarowno pochodzących od nich jak i z innych źródeł) jest szeroki. Warto przy okazji pamiętać, że do tego aby bank je mógł gromadzić nie potrzebuje od nas zgody.


Bank nie może m. in. profilować kredytobiorców wykorzystując do tego informacje o stanie zdrowia lub dane dotyczące światopoglądu czyli nie może wykorzystywać danych szczególnych kategorii (danych wrażliwych).


Pisemne uzasadnienie oceny zdolności kredytowej przez bank


Kluczową dla klientów banków zmianą jest dodany w ustawie Prawo bankowe art. 70a – przepis ten obliguje bank na wniosek osoby fizycznej (i nie tylko), ubiegającej się o kredyt do przekazania, w formie pisemnej, wyjaśnienia dotyczącego dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Klienci zainteresowani przyczynami, dla których bank odmawiał przyznania kredytu do tej pory byli odprawiani z kwitkiem i takiej informacji nie otrzymywali, nie wiedzieli więc do końca jakie są konkretne przyczny odmowy przyznania kredytu czy pożyczki. Od 4 maja 2019 roku bank jest zobowiązany udzielić takich informacji na piśmie. 


Wyjaśnienie obejmować musi informacje na temat czynników, w tym danych osobowych wnioskującego,  które miały wpływ na dokonaną ocenę zdolności kredytowej. Jakie to dane osobowe? Na przykład wysokość innych zobowiązań, ich ilość, wysokość wynagrodzenia czy wpływów na rachunek bankowy, charakter zatrudnienia i stanowisko.


W przypadku przedsiębiorców (również osób fizycznych prowadzących działalność gospoadrczą) bank ma prawo od nich żądać opłaty za sporządzenie wyjaśnienia, która winna być “odpowiednia” do wyskości kredytu.


Regulacje te znajdują odpowiednie zastosowanie w przypadku udzielaniu kredytów w oparciu o przepisy ustawy o kredycie konsumenckim.


 


PRZETWARZANIE I WYMIANA INFORMACJI OBJĘTYCH TAJEMNICĄ BANKOWĄ W CELU ZAPOBIEGANIA PRZESTĘPSTWOM


Zgodnie ze znowelizowanymi przepisami prawa bankowego od 4 maja 2019 roku banki oraz inne instytucje ustawowo uprawnione do udzielania kredytów zyskują prawo przewtarzania i wzajemnej wymiany dotyczące informacji (i danych osobowych):


-        jeżeli zajdzie uzasadnione podejrzenie, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 299 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych narachunku środków, co do których zachodzi takie podejrzenie,


-        w razie uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.


Ustawodawca zastrzega, że wszelkie dane i informacje (w tym dotyczące wyroków skazujących) mogą być przetwarzane przez sektor bankowy tylko w zakresie niezbędnym do zapobiegania przestępstwom.


Nowo dodany przepis art 106e Prawa bankowego ogranicza w zakresie zapobiegania przestępczości (w tym również związanej z praniem brudnych pieniędzy) stosowanie art. 15 Ogólnego Rozporządzenia czyli ogranicza prawo dostępu do danych osobowych. Jeżeli stanie się to niezędne ze względu na zwalczanie takowej przestępczości osoba, której dane dotyczą nie będzie mogła skorzystać z prawa wynikającego z tego przepisu i nie uzyska od banku oraz innej instytucji informacji czy ta przetwarza jej dane osobowe oraz w jakim zakresie to robi.


Wydaje się, że podmiot sektora bankowego zwolniony będzie również z obowiązku informacyjnego (zwłaszcza w oparciu o art. 14 ust. 1 i 2 RODO).


 


Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu


Zmiany dotknęły także ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W art 34. znajdował się ust. 6, zgodnie z którym przetwarzanie informacji (w tym danych osobowych) w ramach środków bezpieczeństwa finansowego stosowanych przez instytucje finansowe (w tym banki) odbywało się bez wiedzy osób, których te informacje dotyczą. Przepis ten z dniem 4 maja 2019 roku uchylono.


W art. 66 ustawy wprowadzono zmianę dotyczącą stosowania przepisów o ochronie danych osobowych przy prowadzeniu Centralnego Rejestru Beneficjentów Rzeczywistych czyli systemu teleinformatycznego służącego przetwarzaniu informacji o beneficjentach rzeczywistych spółek: jawnych, komandytowych, komandytowo-akcyjnych, spółek z o. o. oraz akcyjnych poza spółkami publicznymi wrozumieniu ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych. Administratorem danych zgromadzonych w tym rejestrze jest Minister Finansów. Zmiana polega na wyłączeniu stosowania przepisu art. 15 ust lit c) do przetwarzania danych w rejestrze. Oznacza ona, iż osoba której dane dotyczą, jeśli skorzysta z prawa dostępu do swoich danych, nie otrzyma informacji o odbiorcach tych danych lub kategoriach odbiorców, którym dane zostały lub zostana ujawnione zwłaszcza o odbiorcach w państwach trzecich i organizacjach międzynarodowych (np. Interpol).


WYMOGI DOTYCZĄCE OSÓB PEŁNIĄCYCH FUNKCJE KLUCZOWE W BANKACH


Przepisy ustawy z 21 lutego 2019 r. regulują także gromadzenie danych osobowych o kandydatach na członkó zarządów lub rad nadzorczych oraz osób ubiegających się o pełnienie innej kluczowej funkcji w banku. Osoby te są zobowiązane przedłożyć na żądanie banku:


-        dokumenty lub oświadczeń dotyczących: zmiany imienia, nazwiska lub obywatelstwa oraz sytuacji materialnej i stanu majątku;


-        informacje niezbędne do oceny czy kandydat daje rękojmię kwalifikacji na dane stanowisko dotyczących: adresu zamieszkania lub pobytu, wykształcenia, zawodu, umiejętności i doświadczenia zawodowego, w tym dotychczasowego przebiegu pracy zawodowej, ukończonych szkoleń zawodowych, miejsca i stanowiska pracy oraz funkcji pełnionych w organach podmiotów sektora finansowego,


-        informacje dotyczace postępowań karnych i postępowań w sprawach o przestępstwa skarbowe prowadzonych przeciwko kandydatowi na członka zarządu lub rady nadzorczej lub osobie ubiegającej się o pełnienie innej kluczowej funkcji w banku,


-        informacje dotyczące nałożonych sankcji administracyjnych oraz sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku,


-        informacje o postępowaniach sądowych, które mogą mieć negatywny wpływ na reputację kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku, oraz postępowań administracyjnych, dyscyplinarnych lub egzekucyjnych, w których występował lub występuje jako strona,


-        informacje o stopniu znajomości języka polskiego oraz języków obcych,


-        informacje o sposobie działania w życiu, środowisku i kontaktach zawodowych oraz sposobie zachowania się wobec osób pokrzywdzonych przez jego działania.


Kandydaci na członków zarządów czy rad nadzorczych banków (oraz innych kluczowych funkcji) są więc zobowiązani do udostepnienia na swój temat bardzo wielu informacji i to w oparciu o przepisy prawa i ich zgoda na przewtarzanie danych w tym wypadku nie jest wymagana.


Ustawodwaca ustala również okres przechowywania tych danych – bank jako ich administrator przechowuje je przez okres 25 lat.


Regulacje te znajdują odpowiednie zastosowanie do banków spółdzielczych.


 


Zmiany w przepisach dotykają więc klientów banków (całego sektora finansowego) i mają wpływ na bezpieczeństwo ich danych oraz, przede wszystkim, na realizację praw tych osób, które niejednokrotnie zostały przepisami szczególnymi ograniczone.


07.05.2019

Drugi etap wdrożenia RODO - o marketingu „zgodnym z RODO” po nowelizacji przepisów sektorowych.

Drugi etap wdrożenia RODO - o marketingu „zgodnym z RODO” po nowelizacji przepisów sektorowych.
Działalność marketingowa w dzisiejszych czasach jest podstawą działalności zarówno małych przedsiębiorców jak i dużych podmiotów czy korporacji. Ustaw z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 dotknęła również sektora telekomunikacji i usług świadczonych droga elektroniczną, a więc także działalności marketingowej i warto uporządkować wiedzę na ten temat. Co więc wolno przedsiębiorcy? Co jest jego obowiązkiem w przypadku prowadzenia działań marketingowych?

PODSTAWY PRZETWARZANIA DANYCH W MARKETINGU
Mamy tu dwie różne regulacje prawne i podstawy przetwarzania tych danych.
Samo ogólne rozporządzenie (RODO), od którego wypada zacząć, na temat działalności marketingowej „wypowiada” się dość oględnie w motywie 47: „Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Oznaczałoby to, że podstawą prawną działań marketingowych administratorów np. email marketingu nie byłaby zgoda osoby fizycznej. W konsekwencji taka osoba, w celu zaprzestania przetwarzania jej danych w tym celu, miałaby prawo do wniesienia sprzeciwu.
Zwróćmy jednak uwagę, iż motyw 47 posługuje się sformułowaniem, że "można" uznać takie działanie (marketing) za wykonywane w prawnie uzasadnionym interesie. Nie oznacza to więc, że działalność marketingowa zawsze nim będzie, zważywszy na fakt, iż kwestię tę regulują również przepisy ustaw: o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego i są to przepisy szczególne, które w tym wypadku zyskują pierwszeństwo w stosowaniu. Przepisy tych ustaw uległy zmianie na podstawie ustawy z 21 lutego 2019 roku, ale to co je łączy to obowiązek pozyskania zgody od osoby fizycznej/odbiorcy/abonenta/użytkownika końcowego. Mamy więc inną podstawę przetwarzania danych osobowych niż ta wynikająca z Motywu 47 RODO.
Art. 10 ustawy o świadczeniu usług drogą elektroniczną pozostaje bez zmian i zakazuje przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, chyba że odbiorca wyraził zgodę na otrzymywanie takiej informacji, zwłaszcza udostępnił w tym celu identyfikujący go adres elektroniczny.
Z kolei art. 172 prawa telekomunikacyjnego zakazuje, bez uprzedniej zgody abonenta lub użytkownika końcowego, używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego.
Zgoda taka (zarówno dotycząca świadczenia usług drogą elektroniczną jak i regulowana prawem telekomunikacyjnym) musi spełniać wymogi wynikające z przepisów o ochronie danych osobowych (RODO) czyli:
- musi zostać udzielona przed rozpoczęciem przetwarzania danych osobowych w celach marketingowych,
- nie może być domniemana ani dorozumiana z innego oświadczenia woli, czyli musi być złożona odrębnie - nie można łączyć zgód na przetwarzanie danych,
- musi być konkretna - niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania – czyli dokładne określenie przedmiotu (rodzaj usług) marketingu,
- klauzula zgody musi być skonstruowana i przedstawiona w sposób jasny i przejrzysty, w tym pozwalający na identyfikację celu (celów) w jakim została odebrana,
- powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w celach marketingowych – a więc marketing drogą mailową, telefoniczny (rozmowy telefoniczne, SMS, MMS, poczta głosowa)
-wyrażenie zgody nie może odbyć się pod jakimkolwiek przymusem – natomiast nie ma przeszkód aby administrator zachęcał osobę fizyczną do wyrażenia takiej zgody.
cofnięcie zgody musi być równie łatwe jak jej wyrażenie (pod względem formalnym) – skoro zgoda odebrana została np. ustnie to w takiej formie może zostać cofnięta a z pewnością osoba, która chce ją cofnąć nie może być obarczana dodatkowymi formalnościami z tym związanymi.
Warto natomiast wiedzieć, że zgoda może być udzielona w każdej formie: pisemnej (choćby przez poproszenie o wysłanie oferty na wskazany adres mailowy), elektronicznej, ustnej lub poprzez „wyraźne działanie” (np. dobrowolne i świadome zamieszczenie na stronie www lub w formularzu swoich danych) osoby fizycznej.
Tak więc o podstawie przetwarzania danych osobowych zdecydujemy w konkretnych okolicznościach i dobrze byłoby mieć w tym zakresie merytoryczne (prawne) wsparcie.

JAKIE DANE PRZETWARZAĆ W CELACH MARKETINGU I REKLAMY
Zacznijmy od tego jakie dane możemy przetwarzać do celów marketingu. Można się domyślić, że nr telefonu oraz adres poczty elektronicznej, ewentualnie imię i nazwisko wydają się w zasadzie wystarczające jeżeli osoba, do której kierujemy ofertę/informację nie jest naszym klientem. Jeżeli zaś miałaby się nim stać, wówczas art. 18 ustawy o świadczeniu usług drogą elektroniczną stanowi, że do celów zawarcia umowy (warto to podkreślić) usługodawca nazwisko i imiona usługobiorcy, numer PESEL lub nr dokumentu potwierdzającego tożsamość, adres zameldowania na pobyt stały, adres do korespondencji, jeżeli jest inny niż adres zameldowana, dane służące do weryfikacji podpisu elektronicznego usługobiorcy oraz adresy elektroniczne usługobiorcy. Natomiast inne dane, nie będące niezbędnymi, możemy przetwarzać, za zgodą usługobiorcy/klienta, do celów:
- reklamy oraz
- badania rynku, zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę.
Czyli mowa tu narzędziach analitycznych oraz innych danych udostępnionych przez klienta lub pozyskanych za jego zgodą. Zakres przetwarzanych danych jest więc znacząco różny i zależy od statusu osoby/użytkownika – czy jest dopiero adresatem oferty czy już usługobiorcą i stroną umowy.

SPEŁNIANIE OBOWIĄZKU INFORMACYJNEGO
Administrator powinien wykonać obowiązek informacyjny wobec klienta:
- w oparciu o art. 13 RODO – jeżeli dane osobowe pozyskał bezpośrednio od osób, do których kampania marketingowa będzie kierowana;
- w oparciu o art. 14 RODO – jeżeli dane tych osób pozyskał z innych źródeł np. nabył bazę od innego podmiotu.
W obu wypadkach musi to być pełna informacja a więc o:1)administratorze danych oraz powołanym przez niego inspektorze ochrony danych 2) podstawach i celach przetwarzania danych 3)odbiorcach danych (czyli rodzaje podmiotów zewnętrznych, którym te dane mogą być udostępnione np. hosting, dostawca połączeń telefonicznych) 4)okresach przetwarzania danych osobowych (czyli jak długo je będziemy przechowywać), 5)obowiązku lub braku obowiązku podania danych i skutkach ich niepodania 6)zautomatyzowanym przetwarzaniu danych w tym profilowaniu (warto o tym pamiętać przy działalności marketingowej w sytuacji, gdy kierujemy oferty do klienta o konkretnych potrzebach, zwłaszcza jeśli korzystamy z narzędzi takich jak Google Analitycs), 7)rodzajach danych jakie pozyskaliśmy nabywając bazę: imię i nazwisko, nr telefonu, adres email) 8)prawie klienta do cofnięcia zgody, ewentualnego usunięcia danych a także wglądu w dane, ich sprostowania, ograniczenia przetwarzania oraz 8) prawie skargi do organu nadzorczego, 9) a w przypadku gdy dane klienta (bazę danych) nabyliśmy od podmiotu trzeciego wówczas informujemy o źródle danych lub, że dane pozyskane zostały ze źródeł powszechnie dostępnych.
Jak spełnić obowiązek informacyjny? Przede wszystkim informacje, o których mowa powyżej powinny być sformułowane prostym i zrozumiałym językiem, bez używania skomplikowanych zwrotów technicznych czy prawniczych – mamy zapewnić, że informacja jest dla odbiorcy przejrzysta. Co do sposobu informowania to wybiera go administrator i musi uwzględnić zarówno swoje możliwości techniczne i organizacyjne jak i posiadane dane kontaktowe klienta. W praktyce jest więc kilka możliwości do wyboru
- mailowo – do maila załączamy klauzulę informacyjną, zawiera ją w treści maila lub część informacji zawiera w mailu a do pełnej informacji odsyłamy np. linkując klauzulę informacyjną na stronie internetowej (informowanie warstwowe),
- telefonicznie – w rozmowie telefonicznej, za pomocą poczty głosowej lub SMSem – gdzie także możemy zawrzeć tylko część informacji a do pełnej informacji odsyłamy np. linkując klauzulę informacyjną na stronie internetowej
- jeżeli klient ma u nas swój profil jako użytkownik to w ten sposób możemy wysłać klauzulę informacyjną lub odesłać do takiej na stronie internetowej.
Kiedy spełnić obowiązek informacyjny ?
- w przypadku gdy pozyskujemy dane bezpośrednio od użytkownika/usługobiorcy/klienta – w momencie ich pozyskiwania,
- w przypadku gdy dane osób, do których kierujemy kampanię marketingową pozyskaliśmy z innych źródeł np. nabyliśmy ich bazę od innego podmiotu lub z publicznych rejestrów czy domen np. CEiDG czy Panorama Firm – najpóźniej przy pierwszej komunikacji z taką osobą, choć art. 14 RODO wskazuje także „rozsądny termin po pozyskaniu danych, najpóźniej w ciągu miesiąca” zważywszy na okoliczności przetwarzania.
Konkludując – w razie kontroli Prezesa UODO musimy wykazać, że obowiązek informacyjny skutecznie spełniliśmy tzn. klient miał możliwość zapoznania się z informacją przetwarzaniu jego danych.

POSTĘPOWANIE Z ŻĄDANIAMI OSÓB, KTÓRYCH DANE PRZETWARZAMY
Pojawia się kolejne zagadnienie: odbiorca/klient/użytkownik/abonent pewnego dnia oświadczy nam, że nie życzy sobie abyśmy mu wysyłali jakiekolwiek oferty. Motyw 70 RODO: Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.
Jeżeli zaś dane osobowe w celach marketingowych przetwarzamy w oparciu o pozyskane zgody (prawo telekomunikacyjne) wówczas taka osoba ma prawo w dowolnym momencie wycofać taką zgodę.
W obu wypadkach (sprzeciw i cofnięcie zgody) dalsze przetwarzanie danych osobowych nie jest możliwe, słowem: powinniśmy zaprzestać wysyłania tej osobie jakichkolwiek reklam, informacji, ofert.
Dodatkowo, o ile nie zachodzą inne podstawy przetwarzania danych osobowych czyli np. ta osoba nie jest naszym klientem (umowa, faktura, zakup), może ona żądać usunięcia swoich danych osobowych z naszych baz. Oznacza to obowiązek usunięcia danych takiego klienta ze wszystkich baz (CRM, Skype itp.), poczty elektronicznej, chmury, telefonów i systemów służących do obsługi połączeń telefonicznych i smsowych, ewidencji tradycyjnych, backup’ów i innych zasobów i nośników (w tym zewnętrznych).

ZABEZPIECZENIE DANYCH I DOKUMENTACJA
Kolejny element to odpowiednie zabezpieczenie danych osobowych gromadzonych i przetwarzanych w celach marketingowych, tak aby nie weszła w ich posiadanie osoba czy podmiot nieuprawniony lub aby nie znalazły się one poza zasięgiem administratora. Przykłady:
- przeniesienie bazy danych na prywatne nośniki pracownika (pendriv’e, prywatny dysk Google),
- wyciek maili i haseł klientów (morele.net, INPost).
Administrator musi je więc zabezpieczyć a) fizycznie (dostęp do pomieszczeń, urządzeń i nośników danych), b) organizacyjnie (dostęp za pomocą haseł, świadomość pracowników je przetwarzających, ewidencja dostępu do pomieszczeń i urządzeń wiedza o tym kto posiada dostęp do baz, bezpieczeństwo serwerów wewnętrznych i danych przekazywanych podmiotom zewnętrznym) oraz c) technicznie a więc zabezpieczenie urządzeń za pomocą haseł, szyfrowanie plików i połączeń, zasilania UPS, o programach antywirusowych nie wspominając.
Pamiętać należy, że bezpieczeństwo organizacyjne tych danych to także dokumentacja opisująca ich przetwarzanie:
- polityki bezpieczeństwa,
- procedury dostępu do urządzeń, systemów i aplikacji oraz nadawania uprawnień i upoważnień,
- procedury opisujące jak technicznie spełnimy obowiązek informacyjny bądź odbierzemy zgodę na przetwarzania danych,
- procedury reagowania na naruszenia – czyli jak postępujemy w momencie gdy dowiemy się, że dane klientów wyciekły do sieci bądź dostały się w niepowołane ręce (pracownik działu sprzedaży po odejściu z pracy wykradł bazę klientów), czy posiadamy procedurę informowania klientów o naruszeniach jeśli zajdzie taki obowiązek,
- procedury reagowania na żądania klientów, których dane posiadamy – w jaki sposób reagujemy np. na żądanie usunięcia danych.

ODPOWIEDZIALNOŚĆ I KARY
Mamy do czynienia z 4 rodzajami odpowiedzialności:
- administracyjna – kara pieniężna do 4 % ubiegłorocznego obrotu administratora (w prawie telekomunikacyjnym do 3%),
- cywilnoprawna – jeżeli osoba, której dane dotyczą udowodni wystąpienie szkody (majątkowej lub na osobie) wynikającej z bezprawnego przetwarzania jej danych lub naruszone zostało ich bezpieczeństwo,
- odpowiedzialność karna – zarówno z ustawy o ochronie danych osobowych, prawa telekomunikacyjnego czy ustawy o świadczeniu usług drogą elektroniczną jak i wprost z kodeksu karnego,
- odpowiedzialność dyscyplinarna – odpowiedzialność pracowników wobec pracodawcy – naruszenie przez pracownika przepisów o ochronie danych osobowych może stanowić przesłankę takiej odpowiedzialności.
Jak więc widać, zanim przystąpimy do działań marketingowych musimy uporać się z formalnymi wymaganiami wynikającymi z przepisów o ochronie danych osobowych (RODO) oraz przepisów szczególnych. Kara nałożona na firmę BisNode w wysokości 943.000 zł, jest dowodem na to, że bez pewności czy dane do celów marketingowych przetwarzamy zgodnie z prawem i realizujemy wszystkie prawa osób, do których kampanie marketingowe kierujemy, stąpamy po kruchym lodzie.








25.04.2019

Drugi etap wdrożenia RODO - zmiany w przepisach dotyczących przetwarzania danych osobowych w zatrudnieniu


Drugi etap wdrożenia RODO - zmiany w przepisach dotyczących przetwarzania danych osobowych w zatrudnieniu


Tym wpisem rozpoczynam cykl kilku artykułów dotyczących zmian, jakie niesie ze sobą ustawa z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Ustawa zmienia około 160 aktów prawnych w Polsce i liczy 173 artykuły. Wprowadza zmiany m. in. w prawie pracy, w sektorze telekomunikacyjnym, medycznym, bankowości, ubezpieczeniach, oświacie, postępowaniu administracyjnym.


Jakie zmiany w przepisach czekają pracodawców po 5 maja 2019 roku w zakresie przetwarzania i ochrony danych osobowych pracowników?


Zmiany zaczynają się od art.221. § 1 i § 2 Kodeksu Pracy i dotyczą danych osobowych jaki może żądać pracodawca od kandydata do pracy oraz osoby zatrudnionej.


W pierwszym wypadku są to imię (imiona) i nazwisko, data urodzenia, dane kontaktowe wskazane przez taką osobę; wykształcenie kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Ale dane dotyczące wykształcenia czy przebiegu dotychczasowego zatrudnienia pracodawca może przetwarzać tylko wówczas jeśli jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku (np. prawny wymóg wykształcenia czy określonych kwalifikacji).


Jeśli pracodawca podejmie decyzję o zatrudnieniu konkretnego kandydata, wówczas żąda dodatkowo danych takich jak: adres zamieszkania, numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość (paszport, prawo jazdy), innych danych osobowych pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie, numer rachunku bankowego, chyba że pracownik złożył wniosek o wypłatę wynagrodzenia do rąk własnych.


W celu spełnienia obowiązku prawnego na niego nałożonego, pracodawca może wymagać od pracownika podania również innych danych.


Inne dane poza wyżej wymienionymi (z wyjątkiem danych osobowych dotyczących karalności) pracodawca może przetwarzać tylko za wyraźną zgodą pracownika, a jej brak lub wycofanie nie mogą być podstawą do odmowy zatrudnienia.


Co w takim razie z danymi wrażliwymi (szczególne kategorie danych - art. 9 RODO) pracownika i kandydata do pracy?


Również te dane pracodawca może przetwarzać ale tylko za wyraźną zgodą pracownika i jeżeli pracownik udostępnił je z własnej inicjatywy. Wyłom ustawodawca czyni dla danych biometrycznych (odcisk palca, tęczówka/siatkówka oka) i daje pracodawcy możliwość ich przetwarzania, jeśli podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony (tajemnica przedsiębiorstwa, ochrona informacji niejawnych).


Ustawa z 21 lutego, kierując się zasadą minimalizmu, pozostawia (z niewielkimi korektami) art. 229 § 11 stanowiący, iż osoby przyjmowane do pracy u innego pracodawcy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, jeżeli posiadają aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie i pracodawca ten stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy, z wyłączeniem osób przyjmowanych do wykonywania prac szczególnie niebezpiecznych, nie podlegają wstępnym badaniom lekarskim. Natomiast pracodawca żąda od nich orzeczenia lekarskiego wydanego na wniosek poprzedniego pracodawcy.


Tym samym dobrnęliśmy do bardzo ważnego zapisu ustawy zmieniającej Kodeks Pracy - do przetwarzania szczególnych kategorii danych osobowych (wrażliwych) mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. Czyli po ponad roku sporów i dyskusji ekspertów nt upoważnień do przetwarzania danych (brak takiego obowiązku wprost wyrażonego w Ogólnym Rozporządzeniu) ustawodawca unormował te kwestię częściowo - pracownicy, którzy przetwarzają w ramach swoich obowiązków dane wrażliwe muszą otrzymać upoważnienia od pracodawcy na piśmie. Oznacza to, że do przetwarzania danych osobowych tzw. zwykłych pracownik nie musi posiadać odrębnego, pisemnego upoważnienia.


Kolejna zmiana dotyczy kwestii monitoringu wizyjnego - jeżeli pracodawca uzna za konieczne (zapewnienie bezpieczeństwa) zainstalowanie kamery w pomieszczeniu sanitarnym czy pomieszczeniu zakładowej organizacji związkowej i nie narusza dóbr osobistych pracowników, może to zrobić po uzyskaniu zgody zakładowej organizacji związkowej, a w razie jej braku przedstawicieli pracowników.


Zmiany dotykają także zakładowego funduszu świadczeń socjalnych. Pracownik ubiegający się o ulgę, świadczenie czy dopłatę z funduszu składa oświadczenie o swojej sytuacji rodzinnej i majątkowej jednak pracodawca może żądać udokumentowania danych osobowych w zakresie koniecznym do ich potwierdzenia. Może więc żądać oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. Nie jest jasne czy pracodawca te zaświadczenia może przechowywać, czy tylko dysponuje nimi do wglądu - wydaje się że, w ślad za dotychczasowymi interpretacjami, ustawodawca miał na myśli wgląd w dokumentację, a nie przechowywanie jej kserokopii czy oryginałów.


Ustawa nie określa jak długo pracodawca może przetwarzać te dane - w przepisie mowa jet o „...okresie niezbędnym do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także (...) do dochodzenia praw lub roszczeń.” Dodatkowo ustawodawca nakłada na pracodawcę obowiązek dokonywania przeglądu danych osobowych zbieranych do celów pomocy materialnej pracownikowi nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania oraz, w razie ich zbędności, usuwania.


Przepisy zmieniające ustawę o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych nadają pracodawcy status administratora danych o stanie zdrowia konkretnych kategorii pracowników (m. in. stażyści, wykonujący prace nakładczą, byłych pracowników, członków ich rodzin). Przepisy dają też możliwość zautomatyzowanego przetwarzania danych osobowych osób niepełnosprawnych, jeśli te korzystają ze świadczeń i refundacji z Funduszu Pracy. Pracodawca jest zobowiązany do przeglądu tych danych nie rzadziej niż raz na pięć lat kalendarzowych.


Jak więc widzimy na przykładzie przepisów prawa pracy, zmiany są znaczne a pracodawcy będą z ich wdrożenia rozliczani nie tylko przez Prezesa Urzędu Ochrony Danych Osobowych ale także Państwową Inspekcję Pracy czy też sądy pracy. Zwłaszcza, że na wdrożenie zmian zostało zaledwie 2 tygodnie.


16.04.2019

Pierwsza kara RODO rok i osiem miesięcy pozbawienia wolności

RODO poskromi nieuczciwe praktyki wykorzystywania danych osobowych
Ostatnie doniesienia mediów i prasy ukazują nam patologie w administracji publicznej z jakimi mamy do czynienia już od wielu lat, ale teraz właśnie z uwagi na RODO coraz częściej będziemy informowani o wszelkich zaniedbaniach oraz naruszeniach w kwestiach wynikających z ochrony danych osobowych. Pierwsza kara pozbawienia wolności za nieuczciwe praktyki to 20 miesięcy więzienia dla Pani Kierownik Ośrodka Pomocy Społecznej za bezprawne wykorzystywanie baz danych swoich podopiecznych oraz pracowników tego ośrodka w celu osiągnięcia korzyści majątkowych poprzez podpisywanie w ich imieniu umów pożyczkowych, które własnoręcznie podpisywała fałszując w ten sposób podpisy pożyczkobiorcy. Dzięki owocnej współpracy z jednym z biur pożyczkowych miała możliwość otrzymania prowizji od każdej podpisanej umowy. Proceder ten wyszedł jednak na jaw, a Pani Kierownik trafiła przed Sąd Okręgowy w Świdnicy, który orzekł, iż bezsprzecznie zostały naruszone przepisy ochrony danych osobowych, w wyroku z 3 września 2018 r. skazał ją na rok i osiem miesięcy pozbawienia wolności, m.in. z art. 51 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 231 par. 1 kodeksu karnego (przekroczenie uprawnień przez funkcjonariusza publicznego).
Sprawa została skierowana do Sądu Apelacyjnego, a Obrona pozwanej starała się usilnie udowodnić, że doszło do obrazy przepisów prawa materialnego, jako że oskarżoną skazano za przestępstwo z przepisu, który utracił moc 25 maja 2018 r. (data wejścia w życie RODO oraz nowej ustawy o ochronie danych osobowych; Dz.U. z 2018 r. poz. 1000). A to oznacza, że czyn objęty wyrokiem nie był już zabroniony pod groźbą kary. Rozpoznający apelację sąd tego argumentu jednak nie podzielił. Stwierdził jedynie, że jakkolwiek rzeczywiście z podstawy skazania należy usunąć art. 51 ust. 1 starej ustawy, to dodać do niej należy tożsamy art. 107 ust. 1 nowej ustawy. Sąd apelacyjny nie zgodził się natomiast z wyrokiem I instancji co do kwestii dotyczących odpowiedzialności kobiety zgodnie z art. 231 par. 1 kodeksu karnego. Powód? Uznanie, że funkcjonariusz publiczny przekroczył swoje uprawnienia, wymaga nie tylko ustalenia, że dokonana przez niego czynność leży poza zakresem przyznanych mu uprawnień, ale dodatkowo stwierdzić należy, że pozostaje ona w formalnym lub merytorycznym związku z działalnością służbową tego funkcjonariusza. Reasumując powyższe jeżeli pozwana wykorzystywała dane osobowe jedynie do celów zawierania umowy pożyczki, robiła to poza zakresem zadań własnych, a zatem nie może ona być pociągnięta do odpowiedzialności za „nielegalne przekroczenie uprawnień funkcjonariusza publicznego.” Wyrok Sądu Apelacyjnego we Wrocławiu z 23 stycznia 2019 r., sygn. akt II AKa 405/18.


29.03.2019

W artykule tym postaram się wyłowić z dość obszernego opisu stanu faktycznego i uzasadnienia decyzji o nałożeniu kary to co jest istotne dla wszystkich administratorów, którzy w ramach swojej działalności przetwarzają dane osobowe.

W dniu 26 marca 2019 roku na zapowiadanym wcześniej briefingu prasowym Prezes Urzędu Ochrony Danych Osobowych (UODO) pani dr Edyta Bielak-Jomaa poinformowała, iż decyzją ZSPR.421.3.2018 nałożyła na przedsiębiorcę (spółkę z ograniczoną odpowiedzialnością) z siedzibą w Warszawie administracyjną karę pieniężną w wysokości 943.470,00 zł z tytułu naruszenia postanowień art. 14 ust. 1-3 Ogólnego Rozporządzenia o Ochronie Danych (RODO) czyli niewypełnienia obowiązku informacyjnego wobec osób, których dane pozyskano z innego źródła niż one same. Decyzja nakazuje również ukaranemu podmiotowi wykonanie obowiązku wynikającego z naruszonego przepisu.

Czyli sankcje wynikające z decyzji dotyczą naruszenia PRAWA nie zaś NARUSZENIA BEZPIECZEŃSTWA danych osobowych.

Jakiego naruszenia, zdaniem Prezes UODO, dopuścił się administrator? Otóż kontrola prowadzona przez pracowników Urzędu we wrześniu 2018 roku w spółce wykazała, że spółka oferowała klientom raporty handlowe dotyczące przedsiębiorców, których dane pozyskiwała z elektronicznych, ogólnodostępnych i urzędowych baz KRS, CEiDG oraz REGON. W swojej bazie przedsiębiorca posiadał łącznie 7.594.636 rekordów danych dotyczących osób fizycznych (także przedsiębiorców) prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Jak wynika z uzasadnienia decyzji (cyt.): „Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych”.

W trakcie swojej kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych – czyli tylko do tych podmiotów, których adres poczty elektronicznej posiadała. W pozostałych przypadkach Spółka posiadając adresy korespondencyjne oraz numery telefonów komórkowych do przedsiębiorców (część) zdecydowała, że ze względu na wysokie koszty takiej akcji (zarówno SMS-owej jak i wysłania korespondencji pocztą tradycyjną – wyliczono jej koszt na ok. 33 mln zł) obowiązek informacyjny na podstawie art. 14 ust. 1-3 RODO spełni poprzez opublikowanie stosownego komunikatu/klauzuli informacyjnej na swojej stronie internetowej. Administrator uznał, że „niewspółmierny wysiłek” finansowy oraz, w jego ocenie, niskie ryzyko naruszenia praw i wolności osób pozwalają mu na ograniczenie się do takiego komunikatu.

Jak Prezes UODO uzasadniła nałożenie kary w oparciu o art. 83 ust. 2 lit. a-k RODO?

- niespełnienie przez administratora obowiązku informacyjnego,
- naruszenie ma charakter poważny – ze względu na profesjonalny charakter działalności spółki oraz liczbę podmiotów, których prawa naruszono,
- świadoma decyzja spółki o nieinformowaniu podmiotów, których adresów poczty elektronicznej administrator nie posiadał,
- brak wiedzy podmiotów danych o fakcie przetwarzania ich danych przez spółkę,
- usprawiedliwianie się przez administratora wysokimi kosztami (mogącymi prowadzić do utraty konkurencyjności a nawet płynności finansowej) wykonania obowiązku informacyjnego jest niezasadne w kontekście wieloletniego doświadczenia spółki w zakresie takiej działalności i czerpania z niej dochodu oraz, co warto podkreślić (cyt):„…świadczy o obniżeniu wartości praw osób, których dane osobowe Spółka przetwarza, w stosunku do wartości finansów Spółki, której to argumentacji nie można uznać za zasadną w świetle wymogów rozporządzenia 2016/679.”

Podzielam zdanie dr Pawła Litwińskiego (specjalista z zakresu ochrony danych osobowych, autor jednego z komentarzy do RODO), który komentując decyzje Prezes UODO słusznie podnosi kwestię, czy na pewno przedsiębiorcy zasługują na identyczną ochronę prawną jak konsumenci i czy wysokość kary (a może i sama kara pieniężna jako taka) jest współmierna do naruszenia (w tym wypadku prawa). Ja uważam, że nie i spodziewam się korekty tej decyzji w przypadku zaskarżenia jej do sądu. Póki co jednak jest ona (czy raczej jej uzasadnienie) znakomitym materiałem badawczym.

Kolejna ważny aspekt sprawy – znowu powołajmy fragment decyzji Prezes Urzędu: „Spółka stosuje do przetwarzanych przez siebie danych osobowych wysokiej klasy zabezpieczenia techniczne, […]. Spółka posiada wdrożone szczegółowe procedury i instrukcje dla pracowników zapewniające bezpieczeństwo przetwarzania danych.” Możemy więc mieć świetne zabezpieczenia techniczne (informatyczne bazy danych), przyzwoite procedury i dokument (polityki, regulaminy) a potkniemy się na interpretacji przepisów. Przechodzimy więc do zagadnienia wykwalifikowanej kadry mającej wspomóc nas w procesie prawidłowego przetwarzaniu danych osobowych czyli Inspektora Ochrony Danych (IOD) lub innej osoby wskazanej przez administratora. Czy jest ktoś taki? Czy ma odpowiednie kwalifikacje? Czy (to chyba najważniejsze) bierzemy pod uwagę zdanie tej osoby??

Konkluzja: tworzenie masy zbędnych procedur, nabywanie gotowych dokumentów (w zasadzie ich wzorów) a nawet posiadanie prawidłowych procedur i zabezpieczeń nie chroni nas przed kłopotami jeśli nie będziemy posiadać w zasobie kadrowym kogoś, kto będzie w stanie właściwie zinterpretować przepisy o ochronie danych osobowych (RODO, ustawa o ochronie danych osobowych, przepisy dotyczące cyberbezpieczeństwa, Krajowych Ram Interoperacyjnych) także komplementarnie z przepisami sektorowymi, które dotyczą naszej działalności (prawo pracy, rachunkowość-podatki, telekomunikacja, medycyna, oświata, zamówienia publiczne czy transport).

Kolejny wniosek jest taki, że przedsiębiorcy (czy w ogóle administratorzy bez znaczenia czy w sektorze publicznym czy prywatnym) powinni wspólnie z IOD-em przeanalizować swoje procedury postępowania w przypadku wystąpienia naruszeń oraz procedury realizacji praw osób fizycznych, w tym przede wszystkim sposób realizacji obowiązku informacyjnego. Niezbędna wydaje się także analiza umów z kontrahentami celem ustalenia czy wobec tych, którzy są przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą spełniliśmy obowiązek informacyjny.

Przedsiębiorcy muszą więc zapewnić sobie profesjonalne wsparcie dotyczące ochrony przetwarzanych przez siebie danych, ponieważ każdy aspekt działalności (podpisanie umowy, przekazanie danych, akcja marketingowa, rekrutacja) będzie wymagał asysty merytorycznej specjalisty ds. ochrony danych osobowych lub IOD-a. To nie dokumenty zapewniają nam „zgodność z RODO” ale to jak realizujemy procedury i stosujemy przepisy.

P.S. Specjalista ds. ochrony prywatności dr Łukasz Olejnik ze sporym prawdopodobieństwem ustalił kto jest adresatem kary pieniężnej w bardzo prosty sposób – uzasadnienie decyzji Prezes UODO opisywało przedmiot działalności ukaranej Spółki w identyczny sposób jak to miało miejsce na stronie internetowej tej spółki (BISNode). Czyli pseudonimizacja zastosowana przez Urząd okazała się mało skuteczna. Sama spółka także (już po fakcie) odnosi się do sprawy nałożenia kary na swojej stronie internetowej. https://www.bisnode.pl/wiedza/newsy-artykuly/decyzja-urzedu-ochrony-danych-osobowych-w-sprawie-bisnode/.

Autor artykułu: Prawnik Tomasz Ptak - dział RODO

Więcej ciekawych wpisów odnajdą Państwo śledząc Klub RODO na FB: www.facebook.com/KlubRODO/


Zainteresował Cię ten temat?
A może chciałbyś sprawdzić naszą ofertę z nim związaną?


Logo knf 3bfdf6af59f99be054f73a98975072c85da3fffc09285bf1f9155682e735a0e1
Logo knf 3bfdf6af59f99be054f73a98975072c85da3fffc09285bf1f9155682e735a0e1

Zapisz się, aby otrzymywać od nas najnowsze informacje:




Polityka prywatności

Wspierają nas:

MK Evolution Wieluniak Bezprawie Bankowe