BLOG CORE CONSULTING

Dzielimy się naszą wiedzą

Przekazywanie danych osobowych dzieci przedszkolnych do Sanepidu

Pytanie: Proszę o informację w sprawie przekazywania danych osobowych dzieci przedszkolnych do Sanepidu, celem objęcia kwarantanną dzieci, które miały kontakt z zakażonym dzieckiem w przedszkolu. Rodzic uważa, że dyrekcja nie powinna przekazywać takich danych. Dodatkowo dane zostały przekazane w zaszyfrowanym pliku w tabelce, którą otrzymaliśmy od sanepidu.

Odpowiedź: Placówka oświatowa uprawniona jest do udostępnienia danych dzieci, celem objęcia ich kwarantanną, na potrzeby prowadzonego postępowania epidemiologicznego. Oczywiście istotne jest zabezpieczenie tych danych, co słusznie ostało uczynione.

Działanie to, uzasadnione jest realizacją zadań z powołaniem na klauzulę interesu publicznego lub klauzulę władzy publicznej (art. 6 ust. 1 lit. e RODO). Celem takiego przetwarzania jest przeciwdziałanie rozprzestrzenianiu się chorób zakaźnych oraz podjęcie działań ułatwiających służbom sanitarnym dochodzenie epidemiologiczne na wypadek wykrycia, że osoba zakażona przebywała na terenie placówki. Innymi słowy cel jaki przyświeca placówce w przypadku udostępniania danych dzieci to ochrona życia i zdrowia wychowanków, pracowników oraz osób przebywających na terenie Przedszkola, poprzez podejmowanie odpowiednich działań zapobiegawczych w celu unieszkodliwienia źródeł zakażenia i przecięcia dróg szerzenia danej choroby zakaźnej. Jednocześnie jest to ułatwienie prowadzenia dochodzenia epidemiologicznego.  

Potencjalnie rodzic może złożyć sprzeciw wobec takiego przetwarzania, z przyczyn związanych z jego szczególną sytuacją. Realnie jednak taki sprzeciw nie będzie uwzględniony, bowiem przedszkole posiada wspominane powyżej ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą – szeroko pojęte przeciwdziałanie chorobom zakaźnym.

Wizerunek ucznia po ukończeniu edukacji w szkole

Wizerunek osoby, która wyraziła zgodę, może być nadal wykorzystywany w sposób, na jaki ta osoba wyraziła zgodę (np. jeśli osoba wyraziła zgodę na zamieszczanie zdjęć, wideo na stronie www, to wyłącznie na tej stronie może być zamieszczany). Zgoda jest ważna, aż do momentu jej wycofania, a jej wycofanie pozostanie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie, przed jej wycofaniem (czyli działania podjęte przed wycofaniem zgody, w postaci wykorzystywania wizerunku będą działaniami legalnymi, ale po wycofaniu zgody, należy wszystkie treści usunąć). Istotne jest to, że dana osoba, jeszcze przed wyrażeniem zgody, powinna być poinformowana o tym, że zgoda może być wycofana, jak również, że jej wycofanie nie będzie miało wpływu na legalność przetwarzania, jakiego dokonano przed jej wycofaniem.

Nie bez znaczenia jest jednak sposób i warunki, w jakich taka zgoda została udzielona. Przepisy bowiem precyzują warunki wyrażenia zgody:

  1. zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia;
  2. jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele;
  3. administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (oznacza to, że podpisaną zgodę należy przechowywać);
  4. jeśli  zgoda jest wyrażana w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

W przypadku wyrażenia zgody, w sposób naruszający te wymogi, a tym samy będące naruszeniem RODO, oświadczenie takie nie będzie wiążące.

Oczywiście jeśli dana osoba nie wycofa zgody na wykorzystywanie wizerunku, placówka może wcześniej usunąć materiały ze strony www, oraz social media, z uwagi na to, że materiały przestały być przydatne do realizowanego celu, jakim jest promocja placówki, działań podejmowanych przez placówkę.

Ustawa o ochronie sygnalistów – znamy założenia do projektu

17 grudnia 2021 r. mija termin na przyjęcie przepisów krajowych implementujących dyrektywę unijną o ochronie sygnalistów[1]. Poznaliśmy istotę rozwiązań, które mają zostać przyjęte w ustawie.

Zakres zgłoszeń

Zakres możliwych zgłoszeń naruszeń prawa przez sygnalistów nie zostanie rozszerzony na inne obszary niż zakłada to dyrektywa. Nie jest zaskoczeniem, że zakres ten będzie jednak obejmował również naruszenie przepisów krajowych (a nie tylko unijnych) z dziedzin określonych w dyrektywie. Dla przypomnienia, są to obszary:

– zamówień publicznych,

– usług, produktów i rynków finansowych,

– zapobiegania praniu pieniędzy i finansowaniu terroryzmu,

– bezpieczeństwa produktów,

– bezpieczeństwa transportu,

– ochrony środowiska,

– ochrony radiologicznej i bezpieczeństwa jądrowego,

– bezpieczeństwa żywności i pasz,

– zdrowia i dobrostanu zwierząt,

– zdrowia publicznego, w tym praw pacjentów i kontroli wyrobów tytoniowych,

– ochrony konsumentów,

– ochrony prywatności i danych osobowych,

– bezpieczeństwa sieci i systemów teleinformatycznych.

Ponadto zakresem dyrektywy objęte są naruszenia mające wpływ na interesy finansowe UE, dotyczące rynku wewnętrznego, w tym naruszenia unijnych zasad konkurencji i pomocy państwa oraz naruszenia krajowych przepisów regulujących opodatkowanie osób prawnych.

Podmioty zobowiązane do wdrożenia procedur

Ważnym założeniem do projektu ustawy jest to, że w sektorze publicznym obowiązek wdrożenia procedur zostanie ograniczony do jednostek zatrudniających co najmniej 50 pracowników. Nasz ustawodawca planuje zatem skorzystać z uprawnienia nadanego mu przez dyrektywę do ograniczenia kręgu podmiotów zobowiązanych.

W obrębie podmiotów z sektora prywatnego nie zakłada się modyfikacji na poziomie krajowym. Zobowiązani do wdrożenia procedur zgłaszania naruszeń będą przedsiębiorcy zatrudniający co najmniej 249 pracowników. Podmioty zatrudniające od 50 do 249 pracowników także będą musiały wdrożyć procedury, ale dopiero pod koniec 2023 r. Co ważne, podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek stosowania przepisów już w tym roku – niezależnie od liczby zatrudnionych osób.

Niestety na tym etapie założeń do projektu nadal nie wiemy czy i jak należy definiować pojęcie pracownika. Wydaje się, że ustalając stan zatrudnienia trzeba będzie brać pod uwagę również osoby wykonujące zadania na podstawie umów zlecenia.

Sygnaliści

Ustawa ma zapewnić ochronę sygnalistom niezależnie od podstawy i formy świadczenia pracy (umowa o pracę, cywilnoprawna, w ramach własnej działalności gospodarczej, kontrakt menedżerski, wolontariat, staż, praktyka). Ochroną objęte będą również osoby świadczące pracę na rzecz wykonawców, podwykonawców lub dostawców podmiotu, którego dotyczyć będzie zgłoszenie. Za sygnalistów uważani będą również akcjonariusze, wspólnicy oraz członkowie organów osób prawnych oraz byli pracownicy i kandydaci do pracy.

Założenia do projektu ustawy są takie, że sytuacja prawna sygnalisty ma zostać wzmocniona na gruncie ewentualnych postępowań sądowych poprzez odwrócenie ciężaru dowodu. Sygnalista ma mieć prawo do dochodzenia odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę.

Wewnętrzne procedury

Przewiduje się w ustawie, że procedura zgłaszania naruszeń będzie miała charakter wewnątrzzakładowego aktu prawnego objętego zakresem definicji prawa pracy. Treść procedury będzie zatem przedmiotem uzgodnień z zakładowymi organizacjami związkowymi albo konsultacji z przedstawicielami pracowników.

Na tym etapie zakłada się, że procedura – w wersji minimalnej – będzie musiała obejmować swoim zakresem pracowników. Co za tym idzie, przepisy krajowe mają dawać swobodę podmiotom zobowiązanym w wyborze czy będą chcieli umożliwić skorzystanie z wewnętrznych kanałów zgłoszeń przez np. byłych pracowników, wolontariuszy, stażystów czy też dostawców lub podwykonawców. Należy jednak pamiętać, że brak umożliwienia zgłoszenia kanałem wewnętrznym nie wyłączy możliwości dokonania zgłoszenia przez te osoby w innym trybie tj. zgłoszenia zewnętrznego (do organu centralnego).

Organ centralny – Rzecznik Praw Obywatelskich

Polski ustawodawca chce wyznaczyć na organ centralny Rzecznika Praw Obywatelskich, który będzie udzielał wsparcia sygnalistom i przyjmował zgłoszenia (kanał zewnętrzny). 

Wiemy również, że Rzecznik nie będzie organem rozpatrującym zgłoszenia, a jego rola będzie sprowadzała się do nadania zgłoszeniu właściwego biegu czyli tak faktycznie przekazania sprawy do właściwego organu (w zależności od tego czy konieczne okaże się postępowanie kontrolne, wyjaśniające czy np. złożenie zawiadomienia o przestępstwie). W konsekwencji należy założyć, że ustawa raczej nie będzie zawierała niezależnej procedury postępowania w zakresie merytorycznego rozstrzygania zgłoszeń.

Odrębna ustawa

Nie jest również zaskoczeniem, że z uwagi na szeroki zakres koniecznych do wdrożenia rozwiązań przepisy związane z ochroną sygnalistów zostaną ujęte w formie odrębnej ustawy.

Kary

Z dotychczas opublikowanych informacji nie wynika, jakie kary będą wiązały się z naruszeniem przepisów o ochronie sygnalistów. Dyrektywa wymaga, aby ustawodawca krajowy zapewnił skuteczność stosowania przepisów poprzez wprowadzenie sankcji o charakterze karnym, cywilnym i/lub administracyjnym. Przewidujemy, że podobnie jak w przypadku kar za naruszenie przepisów o ochronie danych osobowych, sankcje te mogą być dotkliwe. Z tego powodu zalecamy nie czekać z decyzją o wdrożeniu wymaganych procedur do ostatniej chwili.

Pamiętajmy, że powyższe założenia są wstępne i mogą ulec zmianie na dalszych etapach. Z niecierpliwością czekamy na projekt ustawy. Zmiany można śledzić tutaj: https://archiwum.bip.kprm.gov.pl/kpr/form/r230343592,Projekt-ustawy-o-ochronie-osob-zglaszajacych-naruszenia-prawa.html

[1] Dyrektywa Parlamentu Europejskiego i Rady UE (2019/1937) z dnia 23 października 2019 w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Konkurs międzyszkolny – o czym należy pamiętać

Placówka będąca organizatorem konkursów międzyszkolnych, powinna odpowiednio zadbać o ochronę danych osobowych, zarówno uczestników, jak i ich opiekunów oraz nauczycieli. Poniższe zalecenia,
dotyczą każdej placówki, która kieruje konkurs do uczniów (podopiecznych / słuchaczy) spoza swojej organizacji, czyli zbiera zgłoszenia osób z zewnątrz.

ORGANIZATOR KONKURSU POWINIEN
PAMIĘTAĆ O:
A. ZEBRANIU ODPOWIEDNICH ZGÓD.
B. PRZEKAZANIU KLAUZULI INFORMACYJNEJ.
C. UREGULOWANIU PRZETWARZANIA DANYCH
PRZEZ INNE PLACÓWKI.
D. NADANIU UPOWAŻNIEŃ.

A. ODPOWIEDNIO SFORMUŁOWANA ZGODA
Pamiętajmy, aby zadbać o następujące zgody:
• Na przetwarzanie danych osobowych uczestnika – w celu wzięcia udziału w konkursie.
• Wykorzystanie wizerunku – zarówno uczestników, jak
i ich nauczycieli i opiekunów – jeśli chcemy umieszczać zdjęcia z przebiegu konkursu lub jego laureatów na stronie internetowej lub mediach społecznościowych.
• Na umieszczenie danych takich jak imię i nazwisko, klasa, wiek oraz miejsce zajęte w klasyfikacji konkursu na stronie internetowej organizatora – jeśli chcemy takie informacje zamieścić w Internecie.

B. KLAUZULA INFORMACYJNA
Każdy konkurs wiąże się z przetwarzaniem danych osobowych – nie tylko uczestników, ale także rodziców (opiekunów prawnych), w przypadku niepełnoletnich dzieci oraz nauczycieli. Każda z tych osób, powinna zostać poinformowana o tym, w jaki sposób przetwarzane będą jej dane.
Jak optymalnie przekazać klauzulę informacyjną?
• Pełna klauzula, powinna być dostępna na stronie internetowej i w sekretariacie organizatora. Najlepiej, jeśli klauzula ta, stanowi załącznik do regulaminu konkursu.
• Skróconą klauzulę informacyjną – najlepiej umieścić na formularzach (przykładowo w stopce dokumentu). Niemniej, aby wspomniane rozwiązanie było skuteczne, musimy pamiętać o tym, by klauzula w wersji pełnej, była łatwo dostępna – patrz punkt wyżej.

C. REGULACJA SPOSOBU PRZETWARZANIA
DANYCH POMIĘDZY PLACÓWKAMI
Jeśli zgłoszenia uczestników dokonywane są poprzez inne placówki, należy uregulować sposób, w jaki będą one przetwarzać dane osobowe. Pamiętajmy, że placówki te, zbierają dane osobowe w imieniu organizatora, na przygotowanych przez niego formularzach. W takim przypadku, niezbędne jest wskazanie przynajmniej ogólnych reguł takiego przetwarzania, już w ramach regulaminu konkursu. Docelowo szczegółowe
uregulowanie sposobu przetwarzania, powinno nastąpić przy użyciu umowy powierzenia, bądź innego instrumentu prawnego, jakim może być regulamin przetwarzania.
Jeśli uczestnicy samodzielnie i bezpośrednio zgłaszają się do nas – nie ma konieczności, aby dodatkowo regulować te zasady (nikt bowiem nie pośredniczy w przekazywaniu wypełnionych zgód i zgłoszeń).

D. UPOWAŻNIENIA DO PRZETWARZANIA
DANYCH OSOBOWYCH
Jeśli w komisji konkursowej znajdują się osoby spoza placówki (nie będące pracownikiem organizatora konkursu), przykładowo przedstawiciel sponsora lub organizacji wspierającej konkurs merytorycznie, to w takim przypadku, osobom tym należy nadać stosowne Jedyną niezbędną zgodą jest upoważnienie.

Jedyną niezbędną zgodą jest zgoda na udział w konkursie i na przetwarzanie danych osobowych, w celu jego realizacji. Zgoda na wykorzystanie wizerunku lub na udostępnienie danych na stronie
internetowej, nie powinna być obowiązkowa, a niewyrażenie tych
zgód, nie może mieć wpływu na możliwość udziału w konkursie.

Zalecenia dotyczące ochrony danych osobowych Opracowanie na podstawie ostatnich decyzji Prezesa Urzędu Ochrony Danych Osobowych

Błędny adres e mail podany przez klienta


Co się wydarzyło?
Klient podał administratorowi błędny adres e-mail. Następnie na adres ten
została wysłana korespondencja zawierająca polisę ubezpieczeniową, która trafiła do osoby trzeciej. Plik zawierający polisę nie był chroniony hasłem, dlatego też osoba, która otrzymała wiadomość mogła bez przeszkód zapoznać się z danymi osobowymi zawartymi w treści dokumentu.


Zalecenia:
Komunikując się z klientem poprzez pocztę elektroniczną administrator powinien mieć świadomość ryzyka związanego np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu jego minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne takie jak:
– weryfikacja adresów mailowych wskazywanych przez klientów
– szyfrowanie plików zawierających dane osobowe, które są przesyłane
w wiadomościach elektronicznych.


Uwaga:
Błąd klienta nie zwalnia administratora z odpowiedzialności za
naruszenie ochrony danych oraz ewentualnych jego konsekwencji.
Uzasadnienie zaleceń czyli jak sprawę ocenił Urząd z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność. Fakt, iż do naruszenia doszło w wyniku błędu klienta,
który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na
ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych. Jego skutkiem jest bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych.


Czy zwrócenie się do osoby, która otrzymała wiadomość o jej usunięcie jest wystarczającym działaniem administratora?
Nie, zgodnie ze stanowiskiem Urzędu dla oceny naruszenia nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem pewności, czy przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem administrator nie ma możliwości jego faktycznej weryfikacji.
Działanie takie jednak stawia administratora w lepszym świetle przed Prezesem Urzędu Ochrony Danych Osobowych.


Na podstawie decyzji dot.:
TUiR WARTA S.A. z dnia 09.12.2020 r.,
sygn.: DKN.5131.5.2020, https://uodo.gov.pl/pl/138/1801

Dane niechciane

CZYM SĄ I CO Z NIMI ZROBIĆ?

Kiedy mamy do czynienia z „danymi niechcianymi”
Przetwarzanie danych osobowych stanowi pewien proces, który powinien być zaplanowany, mieć swój początek oraz koniec. Zadaniem administratora jest określenie tego, jakie informacje, na jakiej podstawie, w jakim celu i w jaki sposób będą przetwarzane oraz wskazanie, w miarę możliwości, okresu ich przechowywania. Innymi słowy, dane osobowe przetwarzane w ramach organizacji, powinny być przyporządkowane do konkretnego procesu (lub procesów) i nie powinny znajdować się w niej przez przypadek. W praktyce zdarza się jednak, że organizacja wchodzi w posiadanie danych osobowych wbrew własnej woli. Pojawiają się wówczas kwestie problemowe – co z takimi danymi zrobić, jak je przetwarzać, czy należy spełnić obowiązek informacyjny. Przykładem otrzymania takich danych jest otrzymanie wiadomości e-mail zawierającej CV, podczas gdy nie jest prowadzona rekrutacja, a placówka nie jest zainteresowana zatrudnianiem nowego pracownika. Inną sytuacją jest składanie przez pracownika wniosku do ZFŚS i załączanie kserokopii dokumentów np. wypisu ze szpitala. Takie dane określa się właśnie mianem „danych niechcianych”.

JEŚLI ADMINISTRATOR PODEJMIE DECYZJĘ O USUNIĘCIU BĄDŹ ZNISZCZENIU DANYCH NIECHCIANYCH, WÓWCZAS NIE BĘDZIE ZOBLIGOWANY DO SPEŁNIENIA OBOWIĄZKU INFORMACYJNEGO WOBEC OSOBY, KTÓRA PRZEKAZAŁA DANE WBREW JEGO WOLI.

Jak dalej postąpić?
Pamiętajmy, że to administrator decyduje o tym jakie dane osobowe przetwarza – część z tych danych pojawia się w organizacji na podstawie przepisów prawa (np. w przypadku zatrudnienia pracowników), a część z nich w wyniku działalności administratora (np. na podstawie zgody na otrzymywanie newslettera lub umowy na wykonanie usługi). Nie można natomiast niejako zmusić daną organizację do administrowania naszymi danymi osobowymi np. przesyłając CV w wiadomości e-mail lub przekazując nadmiarową dokumentację. W przypadku otrzymania takich „nadprogramowych” danych osobowych administrator ma prawo po prostu je usunąć, jako że są one dla niego zbędne. W tym przypadku też, nie ma konieczności aby spełniać obowiązek informacyjny wobec osoby, która przekazała swoje dane.

TAK ZWANE: „DANE NIECHCIANE” NALEŻY PO PROSTU USUNĄĆ BĄDŹ ZNISZCZYĆ.

PODSUMOWUJĄC:
Wiadomości e-mail zawierające dane niechciane należy pozostawiać bez odpowiedzi oraz usunąć je ze skrzynki.
Natomiast w przypadku dokumentów zwrócić je właścicielowi bądź (jeśli są to kserokopie) zniszczyć.