BLOG CORE CONSULTING

Dzielimy się naszą wiedzą

Jakie niszczarki są zgodne z RODO?

Odpowiadając krótko i konkretnie na pytanie, jakie niszczarki są zgodne z RODO wskazujemy:

Żaden przepis prawa ani wytyczne Urzędu Ochrony Danych Osobowych nie precyzują jednoznacznie jaka niszczarka jest „zgodna z RODO”.

Nie budzi wątpliwości, że zgodna z RODO będzie niszczarka o standardzie minimum poziom P-4 wg normy DIN 66399 i w przypadku wątpliwości co najmniej taką niszczarkę rekomendujemy kupować.

Jeżeli do Twojej organizacji znajdują zastosowanie regulacje ustawy o ochronie informacji niejawnych, wówczas musisz rozważyć zakup niszczarek o wyższym poziomie, w tym niszczarek poziomu P-7 wg normy DIN 66399 (niszczenie dokumentów tajnych i ściśle tajnych).

Centralny rejestr umów od 1 stycznia 2024

Ustawa z dnia 14 października 2021 r. o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw (dalej: ustawa o zmianie Kodeksu karnego) w artykule 6 wprowadziła zmiany do ustawy o finansach publicznych. Mówiąc inaczej, stworzyła nową instytucję – rejestr umów, do którego prowadzenia zobowiązane są jednostki sektora finansów publicznych.

W art. 15 ustawy o zmianie Kodeksu karnego ustalono, że nowe przepisy związane z rejestrem umów będą obowiązywały od dnia 1 lipca 2022 roku (przy czym rejestr miał objąć wszystkie umowy zawarte od dnia 1 stycznia 2022 r.). Dlatego też większość jednostek sektora finansów publicznych rozpoczęło już przygotowania do prowadzenia rejestru.

Przepisy, które miały wejść w życie z dniem 1 lipca, budziły wiele wątpliwości interpretacyjnych i niedomówień w zakresie tego, jak właściwie powinno się je stosować (niektórzy z Państwa konsultowali z nami obowiązek prowadzenia rejestru, zatem problemy praktyczne związane z tą regulacją są Państwu na pewno dobrze znane).

W dniu 9 czerwca bieżącego roku Sejm dokonał zmiany terminu wejścia w życie rejestru – przesuwając datę z 1 lipca 2022 roku na 1 stycznia 2024 roku. Zmiana nastąpiła poprzez uchwalenie ustawy o zmianie ustawy o podatku dochodowym od osób fizycznych oraz niektórych innych ustaw (objęła zatem ustawę o zmianie Kodeksu karnego, która ustalała pierwotny termin wprowadzenia rejestru na 1 lipca bieżącego roku). Drugą (i póki co jedyną inną) zmianą dotyczącą rejestru jest również to, że do rejestru (mającego funkcjonować od 1 stycznia 2024 roku) wprowadza się informacje o umowach zawartych od dnia wejścia w życie rejestru. Czyli: rejestr ma funkcjonować od 1 stycznia 2024 i dotyczy tylko umów zawartych po tej dacie.

Ustawa z dnia 9 czerwca 2022 roku na dzień pisania niniejszego artykułu (14 czerwca) nadal oczekuje na podpis Prezydenta Andrzeja Dudy. Zgodnie z art. 122 ust. 1 Konstytucji od otrzymania uchwalonej ustawy Prezydent ma 21 dni na jej podpisanie. Można się zatem spodziewać, że w momencie, w którym czytają Państwo ten kwartalnik, przesunięcie powyższych terminów stało się faktem.

W razie wątpliwości co do obowiązującego stanu prawnego w zakresie prowadzenia rejestru umów zapraszamy do kontaktu.

Jak długo publikować dane uczniów na stronie internetowej?

W dzisiejszych czasach posiadanie przez placówkę oświatową strony internetowej to praktycznie standard. Strona służy do udzielania informacji, do prowadzenia komunikacji z uczniami i rodzicami, do promowania działalności placówki oraz sukcesów jej uczniów. Nierzadko strona internetowa szkoły stanowi elektroniczny odpowiednik kroniki szkolnej, w której przechowywane są zdjęcia czy artykuły z lat poprzednich. Publikacja takich materiałów, wiąże się jednak z koniecznością ich weryfikacji. Nasuwa się zatem pytanie, jak długo można publikować dane uczniów na stronie internetowej? Poniżej przedstawiamy Państwu odpowiedzi.

Na wstępie należy zaznaczyć, że przepisy prawa nie mówią jednoznacznie, jak długo możemy publikować dane (zwłaszcza wizerunek) uczniów na stronie internetowej. Oznacza to, że odpowiedzi musimy udzielić sobie sami w oparciu o zasady wynikające z RODO. Przede wszystkim musimy spełnić dwa warunki: posiadać ważną (aktualną) podstawę przetwarzania danych oraz kierować się zasadą ograniczenia przechowywania danych.

1. Podstawa przetwarzania

Publikacja wizerunku ucznia, możliwa jest dopiero po pobraniu zgody od jego rodziców (lub samego ucznia, gdy jest osobą pełnoletnią). Taka zgoda jest najbardziej adekwatną podstawą prawną, ponieważ prowadzenie strony internetowej (i zamieszczanie na niej materiałów) nie jest ani uprawnieniem, ani obowiązkiem placówki oświatowej. Krótko mówiąc, przepisy prawa ani nie zobowiązują, ani nie zabraniają placówce stworzyć strony. Co do zasady, nie możemy więc oprzeć publikowania danych uczniów o przepis prawa, ani o działanie w interesie publicznym (w tym drugim przypadku, sytuacja przedstawia się nieco odmiennie w przypadku kadry pedagogicznej).

2. Ograniczenie przechowywania danych

Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jeśli więc przy przyjmowaniu nowych uczniów do szkoły, zbieramy od ich rodziców zgody na publikację wizerunku na stronie, to powinniśmy przyjąć, że zgoda obowiązuje do momentu jej odwołania i nie dłużej niż przez okres, niezbędny do realizacji celu w postaci, np. zamieszczania wiadomości o bieżących wydarzeniach (a w przypadku np. ukończenia edukacji w placówce przez danego ucznia, należy zastanowić się, czy dalsza publikacja danych, nadal służy do spełnienia przyjętego przez placówkę celu).

Często zadawane pytania

Czy w takim razie dane uczniów mogą być publikowane na stronie w nieskończoność?


Nie. Już na etapie pozyskiwania zgody powinniśmy wiedzieć, jak długo chcemy przetwarzać dane osobowe. Możemy na przykład wewnętrznie ustalić, że zakładka „Aktualności” (również „Galeria” czy „Archiwum”) nie zawiera wpisów starszych niż 3-4 lata. Nie trzeba tego robić w żaden oficjalny sposób (dyrektor nie musi w tym celu wydawać zarządzenia). Najważniejsze, by każda osoba zaangażowana w tworzenie strony wiedziała, jakie zasady zostały przyjęte.

Nasza szkoła ma kilkuletnią tradycję chwalenia się osiągnięciami uczniów – niektóre informacje o naszych sportowcach lub laureatach olimpiad tematycznych sięgają daleko wstecz (8-10 lat). Czy musimy teraz usunąć zakładkę z wybitnymi uczniami i zrezygnować z naszego dorobku?

To zależy. Jeśli przed wejściem RODO do stosowania (czyli przed 25 maja 2018 roku) nie zbieraliśmy zgód od uczniów, mamy dwa wyjścia: skontaktować się z absolwentami, w celu uzyskania od nich zgody na dalszą publikację danych lub, jeżeli nie jest to możliwe, dopiero wtedy usunąć ich dane. Nie możemy przetwarzać danych bezpodstawnie – czyli nie możemy publikować wizerunku lub innych danych uczniów bez ich zgody (lub zgody ich rodziców).

W takim razie chcemy rozpocząć „kolekcjonowanie” sukcesów uczniów od nowa (tzn. odkąd obowiązuje RODO). Czy zgoda, którą zbieramy od każdego nowego ucznia wystarczy, by przez kolejne 5-10 lat publikować informacje o jego wybitnych osiągnięciach?

Rekomendujemy zbieranie osobnej zgody od konkretnych uczniów. Jeżeli chcemy utworzyć specjalną zakładkę lub listę wybitnych uczniów, tak naprawdę tworzymy nowy cel przetwarzania ich danych. Ten cel nie polega już na raportowaniu bieżących wydarzeń, lecz długofalowym promowaniu działalności (jakości nauczania, tradycji) szkoły. Dlatego też uczniowie udzielający zgody powinni mieć świadomość, do czego informacje o nich będą wykorzystywane i przez jaki czas.

Postępowanie w przypadku incydentu bezpieczeństwa

Incydent – sytuacja lub zdarzenie, które wiąże się z co najmniej jednym z następujących skutków:

  1. utrata dostępności danych osobowych. Może być stała a może być czasowa (np. zniszczenie dysku, który nie ma kopii zapasowej, kilkugodzinna utrata dostępu do bazy danych);
  2. utrata poufności wyciek danych osobowych (uzyskanie dostępu do danych osobowych przez osobę nieuprawnioną);
  3. utrata integralności danych (doszło do nieautoryzowanych zmian w danych, które np. skutkują brakiem możliwości stwierdzenia prawidłowości danych).

W przypadku podejrzenia wystąpienia incydentu przyjmuje się następujące reguły działania:

Krok 1 – pracownik, który stwierdzi ryzyko incydentu:

  • niezwłocznie zabezpiecza dane przed dalszym wyciekiem/zniszczeniem przy jednoczesnym zachowaniu danych dot. zdarzenia (tj. należy zabezpieczyć dane przed dalszym dostępem osób nieuprawnionych);
  • jednocześnie należy zachować informacje o tym jakie dane wyciekły, w celu umożliwienia działania w kolejnych krokach; przykładowo w przypadku włamania na serwer i wykradzenia danych, odłączamy serwer od Internetu ale nie kasujemy danych zawartych na serwerze – będą potrzebne do zidentyfikowania jaka była skala naruszenia i jakich danych naruszenie dotyczyło.

Krok 2 – pracownik, który stwierdził ryzyko incydentu, po wykonaniu działań z kroku 1 niezwłocznie informuje przełożonego oraz Inspektora Ochrony Danych o zdarzeniu.

Informacja powinna zawierać i opisywać wszelkie fakty związane z incydentem, w szczególności: kto dokonał naruszenia, jaka była przyczyna naruszenia, jakich konkretnie danych dotyczy naruszenie, ilu osób dotyczy (przynajmniej w przybliżeniu), jakich kategorii osób dotyczy (pracowników, uczniów, kontrahentów),  wzory bądź kopie dokumentów (np. załączniki do wiadomości e-mail).

Krok 3 – Inspektor Ochrony Danych we współpracy z Dyrekcją oraz osobą odpowiedzialną za systemy IT (o ile incydent wiąże się z obszarem IT) dokonują wtórnej weryfikacji bezpieczeństwa danych osobowych.

Krok 4 – w przypadku incydentu większej wagi zostaje powołana wewnętrzna Komisja w celu zbadania okoliczności sprawy i określenia jej przebiegu, przyczyn naruszenia, potencjalnych konsekwencji naruszenia.

Krok 5 – następuje podjęcie decyzji o konieczności zawiadomienia o naruszeniu:

  • Prezesa Urzędu Ochrony Danych Osobowych (PUODO);
  • osób, których dane dotyczą.

Decyzje podejmuje Dyrekcja po zasięgnięciu opinii Inspektora Ochrony Danych.

*Krok 6 – w razie zapadnięcia decyzji o konieczności zgłoszenia naruszenia do PUODO Inspektor Ochrony Danych opracowuje zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych o incydencie.

Krok 7 – opracowanie przez Inspektora Ochrony Danych Raportu ze zdarzenia – raport zawiera:

  1. wskazanie możliwych skutków dla osób, których danych dane dotyczą;
  2. wskazanie zaleceń, które powinny zostać wdrożone w celu uniknięcia podobnych naruszeń w przyszłości, w zakresie zabezpieczeń organizacyjnych, fizycznych lub technicznych oraz konsekwencji personalnych (jeżeli dotyczy).

Krok 8 – wpisanie incydentu do Rejestru naruszeń.

UWAGA: zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach, które wiążą się z ryzykiem naruszenia praw lub wolności osób, których dane dotyczą powinno być dokonane niezwłocznie, nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia. Nie są to „godziny robocze”, więc działania w tym obszarze powinny być podejmowane bez zbędnej zwłoki.

Udostępnianie danych ABW

Do szkoły zgłosił się funkcjonariusz ABW z prośbą o wyciągnięcie informacji o uczniu tj. lata nauki, problemy wychowawcze itp. (z lat 2007-2010) Przedstawił legitymację służbową. Zaznaczył,  że jako funkcjonariusz ABW nie potrzebuje konkretnego upoważnienia do uzyskania informacji o osobie (podobno wynika to z ustawy). Nie przedstawiono w placówce żadnego pisma z żądaniem udzielenia informacji o osobie.  

Czy szkoła może udostępnić ABW powyższe dane i nie będzie to naruszenie RODO z naszej strony?

Z ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu wynika, że organy administracji rządowej, organy samorządu terytorialnego, instytucje państwowe oraz przedsiębiorcy prowadzący działalność w zakresie użyteczności publicznej są obowiązani, w zakresie swojego działania, do współdziałania z Agencjami, a w szczególności udzielania pomocy w realizacji zadań Agencji (art. 10 Ustawy). Potwierdzeniem tego jest również art. 23 ust. 1 pkt 7) Ustawy.

Art. 34 ust. 1 Ustawy stanowi natomiastże w zakresie swojej właściwości Agencje mogą zbierać, także niejawnie, wszelkie dane osobowe, w tym również, jeżeli jest to uzasadnione charakterem realizowanych zadań, dane wskazane w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), a także korzystać z danych osobowych i innych informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych przez uprawnione do tego organy, służby i instytucje państwowe oraz przetwarzać je bez wiedzy i zgody osoby, której te dane dotyczą.

Co jednak istotne, z ust. 2 powyższego przepisu wynika, że Administrator zbioru danych jest obowiązany udostępnić dane osobowe, o których mowa w ust. 1, na podstawie imiennego upoważnienia wydanego odpowiednio przez Szefa ABW albo Szefa AW okazanego przez funkcjonariusza wraz z legitymacją służbową.

W związku z powyższym, mogą Państwo udostępnić dane osobowe pracownikowi ABW, pod warunkiem okazania przez niego imiennego upoważnienia wydanego przez Szefa ABW oraz legitymacji służbowej.

Wykorzystywanie prywatnych skrzynek e-mail

Pytanie: wszyscy nauczyciele przedszkola mają założone służbowe e-maile, ale nie mamy możliwości założenia służbowych e-maili dla pracowników niepedagogicznych. Chcielibyśmy zebrać od pracowników obsługi ich prywatne adresy e-mail żeby móc im wysyłać elektronicznie, np. prezentacje ze szkolenia BHP, szkolenia dotyczące PPK, informacje dotyczące organizacji pracy itp. W jaki sposób możemy to zrobić, aby było to zgodne z RODO? Czy na jakimś specjalnym formularzu? Czy możemy od pracownika wymagać podania prywatnego adresu e-mail czy jest to tylko jego dobra wola?

Odpowiedź: W przypadku prywatnych adresów e-mail ich podanie przez pracowników jest możliwe tylko za ich zgodą. Oznacza to, że pracownik powinien mieć realną możliwość odmowy jej udzielenia (bez negatywnych konsekwencji). Co z kolei oznacza, że brak zgody nie uniemożliwi mu dostępu do szkoleń i informacji. W przypadku relacji pracownik – pracodawca dobrowolność takiej zgody może być poddana pod wątpliwość przez Urząd Ochrony Danych Osobowych z uwagi na to, iż pracownik może czuć przymus jej udzielenia i obawiać się odmówić (co sprawia, iż zgoda taka nie jest dobrowolna).

Z uwagi na to, że przesyłane informacje mają mieć charakter jedynie organizacyjny – proponuję dwa rozwiązania, które pomogą nam uniknąć pobierania i posługiwania się adresami prywatnymi:

  1. Jeden wspólny mail – w celu umieszczania informacji można rozważyć założenie przez Placówkę jednej wspólnej skrzynki e-mail, na którą mogliby logować się pracownicy i korzystać z przesyłanych na nią szkoleń i innych informacji.
  2. Drugim rozwiązaniem jest założenie indywidualnego maila dla każdego pracownika na komercyjnej skrzynce e-mail. Skrzynka taka służyłaby jedynie do przesyłania wspomnianych treści. Zalecam, aby w takim przypadku w adresie e-mail nie podawać imienia i nazwiska pracownika, a ewentualnie posłużyć się inicjałami.

Oczywiście zakładanie takiej jednej zbiorczej lub kilku indywidualnych skrzynek wiąże się z korzystaniem ze skrzynek darmowych i komercyjnych, korzystania z których zawsze Państwu odradzamy. Jednak w tym konkretnym przypadku można wyjść z założenia, że prywatne skrzynki pracowników również założone są na kontach komercyjnych i darmowych, po drugie zaś na skrzynki te nie będą Państwo przesyłać korespondencji zawierającej dane osobowe.