CORE CONSULTING

Tag: Case Study

Jakie niszczarki są zgodne z RODO?

Odpowiadając krótko i konkretnie na pytanie, jakie niszczarki są zgodne z RODO wskazujemy:

Żaden przepis prawa ani wytyczne Urzędu Ochrony Danych Osobowych nie precyzują jednoznacznie jaka niszczarka jest „zgodna z RODO”.

Nie budzi wątpliwości, że zgodna z RODO będzie niszczarka o standardzie minimum poziom P-4 wg normy DIN 66399 i w przypadku wątpliwości co najmniej taką niszczarkę rekomendujemy kupować.

Jeżeli do Twojej organizacji znajdują zastosowanie regulacje ustawy o ochronie informacji niejawnych, wówczas musisz rozważyć zakup niszczarek o wyższym poziomie, w tym niszczarek poziomu P-7 wg normy DIN 66399 (niszczenie dokumentów tajnych i ściśle tajnych).

Jak długo publikować dane uczniów na stronie internetowej?

W dzisiejszych czasach posiadanie przez placówkę oświatową strony internetowej to praktycznie standard. Strona służy do udzielania informacji, do prowadzenia komunikacji z uczniami i rodzicami, do promowania działalności placówki oraz sukcesów jej uczniów. Nierzadko strona internetowa szkoły stanowi elektroniczny odpowiednik kroniki szkolnej, w której przechowywane są zdjęcia czy artykuły z lat poprzednich. Publikacja takich materiałów, wiąże się jednak z koniecznością ich weryfikacji. Nasuwa się zatem pytanie, jak długo można publikować dane uczniów na stronie internetowej? Poniżej przedstawiamy Państwu odpowiedzi.

Na wstępie należy zaznaczyć, że przepisy prawa nie mówią jednoznacznie, jak długo możemy publikować dane (zwłaszcza wizerunek) uczniów na stronie internetowej. Oznacza to, że odpowiedzi musimy udzielić sobie sami w oparciu o zasady wynikające z RODO. Przede wszystkim musimy spełnić dwa warunki: posiadać ważną (aktualną) podstawę przetwarzania danych oraz kierować się zasadą ograniczenia przechowywania danych.

1. Podstawa przetwarzania

Publikacja wizerunku ucznia, możliwa jest dopiero po pobraniu zgody od jego rodziców (lub samego ucznia, gdy jest osobą pełnoletnią). Taka zgoda jest najbardziej adekwatną podstawą prawną, ponieważ prowadzenie strony internetowej (i zamieszczanie na niej materiałów) nie jest ani uprawnieniem, ani obowiązkiem placówki oświatowej. Krótko mówiąc, przepisy prawa ani nie zobowiązują, ani nie zabraniają placówce stworzyć strony. Co do zasady, nie możemy więc oprzeć publikowania danych uczniów o przepis prawa, ani o działanie w interesie publicznym (w tym drugim przypadku, sytuacja przedstawia się nieco odmiennie w przypadku kadry pedagogicznej).

2. Ograniczenie przechowywania danych

Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jeśli więc przy przyjmowaniu nowych uczniów do szkoły, zbieramy od ich rodziców zgody na publikację wizerunku na stronie, to powinniśmy przyjąć, że zgoda obowiązuje do momentu jej odwołania i nie dłużej niż przez okres, niezbędny do realizacji celu w postaci, np. zamieszczania wiadomości o bieżących wydarzeniach (a w przypadku np. ukończenia edukacji w placówce przez danego ucznia, należy zastanowić się, czy dalsza publikacja danych, nadal służy do spełnienia przyjętego przez placówkę celu).

Często zadawane pytania

Czy w takim razie dane uczniów mogą być publikowane na stronie w nieskończoność?


Nie. Już na etapie pozyskiwania zgody powinniśmy wiedzieć, jak długo chcemy przetwarzać dane osobowe. Możemy na przykład wewnętrznie ustalić, że zakładka „Aktualności” (również „Galeria” czy „Archiwum”) nie zawiera wpisów starszych niż 3-4 lata. Nie trzeba tego robić w żaden oficjalny sposób (dyrektor nie musi w tym celu wydawać zarządzenia). Najważniejsze, by każda osoba zaangażowana w tworzenie strony wiedziała, jakie zasady zostały przyjęte.

Nasza szkoła ma kilkuletnią tradycję chwalenia się osiągnięciami uczniów – niektóre informacje o naszych sportowcach lub laureatach olimpiad tematycznych sięgają daleko wstecz (8-10 lat). Czy musimy teraz usunąć zakładkę z wybitnymi uczniami i zrezygnować z naszego dorobku?

To zależy. Jeśli przed wejściem RODO do stosowania (czyli przed 25 maja 2018 roku) nie zbieraliśmy zgód od uczniów, mamy dwa wyjścia: skontaktować się z absolwentami, w celu uzyskania od nich zgody na dalszą publikację danych lub, jeżeli nie jest to możliwe, dopiero wtedy usunąć ich dane. Nie możemy przetwarzać danych bezpodstawnie – czyli nie możemy publikować wizerunku lub innych danych uczniów bez ich zgody (lub zgody ich rodziców).

W takim razie chcemy rozpocząć „kolekcjonowanie” sukcesów uczniów od nowa (tzn. odkąd obowiązuje RODO). Czy zgoda, którą zbieramy od każdego nowego ucznia wystarczy, by przez kolejne 5-10 lat publikować informacje o jego wybitnych osiągnięciach?

Rekomendujemy zbieranie osobnej zgody od konkretnych uczniów. Jeżeli chcemy utworzyć specjalną zakładkę lub listę wybitnych uczniów, tak naprawdę tworzymy nowy cel przetwarzania ich danych. Ten cel nie polega już na raportowaniu bieżących wydarzeń, lecz długofalowym promowaniu działalności (jakości nauczania, tradycji) szkoły. Dlatego też uczniowie udzielający zgody powinni mieć świadomość, do czego informacje o nich będą wykorzystywane i przez jaki czas.

Udostępnianie danych ABW

Do szkoły zgłosił się funkcjonariusz ABW z prośbą o wyciągnięcie informacji o uczniu tj. lata nauki, problemy wychowawcze itp. (z lat 2007-2010) Przedstawił legitymację służbową. Zaznaczył,  że jako funkcjonariusz ABW nie potrzebuje konkretnego upoważnienia do uzyskania informacji o osobie (podobno wynika to z ustawy). Nie przedstawiono w placówce żadnego pisma z żądaniem udzielenia informacji o osobie.  

Czy szkoła może udostępnić ABW powyższe dane i nie będzie to naruszenie RODO z naszej strony?

Z ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu wynika, że organy administracji rządowej, organy samorządu terytorialnego, instytucje państwowe oraz przedsiębiorcy prowadzący działalność w zakresie użyteczności publicznej są obowiązani, w zakresie swojego działania, do współdziałania z Agencjami, a w szczególności udzielania pomocy w realizacji zadań Agencji (art. 10 Ustawy). Potwierdzeniem tego jest również art. 23 ust. 1 pkt 7) Ustawy.

Art. 34 ust. 1 Ustawy stanowi natomiastże w zakresie swojej właściwości Agencje mogą zbierać, także niejawnie, wszelkie dane osobowe, w tym również, jeżeli jest to uzasadnione charakterem realizowanych zadań, dane wskazane w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), a także korzystać z danych osobowych i innych informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych przez uprawnione do tego organy, służby i instytucje państwowe oraz przetwarzać je bez wiedzy i zgody osoby, której te dane dotyczą.

Co jednak istotne, z ust. 2 powyższego przepisu wynika, że Administrator zbioru danych jest obowiązany udostępnić dane osobowe, o których mowa w ust. 1, na podstawie imiennego upoważnienia wydanego odpowiednio przez Szefa ABW albo Szefa AW okazanego przez funkcjonariusza wraz z legitymacją służbową.

W związku z powyższym, mogą Państwo udostępnić dane osobowe pracownikowi ABW, pod warunkiem okazania przez niego imiennego upoważnienia wydanego przez Szefa ABW oraz legitymacji służbowej.

Wykorzystywanie prywatnych skrzynek e-mail

Pytanie: wszyscy nauczyciele przedszkola mają założone służbowe e-maile, ale nie mamy możliwości założenia służbowych e-maili dla pracowników niepedagogicznych. Chcielibyśmy zebrać od pracowników obsługi ich prywatne adresy e-mail żeby móc im wysyłać elektronicznie, np. prezentacje ze szkolenia BHP, szkolenia dotyczące PPK, informacje dotyczące organizacji pracy itp. W jaki sposób możemy to zrobić, aby było to zgodne z RODO? Czy na jakimś specjalnym formularzu? Czy możemy od pracownika wymagać podania prywatnego adresu e-mail czy jest to tylko jego dobra wola?

Odpowiedź: W przypadku prywatnych adresów e-mail ich podanie przez pracowników jest możliwe tylko za ich zgodą. Oznacza to, że pracownik powinien mieć realną możliwość odmowy jej udzielenia (bez negatywnych konsekwencji). Co z kolei oznacza, że brak zgody nie uniemożliwi mu dostępu do szkoleń i informacji. W przypadku relacji pracownik – pracodawca dobrowolność takiej zgody może być poddana pod wątpliwość przez Urząd Ochrony Danych Osobowych z uwagi na to, iż pracownik może czuć przymus jej udzielenia i obawiać się odmówić (co sprawia, iż zgoda taka nie jest dobrowolna).

Z uwagi na to, że przesyłane informacje mają mieć charakter jedynie organizacyjny – proponuję dwa rozwiązania, które pomogą nam uniknąć pobierania i posługiwania się adresami prywatnymi:

  1. Jeden wspólny mail – w celu umieszczania informacji można rozważyć założenie przez Placówkę jednej wspólnej skrzynki e-mail, na którą mogliby logować się pracownicy i korzystać z przesyłanych na nią szkoleń i innych informacji.
  2. Drugim rozwiązaniem jest założenie indywidualnego maila dla każdego pracownika na komercyjnej skrzynce e-mail. Skrzynka taka służyłaby jedynie do przesyłania wspomnianych treści. Zalecam, aby w takim przypadku w adresie e-mail nie podawać imienia i nazwiska pracownika, a ewentualnie posłużyć się inicjałami.

Oczywiście zakładanie takiej jednej zbiorczej lub kilku indywidualnych skrzynek wiąże się z korzystaniem ze skrzynek darmowych i komercyjnych, korzystania z których zawsze Państwu odradzamy. Jednak w tym konkretnym przypadku można wyjść z założenia, że prywatne skrzynki pracowników również założone są na kontach komercyjnych i darmowych, po drugie zaś na skrzynki te nie będą Państwo przesyłać korespondencji zawierającej dane osobowe.

Przekazywanie danych osobowych dzieci przedszkolnych do Sanepidu

Pytanie: Proszę o informację w sprawie przekazywania danych osobowych dzieci przedszkolnych do Sanepidu, celem objęcia kwarantanną dzieci, które miały kontakt z zakażonym dzieckiem w przedszkolu. Rodzic uważa, że dyrekcja nie powinna przekazywać takich danych. Dodatkowo dane zostały przekazane w zaszyfrowanym pliku w tabelce, którą otrzymaliśmy od sanepidu.

Odpowiedź: Placówka oświatowa uprawniona jest do udostępnienia danych dzieci, celem objęcia ich kwarantanną, na potrzeby prowadzonego postępowania epidemiologicznego. Oczywiście istotne jest zabezpieczenie tych danych, co słusznie ostało uczynione.

Działanie to, uzasadnione jest realizacją zadań z powołaniem na klauzulę interesu publicznego lub klauzulę władzy publicznej (art. 6 ust. 1 lit. e RODO). Celem takiego przetwarzania jest przeciwdziałanie rozprzestrzenianiu się chorób zakaźnych oraz podjęcie działań ułatwiających służbom sanitarnym dochodzenie epidemiologiczne na wypadek wykrycia, że osoba zakażona przebywała na terenie placówki. Innymi słowy cel jaki przyświeca placówce w przypadku udostępniania danych dzieci to ochrona życia i zdrowia wychowanków, pracowników oraz osób przebywających na terenie Przedszkola, poprzez podejmowanie odpowiednich działań zapobiegawczych w celu unieszkodliwienia źródeł zakażenia i przecięcia dróg szerzenia danej choroby zakaźnej. Jednocześnie jest to ułatwienie prowadzenia dochodzenia epidemiologicznego.  

Potencjalnie rodzic może złożyć sprzeciw wobec takiego przetwarzania, z przyczyn związanych z jego szczególną sytuacją. Realnie jednak taki sprzeciw nie będzie uwzględniony, bowiem przedszkole posiada wspominane powyżej ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą – szeroko pojęte przeciwdziałanie chorobom zakaźnym.

Zalecenia dotyczące ochrony danych osobowych Opracowanie na podstawie ostatnich decyzji Prezesa Urzędu Ochrony Danych Osobowych

Błędny adres e mail podany przez klienta


Co się wydarzyło?
Klient podał administratorowi błędny adres e-mail. Następnie na adres ten
została wysłana korespondencja zawierająca polisę ubezpieczeniową, która trafiła do osoby trzeciej. Plik zawierający polisę nie był chroniony hasłem, dlatego też osoba, która otrzymała wiadomość mogła bez przeszkód zapoznać się z danymi osobowymi zawartymi w treści dokumentu.


Zalecenia:

Komunikując się z klientem poprzez pocztę elektroniczną administrator powinien mieć świadomość ryzyka związanego np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu jego minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne takie jak:
– weryfikacja adresów mailowych wskazywanych przez klientów
– szyfrowanie plików zawierających dane osobowe, które są przesyłane
w wiadomościach elektronicznych.


Uwaga:
Błąd klienta nie zwalnia administratora z odpowiedzialności za
naruszenie ochrony danych oraz ewentualnych jego konsekwencji.
Uzasadnienie zaleceń czyli jak sprawę ocenił Urząd z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność. Fakt, iż do naruszenia doszło w wyniku błędu klienta,
który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na
ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych. Jego skutkiem jest bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych.


Czy zwrócenie się do osoby, która otrzymała wiadomość o jej usunięcie jest wystarczającym działaniem administratora?
Nie, zgodnie ze stanowiskiem Urzędu dla oceny naruszenia nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem pewności, czy przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem administrator nie ma możliwości jego faktycznej weryfikacji.
Działanie takie jednak stawia administratora w lepszym świetle przed Prezesem Urzędu Ochrony Danych Osobowych.


Na podstawie decyzji dot.:
TUiR WARTA S.A. z dnia 09.12.2020 r.,
sygn.: DKN.5131.5.2020, https://uodo.gov.pl/pl/138/1801

Czy osoby “samozatrudnione” i pracujące w oparciu o umowę zlecenie powinny zawrzeć umowę o przetwarzaniu danych?

Jak traktować osoby pracujące na podstawie umowy zlecenia lub tzw. „samozatrudnione”? Czy z takimi osobami trzeba zawrzeć umowę dotyczącą przetwarzania danych czy po prostu je upoważnić do przetwarzania? 

Z punktu widzenia przepisów RODO, forma prawna zatrudnienia (współpracy) ma znaczenie drugorzędne. Kluczowe jest ustalenie, czy osoba pracująca na podstawie umowy zlecenia lub „samozatrudniona” realizuje czynności związane z przetwarzaniem danych pod kontrolą zatrudniającego oraz na jego pełną odpowiedzialność (np. pracuje tylko w biurze zatrudniającego oraz na sprzęcie służbowym). Jeśli tak – należy taką osobę potraktować jak pracownika i upoważnić do przetwarzania danych. Jeśli jednak taka osoba ma dużą niezależność (pracuje np. na własnym sprzęcie oraz dla innych podmiotów), wówczas należy zawrzeć z nią umowę dotyczącą przetwarzania danych – jak z każdym innym procesorem. 

Photo by Charles 🇵🇭 on Unsplash

Placówki oświatowe: informacje publiczne i klauzule [case studies]

Jeden z rodziców dziecka uczęszczającego do naszej placówki złożył w formie papierowej wniosek zawierający pytanie, czy placówka oświatowa korzysta z Biuletynu Informacji Publicznej a jeżeli tak, to pod jakim adresem. Czy wniosek należy skonsultować z inspektorem ochrony danych osobowych? 

Nie, ponieważ zapytanie nie odnosi się zagadnienia na gruncie ochrony danych osobowych.

Do placówki oświatowej wpłynął wniosek w sprawie udostępnienia kwoty wynagrodzenia dyrektora placówki w poszczególnych miesiącach roku. Czy mamy obowiązek przekazać takie dane? 

Tak. Wynagrodzenie dyrektora placówki jest informacją publiczną, którą należy przesłać w ramach odpowiedzi na wniosek. 

Placówka umieszcza skróconą klauzulę na wszystkich dokumentach kierowanych do rodziców przez cały rok szkolny. Czy jest to słuszne działanie? 

Nie. RODO wymaga jedynie, by obowiązek informacyjny został spełniony raz, przy pierwszym możliwym kontakcie. 

Zespół Szkolno-Przedszkolny zaprosił inne Szkoły Podstawowe oraz Przedszkola do wzięci udziału w konkursie. Zespół pragnie umieścić na stronie www listę laureatów konkursu. Czy w tym przypadku należy zebrać od rodziców dzieci zgody na taką publikację? 

Nie. Lista laureatów konkursu nie wymaga zgody. Jednakże należy o nie zadbać, jeżeli zechcemy opublikować listę wszystkich uczestników konkursu.  

Photo by Jeremy Bishop on Unsplash

Co robić z CV po zakończeniu rekrutacji? [case study]

Jestem pracodawcą i szukam nowych pracowników. Co robić z CV po zakończeniu rekrutacji?

Zasadniczo po ukończeniu rekrutacji CV kandydatów, którzy nie zostali zatrudnieni należałoby zniszczyć lub usunąć (i to bezzwłocznie – niedopuszczalne jest przechowywanie danych osobowych dłużej, niż uzasadnia to cel, dla którego zostały zebrane). 

Wyjątkiem jest sytuacja, gdy kandydat w dokumentach aplikacyjnych wyraźnie zaznaczył, że zgadza się na przechowywanie informacji o nim również po zakończeniu procesu rekrutacyjnego (np. przez kolejne 12 miesięcy). Wtedy jesteśmy uprawnieni do zatrzymania CV przez ten dłuższy czas.

Photo by Amy Hirschi on Unsplash