Część druga FAQ-ów. Tym razem publikujemy odpowiedzi na pytania, które padły podczas drugiego szkolenia w ramach naszego cyklu webinarów Jak przygotować Dział IT na RODO.
1. Czy dla danych wrażliwych, np. dane medyczne, stosowane są jakieś odrębne przepisy?
Tak. Dane medyczne to szczególna kategoria danych osobowych, które będą podlegały też szczególnym rygorom.
2. Czy daną osobową jest stwierdzenie: „Prezes wodociągów 10 lat temu”.
Nie. Takie zapisy/dane nie umożliwiają identyfikacji osoby.
3. Pojawia się nowa definicja współadministratorów, czy muszą mieć umowie powierzenia danych między sobą np. urząd miasta z gminą czy spółkami miejskimi?
Jest to zbyt szerokie zagadnienie by odpowiedzieć „Tak” lub „Nie”. Takie umowy/klauzury na pewno do pewnego stopnia byłyby konieczne, ale zapewne nie w każdym przypadku. Nie we wszystkich przypadkach będą potrzebne pewne dokumenty związane z przetwarzaniem danych osobowych.
Nagranie drugiego szkolenia.
4. A jak nagramy kogoś na wózku albo o kulach to potrzebujemy zgodę bo przetwarzamy dane medyczne o stanie zdrowia?
W tym momencie nie przetwarzamy danych medycznych, tylko wizerunek danej osoby.
5. Czy adres IP jest również daną osobową? Czyli przetwarzanie, zbieranie adresów IP będzie też powiązane z interesem przetwarzania danych osobowych z uwagi na słuszny interes administratora?
Tak, nowa definicja danych osobowych zawiera m.in. adres IP. Bez adresu IP, jego przetwarzania (bez świadomego zapisu identyfikacyjnego) bardzo wiele usług społeczeństwa informacyjnego na pewno nie będzie mogło być świadczonych. W tym miejscu ważne jest pytanie, czy pobranie tego adresu IP i jego przetwarzanie, narusza jakieś inne ważniejsze prawa danej osoby, której ten adres IP przetwarzany? W niektórych sytuacjach przetwarzanie adresu IP może jednak wejść na płaszczyznę zgody lub pole płaszczyzny wykonania umowy.
6. Dane osobowe przedstawiciela kontrahentów – adres email firmowy, telefon firmowy itp. – brak danych prywatnych, czy to tez podlega ewidencji?
A skąd wiemy, czy są to dane firmowe? Telefon/abonament wykupiła spółka i udostępniła pracownikowi, ale jeśli jest to indywidualnie przypisany numer kontaktowy do konkretnego pracownika, to jest to dana osobowa (po tym numerze telefonu jesteśmy w stanie zidentyfikować tego człowieka). Pamiętajmy o tym, że mamy bardzo wiele danych osobowych, które mają charakter przejściowy (numer telefonu przypisany do stanowiska, adresy zamieszkania).
7. Czy zgoda może być wydana przez firmę na kontakt ze wszystkimi jej pracownikami?
Tak. Wchodzimy tutaj w kwestie jak najszerszych zgód. Na pewno nie mogą być to zgody blankietowe (na wszystko, wszędzie). Muszą być one doprecyzowane na tyle, na ile jest to możliwe (zakres, cel). Taka zgoda nie powinna też np. dotyczyć wszystkich pracowników (ochroniarza) a raczej np. wszystkich pracowników działu sprzedaży.
8. Jak są traktowane dane osobowe osoby fizycznej prowadzącej działalność gospodarczą?
Osoba fizyczna prowadząca działalność gospodarczą nadal pozostaje osobą fizyczną. Skoro jest to działalność gospodarcza, to będziemy te dane osobowe przetwarzać głównie w celu realizacji umowy. Ale ta podstawa może nam odpaść, a wtedy będziemy mieli tylko i wyłącznie do czynienia z osobą fizyczną – ze wszystkimi tego konsekwencjami.
9. Jak się ma do tego fotografia / zbieranie materiału video dla potrzeb prasowych/ zleceń komercyjnych – np. fotografia ślubna?
Z teoretycznego punktu widzenia, fotograf weselny na pewno robiąc ludziom zdjęcia, pobiera dane osobowe w postaci wizerunku. Szukamy teraz podstawy tych danych osobowych:
– dlaczego fotograf jest na weselu? Ponieważ podpisał jakąś umowę.
– z kim podpisał tę umowę? Prawdopodobnie z młodą parą.
W tym momencie wchodzimy w zakres tego, że w stosunkach prywatnych i osobistych przetwarzanie danych osobowych nie podlega RODO. Jeżeli oni (młoda para), jako administratorzy danych osobowych zaproszonych gości, robią to w celach czysto osobistych i dostają to nagranie dla siebie jako, administratorów w celach osobistych, to nie podlega to RODO.
10. Udzielenie zgody: osoba zatrudnia się w firmie, ale ta dane przekazuję do biura rachunkowego. Czy w zgodzie na przetwarzanie, muszą być zawarte dane biura rachunkowego? Czy musza być informacje o pracownikach biura rachunkowego? Co w przypadku zmiany biura rachunkowego?
Zgody nie muszą być tak szerokie, by wskazywać konkretne podmioty.
12. Jak przetwarzać dane osób, które już się zwolniły (np. w styczniu 2019), a trzeba wypełnić deklaracje ZUS, podatkowe, PIT – czy tez trzeba uzyskać zgodę, jeżeli nie była udzielana? Co zrobić, jeżeli ta osoba nie chce wyrazić zgody?
Tutaj mamy do czynienia z przetwarzaniem danych osobowych z uwagi na obowiązki prawne. Musimy spełnić pewien obowiązek prawny. Musimy wypełnić PIT danej osobie, a więc przetwarzamy jej dane osobowe. Jeżeli mamy pracownika zatrudnionego na umowę o pracę, mamy jego akta osobowe, które też musimy dalej przechowywać. A przechowywanie jest także rodzajem przetwarzania danych osobowych. Jednak tutaj mamy do czynienia z pierwotną zgodą – na podstawie wypełnienia obowiązku prawnego. Dane osobowe i pewne prawa związane z danymi osobowymi absolutnie nie mogą być nieuczciwą bronią wymierzoną w ADO.
Prawo do zapomnienia – case study
Na początku pobraliśmy pewną ilość danych osobowych. Po jakimś czasie wygasa nam podstawa do przetwarzania tych danych osobowych, co wtedy?
Część tych danych będziemy przetwarzać na innej podstawie, by wywiązać się z obowiązków prawnych, ale część będziemy musieli zaprzestać przetwarzać i je usunąć np.:
- na początku adres e-mail był nam potrzeby, aby przekazać wycenę zlecenia, potem jakiś protokół, potwierdzenie i gwarancję w wersji elektronicznej. Więc e-mail był konieczny do realizacji umowy. Ale kiedy ta umowa zostaje zrealizowana (już się z niej wywiązaliśmy), przestajemy przetwarzać te dane. Oczywiście część danych będzie nadal przetwarzana w słusznym interesie – mamy przecież pewne obowiązki wobec klientów;
- nie możemy więc takiej osoby całkowicie usunąć z naszej bazy danych, bo inaczej nie jesteśmy w stanie wypełnić naszych obowiązków gwarancyjnych.
Ale do realizacji tych obowiązków nie potrzebujemy adresu e-mail. Jeżeli taki podmiot zażąda usunięcia e-mail’a, powinniśmy go z tej bazy wykasować.