Przygotuj Swój Dział IT na RODO. FAQ część 3

Trzecia i ostatnie część FAQ-ów podsumowująca cykl szkoleń nt. RODO.

1. Zawody sportowe – uczestnik podaje imię, nazwisko, rok urodzenia. Te dane są wykorzystywane do utworzenia listy startowej, a następnie do wywieszenia listy wyników zawodów na tablicy i na stronie WWW. Jak przetwarzać takie dane?

Imię, nazwisko, rok urodzenia pozwala na bardzo dokładną identyfikację. Jednak należy pamiętać, że uczestnik w pewnym momencie samodzielnie podaje te dane np. wypełnia formularz przed wzięciem udziału w zawodach. W takim wypadku najłatwiej uzyskać zgodę od uczestnika właśnie na tym etapie. Jak to zrobić w praktyce? Np. na oddzielnej kartce przygotować zapis „Udzielam zgody na przetwarzanie moich danych osobowych na cele realizacji zawodów sportowych oraz publikacji wyników na tablicy oraz w serwisie internetowym”, zamieścić odpowiednie pouczenia, by każda osoba udziela nam swoich danych wie, jakie prawa i obowiązki posiada administrator.

2. Czy np. pobierając dane klient dla potrzeb wystawienia faktury, administrator będzie musiał pobrać od delikwenta podpisy odnośnie tego, że został pouczony i wyraża zgodę na przetwarzanie danych osobowych dla potrzeb wystawienia powyższej faktury?

To pytanie dotyczy jednej kategorii kontrahentów, a mianowicie osoby fizycznej. W przypadku, gdy mamy fakturę, która jest wystawiona na jakąkolwiek spółkę, to oczywiście dane osobowe jeżeli chodzi o spółki KRS-owe nie wchodzą w grę (nazwy spółek są jawne i nie podlegają ochronie danych osobowych). Naszym kontrahentem na fakturze może być z jednej strony osoba fizyczna, które kupuje coś całkowicie nie związanego ze swoją działalnością (ale której wystawiam fakturę, bo jest taki obowiązek), albo jest to indywidualny przedsiębiorca, który prowadzi działalność gospodarczą, ale nadal jednostką, której dane osobowe są przetwarzane.

W przypadku przetwarzania danych osobowych na cele realizacji umowy mamy do czynienia z tzw. celem uzasadnionym. Natomiast, jeżeli stwierdzamy, że dany kontrahent podlega pod rygory ochrony danych osobowych, no to w takim wypadku z tych obowiązków musimy się wywiązać. Musimy taką osobę pouczyć, jakie ma prawa i obowiązki i jeśli jest taka konieczność tę zgodę od niej uzyskać (do celów dowodowych).

W sprzedaży internetowej wystawienie faktury jest ostatnią rzeczą, która zachodzi w łańcuchu sprzedażowym. Do pierwszego wykorzystania danych osobowych dochodzi zazwyczaj już wcześniej. „Zgadzam się nabyć towar i zobowiązuję się zapłacić” – to na tym etapie powinna zostać już uregulowana kwestia przetwarzania danych osobowych.

W przypadku małego biznesu lub stacjonarnej działalności, rozwiązaniem mogą być odpowiednie adnotacje na samej fakturze.

Nagranie trzeciego szkolenia.

3. Art. 13 1 a) skoro ja przedstawiam się klientowi to przekazuję jemu swoje dane osobowe, ale nie uzyskuję od niego żadnego zabezpieczenia, że on z kolei nie zacznie przetwarzać moich danych w sposób nieuprawniony, na co nie wyraziłem zgody. Czy to nie wchodzi trochę w paranoję?

Z czego historycznie wynika tak rygorystyczne podejście do ochrony danych osobowych? Głównie stąd, że w dzisiejszym społeczeństwie informacyjnym dane osobowe stały się towarem (na danych osobowych można zarabiać). W związku z tym, że momentami dochodzi nawet do procedur przestępczych, uregulowano ochronę danych osobowych – oraz podwyższania jej standary na coraz wyższe poziomy.

Przykład z wizytówką: w takich sytuacjach będzie miała zastosowanie dorozumiana zgoda na przetwarzanie danych osobowych.

4. Czy ograniczenie danych klienta do zestawu: {imię, nazwisko, nr zamówienia} spełnia zasadę pseudonimizacji? Samo imię i nazwisko nie umożliwia jednoznacznego zidentyfikowania osoby, a nr zamówienia tylko ja potrafię „rozszyfrować”.

Imię i nazwisko oraz numer zamówienia to zbyt mało żeby mówić, że mamy do czynienia z pseudominizacją – choć nie jest to pseudominizacja taka o której mówi RODO. Z drugiej strony warto zauważyć, że takie działanie jest także jednym ze standardów wprowadzenia ochrony danych osobowych. Ale czy będzie to standard adekwatny dla (każdej) okoliczności, to jest pozostawione do indywidualnej oceny.

5. Co zrobić z danymi zaarchiwizowanymi w formie nagrań wideo (monitoring) z obszaru firmy, jeśli ktoś zgłosi chęć zapomnienia jego wizerunku? Czy musimy to wyszukiwać w jakiś sposób?

Monitoring to oczywiście przetwarzanie wizerunku w znaczeniu danych osobowych. Każda organizacja, która prowadzi monitoring, powinna wdrożyć w ramach zasad ochrony danych osobowych pewne normy traktowania tego monitoringu. Czyli m.in. ustalić przez jak długi czas monitoring będzie przechowywany (bo nie może być on przechowywany w sposób nieokreślony). Musi być to rozsądny okres czasu, który pozwala na zachowanie słusznego interesu administratora.

Prawo do bycia zapomnianym i monitoring:

  • wnioskujący musiałby sprecyzować o jaki monitoring chodzi, z jakiego okresu, Jeśli żądanie będzie niedoprecyzowane w adekwatny sposób, nie jesteśmy w stanie się z niego wywiązać. Następnie korzystamy z narzędzi, które daje nam RODO i weryfikujemy dalsze okoliczności np. tożsamość danego człowiek, czy na nagraniu to na pewno jest on.

6. W jaki sposób zgodny z RODO przetwarzać papierowe dokumenty – np. wyrażanie zgody?

Zgoda + stosowne pouczenia, podpis. Jedna kopia dla administratora, a druga dla osoby, której dane przetwarzamy.

7. Czy zgubienie telefonu firmowego z książką telefoniczną jest wyciekiem danych osobowych? Czy należy powiadomić o tym wszystkie osoby których dane wyciekły?

Telefon to taki sam nośnik danych osobowych jak każdy inny. Jednak jest znacznie bardziej podatny na zagrożenia w takiej formie, jak różnego typu włamania i wyciek danych.

RODO jasno precyzuje, że jeśli dochodzi do wycieku danych mamy obowiązek w ciągu 72 godzin poinformować organ nadzorczy o fakcie takiego wycieku oraz wszystkie osoby, które ten wyciek dotyczył.

W jaki sposób będziemy traktowali taki telefon, jeżeli dostęp do jego treści będzie utrudniony? Np. telefon został dodatkowo zabezpieczony hasłem dostępu albo jest odblokowywany za pomocą czytnika linii papilarnych. Wtedy każdy przypadkowy człowiek, nie jest w stanie go w prosty sposób odblokować. W takiej sytuacji należy ocenić stopień ryzyka – najlepiej wraz z prawnikiem, który zajmuje się tematyką RODO – i ustalić, jak postąpić w tym konkretnym przypadku.