Notice: Trying to get property 'taxonomy' of non-object in /home/szip/ftp/domeny/kancelaria-szip.pl/wp-content/plugins/wordpress-seo/src/helpers/current-page-helper.php on line 474

Notice: Undefined property: WP_Error::$taxonomy in /home/szip/ftp/domeny/kancelaria-szip.pl/wp-content/plugins/wordpress-seo/src/presentations/indexable-term-archive-presentation.php on line 152

Notice: Undefined property: WP_Error::$taxonomy in /home/szip/ftp/domeny/kancelaria-szip.pl/wp-content/plugins/wordpress-seo/src/presentations/indexable-term-archive-presentation.php on line 211

Notice: Undefined property: WP_Error::$taxonomy in /home/szip/ftp/domeny/kancelaria-szip.pl/wp-content/plugins/wordpress-seo/src/builders/indexable-hierarchy-builder.php on line 326

Notice: Undefined property: WP_Error::$parent in /home/szip/ftp/domeny/kancelaria-szip.pl/wp-content/plugins/wordpress-seo/src/builders/indexable-hierarchy-builder.php on line 328

Adnotacja dot. zdrowia na skierowaniu na badania medycyny pracy narusza RODO?

Takie stanowisko przedstawił Prezes UODO w reakcji na skargę pracownicy, której pracodawca w skierowaniu na badania kontrolne umieścił, jako przyczynę niezdolności do pracy, zły stan psychiczny, dodając prośbę o skierowanie na konsultację psychologiczną lub psychiatryczną. Umotywował to tym, że zwolnienie lekarskie wystawił lekarz psychiatra. 

Podejście organu nadzoru wydaje się rygorystyczne i kontrowersyjne w kontekście słusznych interesów pracodawców i ich obowiązku zapewnienia odpowiedniego poziomu bezpieczeństwa w firmie. 

Stanowisko Prezesa UODO

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych: 

  • pracodawca w skierowaniu na badania profilaktyczne medycyny pracy (tj. wstępne, okresowe, kontrolne) nie może wpisać żadnych innych informacji niż te, które znajdują się na wzorze samego skierowania.  
  • dane dotyczące rodzaju badań są dla pracodawcy nadmiarowe i nie jest on uprawniony do ich przetwarzania. 
  • przepisy nie pozwalają pracodawcy na weryfikację rodzaju badań ani ich wyników i zezwalają tylko na uzyskanie zaświadczenia o braku przeciwwskazań albo o przeciwwskazaniach zdrowotnych pracownika do pracy na określonym stanowisku.  

Tym samym Prezes UODO uznał, że umieszczanie przez pracodawcę na drukach skierowań wyżej opisanych adnotacji stanowiło naruszenie art. 9 ust. 2 RODO (przetwarzanie danych dot. zdrowia bez podstawy prawnej) w zw. z art. 5 ust.1 lit. a) RODO (zasada zgodności z prawem przetwarzania danych). 

Czy dodatkowe informacje zawsze powinny być zabronione? 

W przytoczonej sprawie pracodawca (co nie bez znaczenia – podmiot medyczny) uzasadniał, że
zamieszczenie na skierowaniu spornej adnotacji podyktowane było rodzajem zadań i zakresem odpowiedzialności, w związku ze stanowiskiem jakie zajmowała pracownica.  

Jest to częsty problem, przed którym stają pracodawcy. Z jednej strony zakres badań medycyny pracy i informacji, jakie uzyskać może w związku z nimi zarówno lekarz, jak i przełożony, nadal jest bardzo ograniczony. Z drugiej zaś, to na pracodawcy ciąży, po pierwsze, obowiązek zapewnienia na terenie zakładu pracy bezpiecznych i higienicznych warunków, a po drugie – dopuszczenia do pracy tylko pracownika, co do którego nie ma wątpliwości, że w danej chwili jest zdolny jej świadczenia pod kątem psychofizycznym. 

Co ważne- naruszenie tych obowiązków skutkować może odpowiedzialnością wykroczeniową lub karną pracodawcy. 

Dlatego też powinien mieć narzędzia, które pozwolą mu efektywnie dopełnić tych obowiązków i interweniować w sytuacji, gdy ze strony konkretnego pracownika pojawia się ryzyko spowodowania zagrożenia dla siebie lub innych osób, w tym klientów- czy jak w opisywanym przypadku – pacjentów firmy. 

Co, jeśli stan pracownika budzi podejrzenie? 

Sądy pracy nie raz wypowiadały się w tym przedmiocie, potwierdzając, że pracodawca może ponownie skierować pracownika na badanie profilaktyczne, jeszcze przed terminem ustalonym przez lekarza, jeśli uzna to za konieczne – ponieważ:

  • orzeczenie wydane przed dopuszczeniem pracownika do pracy zachowuje aktualność w okresie wymienionym w tym orzeczeniu, jednak staje się nieaktualne w razie wystąpienia w tym okresie takich zdarzeń, które mogą wskazywać na zmianę stanu zdrowia (wyrok SN 18 grudnia 2002 r., sygn.: I PK 44/02). 
  • lekarz medycyny pracy nie ma wiedzy, co jest powodem wystawienia wcześniejszego skierowanie na badania okresowe i czy nie jest ono wynikiem pomyłki, jeśli nie znajdzie na nim adnotacji o okolicznościach, które to uzasadniają- zwłaszcza, jeśli zataja je sam pracownik (wyrok SN z 17 maja 2017 r., sygn.: II PK 94/16). 

W naszej praktyce niejednokrotnie spotykamy się z pytaniami pracodawców, którzy mają istotne podejrzenia co do kondycji psychofizycznej pracownika, wracającego po długim zwolnieniu lekarskim lub który formalnie posiada aktualne zaświadczenie o zdolności do pracy, ale jego stan budzi wątpliwości co do tego, czy rzeczywiście jest zdolny do bezpiecznego wykonywania obowiązków. 

Każdorazowo analizujemy dokładnie tego typu sytuacje, doradzając naszym klientom działania, które pozwolą im na zgodne z przepisami efektywne rozwiązanie tego typu problemy. 

Jeśli i Państwa organizacja boryka się z wątpliwościami nt. odpowiedniego przetwarzania danych osobowych pracowników – zapraszamy do kontaktu. 

5 wyzwań RODO dla organizacji w 2024 r.

Początek roku to dobry moment na sprawdzenie tego, czy nasza organizacja spełnia wymagane standardy w obszarze ochrony danych osobowych. Oto checklista pięciu najważniejszych punktów jakie warto uwzględnić, by bezpiecznie wejść w nowy rok pełen biznesowych wyzwań. 

 

1. Cykliczny przegląd danych osobowych 

To, że RODO limituje okres przechowywania danych osobowych zebranych dla konkretnego celu wydaje się być oczywiste. Praktyka jednak często odbiega od tego założenia. Bolesne skutki zaniechania w tym obszarze mogą wyjść na jaw dopiero na etapie kontroli inspektorów UODO lub incydentu ochrony danych. Dlatego cykliczny przegląd danych osobowych powinien stać się coroczną tradycją każdej organizacji. Powinien obejmować przede wszystkim: 

  • Weryfikację dokumentów ZFŚS – zgodnie z ustawą o ZFŚS, pracodawca ma obowiązek co najmniej corocznego przeglądu danych osobowych zebranych w celu przyznania wsparcia ze środków Funduszu i ustalenia jego wysokości. Dane te, w zakresie w jakim nie są już niezbędne do tych celów ani do dochodzenia praw lub roszczeń powinny zostać w sposób trwały usunięte. 
  • Przegląd CV – początek roku to dobry moment na sprawdzenie jak w praktyce funkcjonuje proces przechowywania i usuwania dokumentów rekrutacyjnych. Warto zweryfikować w szczególności, czy faktycznie są one usuwane bezpośrednio po upływie przyjętego okresu przechowywania (i czy nie przyjęliśmy zbyt krótkiego lub długiego okresu retencji), czy wszystkie CV w bazie kandydatów posiadają odpowiednie zgody na ich zachowanie na potrzeby kolejnych rekrutacji, a w końcu – czy wszystkie pozyskane od kandydatów informacje (jak np. stan cywilny czy zamiłowanie do kitesurfingu) są nam niezbędne do oceny ich zgłoszenia. 
  • Nagrania monitoringu – 3 miesiące od momentu rejestracji to co do zasady maksymalny okres przez jaki pracodawca może przetwarzać dane osobowe zgromadzone w ramach prowadzonego monitoringu. Chodzi tu nie tylko o monitoring wizyjny, ale również obserwację korzystania z sieci, poczty elektronicznej, nagrania rozmów telefonicznych pracowników czy rejestratorów GPS. Przełom roku to dobry moment, żeby zweryfikować i – w razie potrzeby – skorygować okresy retencji.  
  • Dokumentacja pracownicza – praktyka pokazuje, że dokumentacja pracownicza zawiera w sobie niezmierzone pokłady informacji, do których pracodawca nigdy albo już dawno nie powinien mieć dostępu. Najczęściej są to kopie (lub nawet oryginały) dokumentów niezwiązanych z pracą, informacje o zatartych karach porządkowych itp. Tymczasem RODO wyraźnie nakłada na administratora obowiązek minimalizacji danych i gromadzenia ich wyłącznie w zakresie adekwatnym do celu. Temat ten urasta na znaczeniu po zeszłorocznych zmianach KP, na podstawie których pracodawcy gromadzą dane zebrane w toku kontroli i badania trzeźwości, pracy zdalnej czy korzystania z nowych uprawnień rodzicielskich. Cykliczny przegląd pozwoli więc za zachowanie zgodności z zasadą minimalizacji danych oraz transparentności.  

 2. Nowe rozwiązania? Uwzględnij RODO 

Digitalizacja procesów wewnątrz firmy, wprowadzenie nowych narzędzi do rejestracji czasu pracy, zapewnienie pracownikom nowego benefitu, otwarcie nowego kanału sprzedaży lub akcji marketingowej? 

Każda z tych inicjatyw wymaga uwzględnienia aspektów związanych z zapewnieniem odpowiedniej ochrony danych osobowych – zgodnie z zasadą Privacy by design wyrażoną w RODO. Biorąc pod uwagę, że aktualnie większość procesów, jakie odbywają się w organizacji wiąże się z przetwarzaniem danych osobowych, bieżąca współpraca z IOD lub zewnętrznym prawnikiem staje się kluczowa, by uniknąć ryzyka niezgodności z przepisami lub naruszeniem bezpieczeństwa danych – a co za tym idzie – strat finansowych i wizerunkowych. 

3. Szkolenia pracowników 

Świadomość pracowników na temat zasad bezpiecznego przetwarzania danych osobowych w codziennej pracy jest kluczowa dla każdej organizacji. Na nic zdadzą się najbardziej szczegółowe procedury, jeśli zespół nie będzie wiedział w jakich okolicznościach i jak z nich korzystać. 

Cykliczne szkolenia to nie tylko formalny wymóg RODO. W dynamicznie zmieniającej się rzeczywistości, coraz to bardziej zaawansowanych rozwiązaniach informatycznych, korzystaniu z narzędzi AI, nowych zagrożeniach cyberbezpieczeństwa, bieżąca aktualizacja wiedzy pracowników to kluczowy element stabilnej pozycji firmy. Jest też stałym elementem, który w toku kontroli oceniany jest przez inspektorów UODO, a coraz częściej również przez potencjalnych kontrahentów. 

Początek roku to dobry moment, by: 

  • sprawdzić czy każdy członek zespołu w ostatnim roku wziął udział w szkoleniu z zakresu bezpieczeństwa informacji i danych osobowych – dostosowanym do charakteru jego pracy; 
  • zorganizować cykl praktycznych szkoleń aktualizujących wiedzę zespołu – uwzględniających specyfikę organizacji oraz aktualne ryzyka związane m.in. z rozwojem technologii. 

4. Paperless = większe bezpieczeństwo danych 

Praktyka pokazuje, że przejście z papierowej do cyfrowej formy dokumentów pozwala na większą kontrolę nad zasobami danych osobowych w firmie. Przede wszystkim zmniejsza ryzyko zagubienia dokumentów (co, jak pokazują przykłady decyzji Prezesa UODO, skutkować może w określonych przypadkach karą finansową) i pozwala na zapewnienie ich poufności przez odpowiednią gradację i zabezpieczenie dostępu do danych. 

Im mniej dokumentów w postaci papierowej, tym łatwiej o kontrolę ich aktualności i pracę na danych jakie się w nich znajdują. Także obowiązujące przepisy w coraz większym zakresie pozwalają na digitalizację takich dokumentów, jak chociażby dokumentacja pracownicza, oświadczenia związane z pracą zdalną lub korzystaniem z uprawnień rodzicielskich.  

Wdrożenie rozwiązań paperless pozwala nie tylko na ułatwienie codziennej pracy, ale wpływa również na zachowanie transparentności i zgodności w obszarze compliance, co istotnie wpływa na poziom bezpieczeństwa firmy.  

5. Przegląd klauzul informacyjnych i upoważnień 

Jeśli nadal posługujemy się klauzulami informacyjnymi opracowanymi przy okazji rozpoczęcia stosowania RODO, a więc w 2018 r., istnieje duże prawdopodobieństwo, że straciły już na aktualności, a tym samym nie spełniają swojej funkcji.  

Warto więc sprawdzić, czy stosowane klauzule uwzględniają informację nt.: 

  • wszystkich celów przetwarzania,  
  • podmiotów, którym dane mogą być przekazywane,  
  • czy w międzyczasie nie rozpoczęliśmy korzystania z narzędzi, które wiążą się z przekazywaniem danych poza obszar EOG lub profilowaniem. 

Nie mniej istotny jest regularny przegląd wewnętrznych upoważnień do przetwarzania danych. Powinien on obejmować: 

  • weryfikację, czy każda osoba działająca w imieniu administratora posiada aktualne dla jej obecnego stanowiska i zakresu zadań upoważnienie do przetwarzania danych; 
  • aktualizację upoważnień – jeśli jest ona konieczna, np. w związku przeszeregowaniem pracownika, wprowadzeniem kontroli trzeźwości itp.; 
  • sprawdzenie, czy krąg osób mających dostęp do poszczególnych kategorii danych osobowych nie jest zbyt szeroki – w szczególności, jeśli są to dane osobowe szczególnych kategorii; 
  • weryfikację, czy faktyczny zakres danych, do których dostęp posiada pracownik, odpowiada temu wynikającemu z upoważnienia; 
  • kontrolę i ewentualną korektę procesu odwoływania upoważnień – zwłaszcza w razie zakończenia zatrudnienia.  

Jak widać, wprowadzenie cyklicznych przeglądów w obszarze danych osobowych pozwala nie tylko na zachowanie zgodności z przepisami i zminimalizowanie ryzyka strat finansowych i wizerunkowych, ale pozwala też na usprawnienie codziennej pracy i zwiększenie świadomości pracowników – co przekłada się na polepszenie pozycji firmy na rynku.  

W naszej praktyce aktywnie wspieramy przedsiębiorców w utrzymaniu wysokiego standardu bezpieczeństwa danych osobowych. Oferujemy m.in. doradztwo prawne w zakresie bezpieczeństwa informacji, przeprowadzamy audyty i praktyczne szkolenia dla pracowników. Dzięki temu efektywnie pomagamy identyfikować zagrożenia i minimalizować ich skutki. 

Zapraszamy do kontaktu!   

Dalsze powierzenie danych osobowych. Wskazówki dla administratorów i podmiotów przetwarzających

Jak ważne w praktyce jest zawieranie umów powierzenia przetwarzania danych osobowych z podwykonawcami przekonać mogliśmy już na podstawie kar finansowych nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych.

Jednak jak istotna jest odpowiednia weryfikacja partnera biznesowego, który zapewnia nam konkretną usługę pod kątem odpowiedniego przetwarzania przez niego danych osobowych i tego, z jakich podwykonawców korzysta, pokazuje wyraźnie sprawa firmy kurierskiej współpracującej z siecią marketów, ukaranej przez hiszpański organ ochrony danych osobowych.

ADO musi badać czy jego kontrahent korzysta z podwykonawców

Sprawa dotyczyła doręczenia przesyłki zakupionej przez indywidualnego klienta sieci Carrefour. Spółka posiadała podpisaną umowę powierzenia przetwarzania danych osobowych z podmiotem zajmującym się dostawą przesyłek. Ten jednak – bez wiedzy Carrefour, korzystał z dalszych podwykonawców – nie zawierając jednak z nimi analogicznych umów podpowierzenia danych klientów sklepu.

Skargę do organu nadzoru złożył sam klient, ponieważ z powodu jego nieobecności w domu, zaadresowana do niego paczka została przekazana osobie, której nie upoważnił do odbioru – a co za tym idzie – zostały ujawnione jej dane skarżącego jak: imię, nazwisko, dane kontaktowe, numer rachunku.

Kara za brak nadzoru ADO

Hiszpański organ ochrony danych nałożył na firmę kurierską karę w wysokości 72 tysięcy euro, uznając że naruszyła obowiązki w zakresie prawidłowego dalszego powierzenia przetwarzania danych określone w RODO.

Nieprawidłowości dotyczyć miały:

  • niepoinformowania Carrefour o korzystaniu przez firmę kurierską z podwykonawców w celu realizacji dostaw zamówień na rzecz sieci marketów;
  • braku uzyskania zgody Carrefour na dalsze podwykonawstwo w zakresie dostaw;
  • braku pisemnej umowy podpowierzenia danych pomiędzy firmą kurierską a jej podwykonawcami.

Kluczowa umowa powierzenia przetwarzania danych

Opisane naruszenia miały charakter formalny – brak odpowiednich dokumentów i formalnych uzgodnień – jednak w konsekwencji skutkowały nie tylko niewłaściwym zrealizowaniem usługi (a więc niezadowoleniem klienta), ale również naruszeniem bezpieczeństwa danych osobowych (a więc wymiernym ryzykiem szkody podmiotu danych, jakim był klient).

Temu właśnie – na płaszczyźnie danych osobowych – zapobiegać ma prawidłowy łańcuch umów powierzenia i dalszego powierzenia danych osobowych pomiędzy administratorem danych a podmiotami, którym zleca określone usługi (najczęściej na rzecz własnych klientów lub pracowników).

Jak zabezpieczyć się w relacjach z partnerami biznesowymi?

Z opisanego wyżej przypadku wywieść można następujące wskazówki dla:

Administratorów:

  • Przed wyłonieniem dostawcy jakichkolwiek usług wiążących się chociażby pośrednio z przetwarzaniem danych osobowych (np. zewnętrzna obsługa kadrowa/księgowa/ochroniarska/IT/szkolenia) – warto zweryfikować go pod kątem przestrzegania zasad ich ochrony. Służyć temu mogą przede wszystkim odpowiednie ankiety sprawdzające.
  • Umowa powierzenia przetwarzania danych to element must have wyoutsourcowania każdego procesu wiążącego się z przetwarzaniem danych. Za jej brak Prezes UODO nałożyć może karę pieniężną w wysokości do równowartości 10.000.000 EUR, 2% całkowitego rocznego obrotu;
  • W umowie powierzenia warto zastrzec kary umowne za naruszenie przez podmiot przetwarzający jego obowiązków – co znacznie ułatwi ewentualną rekompensatę szkody.
  • Poza formalnym podpisaniem umowy powierzenia, warto co jakiś czas kontrolować dostawcę usług pod kątem odpowiedniego przetwarzania i dalszego przekazywania powierzonych mu danych – takie uprawnienie dają nam wprost przepisy RODO.

Podmiotów przetwarzających:

  • Warto zwrócić uwagę, czy umowa powierzenia przewiduje możliwość posługiwania się dalszymi podwykonawcami i przekazywania im danych osobowych uzyskanych od administratora.
  • Jeśli przy zawarciu umowy powierzenia przetwarzania już posługujemy się podwykonawcami – konieczne jest poinformowanie o tym administratora i uzyskanie jego zgody.
  • Jeśli dojdzie już do naruszenia bezpieczeństwa danych przekazanych przez administratora – należy poinformować go o tym niezwłocznie – co pozwoli na zminimalizowanie naszej odpowiedzialności przed nim ale również przed Prezesem UODO.

W ramach prowadzonej praktyki ochrony danych osobowych na bieżąco wspieramy naszych Klientów w odpowiednim doborze i weryfikacji podmiotów przetwarzających, by tym samym zmniejszyć ryzyko niezgodności z przepisami.

W razie chęci podniesienia standardu bezpieczeństwa w tym obszarze – zapraszamy do kontaktu: amajewska@kancelaria-szip.pl

Nowe zasady transferu danych osobowych do USA na razie bezpieczne

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG), to temat rodzący wiele wątpliwości i praktycznych problemów podmiotom, które mają obowiązek stosować przepisy Ogólnego Rozporządzenia o Ochronie Danych (RODO). Kwestia ta od lat wiązała się z licznymi problemami, zwłaszcza jeśli chodzi o relacje z USA – ze względu na kwestionowanie przez unijne organy i Trybunał Sprawiedliwości Unii Europejskiej (TSUE) zapewniania przez przepisy Stanów Zjednoczonych odpowiedniego poziomu bezpieczeństwa danych osobowych obywateli UE.

 

TSUE : Od lipca 2023 r. transfer do USA jest bezpieczny

Po kilku latach negatywnej oceny adekwatności amerykańskiego poziomu zabezpieczeń danych osobowych w stosunku do europejskich standardów (zainicjowanej skargami w tzw. sprawach „Schrems I” i „Schrems II”), w lipcu 2023 r. doszło do zawarcia pomiędzy USA i UE porozumienia Data Privacy Framework (DPF), określającego zasady bezpiecznego transferu danych osobowych do Stanów Zjednoczonych. W związku z nim, 12 lipca 2023 r. Komisja Europejska wydała decyzję stwierdzającą, że Data Privacy Framework zapewnia mechanizmy, które gwarantują, że dane osobowe obywateli UE chronione są w Stanach Zjednoczonych na podobnym poziomie, jaki przewidują przepisy RODO.

Na skutek zakwestionowania decyzji KE przez deputowanego francuskiego Zgromadzenia Narodowego do TSUE, Trybunał – postanowieniem z 12 października 2023 r. (sygn.: T-553/23) uznał, że obowiązujące od lipca tego roku zasady transferu, są zgodne ze standardami narzuconymi przez RODO, a tym samym nie uwzględnił wniosku o zawieszenie stosowania DPF do czasu ostatecznego rozpoznania skargi.

Certyfikacja odbiorcy warunkiem legalności

Data Privacy Framework wprowadził instytucję certyfikacji zgodności z jego standardami. Oznacza to, że tylko podmioty, które dobrowolnie zgodzą się na wdrożenie odpowiednich procedur, mogą uzyskać certyfikat potwierdzający ich zgodność z poziomem zabezpieczeń wymaganym przez RODO. Certyfikaty takie wydaje Departament Handlu USA. Co istotne – są one ważne tylko przez rok, a po jego upływie możliwe jest ich odnowienie.

Co to oznacza dla administratorów danych w Polsce?

Decyzja KE z lipca 2023 r., potwierdzona postanowieniem TSUE, w istotny sposób ułatwia transfer do USA danych osobowych przez podmioty działające na terenie Unii Europejskiej – w tym również polskich przedsiębiorców. Do tej pory przekazywanie danych osobowych (np. w ramach współpracy z przedsiębiorcami na terenie USA, w związku z delegowaniem tam pracowników, a nawet gromadzeniem danych elektronicznych na serwerach zlokalizowanych w Stanach Zjednoczonych) wiązało się z szeregiem wątpliwości prawnych i dodatkowych działań w celu weryfikacji rzetelności zagranicznego podmiotu, a także koniecznością uzyskania specjalnego zezwolenia.

Nie zapominajmy o ostrożności

Aktualnie bezpieczny i zgodny z przepisami RODO transfer danych osobowych z Polski do USA wymaga weryfikacji, czy mamy do czynienia z podmiotem legitymującym się aktualnym certyfikatem zgodności z Data Privacy Framework, który jednocześnie publicznie zobowiązuje się do przestrzegania zasad wynikających z RODO (lista takich podmiotów dostępna tutaj).

Sam fakt certyfikacji nie zwalnia oczywiście europejskiego podmiotu z takich obowiązków, jak zamieszczenie w umowie z amerykańskim partnerem odpowiednich klauzul umownych, oświadczeń o uczestnictwie w DPF, zobowiązania do zapewnienia odpowiedniego zabezpieczenia procesów przetwarzania, a także określających zakres i cel transferu danych osobowych do USA.

Jak bezpiecznie przekazywać dane poza EOG?

Musimy pamiętać, że standardy dotyczące ochrony danych osobowych wynikające z RODO, co do zasady dotyczą tylko sytuacji, w których przetwarzanie to odbywa się na terenie EOG.  Przekazanie ich poza ten obszar, bez konieczności dodatkowego zezwolenia, może nastąpić co do zasady tylko do państwa, co do którego KE wydała decyzję w sprawie adekwatności. Do tego grona w lipcu 2023 r. dołączyło właśnie USA. Katalog państw, których poziom bezpieczeństwa został zatwierdzony przez KE znaleźć tutaj.

Natomiast w sytuacji, w której zamierzamy przekazać dane do państwa trzeciego spoza tego katalogu, konieczne jest, by jego przepisy zapewniały egzekwowalne prawa podmiotów danych i skuteczne środki ochrony prawnej. Ponadto, konieczne jest również spełnienie innych warunków bezpieczeństwa. Są nimi w szczególności:

  • wiążące reguły korporacyjne
  • standardowe klauzule umowne przyjęte lub zatwierdzone przez KE
  • zatwierdzone kodeksy postępowania lub
  • zatwierdzone mechanizmy certyfikacji.

Wyjątkowo – jeśli również ww. środki bezpieczeństwa nie znajdą zastosowania – transfer danych poza EOG może nastąpić wyłącznie za wyraźną zgodą osoby, której dane mają zostać przekazane, lub gdy jest to niezbędne w szczególności dla takich celów, jak: zawarcie lub wykonanie umowy z taką osobą, ważne względy interesu publicznego, dochodzenie lub ochrona przed roszczeniami, czy też ochrona żywotnych interesów samego zainteresowanego lub innej osoby.

Musimy pamiętać, że formalne uznanie USA jako państwa spełniającego unijne standardy ochrony nie niweluje kontrowersji jakie wiążą się z oceną tamtejszych przepisów – w szczególności dotyczących daleko idącego dostępu służb do danych osobowych. Nie jest więc przesądzone, że w przyszłości TSUE nie zmieni oceny amerykańskich regulacji i po raz kolejny nie uzna ich za nieodpowiadających standardom RODO.

 

W sprawach związanych z zapewnieniem bezpiecznego transferu danych do USA – zapraszamy do kontaktu z Kancelarią.

Sygnaliści – czy RODO zawsze znajdzie zastosowanie?

Zapewnienie odpowiedniego kanału zgłaszania naruszeń prawa oraz zabezpieczenie osób dokonujących takich zgłoszeń to nowe obowiązki, z jakimi zmierzyć będą musieli się pracodawcy począwszy od 17 grudnia 2021 r., kiedy to wejść w życie powinny przepisy ustawy o ochronie sygnalistów.

Na tym polu pojawia się wiele wątpliwości dotyczących tego, jak z jednej strony zapewnić poufność danych sygnalisty, osób których dotyczy zgłoszenie, ale jednocześnie dochować wobec nich obowiązku informacyjnego, o którym mowa w przepisach Ogólnego Rozporządzenia o Ochronie Danych.

 

Przepisy o sygnalistach jako podstawa przetwarzania

Dyrektywa wskazuje, że przyjmowane przez pracodawców procedury powinny zapewniać ochronę tożsamości zgłaszającego, osób, których dotyczy zgłoszenie oraz innych osób, o których mowa w zgłoszeniu (na przykład świadków lub współpracowników) – i to na wszystkich etapach procedury. Podstawę prawną przetwarzania danych przez pracodawcę i jego status określa sam projekt ustawy wskazując, że pracodawca jest administratorem danych osobowych zgromadzonych w prowadzonym przez niego rejestrze zgłoszeń wewnętrznych. Nadto przepisy nakładają na niego szereg obowiązków związanych z przetwarzaniem danych w związku ze zgłaszaniem nieprawidłowości.

Zgodnie z wytycznymi Dyrektywy projekt krajowych przepisów przewiduje, że jakiekolwiek dane pozwalające na ustalenie tożsamości zgłaszającego, w tym jego dane osobowe mogą zostać ujawnione wyłącznie za jego wyraźną zgodą. Natomiast zgody osoby, której dotyczy zgłoszenie (potencjalnego naruszyciela) nie wymaga zbieranie i przetwarzanie jej danych, po otrzymaniu zgłoszenia, w celu jego weryfikacji zgłoszenia oraz podjęcia działań następczych.

Dyrektywa nakazuje również, by dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie były w ogóle zbierane, a w razie przypadkowego zebrania, by zostały niezwłocznie usunięte. Istotne jest też, by w trakcie procesowania zgłoszenia, wprowadzone zostały takie rozwiązania, które zapewniają odseparowanie informacji pozwalających na identyfikację sygnalisty od samej treści zawiadomienia.

Obowiązek informacyjny

Przepisy unijne pozwalają na ustawowe ograniczenie wykonywania niektórych praw do ochrony danych osób, których dotyczy zgłoszenie – w zakresie, w jakim i o ile jest to konieczne, by przeciwdziałać próbom utrudniania dokonywania zgłoszeń, utrudniania lub spowalniania działań następczych, czy też próbom ustalenia tożsamości sygnalistów.

Zgodnie z tymi wytycznymi projekt krajowych przepisów przewiduje, że wobec osób wskazanych w zgłoszeniu (brak jest precyzyjnego określenia, czy chodzi tylko o osobę, której zgłoszenie dotyczy, czy również potencjalnych świadków i itp.) pracodawca nie musi informować skąd uzyskał dane tychże osób w związku w prowadzonym postępowaniem wyjaśniającym. Ograniczenie to ma nie mieć zastosowania, jeśli zgłaszający działał bez uzasadnionych podstaw co do tego, że przekazuje prawdziwe informacje dotyczące naruszenia prawa. Wówczas pracodawca będzie mógł przekazać osobie, której dotyczy zgłoszenie, z jakiego źródła uzyskał informację w tym przedmiocie.

Poufność danych a anonimowość

Istotnym rozróżnieniem na gruncie przepisów o ochronie sygnalistów jest zapewnienie poufności danych dotyczących tożsamości zgłaszającego oraz umożliwienie dokonywania zgłoszeń anonimowych.

Pierwsze stanowi bezwzględny obowiązek pracodawcy i osób zaangażowanych w przeprowadzenie postępowania wyjaśniającego. Wyłączyć może go jedynie wyraźna zgoda samego zgłaszającego, który wraz z przekazaną informacją na temat naruszenia prawa podał swoje personalia.

Przyjmowanie zaś zgłoszeń anonimowych polega na tym, że sama informacja nie jest opatrzona żadnymi danymi pozwalającymi na zidentyfikowanie zgłaszającego. Tym samym nawet sam przyjmujący zgłoszenie od samego początku nie wie, od kogo ono pochodzi. Dopuszczalność tego rodzaju zgłoszeń jest jednak możliwa wyłącznie, jeśli pracodawca przewidzi ją w ustanowionym regulaminie dokonywania zgłoszeń.

Tym samym, ustawodawca nie narzuca mu obowiązku przyjmowania informacji anonimowych o potencjalnym naruszeniu.

Zgłoszenie anonimowe – co z danymi osobowymi?

Co w tym zakresie istotne – przepisy RODO nie mają zastosowania do informacji anonimowych. Oznacza to w szczególności wyłączenie obowiązku informacyjnego, o którym mowa w art. 13 RODO, który de facto nie byłby możliwy do realizacji.

Potwierdza to również motyw 26 Rozporządzenia, który wskazuje, że zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. W warunkach więc, kiedy pracodawca dopuszcza możliwość przyjmowania zgłoszeń anonimowych, obowiązki dotyczące odpowiedniego zabezpieczenia danych osobowych odnosić będą się do osób wskazanych w zgłoszeniu, w tym w szczególności osoby, której zgłoszenie dotyczy oraz innych osób w nim wymienionych – o ile możliwym jest ich zidentyfikowanie.

Warto zwrócić uwagę, że naruszenia przepisów dotyczących ochrony danych osobowych w świetle Dyrektywy oraz projektowanych polskich regulacji również stanowić może przedmiot zgłoszenia. Dotyczyć mogą one w szczególności incydentów bezpieczeństwa ochrony danych, takich jak uzyskanie do nich nieautoryzowanego dostępu, utrudnianie realizacji praw podmiotu danych lub przetwarzanie ich bez podstawy prawnej.

Numer rejestracyjny a dane osobowe – rozbieżne stanowiska nsa i puodo

Przepisy samego rozporządzenia nie zawierają zamkniętego katalogu danych osobowych, wskazując jedynie, że zależnie od kontekstu, może być nią każda informacja identyfikująca lub pozwalająca na identyfikację określonej osoby fizycznej. Jedynie przykładowo wymieniają takie dane jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby.

Sądy –  nr rejestracyjny co do zasadą nie jest daną osobową

Spory dotyczące uznania numerów rejestracyjnych za dane osobowe poddawane były niejednokrotnie pod rozstrzygnięcie polskich sądów. W większości spraw dochodziły one do jednolitego wniosku, że numery te stanowią jedynie informację na temat konkretnego pojazdu – nie zaś jego właściciela lub posiadacza, a co za tym idzie – nie znajdują do nich zastosowania przepisy Ogólnego Rozporządzenia.

Warto przytoczyć jeden z najgłośniejszych w tej materii wyroków (z 28 czerwca 2019 roku, sygn.: I OSK 2063/17, Legalis), w którym NSA stwierdził, że „Brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych. Numer rejestracyjny jest umieszczony na samochodzie, za zgodą właściciela pojazdu, sam w sobie jest ogólnie dostępny dla bliżej nieokreślonej liczby osób. Jednak nie oznacza to, że można go w sposób prosty powiązać z konkretną osobą. Wskazać bowiem należy, że często z tego samego pojazdu korzystają różne osoby. Powyższe niezbicie wskazuje, że nie jest możliwe, w sposób prosty i łatwy, powiązać numer rejestracyjny pojazdu z konkretną osobą – właściciela (lub posiadacza) pojazdu.”

W orzeczeniu z 12 marca 2020 r. tym razem sąd cywilny (Sąd Okręgowy w Warszawie w sprawie o  sygn.: I C 214/19) uznał, iż bez zasięgnięcia informacji w Centralnej Ewidencji Pojazdów i Kierowców (CEPIK), która to nie jest dostępna bez szczególnego uzasadnienia prawnego, nie sposób, by osoba trzecia ustaliła tożsamość właściciela konkretnego pojazdu.

Co niezmiernie istotne w kontekście prawidłowej interpretacji przepisów RODO, Sąd Okręgowy zaznaczył, że „Nie należy (…) mylić wiedzy osób postronnych nieznających powoda osobiście i nie mogących zidentyfikować go jako właściciela pojazdu, ze względu na numery jego tablic rejestracyjnych, bez podjęcia nadzwyczajnych starań, z wiedzą osób, znających powoda osobiście i mogących zidentyfikować pojazd jako będący jego własnością na podstawie osobistej z nim znajomości lub styczności.”

Zdanie Prezesa UODO – nr rejestracyjny stanowi dane osobowe 

Niezależnie od dominującej linii orzeczniczej oraz stanowisk części doktryny, Prezes Urzędu Ochrony Danych osobowych ocenia, iż tablice rejestracyjne stanowią daną osobowego właściciela pojazdu. „Jest to bowiem informacja, za pośrednictwem której możliwe jest zidentyfikowanie — w sposób pośredni — osoby fizycznej, będącej właścicielem pojazdu”. Tym samym krajowy organ nadzoru stoi na zgoła odmiennym stanowisku niż sądy powszechne i administracyjne oraz znaczna część nauki prawa.

Wyjątki od reguły

Warto jednak zwrócić uwagę na najświeższe orzeczenie NSA z 14 maja 2021 r. (sygn.: III OSK 1466/21, Legalis). Naczelny Sąd Administracyjny wskazał w nim, że „Teza, że numer rejestracyjny samochodu nie podlega ochronie wynikającej z prawa do prywatności, gdyż identyfikuje samochód, a nie osobę, odnoszona winna być do przypadków standardowych numerów rejestracyjnych składających się z liter i cyfr, niepozwalających na powiązanie samochodu z właścicielem oraz do przypadków, w których samochód z tablicą rejestracyjną znajduje się lub jest prezentowany bez połączenia z innymi informacjami odnoszącymi się do czasoprzestrzeni lub w powiązaniu z innymi danymi osobowymi, w tym wizerunku osób nim podróżujących.”

Tym samym, Sąd uznał, iż co do zasady numery rejestracyjne pojazdu same w sobie nie stanowią danych osobowych. Istnieją jednak sytuacje, kiedy mając na uwadze całokształt okoliczności towarzyszących, uznać można, iż sama informacja zawarta na tablicy pojazdu (np. spersonalizowany numer lub numer umieszczony na unikatowym egzemplarzu pojazdu) pozwala przypisać ją do jego zindywidualizowanego właściciela bądź posiadacza.

Jak zaznaczył bowiem Sąd w uzasadnieniu rozstrzygnięcia „W innych przypadkach numer rejestracyjny w połączeniu z innymi danymi osobowymi (lub nawet w określonej czasoprzestrzeni) pozwala na identyfikację osoby właściciela”.

Jak postępować z nr rejestracyjnym?

Mając na uwadze tak niejednolitą interpretację przepisów o ochronie danych, niewątpliwie zasadnym jest rozsądne i ostrożne podchodzenie do jakichkolwiek form wykorzystywania numerów rejestracyjnych pojazdów należących do osób trzecich.

W szczególności upubliczniając w jakiejkolwiek formie dane rejestrowe pojazdu (nagranie z kamery samochodowej, zamieszczenie w sieci zdjęcia nieprawidłowo zaparkowanego samochodu itp.) należy mieć na uwadze, że w razie zarzutu takiego niewłaściwego działania, spotkać można się nie tylko z  zarzutem naruszenia danych osobowych, ale również dóbr osobistych, jakim jest m. in. prawo do prywatności. Osoba uznająca się za poszkodowaną z tych tytułów może zaś dochodzić swoich roszczeń niezależnie na podstawie przepisów o ochronie danych, jak i przepisów Kodeksu Cywilnego.

Pierwszy unijny kodeks postępowania ws ochrony danych przetwarzanych w chmurze

ZAŁOŻENIA KODEKSU CISPE DLA BRANŻY CHMUROWEJ

Kodeks postępowania ma zapewnić dostawcom usług cloud computing warunki do wykazania pełnej zgodności stosowanych przez nich rozwiązań chmurowych z Ogólnym Rozporządzeniem m.in. poprzez przykładowe wskazówki, jak dostawcy ci oraz ich klienci powinni postępować, by chronić dane osobowe zgodnie z regulacjami RODO. Zgodność z postanowieniami kodeksu CISPE ma być weryfikowana przez niezależnych, zewnętrznych audytorów akredytowanych przez odpowiednie krajowe organy ochrony danych poszczególnych państw członkowskich.

Dokument opisuje rekomendowane praktyki i praktyczne wskazówki mające wspomagać dostawców usług infrastruktury chmurowej w podnoszeniu jakości ochrony danych i zapewnieniu przejrzystości wobec odbiorców tychże usług przez jasne określenie ról, obowiązków i granic działania obydwu stron.

Kodeks gwarantować ma również, dostęp dostawców usług cloud computing do danych klientów i możliwość ich wykorzystywania wyłącznie w celu zarządzania lub świadczenia oferowanej przez siebie usługi, bez możliwości przetwarzania w celach marketingowych.

REGULACJE DOTYCZĄCE KODEKSU POSTĘPOWANIA?

Kodeksy postępowania to przewidziane art. 40 RODO regulacje sektorowe, mające charakter wytycznych, opracowywane przez stowarzyszenia, organy przedstawicielskie, zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów danych lub podmiotów przetwarzających. Ich założeniem jest wypracowanie określonych standardów przetwarzania danych z uwzględnieniem specyfiki poszczególnych sektorów i rodzajów działalności, w tym szczególnych potrzeb przedsiębiorców.

Przestrzeganie regulacji kodeksów postępowań zapewniać ma organizacjom w całej UE możliwość sprawniejszej ochrony danych i wykazania zgodności z przepisami RODO. Kodeksy postępowania podlegają zatwierdzeniu przez jeden z krajowych organów ochrony danych działający w imieniu pozostałych organów państw członkowskich, po uzyskaniu formalnej opinii EROD.

KORZYŚCI Z OPARCIA SIĘ NA SEKTOROWYM KODEKSIE POSTĘPOWANIA

Zaczerpnięcie przez poszczególnych administratorów danych oraz podmioty przetwarzające z założeń kodeksów postępowania w zakresie przetwarzaniach danych osobowych, zgodnie z założeniami RODO, służyć ma przede wszystkim doprecyzowaniu regulacji wspólnotowych do warunków przetwarzania w określonym sektorze gospodarki.

Co istotne kodeksy postępowania, zgodnie z wytycznymi RODO przewidywać muszą również mechanizmy obowiązkowego monitorowania przestrzegania przepisów tychże kodeksów przez administratorów lub podmioty przetwarzające, którzy podjęli się ich stosowania. Monitorowanie to prowadzone jest przez niezależne podmioty posiadające odpowiedni poziom wiedzy fachowej w dziedzinie będącej przedmiotem danego kodeksu i akredytowane w tym celu przez właściwy organ nadzorczy państwa członkowskiego.

Brexit – zbliża się koniec okresu przejściowego. Co dalej z transferem danych do UK?

Tymczasem w świetle ostatnich uregulowań w tym zakresie w odniesieniu do państw trzecich (w ostatnich tygodniach zwłaszcza w kontekście ich transferu do USA), szczególnie istotnym polem jest tu określenie zasad przyszłego przepływu danych pomiędzy Zjednoczonym Królestwem a Unią Europejską.

 

OKRES PRZEJŚCIOWY DO KOŃCA 2020 ROKU

Do końca bieżącego roku obowiązuje okres przejściowy, w czasie którego wspólnotowe regulacje dotyczące ochrony danych osobowych (w szczególności unijne Ogólne Rozporządzenie O Ochronie Danych – RODO) mają pełne zastosowanie na terenie Wielkiej Brytanii.

Tym samym, status Zjednoczonego Królestwa w okresie przejściowym jako państwa członkowskiego Unii Europejskiej, pozwala na swobodny transfer danych na dotychczasowych zasadach.

 

CO Z DANYMI PO OKRESIE PRZEJŚCIOWYM? MOŻLIWE RÓŻNE MODELE

Na temat niewiadomej obecnie relacji UE i Wielkiej Brytanii wypowiedział się brytyjski organ nadzorczy, tj. The Information Commissioner’s Office (ICO).

ICO potwierdził brak ustalonego scenariusza działania w tym zakresie po zakończeniu okresu przejściowego. Jednocześnie rekomenduje sięganie przez administratorów danych i podmioty przetwarzające do opracowywanych przez siebie na bieżąco poradników i materiałów dotyczących zmian zasad przetwarzania danych osobowych spowodowanych Brexitem. Źródła takie znaleźć można na stronach internetowych ICO, a także polskiego Ministerstwa Rozwoju[1].

Jednym z przewidywanych scenariuszy jest wdrożenie w życie tzw. brytyjskiego RODO oraz uregulowanie zasad wymiany danych osobowych między Wielką Brytanią a Wspólnotą Europejską w drodze stosownej umowy międzynarodowej. W tym zakresie warto zaznaczyć, że obecnie w Zjednoczonym Królestwie obowiązuje Ustawa o ochronie danych 2018 (DPA 2018), która uzupełnia i dostosowuje przepisy Ogólnego Rozporządzenia o Ochronie Danych na terenie Wielkiej Brytanii. Ustawa ta w przyszłości ma być jeszcze bardziej zbliżona do regulacji RODO i doprowadzić do zagwarantowania tak wysokiego stopnia ochrony danych, który umożliwi ich przepływ z państw członkowskich UE.

Innym możliwym rozwiązaniem jest uzyskanie przez Wielką Brytanię statusu państwa trzecie w rozumieniu RODO. Oznaczałoby to, że transfer danych osobowych z państw członkowskich do Zjednoczonego Królestwa byłby możliwy każdorazowo tylko w oparciu o mechanizmy przewidziane w RODO, a więc, m. in. na podstawie:

  • decyzji Komisji Europejskiej, która potwierdzałaby, że Wielka Brytania zapewnia odpowiedni – analogiczny jak państwa Wspólnoty – poziom ochrony danych osobowych;
  • przyjętych przez KE standardowych klauzul umownych;
  • wiążących reguł korporacyjnych;
  • zatwierdzonego kodeksu postępowania lub
  • zatwierdzonego mechanizmu certyfikacji.

Drugie z ww. rozwiązań wiązałoby się koniecznością istotnych zmian w wewnętrznych politykach określających zasady przetwarzania danych u poszczególnych administratorów na terenie UE. Aktualizacji wymagałyby przede wszystkim umowy powierzenia przetwarzania danych, rejestry przetwarzania oraz klauzule informacyjne – w zakresie, w jakim odnoszą się do przekazywania danych Wielkiej Brytanii.

 

Ostateczne warunki współpracy handlowej i gospodarczej od 1 stycznia 2021 r. – w tym również transferu danych osobowych – zależeć będą od treści przyszłej umowy o wolnym handlu między Wielką Brytanią i Unią Europejską. Do jej zawarcia miało dojść 15 października, w trakcie posiedzenia Rady Europejskiej, jednak do ostatecznych uzgodnień nie doszło. Dalszy plan działań obydwu stron będzie więc nadal przedmiotem negocjacji.