PYTANIA I ODPOWIEDZI

Poniżej znajdziesz odpowiedzi na często pojawiające się pytania m.in. z zakresu ochrony danych osobowych, przetwarzania i bezpieczeństwa danych, a także dotyczące naszych usług.

faq

Szkoła ma podstawę przetwarzania danych osobowych zawartych w podpisie w zakresie obrony przed roszczeniami, co stanowi jej prawnie uzasadniony interes. Podmiot ten może zachować wniosek, o którym wspomniał Pan w swojej wiadomości, w zakresie swojej rozliczalności. Ten dokument z Pana danymi pozwoli szkole wykazać, że w istocie taki wniosek otrzymała, w szczególności biorąc pod uwagę fakt, iż zostały w tym zakresie już podjęte kroki prawne. W celu uzyskania szczegółowych informacji od szkoły dotyczących przetwarzania Pana danych osobowych, może Pan skontaktować się z nią powołując się na swoje prawo dostępu do danych, przysługujące Panu na podstawie art. 15 RODO. W takiej sytuacji szkoła jest zobowiązana udzielić Panu wszelkich niezbędnych informacji dotyczących przetwarzania Pana danych osobowych, w tym przytoczyć cel oraz podstawę prawną przetwarzania.

W naszej ocenie żądanie skanu dowodu osobistego jest wątpliwe prawnie. PayU S.A. jako krajowa instytucja płatnicza, a w konsekwencji instytucja obowiązana w rozumieniu przepisów ustawy z 1.03.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu może, w celu stosowania środków bezpieczeństwa finansowego, przetwarzać informacje zawarte w dokumentach tożsamości klienta, a także sporządzać ich kopie (art. 34 ust. 4 ustawy o AML). Przepisy wskazanej ustawy muszą być jednak interpretowane z uwzględnieniem RODO, w tym z zasadą minimalizacji danych, która nakazuje przetwarzanie danych osobowych jedynie w zakresie niezbędnym do realizacji celu, dla którego są pozyskiwane. Trudno przyjąć, że na potrzeby dokonania weryfikacji lub identyfikacji klienta, instytucja płatnicza musi przetwarzać wszystkie dane zawarte w dowodzie osobistym. W tym zakresie zasadne wydaje się, aby podmiot taki wskazał, które konkretnie dane są potrzebne do przeprowadzenia weryfikacji, aby umożliwić Panu odpowiednie zanonimizowanie dokumentu. Ponadto instytucja taka powinna zapewnić bezpieczny kanał przekazania takiego skanu. Warto zwrócić uwagę, że w sprawie skanowania dowodów przez instytucje obowiązane wątpliwości wyraża też Prezes UODO: https://uodo.gov.pl/pl/138/2476.

Znowelizowany w maju 2019 roku przepis art. 22(1) Kodeksu pracy wyraźnie wskazuje, jakich informacji (danych osobowych) może żądać pracodawca od kandydata do pracy, a później od pracownika. Dowód osobisty, zawiera szeroki zakres danych osobowych, a przede wszystkim nazwisko, imię, wizerunek, PESEL, seria i numer, datę i miejsce urodzenia, płeć, wiek, datę wydania dowodu czy datę jego ważności. Samo kserowanie jako czynność techniczna, na gruncie przepisów o ochronie danych osobowych (RODO) nie jest zakazana. Jednakże w wyniku wykonania tej czynności, pracodawca może przetworzyć szerszy zakres danych osobowych niż jest do tego uprawniony, co niewątpliwie będzie się wiązało naruszeniem przepisów RODO. Proszę pamiętać, że każdej osobie fizycznej, przysługuje prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych na działanie Administratora, które skutkuje naruszeniem przepisów o ochronie danych osobowych. Wszelkie informacje w jaki sposób zgłosić skargę można znaleźć na stronie https://uodo.gov.pl/pl/526/2464.

Pracodawca, który jednocześnie jest Administratorem danych osobowych pracowników (oraz osób, które uczestniczą w procesie rekrutacji) zobowiązany jest przetwarzać dane osobowe zgodnie z przepisami prawa. Zgoda, osoby, której dane dotyczą nie uprawnia Administratora do przetwarzania danych osobowych w sposób sprzeczny z przepisami. Proszę również pamiętać, iż wyrażenie zgody musi być w pełni dobrowolne i nie wiązać się z negatywnymi konsekwencjami dla osoby, która taką zgodę wyraża. Wykonywanie kserokopii dowodu osobistego w procesie zatrudniania jest w pełni nieuzasadnione. Pracodawca, który stosuje tego typu praktyki naraża się na możliwość nałożenia sankcji administracyjnej będącej wynikiem kontroli Urzędu Ochrony Danych Osobowych.

Jeśli salon optyczny zażądał podania numeru PESEL to powinien także poinformować jaki jest cel podania tego numeru identyfikującego. Ponadto, powinien zostać przekazany obowiązek informacyjny, wynikający z art. 13 RODO. Zawarte w nim informacje powinny wyjaśnić powód zbierania poszczególnych danych osobowych. Proszę pamiętać, że każdej osobie fizycznej, przysługuje prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych na działanie Administratora, które skutkuje naruszeniem przepisów o ochronie danych osobowych. Wszelkie informacje w jaki sposób zgłosić skargę można znaleźć na stronie https://uodo.gov.pl/pl/526/2464

Czy podlegamy pod przepisy Ogólnego Rozporządzania o Ochronie Danych (dalej RODO) należy oceniać przez pryzmat, czy w ramach prowadzonej działalności dochodzi do przetwarzania danych osobowych. Na gruncie RODO, dane osobowe to wszelkie informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Jeżeli w ramach wykonywanych czynności dochodzi do przetwarzania danych osobowych, to zgodnie z zakresem materialnym stosowania RODO, który stanowi, że przepis ten ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w inny sposób niż zautomatyzowany, a przetwarzanie nie podlega wyłączeniu z stosowania RODO, należy uznać, że prowadząc jednoosobową działalność będziesz zobowiązany do jego przestrzegania.
Tak. Inna nazwa wskazanej formy działalności to osoba fizyczna prowadząca działalność gospodarczą. Wyrażenie „osoba fizyczna” oraz „jednoosobowa działalność” wskazują bezpośrednio na fakt, że mamy do czynienia z informacjami odnoszącymi się do zidentyfikowanej osoby fizycznej. Należy również przypomnieć, że zgodnie z obowiązującymi przepisami, nazwa jednoosobowej działalności musi zawierać imię i nazwisko osoby prowadzącej działalność. Należy więc uznać, że przetwarzając informacje o działalności w zakresie: nazwy, numeru NIP oraz REGON, adresu siedziby, numeru telefonu czy adresu poczty elektronicznej, będziemy przetwarzać dane osobowe, co skutkuje powstaniem obowiązków po stronie Administratora na gruncie przepisów RODO.
Zapewne ilu specjalistów tyle opinii w przedmiotowym temacie. Według naszego podejścia, numer telefonu jako ciąg cyfr przypisany do użytkownika, jest informacją umożliwiającą w łatwy sposób na zidentyfikowanie osoby fizycznej. Tym samym zgodnie z definicją określającą dane osobowe jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, numer telefonu stanowi dane osobowe na gruncie przepisów RODO.

Naruszeniem na gruncie przepisów o ochronie danych osobowych jest każde zdarzenie wskutek którego dojdzie do utraty poufności lub dostępności lub integralności przetwarzanych danych osobowych. W przedstawionej sytuacji, jeśli błędnie zaadresowana wiadomość zawierała dane osobowe np. imię i nazwisko, adres, numer telefonu lub inne informacje, które stanowią dane osobowe na gruncie przepisów RODO, to doszło do utraty ich poufności. Jest to więc naruszenie na gruncie RODO.

To czy istnieje obowiązek dokonania zgłoszenia do Urzędu Ochrony Danych Osobowych (UODO), należy ocenić przez pryzmat prawdopodobieństwa powstania ryzyka naruszenia praw lub wolności osoby fizycznej, której dane osobowe zostały dotknięty zdarzeniem. W sytuacji, gdy w wyniku zdarzenia, istnieje małe prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej, nie mamy obowiązku dokonywać takiego zgłoszenia. Jednakże zdarzenie należy zarejestrować w wewnętrznym rejestrze naruszeń. Należy również pamiętać, że w sytuacji, gdy w wyniku dokonanej oceny, zdarzenie może spowodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, to obowiązkiem Administratora poza dokonaniem zgłoszenia do UODO jest również poinformowanie osoby dotkniętej naruszeniem o powstałym zdarzeniu.

Odsyłam do naszego artykułu, w którym opisaliśmy poprawny proces obsługi naruszeń: Naruszenie ochrony danych osobowych- poprawny proces obsługi

Tak. Obowiązek prowadzenia rejestru naruszeń wynika z art. 33 ust. 5 Ogólnego Rozporządzenia o Ochronie Danych (RODO). Przepis ten stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Co ważne prowadzona dokumentacja musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania przez Administratora niniejszego obowiązku. Wskazany obowiązek należy rozumieć szerzej niż wyłącznie prowadzenie rejestru. Należy gromadzić również dokumentację opisującą podjęte działania wyjaśniające i naprawcze. Prowadzenie rejestru i dokumentacji opisującej dane zdarzenia, pozwali na uzyskanie rozliczalności zgodności przetwarzania danych, o której mowa w art. 5 RODO.

Jeśli chcesz wiedzieć więcej o zasadzie rozliczalności, odsyłamy do naszego artykułu: Zasada rozliczalności w RODO

Jeśli przy wykonywaniu przez biuro księgowo-kadrowe usług niezbędne jest udostępnienie danych osobowych w celu realizacji zleconych zadań, należy podpisać umowę powierzenia przetwarzania danych osobowych. Obowiązek ten wynika z art. 28 ust. 3 RODO, który stanowi, że w sytuacji, gdy w procesie przetwarzania danych osobowych Administrator korzysta z usług innego podmiotu, przetwarzanie takie odbywa się na podstawie umowy lub innego instrumentu prawnego, który wiąże Administratora i Podmiot Przetwarzający, określa przedmiot, cel, charakter, czas przetwarzania, rodzaj danych oraz kategorie osób, których dane zostały powierzone. Należy również pamiętać, że obowiązkiem Administratora jest korzystanie wyłącznie z usług takich podmiotów, które gwarantują zgodność dokonywanego przetwarzania z przepisami RODO.

Jeśli chcesz wiedzieć więcej, odsyłamy do naszych artykułów:

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Podmiot przetwarzający jak go prawidłowo wybrać?

PODMIOT PRZETWARZAJĄCY CZY TRZEBA GO KONTROLOWAĆ?

W pierwszej kolejności, należy przypomnieć, że wizerunek jest informacją umożliwiającą identyfikację osoby fizycznej. Tym samym na gruncie przepisów RODO wizerunek jest daną osobową. Jednocześnie wizerunek stanowi jedno z dóbr osobistych podlegających ochronie cywilnoprawnej oraz ochronie prawno-autorskiej.

Przepisy prawa nie zabraniają publikowania wizerunku uczniów, ale szkoła musi pamiętać, aby zrobić to zgodnie z obowiązującymi przepisami. W pierwszej kolejności spójrzmy przez pryzmat ochrony prawno-autorskiej. Opublikowanie wizerunku na stronie www szkoły jest niczym innym jak rozpowszechnieniem na gruncie przepisów ustawy o prawach autorskich i prawach pokrewnych. Aby danego rozpowszechnienia dokonać zgodnie z wskazanym przepisem prawnym, szkoła musi uzyskać zezwolenia osoby, której wizerunek dotyczy. Należy pamiętać, że w sytuacji, gdy wizerunek dotyczy osoby poniżej 18 roku życia, taką zgodę musi uzyskać od opiekuna prawnego. Uzyskanie zezwolenia na dokonanie rozpowszechniania wizerunku nie jest równoznaczne z zgodą na przetwarzanie danych na gruncie przepisów o ochronie danych osobowych (RODO). Dlaczego, ponieważ rozpowszechnienie jest jedną z czynności przetwarzania, a przecież aby dokonać rozpowszechnienia w pierwszej kolejności należy dokonać utrwalenia lub pozyskania wizerunku. Dlatego szkoła musi pamiętać o wyborze właściwej podstawy prawnej przetwarzania na gruncie RODO. Może to być zgoda (art. 6 ust. 1 lit. a) RODO, ale również realizowanie interesu publicznego, czyli art. 6 ust. 1 lit. e) RODO. Przetwarzając wizerunek, należy również pamiętać, że nie można naruszyć dóbr osobistych osoby, której wizerunek utrwalono. Dokonując wyboru zdjęcia zawierającego wizerunek oceńmy czy nie narusza ono dóbr prawnie ochronionych.

Na gruncie obowiązującego prawa, stosowanie atrap kamer nie jest zakazane. Jednakże, należy zwrócić uwagę na wydaną opinię Prezesa Urzędu Ochrony Danych Osobowy, który wskazał, że „stosowanie atrap powinno być zakazane”. Jak wykazał organ w publikacji z czerwca 2018 roku, atrapy kamer wprowadzają z jednej strony poczucie fizycznej ingerencji w prywatność osoby, a z drugiej mylnie zwiększają poczucie bezpieczeństwa. Jak czytamy dalej „zastosowanie danego rozwiązania należy tym samym podawać w wątpliwość skuteczność i adekwatność tego narzędzie w realizacji zamierzonego celu”. Tym samym należy przyjąć, że w przypadku zastosowanie atrap kamer, możemy dopuścić naruszenia art. 5 RODO, podstawowych zasad przetwarzania danych osobowych. Poniżej link do wskazanego dokumenty: https://uodo.gov.pl/data/filemanager_pl/1200.pdf

Podstawą prawną stosowania przez pracodawcę monitoringu wizyjnego jest art. 22(2) ustawy kodeks pracy. Zgodnie z ust. 1 art. 22(2) wskazanej ustawy pracodawca ma prawo do wprowadzenia monitoringu wizyjnego, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Kontrola czasu pracy nie mieści w celach, które ustawodawca wskazał jako przesłanki legalności stosowania monitoringu wizyjnego. W sytuacji, gdy monitoring służy do kontroli czasu pracy, stanowi to naruszenie przepisów o ochronie danych osobowych oraz przepisów prawa pracy.
Administratorem danych osobowych jest pracodawca, u którego utworzono Zakładowy Fundusz Świadczeń Socjalnych. W przypadku gdy pracodawcy wspólnie prowadzą działalność socjalną, to mamy do czynienie z współadministrowaniem (art. 26 RODO).
Administratorem danych osobowych przetwarzanych w celu realizacji zadań ustawowych jest Kasa zapomogowo-pożyczkowa (art. 43 ust. 7 ustawy o kasach zapomogowo-pożyczkowych z dnia 11 sierpnia 2021 roku).
Tak. Obowiązek nadania stosownych upoważnień wynika wprost z art. 8 ust. 1 pkt. 1b Ustawy o zakładowym funduszu świadczeń socjalnych. Należy pamiętać, że upoważnienie musi przybrać formę pisemną oraz należy zobowiązać osoby upoważnione do przetwarzania danych do zachowania ich w tajemnicy.

Tak, choć nie wynika to wprost z przepisów ogólnego rozporządzenia o ochronie danych (dalej RODO). Zgodnie z art. 29 RODO, każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych przetwarza je wyłącznie na jego polecenie, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Nie mniej należy zwrócić uwagę na zasadę rozliczalności. Zasada ta zobowiązuje administratora na wykazaniu przez niego zarówno przed organem nadzorczym, jak przed podmiotem danych (osobą fizyczną), dowodów na przestrzeganie zasad wynikających z RODO. Przyjmując, iż upoważnienie do przetwarzania danych osobowych wydawane jest w formie słownego polecenia, administratorowi trudno będzie udowodnić, że dopuścił do przetwarzania danych osobowych wyłącznie osoby przez niego upoważnione, a czynność przetwarzania odbywa się na jego polecenie.

Zapraszamy do przeczytania naszego artykułu Forma Upoważnienia Do Przetwarzania Danych Osobowych

Nie, żaden przepis ogólnego rozporządzenia o ochronie danych nie wskazuje takiego obowiązku. Niemniej rejestr umożliwia prawidłowe zarządzanie wystawionymi upoważnieniami do przetwarzania danych osobowych. Prowadzenie rejestru będzie więc mile widziane w kontekście wykazania rozliczalności zgodności administratora z RODO.

Zapraszamy do przeczytania naszego artykułu o zasadzie rozliczalności w RODO

Aby udzielić prawidłowej porady, musielibyśmy uzyskać dodatkowe informacje. Jednakże co do zasady z obowiązku stosowania przepisów ogólnego rozporządzenia o ochronie danych (dalej RODO) zgodnie z art. 2 wyłączone są osoby fizyczne przetwarzające dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze. Odnosząc się do zadanego pytania w sytuacji, gdy obszar monitorowany obejmuje wyłącznie posesję prywatną, przepisów RODO nie stosujemy. Odwrotna sytuacja będzie miała miejsce, gdy monitorujemy również przestrzeń publiczną np. chodnik, pas drogowy, boisko, plac zabaw. W następstwie takiego monitorowania, przepisy RODO należałoby uwzględnić przy przetwarzaniu danych.
W sytuacji, gdy na uszkodzonym dysku zapisane zostały informacje stanowiące dane osobowe, to podpisanie umowy powierzenia jest wymagane. Obowiązek ten wynika z art. 28 ust. 3 RODO. Jeśli dysk nie zawiera danych osobowych, to nie ma potrzeby zawierania takiej umowy.
Jednym z podstawowych celów ustanowienia RODO było wzmocnienie prawa osób fizycznych do ochrony sowich danych osobowych. I tak w art. 15 RODO prawodawca zagwarantował każdej osobie fizycznej prawo dostępu do danych osobowych jej dotyczących w tym prawo żądania wydania kopii tych danych. Jednakże wydanie kopii danych podlega ograniczeniu, o którym mowa w ust. 4 art. 15 RODO. Realizacja tego uprawnienia nie może negatywnie wpływać na prawa i wolności innych osób. Oznacza to, że w przypadku, gdy dane zarejestrowane dotyczą więcej niż jednej osoby fizycznej, administrator ma prawo odmówić wydania kopii. Nie zależnie od decyzji, podmiot, do którego wpłynął wniosek musi udzielić odpowiedzi, a w sytuacji odmowy realizacji prawa, powinien uzasadnić swoją decyzję. Proszę również pamiętać, że na decyzję administratora przysługuje prawo wniesienia skargi do Urzędu Ochrony Danych Osobowych.

Przetwarzając wyłącznie imię i nazwisko, nie mamy takiego obowiązku. Wskazuje na to art. 11 RODO. Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.

Tak. Co prawda na gruncie RODO nie została przewidziana sankcja karna za naruszenie jego przepisów. Ustawodawca krajowy został jednak upoważniony do przyjęcia takich sankcji (art. 84 ust. 1 RODO) i skorzystał z tego w art. 107 UODO.

Zgodnie ze wskazanym przepisem podmiot, który przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Wyższa kara przewidziana jest, jeżeli przetwarzanie danych osobowych w ww. warunkach dotyczy danych szczególnych kategorii – wówczas sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Nie. Rejestr czynności przetwarzania danych osobowych prowadzony przez gminę nie stanowi co do zasady informacji publicznej. WSA w Łodzi wskazał, że rejestr taki jest nośnikiem informacji, nie zaś samą informacją. Sąd ten uznał, że jest to dokument o charakterze wewnętrznym, organizacyjnym i porządkowym, przez co nie może być uznany za informację publiczną (wyrok WSA w Łodzi z 12.02.2019 r. II SAB/Łd 181/18).

Tak. Sytuacje, w których przepisy RODO nie znajdują zastosowania zostały wskazane w art. 2 ust. 2 RODO. Żaden z nich nie wyłącza stosowania tego aktu do stowarzyszeń, niezależnie od tego czy prowadzą one działalność gospodarcza, czy nie. Uwzględniając, że stowarzyszenie przetwarza dane osobowe swoich członków, darczyńców, ale też pracowników i innych podmiotów, ma ono obowiązek wdrożenia zasad ochrony danych osobowych w zakresie wynikającym z RODO.

Administratorem danych jest samo stowarzyszenie i to niezależnie, czy ma ono formę rejestrową (posiada osobowość prawną), czy też jest to stowarzyszenie zwykłe (będące ułomną osobą prawną). W imieniu stowarzyszenia rejestrowego działa jego zarząd lub inny uprawniony na mocy statutu organ, zaś w imieniu stowarzyszenia zwykłego działa przedstawiciel wybrany przez założycieli tego stowarzyszenia albo wybrany przez nich zarząd.

Co do zasady tak. Przez pojemnik bezpieczny rozumiemy zwykle stalowy, zamykamy pojemnik, do którego możliwe jest wrzucenie zbędnych dokumentów, celem ich późniejszego zniszczenia, i który posiada odpowiednie zabezpieczenia przed nieuprawnionym wyjęciem dokumentów. W naszej ocenie stosowania pojemników bezpiecznych będzie dopuszczalne, jeżeli:

  1. pojemnik znajdować będzie się w zamkniętym pomieszczeniu, z którego nie będzie mógł być w prosty sposób wyniesiony przez osoby nieupoważnione
  2. klucze do pojemnika przechowywane będą przez uprawnioną osobę,
  3. podmiot korzystający z takiego pojemnika powierzy przetwarzanie danych osobowych w zakresie niszczenia znajdujących się w nim dokumentów profesjonalnemu podwykonawcy, który gwarantuje zapewnienie należytych warunków ochrony danych osobowych, np. przez oferowanie protokołu zniszczenia dokumentów, czy nagrania z ich zniszczenia. Z podmiotem takim powinna być zawarta umowa powierzenia przetwarzania danych. Więcej na temat powierzenia przetwarzania przeczytasz w naszym artykule: https://inspektorzyodo.pl/powierzenie-przetwarzania-danych-osobowych/.

Oczywiście ostateczna ocena stosowania pojemników bezpiecznych powinna być poprzedzona przeprowadzeniem przez administratora danych stosownej analizy ryzyka.

Zgodnie z art. 2 ust. 1 Ogólne Rozporządzenie o Ochronie Danych (dalej RODO) ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Nie ma więc znaczenia czy dane osobowe przetwarzane są przez osobę fizyczną, podmiot gospodarczy, jednostkę publiczną lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, istotne jest, że w ramach czynności dochodzi do przetwarzania danych osobowych np. klientów, pracowników, dostawców, kandydatów do pracy, itp. Odnosząc się do pytania, jeśli w ramach prowadzonej działalności gospodarczej (niezależnie od formy jej prowadzenia) dochodzi do przetwarzania danych osobowych (tradycyjnie lub w systemach informatycznych) to jako Administrator tych danych mamy obowiązek przestrzegać przepisów o ochronie danych osobowych. Polecam zapoznanie się z naszą publikacją Administrator danych w spółce cywilnej oraz Wdrożenie RODO korzyścią dla firmy i jej Klientów.  

Analizując przedstawione zagadnienie, należy przytoczyć przepisy kodeksu postępowania cywilnego (kpc), wskazujące na uprawnienia komornika w zakresie prowadzonych przez niego czynności. Art. 760 (2) kpc w tej materii brzmi następująco: „Organ egzekucyjny, dokonując zajęcia majątku dłużnika albo żądając udzielenia informacji, o których mowa w art. 761 § 11, jest obowiązany podać numer PESEL, NIP lub REGON dłużnika, którego ta czynność dotyczy, jeżeli numery te zostały dłużnikowi nadane, a w razie konieczności także inne dane niezbędne do identyfikacji jego tożsamości”.  Z kolei art. 761 par. 11, do którego odnosi się powyższy przepis, wskazuje, iż organ egzekucyjny (komornik) może „żądać od osób nieuczestniczących w postępowaniu informacji dotyczących stanu majątkowego dłużnika lub umożliwiających identyfikację składników jego majątku oraz danych adresowych jedynie w zakresie niezbędnym do zapewnienia prawidłowego toku postępowania”. Powołując się na powyższe przepisy, komornik potencjalnie może kierować się do osób nieuczestniczących w postępowaniu, w zakresie uzyskania niezbędnych informacji do prowadzenia postępowania, podając przy tym dane osobowe dłużnika. Jednakże, należy przy tym zaznaczyć, że zasadność wykonywania tych czynności jest zależna od określonego przypadku. Dlatego też, zalecamy zwrócenie się bezpośrednio do samego komornika prowadzącego postępowanie z zapytaniem dotyczącym przetwarzania  danych osobowych, w tym przekazywania ich osobom trzecim. Prawo do uzyskania tych informacji na gruncie art. 12 Ogólnego Rozporządzenia o Ochronie Danych (RODO).

Zasadniczo, jeżeli monitoring stosowany przez sąsiadów wykracza poza ich posesje i obejmuje np. Państwa teren, to przetwarzanie przez nich danych osobowych (wizerunku, głosu) podlega przepisom RODO (por. Wytyczne EDPB 3/2019 ws. przetwarzania danych osobowych przez urządzenia wideo). W takiej sytuacji właściciele monitoringu są administratorami danych i zobowiązani są stosować się do postanowień ww. aktu. W opisanej sytuacji niewątpliwie mamy do czynienia z naruszeniem zasad ochrony danych osobowych, chociażby w zakresie zgodności, rzetelności i przejrzystości przetwarzania danych osobowych, a także przetwarzania tych danych w konkretnych, wyraźnych i prawnie uzasadnionych celach. W związku z tym przysługuje prawo skargi do Prezesa Urzędu Ochrony Danych Osobowych. Tryb wniesienia skargi opisany został na stronie UODO: https://uodo.gov.pl/pl/492/2464. Warto w tym zakresie potwierdzić również, że już sam fakt stosowania monitoringu z rejestracją dźwięku budzi wątpliwości prawne. Niezależnie od powyższego można skorzystać z roszczeń cywilnoprawnych – z tytułu szkody niemajątkowej w wyniku naruszenia przez administratora danych (sąsiada) przepisów RODO (art. 82 RODO), z tytułu naruszenia dóbr osobistych (art. 23-24 Kodeksu cywilnego) oraz z tytułu immisji (art. 144 Kodeksu cywilnego). W tym celu konieczne byłoby wytoczenie powództwa sądowego. W przypadku zgłoszenia na Policję warto powołać się na art. 107 § 1 Ustawy o ochronie danych osobowych, który kryminalizuje przetwarzanie danych osobowych, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony. Jeżeli organ ścigania nie będzie chciał podjąć interwencji można złożyć w najbliższej jednostce Policji albo korespondencyjnie zawiadomienie o możliwości popełnienia przestępstwa. 

Składanie skarg 

Zgodnie z art. 13 Administrator ma obowiązek w sytuacji wyznaczenia Inspektora Ochrony Danych wskazać osobie fizycznej, której dane osobowe przetwarza, dane kontaktowe do Inspektora Ochrony Danych. Zgodnie z art. 37 ust. 7 RODO, administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych. Sposób realizacji tego obowiązku doprecyzowany został w art. 11 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. W przepisie tym wskazano, że podmiot, który wyznaczył Inspektora Ochrony Danych, udostępnia dane inspektora w zakresie: imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności np. w treści obowiązku informacyjnego o przetwarzaniu danych osobowych. Dodatkowo na Administratorze spoczywa obowiązek zapewnienia, aby informacja o danych kontaktowych Inspektora Ochrony Danych była łatwo dostępna dla osób, których dane dotyczą. Administrator nie może odmówić podania danych kontaktowych do Inspektora Ochrony Danych. W sytuacji wystąpienia takiego zdarzenia, stanowi to naruszenie przepisów o ochronie danych osobowych. Link do publikacji PUODO https://uodo.gov.pl/pl/495/2342.

Dziękuję za skierowanie do Nas tej kwestii. Rozumiem, że znalazła się Pani w sytuacji, w której pracodawca, z którym ostatecznie nie nawiązała Pani współpracy, posiada Pani dokumenty medyczne oraz orzeczenie o niepełnosprawności i odmawia ich przekazania inaczej niż przez odbiór osobisty.

W kontekście przepisów Ogólnego Rozporządzenia o Ochronie Danych z dnia 27 kwietnia 2016 r (dalej RODO), ważne jest podkreślenie kilku aspektów:

  1. Prawo dostępu do danych osobowych: Zgodnie z art. 15 RODO, każda osoba ma prawo uzyskać od administratora danych potwierdzenie, czy są przetwarzane dane osobowe dotyczące tej osoby oraz ma prawo uzyskać dostęp do tych danych. Pracodawca jako administrator danych (zgodnie z art. 4 pkt. 7 RODO), powinien umożliwić dostęp do nich w sposób, który uwzględnia potrzeby i możliwości osoby, której dane dotyczą, zwłaszcza w przypadku wystąpienia niedyspozycji.
  2. Forma udostępnienia danych: RODO nie określa konkretnie formy, w jakiej dane mają być udostępniane. Wymaga jednak, aby administrator danych działał transparentnie i ułatwiał osobom, których dane dotyczą, korzystanie z ich praw. Oznacza to, że odmowa przekazania dokumentów pocztą, zwłaszcza w sytuacji, gdy osoba nie może ich odebrać osobiście z ważnych powodów, może być traktowana jako nieuwzględnienie prawa dostępu do danych.
  3. Ochrona danych osobowych i zdrowotnych: Dane dotyczące zdrowia są kategorią szczególnie chronioną danych osobowych. Jakiekolwiek przetwarzanie takich danych, w tym ich udostępnianie, wymaga szczególnych środków ochrony oraz zazwyczaj silniejszych podstaw prawnych.

W odpowiedzi na Pani pytanie, pracodawca powinien dostosować sposób realizacji Pani praw do aktualnej sytuacji, uwzględniając Pani niedyspozycję. Niezależnie od tego, czy doszło do nawiązania współpracy, przechowywane przez pracodawcę dokumenty medyczne i orzeczenie o niepełnosprawności są Pani danymi osobowymi, do których ma Pani prawo dostępu. Jeśli pracodawca odmawia przekazania dokumentów w inny sposób niż przez odbiór osobisty, bez podania uzasadnionej przyczyny, może to być traktowane jako naruszenie Pani praw, na gruncie przepisów RODO. W takiej sytuacji zalecam skontaktowanie się bezpośrednio z Urzędem Ochrony Danych Osobowych (UODO) w celu uzyskania dalszych wskazówek lub złożenia skargi na postępowanie pracodawcy. Może Pani również zwróć się do Państwowej Inspekcji Pracy, która może interweniować w przypadkach naruszenia praw pracowniczych.

Mam nadzieję, że powyższe informacje okażą się pomocne. W razie dodatkowych pytań lub potrzeby dalszej asysty, proszę o kontakt.

NIE UDAŁO CI SIĘ ZNALEŹĆ ODPOWIEDZI NA TWOJE PYTANIE?

Ostatnio dodane aktualności

Prawo dostępu do danych

Czego dotyczy prawo dostępu do danych? Prawo dostępu do danych jest jednym z praw przysługujących każdej osobie, której dane dotyczą, na gruncie przepisów RODO. W

Czytaj dalej...

Masz pytania? Napisz do nas!