Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO?

Rekrutacja

Podstawowym obowiązkiem administratora jest zapewnienie, aby do przetwarzania dochodziło w oparciu o prawidłową podstawę prawną przetwarzania. Dane kandydatów do pracy przetwarzamy w oparciu o: obowiązek prawny ciążący na administratorze (wynikający z art. 22¹ Kodeksu pracy, a także z ustaw szczególnych – przykładowo art. 10 ust. 8a Karty nauczyciela nakłada obowiązek przedstawienia dyrektorowi szkoły informacji z KRK) i zgodę kandydata (dot. danych innych niż niezbędne do przeprowadzenia rekrutacji, takich jak wizerunek kandydata czy referencje od byłych pracodawców). Należy pamiętać, że zgoda na przetwarzanie danych osobowych powinna:

1) wskazywać administratora danych i cel przetwarzania,

2) precyzować zakres danych, których dotyczy,

3) odnosić się do konkretnego celu (każdy cel przetwarzania danych = odrębna zgoda).

Ponadto fundamentalnym aspektem zgodnego z RODO przetwarzania jest prawidłowe spełnienie obowiązku informacyjnego (zarówno jeśli chodzi o treść, jak i moment spełnienia – tu kluczowe jest rozróżnienie na art. 13 i art. 14 RODO). Natomiast z punktu widzenia zakończenia przetwarzania, szczególną uwagę trzeba poświęcić okresowi przechowywania danych – według UODO w rekrutacji dane kandydatów powinny być usunięte niezwłocznie po zakończeniu rekrutacji, a w przypadku rekrutacji przyszłych UODO jako przykładowy okres wskazuje 9 miesięcy (natomiast nie wyklucza uzasadnionego wydłużenia tego okresu).

Polecamy: Przewodnik po zmianach przepisów 2019/2020

Zatrudnienie

W procesie zatrudnienia ustalenie podstawy prawnej przetwarzania z reguły nie jest kwestią problematyczną. W przypadku pracowników co do zasady przesłanką przetwarzania będzie art. 6 ust. 1 lit. c RODO, czyli obowiązek wynikający z przepisu prawa. Z kolei dane osób zatrudnionych w oparciu o umowy cywilnoprawne przetwarzane są przede wszystkim w związku z dążeniem do zawarcia umowy i późniejszą jej realizacją tj. w oparciu o art. 6 ust. 1 lit. b RODO.

W przypadku gromadzenia danych osobowych pracowników istotną kwestią pozostaje, zgodnie z ostatnimi rekomendacjami Ministerstwa Rodziny, Pracy i Polityki Społecznej ws. przechowywania dokumentacji pracowniczej, konieczność pozyskiwania danych potrzebnych do zgłoszenia pracownika do ubezpieczeń społecznych z ZUS w odrębnym od kwestionariusza osobowego dokumencie, z uwagi na krótszy okres przechowywania od pozostałej dokumentacji pracowniczej. Pracodawca jest zobowiązany przechowywać akta osobowe pracowników zatrudnionych przed 1 stycznia 2019 r. przez okres 50 lat, natomiast zatrudnionych po 1 styczna 2019 r. przez okres 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Dane osobowe inne niż znajdujące się w aktach osobowych np. zbierane celem zgłoszenia pracownika do ubezpieczenia czy też pozyskane w związku z funkcjonującym u pracodawcy Zakładowym Funduszem Świadczeń Socjalnych będą przechowywane krócej, tj. przez okres 5 lat.

Dane osobowe współpracowników będą przechowywane przez okres trwania umowy oraz po jej zakończeniu przez okres dochodzenia ewentualnych roszczeń związanych z umową.

Marketing

Przedsiębiorcy korzystają z różnych form marketingu celem promowania swoich usług i pozyskiwania klientów. Najpopularniejszymi formami są e-mail marketing (newsletter), telemarketing, eventy oraz konkursy. Najbardziej problematyczną kwestią w procesie marketingu jest zazwyczaj brak zgody osoby fizycznej na formę marketingu, czyli wysyłkę maili, smsów, czy też kontakt telefoniczny. W przypadku organizowania różnych eventów administratorzy zmagają się również z zagadnieniem przetwarzania i rozpowszechniania wizerunku uczestników wydarzenia. Są to zagadnienia, które zawsze muszą zostać poddane analizie przez administratora, gdyż bez pozyskania stosowanych zgód przedsiębiorca będzie narażony nie tylko na odpowiedzialność z zakresu RODO, ale także ustaw szczególnych tj. prawo telekomunikacyjne, ustawa o świadczeniu usług drogą elektroniczną, czy też ustawa o prawie autorskim i prawach pokrewnych.

Sporo wątpliwości pojawia się również w zakresie e-mail marketingu kierowanego przez administratora do osób fizycznych, których dane osobowe pozyskał on kupując bazę danych. Administratorzy często bowiem zapominają o konieczności zweryfikowania czy zbywca bazy posiada ważną podstawę prawną przetwarzania zgromadzonych w niej danych osób fizycznych.

Ofertowanie

W przypadku, w którym potencjalny klient sam wyrazi zainteresowanie naszym produktem i poprosi o dodatkowe informacje (np. uzupełniając nasz formularz ofertowy na stronie www), podstawą prawną przetwarzania będzie art. 6 ust. 1 lit. b RODO (lub art. 6 ust. 1 lit. f RODO w stosunku do danych pracowników/przedstawicieli naszego potencjalnego klienta). Natomiast kontakt z klientem, który nie złożył samodzielnie zapytania ofertowego, należy zakwalifikować jako formę działań marketingowych. Zgodnie z motywem 47 Preambuły do RODO podstawą prawną przetwarzania danych osobowych powinien być art. 6 ust. 1 lit. f RODO, gdzie prawnie uzasadnionym interesem jest kierowanie ofert/marketingu bezpośredniego do potencjalnych nabywców. Nie oznacza to jednak, że prawnie uzasadniony interes pojawia się automatycznie w każdej sytuacji - aby stwierdzić jego istnienie należy przeprowadzić tzw. „test równowagi”.

Okres przechowywania danych zebranych w procesie ofertowania zależy od tego, czy dojdzie do zawarcia umowy. Przy zawarciu umowy dane automatycznie „wpadną” do procesu sprzedaży, natomiast jeśli do zawarcia umowy nie dojdzie, dane powinny zostać albo usunięte niezwłocznie po ustaniu celu przetwarzania w postaci zakończenia procesu negocjacji, albo przetwarzane w dalszym ciągu do czasu wniesienia przez osobę fizyczną sprzeciwu wobec przetwarzania.

Kontrahenci i dostawcy

W niniejszym procesie najwięcej problemów przysparza administratorom wypełnienie obowiązków w związku z przetwarzaniem tzw. danych biznesowych, czyli imion, nazwisk, adresów e-mail, czy też numerów telefonów komórkowych pracowników, współpracowników oraz przedstawicieli kontrahentów. RODO nie wyłącza względem tych osób konieczności spełnienia obowiązku informacyjnego, który może zostać zamieszczony np. w umowie z kontrahentem. Dodatkowym zabezpieczeniem dla administratora jest zamieszczenie klauzuli informacyjnej, bądź jej skróconej wersji, w stopce e-mail pracowników.

Istotną kwestią jest również rzetelna weryfikacja swoich kontrahentów, dostawców, którym administrator powierza do przetwarzania dane osobowe. Proces weryfikacji może zostać przeprowadzony np. za pomocą ankiety sprawdzającej. Powinna ona zawierać pytania dotyczące przyjętych i stosowanych przez procesora zabezpieczeń technicznych i organizacyjnych, przyjętej dokumentacji z zakresu ochrony danych osobowych itp.

Autor: Agata Kłodzińska, Specjalista ds. ochrony danych, ODO 24. Aplikant adwokacki. Swoje zainteresowania koncentruje na obszarze szeroko pojętego prawa cywilnego i administracyjnego, w tym w szczególności na zagadnieniach związanych z ochroną danych osobowych. W ODO 24 zajmuje się przeprowadzaniem audytów, tworzeniem dokumentacji związanej z przetwarzaniem danych osobowych oraz sporządzaniem opinii prawnych. Audytor wiodący ISO/IEC 27001.

Barbara Matasek, Specjalista ds. ochrony danych, ODO 24. Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.