REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO? /fot. Shutterstock
Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO? /fot. Shutterstock

REKLAMA

REKLAMA

W ferworze wszystkich działań związanych z przygotowaniem do kontroli nie można zapomnieć o tym, co jest głównym przedmiotem zainteresowania pracowników Urzędu Ochrony Danych Osobowych, czyli o procesach przetwarzania danych osobowych realizowanych przez administratorów. Kluczowymi zagadnieniami spośród najważniejszych procesów, które zazwyczaj występują w organizacjach są: rekrutacja, zatrudnienie, marketing, ofertowanie i przetwarzanie danych kontrahentów.

Rekrutacja

Podstawowym obowiązkiem administratora jest zapewnienie, aby do przetwarzania dochodziło w oparciu o prawidłową podstawę prawną przetwarzania. Dane kandydatów do pracy przetwarzamy w oparciu o: obowiązek prawny ciążący na administratorze (wynikający z art. 221 Kodeksu pracy, a także z ustaw szczególnych – przykładowo art. 10 ust. 8a Karty nauczyciela nakłada obowiązek przedstawienia dyrektorowi szkoły informacji z KRK) i zgodę kandydata (dot. danych innych niż niezbędne do przeprowadzenia rekrutacji, takich jak wizerunek kandydata czy referencje od byłych pracodawców). Należy pamiętać, że zgoda na przetwarzanie danych osobowych powinna:

REKLAMA

1) wskazywać administratora danych i cel przetwarzania,

2) precyzować zakres danych, których dotyczy,

3) odnosić się do konkretnego celu (każdy cel przetwarzania danych = odrębna zgoda).

Ponadto fundamentalnym aspektem zgodnego z RODO przetwarzania jest prawidłowe spełnienie obowiązku informacyjnego (zarówno jeśli chodzi o treść, jak i moment spełnienia – tu kluczowe jest rozróżnienie na art. 13 i art. 14 RODO). Natomiast z punktu widzenia zakończenia przetwarzania, szczególną uwagę trzeba poświęcić okresowi przechowywania danych – według UODO w rekrutacji dane kandydatów powinny być usunięte niezwłocznie po zakończeniu rekrutacji, a w przypadku rekrutacji przyszłych UODO jako przykładowy okres wskazuje 9 miesięcy (natomiast nie wyklucza uzasadnionego wydłużenia tego okresu).

Dalszy ciąg materiału pod wideo

Polecamy: Przewodnik po zmianach przepisów 2019/2020

Zatrudnienie

REKLAMA

W procesie zatrudnienia ustalenie podstawy prawnej przetwarzania z reguły nie jest kwestią problematyczną. W przypadku pracowników co do zasady przesłanką przetwarzania będzie art. 6 ust. 1 lit. c RODO, czyli obowiązek wynikający z przepisu prawa. Z kolei dane osób zatrudnionych w oparciu o umowy cywilnoprawne przetwarzane są przede wszystkim w związku z dążeniem do zawarcia umowy i późniejszą jej realizacją tj. w oparciu o art. 6 ust. 1 lit. b RODO.

W przypadku gromadzenia danych osobowych pracowników istotną kwestią pozostaje, zgodnie z ostatnimi rekomendacjami Ministerstwa Rodziny, Pracy i Polityki Społecznej ws. przechowywania dokumentacji pracowniczej, konieczność pozyskiwania danych potrzebnych do zgłoszenia pracownika do ubezpieczeń społecznych z ZUS w odrębnym od kwestionariusza osobowego dokumencie, z uwagi na krótszy okres przechowywania od pozostałej dokumentacji pracowniczej. Pracodawca jest zobowiązany przechowywać akta osobowe pracowników zatrudnionych przed 1 stycznia 2019 r. przez okres 50 lat, natomiast zatrudnionych po 1 styczna 2019 r. przez okres 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Dane osobowe inne niż znajdujące się w aktach osobowych np. zbierane celem zgłoszenia pracownika do ubezpieczenia czy też pozyskane w związku z funkcjonującym u pracodawcy Zakładowym Funduszem Świadczeń Socjalnych będą przechowywane krócej, tj. przez okres 5 lat.

Dane osobowe współpracowników będą przechowywane przez okres trwania umowy oraz po jej zakończeniu przez okres dochodzenia ewentualnych roszczeń związanych z umową.

Marketing

REKLAMA

Przedsiębiorcy korzystają z różnych form marketingu celem promowania swoich usług i pozyskiwania klientów. Najpopularniejszymi formami są e-mail marketing (newsletter), telemarketing, eventy oraz konkursy. Najbardziej problematyczną kwestią w procesie marketingu jest zazwyczaj brak zgody osoby fizycznej na formę marketingu, czyli wysyłkę maili, smsów, czy też kontakt telefoniczny. W przypadku organizowania różnych eventów administratorzy zmagają się również z zagadnieniem przetwarzania i rozpowszechniania wizerunku uczestników wydarzenia. Są to zagadnienia, które zawsze muszą zostać poddane analizie przez administratora, gdyż bez pozyskania stosowanych zgód przedsiębiorca będzie narażony nie tylko na odpowiedzialność z zakresu RODO, ale także ustaw szczególnych tj. prawo telekomunikacyjne, ustawa o świadczeniu usług drogą elektroniczną, czy też ustawa o prawie autorskim i prawach pokrewnych.

Sporo wątpliwości pojawia się również w zakresie e-mail marketingu kierowanego przez administratora do osób fizycznych, których dane osobowe pozyskał on kupując bazę danych. Administratorzy często bowiem zapominają o konieczności zweryfikowania czy zbywca bazy posiada ważną podstawę prawną przetwarzania zgromadzonych w niej danych osób fizycznych.

Ofertowanie

W przypadku, w którym potencjalny klient sam wyrazi zainteresowanie naszym produktem i poprosi o dodatkowe informacje (np. uzupełniając nasz formularz ofertowy na stronie www), podstawą prawną przetwarzania będzie art. 6 ust. 1 lit. b RODO (lub art. 6 ust. 1 lit. f RODO w stosunku do danych pracowników/przedstawicieli naszego potencjalnego klienta). Natomiast kontakt z klientem, który nie złożył samodzielnie zapytania ofertowego, należy zakwalifikować jako formę działań marketingowych. Zgodnie z motywem 47 Preambuły do RODO podstawą prawną przetwarzania danych osobowych powinien być art. 6 ust. 1 lit. f RODO, gdzie prawnie uzasadnionym interesem jest kierowanie ofert/marketingu bezpośredniego do potencjalnych nabywców. Nie oznacza to jednak, że prawnie uzasadniony interes pojawia się automatycznie w każdej sytuacji - aby stwierdzić jego istnienie należy przeprowadzić tzw. „test równowagi”.

Okres przechowywania danych zebranych w procesie ofertowania zależy od tego, czy dojdzie do zawarcia umowy. Przy zawarciu umowy dane automatycznie „wpadną” do procesu sprzedaży, natomiast jeśli do zawarcia umowy nie dojdzie, dane powinny zostać albo usunięte niezwłocznie po ustaniu celu przetwarzania w postaci zakończenia procesu negocjacji, albo przetwarzane w dalszym ciągu do czasu wniesienia przez osobę fizyczną sprzeciwu wobec przetwarzania.

Kontrahenci i dostawcy

W niniejszym procesie najwięcej problemów przysparza administratorom wypełnienie obowiązków w związku z przetwarzaniem tzw. danych biznesowych, czyli imion, nazwisk, adresów e-mail, czy też numerów telefonów komórkowych pracowników, współpracowników oraz przedstawicieli kontrahentów. RODO nie wyłącza względem tych osób konieczności spełnienia obowiązku informacyjnego, który może zostać zamieszczony np. w umowie z kontrahentem. Dodatkowym zabezpieczeniem dla administratora jest zamieszczenie klauzuli informacyjnej, bądź jej skróconej wersji, w stopce e-mail pracowników.

Istotną kwestią jest również rzetelna weryfikacja swoich kontrahentów, dostawców, którym administrator powierza do przetwarzania dane osobowe. Proces weryfikacji może zostać przeprowadzony np. za pomocą ankiety sprawdzającej. Powinna ona zawierać pytania dotyczące przyjętych i stosowanych przez procesora zabezpieczeń technicznych i organizacyjnych, przyjętej dokumentacji z zakresu ochrony danych osobowych itp.

Autor: Agata Kłodzińska, Specjalista ds. ochrony danych, ODO 24. Aplikant adwokacki. Swoje zainteresowania koncentruje na obszarze szeroko pojętego prawa cywilnego i administracyjnego, w tym w szczególności na zagadnieniach związanych z ochroną danych osobowych. W ODO 24 zajmuje się przeprowadzaniem audytów, tworzeniem dokumentacji związanej z przetwarzaniem danych osobowych oraz sporządzaniem opinii prawnych. Audytor wiodący ISO/IEC 27001.

Barbara Matasek, Specjalista ds. ochrony danych, ODO 24. Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Kim jest rzecznik patentowy i jak wspiera przedsiębiorców?

Do 5 września trwa nabór na aplikację rzecznikowską. To ścieżka kariery m.in. dla absolwentów kierunków prawniczych, technicznych i ścisłych. Problem w tym, że wielu studentów nie ma świadomości, że taki zawód zaufania publicznego istnieje i jaka jest jego rola. W Polsce jest dziś 1 tys. rzeczników patentowych.

Weto prezydenta dla ustawy wiatrakowej a weto dla ustawy o deregulacji w energetyce

Jakie znaczenie ma weto prezydenta dla ustawy wiatrakowej? Najbardziej poszkodowani są mieszkańcy posiadający domy w bezpośrednim sąsiedztwie farm wiatrowych. Mieli otrzymać nawet do 20 tys. zł do podziału dla mieszkańców posiadających nieruchomości w promieniu 1 km od turbiny. Natomiast bardziej problematyczne dla rozwoju OZE jest weto dla Ustawy o deregulacji w energetyce.

Poławianie pereł. W jaki sposób łączyć technologię z autentycznością, by pozyskiwać jak najlepszych kandydatów?

Wyobraź sobie świat, w którym rekrutacja to już nie tylko „polowanie” na talenty, lecz dynamiczny ekosystem przewidywania i kreowania przyszłości organizacji. To scena, na której algorytmy AI nie tylko analizują CV, ale z chirurgiczną precyzją tropią osoby, które za moment zmienią rolę. Czy rekruterzy są gotowi na to, by wykorzystać potencjał AI mądrze, z korzyścią zarówno dla firmy, jak i kandydata?

Fundusz Bezpieczeństwa i Obronności oraz Spółka Specjalnego Przeznaczenia. Ważne zmiany dla polskiej gospodarki i przedsiębiorców [PROJEKT]

W obliczu dynamicznych zmian geopolitycznych i rosnących zagrożeń dla stabilności europejskiej, Polska podejmuje zdecydowane kroki w kierunku wzmocnienia swojej odporności. Jednym z najważniejszych elementów tej strategii jest powołanie Funduszu Bezpieczeństwa i Obronności – inicjatywy, która nie tylko odpowiada na wymogi Krajowego Planu Odbudowy i Zwiększania Odporności (KPO), ale także stanowi istotny element w budowaniu nowoczesnej, bezpiecznej i innowacyjnej gospodarki.

REKLAMA

Dlaczego warto posiadać konto bankowe za granicą?

Wielu przedsiębiorców w Polsce skupia się na bieżącym prowadzeniu biznesu, dbając o sprzedaż, marketing czy rozwój produktów. Jednak nie zawsze równie dużą wagę przykładają do kwestii związanych z bezpieczeństwem finansowym firmy. W praktyce to właśnie sprawy bankowe i podatkowe mogą przesądzić o stabilności przedsiębiorstwa, a nawet o jego być albo nie być.

Jak chronić tajemnicę przedsiębiorstwa transportowego? Co zrobić w przypadku naruszenia poufności?

Współczesny rynek transportowy charakteryzuje się rosnącą konkurencją, wysoką dynamiką zmian oraz presją na efektywność kosztową. Przedsiębiorstwa działające w tym sektorze muszą nie tylko inwestować we flotę, nowoczesne technologie i kwalifikacje pracowników, ale także skutecznie chronić informacje, które stanowią o ich przewadze rynkowej.

Tańsze tankowanie od września – ORLEN wprowadza nową promocję dla kierowców

Od 1 września 2025 roku na stacjach ORLEN w całej Polsce rusza nowa akcja promocyjna. Kierowcy mogą liczyć na zniżki nawet do 20 zł przy jednym tankowaniu, a co ważne – promocja obowiązuje codziennie, przez cały miesiąc. To kontynuacja wakacyjnych rabatów, ale w nieco innej, bardziej elastycznej formie.

Czy firmy wolą pozyskiwać nowych klientów czy utrzymywać relacje ze starymi?

Trzy czwarte firm w Europie planuje zwiększyć wydatki na narzędzia lojalnościowe, jak karty podarunkowe. W Polsce tylko 4% firm B2B stawia na budowanie relacji w marketingu, co – zdaniem ekspertów – jest niewykorzystanym potencjałem, zwłaszcza przy rosnących kosztach pozyskania klientów.

REKLAMA

Co piąty Polak spełnia kryteria pracoholizmu [BADANIE]

Z badań przeprowadzonych przez platformę edukacyjną Centrum Profilaktyki Społecznej wynika, iż co piąty Polak spełnia kryteria pracoholizmu. Zjawisko to odbija się na rodzinach. Terapeuci coraz częściej spotykają pacjentów, którzy nie wiedzą, jak żyć razem po latach „małżeństwa na odległość”.

Zasiłek chorobowy 2025 – jakie zmiany planuje rząd

To może być prawdziwa rewolucja w systemie świadczeń chorobowych. Rząd chce, by już od 2026 roku pracodawcy nie musieli płacić za pierwsze dni choroby pracowników. Zasiłek od początku zwolnienia lekarskiego ma przejąć ZUS. Zmiana oznacza ulgę dla firm, ale jednocześnie zwiększy wydatki Funduszu Ubezpieczeń Społecznych. Czy pracownicy zyskają, a system wytrzyma dodatkowe obciążenia?

REKLAMA