REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO? /fot. Shutterstock
Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO? /fot. Shutterstock

REKLAMA

REKLAMA

W ferworze wszystkich działań związanych z przygotowaniem do kontroli nie można zapomnieć o tym, co jest głównym przedmiotem zainteresowania pracowników Urzędu Ochrony Danych Osobowych, czyli o procesach przetwarzania danych osobowych realizowanych przez administratorów. Kluczowymi zagadnieniami spośród najważniejszych procesów, które zazwyczaj występują w organizacjach są: rekrutacja, zatrudnienie, marketing, ofertowanie i przetwarzanie danych kontrahentów.

Rekrutacja

Podstawowym obowiązkiem administratora jest zapewnienie, aby do przetwarzania dochodziło w oparciu o prawidłową podstawę prawną przetwarzania. Dane kandydatów do pracy przetwarzamy w oparciu o: obowiązek prawny ciążący na administratorze (wynikający z art. 221 Kodeksu pracy, a także z ustaw szczególnych – przykładowo art. 10 ust. 8a Karty nauczyciela nakłada obowiązek przedstawienia dyrektorowi szkoły informacji z KRK) i zgodę kandydata (dot. danych innych niż niezbędne do przeprowadzenia rekrutacji, takich jak wizerunek kandydata czy referencje od byłych pracodawców). Należy pamiętać, że zgoda na przetwarzanie danych osobowych powinna:

REKLAMA

1) wskazywać administratora danych i cel przetwarzania,

2) precyzować zakres danych, których dotyczy,

3) odnosić się do konkretnego celu (każdy cel przetwarzania danych = odrębna zgoda).

Ponadto fundamentalnym aspektem zgodnego z RODO przetwarzania jest prawidłowe spełnienie obowiązku informacyjnego (zarówno jeśli chodzi o treść, jak i moment spełnienia – tu kluczowe jest rozróżnienie na art. 13 i art. 14 RODO). Natomiast z punktu widzenia zakończenia przetwarzania, szczególną uwagę trzeba poświęcić okresowi przechowywania danych – według UODO w rekrutacji dane kandydatów powinny być usunięte niezwłocznie po zakończeniu rekrutacji, a w przypadku rekrutacji przyszłych UODO jako przykładowy okres wskazuje 9 miesięcy (natomiast nie wyklucza uzasadnionego wydłużenia tego okresu).

Dalszy ciąg materiału pod wideo

Polecamy: Przewodnik po zmianach przepisów 2019/2020

Zatrudnienie

REKLAMA

W procesie zatrudnienia ustalenie podstawy prawnej przetwarzania z reguły nie jest kwestią problematyczną. W przypadku pracowników co do zasady przesłanką przetwarzania będzie art. 6 ust. 1 lit. c RODO, czyli obowiązek wynikający z przepisu prawa. Z kolei dane osób zatrudnionych w oparciu o umowy cywilnoprawne przetwarzane są przede wszystkim w związku z dążeniem do zawarcia umowy i późniejszą jej realizacją tj. w oparciu o art. 6 ust. 1 lit. b RODO.

W przypadku gromadzenia danych osobowych pracowników istotną kwestią pozostaje, zgodnie z ostatnimi rekomendacjami Ministerstwa Rodziny, Pracy i Polityki Społecznej ws. przechowywania dokumentacji pracowniczej, konieczność pozyskiwania danych potrzebnych do zgłoszenia pracownika do ubezpieczeń społecznych z ZUS w odrębnym od kwestionariusza osobowego dokumencie, z uwagi na krótszy okres przechowywania od pozostałej dokumentacji pracowniczej. Pracodawca jest zobowiązany przechowywać akta osobowe pracowników zatrudnionych przed 1 stycznia 2019 r. przez okres 50 lat, natomiast zatrudnionych po 1 styczna 2019 r. przez okres 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Dane osobowe inne niż znajdujące się w aktach osobowych np. zbierane celem zgłoszenia pracownika do ubezpieczenia czy też pozyskane w związku z funkcjonującym u pracodawcy Zakładowym Funduszem Świadczeń Socjalnych będą przechowywane krócej, tj. przez okres 5 lat.

Dane osobowe współpracowników będą przechowywane przez okres trwania umowy oraz po jej zakończeniu przez okres dochodzenia ewentualnych roszczeń związanych z umową.

Marketing

REKLAMA

Przedsiębiorcy korzystają z różnych form marketingu celem promowania swoich usług i pozyskiwania klientów. Najpopularniejszymi formami są e-mail marketing (newsletter), telemarketing, eventy oraz konkursy. Najbardziej problematyczną kwestią w procesie marketingu jest zazwyczaj brak zgody osoby fizycznej na formę marketingu, czyli wysyłkę maili, smsów, czy też kontakt telefoniczny. W przypadku organizowania różnych eventów administratorzy zmagają się również z zagadnieniem przetwarzania i rozpowszechniania wizerunku uczestników wydarzenia. Są to zagadnienia, które zawsze muszą zostać poddane analizie przez administratora, gdyż bez pozyskania stosowanych zgód przedsiębiorca będzie narażony nie tylko na odpowiedzialność z zakresu RODO, ale także ustaw szczególnych tj. prawo telekomunikacyjne, ustawa o świadczeniu usług drogą elektroniczną, czy też ustawa o prawie autorskim i prawach pokrewnych.

Sporo wątpliwości pojawia się również w zakresie e-mail marketingu kierowanego przez administratora do osób fizycznych, których dane osobowe pozyskał on kupując bazę danych. Administratorzy często bowiem zapominają o konieczności zweryfikowania czy zbywca bazy posiada ważną podstawę prawną przetwarzania zgromadzonych w niej danych osób fizycznych.

Ofertowanie

W przypadku, w którym potencjalny klient sam wyrazi zainteresowanie naszym produktem i poprosi o dodatkowe informacje (np. uzupełniając nasz formularz ofertowy na stronie www), podstawą prawną przetwarzania będzie art. 6 ust. 1 lit. b RODO (lub art. 6 ust. 1 lit. f RODO w stosunku do danych pracowników/przedstawicieli naszego potencjalnego klienta). Natomiast kontakt z klientem, który nie złożył samodzielnie zapytania ofertowego, należy zakwalifikować jako formę działań marketingowych. Zgodnie z motywem 47 Preambuły do RODO podstawą prawną przetwarzania danych osobowych powinien być art. 6 ust. 1 lit. f RODO, gdzie prawnie uzasadnionym interesem jest kierowanie ofert/marketingu bezpośredniego do potencjalnych nabywców. Nie oznacza to jednak, że prawnie uzasadniony interes pojawia się automatycznie w każdej sytuacji - aby stwierdzić jego istnienie należy przeprowadzić tzw. „test równowagi”.

Okres przechowywania danych zebranych w procesie ofertowania zależy od tego, czy dojdzie do zawarcia umowy. Przy zawarciu umowy dane automatycznie „wpadną” do procesu sprzedaży, natomiast jeśli do zawarcia umowy nie dojdzie, dane powinny zostać albo usunięte niezwłocznie po ustaniu celu przetwarzania w postaci zakończenia procesu negocjacji, albo przetwarzane w dalszym ciągu do czasu wniesienia przez osobę fizyczną sprzeciwu wobec przetwarzania.

Kontrahenci i dostawcy

W niniejszym procesie najwięcej problemów przysparza administratorom wypełnienie obowiązków w związku z przetwarzaniem tzw. danych biznesowych, czyli imion, nazwisk, adresów e-mail, czy też numerów telefonów komórkowych pracowników, współpracowników oraz przedstawicieli kontrahentów. RODO nie wyłącza względem tych osób konieczności spełnienia obowiązku informacyjnego, który może zostać zamieszczony np. w umowie z kontrahentem. Dodatkowym zabezpieczeniem dla administratora jest zamieszczenie klauzuli informacyjnej, bądź jej skróconej wersji, w stopce e-mail pracowników.

Istotną kwestią jest również rzetelna weryfikacja swoich kontrahentów, dostawców, którym administrator powierza do przetwarzania dane osobowe. Proces weryfikacji może zostać przeprowadzony np. za pomocą ankiety sprawdzającej. Powinna ona zawierać pytania dotyczące przyjętych i stosowanych przez procesora zabezpieczeń technicznych i organizacyjnych, przyjętej dokumentacji z zakresu ochrony danych osobowych itp.

Autor: Agata Kłodzińska, Specjalista ds. ochrony danych, ODO 24. Aplikant adwokacki. Swoje zainteresowania koncentruje na obszarze szeroko pojętego prawa cywilnego i administracyjnego, w tym w szczególności na zagadnieniach związanych z ochroną danych osobowych. W ODO 24 zajmuje się przeprowadzaniem audytów, tworzeniem dokumentacji związanej z przetwarzaniem danych osobowych oraz sporządzaniem opinii prawnych. Audytor wiodący ISO/IEC 27001.

Barbara Matasek, Specjalista ds. ochrony danych, ODO 24. Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Polscy wykonawcy działający na rynku niemieckim powinni znać VOB/B

VOB/B nadal jest w Niemczech często stosowanym narzędziem prawnym. Jak w pełni wykorzystać zalety tego sprawdzonego zbioru przepisów, minimalizując jednocześnie ryzyko?

BCC ostrzega: firmy muszą przyspieszyć wdrażanie KSeF. Ustawa już po pierwszym czytaniu w Sejmie

Prace legislacyjne nad ustawą wdrażającą Krajowy System e-Faktur (KSeF) wchodzą w końcową fazę. Sejm skierował projekt nowelizacji VAT do komisji finansów publicznych, która pozytywnie go zaopiniowała wraz z poprawkami.

Zakupy w sklepie stacjonarnym a reklamacja. Co może konsument?

Od wielu lat obowiązuje ustawa o prawach konsumenta. W wyniku implementowania do polskiego systemu prawa regulacji unijnej, od 1 stycznia 2023 r. wprowadzono do tej ustawy bardzo ważne, korzystne dla konsumentów rozwiązania.

Ponad 650 tys. firm skorzystało z wakacji składkowych w pierwszym półroczu

Zakład Ubezpieczeń Społecznych informuje, że w pierwszym półroczu 2025 r. z wakacji składkowych skorzystało 657,5 tys. przedsiębiorców. Gdzie można znaleźć informacje o uldze?

REKLAMA

Vibe coding - czy AI zredukuje koszty tworzenia oprogramowania, a programiści będą zbędni?

Kiedy pracowałem wczoraj wieczorem nad newsletterem, do szablonu potrzebowałem wołacza imienia – chciałem, żeby mail zaczynał się od “Witaj Marku”, zamiast „Witaj Marek”. W Excelu nie da się tego zrobić w prosty sposób, a na ręczne przerobienie wszystkich rekordów straciłbym długie godziny. Poprosiłem więc ChatGPT o skrypt, który zrobi to za mnie. Po trzech sekundach miałem działający kod, a wołacze przerobiłem w 20 minut. Więcej czasu zapewne zajęłoby spotkanie, na którym zleciłbym komuś to zadanie. Czy coraz więcej takich zadań nie będzie już wymagać udziału człowieka?

Wellbeing, który naprawdę działa. Arłamów Business Challenge 2025 pokazuje, jak budować silne organizacje w czasach kryzysu zaangażowania

Arłamów, 30 czerwca 2025 – „Zaangażowanie pracowników w Polsce wynosi jedynie 8%. Czas przestać mówić o benefitach i zacząć praktykować realny well-doing” – te słowa Jacka Santorskiego, psychologa biznesu i społecznego, wybrzmiały wyjątkowo mocno w trakcie tegorocznej edycji Arłamów Business Challenge.

Nie uczą się i nie pracują. Polscy NEET często są niewidzialni dla systemu

Jak pokazuje najnowszy raport Polskiej Agencji Rozwoju Przedsiębiorczości, około 10% młodych Polaków nie uczy się ani nie pracuje. Kim są polscy NEET i dlaczego jest to realny problem społeczny?

Polska inwestycyjna zapaść – co hamuje rozwój i jak to zmienić?

Od 2015 roku stopa inwestycji w Polsce systematycznie spada. Choć może się to wydawać abstrakcyjnym wskaźnikiem makroekonomicznym, jego skutki odczuwamy wszyscy – wolniejsze tempo wzrostu gospodarczego, mniejszy przyrost zamożności, trudniejsza pogoń za Zachodem. Dlaczego tak się dzieje i czy można to odwrócić? O tym rozmawiali Szymon Glonek oraz dr Anna Szymańska z Polskiego Instytutu Ekonomicznego.

REKLAMA

Firma za granicą jako narzędzie legalnej optymalizacji podatkowej. Fakty i mity

W dzisiejszych czasach, gdy przedsiębiorcy coraz częściej stają przed koniecznością konkurowania na globalnym rynku, pojęcie optymalizacji podatkowej staje się jednym z kluczowych elementów strategii biznesowej. Wiele osób kojarzy jednak przenoszenie firmy za granicę głównie z próbą unikania podatków lub wręcz z działaniami nielegalnymi. Tymczasem, właściwie zaplanowana firma za granicą może być w pełni legalnym i etycznym narzędziem zarządzania obciążeniami fiskalnymi. W tym artykule obalimy popularne mity, przedstawimy fakty, wyjaśnimy, które rozwiązania są legalne, a które mogą być uznane za agresywną optymalizację. Odpowiemy też na kluczowe pytanie: czy polski przedsiębiorca faktycznie zyskuje, przenosząc działalność poza Polskę?

5 sprawdzonych metod pozyskiwania klientów B2B, które działają w 2025 roku

Pozyskiwanie klientów biznesowych w 2025 roku wymaga elastyczności, innowacyjności i umiejętnego łączenia tradycyjnych oraz nowoczesnych metod sprzedaży. Zmieniające się preferencje klientów, rozwój technologii i rosnące znaczenie relacji międzyludzkich sprawiają, że firmy muszą dostosować swoje strategie, aby skutecznie docierać do nowych odbiorców. Dobry prawnik zadba o zgodność strategii z przepisami prawa oraz zapewni ochronę interesów firmy. Oto pięć sprawdzonych metod, które pomogą w pozyskiwaniu klientów w obecnym roku.

REKLAMA