REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO?

Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO? /fot. Shutterstock
Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO? /fot. Shutterstock

REKLAMA

REKLAMA

W ferworze wszystkich działań związanych z przygotowaniem do kontroli nie można zapomnieć o tym, co jest głównym przedmiotem zainteresowania pracowników Urzędu Ochrony Danych Osobowych, czyli o procesach przetwarzania danych osobowych realizowanych przez administratorów. Kluczowymi zagadnieniami spośród najważniejszych procesów, które zazwyczaj występują w organizacjach są: rekrutacja, zatrudnienie, marketing, ofertowanie i przetwarzanie danych kontrahentów.

Rekrutacja

Podstawowym obowiązkiem administratora jest zapewnienie, aby do przetwarzania dochodziło w oparciu o prawidłową podstawę prawną przetwarzania. Dane kandydatów do pracy przetwarzamy w oparciu o: obowiązek prawny ciążący na administratorze (wynikający z art. 221 Kodeksu pracy, a także z ustaw szczególnych – przykładowo art. 10 ust. 8a Karty nauczyciela nakłada obowiązek przedstawienia dyrektorowi szkoły informacji z KRK) i zgodę kandydata (dot. danych innych niż niezbędne do przeprowadzenia rekrutacji, takich jak wizerunek kandydata czy referencje od byłych pracodawców). Należy pamiętać, że zgoda na przetwarzanie danych osobowych powinna:

REKLAMA

1) wskazywać administratora danych i cel przetwarzania,

2) precyzować zakres danych, których dotyczy,

3) odnosić się do konkretnego celu (każdy cel przetwarzania danych = odrębna zgoda).

Ponadto fundamentalnym aspektem zgodnego z RODO przetwarzania jest prawidłowe spełnienie obowiązku informacyjnego (zarówno jeśli chodzi o treść, jak i moment spełnienia – tu kluczowe jest rozróżnienie na art. 13 i art. 14 RODO). Natomiast z punktu widzenia zakończenia przetwarzania, szczególną uwagę trzeba poświęcić okresowi przechowywania danych – według UODO w rekrutacji dane kandydatów powinny być usunięte niezwłocznie po zakończeniu rekrutacji, a w przypadku rekrutacji przyszłych UODO jako przykładowy okres wskazuje 9 miesięcy (natomiast nie wyklucza uzasadnionego wydłużenia tego okresu).

Dalszy ciąg materiału pod wideo

Polecamy: Przewodnik po zmianach przepisów 2019/2020

Zatrudnienie

REKLAMA

W procesie zatrudnienia ustalenie podstawy prawnej przetwarzania z reguły nie jest kwestią problematyczną. W przypadku pracowników co do zasady przesłanką przetwarzania będzie art. 6 ust. 1 lit. c RODO, czyli obowiązek wynikający z przepisu prawa. Z kolei dane osób zatrudnionych w oparciu o umowy cywilnoprawne przetwarzane są przede wszystkim w związku z dążeniem do zawarcia umowy i późniejszą jej realizacją tj. w oparciu o art. 6 ust. 1 lit. b RODO.

W przypadku gromadzenia danych osobowych pracowników istotną kwestią pozostaje, zgodnie z ostatnimi rekomendacjami Ministerstwa Rodziny, Pracy i Polityki Społecznej ws. przechowywania dokumentacji pracowniczej, konieczność pozyskiwania danych potrzebnych do zgłoszenia pracownika do ubezpieczeń społecznych z ZUS w odrębnym od kwestionariusza osobowego dokumencie, z uwagi na krótszy okres przechowywania od pozostałej dokumentacji pracowniczej. Pracodawca jest zobowiązany przechowywać akta osobowe pracowników zatrudnionych przed 1 stycznia 2019 r. przez okres 50 lat, natomiast zatrudnionych po 1 styczna 2019 r. przez okres 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Dane osobowe inne niż znajdujące się w aktach osobowych np. zbierane celem zgłoszenia pracownika do ubezpieczenia czy też pozyskane w związku z funkcjonującym u pracodawcy Zakładowym Funduszem Świadczeń Socjalnych będą przechowywane krócej, tj. przez okres 5 lat.

Dane osobowe współpracowników będą przechowywane przez okres trwania umowy oraz po jej zakończeniu przez okres dochodzenia ewentualnych roszczeń związanych z umową.

Marketing

REKLAMA

Przedsiębiorcy korzystają z różnych form marketingu celem promowania swoich usług i pozyskiwania klientów. Najpopularniejszymi formami są e-mail marketing (newsletter), telemarketing, eventy oraz konkursy. Najbardziej problematyczną kwestią w procesie marketingu jest zazwyczaj brak zgody osoby fizycznej na formę marketingu, czyli wysyłkę maili, smsów, czy też kontakt telefoniczny. W przypadku organizowania różnych eventów administratorzy zmagają się również z zagadnieniem przetwarzania i rozpowszechniania wizerunku uczestników wydarzenia. Są to zagadnienia, które zawsze muszą zostać poddane analizie przez administratora, gdyż bez pozyskania stosowanych zgód przedsiębiorca będzie narażony nie tylko na odpowiedzialność z zakresu RODO, ale także ustaw szczególnych tj. prawo telekomunikacyjne, ustawa o świadczeniu usług drogą elektroniczną, czy też ustawa o prawie autorskim i prawach pokrewnych.

Sporo wątpliwości pojawia się również w zakresie e-mail marketingu kierowanego przez administratora do osób fizycznych, których dane osobowe pozyskał on kupując bazę danych. Administratorzy często bowiem zapominają o konieczności zweryfikowania czy zbywca bazy posiada ważną podstawę prawną przetwarzania zgromadzonych w niej danych osób fizycznych.

Ofertowanie

W przypadku, w którym potencjalny klient sam wyrazi zainteresowanie naszym produktem i poprosi o dodatkowe informacje (np. uzupełniając nasz formularz ofertowy na stronie www), podstawą prawną przetwarzania będzie art. 6 ust. 1 lit. b RODO (lub art. 6 ust. 1 lit. f RODO w stosunku do danych pracowników/przedstawicieli naszego potencjalnego klienta). Natomiast kontakt z klientem, który nie złożył samodzielnie zapytania ofertowego, należy zakwalifikować jako formę działań marketingowych. Zgodnie z motywem 47 Preambuły do RODO podstawą prawną przetwarzania danych osobowych powinien być art. 6 ust. 1 lit. f RODO, gdzie prawnie uzasadnionym interesem jest kierowanie ofert/marketingu bezpośredniego do potencjalnych nabywców. Nie oznacza to jednak, że prawnie uzasadniony interes pojawia się automatycznie w każdej sytuacji - aby stwierdzić jego istnienie należy przeprowadzić tzw. „test równowagi”.

Okres przechowywania danych zebranych w procesie ofertowania zależy od tego, czy dojdzie do zawarcia umowy. Przy zawarciu umowy dane automatycznie „wpadną” do procesu sprzedaży, natomiast jeśli do zawarcia umowy nie dojdzie, dane powinny zostać albo usunięte niezwłocznie po ustaniu celu przetwarzania w postaci zakończenia procesu negocjacji, albo przetwarzane w dalszym ciągu do czasu wniesienia przez osobę fizyczną sprzeciwu wobec przetwarzania.

Kontrahenci i dostawcy

W niniejszym procesie najwięcej problemów przysparza administratorom wypełnienie obowiązków w związku z przetwarzaniem tzw. danych biznesowych, czyli imion, nazwisk, adresów e-mail, czy też numerów telefonów komórkowych pracowników, współpracowników oraz przedstawicieli kontrahentów. RODO nie wyłącza względem tych osób konieczności spełnienia obowiązku informacyjnego, który może zostać zamieszczony np. w umowie z kontrahentem. Dodatkowym zabezpieczeniem dla administratora jest zamieszczenie klauzuli informacyjnej, bądź jej skróconej wersji, w stopce e-mail pracowników.

Istotną kwestią jest również rzetelna weryfikacja swoich kontrahentów, dostawców, którym administrator powierza do przetwarzania dane osobowe. Proces weryfikacji może zostać przeprowadzony np. za pomocą ankiety sprawdzającej. Powinna ona zawierać pytania dotyczące przyjętych i stosowanych przez procesora zabezpieczeń technicznych i organizacyjnych, przyjętej dokumentacji z zakresu ochrony danych osobowych itp.

Autor: Agata Kłodzińska, Specjalista ds. ochrony danych, ODO 24. Aplikant adwokacki. Swoje zainteresowania koncentruje na obszarze szeroko pojętego prawa cywilnego i administracyjnego, w tym w szczególności na zagadnieniach związanych z ochroną danych osobowych. W ODO 24 zajmuje się przeprowadzaniem audytów, tworzeniem dokumentacji związanej z przetwarzaniem danych osobowych oraz sporządzaniem opinii prawnych. Audytor wiodący ISO/IEC 27001.

Barbara Matasek, Specjalista ds. ochrony danych, ODO 24. Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Autopromocja

REKLAMA

Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Informacja o zaległości w ZUS na 0,01 zł wysyłana jest listem poleconym, a najwięksi gracze nie płacą milionowych zadłużeń

    Zadłużenie aktywnych płatników w ZUS rośnie. Rekordzista wśród aktywnych płatników jest zadłużony na ponad 822 mln zł. Czy ZUS może sam zmieniać przepisy? 

    Według danych udostępnionych przez ZUS, na koniec 2023 roku maksymalna kwota zadłużenia aktywnego płatnika wyniosła przeszło 822 mln zł. Rok wcześniej była o 3,5 mln zł mniejsza. Wśród komentujących te dane ekspertów nie brakuje opinii, że dopuszczenie do takiej sytuacji jest skandalem. Z kolei Zakład przekonuje, że sam nie może zmieniać przepisów. Jednak według znawców tematu, ZUS ma odpowiednie narzędzia do ściągania należności i nawet niewielkie kwoty są skutecznie egzekwowane od przedsiębiorców. Do tego po danych widać, że średnie zadłużenie aktywnych płatników wzrosło rok do roku o ponad 3 tys. zł, tj. do wartości blisko 31 tys. zł.

    Czy trzeba płacić ZUS gdy działalność gospodarczą się zawiesi, czy przerwę w biznesie można zrobić tylko raz w roku czy wiele razy

    Działalność gospodarczą wpisaną do CEIDG można zawiesić pod warunkiem, że nie zatrudnia się pracowników. Dlatego co do zasady nie trzeba dodatkowo załatwiać formalności w ZUS.

    Przestępstwa finansowe. Zorganizowane grupy zajmują się praniem brudnych pieniędzy i korumpowaniem urzędników: co trzeba wiedzieć

    Korupcja, pranie pieniędzy, wyłudzenia, ataki hakerskie – to realne zagrożenia XXI wieku. Obecnie przestępczość finansowa, cyberprzestępczość oraz nowoczesne technologie są mocno ze sobą związane.

    Jak jeździć ekologicznie i oszczędnie. Pięć zasad sprawdzonych w praktyce i zalecanych każdej firmie transportowej

    W dobie rosnących kosztów firm transportowych i spowolnienia gospodarczego ekonomiczna jazda przestała być zjawiskiem sporadycznym, a stała się koniecznością i jednym ze sposobów na redukcję wydatków. Jakie są więc najważniejsze zasady ekonomicznej jazdy? 

    REKLAMA

    Zboża ozime wiosną - jak nawozić dolistnie. 5 kluczowych wskazówek

    Jedną z najefektywniejszych form pielęgnacji (dokarmiania) zbóż ozimych wiosną jest nawożenie dolistne. Dobrze przemyślane działania agrotechniczne wraz z odpowiednim wyborem samego nawozu to korzyść dla roślin, a przede wszystkim dla rolnika. 

    Wakacje składkowe – zmiany w projekcie nowelizacji

    Na stronie Rządowego Centrum Legislacji (RCL) została opublikowana nowa wersja projektu nowelizacji ustawy o systemie ubezpieczeń społecznych, która wprowadza tzw. wakacje składkowe. Przewiduje ona m.in. zmiany w zakresie podmiotów uprawnionych do takiej ulgi.

    Firma, która dopuściła do wycieku danych jej klientów traci renomę a także chętnych na zakup jej produktów

    Firmy pracują nad rozwojem marki i jej rozpoznawalnością wiele lat, po czym jedno fatalne zdarzenia burzy cały ten wysiłek. Takim incydentem w naszych czasach jest przede wszystkim wyciek danych klientów. Straconej w ten sposób reputacji marka nie jest w stanie odbudować.

    Zdaniem ZUS należy opłacać składki od wynagrodzenia wspólnika sp. z o.o. za czynności wykonywane na rzecz spółki

    ZUS w swoich najnowszych interpretacjach stwierdził, że wspólnik sp. z o.o., który za czynności wykonywane na rzecz spółki (tj. czynności określone w umowie spółki), bez zawierania ze spółką odrębnej umowy cywilnoprawnej otrzymuje wynagrodzenie, będzie objęty ubezpieczeniami społecznymi z tego tytułu jako zleceniobiorca.

    REKLAMA

    ARiMR - ostatnie 2 dni na wnioski o dofinansowanie ubezpieczenia zwierząt!

    Zostały ostatnie 2 dni dla rolników na złożenie wniosków o zwrot części kosztów ubezpieczenia zwierząt. Kto może złożyć wniosek o dofinansowanie?

    AI Act zatwierdzony. Kiedy wejdzie w życie? 5 wniosków, które są szczególnie ważne dla firm z sektora biomedycznego

    Znamy już finalny, zaakceptowany przez państwa członkowskie draft AI Act – unijnej ustawy o Sztucznej Inteligencji. Jaki wpływ wywrze ona na działalność firm z sektora biomedycznego? Prezentujemy 5 najważniejszych wniosków. 

    REKLAMA