Jakie dane o pracownikach można publikować na tablicach informacyjnych? Jak legalnie przetwarzać wizerunek uczestników konferencji i eventów? Czy rodzic może uzyskać dostęp do nagrań z monitoringu w żłobku? Czy numer karty miejskiej to dane osobowe? Jak wygląda zatwierdzony przez EROD szablon umowy powierzenia? Czy pracodawca może wymagać podania wyniku testu na koronawirusa? Czy klienci Decathlona mają się czego obawiać? Jak bezpiecznie korzystać z zabawek… połączonych z internetem?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich dwóch tygodni.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Jakie dane o pracownikach można publikować na tablicach informacyjnych?
- po wejściu w życie RODO i jego wdrożeniu do kodeksu pracy konieczna była zmiana wielu dotychczasowych zachowań w firmach
- zawężono np. katalog danych umieszczanych w listach obecności czy w harmonogramach czasu pracy – tak aby nie uwzględniać w nich danych dotyczących absencji
- pracodawcy nadal jednak wywieszają na tablicach informacyjnych różne zawiadomienia kierowane do załogi – zdarza się, że w ten sposób działy bhp informują o osobach, którym kończą się badania okresowe, i co miesiąc wywieszają listy takich pracowników, zawierające jednak tylko imiona i nazwiska oraz terminy wykonania badań
- z kolei firmy produkcyjne wywieszają na tablicach informacyjnych profile kompetencyjne zatrudnionych wskazujące, np. kto ma uprawnienia do obsługi wózka widłowego, suwnicy itp., co pozwala brygadzistom na łatwiejsze zarządzanie zadaniami
- pojawia się jednak wątpliwość co do legalności takich praktyk
- UODO wskazuje, że w ten sposób nie wolno zamieszczać list osób, którym kończą się badania okresowe – można natomiast wskazać zatrudnionych mających szczególne uprawnienia, np. do obsługi wózka widłowego
Wizerunek uczestników konferencji i eventów
- przedsiębiorcy często wykorzystują wizerunek innych osób do prowadzenia działań marketingowych, czy relacjonowania konferencji, eventów, a również bardzo popularnych ostatnio webinariów i konferencji on-line oraz wydarzeń transmitowanych przez Internet
- wykorzystanie wizerunku regulują przepisy prawa autorskiego, na podstawie których rozpowszechnianie wizerunku wymaga zezwolenia (poza kilkoma sytuacjami) oraz – równolegle – przepisy RODO, które przewidują kilka podstaw przetwarzania danych osobowych
- zezwolenie z prawa autorskiego nie jest tożsame ze zgodą z RODO
- organizator, który chce zamieścić relację z wydarzenia, w której pojawi się wizerunek uczestników, powinien uzyskać od każdego uczestnika zezwolenie na rozpowszechnianie wizerunku na podstawie prawa autorskiego
- jeżeli uznamy, że korzystanie przez organizatora z wizerunku będzie wiązało się z przetwarzaniem danych osobowych należy dodatkowo znaleźć odpowiednią podstawę prawną
- oprócz przetwarzania na podstawie zgody w grę wchodzi także przetwarzanie niezbędne do wykonania umowy oraz przetwarzanie w ramach prawnie uzasadnionego interesu administratora
Źródło: https://www.prawo.pl/biznes/korzystanie-z-wizerunku-uczestnikow-konferencji-i-eventow,500627.html
Konsultacje projektu kodeksu postępowania dla oświaty
- wszystkie podmioty zainteresowane stosowaniem RODO w jednostkach oświatowych mogą wziąć udział w konsultacjach projektu kodeksu postępowania w tym sektorze
- projekt kodeksu został skierowany przez autora do konsultacji, a te trwają od 1 czerwca do 30 września 2020 r.
- aktualna treść projektu kodeksu jest dostępna na stronie internetowej: http://rodo-w-oswiacie.pl/kodeks-postepowania-calosc/
- UODO zachęca wszystkie zainteresowane osoby oraz podmioty do przekazywania autorowi wszelkich uwag oraz sugestii do treści projektu kodeksu bezpośrednio na adres e-mail: lub za pośrednictwem formularza kontaktowego, znajdującego się na stronie internetowej autora projektu kodeksu: http://rodo-w-oswiacie.pl/kontakt/
Źródło: https://uodo.gov.pl/pl/138/1554
Prawa podmiotów danych w kontekście wprowadzenia stanu wyjątkowego
- podczas 30. posiedzenia plenarnego Europejska Rada Ochrony Danych przyjęła oświadczenie dotyczące praw osób, których dane dotyczą, w kontekście wprowadzenia stanu wyjątkowego w państwach członkowskich
- EROD przypomina, że nawet w tych wyjątkowych czasach, ochrona danych osobowych musi być przestrzegana we wszystkich środkach nadzwyczajnych, przyczyniając się do poszanowania nadrzędnych wartości takich jak demokracja, praworządność i prawa podstawowe, na których opiera się Unia Europejska
- w swoim oświadczeniu EROD wskazała, że RODO nadal ma zastosowanie, a także umożliwia skuteczną odpowiedź na pandemię, chroniąc jednocześnie podstawowe prawa i wolności
- prawo o ochronie danych umożliwia operacje przetwarzania danych niezbędnych do walki z pandemią COVID-19
Źródło: https://uodo.gov.pl/pl/138/1556
Kina i teatry będą zbierać dane osobowe
- Ministerstwo Kultury i Dziedzictwa Narodowego opublikowało na swojej stronie internetowej wytyczne dla kin i teatrów, które mogą wznawiać działanie w okresie epidemii
- resort zaleca zbieranie danych osobowych widzów, umożliwiających łatwy kontakt z uczestnikami wydarzenia po jego zakończeniu
- zbieranie ich nie jest obligatoryjne, ale rekomendowane w miarę możliwości, tak by ułatwić służbom sanitarnym dochodzenie epidemiologiczne na wypadek wykrycia, że osoba zakażona brała udział w danym wydarzeniu
- dane takie powinny być przechowywane przez organizatora przez 2 tygodnie
Wyciek danych w Decathlonie
- portal Niebezpiecznik.pl zajmujący się tematem cyberbezpieczeństwa poinformował o wycieku danych klientów sieci Decathlon
- wyciek nie dotyczy wszystkich klientów, gdyż dane logowania wskazują na pobranie raportu z okresu od lutego do kwietnia i to tylko i wyłącznie tych klientów, do których Decathlon wysyłał komunikaty marketingowe jako SMS-y
- nie wiadomo ilu jest poszkodowanych – portal pisze jednak o kilkunastu tysiącach czytelników, które otrzymały komunikat Decathlonu o wycieku
- Decathlon poinformował również, że po otrzymaniu w dniu 29 maja 2020 r. potwierdzenia wystąpienia zdarzenia firma zgłosiła incydent do Prezesa Urzędu Ochrony Danych Osobowych w celu podjęcia stosownych działań ochronnych
Źródło: https://niebezpiecznik.pl/post/wyciek-danych-klientow-decathlon/
Pracodawca nie może wymagać wyniku testu na koronawirusa
- przepisy o ochronie danych osobowych oraz ich interpretacja przez UODO utrudniają pracodawcom przeciwdziałanie epidemii COVID-19, bowiem co do zasady pracodawca nie ma prawa legalnie pozyskiwać i wykorzystywać informacji o ewentualnym zakażeniu pracownika w celu podjęcia działań chroniących resztę załogi
- w ocenie UODO informacje o stanie zdrowia należą do danych, które są objęte szczególną ochroną i pomimo tego, że można je przetwarzać za zgodą osoby, której dotyczą, to jednak nie dotyczy to w sfery zatrudnienia (relację pracodawca – pracownik charakteryzuje nierówność stron, gdzie przewagę ma ten pierwszy, dlatego też wątpliwe jest, że zgoda zatrudnionego stanowi podstawę dla pracodawcy do zapoznania się z wynikiem testu)
- art. 22(1)b § 1 Kodeksu pracy wskazuje, że w przypadku sensytywnych danych, w tym o stanie zdrowia, zgoda pracownika może być podstawą przetwarzania wyłącznie w przypadku, gdy przekazanie informacji następuje z inicjatywy zatrudnionego
- gdy pracodawca organizuje i finansuje zakup oraz przeprowadzenie testów na obecność wirusa SARS-CoV-2, należy uznać, że następuje to z inicjatywy pracodawcy, a nie pracownika
- pracodawca może na tej podstawie przeprowadzać testy i zapoznawać się z ich wynikami, jeśli otrzyma decyzję GIS – w ocenie wielu ekspertów to jedyny sposób na pozyskiwanie takich informacji o stanie zdrowia pracownika
EROD akceptuje wzór umowy powierzenia
- Europejska Rada Ochrony Danych Osobowych zaakceptowała pierwszy wzór umowy powierzenia przetwarzania
- zatwierdzone wzory stanowiły propozycję duńskiego organu ochrony danych osobowych (Duńskiej Agencji Ochrony Danych)
- wzory w polskiej wersji językowej można znaleźć pod linkiem: https://edpb.europa.eu/our-work-tools/our-documents/decision-sa/dk-sa-standard-contractual-clauses-purposes-compliance-art_pl
Numer karty miejskiej jako dane osobowe
- UODO wskazuje, że numer karty miejskiej może stanowić dane osobowe
- numer karty miejskiej będzie stanowił dane osobowe wyłącznie dla osób, które na jego podstawie mogą ustalić tożsamość właściciela karty – takimi osobami będą np. pracownicy przewoźnika
- dla zwykłego obywatela, który ma dostęp do karty miejskiej jedynie z samym jej numerem, ustalenie tożsamości jej właściciela wymaga jednak pewnego czasu i działań, stąd też nie będzie stanowił danych osobowych
Źródło: https://twitter.com/UODOgov_pl/status/1268862311512580096/photo/1
UODO: bez umowy powierzenia z laboratorium
- zgodnie z art. 11 ustawy o działalności leczniczej badania diagnostyczne zostały zaliczone do szczególnego rodzaju działalności leczniczej, jakim jest ambulatoryjne świadczenie zdrowotne
- bliższa charakterystyka tej działalności zawarta jest w ustawie o diagnostyce laboratoryjnej
- w celu wykonywania badań diagnostycznych podmioty świadczące takie usługi przetwarzają dane osobowe osób, od których pochodzi materiał do tych badań – dane te pozyskiwane są bezpośrednio od osób, których dotyczą lub też z innych źródeł, np. od szpitali, które zlecają tym podmiotom wykonywanie badań próbek pobranych od swoich pacjentów
- przetwarzając powyższe dane osobowe, laboratorium diagnostyczne realizuje swoje własne zadania
- powyższe pozwala zasadnie przyjąć, że w przypadku gdy np. szpital zleca przeprowadzenie badań podmiotowi świadczącemu usługi z zakresu diagnostyki laboratoryjnej, podmiot ten przetwarza pozyskane w tym celu dane osobowe dla realizacji własnych zadań
- w takiej sytuacji mamy zatem do czynienia z udostępnieniem danych osobowych na rzecz odrębnego administratora
- tym samym nie ma podstaw do zawarcia umowy powierzenia przetwarzania danych osobowych
Źródło: https://uodo.gov.pl/pl/225/1552
ZFODO: Mierzenie temperatury w celu zapobiegania COVID-19
- ze względu na obowiązujący stan zagrożenia epidemiologicznego związany z pandemią COVID-19, wielu przedsiębiorców wprowadziło lub zamierza wprowadzić środki bezpieczeństwa w postaci mierzenia temperatury pracowników oraz ewentualnie innych osób pojawiających się w zakładzie pracy (klientów, dostawców, gości)
- analizując aktualnie obowiązujący stan prawny obserwujemy istotny problem praktyczny w tym zakresie
- wprowadzone dotychczas regulacje prawne oraz wydane wytyczne i stanowiska nie zawierają jednolitych, niebudzących wątpliwości zasad postępowania w omawianym zakresie
- wspólnie z innymi firmami zrzeszonymi w Związku Firm Ochrony Danych Osobowych wypracowaliśmy stanowisko dotyczące możliwości mierzenia temperatury w celu zapobiegania rozprzestrzeniania się COVID-19
- całe stanowisko dostępne jest pod linkiem: https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-mierzenia-temperatury-w-celu-zapobiegania-rozprzestrzenianiu-sie-covid-19/
Ubezpieczenie zdrowotne, a obowiązek informacyjny
- UODO wskazuje, że ponieważ pozyskiwanie danych członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego odbywa się na podstawie przepisów prawa, które zapewniają odpowiednią ochronę ich praw, pracodawca może skorzystać ze zwolnienia z dopełniania wobec nich obowiązku informacyjnego
- przepisy ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych przesądzają, które osoby podlegają obowiązkowi ubezpieczenia zdrowotnego oraz stanowią też w jakich terminach obowiązek ten powstaje i jak należy go dopełnić
- przetwarzanie danych członka rodziny w zgłoszeniu do ubezpieczenia jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli pracodawcy-płatniku (art. 6 ust. 1 lit. c RODO)
- pozyskiwanie danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą – spełniona jest zatem wskazana w art. 14 ust. 5 lit. c RODO przesłanka uprawniająca do odstąpienia od obowiązku dopełniania obowiązku informacyjnego wobec osób, których dane są pozyskiwane w sposób inny niż bezpośrednio od nich
Źródło: https://uodo.gov.pl/pl/138/1543
Monitoring wizyjny w mieszkaniu rodziny sprawującej pieczę zastępczą
- procedury związane z wykorzystaniem monitoringu wizyjnego przez osoby sprawujące pieczę zastępczą tj. opiekę nad dziećmi w przypadku niemożności zapewnienia jej przez rodziców, nie są jednolite i budzą wiele wątpliwości – Prezes UODO skierował wystąpienie do Ministra Rodziny, Pracy i Polityki Społecznej w sprawie uregulowania tej kwestii
- przetwarzanie danych osobowych z wykorzystywaniem monitoringu wizyjnego, zdaniem UODO, powinno odbywać się z poszanowaniem zasad wynikających z RODO
- osoby sprawujące pieczę zastępczą nie są wyłączone ze stosowania RODO – w ich wypadku nie można zastosować wyłączenia, które dotyczy sytuacji gdy dane osobowe przetwarza osoba fizyczna w ramach czynności o osobistym lub domowym charakterze
- są one administratorami i, wykorzystując monitoring wizyjny, powinni dysponować przesłanką do przetwarzania danych osobowych
- wykorzystywanie monitoringu wizyjnego wewnątrz budynku, w którym sprawowana jest piecza np. w mieszkaniu rodziny sprawującej pieczę, może stanowić bezprawną ingerencję w życie dziecka
- organ nadzorczy dostrzega potrzebę stworzenia przepisów prawa, które określiłyby jednolite zasady wykorzystywania monitoringu wizyjnego w pieczy zastępczej, w tym m.in.: obszary w placówkach, które mogłyby zostać objęte monitoringiem, cel wykorzystywania monitoringu, okres przechowywania zgromadzonego z nagrań materiału
Źródło: https://uodo.gov.pl/pl/138/1544
Dostęp rodziców do danych z nagrań monitoringu w żłobku
- do UODO wpływają pytania dotyczące możliwości udostępniania rodzicom dzieci uczęszczających do żłobków i klubów dziecięcych danych osobowych zawartych na nagraniach z monitoringu wizyjnego działającego w tych placówkach
- ponieważ udostępnianie danych jest jedną z form ich przetwarzania, żeby było legalne również musi odbywać się po spełnieniu przynajmniej jednej przesłanki wymienionej we wskazanych art. 6 i 9 RODO
- istotne jest, by rodzice, chcąc uzyskać dostęp do danych zawartych w nagraniach z monitoringu, indywidualny wniosek składany do dyrektora placówki odpowiednio sformułowali i umotywowali, tj. przede wszystkim wskazali zakres danych, które chcą pozyskać, oraz cel ich pozyskania.
- dyrektor będzie mógł ocenić, czy ma podstawę uprawniającą go do udostępnienia danych zawartych w nagraniu
Źródło: https://uodo.gov.pl/pl/138/1547
Zabawki połączone z Internetem
- zabawki łączące się z Internetem stają się coraz bardziej popularne wśród dzieci w różnym wieku – UODO podpowiada rodzicom na co zwrócić uwagę przed zakupem zabawki i jak prawidłowo ją zabezpieczyć, aby nie zagrażała prywatności dziecka:
- upewnij się, że zabawka nie pozwala nikomu się z nią połączyć
- sprawdź, jakie dane pobiera producent zabawki
- zmień ustawienia domyślne dostępu do zabawki i podaj
- dokładnie przeczytaj regulamin dotyczący ochrony danych osobowych i warunki użytkowania
- sprawdź, w jaki sposób można wyłączyć mikrofon czy kamerę
- zweryfikuj, czy zabawka posiada zabezpieczenia uniemożliwiające osobom trzecim dostęp do mikrofonu lub kamery
- poinformuj dziecko o wszystkich funkcjonalnościach zabawki
- zwróć szczególną uwagę, gdzie dziecko bawi się zabawką
- wyłączaj zabawkę, gdy nie jest używana
- upewnij się, że zapisane dane mogą zostać usunięte
Źródło: https://uodo.gov.pl/pl/138/1548
Kamery termowizyjne nie zawsze dopuszczalne
- pandemia koronawirusa zainspirowała wiele pomysłów w obszarze nowych technologii, w tym mających na celu jak najdalej idącą ochronę osób fizycznych przed ryzykiem zakażenia COVID-19
- przedsiębiorcy rozważają m.in. coraz szersze wykorzystywanie kamer termowizyjnych, czyli specjalistycznych urządzeń umożliwiających pomiar temperatury ciała w miejscach odwiedzanych przez znaczną liczbę osób, w których istnieje wysokie ryzyko zakażenia, w tym w galeriach handlowych, w punktach komunikacyjnych (np. na dworcach) lub w szpitalach
- pojawiają się jednak wątpliwości co do zgodności podobnych praktyk z RODO
- Kamery termowizyjne w większości są wyposażone w funkcję zapisywania obrazu – oznacza to, że istnieje możliwość zapisywania w tych urządzeniach danych obejmujących wizerunek osoby fizycznej wraz z jej temperaturą ciała
- w takich przypadkach dojdzie do przetwarzania danych osób fizycznych, w tym danych o ich stanie zdrowia
- zanim przedsiębiorca zainstaluje urządzenia do pomiaru temperatury, np. w sklepach, musi wystąpić o wydanie decyzji lub zaleceń potwierdzających dopuszczalność ich użycia w konkretnym miejscu przez GIS
Wizualizacja kar RODO
- Przez dwa lata obowiązywania RODO za naruszenie jego przepisów w EOG łącznie nałożono już 463 kary
- łączna suma kar wynosi €157.655.923,28 (ok. 674.672.758,09 zł)
- autorem wizualizacji jest Adam Klimowski
Źródło: https://twitter.com/adamklimowski/status/1264920446169989122/photo/1
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 01.06.2020
Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.