Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Bezpieczeństwo danych osobowych kontrolowane przez… PIP

14 grudnia 2012 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych podpisało porozumienie z Państwową Inspekcją Pracy. Na mocy porozumienia, PIP zawiadomi GIODO o “stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych“. Porozumienie na samym początku obowiązywało raczej na papierze

– w końcu inspektorzy PIP nie są ekspertami z zakresu ochrony danych osobowych. Sytuacja zmieniła się diametralnie, kiedy w ostatnim czasie GIODO zaczął wywiązywać się z kolejnego zapisu przewidzianego przez porozumienia. GIODO rzeczywiście podjął na szeroką skalę “działania mające na celu podnoszenie kwalifikacji jej pracowników [PIP – przy. autora], w tym współpracę przy opracowywaniu programów szkoleń, wymianę wykładowców, zapewnienie pracownikom, w miarę zgłaszanych potrzeb i możliwości, udziału w kursach i szkoleniach“. No dobrze, ale co właściwie to porozumienie oznacza dla instytucji i przedsiębiorców przetwarzających dane osobowe?

Większe ryzyko kontroli procesów przetwarzania danych osobowych

Podstawową konsekwencją podpisania przedmiotowego porozumienia pomiędzy GIODO i PIP jest znaczny wzrost ryzyka przeprowadzenia kontroli zgodności przetwarzania danych osobowych z polskim prawem. O ile GIODO przeprowadza rocznie ok. 200 kontroli W CAŁEJ POLSCE, to PIP tylko w roku 2012, w samych Katowicach przeprowadziła prawie 11 000 kontroli! W całej Polsce, w jednym tylko roku 2012 PIP przeprowadziła 90 000 kontroli (dane z http://www.pip.gov.pl ). Jak widać, jest to ogromna różnica. Warto podkreślić tu ponownie, że inspektorzy PIP, nawet po przeszkoleniu nie są ekspertami w dziedzinie ochrony danych osobowych. Dlatego, w tym zakresie kontrola tej instytucji będzie znacznie bardziej pobieżna, niż inspekcja GIODO. I tak, inspektor PIP sprawdzi np.  czy w kontrolowanym podmiocie funkcjonuje wymagana prawem dokumentacja (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemami Informatycznymi), ale nie będzie już zagłębiał się w jej szczegółowe zapisy. Inspektor PIP sprawdzi, czy w ogóle nadawane i ewidencjonowane są upoważnienia do przetwarzania, nie będzie natomiast ich szczegółowo analizował. Podobnie będzie z wnioskami rejestracyjnymi, czy np. wyznaczeniem ABI. Inspektorzy sprawdzą czy wymóg jest spełniony, nie będą wnikać w szczegóły.

Jak twierdzi rzecznik prasowy PIP Pani Danuta Rutkowska, najczęstsze uchybienia z zakresu ochrony danych osobowych wykrywane do tej pory przez inspektorów PIP, to: żądanie przez firmy od kandydatów do pracy zaświadczeń o niekaralności, zastrzeżenia co do wprowadzania monitoringu w firmie, kontroli poczty elektronicznej i rozmów telefonicznych prowadzonych w związku z wykonywanymi obowiązkami.

GIODO skontroluje przestrzeganie przez pracodawcę prawa pracy

Pamiętajmy, że porozumienie działa w obie strony. Nie tylko PIP będzie przyglądał się bezpieczeństwu danych osobowych, ale również GIODO przyjrzy się respektowaniu prawa pracy przez kontrolowaną instytucję. Jak podkreśla Dr Wojciech Rafał Wiewiórowski (GIODO) “Kiedy sprawdzamy działania podejmowane przez przedsiębiorcę, ale również instytucje publiczne, możemy dojść do wniosku, że niektóre z nich nie mają wprawdzie charakteru naruszającego ustawę o ochronie danych osobowych, ale mogą naruszać inne uprawnienia pracowników. W tej sytuacji powinniśmy informować Państwową Inspekcję Pracy. Chodzi nam także o koordynację kontroli, tak żeby nie dochodziło do sytuacji, w której ta sama rzecz jest kontrolowana przez PIP i przez GIODO, raz po razie.” (źródło: http://www.biznes.newseria.pl/news/dwie_inspekcje_jedna,p1071134628)

1370414494

Jednolita wykładnia przepisów prawa

I na koniec jedna dobra informacja dla wszystkich przedsiębiorstw i instytucji przetwarzających dane osobowe. W porozumieniu GIODO – PIP pojawiają się zapisy, które mają na celu także wymianę doświadczeń, np. poprzez wspólne szkolenia czy wymianę wykładowców. Jest to bardzo istotne, ponieważ przez ilość i stopień zawiłości przepisów prawa jego interpretacja nie zawsze jest oczywista dla każdej z tych instytucji. Podpisanie porozumienia ma więc wpłynąć na stworzenie jednolitej wykładni przepisów dotyczących prawa do prywatności pracowników przez obydwa urzędy.

Dr Wojciech Rafał Wiewiórowski podaje tutaj przykład wykorzystywania przez pracodawcę danych biometrycznych: “istnieje przekonanie, że GIODO nie dopuszcza zbierania danych biometrycznych od pracowników, co nie jest do końca prawdą. Nie dopuszczamy tego na potrzeby rozliczenia czasu pracy czy innych obowiązków, wynikających z Kodeksu pracy. Choć mogą też istnieć uzasadnione powody, związane z bezpieczeństwem, które powodują, że jest to możliwe. Jest to dozwolone, na przykład tam, gdzie chodzi o ochronę pomieszczenia albo konkretnego zasobu, który w tym pomieszczeniu się znajduje“.

Łukasz Zegarek

Powiązane artykuły

Czy adres IP to informacja zawierająca dane osobowe?
Fakty i mity na temat obowiązków rejestracyjnych względem GIODO – kogo i co zgłaszamy?
Dane osobowe w CEIDG – nowelizacja ustawy o swobodzie działalności gospodarczej

Zostaw odpowiedź