Jest to trzecia część artykułu - poradnika poświęconego stosowaniu obowiązków informacyjnych zgodnych z RODO.

Z trzeciej części dowiesz się jakie są zwolnienia ze stosowania obowiązków informacyjnych.

Poniżej lista poprzednich artykułów:

Zwolnienia z obowiązku informacyjnego 

RODO wskazuje sytuacje, w których administrator jest zwolniony z realizacji obowiązku informacyjnego względem osób, których dane przetwarza. Katalog tych sytuacji, jest katalogiem zamkniętym i różni się w zależności od tego z jakim sposobem, pierwotnym czy wtórnym, gromadzenia danych mamy do czynienia.

Zbieranie danych, od osoby, której dane dotyczą

Przypadki zwolnienia:

- gdy i w zakresie, w jakim osoba, której dane dotyczą, dysponuje już informacjami

Jedyny wyjątek od obowiązku informacyjnego w przypadku pierwotnego gromadzenia danych, który przewiduje RODO, odnosi się do sytuacji, w której osoba, której dane dotyczą, dysponuje już wskazanymi w art. 13 ust. 1 i 2 informacjami. Dodatkowo, wyjątek ten, dotyczy wyłącznie takiego zakresu informacji, jakie dana osoba już posiada. W praktyce może się to wiązać z tym, że w niektórych sytuacjach ograniczenie obowiązku informacyjnego dotyczyć będzie nie wszystkich lecz tylko poszczególnych kategorii informacji.

Z uwagi na dość szeroki zakres obowiązku informacyjnego, który przewiduje RODO, trudno wyobrazić sobie w praktyce sytuację, kiedy podmiot danych rzeczywiście będzie dysponował wszystkimi informacjami dotyczącymi procesu przetwarzania jego danych przez administratora.

Dotyczy to chociażby takich informacji jak podstawy prawne przetwarzania czy przysługujące w związku przetwarzaniem prawa. Założenie, że podmiot danych dysponuje takimi informacjami, wiązałoby się bowiem jednocześnie z założeniem, że podmiot ten jest biegły w obowiązujących przepisach dotyczących ochrony danych osobowych. W większości sytuacji, odbiorcą komunikatów informacyjnych pozostają jednak osoby, które nie specjalizują się w tego typu tematyce.

Częściowe zwolnienie z omawianego obowiązku informacyjnego może być już jednak bardziej powszechne. Przykładowo, klient wobec którego administrator dopełnił w całości obowiązku informacyjnego podczas zawierania pierwszej umowy, decyduje się na skorzystanie z innych oferowanych mu przez administratora usług. W tym zakresie podaje on dodatkowe dane i zawiera nową umowę. W tym zakresie, administrator może przyjąć, że klient ten dysponuje informacjami co do tego, kto przetwarza jego dane osobowe, jakie przysługują mu w tym zakresie prawa. Obowiązek informacyjny może być w takim wypadku ograniczony do podania nowych podstaw i celów przetwarzania danych, terminów usunięcia danych czy też kategorii odbiorców.

Należy przy tym pamiętać, że w związku z powoływaną już niejednokrotnie w tym artykule,  zasadą rozliczalności, administrator, który powołuje się na komentowane zwolnienie, powinien być w stanie przedstawić, jakie informacje osoba już posiada, jak i kiedy je otrzymała oraz, że od tego czasu nie nastąpiły żadne zmiany w tych informacjach, które uczyniłyby je nieaktualnymi.

RODO nie przewiduje sytuacji zwolnienia z obowiązku informacyjnego w przypadkach, kiedy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania.

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą

Przypadki zwolnienia:

1. osoba, której dane dotyczą, dysponuje już tymi informacjami;

2. udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

3. pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator;

4. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Rozporządzenie przewiduje więcej sytuacji, kiedy administrator danych może uchylić się od realizacji obowiązku informacyjnego względem osoby, której dane dotyczą w przypadku pośredniego gromadzenia jej danych.

Po pierwsze, tak jak w przypadku pierwotnego gromadzenia danych, obowiązek informacyjny wynikający z komentowanego przepisu RODO nie znajduje zastosowania, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami.

W dalszej kolejności, art. 14 ust. 5 lit b) RODO wskazuje na trzy oddzielne sytuacje, w których znosi się obowiązek przekazywania podmiotowi danych informacji dotyczących przetwarzania jego danych osobowych, tj.:

  • gdy okaże się to niemożliwe (w szczególności w przypadku archiwizacji, badań naukowych / historycznych lub celów statystycznych);
  • w przypadku gdy wiązałoby się to z niewspółmiernie dużym wysiłkiem (w szczególności w zakresie archiwizacji, badań naukowych / historycznych lub celów statystycznych);
  • jeżeli podanie informacji uniemożliwiłoby osiągnięcie celów przetwarzania lub poważnie je utrudniło.

Przypadki, kiedy spełnienie obowiązku informacyjnego przez administratora danych jest niemożliwe należy rozważać zero jedynkowo. Oznacza to, że albo spełnienie obowiązku jest możliwe albo nie jest możliwe. Nie można w tym zakresie dopuszczać sytuacji pośrednich, np. w takiej postaci, że administrator jest w stanie przedstawić tylko część z informacji objętych obowiązkiem informacyjnym, a przedstawienie pozostałego zakresu jest według niego niemożliwe i na tej podstawie zwalnia się z całości obowiązku.

Te same uwagi dotyczą zwolnienia z uwagi na niewspółmiernie duży wysiłek, jakiego wymagałoby przedstawienie stosowych informacji.

Zgodnie z motywem 62 RODO sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.

Przykładem, kiedy udzielenie informacji podmiotowi danych, przy wtórnym gromadzeniu jego danych osobowych będzie niemożliwe, może być zakup bazy bez danych kontaktowych tych osób. Niewspółmiernie duży wysiłek będzie miał z kolei miejsce w przypadku zakupu wielomilionowej bazy danych, gdzie administrator nie ma pewności co do aktualności kupowanych danych osobowych (inną kwestią pozostaje w ogóle zasadność kupna takiej bazy).

Jeżeli administrator danych chce skorzystać ze zwolnienia, o którym mowa w punkcie pierwszym lub drugim powyżej, musi wykazać czynniki, które faktycznie uniemożliwiają lub powodują niewspółmiernie duży wysiłek przy przekazaniu przedmiotowych informacji osobom, których dane dotyczą. Jeżeli po pewnym czasie czynniki te przestały istnieć, administrator danych powinien bez zbędnej zwłoki dopełnić właściwego obowiązku informacyjnego.

Ostatnia z sytuacji wskazanych w art. 14 ust. 5 lit b) RODO, która może stanowić podstawę zwolnienia z realizacji obowiązku informacyjnego, dotyczy przypadków, kiedy przekazanie przez administratora tych informacji może uniemożliwić lub poważnie zaszkodzić realizacji celów przetwarzania.

Przykładem takich sytuacji może być gromadzenie danych z innych źródeł w związku z obowiązkami prawnymi, gdzie przedstawienie podmiotowi informacji o procesach przetwarzania jego danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z realizacją obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu).

Dwa ostatnie przypadki zwolnienia z realizacji obowiązku informacyjnego przy wtórnym pozyskiwaniu danych osobowych dotyczą sytuacji, które uregulowane zostały w przepisach Unii lub prawa państwa członkowskiego. Prawo to może:

  • regulować pozyskiwanie i ujawnianie danych;
  • zobowiązywać do zachowania poufności danych w związku z obowiązkiem zachowania tajemnicy zawodowej, w tym w związku z ustawowym obowiązkiem zachowania tajemnicy.

Przepis będący podstawą zwolnienia, o którym mowa w punkcie pierwszym powyżej, powinien zobowiązywać administratora do przekazywania danych osobowych określonemu podmiotowi bądź określonej kategorii podmiotów oraz przewidywać należyte gwarancje ochrony tych danych.

Przypadki wyłączenia stosowania klauzul informacyjnych w tym przypadku będą dotyczyły w znacznej mierze przekazywania danych pomiędzy organami administracji publicznej (np. przetwarzanie danych osobowych w postępowaniu administracyjnym, gdzie mamy do czynienia ze zbieraniem danych z różnych źródeł przez organy prowadzące postępowanie, na potrzeby tego postępowania i w jego trakcie).

Z kolei z sytuacjami zwolnienia z obowiązku informacyjnego w związku z tajemnicą zawodową, będziemy mieli do czynienia, w szczególności w przypadku pośredniego gromadzenia danych osobowych przez adwokatów i radców prawnych, w stosunku do których istnieje ustawowy obowiązek zachowania tajemnicy zawodowej. Dodatkowo, należy również dopuścić jako podstawę zwolnienia, także obowiązek zachowania innych tajemnic uregulowanych ustawowo, np. tajemnicy bankowej, skarbowej czy ubezpieczeniowej.

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

Podsumowanie

W systemie RODO, obowiązki informacyjne odgrywają bardzo istotną rolę. Warto też pamiętać o tym, że wdrożenie klauzul informacyjnych zgodnych z RODO, jest elementem wdrożenia, który widać na pierwszy rzut oka.

W odróżnieniu od procedur wewnętrznych: np.: raportowania incydentów czy szacowania ryzyka, każdy Klient czy inna osoba udostępniająca nam swoje dane osobowe może zwrócić uwagę na to czy na płaszczyźnie obowiązków informacyjnych nadążamy za aktualnym stanem prawnym.

Prawidłowo dopełnione obowiązki informacyjne, wyposażone dodatkowo w kontakt do IODa lub zaopatrzone certyfikatem zgodności z RODO, sprawią że zaufanie do naszej organizacji wzrośnie.

 Poniżej rozwiązanie dla tych który chcą samodzielnie wdrożyć RODO w swojej organizacji:

Źródła

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  • Wytyczne Grupy Roboczej art. 29 dotyczące przejrzystości, przyjęte 29 listopada 2017 r. (WP260).

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
obowiązek informacyjny RODO
7 błędów przy dopełnianiu obowiązku informacyjnego

53 Odpowiedzi

  1. BeeS

    Co do wszelkiej maści odstępstw od obowiązku informacyjnego w sprawie przetwarzania to pozostaje jeszcze kwestia pewnej grupy osób: Co np z dziennikarzami czy reprezentantami firm/instytucji, itp. które po 25.05 będą „wisieć” na stronach www swoich pracodawców i będą tam ich dane (nazwisko, email, telefon, itp.). Czy zrzut ekranu z takimi danymi może być traktowany jako dowód na posiadania zgody tej osoby na kontakty i przetwarzanie jej danych?

    1. Kancelaria Lex Artist

      Nie, taki zrzut nie może być traktowany jako dowód. Natomiast to, czy wymagana w takich sytuacjach będzie zgoda zależy od celu, w jakim zamieszczone są dane na stronie internetowej. Pozdrawiamy!

  2. Dorota

    Dzień dobry;
    Pytanie / i z góry dziękuję za odpowiedź / : Podstawa prawna ( podawana w klauzulach itp.) od 25-05-2018 to: Rozporządzenie Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016 r? Czy może Ustawa z dnia …. maja 2018 r. o ochronie danych osobowych …?

  3. Mirek

    Dzień dobry, czy mogą Państwo wstawić link lub inne odniesienie do wspomnianego w artykule orzeczenia NSA? Nie jestem prawnikiem i nie potrafię go znaleźć przez google, może popełniam jakiś błąd. Pracodawca prosił mnie o wydrukowanie takiej podstawy prawnej, która dobitnie usprawiedliwia nie wysyłanie drogą pocztową zgodnej z RODO zgody na przetwarzanie tysiącom klientom. Mimo podania w artykule obszernych informacji o ww. orzeczeniu , nie potrafię go znaleźć.

    Z góry dziękuję za wyrozumiałość i odpowiedź 🙂

  4. Vang

    Czy osoba prowadząca stronę internetową hobbystycznie (nie jako firma) również podlega RODO czy RODO dotyczy tylko firm? Na stronie nie są zbierane adresy e-mail (możliwość komentowania wyłączona), są tylko cookies?

  5. Jaro

    Czy jako spółka zoo, która zajmuje się rekrutacją pracowników mogę zrobić coś takiego, że?: loguję się do portalu z pracownikami (np. linkedin) i kopiuję część tych danych pewnej osoby, które je tam zamieściła do swojego wewnętrznego systemu? Oczywiście jednocześnie wysłam wiadomość dopełniając obowiązku informacyjnego. Jednak nurtuje mnie, na jakiej podstawie mogę wtedy te dane przetwarzać? „art 6, 1) f) prawnie uzasadnione interesy” ? Czy to będzie zgodne z prawem przetwarzanie danych?

    1. Kancelaria Lex Artist

      Dzień dobry. W takiej sytuacji należałoby raczej albo skontaktować się z taką osobą poprzez portal (LinkedIn np. oferuje taką możliwość) i ewentualnie wówczas pozyskać jej zgodę na przetwarzanie danych osobowych w Państwa systemie. Pozdrawiamy!

  6. Anna

    Witam, jaką podstawę prawną podać w klauzuli informacyjnej w ogłoszeniu konkursu na stanowisko z dnia 24 maja 2018r? Czy może to być art 6 rodo ust 1 pkt c? Z informacją, że obowiązuje od 25.05? I czy w regulaminie konkursu musi być informacja, że konieczne jest wyrażenie zgody na przetwarzanie danych w celu przeprowadzenia konkursu na stanowisko? Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, w klauzuli informacyjnej należy podać wskazaną podstawę. Zgoda na rekrutację poprzez konkurs nie jest konieczna. Pozdrawiamy!

  7. Witam, czy mając podpisaną umowę z klientami o pośrednictwo w sprzedaży nieruchomości, z klauzulą która obowiązywała przed 25 maja treści ” Zamawiający zezwala na przetwarzanie danych osobowych dla potrzeb niezbędnych do wykonania niniejszej umowy, zgodnie z ustawa o ochronie danych osobowych. Administratorem danych jest BON. Zamawiającemu przysługuje prawo dostępu do ww danych, oraz do ich poprawienia lub usunięcia na warunkach określonych w ustawie o ochronie danych osobowych” , muszę teraz jeszcze raz wysyłać im informację, a dodam że mam tych klientów kilkaset

    1. Kancelaria Lex Artist

      Dzień dobry. RODO nie nakłada takiego obowiązku, aby jeszcze raz spełniać obowiązek informacyjny wobec osób, których dane już posiadaliśmy i przetwarzaliśmy przed 25 maja 2018 r., ale na pewno jest to dobrą praktyką, aby spełnić nowy obowiązek informacyjny, ponieważ jego treść jest zupełnie inna niż dotychczasowej. Pozdrawiamy!

  8. Tomasz

    Dzien dobry, mam pytanie odnosnie szczegolnych danych osobowych a kontretnie o zasadę:
    „Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.”

    Czy to że dane zostały upublicznione przez zainteresowanego oznacza, ze nie może wycofać zgody na ich przetwarzanie (i np usunięcie ze strony gdzie je upublicznił?) czy jest to tylko zgodą na przetwarzanie która w każdej chwili może zostać wycofana? Np komentarze na blogach/forach – o ile same w sobie nie są daną osobową to mogą zawierać informacje o poglądach, przekonaniach itp.

    I co w przypadku gdy jest do nich przypisany pseudonim, i nie są całkowicie anonimowo pisane?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Opisywana przez Pana przesłanka nie jest zgodą na przetwarzanie tzw. szczególnych kategorii danych (danych wrażliwych). Jest ona wyraźnie wymieniona osobno w art. 9 RODO, z kolei zgoda jest oddzielną przesłanką (art. 9 ust. 2 lit. a RODO). Stąd też takiej zgody nie można wycofać (nie przysługuje takie prawo). To, czy mamy do czynienia z anonimowym wpisem, czy nie, jest zależne od tego czy administrator danych osobowych na danym forum/blogu/itp. jest w stanie bez większego trudu zidentyfikować taką osobę. Praktyka pokazuje (jak i dzisiejsza technologia), że jest to możliwe. Pozdrawiamy!

      1. Tomasz

        Dziękuje za odpowiedź. Chciałbym jeszcze dopytać – w takim razie komentarz z widocznym nickiem (szczególnie gdy pseudonim jest np uzywany przez osobę w innych miejscach np na innych forach) widniejący przy publicznym komentarzu będzie daną osobową? Nie chodzi mi o sytuacje gdy pseudonim jest bardzo powtarzalny i raczej anonimowy. Podobnie w przypadku podpisania komentarza swoim imieniem i nazwiskiem (też załóżmy, że niepowtarzalnym). Taki komentarz będzie daną osobową, niezależnie od tego czy autor napisał go publicznie czy nie czy mam rację?

        Drugie pytanie – czy jest jakieś rozgraniczenie jeżeli chodzi o koszty lub czas potrzebne do zidentyfikowania danej osoby? O ile np wpisanie w wyszukiwarkę czyjegoś nazwiska nie będzie oczywiście nadmiernym czasem czy kosztami to np czy kilkugodzinne przeszukiwanie sieci można już zawierać się w definicji? Może są jakieś wyroki w tej sprawie?

        Oraz ostatnie pytanie odnośnie tej zasady – „należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”

        Tutaj chodzi o prawdopodobne sposoby identyfikacji a nie prawdopodobieństwo zamiaru identyfikacji? Czy też o obydwie te rzeczy? Tzn mamy jakiś zbiór informacji o danej osobie i to czy będzie ona możliwą do zidentyfikowania osobą fizyczną będzie zależało od tego czy jest prawdopodobieństwo że ktoś (administrator czy osoba postronna) będzie miał zamiar ją zidentyfikować czy od tego czy jest w stanie bez nadmiernego wysiłku to zrobić?

  9. Monika

    Witam Czy zamiast nazwiska można użyć pseudonimu?
    Administratorem danych jest Jan Kowalski.
    W razie wątpliwości związanych z polityką prywatności, możesz skontaktować się, wysyłając wiadomość na adres:

    Zastąpić: Administratorem danych jest Jan „Pseudonim”….

    1. Kancelaria Lex Artist

      Dzień dobry. RODO wymaga podania nazwy/imienia i nazwiska administratora, także posługiwanie się w klauzuli informacyjnej pseudonimem nie wchodzi w grę. Pozdrawiamy!

      1. Paweł

        A jeśli nie są obywatelami UE (Chińczyk, Amerykanin) to nie musimy wobec nich spełniać tego obowiązku? Przetwarzanie odbywa się na ternie UE.

        1. Kancelaria Lex Artist

          Zgodnie z art. 3 ust. 1 RODO, ma ono zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora w Unii, niezależnie od tego, czy przetwarzanie odbywa się na terenie UE. Także obowiązek należy spełnić, jeśli administrator danych ma siedzibę w kraju członkowskim UE. Pozdrawiamy!

  10. Kamil

    Czy jeśli firma farmaceutyczna przyjmuje zgłoszenia działań niepożądanych leków na podstawie obowiązku określonego w Ustawie Prawo farmaceutyczne (ustawa wymienia dane jakie musza być uzyskane aby zgłoszenie było ważne) to czy przy pierwszym kontakcie z pacjentem np. przez telefon możemy pobrać jego dane w zakresie przewidzianym w/w ustawą bez jego zgody (przez telefon nam jej nie podpisze).

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, na takie działania nie jest wymagana zgoda. Jednak należy spełnić obowiązek informacyjny. Pozdrawiamy!

  11. Justyna

    Dzień dobry,

    Czy to prawda, że na wywieszenie imion i nazwisk lekarzy na drzwiach gabinetu trzeba mieć Zgodę lekarza? Biorąc pod uwagę to że podmiot leczniczy ma obowiązek podania grafików pracy to mamy tutaj sprzeczność. Czy to też znaczy czy w innych branżach np na powiększeniu na wewnętrznej tablicy imiona i nazwiska osoby prowadzącej zajęcia z logopedii bądź imiona i nazwiska pań prowadzące grupy przedszkolne też wymagana jest zgoda?

    1. Kancelaria Lex Artist

      Dzień dobry. Sądzimy, że można byłoby to oprzeć na prawnie uzasadnionym interesie administratora danych. Wówczas zgoda nie byłaby wymagana. Pozdrawiamy!

  12. Paweł

    Witam, dzisiaj dowiedziałem się, że w naszym instytucie badawczym podstawą funkcjonowania monitoringu ma być ustawa o ochronie osób i mienia, a nie np. art. 6 ust. 1 lit. e RODO. Pani prawnik nie wskazała jednak artykułu… czy podanie RODO a nie ustawy w klauzuli informacyjnej to błąd?

    1. Kancelaria Lex Artist

      Dzień dobry. Podstawą prawną przetwarzania danych osobowych jest zawsze przepis RODO. Jeśli jednak podstawą jest art. 6 ust. 1 lit. c RODO (obowiązek prawny ciążący na administratorze danych), to należy wskazać akt prawny, z którego ten obowiązek wynika. Pozdrawiamy!

  13. Paweł

    Dziękuję! Problem w tym, że w ustawie o ochronie osób i mienia nie znajduje żadnego uzasadnienia funkcjonowania monitoringu w naszej firmie.. czy w takiej sytuacji można powołać się na Kodeks pracy? lub RODO art 6. ust. 1 lit. 3?

  14. Anna

    Dzień dobry, jeśli określimy sobie w klauzuli informacyjnej okres przechowywania danych praktykantów na „1 rok od dnia zakończenia praktyk”, to czy musimy mieć jakieś szczególne uzasadnienie że jest to akurat rok a nie np. 2 lata? Czy lepiej napisać, że okres przechowywania danych będzie uzależniony od przepisów, które obligują administratora do przechowywania danych przez określony czas?

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma tutaj reguły, natomiast jeśli przyjmujemy jakiś okres, który nie jest wprost wskazany w przepisach (jak np. akta osobowe pracowników), to należy przyjęty okres uzasadnić. Pozdrawiamy!

  15. kajtek

    Dzień dobry,
    czy pracownicy spółdzielni mieszkaniowej mogą mieć a swojej dokumentacji pracowniczej (w kadrach) tylko upoważnienie ADO do przetwarzania DO (w zależności od stanowiska, z określonymi nazwali zbiorów DO oraz zakresem uprawnień) a dla pracownicy mających dostęp do szczególnej kat. DO, dodatkowo oświadczenie o zachowaniu poufności? czy jeszcze jakieś inne dokumenty powinny się znaleźć?

    1. Kancelaria Lex Artist

      Dzień dobry. W obu przypadkach warto mieć zarówno upoważnienia, jak i oświadczenia o zobowiązaniu do zachowania poufności. Pozdrawiamy!

  16. Edward

    Czy w lokalu wyborczym również należy spełnić obowiązek informacyjny w stosunku do wyborców ? Kto ma to zrobić ? Wójt jako administrator danych w spisie wyborców ? Jakiej treści powinna być ta klauzula informacyjna ? A może o żadnym obowiązku informacyjnym nie może być mowy ? Wybory się zbliżają, a nikt w prostych, jasnych słowach nie wskazał, co robić. Poradnik wydany przez UODO jest bardzo ogólnikowy i mało zrozumiały.

    1. Kancelaria Lex Artist

      Naszym zdaniem tak, administratorem danych w spisie wyborców jest gmina, zatem może to zrobić np. jej organ wykonawcy (wójt/burmistrz/prezydent miasta). Klauzula informacyjna powinna spełniać kryteria wskazane w art. 13 RODO. Żaden poradnik nie udzieli odpowiedzi na wszystkie pytania. 🙂 Jeśli istnieje potrzeba analizy konkretnego stanu faktycznego, może okazać się koniecznym sporządzenie opinii prawnej. Pozdrawiamy!

  17. Maria

    Witam. Mam pytanie odnośnie polityki bezpieczeństwa a dokładniej załącznika spełnienie obowiązku informacyjnego. Wiem, że musi byś zgody z art.13. Pytanie moje jest czy mogę podać więcej niż jeden cel przetwarzania na jednym obowiązku np. : w celu marketingu bezpośredniego, w celu realizacji umowy, procesu rekrutacji itp. Czy każdy cel przetwarzania musi być oddzielnie spełniony?

    1. Kancelaria Lex Artist

      Dzień dobry. Nie widzimy przeszkód w podaniu w klauzuli informacyjnej różnych celów przetwarzania danych osobowych, prosimy pamiętać o podaniu do nich odpowiednich podstaw prawnych. Pozdrawiamy! 🙂

  18. Paweł

    Dzień dobry, mamy projekt naukowy i realizujemy go w konsorcjum razem z innymi jednostkami. Liderem całego projektu jest konkretna instytucja. W naszej siedzibie – jako partnera zorganizowaliśmy szkolenie z obsługi programu niezbędnego do realizacji projektu dla osób wchodzących w skład konsorcjum z naszego miasta. Czy w związku z tym jeśli mamy listę tych osób (imię, nazwisko, nr telefonu) stajemy się administratorem tych danych i musimy przedstawić klauzulę informacyjną oraz posiadać zgodę uczestników na przetwarzanie ich danych?

    1. Kancelaria Lex Artist

      Dzień dobry. Zgoda nie jest w tym przypadku wymagana. Natomiast jeśli chodzi o to, czy muszą Państwo spełniać obowiązek informacyjny – to zależy jak wygląda współpraca w ramach konsorcjum. Co do zasady, jeżeli inny administrator (będący pracodawcą) wysyła swoich pracowników na szkolenie, będzie się to odbywało w drodze powierzenia przetwarzania danych osobowych. Czasami jednak (i taka sytuacja może występować np. w konsorcjum) może zachodzić współadministrowanie, gdzie dwóch odrębnych administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych. Zagadnienie wymagałoby jednak głębszej analizy prawnej, do której zachęcamy w ramach usługi konsultacji. 🙂 Pozdrawiamy!

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, zgodnie z podawanym w doktrynie stanowiskiem „Przez pojęcie wypowiedzi akademickiej należy rozumieć wszelkie wypowiedzi naukowe, związane z prowadzeniem badań naukowych, publikacjami ich wyników, nauczaniem”. Pozdrawiamy!

    1. Kancelaria Lex Artist

      Dzień dobry. Ocenę, czy należy powołać IOD-a, powinien przeprowadzić każdy administrator danych. Należy pamiętać, że nawet mała przychodnia może rocznie przetwarzać dane osobowe, w tym szczególne kategorie danych, kilku tysięcy osób, których dane dotyczą. Taka ilość spełnia kryterium przetwarzania szczególnych kategorii danych na dużą skalę i rodzi obowiązek wyznaczenia IOD-a. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO