Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Jest to trzecia część artykułu - poradnika poświęconego stosowaniu obowiązków informacyjnych zgodnych z RODO.

Z trzeciej części dowiesz się: jakie są zwolnienia ze stosowania obowiązków informacyjnych, oraz czy należy spełnić nowy obowiązek informacyjny w przypadku danych osobowych zebranych przed 25.05.2018.

Poniżej lista poprzednich artykułów:

Zwolnienia z obowiązku informacyjnego 

Zarówno UODO jak i RODO wskazują sytuacje, w których administrator jest zwolniony z realizacji obowiązku informacyjnego względem osób, których dane przetwarza. Katalog tych sytuacji, jest katalogiem zamkniętym i różni się w zależności od tego z jakim sposobem, pierwotnym czy wtórnym, gromadzenia danych mamy do czynienia.

Zbieranie danych, od osoby, której dane dotyczą

UODO RODO
Podstawa prawna art. 24 ust. 2 art. 13 ust. 4
Przypadki zwolnienia 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;

2) osoba, której dane dotyczą, posiada informacje;

gdy i w zakresie, w jakim osoba, której dane dotyczą, dysponuje już informacjami;

 

Jedyny wyjątek od obowiązku informacyjnego w przypadku pierwotnego gromadzenia danych, który przewiduje RODO, odnosi się do sytuacji, w której osoba, której dane dotyczą, dysponuje już wskazanymi w art. 13 ust. 1 i 2 informacjami. Dodatkowo, wyjątek ten, dotyczy wyłącznie takiego zakresu informacji, jakie dana osoba już posiada. W praktyce może się to wiązać z tym, że w niektórych sytuacjach ograniczenie obowiązku informacyjnego dotyczyć będzie nie wszystkich lecz tylko poszczególnych kategorii informacji.

Z uwagi na dość szeroki zakres obowiązku informacyjnego, który przewiduje RODO, trudno wyobrazić sobie w praktyce sytuację, kiedy podmiot danych rzeczywiście będzie dysponował wszystkimi informacjami dotyczącymi procesu przetwarzania jego danych przez administratora.

Dotyczy to chociażby takich informacji jak podstawy prawne przetwarzania czy przysługujące w związku przetwarzaniem prawa. Założenie, że podmiot danych dysponuje takimi informacjami, wiązałoby się bowiem jednocześnie z założeniem, że podmiot ten jest biegły w obowiązujących przepisach dotyczących ochrony danych osobowych. W większości sytuacji, odbiorcą komunikatów informacyjnych pozostają jednak osoby, które nie specjalizują się w tego typu tematyce.

Częściowe zwolnienie z omawianego obowiązku informacyjnego może być już jednak bardziej powszechne. Przykładowo, klient wobec którego administrator dopełnił w całości obowiązku informacyjnego podczas zawierania pierwszej umowy, decyduje się na skorzystanie z innych oferowanych mu przez administratora usług. W tym zakresie podaje on dodatkowe dane i zawiera nową umowę. W tym zakresie, administrator może przyjąć, że klient ten dysponuje informacjami co do tego, kto przetwarza jego dane osobowe, jakie przysługują mu w tym zakresie prawa. Obowiązek informacyjny może być w takim wypadku ograniczony do podania nowych podstaw i celów przetwarzania danych, terminów usunięcia danych czy też kategorii odbiorców.

Należy przy tym pamiętać, że w związku z powoływaną już niejednokrotnie w tym artykule,  zasadą rozliczalności, administrator, który powołuje się na komentowane zwolnienie, powinien być w stanie przedstawić, jakie informacje osoba już posiada, jak i kiedy je otrzymała oraz, że od tego czasu nie nastąpiły żadne zmiany w tych informacjach, które uczyniłyby je nieaktualnymi.

W porównaniu do UODO, RODO nie przewiduje sytuacji zwolnienia z obowiązku informacyjnego w przypadkach, kiedy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania. Oznacza to, że administratorzy, którzy na podstawie dotychczas obowiązujących przepisów, korzystali z tego zwolnienia, powinni dokonać rewizji i albo (o ile to możliwe) zmienić podstawę zwolnienia z obowiązku informacyjnego, albo opracować i rozpocząć stosowanie właściwych klauzul informacyjnych.

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą

UODO RODO
Podstawa prawna art. 25 ust. 2 art. 14 ust. 5
Przypadki zwolnienia 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;

2) (uchylony)

3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania;

4) (uchylony)

5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawieprzepisów prawa;

6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

a) osoba, której dane dotyczą, dysponuje już tymi informacjami;

b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator;

d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Najlepsze na rynku szkolenia e-learningowe. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną widzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Patrząc na zestawienie przepisów UODO i RODO, już na pierwszy rzut oka widać, że Rozporządzenie przewiduje więcej sytuacji, kiedy administrator danych może uchylić się od realizacji obowiązku informacyjnego względem osoby, której dane dotyczą w przypadku pośredniego gromadzenia jej danych.

Po pierwsze, tak jak w przypadku pierwotnego gromadzenia danych, obowiązek informacyjny wynikający z komentowanego przepisu RODO nie znajduje zastosowania, jeżeli osoba, której dane dotyczą, dysponuje już tymi informacjami.

W dalszej kolejności, art. 14 ust. 5 lit b) RODO wskazuje na trzy oddzielne sytuacje, w których znosi się obowiązek przekazywania podmiotowi danych informacji dotyczących przetwarzania jego danych osobowych, tj.:

  • gdy okaże się to niemożliwe (w szczególności w przypadku archiwizacji, badań naukowych / historycznych lub celów statystycznych);
  • w przypadku gdy wiązałoby się to z niewspółmiernie dużym wysiłkiem (w szczególności w zakresie archiwizacji, badań naukowych / historycznych lub celów statystycznych);
  • jeżeli podanie informacji uniemożliwiłoby osiągnięcie celów przetwarzania lub poważnie je utrudniło.

Przypadki, kiedy spełnienie obowiązku informacyjnego przez administratora danych jest niemożliwe należy rozważać zero jedynkowo. Oznacza to, że albo spełnienie obowiązku jest możliwe albo nie jest możliwe. Nie można w tym zakresie dopuszczać sytuacji pośrednich, np. w takiej postaci, że administrator jest w stanie przedstawić tylko część z informacji objętych obowiązkiem informacyjnym, a przedstawienie pozostałego zakresu jest według niego niemożliwe i na tej podstawie zwalnia się z całości obowiązku.

Te same uwagi dotyczą zwolnienia z uwagi na niewspółmiernie duży wysiłek, jakiego wymagałoby przedstawienie stosowych informacji.

Zgodnie z motywem 62 RODO sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności w przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Uwzględnić przy tym należy liczbę osób, których dane dotyczą, okres przechowywania danych oraz wszelkie przyjęte odpowiednie zabezpieczenia.

Przykładem, kiedy udzielenie informacji podmiotowi danych, przy wtórnym gromadzeniu jego danych osobowych będzie niemożliwe, może być zakup bazy bez danych kontaktowych tych osób. Niewspółmiernie duży wysiłek będzie miał z kolei miejsce w przypadku zakupu wielomilionowej bazy danych, gdzie administrator nie ma pewności co do aktualności kupowanych danych osobowych (inną kwestią pozostaje w ogóle zasadność kupna takiej bazy).

Jeżeli administrator danych chce skorzystać ze zwolnienia, o którym mowa w punkcie pierwszym lub drugim powyżej, musi wykazać czynniki, które faktycznie uniemożliwiają lub powodują niewspółmiernie duży wysiłek przy przekazaniu przedmiotowych informacji osobom, których dane dotyczą. Jeżeli po pewnym czasie czynniki te przestały istnieć, administrator danych powinien bez zbędnej zwłoki dopełnić właściwego obowiązku informacyjnego.

Ostatnia z sytuacji wskazanych w art. 14 ust. 5 lit b) RODO, która może stanowić podstawę zwolnienia z realizacji obowiązku informacyjnego, dotyczy przypadków, kiedy przekazanie przez administratora tych informacji może uniemożliwić lub poważnie zaszkodzić realizacji celów przetwarzania.

Przykładem takich sytuacji może być gromadzenie danych z innych źródeł w związku z obowiązkami prawnymi, gdzie przedstawienie podmiotowi informacji o procesach przetwarzania jego danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z realizacją obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu).

Dwa ostatnie przypadki zwolnienia z realizacji obowiązku informacyjnego przy wtórnym pozyskiwaniu danych osobowych dotyczą sytuacji, które uregulowane zostały w przepisach Unii lub prawa państwa członkowskiego. Prawo to może:

  • regulować pozyskiwanie i ujawnianie danych;
  • zobowiązywać do zachowania poufności danych w związku z obowiązkiem zachowania tajemnicy zawodowej, w tym w związku z ustawowym obowiązkiem zachowania tajemnicy.

Przepis będący podstawą zwolnienia, o którym mowa w punkcie pierwszym powyżej, powinien zobowiązywać administratora do przekazywania danych osobowych określonemu podmiotowi bądź określonej kategorii podmiotów oraz przewidywać należyte gwarancje ochrony tych danych.

Przypadki wyłączenia stosowania klauzul informacyjnych w tym przypadku będą dotyczyły w znacznej mierze przekazywania danych pomiędzy organami administracji publicznej (np. przetwarzanie danych osobowych w postępowaniu administracyjnym, gdzie mamy do czynienia ze zbieraniem danych z różnych źródeł przez organy prowadzące postępowanie, na potrzeby tego postępowania i w jego trakcie).

Z kolei z sytuacjami zwolnienia z obowiązku informacyjnego w związku z tajemnicą zawodową, będziemy mieli do czynienia, w szczególności w przypadku pośredniego gromadzenia danych osobowych przez adwokatów i radców prawnych, w stosunku do których istnieje ustawowy obowiązek zachowania tajemnicy zawodowej. Dodatkowo, należy również dopuścić jako podstawę zwolnienia, także obowiązek zachowania innych tajemnic uregulowanych ustawowo, np. tajemnicy bankowej, skarbowej czy ubezpieczeniowej.

Nie masz czasu na samodzielne opracowywanie klauzul zgodnych z RODO? Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody na przetwarzanie danych osobowych.

Sprawdź

Co z obowiązkiem informacyjnym w stosunku do danych zebranych przed 25.05.2018?

W zakresie realizacji obowiązków informacyjnych kluczowa dla administratorów danych jest odpowiedź na pytanie: co z informowaniem podmiotów, których dane osobowe zostały zgromadzone przed rozpoczęciem stosowania RODO i wobec których dopełniono obowiązku informacyjnego na gruncie UODO?

Odpowiedzi na to pytanie nie znajdziemy w przepisach Rozporządzania. Nie znajdziemy jej również w stanowiskach Generalnego Inspektora Ochrony Danych Osobowych (co z kolei może szczególnie rozczarowywać).

W tym zakresie, możemy więc wyróżnić trzy alternatywne scenariusze postępowania:

  • administrator ponownie dopełnia obowiązku informacyjnego przekazując wszystkie informacje wskazane w art. 13 lub 14 RODO (pełna aktualizacja obowiązku informacyjnego);
  • administrator ponownie dopełnia obowiązku informacyjnego przekazując tylko te informacje wskazane w art. 13 lub 14 RODO, które nie były wymagane na gruncie UODO (częściowa aktualizacja obowiązku informacyjnego);
  • administrator danych nie dopełnia obowiązku informacyjnego, gdyż został on w sposób prawidłowy dopełniony na gruncie stanu prawnego obowiązującego w momencie zbierania danych (brak aktualizacji obowiązku informacyjnego).

Które z przedstawionych wyżej postępowań będzie zatem prawidłowe?

Jak zostało to wskazane na początku niniejszego artykułu, obowiązek informacyjny aktualizuje się w momencie gromadzenia danych. Art. 13 jak i 14 RODO wskazują wprost, że informacje dotyczące przetwarzania danych osobowych, administrator jest zobowiązany podać osobie, której dane dotyczą podczas zbierania / pozyskiwania tych danych. Taki sam moment aktualizacji obowiązuje również obecnie na podstawie art. 24 i 25 UODO.

W wyroku z dnia 11 kwietnia 2003 r. (sygn. akt II SA 1578/02), Naczelny Sąd Administracyjny podzielił z kolei stanowisko Generalnego Inspektora Ochrony Danych Osobowych, który wskazał, iż obowiązki informacyjne należy oceniać według prawa, jakie obowiązywało, gdy zbieranie danych miało miejsce.

Powyższe oznacza, że obowiązek informacyjny powinien zostać wykonany w chwili zbierania danych, zgodnie z przepisami wówczas obowiązującymi. Nie ma tym samym podstaw do tego,  aby po rozpoczęciu stosowania RODO powtarzać już raz spełniony obowiązek. Zastosowanie znajdzie zatem scenariusz przedstawiony w punkcie trzecim.

Przyjęcie innego stanowiska prowadziłoby do sytuacji, w której administrator danych po 25 maja 2018 r. byłby obowiązany spełniać obowiązek informacyjny w stosunku do wszystkich osób, których dane przetwarza zarówno na bieżąco (np. aktywni klienci, pracownicy, współpracownicy, etc), jak i w sposób jedynie bierny (np. byli pracownicy, byli klienci, których dane przetwarzane są w celach archiwalnych, często wyłącznie formie papierowej).

Nic oczywiście nie stoi na przeszkodzie, aby administratorzy realizowali scenariusze wskazane w punkcie pierwszym lub drugim i dokonali aktualizacji raz spełnionego obowiązku informacyjnego. Odbywać się to już jednak będzie w ramach dobrych praktyk, a nie w związku z nałożonymi przez przepisy obowiązkami. Należy przy tym wskazać, że administrator, który zdecyduje się na takie postępowanie, powinien zwrócić szczególną uwagę na treść takich zaktualizowanych komuników. W ostatnim czasie da się zauważyć zalew podmiotów danych zaktualizowanymi klauzulami informacyjni, które w zakresie przejrzystości swojego przekazu pozostawiają wiele do życzenia. Należy stanąć na stanowisku, że zachowanie, typu lepiej dmuchać na zimne, wprowadza jednak więcej zamieszania i wątpliwości, niż pewności co do procesów przetwarzania dokonywanych przez podmioty kierujące takie komunikaty.

Podsumowując powyższe, nowe obowiązki informacyjne administrator danych jest zobowiązany stosować wyłącznie w stosunku do osób, których dane osobowe będą gromadzone po rozpoczęciu stosowania RODO, tj. od 25 maja 2018 r.

Podsumowanie

Podobnie jak w przypadku UODO, tak i w systemie RODO, obowiązki informacyjne odgrywają bardzo istotną rolę.

RODO znacząco modyfikuje stopień szczegółowości treści obowiązków informacyjnych. Treść klauzul zajmie teraz znacznie więcej miejsca i ma przyczynić się do lepszego zrozumienia przysługujących nam praw.

Warto też pamiętać o tym, że wdrożenie obowiązków informacyjnych zgodnych z RODO, będzie elementem wdrożenia, który będzie widać na pierwszy rzut oka.

W odróżnieniu od procedur wewnętrznych: np.: raportowania incydentów czy szacowania ryzyka, każdy Klient czy inna osoba udostępniająca nam swoje dane osobowe może zwrócić uwagę na to czy na płaszczyźnie obowiązków informacyjnych nadążamy za aktualnym stanem prawnym.

Prawidłowo dopełnione obowiązki informacyjne, wyposażone dodatkowo w kontakt do IODa lub zaopatrzone certyfikatem zgodności z RODO, sprawią że zaufanie do naszej organizacji wzrośnie.

Źródła

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 ze zm.);
  • Wytyczne Grupy Roboczej art. 29 dotyczące przejrzystości, przyjęte 29 listopada 2017 r. (WP260).

Powiązane artykuły

Obowiązek informacyjny w RODO cz. 2
Obowiązek informacyjny w RODO
Rejestr Czynności Przetwarzania – mapowanie procesów

37 Odpowiedzi

  1. BeeS

    Co do wszelkiej maści odstępstw od obowiązku informacyjnego w sprawie przetwarzania to pozostaje jeszcze kwestia pewnej grupy osób: Co np z dziennikarzami czy reprezentantami firm/instytucji, itp. które po 25.05 będą “wisieć” na stronach www swoich pracodawców i będą tam ich dane (nazwisko, email, telefon, itp.). Czy zrzut ekranu z takimi danymi może być traktowany jako dowód na posiadania zgody tej osoby na kontakty i przetwarzanie jej danych?

    1. Kancelaria Lex Artist

      Nie, taki zrzut nie może być traktowany jako dowód. Natomiast to, czy wymagana w takich sytuacjach będzie zgoda zależy od celu, w jakim zamieszczone są dane na stronie internetowej. Pozdrawiamy!

      1. BeeS

        W przypadku dziennikarzy celem jest ułatwienie kontaktu niezbędnego do przekazywania informacji do “pracy redakcyjnej”.

  2. Dorota

    Dzień dobry;
    Pytanie / i z góry dziękuję za odpowiedź / : Podstawa prawna ( podawana w klauzulach itp.) od 25-05-2018 to: Rozporządzenie Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016 r? Czy może Ustawa z dnia …. maja 2018 r. o ochronie danych osobowych …?

  3. Mirek

    Dzień dobry, czy mogą Państwo wstawić link lub inne odniesienie do wspomnianego w artykule orzeczenia NSA? Nie jestem prawnikiem i nie potrafię go znaleźć przez google, może popełniam jakiś błąd. Pracodawca prosił mnie o wydrukowanie takiej podstawy prawnej, która dobitnie usprawiedliwia nie wysyłanie drogą pocztową zgodnej z RODO zgody na przetwarzanie tysiącom klientom. Mimo podania w artykule obszernych informacji o ww. orzeczeniu , nie potrafię go znaleźć.

    Z góry dziękuję za wyrozumiałość i odpowiedź 🙂

  4. Vang

    Czy osoba prowadząca stronę internetową hobbystycznie (nie jako firma) również podlega RODO czy RODO dotyczy tylko firm? Na stronie nie są zbierane adresy e-mail (możliwość komentowania wyłączona), są tylko cookies?

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli zbierane są cookies, to przynajmniej w pewnym zakresie podlega się RODO. Pozdrawiamy!

  5. Jaro

    Czy jako spółka zoo, która zajmuje się rekrutacją pracowników mogę zrobić coś takiego, że?: loguję się do portalu z pracownikami (np. linkedin) i kopiuję część tych danych pewnej osoby, które je tam zamieściła do swojego wewnętrznego systemu? Oczywiście jednocześnie wysłam wiadomość dopełniając obowiązku informacyjnego. Jednak nurtuje mnie, na jakiej podstawie mogę wtedy te dane przetwarzać? “art 6, 1) f) prawnie uzasadnione interesy” ? Czy to będzie zgodne z prawem przetwarzanie danych?

    1. Kancelaria Lex Artist

      Dzień dobry. W takiej sytuacji należałoby raczej albo skontaktować się z taką osobą poprzez portal (LinkedIn np. oferuje taką możliwość) i ewentualnie wówczas pozyskać jej zgodę na przetwarzanie danych osobowych w Państwa systemie. Pozdrawiamy!

  6. Anna

    Witam, jaką podstawę prawną podać w klauzuli informacyjnej w ogłoszeniu konkursu na stanowisko z dnia 24 maja 2018r? Czy może to być art 6 rodo ust 1 pkt c? Z informacją, że obowiązuje od 25.05? I czy w regulaminie konkursu musi być informacja, że konieczne jest wyrażenie zgody na przetwarzanie danych w celu przeprowadzenia konkursu na stanowisko? Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, w klauzuli informacyjnej należy podać wskazaną podstawę. Zgoda na rekrutację poprzez konkurs nie jest konieczna. Pozdrawiamy!

  7. Witam, czy mając podpisaną umowę z klientami o pośrednictwo w sprzedaży nieruchomości, z klauzulą która obowiązywała przed 25 maja treści ” Zamawiający zezwala na przetwarzanie danych osobowych dla potrzeb niezbędnych do wykonania niniejszej umowy, zgodnie z ustawa o ochronie danych osobowych. Administratorem danych jest BON. Zamawiającemu przysługuje prawo dostępu do ww danych, oraz do ich poprawienia lub usunięcia na warunkach określonych w ustawie o ochronie danych osobowych” , muszę teraz jeszcze raz wysyłać im informację, a dodam że mam tych klientów kilkaset

    1. Kancelaria Lex Artist

      Dzień dobry. RODO nie nakłada takiego obowiązku, aby jeszcze raz spełniać obowiązek informacyjny wobec osób, których dane już posiadaliśmy i przetwarzaliśmy przed 25 maja 2018 r., ale na pewno jest to dobrą praktyką, aby spełnić nowy obowiązek informacyjny, ponieważ jego treść jest zupełnie inna niż dotychczasowej. Pozdrawiamy!

  8. Hania

    Czy pacjent który jest 3 razy w ciągu miesiaca w szpitalu musi byc poinformowany za kazdym razem o obowiazku informacyjny??

  9. Tomasz

    Dzien dobry, mam pytanie odnosnie szczegolnych danych osobowych a kontretnie o zasadę:
    “Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.”

    Czy to że dane zostały upublicznione przez zainteresowanego oznacza, ze nie może wycofać zgody na ich przetwarzanie (i np usunięcie ze strony gdzie je upublicznił?) czy jest to tylko zgodą na przetwarzanie która w każdej chwili może zostać wycofana? Np komentarze na blogach/forach – o ile same w sobie nie są daną osobową to mogą zawierać informacje o poglądach, przekonaniach itp.

    I co w przypadku gdy jest do nich przypisany pseudonim, i nie są całkowicie anonimowo pisane?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Opisywana przez Pana przesłanka nie jest zgodą na przetwarzanie tzw. szczególnych kategorii danych (danych wrażliwych). Jest ona wyraźnie wymieniona osobno w art. 9 RODO, z kolei zgoda jest oddzielną przesłanką (art. 9 ust. 2 lit. a RODO). Stąd też takiej zgody nie można wycofać (nie przysługuje takie prawo). To, czy mamy do czynienia z anonimowym wpisem, czy nie, jest zależne od tego czy administrator danych osobowych na danym forum/blogu/itp. jest w stanie bez większego trudu zidentyfikować taką osobę. Praktyka pokazuje (jak i dzisiejsza technologia), że jest to możliwe. Pozdrawiamy!

      1. Tomasz

        Dziękuje za odpowiedź. Chciałbym jeszcze dopytać – w takim razie komentarz z widocznym nickiem (szczególnie gdy pseudonim jest np uzywany przez osobę w innych miejscach np na innych forach) widniejący przy publicznym komentarzu będzie daną osobową? Nie chodzi mi o sytuacje gdy pseudonim jest bardzo powtarzalny i raczej anonimowy. Podobnie w przypadku podpisania komentarza swoim imieniem i nazwiskiem (też załóżmy, że niepowtarzalnym). Taki komentarz będzie daną osobową, niezależnie od tego czy autor napisał go publicznie czy nie czy mam rację?

        Drugie pytanie – czy jest jakieś rozgraniczenie jeżeli chodzi o koszty lub czas potrzebne do zidentyfikowania danej osoby? O ile np wpisanie w wyszukiwarkę czyjegoś nazwiska nie będzie oczywiście nadmiernym czasem czy kosztami to np czy kilkugodzinne przeszukiwanie sieci można już zawierać się w definicji? Może są jakieś wyroki w tej sprawie?

        Oraz ostatnie pytanie odnośnie tej zasady – “należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”

        Tutaj chodzi o prawdopodobne sposoby identyfikacji a nie prawdopodobieństwo zamiaru identyfikacji? Czy też o obydwie te rzeczy? Tzn mamy jakiś zbiór informacji o danej osobie i to czy będzie ona możliwą do zidentyfikowania osobą fizyczną będzie zależało od tego czy jest prawdopodobieństwo że ktoś (administrator czy osoba postronna) będzie miał zamiar ją zidentyfikować czy od tego czy jest w stanie bez nadmiernego wysiłku to zrobić?

  10. Monika

    Witam Czy zamiast nazwiska można użyć pseudonimu?
    Administratorem danych jest Jan Kowalski.
    W razie wątpliwości związanych z polityką prywatności, możesz skontaktować się, wysyłając wiadomość na adres: Jankowalski@mail.pl

    Zastąpić: Administratorem danych jest Jan “Pseudonim”….

    1. Kancelaria Lex Artist

      Dzień dobry. RODO wymaga podania nazwy/imienia i nazwiska administratora, także posługiwanie się w klauzuli informacyjnej pseudonimem nie wchodzi w grę. Pozdrawiamy!

  11. Kamil

    Czy jeśli firma farmaceutyczna przyjmuje zgłoszenia działań niepożądanych leków na podstawie obowiązku określonego w Ustawie Prawo farmaceutyczne (ustawa wymienia dane jakie musza być uzyskane aby zgłoszenie było ważne) to czy przy pierwszym kontakcie z pacjentem np. przez telefon możemy pobrać jego dane w zakresie przewidzianym w/w ustawą bez jego zgody (przez telefon nam jej nie podpisze).

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, na takie działania nie jest wymagana zgoda. Jednak należy spełnić obowiązek informacyjny. Pozdrawiamy!

  12. Justyna

    Dzień dobry,

    Czy to prawda, że na wywieszenie imion i nazwisk lekarzy na drzwiach gabinetu trzeba mieć Zgodę lekarza? Biorąc pod uwagę to że podmiot leczniczy ma obowiązek podania grafików pracy to mamy tutaj sprzeczność. Czy to też znaczy czy w innych branżach np na powiększeniu na wewnętrznej tablicy imiona i nazwiska osoby prowadzącej zajęcia z logopedii bądź imiona i nazwiska pań prowadzące grupy przedszkolne też wymagana jest zgoda?

    1. Kancelaria Lex Artist

      Dzień dobry. Sądzimy, że można byłoby to oprzeć na prawnie uzasadnionym interesie administratora danych. Wówczas zgoda nie byłaby wymagana. Pozdrawiamy!

  13. Paweł

    Witam, dzisiaj dowiedziałem się, że w naszym instytucie badawczym podstawą funkcjonowania monitoringu ma być ustawa o ochronie osób i mienia, a nie np. art. 6 ust. 1 lit. e RODO. Pani prawnik nie wskazała jednak artykułu… czy podanie RODO a nie ustawy w klauzuli informacyjnej to błąd?

    1. Kancelaria Lex Artist

      Dzień dobry. Podstawą prawną przetwarzania danych osobowych jest zawsze przepis RODO. Jeśli jednak podstawą jest art. 6 ust. 1 lit. c RODO (obowiązek prawny ciążący na administratorze danych), to należy wskazać akt prawny, z którego ten obowiązek wynika. Pozdrawiamy!

  14. Paweł

    Dziękuję! Problem w tym, że w ustawie o ochronie osób i mienia nie znajduje żadnego uzasadnienia funkcjonowania monitoringu w naszej firmie.. czy w takiej sytuacji można powołać się na Kodeks pracy? lub RODO art 6. ust. 1 lit. 3?

Zostaw odpowiedź