Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Jest to pierwsza część artykułu - poradnika poświęconego stosowaniu obowiązków informacyjnych zgodnych z RODO. Poniżej lista artykułów z cyklu "Obowiązek informacyjny w RODO":

Informowanie osób, których dane dotyczą o przetwarzaniu ich danych osobowych, stanowi jeden z podstawowych obowiązków administratora danych.

Tylko osoba skutecznie poinformowana, jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)(dalej: Rozporządzenie lub RODO) wprowadza istotne zmiany w zakresie problematyki informowania podmiotów danych o przetwarzaniu danych osobowych ich dotyczących.

Zmiany odnoszą się przede wszystkim do zakresu informacji, do których przekazania zobowiązany jest administrator, a także momentu, w którym te informacje powinny zostać przekazane.

Tak jak to miało miejsce w poprzednich publikacjach, w których omawialiśmy zagadnienia związane z nowym Rozporządzeniem, również i w niniejszym artykule, temat obowiązku informacyjnego zostanie przedstawiony w ujęciu porównawczym, tj. w odniesieniu do wymogów określonych w aktualnie obowiązującej Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: UODO).

Moment aktualizacji obowiązku informacyjnego

Kluczowe dla prawidłowości realizacji obowiązku informacyjnego, jest określenie momentu jego aktualizacji, tj. sytuacji, kiedy administrator danych jest zobowiązany przedstawić osobie, której dane dotyczą informacje związane z przetwarzaniem jej danych osobowych.

Obowiązek informacyjny aktualizuje się w trzech sytuacjach:

  • przy zbieraniu danych, od osoby, której dane dotyczą;
  • przy zbieraniu danych w sposób inny niż od osoby, której dane dotyczą;
  • przez cały okres przetwarzania danych osobowych (w związku z prawem dostępu przysługującym osobie, której dane dotyczą).

W niniejszym artykule skupimy się na dwóch pierwszych sytuacjach, które wiążą się ze stosowaniem przez administratora tzw. klauzul informacyjnych (komunikatów dotyczących przetwarzania danych osobowych). Prawa osób, których dane dotyczą, w tym prawo dostępu do danych, zostaną omówione w dalszych artykułach z cyklu.

Nie masz czasu na samodzielne opracowywanie klauzul zgodnych z RODO? Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody na przetwarzanie danych osobowych.

Sprawdź

Zbieranie danych, od osoby, której dane dotyczą

Gromadzenie danych od osoby, której dane dotyczą, jest najczęstszym sposobem pozyskiwania danych przed administratorów. Będziemy mieli z nim do czynienia przede wszystkim wtedy, kiedy podmiot danych świadomie dostarcza administratorowi swoje dane (np. przy wypełnianiu papierowego kwestionariusza, formularza online , czy też w rozmowie telefonicznej z konsultantem). Z tzw. pierwotnym gromadzeniem danych mamy również do czynienia wówczas, kiedy administrator sam pozyskuje dane na skutek obserwacji zachowania danej osoby (np. przy wykorzystaniu kamer, urządzeń GPS lub innych zautomatyzowanych urządzeń lub oprogramowania).

Przekazanie podmiotowi danych informacji o przetwarzaniu jego danych osobowych, powinno nastąpić w momencie gromadzenia tych danych.

O ile art. 13 ust. 1 RODO wprost wskazuje na ten właśnie moment, to obecnie regulujący tę kwestię art. 24 UODO milczy na ten temat. Nie oznacza to jednak, że Rozporządzenie wprowadza w tym zakresie nowe wymogi, gdyż pomimo braku jasno zdefiniowanego terminu, interpretacja przepisu UODO sprowadza się do tego samego stanowiska.

RODO zobowiązuje dodatkowo administratora do udzielania podmiotom danych określonych informacji dotyczących przetwarzania danych osobowych, w sytuacji, kiedy planuje on dalej przetwarzać te dane w celu innym niż cel, w którym zostały pierwotnie zebrane. Wówczas informacji udziela się przed takim dalszym przetwarzaniem.

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą, polega na pozyskaniu danych z innych źródeł. Przy tzw. wtórnym gromadzeniu danych, administrator może skorzystać m.in. ze źródeł powszechnie dostępnych (np. publicznych rejestrów), jak również ze współpracy z innymi podmiotami (np. kupno bazy marketingowej od innego administratora). W praktyce oznacza to, że podmiot danych, co do zasady, nie uczestniczy świadomie w procesie gromadzenia jego danych przez administratora.

Należy jednak zaznaczyć, że przypadki, kiedy źródłem informacji jest podmiot działający w imieniu i na rzecz osoby, której dane dotyczą (np. działanie rodzica jako przedstawiciela ustawowego) należy interpretować jako przypadki pierwotnego gromadzenia danych.

Zgodnie z art. 25 ust. 1  UODO, obowiązek poinformowania powinien zostać spełniony bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie.

RODO w sposób odmienny niż UODO definiuje powyższy termin. Zgodnie z art. 14 ust. 3 RODO, informacje o przetwarzaniu danych osobowych, administrator danych podaje podmiotowi danych:
  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Administrator który gromadzi dane z innych źródeł niż osoba, której dane dotyczą powinien przekazać tej osobie, wszystkie niezbędne informacje w tzw. rozsądnym terminie po uzyskaniu danych, jednak nie później niż w ciągu miesiąca od tej chwili. Termin powinien być oceniany jako rozsądny, przy uwzględnieniu konkretnych (faktycznych) okoliczności przetwarzania danych osobowych, w oparciu o obiektywne kryteria. Oznacza to tyle, że administrator powinien dążyć do jak najszybszego spełnienia obowiązku informacyjnego wobec podmiotu danych, biorąc pod uwagę dostępne na chwilę pozyskania danych środki.

Niezależnie od powyższego, przekazanie informacji powinno nastąpić nie później niż w terminie miesiąca od zgromadzenia danych. Termin ten należy traktować jako ogólny graniczny termin przekazania informacji, który będzie również znajdował zastosowanie do kolejnych punktów.

Najlepsze na rynku szkolenia e-learningowe. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną widzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Oznacza to, że jeżeli pierwsza komunikacja z osobą, której dane dotyczą lub pierwsze ujawnienie jej danych innemu podmiotowi, planowane jest przez administratora przed upływem jednego miesiąca po uzyskaniu danych, wówczas informacje muszą zostać dostarczone najpóźniej w chwili tego kontaktu lub ujawnienia jej danych, niezależnie od tego, że jeden miesiąc od momentu uzyskania danych nie wygasł.

Jeżeli natomiast pierwszy kontakt lub ujawnienie danych administrator planuje później niż miesiąc po uzyskaniu danych osobowych, nadal obowiązuje go termin wskazany w punkcie pierwszym, tj. stosowne informacje muszą zostać przekazane osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od  otrzymania danych.

Zakres informacji przekazywanych osobie, której dane dotyczą

Teraz zajmijmy się kluczowym elementem obowiązku informacyjnego – czyli jego treścią. Zakres informacji do, których przekazania zobowiązany jest administrator, różni się w zależności od sytuacji, w której aktualizuje się obowiązek informacyjny.

Zbieranie danych, od osoby, której dane dotyczą

UODO RODO
Podstawa prawna art. 24 ust. 1 art. 13 ust. 1 i 2
Zakres przekazywanych informacji 1) adres i pełna nazwa administratora, a w przypadku gdy administratorem danych jest osoba fizyczna – miejsce zamieszkania oraz jej imię i nazwisko;

2) cel zbierania danych;

3) znani w czasie udzielania informacji lub przewidywani odbiorcy lub kategorie odbiorców danych;

3) informacja o prawie dostępu do treści danych oraz ich poprawiania;

4) informacja o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej;

1) tożsamość i dane kontaktowe administratora;

2) gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;

2) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

3) cele przetwarzania danych osobowych;

4) podstawy prawne przetwarzania;

5) jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy;

6) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

7) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania;

8) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

9) informacje o przysługujących osobie, której dane dotyczą prawach;

10) jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem;

11) informacje o prawie wniesienia skargi do organu nadzorczego;

12) informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

13) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;

Już na pierwszy rzut oka widać, że Rozporządzenie znacznie rozszerza zakres obowiązku informacyjnego. Podmiot danych ma zostać nie tylko w sposób kompleksowy poinformowany o procesach przetwarzania jego danych osobowych, ale również o przysługujących mu związku z tym przetwarzaniem prawach, możliwych do podjęcia działaniach (skarga do organu nadzoru), jak i konsekwencjach jakie niesie dla niego dokonywane przetwarzanie.

Informując osobę, której dane dotyczą o swojej tożsamości i siedzibie, administrator powinien przekazać takie swoje dane, które będą mogły w łatwy sposób go zidentyfikować i zostać wykorzystane do nawiązania z nim kontaktu. Przykładowo, nie zaleca się stosowania skrótu nazwy, jeżeli nie umożliwia on jednoznacznej identyfikacji podmiotu. To co natomiast należy zarekomendować, to podanie danych, które umożliwiają skorzystanie z różnych form komunikacji (np. adres email, numer telefonu, adres strony internetowej).

Takie same uwagi odnoszą się do wskazania przedstawiciela administratora danych (wymóg wyznaczenia przedstawiciela dotyczy administratorów nie mających siedziby w Unii Europejskiej).

W sytuacji, kiedy w administrator w swojej strukturze powołał inspektora ochrony danych (dalej: IOD), zobowiązany jest on do przekazania jego danych kontaktowych. Dane kontaktowe IOD powinny umożliwiać osobom, których dane dotyczą, nawiązanie z nim kontaktu w łatwy sposób (adres korespondencyjny, telefon kontaktowy, dedykowany adres email).

Art. 13 RODO nie wymaga publikowania imienia i nazwiska IOD. Zamieszczenie takich informacji w przekazywanej podmiotowi danych klauzuli informacyjnej należy traktować jedynie jako dobrą praktykę.

Decyzja o tym, czy udostępnienie tych danych może być konieczne lub pomocne, powinna zostać podjęta wspólnie przez administratora oraz IOD. Należy zwrócić uwagę, że zamieszczenie tego typu informacji na formularzach czy kwestionariuszach, za pomocą, których zbierane są dane osobowe, może okazać się na dłuższą metę niepraktyczne. Zmiana personalna na stanowisku IOD, każdorazowo wymagałaby bowiem zmiany stosowanych formularzy. O ile łatwo tego dokonać w przypadku dokumentów w formie elektronicznej, to w przypadku dokumentów w formie papierowej jedynym rozwiązaniem byłoby ich zniszczenie i zastąpienie nowymi, co może generować dość duże koszty.

Cele przetwarzania danych osobowych powinny zostać wskazane przez administratora w sposób precyzyjny w oparciu o istniejący w tym zakresie stan faktyczny. Z uwagi na zasadę przejrzystości, nie jest dopuszczalne wskazywanie celów przetwarzania na zapas (więcej o zasadach przetwarzania na gruncie RODO w artykule: https://blog-daneosobowe.pl/nowe-zasady-przetwarzania-danych-wg-rodo/

Tym samym, nieprawidłowym będzie wskazanie w klauzuli informacyjnej, że dane osobowe mogą być przetwarzane w jakimś celu (np. marketingowym). Takie zwroty mogą powodować, że podmiot danych nie będzie miał pewności co do tego w jakich konkretnie celach jego dane są rzeczywiście wykorzystywane. Zaleca się zatem posługiwanie zwrotami typu: dane osobowe będą / przetwarzane w jakimś celu (np. marketingowym).

Wskazując podstawy przetwarzania danych należy odnieść się do przesłanek legalizujących wskazanych w art. 6 oraz 9 RODO (więcej o podstawach przetwarzania na gruncie RODO w artykule: https://blog-daneosobowe.pl/rodo-a-legalnosc-przetwarzania-danych/). Jeżeli  przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, należy wskazać jakie konkretnie interesy legalizują to przetwarzanie. Dodatkowo, w ramach dobrej praktyki, w sytuacji, jeżeli podstawę przetwarzania będzie stanowiło wypełnianie obowiązku prawnego ciążącego na administratorze, należałoby wskazać konkretny przepis, z którego ten obowiązek wynika.

Tak jak to miało miejsce na gruncie UODO, tak i RODO nakłada obowiązek informowania podmiotów danych o odbiorcach lub o kategoriach odbiorców ich danych osobowych, jeżeli takowi istnieją.

To co stanowi novum w tym zakresie, to rozszerzenie przez Rozporządzenie definicji odbiorcy danych. Do kręgu odbiorców RODO zalicza nie tylko podmioty, którym dane osobowe są udostępniane, ale również podmioty, którym administrator powierzył przetwarzanie danych osobowych. Oznacza to, że klauzula informacyjna powinna zawierać dane o wszystkich podmiotach, którym administrator przekazuje przetwarzane przez siebie dane osobowe. Pomimo tego, że RODO nie wymaga podania pełnych danych tych podmiotów, dopuszczając wymienianie tylko ich kategorii to punktem wyjścia, w ramach realizacji powoływanej już zasady przejrzystości, powinna być jednak próba konkretnego zdefiniowania tych podmiotów. Jeżeli administrator decyduje się na wskazanie jedynie kategorii odbiorców, powinien być w stanie wykazać, dlaczego uważa, że takie rozwiązanie będzie dla odbiorcy informacji zrozumiałe.

Umowa powierzenia

Instrukcja wypełniania i gotowy szablon umowy powierzenia zgodnej z RODO. Działaj na sprawdzonym szablonie i wytycznych, których autorem są eksperci Kancelarii Lex Artist – lidera na rynku ochrony danych osobowych.

Sprawdź

Podczas podawania informacji o odbiorach danych, administrator powinien zwrócić uwagę, czy któryś z tych podmiotów nie ma siedziby w państwie trzecim (poza Europejskim Obszarem Gospodarczym). Jeżeli tak, wówczas katalog przekazywanych informacji powinien zostać rozszerzony dodatkowo o informacje o zamiarze przekazania danych osobowych do tego państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Kwestie związane z przekazywaniem danych do państw trzecich zostaną omówione w osobnym artykule z cyklu.

Kolejnym elementem klauzuli informacyjnej, jest wskazanie przez administratora okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriów ustalania tego okresu. W tym zakresie należy pamiętać o tym, że okresy te mogą się od siebie różnić w zależności od tego jaki jest cel przetwarzania danych. Jeżeli gromadzone dane będą przetwarzane w różnych celach, należy wskazać okresy przechowywania danych dla tych różnych celów. Administrator może dopełnić tego obowiązku poprzez wskazanie konkretnych dat (np. do 31 grudnia 2018 r.), przedziałów czasowych (np. przez okres 5 lat, przez okres obowiązywania zawartej umowy, etc.) lub sytuacji (np. do czasu wycofania zgody, do czasu wniesienia sprzeciwu, etc.).

Na gruncie RODO osoba, której dane dotyczą powinna zostać również poinformowana o przysługujących jej prawach, tj. prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, a także prawie do wniesienia skargi do organu nadzorczego. Pomimo, że nie jest to wprost wymagane przez RODO, informując podmiot o przysługujących mu prawach, administrator w ramach dobrych praktyk powinien również wskazać mu, jakie kroki powinien on podjąć, aby móc z tego prawa realnie skorzystać (np. wskazując dane  kontaktowe do organu nadzoru).

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien przekazać osobie, której dane dotyczą informacje o prawie do cofnięcia tej zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed jej cofnięciem.

W sytuacji, jeżeli dane gromadzone są w związku z wymogiem ustawowym lub umownym lub pod warunkiem zawarcia umowy, a osoba, której dane dotyczą, jest zobowiązana do podania tych danych, administrator powinien ją o tym poinformować oraz dodatkowo wskazać jakie są ewentualne konsekwencje niepodania przez nią danych osobowych.

Możliwą konsekwencją niepodania danych może być przykładowo brak możliwości zawarcia umowy (w sytuacji jeżeli podmiot odmawia przekazania danych identyfikujących). W tym zakresie należy podkreślić, że ten element klauzuli informacyjnej, nie może być wykorzystywany przez administratorów do wymuszania podania przez osoby, których dane dotyczą szerszego zakresu danych niż jest to niezbędne dla celu przetwarzania (np. zastrzeganie adresu email jako niezbędnego do zawarcia umowy).

Ostatni z punktów art. 13 RODO wymaga od administratora dostarczania podmiotowi danych konkretnych informacji o automatycznym podejmowaniu decyzji, opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołujących wobec tego podmiotu skutki prawne lub w podobny sposób istotnie na niego wpływających (art. 22 RODO).

Kwestii zautomatyzowanego podejmowania decyzji oraz profilowania, poświęcony zostanie osobny artykuł z naszej serii publikacji o RODO. Na potrzeby tego artykułu warto zasygnalizować jedynie, że decyzje oparte na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, są obecnie powszechnie wykorzystywane w obszarach takich jak sektor bankowy, ubezpieczeń czy zdrowia. Decyzje takie podejmowane są przy wykorzystaniu dedykowanych algorytmów m.in. na potrzeby scoringu kredytowego, określania limitów na kartach kredytowych, etc. Jeżeli administrator podejmuje takie decyzje, musi:

  • przekazać osobie, której dane dotyczą, informacje że wykonuje na jej danych tego typu działania oraz określić ich cel;
  • dostarczać istotnych informacji o regułach podejmowania takich decyzji, w szczególności czynnikach wpływających na określoną treść decyzji;
  • wyjaśnić znaczenie i przewidywane konsekwencje takiego przetwarzania.

Zbieranie danych w sposób inny niż od osoby, której dane dotyczą

UODO RODO
Podstawa prawna art. 25 ust. 1 art. 14 ust. 1 i 2
Zakres przekazywanych informacji 1) adres i pełna nazwa administratora, a w przypadku gdy administratorem danych jest osoba fizyczna – miejsce zamieszkania oraz jej imię i nazwisko;

2) cel i zakres zbierania danych;

3) znani w czasie udzielania informacji lub przewidywani odbiorcy lub kategorie odbiorców danych;

3) informacja o źródle danych;

4) informacja o prawie dostępu do treści danych oraz ich poprawiania;

4) informacja o prawie do wniesienia umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania;

1) tożsamość i dane kontaktowe administratora;

2) gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora;

3) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

4) cele przetwarzania danych osobowych;

5) podstawy prawne przetwarzania;

6) kategorie odnośnych danych;

7) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

7) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania;

8) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

9) jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy;

10) informacje o przysługujących osobie, której dane dotyczą prawach;

11) jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem;

12) informacje o prawie wniesienia skargi do organu nadzorczego;

12) źródło pochodzenia danych, a gdy ma to zastosowanie informacja czy dane pochodzą ze źródeł publicznie dostępnych;

13) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;

Podobnie jak to ma miejsce w przypadku pierwotnego gromadzenia danych, RODO znacznie rozszerza katalog informacji jakie administrator danych powinien przekazać podmiotowi, przy wtórnym gromadzeniu jego danych.

Część z tych informacji pozostaje analogiczna do informacji podawanych w przypadku zbierania danych osobowych bezpośrednio od osoby, której dane dotyczą (dot. to m.in. informacji o administratorze, inspektorze ochrony danych, celach i podstawach przetwarzania, etc.).

W przypadku wtórnego pozyskiwania danych RODO rozszerza katalog przekazywanych informacji o kategorie odnośnych danych osobowych oraz wskazanie źródła ich pochodzenia.

Poprzez pojęcie kategorie odnośnych danych należy rozumieć kategorie danych osobowych pozyskanych przez administratora z innego źródła. Kategorie tych danych mogą zostać wskazane dwojako, albo poprzez wskazanie typów i rodzajów danych (np. dane identyfikacyjne, dane pracownicze) albo poprzez wskazanie zakresu informacji (np. imię, nazwisko, email, adres). Biorąc pod uwagę zasadę przejrzystości przetwarzania danych zasadnym będzie przyjęcie przez administratora drugiego ze wskazanych rozwiązań.

Źródło pochodzenia danych powinno zostać określone przez administratora w sposób jak najbardziej  precyzyjny, tak aby podmiot danych mógł je w sposób poprawny zidentyfikować, bez konieczności podejmowania w tym zakresie nadmiernych działań. W sytuacji, kiedy administrator danych pozyskał dane z różnych źródeł, RODO (motyw 61) dopuszcza przedstawienie tych źródeł w sposób ogólny. Sytuacja taka powinna jednak stanowić wyjątek, a niemożność podania źródła powinna oznaczać okoliczność  o charakterze obiektywnym, a nie stanowić subiektywne odczucie administratora (jak np. konieczność skrócenia klauzuli z uwagi na ograniczoną ilość znaków w przesyłanej do podmiotu danych wiadomości).

Druga część informacji dotyczących obowiązku informacyjnego już za tydzień!

 

Powiązane artykuły

Obowiązek informacyjny w RODO cz. 3
Obowiązek informacyjny w RODO cz. 2
Rejestr Czynności Przetwarzania – mapowanie procesów

294 Odpowiedzi

  1. Artur

    Artykuł 14 ustęp 5 RODO przewiduje wyłączenia obowiązku informacyjnego. Są wskazane m.in. takie sytuacje, jak to że fakt spełnienia obowiązku informacyjnego może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. Jeżeli więc wierzyciel dostanie nowe informacje o stanie majątkowym, miejscu przebywania lub stanie zdrowia dłużnika (od sąsiadów, komornika itp.), to czy może nie przekazywać takiej informacji dłużnikowi, gdy mogłoby to utrudnić odzyskanie należnych pieniędzy?
    Dodatkowo, czy art. 15 ust. 5 d) może odnosić się do tajemnicy bankowej?

    1. Kancelaria Lex Artist

      Dzień dobry. W zakresie pierwszego pytania – wszystko zależy od tego, czy dane o sytuacji finansowej, które zostały pozyskane potraktujemy jako nowe dane osobowe, czy też dane zaktualizowane. W drugim przypadku obowiązek informacyjny w ogóle nie istnieje, ponieważ nie mamy wówczas do czynienia z pierwotnym zebraniem danych. W pierwszym natomiast z czysto prawnego punktu widzenia obowiązek taki istnieje. Prosimy jednak pamiętać, że osoba, której dane dotyczą, z uwagi na relację wierzyciel-dłużnik, nie będzie mogła skorzystać z niektórych uprawnień, w które wyposaża ją RODO (np. w prawo do sprzeciwu wobec przetwarzania danych, czy prawo do bycia zapomnianym). Co do drugiego pytania – dokładnie tak. 🙂 Pozdrawiamy!

  2. Aga

    Mam może banalne pytanie, ale w natłoku informacji już nie mam pewności. Jeśli zbieram tylko podstawowe dane klienta – nazwisko, adres, telefon, które są wykorzystywane tylko w celu realizacji umowy zakupu , to czy muszę od niego uzyskać zgodę?
    I druga kwestia – czy od pracowników, których dane są zbierane i wykorzystywane tylko na potrzeby związane z zatrudnieniem , czy od nich też muszę mieć zgodę? Wiem , że jeśli chciałabym wykorzystać ich zdjęcie np. w firmowej korespondencji , to wtedy zgoda na to jest konieczna.
    Z góry dziękuję i pozdrawiam 😉

      1. Magda

        Czy przy przewarzaniu danych osobowych pracowników szerzej niz pozwala na to prawo pracy (np.wizerunek) zgoda pracownika faktycznie nie jest wymagana?

        1. Kancelaria Lex Artist

          Dzień dobry. Jeśli chodzi o wizerunek, wszystko zależy od tego, w jakim celu ten wizerunek będzie przetwarzany. Przykładowo – jeśli planują Państwo przetwarzać wizerunek pracowników na kartach identyfikacyjnych w celu zapewnienia bezpieczeństwa na terenie zakładu pracy, to jest to dopuszczalne bez zgody pracowników, jednak informację o przetwarzaniu wizerunku należy wtedy zawrzeć w zapisach Regulaminu Pracy. Natomiast jeśli np. wizerunek pracowników miałby być wykorzystany w komunikacji promocyjnej z Klientem (choćby na stronie internetowej Państwa firmy), to wówczas koniecznym byłoby pozyskiwanie od pracowników zgody na przetwarzanie wizerunku. Proszę pamiętać również o tym, że wizerunek (oprócz przepisów o ochronie danych osobowych) chroniony jest także przepisami ustawy o prawie autorskim i prawach pokrewnych. Pozdrawiamy!

  3. Michał

    Biuro rachunkowe (mój procesor) poinformowało mnie, że w bazie ich programu są dane archiwalne dotyczące mojego przedsiębiorstwa, które zgodnie z prawem powinny być nadal przechowywane. Chodzi tutaj zarówno o dane osobowe byłych pracowników, zleceniobiorców, jak również o dane byłych kontrahentów (osób fizycznych) w postaci informacji zawartych w wystawionych przez nich lub dla nich fakturach (na fakturach są zarówno dane kontrahenta ujawnione w CEiDG, jak i inne informacje, takie jak: numer rachunku bankowego, rodzaj wykonanej usługi, czy też jej wartość – te informacje są również w bazie programu księgowego). Biuro zwróciło mi uwagę, że przed 25 maja powinienem wypełnić obowiązek informacyjny (art. 13 RODO) wobec tych osób – jest to spora liczba osób. Czy faktycznie jestem zobowiązany do poinformowania tych osób o przetwarzaniu zgodnie z RODO? Czy przyjmując fakturę od nowego kontrahenta (osoby fizycznej) powinienem przedstawić tej osobie informacje zgodnie z art. 13 RODO (w tym podać dane biura rachunkowego jako odbiorcy danych osobowych)?

    1. Kancelaria Lex Artist

      Dzień dobry. Z czysto prawnego punktu widzenia powinien Pan dopełnić obowiązku informacyjnego zarówno wobec osób, których dane Pan już posiada, jak i od osób, których dane Pan pozyska po 25 maja 2018 r. Zdajemy sobie jednak sprawę, iż co do osób, które są np. w archiwach, z praktycznego punktu widzenia może się to nawet okazać niewykonalne. W tym zakresie pozostaje czekać na ewentualne rekomendacje organu nadzoru. Natomiast po 25 maja, wystawiają faktury czy podpisując z kimś umowę, powinien zostać spełniony obowiązek informacyjny zgodny z art. 13 RODO, który m. in. zakłada podanie odbiorców danych lub przynajmniej ich kategorii. To oznacza, że nie musi Pan np. wskazywać konkretnego biura rachunkowego, lecz samą “kategorię” odbiorców czyli np. “biura rachunkowe, spółki/firmy prowadzące obsługę rachunkowo-księgową” lub podobne. Pozdrawiamy!

      1. Michał

        Bardzo dziękuję za wyczerpującą odpowiedź. Czy są Państwu znane jakieś wytyczne albo wskazówki, jak w praktyce wypełnić obowiązek informacyjny w sytuacji, gdy administrator przyjmuje fakturę od osoby fizycznej, np. za zakupy w sklepie spożywczym, którego właścicielem jest osoba fizyczna albo za wymianę opon itp. Dane tej osoby będą przetwarzane do celów księgowych. Czy od 25 maja należy mieć zawsze pod ręką formularz z informacją i po dokonaniu zakupu przekazać go sprzedawcy oraz poprosić sprzedawcę o potwierdzenie podpisem faktu zapoznania się z nim? Czy też w przypadku przyjmowania faktur od dostawców tego obowiązku nie będzie?

        1. Kancelaria Lex Artist

          Mamy takie informacje i wskazówki, natomiast jest to już usługa płatna. 🙂 Najlepiej informację zamieścić razem z fakturą. Pozdrawiamy!

      2. Michał Be

        Dzień dobry, jaka jest podstawa prawna dochowania obowiązku informacyjnego w przypadku osób, których dane osobowe już posiadam? art. 13 ust. 1 RODO wskazuje, iż obowiązek informacyjny aktualizuje się ,,podczas ich pozyskiwania”.

        1. Kancelaria Lex Artist

          Dzień dobry. Tak też przyjmujemy w Lex Artist – wobec osób, których dane osobowe były przetwarzane przez administratora danych, przed rozpoczęciem stosowania RODO, nie ma nakazu dopełnienia ponownie obowiązku informacyjnego. Pozdrawiamy!

  4. Kasia

    Mam pytanie – jak informować klientów w obowiazku informacyjnym z art.13 RODO o okresie przetwarzania ich danych w newsletterze? od czego ten okres zależy? jak liczyć ten okres?

    1. Kancelaria Lex Artist

      Dzień dobry. Przetwarzanie danych w newsletterze odbywa się na podstawie zgody osoby, której dane dotyczą. Wobec tego jako okres przetwarzania danych w tym zakresie należy wskazać, że dane będą przetwarzane do momentu wycofania zgody. Pozdrawiamy!

  5. Sylwek

    Długi artykuł jak na sam obowiązek informacyjny (ale jednak czytelny), jednak RODO bardzo zwiększa zakres pobieranych danych. W związku z obowiązkiem (który może wynikać ze zgody), mam pytanie o wizytówkę. Czy potrafi mi Pan/i odpowiedzieć na jedno pytanie: na targi jedzie Dyrektor Sprzedaży, czy może on dysponować wizytówkami innej osobie w firmie (takimi danymi jak imię i nazwisko przedstawiciela handlowego, który mu podlega?). Czy może też przekazać kontakt (imię nazwisko, telefon, mail) np: do Działu Technicznego swojej firmy. Bo jednak Dyrektor nie dysponuje swoimi danymi osobowymi, ale z drugiej strony, trudno, żeby te czynności nie były podejmowane. Jaką podstawę prawną możemy ewentualnie zastosować: art 6.1.b czy art. 6.1.f??

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy, że mimo długości, artykuł jest czytelny. 🙂 Niestety, jeśli Pan spojrzy w zakres obowiązku informacyjnego w art. 13 RODO, to również jest on baaaardzo długi. 🙂 Jako podstawę prawną do opisywanego przez Pana stanu faktycznego można przyjąć prawnie uzasadniony interes (art. 6 ust. 1 lit f RODO), należy jednak zadbać o to, aby kontakty do pracowników, które Państwa Dyrektor dystrybuuje miały na celu relacje biznesowe (związane z Państwa firmą). Pozdrawiamy!

  6. Sylwek

    A takie pytanie. Dzwoni ktoś do centrali i chce rozmawiać z pracownikiem marketingu czy sprzedaży (nie mamy możliwości zidentyfikowania osoby dzwoniącej). Pracownik marketingu (czy sprzedaży) czasami się przedstawia (imię, nazwisko, firma-więc podaje automatycznie swoje dane osobowe), czy przełączenie z centrali (sekretariatu) do tej osoby można podłączyć pod prawnie uzasadniony interes (art. 6 ust. 1 lit f. RODO)? Druga sytuacja: do sekretariatu (działu HR) dzwoni urzędnik, informacje, które chce uzyskać z centrali/sekretariatu są danymi osobowymi pracownika firmy, czy mamy mu te dane podać (czy może zaproponować bezpieczniej kontakt mailowy?). Jeżeli nie możemy podać, ale numer, z którego dzwoni urzędnik łatwo zweryfikować, że jest to numer urzędu (bo jest na stronie urzędu; bo jest na platformie sprawozdawczej GUS;), czy wtedy możemy dane osobowe pracownika podać?

    1. Kancelaria Lex Artist

      Po odpowiedzi na bardziej złożone i wymagające poświęcenia więcej czasu kwestie zapraszamy do skorzystania z usługi konsultacji. 🙂 Pozdrawiamy!

  7. Firmy, które przetwarzają informacje mają teraz ogromny problem związany z wprowadzeniem regulacji o ochronie danych osobowych. Co prawda czytałem coś o zwolnieniu z tych regulacji małych i średnich firm, ale nie wiem dokładnie co z tego wyjdzie. Jeśli nie wiemy wszystkiego na pewno warto skorzystać z pomocy specjalistów.

  8. Aleksandra

    Dzień dobry, proszę o odpowiedź na pytanie czy obowiązek informacyjny względem klientów (osoby fizyczne prowadzące działalność gospodarczą) może zostać zrealizowany poprzez informację na stronie internetowej firmy? Czy powinniśmy raczej poinformować każdego klienta indywidualnie (co przyznam, że ze względu na ilość klientów może okazać się czasochłonne)?

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, jest taka możliwość, z tym że powinien być zamieszczony w miejscu widocznym dla wszystkich klientów. Jeśli np. realizują Państwo obowiązek informacyjny w związku z zakupem jakiegoś towaru w sklepie internetowym, to najlepiej będzie dopełnić obowiązku informacyjnego na stronie formularza zamówienia. Pozdrawiamy!

  9. Mirosław

    Dzień dobry, w sprawie RODO – jeśli pracodawca zleca badania profilaktyczne firmie medycznej, to administratorem danych jest pracodawca a firma medyczna jest podmiotem przetwarzającym dane na podstawie umowy powierzenia. Jednak w trakcie procesu badania profilaktycznego, firma medyczna pozyskuje dane medyczne od pracownika/pacjenta i nie przekazuje ich pracodawcy (jedynie końcowe orzeczenie). Jaka jest funkcja firmy medycznej w odniesieniu do powierzonych danych, a jaka w odniesieniu do pozyskanych przez siebie danych medycznych?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Jeżeli mamy do czynienia z badaniami profilaktycznymi, które pracodawca musi realizować na podstawie przepisów prawa pracy, to mamy wówczas do czynienia z udostępnieniem danych osobowych firmie medycznej, a nie z powierzeniem przetwarzania danych osobowych. Podstawą prawną jest art. 6 ust. 1 lit. c RODO (obowiązek prawny). Firma medyczna staje się wówczas odrębnym administratorem udostępnionych jej danych. Pozdrawiamy!

  10. Paweł

    Witam
    Mam takie pytanie w związku z obowiązkiem informacyjnym, posiadamy opracowane klauzule, czy po 25.05 musimy wysłać listy z nimi do wszystkich osób, których dane obecnie przetwarzamy. Są to dane przetwarzane na podstawie ustaw np. płatnicy opłat za wodę i ścieki. Czy można przyjąć inny schemat np. strona internetowa ale co z zasadą rozliczności.

    1. Kancelaria Lex Artist

      Dzień dobry. Dobrym pomysłem jest zamieszczenie klauzuli informacyjnej na Państwa stronie internetowej, jednak w celu zapewnienia rozliczalności proponujemy np. wysyłkę maila lub poczty do osób, których dane Państwo przetwarzają z informacją, iż pod danym adresem strony internetowej mogą uzyskać informacje, które są Państwo obowiązani podać zgodnie z art. 13 RODO. Pozdrawiamy!

  11. GABRIELA

    Dzień dobry, jeśli chcemy (albo raczej musimy) umieścić klauzulę informacyjną na stronie naszej instytucji (sektor finansów publicznych), to jaki mamy wskazać cel lub cele przetwarzania danych i ich podstawy prawne, skoro tych celów jest wiele?

    1. Kancelaria Lex Artist

      Dzień dobry. Cele powinny być dopasowane do zakresu danych, które są wykorzystywane w danym celu i każdy z nich powinien być wskazany w klauzuli informacyjnej. To samo tyczy się podstaw prawnych. Pozdrawiamy!

  12. Gabriela

    No właśnie, ale jeśli informacje umieszczamy na głównej stronie i piszemy tam, kto jest administratorem danych, inspektorem ochrony danych, jakie prawa ma osoba, której dane dotyczą… to mamy wymienić wszystkie cele, tzn np że dane będą przetwarzane w procesie rekrutacji i w każdym innym celu, który będzie miał zastosowanie w naszej firmie czy? pozdrawiam

    1. Kancelaria Lex Artist

      Obowiązek informacyjny w poszczególnych procesach realizowany może być w różnych miejscach, odpowiedź na pytania o konkretne cele/procesy wymaga znacznie szerszej analizy. Pozdrawiamy!

  13. Karol

    Witam

    Chciałbym się zapytać czy w myśl przepisów RODO nr telefonu stanowi dane wrażliwe?
    Przykład: w szkole odbywają się zapisy na kursy językowe i zainteresowani uczniowie proszeni są o podanie swojego imienia oraz nr telefonu do rodzica w celu kontaktu w związku z tym kursem, którym zainteresował się uczeń będzie możliwe po wprowadzeniu RODO ?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Nr telefonu nie stanowi szczególnej kategorii danych (tzw. danych wrażliwych), o których mowa w art. 9 RODO. Pozdrawiamy!

      1. Darek

        Witam,
        Proszę o uzupełnienie Państwa odpowiedzi, nie kryję iż mam wątpliwości ponieważ zarówno można zidentyfikować osobę po np: nr rejestracyjnym pojazdu ( i te dane są danymi wrażliwymi) jak i można zidentyfikować osobę po nr tel, ponieważ w myśl przepisów nie można zakupić karty SIM bez pełnej weryfikacji danych osobowych kupującego. Uprzejmie proszę o doprecyzowania Państwa stanowiska.
        Pozdrawiam.

        1. Kancelaria Lex Artist

          To, czy po jakichś danych możemy zidentyfikować daną osobę, nie przesądza o przynależności tej kategorii danych do tzw. danych wrażliwych (czy też jak mówi RODO “szczególnej kategorii danych”). Te szczególne kategorie danych wprost wskazuje art. 9 RODO: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetycznych, dane biometryczne lub dane dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Zatem w świetle RODO, zarówno nr telefonu, jak i przytoczony przez Pana nr rejestracyjny pojazdu nie stanowią szczególnych kategorii danych czyli tzw. danych wrażliwych. Pozdrawiamy!

  14. Paweł

    A co w przypadku, gdy instytucja publiczna korzysta z rejestrów np ZUS czy US, w celu przyznania świadczenia. Docelowo miało to być udogodnieniem dla klientów, którzy nie muszą przynosić stosownych zaświadczeń. Czy obecnie pozyskanie informacji z takiego rejestru, w trakcie procedury przyznawania np “becikowego”, będzie wymagało poinformowanie o tym fakcie klienta, który złożył wniosek?

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, jednak taki obowiązek można spełnić zamieszczając np. klauzulę informacyjną na wniosku o udzielenie świadczenia. Pozdrawiamy!

      1. Paweł

        Dziekuję. Mam jeszcze jedno pytania. W mojej instytucji posiadamy politykę bezpieczeństwa opartą na uodo, której nowelizacji póki co nie ma. Czy po wejściu RODO będzie mieć obowiązujące w jednym czasie dwa akty prawne w zakresie danych osobowych? Jeśli tak to, czy stosujemy akt europejski, czy oba?

        1. Kancelaria Lex Artist

          Dopóki nie zostanie uchwalona nowa ustawa o ochronie danych osobowych (stanowiąca uzupełnienie RODO), będzie obowiązywać obecna ustawa, jednak RODO jest rozporządzeniem unijnym, które jest bezpośrednio stosowane w krajach członkowskich. Jeśli przepisy obecnej UODO będą sprzeczne z przepisami RODO, to w razie kolizji stosujemy przepisy RODO. Pozdrawiamy!

  15. Kamil

    Dzień dobry. Pytanie odnośnie obowiązku informacyjnego pod prostym formularzem kontaktowym na stronie firmy: Jeżeli formularz ten służy wyłącznie odpowiedzi na zadane przez klienta pytanie i dane przez niego podane nie są przetwarzane do żadnych innych celów to czy zasadne jest podawanie tak rozbudowanej wielopunktowej klauzuli, którą proponuje RODO? Rozumiem, że w tej sytuacji lepiej się odwołać do regulaminu lub polityki prywatności poprzez umieszczenie np. informacji “W związku z wypełnieniem powyższego formularza przetwarzamy Twoje dane osobowe. O szczegółach dowiesz się z naszej polityki prywatności “link”.? Bo wydaje mi się dość absurdalnym, żeby pod prostym formularzem umieszczać jakąś rozbudowaną klauzulę, w której piszemy o podstawie prawnej, celu, administratorze, inspektorze, wszystkich prawach etc jeżeli danych na dobrą sprawę się później nie wykorzystuje.
    Proszę mnie też utwierdzić w przekonaniu, jeżeli takie dane chciałbym później jednak zachować w celu ponownego kontaktu z klientem np. w celu przedstawienia oferty w przyszłości to czy musi być pod formularzem klauzula zgody z checkboxem do zaznaczenia czy wystarczy jedynie sucha informacja że dane są zbierane również w tym celu?
    Z góry dziękuję za odpowiedź i pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli chodzi o drugie pytanie – tak, jest wymagane zebranie odrębnej zgody na przetwarzanie danych osobowych w celach marketingowych. Natomiast co do pierwszej kwestii – jest wiele różnych możliwości technicznych rozwiązania tego problemu. Pod formularzem można zamieścić np. (najlepiej wytłuszczony) napis “Klauzula informacyjna RODO” lub inny, gdzie po najechaniu kursorem rozwijałaby się pełna treść klauzuli. Pozdrawiamy!

      1. Kamil

        Dziękuję za odpowiedź. Jeszcze tylko celem doprecyzowania: czy w momencie zbierania danych jedynie w celu odpowiedzi na zadane pytanie w klauzuli informacyjnej jako podstawę prawną należy podać art. 6 ust 1 pkt f) czyli prawnie uzasadniony cel administratora? Jeśli tak to jak nazwać ten cel? Czy sama odpowiedź na zadane pytanie to już marketing bezpośredni?

  16. Krzysztof

    Dzień dobry,

    Jestem zwykłym “kowalskim” , nie mam firmy.
    Prowadzę bloga i w nim są komentarze gdzie ktoś podaje email nicka i komentuje jak ja teraz 🙂
    Jest formularz kontaktowy na stronie który działa podobnie imię, nazwisko nick email i wysyła się do mnie wiadomość.
    Czy mnie też dotyczą przepisy o rodo i muszę się bać ew. sankcji kar itd za nie dopełnianie obowiązku rodo informacyjnego czy czego tam jeszcze ?
    Jedynie jest na stronie o ciastkach wyskakujące info i nic więcej…

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. RODO nie ma potrzeby się bać. 🙂 Niemniej jednak zalecamy każdemu, kto przetwarza dane osobowe (nawet jeśli jest osobą fizyczną), aby dostosował się do jego przepisów. Pozdrawiamy!

  17. Martyna

    Dzień dobry! Czy w przypadku, kiedy organizator szkolenia (stowarzyszenie) zamierza robić zdjęcia podczas wydarzenia, przetwarzanie danych (wizerunku) można oprzeć o uprawniony interes administratora? Czy koniecznie musi być na to zgoda uczestnika? Pozdrawiam!

    1. Kancelaria Lex Artist

      Dzień dobry. Koniecznym będzie pozyskanie zgody na przetwarzanie danych osobowych w postaci wizerunku. Pozdrawiamy!

  18. Paweł

    Dzień Dobry. Czy w przypadku przetwarzania danych na podstawie ustaw, gdzie jest wyraźnie napisane że Wójt prowadzi rejestr (np rejestr mieszkańców), w klauzuli informacyjnej zamieszczamy prawo do usunięcia danych i prawo do wniesienia sprzeciwu wobec przetwarzania. Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Nie zamieszczamy, ponieważ prawa te nie przysługują osobie, której dane dotyczą, w wypadku przetwarzania danych osobowych na podstawie obowiązku prawnego ciążącego na administratorze danych osobowych. Pozdrawiamy!

  19. Mario

    Obowiązek informacyjny wypełniamy przy każdorazowym pozyskaniu danych? Np. przy składanych cyklicznie wnioskach w pomocy społecznej, dodatkach mieszkaniowych czy świadczeniach rodzinnych.
    Czy też trzeba spełnić obowiązek informacyjny wobec tych których dane już mamy w posiadaniu. Tych którzy składali wnioski wcześniej i mają trwające świadczenia, lub wygasłe.

    1. Kancelaria Lex Artist

      Dzień dobry. Wystarczy spełnić go przy pierwszym pozyskaniu danych od danej osoby. Zasadniczo powinno się spełnić taki obowiązek wobec osób, których dane Państwo już przetwarzają, a przynajmniej te elementy obowiązku informacyjnego, które są nowe w RODO (np. prawo do wniesienia skargi do organu nadzoru). Pozdrawiamy!

      1. Agnieszka

        Dzień dobry, jeżeli posiadamy dane osobowe wielu klientów zbierane w trakcie współpracy, ale nie mamy udokumentowanych zgód na przetwarzanie danych (często były to rozmowy telefoniczne nierejestrowane) czy musimy je w przypadku RODO na nowo udokumentować? Jesteśmy firmą handlowo usługową i jeżeli klient chce skorzystać z naszych usług to musi podać dane do realizacji usługi (adres firmy, imię nazwisko, tel, e-mail). Czy możemy domniemać, że składając zamówienie (pisemne lub telefoniczne) dobrowolnie podaje dane i jest to jednoznaczne z wyrażeniem zgody na przetwarzanie? W celu realizacji zamówienia musimy przekazać dane klienta kurierowi, często wraz z imieniem, nazwiskiem i nr telefonu. Czy musimy z firmą kurierską podpisać porozumienie na przekazanie danych? Jak powinno się fachowo nazywać? Z góry dziękuję

        1. Kancelaria Lex Artist

          Dzień dobry. Na przetwarzanie danych Klientów w celu wykonania umowy (zrealizowania usługi) nie jest wymagana zgoda na przetwarzanie danych osobowych, także uspokajamy w tym zakresie. 🙂 Jeżeli chodzi o kurierów, to przyjmujemy, iż mamy do czynienia z udostępnieniem danych osobowych osób, którym przesyłka ma być dostarczona. Pozdrawiamy!

          1. Sara

            Witam,
            Zgodna nie jest wymagana, a czy jest wymagany obowiązek informacyjny? Mam na myśli bardziej jednoosobowe działalności niż spółki 🙂

  20. Karolina

    Dzień dobry,
    1. Czy dane klienta kupującego towar na stronie internetowej, który to proces obsługuje zaprojektowany system, jest zautomatyzowanym przetwarzaniem danych osobowych?

    2. Czy należy w stopkach maili dodać klauzulę informacyjną? Jeśli tak jak zawrzeć tyle informacji w tak małym formacie?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry.

      1) Tak, ale na pytanie, czy mamy do czynienia z tzw. profilowaniem kwalifikowanym można odpowiedzieć wówczas, gdy odpowiemy sobie na pytanie, czy to zautomatyzowane przetwarzanie łącza się również z automatycznym podejmowaniem decyzji, które mają istotny wpływ na osobę, której dane dotyczą.

      2) Klauzulę informacyjną należy podać przy zbieraniu danych osobowych od osoby, której dane dotyczą. Decyzja, czy będzie to w stopce maila, czy w innym miejscu, należy do administratora danych. Nie jesteśmy specjalistami od spraw technicznych, więc w tej kwestii nie doradzimy. 🙂

      Pozdrawiamy!

  21. Bartłomiej

    Dzień dobry, a co z prawem “usunięcia lub ograniczenia przetwarzania” w przypadku umów o pracę? Przecież pracownik nie może tego zażądać. Czy informacje o tych prawach powinny się w ogóle znaleźć w przypadku informacji dla pracowników?

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli osoba, której dane dotyczą nie posiada zgodnie z RODO np. prawa do bycia zapomnianym, to nie trzeba zamieszczać informacji o tym prawie w klauzuli informacyjnej. Pozdrawiamy!

  22. Agnieszka

    Mam pytanie może nietypowe. Jak wygląda sprawa wszelkich zgód i wymogów w przypadku, gdy np. Kowalski zbiera podpisy pod petycją w jakiejś sprawie. Przykładowo ostatnio w osiedlowym sklepie była wyłożona lista na którą każdy mógł się wpisać, dotycząca kwestii lokalnych. Tabela zawierała dane takie jak nazwisko, adres i Pesel. Czy w ogóle w myśl przepisów RODO można tak zbierać podpisy, czy np. Kowalski może przejść z taką listą wśród sąsiadów a potem przekazać je komuś, kto złoży je w Urzędzie którego sprawa dotyczy?

  23. Reja

    Dzień dobry,
    reprezentuję małą firmę. Mamy podpisane umowy o świadczenie usług z innymi przedsiębiorstwami. Umowy są podpisane przez osoby reprezentujące te przedsiębiorstwa i jak rozumiem ich realizacja stanowi podstawę do przetwarzania danych tych osób. Co z pracownikami tych firm? Najczęściej nie kontaktujemy się bezpośrednio z prezesem. Mamy dane pracowników, ich stanowiska i numery telefonów. Przetwarzamy zatem ich dane osobowe. Powinniśmy mieć ich zgodę, czy umowa pomiędzy firmami stanowi podstawę do przetwarzania danych pracowników? Będę bardzo wdzięczna za wyjaśnienie.

    1. Kancelaria Lex Artist

      Dzień dobry. To zależy w jakim celu przetwarzają Państwo dane osobowe swoich kontrahentów, jeśli świadczą Państwo dla nich usługi na zasadzie outsourcingu np. IT, kadry i płace lub podobne, to mamy konieczność zawarcia umowy powierzenia przetwarzania danych osobowych. Pozdrawiamy!

      1. Reja

        Dzień dobry. Prowadzimy dla firm usługi doradcze, ale żeby je realizować jesteśmy w kontakcie telefonicznym i mailowym z pracownikami tych firm. Rozumiem, że w tej sytuacji uzasadnieniem posiadania danych pracowników jest uzasadniony interes gospodarczy związany z umową z ich pracodawcą i żadne zgody czy klauzule nie są potrzebne. Zgadza się?

  24. Anka

    Witam serdecznie!

    Znakomite wpisy, bardzo rozjaśniają mroczny świat RODO 😉 Mam pytanie odnośnie obowiązku informacyjnego dla kontrahenta. Czy do każdej wystawionej faktury należy dołączyć w jakiś sposób klauzulę informacyjną?

    1. Kancelaria Lex Artist

      Dzień dobry i dziękujemy serdecznie za miłą opinię! 🙂 Do każdej faktury – nie, natomiast kontrahent, otrzymując pierwszą fakturę, powinien otrzymać razem z nią klauzulę informacyjną. Taką klauzulę można również zawrzeć np. w formularzu zamówienia. Pozdrawiamy!

  25. Krzysztof

    Dzień dobry, mam taką wątpliwość, w jaki sposób parafia powinna spełniać obowiązek informacyjny wobec członków Kościoła lub też innych osób, których dane przetwarza w związku wymogami określonymi w prawie kanonicznym lub państwowym ? A co w przypadku przetwarzania danych w innych celach, np. działalności charytatywnej ? Jak osoby te powinny być informowane o przetwarzaniu ich danych ?

    1. Kancelaria Lex Artist

      Dzień dobry. Pomocnym będzie art. 91 RODO, który mówi o tym, że jeżeli m. in. kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych, to zasady takie mogą być nadal stosowane, jeśli zostaną dostosowane do wymogów RODO. Większość parafii posiada dziś strony internetowe, nie ma więc przeszkód, aby tam zamieścić klauzulę informacyjną. Jeśli chodzi o działalność charytatywną, to ona często również odbywa się na drukach/formularzach, więc tam można zamieścić klauzulę informacyjną. Pozdrawiamy!

  26. Marta

    Witam, znalazłam już kilka cennych porad na Państwa stronie ale męczy mnie jedna wątpliwość 🙂 Zgodnie z RODO jeśli mamy z klientem podpisaną umowę na realizację zamówień to przetwarzamy jego dane zgodnie z prawem bo jest to niezbędne do wykonania naszej umowy. Ale jak się ma do tego obowiązek informacyjny Administratora Danych? Nie musimy podpisywać zgody na przetwarzanie (bo mamy umowę), ale mimo to musimy go poinformować o fakcie zbierania danych?

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy – staramy się jak najmocniej rozświetlać mroki RODO. 🙂 Tak, powinno się Klienta poinformować o przetwarzaniu jego danych. RODO stanowi jednak, że obowiązek informacyjny należy dopełnić w momencie zbierania danych. Tak więc, patrząc literalnie, wobec aktualnych Klientów takiego obowiązku nie będzie trzeba spełniać, ponieważ ich dane już Państwo zebrali przed rozpoczęciem stosowania RODO. Natomiast co do nowych Klientów tj. takich, z którymi podpiszą Państwo umowy po 25 maja (czego życzymy w jak największej ilości!), taką klauzulę informacyjną można zawrzeć np. jako załącznik do umowy. Pozdrawiamy!

  27. Anna

    Witam, RODO nie określa szczegółowo jak powinna być przeprowadzona analiza ryzyka przetwarzania danych osobowych… zatem czy może ona być prostą tabelą z wymienionymi ryzykami, nazwanymi aktywami, których ryzyko może dotyczyć, prawdopodobieństwem wystąpienia ryzyka oraz sposobami minimalizacji tego ryzyka?
    pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Tak – ponieważ RODO nie określa sposobu przeprowadzenia analizy, wybór sposobu i metodologii przeprowadzenia analizy ryzyka należy do administratora danych. Z wyborem wiąże się jednak odpowiedzialność za dobór odpowiedniej metody. Pozdrawiamy!

  28. dorota

    Dzień dobry, prowadzę jednoosobową działalność gospodarczą- sklep spożywczy (osiedlowy), zatrudniam kilka osób i chciałam zapytać, czy powinnam pracownikom pisać jakieś upoważnienia do przetwarzania danych osobowych. Mają one jedynie wgląd do faktur. korzystają też z terminala płatniczego przy transakcjach bezgotówkowych.

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli pracownicy maja m. in. wgląd do faktur, to powinni takie upoważnienia (choćby w najprostszej formie) otrzymać. Pozdrawiamy!

  29. vera

    Dzień dobry! Proszę o odp. na pytanie: czy pracodawca posiada obowiązek informacyjny, i w jakim zakresie, wobec aktualnie zatrudnionych jak i byłych pracowników?

    1. Kancelaria Lex Artist

      Dzień dobry. Przyjmujemy, że wobec aktualnie zatrudnionych osób, jak i byłych pracowników, nie istnieje wymóg dopełniania nowego obowiązku informacyjnego – obowiązek taki należy dopełnić w momencie zbierania danych osobowych. W dniu 25 maja nie będą Państwo zbierali danych osobowych obecnych czy byłych pracowników. Dopiero w razie zatrudniania nowych osób po 25 maja 2018 r. należy spełnić obowiązek informacyjny w nowym kształcie (art. 13 RODO). Pozdrawiamy!

  30. Barbara

    Dzień dobry, czy firma, która wyszukuje nowych, potencjalnych klientów np. ze strony internetowej krs-u lub innych stron, gdzie jest podane : imię, nazwisko i adres zamieszkania jest zobowiązana do powiadomienia takowej osoby o tym, że dana firma uzyskała jej dane z takiego źródła? Kiedy to zrobić? Czy można to uczynić dopiero wtedy, gdy zostanie do niej wysłała np. przesyłką pocztową oferta firmy i dołączyć do niej list z informacją o źródle pozyskania jej danych?
    Z góry dziękuję za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. Obowiązek informacyjny powinno się spełnić podczas zbierania danych osobowych. Pozdrawiamy!

  31. Maria

    Dzień Dobry. Proszę o odpowiedź na pytania: Prowadzę jednoosobową działalność gospodarczą – świadczenie usług doradczych / realizacja projektów. Nie zatrudniam pracowników i podwykonawców i usługi świadczę samodzielnie. Posiadam umowę o świadczenie usług z Klientem, którego personel przesyła informacje e-mailem z wizytówkami biznesowymi w stopkach e-maila i kontaktuje się ze mną telefonicznie w ramach prac związanych z realizacją usług. Współpraca z personelem Klienta jest konieczna do realizacji umowy o świadczenie usług z Klientem a w umowie Klient zobowiązuje się do udostępnienia wszelkich danych i informacji potrzebnych do świadczenia usług. Ponadto w umowie jest klauzula o poufności regulująca postępowanie dotyczące przekazywanych przez Klienta danych i ich udostępniania innym podmiotom. Czy zapisy Klauzuli o poufności są w tym przypadku nadrzędne i w takim przypadku nie są wymagane dodatkowe zgody? Czy w takim wypadku powinnam spełnić obowiązek informacyjny wobec personelu Klienta, który wymienia ze mną korespondencję e-mail czy obowiązek taki ciąży na samym Kliencie.?Czy powinnam dokonać innych czynności w stosunku do personelu Klienta lub samego Klienta?

    1. Kancelaria Lex Artist

      Dzień dobry. Występuje Pani w roli tzw. procesora (podmiotu przetwarzającego), a mamy do czynienia z relacją powierzenia przetwarzania danych osobowych. Należy zatem z Pani Klientem podpisać umowę powierzenia przetwarzania danych osobowych. Zgody osób nie są wymagane. Pozdrawiamy!

      1. ZK

        nie do końca rozumiem tą odpowiedź – w sytuacji gdy jest relacja zleceniodawca – zleceniobiorca i jest podpisana umowa określająca zakres zlecenia, dlaczego trzeba podpisywać dodatkową umowę powierzenia. w 99% przypadków, jeżeli są umowy / współpraca między firmami, to współpracują ze sobą pracownicy tych firm. Jeżeli do każdej umowy/zlecenia trzeba będzie dodatkowo podpisywać umowy powierzenia i informować pracowników o przetwarzaniu danych to oznaczałoby jakiś paraliż działalności biznesowej… Czy na pewno do każdej umowy z klientem trzeba podpisywać umowę powierzenia w sytuacji gdy jest kontakt z pracownikiem tej firmy?

        Pytanie 2: czy umowę powierzenia trzeba podpisywać z pocztą polską, kurierami – którym przecież przekazywane są listy/przesyłki zawierające dane osobowe klientów?

  32. Hania

    Czy obowiązuje w zamówieniach publicznych obowiązek “przypomnienia ” aby wykonawcy informowali swoich podwykonawców, że ich dane są przekazywane? Np. Ogłaszam przetarg, który wygrał Pan “Z”, ale Pan “Z” nie jest w stanie wykonać usługi sam i bierze sobie do pomocy Pana”Y”. Czy my przypominamy Panu Z”, że ma on obowiązek poinformowania Pana “Y”?

      1. Małgorzata

        Dzień dobry. Mam pytanie czy jeśli rozpatrujemy odwołanie na decyzję administracyjną, skargę, zażalenie, to czy mamy obowiązek informować stronę o przetwarzaniu jej danych osobowych jeśli postępowanie jest prowadzone zgodnie z KPA?

        1. Kancelaria Lex Artist

          Dzień dobry. Nie, ponieważ przy rozpatrywaniu odwołania nie zbierają już Państwo danych osobowych tych osób. Zostały one zebrane wcześniej podczas postępowania w I instancji. Pozdrawiamy!

  33. Jarosław

    Dzień dobry, chciałbym zapytać o obowiązek informacyjny względem klientów których mamy już w bazie.
    1) Przykładowo kilka lat temu firma dokonała zakupu od rolnika ryczałtowego. W celu wystawienia faktury rr zebrane zostały dane rolnika. Faktura wystawiona została na miejscu, nie bylo zadnej umowy. Dane klienta ciagle sa w naszej bazie – czy wzgledem niego mamy obowiązek informacyjny? Czy przy kolejnej transakcji z tym klientem po 25 maja mamy obowiązek informacyjny?

    2) Nasza firma dokonala zakupu na Allegro towaru od osoby fizycznej prowadzacej dzialalnosc gospodarcza.
    Dane osobowe zostały dodane do naszego systemu ksiegowego wraz z faktura – czy wobec takiego klienta mamy obowiązek informacyjny?

    1. Kancelaria Lex Artist

      Dzień dobry. Odpowiadamy:

      1) Nie ma takiej potrzeby.

      2) Tak, powinno się spełnić wówczas obowiązek informacyjny.

      Pozdrawiamy!

      1. Jarosław

        1) Czy gdybyśmy chcieli kontaktować się z tym klientem telefonicznie w celach przedstawienia nowej ofert itp to należy wykonać obowiązek informacyjny?

        2) Czy w drugiej sytuacji ma znaczenie czy transakcja została dokonana przed 25 maja? Nie do końca rozumiem czemu w sytuacji 1 nie ma obowiązku, a w sytuacji 2 jest obowiązek.

  34. Gabriela

    Witam,
    czy tak skonstruowany obowiązek informacyjny jest poprawny?
    Informujemy, że Administratorem Pani/Pana danych osobowych jest ………….., adres siedziby ………
    Dane kontaktowe Inspektora Ochrony Danych …………….
    Pani/Pana dane osobowe przetwarzane będą w celu przeprowadzenia konkursu na stanowisko……. w ….. na podstawie art. 6 ust. 1 pkt a i c RODO
    Odbiorcą Pani/Pana danych osobowych będą upoważnieni pracownicy ………………………………, którzy przetwarzają dane w związku z przeprowadzeniem konkursu na stanowisko……………………………….
    Pani/Pana dane nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej.
    Pani/Pana dane osobowe będą przechowywane do zakończenia rekrutacji, w której bierze Pani/Pan udział.
    Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, a w przypadku wyrażenia zgody na przetwarzanie danych, prawo do jej wycofania. Prawo do cofnięcia zgody w dowolnym momencie nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
    Ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 roku.
    Podanie danych jest dobrowolne, ale konieczne w celu przeprowadzenia konkursu, w którym Pani/Pan bierze udział.
    Pani/Pana dane będą nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu .

    1. Kancelaria Lex Artist

      Dzień dobry. Analiza klauzuli informacyjnej wchodzi w zakres usługi konsultacji, po którą zapraszamy. Pozdrawiamy!

  35. Mariusz

    Dobry wieczór.
    Bardzo proszę o informację czy w związku z RODO, jako pracownik Działu Personalnego, muszę przygotować klauzulę informacyjną dla pracowników zatrudnionych na dzień 25 maja br czy tylko wręczać takową do zapoznania i podpisu zatrudnianym po 25 maja? Nadmieniam, że nigdy wcześniej nie były pracownikom wręczane dokumenty informacyjne w temacieochrony danych osobowych.

    1. Kancelaria Lex Artist

      Dzień dobry. Przyjmujemy, że po 25 maja 2018 r. spełniamy obowiązek informacyjny tylko dla osób nowo zatrudnianych. Pozdrawiamy!

  36. Dorota

    Witam! Gratuluję świetnej pod względem merytorycznym strony nt RODO. Lektura wiele mi wyjaśniła:) Pozostała mi jeszcze wątpliowść: kiedy obowiązek informacyjny uznaje się za spełniony? Mamy przygotowane klauzule informacyjne dla pracowników i zastanawiamy się nad przesłaniem ich do nich poprzez email lub zamieszczenie na stronie Intranetu. Czy takie działania pozwalają spełnić obowiązek informacyjny, czy też od każdego pracownika powinniśmy uzyskać jakieś potwierdzenie, że zapoznał się z klauzulą?
    Mam wątpliwość, ponieważ od banków dostajemy jako konsumenci tylko listy i nikt nie prosi nas o potwierdzenie odczytu….
    Pozdrawiam!

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłą recenzję! 🙂 Odpowiadając na pytanie – nie trzeba uzyskiwać potwierdzenia od osoby, której dane dotyczą, spełnienia obowiązku informacyjnego. Istotnym jest, aby klauzula informacyjna dotarła do osób, których dane dotyczą, w taki sposób, aby mogły się bezproblemowo z nią zapoznać. Pozdrawiamy!

  37. Jola

    Czy prowadząc korespondencję mailową z naszymi kontrahentami (a dokładnie pracownikami innych firm) i przesyłając im wiadomości mailowe o różnej treści i różne rzeczy w formie załączników (skany dokumentów, oferty, rozliczenia itp) mamy obowiązek umieszczenia klauzuli informacyjnej w każdym takim mailu?

    1. Kancelaria Lex Artist

      Dzień dobry. Nie, tylko przy pierwszym kontakcie tj. podczas zbierania danych osobowych należy spełnić obowiązek informacyjny. Pozdrawiamy!

  38. Laura

    Dzień dobry! Mam pytanie dotyczące udzielania informacji telefonicznej. Weźmy na przykład urząd, do którego dzwoni klient aby dowiedzieć się np. na jakim etapie jest jego sprawa. Czy takiej osobie mamy prawo udzielić jakiejkolwiek informacji telefonicznie czy koniecznie należy taka osobę zaprosić do urzędu?

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli zweryfikują Państwo tożsamość takiej osoby i jest ona uprawniona do tego, by zasięgać informacji w sprawie np. jest stroną postępowania administracyjnego, to dlaczego nie? 🙂 Pozdrawiamy!

  39. Kalina

    Dzień dobry, być może kwestia została już poruszona, ale mam pytanie dotyczące aktualizacji obowiązku informacyjnego. 1. Czy muszę wypełnić obowiązek informacyjny (mail/list) wobec klientów, z którymi współpracuje w dniu 25.05 na podstawie umowy? 2. Czy muszę wypełnić obowiązek informacyjny (mail/list) wobec klientów, z którymi współpracuję od czasu do czasu ale nie w dniu wejścia w życie RODO? 3. Czy muszę wypełnić obowiązek informacyjny (mail/list) wobec osób, których dane przetwarzam w celach archiwizacyjnych? Czy zamieszczenie klauzuli na strona internetowaej pozwoli na spełnienie wymogów zasady rozliczalności pozwoli na wypełnienie obowiązku informacyjnego?
    Będę ogromnie wdzięczna za odpowiedź.
    Pozdrawiam!

    1. Kancelaria Lex Artist

      Rzeczywiście kwestia została już poruszona w innych komentarzach do tego artykułu, zachęcamy do poszukiwań. 🙂 Pozdrawiamy!

  40. Ewa

    Witam,
    Państwa blog jest naprawdę nieocenioną bazą wiedzy na temat RODO. Bardzo dziękuję za wszystkie wpisy, bo można się naprawdę sporo dowiedzieć. Chciałam zapytać, czy w celu wdrożenia się do RODO obowiązkowe jest przesłanie do wszystkich użytkowników adresów e-mail, które mamy zapisane w bazie kontaktów firmy o tym, że przetwarzamy ich dane i spełnić cały obowiązek informacyjny z RODO? Czy też dotyczy to dopiero nowych adresów e-mail, które pojawią się w naszej bazie po dniu 25 maja 2018? Nie ukrywam że wysłanie takiej informacji do wszystkich osób z bazy będzie zadaniem dość utrudnionym, ponieważ różne są podstawy przetwarzania tych danych (np. marketing, wykonanie zawartych umów, byli pracownicy itp.).

    1. Kancelaria Lex Artist

      Dzień dobry. Przede wszystkim dziękujemy za miłe słowa. 🙂 Pytanie pojawiło się już w komentarzach pod tym wpisem, także “szukajcie, a znajdziecie”. 🙂 Pozdrawiamy!

  41. Marta

    Witam, dla pewności…obowiązek informacyjny spełniamy tylko przy pierwszym kontakcie czyli np: chcąc nawiązać kontakt z panem X muszę go odpowiednio poinformować kto jest administartotem itp, co do klientów obecnych już w bazie obowiązek ten nie dotyczy. Ale z drugiej strony dostaję obecnie na skrzynkę pocztową wiele maili informacyjnych o posiadaniu moich danych osobowych m.in przez Allegro, Empik, bank itp. a przecież nie jestem ich nowym klientem więc albo czegoś do końca nie rozumiem albo niektóre podmioty działają zbyt nadgorliwie 🙂

    1. Kancelaria Lex Artist

      Dzień dobry. Są różne stanowiska co do tego, czy nowy obowiązek informacyjny należy spełniać wobec osób, których dane przetwarzaliśmy już przed 25 maja 2018 r. Stoimy na stanowisku, iż obowiązku takiego nie ma, ale na pewno wysłanie takiego maila z klauzulą jest dobrą praktyką. Ot, zamieniamy “nadgorliwość” na “dobrą praktykę” – i już sprawa wygląda lepiej. 🙂 Pozdrawiamy!

  42. vera

    Dzień dobry! Rzeczywiście informacje od “Kancelaria Lex Artist” są najbardziej profesjonalne, przede wszystkim praktyczne, a właśnie takich informacji nam potrzeba.
    Proszę o odp. na pytanie, czy na urzędach, które przetwarzają dane osobowe interesariuszy w ramach swoich kompetencji wynikających z przepisów prawa (dane osobowe pozyskiwane są bezpośrednio od osoby lub z innych źródeł), ciąży obowiązek informacyjny, o którym mowa w w art. 13 ogólnego rozporządzenia o ochronie danych?
    Z góry dziękuję za odpowiedź. Życzę miłego dnia.

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłe słowa! 🙂 Tak, ciąży na takich urzędach obowiązek informacyjny. Pozdrawiamy!

  43. ZK

    bardzo proszę o rozwianie moich wątpliwości:
    1. po 25 maja 2018r. dostanę na moją skrzynkę mail z prośbą o nawiązanie kontaktu biznesowego. mail będzie zawierał dane osobowe: imię, nazwisko, email, telefon – czy jeżeli nie usunę tego maila ze swojej skrzynki i nie wyślę w odpowiedzi klauzuli informacyjnej – to czy naruszę rozporządzenie RODO, mimo że to ja dostałam wiadomość zawierającą dane osobowe?
    2. czy brak wykasowania ze skrzynki emaila zawierającego dane osobowe osoby której nie poinformowałam o przetwarzaniu danych zgodnie z RODO stanowi naruszenie?
    3. jaką maksymalną karę może otrzymać firma mśp za naruszenie RODO?
    4. klient zażądał usunięcia swoich danych z bazy. od ostatniej fv z klientem minęło 5 lat, więc zgodnie z ustawą o rachunkowości nie mam obowiązku przechowywania jego danych. Dane, kontrakty i faktury usuwam więc z mojego systemu i baz, ale wciąż widzę jego dane np. w systemie bankowości online w historii rachunku – widnieją jego płaności zawierające imię, nazwisko, adres, numer faktury za którą płacił. Co z tym zrobić? czy wezwać bank do usunięcia historii transakcji?
    5. czy z bankami i pocztą należy mieć zawarte umowy powierzenia – z uwagi na to że przekazujemy tym podmiotom dane osobowe naszych klientów i kontrahentów.

    1. Kancelaria Lex Artist

      Dzień dobry:

      1) Nie zawsze – to zależy od kontekstu sytuacji.
      2) Jeżeli jest Pani administratorem tych danych to jest takie ryzyko.
      3) 20 milionów euro lub 4 % światowego obrotu (wyższa z tych kwot).
      4) Tak, administrator danych powinien podjąć “rozsądne działania” zgodnie z RODO, aby inny administrator wykonał tzw. prawo do bycia zapomnianym.
      5) Nie, bazujemy tam na udostępnieniu danych osobowych.

      Pozdrawiamy!

  44. Łukasz

    Witam,
    Moja szkoła otrzymuje informacje z Urzędu Miasta jako organu prowadzącego informacje o wszystkich uczniach, którzy należą do obwodu szkoły. Sekretarz wpisuje do szkolnego rejestru o nazwie “uczniowie realizujący obowiązek szkolny w innej szkole” dane tych uczniów, którzy uczęszczają do innej szkoły. W związku z tym musimy do rodziców tych uczniów pisać informacje, że posiadamy ich dane oraz dane ich dzieci w celu monitorowania realizacji obowiązku szkolnego, podając jednocześnie, że pozyskaliśmy je z UM?
    Pozdrawiam

      1. Admin

        Witam, Piszę jeszcze raz gdyż poprzedni komentarz zniknął. Odnośnie powyższego komentarza – obowiązek taki należy spełnić nawet wtedy, gdy przetwarzanie takich danych wynika bezpośrednio z przepisów prawa? (Ustawy o systemie oświaty)
        Pozdrawiam

        1. Kancelaria Lex Artist

          Tak, obowiązek informacyjny istnieje niezależnie od tego, jaka jest podstawa prawna przetwarzania danych osobowych. Pozdrawiamy!

  45. justyna

    Czy dane personalne pracowników wpisywanych w ofercie powinny stanowić tajemnicę przedsiębiorstwa i czy wykonawca musi mieć zgodę od pracownika na wpisywanie jego danych do oferty?

    1. Kancelaria Lex Artist

      Co do tajemnicy przedsiębiorstwa – to jest decyzja niezwiązana z ochroną danych osobowych. Nie ma takiej potrzeby, aby uzyskiwać zgodę pracownika na wpisanie danych do oferty. Pozdrawiamy!

  46. justyna

    Jeżeli dane nie uzyskuje się od osoby której dotyczą to kiedy przekazać tej osobie klauzulę informacyjną, (wykonawca podał dane osobowe swojego pracownika)

  47. Admin

    Nawet jeżeli trzymanie takich danych wynika bezpośrednio z przepisów prawa (Ustawa o systemie oświaty)?
    W mojej szkole sekretarz musiał by wysłać taką informację do ok 150 osób….
    Pozdrawiam

  48. Justyna

    3. Czy w postępowaniu do 30 tys euro (czyli bez stosowania ustawy) mamy obowiązek usunąć dane osobowe wykonawcy który złożył ofertę , jeżeli dostaniemy taką prośbę po zakończeniu postępowania?

    1. Kancelaria Lex Artist

      Okres przechowywania dokumentów, które zawierają dane osobowe jest często determinowany przepisami prawa. W Pana przypadku należałoby się zastanowić, czy przechowywanie tych danych po postępowaniu ma jakieś swoje uzasadnienie prawne. Zgłoszenie żądania usunięcia danych nie jest prawem bezwzględnym.

  49. Marta

    Dzień dobry,
    Proszę o odpowiedź, czy wystawiając fakturę na jakąkolwiek spółkę też muszę spełnić obowiązek informacyjny.
    My jesteśmy również spółką.

    1. Kancelaria Lex Artist

      Dzień dobry. Na jakąkolwiek spółkę nie, ale jeśli jest to np. spółka cywilna, to już tak – ponieważ wówczas podpisuję się umowę ze wspólnikami spółki cywilnej, a to już są osoby fizyczne. Pozdrawiamy!

  50. Dawid

    Witam
    Prowadzę działalność w której skupuję i sprzedaję części samochodowe jak i całe auta. Wystawiam faktury na samochody albo umowy kupna sprzedaży. Czy muszę mieć zgody osób których dane są na umowach i fakturach ?? Czy wystarczy spełnić obowiązek informacyjny – np. dodać paragraf na umowie czy ew. zapis na fkaturze.

  51. vera

    Dziękuję za poprzednie odpowiedzi! Mam pytanie dot. zabezpieczenia danych (w tym również szczególnych) w sytuacji wysyłania ich do uprawnionych odbiorców (nie do właściciela danych) w sposób tradycyjny, tzn. listem zwykłym lub poleconym. Czy mam obowiązek np. zapakować dokument z danymi w drugą kopertę z inf., że przesyłka zawiera dane osobowe ? Czy może to adresat ma obowiązek tak zorganizować odbiór korespondencji aby listy z danymi osobowymi otwierały wyłącznie osoby upoważnione?
    Dziękuję. Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Obowiązki leżą raczej po stronie adresata. Nie popadajmy w paranoję. 🙂 Pozdrawiamy!

  52. Anna

    Witam, jesteśmy Zespołem Szkół,
    1) Czy klauzulę informacyjną odnośnie przetwarzania danych – monitoring – powinniśmy wywiesić w widocznym miejscu w szkole np.na tablicy informacyjnej wraz z podpisem administratora danych (Dyrektora szkoły) i podaniem podstawy przetwarzania (konkretny artykuł)?
    2)Czy kierując pracowników na badania profilaktyczne powinniśmy zawrzeć z ZOZ-em umowę powierzenia danych?
    3)Czy od uczniów powinniśmy zbierać zgody na przetwarzanie wizerunku?
    Czy przed przyjęciem kandydata do internatu szkoły, również powinniśmy go poinformować go i jego rodziców na piśmie o przetwarzaniu danych i celu przetwarzania oraz uzyskać na to ich zgodę (jaki konkretny art. wskazać?

    1. Kancelaria Lex Artist

      Dzień dobry.

      1) Tak, natomiast klauzula informacyjna nie musi być podpisana przez administratora danych.
      2) Nie, mamy tutaj do czynienia z udostępnieniem danych osobowych, a nie powierzeniem.
      3) Jeżeli chodzi o przepisy o ochronie danych osobowych – to zależy w jakim celu, natomiast niezależnie powinny być zebrane zgody na rozpowszechnianie wizerunku, które są przewidziane prawem autorskim.
      4) Poinformować tak, natomiast zgody nie trzeba pozyskiwać. Podstawy prawne są przede wszystkim dwie: obowiązek prawny ciążący na administratorze danych oraz wykonanie umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b oraz c RODO).

      Pozdrawiamy!

  53. Daniel

    Witam
    Prowadzę jednoosobową działalność ( siłownia ). Wydajemy karnety z kodem kreskowym. W programie mam przypisane imię i nazwisko do każdego karnetu(kodu kreskowego). Program mamy lokalnie na komputzerz. Jakie zgody muszę wziąć od klientów??

    1. Kancelaria Lex Artist

      Dzień dobry. Jeżeli nie prowadzi Pan marketingu, to żadnych zgód nie potrzeba. Podstawą przetwarzania danych osobowych jest bowiem wykonanie umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b RODO). Pozdrawiamy!

  54. Andrzej

    Witam , jak już ustaliliśmy sprzedając podłogi z montażem niepotrzebna mi zgoda na przetwarzanie danych , jak ma się w tej sytuacji obowiązek informacyjny.Rozumiem że powstaje on w momencie spisania zamówienia i tam powinien być zamieszczony.Dane klienta po wystawieniu faktury są kasowane zostaje forma papierowa w dokumentacji firmy którą jak wiemy należy mieć przez 5 lat. Co powinna w takiej sytuacji zawierać informacja .Pozdrawiam

  55. Andrzej

    Czy taka informacja będzie prawidłowa :Administratorem Pani/Pana danych osobowych jest………………………….. z siedzibą w ………………….. przy ul. ………….. Pani/Pana dane osobowe będą przetwarzane w celu wystawienia faktury oraz w celach księgowych. Dane mogą zostać udostępnione wyłącznie podmiotom upoważnionym na podstawie przepisów prawa. Przysługuje Pani/Panu prawo dostępu do treści swoich danych i ich poprawiania. Podanie danych jest dobrowolne, ale niezbędne do wystawienia zamówienia faktury i protokołu odbiorczego.

    1. Kancelaria Lex Artist

      Dzień dobry. Zapraszamy do naszego sklepu, gdzie można nabyć wzór klauzuli informacyjnej zgodnej z RODO. Powyższe informacje są niewystarczające. Pozdrawiamy!

  56. Tomek

    Gdzie zamieszczać klauzulę informacyjną w sklepie .Czy wystarczy kartka z informacją na biurku przed klientem,czy powinna się może ona znajdować np na zleceniu czy fakturze.

    1. Kancelaria Lex Artist

      Dzień dobry. Najlepiej zamieszczać ją tak, aby można było w łatwy sposób się można była z nią zapoznać. 🙂 Pozdrawiamy!

  57. Bartek

    Dzień dobry,
    Bardzo dziękuję za wiele pomocnych informacji na Państwa stronie. Prześledziłem powyższe komentarze i nadal nurtuje mnie jedna rzecz. Mianowicie przy realizacji naszych zamówień gromadzimy dane kontaktowe pracowników firm, z którymi współpracujemy. Dane te są wykorzystywane do wykonania zlecenia (odpowiedź na zapytanie ofertowe, dalsze ustalenia w sprawie oferty i sposobu realizacji zamówienia, itp.), ewentualnie do dalszego podtrzymania relacji z klientem/dostawcą. Nie wysyłamy newsletterów, nie stosujemy e-mail marketingu itp. Najczęściej nie mamy żadnych długoterminowych/ramowych umów tylko jednorazowe zamówienia, w których nie ma zapisów o ochronie danych.
    Zrozumiałem, że w opisanej sytuacji
    1) nie mamy obowiązku prosić o zgodę na wykorzystanie tych danych (na podstawie art. 6 ust. 1 lit. b lub f RODO)
    2) powinniśmy wypełnić obowiązek informacyjny w stosunku do osób, których dane pozyskujemy po 25 maja (art. 13 lub art. 14).
    3) natomiast nie zrozumiałem do końca czy naprawdę konieczne jest podpisywanie umów powierzenia przetwarzania danych osobowych, z jakich przepisów to ewentualnie wynika i z kim powinniśmy takie umowy podpisywać? Ze wszystkimi klientami / dostawcami, którzy przekazują nam dane swoich pracowników w celu realizacji jakiejś umowy/zamówienia?

    1. Kancelaria Lex Artist

      Dzień dobry. Podziękowania na początek za miłe słowa! 🙂 Po kolei:

      1) Tak,
      2) Tak,
      3) Jeżeli przetwarzają Państwo dane tylko osób kontaktowych lub osób reprezentujących (przy podpisaniu dokumentów) drugą stronę umowy to umowy powierzenia zawierać nie trzeba. Natomiast jeśli np. świadczą Państwo usługi dla drugiej strony polegające na przetwarzaniu danych osobowych np. pracowników drugiej strony umowy w zakresie chociażby kadr i płac, to wówczas jest konieczność podpisania umowy powierzenia. Pozdrawiamy!

  58. Anna

    Dzień Dobry 🙂
    dołączam do podziękowań za pomoc w zrozumieniu RODO 🙂
    i mam pytanie odnośnie obowiązku informacyjnego w placówkach medycznych
    1. informujemy pacjentów – w momencie zbierania danych (czyli przy rejestracji) – to jasne
    2. czy wobec pacjentów, którzy już są pod naszą opieką też mamy obowiązek informacyjny
    3. i czy wobec personelu medycznego, wykonującego zadania przy realizacji świadczenia medycznego również taki obowiązek informacyjny nas obowiązuje
    bardzo dziękuję 🙂

    1. Kancelaria Lex Artist

      Dzień dobry! Pozostaje po raz kolejny wyrazić podziękowania! 🙂

      Odpowiadamy:

      1) Jasne, więc się nie odnosimy. 🙂
      2) Nie ma takiego obowiązku,
      3) Również nie ma takiego obowiązku – tylko wobec nowych, zatrudnionych po 25 maja osób.

      Pozdrawiamy zimno, co by trochę ochłodzić ten gorący czas. 🙂

  59. krzysztof

    Dzień dobry. Brnę jak i inni przez gąszcz informacji o RODO i proszę mnie poprawić jeśli się mylę –
    1. Prowadząc jednosobową małą dz.gosp. sprzedaję na serwisie internetowym allegr pl oraz ebay i jestem zoobowiązany jako administrator danych do wywiązania się z obowiązku informacyjnego dot. RODO każdego Klienta czy to obecnego czy też sprzed dwóch lat – nawet jeśli jego dane służyły wyłącznie do wywiązania się z umowy sprzedaży oraz wystawienia rachunku(faktury) i nie będę ich używać do innych celów?
    Co z sytuacją gdy zakupu dokonuje osoba, która płaci ale następnie podaje dane innej osoby do której wysyłam zamówienie – muszę dotrzeć do każdej z nich z informacjami?
    3. Czy dobrze rozumiem, że dokonując zakupów na serwisie czy to od firmy czy osoby prywatnej również jestem zoobowiązany spełnić obowiązek informacyjny wobec mojego Sprzedawcy?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Spróbujemy. 🙂

      1) Nie ma takiego obowiązku. Art. 13 i 14 RODO, które statuują obowiązek informacyjny, mówią wprost, iż obowiązek powstaje w trakcie zbierania danych osobowych. W związku z tym obowiązek informacyjny realizujemy tylko wobec osób, których dane zbieramy po 25 maja 2018 r.
      2) Powinno podjąć się rozsądne działania, aby dotrzeć do obu osób.
      3) Nie, to już byłaby sprawa całkowicie niepraktyczna z punktu widzenia biznesowego.

      Pozdrawiamy!

  60. Joanna

    Proszę o odp. na pytanie: czy składając wniosek do sklepu internetowego o usunięcie konta klienta, po wcześniejszym wycofaniu zgody na przetwarzanie moich danych, muszę podać nr klienta nadany mi przez sklep po zarejestrowaniu? Dodam, że do do rejestracji w sklepie podałam adres e-mail, imię i nazwisko. Konta nie używam od dłuższego czasu i nie pamiętam nr klienta, a od podania tego numeru uzależniono usunięcie konta. Nr klienta nie jest przecież moją daną osobową, a wnioskuję o usunięcie danych osobowych udostępnionych przeze mnie w określonym celu. Bardzo proszę o odp.
    Dziękuję. Pozdrawiam.

  61. Kamil

    Witam serdecznie,

    prowadzę jednoosobową działalność gospodarczą, która nie zbiera w żaden sposób danych osobowych poza wystawianymi fakturami czy też otrzymywanymi od kontrahentów. Dane te znajdują się w CEIDG, a więc są danymi publicznymi (a przynajmniej tak to rozumiem). Moja firma zajmuje się programowaniem wszelkiego rodzaju aplikacji dla głównie jednego klienta. Dość pobieżnie przeczytałem Rozporządzenie dotyczące RODO i nie znalazłem tam informacji czy w moim przypadku istnieje obowiązek informowania klientów/kontrahentów, których dane (faktury) otrzymałem przed 25 maja 2018. Czy jest to konieczne? Rozumiem, że przy każdej kolejnej wystawionej fakturze mam informować swoich NOWYCH klientów/kontrahentów o wdrożonej polityce prywatności?

    Pozdrawiam serdecznie

    1. Kancelaria Lex Artist

      Dzień dobry. Co do nowych klientów – tak, będzie Pan musiał spełnić obowiązek informacyjny. Natomiast co do Klientów, których dane przetwarzał Pan przed 25 maja 2018 r. takiego obowiązku nie ma. Pozdrawiamy!

  62. Krzysztof

    Dzień dobry.
    Dziękuje za szybką odpowiedź. Ciekawi mnie jeszcze wątek z drugiego pytania tzn.
    “Co z sytuacją gdy zakupu dokonuje osoba, która płaci ale następnie podaje dane innej osoby do której wysyłam zamówienie – muszę dotrzeć do każdej z nich z informacjami?”
    Wiadomo, że tak, lecz jest to sytuacja dosyć częsta – co jeśli mamy tylko dane adresowe tej drugiej osoby, brak jest możliwości wysłania informacji o obowiązku emailem, ponieważ nie zostaje podany. I teraz – zakładamy, że Kupujący dogadał się z tą osobą ażeby ona w jego imieniu odebrała przesyłkę dla niego i tym samym zgodziła się ona na podanie swoich danych osobowych – ale jest to tylko domniemanie, teoretycznie Kupujący mógł podać jej dane bez jej wiedzy i zgody – skoro nie jest ona stroną Umowy sprzedaży to wydaje mi się, ze konieczne jest uzyskanie przeze mnie bezposrednio od niej zgody na przetwarzanie jej danych osobowych abym mógł wysłać zamówienie na jej adres? Nie mogę nawet zrobić tak że wysyłam w jednej przesyłce zamówienie wraz z informacjami o RODO oraz z prośbą o wyrazenie zgody na przetwarzanie jej danych bo muszę ją uzyskac przed wysyłką
    Co Państwo sądzą o takim przypadku?
    Pozdrawiam
    Krzysztof

  63. Anna

    Witam,

    a jeśli po wybraniu najkorzystniejszej oferty (zamówienia publiczne) publikujemy informację o kwocie tej oferty i danych firmy, a także dla zasady spełnienia przejrzystości postępowania dane innych podmiotów, których oferty rozpatrywaliśmy wraz z kwotami, jakie proponowali, to jak to zrobić zgodnie z RODO?
    pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli są to dane tylko podmiotów, które nie są osobami fizycznymi, to RODO stosować nie trzeba. Pozdrawiamy!

  64. Krzysztof

    Czy marketingowiec musi informować o przetwarzaniu danych osobowych w chwili rozmowy jeśli wejdzie na stronę internetową firmy i nie zapisując numeru w żadnej bazie danych zadzwoni z ofertą pod numer podany na stronie?

  65. Małgorzata

    Dzień dobry! Mam takie pytanie: pracuję w jednostce samorządzu terytorialnego-wydział podatkowy, gdzie mam do czynienia z tajemnicą skarbową, czy obowiązek infomacyjny także mnie dotyczy i czy w takim wypadku kiedy przychodzi do nas podatnik np. podatku od nieruchomości i już mamy jego dane czy powinniśmy go w fomie pisemnej informować, czy wystarczy tylko informacja na BIP,

  66. Jan

    Dzień Dobry,
    Mam pytanie, czy prawo do bycia zapomnianym nie stoi w sprzeczności z obowiązkiem pracodawcy przechowywania danych pracowników (nawet po ustaniu stosunku pracy) na potrzeby kontroli z ZUS, PIP, czy choćby Urzędu Skarbowego?

    1. Kancelaria Lex Artist

      Dzień dobry. W tym wypadku stoi w sprzeczności – warto podkreślić, iż prawo do bycia zapomnianym czy też prawo do usunięcia danych (bo to będzie bardziej adekwatne w opisywanym przypadku) nie są prawami absolutnymi i nie zadziałają w każdym wypadku. To właśnie jest taki wypadek. Pozdrawiamy!

  67. justyna

    Dzień dobry
    Mam pytanie, do naszej firmy wpływają wnioski na sekretariat w sprawie:
    1. zgłoszenie zmiany kierownika budowy,
    2. ponownego oszacowania szkody,
    3. faktura rr od rolnika, w której wpisał numer dowodu osobistego,
    4. zaświadczenia o zarobkach i zatrudnieniu,
    5. wsparcia z zfss od emeryta itd.

    czy my musimy mieć od wszystkich zgody na przetwarzanie?

    1. Kancelaria Lex Artist

      Dzień dobry. Zgoda nie jest wymagana. Natomiast w odniesieniu do pkt 3 wydaje się zbędnym zbieranie numeru dowodu osobistego – stwarza to ryzyko prawne naruszenia RODO-wskiej zasady minimalizacji danych. Pozdrawiamy!

  68. Joanna

    Witam, czy w Państwa opinii przetwarzanie danych związanych z procesem naboru na wolne stanowisko odbywa się na podstawie zgody czy też przepisu prawa, konkretnie art.22 (1) Kodeksu Pracy. Zdaję sobie sprawę z różnicy pomiędzy regulacją RODO (przesłanka legalności art. 6 ust. 1 pkt.c) – mówiące o obowiązku prawnym Administratora, a dotychczas obowiązującą ustawą – tam przesłanka obejmowała zarówno obowiązek, jak i uprawnienie. Dodam, że w dyskutowanym przypadku chodzi o gminę, gdzie realizacja zadań (za pośrednictwem Urzędu) należy do obowiązków ustawowych tej jednostki. Czy prawo pracodawcy wyrażone w art. 22 (1) może być przesłanką przetwarzania, czy też w procesie naboru musimy bezwzględnie uzyskać zgodę osoby. Spotykam się z różnymi interpretacjami.
    W odniesieniu do pytania postawionego wcześniej, dotyczącego prawa do bycia zapomnianym, uważam, ze w przypadku pracowników należy powołać się na wyłączenie stosowania tego prawa wynikające z art. 17 ust. 3 pkt. d) tj. przetwarzania do celów archiwalnych w interesie publicznym (kontrole upoważnionych organów)

    1. Kancelaria Lex Artist

      Dzień dobry. Prawo do bycia zapomnianym nie jest prawem absolutnym, zatem jeśli np. ciąży na Państwu obowiązek prawny przechowywania pewnych danych (np. danych pracowniczych), to prawo do bycia zapomnianym wówczas nie zadziała. Rzeczywiście w zakresie konieczności pozyskiwania zgody przy rekrutacji, to nawet w naszym zespole część osób jest zwolennikami stanowiska oparcia tego procesu na zgodzie, a część na innych przesłankach prawnych (przede wszystkim działań podjętych na żądanie osoby, której dane dotyczą, przed zawarciem umowy – art. 6 ust. 1 lit. b RODO oraz obowiązku prawnego – art. 6 ust. 1 lit.c RODO). Faktycznie, obecnie sformułowany art. 22 (1) KP nadaje uprawnienie, a nie nakłada obowiązku na pracodawcę – wtedy jednak aktualizuje się przesłanka prawnie uzasadnionego interesu administratora danych (art. 6 ust. 1 lit. f RODO). Zwracamy jednak uwagę, iż na etapie prac legislacyjnych jest projekt ustawy o zmianie niektórych ustaw w związku z rozpoczęciem stosowania RODO. Projekt przewiduje zmianę art. 22 (1) KP, który będzie już nakładał na pracodawcę obowiązek prawny, jednak tylko co do pewnego zakresu danych (wymienionych enumeratywnie w przepisie). Pozyskanie pozostałych danych będzie wymagało zgody kandydata. Pozdrawiamy!

  69. Przemko

    Szanowni Państwo,

    krąży plotka (może nie-plotka) że w każdym pomieszczeniu, w którym przetwarzane są dane osobowe, powinna się znaleźć niszczarka (lub inny sprzęt) do niszczenia danych osobowych. Jednak w treści samego Rozporządzenia, takiej informacji nie znalazłem. Czy w związku z tym – jako że RODO daje nam jedynie wskazówki dobrych praktyk – od administratora zależy w jaki sposób będziemy (i gdzie w obrębie firmy) niszczyli dane, pod jednym tylko warunkiem – że przestrzegamy normy din 66399?

    1. Kancelaria Lex Artist

      Dzień dobry. Ta plotka jest faktycznie tylko plotką. 🙂 Decyzja co do tego, jak będzie wyglądało niszczenie danych, należy do administratora danych. Pozdrawiamy!

      1. Przemko

        Dziękuję serdecznie za odpowiedź! Także sądziłem że to bzdura, przecież zniszczyłoby to rynek w zakresie usług bezpiecznego niszczenia danych, przez firmy zewnętrzne. Pozdrawiam 🙂

  70. Gabriela

    Dzień dobry,

    dane dotyczące związków zawodowych są szczególną kategorią danych zgodnie z RODO. Czy zatem powinniśmy utworzyć zbiór danych osób należących do takich organizacji? Moim zdaniem nie, ponieważ pracodawca a tym samym administrator danych niekoniecznie nawet musi wiedzieć, że pracownik należy do danego związku.

    1. Kancelaria Lex Artist

      Dzień dobry. Przynależność danych do tzw. danych wrażliwych, czy danych zwykłych nie determinuje tworzenia lub nie zbiorów danych. Mało tego, RODO nie wymaga już tworzenia zbiorów danych. Pozdrawiamy!

  71. Emil

    Czy należy zachować zasadę rozliczalności obowiązku informacyjnego tzn. czy powinniśmy zawrzeć klauzulę potwierdzaną podpisem klienta lub osobny dokument stanowiący o prawach klienta potwierdzony jego podpisem?

  72. Darek

    Witam. Mam pytanie takiego typu – jak to jest ze zgodą na marketing bezpośredni (lub też pośredni) – miałem okazję słyszeć na szkoleniach że na taki marketing powinniśmy wyrazić zgodę – nie wystarczy tego wpisać do klauzuli informacyjnej. Czy jest to prawdą? W wielu klauzulach informacyjnych które obecnie spływają z każdej możliwej strony pojawiają się w celach właśnie takie marketingi bezpośrednie – z których oczywiście mogę zrezygnować ale na które prawdopodobnie nigdy nie wyraziłem zgody. Dodatkowo czy obecnie jeśli gdzieś taka zgoda się pojawia której nie chcę to czy może ona mieć wpływ na niewykonanie ewentualnej usługi np. zarejestrowania się na jakieś szkolenie – wydaje mi się że nie jest ona niezbędna do głównego celu i nie zgodzenie się na nią nie powinna uniemożliwić takiej rejestracji – a taką sytuację na dniach miałem.

    1. Kancelaria Lex Artist

      Dzień dobry. Jeżeli chodzi o marketing bezpośredni to nie zawsze zgoda osoby, której dane dotyczą, będzie potrzebna. Wskazuje na to motyw 47 preambuły do RODO, który podaje, jako przykład prawnie uzasadnionego interesu administratora danych, marketing bezpośredni. Jeśli chodzi o drugie pytanie, to przedstawiona przez Pana sytuacja wydaje się naruszać przepisy RODO, przede wszystkim art. 7, który mówi o warunkach wyrażenia zgody. Jeżeli od wyrażenia zgody na marketing uzależniamy wykonanie bądź nie jakiejś usługi, to nie możemy mówić o zgodzie dobrowolnej. Pozdrawiamy!

  73. Ksenia

    Dzień dobry,
    Bardzo dziękuję za wiele cennych informacji zawartych na tej stronie. Ja mam z kolei pytanie odnośnie umów powierzenia. Mam bowiem wątpliwości czy powinniśmy je zawierać z:
    1. Firma systemów informatycznych, na której programach pracujemy
    2. Kancelaria prawna
    3. NZOZ, który przeprowadza badania wstępne i okresowe pracowników
    4. Firma BHP, która nas obsługuje
    5. Firma informatyczna serwisująca nasz sprzęt i systemy informatyczne
    6. Firmy transportowe wyłonione w drodze przetargu, dowożące dzieci do szkół
    7. Firma niszcząca dokumenty
    8. Firma ubezpieczeniowa (ubezpieczenie dobrowolne)
    Dodam, że jesteśmy jednostką organizacyjną samorządu terytorialnego.
    Bardzo dziękuję za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. 1 – to zależy, czy w ramach aplikacji mają Państwo również gwarancję i/lub serwis. 2 – tak, 3 – nie (to jest udostępnienie danych osobowych, a nie powierzenie), 4-7 – tak. 8 – nie, z ubezpieczycielem również jest udostępnienie. Pozdrawiamy!

  74. Mariianna

    Dzień Dobry,
    a jak przekłada się obowiązek informacyjny dla PROCESORA, np. biura księgowego w stosunku do powierzonych mu danych.
    1. czy również ma obowiązek informacyjny (niezależnie od administratora)?
    2. czy w stosunku do powierzonych danych ma spełniać prawa wynikające dla osób, których te dane dotyczą? czy raczej odsyłać o możliwość dochodzenia tych praw bezpośrednio do administratora?

    1. Kancelaria Lex Artist

      Dzień dobry. Procesor co do zasady nie spełnia obowiązku informacyjnego wobec osób, których dane przetwarza w imieniu i na rzecz administratora. Natomiast co do punktu 2 – najczęściej w umowach powierzenia jest zapis, który zobowiązuje procesora do “zajęcia się” żądaniem osób, których dane dotyczą, jeśli żądanie dotyczy przetwarzania, którego dokonuje procesor. Pozdrawiamy!

  75. Anna

    Witam, coraz częściej spotykam się z klauzulami informacyjnymi wywieszanymi w obszarze monitorowanym. Jednak są one w stosunku do wymagań art. 13 RODO mocno “skrócone”, nie ma tam np. informacji o odbiorcach danych, przekazywaniu informacji do państw trzecich czy profilowaniu. Czy tak skonstruowane klauzule informacyjne są prawidłowe?

    1. Kancelaria Lex Artist

      Dzień dobry. Przy obszarach monitorowanych przyjmujemy, iż w miejscu, gdzie znajdują się kamery może być użyta skrócona informacja. Natomiast powinna przynajmniej w jednym miejscu (najczęściej na recepcji) znajdować się pełna klauzula informacyjna z art. 13 RODO. Pozdrawiamy!

  76. Tomasz

    Witam, czy Akademicki Związek Sportowy powinien powołać IOD oraz czy możemy umieszczać zdjęcia na Facebooku szkolnym z imprez sportowych itp. Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Naszym zdaniem, choć obowiązku takiego nie ma, zalecalibyśmy Państwu powołanie IOD-a. Zdjęcia można umieszczać, ale tylko za zgodą osób, których dane dotyczą. Pozdrawiamy!

  77. Gabriela

    Witam, a jak postąpić kiedy o świadczenia z ZFŚS ubiegają się np. osoby, które były naszymi pracownikami, a teraz są już na emeryturze? składają oni wnioski o zapomogi itd… konieczne jest uzyskanie od nich zgody na przetwarzanie ich danych czy sam fakt złożenia wniosku uznajemy za działanie wyrażające zgodę?

  78. Mario

    Producent i jednocześnie gwarant sprzętu, który sprzedajemy wymaga od nas wpisywania do ich systemu gwarancyjnego danych sprzedanego sprzętu oraz danych właściciela. Rejestracja taka ma się odbywać zaraz po sprzedaży, mimo, że z góry nie wiadomo, czy i kiedy kupujący skorzysta ze swoich praw wynikających z gwarancji. Producent, w swojej klauzuli informacyjnej na stronie internetowej, powołuje się na bliżej nieokreślony prawnie uzasadniony interes. Czy wystarczy w naszej klauzuli informacyjnej umieścić stosowny wpis o przekazaniu danych do producenta? Ale w jakim celu i na jakiej podstawie prawnej? Dane klient podaje nam w celu realizacji umowy.

    1. Kancelaria Lex Artist

      W klauzuli informacyjnej należy umieścić producenta i gwaranta sprzętu jako odbiorcę danych. Celem będzie rozpatrzenie zgłoszenia reklamacji, a podstawą prawną będzie prawnie uzasadniony interes administratora danych. Pozdrawiamy!

  79. Emilia

    Witam, często można spotkać sformułowanie, że dane nie są przetwarzane tylko udostępniane, jednak biorąc pod uwagę definicję przetwarzania jest to przetwarzanie. Jak to się ma w rzeczywistości ?

  80. Gabriela

    Dziękuję za odpowiedź, a czy w takiej sytuacji powinniśmy wypełnić obowiązek informacyjny i za podstawę przetwarzania danych w związku z udzielaniem świadczeń z ZFŚS osób, które nie są pracownikami, podać art. 6 ust. 1 lit a RODO?

  81. Justyna

    Dzień dobry,

    Również mam pytanie odnośnie umów powierzenia….Czy przekazując dane dzieci do przedszkola dyżurującego w czasie wakacji z tym przedszkolem też zawieramy umowę powierzenia czy wystarczy, że rodzic podpisze zgodę na przekazanie tych danych?

  82. Gabriela

    Dzień dobry,

    powrócę jeszcze do tematu udzielenia świadczeń z ZFŚS byłym pracownikom… co w sytuacji jeśli dołączają oni do wniosków informacje dotyczące stanu zdrowia, pobytów w szpitalu itd… jak zorganizować to zgodnie z RODO?

  83. Ania

    Witam serdecznie,
    miałabym pytanie o umowę wydawcy z autorem artykułów. Czy do autorów należy stosować klauzulę informacyjną, czy w tym zakresie mamy wyłączenie zgodnie z nową ustawą (art. 2)?

  84. Justyna

    Dzień dobry,

    Czy w przypadku gdy wpływają na nas (biuro tłumaczeń) dokumenty do tłumaczenia np. komis przekazuje dowód rejestracyjny, gdzie są dane poprzedniego właściciela np z Niemiec to czy musimy wobec tej osoby (poprzedniego właściciela) spełnić obowiązek informacyjny?

    1. Kancelaria Lex Artist

      Dzień dobry. Nie, ponieważ Państwo występują w tym zakresie w roli procesora, a nie administratora danych osobowych. Pozdrawiamy!

  85. Ksenia

    Witam
    Opracowuję właśnie wniosek na dowóz niepełnosprawnego ucznia do szkoły transportem zorganizowanym przez gminę. Oczywiście zamieszczam tam całą klauzulę informacyjną. Rozumiem, że nie muszę zamieszczać zgody na przetwarzanie danych gdyż przetwarzanie odbywać się będzie na podstawie art. 6 ust 1c, a nie zgody? Czy jednak wpisać oświadczenie o wyrażeniu zgody na przetwarzanie danych?

  86. vera

    Dzień dobry!
    Mam takie pytanie: jak rozróżnić powierzenie od udostępnienia danych osobowych? Na skierowaniu na badania lekarskie podaję takie same dane pracownika jak na liście pracowników skierowanych na szkolenie (imię, nazwisko, data urodzenia, stanowisko) . Dlaczego z firmą szkolącą w zakresie BHP muszę zawrzeć umowę powierzenia, a z placówką medycyny pracy nie? W jednym i drugim przypadku określam cel przetwarzania danych.
    Dziękuję. Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Pytanie jest bardzo dobre, ponieważ czasami nawet my, specjaliści w dziedzinie ochrony danych osobowych, mamy kłopoty z rozróżnieniem tych dwóch instytucji prawnych. 🙂 Dlaczego w medycynie pracy mamy udostępnienie? Przede wszystkim dlatego, że placówka medyczna, wykonująca zadania medycyny pracy, oprócz konieczności spełniania reżimów Kodeksu pracy, ma także odrębną podstawę prawną do przetwarzania danych – ustawę o służbie medycyny pracy. To jednak nie wszystko, podmiot świadczący usługi medycyny pracy nie może być uznany za procesora, ponieważ w toku wykonywania świadczeń medycyny pracy wytwarza dokumentację medyczną, do której pracodawca nie ma dostępu. Gdyby podmiot leczniczy uznać za procesora, to np. po zakończeniu współpracy z danym pracodawcą, obowiązany byłby do usunięcia dokumentów wytworzonych w czasie współpracy, co jednak byłoby niezgodne z KP oraz z powołaną wcześniej ustawą. Stąd też przyjmujemy, że w przypadku medycyny pracy mamy do czynienia z udostępnieniem, a nie powierzeniem przetwarzania danych osobowych. Pozdrawiamy!

  87. Anna

    Dzień dobry, a co w przypadku gdy jako instytucja dajemy do laboratorium próbki pochodzące od zwierząt do ich zbadania. Konkretnie materiały dostarcza jeden z naszych pracowników, przez laboratorium nazywany jako “właściciel” zwierzęcia. Laboratorium posiada jego imię i nazwisko, numer telefonu i dane instytucji do wystawienia faktury? Czy tutaj w ogóle jest konieczna umowa powierzenia przetwarzania danych?

  88. Anna

    Witam. Jak postąpic w przypadku, kiedy na skrzynkę mail’ową firmy spływają prośby np. o pomoc osobie X (tu pojawiają się jej dane: imię, zdjecie, mamy adres mail’owy), która choruje na schorzenie Y (dane z grupy “wrażliwych”). Jak dopełnić np. obowiązku informacyjnego? Czy w ogóle trzeba? Przyjąć, że przesłanką legalizującą będzie zgoda osoby X (sama przysłała mi te dane)? Nierzadko zdarza się, że choruje osoba X (i to jeszcze dziecko), a prośbę o pomoc rozsyłają np. jego rodzice (w posiadanie ich danych także wchodzimy z automatu). Czy w klauzuli informacyjnej taki przypadek trzeba opisać?

  89. Darek

    Witam. Jak wygląda sprawa podawania danych pracownika do różnych umów – umowa między firmami gdzie pracownik jest podany jako osoba odpowiedzialna za nadzorowanie prac, jest osobą kontaktową itp – podane jest imię i nazwisko i ewentualnie telefon, e-mail i adres służbowy – czy tutaj występuje jakiekolwiek powierzenie/przekazanie danych, czy pracownik w podpisanej klauzuli informacyjnej powinien mieć ujęte iż odbiorcami są podmioty w ramach realizacji rożnych umów (nie da się określić dokładnych firm). W takim przypadku występuje kontakt między pracownikami firm a rodo obejmuje chyba relacje osoba indywidualna – firma.

    1. Kancelaria Lex Artist

      Dzień dobry. W opisanej przez Pana sytuacji mamy do czynienia z udostępnieniem danych osobowych osoby kontaktowej drugiej stronie umowy na podstawie prawnie uzasadnionego interesu administratora danych (art. 6 ust. 1 lit. f RODO). Należy w umowie dopilnować, aby został spełniony obowiązek informacyjny wobec tych osób kontaktowych. Jeśli chodzi o odbiorców danych, to RODO nie wymaga, aby wskazywać ich konkretnie z nazwy, przepis stanowi o “odbiorcach lub ich kategoriach”. Pozdrawiamy!

  90. Anna

    Witam. W przypadku jednoosobowej działalności np. Kancelaria Prawna Jan Kowalski, AD (do wskazania w obowiązku informacyjnym) jest Kancelaria Prawna Jan Kowalski, czy Jan Kowalski prowadzący działalność pod nazwą Kancelaria Prawna Jan Kowalski?

  91. Paweł

    Dzień dobry, mam takie nietypowe pytanie – czy IOD może w ramach szkolenia z RODO dla pracowników, wysłać każdemu na adres e-mail służbowy prezentację z najważniejszymi zagadnieniami?

  92. Anna

    Dzień dobry. Zastanawiam się, czy takie podejście się obroni… Na firmowego maila kancelarii adwokackiej spływają dane różnych osób np. ktoś chce uzyskać poradę i przesyła plik danych (często także w tym są dane wrażliwe), albo ktoś chce sprzedać coś lub oferuje usługę np. tłumaczenia tekstów, albo spływają maile z prośbą o pomoc finansową np. w chorobie. Taka sytuacja została opisana w klauzuli informacyjnej (umieszczonej na stronie internetowej) w sposób następujący … W związku z tym, że nadawcy tych maili dobrowolnie przekazują swoje dane (sami z siebie wysyłają te maile), to można to potraktować jako wyrazne działanie potwierdzające przyzwolenie na przetwarzanie danych i w ślad za tym w klauzuli informacyjnej do takich przypadków wskazano podstawę prawną art. 6 ust.1 lit. a (dla danych zwykłych) i art. 9 ust. 2 lit. a (dla danych wrażliwych), oraz dodatkowo art. 9 ust. 2 lit. e (dla przypadków maili z informacją o chorobie i prośbie o pomoc). Czy to się obroni?

    1. Kancelaria Lex Artist

      Dzień dobry. Sytuacja wymaga głębszej analizy, po którą zapraszamy do skorzystania z usługi konsultacji. Pozdrawiamy!

  93. Gabriela

    Dzień dobry, dziękuję po raz kolejny za cenne przekazywane tutaj informacje!
    Mam takie pytanie, bo już chyba sama się gubię….. czy jeśli w instytucji realizowany jest projekt, na który jeden z pracowników otrzymał środki np. z ministerstwa i ten kierownik projektu zatrudniał personel w swoim projekcie (pracownicy i osoby z zewnątrz) to czy ten kierownik powinien mieć upoważnienie od Administratora danych w instytucji do przetwarzania danych osobowych? pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Zarówno kierownik projektu, jak i poszczególni pracownicy (o ile mają dostęp do danych osobowych) powinni mieć upoważnienia do przetwarzania danych osobowych. Pozdrawiamy i dziękujemy za miłe słowa! 🙂

  94. Ewela

    Witam, mam pytanie odnośnie szkoleń pracowniczych: czy wysyłając pracowników na szkolenie zamknięte, realizowane w drodze zamówienia publicznego powinnam zawrzeć z wykonawcą umowę powierzenia? Zamawiający przekazuje wykonawcy imię, nazwisko i stanowisko uczestników szkolenia a wykonawca w celu realizacji przedmiotu zamówienia zobowiązany jest sporządzić listę obecności i wystawić uczestnikom szkolenia imienny certyfikat. Czy w tym przypadku mamy do czynienia z administratorem i podmiotem przetwarzającym czy jest to relacja między dwoma administratorami?

  95. klaudia

    Witam,
    mam pewien dylemat. Otóż, sprzedawałam bilety na pewnej stronie internetowej, przeznaczonej do sprzedaży biletów.
    Wiadome, że został wypełniony formularz z pełnymi danymi oraz numerem telefonu.
    Bez mojej zgody, został numer kontaktowy udostępniony osobie która zakupiła przez platformę bilet.
    Czy to jest zgodne z prawem?

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, jest to zgodne z prawem. Trudno, żeby kupujący nie miał wiedzy, komu ma np. zapłacić za bilety. Pozdrawiamy!

      1. Klaudia

        tyle, że pieniądze za bilety trafiają do serwisu, a następnie serwis przelewa pieniądze na nasze konto. Osoba kupująca oraz osoba sprzedająca nie widzi swoich danych..

  96. Emilia

    Witam,
    na jakiej podstawie prawnej możemy zbierać dane osobowe osób zainteresowanych udziałem w Uniwersytecie Trzeciego Wieku. Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Na podstawie art. 6 ust. 1 lit. b RODO – podejmowanie działań, na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Pozdrawiamy!

  97. Paweł

    Dzień dobry,

    czy klauzula informacyjna powinna być stosowana przed podpisywaniem umów o dzieło lub zlecenia? I wtedy podstawą jest art. 6 lit b RODO? Zastanawiam się też ile powinno się przechowywać takie dane? pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, to dobry moment na przedstawienie klauzuli informacyjnej. Podana podstawa prawna również jest prawidłowa. Rekomendujemy przechowywanie danych do zakończenia współpracy, z uwzględnieniem właściwych terminów przedawnienia. Pozdrawiamy! 🙂

  98. Gabriela

    Dzień dobry,

    jeśli naukowcy przysyłają artykuły do redakcji czasopisma specjalistycznego i w strukturze artykułu maja podać swoje imię i nazwisko, afiliację do instytucji oraz adres poczty elektronicznej to czy trzeba im wtedy też przedstawiać klauzulę informacyjną?
    Te dane nigdzie indziej nie są przetwarzane.

    Ponadto, na stronie czasopisma jest lista recenzentów danego rocznika.

    Pozdrawiam!

  99. Kamila

    Witam,
    1. czy na początku rozmowy telefonicznej musi być przekazana klientowi informacja o ochronie danych? Tzn. czy wyraża zgodę na rozmowę?
    2. Jeśli klient umówi się na spotkanie z doradcą podczas rozmowy należy zebrać jego dane (imię i nazwisko, adres, aktualny nr tel.) – czy po otrzymaniu takich danych musimy podać mu jakąś informację o RODO?
    3 pytanie, jeśli doradca fizycznie podpisze z nim umowę o jakiś produkt, to czy musi podpisać jakąś informację o RODO?

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli chodzi o pytanie 1, to trzeba być bardzo ostrożnym, o ile pod względem przepisów o ochronie danych osobowych, działania marketingowe można uznać za prawnie uzasadniony interes administratora danych, to istnieje ryzyko prawne w kontekście ustawy Prawo telekomunikacyjne. We wrześniu zeszłego roku UOKiK wszczął postępowanie wobec z jednego z operatorów telekomunikacyjnych o to, iż dzwonił do potencjalnych klientów z prośbą o wyrażenie zgody na przedstawienie oferty. Pytanie nr 2 – tak, przy zbieraniu tych danych w celu umówienia spotkania należy spełnić obowiązek informacyjny. Pytanie nr 3 – tak, w umowie bądź jako załącznik do niej powinna znaleźć się klauzula informacyjna w myśl art. 13 RODO. Pozdrawiamy!

  100. Emilia

    Witam, w nawiązaniu do pytania o Uniwersytet Trzeciego Wieku, to często się zdarza, że lekarz na opinii lekarskiej dopisuje swoje uwagi na temat zdrowia osoby chcącej wziąć udział w projekcie. Mam dylemat, czy warto dołożyć oprócz art. 6 ust.1 lit. b jeszcze art. 9 ust. 2 lit. a, poproszę o jakąś sugestię.

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, warto dołożyć ten przepis jako podstawę prawną przetwarzania danych osobowych. Pozdrawiamy!

  101. Anna

    Dzień dobry.
    1) Placówka prywatna świadcząca usługi z zakresu profilaktyki zdrowotnej, leczenia, ma dwie przychodnie (o różnych lokalizacjach). Pierwsza przychodnia świadczy usługi dla dorosłych i dzieci, druga jest ukierunkowana tylko na dzieci pod kątem ich rehabilitacji. Jedna strona internetowa, jeden administrator danych. Czy w takim przypadku ma być jedna klauzula informacyjna (a w niej umieścić dwie lokalizacje placówek należących do tego samego administratora), czy lepszym rozwiązaniem będzie mieć dwie klauzule.
    2) Czy przetwarzanie danych osobowych dzieci w takiej placówce odbywa się na podstawie wyrażonej zgody rodziców/opiekunów?
    3) Ta sama prywatna placówka medyczna średnio rocznie przyjmuje ok. 2 tys. pacjentów. Czy taka placówka powinna wyznaczyć IOD-a? Art. 37 ust. 1 lit. c mówi o przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Jak rozumieć “dużą skalę”? Mogę prosić o jakąś podpowiedź?

    1. Kancelaria Lex Artist

      Dzień dobry. Po kolei:

      1) lokalizacji placówek nie trzeba umieszczać w klauzulach informacyjnych, wystarczy oznaczenie administratora danych (zgodnie z art. 13 RODO), natomiast klauzul praktycznie zawsze jest więcej niż jedna, ponieważ inną przedstawiają Państwo Pacjentom, inną pracownikom – inne podstawy prawne przetwarzania danych, inne cele itd.
      2) w placówce medycznej nie ma potrzeby wyrażania zgody ani przez dzieci, ani przez ich rodziców, podstawą prawną jest bowiem art. 9 ust. 2 lit. h) RODO.
      3) rekomendujemy wyznaczenie IOD-a w przypadku skali, którą opisano.

      Pozdrawiamy!

  102. Anna

    Witam. W odniesieniu jeszcze do powyższej prywatnej placówki medycznej …
    Rozumiem, że wyznaczenie IOD-a w takiej placówce jest dobrowolne, nie obowiązkowe. Jeżeli obowiązkowe, to trzeba to zrobić do 31.07.2018 r.? Słowem “klucz” jest tutaj “duża skala”. Rozumiem – szpitale – duża skala bezspornie. Zresztą Grupa Robocza art. 29 także daje taki przykład jako obowiązku posiadania IOD-a. Ta sama Grupa Robocza art. 29 wskazuje też, że praktyka pojedynczego lekarza to nie jest duża skala. A co pośrodku? Placówka medyczna, kilku lekarzy z różnych specjalności, ok. 2 tys. pacjentów. Można, ale nie ma obowiązku wyznaczyć IOD-a?

    1. Kancelaria Lex Artist

      Dzień dobry. Odpowiedź na to pytanie pojawiła się już w innym wątku. Zachęcamy do poszukiwań. 🙂 Pozdrawiamy!

  103. Dawid

    Witam
    Firma Sklep AGD RTV itp. posiada około 15 sklepów stacjonarnych oraz dwa sklepy internetowe. Czy powinna powołać Inspektora Danych Osobowych?? Czy można już powiedzieć że taka firma przetwarza dane osobowe na dużą skalę ??
    Super BLOG
    Polecam Każdemu 🙂

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłe słowa! 🙂 Jak najbardziej zakwalifikowalibyśmy opisane działania jako przetwarzanie danych na dużą skalę. Pozdrawiamy!

  104. Anna

    Dzień dobry.
    Placówka medyczna do rejestracji pacjentów korzysta m.in. z portalu znanylekarz.pl. Czy w obowiązku informacyjnym tej placówki należy wskazać ten portal? W jakim charakterze? Dane pacjenta przetwarza najpierw wskazany portal, który przekazuje dane pacjenta do placówki z którą ma umowę. Czy jest to udostępnienie na podst. art. 6 ust. 1 lit. b? Dalsze przetwarzanie danych przez docelową placówkę medyczną odbywa się na podstawie art. 9 ust. 2 lit. h? Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Pani Anno, z racji wielu pytań, które od Pani otrzymujemy na łamach bloga, dostrzegamy, że powstaje wiele wątpliwości we wdrożeniu RODO. Zapraszamy zatem do skorzystania z usługi konsultacji. Pozdrawiamy!

  105. Anna

    Witam. Czy przetwarzanie danych zwykłych pacjenta podczas rejestracji do lekarza odbywa się już na podstawie art. 9 ust. 2 lit. h RODO, czy na podstawie jego zgody?

    1. Kancelaria Lex Artist

      Dzień dobry. Pani Anno, z racji wielu pytań, które od Pani otrzymujemy na łamach bloga, dostrzegamy, że powstaje wiele wątpliwości we wdrożeniu RODO. Zapraszamy zatem do skorzystania z usługi konsultacji. Pozdrawiamy!

  106. Anna

    Dzień dobry. Tak, dookoła RODO powstaje wiele wątpliwości. Dziękuję za okazaną cierpliwość i na pewno skorzystam z usługi konsultacji. Pozdrawiam.

  107. Natalia

    Witam. Proszę o wyjaśnienie relacji:
    -biuro podróży świadczące usługi dla dużego touroperatora – relacja Procesor-ADO?
    -biuro podróży- hotel, linie lotnicze, przewoźnik- relacja ADO-ADO?
    – biuro podróży oferujące swoje wycieczki, nie w imieniu touroperatora- ADO?
    Pozdrawiam i dziękuję za możliwość skorzystania z rewelacyjnej bazy wiedzy.

  108. Jolanta Maciejewska

    Dzień Dobry,

    Wysłałam umowę powierzenia danych osobowych do firmy ubezpieczeniowej AXA, z którą mamy umowę generalną do zawierania umów ubezpieczenia imprez turystycznych, a więc przekazujemy do AXA dane osobowe (często też i te wrażliwe) naszych klientów. Dostałam odpowiedź, że firmy ubezpieczeniowe nie podpisują umów powierzenia danych osobowych z Biurami Podróży, mają swoje umowy w których to one są Administratorem danych osobowych i to te umowy przesyłają do swoich agentów.
    Nie bardzo wiem jak w takiej sytuacji mamy postępować ? Czy możemy przekazywać dane osobowe naszych klientów (ich zgody do przekazywania ich danych naszym podwykonawcom oczywiście mamy) do firmy ubezpieczeniowej bez zawartej z nią umowy powierzenia danych ?

    Bardzo dziękuję za pomoc
    Z poważaniem

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, ubezpieczyciele pełnią w opisanej relacji rolę odrębnych administratorów danych, w związku z tym dane nie są im powierzane, lecz udostępniane. Pozdrawiamy!

  109. Jolanta

    Bardzo dziękuję za odpowiedź. Jednakże od nas klienci w zawieranych z nami umowach – dotyczy to wyjazdów firmowych etc.. wymagają jak poniżej :

    6. Klient udziela Biuru Podróży zgody na korzystanie z usług innych podmiotów przetwarzających, tj. przewoźników, agentów lotniczych, hoteli, pilotów wycieczek, ubezpieczycieli, grafików komputerowych, drukarni , dalej jako „Podwykonawcy” – w celu realizacji niniejszej Umowy o udział w Imprezie Turystycznej.
    7. Biuro Podróży, zgodnie z art. 28 ust. 4 Rozporządzenia UE, oświadcza, że zawarło lub zawrze z Podwykonawcami stosowne umowy powierzenia przetwarzania danych osobowych a jego Podwykonawcy podobnie jak Biuro Podróży podlegają obowiązkom wskazanym w art. 32 Rozporządzenia UE.
    8. Biuro Podróży jest zobowiązane udostępnić Klientowi wszelkie informacje dotyczące spełnienia obowiązków Biura Podróży, jako podmiotu przetwarzającego dane Uczestników Imprez turystycznych.

    i mogą zażądać umów powierzenia danych, co w takim razie mamy robić i na jakiej podstawie prawnej możemy udostępnić dane naszych klientów firmie ubezpieczeniowej ?

  110. Paweł

    Witam, chyba już dopadła mnie RODOza i pogubiłem się w tych kwestiach. Czy jeśli w ogłoszeniu o konkursie o pracę dajemy klauzulę informacyjną, to potem musimy jeszcze po przyjęciu pracownika na dane stanowisko przedstawić mu kolejną klauzulę informacyjną?
    pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Zdajemy sobie sprawę z epidemii RODOzy. 🙂 Powinny być dwie odrębne klauzule informacyjne, ponieważ inny zakres danych zbieramy w momencie rekrutacji, a zupełnie inny od pracownika, którego decydujemy się zatrudniać. Pozdrawiamy!

  111. Gabriela

    Witam serdecznie 🙂 jeśli ktoś bierze z własnej woli udział w rekrutacji dotyczącej otrzymywania stypendium naukowego w projekcie badawczym (a sam doktorat robi w innej jednostce naukowej) to czy w klauzuli od instytucji wypłacającej stypendium temu doktorantowi należy wpisać, że jego dane będą przetwarzane na podstawie jego zgody oraz w celu wykonywania umowy stypendialnej czy też może wystarczy właśnie sam art. 6 b RODO? i w takim przypadku instytucja, w której realizowany jest projekt i z której będzie wypłacane stypendium jest administratorem danych tego doktoranta? zasadniczo jeśli w umowie o finansowanie projektu badawczego jest obowiązek wypłacania stypendium doktorantowi, to chyba wtedy też można mówić o art. 6 lit c RODO? pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. W naszej ocenie wystarczy za podstawę prawną podstać wykonanie umowy oraz przedsięwzięcie czynności, na żądanie osoby, której dane dotyczą, przed zawarcie umowy (art. 6 ust. 1 lit. b) RODO), natomiast instytucja wypłacająca stypendium będzie administratorem danych stypendysty. 😉 Pozdrawiamy!

  112. Korneliusz Tylak

    Dzień dobry.
    W związku z niezamówionym telefonicznym marketingiem bezpośrednim ostatnio próbuję dochodzić swoich praw i dowiedzieć się jakie jest źródło pochodzenia mojego numeru telefonu w bazie danych firmy marketingowej. Niestety firma uparła się, że nie przetwarza żadnych danych, a jedynie wykorzystuje automatyczny system wybierania numerów operujący na bazie zewnętrznego dostawcy. Na moje prośby o wskazanie administratora danych lub Inspektora Ochrony Danych, otrzymuję odmowy. Zastrzegają sobie udzielenia takich informacji jedynie poprzez pisemne żądanie wysłane na adres firmy łącznie z dokumentem poświadczającym że jestem użytkownikiem tego numeru telefonu (jako przykład wskazali umowę z operatorem).
    W sieci można znaleźć wiele informacji na temat obowiązków Inspektora danych , ale czy firma może warunkować podanie informacji kontaktowych zależnie od formy zapytania i dodatkowych dokumentów, a także czy ma rację pisząc że nie przetwarza danych?
    Pozdrawiam serdecznie!

    1. Kancelaria Lex Artist

      Dzień dobry. Naszym zdaniem jest to próba Pana zbycia. Żądanie może być złożone w formie dowolnej i administrator danych ma obowiązek na nie odpowiedzieć. Z kolei jeśli chodzi o dodatkowe dane identyfikacyjne – zgodnie z art. 12 ust. 6 RODO “jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą”. Jednak w naszej ocenie, żądanie umowy abonenckiej jest zbyt daleko idące. Posiadacza nr telefonu można dziś dużo łatwiej zidentyfikować. Pozdrawiamy!

      1. K.

        Dziękuję za odpowiedź. Również mam wrażenie, że to wszystko jest jedynie próbą zniechęcenia mnie.
        Chciałem jednak zwrócić uwagę, że rzeczona firma uważa iż nie przetwarza żadnych danych osobowych, nie ma administratora i nie dotyczy jej obowiązek informacyjny.
        Wydaje mi się, że kluczową kwestią tutaj jest stwierdzenie, czy obdzwanianie numerów (wykorzystywanie danych osobowych dostarczonych z zewnątrz) za pomocą automatycznego systemu, kiedy telemarketer tego numeru nawet nie widzi, podlega definicji przetwarzania danych, która z tego co wiem jest dosyć szeroka.
        Jeżeli by tak nie było, stanowiłoby to furtkę dla tego typu działalności, gdzie numery mogły zostać pozyskane nielegalnie, a administrator pozostaje nieznany.

        1. Kancelaria Lex Artist

          Oczywiście, że wykonywanie telefonów w celu zaoferowania produktów/usług jest przetwarzaniem danych osobowych. Próba twierdzenia, że jest inaczej, to błąd. Pozdrawiamy!

  113. anna

    Witam, a co w przypadku jeśli osoba dobrowolnie wysyła do firmy swoje CV i list motywacyjny do ogólnego zapoznania się z jej danymi i z prośbą o przyjęcie na staż? Czy można te dane rozesłać na maila firmowego?
    pozdrawiam

  114. Marcin

    Witam serdecznie pracuje w PCPR gdzie praktycznie zawsze pracujemy na podstawie przepisów prawa. Benef. składa do nas wniosek o dofin. do remontu łazienki gdzie zgodnie z przepisami prawa w dokumentach przedłozonych przez niego widnieja osoby trzecie (przedkłada orzeczenia o st. niepeł. członków rodziny) czy w tej sytuacji wobec tych osób trzecich powinniśmy spełnić również obowiązek informacyjny?

    1. Kancelaria Lex Artist

      Dzień dobry. W tym zakresie proponujemy przyjąć pewną fikcję prawną i traktować te osoby trzecie jakby były wnioskodawcą, zatem obowiązek informacyjny spełniamy wyłącznie wobec wnioskodawcy. Pozdrawiamy!

      1. Marcin

        Witam serdecznie na początek bardzo dziękuję za poprzednią odpowiedź.
        Mam jeszcze jedno pytanie, jeżeli chodzi o obowiązek informacyjny mógłby on wyglądać w ten sposób że w każdym wniosku które wydajemy w treści widniałby zapis np. Zostałam/Zostałem zapoznany z klauzulą informacyjną w tym z informacją o celu i sposobie przetwarzania danych osobowych zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r. (Dz.Urz. UE L 119 z 04.05.2016r.) Każdy z pracowników posiada na biurku do zapoznania się treść takiej klauzuli inf. Dodawanie odrębnej kolejnej kartki o obowiązku inf. generuje za sobą duże koszta.

        1. Marcin

          Wracając do poprzedniej odpowiedzi na temat obowiązku inf. wobec osób trzecich przy wnioskach napisał Pan/Pani ze te osoby należy traktować jak wnioskodawcy i obowiązek inf. należy spełnić wobec wnioskodawcy, a zatem wobec tych trzecich osób należy również spełnić ten obowiązek czy nie. Zgłupiałem już powiem szczerze.

        2. Kancelaria Lex Artist

          Po konkretne wskazówki dotyczące konstrukcji zindywidualizowanej klauzuli informacyjnej zapraszamy do skorzystania z usługi konsultacji. 🙂 Pozdrawiamy!

  115. Marianna

    Marianna
    Dzień Dobry,
    czy zbierając, od rodziców przedszkolaków, upoważnienia do odbioru ich dzieci przez dziadków, ciocie itp. należy odebrać zgody na przetwarzanie (przechowywanie przez przedszkole) danych osobowych tych osób odbierających? Czy raczej inna będzie podstawa prawna przetwarzania ich danych?

    1. Kancelaria Lex Artist

      Dzień dobry. Rekomendujemy pozyskać od tych osób zgody na przetwarzanie ich danych osobowych w celu wystawienia upoważnienia. Pozdrawiamy!

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma wymogu zatrudniania IOD-a na pełen etat. Jednak jeśli IOD ma łączyć swoje obowiązki z innymi zadaniami, należy wówczas pamiętać o art. 38 ust. 6 RODO, który nakłada na administratora danych osobowych (lub na podmiot przetwarzający), aby takie zadania i obowiązki nie powodowały konfliktu interesów. Pozdrawiamy!

    1. Kancelaria Lex Artist

      Dzień dobry. W zależności od rozłożenia obowiązków – odpowiedzialny za spełnienie obowiązku informacyjnego jest Administrator Danych, ale czy zrobi to sam, czy zleci przygotowanie klauzul komuś innemu – jest tutaj dowolność. 🙂 Pozdrawiamy!

  116. Marcin

    Witam serdecznie super sprawa ten blog.
    1. W naszej jednostce (PCPR) zatrudniony jest radca prawny, BHPowiec i psycholog na umowę zlecenie czy powinniśmy zawrzeć z nimi umowę powierzenia? na chwilę obecną mamy podpisane z tymi specjalistami upoważnienia do przetwarzania danych osobowych oraz oświadczenia o zachowaniu poufności. Nadmieniam że wszyscy specjaliści przetwarzają dane osobowe tylko w naszej jednostce nigdzie je nie wynoszą poza urząd.
    2. Jeżeli chodzi o obowiązek informacyjny mógłby on wyglądać w ten sposób że w każdym wniosku które wydajemy w treści widniałby zapis np. Zostałam/Zostałem zapoznany z klauzulą informacyjną w tym z informacją o celu i sposobie przetwarzania danych osobowych zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r. (Dz.Urz. UE L 119 z 04.05.2016r.) Każdy z pracowników posiada na biurku do zapoznania się treść takiej klauzuli inf. Dodawanie odrębnej kolejnej kartki o obowiązku inf. generuje za sobą duże koszta.

    1. Kancelaria Lex Artist

      Dzień dobry i na początek podziękowania za miłe słowa. 🙂

      1) Przyjęty model jest w porządku – wystarczą upoważnienia.
      2) Tak, jeśli wnioskodawca ma możliwość łatwego zapoznania się z tą klauzulą, to nie widzimy problemu w tak przedstawionym spełnianiu obowiązku informacyjnego.

      Pozdrawiamy!

  117. Marcin

    Witam serdecznie bardzo dziękuje za odpowiedź.
    Jeszcze jedno pytanie będziemy zawierać umowy zlecenia z dwa specjalistami dot. prowadzenia programu korekcyjno-edukacyjnego dla sprawców przemocy w rodzinie będą oni przetwarzać dane uczestników owego programu, czy wystarczy samo upoważnienie do przetwarzania danych dla tych specjalistów, czy lepiej zawrzeć umowę powierzenia?

  118. Marcin

    Bardzo dziękuje za odpowiedz jesteście bardzo pomocni.
    Dlatego postanowiłem zadać jeszcze jedno pytanie, a mianowicie w naszej jednostce funkcjonuje poradnictwo specjalistyczne ( darmowe wizyty o psychologa zgodnie z art. 46 ustawy o pomocy społecznej.
    1. Poradnictwo specjalistyczne, w szczególności prawne, psychologiczne i rodzinne, jest świadczone osobom i rodzinom, które mają trudności lub wykazują potrzebę wsparcia w rozwiązywaniu swoich problemów życiowych, bez względu na posiadany dochód.
    2. Poradnictwo prawne realizuje się przez udzielanie informacji o obowiązujących przepisach z zakresu prawa rodzinnego i opiekuńczego, zabezpieczenia społecznego, ochrony praw lokatorów.
    3. Poradnictwo psychologiczne realizuje się przez procesy diagnozowania, profilaktyki i terapii.
    4. Poradnictwo rodzinne obejmuje problemy funkcjonowania rodziny, w tym problemy opieki nad osobą niepełnosprawną, a także terapię rodzinną.
    W chwili obecnej zawieszona jest w gabinecie u specjalisty klauzula informacyjna ale dodatkowo zbieramy równie podpisy pod wydrukowana dla każdego klienta klauzulą, tylko że taka praktyka wiąże za sobą koszta w postaci dodatkowej kartki oraz dodatkowe miejsce w archiwum. Czy sama wywieszona klauzula nie wystarczyłaby?

  119. Marcin

    Witam bardzo dziękuję za bardzo konkretną i szybką odpowiedź.
    Jeszcze jedno pytanie mianowicie, czy powinniśmy pobierać zgody na przetwarzanie numeru tel i adres e-mail.

  120. Anna

    Dzień dobry,
    Mam pytanie dotyczące obowiązku informacyjnego dla osób a dokładnie PI, który zawiera z nami umowę na przygotowanie dla nas planu ochrony przeciwpożarowej. Dane osobowe jakie są zawarte w tej umowie to imię, nazwisko, nazwa firmy, NIP, REGON oraz adres firmy. Czy w umowie trzeba zamieszczać klauzulę informacyjną czy można zastosować jakieś inne rozwiązanie?

  121. Marcin

    Witam serdecznie mam pytanie dotyczące następującej kwestii.
    Wnioskodawcy mogą złożyć wniosek o dofinansowanie do remontu łazienki, gdzie wnioskodawca podpisuje umowę z firma na wykonanie tych prac. Przedkłada kosztorys i po jego akceptacji przez pracownika PCPR rozpoczynają się prace związane z remontem. Po zakończeniu prac pracownik PCPR oraz z oddelegowanym pracownikiem przez Starostę (zazwyczaj pracownik od spraw budowlanych) udają się na kontrole zgodności wykonanych prac z kosztorysem. Czy powinienem upoważnić pracownika Starostwa do przetwarzania danych osobowych względem tej osoby. Nadmieniam, że PCPR podlega Starostwu Powiatowemu.

  122. Paweł

    Dzień dobry 🙂
    Pracownica nie pojechała na konferencję naukową, ponieważ przebywa na miesięcznym zwolnieniu lekarskim.
    Jednakże wcześniej Pracodawca poniósł wydatki związane z jej wyjazdem (opłata konferencyjna, koszt zarezerwowanych noclegów).
    W celu zaksięgowania tych wydatków, na druku delegacji została naniesiona informacja, że Pracownica nie pojechała na konferencję, gdyż przebywa właśnie na zwolnieniu lekarskim (są też daty tego zwolneinia).
    Dokumentacja wyjazdu, który się nie odbył zostaje przechowywana w księgowości, nie mają do niej dostępu osoby postronne. Czy taka praktyka jest dopuszczalna?
    Pozdrawiam!

Zostaw odpowiedź dla Magda Anuluj odpowiedź