Zgoda na przetwarzanie danych osobowych według RODO

W poprzednim artykule omówiliśmy podstawy prawne przetwarzania danych osobowych. Tym razem przyjrzymy się bliżej jednej z najczęściej stosowanych przesłanek legalizujących przetwarzanie danych osobowych – zgodzie osoby, której dane dotyczą.

 Zgoda na przetwarzanie danych osobowych według RODO

 

 Jest to piąta część naszego cyklu. Zobacz również poprzednie artykuły:

Definicja zgody

Analizę zgody na przetwarzanie danych osobowych musimy oczywiście rozpocząć od samej definicji. Przyjrzyjmy się temu, w jaki sposób pojęcie to jest definiowane przez obecnie obowiązującą Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) i ogólne rozporządzenie o ochronie danych osobowych (RODO).

UODORODO
art. 7 pkt 5

oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie

art. 4 pkt 11

dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

motyw 32 preambuły:

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

motyw 42 preambuły

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

Porównanie definicji zgody na gruncie UODO i RODO prowadzi do kilku wniosków. Po pierwsze, w świetle RODO zgoda może mieć formę nie tylko oświadczenia, ale również wyraźnego działania potwierdzającego (co jest niedopuszczalne przez Ustawę o ochronie danych osobowych z uwagi na sformułowanie, iż „zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”). Stanowi to w istocie złagodzenie wymogów w stosunku do obecnych przepisów.

Po drugie, w RODO podano przykłady form wyrażenia zgody (pisemne, elektroniczne lub ustne oświadczenie). Bardzo ważne jest to, iż wprost wskazano, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny być interpretowane jako zgoda.

Po trzecie, RODO wyjaśnia, jaki minimalny zakres informacji o procesie przetwarzania danych należy przekazać osobie wyrażającej zgodę, aby była ona świadoma. Jest to tożsamość administratora i zamierzone cele przetwarzania. Dzięki temu zgoda nie ma charakteru abstrakcyjnego.

Po czwarte, jak wynika z nowych przepisów, możliwe będzie zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach. Jest to mniej rygorystyczne podejście w porównaniu do dotychczasowej praktyki polegającej na zbieraniu odrębnej zgody na każdy cel przetwarzania.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Obejrzyj nasz poradnik video o zgodzie na przetwarzanie danych…

… albo posłuchaj w formie podcastu

Warunki wyrażenia zgody według RODO

W praktyce bardzo istotne jest to, w jakich warunkach zgoda została udzielona i czy w związku z tym jest ona skuteczna. Jest to o tyle ważne, że w przypadku, gdy zgoda nie będzie wyrażona w odpowiedni sposób, nie wywoła skutku jakim jest zalegalizowanie procesu przetwarzania danych osobowych. Przyjrzyjmy się zatem temu, jakie warunki wyrażenia zgody przewiduje uodo i jak kwestię tę uregulowano w RODO.

1.Możliwość wycofania zgody

UODORODO
art. 7 pkt 5

oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

art. 7 ust. 3

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Zarówno uodo, jak i RODO przewiduje prawo do wycofania zgody. Różnica w stosunku do obecnych przepisów polega na wprowadzeniu dwóch dodatkowych wymagań. Pierwsze z nich to obowiązek poinformowania – jeszcze przed wyrażeniem zgody – o możliwości jej wycofania oraz o tym, że  wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Jest to istotny wymóg, gdyż obecnie – pomimo, że takie uprawnienie również przysługuje na gruncie uodo, niewiele osób ma tego świadomość i czuje się związana bezterminowo udzieloną zgodą.

Drugie wymaganie dotyczy obowiązku zapewnienia przez administratora, aby wycofanie zgody było tak łatwe jak jej wyrażenie. Co w praktyce oznacza wskazany wymóg i jak go realizować? Otóż jeśli administrator planuje uzyskiwać zgodę, powinien już na tym wstępnym etapie przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak zgodę tę będzie można odwołać.

Dodatkowo, co warto podkreślić, wycofanie zgody ma być tak łatwe, jak jej wyrażenie. Przystępność wycofania zgody zazwyczaj odnoszona jest do środków komunikacji identycznych jak te, za pośrednictwem których zgoda została udzielana, np.: jeśli zgoda wyrażana jest na stronie internetowej poprzez tzw. checkboxy, na stronie powinna pojawić się również dodatkowa zakładka umożliwiająca wycofanie zgody.

Jeśli zgodę można wyrazić w formie ustnej w trakcie rozmowy telefonicznej (np. za pośrednictwem infolinii), administrator powinien zagwarantować również analogiczną formę zakomunikowania mu chęci odwołania zgody. Istotą wskazanego wymogu jest bowiem to, aby nie dopuszczać do praktyk polegających przykładowo na tym, iż zgodę możemy wyrazić poprzez jedno kliknięcie na stronie internetowej, ale jeśli chcemy ją wycofać musimy wysłać tradycyjną pocztą pisemne oświadczenie.

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

2. Dobrowolność

UODORODO
 

BRAK

art. 7 ust. 4

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

motyw 42 preambuły

Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

motyw 43 preambuły

Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

RODO ogromny nacisk kładzie na dobrowolność wyrażanej zgody. Zwrócono uwagę na sytuacje, w których występuje brak równowagi pomiędzy pytającym o zgodę (administratorem), a osobą wyrażającą zgodę. Nie stanowi to jednak nowości. Sądy niejednokrotnie oceniając skuteczność zgody na gruncie Ustawy o ochronie danych osobowych, analizowały zależności pomiędzy stronami i to, czy zgoda rzeczywiście była udzielana w warunkach dobrowolności (np. wyrok NSA z dnia z dnia 6 września 2011 r., I OSK 1476/10, gdzie odniesiono się do relacji pracownik – pracodawca).

W RODO wprost wskazano również przykłady działań, skutkujących pozbawieniem zgody cechy dobrowolności, a mianowicie:

  • uzależnianie wykonania umowy od wyrażenia zgody na przetwarzanie danych, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (np. administrator nie musi zbierać danych na potrzeby realizacji konkretnej umowy, ale pomimo to uzależnia jej wykonanie od wyrażenia zgody na przetwarzanie danych),
  • brak możliwości niewyrażenia zgody bez negatywnych konsekwencji – negatywne konsekwencje należałoby interpretować jako odnoszące się do sytuacji prawnej, a nie np. możliwości skorzystania z rabatów przyznawanych przez administratora,
  • brak możliwości wyrażenia zgody z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne (np. kandydat do pracy w spółce X musi obligatoryjnie wyrazić dodatkową zgodę na udostępnienie jego danych osobowych spółce Y),
  • uzależnianie wykonania umowy od wyrażenia zgody, mimo że do jej wykonania zgoda nie jest niezbędna – dotyczy to np. zbierania zgody w przypadku, gdy istnieje inna przesłanka umożliwiająca przetwarzanie danych (przykładowo zbieranie zgody, gdy przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego spoczywającego na administratorze i osoba, której dane dotyczą nie ma w rzeczywistości możliwości zadecydowania o tym, czy jej dane będą przetwarzane czy też nie).

Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami

3. Zapytanie o zgodę

UODORODO
BRAKart. 7 ust. 2

Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.

motyw 32 preambuły

Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

motyw 42 preambuły

W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu.

Teoretycznie RODO wprowadza nowe wymagania dotyczące tego, w jaki sposób należy pytać o zgodę. W rzeczywistości jednak wymogi te są nam dobrze znane. Wprawdzie nie przewiduje ich wprost Ustawa o ochronie danych osobowych, ale wynikają one z dotychczasowego orzecznictwa i decyzji GIODO. Np.:

  • wyodrębnienie oświadczenia o wyrażeniu zgody od innych treści (tzn. zgoda nie może być „wpleciona” w treść umowy, regulaminu itp.) – przykładowo wyrok NSA z dnia 4 kwietnia 2003 r., II SA 2135/02,
  • wyraźna zgoda – przykładowo decyzja GIODO z dnia 30 kwietnia 2004 r., GI- DEC-DIS-105/04/208,
  • zgoda nie może mieć charakteru abstrakcyjnego, osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, musi więc posiadać pełne rozeznanie, konkretnie przez kogo i w jakim celu jej dane będą przetwarzane – przykładowo – wyrok NSA z dnia 10 stycznia 2013 r., I OSK 2029/11.

W RODO podkreślono jednak, iż zapytanie o zgodę ma być zwięzłe i w przypadku, gdy odbywa się w formie elektronicznej nie może zakłócać niepotrzebnie korzystania z usługi. Pytania te nie mogą być zatem uciążliwe dla osób, do których są kierowane.

4. Rozliczalność

UODORODO
BRAKart. 7 ust. 1

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

W Ustawie o ochronie danych osobowych nie znajdziemy przepisu odnoszącego się wprost do obowiązku zbierania dowodów potwierdzających uzyskanie zgody. W praktyce jednak, jeśli administrator nie jest w stanie tego wykazać, nie dysponuje podstawą prawną umożliwiającą mu przetwarzanie danych osobowych (jeśli powołuje się oczywiście właśnie na tej przesłance). Zatem również na gruncie obecnie obowiązujących przepisów, przestrzeganie zasady rozliczalności w tym względzie, jest wymagane. RODO obowiązek ten tylko dodatkowo podkreśla.

Warunki wyrażenia zgody przez dziecko

Jedną z najczęściej wskazywanych zmian jakie niosą za sobą nowe przepisy jest wprowadzenie odrębnych regulacji dotyczących warunków wyrażania zgody przez dzieci. Zgodnie z art. 8 ust. 1 RODO, jeżeli zastosowanie ma zgoda na przetwarzanie danych osobowych, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli natomiast dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

Podstawową kwestią jest wyjaśnienie pojęcia usług społeczeństwa informacyjnego. Definicję usługi społeczeństwa informacyjnego odnajdziemy w art. 4 pkt 25 RODO. Pojęcie to oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535, a więc „każdą usługę społeczeństwa informacyjnego, to znaczy każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług”. Przykładem usługi społeczeństwa informacyjnego jest np. sprzedaż towarów za pośrednictwem strony internetowej (e-sklepy). A zatem w przypadku, gdy ze sklepu internetowego korzystać ma osoba poniżej 16 roku życia, zgodę na przetwarzanie jej danych osobowych musi wyrazić (lub zaaprobować) osoba sprawująca władzę rodzicielską lub opiekę.

Warto podkreślić, iż państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Polska prawdopodobnie z tego uprawnienia skorzysta (przewiduje to projekt części przepisów nowej „ustawy o ochronie danych osobowych”, opublikowany przez Ministerstwo Cyfryzacji: https://mc.gov.pl/projekty/nowe-prawo-ochrony-danych-osobowych/projekt-przepisow – granica ta ma wynosić właśnie 13 lat).

Jakie mechanizmy ma zatem wprowadzić administrator, by zweryfikować czy ma do czynienia z osobą poniżej 16 roku życia? Zgodnie z art. 8 ust. 2 RODO, administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Każdy administrator musi w związku z tym indywidualnie ocenić, który mechanizm będzie w rzeczywisty, ale jednocześnie rozsądny sposób weryfikował wiek. Pytanie o wiek należałoby ocenić jako niosące za sobą stosunkowo wysokie ryzyko podawania przez dzieci nieprawdziwych informacji. Wskazanie pełnej daty urodzenia wydaje się bardziej rozsądne, lecz również nie daje 100 % pewności prawidłowości.

Alternatywą wydaje się przykładowo uzyskiwanie numeru PESEL. Zbieranie dodatkowych informacji stoi jednak w sprzeczności z zasadą minimalizacji zakresu uzyskiwanych danych osobowych. W rezultacie efektem ubocznym realizacji wymogów dotyczących zgody zbieranej od dzieci byłoby osłabienie poziomu ochrony danych osobowych. W późniejszym czasie (po rozpoczęciu stosowania RODO), w ramach kształtowania się orzecznictwa i stanowisk Urzędu Ochrony Danych Osobowych (dzisiejszy GIODO), z pewnością pojawią się wskazówki i wytyczne w tym względzie.

W ramach regulacji dotyczących warunków wyrażania zgody przez dziecko pojawia się jeszcze jedno zagadnienie – jeśli administrator danych ustali, iż osoba której dane dotyczą ma poniżej 16 (w Polsce prawdopodobnie 13) lat, to w jaki sposób ma uzyskać zgodę (lub aprobatę) osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem?  Możliwe jest np. zbieranie pisemnego oświadczenia (wysyłanego w formie skanu) czy też wysyłanie na adres poczty elektronicznej (wskazany przez dziecko) linku aktywacyjnego. Analogicznie jak w przypadku metody ustalania wieku, także i w tym przypadku decyzję o wyborze odpowiedniego mechanizmu uzyskiwania zgody (lub jej aprobaty) pozostawiono w gestii administratora.

rcp i rkcp

Rejestr czynności przetwarzania (RCP) i RKCP

Chcesz spełnić wymóg RODO i prowadzić Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania, ale nie wiesz od czego zacząć?

Działaj na sprawdzonym szablonie, którego autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce.

Sprawdź

Czy musimy zbierać nowe zgody?

Skoro wiemy już czym jest zgoda w świetle RODO i jakie warunki musi spełniać, pozostaje nam do omówienia ostatnia, kluczowa kwestia – co stanie się ze zgodami uzyskanymi na gruncie UODO, po rozpoczęciu stosowania RODO (25 maja 2018 r.)? Czy nadal będą one uprawniały nas do przetwarzania danych osobowych czy też musimy „od nowa” zbierać zgody?

Odpowiedź na to pytanie znajdziemy w motywie 171 preambuły. Wyjaśniono w nim, iż jeżeli przetwarzanie ma za podstawę zgodę uzyskaną na podstawie obecnych przepisów, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. Co to oznacza w praktyce? Po 25 maja 2018 r. możliwe będzie kontynuowanie przetwarzania danych w oparciu o zgody zebrane na podstawie UODO, pod warunkiem, iż spełniają one warunki ich wyrażenia przewidziane w nowych przepisach.

W rzeczywistości, jeśli już teraz administrator zbierał zgody zgodnie z wymaganiami UODO i uwzględniał stanowiska GIODO oraz orzecznictwo, nie będzie musiał zbierać nowych zgód.

Zazwyczaj brak możliwości kontynuowania przetwarzania w oparciu o dotychczasowe zgody będzie wynikał z:

  • niewyrażania zgody w sposób świadomy (np. oświadczenie „Wyrażam zgodę na przetwarzanie danych osobowych zgodnie z Ustawą o ochronie danych osobowych”, niewskazujące komu zgoda jest udzielana i w jakim celu dane będą przetwarzane),
  • braku dobrowolności,
  • okienek domyślnie zaznaczonych.

Podsumowanie

RODO nie wprowadza rewolucyjnych zmian w kwestii zgody na przetwarzanie danych osobowych. Nie ma w tym jednak nic dziwnego, skoro stanowi ona jedną z podstawowych przesłanek legalizujących przetwarzanie danych osobowych. Zmiany polegają przede wszystkim na potwierdzeniu dotychczas postulowanych warunków wyrażenia zgody. RODO uwzględnia zatem doświadczenie i zalecenia zarówno sądów, jak i przedstawicieli doktryny prawa. Za najistotniejszą zmianę należy uznać natomiast wprowadzenie wymogów dotyczących wyrażania zgody przez dzieci.

Czy RODO zaostrza wymagania dotyczące zgody na przetwarzanie danych osobowych? Z jednej strony tak. Nowe przepisy wprowadzają bowiem szczegółowe regulacje odnoszące się do warunków jej wyrażenia. Z drugiej jednak strony, RODO niesie za sobą również uelastycznienie i tym samym złagodzenie dotychczasowych wymogów, np. poprzez rezygnację z zakazu domniemania zgody. Zmiany mają zatem dwoisty charakter.

Stopień zmian40%

Lista rzeczy do zrobienia


sprawdź czy w przypadku gdy zbierasz zgodę, jej wycofanie jest równie łatwe jak wyrażenie zgody;


sprawdź czy w przypadku stosowania tzw. checkboxów, nie są one domyślnie zaznaczone;


upewnij się, że twoja organizacja zapewnia wyrażenie zgody w sposób dobrowolny;


sprawdź czy w prawidłowy sposób formułowane jest zapytanie o zgodę;


sprawdź czy jesteś w stanie wykazać uzyskanie zgody osoby, której dane dotyczą;


ustal czy na podstawie zgody świadczone są usługi społeczeństwa informacyjnego skierowane do dzieci;


zweryfikuj czy obecnie zbierane zgody spełniają warunki wyrażenia zgody, o których mowa w art. 7 RODO;

 

Źródła:

 

 

Powiązane artykuły

rodo faq
Ile zgód należy pozyskiwać dla celów marketingowych? #RODOFAQ
rodo faq
Wizytówki a RODO – o czym pamiętać? #RODOFAQ
przekazywanie danych osobowych do państw trzecich
Przekazywanie danych osobowych do państw trzecich zgodnie z RODO… czyli jak?

159 Odpowiedzi

  1. Jan

    Witam,

    zastanawiam się, czy wskazanie ADO w obowiązku informacyjnym , który współwystępuje ze zgodą będzie wystarczającym zadośćuczynieniem potrzebie określenia podmiotu dla którego zgoda jest wyrażana?

    Pozdrawiam,
    Jan

    1. Kancelaria Lex Artist

      Dzień dobry,
      Nie widzimy tutaj przeciwwskazań dla połączenia zgody z obowiązkiem informacyjnym.
      Byle było to czytelne dla odbiorcy i spełniało RODOwe standardy obowiązku informacyjnego i zgody.
      Jakiś czas temu w ramach unijnych dyskusji nad reformą, padały nawet pomysły częściowego zastąpienia klauzul pisanych piktogramami (przekaz graficzny).
      Ale to raczej przyszłość.
      pozdrawiamy poniedziałkowo 🙂

  2. Marcin

    Dzień dobry,

    mam pewną wątpliwość, jeśli chodzi o zgody na przetwarzanie danych osobowych, otóż zgodnie z pkt 42 RODO „(…) administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania”. I właśnie te dwa ostatnie słowa wszystko burzą. W obecnych zgodach nigdzie nie spotkałem się z zapisem, że możemy przetwarzać dane przykładowo w celach marketingowych, z dopiskiem, że dane będą przeglądane, edytowane, itd. Co więcej na jednym ze szkoleń przygotowującym do wdrożenia RODO usłyszałem, że dla każdej operacji musi być osobna zgoda. Czy zatem jest konieczne rozbijanie zgód na operacje, czy nie?

    Serdecznie pozdrawiam

    1. Kancelaria Lex Artist

      Wszystko zależy od konkretnych przypadków. Według mnie, wskazanego motywu nie należy interpretować jako obowiązku wymieniania w treści zgody poszczególnych operacji wykonywanych na danych osobowych. Proszę zwrócić uwagę na treść motywu 43 RODO, zgodnie z którym „zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna”. W niektórych przypadkach zasadne będzie zatem wskazywanie, iż np. zgoda odnosi się wyłącznie do czynności usunięcia, a nie przeglądania danych. Ostatecznie jednak jak sądzę, wątpliwości te wyjaśnią wytyczne Grupy Roboczej Art. 29, które mają zostać wydane.

  3. Patryk

    Dzień dobry Państwu,

    zastanawiam się czy w związku z tym, iż „cofnięcie zgody musi być równie łatwe jak jej wyrażenie” dopuszczalne jest, aby mimo zaznaczenia zgody „checkboxem” poinformować podmiot danych, że w takiej sytuacji wystarczy skontaktować się z ADO pod adresem mailowy X lub zadzwonić pod numer Y, na podstawie czego zgoda oczywiście będzie mogła być wycofana bez przeszkód.

    1. Kancelaria Lex Artist

      Dzień Dobry,
      w opisanym przez Pana przypadku cofniecie zgody musi odbyć się w podobny sposób- zatem w przypadku zaznaczenia zgody „checkboxem”, jej odwołanie powinno polegać na cofnięciu zaznaczenia „checkboxa”. pozdrawiamy

  4. Paulina

    Dzień dobry,

    Jestem pracownikiem małej prywatnej przychodni medycznej, którą główną działalnością jest realizacja badań z zakresu medycyny pracy, a w drugiej kolejności porady specjalistów. Zaczęliśmy zbierać zgody na przetwarzanie danych osobowych (w kontekście gromadzenia informacji i ich przeglądania itp.). Czy zgłaszająca się do nas osoba może nie wyrazić zgody na przetwarzanie jej danych osobowych….?? A jeżeli tak, to jak odnieść decyzję tej osoby do dalszych procesów, które musimy realizować….?

    1. Kancelaria Lex Artist

      Dzień dobry, zgoda na przetwarzanie danych osobowych musi być wyrażona w sposób dobrowolny, zatem może zaistnieć sytuacja, że osoba, której dane dotyczą nie wyrazi jej. W opisanym przez Panią przypadku w pierwszej kolejności należy ustalić czy podanie danych osobowych nie jest przewidziane przepisami prawa i jest niezbędne do wykonania świadczonych przez przychodnię usług. Mam nadzieję, że udało mi się rozwiać Pani wątpliwości. Jeśli nie, zapraszam do skorzystania z naszego wsparcia https://blog-daneosobowe.pl/wsparcie/pozdrawiam

  5. Michał

    Pytanie, czy jeśli obowiązek informacyjny w momencie pozyskiwania zgody został spełniony jedynie w zakresie wymaganym przez UODO to teraz należy pozyskać nową zgodę czy jedynie „uzupełnić” informacje przekazywanie osobie której dane dotyczą? mówimy oczywiście o sytuacji kiedy wszelkie pozostałe wymogi (dobrowolność, jednoznaczność itp.) zostały spełnione.

    1. Kancelaria Lex Artist

      Witamy,
      Jeśli wszystkie warunki zgody wg. RODO zostały spełnione (Art. 7 RODO), to należy tylko dopełnić obowiązek informacyjny. Proszę pamiętać, że wg RODO osoba, której dane Państwo przetwarzają powinna być poinformowana w szerszym zakresie na temat przetwarzania danych niż wynika to z UODO.
      Pozdrawiamy 🙂

  6. Hubert

    Drodzy Państwo, a czy ktoś zastanowił się jaki skutek dla np. konsumenta będzie miało to, że zażąda usunięcia swoich danych osobowy ze z bazy danych sklepu internetowego. Konsument korzystający od lat ze stałego rabatu np. 25% po usunięciu danych nagle go utraci.

    Tak samo, usuniecie danych osobowych na żądanie konsumenta nie zawsze będzie możliwe do spełnienia – np. przy sporze sądowym. Wówczas każdy zapis w systemie może stanowić dowód w sprawie zatem chyba jednak NIE WOLNO tego kasować.

    1. Kancelaria Lex Artist

      Dzień dobry, Opisany przypadek wymagałby indywidualnego podejścia. Jeśli konsument zadecyduje o usunięciu swoich danych z bazy danych sklepu internetowego komunikuje jednocześnie brak zainteresowania ofertą sklepu. Oczywiście biorąc pod uwagę aspekt biznesowy sprzedawca powinien zastanowić się nad rozwiązaniem sytuacji gdy klient ponownie będzie zainteresowany skorzystaniem ze sklepu internetowego –być może warto będzie przywrócić rabat :-). Tak zgadzamy się – nie zawsze usuniecie danych osobowych na żądanie konsumenta będzie możliwe do spełnienia –prowadzenie sporu sądowego będzie właśnie przypadkiem gdzie danych nie należy kasować.pozdrawiamy

  7. Anna

    Mam pytanie dotyczące wysyłki newsletterów, czy po wejściu w życie RODO standardowa zgoda, obowiązująca na ten moment , wymaga zmian – uaktualnienia?

    Jeżeli jesteś właścicielem tego adresu email i wyrażasz zgodę na przetwarzanie swoich danych osobowych do celów marketingowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. nr 133, poz. 883), a także wyrażasz zgodę na otrzymywanie informacji handlowych środkami komunikacji elektronicznej wysyłanymi przez Holland House Residence kliknij w poniższy link:

    1. Kancelaria Lex Artist

      Dzień dobry! W podanej zgodzie przede wszystkim należałoby dodać, że zgoda jest wyrażana dobrowolnie. Do zgody należy także dodać klauzulę informacyjną (kto jest Administratorem Danych Osobowych i w jakim celu je przetwarza). Ta zgoda jest jednak problematyczna, ponieważ połączona jest w niej zgoda na przetwarzanie danych osobowych w celach marketingowych oraz zgoda na otrzymywanie informacji handlowych drogą elektroniczną. To dwie osobne zgody, o dwóch innych podstawach prawnych. Powinny być wyrażane oddzielnie (lub np. mieć oddzielne checkboxy). 🙂 Pozdrawiamy!

  8. MARTYNA

    Dzień dobry,
    Mam pytanie czy starzy pracownicy też będą musieli podpisywać klauzule informacyjne od 25 maja czy już nie muszą?

    1. Kancelaria Lex Artist

      Dzień dobry. Klauzule informacyjne zebrane dotychczas zachowają ważność. Będzie jednak obowiązek dopełnienia obowiązku informacyjnego (w postaci osobnej klauzuli lub rozszerzenia obecnej) o nowe informacje, które trzeba podać osobie, której dane dotyczą. Jest to np. informacja o prawie wniesienia skargi do organu nadzorczego. Pełen katalog znajduje się w art. 13 ust. 1 i 2 RODO. Pozdrawiamy!

  9. Roman

    Pytanie: grupa kapitałowa chce w systemie informatycznym dostępnym dla wszystkich spółek przetwarzać dane dotyczące pracowników, w tym zdjęcie. w tym celu pracownicy proszeni są o podpisanie zgody. treść tej zgody nie zawiera jednak wylistowania podmiotów, które będą miały udostępnione te dane. Czy taka zgoda jest ok? A jeśli nie czy zgoda tak wyrażona jest nieważna?

    1. Kancelaria Lex Artist

      Dzień dobry. Zgoda wyrażona w ten sposób będzie ważna, ale dotyczyć to będzie jedynie przetwarzania danych przez Administratora (pracodawcę danego pracownika). Wyrażona w opisany przez Pana sposób zgoda nie tworzy podstawy prawnej do udostępniania danych do innych spółek w ramach grupy kapitałowej. Jak słusznie Pan zauważył, wtedy potrzebne byłoby dokładne wskazanie w treści zgody, jakim spółkom dane będą udostępniane i w jakim celu. Pozdrawiamy!

      1. maciek

        czy na pewno?? Motyw 48 Preambuły RODO:
        „Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim.”

  10. Karolina

    Witam,
    Proszę o informację jak powinna być sformułowana zgoda na przetwarzanie danych osobowych (zgodna z RODO) znajdująca się w formularzu, który wypełnia podmiot chcący np. wstąpić do organizacji/stowarzyszenia. Jak powinna brzmieć „formułka” .

    1. Kancelaria Lex Artist

      Dzień dobry. Zgoda powinna spełniać wymogi wskazane w art. 7 ust. 2 RODO. Jeżeli chodzi o konkretną klauzulę dostosowaną do danego podmiotu, to zapraszamy do skorzystania z usługi konsultacji. Pozdrawiamy!

  11. Zuzanna

    Dzień dobry,
    mam następujące pytanie – jak wygląda kwestia wyrażenia zgody na przetwarzanie danych osobowych w sytuacji, gdy firma X, będąca firmą IT dostarcza firmie Y oprogramowanie zgodne z zawartymi wcześniej umowami. Firma X na swoich serwerach przechowuje dane o użytkownikach systemu dostarczonego firmie Y. Czy zgoda na przetwarzanie danych osobowych powinna być uzyskana przez firmę X od każdego użytkownika korzystającego z systemu w firmie Y? Czy to firma Y powinna uzyskać od użytkowników systemu (czyli głównie swoich pracowników) zgody na przetwarzanie danych, natomiast w umowie między firmami X i Y powinien zostać zawarty zapis o zobowiązaniu firmy Y do uzyskania od użytkowników zgody na przetwarzanie danych przez firmę X w związku z korzystaniem z dostarczonego przez tę firmę systemu?

    1. Kancelaria Lex Artist

      Dzień dobry. Jeżeli użytkownikami systemu, który dostarcza firma IT innemu podmiotowi, są pracownicy tego podmiotu, to:

      1) nie ma potrzeby uzyskiwania zgody na przetwarzanie danych osobowych – pracodawca jest administratorem danych osobowych swoich pracowników i przetwarza on ich dane na innych podstawach prawnych niż zgoda (przede wszystkim na podstawie przepisów prawa),
      2) jeśli firma IT działa na zasadzie outsourcingu (a wydaje się, że z taką relacją mamy tu do czynienia), to między firmą IT, a podmiotem będącym pracodawcą należy zawrzeć umowę powierzenia przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych), w którym jako ADO będzie wskazana firma (pracodawca), a jako procesor (podmiot przetwarzający) – firma IT.

      Pozdrawiamy!

      1. Krzysztof

        Witam, Chciałbym zapytać o inną formę outsourcingu, mianowicie firma A korzysta z usług firmy IT, która to świadczy obsługę informatyczną m.in. administracja komputerów, serwerów i wykorzystywanych aplikacji (w tym ich kopia zapasowa). Robi to wszystko w siedzibie firmy A, Dane nie opuszczają Firmy A. Czy firma A powinna podpisać z firmą A Umowę o powierzeniu przetwarzania? Czy wystarczy upoważnienie do przetwarzania danych dla pracownika z firmy IT.

  12. Michał

    Jeśli klient biura rachunkowego jest osobą fizyczną, to dane dotyczące tego klienta będą najczęściej przetwarzane przez biuro rachunkowe na podstawie art. 6 ust. 1 lit b. RODO (pomijam tu dane przetwarzane na podstawie umów powierzenia). Jednak powstają dwie wątpliwości odnośnie konieczności uzyskiwania zgód:
    1) dane dot. zdrowia klienta (tj. stopień niepełnosprawności lub jej brak ujawniony w kodzie tytułu ubezpieczeń klienta w ZUS oraz dane z zaświadczeń lekarskich dot. klienta w sytuacji, gdy choroba wpływa na wysokość jego składek ZUS lub biuro składa za klienta dokumentację zasiłkową) – art. 9 nie przewiduje podstawy analogicznej do art. 6 ust. 1 lit b, więc w tym zakresie zgoda od klienta jest chyba jednak konieczna (i wskazują też chyba na to – choć nie wprost – wytyczne Grupy Roboczej);
    2) dane dot. członków rodziny klienta zgłaszanych przez biuro do ubezpieczenia zdrowotnego klienta – członkowie rodziny klienta nie są stroną umowy z biurem rachunkowym, więc art. 6 ust. 1 lit. b chyba odpada, dodatkowo w zgłoszeniu wskazywany jest stopień niepełnosprawności lub jej brak (czyli dane dot. zdrowia) – więc znów zgoda członka rodziny jest chyba konieczna.

    Czy Państwo również uważają, że zgody w tych sytuacjach są konieczne? Czy w przypadku 2, jeśli zgłoszenie dotyczy niepełnoletniego dziecka klienta, zgody może udzielić w jego imieniu klient?

    1. Kancelaria Lex Artist

      Dzień dobry – zatem po kolei:

      1) W opisywanej sytuacji biuro rachunkowe nadal funkcjonuje w roli procesora, zatem to na administratorze danych osobowych ciąży obowiązek posiadania właściwej podstawy prawnej.

      2) Podobnie jak w przykładzie nr 1.

      Pozdrawiamy!

      1. Michał

        Odnośnie punktu 1 – czy Klient naprawdę może być administratorem swoich własnych danych osobowych? Jeśli tak, to dlaczego zwykle przyjmuje się, że biuro rachunkowe jest administratorem danych swoich klientów, tj. czy w takim razie biuro jest administratorem tych danych wyłącznie w zakresie przetwarzania ich do celów wystawienia faktury klientowi przez biuro?

        1. Kancelaria Lex Artist

          Dzień dobry. Nastąpiło nieporozumienie – sądziliśmy, że piszą o Klientach, ma Pan na myśli firmy, którym świadczycie Państwo usługi z zakresu księgowości np. ich pracowników. Jeśli Klientem jest osoba fizyczna, to wówczas oczywiście Państwo są administratorem ich danych osobowych. Pozdrawiamy!

          1. Michał

            Dziękuję za wyjaśnienie, ale w takim razie, jaka byłaby Państwa odpowiedź na pierwotne pytania:
            1. czy zgoda w odniesieniu do wskazanych danych dot. zdrowia klienta (osoby fizycznej) jest konieczna? (pozostałe dane można – jak rozumiem – przetwarzać na podstawie art. 6 ust. 1 lit b RODO).
            2. czy zgoda na przetwarzanie danych członków rodziny klienta (osoby fizycznej) zgłaszanych do ubezpieczenia zdrowotnego tego klienta w ZUS jest konieczna? Czy też te dane powinny być przetwarzane na podstawie umowy powierzenia, a biuro rachunkowe jest tylko procesorem w zakresie tych danych.

          2. Kancelaria Lex Artist

            Szersze wyjaśnienia wymagają więcej czasu i analizy – zapraszamy zatem do skorzystania z usługi konsultacji. 🙂

  13. Witam, jesteśmy małą firmą która powstała w 1997r. Od 2000r prowadzimy sklep internetowy w którym klienci zakładajqcy konto Wyrażali zgode na przetwarzanie danych osobowych przez firmę zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883). Oświadczam, że zostałem poinformowany, że podanie moich danych osobowych ma charakter dobrowolny oraz, że przysługuje mi prawo wglądu do nich, jak również możliwość ich poprawiania. Czy w związku z powyższym mamy obowiązek poinformować klientów o zmianach w regulaminie i polityce prywatności wysyłając e-maile informacyjne, czy ewentualnie można umieścić taka informację na stronie głównej sklepu internetowego ??

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, będzie konieczność dopełnienia nowego obowiązku informacyjnego z art. 13 RODO. Można umieścić taką informację na stronie głównej sklepu internetowego, jednak powinna być od razu widoczna lub np. powinien wyświetlać się pop-up, który będzie informował o nowym brzmieniu regulaminu sklepu oraz Polityki prywatności. Pozdrawiamy!

  14. Krzysztof

    Czy w umowie powierzenia danych z biurem rachunkowym (gdzie powierzane są dane zwykłe i szczególne – jak np info o chorobach) trzeba wymienić dokładne dane (np imię nazwisko pesel itp), czy wystarczy wymienić kategorie powierzanych danych?? A może wystarczy sam zapis, iż są to dane z zakresu prawa pracy?? Jak szczegółowy zapis to musi być?

    1. Kancelaria Lex Artist

      Dzień dobry. Należy wskazać poszczególne kategorie danych (np. imię, nazwisko, email, numer telefonu, wszelkie inne kategorie danych niezbędne do realizacji współpracy). Pozdrawiamy!

  15. Marta

    Witam,
    Czy potrzebne jest wyrażenie zgody przez Klienta na przetwarzanie jego danych, jeśli realizujemy dla niego dane zamówienie w ramach podpisanej z Klientem umowy sprzedaży? Czy może trzeba jednak stworzyć jakiś aneks do tej umowy? Dodam,że nie prowadzimy profilowania naszych Klientów.
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma takiej konieczności. Na gruncie RODO podstawą prawną jest wykonanie umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. b). Pozdrawiamy!

  16. Piotr

    Dzień dobry.

    W kontekście RODO rozważam następującą sytuację – placówka medyczna prosi pacjenta o wskazanie osób, które będą miały dostęp do jego danych medycznych. Zwykle są to dane dość precyzyjne, umożliwiające rzetelną weryfikację osób uprawnionych, tak aby ujawniać dane chronione jedynie osobom wskazanym (uprawnionym). Z drugiej strony zbierając takie dane placówka medyczna gromadzi oraz przetwarza dane, na których zbieranie oraz gromadzenie nie otrzymała zgody od odnośnych osób fizycznych. Zastanawiam się, czy fakt przekazania takich danych przez inną osobę fizyczną (pacjenta), która posiada takie dane oraz podaje je w celu ochrony swoich interesów stanowi wystarczającą przesłankę do gromadzenia i przetwarzania takich danych bez zgody osób, których dane są przetwarzane?
    Na marginesie dodam że identyczna sytuacja ma miejsce w przypadku rozmaitych komisji stypendialnych, socjalnych, społecznych itp. gdzie przekazanie danych innych osób fizycznych (zwykle członków rodziny) warunkuje możliwość rozpatrywania danej sprawy (otrzymanie świadczenia, zwolnienie z opłaty itp.)

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Zgoda osób upoważnionych na przetwarzanie przez placówkę medyczną ich danych osobowych w zakresie informowania o stanie zdrowia czy weryfikacji tożsamości przy uzyskiwaniu dokumentacji medycznej od pacjenta nie jest wymagana. Podstawą prawną w tym wypadku będzie prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO), a uzasadnieniem tego interesu jest przede wszystkim art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, który daje uprawnienie pacjentowi do wskazania osoby upoważnionej do zasięgania informacji i uzyskiwania dokumentacji medycznej pacjenta. Pozdrawiamy!

      1. Piotr

        Dzień dobry.

        Serdecznie dziękuję za odpowiedź, rozjaśniło to nieco sytuację. Rozumiem, iż w przypadku przekazania danych członków rodziny generalnie podstawy należy poszukiwać w art. 6 ust. 1 lit. f RODO. A jak będzie wyglądała sytuacja odnośnie komisji o charakterze stypendialnym i socjalnym? Czy tutaj również należy odszukać podstawę w odnośnych ustawach na podstawie których działają komisje? Przykład: komisja zapomogowa (ZFŚS – zapomogi bezzwrotne), komisja stypendialna (stypendia dla studentów o trudnej sytuacji życiowej). W obu powyższych przypadkach zbieramy dane nt. sytuacji życiowej, materialnej, zdrowotnej członków rodzin (zarobki za poprzedni rok, choroby uniemożliwiające podjęcie aktywności zawodowej, problemy społeczne, alkoholizm itp.).

        Pozdrawiam

  17. Marzena

    Dzień dobry,
    Prowadzimy sklepy. Mamy mnóstwo umów z kontrahentami (z hurtowaniami itp.) którzy dostarczają towar na sklep. Czy każdą umowę mamy zaktualizować dołączając do niej oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma takiej potrzeby, przetwarzanie danych osobowych pracowników kontrahentów odbywa się na podstawie wykonania umowy. Pozdrawiamy!

      1. Marzena

        Żeby się upewnić, umowy są zawarte z samymi kontrahentami (np. z firmą XYZ reprezentowaną przez prezesa .. ), a nie z pracownikami kontrahentów.
        Zmienia to coś?

  18. Maciek

    Witam, mamy z kilkunastoma tysiącami odbiorców podpisane umowy (dostawa wody) wraz z jeszcze obecną klauzula informacyjną z GIODO. Klauzula ta zmieni się na dniach, czy w takim wypadku musimy powiadamiać w jakiś sposób odbiorców o tej zmianie ? Sprawa jest dość istotna, gdyż musielibyśmy teraz prawie 20 tys. pism wysyłać… (sprawa dotyczy branży wod-kan). Czy np. przy kolejnym fakturowaniu przesłać nową klauzule informacyjną. Lub na samej stronie http://www... Z góry dziękuję za wszelkie sugestie.
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. RODO nie przewiduje obowiązku ponownego informowania (spełniania obowiązku informacyjnego) osób, których dane pozyskali Państwo przed 25 maja 2018 r., ale do dobrych praktyk na pewno należy spełnienie nowej klauzuli informacyjnej. Można to zrobić zarówno z nową fakturą, jak i na Państwa stronie internetowej. Pozdrawiamy!

      1. Maciek

        Dziękuje za sprawną i szybką odpowiedź. A nie będzie to problemem jeśli poza stroną www. Czy informacją na iBOKu dla użytkowników systemu iBOK damy informację z nową klauzulą na fakturach jednakże z początkiem np lipca ?

        1. Kancelaria Lex Artist

          Im szybciej, tym lepiej. 🙂 Informacja ma po prostu dotrzeć do osób, których dane dotyczą, niezależnie jaką drogą. Pozdrawiamy!

  19. Grzegorz

    Witam,

    Prowadzimy Akademię Piłki Nożnej, z tego tytułu przy wypełnianiu przez Rodziców deklaracji gromadzimy ich dane (takie jak: imię, nazwisko, numer telefonu, adres email). Dla naszych klientów (Rodziców) jest wszystko jasne i niezbędne do możliwości kontynuacji zajęć w naszej Akademii.

    Chcielibyśmy się dowiedzieć, czy poniższy zapis w deklaracji jest wystarczający. Czy jednak jest on niepełny?

    Wyrażam zgodę na przetwarzanie danych osobowych moich i mojego dziecka zawartych w tej deklaracji dla potrzeb niezbędnych do
    realizacji procesu rekrutacji i szkolenia (zgodnie z Ustawą z dnia 29.08.1997 roku o Ochronie Danych Osobowych; tekst jednolity: Dz.
    U. z 2002r. Nr 101, poz. 926 ze zm.)

    Z góry dziękuje za odpowiedź, Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Jeszcze przez tydzień zapis jest w porządku, natomiast po 25 maja 2018 r. jako podstawę prawną będzie trzeba podawać przepisy RODO. Pozdrawiamy!

      1. Katarzyna

        Dzień dobry, to jak będzie dokładnie brzmiał zapis klauzuli od 25.05.2018? np: ’ Wyrażam zgode na przetwarzanie danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji dla firmy X (zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE)’ ? Byłabym wdzięczna za informację, pozdrawiam

        1. Kancelaria Lex Artist

          Dzień dobry. W klauzuli zgody (oprócz wskazanych powyżej informacji) należy również poinformować o prawie do wycofania zgody bez wpływu na zgodność przetwarzania dokonywanego na podstawie zgody przed jej wycofaniem. Po szersze informacje zapraszamy do skorzystania z usługi konsultacji. Pozdrawiamy!

  20. Maciej

    Ostatnie szybkie zapytanie… w klauzuli informacyjnej powinniśmy dać kontakt do naszego inspektora… który jeszcze nie jest powołany, gdyż jest obecnie jeszcze ABI. Jak do tego podejść ?

    1. Kancelaria Lex Artist

      Dzień dobry. Najlepiej będzie wpisać tę osobę jako Inspektor Ochrony Danych w klauzuli informacyjnej i jak najszybciej ją wyznaczyć na IOD-a, sprowadza się to do podpisania dokumentu wyznaczenia IOD-a. Pozdrawiamy!

      1. Maciej

        Rozumiem. Spotkałem się też z zapisami, iż obecny ABI będzie inspektorem z automatu od 25.05.2018 do 01.09.2018r, po tym czasie ADO musi zdecydować czy go zostawia czy powołuje nowego. To także należy zgłosić do PUODO ?

          1. Maciej

            Może ciut nie precyzyjnie spytałem, chodziło mi o to czy już 25.05 należy zgłosić iż obecny ABI będzie IOD (pomimo, że będzie on automaytycznie IOD), czy dopiero 1.09 po podjęciu ostatecznej decyzji ? 🙂

          2. Kancelaria Lex Artist

            IOD-a należy zgłosić przed 1 września, aby dotychczasowy ABI, będący tymczasowo IOD-em, pozostał na stanowisku. Pozdrawiamy!

  21. Monika

    Witam, jak ABI ma udowodnić dobrowolność wyrażenia zgody przez zainteresowanego, który najpierw zaznaczył checkboxy, a następnie w automatycznym mailu jeszcze raz potwierdził zaznaczone wcześniej zgody poprzez kliknięcie buttona (pod treścią zgód)? Jedyna techniczna możliwość to śledzenie adresu IP, a IP to dana osobowa, która w danym przypadku nie wiąże się z realizacją celu (np. zapisem do newslettera) oraz powinien zainteresowany być poinformowany o tym zamiarze. A wiadomo, z marketingowego punktu widzenia jest to słabe – bo mało kto wyrazi na to zgodę.

    1. Kancelaria Lex Artist

      Dzień dobry. Administrator danych powinien móc wykazać w dostępne mu sposoby, iż pozyskał zgodę. Jeśli wiąże się to z odtworzeniem zgody poprzez użycie adresu IP, to zgodnie z zasadą rozliczalności powinno się to zrobić. Pozdrawiamy!

  22. Anna

    Witam, jak rozumieć pojęcie „aktywa” w szacowaniu ryzyka przetwarzania danych? Czy można to rozumieć jako dane osobowe z poszczególnych zbiorów, które mogą być podatne na określone zagrożenia?
    przykładowo – zagrożeniem jest ujawnienie danych osobowych pracowników a zagrożone aktywa to dane osobowe pracowników?
    Dziękuję za cenne wskazówki!

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, jako aktywa organizacji można rozumieć dane osobowe znajdujące się w poszczególnych zbiorach. W kontekście ochrony danych osobowych (i ewentualnego ryzyka np. wycieków), warto rozważyć również zakwalifikowanie jako aktywa wizerunku przedsiębiorstwa. Pozdrawiamy!

  23. Aga

    Dzień dobry,

    czy do użycia danych do kontaktu pracownika w umowie z kontrahentem potrzebuję zgody pracownika na przetwarzanie jego danych osobowych? Jeśli nie, to z czego to wynika?

    1. Kancelaria Lex Artist

      Dzień dobry. Zgody nie potrzeba, a podstawą prawną jest wykonanie umowy (art. 6 ust. 1 lit. b RODO). Pozdrawiamy!

  24. Adam Migalski

    Co zrobić w sytuacji, jeśli klient dobrowolnie przesyła nam swoje dane osobowe?
    Prowadząc firmę usługową dostaję maila, dzień Dobry, nazywam sie Jan Nowak, mieszkam w Warszawie przy ul. Szkolnej , mój telefon 123456, proszę o kontakt i ofertę na wymianę drzwi. ( email mojej firmy jest ogólnie dostępny)
    Co wtedy ze zgodą na przetwarzanie danych?
    Zaadresowana imiennie oferta jest przeciez na serwerach dostawcy poczty i na komputerze w firmie.
    Pzdr Adam

    1. Kancelaria Lex Artist

      Można uznać takie działanie za tzw. wyraźne działanie potwierdzające, zatem w odpowiedzi z ofertą powinno się zamieścić klauzulę informacyjną. Pozdrawiamy!

  25. IWONA

    Prowadzę sprzedaż detaliczną.Czy na formularzu reklamacyjnym powinna być informacja,że klient wyraża zgodę na przetwarzanie danych osobowych w celu zrealizowania reklamacji? Czy muszą być dane mojej firmy jako administratora?

    1. Kancelaria Lex Artist

      Dzień dobry. Dane firmy i inne elementy klauzuli informacyjnej (art. 13 RODO) – tak, natomiast zgoda nie jest wymagana, ponieważ podstawą prawną przetwarzania jest art. 6 ust. 1 lit. b RODO – wykonanie umowy, której stroną jest osoba, której dane dotyczą. Pozdrawiamy!

  26. Katarzyna

    Witam,
    a w momencie kiedy prowadzę firmę inwestycyjno-budowlaną. Mam umowy z pracownikami, firmami i kontrahentami, którzy zlecają nam zadania i w ich imieniu załatwiamy pewne sprawy w urzędach, wykonujemy budowy itp, to też musimy takie klauzule z każdym osobna podpisywać?

  27. Monika

    Dzień dobry.
    Czy zasadna jest prośba o podanie nr pesel w oświadczeniu dot. wyrażenia zgody na przetwarzanie danych dla administratora nieruchomości. Podanie adresu, nr telefonu i adresu e-mail nie budzi moich wątpliwości.

  28. Sławomir

    Dzień dobry.
    Prowadząc sprzedaż na portalu Allegro jako firma, staję się posiadaczem danych teleadresowych klientów. Jednocześnie udostępniam je np; firmie kurierskiej czy Poczcie Polskiej. kto komu i jakiego rodzaju zgód powinien udzielić na wykorzystywanie tych danych? Serwis Allegro odpowiedział że żadnych dodatkowych opisów dla klientów nie potrzeba umieszczać w wystawianych aukcjach, a co gdy oprócz tego firma prowadzi sprzedaż poprzez własny sklep internetowy? czy posiadanie dowodów nadania przesyłki i zapis nr. i adresu w telefonie, jest w rozumieniu RODO gromadzeniem danych osobowych?
    dziękuję za odpowiedź

    1. Kancelaria Lex Artist

      Dzień dobry. Niewątpliwie jest to przetwarzanie danych osobowych, ale Allegro ma rację – zgody nie są wymagane, ponieważ istnieją inne podstawy prawne do przetwarzania danych osobowych kupujących i sprzedających na Allegro. Pozdrawiamy!

  29. Krzysztof

    „Po czwarte, jak wynika z nowych przepisów, możliwe będzie zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach. Jest to mniej rygorystyczne podejście w porównaniu do dotychczasowej praktyki polegającej na zbieraniu odrębnej zgody na każdy cel przetwarzania.”

    Jeśli przetwarzam dane do celów realizacji umowy (np sklep internetowy) to mogę to połączyć z celami marketingowymi? A co jeśli ktoś chce dokonać zakupu ale nie chce aby jego dane były przetwarzane w celach marketingowych?

    1. Kancelaria Lex Artist

      Dzień dobry. Dla celów realizacji umowy np. w sklepie internetowym nie jest wymagana zgoda na przetwarzanie danych osobowych – przesłanką prawną przetwarzania jest wykonanie umowy (art. 6 ust. 1 lit b RODO). Natomiast na działania marketingowe powinno zebrać się zgodę. Pozdrawiamy!

  30. Adam

    Dzień dobry,
    Jestem sprzedawcą części zamiennych do samochodów, przy zamówieniu części klient proszony jest o podanie danych. Często zdarza się w ten sposób, że przy odbiorze zamówienia jest inna osoba niż przy zamówieniu (np.kolega zamawiającego) czy ta osoba odbierająca musi być w jakiś sposób weryfikowana? czy można bez żadnych dodatkowych działań wydać towar tej osobie?

    1. Kancelaria Lex Artist

      Dzień dobry. Pytanie nie bardzo ma związek z ochroną danych osobowych, a w tym zakresie decyzja należy do Państwa. 🙂 Pozdrawiamy!

  31. Aleksandra

    Czy prowadząc jednoosobową działalność gospodarczą zajmująca się sprzedażą detaliczną i hurtową w momencie wystawiania faktur VAT jestem administratorem danych klienta i muszę uzyskać zgodę oraz w jakiś konkretny sposób zabezpieczyć dane które zapisują się w bazie danych każdego programu do fakturowania

  32. Anna

    Witam, prowadzę zakład fryzjerski. Od klientów zbieram tylko numery telefonów i imiona. Jak mam działać zgodnie z RODO? Anna

    1. Kancelaria Lex Artist

      Dostosowanie każdej organizacji do RODO wymaga analizy znacznie wykraczającej czasowo poza komentarz na blogu. Zapraszamy do skorzystania z usługi konsultacji. Pozdrawiamy!

  33. Andrzej

    Dzień dobry, z dniem 25 maja br. w Polsce zacznie obowiązywać dyrektywa RODO, która ma umożliwić lepszą ochronę danych osobowych.
    W ramach realizowanych działań analityczno-badawczych przez publiczne służby zatrudnienia z wykorzystaniem komercyjnych baz danych oraz ogólnodostępnych maili dostępnych np. na portalach branżowych, prowadzone są badania opierające się wyłącznie na mailach pracodawców, do których rozsyłana jest ankieta internetowa.
    Tym samym mam pytanie, czy nowo wprowadzona dyrektywa RODO, określa w szczególności, w jakiej formie powinny być wykorzystywane ogólnodostępne dane podczas prowadzonych podobnych badań.

    Dziękuje,

    1. Kancelaria Lex Artist

      Dzień dobry. Działania, które Pan opisuje, oparte są na art. 6 ust. 1 lit. c RODO – obowiązek prawny ciążący na administratorze danych. Publiczne służby zatrudnienia (np. w województwie) są zobowiązane do prowadzenia badań rynku pracy, zgodnie z ustawą o promocji zatrudnia i instytucjach rynku pracy. Pozdrawiamy!

  34. Rafał

    Czy firma która zajmuje się sprzedażą i kupnem samochodów tj. wystawia umowy kupna sprzedaży oraz faktury musi posiadać politykę ochrony danych?? Bo rozumiem że zgody są potrzebne, obowiązek informacyjny musi być spełniony oraz rejestr przetwarzania.

  35. Mariusz

    Dzień dobry. Chciałabym się dowiedzieć, czy w przypadku wyjazdu ucznia na jednodniową wycieczkę, zasadne jest podawanie na oświadczeniu szkoły takich danych jak pesel dziecka? O podanie jakich danych można w takim oświadczeniu prosić, by nie przekroczyć nowych przepisów RODO? Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. W tej konkretnej sytuacji proszenie o PESEL wydaje się naruszeniem zasady minimalizacji danych, choć zależy to np. od miejsca, do którego udaje się wycieczka. Są takie miejsca, do których wstęp wymaga podania nr PESEL odwiedzającego. Pozdrawiamy!

  36. Tomek

    Dzień dobry.

    Czy w treści zgody koniecznie musi pojawić się „… zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).”?
    Treść zgody powinna być prosta i zrozumiała dla wszystkich. W przypadku tak rozbudowanego zdania mam wątpliwości, czy można je tak ocenić.
    Czy nie wystarczy samo „Wyrażam zgodę na przetwarzanie danych osobowych w celu ….”? Ooczywiście w dalszej części podajemy dane administratora i przysługujące prawa.

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma obowiązku, aby formułować zgodę ze zdaniem, które Pan przytoczył. 🙂 Pozdrawiamy!

  37. Emilia

    Dzień dobry, pozdrawiam wszystkich przedsiębiorców, którzy borykają się z wdrożeniem RODO:)
    Ja mam pytanie od strony konsumenta – jak powinien brzmieć e-mail z cofnięciem zgody na przetwarzanie danych osobowych?
    Moją skrzynkę (tak jak pewnie i wszystkich w naszym kraju) zasypała lawina maili, nawet nie wiedziałam ile firm przetwarza moje dane osobowe! Z części tych firm chciałabym usunąć moje dane, niestety nie wszyscy podają na to prosty sposób typu kliknięcie checkboxa. Dlatego chciałabym do nich wysłać maila z cofnięciem zgody na przetwarzanie moich danych osobowych. Czy zwykłe „Cofam moją zgodę na przetwarzanie przez Państwa moich danych osobowych” wystarczy? Czy musi to być bardziej formalne i mam się powołać na konkretne Artykuły i Ustawy? Dziękuję i pozdrawiam!

    1. Kancelaria Lex Artist

      Dzień dobry. My również pozdrawiamy wszystkich, którzy dostosowują się do nowej rzeczywistości prawnej! 🙂 Treść, którą Pani przetoczyła jest wystarczająca. Pozdrawiamy!

  38. Andrzej

    Jestem jednoosobową firmą – Sprzedaję podłogi z montażem – aby wykonać zlecenie potrzebuje danych adresowych i telefonu do wystawienia zamówienia ,protokołu odbioru oraz faktury. Czy muszę zbierać zgody na przetwarzanie danych w tym wypadku. Logiczne jest ze bez tych danych niemożliwe jest wykonanie usługi czy wystawienia faktury.

    1. Kancelaria Lex Artist

      Jest to logiczne i ma Pan rację – nie potrzeba na to zgody. Podstawą prawną jest art. 6 ust. 1 lit. b RODO (wykonanie umowy, której stroną jest osoba, której dane dotyczą). Pozdrawiamy!

  39. Aneta

    Czy w Ośrodkach Pomocy Społecznej należy każdorazowo do wniosku załączyć klauzulę informacyjną? Chodzi mi o wnioski na zasiłek rodzinny, świadczenia wychowawcze, zasiłek okresowy itp. Pozdrawiam

  40. Dzień dobry, prowadzę hotel dla psów, podpisuję umowy zlecenia z klientami dotyczące powierzenia psa pod opiekę, gdzie proszę również o takie dane jak imię i nazwisko, adres zamieszkania, nr tel., adres mailowy oraz nr i seria dowodu osobistego. Czy powinnam dodać zgodę na przetwarzanie w celu realizacji zamówienia? „Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w umowie przez (DANE ADMINISTRATORA) w celu realizacji niniejszej umowy. Wyrażenie zgody na przetwarzanie danych osobowych jest warunkiem realizacji umowy.
    I czy taka zgoda oznacza również, że mogę kontaktować się z klientem w trakcie trwania umowy?

    1. Kancelaria Lex Artist

      Dzień dobry. Nie musi mieć Pan zgody w tym przypadku. Podstawą przetwarzania przez Pana danych w tej sytuacji jest art. 6 ust. 1 lit. b) RODO. I w ramach realizacji tej umowy i w sprawach z nią związanych może Pan kontaktować się klientem. Proszę pamiętać o konieczności dopełnienia obowiązku informacyjnego. Pozdrowienia dla wszystkich Psiarzy, w Kancelarii ich u nas dużo. 🙂

  41. Kazimierz

    Czy operowanie danymi osobowymi przez kościoły i związki wyznaniowe podlega takim samym regulacjom? Czy księża mogą np; wyczytywać z ambon nazwiska i imiona parafian bez ich zgody?

    1. Kancelaria Lex Artist

      Tak – z niewielkimi modyfikacjami wynikającymi z prawa kanonicznego. Jednak wspomniane zachowanie wydaje się być nadużyciem z punktu widzenia ochrony danych osobowych. Pozdrawiamy!

  42. Anna

    Dzień dobry. Chciałabym poprosić o małą pomoc związaną z obowiązkiem informacyjnym.
    1) Kancelaria prawna przetwarza dane osobowe dotyczące wyroków skazujących i naruszeń prawa. W klauzuli informacyjnej jest zawarta informacja o tym fakcie i powołanie na art. 10 RODO. Zgodnie z tym artykułem takie przetwarzanie wolno dokonywać wyłącznie pod nadzorem władz publicznych. Czy wskazanie w klauzuli informacyjnej konkretnego organu z nazwy np. Okręgowa Rada Adwokacka będzie poprawnym rozwiązaniem?
    2) Drugie pytanie dotyczy następującego zapisu w klauzuli informacyjnej: „Podanie danych osobowych w związku z umową o świadczenie pomocy prawnej jest dobrowolne, ale konieczne do zawarcia i wykonywania umowy”. czy taki zapis jest poprawny?
    3) Czy administrator danych ma mieć dowód na przekazanie klauzuli informacyjnej swojemu klientowi (np. jego podpis)?

    1. Kancelaria Lex Artist

      Dzień dobry:

      1) Tak,
      2) Tak,
      3) Dowód powinno się mieć (zgodnie z zasadą rozliczalności, o której mówi RODO), ale nie musi być to koniecznie podpis klienta.

      Pozdrawiamy!

  43. Anka

    Witam, startuję do konkursu na stanowisko kierownicze, muszę napisać oświadczenie o przetwarzaniu danych osobowych. Do niedawna wystarczyła podstawa prawna z 1997 roku a nie mam pojęcia jak to napisać uwzględniając RODO. Proszę o pomoc, z góry dziękuję.

    1. Kancelaria Lex Artist

      Dzień dobry. Ciężko powiedzieć, ponieważ w RODO zgoda na przetwarzanie danych w celu wzięcia udziału w konkursie na dane stanowisko nie jest wymagana. Jeśli jednak organ sobie tego życzy, można podać np. art. 6 ust. 1 lit. c RODO (działanie podejmowane na żądanie osoby, której dane dotyczą, przed zawarciem umowy). Pozdrawiamy!

  44. Gabriela

    Witam, czy można w klauzuli informacyjnej do konkursu na stanowisko podać art. 6 lit. a oraz art. 6 lit. c RODO – bo przeprowadzenie konkursu jest obowiązkiem administratora, ale osoby biorące udział wyrażają też zgodę na przetwarzanie ich danych w przyszłych rekrutacjach? pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Jak najbardziej tak – trzeba tylko wskazać, że cel nr 1 posiada podstawę prawną art. 6 ust. 1 lit. c RODO, a cel nr 2 – art. 6 ust. 1 lit. a RODO (zgoda). Pozdrawiamy!

  45. Gabriela

    Dziękuję bardzo za odpowiedź!
    Mam jeszcze jedno pytanie – jeśli przeprowadzona została ogólna ocena ryzyka przetwarzania danych, która wskazuje na wysokie ryzyko np. tam gdzie przetwarzane są dane dotyczące zdrowia pracowników, ale też wskazane zostały działania minimalizujące to wysokie ryzyko (odpowiednie zabezpieczenie dokumentacji itd.), to czy w takim przypadku też trzeba robić ocenę skutków dla ochrony danych? Czy tylko w takim gdy ryzyko jest wysokie i nie ma środków aby go zminimalizować? pozdrawiam

  46. Magda

    Dzień dobry!
    Pracuję w branży HR i nurtuje mnie pytanie, jak RODO odnosi się do metody direct search? Wiele firm, zajmujących się doradztwem personalnym oraz rekrutacją, często wykorzystuje tę metodę jako jedno z źródeł dotarcia do kandydatów. Czy jeśli na stronie internetowej (w tym na portalach branżowym) znajdziemy namiary do danej osoby (imię i nazwisko + numer telefonu) czy w świetle nowych regulacji możemy do takiej osoby zadzwonić z propozycją pracy? Czy wyjście z założenia, że skoro numer jest ogólnodostępny, możemy takie działania podjąć, jest jednak nadużyciem?

    1. Kancelaria Lex Artist

      Dzień dobry. Jeżeli dane są zamieszczone w internecie, jednak nie w celu przesyłania propozycji pracy do takiej osoby, to powinno się uzyskać zgodę na przedstawienie propozycji pracy. Inaczej będzie w przypadku portali typu LinkedIn lub GoldenLine – wówczas administratorami danych są te portale. Pozdrawiamy!

  47. Katarzyna

    Witam serdecznie,
    Prowadzę jednoosobową działalność gospodarczą tj. auto-handel pojazdami używanymi sprowadzanymi z Niemiec. Podpisując umowę Vat marżę z klientem / wystawiając fakturę Vat innemu przedsiębiorcy powinnam podpisywać umowę o zgodę na przetwarzanie danych osobowych ? Chodzi mi konkretnie o to ,że przekazuje wszystkie umowy ect. dokumentację potrzebną do wyliczenia Vat’u , podatku dochodowego do księgowego który jako jedyny ma wgląd w te dokumenty aby na ich podstawie wyliczyć mi wszelkie podatki. Dalej dane nie są udostępniane. Pozdrawiam

  48. Ewelina

    Dzień dobry!
    Mam pytanie odnośnie pozyskiwania zgód od pacjentów w sytuacji NZOZ-u świadczącego usługi diagnostyki medycznej (RTG,USG), czy musimy takie zgody pozyskiwać od każdego pacjenta rejestrującego się na badanie, czy możemy skorzystać z wyjątku, gdy przetwarzanie danych jest niezbędne do zrealizowania lub spełnienia obowiązku wynikającego z przepisów.
    Pozdrawiam.

    1. Kancelaria Lex Artist

      Dzień dobry. Zgoda nie jest potrzebna, a przesłanka prawna obowiązku prawnego nie jest wyjątkiem, lecz równoważną przesłanką do zgody – jeśli obowiązek prawny na Państwu ciąży, to jest to wystarczająca podstawa do tego, aby przetwarzać dane pacjentów. Prosimy pamiętać jedynie o odpowiednim sformułowaniu klauzuli informacyjnej. Pozdrawiamy!

  49. Emilia

    Dzień dobry,
    czy na BIPie powinny znajdować się zakończone postępowania związane z zamówieniami publicznymi lub umowami, czyli dokumenty z lat ubiegłych i teraźniejsze, ale po ogłoszeniu wybranego wykonawcy. Pozdrawiam.

  50. Emilia

    W związku z Państwa odpowiedzią na jedno z powyższych pytań, proszę o informację jak stosować RODO w zamówieniach publicznych jeżeli występują osoby fizyczne.

  51. Anna

    Witam, dlaczego firma benefitowa nazywa w umowie powierzenia przetwarzania danych naszą firmę „procesorem”, a według nas jest ona administratorem danych?
    pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Firmy benefitowe stosują obecnie podejście oparte na tzw. odwróconym powierzeniu przetwarzania danych osobowych, w którym jako ADO występują te firmy, a jako procesor pracodawca osób korzystających z benefitów. Poparciem tego podejścia jest stanowisko, które w decyzji z 11 września 2015 r. zaprezentował GIODO (sygnatura sygn. DIS/DEC-594/15/62961). Pozdrawiamy!

  52. Agnieszka

    Jak powinna brzmieć zgoda na przetwarzanie danych osobowych zawartych w życiorysie w związku z procesem rekrutacji na stanowisko kierownicze

    1. Kancelaria Lex Artist

      Dzień dobry. Po konkretną, dostosowaną klauzulę zgody zapraszamy do skorzystania z usługi konsultacji. Pozdrawiamy!

  53. Anna

    Dzień dobry, czy jest zasadne przedstawienie klauzuli informacyjnej dla członków obecnej Rady Naukowej w Instytucji? Nie pozyskujemy od nich żadnych danych, a ich kadencja dobiega już końca…

  54. Anna

    Dzień dobry.
    1) Czy adwokat działający na podstawie udzielonego pełnomocnictwa ma uzyskać zgodę na przetwarzanie danych osobowych swojego klienta, czy działa on już wtedy w myśl art. 6 ust. 1 lit. b RODO?
    2) W przypadku, kiedy pełnomocnictwa udziela np. żona osadzonego, aby adwokat działał w imieniu męża pozbawionego wolności przesłanką legalności przetwarzania danych żony będzie jej zgoda, czy w/w artykuł? Co będzie podstawą do przetwarzanie danych jej męża?
    3) Czu umowa ustna jest przypadkiem, aby przetwarzać dane w myśl art. 6 ust. 1 lit. b RODO?
    3) Przetwarzanie danych klienta „z urzędu” (wskazanego przez sąd, prokuraturę) odbywa się na podstawie art. 6 ust. 1 lit. c RODO?
    4) Adwokat wszelkie naprawy, serwisy komputera (swojego narzędzia pracy) realizuje w serwisie komputerowym. Serwisanci mogą mieć wgląd do danych klientów. W umowie powierzenia danych można wskazać ogólnie, że są to dane klientów (zwykłe, wrażliwe), czy też trzeba nazwać te dane (imię, nazwisko, pesel, dane o wyrokach, dane o zdrowiu itd.)? Zakładam, że przetwarzanie danych przez serwisantów to tylko ewentualnie przeglądanie.

    1. Kancelaria Lex Artist

      Dzień dobry.

      1) Zgody nie potrzeba, podstawą prawną jest wykonanie umowy.
      2) Jeżeli umowa jest podpisywana z żoną osadzonego, to jej dane są przetwarzane na podstawie wykonania umowy. Z kolei dane osoby osadzonej w opisywanym przypadku przetwarzane będą bez konieczności uzyskiwania zgody, a podstawą prawną w opisanym przypadku wydaje się być ochrona żywotnych interesów osoby, której dane dotyczą – przy czym tylko do czasu ustania pozbawienia wolności.
      3) Tak, jednak umowa ustna jest ciężka do wykazania z punktu widzenia RODO-wskiej zasady rozliczalności.
      4) Tak.
      5) Dane powinny zostać nazwane.

      Pozdrawiamy!

  55. Michal

    Witam, jesteśmy firma deweloperską. Rozumiem, że w momencie gdy podpisujemy z klientem umowe rezerwacyjną, klient wyraża jednocześnie zgode na przetwarzanie jego danych? Co z okresem korespondencji z klientem, zanim taka umowa zostanie podpisana, czy potrzebna jest osobna zgoda na kontaktowanie sie z klientem mailowo lub telefonicznie?
    Pozdrawiam

  56. Monika

    Witam,
    nurtuje mnie jedna kwestia i mam nadzieję, że tu uzyskam odpowiedź a mianowicie chodzi mi o wrażenie zgody na przetwarzanie danych osobowych zamieszczanych w aplikacjach na stanowisko do pracy (CV, list motywacyjny), jeżeli aplikujemy na konkretne stanowisko i nasze dane nie będą wykorzystywane do innego celu (np. innych rekrutacji) to czy konieczne jest takie wyrażenie zgody bo moim zdaniem skoro sam wysyłam swoje dane do konkretnego pracodawcy na konkretne stanowisko to zgoda na przetwarzanie danych osobowych jest trochę absurdalna. Może się mylę…

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma jednolitego stanowiska w sprawie tego, czy powinna być wyrażona zgoda na rekrutacje bieżące czy nie. Niektórzy twierdzą, że na taką rekrutację powinno się wyrazić zgodę, zwracamy jednak uwagę, że zgodę można wyrazić również przez wyraźne działanie potwierdzające – można uznać, że dobrowolne wysłanie CV do firmy, która rekrutuje spełnia kryterium wyraźnego działania potwierdzającego. Z kolei inni stoją na stanowisku, iż w kontekście przepisów art. 22 (1) Kodeksu pracy oraz art. 6 ust. 1 lit. b) i c) RODO, podstawami prawnymi do przetwarzania danych osobowych w procesie rekrutacji są: niezbędność przetwarzania do podjęcia czynności, na żądanie osoby, której dane dotyczą, przed zawarciem umowy oraz obowiązek prawny. Na dniach powinien zostać udostępniony przez organ nadzoru poradnik dotyczący RODO w kadrach (w tym rekrutacji) – być może tam znajdziemy rozstrzygnięcie sporu w doktrynie. 🙂 Pozdrawiamy!

  57. Marta

    Witam, mam pytanie. Pracodawca organizuje swoim pracownikom lot służbowy. Do zakupu biletu lotniczego potrzebuje serii i nr dowodu osobistego oraz daty urodzenia pracownika. Czy wymagana jest tu zgoda pracownika na podanie tych danych? Czy przesłanką prawną jest tu umowa zawarta z pracownikiem?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Zgoda nie jest wymagana, a przesłanką prawną nie będzie umowa zawarta z pracownikiem. Najczęściej w takiej sytuacji przesłanką jest obowiązek prawny lub prawnie uzasadniony interes. Pozdrawiamy!

  58. Justyna

    Dzień dobry,

    Czy przygotowując publikację z okazji 100-lecia istnienia szkoły musimy mieć zgody absolwentów szkoły na wykorzystanie ich imion, nazwisk i zdjęć (indywidualnych i grupowych)?

    1. Kancelaria Lex Artist

      Dzień dobry. Warto uzyskać zgody na przetwarzanie danych osobowych od tych osób, a w zakresie wizerunku prosimy pamiętać też o regulacji art. 81 ustawy o prawach autorskich i prawach pokrewnych. Pozdrawiamy!

  59. Izabela

    Czy próg wiekowy 16 lat obowiązuje tylko w przypadku usług? Czy w przypadku organizacji konkursu np. przedmiotowego przez instytucję oświatową zgodę podpisuja opiekunowie wszystkich osób niepełnoletnich czy tylko tych młodszych niż 16 lat?

    1. Kancelaria Lex Artist

      Dzień dobry. Próg wiekowy 16 lat obowiązuję wyłącznie w przypadku usług społeczeństwa informacyjnego. Usługa ta definiowane jest jako każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną, a zatem pozbawiona substratu materialnego i na indywidualne żądanie usługobiorcy. Zatem pod art. 8 RODO nie można „podpiąć” konkursu przedmiotowego organizowanego w szkole. Potwierdza to również poradnik Urzędu Ochrony Danych Osobowych „RODO dla szkół”, w którym czytamy: „bardzo ważne jest zaakcentowanie, że zgodę na przetwarzanie danych w ramach konkursu może wyrazić bezpośrednio opiekun prawny ucznia lub, w przypadku uczniów pełnoletnich, sam uczeń”. Zatem zgodę samodzielnie będzie mógł wyrazić wyłącznie uczeń pełnoletni. Pozdrawiamy!

  60. Mateusz

    Witam

    Robiłem zakupy na portalu aukcyjnym i wybrałem opcję odbioru przesyłki z punktu. Na drugi dzień zadzwonił sprzedawca, że hurtownia z którą współpracuje sprzedawca nie wysyła paczek do punktu odbioru tylko na adres domowy. Po kilku dniach zadzwoniła do mnie obsługa pewnego sklepu internetowego, że przetwarzają moje zamówienie, przedmiot który kupiłem na aukcji na portalu aukcyjnym. Osoba od której kupowałem przedmiot i która do mnie dzwoniła na drugi dzień dokonała w sklepie internetowym zakupu przedmiotu na moje dane. Osoba która rzekomo miała współpracować z hurtownią i która nie jest pracownikiem sklepu internetowego. Czy w tej sytuacji zostały złamane przepisy ustawy RODO o przetwarzaniu danych osobowych ? Sprzedawca nie kontaktował się ze mną w celu potwierdzenia/poinformowania, że przedmiot zostanie wysłany przez sklep internetowy, który nawet nie ogłasza się na portalu aukcyjnym.

    1. Kancelaria Lex Artist

      Dzień dobry. Widzimy tutaj raczej złamanie przepisów Kodeksu karnego np. art. 190a paragraf 2 – podszywanie się pod inną osobę, wykorzystując jej dane osobowe. Rekomendujemy sprawę zgłosić na Policję. Pozdrawiamy!

  61. Asia

    Dobry wieczór.
    Zgubiłam się kompletnie w tym całym Rodo. Jesteśmy firmą skupującą złom od dwóch rodzajów klientów: a) od osób fizycznych nieprowadzących działalności gospodarczej oraz b) od firm.
    Ad a). Każdy klient z którym zawieramy umowę kupna – sprzedaży na której widnieją jego dane spisane z dowodu osobistego wraz z jego numerem (wymóg ustawy :Prawo ochrony środowiska) otrzymuje od nas na piśmie informację o przetwarzaniu jego danych osobowych. Informację tą podpisuje czytelnie imieniem i nazwiskiem. Czy postępujemy właściwie? czy potrzebny jest czytelny podpis że klient zapoznał się z klauzulą informacyjną?
    Ad b) tak samo jest w przypadku firm jednoosobowych bądź spółek cywilnych dla których faktury.
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Nie jest Pani pierwsza, która się gubi, ale postaramy się nieco rozświetlić i oddemonizować RODO. 🙂 Postępują Państwo bardzo dobrze, że dopełniacie tzw. obowiązku informacyjnego. Natomiast nie jest konieczne zbieranie podpisów klientów poświadczających zapoznanie się z klauzulą informacyjną. Taką klauzulę mogą Państwo zawrzeć np. na odwrocie/jako załącznik do faktury, przy Państwa okienku kasowym/obsługi Klienta. Pozdrawiamy!

  62. Asia

    Bardzo dziękuję za odpowiedź. Jednakże mam wątpliwości . Chodzi o ten czytelny podpis. Gdzie bym nie była proszą mnie o podpis czytelny imieniem i nazwiskiem. Dlatego i nasza firma zaczęła to stosować. Jak to właściwie z tym podpisem bywa? Bo jeśli dobrze zrozumiałam z Państwa treści to wystarczy na odwrocie dokumentu mieć napisana klauzulę i klient nie musi jej podpisywać. No a jeżeli później to zakwestionuje i powie że na odwrocie to on dokumentu nie czyta i tym samym nigdy nie wyraził zgody na jego przetwarzanie danych osobowych. ?
    I jeszcze jedno pytanie. Czy robiąc gdziekolwiek zakupy na firmę (KUP) i otrzymując fakturę którą później wprowadza się do programu księgowego i przechowuje zgodnie z okresem ustawowym trzeba firmie która ja wystawiła dostarczyć klauzulę informacyjną. Chodzi oczywiście o spółki sc lub osoby fizyczne prowadzące działalność gospodarczą.
    Pozdrawiam

  63. Basia

    Dzień dobry,

    Czy przetwarzanie danych dotyczących stanu zdrowia musi być zawsze poprzedzoną zgodą? Nie można tego uzasadnić prawnym interesem administratora (osoba o złym stanie zdrowia nie może wejść na teren zakładu produkcyjnego ze względu na utrzymanie bezpieczeństwa i jakości produktów żywieniowych)?

    1. Kancelaria Lex Artist

      Dzień dobry. Prawnie uzasadniony interes nie jest podstawą do przetwarzania szczególnych kategorii danych osobowych, które wymienia art. 9 RODO. Jednakże zgoda nie jest jedyną przesłanką przetwarzania tzw. danych wrażliwych. Mogą nimi być także:
      – niezbędność do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą,
      – niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
      – w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,
      – przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
      – niezbędność do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
      – niezbędność przetwarzania ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą,
      – niezbędność do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń,
      – niezbędność ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową,
      – niezbędność do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

      Pozdrawiamy!

  64. Dzień dobry,
    Prowadzimy sklepy. Mamy mnóstwo umów z kontrahentami (z hurtowaniami itp.) którzy dostarczają towar na sklep. Czy każdą umowę mamy zaktualizować dołączając do niej oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych?

    1. Lex Artist

      Dzień dobry 🙂 w opisanym przypadku należy zastanowić się nad zastosowaniem innej przesłanki legalizującej przetwarzanie danych osobowych tj. art. 6 ust. 1 lit b) RODO -w celu realizacji umowy. Pozdrawiamy!

  65. Marcin

    Dzień dobry , prowadzę jednoosobową działalność gospodarczą – autohandel sprowadzonych samochodów z krajów UE do PL , Klientowi wystawiam fakturę vat marża , faktury przekazuję do biura rachunkowego , moje pytanie brzmi czy jestem zobowiązany do umieszczania klauzuli informacyjnej RODO na fakturze lub przyjmować odrębny dokument/ oświadczenie skoro na fakturze widnieją dane osobowe kupującego oraz czy należy podpisać umowę z biurem rachunkowym z uwagi na przekazywane dane osobowych kupujących? Pozdrawiam serdecznie

    1. Lex Artist

      Dzień dobry 😉 zgodnie z przepisami RODO jeśli przetwarzane są dane osobowe powinien być spełniony obowiązek informacyjny wobec osób, których dane dotyczą. W Pana przypadku mogą być to dane nabywców: osób prywatne, działalności osób fizycznych. klauzula informacyjna powinna w naszej opinii być zamieszczona w umowie sprzedaży auta. Jeśli chodzi o kolejne pytanie – tak, z biurem rachunkowym powinna być podpisana umowa powierzenia. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO