Kontrola trzeźwości w firmie a RODO

W „Rzeczpospolitej” w dniu 9 maja 2019 roku pojawił się artykuł o tym, że wyrywkowe kontrole trzeźwości są niezgodne z prawem z uwagi na RODO, a dokładniej nowelizację kodeksu pracy, która weszła w życie 4 maja 2019 roku. Dziennik „Rzeczpospolita” wskazuje, że po nowelizacji kodeksu pracy ustawodawca nie daje pracodawcom możliwości samodzielnej kontroli trzeźwości pracowników przy użyciu alkomatu. Zgodnie ze zmianami do kodeksu pracy, przetwarzanie przez pracodawcę danych wrażliwych ma być  możliwe wyłącznie w przypadku, gdy nastąpi to z inicjatywy pracownika. W konsekwencji przepisy mają nie dawać więc możliwości prowadzenia przez pracodawcę rutynowej kontroli trzeźwości w stosunku do pracowników.

Rzeczpospolita formułuje zatem tezę, że pracodawcy „mogą przeprowadzić kontrole wyłącznie, gdy będą mieli podejrzenie, że pracownik spożywał alkohol. Dla celów dowodowych muszą natomiast korzystać z innych źródeł niż badanie alkomatem, np. nagrań z monitoringu czy świadków. Coraz częstsze będzie również wzywanie do zakładu pracy policji, aby to funkcjonariusz przeprowadził badanie”.

Jeden z naszych klientów zainteresował się tym tematem i poprosił o opinię w tym zakresie. Klient prowadzi działalność w formie transportu, zatrudniając przede wszystkim zawodowych kierowców. Dla zwiększenia bezpieczeństwa oraz wobec pojawiających się przypadków spożywania przez kierowców alkoholu, planuje on wprowadzić rutynowe kontrole trzeźwości. Czy wobec nowelizacji kodeksu pracy takie kontrole nie mogą być prowadzone? Według mnie tezy stawiane w komentowanym artykule są nieprawidłowe, a same przepisy zostały źle zrozumiane.

Pierwszym i zasadniczym problemem jest to, czy informacja o tym czy pracownik jest trzeźwy czy też trzeźwy nie jest stanowi daną osobową szczególnych kategorii – i w związku z tym czy stosujemy do nich art. 9 RODO. Aby tak było, dane te musimy zakwalifikować do jednej z następujących kategorii: dane ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Z tego całego katalogu do informacji o trzeźwości pracownika wstępnie pasować może wyłącznie kategoria danych dotyczących zdrowia. Umówmy się, że trudno uznać spożywanie alkoholu za daną ujawniającą przekonania światopoglądowe…

Zgodnie z definicją, dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Definicję rozwija motyw 35 RODO, który wskazuje, że do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą:

 – informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej; 

– numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; 

– informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; 

– wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Definicja ta jest bardzo szeroko, jednak mam wątpliwości czy objęte są nią informacja o tym czy pracownik jest trzeźwy czy nie. Z faktu bycia pracownika pod wpływem alkoholu nie sposób wnioskować o jego stanie zdrowia fizycznego lub psychicznego. Byłoby to w mojej ocenie znaczne nadużycie. W końcu nie każde spożycie alkoholu to zaraz choroba alkoholowa, marskość wątroby i inne schorzenia związane z piciem alkoholu. Oczywistym jest, że alkohol wpływa na funkcjonowanie organizmu, jednak w mojej ocenie nie każda informacja o funkcjonowaniu organizmu będzie daną o zdrowiu w rozumieniu RODO. Nie wpisuje się to w mojej ocenie w definicję zdrowia jako: stanu pełnego dobrostanu fizycznego, psychicznego i społecznego (definicja WHO). Definicji zdrowia jest jednak więcej (np. stan organizmu bez choroby), stąd wykładnia jest kwestią problematyczną.

W efekcie uznając, że informacja o trzeźwości pracownika nie stanowi informacji o jego stanie zdrowia i w efekcie danych szczególnych kategorii regulacja art. 9 RODO nie powinna nas interesować, a podstawy przetwarzania powinniśmy szukać w art. 6 RODO. Chociażby w uzasadnionym interesie pracodawcy. Jeśli bowiem zdarzało się, że w pracy pojawiali się „nawiani” pracownicy, taki interes będzie dosyć łatwo wykazać. Takiego interesu można w mojej ocenie można doszukiwać się także w obowiązkach pracowniczych i charakterystyce zakładu pracy. Jeśli pracownik wykonuje bardzo odpowiedzialne zadania dla których wykonania kluczowa jest trzeźwość, a brak tej trzeźwości może sprowadzić istotne i realne zagrożenie dla najważniejszych wartości to interes w badaniu trzeźwości przed dopuszczeniem do pracy jest dla mnie oczywisty. Będzie to dotyczyło na przykład osób zatrudnionych na stanowisku kierowców zawodowych. Z podobnych powodów według mnie można uznać za zasadne badanie alkomatem pracowników w zakładzie pracy, w którym występują istotne czynniki zagrożenia (np. materiały łatwopalne lub szkodliwe substancje). Obecność nietrzeźwego pracownika może wtedy realnie zwiększać ryzyko wystąpienia poważnego wypadku w pracy. 

Oczywiście należy pamiętać, że dla przyjęcia podstawy przetwarzania w postaci uzasadnionego interesu pracodawcy należy wcześniej przeprowadzić analizę ryzyka i w ramach tej analizy – test proporcjonalności pomiędzy interes pracodawcy jako administratora i prawami i wolnościami pracownika jako osoby, której dane dotyczą.

Drugą kwestią – nawet uznając informacje o trzeźwości pracownika za daną szczególnej kategorii, której przetwarzanie nie jest dopuszczalne – na znowelizowane przepisy w mojej ocenie należy spojrzeć wyłącznie jako regulacji uszczegóławiającej zgodę pracownika jako jedną z możliwych podstaw przetwarzania (art. 6 ust 1 lit a) RODO i art. 9 ust 2 lit a) RODO). Dodane do kodeksu pracy przepisy art. 221ai 221bw połączeniu z wcześniejszymi przepisami nie stanowi w mojej ocenie pełnej regulacji o tym kiedy dane pracownika mogą być przetwarzane. Ustawa nie wyłącza regulacji zawartych w RODO i zawartych tam podstaw przetwarzania danych osobowych innych niż zgoda i przepis prawa. Co więcej, w samym uzasadnieniu do ustawy wprowadzającej omawianą zmianę jest wskazane, że: „Przykładem (przetwarzania danych na podstawie innej niż przepis prawa i zgoda – przyp. autora) może być chociażby art. 9 ust. 2 lit. c RODO, w którym mowa, że podstawą przetwarzania danych osobowych może być ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.” 

Trzeba wobec tego zauważyć, że wprowadzone nowelizacją przepisy kodeksu pracy dotyczą wyłącznie przetwarzania danych osobowych na podstawie zgody. Stanowią one, że dane „zwyczajne” pracownika mogą być przetwarzane na podstawie zgody z inicjatywy pracodawcy, pracownika lub osoby ubiegającej się o zatrudnienie, a dane szczególnych kategorii można przetwarzać wyłącznie, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika (art. 221b§ 1 Kodeksu pracy). Przepisy te w żadnej mierze nie wyłączają przetwarzania danych na podstawie innej przesłanki wskazanej w RODO

Wobec powyższego uważam (uznając dane o trzeźwości za dane szczególnych kategorii), że można rozważyć ich przetwarzanie na podstawie art. 9 ust. 2 lit. b) RODO który stanowi, że przetwarzanie jest dopuszczalne, jeśli jest ono niezbędne do wypełnienia obowiązków (..) przez administratora (…) w dziedzinie prawa pracy (…) o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. Jako uzasadnienie dla stosowania tej podstawy przetwarzania można wskazać, że podstawowym obowiązkiem pracodawcy jest zapewnienie bezpieczeństwa i higieny pracy dla swoich pracowników. Pracodawca jest zobowiązany do podjęcia wszelkich możliwych działań dla ochrony życia i zdrowia pracowników. Obecność nietrzeźwego pracownika na terenie zakładu pracy może natomiast stwarzać zagrożenie dla bezpiecznych warunków pracy. Jego zachowanie może bowiem powodować realne zagrożenie, szczególnie jeśli chodzi o stanowiska pracy o dużej odpowiedzialności

Trzeba zauważyć na koniec, że wzmocnieniem tej argumentacji jest fakt, że z możliwości przetwarzania danych osobowych osoby ubiegającej się o zatrudnienie lub pracownika na podstawie ich zgody wyłączone są dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa – środków karnych oraz środków zabezpieczających (art. 10 RODO). Tego rodzaju dane osobowe można przetwarzać – zgodnie z art. 10 RODO – wyłącznie w przypadku, kiedy przepis prawa przewiduje obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez osobę ubiegającą się o zatrudnienie lub pracownika. Brakuje tożsamej regulacji dotyczącej danych szczególnych kategorii, o których mowa w art. 9 RODO. Tym samym nie ma w mojej ocenie żadnych przeszkód do tego, by podstawy przetwarzania danych osobowych poszukiwać w innych przesłankach, niż zgoda i przepis prawa. Koncepcja wykorzystania art. 9 ust. 2 lit. b) RODO jest według mnie wystarczająca. 

Na koniec trzeba zauważyć, że podstawy przetwarzania danych osobowych nie są żadną nowością wprowadzoną przez RODO. Trudno sobie wyobrazić, żeby w jakimkolwiek przypadku podstawą przetwarzania danych związanych z trzeźwością pracownika była zgoda. Taka koncepcja jest całkowicie karkołomna i niepraktyczna. Trudno mówić bowiem w tej sytuacji o jakiejkolwiek dobrowolności, która jest immanentną cechą zgody. Wobec tego budowanie argumentacji o możliwości pozyskiwania takich danych o pracowniku w kontekście znowelizowanych przepisów regulujących zgodę jawi się jako całkowite pomylenie pojęć. 

Najważniejsze zmiany od 4 maja 2019 związane z RODO – sprawdź kogo dotyczą

          Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), która weszła w życie 4 maja 2019 roku, wprowadza szereg zmian w łącznie 168 ustawach w zakresie ochrony danych osobowych, zasad ich przetwarzania a także innych obowiązków podmiotów przetwarzających dane osobowe. 

            Do najważniejszych zmian można zaliczyćz pewnościąte z zakresu praw konsumenta, ochrony zdrowia, prawa administracyjnego, branży bankowej oraz prawa pracy.

Ku większej przejrzystości postanowiłem podzielićtekst na dane obszary prawa.

Prawa konsumenta

            Niewątpliwie zyskali przedsiębiorcy prowadzący małe działalności gospodarcze, tj. zatrudniający do 10 osób lub posiadający obrót poniżej 2 milionów euro rocznie, albowiem zgodnie z nowowprowadzonym przepisem art. 4a ustawy prawa konsumenta, przedsiębiorca nie będzie jużzobowiązany do bezpośredniego informowania osób, których dane przetwarza, a jedynie będzie musiałzamieścićodpowiedniąinformacjęna swojej stronie internetowej bądźw siedzibie przedsiębiorstwa, tak by była ona dostępna dla każdego. 

            Wątpliwości jednak budzi ust. 2 ww. art., który stanowi, że jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania sięz informacjami, o których mowa w art. 13 RODO, to przepisy o umieszczeniu na stronie internetowej nie majązastosowania. Problematyczne jest w takiej sytuacji określenie kiedy osoba, której dane dotycząnie ma takiej możliwości oraz na jakiej podstawie ma wywnioskowaćto przedsiębiorca. 

Finalnie przedsiębiorcy z dalece idącej ostrożności będądalej wypełniaćobowiązek informacyjny na podstawie starych zasad. Pozostaje poczekaćna oficjalnąinterpretacjętego przepisu przez UODO, która rozwiąże wiele wątpliwości. 

Świadczenie usług drogąelektroniczną

            Zgodnie ze znowelizowanym przepisem art. 18 ustawy o świadczeniu usług drogąelektronicznąUsługodawca może przetwarzać, za zgodąusługobiorcyi dla celów reklamy, badania rynku oraz zachowańi preferencji usługobiorców z przeznaczeniem wyników tych badańna potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie sąniezbędne do świadczenia usługi drogąelektroniczną. 

Ustawodawca znacznie utrudniłfunkcjonowanie usługodawcom działającym za pomocąstron internetowych, albowiem w aktualnym stanie prawnym aby móc spersonalizowaćreklamępod użytkownika na podstawie śledzenia jego zachowania w internecie, usługodawca będzie musiałuzyskaćuprzednio jego zgodę. 

            Podobnie jak w przypadku przepisów o prawach konsumenta, tak i w tym przypadku przytoczony art. budzi wątpliwości z uwagi na sprzecznośćz art. 5 ust 1 lit c RODO (minimalizacja danych), wszakże ustawodawca wskazałw art. 18 ust. 1 ustawy o świadczeniu usług drogąelektroniczną, że w celu nawiązania, ukształtowania, zmiany lub rozwiązania stosunku prawnego, usługodawca może przetwarzaćdane usługobiorcy takie jak: nazwisko i imiona, PESEL (a jeśli nie zostałnadany to numer paszportu, dowodu os. Lub innego dokumentu), adresu zameldowania, stałego pobytu, adresu do korespondencji, dane do weryfikacji podpisu elektronicznego usługobiorcy oraz adresy e-mail

Ukłon w stronęklientów banków.

            Na gruncie nowych przepisów, osoba starająca sięo kredyt będzie teraz mogła wnioskowaćdo banku o wydanie szczegółowych informacji na temat powodów odmowy udzielenia kredytu oraz sposobu ustalenia jej zdolności kredytowej. Obowiązek ten będzie dotyczyłzarówno sytuacji, w której decyzja została podjęta indywidualnie, jak i w sposób zautomatyzowany. 

Ubezpieczyciele mająłatwiej

            Ustawa o działalności ubezpieczeniowej i reasekuracyjnej wprowadza przepisy pozwalające ubezpieczycielom na przekazywanie, za zgodąosoby, której dane dotyczą, danych osobowych na żądanie innego zakładu ubezpieczeniowegow zakresie potrzebnym do oceny ryzyka ubezpieczeniowego i weryfikacji danych podanych przez ubezpieczającego ustalenia prawa ubezpieczonego do świadczenia z zawartej umowy ubezpieczenia i wysokości tego świadczenia, a także do udzielenia posiadanych przez siebie informacji o przyczynie śmierci ubezpieczonego lub informacji niezbędnych do ustalenia prawa uprawnionego z umowy ubezpieczenia do świadczenia i jego wysokości

Ponadto zakład ubezpieczeń przetwarza dane, o których mowa w art 9. rozporządzenia 2016/679, dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.

Zakład ubezpieczeńmoże podejmowaćdecyzje w indywidualnych przypadkach, opierając sięwyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu dokonania oceny ryzyka ubezpieczeniowego oraz wykonania czynności ubezpieczeniowych. W związku ze zautomatyzowanym przetwarzaniem Zakład może przetwarzaćznacznąilośćinformacji: imiona, nazwiska, wiek, płeć, obywatelstwo, PESEL, NIP, nr i serie dowodu osobistego lub innego dokumentu tożsamości, charakter wykonywanej pracy, miejsce zamieszkania, okres ubezpieczenia, przebieg ubezpieczenia, sumęubezpieczenia, stan cywilny, stan zdrowia, sytuacjęfinansową, dane dotyczące szkód ubezpieczonego, jego ubezpieczyciela oraz dane identyfikujące przedmiot ubezpieczenia. 

Pracodawca z nowymi uprawnieniami

            Od 4 maja pracodawcy mogąpobieraći przetwarzaćod pracowników dane biometryczne w celu ochrony szczególnie ważnych informacji lub pomieszczeńw firmie, które musząznajdowaćsiępod stałąkontroląz uwagi na możliwośćwystąpienia szkody na rzecz pracodawcy. 

Uniemożliwiono za to monitorowanie pomieszczeń zakładowych organizacji związkowych oraz zobowiązano pracodawcędo uzyskania zgody od organizacji lub w przypadku jej braku, przedstawiciela pracowników do monitorowania pomieszczeńsanitarnych.

Dokumentacja medyczna pierwszy raz uzyskasz ją za darmo

            W art. 28 ust 2a ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wprowadzono przepis, który stanowi, że pacjent albo jego przedstawiciel ustawowy nie poniesie opłaty za pierwsze udostępnienie przez placówkęmedyczną, dokumentacji medycznej dotyczącej jego zdrowia.

Prawo oświatowe dane uczniów pod szczególnąochroną

            Pracownicy szkoły szczególne dane będąmogli przekazywaćtylko w wyjątkowych sytuacjach. Ustawodawca zobowiązałnauczycieli do zachowania tajemnicy informacji pozyskiwanych w ramach wykonywania zawodu. Dane dotyczące zdrowia, możliwości psychofizycznych, seksualności, potrzeb rozwojowych i edukacyjnych, poglądów politycznych, orientacji seksualnej, pochodzenia rasowego lub etnicznego, przekonańreligijnych lub światopoglądowych uczniów będąmogły byćprzekazywane tylko w wyjątkowych sytuacjach. Dyrektor szkoły zobowiązany będzie natomiast do wdrażania tych przepisów w życie zarówno pod względem technicznym jak i organizacyjnym. 

Administracja publiczna

Ustawodawca w art. 122h uregulowałjak działaćmająorgany administracji publicznej w sprawie obowiązku informacyjnego wynikającego z art. 13 RODO. W świetle nowych przepisów organ musi spełnićobowiązek informacyjny przy pierwszej czynności skierowanej do strony postępowania, natomiast jeżeli organ załatwia sprawęmilcząco, to spełnia obowiązek za pomocąpublikacji tej informacji w Biuletynie Informacji Publicznej. 

Kontrole RODO 2019

Prezes UODO opublikował na swojej stronie internetowej plan kontroli obszarowych na rok 2019. Podmioty działające w obszarach, które zostały wyszczególnione w wykazie powinny być w szczególności gotowe do wykazania posiadania sprawnego i zgodnego z prawem systemu ochrony danych osobowych. S ą to przede wszystkim spółdzielnie mieszkaniowe oraz gminy w zakresie sektora publicznego oraz formy telemarketingowe i handlarze danymi osobowymi z sektora prywatnego.

Nie wyklucza to oczywiście kontroli w innych obszarach. Należy pamiętać, że Prezes UODO poza planowymi kontrolami reaguje także na bieżące sytuacje oraz zawiadomienia. Tych było w ciągu pierwszych trzech miesięcy funkcjonowania RODO zgodnie z oświadczeniami urzędników około 2.400, a ich liczba ma stare rosnąć.

PLAN KONTROLI PREZESA UODO NA ROK 2019

SEKTOR PUBLICZNY
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członków

SEKTOR PRYWATNY
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

Biorąc pod uwagę oficjalne kontrole należy zwrócić uwagę na inny komunikat Prezesa UODO, który swojego czasu informował jakich dokumentów dotyczących RODO będzie wymagał.

Wedle komunikatu, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić o takie elementy jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  5. raport z przeprowadzonej, ogólnej analizy ryzyka;
  6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  8. plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

W przypadku kontroli Prezesa UODO warto korzystać z pomocy specjalistów. Zapraszamy do kontaktu.

Akcja informacyjna na Dzień Ochrony Danych Osobowych

Dzień Ochrony Danych Osobowych został ustanowiony na dzień 28 stycznia przez Komitet Ministrów Rady Europy. Obchodzony jest w rocznicę sporządzenia Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Konwencja ta, jest najstarszym aktem prawnym o zasięgu międzynarodowym, który reguluje zagadnienia związane z ochroną danych osobowych.

To dzisiaj obchodzimy to Święto, które po 25 maja 2018 roku z pewnością nabierze nowego znaczenia.

To dobry pretekst do przeprowadzenia akcji informacyjnej u Administratora. W tym celu opracowaliśmy infografikę, którą warto do tego wykorzystać. Dotyczy ona incydentów związanych z ochroną danych osobowych. To bardzo ważny temat, bo zgodnie z RODO Administrator/Podmiot przetwarzający ma obowiązek niezwłocznego reagowania na występujące incydenty (72 h) – dlatego każdy pracownik powinien mieć świadomość czym one są i wiedzieć co z tym zrobić.

Ponadto taka akcja wpisuje się w konieczność ciągłości działania i dbania Administratora o dane osobowe. Będzie z pewnością to dobrze postrzegane na wypadek kontroli.

Infografikę warto rozdystrybuować wśród pracowników, którzy pracują na danych osobowych. Można też wydrukować i przywiesić na tablice lub udostępnić w inny sposób – dodatkowo zbierając potwierdzenie, że taka akcja miała miejsce.

Materiał do pobrania:

Inforgrafika_MDDO

Czy masz wdrożone RODO – oficjalny formularz wymogów sprawdzanych podczas kontroli

W ostatnich dnia 2018 roku Departament Polityki Wydatkowej udostępnił na swojej stronie internetowej formularz oceny spełniania obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) oraz ustawy o ochronie danych osobowych. Stanowi on podsumowaniem dotychczasowych doświadczeń w zakresie przygotowania jednostek administracji do realizacji zadań związanych z badaniem funkcjonowania systemu ochrony danych osobowych.

W praktyce jest to dokument zawierający szczegółową listę 111 wymogów związanych z systemem ochrony danych osobowych, których sprawdzenie ma dać odpowiedź czy w jednostce podlegającej ocenie zostało wdrożone RODO w sposób prawidłowy i kompletny.

Skierowany jest on do sektora publicznego, jednak w mojej ocenie warto także, by jednostki sektora prywatnego skorzystały z tego dokumentu i wykorzystały go do własnych celów.  W jaki sposób? Warto przebrnąć roboczo prze ten formularz dokonując samooceny w zakresie spełniania wymienionych wymogów, żeby odpowiedź na pytanie czy wdrożenie RODO jest właściwe i pełne. Co więcej, warto po takiej czynności sporządzić notatkę wewnętrzną zawierającą informacje o tym w jaki sposób dokonano weryfikacji i jakie wnioski z niej wypływają. W ten sposób będzie można postawić sobie „plusik” po stronie spełniania zasady ciągłości działania w obszarze ochrony danych osobowych, a to może okazać się ważnym argumentem na wypadek kontroli.

Sektor prywatny, szczególnie ten mniejszy, w mojej ocenie nie powinien jednak podchodzić do tego dokumentu bardzo formalistycznie. Trzeba pamiętać, że RODO dotyczy wszystkich, jednak mali oraz średni przedsiębiorcy nie muszą mieć  – i zazwyczaj nie mają – rozbudowanych i sformalizowanych procedur we wszystkich obszarach związanych z ochroną danych osobowych, jak to mają w zwyczaju jednostki publiczne. Biznes ze swojej specyfiki łączy się z nieco odmiennymi warunkami działania niż administracja, stąd przygotowany Formularz może być dla sektora prywatnego wyłącznie wskazówkami, niż sztywnymi wytycznymi.

Formularz można pobrać ze strony internetowej Ministerstwa Finansów:

https://www.mf.gov.pl/ministerstwo-finansow/dzialalnosc/finanse-publiczne/kontrola-zarzadcza-i-audyt-wewnetrzny/aktualnosci1/-/asset_publisher/SVp7/content/formularz-oceny-spelniania-obowiazkow-wynikajacych-z-rodo-oraz-ustawy-o-ochronie-danych-osobowych/pop_up?_101_INSTANCE_SVp7_viewMode=print

 

 

1 2 3 4