RODO w pytaniach i odpowiedziach
  1. Czy wyświetlanie reklam wszystkim użytkownikom strony (czyli bez dzielenia ich na grupy, indywidualizowania kreacji reklamowych, oferowania rabatów) w systemie AdWords jest profilowaniem? Czy na takie wykorzystanie remarketingu:
    1. trzeba uzyskać zgodę
    2. poinformować i tym użytkowników
    3. nie trzeba z tym nic robić

Na gruncie przepisów RODO możemy rozróżnić dwa „rodzaje” profilowania. Pierwszy z nich polega na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływa. Przykładem takiego profilowania może być analiza zdolności kredytowej klienta przez bank, gdzie na podstawie zautomatyzowanego przetwarzania danych podejmowana jest decyzja o przyznaniu lub nieprzyznaniu kredytu. Zgodnie z przepisami RODO tego rodzaju profilowanie jest dopuszczalne w przypadku, gdy osoba której dane dotyczą wyraziła na nie wyraźną zgodę, takie profilowanie dopuszczają przepisy prawa lub jest niezbędne do zawarcia i wykonania umowy.

Od tego rodzaju profilowania należy odróżnić tzw. „profilowanie zwykłe”, czyli takie które nie jest prowadzone w celu automatycznego podejmowania decyzji wobec osoby, której dane dotyczą. Przykładem takiego profilowania „zwykłego” jest właśnie wyświetlanie klientem spersonalizowanych reklam w ramach marketingu własnych produktów lub usług. Takie profilowanie zwykłe nie wymaga spełnia szczególnych wymagań. Opiera się ono na ogólnych podstawach przetwarzania danych osobowych, takich jak realizacja prawnie uzasadnionych interesów administratora danych. Podkreślić jednak należy, że osoba której dane dotyczą, może wnieść sprzeciw wobec takiego profilowania. Po wniesieniu sprzeciwu administratorowi danych nie wolno przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Odpowiadając na zadane pytanie należy wskazać, że na tego rodzaju profilowanie nie trzeba uzyskać zgody użytkownika strony internetowej, któremu wyświetli się reklama. Jednakże ROOD wymaga spełniani obowiązku informacyjnego wobec takich osób. Należy zatem poinformować użytkowników o tym, jakiego rodzaju narzędzi do profilowania/remarketingu używa administrator danych i w jaki sposób je wykorzystuje. Trzeba także poinformować użytkowników o możliwości wniesieniu sprzeciwu wobec tego rodzaju profilowania.

  1. Prowadzę rekrutacje pracowników na zlecenie podmiotu trzeciego - czy powinienem zawrzeć umowę powierzenia przetwarzania danych? Administratorem tych danych będzie firma zlecająca rekrutację?

Tak, firma zlecająca rekrutacje będzie administratorem danych, natomiast podmiot prowadzący rekrutacje będzie podmiotem przetwarzającym.  Administratorem danych jest  podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W zadanym pytaniu to firma zlecająca rekrutację, będzie zarządzała danymi osobowymi kandydatów i wykorzystywała je w określonym przez siebie celu (tj. rekrutacji pracowników). Natomiast podmiotem przetwarzającym jest podmiot, który przetwarza dane osobowe w imieniu administratora. Firma prowadząca rekrutację pozyskuje dane osobowe na podstawie zawartej umowy, w celach i zakresie ustalonym z firmą zlecającą rekrutację.

W tej sytuacji oprócz umowy dotyczącej przeprowadzenie rekrutacji, konieczne będzie zawarcie także umowy powierzenia przetwarzania danych osobowych. Taka umowa może być zawarta w formie aneksu do już istniejącej umowy lub jako osobna umowa. W umowie powierzenia przetwarzania danych należy określić przede wszystkim: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą (te informacje zazwyczaj wynikają z umowy pierwotnej łączącej strony, w tym przypadku umowy dotyczącej przeprowadzania rekrutacji) oraz obowiązki i prawa administratora. Warto pamiętać, że przepisy RODO nakładają na podmiot przetwarzający szereg obowiązków, a administrator danych powinien  korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Zapisy regulujące te obowiązki również powinny znaleźć się w takiej umowie.

  1. Czy jak współpracuję z kurierem miejskim, który dostarcza na terenie miasta moje przesyłki tylko firmom, to potrzebuję umowy powierzenia? Podaję tylko dane firmy, adres i osobę kontaktową w firmie.

Tak, korzystanie z usług kurierów/dostawców wymaga zawarcia umowy powierzenia przetwarzania danych osobowych. Administratorem danych jest  podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, a podmiotem przetwarzającym jest podmiot, który przetwarza dane osobowe w imieniu administratora. W zadanym pytaniu to Pan jest administratorem danych (bo określa Pan cele i zakres wykorzystania gromadzonych danych osobowych), natomiast kurierzy wykorzystują podane przez Pana dane osobowe do realizacji zleconych prze Pana czynności. 

W tej sytuacji zawarcie umowy powierzenia przetwarzania danych osobowych jest konieczne. Podkreślić jednak należy, że przepisy RODO, inaczej niż doczasowa ustawa o ochronie danych osobowych, nie wymagają formy pisemnej (np. w postaci własnoręcznie podpisanego dokumentu). Umowę powierzenia można zawrzeć także w formie elektronicznej, która na gruncie prawa europejskiego jest rozumiana bardzo szeroko. Oznacza to, że taką umowę można zawrzeć np. przez akceptacje regulaminu firmy kurierskiej, jeśli oczywiście w takim regulaminie znajdą się odpowiednie postanowienia dotyczące powierzenia przetwarzania danych osobowych. Jest to rozwiązanie, z którego korzysta coraz więcej firm kurierskich, ponieważ pozwala ono uniknąć konieczności podpisywania osobnej umowy z każdym administratorem danych, który korzysta z ich usług.

Odpowiadając na zadane pytane należy wskazać, że w przedstawionym przypadku konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych, ale umowa ta może być zawarta w formie elektronicznej, czyli np. poprzez akceptacje regulaminu formy kurierskiej.

  1. Firma świadczy usługi informatyczne, zajmując się serwerami, komputerami klienckimi oraz helpdeskiem dla użytkowników aplikacji handlowych i finansowo-księgowych. Firma ma: - dostęp fizyczny do sprzętu komputerowego u klienta (przy jego obecności) oraz/lub - dostęp zdalny (administracyjny) do serwerów, komputerów (np. TeamViewer lub podłączeniu pulpitu zdalnego) Jakie zatem zapisy lub załączniki z punktu widzenia RODO powinna zawierać treść umowy by kompleksowo rozwiązać ten temat?

Z treści zadanego pytania wynika, że konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem danych (firma klienta), a pomiotem przetwarzającym (firma świadcząca usługi informatyczne). Taka umowa może być zawarta w formie aneksu do już istniejącej umowy lub jako osobna umowa. Umowa lub aneks powinna określać przedmiot i czas trwania przetwarzania danych, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą (te informacje zazwyczaj wynikają z umowy pierwotnej łączącej strony, czyli w tym przypadku należy określić jakie usługi są świadczone, do jakich danych osobowych ma dostęp podmiot przetwarzający itd.) oraz obowiązki i prawa administratora. Trzeba bowiem pamiętać administrator danych powinien korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych określonych przez RODO, tak by przetwarzanie danych chroniło prawa osób, których dane dotyczą.

Umowa powierzenia powinna w szczególności określać, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • wdraża odpowiednie środki techniczne i organizacyjne, w celu ochrony danych osobowych,
  • pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia ciążących na nim obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Na administratorze danych ciąży obowiązek wyboru odpowiedniego podmiotu przetwarzającego, które spełnia wymogi określone w przepisach RODO, stąd powinien on mieć możliwości weryfikacji i sprawdzenia podmiotu przetwarzającego pod kątem jego dostosowania do RODO.

  1. W komentarzu na portalu pt.: Jak dostosować bazy danych pozyskanych z różnych źródeł do wymogów RODO jest podane, że ,,Na powyższe cele (czyli marketingowe) można przetwarzać dane osobowe bez dodatkowej zgody użytkownika. Własne cele marketingowe są bowiem zgodnie z motywem 47 preambuły do RODO, tzw. prawnie uzasadnionym interesem administratora" - a przecież marketing automation oraz CRM są to systemy gdzie, m.in. można pisać wiadomości do klientów, które dostaną oni drogą elektroniczną. Jak to się ma do innego prawa (1. art. 10 ustawy o świadczeniu usług drogą elektroniczną 2. art. 172 ustawy Prawo telekomunikacyjne), o którym była mowa w innym komentarzu? W jaki sposób dane kontaktowe na stronie www będzie można wykorzystywać do celów sprzedażowych? Czy nie trzeba prosić o wyrażenie zgody na przesyłanie informacji handlowych drogą e-mali lub poprzez telefon? Moje pytanie się jeszcze dodatkowo komplikuje, gdyż w moim przypadku klientami są firmy, a te osoby ,,fizyczne" są osobami kontaktowymi z danej firmy, które mają swoje personalne e-maile i numery telefonów - nie są to dane podane na stronie (choć w pojedynczych przypadkach też są takie osoby).

Rzeczywiście w motywie 47 RODO pojawia się informacja, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów administratora danych jest osobną podstawą prawną przetwarzania danych osobowych i w takim przypadku nie ma konieczności uzyskania zgody osoby, której dna dotyczą, na tego rodzaju przetwarzanie. Przykładem takiego marketingu, na który nie ma potrzeby uzyskania osobnej zgody, jest wyświetlanie klientem spersonalizowanych reklam w ramach marketingu własnych produktów lub usług.

Natomiast jak słusznie zauważono w zadanym pytaniu, kwestie bezpośredniego marketingu własnego, regulują też inne ustawy, które są niezależne od przepisów dotyczących ochrony danych osobowych. Art. 10 Ustawy o świadczeniu usług drogą elektroniczną wyraźnie wskazuje, że zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, a informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji. W tej sytuacji, pomimo wskazanego wyżej motywu RODO, wysyłanie informacji handlowej na adres mailowy, dalej jest możliwe jedynie po uzyskaniu wyraźnej zgody. Przepisy RODO nie wprowadzają w tym zakresie żadnych zmian.

Podobnie wygląda sytuacja na gruncie przepisów prawa telekomunikacyjnego. Zgodnie bowiem z art. 172 ust. 1: zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zatem wykorzystywanie telefonów do celów marketingowych również wymaga uzyskania odpowiednej zgody.

  1. Czy pracownikom zatrudnionym na umowę o pracę, w klauzuli informacyjnej, zawieramy wszystkie prawa - nawet te o możliwości wycofania zgody na przetwarzanie danych osobowych?

Tak - pracodawca musi poinformować pracownika o wszystkich przysługujących mu prawach. Należy jednak odróżnić dane pracownika przetwarzane na podstawie zgody, od danych, które przetwarzane są na podstawie Kodeksu pracy. Kodeks pracy w art. 221 określa jakich danych od  osoby ubiegającej się o zatrudnienie oraz od pracownika może żądać pracodawca. Dane te to: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia, numeru PESEL oraz innych danych osobowych pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

Powyższe dane będą przetwarzane przez pracodawcę na podstawie przepisów art. 6 ust. 1 lit b) i lit c) RODO. Podanie pracodawcy powyższych danych przez pracownika jest niezbędne w celu realizacji zawartej pomiędzy nimi umowy o pracę, ale jest też konieczne w celu realizacji obowiązków prawnych jakie ciążą na pracodawcy, np. dokonanie zgłoszeń do ZUS, prowadzenia rozliczeń z Urzędem Skarbowym, przechowywanie akt pracowniczych itd. W odniesieniu do tych danych pracownik nie wyraża zgody na ich przetwarzanie (bo są one przetwarzane na wskazanych wyżej podstawach, a nie na podstawie zgody) nie może więc zgody wycofać. Wyrażenie zgody na przetwarzanie danych to inna podstawa przetwarzania danych osobowych, niż wykonanie umowy, czy obowiązek prawny ciążący na administratorze.

Natomiast inne dane osobowe pracownika, niż te określone w przepisach prawa pracy, pracodawca może przetwarzać tylko na podstawie zgody pracownika, np. zdjęcie pracownika, adres e-mail. W przypadku zbierania takich danych, pracodawca musi odebrać zgodę pracownika na przetwarzanie tych danych osobowych. W tym zakresie musi też poinformować pracownika o tym, że wyrażenie zgody jest dobrowolne i że jest on uprawniony do wycofania swojej zgody na przetwarzanie danych osobowych, natomiast wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

  1. Czy pracownikom zatrudnionym na umowę o pracę w klauzurze informacyjnej, zawieramy wszystkie prawa? Nawet te, mówiące o możliwości wycofania zgody na przetwarzanie danych osobowych?

Tak, pracodawca musi poinformować pracownika o wszystkich przysługujących mu prawach. 

Należy jednak odróżnić dane pracownika przetwarzane na podstawie zgody, od danych, które przetwarzane są na podstawie Kodeksu pracy. Kodeks pracy w art. 221 określa jakich danych od  osoby ubiegającej się o zatrudnienie oraz od pracownika może żądać pracodawca. Dane te to: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia, numeru PESEL oraz innych danych osobowych pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. 

Powyższe dane będą przetwarzane przez pracodawcę na podstawie przepisów art. 6 ust. 1 lit b) i lit c) RODO. Podanie pracodawcy powyższych danych przez pracownika jest niezbędne w celu realizacji zawartej pomiędzy nimi umowy o pracę, ale jest też konieczne w celu realizacji obowiązków prawnych jakie ciążą na pracodawcy, np. dokonanie zgłoszeń do ZUS, prowadzenia rozliczeń z Urzędem Skarbowym, przechowywanie akt pracowniczych itd. W odniesieniu do tych danych pracownik nie wyraża zgody na ich przetwarzanie (bo są one przetwarzane na wskazanych wyżej podstawach, a nie na podstawie zgody) nie może więc zgody wycofać. Wyrażenie zgody na przetwarzanie danych to inna podstawa przetwarzania danych osobowych, niż wykonanie umowy, czy obowiązek prawny ciążący na administratorze.

Natomiast inne dane osobowe pracownika, niż te określone w przepisach prawa pracy, pracodawca może przetwarzać tylko na podstawie zgody pracownika, np. zdjęcie pracownika, adres e-mail. W przypadku zbierania takich danych, pracodawca musi odebrać zgodę pracownika na przetwarzanie tych danych osobowych. W tym zakresie musi też poinformować pracownika o tym, że wyrażenie zgody jest dobrowolne i że jest on uprawniony do wycofania swojej zgody na przetwarzanie danych osobowych, natomiast wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

  1. Czy szkoły oraz przedszkola zobowiązane są do przeprowadzenia oceny skutków przetwarzania danych osobowych z uwagi na wprowadzanie danych do SIO?

Szkoły i przedszkola co do zasady są obowiązane do przeprowadzania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, ponieważ przetwarzają na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO (np. dane dotyczące zdrowia). 

Jeszcze Generalny Inspektor Ochrony Danych Osobowych przygotował propozycję wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych. W tym wykazie wskazał jako przykład operacji / zakresu danych / okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania właśnie centralne zbiory danych wspomagające zarządzanie określoną grupą osób w celach związanych z realizacją zadań publicznych, z których dane udostępniane są w różnym zakresie, w zależności od ich roli i zadań związanych z realizacją tych obowiązków, a jako przykład potencjalnych obszarów wystąpienia / istniejących obszarów zastosowań podał Centralny System Informacji Oświatowej (vide: //giodo.gov.pl/pl/1520281/10430). 

Grupa Robocza art. 29 zdecydowanie też zaleca dokonanie oceny skutków dla operacji przetwarzania już trwających przed 25 maja 2018 r. 

Należy jednak zauważyć, że obowiązek sporządzenia oceny skutków dotyczy administratora danych osobowych. Zgodnie z art. 6 ustawy o systemie informacji oświatowej administratorem bazy danych SIO jest minister właściwy do spraw oświaty i wychowania i to na nim ciąży obowiązek sporządzenia oceny skutków operacji przetwarzania. 

  1. Czy z lekarzem medycyny pracy musimy spisać umowę powierzenia danych osobowych? 

Aby odpowiedzieć na to pytanie, należy zastanowić się, czy lekarz działa w takiej sytuacji jako samodzielny administrator danych osobowych, czy jako podmiot przetwarzający. 

Lekarz wykonujący zadania służby medycyny pracy przetwarza dane w oparciu o art. 9 ust. 2 lit. h) RODO w związku z art. 6 i 11 ustawy o służbie medycyny pracy z dnia 27 czerwca 1997 r. (t. j. z 10 maja 2018 r., Dz. U. z 2018 r., poz. 1155). Powołana ustawa nakłada na niego szereg obowiązków, w tym m.in. obowiązek prowadzenia dokumentacji medycznej. Dane zawarte w tej dokumentacji są objęte tajemnicą zawodową i służbową, a udostępnianie danych odbywa się w oparciu o szczegółowe regulacje. Trudno byłoby więc pracodawcy realizować wobec lekarza medycyny pracy uprawnienia wynikające z art. 28 RODO, a więc uprawnienia przysługujące administratorowi wobec podmiotu przetwarzającego. 

Również autorzy projektu kodeksu postępowania dla podmiotów wykonujących działalność medyczną (projekt dostępny na stronie: www.rodowzdrowiu.pl) zakładają, że nie jest zasadne na potrzeby realizacji celów zdrowotnych zawieranie z podmiotem medycznym jako przetwarzającym umowy powierzenia danych udostępnianych np. przez pracodawcę udostępniającego dane osobowe pracowników w celu objęcia ich opieką medyczną bez względu na okoliczność, czy opieka ta dotyczy świadczeń zdrowotnych z zakresu medycyny pracy, czy wykracza ona poza ten zakres. 

Wydaje się więc, że nie ma potrzeby zawierania umowy powierzenia przetwarzania danych przez pracodawcę w przypadku korzystania z usług lekarza medycyny pracy, ponieważ lekarz pozostaje w takiej sytuacji administratorem danych osobowych pacjentów.