RODO a ochrona danych. Kto ponosi odpowiedzialność?

/ TheDigitalArtist; pixabay.com / Creative Commons CC0

  

W związku ze zbliżającym się terminem wejścia w życie przepisów RODO w przestrzeni publicznej pojawia się wiele pytań dotyczących zmian związanych z ochroną danych osobowych. Szczególnego wyjaśnienia wymaga kwestia odpowiedzialności za ewentualne błędy w ochronie danych.

Te dość złożone zagadnienia wyjaśnia w rozmowie z Aliną Stahl, (rzecznik prasową Biura Informacji Kredytowej), dr. Maciejem Kaweckim - koordynatorem prac nad reformą ochrony danych osobowych, a zarazem dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.
 
Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?
 
Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.
 
Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?
 
Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.
 
Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?
 
Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.
 
Czyli ta odpowiedzialność będzie po obu stronach.
 
Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.
 
Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?
 
To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.
 
Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?
 
Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.
 
A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?
 
MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

Promuj niezależne media! Podaj dalej ten artykuł na Facebooku i Twitterze

Źródło: niezalezna.pl, internetPR.pl, infowire.pl

Udostępnij

Tagi

Wczytuję komentarze...

Timmermans znowu straszył Polskę i Węgry. Opowiedział o tym, co go niepokoi

Frans Timmermans / fot. Zbyszek Kaczmarek/Gazeta Polska

  

Wiceprzewodniczący Komisji Europejskiej Frans Timmermans ostrzegł w wywiadzie dla "Financial Times" władze Polski i Węgier przed sporami z Unią Europejską, tłumacząc, że "w pewnej chwili (...) ktoś przy stole zacznie pytać: Czy na pewno jesteście z nami?". Timmermans ocenił, że Kaczyński jest bardziej ideologiem, a węgierski premier Viktor Orban - taktykiem.

Timmermans ocenił w rozmowie z "FT", opublikowanej dziś na stronie internetowej gazety, że spór dotyczący praworządności z Polską jest elementem szerszego zjawiska w Europie, które go niepokoi.

- Bo nic, nic, nic nie jest już oczywiste: ani demokracja, ani szacunek dla praw człowieka, ani trójpodział władzy. Musimy bronić wszystkiego, o czym myśleliśmy, że zostało już raz na zawsze ustalone i jest nienaruszalne

 - powiedział.

Jednocześnie polityk przyznał, że w obliczu napięć w Europie zastanawiał się nad tym, czy dalsze rozszerzanie Unii Europejskiej - w tym o dziesięć nowych państw w roku 2004 - nie było błędem.

- Oczywiście, że człowiek się zastanawia: czy byłem w błędzie? Ale doszedłem do wniosku - patrząc na liczby i rozmawiając z wieloma ludźmi w Europie Środkowo-Wschodniej - że nie, nie popełniliśmy błędu. Te społeczeństwa - przy wszystkich wyzwaniach, z jakimi się mierzą - czują głębokie przywiązanie do Unii Europejskiej, pomimo tego, co mogą mówić politycy, i pomimo wyborczych gierek wokół tego

- tłumaczył.

Wiceszef KE przyznał, że lider Prawa i Sprawiedliwości Jarosław Kaczyński pozostaje "niezrażony" dotychczasowymi interwencjami ze strony unijnych instytucji w sporze dotyczącym praworządności. Zaznaczył jednak, że zamiast głosowania w sprawie artykułu 7, które byłoby jedynie "skarceniem", lepszą strategią jest dalsze domaganie się od rządu w Warszawie zmian tych kwestii, które wzbudzają kontrowersje.

Timmermans ocenił, że Kaczyński jest bardziej ideologiem, a węgierski premier Viktor Orban - taktykiem.

- Orban to taki typ faceta, który przy limicie prędkości 120 km/h będzie jechał 140 km/h i nikt nie zareaguje - może trochę pomarudzi - ale jak mu się zwróci uwagę przy 160 km/h, że jedzie zbyt szybko, to zwolni do 140 km/h i powie: "Czyż nie jestem dobrym chłopcem?".

Wiceszef KE zastrzegł, że wiele państw członkowskich jest zaniepokojonych wydarzeniami w Polsce i "nie akceptuje polskiego argumentu, że spór (KE z Polską) wynika jedynie z postawy 'jednego lunatyka w Komisji Europejskiej'".

- W pewnej chwili, jeśli nadal będzie się to rozwijało w ten sposób, ktoś przy stole zacznie pytać: Czy na pewno jesteście z nami? Musicie zdecydować: czy jesteście z nami?

 - tłumaczył Timmermans, zaznaczając, że obawia się ryzyka rozpadu UE na mniejsze bloki państw o podobnych poglądach.

Podkreślając osiągnięcia procesu integracji europejskiej, Timmermans opowiedział o swej córce, która spytała go ostatnio, co to jest granica między państwami.

I to był dla mnie niesamowity moment w uświadomieniu sobie, jaką drogę Europa już przeszła i dokąd zmierza

- powiedział.

Źródło: PAP, niezalezna.pl

Udostępnij

Tagi

Wczytuję komentarze...

Nasza strona używa cookies czyli po polsku ciasteczek. Korzystając ze strony wyraża Pan/i zgodę na używanie ciasteczek (cookies), zgodnie z aktualnymi ustawieniami Pana/i przeglądarki. Jeśli chce Pan/i, może Pan/i zmienić ustawienia w swojej przeglądarce tak aby nie pobierała ona ciasteczek.


Strefa Wolnego Słowa: niezalezna.pl | gazetapolska.pl | panstwo.net | vod.gazetapolska.pl | naszeblogi.pl | gpcodziennie.pl