RODO a ochrona danych. Kto ponosi odpowiedzialność?

/ TheDigitalArtist; pixabay.com / Creative Commons CC0

W związku ze zbliżającym się terminem wejścia w życie przepisów RODO w przestrzeni publicznej pojawia się wiele pytań dotyczących zmian związanych z ochroną danych osobowych. Szczególnego wyjaśnienia wymaga kwestia odpowiedzialności za ewentualne błędy w ochronie danych.

Te dość złożone zagadnienia wyjaśnia w rozmowie z Aliną Stahl, (rzecznik prasową Biura Informacji Kredytowej), dr. Maciejem Kaweckim - koordynatorem prac nad reformą ochrony danych osobowych, a zarazem dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.
 
Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?
 
Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.
 
Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?
 
Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.
 
Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?
 
Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.
 
Czyli ta odpowiedzialność będzie po obu stronach.
 
Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.
 
Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?
 
To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.
 
Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?
 
Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.
 
A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?
 
MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

Źródło: niezalezna.pl, internetPR.pl, infowire.pl

Udostępnij

Tagi

Wczytuję komentarze...

Coraz bliżej porozumienia Polski z Brukselą. Prof. Szczerski wskazuje, kto może je storpedować

/ Zbyszek Kaczmarek/Gazeta Polska

"Przegłosowanie Polski doprowadziłoby do poważnego kryzysu w Unii Europejskiej" – mówi w wywiadzie dla "Rzeczpospolitej" Krzysztof Szczerski, szef gabinetu prezydenta. "Tylko opozycja może storpedować porozumienie z Brukselą" – dodał prof. Szczerski.

Krzysztof Szczerski pytany o medialne doniesienia Radia RMF, że Komisja Europejska stawia trzy warunki, aby zamknąć procedurę o naruszenie praworządności w Polsce, stwierdził, że:

W czasie niedawnej wizyty w Pałacu Prezydenckim wiceszef KE Frans Timmermans nie wspomniał o żadnym z trzech warunków.

CZYTAJ WIĘCEJ: Kuriozalne ultimatum z Brukseli. Chodzi im o posadę dla... Gersdorf

Minister zauważa, że doniesienia albo pojawiły się "już po jego powrocie do Brukseli, albo nigdy nie padły i są to tylko doniesienia kuluarowe".

W Warszawie była mowa jedynie o tym, jak należy rozumieć skargę nadzwyczajną, jak ją uszczegółowić, a nie odwołać, choć jednoznacznie przedstawiono nam krytyczny stosunek Komisji do tego instrumentu. W sprawie sędziów zgodziliśmy się, że państwo ma prawo wprowadzić dla nich wiek emerytalny. Dyskusja dotyczyła tylko procedury wnioskowania o przedłużenie możliwości orzekania. Personalnie o prezes Gersdorf w ogóle nie było mowy. Dlatego po tej rozmowie mówiliśmy, że kompromis jest możliwy. Teraz trudno mi reagować na propozycje, które nigdy wobec nas nie były formułowane – podkreślił szef gabinetu prezydenta.

Pytany, czy jest możliwe porozumienie między Polską a Brukselą przed przedstawieniem propozycji budżetu UE na 2020 rok, powiedział, że:

Wszystko jest możliwe, jeśli będzie wola polityczna po obu stronach. Ale do tego potrzebne jest również lojalne zaangażowanie wszystkich polskich polityków, także tych z opozycji. Jeśli dalej będą oni używać procedury z art. 7 jako instrumentu w krajowej walce politycznej i prosić Komisję, by z niego nie rezygnowała, to ten spór może nie zostać zakończony.

CZYTAJ RÓWNIEŻ: Dyskryminacyjne działania KE w propozycji budżetowej. Mocna odpowiedź wiceszefa polskiego MSZ

Na poziomie prawno-proceduralnym możemy znaleźć kompromis. Ale opozycja w Polsce i Brukseli musi wznieść się ponad podziały polityczne, uznać, że pozycja Polski w Unii w kontekście debaty budżetowej jest ważna z punktu widzenia interesu wszystkich Polaków i nie należy walczyć na tym polu z rządem. Wtedy spór z Brukselą ma szansę zostać zakończony – zauważył minister.

Szczerski pytany, czy optymizm po wizycie Timmermansa zgasiła kontrofensywa opozycji powiedział, że z ogromną przykrością przyjmuje "wszelkie przejawy partyjniactwa na poziomie międzynarodowym".

W to niestety są zaangażowane wpływowe osoby. Europoseł Michał Boni napisał list, w którym sugeruje, że w Polsce zamyka się opozycję do więzień bez powodów – czytamy.

Źródło: PAP, niezalezna.pl

Udostępnij

Tagi

Wczytuję komentarze...

Nasza strona używa cookies czyli po polsku ciasteczek. Korzystając ze strony wyraża Pan/i zgodę na używanie ciasteczek (cookies), zgodnie z aktualnymi ustawieniami Pana/i przeglądarki. Jeśli chce Pan/i, może Pan/i zmienić ustawienia w swojej przeglądarce tak aby nie pobierała ona ciasteczek.


Strefa Wolnego Słowa: niezalezna.pl | gazetapolska.pl | panstwo.net | vod.gazetapolska.pl | naszeblogi.pl | gpcodziennie.pl