RODO a ochrona danych. Kto ponosi odpowiedzialność?

/ TheDigitalArtist; pixabay.com / Creative Commons CC0

  

W związku ze zbliżającym się terminem wejścia w życie przepisów RODO w przestrzeni publicznej pojawia się wiele pytań dotyczących zmian związanych z ochroną danych osobowych. Szczególnego wyjaśnienia wymaga kwestia odpowiedzialności za ewentualne błędy w ochronie danych.

Te dość złożone zagadnienia wyjaśnia w rozmowie z Aliną Stahl, (rzecznik prasową Biura Informacji Kredytowej), dr. Maciejem Kaweckim - koordynatorem prac nad reformą ochrony danych osobowych, a zarazem dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.
 
Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?
 
Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.
 
Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?
 
Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.
 
Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?
 
Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.
 
Czyli ta odpowiedzialność będzie po obu stronach.
 
Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.
 
Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?
 
To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.
 
Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?
 
Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.
 
A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?
 
MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

Wczytuję ocenę...

Promuj niezależne media! Podaj dalej ten artykuł na Facebooku i Twitterze

Źródło: niezalezna.pl, internetPR.pl, infowire.pl

Tagi

Wczytuję komentarze...

Prof. Karski ostro o unijnym trybunale: "Odrywa się w orzekaniu od treści prawa"

Prof. Karol Karski / Zbyszek Kaczmarek/Gazeta Polska

  

Prof. Karol Karski oraz Marian Kowalski byli dzisiejszymi gośćmi programu "W Punkt" na antenie Telewizji Republika. Nie brakowało komentarzy dotyczących działalności unijnego trybunału, dzisiejszego zamachu we Włoszech, edukacji seksualnej według standardów WHO, a także strajku nauczycieli zapowiadanego przez Sławomira Broniarza.

Pierwsza część programu redaktor Katarzyny Gójskiej dotyczyła decyzji, którą unijny trybunał ogłosił wczoraj. Gościem programu - prosto z Brukseli - był prof. Karol Karski, europoseł Prawa i Sprawiedliwości.

Trybunał Sprawiedliwości Unii Europejskiej poinformował wczoraj w Luksemburgu, że opinia rzecznika generalnego w sprawie pytań prejudycjalnych Sądu Najwyższego dotyczących między innymi niezależności KRS, zostanie wydana 23 maja. Jak wiadomo, 26 maja odbędą się w Polsce wybory do Parlamentu Europejskiego. Według europosła PiS Karola Karskiego, ten termin nie jest przypadkowy. [polecam:https://niezalezna.pl/263877-byly-szef-msz-nie-ma-watpliwosci-termin-ogloszenia-przez-tsue-wyroku-nie-jest-przypadkowy]

"Mamy do czynienia z przesunięciem z terminu rozpatrzenia sprawy, bo zapowiadano, że ostateczny wynik będzie ogłoszony na przełomie lutego i marca. Jak widać, jest to zbyt wcześnie żeby zaingerować w życie publiczne w Polsce. Pamiętamy, kiedy TSUE przez te tymczasowe rozwiązania zaingerował w wybory samorządowe w Polsce. Wtedy zaingerował w proces demokratycznych wyborów, a teraz kolejna decyzja ma być ogłoszona 23 maja, trzy dni przed wyborami do Parlamentu Europejskiego"

- wyjaśnił prof. Karski.

Europoseł PiS to ceniony autorytet prawniczy. W jego ocenie, Trybunał Sprawiedliwości Unii Europejskiej nie funkcjonuje tak, jak powinien.

"Pamiętajmy, że to sąd międzynarodowy, wyłoniony w szczególnym trybie i który powinien działać na podstawie prawa. A działa na podstawie swojego wyobrażenia tego, jak prawo powinno wyglądać. Trybunał znany jest z tego, że odrywa się w swoim orzekaniu od treści prawa. Nie powinno tak być"

- dodał.

W drugiej części programu gościł polityk Marian Kowalski. Poruszono w niej kilka istotnych tematów z Polski i świata. Jak mogliśmy się spodziewać, ze strony gościa padły mocne słowa.

Pierwszy temat to oczywiście zamach, do jakiego doszło dziś koło Mediolanu. Senegalczyk podpalił autobus z włoskimi dziećmi, krzycząc, że to "za śmierć ludzi na Morzu Śródziemnym. [polecam:https://niezalezna.pl/264004-senegalczyk-podpalil-autobus-z-wloskimi-dziecmi-za-smierc-ludzi-na-morzu-srodziemnym]

"Widać, że te czasy, kiedy Europa cywilizowała kontynent afrykański już dawno minęły, dziś to standardy afrykańskie przemycane są do Europy. Czy w Senegalu ten człowiek, popełniwszy takie przestępstwa, jakie popełnił wcześniej, byłby kierowcą autobusu szkolnego? Tu nie ma żadnej empatii, tylko nienawiść do cywilizacji, która gwarantuje ludziom lepsze życie niż w ich ojczyźnie. Nie zgadzam się na współczucie dla bandytów"

- skomentował Kowalski.

Poruszono też sprawę starcia Rzecznika Praw Obywatelskich z Rzecznikiem Praw Dziecka. Chodzi oczywiście o słynne standardy edukacji seksualnej, zawarte w karcie LGBT+. W tym przypadku ze strony Mariana Kowalskiego, mocno dostało się Adamowi Bodnarowi.

"To lewacki aktywista, który staje w obronie praw lewicowych. Bodnar bardzo sprytnie żongluje przepisami prawa. Nie można powoływać się na instytucję skompromitowaną. To lewacka jaczejka, a pan Bodnar jest komunistycznym prowokatorem. Chce dokonać redefinicji rodziny, żeby rodzina przestała być rodziną. To jest komunistyczny zabieg (...) Kto ma szacunek do nauki, to takich rzeczy nie opowiada"

- przyznał.

Ostatnia kwestia w programie "W Punkt" to protest nauczycieli i zapowiedź Sławomira Broniarza (szefa ZNP), że polskie dzieci mogą nie zdać do następnej klasy. [polecam:https://niezalezna.pl/263476-bedzie-protest-nie-bedzie-promocji-tysiace-uczniow-ofiarami-strajku-znp]

"Panem Broniarzem powinien zainteresować się prokurator"

- wyjaśnia Kowalski i dodaje, że de facto szef Związku Nauczycielstwa Polskiego zapowiedział działalność terrorystyczną z braniem zakładników w postaci dzieci.

"Skoro PO twierdzi, że takich podwyżek dała tyle nauczycielom, że nawet 50 procent, to dlaczego ci nauczyciele dalej są tak biedni?"

- zapytał na koniec.

Wczytuję ocenę...

Promuj niezależne media! Podaj dalej ten artykuł na Facebooku i Twitterze

Źródło: TV Republika, niezalezna.pl

Tagi

Wczytuję komentarze...

Nasza strona używa cookies czyli po polsku ciasteczek. Korzystając ze strony wyraża Pan/i zgodę na używanie ciasteczek (cookies), zgodnie z aktualnymi ustawieniami Pana/i przeglądarki. Jeśli chce Pan/i, może Pan/i zmienić ustawienia w swojej przeglądarce tak aby nie pobierała ona ciasteczek.


Strefa Wolnego Słowa: niezalezna.pl | gazetapolska.pl | panstwo.net | vod.gazetapolska.pl | naszeblogi.pl | gpcodziennie.pl