RODO

Ewidencja zatrudnienia pracowników tymczasowych przez agencję pracy tymczasowej oraz pracodawców użytkowników a RODO

Od 25 maja 2018 roku zaczęło obowiązywać RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako „RODO”). Continue Reading „Ewidencja zatrudnienia pracowników tymczasowych przez agencję pracy tymczasowej oraz pracodawców użytkowników a RODO”

RODO

Fakty i mity na temat RODO w marketingu

Dokładnie 943 tys. zł kary będzie musiała zapłacić pewna firma z Warszawy, która złamała przepisy RODO. Czym zawiniła? Gromadząc dane użytkowników, które były dostępne w internecie, przetwarzała je, nie informując ich o tym w odpowiedni sposób. To pierwsza kara w Polsce związana z zagadnieniem RODO, które weszło w życie 25 maja 2018 roku. Najwyższą karą  w Europie, bo aż 50 milionów euro za szereg złamanych przepisów może niechlubnie pochwalić się Google. Na co zwracać szczególną uwagę w kwestii danych osobowych jeśli prowadzimy działania marketingowe offline i online?

Continue Reading „Fakty i mity na temat RODO w marketingu”

Cyberbezpieczeństwo

Dyrektywa NIS – wyjaśniamy najważniejsze kwestie.

Czym jest dyrektywa NIS i do czego dokładnie nawiązuje? Odpowiadamy na najważniejsze kwestie!

Dyrektywa NIS wprowadza nowe obowiązki dla firm z kluczowych gałęzi polskiej gospodarki. Na czym mają polegać wymogi? Przede wszystkim na zapewnieniu najwyższego poziomu bezpieczeństwa z zakresu infrastruktury teleinformatycznej dla takich sektorów jak: energetyka, bankowość, ochrona zdrowia, transport, wodociągi czy też dostawców infrastruktury cyfrowej.

Continue Reading „Dyrektywa NIS – wyjaśniamy najważniejsze kwestie.”

RODO

Strajk a RODO

RODO w związkach zawodowych

Okres przedwyborczy charakteryzuje się występowaniem wielu pikiet i manifestacji w celu wywarcia nacisku na władze. Szczególną formą nacisku jest przeprowadzenie – o czym jest ostatnio bardzo głośno- strajku i zaprzestanie wykonywania pracy. Akcja strajkowa, która ma olbrzymie znaczenie dla prawidłowego funkcjonowanie firm prywatnych, jest jeszcze bardziej istotna w przedsiębiorstwach oraz zakładach pracy, od których zależy sprawne funkcjonowanie państwa. Co zrobić jednak, aby akcja strajkowa była zgodna z RODO? Czytaj dalej

Blockchain

Smart umowy. Zalety inteligentnych kontraktów.

Inteligentne kontrakty to aplikacje, które mogą mieć taką samą moc prawną, jak tradycyjne umowy funkcjonujące w powszechnym obiegu prawnym. Mają jednak przewagę nad tradycyjnymi umowami, bo są krótkie, o wiele łatwiej je zweryfikować, nie trzeba ich w nieskończoność opiniować, dzięki czemu można zaoszczędzić czas i ominąć uciążliwy proces biurokracji – wymienia Piotr Stankiewicz z Kancelarii Adwokackiej Wachowski, ekspert prawa danych osobowych, prawa mediów i nowych technologii.

Czytaj dalej

Cyberbezpieczeństwo

Cyberbezpieczeństwo: decyzja o statusie operatora usług kluczowych

Współcześnie większość aspektów życia społeczeństwa przenosi się do sieci internetowej. Nie tylko my w codziennym życiu aktywnie korzystamy z Internetu. Aktualnie większość zadań administracji państwowej, w tym także zadań odpowiadających za sprawne funkcjonowanie państwa i jego obywateli, odbywa się z wykorzystaniem sieci. Cyberbezpieczeństwo jest więc kluczowym aspektem funkcjonowania nowoczesnego państwa.

Czytaj dalej

Cyberbezpieczeństwo

Kim jest operator usług kluczowych?

W dniu 28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. Implementuje ona europejską dyrektywę NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.) wprowadzającą szczególne środki na rzecz zwiększenia poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej.
Czytaj dalej

RODO

Film na lekcji. Jakie warunki należy spełnić, by wyświetlanie filmu w szkole było zgodne z przepisami prawa autorskiego?

Obowiązująca od 1994 r. ustawa o prawie autorskim i prawach pokrewnych reguluje warunki korzystania z utworów w rozumieniu tej ustawy. Dotyczy to oczywiście także korzystania z utworów w szkole. Największe kontrowersje w tym kontekście są związane z publicznym wyświetlaniem filmów w szkołach. Zachęcamy do lektury artykułu, który ukazał się w „Głosie Nauczyciela” (nr 47 z 21 listopada 2018).
Czytaj dalej

RODO

Udostępnianie danych firmom medycznym

Jako pracodawca, w związku z zatrudnienim pracowników, staniesz w obliczu konieczności przekazywania danych osobowych swoich pracowników innym podmiotom. W niektórych sytuacjach – np. przy współpracy z firmą księgową – konieczne będzie zawarcie umowy powierzenia przetwarzania danych. W innych zaś będzie miało miejsce jedynie udostępnianie danych osobowych. Wówczas inni administratorzy będą przetwarzali te dane osobowe realizując już własne cele. Jak to jest w przypadku udostępniania danych osobowych pracowników firmom medycznym?

Powierzenie czy udostępnienie danych osobowych?

Nie zawsze zawarcie umowy powierzenia przetwarzania z innym administratorem danych, zwanym w takim przypadku procesorem, będzie konieczne. W wielu wypadkach wystarczające jest samo udostępnianie danych. RODO nakłada na podmiot przetwarzający wiele uciążliwych obowiązków. Jest to np. obowiązek wyrażenia zgody na przeprowadzenie audytu przetwarzania danych u procesora, uzgodnienia z administratorem zastosowania środków organizacyjnych i technicznych ochrony danych, czy też obowiązek rozliczania się z otrzymanych danych po zakończeniu przetwarzania.

Zdarza się, że firmy świadczące dodatkowe usługi medyczne wymagają, aby pracodawca zawarł odrębną umowę powierzenia przetwarzania danych jego pracowników.  W szczególności, w przypadku wykupienia dodatkowego pakietu medycznego dla pracowników. Dodatkowy pakiet medyczny dla pracowników – jak sama nazwa wskazuje – nie jest obowiązkowy. Oznacza to, że pracownik musi zgodzić się na to, aby część jego wynagrodzenia była potrącana na dodatkowy pakiet medyczny.

Udostępnienie danych a zgoda pracownika

Podobnie rzecz ma się z danymi osobowymi. Jako pracodawca z mocy prawa jesteś uprawniony jedynie do przetwarzania podstawowych danych osobowych, o których mowa w art. 22[1] Kodeksu Pracy. Przetwarzanie danych nie polega tylko na ich gromadzeniu, ale także na udostępnianiu danych innym administratorom. Aby udostępnić dane innym partnerom musisz wykazać, że masz ku temu podstawę prawną. Spośród wszystkich podstaw znajdujących się w art. 6 RODO będzie nią zgoda pracownika na udostępnienie danych. Oznacza to, że gdy zechcesz zapewnić swoim pracownikom dodatkową opiekę medyczną, będziesz musiał odebrać od nich zgodę na udostępnienie danych podmiotowi leczniczemu. 

Negatywnym zjawiskiem jakie obserwujemy po wprowadzeniu RODO, jest żądanie przez firmy świadczące dodatkowe usługi medyczne podpisania aneksu, bądź odrębnej umowy dotyczącej powierzenia przetwarzania danych osobowych pracowników. Zdarza się, że firmy medyczne dążą do tego, aby z pracodawcy uczynić podmiot przetwarzający. Pracodawca nie powinien godzić się na takie rozwiązanie. Odebranie zgody od pracownika umożliwia przekazanie jego danych i zgodne z prawem ich przetwarzanie przez firmę medyczną. Błędnym jest stanowisko głoszące, że firmy medyczne nie mogą uzyskać danych do przetwarzania inaczej, niż przez uczynienie pracodawcy swoim procesorem. Firmy świadczące usługi medyczne nie przetwarzają danych osobowych na podstawie zgody, lecz na podstawie realizacji celu, jakim jest zapewnienie opieki zdrowotnej (opisane jest to w art. 9 ust. 2 lit h RODO). 

Udostępnianie danych a obowiązek informacyjny

Pracownicy nie powinni obawiać się udzielenia zgody na udostępnianie danych osobowych. W żaden sposób nie narusza to ich praw i interesów. Jednakże przy odbieraniu takiej zgody powinieneś zrealizować wobec swoich pracowników obowiązek informacyjny. W jego treści wyjaśnisz dlaczego zgoda jest odbierana, komu dane są udostępniane oraz jaki jest cel ich przetwarzania. 

Zgodnie z RODO administratorem lub procesorem jest się ze względu na czynności, które się podejmuje. Nie można się co do tego umówić. Po prostu wynika to z faktu i sposobu przetwarzania danych. Administrator przetwarza dane w swoim celu i przez siebie ustalonymi sposobami. Podmiot przetwarzający przetwarza zaś dane w celach oraz środkami wyznaczonymi przez innego administratora. Firmy medyczne w stosowanych wzorcach umów często zamieszczają klauzule, w których wkładają na pracodawcę wykonanie obowiązku informacyjnego. Zdarza się również zobowiązanie do gromadzenia zgód pracowników na przetwarzanie danych. Jeśli przyjmiesz na siebie takie zobowiązania, możesz być uznany za podmiot przetwarzający. Jest to rozwiązanie nie tylko nie korzystne, ale też nieprawidłowe.

Konkludując, nie podpisuj z firmami świadczącymi dodatkowe usługi medyczne umów powierzenia przetwarzania danych pracowników. Nałoży to na Ciebie dodatkowe, uciążliwe obowiązki. Niektóre firmy medyczne unikają wykonywania formalnych obowiązków związanych z przetwarzaniem danych osobowych, albowiem chciałyby je scedować na Ciebie.  

Pracodawca informuje o udostępnianiu danych

Pewnym kompromisem jest zamieszczenie w formularzu zgody na udostępnianie danych pracownika firmie medycznej, obowiązku informacyjnego dotyczącego firmy leczniczej.  Jednakże zgodnie z art. 13 ust. 4 RODO realizacja obowiązku informacyjnego nie jest konieczna, jeśli osoba, której dane mają być przetwarzane posiada odpowiednie informacje, które administrator zobowiązany jest jej przedstawić. W takiej sytuacji, to na administratorze spoczywa ciężar udowodnienia, że osoba, której dane przetwarza posiada już informacje o firmie medycznej przetwarzającej jego dane.

Zawarcie umowy na powierzanie danych osobowych pracowników z firmą medyczną nie jest prawidłowym rozwiązaniem. W przypadku, w którym zapewniasz dodatkowe pakiety medyczne pracownikom, odbierz od nich zgodę na udostępnianie danych firmie świadczącej usługi medyczne.

Bez kategorii

Siadaj RODO! Pała.

W jednej ze szkół, zamiast imion i nazwisk uczniów, w dzienniku nauczyciela miały być wskazane ich pseudonimy. W innej, każdy z uczniów miał mieć nadany indywidualny numer, którego celem była jego identyfikacja w społeczności szkolnej. O szkolnych absurdach przy wdrażaniu przepisów RODO.
Czytaj dalej

Bez kategorii

RODO a proces rekrutacji

RODO wprowadziło jednolite zasady ochrony danych osobowych w całej Unii Europejskiej. Pomimo, tego że akty prawne, które składają się na reformę zostały opublikowane w dniu 27 kwietnia 2016 r. to weszły w życie dopiero z dniem 25 maja 2018 r.
Czytaj dalej

Bez kategorii

Ewidencja zatrudnienia pracowników tymczasowych przez agencję pracy tymczasowej oraz pracodawców użytkowników a RODO

Od 25 maja 2018 roku zaczęło obowiązywać RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako „RODO”).
Czytaj dalej

Bez kategorii

Prawo do bycia zapomnianym wg. RODO? Na czym polega? Jak z niego skorzystać?

Prawo do bycia zapomnianym to instytucja, która powstała w wyniku sprawy Mario Costeja Gonzaleza, który domagał się od hiszpańskiego odpowiednika GIODO oraz hiszpańskiego oddziału Google usunięcia odnośnika do stron internetowych, na których umieszczone były jego dane osobowe. Gonzales domagał się usunięcia nieaktualnych informacji na jego temat, dotyczących licytacji jego nieruchomości z uwagi na zadłużenie.
Czytaj dalej

Prawo w IT, RODO

Zastosowanie biometrii

Od 25 maja obowiązuje RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Czytaj dalej