Joanna Łukaszyk
dr nauk prawnych, inspektor ochrony danych, ochrona informacji i własności intelektualnej
Wypowiedzi
-
Grzegorz K.:
>Więc nawet nie ma co dyskutować o poleceniach czy upoważnieniach indywidualncych, do momentu aż ktoś nie znajdzie słowa PISEMNE indywidualne upoważnienie, lub PISEMNE indywidualne polecenie. Wtedy uznam, że tak, przepis prawa każe.
Podoba mi się ten kierunek, ale UODO przy kontrolach podobno żąda jednak pisemnych....
Zastanawiam się jednak nad możliwością skorzystania z prawa krajowego jako źródła regulacji - dostępu konkretnego pracownika do danych (końcówka art. 29 RODO) właśnie bez upoważnienia i bez polecenia administratora, a na podstawie ustawy krajowej. Jeżeli z mocy ustawy pracownik ma dokonywać czynności na określonej kategorii danych, to pracodawca nawet nie mógłby nie dać upoważnienia, ten dostęp wynika z ustawy (choć najczęściej nie bezpośrednio i tu jest pewien problem....... -
Temat był poruszony na ostatnim szkoleniu UODO - prof. A. Sobczyk wskazał, że w tej sytuacji mamy dwóch odrębnych ADO, nie ma tu przestrzeni na powierzenie. I różne podstawy przetwarzania (zadania publiczne, obowiązek administratora, zgoda tylko przy danych szczególnie chronionych).
-
Nie ma mowy o takim powierzeniu u mnie.
Ale miałam propozycję zatrudenienia jako iod w prywatnej medycynie pracy, i była mowa o setkach umów powierzenia.... -
Jacek P.:
>
Paweł G.:
Jacek P.:
Kluczowe znaczenie ma tu motyw 47 RODO : "Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań."
uważam, że przez "swoje zadania" podmiotów publicznych należy rozumieć zadania istotne/podstawowe/merytoryczne - np. wynikające wprost z przepisów regulujących określoną działalność /np. ustawa o pomocy społ. dla MOPS/
Moim zdaniem - stosownie do motywu 47 - nie wyklucza to sytuacji, że podmiot publiczny może przetwarzać dane na podstawie prawnie uzasadnionego interesu - ale tylko wtedy gdy nie dotyczy to "podstawowej" działalności - swoich zadań wg RODO. Może to dotyczyć np. danych przetwarzanych w ramach monitoringu wizyjnego i nie tylko ...
właśnie :) -
Paweł G.:
Nie do końca się zgodzę, bo np. M. Gumularz: Ochrona danych osobowych w instytucjach publicznych wskazuje opinie brytyjskiego organu nadzorczego, sugerującego patrzeć na ten problem, czyli możliwość zastosowania 6f dla podmiotów publicznych - od strony zadań, Jeśli zadanie publiczne to albo 6c albo 6e, ale specyfika zadania, czyli np. występowanie administratora nie z pozycji podmiotu publicznego, tylko tak jak każdy inny administrator, np. sfera cywilnoprawna, prawo pracy - może oznaczać, że będzie f
Jacek P.:
I tylko te przesłanki. Art. 7 Konstytucji mówi, że organy administracji nie mogą podejmować działań pozaprawnych.
Z tym się chętnie zgodzę, że co do zasady powołują się na lit. c oraz e - gdy dotyczy to swoich zadań.
Co do litery f - pytałem o konkretne przepisy które mogłyby mieć zastosowanie ...
Litera f jest dla podmiotów niepublicznych, więc pytanie nie ma sensu. -
Ja jestem zdecydowanie za tym :) Mam jednak obawy, że trochę na to poczekamy, przepisy wdrażajace na finiszu, a projektów takich zmian niestety nie widziałam...
-
Materusz P.:
Dobrze by było, ale jakbyśmy mieli inną podstawę byłoby 6.1.c
Moim zdaniem, podmioty publiczne (działające w oparciu i granicach prawa) przy powoływaniu się na 6.1.f. rodo winny podawać podstawę prawną z innych przepisów.
Skłaniam się ku interpretacji, że uzasadniony interes - WYJĄTKOWO- wystąpi w sferze publicznej, przede wszystkim tam gdzie nie ma podstawy prawnej np. zamówienia publiczne i dane kontaktowe - wszyscy praktycznie wskazują przy danych osób kontaktowych właśnie 6f -
Dziękuję za opinie :)
Dotarłam do kolejnych interpretacji i wyłania się z nich taki obraz: 6c i 6e przede wszystkim, ale będą obszary - i przed tym nie uciekniemy - kiedy podstawą przetwarzania będzie 6f - o ile podmiot publiczny wystąpi tutaj w takiej pozycji, jak każdy inny (prywatny) administrator, np. w obszarze prawa pracy i strefy cywilnoprawnej (tu i monitoring nieregulowany prawem pracy). -
Materusz P.:
>> Na marginesie. Skoro ustawodawca przed 25.V. dostosował
Anna S.:
kilkadziesiąt aktów prawnych do rodo, a wśród nich nie znalazło się prawo przewozowe, to uznał, że sprawa jest klarowna.
A konkretnie co dostosował? Że niby w nowej ustawie o ochronie danych? Powiedziałabym raczej, że planuje dostosować, ale póki co mówimy o projekcie. -
Też mi się wydaje, że do wszystkich danych niekoniecznie powinien mieć dostęp.
-
Raczej jestem przeciwna informowaniu wszystkich dookoła o okolicznościach przetwarzania, bez względu na moment pozyskania danych i ewentualne wcześniejsze spełnienie obowiązku informacyjnego, ale raczej nie opierałabym ewentualnego wyłączenia na przesłance dysponowania informacjami przez pracownika - no bo czy możemy powiedzieć, że np. dysponuje wiedzą o prawach mających zastosowanie?
-
Anna S.:
Wracając do kwestii umowy powierzenia przetwarzania danych osobowych jako administrator danych osobowych poprosiłam o takową umowę znaną firmę spedycyjną przewożącą palety (z której usług korzystamy na podstawie umowy) niemniej otrzymałam odpowiedź, iż z ich interpretacji wynika, iż nie muszą takiej umowy podpisywać ponieważ, wg ustawy prawo przewozowe ," jako przewoźnik przetwarzają ujawnione przez klienta dane osobowe celem wykonania usługi przewozu". Chętnie przeczytam Państwa opinie czy taka postawa firmy spedycyjnej jest słuszna?
Poprosiłabym o wyraźną podstawę prawną - ustawa Prawo przewozowe w obecnym stanie prawnym odnosi się do kwestii danych osobowych jedynie w treści art. 16 ust. 3 stanowi, że na bilecie mogą być umieszczane inne informacje, w tym dane osobowe pasażera, jeżeli jest to niezbędne dla przewoźnika lub organizatora w regularnym przewozie osób.
Oczywiście, przewoźnik może być administratorem, jeżeli przetwarza dane osobowe określając cele i sposoby przetwarzania czyli spełniając definicję administratora z art. 4 RODO.
W tym przypadku widziałabym jednak raczej powierzenie, ponieważ to zleceniodawca określa ten cel. Samo przekazanie danych też musi odbywać się w określonych ramach prawnych i to jest właśnie przestrzeń dla powierzenia przetwarzania danych. -
Może to być słuszny kierunek, może dlatego bardziej adekwatne umowy regulujące procesy przetwarzania - bo tu nie tylko powierzenie....
Swoją drogą może się okazać, że bardzo często powierzenie poprzedzi przetwarzanie przez odrębnego administratora. Analogiczna konstrukcja może wystąpić przecież przy szkoleniach czy studiach np. podyplomowych - pracodawca przekazuje przecież listę uczestników, I w takich przypadkach należy bezwzględnie odróżniać i określać kategorie danych - choćby po to, aby wiedzieć dokąd sięga kontrola i jakich danych może dotyczyć.Ten post został edytowany przez Autora dnia 17.08.18 o godzinie 16:17 -
Co sądzicie Państwo o przetwarzaniu danych przez podmioty publiczne w celu nie wynikającym wprost z przepisu prawa (6/1/c RODO odpada). Widziałam wiele klauzul powołujących się na uzasadniony interes (dochodzenie roszczeń, marketing, informacja o wydarzeniach organizowanych przez podmiot), jednak w mojej ocenie dla podmiotów publicznych zastosowanie może mieć albo art. 6/1/c (wyraźny obowiązek) albo art. 6/1/ e - zadania w interesie publicznym. Największy problem widzę przy "marketingu/promocji" prowadzonym przez te podmioty, biorąc bowiem pod uwagę, że dla podmiotów publicznych przetwarzanie musi być oparte na przepisie prawa, to uzasadniony interes nie może mieć tu zastosowania....
-
Co sądzicie o przetwarzaniu danych przez podmioty publiczne w celu nie wynikającym wprost z przepisu prawa (6/1/c RODO odpada). Widziałam wiele klauzul powołujących się na uzasadniony interes (dochodzenie roszczeń, marketing, informacja o wydarzeniach organizowanych przez podmiot), jednak w mojej ocenie albo art. 6/1/c (wyraźny obowiązek) albo art. 6/1/ e - zadania w interesie publicznym. Największy problem przy "marketingu/promocji" prowadzonym przez te podmioty.
-
Również jestem zainteresowana
-
Jeżeli:
1) sklep internetowy gromadzi dane klientów w momencie zakupu towaru
2) serwis płatniczy za pośrednictwem którego klient dokonuje płatności za towar też gromadzi dane klientów
- to jak ocenić kwestię administratora danych osobowych?
W mojej opinii sklep jest administratorem w odniesieniu do tych danych, które gromadzi i niezależnie od tego, serwis płatniczy jest administratorem zbioru z danymi, które sam gromadzi (mogą tam być inne dane niż gromadzone przez sklep).
Czy taka ocena jest prawidłowa?
I dalej - serwis płatniczy wymaga wymiany danych, chce żeby informować klientów, że jest administratorem danych osobowych. W mojej ocenie jest administratorem ale w odniesieniu do swojego zbioru i może o tym informować na etapie płatności, natomiast w przypadku zakupu, przed płatnością, administratorem danych jest sklep.
Zastanawiam się, czy jest tu potrzebna jakakolwiek regulacja wymiany danych, skoro serwis płatniczy gromadzi niezależnie dane. Czy jest potrzeba powierzania danych?
Proszę fachowców o opinie :)