RODO FAQ

Postanowiliśmy, że podzielimy się częścią pytań, które zadajecie nam w związku z RODO. Poniżej niektóre z nich.

 

11. Jakich danych mogę żądać od swojego pracownika, a na podanie jakich potrzebuję jego zgody?

Jako pracodawcy możemy od pracowników wymagać podania danych osobowych jedynie w takim zakresie, w jakim pozwalają nam przepisy prawa w zakresie zatrudnienia np. prawa pracy czy ubezpieczeń stołecznych. Na przetwarzanie wszystkich pozostałych informacji o pracowniku, niezbędna będzie jego zgoda.

Musimy być przygotowani, że pracownik może nam odmówić wyrażenia zgody lub wycofać ją w każdym momencie. Jeśli to są dane, których przetwarzanie przez nas nie wynika z przepisów prawa, pracownika nie może z tego tytułu spotkać żadna negatywna konsekwencja. W przeciwnym razie wobec wszystkich uzyskanych zgód można wysnuć wniosek, że zostały wyrażone pod przymusem, a więc są nieważne. Stosunek pracownik-pracodawca jest bardzo nierówny, a przez to zgoda będzie dobrowolna tylko w przypadku, kiedy pracownika nie spotkają przykrości z powodu odmowy lub wycofania zgody.

Może zaistnieć sytuacja, w której nie będziemy potrzebowali zgody pracownika na przetwarzanie przez nas jego danych osobowych w zakresie, który przekracza wskazane w przepisach prawa. Przykładem może być kwestia bezpieczeństwa i konieczność umieszczenia zdjęcia pracownika na identyfikatorze. Zwykle na pozyskanie wizerunku pracownika będziemy musieli prosić go o zgodę, jednak nie będzie to konieczne, gdy ze względów bezpieczeństwa wstęp na teren zakładu lub jego części ograniczyliśmy poprzez wymóg okazania identyfikatora ze zdjęciem.

 

10. Kontroler UODO przed rozpoczęciem kontroli musi okazać się legitymacją i upoważnieniem od Prezesa UODO. Jak to wygląda teraz, kiedy nie ma jeszcze rozporządzenia o wzorze legitymacji?

Art. 165 ustawy o ochronie danych osobowych z 2018 r. wprowadza przepisy przejściowe. Do momentu wydania nowego rozporządzenia (max 12 miesięcy od wejścia w życie ww. ustawy) obowiązują stare wzory legitymacji.

 

9. Kto jest administratorem w stosunku do danych osobowych zakładowego funduszu socjalnego? Pracodawca czy związek zawodowy?

Administratorem jest pracodawca. Środki funduszu nie są jego, ale on nimi administruje i decyduje o ich przeznaczeniu. To pracodawca, a nie związek podejmuje decyzje w sprawie rozdysponowania środków (związek może skarżyć o to pracodawcę), a więc związkowi są te dane jedynie udostępniane.

Podstawa przetwarzania, to zadanie realizowane w interesie publicznym (art. 6 ust. 1 lit. e oraz art. 9 ust. 2 lit. c RODO).

 

8. Czy potrzebujemy zgód pracowników na przekazanie ich danych firmie wykonującej szkolenia BHP?

Nie. Konieczność przeprowadzenia szkoleń BHP dla pracowników wynika z przepisów prawa, więc zgoda od pracowników jest zbędna.
Z firmą podpisujemy natomiast umowę powierzenia danych, która będzie określała zasady przekazywania danych między nami a firmą.

 

7. Wystawiam fakturę klientowi. Jak spełnić wobec niego obowiązek informacyjny?

Przede wszystkim obowiązek informacyjny dotyczy nas, kiedy przetwarzamy dane osób fizycznych. Jeśli więc wystawiamy fakturę dla osoby prawnej, np. spółka z o.o., fundacja, to nie stosujemy RODO.

Obowiązek informacyjny musimy spełnić, jeśli wystawiamy fakturę dla osoby fizycznej (bez względu na to czy prowadzi działalność gospodarczą czy nie). O tym co powinna zawierać klauzula informacyjna, jak powinna być zredagowana itp. możemy przeczytać w art. 12-14 RODO. Od nas zależy sposób przekazania tych informacji. Ważne, byśmy mogli udowodnić, że to zrobiliśmy.

Ważne jest jednak, że obowiązek informacyjny powstaje przed rozpoczęciem przetwarzania, a więc moment wystawienia faktury, to już za późno. Fakturę wystawiamy zwykle na podstawie jakiejś umowy i to wtedy powinniśmy przedstawić klientowi klauzulę informacyjną.

Oczywiście nie robimy tego z każdym następnym zamówieniem. Raz poinformowana osoba posiada już wiedzę na temat sposobów przetwarzania przez nas jej danych, więc nie musimy informować jej o tym samym kolejny raz.

 

6. Na co musi wyrazić zgodę klient, któremu wystawiam fakturę?

Zgoda, to tylko jedna z przesłanek, które umożliwiają przetwarzanie danych osobowych zgodnie z prawem. Tak naprawdę stosujemy ją tylko wtedy, gdy nie mamy innej podstawy do przetwarzania danych. Nie możemy pobierać zgody „na zapas”.

Sprzedaż, to umowa zawarta między sprzedającym a kupującym. Wykonanie umowy, a nawet przygotowania do jej wykonania są podstawą do przetwarzania niezbędnych danych. Dane wpisywane na fakturze są również wymagane przepisami prawa, np. prawa podatkowego. Mamy więc przynajmniej 2 podstawy prawne do przetwarzania danych osobowych klienta i nie musimy, a nawet nie powinniśmy dodatkowo prosić go o zgodę.

Zgoda na przetwarzanie danych osobowych klienta będzie jednak potrzebna np., jeśli będziemy chcieli wysyłać do niego informacje marketingowe.

 

5. Dzwoni do mnie nowy pracodawca mojego byłego pracownika. Zadaje pytania na jego temat. Jakiej odpowiedzi powinienem udzielić?

Odpowiedzi możesz udzielić tylko za zgodą tego pracownika. Możesz taką zgodę odebrać w trakcie jego pracy u Ciebie albo powinien to zrobić dzwoniący do Ciebie pracodawca. W przeciwnym razie należy uprzejmie odmówić.


To samo dotyczy organizacji pozarządowych i współpracujących z nimi wolontariuszami. Również ich dane w tym zakresie powinny być odpowiednio chronione.

 

4. Czy mogę zastosować odcisk palca zamiast karty, którą pracownik potwierdza czas wejścia i wyjścia z pracy?

Odcisk palca, to dana biometryczna, a więc dana, która podlega szczególnej ochronie. Przetwarzanie, a więc i zbieranie danych powinno być adekwatne do celu. Oczywiście zastosowanie odcisku palca byłoby wygodniejsze niż noszenie kart, ale stosowanie go do potwierdzania czasu pracy nie jest dopuszczalne. Istnieje wiele innych metod, które mogą potwierdzić czas pracy, a nie wymagają przetwarzania danych wrażliwych.


Możemy jednak wykorzystać odcisk palca (lub inne metody biometryczne) jako zabezpieczenia ograniczające dostęp do stref czy dokumentów szczególnie chronionych.

 

3. Czy mogę publicznie udostępnić zdjęcie pracownika, np. na stronie internetowej, czy w kalendarzu tak samo jak na identyfikatorze?

Co do zasady wizerunek jest chroniony przepisami Kodeksu cywilnego. Zdjęcie na identyfikatorze należy traktować odmiennie niż na stronie www. Identyfikator wraz ze zdjęciem służy, jak nazwa wskazuje, do identyfikacji pracownika, a więc stosowany jest w celach zapewnienia bezpieczeństwa osób i mienia. W takim przypadku zgoda pracownika nie jest konieczna, jednak zasady identyfikacji powinny być opisane w dokumentacji wewnętrznej firmy.


Potrzebujemy jednak zgody pracownika na upublicznienie jego wizerunku na stronie internetowej, kalendarzu, plakacie itp. Nie musi to być zgoda pisemna, jednak w razie kontroli będzie trzeba wykazać, że ją posiadamy.

 

2. Czy podpisywać jakąś umowę dotyczącą danych osobowych z Pocztą Polską albo kurierami. W końcu wysyłając np. zakupiony przez internet towar, przekazujemy dane osobowe podmiotom, które dostarczą go do klienta.

Z firmami, które działają na podstawie prawa pocztowego nie ma potrzeby zawierać żadnych dodatkowych umów. Można spać spokojnie i jeden obowiązek mniej.

 

1. Publikacja ogłoszenia o naborze pracownika w gazecie. Co w tym przypadku z klauzulą informującą o przetwarzaniu danych?

Ogłoszenia papierowe zwykle ograniczają nas co do ilości znaków. Często płacimy też za każdy z nich. Jak w takim przypadku zamieścić informację o przetwarzaniu przez nas danych potencjalnym kandydatom? Nie musimy tego robić. Wystarczy w ogłoszeniu zaprosić do kontaktu czy to osobistego, czy przez mail lub formularz na naszej stronie i dopiero wtedy przedstawić wymaganą klauzulę informacyjną. Oczywiście dla każdej formy kontaktu sposób jej przedstawienia będzie inny. Dla maili zwykle w odpowiedzi, dla kontaktu osobistego podczas pierwszego spotkania, a dla formularza na stronie odpowiedni checkbox.

Copyrights© 2017 Fundacja TAURI      Polityka prywatności       Oświadczenie o dostępności
Realizacja: BeOnlineStudio.pl