lip 132018 
W prostych słowach o…
O RODO
W uzupełnieniu wcześniejszego wpisu dotyczącego obowiązków informacyjnych wynikających z RODO, przygotowałem przykładową klauzulę informacyjną, którą przedsiębiorca powinien wręczyć osobie fizycznej, z którą związał się umową np. na wykonanie usługi. W poniższym wzorze dane osobowe nie są przetwarzane na podstawie zgody, ale dla możliwości zawarcia i wykonania umowy. Jest to ogólny wzór i nie uwzględnia specyfiki konkretnego rodzaju umowy, ani też specyfiki działalności konkretnego przedsiębiorcy. Dlatego zawsze przed sporządzeniem konkretnej już klauzuli pożądane byłoby skonsultowanie jej ostatecznej treści z prawnikiem. Przestrzegam przed prostym kopiowaniem wszelkiego rodzaju szablonów bez dostosowywania ich do konkretnych okoliczności. Przedsiębiorca może bowiem być zobligowany do ustanowienia inspektora danych osobowych i wówczas musi podać jego dane w klauzuli. Może też profilować dane, przetwarzać je automatycznie, o czym również należy poinformować. Dlatego bardzo istotne jest sprawdzenie czy dana klauzula spełnia wszystkie wymogi art. 13 RODO. Wzór nie obejmuje zgody na wykorzystanie np. wizerunku osoby, który mogliby wykorzystać przedsiębiorcy prowadzący np. warsztaty, w celu promocji swojej działalności i zamieszczający zdjęcia z warsztatów. Wykorzystanie wizerunku wymaga uzyskania osobnej zgody, a to należałoby uwzględnić w klauzuli informacyjnej.
PRZYKŁADOWA KLAUZULA INFORMACYJNA RODO:
zgodnie z art. 13 ust. 1-2 RODO Informuje, że:
1. Administratorem Danych Osobowych jest …………………………………………………...
2. Dane kontaktowe Administratora to ………………………………………………………….
3. Administrator przetwarza Dane Osobowe w następujących celach:
- umożliwienie zawarcia i wykonania umowy w przedmiocie …………………………………… (art. 6 ust 1 litera b RODO),
-przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, w szczególności względem organów państwa, w tym podatkowych (art. 6 ust 1 litera c RODO),
- związanych z dochodzeniem ewentualnych roszczeń, odszkodowań (art. 6 ust 1 litera f – prawnie uzasadniony interes).
- marketingu bezpośredniego – przez czas trwania umowy art. 6 ust 1 litera f – prawnie uzasadniony interes).
4. Podanie Danych Osobowych jest dobrowolne, ale konieczne dla zawarcia i wykonania umowy. Nie podanie danych będzie skutkowało brakiem zawarcia umowy.
5. Dane jakie Administrator przetwarza to …………………….………………………………………..
6. Dane Osobowe nie są profilowane, ani przetwarzane w zautomatyzowany sposób.
7. Dane Osobowe nie są przekazywane do państw trzecich.
8. Odbiorcami Danych Osobowych mogą być dostawcy usług kadrowych, księgowych, usług IT, organy lub podmioty publiczne uprawnione do uzyskania danych na podstawie obowiązujących przepisów prawa.
9. Dane Osobowe będą przetwarzane przez czas wykonywania/obowiązywania umowy, a nadto przez okres, na który przepisy prawa mogą obligować Administratora do przetwarzania danych przez określony czas, jak również do czasu upływu okresu przedawnienia ewentualnych roszczeń zarówno Administratora jak i Państwa, w zależności co nastąpi później.
10. Osoba fizyczna, której dane są przetwarzane ma następujące prawa:
- do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą,
-ich sprostowania,
- usunięcia (na warunkach określonych w art. 17 RODO),
- ograniczenia przetwarzania,
- prawie do wniesienia sprzeciwu wobec przetwarzania,
-do przenoszenia danych,
- jeżeli przetwarzanie odbywa się na podstawie zgody, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
11. Ma Pan/Pani prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uważa Pan, że przetwarzanie Państwa danych osobowych narusza przepisy prawa.
www.adwokatwitanski.pl
Inne wpisy dotyczące RODO:
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=3
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=5
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=6
cze 112018
Obowiązek informacyjny RODO
Wraz z przykładami.
Klauzule informacyjne RODO.
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą (art. 13 RODO):
Administrator podczas pozyskiwania danych osobowych podaje osobie fizycznej wszystkie następujące informacje:
1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; - REGULUJE TO ART. 37 RODO
3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; np. „Informuje, że celem przetwarzania jest możliwość przeprowadzenia procesu reklamacyjnego, w szczególności zapewnienie udzielenia odpowiedzi na reklamację w terminie wymaganym ustawowo, Administrator przetwarza dane osobowe, bowiem jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze, w szczególności obowiązków nałożonych w art. 561 i następne kodeksu cywilnego (art. 6 ust 1 litera c RODO)” ALBO „celem przetwarzania jest prowadzenie dokumentacji pracowniczej, zgodnie z art. 94 kodeksu pracy”;
4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; np. „przetwarzamy dane osobowe w celach marketingu bezpośredniego przez czas trwania umowy (prawnie uzasadniony interes)”;
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; np. „Informujemy, że Państwa dane przekazujemy podmiotom prowadzącym dla nas usługi kadrowo – rachunkowe; podmiotom świadczącym usługi kurierskie lub pocztowe”;
6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; np. „Informujemy, że dane będą przechowywane przez czas wymagany ustawowo tj. ………..”, „przez czas wymagany do wykonania umowy i upływu przedawnienia roszczeń dotyczących umowy”, „przez okres 50 lat od ustania zatrudnienia”.
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
10. informacje o prawie wniesienia skargi do organu nadzorczego;
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; np. „Informujemy, że podanie danych jest warunkiem zawarcia umowy, a konsekwencją niepodania danych jest niemożność zawarcia umowy”.
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
13. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji,
Artykuł 7 RODO stanowi ponadto, że jeżeli przetwarzanie odbywa się na podstawie zgody, to należy poinformować o prawie do jej wycofania, zanim dana osoba wyrazi zgodę, a art. 21 RODO zawiera szczegółowe regulacje dotyczące informowania o prawie do sprzeciwu.
Adwokat Łukasz Witański
Adwokat Katowice Łukasz Witański - oficjalna strona
Inne wpisy dotyczące RODO
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=5
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=8
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=3
cze 102018
Kiedy przedsiębiorca może przetwarzać dane osobowe (zwykłe dane) osób fizycznych?
Przede wszystkim dane osobowe osoby fizycznej muszą być przetwarzane zgodnie z prawem (art. 5 RODO). Oznacza to, że przedsiębiorca może przetwarzać dane osobowe tylko, gdy istnieje podstawa prawna przetwarzania. Podstawy prawne przetwarzania określa samo RODO, w artykule 6 RODO wprowadziło katalog podstaw prawnych przetwarzania danych osobowych. Katalog ten ma charakter zamknięty.
Zatem zgodnie z art. 6 RODO Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Przedsiębiorca może zatem w najbardziej typowych sytuacjach przetwarzać zwykłe dane osobowe, gdy:
1. Uzyskał zgodę osoby fizycznej na przetwarzanie (warunki wyrażenia zgody –art. 7. RODO);
2. Przetwarzanie jest niezbędne do wykonania umowy lub chęć zawarcia umowy wyraża osoba fizyczna i np. podaje dane w celu przygotowania umowy;
3. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze –np. wystawianie faktur i innych dokumentów księgowych, rozpatrywanie reklamacji, gdyż odpowiednie przepisy wprowadzają obowiązek udzielenia odpowiedzi na reklamację i jej termin (przepisy o rękojmi art. 561 i następne k.c.);
NATOMIAST POZOSTAŁE PRZYPADKI, KIEDY PRZEDSIĘBIORCA MOŻE PRZETAWARZAĆ DANE OSOBOWE TO:
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej – w tym przypadku z pomocą przychodzą motywy RODO tj. motyw 46 - przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.
5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – również w tym zakresie RODO w motywach (motyw 45) wprowadza pewne reguły interpretacyjne i przykład : „Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej”;
6. prawnie uzasadniony interes – do tej przesłanki odnoszą się zwłaszcza motywy 47 i 49, a także motyw 50 (in fine). Jako przykłady należy wskazać zapobieganie oszustwom, przetwarzanie danych osobowych do celów marketingu bezpośredniego, zapewnienia odporności sieci lub systemu informacyjnego, wskazanie przez administratora ewentualnych czynów zabronionych czy zagrożeń dla bezpieczeństwa publicznego oraz przesłanie odpowiednich danych osobowych właściwemu organowi. Nie wykluczam, że przesłanka ta może być wykorzystywana także przez przedsiębiorców przy dochodzeniu roszczeń, zwłaszcza sprzedaży wierzytelności.
Adwokat Łukasz Witański
www.adwokatwitanski.pl
inne wpisy o tematyce RODO :
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=3
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=6
http://adwokatwitanski.pl/blog/index.php?controller=post&action=view&id_post=8
cze 072018
RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE)*, zawierające 99 artykułów, poprzedzonych 173 uwagami, stosowane bezpośrednio także w Polsce, które reguluje m.in. obowiązki przedsiębiorców przetwarzających dane osobowe osób fizycznych, jednocześnie statuując uprawnienie osób fizycznych wobec przedsiębiorców przetwarzających ich dane osobowe. I tak:
1. RODO chroni dane osobowe osób fizycznych, obowiązki nakłada głównie na przedsiębiorców.
2. RODO wprowadza pojęcie Administratora, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 RODO), administratorem jest więc głównie przedsiębiorca, który zbiera dane i decyduje o tym jak je wykorzystywać.
3. RODO wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich (art. 99 RODO).
4. RODO wprowadza szeroką definicję danych osobowych (art. 4 RODO) i ich przetwarzania (art. 4 RODO), zatem bezpieczniej przyjąć generalną zasadę, że RODO ma zastosowanie do każdego przedsiębiorcy, czy to spółek czy osób fizycznych, które zbierają od osób fizycznych jakiekolwiek dane osobowe.
5. RODO nie dotyczy więc tylko sklepów internetowych, operatorów telekomunikacyjnych, szpitali i poradni, ale także zwykłych sklepów, które przyjmują np. reklamację, zbierając imię i nazwisko klienta, żeby zawiadomić go o sposobie rozpatrzenia reklamacji; usługobiorców, którzy zbierają dane osobowe potrzebne do wykonania umowy; firm, które wykonują jakiekolwiek usługi w domu klienta, potrzebują zatem jego adresu; przedsiębiorcy zatrudniający chociażby jednego pracownika, czy dysponujący danymi osób świadczących usługi na podstawie umów cywilnoprawnych.
6. Czyli jeżeli jesteś przedsiębiorcą to z bardzo dużym prawdopodobieństwem możesz założyć, że RODO dotyczy także Ciebie.
7. Prowadzisz szkolenia, kursy, treningi i zbierasz dane, zwłaszcza dzieci, a także ich wizerunki- też obowiązuje Cię RODO.
8. Jakie obowiązki nakłada RODO? Przede wszystkim informacyjne – art. 13 RODO i obowiązki zawiązane z zapewnieniem bezpieczeństwa przetwarzania, w tym przechowywania danych – art. 32 RODO, są to typowe obowiązki dla mniejszych przedsiębiorców, większe podmioty, lub podmioty przetwarzające określone kategorie danych mają obowiązków więcej, np. prowadzenie rejestrów czynności przetwarzania, dokonania oceny skutków dla ochrony danych, czy wyznaczenie inspektora ochrony danych.
9. Każdy administrator ma też obowiązek zgłaszania naruszeń organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 RODO).
* ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Adwokat Łukasz Witański
Klauzula informacyjna RODO wzór
Adwokat Katowice - Łukasz Witański strona główna
