W toku prac infolinii Urzędu Ochrony Danych Osobowych, z której może skorzystać każdy obywatel, często zadawane są podobne pytania, co oznacza, że dotyczą one wyjątkowo istotnych spraw. Poniżej prezentujemy wybór takich ważnych pytań i odpowiedzi udzielanych przez pracowników UODO.
Infolina UODO czynna jest w dni robocze w godzinach 10.00-14.00 pod numerem 606-950-000.
Pytanie:
Czy w sytuacji, gdy dane klienta przetwarzane są w związku z koniecznością realizacji zawartej z nim umowy, osobie tej zgodnie z RODO przysługuje prawo do sprzeciwu? Czy konieczne jest informowanie o tym prawie w takiej sytuacji?
Odpowiedź:
Nie, w przypadku, gdy dane osoby przetwarzane są w związku z realizacją umowy (art. 6 ust. 1 lit. b RODO), prawo sprzeciwu nie przysługuje. W takiej sytuacji realizując obowiązek informacyjny nie informujemy o tym uprawnieniu.
Uzasadnienie:
Zgodnie z art. 21 RODO prawo do wniesienia sprzeciwu przysługuje osobie w sytuacji, gdy jej dane przetwarzane są:
- w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO),
- do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub osobę trzecią (art. 6 ust. 1 lit. f RODO),
- na potrzeby marketingu bezpośredniego (art. 6 ust. 1 lit. f w zw. z motywem 47 RODO).
- do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO (chyba, że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym).
Z przywołanej regulacji wynika, że prawo do sprzeciwu przysługuje wyłącznie we wskazanych wyżej przypadkach.
Z zaprezentowanego w pytaniu stanu faktycznego wynika, że administrator przetwarza dane swojego klienta w związku z realizacją zawartej umowy, a zatem na podstawie art. 6 ust. 1 lit. b RODO. W takiej sytuacji zgodnie z przywołaną powyżej argumentacją klientowi nie będzie przysługiwać prawo do wniesienia sprzeciwu.
W ramach obowiązku informacyjnego nie podaje się informacji o prawie do sprzeciwu, jeśli prawo to w istocie nie przysługuje.
Pytanie:
Czy aby przetwarzać dane dłużnika w celu dochodzenia roszczenia o zapłatę wierzyciel musi legitymować się wyrokiem sądu?
Odpowiedź:
Nie, wierzyciel nie potrzebuje wyroku sądu, żeby legalnie przetwarzać dane osobowe dłużnika w celu dochodzenia roszczeń.
Uzasadnienie:
Do przetwarzania przez wierzyciela danych dłużnika w celu dochodzenia roszczeń zastosowanie ma art. 6 ust 1 lit. f RODO. Zgodnie z tym przepisem przetwarzanie danych jest dopuszczalne, jeśli służy realizacji prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Tym prawnie usprawiedliwionym celem może być np. dochodzenie roszczeń przysługujących wobec dłużnika. Przetwarzanie danych w takim przypadku jest prawnie dopuszczalne i nie jest do tego potrzebna zgoda dłużnika. Nie jest przy tym konieczne, żeby wierzyciel dysponował tytułem wykonawczym przeciwko dłużnikowi, którego dane chce przetwarzać.
Pytanie:
Czy niedopełnienie przez administratora danych osobowych obowiązku informacyjnego względem podmiotu danych (z naruszeniem art. 13 lub 14 RODO) należy kwalifikować jako naruszenie ochrony danych osobowych, o którym należy zawiadomić Prezesa UODO (w trybie art. 33 RODO?)
Odpowiedź:
Nie, ww. naruszenia przepisów RODO nie podlegają zgłoszeniu do Prezesa UODO w trybie ww. art. 33 tego rozporządzenia.
Uzasadnienie:
Zgodnie z dyspozycją art. 33 ust. 1 RODO zgłaszaniu organowi nadzorczemu podlegają naruszenia ochrony danych osobowych chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W świetle natomiast definicji zawartej w art. 4 pkt 12 RODO "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W przywołanej definicji nie mieści się zatem przypadek naruszenia przez ADO przepisów dotyczących realizacji obowiązku informacyjnego.
Pytanie:
Pracodawca przelewa wynagrodzenie pracowników na wskazane przez nich numery rachunków bankowych. Czy w opisanej sytuacji pracodawca potrzebuje zgody pracowników na wykorzystanie podanych przez nich numerów rachunków bankowych w ww. celu skoro wypłata wynagrodzenia jest jego obowiązkiem prawnym?
Odpowiedź:
Nie, ponieważ w opisanej sytuacji pracodawca wykorzystuje wskazane przez pracowników numery rachunków bankowych do realizacji nałożonego na niego obowiązku prawnego tj. obowiązku terminowego wypłacania wynagrodzenia.
Uzasadnienie:
Zgodnie z art. 94 pkt 5 Kodeksu pracy jednym z podstawowych obowiązków pracodawcy jest terminowa wypłata wynagrodzenia w prawidłowej wysokości. Z kolei zgodnie z art. 86 § 3 tej ustawy wynagrodzenie dla pracownika powinno być wypłacone na wskazany przez niego numer rachunku bankowego. Pracownik może jednak złożyć wniosek w postaci papierowej lub elektronicznej o wypłatę wynagrodzenia do rąk własnych, a pracodawca jest takim wnioskiem związany. Jak wynika z przytoczonej regulacji w obecnym stanie prawnym zasadą jest wypłata wynagrodzenia na rachunek bankowy wskazany przez pracownika. Wypłacając wynagrodzenie na wskazany przez pracownika numer rachunku bankowego pracodawca nie potrzebuje zatem dodatkowo zgody tego pracownika na przetwarzanie danych osobowych w postaci numeru rachunku bankowego, ponieważ realizuje obowiązek prawny wynikający z ww. przepisów prawa pracy. Spełniona zatem zostanie przesłanka legalnego przetwarzania danych osobowych wynikająca z art. 6 ust. 1 lit c. RODO, zgodnie z która przetwarzanie danych osobowych jest dopuszczalne, jeśli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Pytanie
Czy monitoring w zakładzie pracy może obejmować oprócz nagrywania obrazu także nagrywanie dźwięku?
Odpowiedź
Nie, monitoring w zakładzie pracy nie może służyć do nagrywania dźwięku.
Uzasadnienie
Zgodnie z treścią art. 222 § 1 Kodeksu pracy monitoring należy traktować jako rodzaj nadzoru (nad terenem zakładu pracy lub terenem wokół zakładu) realizowanego za pomocą środków umożliwiających (co ważne w analizowanej sprawie) rejestrację obrazu. Ustawodawca w przywołanym przepisie nie przewidział zatem możliwości nagrywania dźwięku za pomocą monitoringu. Tym samym (a contrario) uznać należy, że nie ma podstawy prawnej żeby za pomocą monitoringu nagrywać dźwięk.
Pytanie
Czy uczeń po uzyskaniu pełnoletności może cofnąć zgodę na publikację przez szkołę jego wizerunku udzieloną przez rodzica (opiekuna prawnego).
Odpowiedź:
Tak. Wraz z osiągnieciem pełnoletności uczeń może wycofać zgodę na publikację jego wizerunku udzieloną przez rodzica.
Uzasadnienie
W pierwszej kolejności warto zauważyć, że zgodę na przetwarzanie danych osobowych (w tym publikację wizerunku) niepełnoletniego ucznia wyrażają, co do zasady, jego rodzice (opiekunowie prawni). Osoby te mogą także taką zgodę w każdym czasie wycofać. Natomiast po uzyskaniu przez ucznia pełnoletności może on samodzielnie zgodę wyrażoną przez jego rodzica (opiekuna prawnego) wycofać (czy też zmienić) stosownie do dyspozycji art. 7 ust. 3 RODO. Obowiązkiem administratora danych osobowych będzie poinformowanie pełnoletniego ucznia o takim uprawnieniu. Na taką konieczność zwraca uwagę Europejska Rada Ochrony Danych w swoich wytycznych 05/2020 dotyczących zgody na mocy RODO, przyjętych 4.05.2020 r. (pkt 149).
Pytanie
Jakie są podstawy prawne przetwarzania danych osobowych uczniów za pomocą monitoringu wizyjnego w szkole publicznej?
Odpowiedź
W sytuacji wskazanej w pytaniu jako podstawę prawną przetwarzania danych osobowych należy wskazać art. 6 ust. 1 lit. e RODO (zatem wykonanie zadania realizowanego w interesie publicznym przez administratora) w zw. z odpowiednimi przepisami Prawa oświatowego tj. art. 108a w zw. z art. 68 ust. 1 pkt 6.
Uzasadnienie
Wprowadzenie monitoringu w szkole publicznej wymaga spełnienia przez administratora warunków i obowiązków przewidzianych zarówno przez RODO jak i ustawę Prawo oświatowe. Jednym z takich wymogów jest konieczność wskazania podstawy prawnej przetwarzania danych co jest kluczowe z perspektywy legalności monitorowania. Prawo Oświatowe wskazuje ustawowe cele monitorowania w szkole, które może być wykorzystane wyłącznie do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia (art. 108a ust. 1). Mieści się to w zakresie kompetencji dyrektora szkoły określonych w art 68 ust. 1 pkt 6 tej ustawy – a zatem zapewniania bezpieczeństwa nauczycielom i uczniom. Wobec powyższego jako podstawę prawną przewarzania danych za pomocą monitoringu należy przyjąć art. 6 ust. 1 lit. e RODO, czyli wykonanie zadania realizowanego w interesie publicznym w powiązaniu z ww. przywołanymi przepisami oświatowymi.
Pytanie
Czy w związku z monitoringiem wizyjnym w szkole trzeba wprowadzić oznaczenia monitorowanych obszarów (np. za pomocą znaków graficznych)?
Odpowiedź
Tak, ponieważ taki wymóg wynika z przepisów oświatowych.
Uzasadnienie
Wymóg właściwego oznaczenia monitorowanego terenu i pomieszczeń wynika wprost z przepisów oświatowych, chodzi przede wszystkim o art. 108a ust. 8 Prawa Oświatowego stanowiący o odpowiedzialności dyrekcji szkoły za odpowiednie oznaczenie pomieszczeń i terenu w zasięgu monitoringu w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych. Co istotne zgodnie z przywołanym przepisem ten wymóg należy zrealizować przed uruchomieniem monitoringu.
Warto również odnotować, że zgodnie z RODO informacje, których udziela się osobom zgodnie art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.
Odnośnie bardziej szczegółowych informacji związanych z właściwym oznakowaniem monitorowanych obszarów warto sięgnąć do wskazówek Urzędu Ochrony Danych Osobowych dotyczących monitoringu wizyjnego, a także do Wytycznych EROD 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo.
Pytanie
Czy policjant ma prawo kontrolować dowód tożsamości osoby fizycznej podczas wykonywania czynności służbowych?
Odpowiedź:
Tak, policja dysponuje takim uprawnieniem.
Uzasadnienie
Zgodnie z przepisami ustawy o Policji (art.15), funkcjonariusze mogą ustalać tożsamość na podstawie dokumentów, czyli posiadają uprawnienia do wglądu w dokumenty tożsamości, takie jak dowód osobisty, paszport czy dokument elektroniczny (np. w aplikacji MObywatel)
Przepis ten znajduje zastosowanie m.in. w okolicznościach::
- podejrzenia popełnienia przestępstwa lub wykroczenia,
- zagrożenia bezpieczeństwa publicznego,
- realizacji ustawowych zadań Policji.
Policjant powinien przy tym działać z możliwie największym poszanowaniem prywatności osoby legitymowanej, podać podstawę prawną i okazać legitymację służbową na żądanie.
Pytanie
Czy utrata telefonu zawierającego dane osobowe podczas pobytu za granicą stanowi naruszenie ochrony danych osobowych, które należy zgłosić do miejscowego organu nadzorczego zgodnie z art. 33 RODO, a jeśli tak - czy osoba fizyczna ma prawo dokonać takiego zgłoszenia jako administrator danych?
Odpowiedź:
Tak - jeżeli osoba fizyczna działa jako administrator danych (np. prowadzi działalność gospodarczą lub przetwarza dane w celach zawodowych), ma obowiązek zgłoszenia naruszenia do właściwego organu nadzorczego, także za granicą, jeśli incydent dotyczy osób z danego państwa członkowskiego.
Uzasadnienie
Zgodnie z art. 33 ust. 1 RODO, administrator danych osobowych ma obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego właściwego zgodnie z art. 55, jeżeli istnieje ryzko naruszenia praw lub wolności osób fizycznych. Utrata telefonu zawierającego dane osobowe - zwłaszcza jeśli nie był odpowiednio zabezpieczony - może prowadzić do nieuprawnionego dostępu, co spełnia definicję naruszenia z art. 4 pkt 12 RODO.W przypadku transgranicznego incydentu administrator powinien ustalić, czy właściwym organem nadzorczym jest ten w kraju, w którym doszło do naruszenia, czy też organ wiodący zgodnie z art. 56 RODO. Jeżeli dane dotyczą osób z danego państwa członkowskiego, zgłoszenie powinno zostać dokonane do tamtejszego organu nadzorczego. Co istotne, osoba fizyczna może pełnić funkcję administratora danych, jeśli samodzielnie decyduje o celach i sposobach przetwarzania danych, np. jako przedsiębiorca, freelancer, czy organizator wydarzenia. W takim przypadku ponosi pełną odpowiedzialność za zgodność z RODO, w tym za zgłaszanie naruszeń.
Administrator powinien dokonać oceny ryzyka i zgłosić naruszenie bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia. W przypadku utraty telefonu za granicą, zgłoszenie może wymagać kontaktu z zagranicznym organem nadzorczym, którego dane kontaktowe są dostępne na stronie Europejskiej Rady Ochrony Danych.
Pytanie
Czy osoba, której dane osobowe są przetwarzane, ma prawo do otrzymania od administratora kopii swoich danych osobowych?
Odpowiedź:
Tak. Każda osoba, której dane dotyczą, ma prawo uzyskać od administratora kopię danych osobowych podlegających przetwarzaniu.
Uzasadnienie
Na mocy przepisów RODO osoba fizyczna może żądać od administratora potwierdzenia, czy jej dane są przetwarzane, oraz dostępu do tych danych. Administrator ma obowiązek dostarczenia kopii danych osobowych podlegających przetwarzaniu.
Prawo do kopii służy skutecznemu wykonywaniu dalszych uprawnień przewidzianych w RODO – w szczególności prawa do sprostowania, usunięcia danych, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania oraz prawa do dochodzenia odszkodowania za naruszenia ochrony danych osobowych.
Administrator powinien przekazać kopię w formacie elektronicznym powszechnie używanym, o ile osoba zwróci się o nie w takiej formie i nie zażąda innej formy ich przekazania. Pierwsze udostępnienie powinno nastąpić nieodpłatnie. W innych przypadkach administrator może pobrać opłatę w tzw. rozsądnej wysokości.
Powyższe uprawnienia określone są w art. 15 RODO.
Jednak prawo do uzyskania kopii danych osobowych nie może niekorzystnie wpływać na prawa i wolności innych. Podkreślić też należy, że pojęcie kopii danych nie oznacza kopii dokumentów, czy też innych ich nośników (np. nagrań).
Pytanie
Czy videowizjer, czyli elektroniczny wizjer drzwiowy z funkcją rejestracji i archiwizacji obrazu, podlega regulacjom RODO?
Odpowiedź:
Tak. Videowizjer stanowi system monitoringu wizyjnego przetwarzający dane osobowe.
Uzasadnienie
Videowizjer, rejestrujący obraz i umożliwiający jego późniejsze odtworzenie, wypełnia kryteria systemu monitoringu wizyjnego. W konsekwencji administrator instalujący videowizjer zobowiązany jest do realizacji obowiązków informacyjnych, ograniczenia celu i minimalizacji danych zgodnie z zasadami RODO, a co najważniejsze, do wykazania podstawy prawnej do przetwarzania za jego pomocą danych osobowych.
Ze względu na inwazyjny charakter monitoringu wizyjnego Prezes UODO zaleca, by każdy przypadek korzystania z videowizjera był szczegółowo uzasadniony analizą alternatywnych, mniej ingerujących rozwiązań.