• Prawa konsumenta
  • Prawa pacjenta
  • Prawo rodzinne
  • Prawo cywilne
  • Prawo karne
  • Prawo administracyjne
Wiadomości Prawne
Wiadomości Prawne
  • Prawa konsumenta
  • Prawa pacjenta
  • Prawo rodzinne
  • Prawo cywilne
  • Prawo karne
  • Prawo administracyjne
RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?
Home
RODO

RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?

16 kwietnia, 2018 redakcja RODO 0 comments

Rozmowa Aliny Stahl, rzecznika prasowego Biura Informacji Kredytowej, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.

Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?

Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.

AS: Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?

MK: Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.

AS: Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?

MK: Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.

AS: Czyli ta odpowiedzialność będzie po obu stronach.

MK: Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.

AS: Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?

MK: To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.

AS: Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?

MK: Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.

AS: A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?

MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

AS: Dziękuję bardzo.

MK: Dziękuję bardzo.

Rozmowa Aliny Stahl, rzecznika prasowego Biura Informacji Kredytowej, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO

dostarczył InfoWire.pl

  • Tags
  • dane osobowe
  • ochrona danych osobowych
  • RODO
  • wdrożenie RODO
  • wprowadzenie RODO
Facebook Twitter Google+ LinkedIn Pinterest
Next article Od września pracę będą mogli podejmować już 15-latkowie
Previous article MPiT: elektronizacja zamówień publicznych

redakcja

Related Posts

Pracodawcy chcą wiedzieć, którzy pracownicy zostali zaszczepieni. Apelują do rządu o wprowadzenie odpowiednich regulacji Prawo pracy
13 sierpnia, 2021

Pracodawcy chcą wiedzieć, którzy pracownicy zostali zaszczepieni. Apelują do rządu o wprowadzenie odpowiednich regulacji

Nowe obowiązki dla użytkowników dronów. Powstanie spis urządzeń i ich właścicieli RODO
4 sierpnia, 2020

Nowe obowiązki dla użytkowników dronów. Powstanie spis urządzeń i ich właścicieli

Kara dla Morele.net za niewystarczające zabezpieczenia organizacyjne i techniczne RODO
23 września, 2019

Kara dla Morele.net za niewystarczające zabezpieczenia organizacyjne i techniczne

Leave a Reply Cancel reply

Gorące tematy
Coraz mniej rąk do pracy, coraz niższe świadczenia emerytalne.

Coraz mniej rąk do pracy, coraz niższe świadczenia emerytalne.

PK: Tymczasowy areszt wobec mężczyzny podejrzanego o znęcanie się nad żoną oraz próbę zabicia psa ze szczególnym okrucieństwem

PK: Tymczasowy areszt wobec mężczyzny podejrzanego o znęcanie się nad żoną oraz próbę zabicia psa ze szczególnym okrucieństwem

Koniec z wieloletnimi umowami na czas określony

Europejscy rolnicy mają do 2030 roku ograniczyć używanie pestycydów o połowę. Według nich może to zagrozić pozycji europejskiej żywności

Europejscy rolnicy mają do 2030 roku ograniczyć używanie pestycydów o połowę. Według nich może to zagrozić pozycji europejskiej żywności

Prosta spółka akcyjna wcale nie taka prosta. Nowa forma działalności ma pobudzić działalność innowacyjnych firm, ale na początku może stwarzać problemy

Prosta spółka akcyjna wcale nie taka prosta. Nowa forma działalności ma pobudzić działalność innowacyjnych firm, ale na początku może stwarzać problemy

Polecamy
sie 1st 9:45 AM
Prawo podatkowe

Kary dla przedsiębiorców za kryptoreklamę będą wysokie

sie 1st 9:28 AM
Prawo pracy

Wkrótce w prawie pracy pojawią się dwa nowe urlopy. Korzystne zmiany czekają też pracujących rodziców

sie 1st 9:18 AM
Prawo cywilne

Wydawcy czekają na wdrożenie ustawy o prawie autorskim i prawach pokrewnych. Nowe przepisy mogą im przynieść kilkaset milionów złotych rocznie

sie 1st 8:34 AM
Prawo

Od 2025 roku największe firmy będą musiały raportować swój wpływ na środowisko czy lokalne społeczności. Wiele z nich ma problemy z przygotowaniem się do tego obowiązku

sie 1st 7:23 AM
Prawo medyczne

Usługa przeglądów lekowych może na stałe wejść do aptek. To szansa na ograniczenie często niepotrzebnie stosowanych leków

lip 29th 7:12 AM
Prawo

Dziś rusza możliwość składania wniosków o wakacje kredytowe. Prawdopodobnie skorzysta z niej 70–80 proc. kredytobiorców

lip 26th 9:36 AM
Prawo administracyjne

Tajemnica bankowa już nie obowiązuje, nowe ogromne uprawnienia dla organów skarbowych

lip 13th 9:34 AM
Prawo pracy

9 tygodni dodatkowego urlopu dla ojców

lip 8th 9:32 AM
Prawo gospodarcze

Kto powinien nadzorować spółki państwowe, publiczne i komunalne?

lip 1st 9:30 AM
Prawo

Jak uchronić firmę przed pułapkami rajów podatkowych

cze 10th 9:00 AM
Prawo medyczne

Powstanie system szybkich rekompensat dla pacjentów poszkodowanych w wyniku błędów lekarskich. Resort zdrowia pracuje nad nowym rozwiązaniem

cze 10th 8:54 AM
Prawo cywilne

Ubezpieczyciele z coraz większą ofertą dla rowerzystów i fanów hulajnóg. Potrącenie pieszego albo zarysowanie auta potrafi słono kosztować

cze 8th 10:18 AM
Prawo

Komu powinna opłacać się termomodernizacja mieszkań

cze 8th 10:17 AM
Prawo podatkowe

Nowa próba ograniczenia praw podatników

cze 2nd 12:16 PM
Prawo medyczne

W Polsce 10 tys. pacjentów korzysta z respiratorów w domach. Wkrótce mogą stracić taką możliwość i wrócić do szpitali

  • Strona Główna
  • Kontakt
  • Back to top
© BezMapy.pl Wszelkie prawa zastrzeżone.
Wykonanie: Podróże z Odyseuszami