• Prawa konsumenta
  • Prawa pacjenta
  • Prawo rodzinne
  • Prawo cywilne
  • Prawo karne
  • Prawo administracyjne
Wiadomości Prawne
Wiadomości Prawne
  • Prawa konsumenta
  • Prawa pacjenta
  • Prawo rodzinne
  • Prawo cywilne
  • Prawo karne
  • Prawo administracyjne
RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?
Home
RODO

RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?

16 kwietnia, 2018 redakcja RODO 0 comments

Rozmowa Aliny Stahl, rzecznika prasowego Biura Informacji Kredytowej, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.

Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?

Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.

AS: Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?

MK: Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.

AS: Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?

MK: Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.

AS: Czyli ta odpowiedzialność będzie po obu stronach.

MK: Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.

AS: Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?

MK: To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.

AS: Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?

MK: Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.

AS: A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?

MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

AS: Dziękuję bardzo.

MK: Dziękuję bardzo.

Rozmowa Aliny Stahl, rzecznika prasowego Biura Informacji Kredytowej, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO

dostarczył InfoWire.pl

  • Tags
  • dane osobowe
  • ochrona danych osobowych
  • RODO
  • wdrożenie RODO
  • wprowadzenie RODO
Facebook Twitter Google+ LinkedIn Pinterest
Next article Od września pracę będą mogli podejmować już 15-latkowie
Previous article MPiT: elektronizacja zamówień publicznych

redakcja

Related Posts

Pracodawcy chcą wiedzieć, którzy pracownicy zostali zaszczepieni. Apelują do rządu o wprowadzenie odpowiednich regulacji Prawo pracy
13 sierpnia, 2021

Pracodawcy chcą wiedzieć, którzy pracownicy zostali zaszczepieni. Apelują do rządu o wprowadzenie odpowiednich regulacji

Nowe obowiązki dla użytkowników dronów. Powstanie spis urządzeń i ich właścicieli RODO
4 sierpnia, 2020

Nowe obowiązki dla użytkowników dronów. Powstanie spis urządzeń i ich właścicieli

Kara dla Morele.net za niewystarczające zabezpieczenia organizacyjne i techniczne RODO
23 września, 2019

Kara dla Morele.net za niewystarczające zabezpieczenia organizacyjne i techniczne

Leave a Reply Cancel reply

Gorące tematy
Biura podróży i ich klienci nie są chronieni w wystarczającym stopniu. Wątpliwości budzi długi okres na zwrot pieniędzy czy voucher zamiast gotówki

Biura podróży i ich klienci nie są chronieni w wystarczającym stopniu. Wątpliwości budzi długi okres na zwrot pieniędzy czy voucher zamiast gotówki

Pracodawcy chcą ustawy imigracyjnej. Miałaby ona ułatwić zatrudnianie cudzoziemców nie tylko ze Wschodu, lecz także z krajów arabskich

Pracodawcy chcą ustawy imigracyjnej. Miałaby ona ułatwić zatrudnianie cudzoziemców nie tylko ze Wschodu, lecz także z krajów arabskich

Od dziś farmaceuci zyskują nowe uprawnienia. Właścicieli aptek czeka szereg wyzwań

Od dziś farmaceuci zyskują nowe uprawnienia. Właścicieli aptek czeka szereg wyzwań

UOKiK: sprzedaż poza lokalem - jak nie dać się nabrać

UOKiK: sprzedaż poza lokalem - jak nie dać się nabrać

Spadek po krewnych w USA można odzyskać bez postępowania sądowego

Spadek po krewnych w USA można odzyskać bez postępowania sądowego

Polecamy
mar 17th 3:04 PM
Prawo

Rolnicy i rodziny wielodzietne muszą złożyć wniosek, żeby skorzystać z wyższych limitów zamrożenia cen prądu. Mają na to czas do 30 czerwca

mar 17th 11:04 AM
Prawo

Nowelizacja ustawy wiatrakowej wkrótce wejdzie w życie. Niekorzystne regulacje to niejedyny problem branży w Polsce

mar 17th 6:16 AM
Prawo

Jak bezpiecznie kupić używane auto

mar 10th 3:14 PM
Prawo podatkowe

Papierowe faktury przestaną istnieć

mar 10th 1:13 PM
Prawo gospodarcze

Trzy najważniejsze zmiany dla średnich i małych firm

mar 6th 9:40 PM
Prawo podatkowe

Rosja na czarnej liście rajów podatkowych

mar 6th 11:08 AM
Prawo cywilne

Zalania i pożary najczęstszą przyczyna szkód w mieszkaniach. Istotnie rosną wypłaty odszkodowań z tego tytułu

mar 4th 12:07 AM
Prawo gospodarcze

Co wybiorą firmy, raj podatkowy czy polską fundację rodzinną

mar 2nd 11:36 AM
Prawo

Kto może skorzystać z pomocy z Funduszu Wsparcia Kredytobiorców?

lut 28th 10:23 PM
Prawo

Mali przedsiębiorcy wpadają w spirale długu z powodu rosnących składek ZUS

lut 27th 11:27 AM
Prawo

W kwietniu i maju firmy poznają podatkowe skutki Polskiego Ładu

lut 27th 11:23 AM
Prawo

Ustawa wiatrakowa wraca do Sejmu. Branża apeluje o utrzymanie senackich poprawek w sprawie 500 metrów odległości wiatraków od zabudowań

lut 24th 10:23 PM
Prawo

Od października w Warszawie zacznie obowiązywać całkowity zakaz palenia węglem. W użyciu wciąż jest ponad 4 tys. kopciuchów

lut 21st 10:05 PM
Prawo cywilne

ZBP: Opinia Rzecznika TSUE niczego nie przesądza w sprawach frankowiczów. Widać w niej rozbieżności i sprzeczność z wcześniejszym orzecznictwem

lut 21st 11:18 AM
Prawo medyczne

Część chorych z rakiem prostaty pozostaje wykluczona z innowacyjnej terapii. Onkolodzy i pacjenci apelują o zmiany w programie lekowym

  • Strona Główna
  • Kontakt
  • Back to top
© BezMapy.pl Wszelkie prawa zastrzeżone.
Wykonanie: Podróże z Odyseuszami