Czy uczeń po uzyskaniu pełnoletności może cofnąć zgodę na publikację przez szkołę jego wizerunku, udzieloną przez rodzica (opiekuna prawnego)?

Tak, uczeń może wycofać ww. zgodę.

Zgodę na przetwarzanie danych osobowych (w tym publikację wizerunku) niepełnoletniego ucznia wyrażają, co do zasady, jego rodzice (opiekunowie prawni). Osoby te mogą także taką zgodę w każdym czasie wycofać. Natomiast po uzyskaniu pełnoletności przez ucznia może on samodzielnie zgodę wyrażoną przez rodzica (opiekuna prawnego) wycofać lub zmienić stosownie do dyspozycji art. 7 ust. 3 RODO.

Obowiązkiem ADO będzie poinformowanie pełnoletniego ucznia o takim uprawnieniu. Na taką konieczność zwraca uwagę Grupa Robocza 29 (obecnie Europejskie Rada Ochrony Danych (EROD) w swoich wytycznych dotyczących zgody na mocy RODO (s. 30).

Ponadto przypominamy, że na stronie Biura Rzecznika Praw Dziecka zostały zamieszczone wzory zgód na wykorzystanie wizerunku dziecka i przetwarzania jego danych osobowych: https://brpd.gov.pl/2020/02/03/rodzicu-zobacz-jakie-oswiadczenie-zlozyc-w-sprawie-wizerunku-i-danych-dziecka-lub-dodatkowych-zajec/

* "Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679", przyjęte dnia 28 listopada 2017 r., ostatnio zmienione i przyjęte dnia 10 kwietnia 2018 r., Grupa Robocza Art. 29.

Źródło: https://twitter.com/UODOgov_pl/status/1347528434189271040/photo/1

31-01-2021

Materiały

• Instrukcja - Centralny Rejestr Orzeczeń Dyscyplinarnych
  
• Wniosek o udzielenie informacji z Centralnego Rejestru Orzeczeń Dyscyplinarnych
• Wniosek o udzielenie informacji z Centralnego Rejestru Orzeczeń Dyscyplinarnych
  

Źródło: https://www.gov.pl/web/edukacja-i-nauka/centralny-rejestr-orzeczen-dyscyplinarnych

31-01-2021

Podanie imienia i nazwiska inspektora ochrony danych na stronie internetowej podmiotu, który go wyznaczył, jest obowiązkowe. Obowiązek ten wynika wprost z przepisów prawa.

Zgodnie z art. 37 ust. 7 RODO, administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych. Sposób realizacji tego obowiązku doprecyzowany został w art. 11 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z nim, podmiot, który wyznaczył IOD, udostępnia dane inspektora w zakresie: imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu inspektora, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Jednocześnie podmiot, który wyznaczył inspektora ochrony danych powinien zadbać o to, by informacja o danych kontaktowych IOD była łatwo dostępna dla osób, których dane dotyczą, np. w zakładce: „Kontakt”, „Inspektor ochrony danych”, „RODO” czy „Ochrona danych osobowych”. Za niewłaściwe należy natomiast uznać publikowanie tych danych w miejscach wymagających długiego przeszukiwania, takich jak „Aktualności” czy „Polityka prywatności”.

Źródło: https://uodo.gov.pl/pl/223/1783

10-12-2020

Pełnienie funkcji publicznej niesie ze sobą określone konskwencje prawne, a w przypadku ochrony danych osobowych pewne ograniczenia tej ochrony.

Z jednej strony mamy obowiązek archiwizowania dokumentacji wytworzonej w związku z pełnieniem przez daną osobę w przeszłości funkcji dyrektora szkoły oraz udostępniania informacji publicznej dotyczącej działalności danej osoby jako pełniącej funkcję organu szkoły (art. 4 ust. 1 pkt 5 i art. 6 ustawy o dostępie do informacji publicznej). W orzecznictwie ugruntowany jest pogląd, że zaprzestanie pełnienia funkcji publicznej nie oznacza, że informacje z okresu, gdy funkcja ta była pełniona, przestają podlegać udostępnieniu z ograniczeniem prywatności jednostki, bowiem wciąż będą one udostępniane osobom zainteresowanym w odniesieniu do okresu pełnienia funkcji  (wyrok Naczelnego Sądu Administracyjnego z 8 lipca 2015 r., sygn. akt I OSK 1530/14). Z kolei wizerunek osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych – np. dyrektora szkoły pobierającego wynagrodzenie ze środków publicznych oraz wizerunek osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza może być rozpowszechniany (czyli przetwarzany) bez zezwolenia tej osoby (art. 81 ust. 2 ustawy o prawie autorskim i prawach pokrewnych). 

Natomiast z drugiej strony, ogólną zasadą RODO jest zakaz przechowywania danych w nieskończoność oraz nie są wyraźnie wyłączone uprawnienia osoby obecnie lub w przeszłości pełniącej funkcję publiczną do korzystania m.in. z uprawnienia do bycia zapomnianym, o którym mowa w art. 17 ust. 1 RODO, czyli do usunięcia jej danych osobowych i zaprzestania ich przetwarzania. Problematyczna jest natomiast kwestia, z uwagi na konieczność pogodzenia uprawnień publicznych oraz prywatnych, od jakiego momentu z takich uprawnień były dyrektor korzysta. Obowiązujące przepisy nie określają, przez jak długi okres dla celów archiwizacyjnych i związanych z dostępem do informacji publicznej mogą być przechowywane dane osoby, która pełniła funkcję publiczną. W związku z tym obecnie zagadnienia te regulują samodzielnie administratorzy danych, którzy indywidualnie ustalają terminy przetwarzania danych w celach archiwizacyjnych i związanych z dostępem do informacji publicznej – art. 30 ust. 1 lit. f RODO. Przed upływem tego terminu, szkoła jako administrator może odmówić usunięcia danych byłego dyrektora, z uwagi na potrzebę ich dalszego przetwarzania. Usunięciu podlegają natomiast dane byłego dyrektora, które nie służą takim celom lub upłynął czas, przez jaki administrator może lub musi przechowywać określone dane, jak ma to np. miejsce w odniesieniu do przechowywania przez 6 lat oświadczeń majątkowych w BIP (art. 24h ust. 6 ustawy o samorządzie gminnym)

Podstawa prawna:

• art. 4 ust. 1 pkt 5 i art. 6 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429)
• art. 81 ust. 2 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2019 r. poz. 1231)

Dariusz Skrzyński

09-10-2019

Wielokrotnie zdarza się, że dyrektor kontaktuje się z pracownikiem na jego prywatny numer telefonu. Czy pracodawca może wykorzystywać do kontaktu prywatny numer telefonu pracownika? Czy może żądać podania jego prywatnego numeru telefonu? 

Kodeks pracy dokładnie wskazuje dane, jakie pracodawca może żądać od pracownika. Zgodnie z zapisami art. 22¹ § 1:

    § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

(§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.)

Ponadto § 3. określa, że pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie.

W katalogu tych danych nie został ujęty wprost prywatny numer telefonu pracownika, zostały wskazane dane do kontaktu – może to być adres e-mail, adres do korespondencji. Zatem jeśli pracownik poda inne dane kontaktowe niż prywatny numer telefonu, to jego podanie będzie miało charakter dobrowolny, a zgodnie z art.. 22^1a zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22¹ § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.)) – dalej zwanej RODO.

Zatem, aby pracodawca mógł kontaktować się z pracownikiem wykorzystując jego prywatny numer telefonu musi uzyskać zgodę pracownika – na piśmie – gdyż zgodnie z art. 7 RODO ust. 1. jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Warto także, aby taka zgoda wskazywała zasady kontaktu. Co więcej kontakt powinien następować w godzinach pracy.

Jeśli natomiast pracownik nie wyrazi zgody na podanie prywatnego numeru kontaktowego lub wycofa zgodę, to zgodnie z  art. 22^1a § 2 nie może być to podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę, a dla pracodawcy oznacza zakaz kontaktowania się w ten sposób z pracownikiem (z wyjątkiem sytuacji naglących, które mogą powodować zagrożenie mienia i interesów pracodawcy).

Opracowane na podstawie ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)podpisanej w dn. 3 kwietnia br. przez Prezydenta, zmieniającej brzmienie art. Art. 22¹i wprowadzającej art. 22^1ado Kodeksu pracy.

Podstawa prawna:

Art. 22¹i 22^1austawy dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2018 r. poz. 917 z późn. zm.).

Beata Linowska

02-04-2019

W obecnym stanie prawnym pracodawcy nie mogą samodzielnie prowadzić kontroli stanu trzeźwości pracowników. Przesądza o tym brzmienie art. 17 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi.

Dodany art. 22^1b Kodeksu pracy, który obowiązuje od 4 maja 2019 r. określa, że tzw. dane szczególnych kategorii, w tym o zdrowiu, pracodawca może przetwarzać, gdy pracownik bądź kandydat do pracy wyrazi na to zgodę i z własnej inicjatywy przekaże takie dane. W opinii UODO wiedza o tym, czy ktoś jest nietrzeźwy jest informacją o stanie zdrowia. Przywołany przepis Kodeksu pracy jednak w ogóle nie ma związku z badaniem pracowników alkomatem przez pracodawcę.

Kiedy można przeprowadzić badanie trzeźwości?

Okoliczności i zasady, na jakich można przeprowadzić badanie trzeźwości pracownika określa art. 17 ustawy z dnia 26 października 1982 r. o wychowaniu w trzeźwościi przeciwdziałaniu alkoholizmowi.

Zgodnie z przywołanym przepisem stan trzeźwości pracowników można więc sprawdzać, ale tylko wtedy,gdy łącznie są spełnione dwa warunki:

• badanie odbywa się na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej lub pracownika, co do którego zachodzi uzasadnione podejrzenie, że spożywał alkohol w czasie pracy lub stawił się do niej w stanie po użyciu alkoholu,
• badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego (np. policja), zaś zabiegu pobrania krwi dokonuje osoba posiadająca odpowiednie kwalifikacje zawodowe, co ma zapewnić wiarygodność wyniku badania.

Zgodnie z ustawą o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi dopiero, gdy zachodzi uzasadnione podejrzenie, że pracownik stawił się do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie wykonywania obowiązków służbowych, to kierownik zakładu pracy lub osoba przez niego upoważniona mają obowiązek niedopuszczenia takiej osoby do pracy. W takiej sytuacji pracodawca w ogóle nie musi np. wzywać policji, by zbadała alkomatem pracownika. Samo uzasadnione podejrzenie, że dana osoba jest pod wpływem alkoholu jest wystarczające, by nie dopuścić jej do pracy. Dlatego też badanie alkomatem może być zainicjowane przez pracownika np. w odpowiedzi na zarzut, że jest pod wpływem.

Brzmienie ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi wyklucza, więc wyrywkowe czy prewencyjne badania pracowników alkomatem.

Brak podstawy prawnej do samodzielnego przeprowadzenia badania

W opinii organu ds. ochrony danych osobowych nie ma więc podstawy prawnej, która umożliwiłaby pracodawcom samodzielną kontrolę pracowników alkomatem. Według UODO nie można więc traktować badania stanu trzeźwości pracowników m.in. jako:

• formy monitorowania pracy pracowników, o której mowa w art. 22 (3) § 4 Kodeksu pracy,
• działania niezbędnego dla zapewnienia ogółowi pracowników bezpiecznych lub higienicznych warunków pracy,
• usprawiedliwionego ze względu na uzasadniony interes pracodawcy.

Źródło:

https://uodo.gov.pl/pl/138/1076

27-06-2019

Wykonując funkcję inspektora ochrony danych często spotykam się z wątpliwościami  pracodawców dotyczącymi konieczności zawierania przez nich jako administratorów  umów powierzenia przetwarzania danych osobowych z takim podmiotami, jak GUS, ZUS, urząd skarbowy czy bank. Czy takie umowy powinny być zawierane? 

W przypadkach odnoszących się do przekazywania przez administratora, jako pracodawcy danych osobowych takim podmiotom, jak GUS, ZUS, czy urząd skarbowy mamy do czynienia z udostępnieniem danych na podstawie przepisów prawa, nie zaś z powierzeniem przetwarzania. Na administratorze, jako pracodawcy ciąży bowiem obowiązek przekazywania szeregu danych osobowych pracowników w związku z realizacją ustawowych zadań. Do obowiązków tych należą m.in.:

1. wobec ZUS – obowiązki wynikające z art. 49 ust. 2 i 4 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych na podstawie wzoru określonego w rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów,
2. wobec Urzędu Skarbowego - obowiązki w zakresie odprowadzania podatku dochodowego od osób fizycznych na podstawie ustawy z 26 lipca 1991 r. o podatku dochodowym od osób fizycznych,
3. wobec GUS - obowiązek wynikający z art. 237 § 3 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy na podstawie rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 7 stycznia 2009 r. w sprawie statystycznej karty wypadku przy pracy.

Odnosząc się do kwestii umów zawieranych przez pracodawcę z bankiem, to w tym przypadku również nie możemy mówić o powierzeniu przetwarzania danych. Pracodawca zawiera z bankiem umowę o świadczenie usług bankowych i to na jej podstawie udostępnia dane swoich pracowników w celu dokonania przelewów wynagrodzeń. Bank realizuje zadania wynikające z przepisów ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe i w momencie otrzymania od pracodawcy danych pracowników w celu świadczenia usług bankowych, staje się administratorem tych danych.

Źródło:

https://uodo.gov.pl/pl/225/878

Do UODO trafilło pytanie dotyczące przetwarzania danych osobowych rodziców i ich przetwarzania przez radę rodziców:

"Odpowiadając na pytanie jednego z inspektorów UODO stwierdził, że administratorem danych osobowych rodziców uczestniczących w radzie rodziców, jak i danych przetwarzanych na jej posiedzeniach jest szkoła, w ramach której ta rada działa, nie zaś sama rada rodziców.

Rada rodziców jest wewnętrznym organem szkoły, który reprezentuje ogół rodziców uczniów. Jej działanie regulują art. 83 i 84 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz.U. z 2018 r., poz. 996). Tworzenie rady rodziców jest obligatoryjne (za wyjątkiem szkół i placówek artystycznych określonych w rozporządzeniu ministra właściwego do spraw kultury i ochrony dziedzictwa narodowego). Rada rodziców posiada określone w ustawach samodzielne kompetencje, jednak mimo to nie można jej uznać za administratora danych osobowych, bowiem jest to organ wewnętrzny szkoły o charakterze społecznym, działający w ramach jej struktury organizacyjnej, nie posiadający osobowości prawnej. Rada rodziców nie ma również charakteru jednostki organizacyjnej i nie została wyposażona w przymiot zdolności prawnej (vide wyrok Naczelnego Sądu Administracyjnego z 22 czerwca 2017 r., sygn. akt I OSK 2505/16). Co więcej zgodnie z ugruntowanym orzecznictwem rada rodziców nie ma zdolności sądowej, tzn. nie jest osobą fizyczną, osoba prawną, nie jest także jednostką organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną. Nie jest również organizacją społeczną w rozumieniu art. 33 § 2 k.p.a. uprawnioną do występowania w interesie rodziców uczniów (vide postanowienia Wojewódzkiego Sądu Administracyjnego w Warszawie z 8 czerwca 2016 r., sygn. II SA WA 754/16; postanowienie Naczelnego Sądu Administracyjnego z 14 czerwca 2012 r., sygn. I OZ 421/12; postanowienie Naczelnego Sądu Administracyjnego z 16 lutego 2009 r., sygn. I OSK 121/09)."

Źródło:

uodo.gov.pl

17-06-2019

W wielu szkołach, przedszkolach od lat wiszą tablice, na których upamiętnieni zostali byli uczniowie, wychowankowie – przez zdjęcia opisane imionami i nazwiskami.

Czy pod rządami RODO dalej mogą wisieć?

Obowiązujące przepisy prawa nie przyznają uprawnienia jednostce oświatowej do publikowania zdjęć swoich absolwentów. A wizerunek jest chroniony nie tylko przez przepisy o ochronie danych osobowych (art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), który określa możliwości przetwarzania danych osobowych), ale także przez ustawę o prawie autorskim i prawach pokrewnych (Dz. U. z 2018 r. poz. 1191 z późn. zm.), która w art. 81 określa warunki legalności rozpowszechniania wizerunku. 

Co zatem będzie decydowało o możliwości tworzenia takich miejsc pamięci?

Po pierwsze wyraźna zgoda każdej z osób lub jej przedstawiciela ustawowego (gdy absolwent nie jest jeszcze pełnoletni). Dotyczy to przede wszystkim zdjęć indywidualnych oraz grupowych prezentujących daną osobę na tle innych.

Po drugie spełnienie warunków określonych w art. 81 ustawy o prawie autorskim i prawach pokrewnych. tzn. bez zgody można rozpowszechniać wizerunek osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych,  a także jeśli wizerunek osoby stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

Po trzecie, gdy niemożliwa jest identyfikacja osób znajdujących się na zdjęciu. Bez zgody absolwentów można publikować zdjęcia zbiorowe (np. klasowe), które nie eksponują danej osoby, gdy dodatkowo nie towarzyszy im opis (w szczególności lista imion i nazwisk) lub inne elementy pozwalające na zidentyfikowanie tych osób lub zdjęcia są rozpowszechniane po upływie czasu, gdy na podstawie fotografii (oraz ewentualnie towarzyszących informacji) będzie niemożliwa identyfikacja wizerunku danej osoby z uwagi na jej wiek oraz zmianę wyglądu.

Podstawy prawne:

Art. 81. ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2018 r. poz. 1191 z późn. zm.).

Więcej w e-szkoleniu "RODO w codziennej pracy nauczyciela - cz. III" 

Beata Linowska

26-02-2019

Prezes Urzędu Ochrony Danych Osobowych wydał decyzję w sprawie przetwarzania przez szkołę danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej.

Szkoła Podstawowa nr 2 w Gdańsku korzysta z czytnika biometrycznego przy wejściu do stołówki szkolnej, który identyfikuje dzieci w celu weryfikacji uiszczenia opłaty za posiłek.

Szkoła pozyskuje te dane i przetwarza je na podstawie pisemnej zgody rodziców lub opiekunów prawnych. To rozwiązanie funkcjonuje w placówce od 1 kwietnia 2015 r. W roku szkolnym 2019/2020 z czytnika biometrycznego korzysta 680 uczniów, a czterech uczniów z alternatywnego systemu identyfikacji.

Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym Prezes UODO stwierdził, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując tę usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Prezes UODO wskazał, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych, jakie szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania. 

W takiej sytuacji zgoda Rodzica nie może być przesłanką legalizującą przetwarzanie danych biometrycznych, ponieważ zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne przesłanki na to przetwarzanie. Uznanie faktu wyrażenia zgody przez rodziców dzieci jako okoliczności legalizującej pobranie od dzieci innych danych niż wskazane przez polskiego prawodawcę, stanowiłoby obejście tych przepisów. 

Wobec powyższego uznać należy, że Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej. W związku z tym, z uwagi na to, że Szkoła nie legitymuje się żadną z przesłanek określonych w art. 9 ust. 2 RODO, takie postępowanie prowadzi do naruszenia art. 9 ust. 1 RODO oraz zasady minimalizacji danych ustanowionej w RODO, zgodnie z którą administrator danych czyli w tym przypadku Szkoła, nie powinna pozyskiwać danych ponad miarę, lecz jedynie te, które są niezbędne dla zrealizowania celów. Należy zauważyć, iż przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. 

Za to naruszenie została nałożona administracyjna kara pieniężna na Szkołę. Co więcej Prezes UODO nakazał jej usunięcie danych osobowych przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci oraz zaprzestanie dalszego zbierania danych osobowych.

W ukaranej Szkole Podstawowej nr 2, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. W ocenie Prezesa UODO wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne.

Prezes UODO uzasadniając swoja decyzję podkreślił, że dane osobowe dzieci wymagaja szczególnej ochrony, a w omawianej sprawie przetwarzane dane są szczególnych kategorii. System biometryczny identyfikuje cechy, które są niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemożliwe do zmiany. Z uwagi na unikalność i stałość danych biometrycznych, przekładających się na ich niezmienności w czasie, wykorzystywanie danych biometrycznych powinno odbywać się z ostrożnością i rozwagą. Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych.

Na podstawie: https://uodo.gov.pl/pl/138/1453

Beata Linowska

06-03-2020

Art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 określa podmioty, które obowiązane są prowadzić taki rejestr,  a także warunki, które mają wpływ na konieczność realizowania takiego obowiązku.

Zgodnie z nim taki obowiązek spoczywa na przedsiębiorcach lub podmiotach zatrudniających co najmniej 250 osób, ale także rejestr czynności przetwarzania należy prowadzić (art. 30 ust. 5 RODO), gdy przetwarzanie danych osobowych:

• może powodować ryzyko naruszenia prawa lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego,
• obejmuje szczególne kategorie danych osobowych, o których mówi art. 9 ust. 1 RODO,
• obejmuje dane dotyczące wyroków skazujących i czynów zabronionych.

Taki rejestr należy prowadzić, gdy zachodzi przynajmniej jeden z ww. warunków, ale tylko dla tych wskazanych rodzajów przetwarzania.

Zatem szkoła, jak i każda placówka oświatowa obowiązana jest prowadzić rejestry czynności przetwarzania, gdyż posiada dane, które przetwarza w sposób ciągły (dane pracowników, uczniów), a także przetwarza dane szczególnej kategorii (dane kandydatów do szkoły).

Art. 30 ust. 1 wskazuje składowe takiego rejestru. Rejestr czynności przetwarzania powinien zawierać:

imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz inspektora ochrony danych;

1. cele przetwarzania;
2. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
3. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
4. jeżeli jest to możliwe, planowany termin usunięcia poszczególnych kategorii danych;
5. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Na stronach Urzędu Ochrony Danych Osobowych został zamieszczony przykładowy rejestru czynności dla szkół (www.uodo.gov.pl). Przedstawiony wzór nie jest jedynym właściwym, niemniej jednak wskazuje pozycje jakie powinny się w nim znaleźć.

W załączeniu zamieszczamy proponowany przez nas sposób prowadzenia takiego rejestru czynności.

Podstawy prawne:

• Art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób   
  fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Beata Linowska

26-02-2019

Czy pracodawca powinien spełnić obowiązek informacyjny wobec członków rodziny pracownika korzystającego z zakładowego funduszu świadczeń socjalnych (ZFŚS) w przypadku, gdy będą przetwarzane dane dotyczące jego sytuacji życiowej, rodzinnej (w tym dane członków jego rodziny)? Czy może w tym przypadku będzie miało zastosowanie zwolnienie z tego obowiązku określone w art. 14 ust. 5 lit. c. RODO?

Artykuł 8 ust. 1 ustawy o zakładowym funduszu świadczeń socjalnych zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. Oznacza to, że pracodawca musi poznać i ocenić sytuację życiową, a także materialną wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Dlatego w celu realizacji tych potrzeb musi przetwarzać dane osobowe pracownika i członków jego rodziny. Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu (art. 8 ust. 1a ww. ustawy). 

Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych (motyw 60). Dlatego art. 13 i 14 RODO nakładają na administratorów obowiązek informowania osób, których dane przetwarzają, o fakcie i okolicznościach przetwarzania danych. Jednocześnie jednak w ww. artykułach przewidziane zostały wyjątki od tego obowiązku.

Zgodnie z art. 14 ust. 5 lit. c. RODO, administrator jest zwolniony ze spełniania obowiązku informacyjnego w sytuacji, gdy pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem (przepisami prawa UE lub prawa państwa członkowskiego, któremu podlega administrator), przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Art. 8 ustawy o zakładowym funduszu świadczeń socjalnych określa zasady pozyskiwania danych członków rodziny pracownika w związku z korzystaniem przez niego z ZFŚS. Wobec tego w takim przypadku można zasadnie rozważać skorzystanie ze wskazanego w art. 14 ust. 5 lit. c RODO zwolnienia.

Więcej informacji na temat ZFŚS uzsykają Państwo na szkoleniu: Zakładowy Fundusz Świadczeń Socjalnych – najczęstsze wątpliwości, na które serdecznie zapraszamy.

Źródło: https://uodo.gov.pl/pl/225/1734

30-10-2020

Gminny ośrodek pomocy społecznej na podstawie ustawy z dnia 12 marca 2004 r. o pomocy społecznej oraz uchwały nr 140 z dnia 15 października 2018 r. w sprawie ustanowienia wieloletniego rządowego programu „Posiłek w szkole i w domu” na lata 2019-2023 realizuje zadanie jakim jest dożywanie dzieci w szkołach. W związku z ww. zadaniem pomiędzy GOPS, a szkołą dochodzi do wymiany danych osobowych uczniów, którzy potrzebują takiej formy wsparcia. Czy w ww. przypadku będzie dochodziło do powierzenia danych osobowych uczniów między tymi podmiotami oraz konieczności zawarcia umowy, czy raczej będzie tu miało miejsce udostępnienie danych osobowych?

W ww. przypadku mamy do czynienia z udostępnieniem danych osobowych na podstawie przepisów prawa.

Kwestie realizacji zadania, jakim jest dożywianie dzieci w szkołach reguluje ustawa z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2018 r., poz. 1508) oraz uchwała nr 140 z dnia 15 października 2018 r. w sprawie ustanowienia wieloletniego rządowego programu „Posiłek w szkole i w domu” na lata 2019-2023.

Zgodnie z art. 17 ust. 1 pkt 14 ustawy o pomocy społecznej do zadań własnych gminy o charakterze obowiązkowym należy m.in. dożywianie dzieci. Natomiast program „Posiłek w szkole i w domu” na lata 2019-2023 jest programem wspierania finansowego gmin w zakresie realizacji powyższego zadania. Koordynatorem programu na szczeblu gminy jest wójt, burmistrz, prezydent miasta, zaś sam program w gminie realizują samorządowe jednostki organizacyjne pomocy społecznej, przy udziale właściwych jednostek organizacyjnych gminy.

Na podstawie powyższego programu gmina realizuje pomoc w dożywianiu dzieci poprzez ośrodki pomocy społecznej, przy udziale właściwych jednostek organizacyjnych gminy tj. szkół oraz przedszkoli (pkt IV.1.1 programu). Stosownie, zaś do pkt III.1.2 ww. programu w szczególnie uzasadnionych przypadkach, gdy uczeń albo dziecko nie spełnia wymagań, o których mowa w programie, a wyraża chęć zjedzenia posiłku dyrektor szkoły lub przedszkola informuje ośrodek pomocy społecznej, właściwy ze względu na miejsce zamieszkania ucznia lub dziecka, o potrzebie udzielenia pomocy w formie posiłku.

Zgodnie z wyżej wskazanymi przepisami, aby możliwe było zrealizowanie celu, jakim jest dożywianie dzieci niezbędne jest przetwarzanie określonych danych osobowych przez ośrodek pomocy społecznej oraz szkołę.

Wobec powyższego ww. sytuacji nie zachodzi konieczność zawarcia między tymi podmiotami umowy powierzenia przetwarzania danych. Mamy tu bowiem do czynienia z udostępnieniem danych na podstawie przepisów prawa. Każdy z tych podmiotów jest odrębnym administratorem względem przetwarzanych przez siebie danych i przetwarza te dane w oparciu o obowiązujące przepisy prawa.

Źródło:

https://uodo.gov.pl/pl/225/1170

Zgodnie z przepisami RODO konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator danych osobowych zleca przetwarzanie danych innemu podmiotowi (podmiotowi przetwarzającemu). Wówczas podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Kwestie związane z praktyczną nauką zawodu uregulowane zostały w ustawie Prawo oświatowe oraz w rozporządzeniach wykonawczych. Zgodnie z przepisami rozporządzenia Ministra Edukacji Narodowej z dnia 22 lutego 2019 r. w sprawie praktycznej nauki zawodu, uczniowie i słuchacze (dalej: uczniowie) publicznych szkół ponadgimnazjalnych prowadzących kształcenie zawodowe uczestniczą w zajęciach praktycznych bądź praktykach zawodowych. Mogą być one organizowane na podstawie umowy zawartej przez szkołę z pracodawcą w przypadku ucznia lub na podstawie umowy zawartej z pracodawcą przez młodocianego pracownika.

W przypadku organizacji praktycznej nauki zawodu przez szkołę przekazuje ona na mocy umowy dane osobowe uczniów podmiotowi, z którym zawarła umowę o realizacje takiej nauki. Podmiot ten z chwilą otrzymania danych ucznia staje się ich administratorem. Zwrócić bowiem należy uwagę, że zarówno szkoła, jak i pracodawca mają określone w ww. rozporządzeniu role i zadania związane z organizacją praktycznej nauki zawodu. Pracodawca zapewnia możliwość faktycznego odbywania praktyk, zapoznając praktykanta m.in. z organizacją pracy, regulaminem oraz dyscypliną pracy. Może też upoważnić go do przetwarzania danych osobowych, jeżeli będzie to niezbędne w  związku z odbywaniem praktyki.

Oznacza to, że zarówno szkoła, jak i podmiot przyjmujący uczniów na praktyczną naukę zawodu występują w roli odrębnych administratorów. Wobec powyższego – skoro nie występuje sytuacja określona w art. 28 RODO (tj. przetwarzanie danych w imieniu administratora) – nie ma obowiązku zawierania umowy powierzenia przetwarzania danych osobowych. W tej sytuacji mamy do czynienia z udostępnieniem danych osobowych niebędącym powierzeniem – podmiot, który otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego.

Źródło: https://uodo.gov.pl/pl/225/1465

W szkole nie funkcjonuje komisja socjalna, w związku z czym wnioski składane są bezpośrednio do dyrektora szkoły. Przedmiotowe wnioski zawierają dane osobowe osób uprawnionych (w tym pracowników i byłych pracowników) i ich rodzin. Przyznawanie świadczeń jest dokonywane w uzgodnieniu z organizacją związkową. Jednak mając na uwadze, iż w procesie przyznawania świadczeń z ZFŚS dochodzi do przetwarzania danych również tych osób, które nie są członkami związku zawodowego, zachodzi wątpliwość, czy na gruncie przywołanego powyżej przepisu, dopuszczalne jest udostępnienie danych osobowych organizacji związkowej.

Jeżeli przepisy prawa – w tym ustawy o związkach zawodowych – nie wskazują wprost na kompetencje związków zawodowych w określonej materii, to takiego uprawnienia nie można domniemywać. Ponadto związek zawodowy nie może żądać udostępnienia danych, gdy jest w stanie zrealizować swoje uprawnienia w inny sposób.

Zgodnie z art. 28 ust. 1 pkt 1-4 ustawy o związkach zawodowych, pracodawca jest obowiązany udzielić na wniosek zakładowej organizacji związkowej informacji niezbędnych do prowadzenia działalności związkowej, w szczególności informacji dotyczących: warunków pracy i zasad wynagradzania; działalności i sytuacji ekonomicznej pracodawcy związanych z zatrudnieniem oraz przewidywanych w tym zakresie zmian; stanu, struktury i przewidywanych zmian zatrudnienia oraz działań mających na celu utrzymanie poziomu zatrudnienia; działań, które mogą powodować istotne zmiany w organizacji pracy lub podstawach zatrudnienia.

Warto wskazać na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (II SA/Wa 1217/15), w uzasadnieniu którego wskazano, że: „przepisy art. 10, art. 251 ust. 2, art. 28 i art. 30 ustawy o związkach zawodowych (...) uprawniają ten Związek (jak i każdy związek zawodowy) do posiadania informacji o wykonywaniu przez członków obowiązku, jakim jest uiszczanie składek związkowych. Prawa tego nie można ograniczyć (...) jedynie do informacji zbiorczej o wpływie łącznej kwoty w danym miesiącu z tytułu składek członkowskich. Bowiem prawo Związku to nie tylko prawo do wiedzy o ogólnym bilansie wpływu składek na konto Związku w danym miesiącu,(...), ale także prawo do informacji, którzy konkretnie członkowie obowiązek uregulowania składki wykonali. (...) praktyka (...) przedstawienia imiennego zestawiania wpłat w odnotowanym przy nazwisku członka wysokością wpłaty w niczym nie narusza tajemnicy uzyskiwanych przez tego członka wynagrodzenia, albowiem wysokość składki członkowskiej nie jest pochodną od wysokości wynagrodzenia, ale jest stała (10 złotych od członka – pracownika i 1 zł od członka – emeryta). "

Ponadto istotne wskazówki znajdują się w Uchwale Sądu Najwyższego 7 sędziów z dnia 16 lipca 1993 r. I PZP 28/93. W orzeczeniu tym wskazano, że zawarte w art. 8, 23 ust. 1 i art. 26 pkt 3 ustawy z dnia 23 maja 1991 r. o związkach zawodowych uprawnienie do kontrolowania przez związki zawodowe przestrzegania prawa pracy oznacza także uprawnienie do kontrolowania wysokości wynagrodzeń pracowników; nie oznacza natomiast uprawnienia do żądania od pracodawcy udzielenia informacji o wysokości wynagrodzenia pracownika bez jego zgody. Ponadto podkreślono, że ujawnienie przez pracodawcę bez zgody pracownika wysokości jego wynagrodzenia za pracę może stanowić naruszenie dobra osobistego w rozumieniu art. 23 i 24 Kodeksu cywilnego.

Zgodnie z art. 27 ust. 1 ustawy o związkach zawodowych, ustalanie zasad wykorzystania zakładowego funduszu świadczeń socjalnych, w tym podział środków z tego funduszu na poszczególne cele i rodzaje działalności, ustala pracodawca w regulaminie uzgodnionym z zakładową organizacją związkową. Również przyznawanie świadczeń z funduszu, o którym mowa w ust. 1, jest dokonywane w uzgodnieniu z zakładową organizacją związkową (art. 27 ust. 2 ).

Ponadto art. 27 ust. 2 ustawy o związkach zawodowych nie stanowi podstawy prawnej do udostępnienia przez pracodawcę przedstawicielom związków zawodowych danych osobowych zawartych we wnioskach o przyznanie świadczeń z Zakładowego Funduszu Świadczeń Socjalnych.

Art. 8 ust. 2 ustawy o zakładowym funduszu świadczeń socjalnych stanowi, że zasady i warunki korzystania z usług i świadczeń finansowanych z ZFŚS, z uwzględnieniem ust. 1-1b, oraz zasady przeznaczania środków Funduszu na poszczególne cele i rodzaje działalności socjalnej określa pracodawca w regulaminie ustalanym zgodnie z art. 27 ust. 1 albo art. 30 ust. 6 ustawy z dnia 23 maja 1991 r. o związkach zawodowych. Z przepisem tym koresponduje art. 27 ust. 1 ustawy z dnia 23 maja 1991 r. o związkach zawodowych, zgodnie z którym ustalanie zasad wykorzystania zakładowego funduszu świadczeń socjalnych, w tym podział środków z tego funduszu na poszczególne cele i rodzaje działalności, ustala pracodawca w regulaminie uzgodnionym z zakładową organizacją związkową. Choć więc w art. 27 ust. 2 ustawy o związkach zawodowych mowa jest o uzgadnianiu z zakładową organizacją związkową przyznawania świadczeń z zakładowego funduszu świadczeń socjalnych, to uzgodnienia te obejmują konkretne mechanizmy i kryteria dystrybucji świadczeń socjalnych wśród pracowników. Nie wydaje się zatem uzasadniona taka wykładnia art. 27 ust. 2 ustawy o związkach zawodowych, zgodnie z którą należy uzgadniać z zakładową organizacją związkową każdą indywidualną kwestię dotyczącą świadczeń socjalnych przyznawanych konkretnemu pracownikowi {Daniel Książek [w:] Krzysztof Wojciech Baran (red.), Daniel Książek, Mariusz Lekston, Jan Piątkowski, Iwona Sierocka, Artur Tomanek Zbiorowe prawo zatrudnienia. Komentarz, komentarz do art. 27 ustawy o związkach zawodowych].

W przypadku, kiedy u pracodawcy funkcjonuje komisja socjalna, to „w celu prawidłowej realizacji zadań nałożonych na komisję, powinna ona mieć w swoim składzie pracodawcę lub jego przedstawiciela, przedstawiciela pracowników i przedstawiciela związków zawodowych." (Barbara Tomaszewska Ustawa o zakładowym funduszu świadczeń socjalnych. Komentarz, komentarz do art. 8). Jeżeli w komisji socjalnej rozpatrującej wnioski pracowników o przyznanie świadczeń z zakładowego funduszu świadczeń socjalnych zasiada przedstawiciel związków zawodowych, to przedstawiciel ten będzie miał dostęp do danych osobowych zawartych w poszczególnych wnioskach, jest jednak zobowiązany do zachowania tajemnicy (art. 8 ust. 1b zdanie drugie ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych).

Źródło: https://uodo.gov.pl/pl/225/1633

11-09-2020

Zgodnie z art. 30 ust. 1 i 2 RODO, do administratora należy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada, a do podmiotu przetwarzającego - prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. To te podmioty są odpowiedzialne za efektywne wykonanie tego obowiązku i pozostawanie w gotowości do wykazania tego na żądanie organów ochrony danych. Tym samym są one zobowiązane samodzielnie określić, kto konkretnie w danej organizacji ma wykonywać określone czynności składające się na spełnienie wymogów określonych w art. 30 RODO, uwzględniając konkretne okoliczności, m.in. takie jak wielkość i struktura organizacyjna danego podmiotu oraz skala przetwarzania danych. Zgodnie z jedną z najważniejszych zasad, na których oparta jest nowa regulacja – zasadą rozliczalności, odpowiedni dobór rozwiązań zapewniających zgodność z przepisami o ochronie danych osobowych należy do administratorów danych i podmiotów przetwarzających.

Ze względu na swoją zawartość i cele, rejestry czynności oraz rejestry kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów należy do administratorów i podmiotów przetwarzających, nie zaś do inspektora ochrony danych, niemniej trudno sobie wyobrazić, że inspektor ochrony danych - jako osoba dysponująca odpowiednią wiedzą i umiejętnościami w dziedzinie ochrony danych osobowych - nie będzie angażowała się w tworzenie i prowadzenie rejestrów, a następnie wykorzystywała ich w swojej pracy.

Inspektor ochrony danych jako fachowiec może wspomagać administratora w tworzeniu i prowadzeniu rejestrów na przykład poprzez zbieranie informacji w celu identyfikacji procesów przetwarzania.

Ponadto zgodnie z art. 38 RODO, administrator oraz podmiot przetwarzający zobowiązani są do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Udział w prowadzeniu wskazanego rejestru może w znacznym stopniu przyczyniać się do realizacji ww. obowiązku.

W Wytycznych Grupa Robocza Art. 29 wskazuje, że obowiązki prowadzenia rejestru są obowiązkami administratora i podmiotu przetwarzającego, jednak w praktyce często to inspektor ochrony danych tworzy i prowadzi powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji. Jak wskazano w Wytycznych: „Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich i przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE”.

Źródło:

• https://uodo.gov.pl/pl/225/659

Wyjaśnienia PUODO:

"Nasz pracodawca przyjął regulamin ZFŚS, który nie przewiduje powołania komisji socjalnej, a jedynie udział przedstawicieli związku zawodowego w procesie oceny wniosków o przyznanie świadczeń z tego funduszu. Zgodnie z tym regulaminem związki zawodowe pisemnie wyznaczają swojego przedstawiciela do udziału w opiniowaniu przyznawania indywidualnych świadczeń z ZFŚS. Zastanawiamy się (zwłaszcza w kontekście odpowiedzi na pytanie Czy związek zawodowy może mieć dostęp do danych z wniosków o przyznanie świadczeń z ZFŚS?), czy w takim przypadku regulamin ZFŚS jako źródło prawa pracy może być podstawą udostępnienia danych zawartych we wnioskach pracowników przedstawicielom związku zawodowego.

Ponadto zastanawiamy się, czy jeżeli wniosek o przyznanie świadczeń z ZFŚS składa emeryt, to czy wówczas przedstawiciel związku zawodowego powinien mieć do dostęp do danych zawartych we wniosku?

W myśl art. 8 ust. 2 ustawy o zakładowym funduszu świadczeń socjalnych zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu, z uwzględnieniem ust. 1-lb, oraz zasady przeznaczania środków Funduszu na poszczególne cele i rodzaje działalności socjalnej określa pracodawca w regulaminie ustalanym zgodnie z art. 27 ust. 1 albo art. 30 ust. 6 ustawy z dnia 23 maja 1991 r. o związkach zawodowych. Pracodawca, u którego nie działa zakładowa organizacja związkowa, uzgadnia regulamin z pracownikiem wybranym przez załogę do reprezentowania jej interesów.

Postanowienia regulaminu ZFŚS określają zatem, na jakich zasadach, komu i w jaki sposób (w tym: z udziałem jakich osób) przyznawane są świadczenia z zakładowego funduszu świadczeń socjalnych.

Wiele podmiotów w postanowieniach regulaminu ZFŚS określa zadania i skład komisji socjalnych. W skład tych komisji często wchodzą również przedstawiciele związku zawodowego. W jednym z komentarzy wskazano, iż w przypadku, kiedy u pracodawcy funkcjonuje komisja socjalna, to „w celu prawidłowej realizacji zadań nałożonych na komisję, powinna ona mieć w swoim składzie pracodawcę lub jego przedstawiciela, przedstawiciela pracowników i przedstawiciela związków zawodowych." (Barbara Tomaszewska, Ustawa o zakładowym funduszu świadczeń socjalnych. Komentarz, komentarz do art. 8). Prawidłowość wydawania środków z ZFŚS podlega bowiem kontroli związków zawodowych na podstawie art. 8 ust. 3 ustawy o zakładowym funduszu świadczeń socjalnych. Zgodnie z tym przepisem związkom zawodowym przysługuje prawo wystąpienia do sądu pracy z roszczeniem o zwrot ZFŚS środków wydatkowanych niezgodnie z przepisami ww. ustawy lub o przekazanie należnych środków na ten Fundusz.

W sytuacji opisanej w przedstawionym pytaniu, pracodawca nie przewidział w regulaminie ZFŚS powołania komisji socjalnej, ale przewidział inne, zgodne z przepisami prawa pracy rozwiązanie, czyli udział przedstawicieli związków zawodowych w opiniowaniu przyznawania indywidualnych świadczeń poszczególnym osobom. Jeżeli regulamin ZFŚS przewiduje, że związki zawodowe pisemnie wyznaczają do tego zadania swojego przedstawiciela, wówczas taki przedstawiciel może i powinien mieć dostęp do danych osobowych zawartych we wniosku o przyznanie świadczenia.

Dodać należy, że odnośnie do regulaminu ZFŚS jako źródła prawa pracy i kwestii, które mogą być w nim uregulowane wypowiadał się Sąd Najwyższy w wyroku z 6 grudnia 2001 r. (I PKN 355/00), w którym wskazał, że: :„Regulamin zakładowego funduszu świadczeń socjalnych jest (…) wewnątrzzakładowym aktem normatywnym, konkretyzującym zasady gospodarowania środkami funduszu, przeznaczania tych środków na różne rodzaje działalności socjalnej i przyznawania indywidualnych świadczeń socjalnych, w tym także o charakterze roszczeniowym.”

Dodać należy, że wyznaczony przez związek zawodowy przedstawiciel będzie również uprawniony do opiniowania wniosku o przyznanie świadczenia, który został złożony przez emeryta. Jak wskazuje art. 2 pkt 5 ustawy o zakładowym funduszu świadczeń socjalnych osobami uprawnionymi do korzystania z ZFŚS są pracownicy i ich rodziny, emeryci i renciści – byli pracownicy i ich rodziny oraz inne osoby, którym pracodawca przyznał, w regulaminie, o którym mowa w art. 8 ust. 2 ww. ustawy, prawo korzystania ze świadczeń socjalnych finansowanych z Funduszu."

Źródło: https://uodo.gov.pl/pl/225/2200

Jeśli są Państwo zainteresowani zapoznaniem się i zgłębieniem swojej wiedzy na temat przyznawania świadzceń socjalnych w grudniu zapraszamy na szkolenia "ZFŚS od A do Z". W programie:

• Regulamin działalności socjalnej (treść, jak unikać błędnych zapisów w regulaminie ZFŚS, uzgodnienia treści z organizacja związkową) – gotowy aktualny wzór ZFŚŚ.
• Administrowanie ZFŚS (komisja socjalna).
• Osoby uprawnione do korzystania ze środków ZFŚS.
• Rodzaje świadczeń finansowanych z ZFŚS.
• Przyznawanie świadczeń z ZFŚS (kryterium socjalne, uzgadnianie z organizacją związkową, procedura, ustalanie dochodu na potrzeby ZFŚŚ).
• Zasady różnicowania świadczeń ZFŚS.
• ZFŚS a kwestie podatkowe.
• Dokumentowanie prowadzonego funduszu.
• Ochrona danych osobowych a ZFŚS.
• Studium przypadków.
• Pytania i odpowiedzi.

3-11-2021

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak ma następować, to przetwarzanie danych osobowych w tym celu musi odpowiadać wymogom określonym w przepisach o ochronie danych osobowych.

Do Prezesa UODO napływają informacje o tym, że od osób wchodzących na teren firm prywatnych czy instytucji publicznych wymaga się podawania danych osobowych, nie realizując przy tym jednego z podstawowych obowiązków administratora, jakim jest informowanie osób o przetwarzaniu dotyczących ich danych. Tymczasem w takich sytuacjach osoby te powinny zostać poinformowane już na etapie gromadzenia danych m.in.:

• kto przetwarza ich dane osobowe (art. 13 ust. 1 pkt a RODO)
• w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 pkt c RODO)
• kim są odbiorcy danych osobowych (art. 13 ust. 1 pkt e RODO)
• jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 pkt a RODO)
• o prawie dostępu do danych (art. 13 ust. 2 pkt b RODO)
• o prawie do sprostowania danych (art. 13 ust. 2 pkt b RODO)
• o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 pkt b RODO)
• o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 pkt b RODO)
• o prawie do wniesienia skargi do UODO (art. 13 ust. 2 pkt d RODO).

Informacja (klauzula informacyjna) dotycząca spełnienia przez administratora obowiązku informacyjnego wobec osoby wchodzącej na teren budynku musi być czytelna i znajdować się w miejscu odbierania danych, tak żeby osoba mogła się bez problemu z nią zapoznać np. na kontuarze recepcyjnym lub tablicy umieszczonej tuż nad nim.

Prowadzenie ewidencji wejść i wyjść w celu np. zapewnienia bezpieczeństwa osób przebywających w budynku lub znajdującego się w budynku mienia może dotyczyć wielu administratorów, realizujących to zadanie na podstawie różnych przepisów prawa. W określonych przypadkach, przetwarzanie danych może być niezbędne w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Przykładem zadań, 
o których mowa w tej przesłance są zadania określone w ustawie o zasadach zarządzania mieniem państwowym, gdzie dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe (art. 5a ustawy o zasadach zarządzania mieniem państwowym). Innym przykładem może być ogólny  obowiązek zapewnienia bezpieczeństwa w szkole ( art. 1 pkt 14 ustawy prawo oświatowe), który wskazuje, iż system oświaty zapewnia utrzymywanie bezpiecznych i higienicznych warunków nauki, wychowania i opieki w szkołach i placówkach. W innych przypadkach, przetwarzanie danych może być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt. 1 ustawy o ochronie informacji niejawnych). Przepisy ustawy o ochronie osób i mienia dają podstawę pracownikom ochrony do przetwarzania danych osób wchodzących do budynku czy na teren przedsiębiorcy (art. 36 ust. 1 ustawy o ochronie osób i mienia). Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść może być także  prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Wprowadzenie ewidencji wejść i wyjść rodzi również po stronie administratora szereg innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator musi wypracować wewnętrzne procedury, w których precyzyjnie określi, w jaki sposób będzie on gromadzić, a następnie w jaki sposób i jak długo  - przechowywać dane osobowe w związku z przedmiotową ewidencją. Starannego przemyślenia wymaga również ustalenie, w jaki sposób dokonywana będzie weryfikacja tożsamości danej osoby, która zamierza wejść do określonej przestrzeni. Administrator zobowiązany jest precyzyjnie określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO). Pozyskiwanie danych osobowych przez zarządców czy właścicieli budynków, będzie działaniem dopuszczalnym, jeżeli będzie ograniczone do niezbędnych danych, tj. obejmujących imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą.

Administrator powinien każdorazowo pamiętać o tzw. zasadzie „ograniczenia przechowywania”, czyli gromadzeniu danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są zebrane (art. 5 ust. 1 lit. e RODO). Innymi słowy, w sytuacji zrealizowania przez administratora zamierzonego celu, dane powinny zostać usunięte.

Niezmiernie istotne jest również zagwarantowanie odpowiedniego zabezpieczenia danych osobowych zawartych w ewidencji, w tym przed dostępem osób nieupoważnionych przez administratora. Administrator lub podmiot przetwarzający zobowiązany jest bowiem - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia - wdrożyć i zapewnić skuteczne funkcjonowanie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa danym osobowym (art. 24 i art. 32 ust. 1 RODO). Innymi słowy administrator ma  obowiązek zorganizowania bezpieczeństwa procesu przetwarzania danych osobowych, w sposób odpowiadający obowiązującym przepisom w zakresie przetwarzania danych osobowych i  dokonania tego w taki sposób, który odpowiadał będzie zagrożeniom oraz kategoriom przetwarzanych danych.

Źródło:

https://uodo.gov.pl/pl/138/883

Szanowni Państwo,

zapraszamy na nasze nowe szkolenie, na którym przedstawimy zadania i obowiązki Inspektora Ochrony Danych, a także sposoby ich wykonywania i dokumentowania w placówce oświatowej.

Jednocześnie w związku z planowanymi kontrolami sektorowymi UODO konieczne jest przygotowanie się do nich. W trakcie szkolenia dowiedzą się Państwo czego się spodziewać, jakie działania podjąć i z jakich uprawnień korzystać podczas samej kontroli.

Więcej szczegółow odnośnie proponowanego szkolenia znajdą Państwo w zakładce Szkolenia.

Serdecznie zapraszamy