News

Kto sprząta Twoje dane?

Kto sprząta Twoje dane?

W dobie RODO w każdej firmie czy instytucji zasada czystego biurka nabrała istotnego znaczenia. Jak zabezpieczyć dane osobowe, gdy wychodzisz ze swojego biura a inni tam właśnie swoją pracę rozpoczynają?

Zastanawiając się nad bezpieczeństwem informacji w kontekście serwisów sprzątających należałoby rozważyć kilka kwestii. Zasada czystego biurka, czyli nie zostawianie dokumentów na stanowisku pracy jest jedną kwestią, drugą trzymanie tych dokumentów w szafie zamkniętej na klucz. W roztargnieniu i natłoku obowiązków, na biurku mogą, chociaż nie powinny, pozostać dokumenty zawierające dane osobowe lub inne ważne dla organizacji informacje. Jednym z elementów zapewniającym bezpieczeństwo danych, będzie realizowanie dobrych praktyk w stosunku do pracowników serwisów sprzątających. W zasadzie możemy mówić tutaj o kategorii szerszej aniżeli tylko ochrona danych osobowych,  czyli o bezpieczeństwie informacji.

Dla przypomnienia, sam wgląd w dane osobowe to już ich przetwarzanie. Zdarza się, że osoba sprzątająca może mieć dostęp do danych osobowych wykonując swoje obowiązki służbowe, co oczywiście nie jest zamierzone. Szczególnie trzeba uważać na to, do czego ma dostęp personel sprzątający, zwłaszcza jeżeli sprzątanie odbywa się po godzinach pracy i bez nadzoru osób uprawnionych.

Osoba wykonująca sprzątanie co do zasady nie przetwarza danych osobowych, a co za tym idzie nie nadaje jej się upoważnienia do przetwarzania danych. Z tej samej przyczyny z serwisem sprzątającym nie sporządza się również umowy powierzenia przetwarzania danych osobowych. Zapisy dotyczące bezpieczeństwa informacji,  w tym bezpieczeństwo danych osobowych, dobrze jest umieścić w umowie z serwisem sprzątającym. Zapisy te powinny zawierać następujące informacje:

Pracownicy firm mogą przebywać w pomieszczeniach przetwarzania danych osobowych tylko i wyłącznie podczas wykonywania swojej pracy. Przebywanie w pomieszczeniach musi mieć związek z wykonywanymi zadaniami.

Pracownicy firmy Serwis Sprzątający ABC przebywając w pomieszczeniach przetwarzania danych zobowiązują się do:

  • zachowania w tajemnicy wszystkich informacji zdobytych podczas wykonywania pracy;
  • nieujawniania informacji na temat zabezpieczeń pomieszczeń jak i budynku;
  • nieujawniania informacji na temat przetwarzanych informacji w firmie;
  • niepozostawiania pomieszczeń/budynku otwartego po skończonej pracy;
  • zamykania pomieszczenia na klucz i okien za każdym razem gdy wychodzi z pokoju, który jest aktualnie sprzątany;
  • zamykanie drzwi wejściowych i balkonowych jeżeli sprzątanie odbywa się po godzinach pracy;
  • niepozostawiania budynku otwartego podczas przerw w pracy.

Właściciel firmy Serwis Sprzątający ABC zobowiązany jest do poinformowania wszystkich pracowników, którzy będą uczestniczyć w pracach o powyższych zasadach oraz o tym, że ich dane osobowe będą przetwarzane przez firmę XYZ w celu prowadzenia ewidencji osób wykonujących zadania wynikające z umowy. Przetwarzane będą tylko i wyłącznie dane osobowe niezbędne do identyfikacji osób i nie będą wykorzystywane do innych celów. Każdy pracownik będzie miał prawo wglądu do swoich danych i ich kontroli.

Do pracy mogą być dopuszczone tylko i wyłącznie osoby zgłoszone przez Serwis Sprzątający ABC.

Właściciel firmy XYZ lub osoba przez niego upoważniona (Inspektor Ochrony Danych) mają prawo skontrolować skład pracowników przebywających w firmie podczas wykonywania prac.

Gdy wymagana jest zmiana pracowników wykonujących pracę właściciel firm lub osoba przez niego upoważniona informuje upoważnioną osoba po stronie XYZ nie później niż dzień przed planowaną zmianą.

Stosując powyższe zapisy, poza formalnym zabezpieczaniem, organizacja w jasny i czytelny sposób przekazuje komunikat, że przykłada uwagę do bezpieczeństwa informacji i zależy jej, żeby pracownicy firmy, z którą podpisano umowę, również przywiązywali do tego uwagę. Zleceniobiorca powinien zaznajomić pracowników firmy sprzątającej z zasadami postępowania z danymi osobowymi oraz informacjami stanowiącymi tajemnicę przedsiębiorstwa.

Daleki jestem od stwierdzenia, że osoba z personelu sprzątającego nie potrafi zachować w tajemnicy danych, z którymi się zetknie lub każdego kto sprząta należy podejrzewać o szpiegostwo przemysłowe. Jednakże tego typu sytuacje się zdarzają, a przeciwdziałanie nim jest elementem uzupełniającym system ochrony danych osobowych oraz bezpieczeństwa informacji w organizacji. Znany jest przypadek organizacji, która zainwestowała sporo w nowoczesny system dostępu do pokoi. Każdy z pracowników miał kartę, która po zbliżeniu do czytnika przy drzwiach, otwierała tylko drzwi do tego pokoju, do którego dany pracownik miał dostęp. Z drugiej jednak strony, dla ułatwienia pracy serwisowi sprzątającemu, pracownicy serwisu mieli klucz uniwersalny otwierający wszystkie drzwi, także pomieszczenie kadr, archiwum i serwerowni. Zorganizowane było to w taki sposób, ponieważ sprzątanie odbywało się po godzinach pracy. W tym przypadku zabezpieczenia techniczne zdecydowanie i niepotrzebnie wyprzedziły zabezpieczenia organizacyjne.

Praktyką, która nie bez powodu jest często stosowana, jest podpisywanie przez pracowników firmy sprzątającej oświadczeń o zachowaniu poufności. Odpowiednie zapisy chronią organizację w przypadku np. ujawnienia danych osobowych, do których dana osoba miała dostęp. Skoro osoba zapoznała się z zasadami bezpieczeństwa i pisemnie potwierdza, że zachowa poufność, a doszłoby do tego rodzaju naruszenia, organizacja, jest w znacznie korzystniejszej sytuacji. Konstruując zapisy należy pamiętać by były tam zawarte poniższe informacje:

  • Zobowiązuję się do zachowania w tajemnicy wszelkich informacji udzielonych ustnie, pisemnie, drogą elektroniczną lub w inny dostępny sposób, w tym w szczególności danych osobowych, do których mogę mieć dostęp w trakcie wykonywania usługi / zatrudnienia u Administratora. 
  • Obowiązek ten jest nieograniczony w czasie. 
  • Świadomy praw i obowiązków oświadczam, że znane są mi przepisy: 
    • dotyczące ochrony danych osobowych – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku  
      z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  
    • 266 ustawy z dnia 6 czerwca 1997 r. Kodeks karny „Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” 
    • 267 ustawy z dnia 6 czerwca 1997 r. Kodeks karny „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” 

Zewnętrzne firmy sprzątające powinny zagwarantować, chociażby w umowie na usługę, że ich personel jest odpowiednio przeszkolony i zobowiązany do zachowania poufności. Jeżeli są to pracownicy organizacji, powinni przejść szkolenie w zakresie ochrony danych osobowych. Może nie w pełnej wersji jak to ma miejsce dla pracowników, których zadaniem jest przetwarzanie danych osobowych, ale w wersji uproszczonej, skupiającej się na kwestiach poufności. Następnie zalecam sporządzenie z takim pracownikiem klauzuli poufności.

Kolejną dobrą praktyką jest sporządzenie „zakresu czynności”, obejmujący usługę, gdzie wskazać można czy sprzątanie odbywa się po godzinach pracy, jakie czynności wykonuje się, w których pomieszczeniach oraz, patrząc z perspektywy bezpieczeństwa organizacji: obowiązek zamknięcia drzwi, okien i włączeniu alarmu po zakończonej pracy; albo konieczność zamykania organizacji od wewnątrz podczas sprzątania; otwieranie jedynie drzwi pomieszczenia, w którym w danej chwili odbywa się sprzątanie. Katalog zapisów, które można dodawać jest otwarty i powinien być dostosowany do potrzeb organizacji.

Przy tej okazji zachęcam również do zastanowienia się, do jakich pomieszczeń osoba sprzątająca powinna mieć dostęp tylko w towarzystwie pracownika organizacji. W mojej ocenie takim właśnie pomieszczeniem, w który nie powinny przebywać bez nadzoru osoby nieupoważnione, są „kadry”, archiwum, serwerownia.

Powyższe zasady mają również zastosowanie dla pracowników wykonujących w organizacji różnego rodzaju prace, np. dla elektryka usuwającego usterkę w sieci, przebywającego w pomieszczeniu, w którym na co dzień odbywa się praca z danymi osobowymi. Proponuję mieć je na uwadze w przypadkach, gdy w obszarach przetwarzania danych osobowych mogą przebywać osoby, których zadaniem nie jest przetwarzanie tych danych, ale ze względu na charakter swojej pracy, mogą mieć z tymi danymi styczność.

Autor: Arkadiusz Kępski
Inspektor Ochrony Danych,
Kierownik Projektu w CompNet Sp. z o.o.

 

© Copyright by CompNet Sp. z o. o

Czym może się zakończyć utrudnianie wycofania zgody do przetwarzania danych osobowych?

Czym może się zakończyć utrudnianie wycofania zgody do przetwarzania danych osobowych?

Tym razem Prezes UODO nałożył karę pieniężną  m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych. To kolejna kara w dość krótkim czasie. Dlaczego ukarano Spółkę, na jaką kwotę oraz na które paragrafy z ustawy należy zwrócić szczególną uwagę, by uniknąć kary?

Ukarana przez Prezesa UODO spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody na przetwarzanie danych osobowych oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym). Naruszyła więc określone w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych.

Więcej dowiesz się tutaj

Źródło: Urząd Ochrony Danych Osobowych, https://uodo.gov.pl/pl

 

RODO: Pierwsza kara dla podmiotu publicznego!

RODO: Pierwsza kara dla podmiotu publicznego!

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny. Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO.

Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO.

Więcej informacji znajdziesz tutaj

Źródło: Urząd Ochrony Danych Osobowych, https://uodo.gov.pl/pl

 

Choroby zawodowe a Ochrona Danych Osobowych

Choroby zawodowe a Ochrona Danych Osobowych

Czy pracodawca ma obowiązek zgłaszać podejrzenie choroby zawodowej pracownika? Czy lekarz ma prawo przekazywać wyniki badań pracownika pracodawcy, w tym dotyczące podejrzenia lub rozpoznania chorób zawodowych?

1. Czy pracodawca ma obowiązek zgłaszać podejrzenie choroby zawodowej pracownika?

Obowiązek taki przewidziano w art. 235. § 1. Pracodawca jest obowiązany niezwłocznie zgłosić właściwemu państwowemu inspektorowi sanitarnemu i właściwemu okręgowemu inspektorowi pracy każdy przypadek podejrzenia choroby zawodowej.

Przy czym należy zauważyć:

Obowiązki pracodawcy zawarte w art. 235 KP dotyczą dwóch różnych sytuacji: podejrzenia choroby zawodowej oraz rozpoznania choroby zawodowej. Po pierwsze, gdy tylko wystąpi podejrzenie choroby zawodowej pracodawca obowiązany jest dokonać zgłoszenia tego faktu właściwemu państwowemu inspektorowi sanitarnemu i właściwemu okręgowemu inspektorowi pracy. Ustawodawca nie sprecyzował jednak, co należy rozumieć przez pojęcie występowania podejrzenia choroby zawodowej. Należy założyć, że chodzi o takie sytuacje, w których zespół objawów występujących u pracownika jest nie tylko widoczny, ale i dość typowy. Pracodawca może uzyskać również informacje na temat tego podejrzenia od osób świadczących pomoc medyczną na terenie zakładu pracy.
W przypadku gdy nastąpiło rozpoznanie choroby zawodowej, pracodawca powinien podjąć działania zmierzające do wyeliminowania ryzyka, które spowodowało to zachorowanie. W tym celu obowiązany jest ustalić przyczyny powstania choroby zawodowej oraz charakter i rozmiar zagrożenia tą chorobą, działając w porozumieniu z właściwym państwowym inspektorem sanitarnym. Jak tylko zostaną zdiagnozowane czynniki powodujące powstanie choroby zawodowej, powinien zastosować wszelkie dostępne mu środki zapobiegawcze i zapewnić realizację zaleceń lekarskich.
(źródło: Kodeks pracy. Komentarz red. Sobczyk 2018, wyd. 4/Dörre-Kolasa).

2. Jeżeli podejrzenie występowania choroby zawodowej u pracownika następuje w wyniku badań przeprowadzonych na skierowanie pracodawcy obowiązek taki spoczywa na lekarzu.

Art. 235 § 2. Obowiązek, o którym mowa w § 1, dotyczy także lekarza podmiotu właściwego do rozpoznania choroby zawodowej, o którym mowa w przepisach wydanych na podstawie art. 237 § 1 pkt 6.

oraz

Zgodnie z art. 235 § 21 W każdym przypadku podejrzenia choroby zawodowej:

1) lekarz,

2) lekarz dentysta, który podczas wykonywania zawodu powziął takie podejrzeniu pacjenta

– kieruje na badania w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania.

W takiej sytuacji, zawiadomienia takiego nie dokonuje pracodawca w związku z faktem, iż nie ma uprawnień do uzyskania dostępu do dokumentacji medycznej od lekarza wykonującego badania ani tym bardziej wydawania opinii na jej podstawie, w związku z czym nie ma możliwości powzięcia informacji o podejrzeniu choroby zawodowej.

3. Czy lekarz ma prawo przekazywać wyniki badań pracownika pracodawcy, w tym dotyczące podejrzenia lub rozpoznania chorób zawodowych?

NIE – gdyż jest to dokumentacja medyczna.

Zgodnie z Rozporządzeniem Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób:

§ 2. 1. Dokumentacja medyczna dotycząca chorób zawodowych obejmuje:

1) dokumentację indywidualną, którą stanowi karta badania w związku z chorobą zawodową;

2) dokumentację zbiorczą, którą stanowi księga podejrzeń oraz rozpoznań chorób zawodowych.

3.5) Prowadzenie, przechowywanie i udostępnianie kart badań w związku z chorobą zawodową, określają przepisy wydane na podstawie art. 30 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

4. Dane umieszczane w księdze podejrzeń oraz rozpoznań chorób zawodowych oraz sposób jej prowadzenia i przechowywania, określają przepisy w sprawie rodzajów dokumentacji medycznej służby medycyny pracy oraz sposobu jej prowadzenia i przechowywania.

Zgodnie z ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, dostęp do dokumentacji medycznej posiada pacjent, osoby upoważnione przez pacjenta, osoby bliskie pacjenta w określonych ustawą przypadkach oraz podmioty, o których mowa w art. 26 ust. 3 i ust. 4.

Uprawnienie to w żadnym z powyższych przypadków nie przysługuje pracodawcy.

Lekarz, udostępniając pracodawcy wynik badań pracownika, narusza ustawę z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta w zakresie nieuprawnionego udostępnienia dokumentacji medycznej oraz przepisy dotyczące ochrony danych osobowych, gdyż dochodzi do nieuprawnionego udostępnienia danych osobowych, w tym szczególnych kategorii danych osobowych.

4. W jakiej sytuacji pracodawca zostaje poinformowany, czy też uczestniczy w postępowaniu w związku ze zgłoszeniem podejrzenia choroby zawodowej?

Zgodnie z § 4 ust. 1 Rozporządzenia Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych

Właściwy Państwowy powiatowy inspektor sanitarny, który otrzymał zgłoszenie podejrzenia choroby zawodowej, wszczyna postępowanie, a w szczególności kieruje pracownika lub byłego pracownika, którego dotyczy podejrzenie, na badanie w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania, do jednostki orzeczniczej, o której mowa w § 5 ust. 2.

§ 6 ust. 1. Lekarz, o którym mowa w § 5 ust. 1, wydaje orzeczenie o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania, zwane dalej „orzeczeniem lekarskim”, na podstawie wyników przeprowadzonych badań lekarskich i pomocniczych, dokumentacji medycznej pracownika lub byłego pracownika, dokumentacji przebiegu zatrudnienia oraz oceny narażenia zawodowego.

Ust. 5. Jeżeli zakres informacji zawartych w dokumentacji, o której mowa w ust. 1, jest niewystarczający do wydania orzeczenia lekarskiego, lekarz występuje o ich uzupełnienie do pracodawcy — w zakresie obejmującym przebieg oraz organizację pracy zawodowej pracownika lub byłego pracownika, w tym pracę w godzinach nadliczbowych, dane o narażeniu zawodowym, obejmujące także wyniki pomiarów czynników szkodliwych wykonanych na stanowiskach pracy, na których pracownik był zatrudniony, stosowane przez pracownika środki ochrony indywidualnej, a w przypadku narażenia pracownika na czynniki o działaniu uczulającym (alergenów) — także o przekazanie próbki substancji, w ilości niezbędnej do przeprowadzenia badań diagnostycznych.

Na podstawie wskazanych przepisów, pracodawca zostaje powiadomiony oraz zobowiązany do udzielenia wskazanych informacji w toku prowadzonego postępowania, w celu wydania orzeczenia o rozpoznaniu choroby zawodowej albo o braku podstaw do jej rozpoznania. Proszę zwrócić uwagę, że nigdzie nie ma wzmianki w przepisie, jakoby od pracodawcy wymagane było przekazanie wyników badań lekarskich lub jakiejkolwiek dokumentacji medycznej dotyczącej pracownika.

Wszelka dokumentacja, przekazywana od lekarza właściwego w sprawie orzekania w zakresie chorób zawodowych, na tym etapie postępowania jest zachowywana w celach dowodowych oraz archiwizowana zgodnie z przepisami, przez pracodawcę.

5. Jakie inne obowiązki spoczywają na pracodawcy w związku ze stwierdzeniem choroby zawodowej pracownika?

Zgodnie z § 8 ust. 1 Rozporządzenia Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych

– Decyzję o stwierdzeniu choroby zawodowej albo decyzję o braku podstaw do stwierdzenia choroby zawodowej wydaje się na podstawie materiału dowodowego, a w szczególności danych zawartych w orzeczeniu lekarskim oraz formularzu oceny narażenia zawodowego pracownika lub byłego pracownika.

– ust. 3, pkt. 2 Właściwy państwowy powiatowy inspektor sanitarny przesyła decyzję, o której mowa
w ust. 1, pracodawcy lub pracodawcom zatrudniającym pracownika w warunkach, które mogły spowodować skutki zdrowotne uzasadniające postępowanie w sprawie rozpoznania i stwierdzenia choroby zawodowej;

Pracodawca, po otrzymaniu niniejszej decyzji, ma obowiązek zawiadomić instytut prowadzący Rejestr chorób zawodowych i rejestr skutków tych chorób, zgodnie ze wzorem określonym w załączniku nr 10 do Rozporządzenia Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób. Obowiązek wysłania zawiadomienia przez pracodawcę, zgodnie z załącznikiem nr 10, wynika z objaśnienia do załącznika.

Pracodawca, zgodnie z art. 235 § 4, ma obowiązek prowadzić rejestr obejmujący przypadki stwierdzonych chorób zawodowych i podejrzeń o takie choroby.


WNIOSKI:

  1. Jeżeli podejrzenie wystąpienia choroby zawodowej pracownika następuje w wyniku badań prowadzonych przez lekarza medycyny pracy lub innego specjalistę, obowiązek dokonania powiadomienia podmiotów, o których mowa w art. 235 Kodeksu pracy, spoczywa na lekarzu.
  2. Lekarz nie ma podstawy prawnej do przekazywania pracodawcy dokumentacji medycznej (w tym wyników badań pracownika). Podmioty właściwe w celu dokonania zawiadomienia podejrzenia choroby zawodowej, zostały wskazane w art. 235 Kodeksu pracy.
  3. Lekarz, przekazując pracodawcy wyniki badań oraz inną dokumentację związaną z rozpoznaniem lub podejrzeniem choroby zawodowej, narusza przepisy ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, w zakresie udostępniania dokumentacji medycznej oraz przepisy o ochronie danych osobowych w zakresie nieuprawnionego udostępnienia danych osobowych, w tym szczególnych kategorii danych.
  4. Wszelka dokumentacja medyczna, przekazana pracodawcy przez lekarza bezpodstawnie, powinna zostać zwrócona do podmiotu medycznego, który ją sporządził.
  5. Pracodawca jest zobowiązany udzielić informacji, współpracować i przechowywać dokumentację przekazaną przez lekarza właściwego do orzekania w sprawie chorób zawodowych oraz Państwowy Inspektorat Sanitarny w toku postępowania o wydanie orzeczenia o rozpoznaniu choroby zawodowej lub braku podstaw do jej rozpoznania.
  6. Po otrzymaniu decyzji Państwowego Inspektoratu Sanitarnego o stwierdzeniu choroby zawodowej, pracodawca ma obowiązek zawiadomić instytut właściwy w celu prowadzenia rejestru chorób zawodowych i rejestru skutków tych chorób, zgodnie ze wzorem określonym w załączniku nr 10 do Rozporządzenia Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób.
  7. Pracodawca ma obowiązek prowadzić ewidencję przypadków podejrzenia lub stwierdzenia choroby zawodowej, zgodnie z art. 235 § 4 Kodeksu pracy.

Autor: Piotr Kropidłowski, Inspektor Ochrony Danych,
Kierownik Projektu w CompNet Sp. z o. o.

Podstawa prawna:

  • Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy
  • Rozporządzenie Rady Ministrów z dnia 30 czerwca 2009 r. w sprawie chorób zawodowych
  • Obwieszczenie Ministra Zdrowia z dnia 29 lipca 2013 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Ministra Zdrowia w sprawie sposobu dokumentowania chorób zawodowych i skutków tych chorób
  • Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta
  • Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania

© Copyright by CompNet Sp. z o. o.

RODO: 2,8 mln zł. kary! Największa kara w Polsce...

RODO: 2,8 mln zł. kary! Największa kara w Polsce...

Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł.

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO.

Więcej informacji i oryginalny tekst tutaj…

Źródło: https://uodo.gov.pl/pl

Przetwarzanie danych osobowych ławnika przez Sąd – na jakich warunkach?

Przetwarzanie danych osobowych ławnika przez Sąd – na jakich warunkach?

We wzorze „Karty zgłoszenia kandydata na ławnika”, stanowiącej załącznik do rozporządzenia Ministra Sprawiedliwości z 9 czerwca 2011 r. w sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzoru karty zgłoszenia (Dz.U. Nr 121, poz. 693), została zawarta klauzula zgody na podstawie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych o treści: Stosownie do art. 7 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) oświadczam, że wyrażam zgodę na przetwarzanie moich danych osobowych zamieszczonych w niniejszej karcie zgłoszenia w zakresie niezbędnym do przeprowadzenia procedury wyboru ławników przez radę gminy oraz do czynności administracyjnych sądu związanych z organizacją pracy ławników.”. Czy wobec tego klauzula zgody nie powinna być również pobierana na podstawie obecnie obowiązujących przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.)?

Nie. Istnieje bowiem inna podstawa prawna przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników, wskazana w art. 6 ust. 1 oraz w art. 9 ust. 2 RODO.

Dlaczego nie powinniśmy pobierać zgody na przetwarzanie danych osobowych?

Art. 4 pkt 11 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.), dalej RODO, stanowi, że „zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

 Art. 7 ust. 3 RODO wskazuje na podstawową cechę zgody: „Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.”

Z ww. przepisu jasno wynika, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych. Skoro przesłance zgody osoby, której dane dotyczą, na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów, przypisuje się możliwość decydowania o swoich danych osobowych, to wycofanie zgody, o którym mowa w art. 7 ust. 3 RODO zapewnia możliwość skorzystania z tego uprawnienia w każdej chwili. Możliwość wycofania zgody przez podmiot danych, powinna zapobiegać zbieraniu zgód “na zapas”, szczególnie w przypadku, gdy administrator dysponuje inną przesłanką legalizującą przetwarzanie danych w określonym celu.

Skutkiem cofnięcia zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą, będzie brak możliwości powoływania się na tę przesłankę legalizującą przetwarzanie danych osobowych przez administratora. Jeżeli administrator danych osobowych, zebrał dane osobowe na podstawie zgody, to po wycofaniu zgody przez podmiot danych, nie powinien dalej przetwarzać tych danych z powołaniem się na inną podstawę prawną ich przetwarzania, wskazaną w art. 6 ust. 1
lub art. 9 ust. 2 RODO.

Biorąc pod uwagę powyższe, należy wysnuć wniosek, że jeżeli ławnik, w związku z pełnieniem funkcji ławnika i umieszczeniem jego danych osobowych na liście ławników, najpierw złożyłby oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych, to po jej wycofaniu administrator (prezes sądu) nie miałby możliwości powoływania się na tę przesłankę legalizującą przetwarzanie danych osobowych oraz nie mógłby dalej przetwarzać tych danych z powołaniem się na inną podstawę prawną ich przetwarzania, wskazaną w art. 6 ust. 1 lub art. 9 ust. 2 RODO.

Biorąc pod uwagę powyższe rozważania, klauzula zgody nie powinna być pobierana na podstawie obecnie obowiązujących przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.).

Jaka zatem istnieje inna podstawa prawna przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników?

Przesłanką przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników, jest art. 6 ust. 1 lit. c RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze), art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) oraz art. 9 ust. 2 lit. g RODO (przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą).

Przetwarzanie tzw. zwykłych danych osobowych oraz szczególnej kategorii danych kandydatów na ławników/ławników wynika z następujących przepisów prawa:

  1. Ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (tekst jednolity: Dz.U. z 2019 r. poz. 52 z późn. zm.)
  2. Rozporządzenia Ministra Sprawiedliwości z 9 czerwca 2011 r. w sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzoru karty zgłoszenia (Dz.U. Nr 121, poz. 693).

Zgodnie z art. 164 § 1 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych
„Listę wybranych ławników wraz z dokumentami, o których mowa w art. 162 § 2-4[1], rady gmin, które dokonały ich wyboru, przesyłają prezesom właściwych sądów, najpóźniej do końca października. Spośród ławników znajdujących się na liście wybranych ławników rady gmin wskazują ławników do orzekania w sprawach z zakresu prawa pracy.”

Na podstawie § 4 rozporządzenia Ministra Sprawiedliwości z 9 czerwca 2011 r. w sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzoru karty zgłoszenia, przekazują również informacje uzyskane od komendantów policji w trybie art. 162 § 9[2].

Załącznik do powyższego rozporządzenia wskazuje również, że informacje zawarte w karcie zgłoszenia kandydata na ławnika, są jednocześnie wykorzystywane przez administrację sądu, a w razie zaistnienia jakichkolwiek zmian, ławnik powinien je zgłosić do oddziału administracyjnego właściwego sądu.

Praktyczne przypomnienia i wskazówki:

  • Nie należy odbierać od ławników klauzuli zgody na przetwarzanie danych osobowych, gdyż przesłanką przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników, jest art. 6 ust. 1 lit. c RODO, art. 6 ust. 1 lit. e RODO oraz art. 9 ust. 2 lit. g RODO.
  • Nie należy zbierać zgód “na zapas”, szczególnie w przypadku, gdy administrator dysponuje inną przesłanką legalizującą przetwarzanie danych w określonym celu.
  • Należy pamiętać, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych. Wycofanie zgody skutkuje obowiązkiem zaprzestania przetwarzania danych osobowych od momentu wycofania zgody. W przypadku wycofania zgody na przetwarzanie danych osobowych przez ławnika, administrator (prezes sądu) nie ma możliwości realnej realizacji tego prawa, gdyż jest zobowiązany do przetwarzania danych osobowych ławnika przepisem prawa.
  • W związku z tym, iż zgodnie z art. 175a Ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych, administratorem danych osobowych ławników jest prezes sądu, w celu spełnienia obowiązku poinformowania ławników o przetwarzaniu ich danych osobowych, w związku z pełnieniem funkcji ławnika, można w „Karcie ewidencyjnej ławnika” (urzędowym dokumencie sporządzanym i prowadzonym na potrzeby sądu) zawrzeć klauzulę informacyjną. Aby zapewnić większą przejrzystość warto skorzystać z warstwowych sposobów informowania. W Karcie zamieszczamy klauzulę, zawierającą najważniejsze, podstawowe informacje – wskazanie administratora, celu i podstawy przetwarzania oraz miejsca, gdzie można uzyskać pełną informację, czyli adres strony internetowej, na której znajduje się pełna treść klauzuli informacyjnej o przetwarzaniu danych osobowych lub informujemy o możliwości uzyskania tych informacji w siedzibie administratora. Poniżej przykładowa treść klauzuli:   

Administratorem danych osobowych, przetwarzanych w związku z pełnieniem funkcji ławnika Sądu Rejonowego w ……………….. , jest Prezes Sądu …………….. z siedzibą w ………… Państwa dane osobowe, będą przetwarzane wyłącznie w związku z pełnieniem funkcji ławnika, na podstawie art. 6 ust. 1 lit. c, e oraz art. 9 ust. 2 lit. g Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.). Szczegółowe informacje na temat przetwarzania danych osobowych oraz opis przysługujących Państwu praw z tego tytułu, znajduje się na stronie internetowej ………………………. oraz w siedzibie Administratora. W sprawach związanych z przetwarzaniem Państwa danych osobowych, można skontaktować się z Inspektorem Ochrony Danych pod adresem e-mail: ………………………………….

Autor: Monika Kowalik, Inspektor Ochrony Danych w sądach,
Kierownik Projektu w CompNet Sp. z o.o.

Przypisy:

  1. § 2. Do zgłoszenia kandydata na ławnika dokonanego na karcie zgłoszenia dołącza się następujące dokumenty:

    1) informację z Krajowego Rejestru Karnego dotyczącą zgłaszanej osoby;

    2) oświadczenie kandydata, że nie jest prowadzone przeciwko niemu postępowanie o przestępstwo ścigane z oskarżenia publicznego lub przestępstwo skarbowe;

    3) oświadczenie kandydata, że nie jest lub nie był pozbawiony władzy rodzicielskiej, a także, że władza rodzicielska nie została mu ograniczona ani zawieszona;

    4) zaświadczenie lekarskie o stanie zdrowia, wystawione przez lekarza podstawowej opieki zdrowotnej, w rozumieniu przepisów ustawy z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz.U. poz. 2217 oraz z 2018 r. poz. 1000 i 1544), stwierdzające brak przeciwwskazań do wykonywania funkcji ławnika;

    5) dwa zdjęcia zgodne z wymogami stosowanymi przy składaniu wniosku o wydanie dowodu osobistego

    § 3. Do zgłoszenia kandydata na ławnika dokonanego na karcie zgłoszenia przez stowarzyszenie, inną organizację społeczną lub zawodową, zarejestrowaną na podstawie przepisów prawa, dołącza się również aktualny odpis z Krajowego Rejestru Sądowego albo odpis lub zaświadczenie potwierdzające wpis do innego właściwego rejestru lub ewidencji dotyczące tej organizacji.

    § 4. Do zgłoszenia kandydata na ławnika dokonanego na karcie zgłoszenia przez obywateli dołącza się również listę osób zawierającą imię (imiona), nazwisko, numer ewidencyjny PESEL, miejsce stałego zamieszkania i własnoręczny podpis każdej z pięćdziesięciu osób zgłaszających kandydata

  2. § 9. Rady gmin zasięgają od komendanta wojewódzkiego Policji albo Komendanta Stołecznego Policji informacji o kandydatach na ławników. Informacje o kandydacie na ławnika uzyskuje się i sporządza na zasadach określonych dla informacji o kandydacie do objęcia stanowiska sędziowskiego.

© Copyright by CompNet Sp. z o. o.