Ruchomy rozkład czasu pracy – ewidencja czasu pracy

Jak wynika z odpowiedzi na interpelację poselską nr 25656 udzielonej przez Ministerstwo Rozwoju, Pracy i Technologii w piśmie z 11 sierpnia 2021 r. (znak sprawy: DPP-III.054.11.2021), obowiązek ewidencjonowania godziny rozpoczęcia i zakończenia pracy wynika z § 6 pkt 1 rozporządzenia ministra rodziny, pracy i polityki społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej (DzU z 2018 r., poz. 2369). Przepis ten wyraźnie wskazuje, że ewidencja czasu pracy, zaliczana do dokumentacji w sprawach związanych ze stosunkiem pracy, obejmuje m.in. informacje o liczbie przepracowanych godzin oraz informacje dotyczące godziny rozpoczęcia i zakończenia pracy w danym dniu (dobie pracowniczej).Tym samym treść obecnie obowiązujących przepisów prawa umożliwia precyzyjne ustalenie godzin rozpoczynania i kończenia pracy przez pracowników wykonujących pracę w tzw. ruchomych rozkładach czasu pracy, o których mowa w art. 1401 k.p. oraz weryfikowania wykorzystania przez nich minimalnego 11-godzinnego odpoczynku dobowego (art. 132 k.p.) i minimalnego 35-godzinnego odpoczynku tygodniowego (art. 133 k.p.).

 

Tym samym ewidencja w ruchomych rozkładach czasu pracy musi m.in. zawierać dokładne godziny rozpoczęcia i zakończenia pracy w danym dniu. 

Wydawanie informacji dodatkowej do świadectwa pracy

W stanowisku z dnia 25 sierpnia 2021r. MRiPS wyjaśniło, że „(…) Jeżeli (…) pracownik z którym pracodawca nawiązał kolejny stosunek pracy w ciągu 7 dni od rozwiązania poprzedniego stosunku pracy, wystąpił z wnioskiem do pracodawcy o wydanie mu świadectwa pracy, to dochodzi wprawdzie do rozwiązania stosunku pracy i wydania pracownikowi świadectwa pracy, jednakże stosunek pracy z takim pracownikiem – wskutek jego ponownego nawiązania – trwa/jest kontynuowany (pracownik pozostaje w zatrudnieniu) i pracodawca jest obowiązany prowadzić dotyczącą tego stosunku pracy dokumentację pracowniczą. W konsekwencji 10-letni okres przechowywania dokumentacji pracowniczej, o którym mowa w art. 94 pkt 9b K.p., zacznie swój bieg dopiero z końcem roku kalendarzowego, w którym trwający stosunek pracy ulegnie rozwiązaniu lub wygaśnięciu. Zatem w takiej sytuacji wydawanie przez pracodawcę ww. informacji (także jedynie w postaci wskazania właściwych w tym zakresie przepisów, czyli bez podawania konkretnych dat, w których skończy się okres przechowywania, a następnie upłynie termin odbioru dokumentacji) jest w opinii Ministerstwa Rodziny i Polityki Społecznej bezprzedmiotowe.”

Stanowisko GIP w sprawie różnicowania pracowników

GIP w stanowisku z dnia 20 września 2021r.  odniósł się do tez wyroku TSUE z dnia 3 czerwca 2021r.  w sprawie C-624/19 Tesco Stores (patrz biuletyn lipiec’2021). W stanowisku GIP czytamy m.in.:

 

Zważywszy, że w myśl art. 18[3c] par. 1 k.p. pracownicy mają prawo do jednakowego wynagrodzenia za jednakową pracę lub za pracę o jednakowej wartości, w przypadku gdy pracodawca różnicuje wynagrodzenie osób pracujących na tym samym stanowisku (np. kasjera), z takim samym zakresem obowiązków pracowniczych, w tym samym wymiarze czasu pracy, wyłącznie na podstawie miejsca wykonywania pracy (lokalizacji sklepu), wówczas wyraźnie abstrahuje od cech osobistych i różnic w wykonywaniu pracy, z których to wynikłe odmienności między pracownikami można uznać ‒ w świetle art. 112 k.p. ‒ za uzasadniające różnicowanie ich sytuacji prawnej.

 

Nakaz respektowania zasady równych praw pracowników jednakowo wypełniających takie same obowiązki adresowany jest do pracodawcy. Jeśli zatem poszczególne sklepy nie mają statusu pracodawcy (w tym nie są uprawnione do samodzielnego zawierania porozumień zbiorowych oraz kształtowania zasad wynagradzania i przyznawania innych świadczeń związanych z pracą), który to status przysługuje np. spółce, mamy do czynienia z jednym pracodawcą, a nie grupą „pracodawców obejmujących swoją działalnością różne obszary i kręgi odbiorców, posiadających zróżnicowaną specyfikę, natężenie pracy, zasoby kadrowe, metody zarządzania, kondycję finansową oraz samodzielność w kształtowaniu uprawnień pracowniczych, w tym prowadzeniu rokowań z działającymi u nich organizacjami  związkowymi” (wyrok Sądu Najwyższego z 15 listopada 2013 r., sygn. III PK 20/13). Powyższe potwierdza wyrok Trybunału Sprawiedliwości Unii Europejskiej z 3 czerwca 2021 r. w sprawie C-624/19, w którym TSUE wyjaśnił, że sytuacja, w której warunki wynagradzania pracowników różnej płci wykonujących taką samą pracę lub pracę takiej samej wartości mogą zostać przypisane jedynemu źródłu, wchodzi w zakres art. 157 Traktatu o funkcjonowaniu Unii Europejskiej oraz że praca i wynagrodzenie tych pracowników mogą być porównane na podstawie tego artykułu, nawet jeżeli wykonują oni swoją pracę w różnych zakładach. W związku z tym należy stwierdzić, że na art. 157 TFUE można powołać się przed sądami krajowymi w sporze opartym na świadczeniu pracy takiej samej wartości wykonywanej przez pracowników różnej płci mających tego samego pracodawcę i w różnych zakładach tego pracodawcy, jeżeli pracodawca ten stanowi takie jedyne źródło.

 

Wydaje się zatem, że różnicując wynagrodzenie osób zajmujących to samo stanowisko (np. kasjerów) wyłącznie na podstawie miejsca wykonywania obowiązków (lokalizacji sklepu), pracodawca może narazić się na zarzut naruszenia nakazu równego traktowania w zatrudnieniu, bo „zróżnicowanie praw pracowniczych nie ma w tym przypadku oparcia w odrębnościach związanych z obowiązkami ciążącymi na danych osobach, sposobem ich wypełniania, czy też kwalifikacjami” (wyrok Sądu Najwyższego z 5 października 2007 r., sygn. II PK 14/07”).

Rozliczanie krajowych odcinków podróży zagranicznej

Przepisy rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 29 stycznia 2013 r. w sprawie należności przysługujących pracownikowi zatrudnionemu w państwowej lub samorządowej jednostce sfery budżetowej z tytułu podróży służbowej (Dz. U. poz. 167) wyodrębniają dwa rodzaje podróży według kryterium miejsca docelowego, krajową i zagraniczną. Nie rozstrzygają jednak sposobu rozliczania krajowych odcinków podróży w drodze za granicę, co może mieć istotny wpływ na prawo lub wysokość diety (należności przeznaczonej odpowiednio na pokrycie zwiększonych kosztów wyżywienia albo kosztów wyżywienia i innych drobnych wydatków), którą determinuje czas trwania podróży. Resort rodziny w stanowisku z dnia 24 września 2021r. podtrzymał swą wcześniejszą opinię w tej sprawie z dnia 11 kwietnia 2011r.) i wskazał, że „(…) odcinki podróży krajowej – odpowiednio poprzedzający moment rozpoczęcia podróży zagranicznej i odbywany po przekroczeniu granicy polskiej w drodze powrotnej – należałoby traktować rozdzielnie. Oznaczałoby to, że czas tych podróży nie podlegałby sumowaniu. Rozpoczęcie podróży zagranicznej w chwili przekroczenia granicy polskiej, w ocenie resortu rodziny, oznacza przerwanie czasu trwania podróży krajowej. (…)”. Zastrzeżono przy tym, że w sektorze pozabudżetowym: „(…) Nie ma przeszkód prawnych, aby przedmiotem zakładowych regulacji (ustaleń) był sposób ustalania prawa pracownika do diety za odcinki podróży krajowej – odpowiednio poprzedzający moment rozpoczęcia podróży zagranicznej i odbywany po przekroczeniu granicy polskiej w drodze powrotnej. W przypadku, gdy układ zbiorowy pracy, regulamin wynagradzania lub umowa o pracę nie zawiera postanowień, o których mowa wyżej, pracownikowi przysługują – zgodnie z art. 775 § 5 K.p. – należności na pokrycie kosztów podróży służbowej według przepisów rozporządzenia (…)”.

 

Uwaga: w opinii Głównego Inspektoratu Pracy z 2 lutego 2009 r. są to podróże odrębne, chyba że przypadają w tej samej dobie. Wówczas należy je rozliczać łącznie (por. pismo znak GPP-417-4560-10/09/PE/RP).

RODO: adres zameldowania i adres do korespondencji – rekrutacja

W newsletterze UODO dla Inspektorów Danych Osobowych nr 10/2021 z października 2021 r. wskazano, że pracodawca może przetwarzać takie dane osobowe, jak: adres zameldowania, ad-res zamieszkania i adres do korespondencji, nie-zbędne do wypełnienia formularza ZUS ZUA, dopiero po zawarciu z pracownikiem stosunku pracy. Żądanie ich podania na etapie rekrutacji jest przedwczesne, ponieważ obowiązek zgłoszenia do ZUS istnieje dopiero od dnia nawiązania stosunku pracy.
Uwaga: Formularz ZUS ZUA przewiduje podanie szeregu danych wykraczających poza te wymienione w art. 22.1 § 1 i § 3 k.p., jak np. adres za-meldowania, adres zamieszkania i adres do korespondencji.

Orzeczenia sądowe, o których warto wiedzieć

• Trybunał Sprawiedliwości Unii Europejskiej w orzeczeniu z 15 lipca 2021 r. (połączone sprawy C-152/20 i C-218/20) wskazał m.in., że nawet jeśli klauzula wyboru prawa (tj. jakie prawo będzie brane pod uwagę przy wyznaczaniu uprawnień pracownika) została zredagowana przez pracodawcę, a pracownik ograniczył się do jej zaakceptowania, to strony dokonały swobodnego wyboru prawa. Wydaje się, że zamyka to drogę podważaniu skuteczności wyboru prawa w oparciu o argumentację, że to pracodawca zredagował i „wymusił” umowę w określonym brzmieniu. Inny wniosek Trybunału mógłby mocno skomplikować praktykę, ponieważ prawie zawsze to firma przygotowuje umowę o pracę.

 

• W wyroku Europejskiego Trybunału Praw Człowieka w Strasburgu z 15 czerwca 2021 r. (skarga nr 35786/19) wynika, że pracodawca nie może wypowiedzieć umowy o pracę tylko z powodu tego, że pracownik „polubił” kilka postów w mediach społecznościowych. Zdaniem Trybunału, wypowiedzenie umowy o pracę z tego powodu jest nieuzasadnione i nieproporcjonalne do sytuacji. Trybunał zauważył, że pracodawca nie ma prawa generalnie zakazywać pracownikowi aktywności w Internecie. W związku z tym, należy odróżniać i odmiennie oceniać wagę tego, czy ktoś jedynie „polubił” posty w mediach społecznościowych, czy też stworzył własne treści i je rozpowszechnia. W konsekwencji, Trybunał uznał, że zwolnienie z pracy za „polubienie” postów zamieszczonych w Internecie godzi w wolność wyrażania własnej opinii.

Tymczasem w Europie

NORWEGIA. Norweski organ ochrony danych nałożył na gminę grzywnę w wysokości 409 768 EUR (4 000 000 NOK) za naruszenie art. 5 ust. 1 lit. f) GDPR, art. 24 GDPR i art. 32 GDPR po tym, jak poważny atak ransomware doprowadził do nieodwracalnej utraty bardzo wrażliwych danych osobowych i ich sprzedaży w ciemnej sieci.

 

Na początku 2021 roku, norweska gmina (Østre Toten kommune) zdała sobie sprawę, że została narażona na poważny atak ransomware, który zablokował pracownikom dostęp do kluczowych systemów IT. Dane zostały zaszyfrowane, a kopie zapasowe usunięte. Naruszenie dotyczyło około 30 000 dokumentów, w tym informacji o pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności do związków zawodowych, życiu seksualnym/orientacji seksualnej, stanie zdrowia, diagnozie pedagogicznej, numerze urodzenia, elektronicznym dokumencie tożsamości i rachunku bankowym. Około 2 tys. dokumentów zostało później odkrytych i wystawionych na sprzedaż w DarkNecie. W sumie wyciągnięto około 160 GB danych, a duża ilość danych została nieodwracalnie utracona.

 

Śledztwo techniczne wykazało, że gmina miała poważne braki w swoich systemach i procesach informatycznych, w tym niezabezpieczone kopie zapasowe, brak dwuskładnikowego uwierzytelniania i właściwego zarządzania dziennikami. Przestępcy prawdopodobnie uzyskali dostęp do infrastruktury za pomocą rozwiązań zdalnego dostępu w połączeniu ze skradzionymi danymi uwierzytelniającymi do logowania, które prawdopodobnie zostały uzyskane w wyniku oszustw phishingowych skierowanych do pracowników gminy (w trakcie dochodzenia odkryto około dziesięciu adresów e-mail i haseł należących do pracowników).

Gmina powiadomiła organ ochrony danych o naruszeniu i na bieżąco informowała swoich mieszkańców. Rozpoczęły również kompleksowe prace mające na celu ustanowienie procedur przetwarzania danych osobowych oraz zarządzania przypadkami naruszenia ochrony danych.

 

Jakich uchybień dopatrzył się Norweski Inspektor Ochrony Danych?  Datatilsynet stwierdził, że gmina nie chroniła danych osobowych w wystarczającym stopniu ani nie stosowała odpowiednich kontroli wewnętrznych, co stanowiło naruszenie art. 5 ust. 1 lit. f), art. 24 i 32, por. art. 26 ust. 1 ustawy o danych osobowych.

 

W związku z tym norweski organ ochrony danych nałożył na gminę grzywnę w wysokości 409 768 EUR (4 000 000 NOK). Ponadto, organ ochrony danych nakazał gminie ustanowienie i wdrożenie odpowiedniego systemu zarządzania bezpieczeństwem informacji oraz przeprowadzenie (i udokumentowanie) oceny ryzyka dla wszystkich kluczowych systemów w jej infrastrukturze w celu określenia potrzeby zastosowania środków zmniejszających ryzyko.

 

źródło: strona internetowa GDPRhub [https://gdprhub.eu]

 

Działania PUODO

Roczne Sprawozdanie z działalności PUODO.

 

W dniu 26.08.2021 zostało opublikowane sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za rok 2020r. Prawie 300 – stronicowy dokument obejmuje w szczególności informacje dotyczące wydanych decyzji i rozpatrywanych skarg, kontroli prowadzonych przez PUODO, aktów prawnych, co do których PUODO wydał opinie, odpowiedzi na pytania zadawane przez administratorów i IOD, czy podsumowanie dotyczące zgłaszanych naruszeń ochrony danych osobowych, które wpływały do UODO w 2020 r.

 

PUODO relacjonuje, iż w skali roku wydał 1866 decyzji administracyjnych, podjął w sumie 6442 skarg, z czego 2519 skarg dotyczyło sektora prywatnego. UODO w trakcie roku dokonał analizy 7507 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, z czego większość, bo 4661 zostało zgłoszonych przez podmioty sektora prywatnego; około 155 zgłoszonych w międzynarodowym systemie informatycznym (IMI).

 

W kontekście zgłoszeń naruszeń PUODO wskazuje najczęstsze rodzaje naruszeń ochrony danych osobowych, którymi niezmiennie w porównaniu do poprzedniego roku pozostają te same, a mianowicie:

  • wysłanie korespondencji zawierającej dane osobowe zarówno w formie tradycyjnej, jak i na elektroniczną skrzynkę pocztową e-mail do niewłaściwego
  • ujawnienie danych niewłaściwej osobie
  • nieuprawnione uzyskanie dostępu do informacji – najczęściej wskutek błędów programistycznych ujawniających się po wprowadzeniu aktualizacji danego oprogramowania, braku wewnętrznych testów bezpieczeństwa, które mogły wykazać podatność systemu, czy nieprawidłowego nadania uprawnień w systemach;
  • korespondencja papierowa utracona przez operatora pocztowego lub otwarta przed zwróceniem do nadawcy;
  • dokumentacja papierowa (zawierająca dane osobowe) zgubiona, skradziona lub pozostawiona w niezabezpieczonej lokalizacji;
  • niezamierzona publikacja lub nieprawidłowa anonimizacja danych w dokumencie – najczęściej wskutek nieprawidłowej anonimizacji danych lub przeoczenia tego błędu przez pracowników udostępniających materiały w sieci;
  • zgubienie lub kradzież nośnika danych / urządzenia umożliwiającego dostęp do danych
  • złośliwe oprogramowanie ingerujące w poufność, integralność lub dostępność danych oraz nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń;
  • ujawnienie danych związane ze zdalnym nauczaniem i pracą zdalną – naruszenia polegały na nieuprawnionym upublicznieniu wizerunku, udostępnieniu nagrań zawierających dane osobowe osobom nieuprawnionym.

 

Warto też zwrócić uwagę na tematykę skarg, którą UODO w sprawozdaniu omawia na konkretnych przykładach:

  1. przetwarzanie i upublicznianie wizerunku osób fizycznych bez ich zgody;
  2. udostępnienia danych osobowych na stronach internetowych bez wiedzy i ich zgody;
  3. przetwarzanie danych osobowych przez administratora w celu innym niż cel, do którego dane te zostały pozyskane;
  4. niedopełnienie obowiązku informacyjnego (art. 15 RODO) wobec osoby, której dane dotyczą – tzw. prawa dostępu do swoich danych.

 

Z pełną treścią sprawozdań PUODO można zapoznać się TUTAJ.

 

źródło:

strona internetowa PUODO  [https://uodo.gov.pl]

 

Jakie zasady należy stosować podczas używania technologii rozpoznawania twarzy, aby zapewnić zgodność m.in. z prawem ochrony danych osobowych?

Odpowiedź na to pytanie zawierają „Wytyczne dotyczące rozpoznawania twarzy”. 28 stycznia 2021 r.,  Komitet Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych przyjął „Wytyczne dotyczące rozpoznawania twarzy”. Dokument dotyczy zastosowań technologii rozpoznawania twarzy, w tym technologii rozpoznawania twarzy na żywo. Wytyczne zawierają wiele wskazówek w odniesieniu do zasad, które powinny być przestrzegane i stosowane w celu zapewnienie nienaruszalności godności ludzkiej, praw człowieka i podstawowych wolności każdej osoby, w tym prawa do ochrony danych osobowych.

Urząd Ochrony Danych Osobowych udostępnił nieoficjalne tłumaczenie wytycznych na język polski TUTAJ.

 

źródło:

strona internetowa PUODO  [https://uodo.gov.pl]

 

Umowa powierzenia danych osobowych. Jakie rozwiązania są wystarczające w przypadku wykazu podprocesorów?

 

UODO na swoich stronie internetowej w stałej rubryce „Zadania IOD” odpowiada na najczęstsze pytania kierowane przez Inspektorów Ochrony Danych do Urzędu. Tym razem odniósł się do uregulowania zasad angażowania  podprocesorów, czyli podmiotów, którym podmioty przetwarzające powierzają dalej zdania w realizowanych usługach.

Zapytanie dotyczyło szczególnej sytuacji, gdy podmiot przetwarzający przewidział wobec  administratora jedynie ogólny dostęp do wykazu podmiotów podprzetwarzających np. na stronie www, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego

 

UODO zacytował wprost rozwiązani rekomendowane przez EROD w Wytycznych nr 7/2020 w sprawie pojęcia administratora oraz podmiotu przetwarzającego.

 

EROD w przywołanych Wytycznych 7/2020 wskazała, że nie wystarczy, aby podmiot przetwarzający jedynie zapewnił administratorowi ogólny dostęp do wykazu podprocesorów, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego. Innymi słowy, podmiot przetwarzający musi aktywnie informować administratora o wszelkich zmianach w wykazie (tj. o każdym nowym planowanym podpowierzeniu, pkt 128 Wytycznych 7/2020).

 

A zatem sposób, w jaki podmiot przetwarzający powiadomi administratora o dalszym podpowierzeniu powinien zapewniać mu realny wpływ na to, kto będzie „innym podmiotem przetwarzającym” i umożliwić administratorowi wyrażenie sprzeciwu zanim nastąpi podpowierzenie (art. 28 ust. 2 RODO). Procedura w tym zakresie powinna być uzgodniona przez strony umowy powierzenia i być objęta jej postanowieniami.

 

źródło:

strona internetowa PUODO  [https://uodo.gov.pl]

Wsparcie instytucji europejskich w zakresie identyfikacji ryzyka dla bezpieczeństwa danych osobowych

Zgodnie z art. 32 ust 1-2 RODO zarówno administrator jak i podmiot przetwarzający mają w obowiązku wdrążenie środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszeni praw i wolności osób, których dane przetwarzaj. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Analiza własnych zdarzeń i incydentów w wyżej wskazanym zakresie to jednak za mało. Warto analizować raporty dotyczące zagrożeń i trendów szczególnie w obszarze infrastruktury informatycznej gdzie notuje się największy rozwój form tzw. ataków cybernetycznych. Pomocnym w obszarze edukowania pracowników, jak i informowania o trendach w ogóle starają się być powołane również do tego zadania instytucje europejskie, co pokazuje przegląd choćby tegorocznych aktywności.

 

W styczniu 2021r. Europejska Rada Ochrony Danych Osobowych [EDPB] opublikowała i poddała konsultacjom publicznym  Wytyczne 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych. Dokument do marca 2021 pozostający w trybie tzw. konsultacji publicznych, ale już w tak opublikowanej formie stanowi pomoc administratorom danych w podejmowaniu decyzji o tym, jakie zdarzenia identyfikować i jak postępować w przypadku naruszenia ochrony danych, jakie czynniki należy uwzględnić podczas oceny ryzyka.

Wersja angielska dostępna jest TUTAJ.

 

W październiku 2021 Europejski Inspektor Ochrony Danych [EDPS] w ramach działań edukacyjnych dotyczących zagrożeń dla bezpieczeństwa danych i możliwości, jakie niosą ze sobą niektóre technologie wydał ciekawą infografikę na temat tego, jak zminimalizować ryzyko ataków phishingowych ze strony cyberprzestępców.

Wersja angielska dostępna jest TUTAJ.

 

Pod koniec października swój coroczny raport dotyczący stanu zagrożenia cybernetycznego opublikowała Agencja Unii Europejskiej ds. Bezpieczeństwa Cybernetycznego, ENISA. To już 9. edycja raportu, który obejmuje okres od kwietnia 2020 r. do lipca 2021 r.

W raporcie zidentyfikowano najważniejsze zagrożenia, inicjatorów zagrożeń i techniki ataku, a także opisano odpowiednie środki łagodzące.

Wersja angielska dostępna jest TUTAJ.

 

źródło:

strona internetowa EDPB [https://edpb.europa.eu]

strona internetowa EDPS [https://edps.europa.eu]

strona internetowa ENISA [https://www.enisa.europa.eu]

 

Formularz kontaktowy – jaka jest podstawa prawna do udzielenia odpowiedzi?

Duża część Spółek udostępnia na swoich stronach internetowych formularze, za pomocą których osoby fizyczne mogą zadawać pytania dotyczące np. oferowanych przez nie produktów czy usług i tematów z nimi związanych. Nawet jeżeli Spółka nie udostępnia takiego formularza, to daje możliwość wysłania takiego zapytania drogą mailową na wskazany przez Spółkę adres mailowy lub zadania pytania drogą telefoniczną poprzez kontakt na wskazany przez Spółkę numer telefonu.

 

Czy w takiej sytuacji informujecie Państwo o tym na jakiej podstawie i w jakim celu przetwarzane są dane osobowe?

 

Art. 13 RODO nakazuje Administratorowi Danych przekazanie osobie fizycznej, która się z nią kontaktuje, wielu konkretnych informacji (tzw. obowiązek informacyjny), w tym informacji na temat podstawy prawnej, na podstawie której dane są przetwarzane.

 

Jaka jest właściwa podstawa prawna przetwarzania danych osobowych w formularzu kontaktowym?

 

Zgoda – art. 6 ust. 1 lit. a  RODO. Spotykamy się z wieloma formularzami kontaktowymi, pod którymi zamieszczono checkbox, z obowiązkiem jego zaznaczenia w przypadku chęci uzyskania odpowiedzi na przesłane zapytanie. Od zaznaczenia chceckboxa uzależnia się możliwość przesłania treści zapytania w formularzu. To jest nieprawidłowe rozwiązanie, choćby ze względu na uwarunkowania z jakim związana jest skutecznie udzielona zgoda. Art. 7 RODO określa konkretne warunki wyrażenia takiej zgody. Jednym z takich warunków jest dobrowolność jej wyrażenia, a brak możliwości wysłania zapytania bez obligatoryjnego zaznaczenia zgody, jest niespełnieniem tego warunku. Kolejnym warunkiem jest możliwość odwołana zgody, co może spowodować brak możliwości udzielenia odpowiedzi przez Spółkę na otrzymane zapytanie.

 

Prawnie uzasadniony interes Administratora – art. 6 ust. 1 lit. f RODO. Taką podstawę prawną należy wskazać w obowiązku informacyjnym kierowanym do osoby korespondującej. W przypadku przetwarzania danych z wykorzystaniem formularza kontaktowego lub danych osoby kontaktującej się ze Spółką z wykorzystaniem innego kanału komunikacji, mamy pewność, że osoba kontaktująca się ze Spółką powinna się spodziewać, że zostanie jej udzielona odpowiedź, oraz że tej odpowiedzi oczekuje. Udzielenie odpowiedzi nie powinno również negatywnie wpłynąć na tę osobę lub wyrządzić jej krzywdę, za to brak możliwości udzielania odpowiedzi na zapytania np. klientów czy potencjalnych klientów, może negatywnie wpłynąć na cele biznesowe Spółki oraz jej wizerunek.

Spółka w przypadku korzystania z wyżej wskazanej podstawy prawnej zobowiązana jest również do dokonania oceny „czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”. Taka ocena jest potocznie nazywana testem równowagi i powinna zostać udokumentowana. Taka ocena bada dodatkowo, np.:

  • czy udzielenie odpowiedzi jest ważne nie tylko dla Spółki, ale i dla osoby zadającej pytanie,
  • czy cel może być osiągnięty w inny sposób,
  • czy udzielenie odpowiedzi może negatywnie wpłynąć na prawa tej osoby lub wyrządzić jej krzywdę oraz,
  • czy brak udzielenia odpowiedzi może negatywnie wpłynąć na Spółkę?

 

A jak wygląd formularz kontaktowy na Państwa stronie internetowej?

 

źródło:

opracowanie własne LAWBERRY Pietrzyk i Partnerzy, Radcowie Prawni sp. p.