Z cyklu Świat jest piękny

Agnieszka Wasilewska        31 sierpnia 2018        Komentarze (0)

Obowiązek informacyjny RODO cz. 2

Agnieszka Wasilewska        28 sierpnia 2018        Komentarze (0)

Czytając wpis Obowiązek informacyjny RODO mogłeś zwrócić uwagę na fakt, że opisuję szczegółowo wyłącznie te dane, które należy podać osobom, które przekazują nam samodzielnie swoje dane osobowe, np. Klient podaje nam swoje dane w celu zamówienia usługi. Prawdopodobnie pojawiło się wtedy pytanie, jak należy postąpić, gdy dane osobowe uzyskujemy nie od osób których te dane dotyczą, np. od pośrednika. Rozporządzenie RODO odnosi się również do takiej sytuacji i w dzisiejszym wpisie wyjaśnię Wam, jakich informacji należy wtedy udzielić osobom, których dane dotyczą. Pokrywają się one częściowo z informacjami udzielanymi osobom, od których otrzymujemy dane bezpośrednio, ale należy pamiętać również o dodatkowych informacjach.

Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;

d) kategorie odnośnych danych osobowych;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Poza tymi informacjami administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

e) informacje o prawie wniesienia skargi do organu nadzorczego;

f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wszystkie powyższe informacje należy podać w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych, a jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą lub jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa powyżej.

Powyższe zasady nie mają zastosowania, gdy – i w zakresie, w jakim: a) osoba, której dane dotyczą, dysponuje już tymi informacjami; b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO, lub o ile obowiązek, informacyjny może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie; c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub d) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Obowiązek informacyjny RODO

Agnieszka Wasilewska        15 czerwca 2018        3 komentarze

Rozporządzenie RODO wprowadza szereg obowiązków, również w zakresie działalności hotelarskiej. Jednym z takim obowiązków jest obowiązek informacyjny. Administrator danych osobowych ma obowiązek podejmować wszelkie odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w odpowiednich przepisach rozporządzenia, oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

W dzisiejszym wpisie opiszę, jakich informacji należy udzielić osobie, która podaje nam informacje na swój temat, przekazuje nam swoje dane osobowe.

Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
    jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  4. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  5. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania na określonych podstawach prawnych wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
  6. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  7. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  8. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  9. informacje o prawie wniesienia skargi do organu nadzorczego;
  10. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  11. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W poprzednim wpisie z tego cyklu (tutaj) zastanawiałam się, w jaki sposób opisany tam wyrok Trybunału Sprawiedliwości z dnia 16 lutego 2017r.  w sprawie C-641/15 wpłynie na orzecznictwo polskich Sadów w odniesieniu do obowiązku uiszczania przez hotele opłat na rzecz organizacji takich jak ZAIKS, STOART, czy SAWP. Przypomnę, że Trybunał uznał między innymi, że udostępnianie programów telewizyjnych i radiowych za pośrednictwem odbiorników telewizyjnych zainstalowanych w pokojach hotelowych nie stanowi udostępniania dokonywanego w miejscu dostępnym publicznie za opłatą.

Wielu komentatorów uznało, że wyrok ten przesądza kwestię opłat hoteli na rzecz tych organizacji, stwierdzając że udostępnianie telewizorów w pokojach hotelowych nie jest publicznym udostępnianiem. W moim wpisie wskazywałam na pojawiające się wątpliwości, wskazując na odmienne przepisy, na których gruncie zapadł wyrok Trybunału.

Pojawił się wyrok Sądu Apelacyjnego w Krakowie z dnia 7 marca 2017r. (sygn. akt I ACa 1420/16), w którym Sąd potwierdził  te wątpliwości. Sąd uznał, że wyżej wskazany wyrok Trybunału dotyczy innej sytuacji, a przedstawiona w nim interpretacja dotyczy innego przepisu. Sąd uznał w efekcie, że udostępnianie odbiorników telewizyjnych w pokojach hotelowych, jest publicznym udostępnianiem, z którym łączy się uzyskiwanie korzyści – należy więc wnosić opłaty na rzecz organizacji zbiorowego zarządzania prawami autorskimi (np. ZAIKS, STOART itp):

„W wyroku Trybunału Sprawiedliwości (EU) z dnia 31 maja 2016r. C-117/15 www. wskazano z powołaniem także na inne orzeczenia , że rozpowszechnianie utworów chronionych ma charakter zarobkowy, gdy użytkownik może osiągać dzięki temu rozpowszechnianiu korzyść gospodarczą związaną z atrakcyjnością i w konsekwencji z większą frekwencją w lokalu, w którym dokonuje tego rozpowszechniania. Dotyczy to także świadczenia dodatkowych usług, które wprawdzie nie realizują głównego celu prowadzonego obiektu lecz mają wpływ na komfort i atrakcyjność ośrodka, zapewniając mu tym samym przewagę konkurencyjną. Nie jest więc decydujące, że pozwani nie różnicują ceny pokoi w zależności czy gość chce korzystać z odbiornika lecz , że pokoje te są atrakcyjniejsze dla odbiorcy skoro można w nim korzystać z TV bez dodatkowych opłat. Nie potrzeba wykazywać faktu skorzystania z odbiornika i ewentualnej korzyści wynikającej z udostępnienia sprzętu skoro już sama możliwość uzyskania możliwości odbioru utworów audiowizualnych bez dodatkowych opłat zwiększa atrakcyjność hotelu a poprzez to wpływa na zwiększenie ilości gości. Nawet bowiem jeżeli strona pozwana nie pobiera opłat za udostępnianie odbiorników, który jest przekazywany przez dodatkowego pośrednika, któremu pozwani użyczyli odbiorników, to jednak zwykłe zasady doświadczenia życiowego wskazują, że możliwość odbioru TV wpływa na standard hotelu pozwanych a ten przekłada się na pośrednie korzyści wynajmu.”

Z ciekawością czekam na kolejne wyroki, które pozwolą nam poznać linię orzeczniczą w tej kwestii.

Nowe zasady ochrony danych osobowych – zgoda na przetwarzanie

Agnieszka Wasilewska        11 stycznia 2018        6 komentarzy

W dniu 24 maja 2018r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych, RODO). Rozporządzenie będzie miało duży wpływ na polskie regulacje w zakresie ochrony danych osobowych, bowiem zgodnie z prawem europejskim zapisy zawarte w rozporządzeniu będą stosowane bezpośrednio i nie będą wymagać implementacji. Rozporządzenie zakłada roczny termin na przystosowanie prawa przez kraje członkowskie do nowych regulacji, powyższy termin upływa w maju 2018r. Zgodnie z powyższym, przepisy niniejszego Rozporządzenia będą obowiązywać, bez wyjątku, od dnia 25 maja 2018r. Rozporządzenie zakłada duże zmiany w zakresie ochrony danych osobowych, ma na celu ujednolicenie przepisów na terytorium całej Unii Europejskiej oraz zagwarantowanie większego bezpieczeństwa przetwarzanym danym.

Rozporządzenie UE wprowadza nowe warunki uzyskania zgody na przetwarzanie danych – w większości jednak już wcześniej stosowane, gdyż zasady ich stosowania zostały wypracowane między innymi w wyrokach sądowych. Zgodnie z art. 7 ust. 1 Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Zgodnie z powyższym to na administratora (w naszym przypadku hotel, pensjonat  itp) został nałożony obowiązek udowodnienia, iż taka zgoda została mu udzielona. Warto więc posiadać podpisaną zgodę konsumenta. Co więcej, jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innej materii, zapytanie o zgodę na przetwarzanie danych musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W przeciwnym razie oświadczenie nie wywołuje skutków prawnych. Wymóg ten będzie powodował konieczność weryfikacji formularzy, które wykorzystuje się przy uzyskiwaniu zgody na przetwarzanie danych. Nowe formularze muszą być jasne i czytelne, tak aby uzyskana zgoda była wyraźna i nie budziła wątpliwości. Konsekwencje niezastosowania się do wyżej wspomnianych wymogów mogą skutkować brakiem skuteczności złożonego oświadczenia, ale również karami finansowymi, które opiszę w odrębnym wpisie.

Rozporządzenie zawiera nowe regulacje dotyczące wycofania zgody. Tak jak do tej pory osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, jednak nowe Rozporządzenie w jednoznaczny sposób stwierdza, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Nowe przepisy nakładają na administratora szczególne obowiązki, zgodnie  z którymi osoba której dane dotyczą musi być o tym  prawie  poinformowana, zanim wyrazi zgodę, zaś wycofanie zgody musi być równie łatwe jak jej wyrażenie. Ma to gwarantować większe prawa osobą  udostępniającym dane oraz również zwiększyć ich świadomość. Oczywiście na gruncie poprzednich przepisów też istniała możliwość odwołania zgody, ale teraz wzmocniono jej rolę. Konsekwencją tego będzie konieczność  zawarcia w formularzu dotyczącym udzielenia zgody na przetwarzanie danych wyraźnej informacji dotyczącej prawa do wycofania zgody.