SZKOŁA RODO. Wybór case ów omawianych podczas zajęć. Kancelaria Maruta Wachta sp. j.

Transkrypt

1 SZKOŁA RODO Wybór case ów omawianych podczas zajęć Kancelaria Maruta Wachta sp. j.

2 Kancelaria Maruta Wachta Kancelaria głównie znana z IT i nowych technologii Zwycięstwo w the Lawyer 2018 oraz w rankingu Rzeczpospolita 30-osobowy zespół RODO, wsparcie RODO dla ponad 100 organizacji

3 Zespół RODO 30 prawników oraz eksperci techniczni i biznesowi prawdopodobnie największy taki zespół w Polsce Nagroda 2018 Rzeczpospolitej Lider w dziedzinie ochrony danych W zakresie RODO pomogliśmy ponad100 organizacjom publicznym i prywatnym ze wszystkich dziedzin gospodarki

4 Usługi RODO SPECJALIZACJE IT i nowe technologie Telekomunikacja Sektor finansowy Energetyka e-commerce e-marketing Sieci handlowe i franczyzowe Sektor publiczny HR Branża produkcyjna

5 PRAKTYCZNE PODSTAWY RODO

6 Case 1 Spółka X prowadzi fanpage w portalu Facebook, w ramach którego informuje o swojej ofercie, promocjach oraz organizowanych konkursach. Użytkownicy odwiedzający fanpage mogą komentować oraz oceniać zamieszczane przez Spółkę X wpisy. Spółka X ma również możliwość korzystania z anonimowych statystyk dotyczących odwiedzin fanpage a, które są opracowywane przez Facebook (na podstawie danych zbieranych za pomocą plików cookies). Czy Spółka X jest administratorem danych użytkowników?

7 Case 2 Spółka X zleciła domowi mediowemu zrealizowanie kampanii marketingowej w postaci wysyłki newslettera do kobiet w wieku lat, mieszkających w Warszawie. Spółka X zapewniła sobie umownie możliwość weryfikacji osób, do których przesyłany jest mailing, jednak nie ma bieżącego dostępu do bazy danych tworzonej przez dom mediowy. Dom mediowy zamierza w przyszłości wykorzystywać zgromadzone leady w celu świadczenia usług dla innych klientów. Czy Spółka X powinna zawrzeć z domem mediowym umowę powierzenia?

8 Case 3 Pracownik spółki Y i wielbiciel piłki nożnej czyta w popularnych portalach wiadomości o życiu prywatnym piłkarzy i ich bliskich. Lektura odbywa się w czasie pracy oraz na sprzęcie firmowym. Pracownik zapisuje co ciekawsze artykuły w folderze na serwerze firmowym. Kierownictwo rozważa wprowadzenie zupełnego zakazu dostępu do popularnych portali oraz zapisywania materiałów niezwiązanych z pracą na firmowych zasobach. Czy działanie pracownika czyni ze spółki Y administratora danych sportowców i ich bliskich? Czy spółka powinna podejmować jakieś działania w związku z opisaną sytuacją?

9 Case 4 Spółka X otrzymuje pisemną korespondencję w różnych sprawach. Korespondencja zawiera niekiedy dane o nadawcach, które są spółce zbędne. Dotychczas korespondencja była archiwizowana tylko w segregatorach, jednak nowy system obiegu dokumentacji wymusił skanowanie dokumentów. Dotychczas IOD stał na stanowisku, że RODO nie należy stosować do danych z korespondencji, których spółka nie wykorzystywała. Powoływał się na wyjątek, z którego wynika, że do danych nieustrukturyzowanych nie stosujemy RODO (art. 2 RODO). Czy skanowanie korespondencji zmienia cokolwiek i czy IOD powinien zrewidować swoje stanowisko?

10 Case 5 Kamera zainstalowana w korytarzu i recepcji spółki X zapisuje nagranie ruchu w korytarzu. Nagrania zawierają wizerunki przechodzących korytarzem osób. Celem monitoringu korytarza jest zapewnienie bezpieczeństwa mienia i osób. Nagrania są przechowywane przez 6 miesięcy. Początkujący nerd ochrony prywatności (od niedawna w firmie) zwrócił uwagę, że dane z nagrań mogą zdradzać pochodzenie etniczne i należy monitoring wyłączyć. Wczuj się w sytuację wiceprezesa odpowiedzialnego za Compliance i odpowiedz na argumenty pracownika. Znajdź inny błąd spółki X.

11 UMOWY POWIERZENIA PRZETWARZANIA DANYCH

12 Case 1 Serwis Zamowobiad.pl umożliwia zamawianie posiłków z różnych restauracji. Właściciel serwisu zawarł z każdą z restauracji (na chwilę obecną jest ich 5000) umowę agencyjną, w ramach której określono współpracę stron, w szczególności zasady pośrednictwa właściciela serwisu Zamowobiad.pl w zawieraniu umów pomiędzy użytkownikami serwisu a restauracjami. Wdrażając RODO, właściciel serwisu Zamowobiad.pl stoi przed niełatwym logistycznie zadaniem zawarcia umowy z każdą z restauracji. Planuje wysłać maila do każdego kontrahenta ze wzorem umowy powierzenia, wskazując, że brak niezwłocznej odpowiedzi od restauracji poczytuje się za przyjęcie oferty zawarcia przesłanej umowy zgodnie z art. 68(2) Kodeksu Cywilnego.

13 Case 2 Zamawiający usługi IT, chcąc zabezpieczyć się na wypadek sytuacji, gdy konkretne zadanie wymagałoby szerszego niż z reguły dostępu do danych, proponuje dostawcy Smart Data zawarcie w umowie powierzenia następującego postanowienia: Zakres powierzenia wskazany w Załączniku do niniejszej Umowy może zostać zmieniony (rozszerzony lub ograniczony) przez Administratora w dowolnym momencie poprzez złożenie procesorowi stosownego oświadczenia w formie pisemnej pod rygorem nieważności. Smart Data obawia się, że powyższe postanowienie otwiera drogę do manipulowania przedmiotem umowy i zlecania zadań nieprzewidzianych pierwotnie w umowie.

14 Case 3 Spółka Szyj i Żyj świadczy usługi luksusowego krawiectwa, co wymaga gromadzenia danych klientów (np. ich wymiarów, upodobań odzieżowych itp.). Dane te przechowywane są przez Super Dane sp. z o.o. zajmujące się hostingiem. W umowie o świadczenie usług wskazano jedynie, że: Super Dane zobowiązuje się przechowywać dane na serwerach opisanych w załączniku nr 1, z zastosowaniem zabezpieczeń określonych w załączniku 2. Po zakończeniu umowy Super Dane zobowiązuje się zwrócić wszystkie dane Zamawiającemu. Umowa powierzenia zawiera wyłącznie standardowe postanowienia wynikające z RODO. Do Spółki Szyj i Żyj zgłosił się klient żądający zapomnienia danych żądanie okazało się częściowo skuteczne. Szyj i Żyj nakazało więc spółce Super Dane przeniesienie danych ze środowiska produkcyjnego do archiwalnego (przeznaczonego na ewentualne dochodzenie roszczeń). Wykonawca żąda jednak za takie działania dodatkowego wynagrodzenia.

15 Case 4 Spółka ANALYZE! świadczy usługi polegające na analizie danych osobowych przekazanych przez klientów i sporządzaniem ich profili. ANALYZE! wie o przysługującym administratorowi prawie do audytu, dlatego chciałaby zawrzeć w standardowej umowie powierzenia następujące postanowienia: Administrator jest uprawniony do przeprowadzenia audytu procesora raz do roku oraz w przypadkach stwierdzonego po stronie procesora naruszenia ochrony danych osobowych. W pozostałych przypadkach, przeprowadzenie audytu wiąże się z opłatą odpowiadającą kosztom procesora związanym z audytem w ryczałtowej wysokości zł. Audyt możliwy jest w dni robocze w godzinach Audyt nie może trwać dłużej niż 3 dni robocze ani być przeprowadzany częściej niż raz na 6 miesięcy. Audyt powinien być zapowiedziany z co najmniej 45-dniowym wyprzedzeniem. Administrator zobowiązany jest prowadzić audyt osobiście, bez możliwości jego zlecenia podmiotom zewnętrznym.

16 Case 5 Zamawiający wydawnictwo Kot Czy Pies zleca zewnętrznej firmie marketingowej Twoja Marka stałe prowadzenie badań satysfakcji oraz akcji marketingowych. Wynagrodzenie płatne jest od zlecenia, przy całkowitym budżecie umowy zł netto. Umowa zawiera następujące postanowienie: Całkowita odpowiedzialność wykonawcy ograniczona jest do wartości maksymalnego wynagrodzenia z tytułu umowy. Umowa powierzenia przetwarzania nie zawiera żadnych postanowień w zakresie odpowiedzialności. W wyniku niedbałości firmy marketingowej dane badanych klientów wyciekły do Internetu, co skutkowało nałożeniem na wydawnictwo Kot Czy Pies kary w wysokości zł oraz prawomocnym zasądzeniem odszkodowania na rzecz poszkodowanych w łącznej wysokości zł.

17 OBSŁUGA ŻĄDAŃ PODMIOTÓW DANYCH

18 Case 1 Pan Józef Twardowski zadzwonił do call center spółki Beza S.A. Zwrócił się z żądaniem potwierdzenia, że jego dane są przetwarzane. Analiza żądania pana Andrzeja wskazała, że Beza S.A. faktycznie przetwarza jego dane osobowe. Jednak system call center nie odnotował numeru telefonu pana Andrzeja. Brak jest innych danych kontaktowych. Jak powinna zachować się Beza S.A.? Czy spółka może nie realizować wniosku pana Andrzeja?

19 Case 2 Spółka CzytajMY prowadzi działalność wydawniczą oraz e-commerce. W celu założenia konta w jej serwisie internetowym niezbędne jest podanie adresu oraz wygenerowanie hasła. Na koncie gromadzone są informacje o historii zakupów i szczegóły dotyczące karty płatniczej (jeśli klient z niej korzysta). Do Spółki wpłynęło żądanie o następującej treści: Proszę o usunięcie mojego konta zakładałam je mniej więcej w marcu 2016 roku, na adres malaladypank@tlen.pl. Mail został przesłany z adresu: MyFairLady@tlen.pl W jaki sposób CzytajMy może zweryfikować tożsamość wnioskodawcy?

20 Case 3 Pani Helena Trojańska zwróciła się do spółki Beza S.A. na oficjalnym fanpage u spółki na Facebooku z wnioskiem o kopię danych. Procedura obsługi wniosków obowiązująca w spółce nie odnosi się do sposobu składanych wniosków, zaś na fanpage u widnieje informacja: Masz uwagi lub pytania? Napisz do nas na wallu! Czy spółka Beza S.A. powinna uznać ten wniosek za prawidłowo złożony? W jakiej formie powinna nastąpić odpowiedź?

21 Case 4 Spółka Szarlotka S.A. na swoim portalu internetowym prowadzi program lojalnościowy dla konsumentów MójDom. Do spółki zgłasza się Antoni Boryna, zarejestrowany w programie, z żądaniem: Chcę, abyście usunęli wszystkie dane na mój temat. Szarlotka S.A. przetwarza dane na podstawie: a) niezbędności do realizacji umowy, b) zgody na wysyłkę marketingu innych podmiotów z grupy, c) prawnie uzasadnionego interesu polegającego na wysyłaniu marketingu własnego, d) prawnie uzasadnionego interesu polegającego na przetwarzaniu danych w celu ochrony przed roszczeniami Jak w tej sytuacji powinna zachować się Szarlotka S.A. względem konsumenta, pana Antoniego?

22 Case 5 Spółka Tort S.A. prowadzi portal, na którym zarejestrowani klienci mogą oceniać i recenzować cukiernie prowadzące działalność w Polsce. W ramach rejestracji w portalu zbierane są informacje: imię, nazwisko, adres zamieszkania. Tort S.A., podczas korzystania przez użytkowników z portalu oraz aplikacji na urządzenia mobilne, zbiera informacje o odwiedzonych miejscach, godzinach logowania, wystawionej ocenie lokali. Tort S.A. stosuje w portalu pliki cookies, zbierające informacje o urządzeniach użytkowników. Użytkownik Jan Skrzetuski złożył do Tort S.A. wniosek o kopię danych. Jak powinna wyglądać odpowiedź? Jakie informacje powinna zawierać?

23 KLAUZULE INFORMACYJNE I ZGODY

24 Case 1 Robert B. zainteresowany zawarciem umowy o prowadzenie rachunku oszczędnościowego odwiedził oddział Banku Pełna Sakiewka z siedzibą w Warszawie przy ul. Bogatej 5. Po zapoznaniu się z ofertą Banku zdecydował się na założenie konta. Pracownik wprowadził do systemu dane osobowe z dowodu osobistego Roberta B. i przystąpił do przygotowania umowy, którą następnie Robert B. podpisał. W ramach prowadzonej działalności Bank współpracuje z firmą świadczącą na jego rzecz usługę IT oraz druku i wysyłki korespondencji. Bank powołał Inspektora Ochrony Danych Osobowych. Jakie informacje dot. procesu przetwarzania danych osobowych Bank powinien przekazać Robertowi B. i w jakim czasie?

25 Case 2 Bank Pełna Sakiewka zawarł z firmą sprzątającą Czysto umowę, w której Czysto zobowiązało się do realizacji codziennych czynności porządkowych w siedzibie Banku. Czysto na podstawie umowy cywilnoprawnej zleciło realizację tych czynności swoim Zleceniobiorcom. Z uwagi na funkcjonujący w siedzibie Banku system kontroli dostępu każda z osób sprzątających (Zleceniobiorców) musiała otrzymać kartę uprawniającą ją do wstępu do pomieszczeń w budynku Banku. W tym celu Czysto udostępniło Bankowi dane osobowe Zleceniobiorców (w zakresie: imię, nazwisko, podmiot zatrudniający), dla których miały zostać wyrobione karty dostępu. Bank zleca wyrobienie kart dostępu firmie Plakietka s.c. Kto, wobec kogo i który obowiązek informacyjny powinien zrealizować? Jakie informacje powinny zostać uwzględnione w treści obowiązku?

26 Case 3 Man Sp. z o.o. przydziela kilku swoim pracownikom samochody służbowe. W związku z tym ich dane osobowe przetwarza w następujących celach: a) przydzielenia samochodów służbowych, b) wypełniania przez administratora danych obowiązków nałożonych przez obowiązujące przepisy, w tym rozliczenia kosztów jego eksploatacji, c) obsługi wezwań kierowanych do administratora przez organy właściwe w sprawie popełnienia wykroczeń drogowych, d) obsługi awarii i szkód powstałych w trakcie korzystania z pojazdu, e) podejmowania ewentualnych czynności w związku z przeciwdziałaniem przestępstwom przeciwko administratorowi danych, f) dochodzenia ewentualnych roszczeń lub obrony przed ewentualnymi roszczeniami. Proszę sformułować obowiązek informacyjny w zakresie celów i podstaw prawnych przetwarzania.

27 Case 4 Mar Sp. z o.o. wprowadziła w siedzibie monitoring wizyjny obejmujący wejście do budynku i recepcję. Nagrania nadpisują się w cyklach 30 dniowych. W jaki sposób Spółka może zrealizować obowiązek informacyjny wobec osób, których wizerunek będzie przetwarzać? O jakich prawach Spółka powinna poinformować odbiorców obowiązku informacyjnego?

28 Case 5 Spółka X Sp. z o.o. zawarła ze Spółką Y Sp. z o.o. umowę handlową. W treści umowy Spółka X wskazała, iż osobą odpowiedzialną za realizację umowy oraz jednocześnie osobą do kontaktu po stronie Spółki X będzie jej pracownik Robert B. Czy Spółka Y Sp. z o.o. powinna zrealizować wobec Roberta B. obowiązek informacyjny? Jeżeli tak który, w jakim czasie i w jaki sposób?

29 NARUSZENIE OCHRONY DANYCH OSOBOWYCH

30 Case 1 Do hotelu zwrócił się mężczyzna. Powołując się na okazaną odznakę policyjną, zwrócił się o udostępnienie mu zapisu z monitoringu wizyjnego przy recepcji hotelu, wskazując na konkretną datę i godzinę. Hotel wnioskowany zapis udostępnił. Mężczyzna okazał się nie być policjantem, a pozyskane materiały wykorzystał przeciwko żonie w sprawie rozwodowej. Jej wizerunek oraz wizerunek innego mężczyzny, w którego towarzystwie była ta kobieta, był wyraźnie widoczny na przekazanym zapisie. Na zapisie widoczne były także wizerunki innych gości hotelu. Czy mamy do czynienia z naruszeniem? Czy występuje ryzyko naruszenia praw i wolności? Jakie ryzyko? Jakie skutki może wywołać naruszenie?

31 Case 2 Pracownik Spółki X, odchodząc z pracy, wysłał z konta służbowego na prywatny adres mailowy bazę danych klientów Spółki, aby ją wykorzystać we własnym biznesie. Z uwagi na duży rozmiar pliku system bezpieczeństwa wysłał stosowny alert do pracowników IT, jednakże ten został przez nich zignorowany. W kolejnym miesiącu działalności Spółki klienci zaczęli masowo rezygnować z jej usług. Wówczas Spółka zorientowała się, że doszło do pobrania przez byłego pracownika danych osobowych jej klientów. Od którego momentu należy liczyć 72 h na zgłoszenie naruszenia do PUODO?

32 Case 3 W wyniku wypadku komunikacyjnego bus przewożący archiwalną dokumentację bankową do zniszczenia przewrócił się na jezdni. W wyniku zdarzenia wysypały się na jezdnię niezabezpieczone dokumenty zawierające dane osobowe. Usługi transportu i niszczenia dokumentów dla banku świadczyła ta sama firma zewnętrzna. Jak powinien zachować się procesor? Od kiedy jest liczony moment stwierdzenia naruszenia? Czy należy zawiadomić osoby, których dane dotyczą?

33 Case 4 Osoba kontaktująca się ze Spółką za pośrednictwem contact center podała się za klienta i została poprawnie zweryfikowana, zgodnie z obowiązującymi procedurami. Ostatecznie jednak okazało się, że osoba ta nie jest klientem, a jedynie posiadała dane uwierzytelniające klienta (informacje o nr PESEL, nr faktury itp.). Czy należy powiadomić o naruszeniu osobę, której dane dotyczą?

34 Case 5 Do spółki zgłosił się klient jednego ze sklepów franczyzowych ze skargą na jego funkcjonowanie. Skarga ta została przekazana franczyzobiorcy z tego sklepu celem weryfikacji stanu w sklepie oraz podziękowania klientowi za przekazaną opinię. Obsługa sklepu rozpowiedziała w miejscowości, że klient złożył skargę. Zdarzenie miało miejsce w małym, kilkutysięcznym miasteczku. Czy u Franczyzodawcy doszło do naruszenia? Jeśli tak, w jaki sposób uzupełnić rejestr naruszeń? Czy u franczyzobiorcy doszło do naruszenia? Jeśli tak, w jaki sposób uzupełnić rejestr naruszeń?

35 PROWADZENIE REJESTRÓW W PRAKTYCE

36 Case 1 Spółka Little Dream przeprowadza inwentaryzację swoich procesów przetwarzania danych, na podstawie której sporządzi rejestr czynności przetwarzania. Dział HR spółki przygotował następujący opis wykonywanych przez siebie operacji przetwarzania: zbieranie informacji o kandydatach do pracy na podstawie CV nadesłanych w odpowiedzi na ogłoszenie o pracę, wstępna selekcja CV, wybór kandydatów, którzy zostaną zaproszeni na rozmowy rekrutacyjne, przeprowadzenie rozmów rekrutacyjnych, podczas których mogą zostać zebrane dodatkowe informacje o kandydatach, ocena kandydatów oraz wybór kandydata do pracy, zatrudnienie kandydata wybranego w wyniku przeprowadzonej rekrutacji. Jakie czynności przetwarzania należy wpisać w rejestrze czynności na podstawie opisu przygotowanego przez dział HR Spółki?

37 Case 2 Spółka Go with the Flow z siedzibą w Kiribati oferuje swoje wyroby artystyczne wykonane z surowców odzyskanych z odpadów wyrzucanych na brzeg przez ocean konsumentom z UE, którzy mogą nabyć je poprzez stronę internetową spółki, zwiększając jednocześnie swoją świadomość na temat wpływu ich zachowań jako konsumentów na stan środowiska. Czy spółka Go with the Flow ma obowiązek prowadzić rejestr czynności przetwarzania?

38 Case 3 W Grupie Przedsiębiorstw znajduje się 37 różnych spółek. Każda z nich jest administratorem danych w zakresie prowadzonej przez siebie działalności. W spółce matce (Cukiernia S.A.) jest prowadzone biuro obsługujące bezpieczeństwo przetwarzania danych osobowych dla wszystkich spółek w Grupie. Powstał pomysł, aby połączyć RCP oraz RKCP dla wszystkich spółek w Grupie. Uzasadnieniem jest fakt, że czynności przetwarzania są bardzo podobne w poszczególnych spółkach z grupy. Czy dopuszczalne jest prowadzenie jednego RCP dla Grupy?

39 Case 4 Szarlotka S.A. udostępnia, na podstawie zebranej zgody, dane swoich klientów do spółki Tort S.A., w celu świadczenia przez Tort S.A. własnego marketingu. Tort S.A. uważa, że powinna zostać zawarta umowa powierzenia danych (jakoby Tort powierzał dane Szarlotce). Ze względów biznesowych, korzyści związanych z procesem oraz pozycji negocjacyjnej, Szarlotka godzi się na podpisanie umowy. Do którego rejestru (RCP czy RKCP) powinien zostać wpisany proces?

40 Case 5 Zgodnie z ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu bank Zysk SA jest zobowiązany do przekazywania do Generalnego Inspektora Informacji Finansowej informacji o przyjętej wpłacie lub dokonanej wypłacie środków pieniężnych o równowartości przekraczającej euro (przekazywane informacje obejmują dane identyfikacyjne klientów banku). Ponadto, bank ma obowiązek zawiadamiać Generalnego Inspektora o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu w zawiadomieniu należy wskazać m.in. dane identyfikacyjne klientów banku, których dotyczy zawiadomienie. Czy Generalny Inspektor Informacji Finansowej powinien być uwzględniony w rejestrze czynności przetwarzania jako odbiorca danych klientów banku? Proszę uzasadnić swoje stanowisko.

41 HR ORAZ INNA DZIAŁALNOŚĆ PODSTAWOWA

42 Case 1 Dyrektor Generalny w Kancelarii Prezesa Rady Ministrów ogłosił nabór na stanowisko pracy w służbie cywilnej radcy Prezesa Rady Ministrów ds. merytoryczno-analitycznych. Zainteresowani kandydaci muszą m.in. złożyć oświadczenie o nieskazaniu prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe. Proszę ocenić, czy żądanie złożenia ww. oświadczenia nie było nadmiarowe. HR oraz inna działalność podstawowa

43 Case 2 Spółka Misty Blue zleciła agencji rekrutacyjnej Jack & James rekrutację na stanowisko dyrektora zarządzającego. W zleceniu Misty Blue zastrzegła jednak, że rekrutacja ma mieć charakter ukryty oraz agencja nie może ujawnić tożsamości Misty Blue kandydatom. Agencja ma przesłać do Misty Blue CV pięciu najlepszych kandydatów, z których Misty Blue wybierze dwóch i zaprosi ich na rozmowę. Wraz z zaproszeniem Misty Blue prześle do dwóch najlepszych kandydatów klauzule informacyjne. Czy prowadzenie rekrutacji ukrytej jest w świetle RODO dopuszczalne? HR oraz inna działalność podstawowa

44 Case 3 Spółka Misty Blue w regulaminie pracy wskazała, że zakazane jest korzystanie przez pracowników ze służbowej poczty elektronicznej w celach prywatnych. Pracownicy zostali poinformowani, że pracodawca może prowadzić monitoring poczty służbowej. W dniu 16 sierpnia 2018 r. spółka stwierdziła, że doszło do wycieku poufnych informacji, do których dostęp miało ograniczone grono osób, w tym Jan Kowalski. Spółka przeszukała służbową skrzynkę Jana Kowalskiego oraz ustaliła, że był on źródłem wycieku poufnych informacji. Jan Kowalki złożył pozew przeciwko Misty Blue zarzucając spółce naruszenie tajemnicy korespondencji oraz naruszenie jego prawa do prywatności. Czy zarzuty Jana Kowalskiego są słuszne? HR oraz inna działalność podstawowa

45 Case 4 Błyskawiczny Kurier S.A. zamierza zamontować w samochodach służbowych nadajniki GPS. Z części samochodów mogą korzystać pracownicy w celach prywatnych. Jakie warunki powinna spełnić spółka, aby proces był legalny? HR oraz inna działalność podstawowa

46 Case 5 Błyskawiczny Kurier S.A. uruchomił infolinię (tzw. czerwony telefon ), pod którym pracownicy mogą zgłaszać dostrzeżone przypadki niepożądanych zachowań (np. mobbing, molestowanie). Ze zgłoszenia sporządzany jest raport, który trafia do wewnętrznej komórki odpowiedzialnej za wyjaśnienie przypadku. Czy a jeżeli tak, to kiedy należy wypełnić obowiązek informacyjny w stosunku do osób podejrzanych o dokonanie naruszenia? HR oraz inna działalność podstawowa

47 MARKETING, MEDIA SPOŁECZNOŚCIOWE, TRANSFERY DANYCH

48 Case 1 Spółka produkująca soczewki kontaktowe postanowiła przeprowadzić konkurs. W konkursie może wziąć udział każdy. Aby wziąć udział w konkursie, należy polubić post konkursowy, a w komentarzu napisać odpowiedź na pytanie: Jak zniewalasz spojrzeniem?. Nagrodami w konkursie jest 10 maskotek bazyliszka. Tworząc klauzulę informacyjną, eksperci spółki nabrali wątpliwości, jaka będzie podstawa prawna przetwarzania danych uczestników konkursu. Rozważane warianty to zgoda, niezbędność do wykonania umowy oraz uzasadniony interes. Jaka jest podstawa przetwarzania danych osobowych na potrzeby konkursu? Przygotuj klauzulę informacyjną.

49 Case 2 Spółka A planuje rozpocząć wysyłkę newslettera. Newsletter ma zawierać informacje o produktach i usługach spółki A. Newsletter będzie wysyłany do osób, które wyraziły chęć jego otrzymywania. Spółka zniechęcona dotychczasową słabą klikalnością zgód zwróciła się do kancelarii z prośbą o opinię, czy jest możliwe kierowanie komunikacji tego typu bez odbierania zgód. Rozważ, czy istnieją alternatywne do zgody podstawy prawne przetwarzania danych osobowych we wskazanym celu. Zaproponuj treść klauzuli zgody.

50 Case 3 Spółka A postanowiła rozpocząć program lojalnościowy. Spółka chciałaby wykorzystać program do budowania bazy kontaktów w celu marketingowym oraz w oparciu o zgromadzone informacje lepiej dopasowywać przekaz marketingowy do indywidualnych klientów. Klienci będący członkami programu będą otrzymywać dedykowane rabaty. Otrzymają także jednorazowy bon w wysokości 50 zł na zakupy w sklepie internetowym spółki A. Zaproponuj formalnie poprawny model funkcjonowania takiego programu lojalnościowego. Rozważ podstawy prawne, interes biznesowy spółki A oraz inne obowiązki spoczywające na spółce A.

51 Case 4 Spółka X, będąca producentem kosmetyków, chce zoptymalizować swoje działania marketingowe. W tym celu postanowiła zlecić domowi mediowemu przeprowadzenie kampanii w Internecie, polegającej na wyświetlaniu określonej reklamy kobietom w wieku lat. Spółka X nie posiada technologii umożliwiające zbieranie tego rodzaju informacji o użytkownikach serwisów internetowych. Dom mediowy wysłał do Spółki Y (wydawcy serwisu beauty.pl) umowę, z której wynika, że Spółka Y ma obowiązek zebrać zgody oraz spełnić obowiązek informacyjny w imieniu Spółki X. Czy założenia umowy są prawidłowe?

52 Case 5 Spółka Y z siedzibą w Warszawie świadczy na rzecz Banku usługi utrzymania kluczowych systemów informatycznych. Spółka wykonuje większość działań samodzielnie, ale niektóre usługi świadczone są na rzecz Banku przez podwykonawcę Spółki Y małą firmę informatyczną, mającą siedzibę w Dubaju. W jaki sposób Spółka Y powinna zabezpieczyć transfer danych? Czy możliwe jest wykorzystanie modelowych klauzul umownych?

53 PRIVACY BY DESIGN, PREEWALUACJA I OCENA SKUTKÓW PRZETWARZANIA

54 Case 1 cz. 1 Proszę przeprowadzić ocenę ryzyka dla poniższego procesu: Świadczenie usługi Inteligentna lodówka. Producent lodówek firma SzronPol sp. z o.o. postanowiła wprowadzić do obrotu supernowoczesne, wielofunkcyjne lodówki. Lodówki firmy SzronPol wyposażone mają być w specjalne oprogramowanie dostarczane przez zewnętrzny podmiot. Oprogramowanie ma pozwalać na gromadzenie wielu informacji na specjalnej platformie (która została przygotowana przez innego dostawcę IT), gdzie każdy użytkownik ma mieć swoje własne konto. W ramach konta użytkownik będzie mógł m.in. sprawdzać kaloryczność produktów znajdujących się w lodówce; weryfikować, czy jego dieta jest odpowiednio zbilansowana; uzyskać informację o zbliżającym się upływie daty ważności określonych produktów; prowadzić bilans wydatków przeznaczanych na jedzenie.

55 Case 1 cz. 2 Lodówka ma być również połączona z systemami informatycznymi największych sieci spożywczych i pozwalać na automatyczne zamawianie produktów, które się kończą. Dodatkową funkcjonalnością lodówki ma być możliwość badania tętna i ciśnienia krwi dzięki czujnikom umieszczonym w uchwycie. Wszystkie dane mają być automatycznie wysyłane do centralnego systemu. Tam dane mają być zestawiane z informacjami o spożywanych produktach i oceniane ma być prawdopodobieństwo zachorowania na określone choroby. Jeżeli będzie ono wysokie, dane będą wysyłane do placówki medycznej. Użytkownik będzie mógł wyłączyć tę funkcję poprzez odpowiednie ustawienia w ramach swojego konta. SzronPol ma mieć dostęp do wszystkich danych, które będą gromadzone na platformie, będzie też decydować, w jaki sposób będą one wykorzystywane. Wszystkie dane (w tym informacje o potencjalnych chorobach) chce wykorzystywać w celach analitycznych.

56 Case 1 cz. 3 Platforma ma wykorzystywać rozwiązania chmurowe serwery, które będą przez nią używane, znajdują się w USA, Kanadzie oraz Indiach. Dostawca oprogramowania do lodówek będzie świadczyć na rzecz SzronPol usługi serwisowe, w ramach których uzyska dostęp do danych użytkowników. Zarząd SzronPol dowiedział się o wysokich karach finansowych, które mogą być nakładane na gruncie RODO. Zamówił więc ekspertyzę prawną w celu weryfikacji legalności planowanych działań. Ponieważ SzronPol do tej pory sprzedawał wyłącznie standardowe lodówki, w firmie nie zostały wdrożone żadne fizyczne ani techniczne środki ochrony systemów informatycznych. SzronPol przeszedł jednak audyt prawny zgodności z RODO i ma wszelkie procedury wymagane przez przepisy.

57 Szkoła RODO edycja jesienna już w październiku! Szczegóły wkrótce. Chcesz znać szczegóły przed innymi? Napisz do nas na newsletter_rodo@maruta.pl