Prepare your company for GDPR – questions from Q&A webinar session | Przygotuj się na RODO – pytania z sesji Q&A
Podczas transmisji dostaliśmy sporą ilość pytań dotyczących RODO. Przedstawiliśmy pytania Pani Agacie Kowalskiej, która była naszym gościem podczas webinaru. Zapraszamy do czytania i oglądania nagrania z webinarium.
Please scroll down for English version.
Radca prawny, partner zarządzający w Chabasiewicz Kowalska i Partnerzy. Specjalizuje się w transakcjach fuzji i przejęć, obsłudze prawnej inwestycji VC/PE oraz w prawie spółek. Ma wieloletnie doświadczenie w doradztwie związanym z ochroną praw własności intelektualnej, e-commerce oraz danych osobowych. Współpracuje z funduszami inwestycyjnymi oraz startupami, głównie z branży nowych technologii oraz doradza przy wprowadzaniu spółek na New Connect. Prowadzi liczne szkolenia i warsztaty dla przedsiębiorców, w szczególności z zakresu prawa Internetu, ochrony własności intelektualnej, danych osobowych oraz umów inwestycyjnych.
Piotr Jaśniak: Czyli nie mamy się posługiwać sformułowaniem danych wrażliwych w dokumentacji ?
Agata Kowalska: Dotychczas w polskim porządku prawnym dane szczególne były określane jako dane wrażliwe. Natomiast RODO nie zawiera już tego pojęcia, posługuje się za to tzw. szczególnymi kategoriami danych osobowych, w związku z czym rekomendujemy, by w dokumentacji posługiwać się właśnie pojęciem „szczególne kategorie danych osobowych”.
Madridista: A jeżeli przetwarzamy dane w „chmurze: np. na infrastrukturze Microsoft Azure to czy RODO obowiązuje nas czy wystarczy że MS spełnia wymogi?
Agata Kowalska: Administrator powinien korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych celem zabezpieczenia danych. Również w takim przypadku przepisy RODO znajdą zastosowanie do samego administratora, który winien wypełniać obowiązki, nałożone na niego przez RODO, jak dla przykładu – obowiązek informacyjny.
Madridista: A jeżeli osoba fizyczna reprezentuje firmę i nawiązuje kontakt z inna osoba fizyczna, która reprezentuje inna firmę – i oni umawiają się na kawę to jak ma się do tego RODO?
Agata Kowalska: W przypadku gdy osoby fizyczne, mimo pełnienia przez nie różnych funkcji w określonych firmach czy też organizacjach umawiają się na kawę, i jest to spotkanie o charakterze czysto osobistym – przepisy RODO nie znajdą zastosowania. RODO przewiduje bowiem sytuacje, które nie będą objęte zakresem zastosowania RODO. Należy do nich m. in. przetwarzanie danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.
Madridista: I jeśli to kawa biznesowa to musimy potem prosić o pozwolenie na napisanie maila?
Agata Kowalska: Rekomendujemy, by w przypadku pierwszego kontaktu mailowego, go którego dojdzie po spotkaniu biznesowym (innym niż o czysto osobistym lub domowym charakterze), spełnić obowiązek informacyjny względem tej osoby, np. w treści, bądź w stopce maila.
Piotr Jaśniak: jak wygląda sytuacja publikacji w mediach społecznościowych publikacja wizerunku osób uczestniczących w konferencji, wydarzeniu, czy poza zgodą na przekazanie danych uzyskujemy również zgodę na publikację ? jaki mamy wpływ na późniejszą ochronę tych danych, ich kopiowanie, przetwarzanie ?
Agata Kowalska: Wizerunek jest chroniony na dwóch płaszczyznach: danych osobowych oraz ustawy o prawie autorskim i prawach pokrewnych. Wykorzystanie wizerunku może nastąpić po wcześniejszym odebraniu zgody. Wydaje się, że rozwiązaniem dopuszczalnym będzie uzyskanie jednej zgody na wykorzystanie wizerunku. Zgoda powinna być jednak skonstruowana w taki sposób, by osoba jej udzielająca miała świadomość, że przetwarzane będą jej dane osobowe.
Karolina: Prowadzę Call Center kilku moich konsultantów zawiera umowy pracując z domu, dzwonią ze swojego komputera z mojego systemu do którego dostają dostęp ode mnie, bazę danych mają zaimportowaną do systemu(NIP i numer telefonu) ale do zawarcia umowy z klientem muszą pobrać nr dowodu, pesel i dane firmy. Dane te wpisują do formatki na dysku Google. Czy teraz będzie to możliwe?
Agata Kowalska: Zwracamy uwagę na to, że wykonywanie przez pracowników pracy na prywatnym komputerze rodzi wiele zagrożeń na gruncie ochrony przetwarzanych danych osobowych. Rekomendujemy, by pracownik wykonywał pracę na komputerze należącym do pracodawcy. W takim przypadku pracodawca będzie mógł skontrolować, czy dane przetwarzane są w sposób prawidłowy. Komputer powinien posiadać zabezpieczenia adekwatne do stopnia ryzyka. Do przykładowych zabezpieczeń należą: szyfrowanie danych, szyfrowany serwer, oprogramowanie antywirusowe, zmiana haseł dostępu.
Grzegorz: Czy wszystkie te działania są bezpłatne? Trochę inna branża, ale np. jeśli poproszę o przeniesienie danych z banku do banku? Te działania mogą być dość kosztotwórcze nawet w naszej branży: np. zapomnienie, jeśli ma być skuteczne, lub przeniesienie wszystkich danych.
Agata Kowalska: W przypadku żądania przez osobę uzyskania kopii swoich danych, które administrator przetwarza, pierwsze takie żądanie powinno być spełnione bez pobrania opłaty. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.
RODO nie przewiduje możliwości pobierania opłaty za skorzystanie z prawa do przeniesienia danych, natomiast ogranicza obowiązek administratora do przesłania danych innemu administratorowi na żądanie zainteresowanej osoby do sytuacji, w których takie przekazanie jest technicznie możliwe. Obowiązek ten obowiązuje administratora, jeśli podstawą przetwarzania jest zgoda lub umowa, lub jeśli przetwarzanie odbywa się w sposób zautomatyzowany. Skorzystanie z prawa do bycia zapomnianym również nie powinno być odpłatne.
W przypadku, gdy żądania osoby, której dane dotyczą są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter (administrator ma obowiązek wykazać powyższe), administrator może pobrać za nie opłatę w rozsądnej wysokości lub odmówić podjęcia działań.
Deptajkisiel: Co w sytuacji baz danych dziennikarzy (imię i nazwisko, adres e-mail) do celów PR, pozyskanych ze stron internetowych i korespondencji – czy przed 25 maja należy te dane odświeżyć, pozyskać zgodę?
Agata Kowalska: Administrator powinien wypełnić obowiązek informacyjny względem tych osób. Kwestia odświeżania zgody jest dyskusyjną, jednakże w przypadku przesyłania klauzuli informacyjnej danemu dziennikarzowi, rekomendujemy również przesłać odpowiednie klauzule dotyczące zgód oraz zweryfikować prawidłowość zebranych danych osobowych.
Grzegorz: Nie rozumiem ograniczenia profilowania. Ono zawsze opiera się na szczególnych danych: wieku, płci itp. Czy jest tu określona grupa danych których profilowanie nie może dotyczyć? Jeśli tak, to jaka?
Agata Kowalska: Zgodnie z RODO podejmowanie decyzji wyłącznie w oparciu o profilowanie, które wywołuje wobec danej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, nie może opierać się na ‘szczególnych kategoriach danych osobowych’. Wyjątek zachodzi w przypadku, gdy osoba, której dane dotyczą wyrazi wyraźną zgodę na przetwarzania tych danych osobowych, bądź gdy przetwarzanie jest niezbędne dla ważnego interesu publicznego.
Za szczególne kategorie danych osobowych uznaje się dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Grzegorz: Kto te kary konsumuje? Czy można się obawiać (tak jak było w przypadku mandatów za prędkość), że powstanie z tego źródło dochodów państwa? Bo naruszenia na pewno będą – nie jest możliwe 100% zabezpieczenie.
Agata Kowalska: RODO nadaje organowi nadzorczemu uprawnienia w zakresie bezpośredniego nakładania sankcji finansowych oraz zwiększa wysokość tych kar. Kary pieniężne będą nakładane w drodze decyzji administracyjnej i będą stanowiły dochód Skarbu Państwa. Należy jednak zauważyć, że jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Przy określaniu wysokości kary, organ powinien uwzględniać m.in. charakter, wagę, czas trwania naruszenia, umyślność naruszenia, działania podjęte dla zminimalizowania szkody, stopień odpowiedzialności, czy też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu. Ministerstwo Cyfryzacji wskazuje, ze kara powinna być ostatecznością. Szczególnie w początkowym okresie obowiązywania RODO, można spodziewać się upomnień i ostrzeżeń o charakterze informacyjnym.
Michał Węgrzynowski: Dzień dobry, dziękuję za wszystko, jak się ma ograniczenie profilowania do algorytmu przydzielającego rabaty dla klientów na podstawie historii i aktywności. Tu cena w praktyce staje się różna dla różnych osób?
Agata Kowalska: Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Wydaje się, że w przypadku wskazanym w pytaniu dochodzi do profilowania, w związku z czym konieczne jest wyrażenie przez osoby, których dane dotyczą stosownych zgód. Do profilowania natomiast nie będzie dochodzić w przypadku, gdy przetwarzanie nie będzie automatyczne, tj. niezbędnym będzie skorzystanie z czynnika ludzkiego.
Krzysztof Leśniewski: Jeżeli wykupujemy usługę e-sklepu od firmy zewnętrznej to kto odpowiada za bezpieczeństwo tych danych?
Agata Kowalska: Jeśli w ramach usługi, powierzają Państwo (administrator) dane podmiotowi zewnętrznemu, który będzie przetwarzał dane w Pańskim imieniu (podmiot przetwarzający), powinni Państwo zawrzeć z tym podmiotem umowę przetwarzania danych. Umowa ta powinna określać obowiązki podmiotu przetwarzającego tak, aby przetwarzanie odbywało się zgodnie z RODO. Zasadniczo, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Michał Węgrzynowski: Co jest w praktyce dowodem właściwej zgody na wykorzystanie danych osobowych?
Agata Kowalska: Udokumentowanie zgody zależeć będzie od sposobu pozyskania zgody. W przypadku gdy zgoda została udzielona w formie papierowej, dowodem będzie ów dokument z treścią wyrażenia zgody, natomiast w przypadku, gdy zgoda zostanie udzielona za pośrednictwem serwisu internetowego konieczną będzie konsultacja z działem IT celem wyboru najlepszego sposobu udowodnienia pobrania zgody, np. logi, recordy.
Nasz formularz rejestracji zmieniał się z 10 razy. Nawet nie ma historii kto jakim formularze się rejestrował.
Czy prawo działa wstecz?
Agata Kowalska: Jedną z podstawowych zasad przetwarzania danych, o których mówi RODO jest zasada rozliczalności, zgodnie z którą administrator musi być w stanie wykazać organowi nadzorczemu, że przetwarzanie odbywa się zgodnie z prawem. Jeśli podstawą przetwarzania jest zgoda udzielona przez osobę w ramach wypełnienia formularza, administrator powinien potrafić udowodnić wyrażenie zgody. W przypadku korzystania po 25 maja tego roku z danych osobowych, mimo, że administrator nie będzie w stanie udowodnić wyrażenia zgody na przetwarzanie danych osobowych, istnieje ryzyko uznania takiego przetwarzania za niezgodne z RODO. W związku z powyższym zaleca się w takich przypadkach tzw. odświeżenie zgód.
Michał Węgrzynowski: Czy prawo do usunięcia konta w serwisie społecznościowym nie jest jednocześnie prawem do zaprzestania przetwarzania danych? Obecnie taki mamy zapis: nie chcesz, abyśmy przetwarzali – usuń konto.
Agata Kowalska: Wydaje się, że nie ma przeciwwskazań, by w przypadku, gdy brak jest innych podstaw do przetwarzania danych osobowych, a dany użytkownik nie chce, by jego dane osobowe były przetwarzane, po zgłoszeniu takiego żądania przez użytkownika, administrator usuwał jego bezpłatne konto z systemu.
English version
We received quite a number of questions during the webinar about GDPR. We presented these questions to Agata Kowalska, who was our guest and specialist.
Agata Kowalska, legal advisor and managing partner in Chabasiewicz Kowalska i Partnerzy. She specialises in M&As, legal services relating to VC/PE and company law, has several years’ experience in consultancy with regard to the protection of intellectual property rights cooperates with funds and start-ups, mainly from the new technologies sector. She participates in the management and coordination of legal due diligence of businesses offers consultancy services relating to the listing of companies on New Connect. Agata organises many trainings and workshops for entrepreneurs, in particular with regard to the protection of intellectual property rights, copyright and investment agreements publishes articles on intellectual property law, Internet law etc.
Piotr Jaśniak: Should we use the word “sensitive data” in the records?
Agata Kowalska: So far, in the Polish law order, special data has been called sensitive. GDPR however, does not use this term anymore. It uses so called “special personal data categories”, that is why we recommend sticking to that wording.
Madridista: What if we process data in the cloud, f.e. in Microsoft Azure? Is it enough for Microsoft to meet the GDPR requirements?
Agata Kowalska: The admin of the data is supposed to only use service of subjects, which grant enough technical and organizational measures to provide data safety. In this case, GDPR obligates the administrator as well. He has to follow the rules, like informative duty.
Madridista: What if we meet a person during an event and we want to invite them for a business coffee. Do we have to ask them for permission to contact them in the first place?
Agata Kowalska: In case of first contact via email, which can occur after a business meeting (of other than personal character), we recommend informing the person first. You can do that by leaving that information in the email footer for example.
Piotr Jaśniak: What about publishing a picture in social media of people who attended your event, conference or whatever the case may be. Do we have ask for permission to publish such pictures, besides the regular agreement to use their personal data?
Agata Kowalska: A person image is protected in terms of personal data and copyright act. Using a person’s image is permitted after prior agreement. It seems, the best solution here would be to get one agreement to use these people’ image. Consent should, however, be structured in such a way that the person giving it should be aware that personal data will be processed.
Karolina: I run a Call Center, some of my consultants conclude contracts working from home, they call from their computers from my system to which they get access from me, database is first imported into the system (NIP and phone number), but to conclude a contract with the customer, they must get their ID number, PESEL and company data. These data is entered into the Google Drive format. Will it be possible now?
Agata Kowalska: We would like to draw your attention to the fact that employees’ work on a private computer rises many risks in the area of protection of personal data being processed. We recommend, that the employee performs work on a computer belonging to the employer. In this case, the employer will be able to check whether the data is processed correctly. The computer should have security adequate to the degree of risk. Examples of security are: data encryption, encrypted server, antivirus software, change of passwords.
Grzegorz: Are all of these actions free? A bit different industry – but for example, if I ask for transferring data from the bank to the bank? These activities can be quite cost-generating.
Agata Kowalska: If a person requests a copy of their data the administrator processes, first request should be fulfilled without charging a fee. For any further copies requested by the data subject, the administrator may charge a reasonable fee resulting from administrative costs.
GDPR does not provide possibility of charging a fee for exercising the right to transfer data, but limits the administrator’s obligation to send data to another administrator at the request of the person concerned, to situations where such transfer is technically possible. This obligation applies to the administrator, if the basis for the processing is consent or contract, or if the processing takes place in an automated manner. Making use of the right to be forgotten should also not be payable.
If the data subjects’ demands are clearly unjustified or excessive, in particular due to their permanent nature (the administrator is required to prove the above), the administrator may charge a reasonable fee or refuse to take action.
Deptajkisiel: What about journalists databases (full names and email adresses) to be used for PR purposes, obtained from websites and correspondence? Should this data be refreshed before May 25th or/and should I obtain new consent?
Agata Kowalska: The administrator should fulfill the information obligation regarding these people. The issue of refreshing consent is debatable, however, if the information clause is sent to a given journalist, we also recommend sending appropriate consent clauses and verifying the correctness of collected personal data.
Grzegorz: I don’t understand the limitations in terms of profiling. It always relies on specific data: age, gender, etc. Is there a data group defined here that can not be profiled? If so, what kind of data?
Agata Kowalska: According to GDPR, making decisions solely on the basis of profiling, which has legal effects on a given person or has a significant effect on a given person, can not be based on ‘specific categories of personal data’. The exception occurs when the data subject expressly agrees to the processing of such personal data or when processing is necessary for an important public interest.
Data we are talking about is – personal data revealing racial or ethnic origin, political opinions, religious or ideological beliefs, trade-union membership, and genetic data, biometric data to uniquely identify a natural person or health, sexuality or sexual orientation data are considered to be specific categories of personal data. persons.
Grzegorz: Who consumes these punishments? Should we be afraid (as was the case with speed tickets), that fines resulting from GDPR will become a source of state income?
Agata Kowalska: The RODO gives the supervisory authority the power to impose financial sanctions directly and increases the amount of these penalties. Financial penalties will be imposed by an administrative decision and will constitute State Treasury income. However, it should be noted, that if the violation is low or if the imposition of a fine would constitute a disproportionate burden for an individual, a warning can be given instead. When determining the amount of the penalty, the authority should take into account the nature, weight, duration of the infringement, the intentionality of the breach, the actions taken to minimize the damage, the degree of liability, or the way the supervisory authority learned of the breach. The Ministry of Digitization indicates that punishment should be a last resort. Particularly in the initial period of the GDPR, information warnings and warnings can be expected.
Michał Węgrzynowski: Hello, thanks for everything! As to the limitation of profiling – does the algorithm that grants discounts to customers based on their browsing history and activity is also a matter of discussion here? In this case, the price is different for different people.
Agata Kowalska: The data subject has the right not to be subject to a decision, which is based solely on an automated processing, including profiling, and has legal effects or substantially affects the person. It seems that in the case indicated in the question, profiling takes place, therefore it is necessary to give expression to those concerned with the relevant consents. In terms of profiling, however, it will not be a problem if the processing is not automatic, i.e. it will be necessary to use the human factor.
Krzysztof Leśniewski: What if we buy an e-store service from an external company, who is responsible for the security of this data?
Agata Kowalska: If, as part of the service, you entrust data to an external entity, that will process data on your behalf (the processor), you should conclude a data processing agreement with that entity. This contract should specify the obligations of the processor in such a way that the processing takes place in accordance with the GDPR. In principle, any person who has suffered material or non-material damage, as a result of a breach thanks to the GDPR he has the right to obtain compensation from the controller or the processor for the damage suffered. Each administrator participating in the processing is liable for damage caused by processing infringing the GDPR. The processing entity is liable for damage caused by processing only if it has not fulfilled the obligations that the GDPR imposes directly on the processors, or if it has acted outside the lawful administrator’s instructions or against these instructions.
Michał Węgrzynowski: What is the real proof of a correct consent to use personal data?
Agata Kowalska: Documentation of consent will depend on the method of obtaining consent. If the consent was given in paper form, the document with the content of the consent will be the proof, whereas if consent is given via the website it will be necessary to consult the IT department to choose the best way to prove the consent, e.g. logs, records .
Our form has changed many times. There is no record of who used which version of the form to register. Is the law retroactive?
Agata Kowalska: One of the basic principles of data processing referred to, by the GDPR is the accountability principle, according to which the administrator must be able to demonstrate to the supervisory authority, that the processing is carried out in accordance with the law. If the basis for processing is the consent given by a person as part of completing the form, the administrator should be able to prove consent. If you use personal data after 25 May this year, the administrator might not be able to prove your consent to the processing of personal data, there is a risk that such processing will be considered incompatible with the GDPR. In connection with the above, it is recommended in such cases to do so-called refresh of consents.
Michał Węgrzynowski: Is the right to delete an account on a social network not the right to stop processing data at the same time? Currently, we have this record: you do not want us to process your data – delete your account.
Agata Kowalska: It seems that there are no contraindications, for the administrator to delete your data, if there are no other grounds for processing personal data and the user does not want their personal data to be processed (after deleting their account).