FAQ - ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA
Wszystkie odpowiedzi na przesyłane do nas pytania oparte są o wiedzę, doświadczenie, profesjonalizm
i nie stanowią opinii prawnej.
Co do zasady - w przedstawionych sytuacjach zgoda musi być wyrażona przez osobę, której dane dotyczą, jeżeli jej nie ma, to Bank nie ma też prawa przetwarzać danych, które nie wynikają z przepisu prawa – a te nie wynikają.
Zatem jeśli do Banku wpłynie list z tego typu danymi lub do sprawy gdzie nie ma zgody wcześniejszej – to Bank powinien poinformować (a ma dane klienta), że otrzymane dane będą zniszczone bez zapoznawania się z ich treścią z uwagi na brak podstawy prawnej do przetwarzania. Można też (to szczególnie w przypadku otrzymania takich dokumentów drogą mailową) wezwać osobę w terminie np. 7 czy 14 dni do uzupełnienia braków w postaci wyrażenia zgody na przetwarzacie tego typu danych szczegółowych.
Zgodnie z Art. 112b Prawo Bankowe – „Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.”
Odpowiedź w pkt. 1
RODO dopuszcza przetwarzanie danych osobowych na podstawie realizacji prawnie uzasadnionych celów, w tym dochodzenia roszczenia (nie ma konieczności uzyskania od zadłużonej osoby zgody na przetwarzanie jej danych). Audytorzy nie otrzymali do analizy wewnętrznych przepisów dotyczących Biura Windykacji, dlatego nie odnieśli się do nich w zaleceniach ani w procesie aktualizacji dokumentacji.
Podkreślenia wymaga fakt, że Rozporządzenie zezwala na przetwarzanie danych osobowych jedynie tak długo, jak długo istnieje usprawiedliwiający je powód. Oznacza to, że wierzyciel powinien usunąć dane osobowe dłużnika po odzyskaniu dochodzonej należności. Proszę jednak pamiętać o innych obowiązkach prawnych ciążących na Banku, które zobowiązują Administratora Danych do ich przetwarzania.
Dodatkowo należy wspomnieć, iż Polski Związek Zarządzania Wierzytelnościami przygotowuje kodeks właściwego postępowania z danymi osobowymi w związku z RODO.
RODO nie zmienia przepisów w zakresie podmiotów z jakimi należy podpisać umowę powierzenia, a jedynie zakres zapisów umowy powierzenia.
W przypadku samorządowych jednostek oświatowych dyrektor reprezentuje szkołę, która nie ma osobowości prawnej, a w obrocie cywilnoprawnym uczestniczy, korzystając z osobowości prawnej swojej jednostki samorządu.
W opinii audytorów, nie zachodzi przesłanka do podpisania umowy powierzenia przetwarzania danych osobowych ze szkołą.
Stosowanie identyfikatorów zawierających imię i nazwisko oraz stanowisko nie narusza przepisów RODO. Ujawniają one dane osobowe, które są niezbędne do realizacji przez pracowników ich obowiązków służbowych i zapewnienia sprawnego działania zakładu pracy. Należy zwrócić uwagę , iż obowiązek noszenia identyfikatorów stanowi formę zabezpieczenia danych osobowych - pozwala on odróżnić pracowników od osób trzecich. Obowiązek noszenia przez pracowników identyfikatorów zawierających m.in. imię i nazwisko wynika z wewnętrznych uregulowań wydanych przez pracodawcę (np. z regulaminu pracy wydanego na podstawie art. 104 § 1 Kodeksu pracy). Regulamin ustala organizację i porządek pracy oraz związane z tym prawa i obowiązki pracowników.
Jedną z głównych zasad przetwarzania danych osobowych jest ich adekwatność do celu, w którym są przetwarzane, tym samym przekazywanie do KNF danych wykraczających poza niezbędny zakres nie jest zgodne z zasadami wynikającymi z przepisów RODO.
Zgodnie z definicją określoną zapisami art. 4 RODO pojęcie „administratora” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (…).
Zarząd banku jest jego organem statutowym powołanym do reprezentowania Banku (Administratora) w całym zakresie jego spraw, w tym zapewnienia ochrony danych osobowych, zatem członkom zarządu nie trzeba wydawać upoważnień do przetwarzania danych osobowych.
Umowę powierzenia należy podpisać w przypadku, gdy podmiot zewnętrzny przetwarza dane osobowe z upoważnienia i na polecenie Banku, dlatego też każdorazowo należy ocenić czy zachodzi sytuacja:
- powierzenia (ADO-podmiot przetwarzający),
- współpracy zachodzącej między dwoma administratorami (ADO-ADO).
Bez wątpienia umowy powierzenia należy podpisać z firma obsługującą monitoring wizyjny, świadczącą usługi informatyczne czy świadczącą usługi BHP.
W przypadku firmy szkoleniowej konieczność zawarcia umowy zależy od tego, czy Bank będzie przekazywał dane osobowe swoich pracowników firmie szkoleniowej, czy też nie.
Zgodnie z przewodnikiem UODO dotyczącym zatrudnienia jeśli zewnętrzna firma szkoleniowa prześle do Banku ofertę szkoleń i pracownicy Banku zdecydują się na skorzystanie z tych szkoleń, a następnie firma ta przekaże za pośrednictwem Banku formularze (zgłoszenia) do wypełnienia przez pracowników (poprzez wpisanie ich danych osobowych), wówczas firma szkoleniowa będzie administratorem danych osobowych uczestników szkolenia - w tym przypadku firma szkoleniowa może przetwarzać dane osobowe pracownika na podstawie jego zgody, jako administrator.
Natomiast, jeżeli Bank zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (by je przekazać firmie szkoleniowej) wówczas firma szkoleniowa będzie musiała zawrzeć z Bankiem umowę powierzenia przetwarzania danych osobowych pracowników Banku/uczestników szkolenia.
Co ważne zlecenie przeszkolenia pracowników nie zawsze będzie wiązało się z koniecznością przetwarzania ich danych - gdy np. firma zewnętrzna jedynie przeszkoli pracowników bez uzyskiwania jakichkolwiek informacji o nich (np. w postaci list obecności, innych dokumentów, zdjęć itp.), Bank nie musi zawierać z nią umowy powierzenia, ani w inny sposób regulować kwestii przetwarzania danych.
Przeprowadzenie oceny skutków dla ochrony danych osobowych zgodnie z treścią art. 35 ust. 3 RODO jest wymagana zawsze w przypadku operacji dotyczących:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO; lub systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Zgodnie ze stanowiskiem Prezesa UODO przesłanką do zainstalowania kamer monitoringu może być przede wszystkim wypełnianie obowiązku prawnego, jaki spoczywa na administratorze, wykonywanie zadań realizowanych w interesie publicznym albo uzasadniony interes administratora. Należy pamiętać, że w momencie, gdy obraz jest zapisywany, umożliwia on identyfikację osoby znajdującej się w obszarze monitoringu. Gdy dodatkowo wyposażony jest w narzędzia do analizy obrazu, przetwarzaniu ulegają dane biometryczne.
W komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony przeprowadzenie DPiA jest obligatoryjne dla systematycznego monitorowania na dużą skale miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni, przy czym do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa.
Zatem konieczność przeprowadzenie oceny skutków dla ochrony danych osobowych będzie w przypadku Banku uzależniona od celów w jakim jest zainstalowany i wykorzystany monitoring wizyjny oraz od przeprowadzonej analizy ryzyka (np. sprawdzenie obszaru jaki pokrywają kamery, zapisy umów z operatorami systemu, rodzaj zabezpieczeń itp.) i dopiero na tej podstawie Administrator będzie mógł stwierdzić, czy zachodzi konieczność przeprowadzenia oceny skutków.
Zgodnie z zapisami rekomendacji D dotyczącymi mechanizmów kontroli dostępu fizycznego winny one:
- zapewniać dostęp jedynie uprawnionych osób (tj. takich, w przypadku których konieczność posiadania dostępu wynika z zakresu obowiązków) oraz wszczęcie alarmu w przypadku prób dostępu podejmowanych przez osoby nieuprawnione,
- obejmować rejestrację ruchu osobowego.
Stosowane rozwiązania powinny być adekwatne do poziomu ryzyka związanego z komponentami ulokowanymi w danym pomieszczeniu, specyficznych uwarunkowań (w tym lokalowych) Banku oraz skali i charakteru prowadzonej działalności.
W pomieszczeniach, w których ulokowane są kluczowe elementy infrastruktury teleinformatycznej, poza sytuacjami wyjątkowymi nie powinno się zezwalać przebywającym tam osobom na fotografowanie, nagrywanie audio/video itp. a zezwolenia przewidujące wyjątki w tym zakresie powinny być udzielane przez odpowiednio upoważnione osoby oraz rejestrowane.
Zatem Bank biorąc pod uwagę ww. wytyczne winien przygotować zindywidualizowaną procedurę dostępu do serwerowni.
Z praktycznej strony:
- do serwerowni powinny mieć dostęp wyłącznie osoby posiadające upoważnienie,
- Bank powinien każdorazowo otrzymać informację, kto się pojawi, kiedy i w jakim celu,
- upoważniony pracownik Banku sprawujący pieczę nad serwerownią lub IOD winni przed wpuszczeniem takiej osoby do serwerowni zweryfikować tożsamość osoby (co najmniej przy jej pierwszym pojawieniu) oraz przebywać z nią w serwerowni przez cały czas jej pobytu,
- w rejestrze osoba winna wpisać imię i nazwisko, godzinę wejścia i wyjścia oraz cel wizyty – a w szczególnych przypadkach należy opisać zakres wykonanych prac.
- na pierwszej stronie rejestru zalecamy zamieszczenie klauzuli informacyjnej, dostosowanej do celu i zakresu przetwarzania.
IOD nie może wykonywać takich innych zadań, które mogłyby powodować konflikt interesów,
a taka sytuacja zachodziłaby gdyby IOD pełnił również funkcję np. ASI.
Funkcja administratora systemów informatycznych nie wynika wprost z przepisów prawa, ukształtowała się w ramach praktyki i powoływana jest w Bankach również w związku z Rekomendacją D KNF, która mówi między innymi o rozdzieleniu funkcji nadzorczej nad systemami informatycznymi od faktycznego administrowania nimi.
W praktyce funkcję ASI pełni osoba posiadająca odpowiednią wiedzę w zakresie IT, ale również być na bieżąco w temacie nowych zagrożeń oraz pojawiających się na rynku rozwiązań w tematyce bezpieczeństwa informacji.
ASI powinien współpracować z IOD w zakresie zabezpieczeń teleinformatycznych oraz doboru środków technicznych i organizacyjnych zapewniających bezpieczeństwo informacji w Banku. Należy zwrócić uwagę, iż dane osobowe w Banku są jedną z płaszczyzn informacji, które objęte są np. tajemnicą bankową. Nie należy zatem rozdzielać zadań w obszarze nadzoru nad bezpieczeństwem informacji od nadzoru nad bezpieczeństwem danych osobowych.
Administratorem Systemów Informatycznych jest osoba zobowiązana do zarządzania systemami informatycznymi wykorzystywanymi do przetwarzania danych osobowych. Jej podstawowym zadaniem jest bieżąca współpraca z Inspektorem Ochrony Danych mająca na celu ochronę przetwarzanych przez Bank danych osobowych w zakresie zabezpieczeń teleinformatycznych. Szczegółowe kompetencje oraz obowiązki ASI powinny każdorazowo zostać określone w umowie łączącej go z Bankiem czy w zakresie obowiązków.
W związku z faktem, ze RODO nie nakłada w zasadzie żadnych ram i nie wskazuje narzędzi, jakimi ma się posługiwać IOD to w gestii ADO i IOD leży ustalenie zakresów i harmonogramu sprawdzeń. Można a nawet zaleca się uwzględnienie realizowanych sprawdzeń przez stanowisko ABI.
Zadania IOD określa art. 39 RODO:
1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
w tym zakresie konieczne jest bieżące śledzenie przepisów prawa oraz komunikatów UODO oraz informowanie pracowników Banku ustalonymi kanałami komunikacji o zmianach oraz udzielanie odpowiedzi i porad na bieżąco.
2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
w tym zakresie konieczne jest:
- bieżące śledzenie przepisów prawa oraz komunikatów UODO, doradzanie Prezesowi Banku odnośnie koniecznych zmian oraz informowanie komórki ds. zgodności o konieczności dokonania uzgodnionych z ADO aktualizacji w procedurach
- przeprowadzanie szkoleń dla wszystkich pracowników Banku przetwarzających dane osobowe, nie rzadziej niż raz do roku
- zapoznawanie nowych pracowników Banku z przepisami dotyczącymi ochrony danych osobowych i bezpieczeństwa informacji – przed dopuszczeniem do przetwarzania danych osobowych – na bieżąco
- prowadzenie działań zwiększających świadomość – częstotliwość zależy od Państwa decyzji.
- organizacja audytów – nie ma wytycznych dotyczących częstotliwości, ani rodzaju audytów, przy czym zaleca się by audyt (przynajmniej wewnętrzny był przeprowadzani nie rzadziej niż raz na rok), a audyt zewnętrzny nie rzadziej niż raz na 3 lata.
3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
- na bieżąco
4. współpraca z organem nadzorczym;
- na bieżąco
5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz
w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
- na bieżąco
Administrator zgodnie z art. 28 ust. 1 RODO powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych
i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Administrator podejmuje decyzje o powierzeniu przetwarzania danych osobowych innemu podmiotowi na podstawie przeprowadzonej oceny przed zawarciem umowy. Oczywiście w przypadku kiedy już mamy umowy powierzenia podpisane, taką analizę i kontrolę podmiotów należy przeprowadzić i udokumentować. W RODO nie ma określonych okresów co ile kontrola powinna się odbyć, można przyjąć z praktyki, iż takie sprawdzenie należy przeprowadzać w cyklach rocznych lub w przypadku zaistnienia większych zmian u podmiotu przetwarzającego lub w zakresie powierzenia danych. Najlepiej jest uwzględnić taką kontrolę w SIZ w ramach sprawdzeń wykonywanych przez IOD.
Powierzenie przetwarzania danych osobowych innemu podmiotowi następuje na podstawie umowy zawartej na piśmie. Umożliwienie dostępu do tych danych bez uprzedniego zawarcia umowy nie jest możliwe.
Administrator może powierzyć przetwarzanie danych osobowych wyłącznie w zakresie przewidzianym w umowie oraz o ile podmiot przetwarzający zapewnia wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO.
Umowa o powierzeniu przetwarzania danych osobowych określa w szczególności:
- cel przetwarzania danych osobowych,
- zakres przetwarzania danych osobowych (rodzaj danych osobowych),
- kategorie osób, których dane dotyczą,
- zasady współpracy Administratora z Podmiotem przetwarzającym,
- zasady kontroli przeprowadzanych przez uprawnionych przedstawicieli Administrator w zakresie sposobu przetwarzania danych i zastosowanych metod zabezpieczających,
- zakres odpowiedzialności Podmiotu przetwarzającego, któremu powierzono przetwarzanie danych osobowych,
- postanowienia o przysługującym Administratorowi prawie kontroli sposobu przetwarzania danych osobowych i ich zabezpieczenia,
- postanowienia o możliwości żądania natychmiastowego ograniczenia przetwarzania powierzonych danych osobowych w razie stwierdzenia ich niedostatecznej ochrony,
- postanowienia o obowiązku powiadomienia Administratora w formie pisemnej
o fakcie usunięcia usterek przez Podmiot przetwarzający, któremu powierzono przetwarzanie danych osobowych, - postanowienia o zgłaszaniu Administratorowi naruszenia powierzonych danych osobowych.
W przypadku umowy, sporządzonej na innym wzorze niż wzór Banku, wymagana jest pozytywna opinia Inspektora Ochrony Danych Osobowych.
Administrator Danych Osobowych prowadzi rejestr umów powierzenia - oczywiście Bank może powierzyć prowadzenie takiego rejestru IOD lub innej komórce organizacyjnej.