Miesięcznik Benefit – miesięcznik kadrowych, kierowników i dyrektorów HR

Strona główna » Praca » Prawo

Bierzesz wizytówkę?

Bierzesz wizytówkę?
fot.istockphoto
Zgodnie z RODO zostajesz administratorem danych osobowych. Od 25 maja 2018 r. do ochrony danych osobowych osób fizycznych zastosowanie znajdzie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (zwanej dalej „Rozporządzeniem RODO”).

Ze względu na przewidziane przez Rozporządzenie RODO obowiązki i sankcje każdy podmiot, który przetwarza dane osobowe, powinien zweryfikować stosowane przez siebie procedury w tym zakresie. Jednym z obszarów, który należy poddać analizie, powinien być sposób pozyskiwania danych osobowych.
Uczestnicy obrotu gospodarczego często uczestniczą w spotkaniach biznesowych i networkingowych, biznes mixerach i innych eventach, na których wymieniają się wizytówkami. Niekiedy uczestnicy szkoleń czy konferencji w celu np. wzięcia udziału w losowaniu nagród czy otrzymania rabatów wrzucają swoje wizytówki do specjalnie do tego celu przygotowanych pojemników.
Pojawia się zatem pytanie, czy osoba, która pozyskała wizytówkę innej osoby, może, bez ograniczeń, dysponować danymi ujawnionymi na wizytówce, czy też podlega obowiązkom wynikającym z przepisów Rozporządzenia RODO.
Dane podawane na wizytówkach z reguły zawierają imię, nazwisko, numer telefonu, miejsce pracy i/lub stanowisko służbowe. Dane te stanowią zatem dane osobowe w rozumieniu art. 4 pkt1) Rozporządzenia RODO, tj. stanowią informację o zidentyfikowanej lub możliwej do zidentyfikowania, przy użyciu tych informacji, osobie fizycznej.
Rozporządzenie RODO wprost stanowi, że jego przepisy nie odnoszą się m.in. do przetwarzania danych osobowych osób prawnych, a w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej1, ani też do przetwarza nia danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze2.
W konsekwencji należy uznać, że przetwarzanie danych osobowych osób fizycznych, w jakimkolwiek innym zakresie, przez inne osoby (fizyczne lub prawne) w ramach prowadzonej przez nie działalności zawodowej podlega przepisom Rozporządzenia RODO. Zatem również przetwarzanie, czyli w szczególności zbieranie, utrwalanie, przechowywanie, przeglądanie lub niszczenie danych znajdujących się na wizytówkach, będzie podlegać procedurom przewidzianym w przepisach Rozporządzenia RODO.
Powyższe oznacza, że osoba, która zebrała wizytówki z danymi osobowymi osób fizycznych, musi zapewnić, by przetwarzanie odbywało się m.in. zgodnie z prawem, tj. na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie prawnej3. Sama zaś zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności. Wyraża ona dobrowolne, świadome przyzwolenie osoby, której dane dotyczą, na przetwarzanie jej danych. Wyrażenie zgody może polegać również na takim zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane jej przetwarzanie jej danych osobowych4.
Można uznać, że w ramach formalnych lub nieformalnych spotkań biznesowych kontekst udostępniania danych osobowych jest dla stron jednoznaczny: wizytówki wręcza się, by przedstawić się innym osobom, wrzuca się je do urny, by wziąć udział w losowaniu (przy czym zasady losowania określa organizator i informuje o tym osoby chcące wziąć w nim udział), podczas rozmowy przekazuje się wizytówkę z prośbą o kontakt (przy czym z rozmowy zazwyczaj wynika temat takiego późniejszego kontaktu).
W konsekwencji osoba otrzymująca wizytówkę może przetwarzać znajdujące się na niej dane tylko w celu oznaczonym/ uzgodnionym w sposób wskazany powyżej. W przypadku zamiaru wykorzystania pozyskanych danych w szerszym/innym zakresie konieczne będzie uprzednie uzyskanie zgody osoby, której dane dotyczą (chyba że z analizy przeprowadzonej przez administratora zgodnie z art. 6 ust. 4 Rozporządzenia RODO wynikać będzie możliwość przetwarzania w innym celu niż ten, w którym dane zostały zebrane5). Należy przy tym wskazać, że przepisy Rozporządzenia RODO nakładają na osoby przetwarzające dane osobowe obowiązek poinformowania osoby, której dane przetwarzają w momencie zbierania danych m.in. o swojej tożsamości, celach przetwarzania danych osobowych, podstawie prawnej przetwarzania, okresie, przez który dane osobowe będą przetwarzane lub też kryteriach ustalenia tego okresu, informację o odbiorcach danych osobowych – jeżeli istnieją – czy też o prawie do cofnięcia zgody w dowolnym momencie6. Rozporządzenie RODO stanowi, że udzielenie informacji nie jest konieczne, jeżeli m.in. osoba, której dane dotyczą, dysponuje już tymi informacjami7.
O ile można uznać, że w zakresie informacji o tożsamości obowiązek zostanie spełniony poprzez przekazanie wizytówki z danymi, to w odniesieniu do pozostałej części obowiązku informacyjnego wydaje się, że można będzie próbować posiłkować się np. kontekstem spotkania, podczas którego dochodzi do wymiany wizytówek. – np. jeżeli wymiana wizytówek następunastępuje w celu umówienia późniejszego spotkania, wówczas można uznać, że strony, w dorozumiany sposób, uzgodniły kryterium czasu przetwarzania. Powyższa interpretacja wynika z potrzeby praktycznego podejścia do spotkań biznesowych, jednak należy pamiętać, że zgodnie z przepisami Rozporządzenia RODO to administrator (czyli osoba, która ustala cele i sposoby przetwarzania danych osobowych8) jest odpowiedzialny za przestrzeganie określonych zasad przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie9.
Analogiczne zasady dotyczyć będą danych pozyskiwanych z rejestrów publicznych lub portali społecznościowych. To, jakie dane i w jakim celu są ujawniane w tych zbiorach, określają bądź przepisy prawa (np. ustawa o swobodzie działalności gospodarczej10 w odniesieniu do danych ujawnionych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej), bądź regulaminy korzystania z portali społecznościowych, które wskazują zasady ujawniania danych i zasady korzystania z informacji (danych) ujawnionych przez użytkowników. Każda osoba korzystająca z portalu akceptuje regulamin i, w konsekwencji, wyraża zgodę na przestrzeganie opisanych regulaminem zasad. Zatem wykorzystywanie danych osobowych pozyskiwanych ze wskazanych wyżej źródeł do innych celów, niż określony w przepisach prawa lub regulaminach, wymaga wdrożenia zasad i procedur przewidzianych przepisami Rozporządzenia RODO, a w szczególności wypełnienia obowiązków informacyjnych wobec osoby, której dane są przetwarzane.

KATARZYNA CZECHUŁA
radca prawny,
KPRF Law Office

Bibliografia:
1 Motyw (14) Rozporządzenia RODO. 2 Art. 2 ust.
2 Rozporządzenia RODO.
3 Art. 5 oraz art. 6 Rozporządzenia RODO.
4 Motyw (31) Rozporządzenia RODO.
5 Art. 6 ust. 4 Rozporządzenia RODO: Jeżeli przetwarzanie w innym celu niż cel, w którym dane zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie, niezbędny jest proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1. Administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane zostały zebrane – bierze pod uwagę m.in.: (a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania, (b) kontekst, w którym zebrano dane osobowe, a w szczególności relacje między osobami, których dane dotyczą, a administratorem, (c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub art. 10, (d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą, (e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowanie lub pseudonimizacja.
6 Art. 13 i art. 14 Motyw (61) Rozporządzenia RODO.
7 Motyw (62) Rozporządzenia RODO.
8 Art., 4 pkt 7) Rozporządzenia RODO.
9 Art. 5 ust. 2 Rozporządzenia RODO.
10 Ustawa z 7.07.2004 r. (tj. Dz.U 2017, poz. 2168).

2018-02-20 14:37 Opublikował: Benefit

Reklama:

tel. kom: 508-548-308

Redakcja:

Newsletter


Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowo-promocyjnych oraz na otrzymywanie od Spółki oraz podmiotów wchodzących w skład Grupy Kapitałowej Benefit Systems S.A. za pomocą środków komunikacji elektronicznej
... Rozwiń
Wyrażam zgodę na przetwarzanie moich danych osobowych przez Spółkę, zgodnie z ustawą z dn. 29.08.1997r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002r. Nr 101 poz. 926, ze zm.) w celach marketingowo-promocyjnych oraz wyrażam zgodę na otrzymywanie od Spółki i informacji handlowych za pomocą środków komunikacji elektronicznej, zgodnie z ustawą z dn. 18.07.2002r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.). Jednocześnie wyrażam zgodę na przekazanie moich danych osobowych przez Spółkę podmiotom z Grupy Kapitałowej Benefit Systems S.A. w celach marketingowo promocyjnych związanych z promocją lub reklamą produktów i usług oferowanych przez te podmioty jak również wyrażdam zgodę na otrzymywanie od tych podmiotów informacji handlowych za pomocą środków komunikacji elektronicznej, zgodnie z ustawą z dn. 18.07.2002r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.) Zgody mogą być odwołane w każdym czasie. Administratorem danych osobowych jest Benefit IP Spółka z ograniczoną odpowiedzialnością spółka komandytowa ul. Canaletta 4, 00-099 Warszawa. Dane osobowe będą przetwarzane w celach marketingowych i nie będą udostępniane innym odbiorcom. Ich podanie jest dobrowolne, a każda osoba ma prawo dostępu do treści swoich danych, ich poprawiania oraz wyrażenia sprzeciwu wobec ich przetwarzania.