5.10.2018

A.J.Zespół e-prawnik.pl

A.J.
Zespół e-prawnik.pl

Przetwarzanie danych przy rekrutacji pracowników a RODO

Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać?

Rekrutacja po nowemu

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Lepsza ochrona danych każdego człowieka - to - według prawodawców - główny cel tych zmian. 

RODO i nowe polskie regulacje to ogromna reforma podejścia do ochrony naszej prywatności. Powodują zmiany również w obszarze zatrudnienia, m.in. zmiany w rozmowach rekrutacyjnych i potwierdzaniu przez pracodawców informacji podawanych przez kandydatów w CV. W skrócie: po wejściu w życie nowych przepisów pracodawca nie może pozyskać innych danych na temat pracownika niż te, na których wykorzystanie pracownik się zgodził się.

Porady prawne

Żądać tylko tyle, ile pozwalają przepisy

Bez względu na to, w jaki sposób pracodawca będzie poszukiwał kandydatów do pracy, proces ten zawsze będzie wiązał się z pozyskiwaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych (np. CV, listach motywacyjnych, świadectwach pracy, listach referencyjnych, zaświadczeniach itd.). Pracodawca od osób ubiegających się o zatrudnienie może żądać podania jedynie tych danych, do zbierania których uprawniają go przepisy prawa. 

Pracodawca powinien przetwarzać tylko takie dane, które są niezbędne ze względu na cel ich zbierania, jakim jest podjęcie przez niego decyzji o zatrudnieniu nowego pracownika. Pracodawca nie może zatem żądać od kandydata danych nadmiarowych, które nie są niezbędne do przeprowadzenia rekrutacji.

Dane osobowe nie mogą być zbierane "na zapas", „na wszelki wypadek”, tzn. bez wykazania zgodnego z prawem celu ich pozyskania i wykazania ich niezbędności dla realizacji tego celu przez administratora. Dane nie mogą więc być zbierane „na zapas” ani „na wszelki wypadek”, gdy pracodawca dopiero rozważa zatrudnienie kogoś w bliżej nieokreślonym czasie.

Niezgodne z przepisami o ochronie danych osobowych jest również prowadzenie rekrutacji „ślepych” lub „ukrytych”, czyli takich, w których pracodawca poszukujący pracowników pozostaje anonimowy. 

Ponadto żądanie przez pracodawcę od kandydatów do pracy informacji wykraczających poza to, co przede wszystkim przewidują przepisy prawa pracy może naruszać zarówno postanowienia RODO, jak i przepisy prawa pracy, rodząc np. zarzut dyskryminacji.

Po zakończeniu rekrutacji dane kandydatów powinny być niezwłocznie usunięte – chyba że ze względu na zainteresowanie przyszłymi naborami sami wyrażą zgodę na dłuższe wykorzystywanie ich danych.

„Dane osobowe” według RODO

„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Na gruncie RODO dane osobowe dzielą się na 3 kategorie:

  1. dane tzw. zwykłe, takie jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wizerunek, adres e-mail itp., 
  2. szczególne kategorie danych osobowych (uprzednio zwane danymi wrażliwymi), wymienione w art. 9 RODO ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne bądź światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby, 
  3. dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wymienione w art. 10 rozporządzenia (uprzednio również zaliczane do danych wrażliwych).

Dane wymagane od kandydata w toku rekrutacji

Pracodawca może oczekiwać od kandydata do pracy podania mu danych, które ogólnie możemy określić, jako dane:

  • identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia);
  • kontaktowe (adres zamieszkania) oraz 
  • o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych). 

Zakres danych, których pracodawca może żądać od osoby ubiegającej się o zatrudnienie wskazany został w art. 22[1] Kodeksu pracy oraz rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. 

Jest to katalog danych, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy (art. 6 ust. 1 lit. b RODO). Co istotne, z uwagi na specyfikę procesu rekrutacji, do zawarcia tej umowy wcale nie musi ostatecznie dojść.

Uwzględniając cel, jaki przyświeca gromadzeniu tych danych, tzn. podjęcie przez pracodawcę decyzji o zatrudnieniu pracownika, która będzie się opierała na ocenie jego przydatności do pracy na określonym stanowisku, informacje przekazywanie przez pracownika muszą być konkretne, a więc nie mogą ograniczać się tylko do zdawkowej informacji, że odbył jakieś kursy lub ukończył studia, bez wskazywania, jakie dokładnie.

Jakich danych pracodawca nie może żądać od kandydata do pracy?

Pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w przepisach prawa, danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych bądź orientacji seksualnej).

Może się oczywiście zdarzyć, że osoba kandydująca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wtedy pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie.

Czy pracodawca może zbierać informacje o karalności kandydata do pracy?

Zaświadczenie o niekaralności

Zaświadczenie o niekaralności jest dokumentem zawierającym dane o wyrokach skazujących, czynach zabronionych lub powiązanych środkach bezpieczeństwa zawartych w Krajowym Rejestrze Karnym, którego funkcjonowanie jest uregulowane przepisami ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym ("ustawy o KRK"). Zgodnie z art. 6 ust. 1 pkt 10 ustawy o KRK, prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

Zobacz także: Jak uzyskać zaświadczenie z Krajowego Rejestru Karnego?

Pracodawca może żądać od przyszłego i obecnego pracownika dokumentów wynikających również z przepisów szczególnych, odnoszących się do konkretnych uregulowań wykonywania określonych zawodów. Jednak pracodawca musi przy tym pamiętać, iż w odniesieniu do danych dotyczących niekaralności, musi wynikać to wprost z przepisów prawa. Oznacza to, że pracodawca nie może żądać każdego dokumentu na wszelki wypadek, np. zaświadczenia o niekaralności, chyba że jest do tego uprawniony z mocy ustawy.

Przykład:

Są zawody, do których dostęp ograniczony jest ze względu na wymóg niekaralności, w tym np.:

  •   nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela), 
  • straż graniczna (art. 31 ust. 1 ustawy o Straży Granicznej), 
  • detektywi (art. 29 ust. 2 ustawy o usługach detektywistycznych),
  • osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego (art. 3 ustawy z dnia z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego) – w zakresie dotyczącym skazania prawomocnym wyrokiem za przestępstwa wskazane w tej ustawie.

Czy pracodawca, który poszukuje pracowników cieszących się nieposzlakowaną opinią, może żądać od nich informacji o karalności?

Nie. Przepisy szczególne regulujące wykonywanie niektórych zawodów wskazują często na przesłankę nieposzlakowanej opinii, która jest terminem nieostrym i stanowi zwrot niedookreślony, odwołujący się do przesłanek uznaniowych, o charakterze ocennym. Nie stanowi ona jednakże podstawy do tego, żeby pracodawca miał prawo przetwarzać dane pracownika o jego niekaralności, gdyż nie wynika to bezpośrednio z przepisów prawa.

Pracodawca nie może przetwarzać danych, o których mowa w art. 10 RODO, nawet za zgodą pracownika. Przesłanka zgody, rozpatrywana na gruncie prawa pracy, wskazuje na nierówność podmiotów, w związku z tym w przedmiotowym przypadku nie miałaby podstawy zastosowania. Informacja, że dana osoba nie widnieje w Krajowym Rejestrze Karnym, jest również informacją zawierającą dane określone w art. 10 RODO. Każde więc zaświadczenie o niekaralności, które będzie zawierało informacje o wyrokach skazujących, czy też informację o tym, że dana osoba nie była skazana, będzie informacją dotyczącą wyroków skazujących i czynów zabronionych w rozumieniu RODO.

Czy pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?

Każdy potencjalny pracodawca, który zbiera dane od kandydatów do pracy, jest zobowiązany poinformować te osoby o (wg art. 13 RODO):

  • pełnej nazwie i adresie swojej siedziby, 
  • danych kontaktowych inspektora ochrony danych (o ile go wyznaczył), 
  • celu przetwarzania danych oraz podstawie prawnej przetwarzania, 
  • znanych mu w chwili gromadzenia danych odbiorcach danych (rozumianych szeroko) lub ich kategoriach, 
  • zamiarze transgranicznego przetwarzania danych (o ile taki istnieje), 
  • okresie, przez który dane będą przetwarzane bądź kryteriach ustalania tego okresu, 
  • przysługujących jej prawach do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, 
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeśli dane są zbierane na podstawie zgody), 
  • prawie wniesienia skargi do Prezesa UODO, 
  • dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania. 

Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę bądź w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy.

Przykład klauzuli informacyjnej:

Administrator

Administratorem Państwa danych przetwarzanych w ramach procesu rekrutacji jest X, jako pracodawca.

Inspektor ochrony danych

Mogą się Państwo kontaktować z inspektorem ochrony danych osobowych pod adresem: …

Cel i podstawy przetwarzania

Państwa dane osobowe w zakresie wskazanym w przepisach prawa pracy będą przetwarzane w celu przeprowadzenia obecnego postępowania rekrutacyjnego (art. 6 ust. 1 lit. b RODO), natomiast inne dane, w tym dane do kontaktu, na podstawie zgody (art. 6 ust. 1 lit. a RODO), która może zostać odwołana w dowolnym czasie. X będzie przetwarzał Państwa dane osobowe, także w kolejnych naborach pracowników, jeżeli wyrażą Państwo na to zgodę (art. 6 ust. 1 lit. a RODO), która może zostać odwołana w dowolnym czasie. Jeśli w dokumentach zawarte są dane, o których mowa w art. 9 ust. 1 RODO konieczna będzie Państwa zgoda na ich przetwarzanie (art. 9 ust. 2 lit. a RODO), która może zostać odwołana w dowolnym czasie. Przepisy prawa pracy: art. 22 Kodeksu pracy oraz §1 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Odbiorcy danych osobowych

Odbiorcą Państwa danych osobowych będzie …..

Okres przechowywania danych

Państwa dane zgromadzone w obecnym procesie rekrutacyjnym będą przechowywane do zakończenia procesu rekrutacji. W przypadku wyrażonej przez Państwa zgody na wykorzystywane danych osobowych dla celów przyszłych rekrutacji, Państwa dane będą wykorzystywane przez 9 miesięcy.

Prawa osób, których dane dotyczą

Mają Państwo prawo do: 1) prawo dostępu do swoich danych oraz otrzymania ich kopii 2) prawo do sprostowania (poprawiania) swoich danych osobowych; 3) prawo do ograniczenia przetwarzania danych osobowych; 4) prawo do usunięcia danych osobowych; 5) prawo do wniesienia skargi do Prezes UODO (na adres Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa)

Informacja o wymogu podania danych

Podanie przez Państwa danych osobowych w zakresie wynikającym z art. 221 Kodeksu pracy jest niezbędne, aby uczestniczyć w postępowaniu rekrutacyjnym. Podanie przez Państwa innych danych jest dobrowolne.

Jakie znaczenie ma zgoda na przetwarzanie danych osobowych?

Zgoda jest jedną z podstaw prawnych uprawniających do przetwarzania danych. Dotychczasowa praktyka zamieszczenia w liście motywacyjnym czy CV zgody na przetwarzanie danych w celach rekrutacyjnych nie jest właściwa. Zgoda, a w szczególności wyraźna zgoda na przetwarzanie wybranych danych, może być niezbędna jedynie w określonych sytuacjach.

Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Czy pracodawca może przetwarzać dane zamieszczone przez kandydata w CV, które wykraczają poza to, co przewidują przepisy prawa pracy?

Zdarza się, że osoby kandydujące do pracy przekazują z własnej inicjatywy więcej danych niż wskazane w Kodeksie pracy. W takiej sytuacji dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu lub zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Aplikacja kandydata stanowi zazwyczaj odpowiedź na ogłoszenie o pracę pracodawcy, kandydat jest świadomy, do jakiego podmiotu składa aplikację oraz w jakim celu jego dane mają być przetwarzane. Kandydat zna jednocześnie zakres danych, jaki przekazuje pracodawcy. Zwykłe dane osobowe, które wykraczają poza zakres uregulowany przepisami prawa pracy, są zatem przetwarzane przez pracodawcę na podstawie zgody kandydata, która przejawia się przez działanie, polegające np. na przesłaniu pracodawcy życiorysu i listu motywacyjnego.

Czy pracodawca może przetwarzać szczególne kategorie danych (tzw. dane wrażliwe), które osoba ubiegająca się o pracę zamieściła w CV?

W toku prowadzonej rekrutacji może zdarzyć się, że kandydat z własnej inicjatywy przekaże administratorowi dane osobowe np. o swoim stanie zdrowia. Jeżeli kandydat do pracy nie wyrazi odrębnej zgody na przetwarzanie tego rodzaju danych osobowych, a pracodawca nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania, pracodawca powinien usunąć te dane ze swoich zasobów.

Ewentualna zgoda na przetwarzanie szczególnych kategorii danych powinna być wyraźna, np. w formie odrębnego oświadczenia.

Przykład takiej zdody:

„Wyrażam zgodę na przetwarzanie szczególnych kategorii danych, o których mowa w art. 9 ust. 1 RODO, które zamieściłem w liście motywacyjnym oraz załączonych do niego dokumentach.”

Są jednak pewne sytuacje, w których potencjalny pracodawca będzie uprawniony do przetwarzania szczególnych kategorii danych na podstawie odrębnych przepisów prawa. 

Przykład:

Przykładem takich regulacji są np. przepisy dotyczące wymogów dotyczących stanu zdrowia, jakie musi spełniać kandydat na policjanta. Art. 25 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o policji (t.j. Dz.U. z 2017 r., poz. 2067) stanowi, iż przyjęcie kandydata do służby w policji następuje po przeprowadzeniu postępowania kwalifikacyjnego mającego na celu ustalenie, czy kandydat spełnia warunki przyjęcia do służby w policji oraz określenie jego predyspozycji do pełnienia tej służby. Postępowanie kwalifikacyjne, składa się m.in. z testu sprawności fizycznej, test psychologicznego oraz ustalenia zdolności fizycznej i psychicznej do służby w policji.

Czy pracodawca może wykorzystać dane kandydatów do pracy pozyskane w konkretnym procesie rekrutacyjnych do celów przyszłych rekrutacji?

Nie może, jeśli kandydat nie wyraził na to zgody.

Generalnie pracodawca po zakończeniu procesu rekrutacji powinien usunąć dane osobowe kandydata. Jeżeli jednak kandydat do pracy, w składanych potencjalnemu pracodawcy dokumentach, wyraził zgodę na przetwarzanie jego danych w celu wzięcia udziału w przyszłych rekrutacjach prowadzonych przez pracodawcę, to dane te mogą być w tym celu przetwarzane.

Przykład takiej zdody:

„Wyrażam zgodę na przetwarzanie danych w celu wykorzystania ich w kolejnych naborach prowadzonych przez X przez okres najbliższych 4 miesięcy.”

Czy pracownik może wycofać swoją zgodę?

Tak. Zgoda na przetwarzanie danych w celach rekrutacyjnych może być wycofana w dowolnym momencie. W takiej sytuacji pracodawca traci uprawnienie do dalszego przetwarzania tych danych i powinien niezwłocznie je usunąć.

O prawie do wycofania zgody pracodawca powinien poinformować pracownika w momencie pozyskania jego danych. Kandydat musi być zatem poinformowany o możliwości i sposobie wycofania zgody. Sposób wycofania zgody powinien być zaś równie łatwy, jak było jej wyrażenie.

Nowoczesne technologie ujarzmione przez RODO

Prowadzenie rekrutacji on-line

Korzystanie przez pracodawców z nowoczesnych technologii musi odbywać się z poszanowaniem przepisów z zakresu ochrony danych osobowych. Dotyczy to np. rekrutacji on-line. 

Gromadzenie danych przez Internet jest obecnie jednym z najbardziej popularnych sposobów tworzenia baz danych, często wykorzystywanym również w procesie rekrutacji pracowników.

Jeśli potencjalny pracodawca zdecyduje się pozyskiwać dane kandydatów przez Internet, to powinien wdrażać odpowiednie środki techniczne i organizacyjne, żeby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności tych osób związanym ze specyfiką cyberprzestrzeni. Obowiązek ten ma zastosowanie także do administratorów innych niż pracodawcy, np. agencji zatrudnienia. Każdy bowiem administrator, bez względu na sposób gromadzenia danych, musi działać zgodnie z przepisami o ochronie danych osobowych.

Na co pracodawca powinien zwrócić uwagę, decydując się na poszukiwanie pracowników za pośrednictwem stron internetowych?

W zależności od tego, czy zadaniem podmiotu zajmującego się publikacją ogłoszeń o pracę jest tylko i wyłącznie udostępnienie narzędzi do ich publikacji, czy także przetwarzanie danych kandydatów, pracodawca powinien rozważyć, czy zawrzeć z takim podmiotem umowę powierzenia przetwarzania danych osobowych.

Umowę powierzenia należy zawrzeć, jeśli podmiot zajmujący się publikacją ogłoszeń o pracę będzie przetwarzał dane kandydatów wyłącznie w imieniu i na rzecz pracodawcy. Należy w niej określić m.in. charakter i cel przetwarzania, przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób (w tym przypadku dane kandydatów do pracy), których dane dotyczą, a także obowiązki i prawa administratora.

Pracodawca może przy tym korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi prawa i chroniło prawa osób, których dane dotyczą, a więc osób fizycznych (kandydatów do pracy).

Przed powierzeniem danych pracodawca musi zatem ocenić, czy poziom zabezpieczeń danych osobowych, stosowanych przez podmiot przetwarzający, jest odpowiedni.

Czy potencjalny pracodawca może pozyskiwać dane kandydata z portali społecznościowych? 

Co do zasady niedopuszczalne jest gromadzenie przez pracodawców i agencje rekrutacyjne informacji zamieszczanych przez kandydatów do pracy na swój temat w mediach społecznościowych oraz innych ogólnodostępnych źródłach. Co prawda rozwój społeczeństwa informacyjnego pozwala na „budowanie” przez potencjalnych kandydatów do pracy swojego wizerunku w sieci, również w oczach przyszłego pracodawcy, poprzez zamieszczane w Internecie różnych informacji na swój temat, lecz nie oznacza to, że informacje te mogą zostać wykorzystane w procesie rekrutacyjnym. Takie działanie potencjalnie może mieć negatywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go na podstawie dostępnych w Internecie danych.

Czy potencjalny pracodawca może zweryfikować kandydata lub komunikować się z nim za pośrednictwem branżowych portali społecznościowych, jak np. LinkedIn?

Ponieważ żyjemy w dobie społeczeństwa informacyjnego, coraz częściej przyszli pracodawcy korzystają z możliwości weryfikacji kandydatów do pracy bądź do komunikacji z nimi za pomocą portali internetowych dedykowanych takim celom. Portale takie, umożliwiając kandydatom do pracy oraz pracodawcom wzajemny kontakt, umożliwiają efektywne znalezienie pracy lub pracownika.

Użytkownicy takich portali (poszukujący pracy), najczęściej zanim zaczną korzystać z usług oferowanych przez portale, muszą zapoznać się z regulaminami, politykami prywatności i je zaakceptować. Jeżeli możliwość korzystania z takiego portalu będzie wiązała się z obowiązkiem udostępnienia danych (a może tak być np., żeby założyć konto i aby dane z tego konta mogły być udostępniane potencjalnym pracodawcom), to portal musi mieć do tego podstawy prawne.

Podstawą umożliwiającą pozyskiwanie, gromadzenie, udostępnianie danych użytkowników (kandydatów) do pracy będzie zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), bądź też potrzeba wykonania zawartej umowy (ewentualnie konieczność podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, art. 6 ust. 1 lit. b RODO).

Inną kwestią natomiast będzie możliwość kontaktowania się (przetwarzania danych w związku z tym) przez pracodawcę z kandydatem w innej formie np. mailowej (poza portalem, na którym doszło do kontaktu).

Czy można poszukiwać pracowników w ramach tzw. rekrutacji „ślepych”, „ukrytych”?

Prowadzenie procesów rekrutacyjnych, w których pracodawca zlecający firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego, zastrzega sobie anonimowość, jest coraz powszechniejszym zjawiskiem na rynku pracy. Motywy pracodawców decydujących się na ich przeprowadzenie są różne – od chęci utajnienia rekrutacji przed pracownikiem, którego mają zamiar zwolnić (najczęściej, kiedy zatrudniony jest na samodzielnym stanowisku, np. głównego księgowego), po chęć gromadzenia bazy kandydatów niejako „na zapas”.

Do przeprowadzenia rekrutacji „ukrytej” wykorzystywane są zazwyczaj portale internetowe, które pośredniczą w rekrutacji, udostępniając narzędzie wykorzystywane do publikowania ogłoszeń.

Takiego typu rekrutacji nie można uznać za zgodną z przepisami o ochronie danych osobowych, ponieważ kandydat do pracy nie posiada wiedzy, jaki podmiot zbiera jego dane osobowe i wobec jakiego podmiotu może realizować swoje prawa.

O prawidłowym wykonaniu obowiązku informacyjnego nie możemy mówić także w przypadku, gdy klauzula informacyjna zostanie wysłana przez potencjalnego pracodawcę w odpowiedzi na otrzymaną aplikację, gdyż obowiązek poinformowania m.in. o tożsamości pracodawcy powinien być realizowany przez niego na etapie zbierania danych osobowych, a nie na etapie ich utrwalania.

Osoba przekazująca dane osobowe powinna posiadać wiedzę odnośnie tego, komu je udostępnia. Ma to szczególne znaczenie w związku z sytuacjami, w których ogłoszenia o pracę są sposobem na wyłudzanie danych osobowych przez nieuczciwe podmioty do własnych celów niezwiązanych z zatrudnianiem pracowników.

Agencje zatrudnienia

Rozwiązaniem umożliwiającym pracodawcy utrzymanie anonimowości na wstępnym etapie rekrutacji może być zlecenie jej przeprowadzenia innym podmiotom, np. agencjom zatrudnienia, których działalność uregulowana jest prawnie i które zobowiązane są do przetwarzania posiadanych danych osobowych zgodnie z przepisami o ochronie danych osobowych.

Gdy pracodawca zleca rekrutację agencji zatrudnienia, kandydaci mogą kierować swoje zgłoszenia do agencji, która w takiej sytuacji będzie pełniła rolę administratora ich danych. Będzie ona przetwarzać dane osobowe kandydatów na podstawie ich zgody wyrażonej w zgłoszeniu w celu przeprowadzenia pierwszego etapu rekrutacji – pozyskania CV oraz selekcji pracowników. W tej sytuacji obowiązek informacyjny podczas pozyskiwania danych powinna spełnić agencja.

Obowiązek informacyjny po stronie pracodawcy, który wcześniej nie ujawnił swojej tożsamości, powstaje w momencie, kiedy dane wybranych przez agencję kandydatów mają być mu przekazane. Wówczas wybrani kandydaci przed przekazaniem danych powinni zostać poinformowani przez agencję o danych potencjalnego pracodawcy oraz wyrazić zgodę na przekazanie ich kandydatur. Pracodawca otrzymuje dane osobowe tylko tych kandydatów, którzy wyrażą stosowną zgodę.

Jakie dane kandydata pracodawca może gromadzić w trakcie rozmowy kwalifikacyjnej?

W toku rekrutacji pracodawca zwykle może zechcieć spotkać się z kandydatem osobiście, żeby sprawdzić jego doświadczenie i umiejętności oraz upewnić się, czy jest właściwą osobą na stanowisko, na które aplikuje (np. podczas rozmowy kwalifikacyjnej czy testu wiedzy i umiejętności). W trakcie tego procesu również dochodzi do gromadzenia danych osobowych.

Podczas rozmowy kwalifikacyjnej pracodawca może bowiem zadawać szereg szczegółowych pytań odnoszących się do informacji, jakie kandydat na pracownika zawarł w swoim CV. Musi jednak pamiętać, że powinny się one odnosić wyłącznie do kwestii związanych ze stanowiskiem, na które on aplikuje.

Należy unikać zadawania pytań, które kandydata na pracownika mogą zawstydzić bądź naruszyć jego prawo do prywatności lub dobra osobiste (np. dotyczących wyznania, orientacji seksualnej, przekonań politycznych, życia prywatnego, rodzicielstwa czy planowanego potomstwa).

W pewnych sytuacjach jednak, o ile wynika to bezpośrednio z przepisów prawa, pracodawca może być uprawniony do zadania pytań niedyskretnych (np. pytanie starającego się o posadę nauczyciela w szkole publicznej, czy był karany za przestępstwo popełnione umyślnie).

Czy można skontaktować się z poprzednim pracodawcą kandydata w celu uzyskania informacji na jego temat?

Niedopuszczalne jest pozyskiwanie przez potencjalnego pracodawcę informacji o kandydacie na pracownika od jego poprzedniego pracodawcy, jeśli nie uzyskał on od kandydata zgody na powyższe.

 Złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie.

Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Potencjalny pracodawca nie może tym samym zwrócić się do poprzedniego pracodawcy o informację, jakie zadania realizował kandydat u tego podmiotu oraz jaką ma opinię o kandydacie do pracy.

Podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat.

Czy potencjalny pracodawca może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy uzyskał w niej dyplom?

Nie. Potwierdzanie prawdziwości dyplomu ukończenia studiów wyższych, jak też innych danych zawartych w dokumentach przedkładanych przez kandydata w toku rekrutacji, poprzez kierowanie zapytań do podmiotów, które wydały te dokumenty, jest niedopuszczalne.

 Polski prawodawca co zasady nie przewiduje w przepisach krajowych uprawnienia pracodawcy do występowania do innych podmiotów w celu potwierdzenia lub sprawdzenia prawdziwości dokumentów i danych w nich zawartych przedłożonych przez kandydatów w toku rekrutacji. Takie działanie nie ma również oparcia w przesłance określonej w art. 6 ust. 1 lit. f RODO.

Polski ustawodawca zdecydował, w jakiej formie pracodawca powinien pozyskiwać informacje o kandydacie do pracy. Ponieważ, zgodnie z art. 22[1] § 3 Kodeksu pracy, udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, stąd należy uznać, że praktyka polegająca na dodatkowej weryfikacji informacji uzyskanych od kandydata naruszałaby jego prawa i wolności.

Praktyka polegająca na pozyskiwaniu zgód od kandydata na weryfikowanie prawdziwości złożonych oświadczeń oraz danych zawartych w dokumentach nie znajduje także oparcia w przepisach RODO.

Niewyrażenie zgody przez kandydata na kontakt z uczelnią przez pracodawcę (choćby z powodów subiektywnych np. konfliktu z uczelnią), może spowodować, że potencjalny pracodawca odrzuci jego kandydaturę. Jednak jednym z warunków skuteczności zgody jest jej dobrowolność, co oznacza, że osoba, której dane dotyczą nie powinna ponosić żadnych negatywnych konsekwencji, jeżeli odmówi jej wyrażenia.

Jeśli pracodawca ma podejrzenia, że przedkładany dokument został sfałszowany, to powinien złożyć zawiadomienie o możliwości popełnienia przestępstwa określonego w art. 270 § 1 Kodeksu karnego.

Czy można tworzyć tzw. „czarne listy” osób ubiegających się o zatrudnienie?

Nie można. Za niedopuszczalne należy uznać tworzenie tzw. „czarnych list” osób ubiegających się o zatrudnienie.

Podstawy prawnej nie znajduje też wymienianie się informacjami pomiędzy pracodawcami o kandydatach do pracy, których zatrudniać nie chcą.

Tworzenie zbiorów danych o charakterze negatywnym może także prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji w oparciu o często nierzetelne, bezpodstawnie pozyskane informacje.

Jak długo można przetwarzać dane kandydatów do pracy?

Okres przechowywania danych kandydata do pracy winien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora.

Co do zasady pracodawca powinien trwale usunąć dane osobowe (np. poprzez zniszczenie lub odesłanie) kandydata, z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tzn. po podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania.

Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wydłużenie okresu przechowywania danych zawartych w aplikacji winno być więc wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione.

Czy niedoszły pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?

Niedopuszczalne jest przetwarzanie danych jedynie w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dane dotyczą. W przeciwnym razie mogłaby pojawić się wątpliwość, jak długo należy przetwarzać dane osobowe, gdy ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy.

W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy między kandydatem do pracy a pracodawcą. Brak jest dokonania wzajemnych rozliczeń czy możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nieistnienia roszczenia.

Takie działanie pracodawcy stanowiłoby zakazane przetwarzanie danych kandydata „na wszelki wypadek”.

Czy możliwość wystąpienia roszczeniem z tytułu dyskryminacji uzasadnia dłuższe przechowywanie danych?

W przypadku roszczeń wynikających z dyskryminacji kandydata do pracy, to na kandydacie spoczywa obowiązek przedstawienia faktów, z których wynika domniemanie nierównego traktowania, a następnie na pracodawcę zostaje przerzucony ciężar udowodnienia, że nie traktował kandydata gorzej od innych albo, że, traktując go odmiennie od innych, kierował się obiektywnymi i usprawiedliwionymi przyczynami. Pracodawca może np. wykazać przed sądem, z jakiego powodu zatrudnił inną osobę na stanowisko, na które aplikował kandydat.

Pracodawca w procesie rekrutacji podejmuje czynności zmierzające do zatrudnienia pracownika. Powszechną praktyką jest zaś zapraszanie na rozmowę kwalifikacyjną kandydatów do pracy. To głównie w jej wyniku kandydat może odnieść wrażenie, że jest dyskryminowany. Jednak osobiste przekonanie kandydata o tym, że jest dyskryminowany, nie jest równoznaczne z uprawdopodobnieniem przez niego wystąpienia dyskryminacji.

Może zatem dojść do sytuacji, w której kandydat - zgodnie z jego CV - legitymuje się dużym doświadczeniem, w porównaniu do innych kandydatów ma wysokie kwalifikacje, ale nie otrzymuje propozycji pracy, z uwagi na to, że rozmowa kwalifikacyjna nie poszła mu dobrze (np. był nieuprzejmy bądź nie znał odpowiedzi na merytoryczne pytania zadawane przez rekrutera), w efekcie czego pracodawca nie zatrudnia takiego kandydata. Kandydat natomiast uważa, że nie dostał pracy z uwagi na dyskryminację, np. ze względu na płeć. W takim i podobnych przypadkach przechowywanie danych osobowych takiego kandydata do pracy po zakończeniu rekrutacji nie można uznać za niezbędne dla pracodawcy.

Istotą roszczenia z tytułu dyskryminacji ze względu na jakąś cechę lub przekonania jest uprawdopodobnienie, że to właśnie z tej przyczyny kandydat został potraktowany w sposób gorszy niż reszta kandydatów, natomiast dopiero wówczas pracodawca musi wykazać, że ta cecha nie miała wpływu na dokonanie przez niego oceny negatywnej, do czego nie jest konieczne przetwarzanie danych zawartych w życiorysie kandydata do pracy.

Czy pracodawca może zachować na potrzeby przyszłych rekrutacji przesłane dane zawarte w CV potencjalnego kandydata do pracy, które wpłynęło doń, kiedy nie prowadził on rekrutacji?

Zdarzają się sytuacje, gdy osoby poszukujące pracy z własnej inicjatywy, niezależnie od tego, czy potencjalny pracodawca prowadzi proces rekrutacji, czy też nie, wysyłają do różnych podmiotów swoje aplikacje. Pracodawca po otrzymaniu takiej kandydatury powinien rozważyć, czy chce rozpocząć rekrutację, czy też nie jest zainteresowany zatrudnianiem nowych pracowników. Jeśli zdecyduje, że jest zainteresowany zatrudnieniem nowej osoby, to powinien niezwłocznie wykonać w stosunku do niej obowiązek informacyjny oraz rozpocząć podejmowanie działań zmierzających do zawarcia umowy (np. przeprowadzenie rozmowy kwalifikacyjnej, gromadzenie koniecznej dokumentacji).

Jeżeli jednak pracodawca stwierdzi, że nie jest zainteresowany poszerzeniem swojej kadry, to powinien niezwłocznie usunąć dane dotyczące kandydata ze swoich zasobów.

Jak powinien się zachować pracodawcą z sektora służby cywilnej, gdy wpływa do niego CV (lub inne dokumenty rekrutacyjne), chociaż nie jest przeprowadzany nabór do pracy?

Z art. 28 ust. 1 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (t.j. Dz.U. z 2018 r. poz. 1559) wynika obowiązek dyrektora generalnego urzędu do upowszechniania informacji o wolnych stanowiskach pracy przez umieszczanie ogłoszeń o naborach w miejscu powszechnie dostępnym w siedzibie urzędu, w Biuletynie Informacji Publicznej urzędu, oraz w Biuletynie Informacji Publicznej Kancelarii Prezesa Rady Ministrów.

W przypadku gdy do urzędu wpłyną dokumenty potencjalnego kandydata do pracy, a nie jest przeprowadzany nabór na wolne stanowisko pracy, dyrektor generalny nie ma prawa zatrudnić takiej osoby. Musi więc albo niezwłocznie usunąć dane dotyczące takiego kandydata ze swoich zasobów, albo skontaktować się z kandydatem, aby otrzymać ewentualną zgodę kandydata na przetwarzanie jego danych osobowych zawartych w takiej dokumentacji dla celów przyszłych naborów na wolne stanowiska pracy w urzędzie.

Jakimi zasadami powinien się kierować pracodawca z sektora służby cywilnej, publikując informacje związane z prowadzonym naborem?

Są przepisy prawa, które w sposób szczególny regulują kwestie dotyczące naboru pracowników, np. w służbie cywilnej. I tak, art. 31 ustawy o służbie cywilnej stanowi, że dyrektor generalny urzędu niezwłocznie po przeprowadzonym naborze upowszechnia informację o wyniku naboru przez umieszczenie jej w miejscu powszechnie dostępnym w siedzibie urzędu, w Biuletynie urzędu oraz w Biuletynie Kancelarii.

Przepisy ustawy nie wskazują okresu, przez jaki taka informacja ma być dostępna publicznie.

W takim przypadku administrator danych osobowych powinien kierować się zasadą ograniczenia przechowywania (retencji) danych osobowych, określoną w art. 5 ust. 1 lit. e RODO. Zgodnie z tą zasadą, dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Celem publikacji danych wybranego kandydata jest realizacja zasady jawności, która umożliwia dokonanie społecznej kontroli prawidłowości przebiegu postępowania rekrutacyjnego. Czas publikacji takich danych powinien być więc wystarczający do umożliwienia przeprowadzenia takiej kontroli w czasie niezbyt odległym od dokonanego wyboru, tzn. w czasie, kiedy kandydaci lub osoby trzecie mogą być zainteresowane danym naborem i będą chciały skorzystać z prawa do takiej informacji, jakie mają na podstawie art. 31 tej ustawy.

Optymalnym okresem czasu, przez jaki takie informacje mogą być ujawniane na podstawie art. 31 ww. ustawy jest okres 3 miesięcy, liczony od dnia ich publikacji. Na taki okres czasu może wskazywać art. 33 ustawy, dotyczący wyjątku od zasady obowiązku przeprowadzenia naboru (według niego, jeżeli w ciągu 3 miesięcy od dnia nawiązania stosunku pracy z osobą wyłonioną w drodze naboru istnieje konieczność ponownego obsadzenia tego samego stanowiska pracy, dyrektor generalny urzędu może zatrudnić na tym samym stanowisku inną osobę spośród kandydatów, o których mowa w art. 29a ust. 1).

Przepis art. 29 ustawy o służbie cywilnej uznaje wyniki naboru za informację publiczną, a zatem każda osoba zainteresowana wynikiem naboru może złożyć wniosek o udostępnienie takich informacji w sytuacji, kiedy zostaną one usunięte z Biuletynu urzędu, Biuletynu Kancelarii bądź przestaną być dostępne w siedzibie urzędu, do którego przeprowadzany był nabór.

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.   

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1); 
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000);
  • ustawa z dnia 26 czerwca 1974 r. - Kodeks pracy (tekst jednolity: Dz.U. 1998 r., Nr 21, poz. 94, ze zm.).

Na podst. informacji UODO, uodo.gov.pl

Porady prawne

Potrzebujesz porady prawnej?

Jak powołać inspektora ochrony danych?

Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: przetwarzania dokonują organ lub podmiot publiczny, (...)

Dokumentacja przetwarzania danych osobowych według RODO

Dokumentacja przetwarzania danych osobowych według RODO

Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych. Zmienione regulacje obowiązują wszystkich uczestników obrotu gospodarczego oraz (...)

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców dokumentów rekrutacyjnych już po zakończeniu procesu rekrutacji w stosunku do osób, (...)

Kiedy można przetwarzać dane osobowe?

Kiedy można przetwarzać dane osobowe?

25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych (...)

RODO w pracy - przetwarzanie danych w miejscu pracy.

RODO w pracy - przetwarzanie danych w miejscu pracy.

Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych.   Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie (...)

Ocena skutków dla ochrony danych

Ocena skutków dla ochrony danych

Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Nowa, przyjęta w ogólnym rozporządzeniu o ochronie danych (RODO), (...)

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.  W artykule przedstawiono kwestie związane (...)

Co reguluje RODO?

Co reguluje RODO?

Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione zostały przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (...)

Umowy z przedszkolem a ochrona danych

Umowy z przedszkolem a ochrona danych

Jakich danych nie trzeba podawać? Administrator wskazując zakres danych osobowych, które chce pozyskać w trakcie rekrutacji musi przeanalizować, czy zakres ten wynika z przepisów prawa, czy też jest związany z realizacją interesu, który uzasadnia przetwarzanie konkretnych danych i nie narusza praw osób, których dane dotyczą. Wówczas (...)

Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO

Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO

Rozpoczęcie stosowania – od 25 maja 2018 r. – przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO) oznacza rewolucję. Ten akt prawny nakłada bowiem na administratorów danych wiele nowych obowiązków. Kiedy dotychczasowa zgoda będzie dalej ważna? Zgodnie z RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46 i odpowiada (...)

Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach

Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach

Przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych, a ostateczna decyzja o jego (...)

Swobodny przepływ danych w UE

Swobodny przepływ danych w UE

28 maja 2019 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Wprowadza ono szereg zapisów, dzięki którym wymiana handlowa na terenie Unii Europejskiej będzie znacznie łatwiejsza, ale też formułuje wobec branży ICT szereg obowiązków, związanych z zapewnieniem bezpieczeństwa (...)

Rekrutacja a ochrona danych

Rekrutacja a ochrona danych

Przygotowując się do rekrutacji, pracodawca powinien gruntownie przeanalizować, jakie dane będzie mógł pozyskać od kandydata do pracy, aby na ich podstawie była możliwa ocena, czy dana osoba spełnia kryteria niezbędne do objęcia stanowiska, o które się ubiega. Pracodawca musi pamiętać, że proces rekrutacyjny będzie wiązał się z pozyskiwaniem przez niego danych (...)

Kościoły i związki wyznaniowe muszą chronić dane osobowe

Kościoły i związki wyznaniowe muszą chronić dane osobowe

Kościoły i związki wyznaniowe nie mają pełnej autonomii przy tworzeniu swoich regulacji o ochronie danych – muszą być one dostosowane do RODO. Dlatego Prezes UODO wspiera je przy tworzeniu tych regulacji. Te związki wyznaniowe, które nie zdecydowały się na wprowadzenie odrębnych regulacji o ochronie danych, muszą pamiętać, że całkowicie podlegają pod RODO (...)

Przetwarzanie danych osobowych przez sądy

Przetwarzanie danych osobowych przez sądy

Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku (...)

Rejestr czynności przetwarzania danych osobowych według RODO

Rejestr czynności przetwarzania danych osobowych według RODO

25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Pozwoli ono m.in. spójnie monitorować przetwarzanie (...)

Kiedy konieczne są uprzednie konsultacje z PUODO?

Kiedy konieczne są uprzednie konsultacje z PUODO?

Kto i w jakich sytuacjach zobowiązany jest do złożenia wniosku o uprzednie konsultacje? Z przepisów RODO wynika, że z wnioskiem o uprzednie konsultacje może wystąpić administrator danych (art. 36 ust. 1 RODO). Ustawa o ochronie danych osobowych do podmiotów, które mogą wystąpić o konsultacje, zaliczyła również podmiot przetwarzający (...)

Korzystający z wtyczki „Lubię to” mają obowiązek informacyjny

Korzystający z wtyczki „Lubię to” mają obowiązek informacyjny

Trybunał Sprawiedliwości Unii Europejskiej dnia 29 lipca 2019 r. wydał wyrok w sprawie C-40/17 - Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV. Wynika z niego, że operator witryny internetowej wyposażonej w przycisk „Lubię to” Facebooka może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania Facebookowi danych osobowych (...)

RODO w szkole

RODO w szkole

Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. Poznaj odpowiedzi UODO na najczęściej zadawane przez rodziców (opiekunów prawnych) pytania (...)

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak ma następować, to przetwarzanie danych osobowych w tym celu musi odpowiadać wymogom określonym (...)

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym

Na czym polega prawo do usunięcia danych? RODO przyznaje osobom, których dane dotyczą, prawo do usunięcia danych, w tym prawo do bycia zapomnianym. Prawo do bycia zapomnianym jest jednym z nowych uprawnień przyznanych przez RODO osobom, których dane dotyczą. Zgodnie z przepisami RODO, osoba taka ma prawo w przypadkach opisanych w RODO żądać od administratora niezwłocznego usunięcia (...)

Dane już lepiej chronione

Dane już lepiej chronione

Od 25 maja br. w całej UE należy stosować nowe przepisy o ochronie danych - czyli tzw. RODO. Mają one lepie chronić prywatność konsumentów i nakładają na przedsiębiorców obowiązek bezpiecznego przechowywania i zarządzania informacjami identyfikującymi konkretne osoby.  - "Ochrona danych jest prawem podstawowym w UE. Dzięki nowym przepisom Europejczycy odzyskają kontrolę (...)

Co RODO przynosi przedsiębiorcom?

Co RODO przynosi przedsiębiorcom?

Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO) wprowadzić ma m.in. ułatwiania działalności gospodarczej poprzez uproszczenie i ujednolicenie (...)

Zgoda dziecka na przetwarzanie danych

Zgoda dziecka na przetwarzanie danych

Dzieci, które korzystają z usług internetowych, np. portali społecznościowych, są często narażone na wykorzystanie swoich danych osobowych bez ich świadomej zgody, np. w celach marketingowych. Mogą one bowiem być mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. Unijne ogólne rozporządzenie o ochronie danych osobowych (RODO) normuje m.in. (...)

Zasady RODO - nowe podejście do ochrony danych osobowych

Zasady RODO - nowe podejście do ochrony danych osobowych

W swym założeniu RODO ma na celu wzmocnienie podstawowych praw obywateli w epoce cyfrowej oraz ułatwienie przedsiębiorstwom i organizacjom działania na wspólnym rynku (gdyż gwarantuje jednolitą ochronę danych osobowych w Unii Europejskiej). RODO ma zastosowanie od 25 maja 2018 r. Nowe unijne przepisy o ochronie danych osobowych wpływają na krajowe przepisy w tym zakresie. Z uwagi na (...)

Przetwarzanie danych osobowych przez firmy windykacyjne

Przetwarzanie danych osobowych przez firmy windykacyjne

Do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące przetwarzania danych osobowych przez wierzycieli, firmy windykacyjne, czy komorników sądowych. Pojawia się wiele kwestii dotyczących legalności sposobu przetwarzania danych dłużników, sprzedaży wierzytelności. Przy dochodzeniu roszczeń jedną z przesłanek dopuszczalności przetwarzania danych osobowych, (...)

Co zrobić, aby twój telefon był przyjacielem, a nie szpiegiem?

Co zrobić, aby twój telefon był przyjacielem, a nie szpiegiem?

Telefon komórkowy bądź smartwatch to dziś narzędzia, które oferują nam wiele użytecznych funkcji. Służą nie tylko komunikacji, ale dzięki zainstalowanym na nich aplikacjom także rozrywce, ułatwiają załatwienie codziennych spraw, poruszanie się, wspomagają aktywność fizyczną. Te z pozoru niewinne gadżety, niekiedy – czego nie zawsze jesteśmy świadomi – (...)

Ochrona danych osobowych przez komitety wyborcze

Ochrona danych osobowych przez komitety wyborcze

Ochrona danych osobowych przez komitety wyborcze w toku kampanii wyborczej na Prezydenta RP W czasie kampanii wyborczej na Prezydenta RP komitety wyborcze, działając na obszarze całego kraju, będą przetwarzać na dużą skalę dane osobowe, w tym dane szczególnej kategorii. Prezes Urzędu Ochrony Danych Osobowych przypomina o ciążącym na nich obowiązku przetwarzania (...)

Ochrona danych osobowych na wakacjach

Ochrona danych osobowych na wakacjach

Poznaj kilka porad, jak w czasie wakacji zadbać o swoje dane osobowe i uchronić się przed potencjalnymi problemami. Łatwo o kłopoty... Dowód osobisty pozostawiony w zastaw za wypożyczony sprzęt rekreacyjny. Zgubiony portfel z dokumentami. To najczęstsze sytuacje podczas wakacji, gdy narażamy się na to, że nasze dane wpadną w niepowołane ręce i mogą (...)

Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?

Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?

Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania. Z czego wynika obowiązek prowadzenia rejestru czynności przetwarzania? Na mocy artykułu 30 RODO istnieje obowiązek prowadzenia przez administratorów i podmioty przetwarzające (...)

Powierzenie danych osobowych

Powierzenie danych osobowych

Świadomy wybór usługodawcy Administratorzy danych coraz częściej decydują się na powierzanie przetwarzania danych osobowych innym podmiotom, które w ich imieniu wykonują część operacji na danych. Trudno w tym kontekście nie dostrzec np. coraz popularniejszych rozwiązań chmurowych. Administrator – chcąc wykorzystać możliwości obliczeniowe chmury – decyduje (...)

Wybory do Parlamentu Europejskiego odbędą się 26 maja

Wybory do Parlamentu Europejskiego odbędą się 26 maja

Wybory do Parlamentu Europejskiego odbędą się w niedzielę 26 maja; Prezydent Andrzej Duda podpisał postanowienie w tej sprawie.  Wybory do Parlamentu Europejskiego  Tegoroczne wybory do europarlamentu odbędą się w różnych państwach Unii Europejskiej w dniach 23-26 maja.  ##baner## Zgodnie z Kodeksem wyborczym wybory do PE zarządza Prezydent w drodze postanowienia, (...)

Poczta elektroniczna i walka z niechcianymi reklamami

Poczta elektroniczna i walka z niechcianymi reklamami

Ilu z nas dostaje każdego dnia niechcianych wiadomości e-mail od nieznanych podmiotów czy musi oglądać natarczywe i zupełnie różne reklamy. Każdego dnia pracownicy infolinii UODO odpowiadają na pytania użytkowników poczty elektronicznej „Skąd te firmy mają moje dane? Skąd znają mój adres e-mail?” Odpowiedź na te pytania jest szokująca: (...)

ZFŚS a RODO

ZFŚS a RODO

Jeśli pracodawca prowadzi ZFŚS, dotyczy go także RODO... Żeby przyznać pracownikowi świadczenie z zakładowego funduszu świadczeń socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. W celu realizacji tych potrzeb musi więc przetwarzać (...)

Zgoda na przetwarzanie danych na zakupach...

Zgoda na przetwarzanie danych na zakupach...

Przedsiębiorcy zajmujący się sprzedażą, przetwarzają nasze dane do celów realizacji umowy, ale są też przypadki, gdy na dane działanie konieczna jest nasza zgoda. Wyrażam zgodę na… zakupowe dylematy W gorączce przedświątecznych zakupów warto poznać zasady, na jakich odbywa się przetwarzanie danych klientów i jak je chronić. ##baner## Każdego (...)

Dostęp rodziców do danych z nagrań monitoringu w żłobku

Dostęp rodziców do danych z nagrań monitoringu w żłobku

Pozyskanie przez rodzica danych osobowych zawartych w nagraniach z monitoringu w żłobku jest możliwe, o ile spełniona jest co najmniej jedna z określonych w RODO przesłanek legalizujących przetwarzanie danych osobowych, a ich udostępnienie odbywa się z poszanowaniem wszystkich wskazanych w RODO zasad, w tym zgodności z prawem, celowości (...)

Do przetwarzania danych konieczna jest podstawa prawna...

Do przetwarzania danych konieczna jest podstawa prawna...

Nie można przetwarzać danych osobowych, nie mając podstawy prawnej Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 45 tys. zł za naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez wspólników spółki cywilnej Kancelaria PIONIER. Organ nadzorczy jednocześnie nakazał dostosowanie (...)

Jak Prezes UODO nakłada administracyjne kary pieniężne?

Jak Prezes UODO nakłada administracyjne kary pieniężne?

Każda osoba fizyczna ma prawo do ochrony danych osobowych jej dotyczących. Na straży tego prawa stoi organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). Może on nałożyć np. surową administracyjną karę pieniężną w razie naruszenia przepisów o ochronie danych osobowych. Status i kompetencje Prezesa (...)

Automatyczne przetwarzanie danych oparte na profilowaniu

Automatyczne przetwarzanie danych oparte na profilowaniu

Przetwarzanie danych osobowych przy użyciu zautomatyzowanych narzędzi podejmowania decyzji Przetwarzanie danych osobowych przy użyciu zautomatyzowanych narzędzi podejmowania decyzji – w tym profilowania, tzn. oceny czynników osobowych osoby fizycznej – jest coraz powszechniejszym zjawiskiem. Marketing i branża reklamowa, bankowość, ubezpieczenia, ochrona zdrowia – to (...)

SGGW z karą za naruszenie ochrony danych osobowych

SGGW z karą za naruszenie ochrony danych osobowych

Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie ochrony danych osobowych przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, nałożył na ten podmiot administracyjną karę pieniężną w wysokości 50 tys. zł. ##baner## Czego dotyczyła sprawa? Przypomnijmy, że Prezes UODO otrzymał w listopadzie 2019 roku zgłoszenie naruszenia ochrony danych osobowych (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Podpisanie CV oraz klauzuli o przetwarzaniu danych osobowych

Podpisanie CV oraz klauzuli o przetwarzaniu danych osobowych

Czy CV należy podpisywać oraz czy trzeba podpisywać klauzulę na temat przetwarzania danych osobowych? Zgodnie z ustawą o ochronie danych osobowych danymi osobowymi są wszelkie informacje dotyczące (...)

Czy pracodawca musi dać ksero listy obecności na żądanie pracownika?

Czy pracodawca musi dać ksero listy obecności na żądanie pracownika?

Czy na prośbę pracownika, pracodawca musi czy ewentualnie może dać kserokopie listy obecności na której on się znajduje? Zgodnie z rozporządzeniem o zakresie prowadzenia przez pracodawców dokumentacji (...)

Zgoda na przetwarzanie danych osób

Zgoda na przetwarzanie danych osób

Stowarzyszenie Talent organizuje Olimpiadę Informatyczną dla Gimnazjalistów i Licealistów, Muszą oni wypełnić odpowiedni formularz związany z przetwarzaniem danych osobowych. Kto i w jakiej formie (...)

Przesłanka przetwarzania danych wrażliwych

Przesłanka przetwarzania danych wrażliwych

Jaka przesłanka legalizuje przetwarzanie danych wrażliwych w amatorskich klubach, towarzystwach sportowych, klubach dyskusyjnych, klubach zainteresowań? Za tzw. dane wrażliwe uważa się dane ujawniające (...)

Wniosek o udzielenie informacji publicznej

Wniosek o udzielenie informacji publicznej

Złożyłem pisemny wniosek o udzielenie informacji publicznej, czy firma X działająca w gminie uzyskała w latach od 2005r. do 2010r. jakiekolwiek umorzenie należności podatkowych lub odsetkowych. (...)

Zgoda kandydata do pracy na przetwarzanie danych

Zgoda kandydata do pracy na przetwarzanie danych

Jestem pracodawcą zatrudniam pracownika. Pracownik wypełnia kwestionariusz osobowy dla osoby ubiegającej się o zatrudnienie oraz kwestionariusz dla pracownika Czy w myśl kodeksu pracy (art. 22 § (...)

Dopuszczalność przetwarzania danych osobowych

Dopuszczalność przetwarzania danych osobowych

Czy przesłanki określające dopuszczalność przetwarzania danych, opisane w art. 23 ustęp 1 pkt 1-5 Ustawy o ochronie danych osobowych, są przesłankami koniecznymi do zaistnienia łącznie, czy wystarczy, (...)

Administrator danych osobowych a umowa agencyjna

Administrator danych osobowych a umowa agencyjna

Operator serwisu internetowego (agent) ma zawarte umowy agencyjne z dostawcami usług noclegowych (zleceniodawcy) i występuje wobec klientów jako agent turystyczny (działa na zlecenie dostawców, a (...)

Usunięcie danych z Biura Informacji Kredytowej

Usunięcie danych z Biura Informacji Kredytowej

Umowa kredytowa zawarta w 2004.10.06 r. Umowa kredytu została zawarta na okres 22 miesięcy. Przed ponad połowę okresu kredytowania kredyt był spłacany terminowo. Niestety później były problemy (...)

Wniosek o zaprzestanie przetwarzania danych

Wniosek o zaprzestanie przetwarzania danych

W naszej firmie na mocy polecenia Prezesa Zarządu została przeprowadzona ocena pracownicza, przebiegająca w następujący sposób. Każdy z pracowników ocenia osoby, z którymi kontaktuje się zawodowo (...)

Zgoda na przetwarzanie danych niepełnoletniego

Zgoda na przetwarzanie danych niepełnoletniego

Organizuję dla klientów sklepu odzieżowego konkurs na najlepsze hasło. Na formularzu proszę o ich dane osobowe (imię, nazwisko, adres i nr telefonu), żeby móc rozlosować nagrody i przesyłać (...)

Nielegalne przetwarzanie danych osobowych

Nielegalne przetwarzanie danych osobowych

Co grozi za nielegalne przetwarzanie danych osobowych? Ustawa o ochronie danych osobowych, art. 49 ust. 1 u.o.d.o. stanowi: „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie (...)

ZFŚS a przetwarzanie danych osobowych

ZFŚS a przetwarzanie danych osobowych

Dyrektor powołał komisję socjalną w szkole, aby ta rozpatrywała wnioski o przyznanie świadczenia socjalnego. Do wniosku nauczyciel załącza świadczenie o dochodach swoich i członków rodziny za (...)

Wokanda a ochrona danych osobowych

Wokanda a ochrona danych osobowych

Wokandy są wywieszane na drzwiach sal i/lub w tablicach poszczególnych wydziałów sądów. Pewnego dnia spisując informację z wokandy zostałem "okrzyczany" przez Panią z sekretariatu, że nie wolno. (...)

Dane służbowe pracowników kontrahenta

Dane służbowe pracowników kontrahenta

Czy dane kontaktowe do firm wraz z nazwiskami i stanowiskami osób to dane osobowe? Czy adresy mailowe wraz z nazwiskami posiadaczy, zbierane w celach służbowych i upublicznione jako służbowe to dane (...)

Rozłożenie należności na raty a przedawnienie

Rozłożenie należności na raty a przedawnienie

Pan X otrzymał list od operatora telekomunikacyjnego z informacją, że jeżeli w terminie 2 tygodni nie spłaci długu z nieopłaconych rachunków to operator sprzeda dług firmie windykacyjnej. Pan (...)

Zgoda na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych

W jaki sposób może być udzielona zgoda na przetwarzanie danych osobowych? Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych, zgoda musi wyraźnie dotyczyć przetwarzania danych, nie może (...)

Publikacja danych osobowych w Internecie

Publikacja danych osobowych w Internecie

Firma pragnie zamieszczać na stronie subiektywne, ale wyłącznie pozytywne opinie oraz ocenę internautów na temat osób, np. fryzjerów, czy też stomatologów wymienionych z nazwiska oraz miejsca (...)

Sprzeciw co do przetwarzania danych osobowych

Sprzeciw co do przetwarzania danych osobowych

Jeśli w przeszłości wyraziłem zgodę na przetwarzanie danych osobowych w celach marketingowych, to czy teraz mogę wnieść sprzeciw wobec ich przetwarzania? Czy muszę, to umotywować? Każdej osobie (...)

Jak usunąć swoją historię kredytowa z BIK?

Jak usunąć swoją historię kredytowa z BIK?

Czy mogę usunąć swoją historię kredytowa z BIK jeżeli nadal mam zaległości do spłacenia? Niniejsza opinia została sporządzona na podstawie przepisów ustawy Prawo bankowe (Dz.U.2012.1376 (...)

Wybór recenzenta pracy doktorskiej a dane osobowe

Wybór recenzenta pracy doktorskiej a dane osobowe

Wybór recenzenta określa ustawa z dn. 14 marca 2003 r. o stopniach naukowych i tytule naukowym oraz stopniach i tytule w zakresie sztuki. W art. 20 pkt. 5 jest wzmianka, że recenzenci muszą być powoływani (...)

Baza danych klientów

Baza danych klientów

Firma posiada bazę klientów, która składa się z adresów i danych firm zakupionych w GUS oraz danych klientów indywidualnych, które to dane otrzymaliśmy na podstawie kontaktów telefonicznych. (...)

Podstawa prawna oceny pracowniczej w firmie

Podstawa prawna oceny pracowniczej w firmie

Czy przeprowadzenie w firmie oceny pracowniczej (np. w sposób opisany niżej) może być zakwalifikowane jako wypełnianie obowiązku pracodawcy, o którym mowa w art. 94 ust. 9 kodeksu pracy? Jakie kryteria (...)

Zgoda na umieszczenie wizerunku wnętrza

Zgoda na umieszczenie wizerunku wnętrza

Prowadzę firmę, która świadczy usługi dekoratorskie. Dla większego prestiżu chciałbym stworzyć listę referencyjną klientów biznesowych, chciałbym także wykorzystywać fotografie wybranych (...)

Udostępnienie danych dłużnika

Udostępnienie danych dłużnika

Czy udostępnienie danych dłużnika bez jego zgody osobie trzeciej w związku z cesją wierzytelności narusza ustawę o ochronie danych osobowych, a jeżeli tak, to co należy zrobić, aby dane zostały (...)

Naruszenie danych osobowych i dóbr osobistych

Naruszenie danych osobowych i dóbr osobistych

Napisałem kronikę rodzinną, w której zamieściłem zdjęcia przodków, potomków prawie całego drzewa genealogicznego. Zamieściłem również dane osobowe, daty urodzeń, ślubów, opisy dotyczące (...)

Definicja przetwarzania danych

Definicja przetwarzania danych

Czy samo spojrzenie, wgląd, przeczytanie danych osobowych można zaliczyć do przetwarzania danych osobowych? Zgodnie z ustawą o ochronie danych osobowych, przez przetwarzanie danych rozumie się jakiekolwiek (...)

Imię i nazwisko- dane osobowe chronione

Imię i nazwisko- dane osobowe chronione

Samo nazwisko i imię nie można traktować jako dane osobowe, ponieważ wiele osób może podobnie się nazywać. Czy można umieścić imiona, nazwiska i oceny studentów bez ich zgody na przetwarzanie (...)

Akt oskarżenia a ochrona danych osobowych

Akt oskarżenia a ochrona danych osobowych

Prokurator przysyłając mi do aresztu pisma, a potem akt oskarżenia, wypisał wszystkich członków grupy przestępczej, włącznie z ich całymi danymi, numerami PESEL, imionami rodziców, stanem posiadania, (...)

Kserowanie kart płatniczych

Kserowanie kart płatniczych

Z jednym z klubów fitness (prestiżowym) należy zawrzeć umowę na czas przynajmniej 12 m-cy. Płatność jest w formie stałego comiesięcznego obciążania rachunku karty kredytowej. W tym celu należy (...)

FORUM PRAWNE

Porady prawne