Dane członków zarządów i PUODO

Czytanie ze zrozumieniem naprawdę ma przyszłość. Naprawdę. Zarówno przepisu prawa jak i tego, co publikuje organ nadzorczy. Nie tylko w RODO ma to zastosowanie, proszę mi wierzyć. Przez internet przetoczyła się fala ogromnego zaskoczenia. A ja jestem ogromnie zaskoczony ogromnym zaskoczeniem. I przepraszam za wyrażenie, nieco kuriozalnymi (eufemizm) tłumaczeniami o takiej wielkiej ilości pracy, jaką trzeba będzie wykonać. Ale po kolei.

Reklama

Dane osobowe członków zarządów

To jest moje pierwsze zaskoczenie. Naprawdę to takie dziwne, że są to dane osobowe podlegające rygorom RODO? Przecież wypełniają wszystkie definicje. A może członek zarządu, prezes ma mniej praw niż np. przedstawiciel handlowy? Co do którego również należy dopełnić obowiązku informacyjnego. I nie, nie zawsze jest to “klauzula informacyjna” Cudzysłów specjalnie, bo za dużo prawa się już robi w codziennym działaniu. Przecież mało kto rozumie, nie będąc prawnikiem co to jest. Nie prościej “informacja o przetwarzaniu danych”? 

Wykonanie swoich praw w praktyce

Odchodzi sobie człowiek z pracy to często wysyła maila, czy sms, że odchodzi z danej firmy. Spotkałem się z tym, że szefowie firm chcieli tego zakazać, “bo zabierze klientów”. Krótka analiza równowagi pokazywała, że jest to proszenie się o problem. Bo pracownik fakt, robi to po to aby ktoś go znalazł. Ale z drugiej strony też po to, aby nie dostawał już ofert, nie był “nękany” tematami firmy, w której nie pracuje. Fakt, mail firmowy to mail firmowy, ale zawsze można gościa znaleźć na Linkedin, Facebook i innych socialach. Albo spotkać na targach czy imprezach branżowych i kolokwialnie truć mu, jaką się ma ofertę. 

Naruszenie jego praw?

Jasne! Przecież on już nie pracuje w tej firmie. 

Ma prawo wykonać taki SMS lub maila?

Tak. Podpowiedź. Warto dla bezpieczeństwa firmy wprowadzić zasadę zakończenia współpracy danego człowieka i przeniesienia kontaktu na inną osobę.

Odchodzi członek zarządu z firmy

Jako gość od bezpieczeństwa korporacyjnego, czy bezpieczeństwa informacji ZAWSZE wprowadzałem “procedurę” (cudzysłów, bo czasem to było działanie HR-owe związane z rozwiązaniem umowy), w której po zakończeniu pracy czy pełnieniu funkcji osoby z zarządu, prokurenta czy pełnomocnika, rozsyłana była informacja do firm współpracujących, że:

“pan X zakończył współpracę z naszą firmą i obecnie prosimy kierować się do…”

Oczywiście czasem było to wygładzane, aby ładniej brzmiało, niemniej taka informacja dla mnie jest po prostu OBOWIĄZKOWA. Chyba, że chcemy mieć problemy na podstawie jeszcze niezaktualizowanego KRS-u (przypominam, to nawet 2 tygodnie). 

Prawa członka zarządu

A co jakby… rozstał się w wyniku problemów finansowych, czy jakichkolwiek innych. Ma otrzymywać maile z “wiązankami” od niezadowolonych klientów? Ma otrzymywać wezwania do zapłaty za zobowiązania powstałe jak już nim nie był? Ma się tym wszystkim denerwować, jak już nie jest członkiem zarządu?

To zdaje się będzie naruszenie jego praw i … niezgodności z RODO. O tym na koniec. 

A może ma prawo do tego, aby rozesłać sam do firm informację, że już nie pracuje? 

Niezgodności – czyli na koniec

Artykuł 5 Zasady dotyczące przetwarzania danych osobowych

  1.   Dane osobowe muszą być:
  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

Jeśli mamy dane prezesa, który nie jest prezesem… Członka zarządu, który nie jest już nim. To mamy dane prawidłowe?

Tak, nie będziemy biegać za każdym, aby nam aktualizował, ale jakie działania zostały podjęte aby mieć aktualne dane? 

Krótkich kilka podpowiedzi

Może warto dodać np. część umowy z zapisami “dane osobowe” i dodanie kilku elementów? Bo administratora to nie ma co. Celu przetwarzania też nie, bo przecież jest w główce umowy. I to będzie dla prezesa, członka zarządu, czy tego co reprezentuje przy podpisaniu. 

Może warto też dodać zapis, że za wykonanie obowiązku wobec realizatorów umowy odpowiada osoba wskazana jako kontaktowa? Bo “wiecie-rozumiecie” ale tych realizatorów będzie np. wielu. I ich też ktoś powinien poinformować, że dane będą przekazane. Np. często przy audytach czy usługach konsultingowych są różne zespoły, ale trzeba przekazać dane dotyczące doświadczenia, kwalifikacji i kompetencji. 

Podsumowanie

Intrygujące jest to, że tak prosta rzecz powoduje tak wielką “zadymę” w środowisku. Może znów za dużo interpretacji prawa a za mało jego stosowania? Jak będziemy traktować RODO i ochronę danych jako element działania organizacji, to naprawdę jest to proste. Jak będzie to nadal doklejony element, prowadzony przez oderwane od firmy piony, najczęściej stawiają się w roli żandarmów, RODO nie zadziała. NIE MA SZANS

A już na koniec. Poza prezesami, pełnomocnikami, prokurentami jest jeszcze masa danych osobowych wykonawców umów, co do których (co wychodzi na audytach) RODO też nie jest realizowane w zakresie obowiązku informacyjnego. Są to obszary (naprawdę przykładowo i tylko kilka):

  • BHP – wprowadzenie do pracy pracownika zleceniodawcy, przechowywanie dokumentu zapoznania się z zagrożeniami (wymaganie prawne to zapoznanie i ten podpis), wykaz osób wykonujących prace szczególnie niebezpieczne (dane kontaktowe, uprawnienia, kwalifikacje zawodowe) zawarte też na protokołach i innych dokumentach, dane koordynatora BHP i wiele innych;
  • PPOŻ – lista osób zapoznanych z Instrukcją Bezpieczeństwa Pożarowego (często mająca długą historię), z nazwą firmy i wzorem podpisu, PPN – prace niebezpieczne pod względem pożarowym i do nich zezwolenia na pracę, protokoły wykonania prac, w tym np. imię, nazwisko, nazwa firmy, funkcja, podpis pracownika ochrony, który wykonał kontrolę miejsca wykonania prac. 

Mogę naprawdę tak wiele wypisać. Prezesi to początek, a co z rzeszą ludzi wymienionych wyżej? Naprawdę Inspektor Ochrony PPOŻ zapoznający z instrukcją dokonał właściwego poinformowania osób o tym co się dzieje i będzie dziać z danymi? A może zrobił to spec od BHP czy inna osoba informująca o zagrożeniach wykonawców zleceniodawcy?

Może warto zacząć rozumieć, że RODO dotyczy wszystkich osób fizycznych, których dane przetwarzamy? I nie ma znaczenia cel, rola, funkcja tej osoby?

I już na koniec. Cytat ze strony PUODO:

Wobec tego administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku.

I przepisy:

art 13.4.   Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

oraz

art 14.5.a   Ust. 1– 4 nie mają zastosowania, gdy – i w zakresie, w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami;

A o niewspółmierności odsyłam do wyroku WSA w sprawie Bisnode. Larum o ilości przesyłek i ich kosztach przestanie być larum, jak zrozumiemy czym jest ta niewspółmierność. Sąd bardzo ładnie to wyjaśnił. A nakłonienie administratorów do wysyłek na masową skalę ZPO (za zwrotnym potwierdzeniem odbioru) jako RWD  uznałbym jako nakłanianie do niekorzystnego rozporządzenia majątkiem. Bo w RODO nie ma ani słowa, że mamy mieć POTWIERDZENIE zapoznania się osoby z informacją o przetwarzaniu danych osobowych.