Do napisania tego postu zainspirowało mnie jedno z pytań na znanej dużej grupie dla branży beauty. Sytuacja, którą ostatnio dość często widzę w różnych postach w sieci.
Hipotetyczny stan faktyczny: Pracownik odchodzi z pracy (nie ma znaczenia kto rozwiązuje umowę) zabiera ze sobą kontakty do klientek i zaczyna kontaktować się z nimi aby poinformować, że już nie pracuje w danym miejscu, czasami również zachęca do skorzystania z usług. Czasami jest to ciągły dostęp do danych osobowych w aplikacjach rezerwacyjnych, czasami jest to „kradzież” zeszytu z danymi czy zapisywanie danych na telefonie.. są różne tego przejawy. Ogólnie chodzi o to czy taka osoba może to robić i jakie są tego konsekwencje.
Właściciel salonu (przedsiębiorca) jest administratorem danych osobowych
1.Administrator danych osobowych jest zobowiązany do ochrony danych osobowych – w pełnym tego słowa znaczeniu. I choć od wejścia w życie RODO minęło już ponad 3 lata cały czas mam wrażenie, że do administratorów nie dociera fakt, że odpowiadają za dane osobowe i wprowadzenie RODO jest OBLIGATORYJNE. Dobre wprowadzenie rodo a nie jakaś wydmuszka wzorów ściągniętych z internetu czy chociażby papierowe stosowanie przepisów..
2. Administrator jest zobowiązany wprowadzić wszelkie środki bezpieczeństwa ochrony danych osobowych adekwatne do branży w jakiej pracuje.
3. Administrator powinien spełnić wszelkie obowiązki jakie są na niego nakładane przez RODO i przepisy prawa. Podobnie jeżeli w danej relacji mamy współadministratora (a takimi w większości są firmy świadcząceusługi rezerwacji) powinien Administrator poinformować współadministratora o takiej sytuacji, aby ten również dokonał istotnych czynności z tego wynikających.
Zatem nachodzi pytanie czy taki pracownik, który już nie pracuje w danym miejscu może wykorzystywać te dane osobowe po rozwiązaniu umowy?
NIE – nie może tego robić – jeżeli to robi łamie przepisy karne.
Art 84 RODO wskazuje, że państwa członkowskie mogą wprowadzić sankcje w zakresie RODO i dlatego też powstał artykuł 107 Ustawy o ochronie dany osobowych
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Art. 108 UODO
Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
No tak, ale co ma zrobić taki pracodawca?
Po pierwsze powinien wdrożyć całą procedurę RODO – czyli zabezpieczyć wszystkie informacje, przeprowadzić analizę ryzyka dla ochrony i praw wolności osób, których dane dotyczą oraz podjąć decyzję czy zachodzi przesłanka zgłoszenia do UODO i na policję.
Jeżeli chodzi o policję jestem zwolenniczką, że w takich sytuacjach lepiej to robić, głównie dlatego, aby w razie potencjalnej kontroli UODO wykazać, że w chwili kiedy dany podmiot dowiedział się o takim incydencie – bo mówimy to o celowym działaniu i kradzieży danych – podjął wszelkie środki aby zabezpieczyć te dane osobowe.
Inna sprawa, że minęło ponad 3 lata od wejścia w życie przepisów RODO, a niektórzy mali przedsiębiorcy dalej się łudzą, że ich to nie dotyczy i wdrożenia rodo mają zrobione prowizorycznie. Dokumenty kuleją, przetwarzanie danych nie jest zabezpieczone, bo żal pieniędzy, a jak dochodzi do takiego incydentu to potem takiemu przedsiębiorcy jest strach cokolwiek zrobić bo wie, że zaniechał wszelkich możliwych procedur i jeszcze bardziej pogłębia się patowa sytuacja.
Wiara w to, że „nikt się nie dowie” jest najgorszym z możliwych opcji – dlatego, że wystarczy jedna klientka, która o całym zajściu powiadomi prezesa urzedu ochrony danych osobowych, który to zgłosi się do salonu po wyjaśnienia. Praktyka pokazuje, że nieodbieranie pism od UODO grozi karami i to nie małymi, przekonały się też o tym małe podmioty gospodarcze, nie stosowanie się do przepisów również więc nalezy sobie zadać pytanie – uczyć się na błędach innych czy dalej prowadzić prowizorkę w salonie i „jechać po bandzie”, nie szanować danych osobowych swoich klientów i czekać aż kara kiedyś się zjawi czy jednak podjąć odpowiednie kroki i zrobić wszystko jak należy?
Administrator danych zobowiązany jest w ciągu 72 godzin powiadomić Prezesa UODO o naruszeniu ochrony danych osobowych, powinien również powiadomić osoby, których dane dotyczą o tym, że utracił dane i co się z tym wiąże.
Na co dzień wprowadzając dokumentacje, procedury do salonów beauty widzę jaki tam jest „syf w dokumentach, procedurach”, ale najważniejsze to zrobić kroki, aby ten „dokumentacyjny syf” wyprostować. Ostatnio nawet zauważyłam, że jestem sprzątaczką tego całego syfu związanego z RODO w firmach. Wchodzę robie co do mnie należy i wychodzę, czasami klient sam dużo może zrobić, wystarczy mu wytłumaczyć wiele kwestii, bo żaden właściciel salonu głupi nie jest, ale wystarczą chęci i zwrócenie się do kogoś o wsparcie w tym zakresie.
- Wytyczne EROD dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679
- art. 4 pkt 12, art. 33 i 34 oraz motywy 85–88 RODO
Jeżeli potrzebujesz konsultacji, wprowadzenia rodo, czy masz wszystko co trzeba, masz wątpliwości czy twoje rodo jest dobrze zrobione, czy bezpieczeństwo danych może być lepsze zapraszam do kontaktu
O mnie więcej przeczytasz TU
_________________________________
Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.
Bądź pierwszy, który skomentuje ten wpis