Wdrożenie i prowadzenie obsługi Inspektora Ochrony Danych osobowych (IOD) na platformie dmsales.com

Opis kontekstu, opis wyzwania stojącego przed klientem kancelarii


Platforma dmsales.com to oprogramowanie wspierające marketing i sprzedaż b2b w automatyzacji procesu pozyskania klienta oraz czynnościach związanych z prospectingiem i utrzymywaniem relacji z klientami b2b. W początkowej fazie projektu klient zwrócił się do radców prawnych kancelarii o przygotowanie audytu bezpieczeństwa przetwarzania danych oraz opracowaniem procedur obsługi inspektora ochrony danych osobowych dla użytkowników platformy. Jednocześnie należy nadmienić, że sercem platformy jest jedna z największych prywatnych baz danych przedsiębiorców oraz klientów indywidualnych w Polsce.

Dane, które miała zawierać platforma miały zostać zanonimizowane i zweryfikowane pod kątem możliwości ich udostępniania podmiotom trzecim. Następnie po określeniu wymagań dotyczących funkcji systemu oraz procedur biznesowych opracowano system i raportowanie zgodnie z zasadami privacy by design, które pozwoliłoby pracować w reżimie RODO.

Cele projektu i współpracy z kancelarią :

Sposób realizacji projektu i wprowadzonej obsługi IOD:

Efekty:

Zastrzeganie danych osobowych w DMSales.com to proces łatwy i w pełni zautomatyzowany. W celu zastrzeżenia danych lub uzyskania informacji, skąd dane zostały pozyskane, wystarczy skorzystać z prostego i przejrzystego formularza, znajdującego się na stronie https://iod.dmsales.com/.

Formularz składa się z dwóch części. W pierwszej widocznej w prawym górnym rogu należy zaznaczyć jaka czynność ma zostać wykonana względem danych, czyli:

Druga część formularza to informacja jakie dane mają zostać sprawdzone i przeprocesowane czyli np. imię i nazwisko, numer telefonu oraz adres e-mail. Pole imię i nazwisko oraz adres e-mail to pola obowiązkowe w celu dalszej weryfikacji danych.

Co natomiast dzieje się dalej, gdy wprowadzone w formularzy dane zostaną zatwierdzone przez przycisk znajdujący się w prawym dolnym rogu – „wypisz mnie”? Na wskazany uprzednio adres e-mail zostanie przesłana wiadomość potwierdzająca zgłoszenie.

Wiadomość zawsze przychodzi od tego samego nadawcy jakim jest Dział Inspektora Ochrony Danych. W treści znajduje się potwierdzenie podanych na formularzu oraz indywidualny numer zgłoszenia. Jeżeli wiadomość nie trafiła bezpośrednio do skrzynki odbiorczej, należy sprawdzić inne foldery typu powiadomienia, oferty lub spam.

W ciągu 72 godzin od momentu wysłania zgłoszenia, przesyłana jest wiadomość zwrotna informująca o zakończonym procesowaniu wraz z wynikiem na wskazany wcześniej adres e-mail. W wiadomości w zależności od zgłaszanej prośby podane są informacje o odnalezieniu danych w zasobach DMSales, a także informacja potwierdzająca usunięcie danych i informacja o źródle danych. W przypadku nie odnalezienia danych w zasobach DMSales również przesyłana jest stosowna notyfikacja, informująca, iż zgłoszone na formularzu dane nie zostały odnalezione. Jeżeli na formularzu zostanie pozostawiony numer telefonu komórkowego informacja o usunięciu danych lub o nie odnalezieniu danych również zostanie wysłana wiadomość SMS.

Proces zastrzegania danych w DMSales jest automatyczny, w związku z tym od momentu zgłoszenia w ciągu 72 godzin dane są usuwane z zasobów DMSales.

Prócz zgłoszeń przekazywanych za pośrednictwem formularza, zastrzeżenie danych można skierować również pocztą tradycyjną, natomiast należy mieć na uwadze, że zastrzeżenia nie są przyjmowane drogą telefoniczną. Dodatkowo, zgłoszenia, które przyjmowane są przez formularz mają nadawany indywidualny numer identyfikacyjny.

W przypadku dodatkowych pytań IOD DMSales dostępny jest na czacie, aby móc wyjaśnić wszystkie niejasności związane z zastrzeżeniem danych.

Łącznie od grudnia 2019 roku do dnia 01.04.2022 obsłużono udzielając wyjaśnień w imieniu dmsales.com:

W przypadku obsłużonych spraw kierowanych do spółki od urzędu 95% umorzono sprawę decyzją prezesa urzędu ochrony danych osobowych, natomiast kancelaria czeka na rozstrzygnięcie w 5% pozostałych przypadkach.

Podsumowanie:

Jako podsumowanie projektu i bieżącej obsługi poprosiłem Tomasza Dziobiaka twórcę platformy dmsales.com, aby przedstawił ze swojej strony ocenę wsparcia radcy prawnego w zakresie obsługi prawnej procesu zarządzania danymi osobowymi i inspektora danych osobowych. Oto cytat: „Nie wyobrażam sobie wdrożenia z sukcesem platformy na rynek bez solidnego wsparcia radcy prawnego i procesu inspektora ochrony danych osobowych. Ostatnie miesiące jasno pokazują, że zachowanie bezpiecznych reguł związanych z przetwarzaniem danych jest kluczowe dla prowadzenia projektów internetowych i cyfrowych w ogóle. Dzięki współpracy kancelarii przygotowaliśmy też ofertę edukacyjną dla naszych klientów oraz odbiorców. Cieszę się, że wespół z przedstawicielami kancelarii powstał materiał, który jest szeroko wykorzystywany przez naszych użytkowników. Dziękuję!” – A to wspomniany przykład wypracowanych w projekcie materiałów edukacyjnych.

Zapraszamy do rozmowy i konsultacji przede wszystkim startupy technologiczne oraz sklepy internetowe. Proces w podobny sposób może działać, a na pewno ochronić przed niepożądanymi skutkami wynikającymi z błędów w sposobie przetwarzania danych osobowych.

Metody ochrony dłużnika – skarga na czynności komornika sądowego

Charakterystyka środka prawnego


W ramach naszego cyklu dotyczącego egzekucji sądowej porozmawiamy o skardze na czynności komornika sądowego. Skarga na czynności komornika jest specyficznym środkiem prawnym, który służy państwu wtedy, jeżeli czynności są przeprowadzane przez komornika w sposób nieprawidłowy. Należy ją odróżnić od powództwa przeciw egzekucyjnego, które służy temu, żeby zobaczyć treść tytułu wykonawczego. Skargą na czynności komornika nie da się zwrócić tytułu wykonawczego na przykład wskazując że roszczenie zostało już spłacone albo z innych powodów nie jest wymagalne.

Tutaj niestety też zdarza się że wśród profesjonalnych pełnomocników następuje pewne pomylenie skargi na czynności komornika z powództwem przeciwko egzekucyjnym, co niestety niesie za sobą konkretne konsekwencje ponieważ skarga na czynności komornika jest ściśle sformalizowana i może być złożona w ciągu siedmiu dni od dokonania przez komornika czynności egzekucyjnych.

Jakie rzeczy możemy zaskarżyć w ramach skargi na czynności komornika?


Nie ma katalogu w jakim zakresie ta skarga by obowiązywała, natomiast ona dotyczy stricte formalnych czynności np. nie powiadomienia strony o jakiejś czynności egzekucyjnej,  co się wiąże z dalszymi etapami prowadzenia egzekucji. Nie dokonania jakiejś czynności np. przy egzekucji z nieruchomości, nie dokonanie opisu oszacowania nieruchomości, nie doręczenia go stronie. Wszystkie te rzeczy formalne, które w ramach egzekucji jak nie zostaną wykonane, powodują że na dalszych etapach egzekucja nie powinna być prowadzona.

Jak złożyć skargę?


Zgodnie z obecnie obowiązującymi przepisami skargę na czynności komornika składa się bezpośrednio do komornika. Do skargi należy dołączyć opłatę, którą składa się do sądu w wysokości 50 zł. Skargę należy złożyć tak jak każde pismo procesowe w takiej ilości egzemplarzy, ile mamy stron bądź jeszcze uczestników postępowania. Wśród stron jest oczywiście wierzyciel i dłużnik, natomiast mogą też wystąpić uczestnicy np. inne podmioty, które władają rzeczą, która podlega egzekucji, bądź mają jakieś roszczenia bądź prawa do rzeczy, które w ramach tej egzekucji się znalazły. To np. wierzyciel hipoteczny - osoba, która posiada służebność osobistą zapisaną w księdze wieczystej.

Kolejny etap


Po złożeniu skargi na czynności komornika, komornik ma obowiązek ustosunkować się do tej skargi i może skargę w całości uwzględnić. Wtedy wykona czynność, którą państwo wskażą bądź uchyli, jeżeli skarga dotyczy uchylenia tej czynności. Natomiast jeżeli się w całości bądź w jakimś zakresie z państwa skargą nie zgadza, to zostanie ona przekazana do sądu.

Skarga jest rozpoznawana przez sąd na posiedzeniu niejawnym i sąd wydaje postanowienie, w którym czynność komornika bądź uchyla bądź zmienia, a także jeżeli widzi taką potrzebę, z urzędu nakazuje komornikowi dokonanie określonych czynności egzekucyjnych. Mam nadzieję, że na tej podstawie będą państwo rozróżniać czym się różni skarga egzekucyjna od powództwa egzekucyjnego, żeby skutecznie bronić, bądź dochodzić swoich praw w toku egzekucji.

Zapraszam na kolejne odcinki, gdzie będziemy omawiać poszczególne sposoby prowadzenia egzekucji przez komornika oraz wskazujemy jakie czynności może podjąć dłużnik żeby się ewentualnie bronić w toku tego postępowania.

Jak poprawnie zrealizować obowiązek informacyjny?

Jedną ze spraw, o którą każdy przedsiębiorca otwierający biznes musi zadbać, jest wdrożenie przepisów o ochronie danych osobowych w firmie.  W praktyce oznacza to konieczność realizacji wymagań opisanych w RODO - ogólnym rozporządzeniu o ochronie danych (pełen tekst: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL

Istotnym elementem wdrożenia RODO jest opracowanie i przyjęcie w firmie dokumentacji w zakresie ochrony danych. Należy tu jednak podkreślić, że RODO nie sprowadza się jedynie do przygotowania dokumentów. Przepisy poruszają także między innymi takie tematy jak zabezpieczenia danych, komunikacja, zarządzanie incydentami, archiwizacja i przechowywanie danych, powołanie Inspektora Ochrony Danych czy projektowanie nowych usług. 

Dokumentacja pozostaje istotnym elementem wdrożenia, a braki w tym zakresie były już kilkakrotnie podstawą do nałożenia kar administracyjnych przez organ nadzoru, którym jest w Polsce Prezes Urzędu Ochrony Danych Osobowych. Wdrożenie dokumentów RODO w małej firmie, która nie zajmuje się przetwarzaniem ogromnej ilości danych i nie ma dostępu do tzw. danych o szczególnym charakterze, nie musi być bardzo skomplikowane. Przy odrobinie uwagi, biorąc pod uwagę ogromne ilości wzorów i poradników dostępnych w sieci, wdrożenie takie można przeprowadzić we własnym zakresie. 

Dokumenty stanowiące element wdrożenia RODO


Generalnie można wskazać kilkanaście różnego rodzaju dokumentów, które mogą stanowić element wdrożenia RODO. W przypadku mniejszych podmiotów, a w szczególności jednoosobowych działalności gospodarczych, nie każdy z nich będzie wymagany. 

Te, które występują w zasadzie w każdym wdrożeniu to: 

  1. Obowiązek informacyjny - nazywany niekiedy w bardziej rozbudowanej wersji „polityką prywatności”; 
  1. Rejestr Czynności Przetwarzania 

Dodatkowo bardzo często, także w małych firmach, konieczne jest również przygotowanie: 

  1. Upoważnienia do przetwarzania danych osobowych - jeżeli firma zatrudnia personel; 
  1. Umowy powierzenia przetwarzania danych osobowych - jeżeli firma korzysta z podwykonawców; 
  1. Rejestru Kategorii Czynności Przetwarzania - jeżeli firma występuje w roli podmiotu przetwarzającego; 

Dodatkowo w większych firmach polecałbym opracowanie polityk (bezpieczeństwa, bezpieczeństwa IT) oraz szeregu wzorów formularzy, użytecznych przy realizacji niektórych z obowiązków wynikających z RODO. Dokumenty te nie będą jednak konieczne w większości mniejszych podmiotów. 

Jednym z podstawowych dokumentów, który powinien zostać przygotowany w zasadzie w każdej firmie jest obowiązek informacyjny. Jego zakres został określony w art. 13 (jeżeli administrator sam pozyskał dane) lub w art. 14 (jeżeli dane zostały pozyskane z zewnętrznego źródła) RODO. 

W ramach niniejszej publikacji, zostaną opisane podstawowe zasady przygotowywania tego dokumentu. 

Obowiązek ten dotyczy wyłącznie administratorów, ale jest niemal pewne, że w takiej roli wystąpi zdecydowana większość uczestników obrotu gospodarczego. Nawet, jeżeli firma wykonuje wyłącznie zlecenia innych podmiotów i pracuje na danych tych podmiotów (czyli w roli procesora), to posiada dane pełnomocników swoich klientów, podwykonawców, dostawców, pracowników czy zleceniobiorców. I już ten fakt powoduje, że koniecznym jest przekazanie informacji wskazanych w RODO, zaś firma jest w stosunku do takich osób administratorem danych. 

Nie ma jednego, „złotego” standardu obowiązku informacyjnego, choć istnieje wiele jego wzorów. RODO nie wymaga tu bowiem określonej formy. Można więc przygotować tabelę, dokument z paragrafami lub kilka linijek ciągłego tekstu - w zależności od potrzeb i preferencji. 

Jak przygotować obowiązek informacyjny?


Aby właściwie przygotować obowiązek informacyjny, każdy administrator powinien odpowiedzieć na kilka pytań: 

  1. Jakie dane firma przetwarza jako administrator a jakie jako procesor? 
  1. Skąd pozyskano te dane ? 
  1. Na jakiej podstawie odbywa się przetwarzanie (np. w oparciu o przepisy prawa lub dobrowolną zgodę)? 
  1. W jaki sposób i w jakim celu firma zamierza wykorzystać pozyskane dane? 
  1. Jak długo będą przetwarzane dane? 
  1. Czy, komu i w jakim celu będę je przekazywał „na zewnątrz”? 
  1. Czy dane będą przetwarzane także poza obszarem EOG (UE + Norwegia, Islandia i Lichtenstein)? 

Mając przygotowane odpowiedzi na powyższe pytania, w oparciu o treść art. 13 albo 14 RODO, który można potraktować jako swoistą „chceck-listę” i wzór, uzyskany z wiarygodnego źródła, można opracować prawidłowy obowiązek informacyjny. Należy przy tym pamiętać o części dotyczącej praw podmiotu danych - która zasadniczo powinna być podobna w przypadku małych firm. Niemniej należy tu wziąć pod uwagę, że pewne różnice w zakresie tej części mogą wynikać ze sposobu pozyskania danych (np. występowanie lub nie prawa do usunięcia danych, kwestie związane z podejmowaniem zautomatyzowanych decyzji lub marketingu usług własnych). 

Kiedy powinien być zrealizowany obowiązek informacyjny?


Obowiązek informacyjny powinien być, zgodnie z RODO, zrealizowany „podczas pozyskiwania danych osobowych”. W praktyce oznacza to, że należy go zrealizować albo w trakcie pozyskiwania danych, albo bezpośrednio po ich uzyskaniu. RODO nie wskazuje preferowanej formy realizacji obowiązku informacyjnego - może być on zrealizowany w formie pisemnej (np. w pakiecie dokumentów dla nowego pracownika), mailowej lub nawet odczytany lub wysłany przez SMS. 

W praktyce może się zdarzyć, iż w przypadku bardzo prostej z poziomu ochrony danych działalności, całkowicie zgodny z RODO obowiązek informacyjny zamknie się w 3 linijkach tekstu. Warto więc zadbać o jego opracowanie, bowiem jest to zarówno obowiązek prawny jak i element uwiarygadniający firmę - szczególnie działającą w obszarze nowych technologii i IT. 

Częściowy nakaz noszenia maseczek w zakładzie pracy podczas epidemii Covid-19

DOPUSZCZALNOŚĆ WPROWADZENIA OBOWIĄZKU NOSZENIA MASECZEK DLA NIEKTÓRYCH KATEGORII PRACOWNIKÓW ORAZ OSÓB NIEZASZCZEPIONYCH NA COVID-19 

Problem wprowadzenia częściowego nakazu noszenia maseczek w zakładzie pracy w stosunku do osób niezaszczepionych oraz w odniesieniu do określonych grup pracowników staje się coraz częstszy w sytuacji, kiedy dzienna ilość zakażeń COVID-19 ponownie wzrasta. 

Część pracodawców, obawiając się skutków rozprzestrzenienia się infekcji wśród pracowników, jednocześnie dbając o ich komfort pracy i efektywność, zainteresowana byłaby wprowadzeniem selektywnego obowiązku używania maseczek w zakładzie pracy. Dotyczy to obowiązku noszenia maseczki przez określone grupy pracowników – np. osoby, które mają kontakt z klientem czy osobami trzecimi. Często pojawia się również pytanie, czy dopuszczalne jest wprowadzenie obowiązku noszenia maseczek w zakładzie pracy przez osoby niezaszczepione. 

Z racji faktu, iż dotychczas nie uregulowano w przepisach kwestii dopuszczalności przetwarzania danych o szczepieniach pracowników przez pracodawcę, czy określonych ograniczeń względem osób niezaszczepionych, odpowiedź na powyższe problemy musi opierać się na interpretacji obowiązujących przepisów. W mojej opinii, obowiązujące przepisy pozwalają na wprowadzenie selektywnego obowiązku noszenia maseczek. Wprowadzając taki obowiązek pracodawca nie ma jednak całkowitej swobody. Musi bowiem brać pod uwagę ograniczenia dotyczące przetwarzania danych osobowych oraz kodeksowy zakaz dyskryminacji pracowników. 

Wprowadzenie prostego obowiązku „noszenia maseczki przez osoby niezaszczepione” naruszałoby co najmniej przepisy o ochronie danych osobowych. Wymagałoby bowiem, aby pracownik informował pracodawcę o fakcie bycia zaszczepionym. Tymczasem jako informacja o charakterze medycznym, są to tzw. „dane szczególnej kategorii” w rozumieniu RODO. Nie mieszczą się również w zakresie danych, które pracodawca może przetwarzać na podstawie art. 22(1) Kodeksu pracy. Ponieważ jak dotąd ustawodawca nie dał większości pracodawców uprawnienia do przetwarzania takich danych na podstawie odrębnych przepisów, należy wskazać, że pracodawca nie może żądać od pracownika informacji o tym, czy dysponuje dowodem szczepienia na COVID-19. Z drugiej strony pracodawca może przetwarzać takie dane, o ile pracownik ujawni je dobrowolnie i wyrazi zgodę na ich przetwarzanie. Biorąc pod uwagę szczególny charakter takich danych – zgoda ta powinna mieć wyraźny charakter – np. w formie oświadczenia – także mailowego.

Należy jednak pamiętać, że „dobrowolność” przetwarzania danych musi mieć rzeczywisty charakter – nie może być w żaden sposób wymuszona, co w praktyce oznacza, że pracownik nie powinien być w żaden sposób sankcjonowany za odmowę podania danych – tj. jego sytuacja zawodowa nie powinna być w takiej sytuacji gorsza od sytuacji, osoby, która zgody udzieliła.  

Obowiązujące przepisy § 25 ust. 2 lit. c Rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (dalej: Rozporządzenie) zawierają ogólny obowiązek noszenia maseczki: „w zakładach pracy, jeżeli w pomieszczeniu przebywa więcej niż 1 osoba, chyba że pracodawca postanowi inaczej.” 

Rozporządzenie nie zawiera szczegółowych wytycznych wskazujących, że decyzja pracodawcy musi mieć charakter dychotomiczny – czyli podjęta jest na zasadzie „albo-albo” lub, że pracodawca powinien przy podejmowaniu decyzji o zwolnieniu z obowiązku noszenia maseczek kierować się jakimiś szczególnymi zasadami. Ogólne sformułowanie przepisu daje pracodawcy możliwość kształtowania zasad noszenia maseczek w firmie, z uwzględniem jej potrzeb i uwarunkowań faktycznych. 

Pracodawca może postanowić, iż w zakładzie pracy obowiązuje zasadniczo obowiązek noszenia maseczek przez pracowników. I może postanowić, iż od obowiązku tego przewidziane są wyjątki. Np. zwolnione są z niego osoby, które zostały zaszczepione, i na dowód tego okażą pracodawcy tzw. „certyfikat COVID” oraz wyrażą zgodę na przetwarzanie tej informacji. Pracownik wyraża zgodę dobrowolnie. Oznacza to, że osoba zaszczepiona nie musi informować o tym pracodawcy, tylko podporządkować się zgodnemu z przepisami zarządzeniu o przebywaniu w pracy w maseczce.

Trudno również podnosić, aby obowiązek noszenia maseczki stanowił „negatywną konsekwencję” braku zgody na przetwarzanie danych, co ogranicza podnoszenie zarzutu o pozornej dobrowolności zgody na przetwarzanie danych w tym zakresie. Ze względu na dobrowolność podania danych, fakt noszenia maseczki nie będzie w sposób jednoznaczny i pośredni umożliwiał identyfikacji, czy dana osoba jest zaszczepiona – bowiem będzie on świadczył jedynie o tym, czy dany pracownik ujawnił fakt zaszczepienia. Pracodawca powinien wziąć także pod uwagę rzadkie, ale możliwe sytuacje, iż pracownik niezaszczepiony nie może przebywać w maseczce ze względów zdrowotnych, posiadając odpowiednie zaświadczenie w tym zakresie, zaś nie posiada jeszcze certyfikatu COVID. 

Na tej samej zasadzie pracodawca może wprowadzić selektywne zwolnienie od obowiązku noszenia maseczek, przyjmując, iż taki obowiązek pozostaje jedynie w odniesieniu do określonych kategorii pracowników, lub określonych sytuacji – np. w stosunku do pracowników obsługi klienta lub w trakcie spotkań z zaproszonymi gośćmi albo w konkretnych pomieszczeniach. Należy mieć tylko na uwadze, aby kryteria nie miały charakteru dyskryminującego – tj. powinny być oparte na podstawach obiektywnych, dotyczących działalności zakładu pracy, a nie cech określonych osób. Czyli w mojej ocenie niedopuszczalne byłoby zwolnienie z obowiązku noszenia maseczek np. „pracowników poniżej 30 roku życia”.  Od strony formalnej należy sformułować decyzję nie jako nakaz noszenia maseczek, ale zwolnienie od obowiązku noszenia maseczek na podstawie wspomnianego § 25 ust. 2 lit c Rozporządzenia. 

Taka decyzja może mieć np. następującą formę: „zwalnia się pracowników X z obowiązku noszenia maseczek, z wyłączeniem pracowników Biura Obsługi Klienta oraz spotkań z osobami trzecimi, nie będącymi pracownikami X.”. W połączeniu ze wzmiankowaną interpretacją przepisów w zakresie dopuszczalności zwolnienia z obowiązku noszenia maseczek przez osoby, które ujawniły pracodawcy fakt zaszczepienia, decyzja mogłaby przyjąć następujące brzmienie: Pracownicy spółki X zobowiązani są do noszenia maseczek. Z obowiązku tego zwolnione są osoby, które dobrowolnie poinformują pracodawcę o fakcie zaszczepienia i okażą ważny certyfikat COVID, przy czym zwolnienie nie dotyczy pracowników obsługi klienta oraz spotkań z osobami trzecimi, nie będącymi pracownikami X.

Należy jednak podkreślić, iż w braku jednoznacznych przepisów w tym zakresie, powyższe rozważania stanowią możliwą i uzasadnioną interpretację obecnego stanu prawnego, ale jej stosowanie obarczone jest ryzykiem, iż właściwe urzędy (np. PIP czy UODO) przyjmą odmienną ich wykładnię.