Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Ochrona danych wewnątrz związków zawodowych

21-01-2021 Autor: Mateusz Kupiec

Zadaniem związków zawodowych jest ochrona praw, interesów zawodowych i socjalnych ludzi pracy. W jaki jednak sposób podmioty te powinny chronić dane osobowe swoich członków? W artykule przedstawiamy wybrane problemy dotyczące ochrony danych osobowych w związkach zawodowych, ze szczególnym uwzględnieniem dobrych praktyk zaproponowanych przez francuski organ nadzorczy.

 

Jak wynika z informacji udostępnionych przez Główny Urząd Statystyczny, w Polsce istnieje 12,5 tys. związków zawodowych, do których należy łącznie 1,5 mln osób, co sprawia, że stosunkowo duża liczba podmiotów sprawuje kontrolę nad danymi osobowymi znaczącej części społeczeństwa. Skuteczne funkcjonowanie związków zawodowych nie jest możliwe, jeżeli osoby w nich zrzeszone, a także opinia publiczna, przestaną im ufać. Do spadku zaufania członków związku zawodowego do zrzeszającej ich organizacji mogą potencjalnie przyczynić się naruszenia związane z ochroną danych osobowych. Dlatego warto zastanowić się nad skuteczną ochroną danych ich członków.


Zapewnienie bezpieczeństwa przetwarzania


Unijny prawodawca w art. 32 rodo zobowiązuje administratorów oraz podmioty przetwarzające do odpowiedniego zabezpieczenia przetwarzanych danych. Niemniej jednak w przepisie tym wskazano jedynie w sposób ogólny, jakie aspekty powinny zostać wzięte pod uwagę przy ocenie ryzyka i wdrożeniu zabezpieczeń, oraz wyliczono w przykładowy sposób środki ograniczające ryzyko, które powinny zostać podjęte, aby zapewnić odpowiedni poziom bezpieczeństwa przetwarzania danych. Absencja skonkretyzowanych unormowań prawnych, które określałyby rodzaje technicznych i organizacyjnych środków zabezpieczenia danych, skłania do poszukiwania wskazówek, które mogłyby pomóc administratorom w spełnieniu wymogu z art. 32 rodo. Z racji przetwarzania dużej ilości danych osobowych, w tym danych wrażliwych, na związkach zawodowych ciąży szczególny obowiązek, aby „zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi przynależności do związków zawodowych” (mutatis mutandis motyw 71 preambuły rodo).


Na ten problem zwrócił uwagę francuski organ nadzorczy (CNIL) w swoim stanowisku dotyczącym dobrych praktyk ochrony danych osobowych w związkach zawodowych. Organ przypomniał, że dane osobowe członków związków zawodowych są szczególnie wrażliwe i z tego względu informacje pozwalające na ich identyfikację powinny być dostępne wyłącznie dla osób, które muszą je znać. W związku z tym CNIL zaleca zdefiniowanie polityki autoryzacji dostępu do informacji w związku zawodowym, która określałaby prawa dostępu i modyfikacji dla każdego typu danych zgodnie z profilem użytkownika. W ocenie organu wymiana informacji w obrębie struktury danego związku zawodowego powinna być również zabezpieczona przez szyfrowanie transferów danych lub hasło chroniące wszelkie wymieniane pliki. Ponadto związki muszą wdrożyć środki śledzenia dostępu do danych w celu wykrycia nieuprawnionego dostępu.


O konieczności zapewnienia odpowiedniego bezpieczeństwa procesu prze­twarzania dotkliwie przekonał się jeden z duńskich związków zawodowych – Kristelig Fagforening (Kirfa), wobec którego duński organ nadzorczy (Datatilsynet) w decyzji z 5 listopada 2019 r. (2019-41-0028) zastosował środek naprawczy, o którym mowa w art. 58 ust. 2 lit. d rodo, czyli nakaz dostosowania operacji przetwarzania do przepisów rodo. W Kristelig Fagforening używano duńskiego odpowiednika numeru PESEL należącego do osoby, której dane dotyczą, jako hasła dostępu do szyfrowanych plików przesyłanych w domenie poczty elektronicznej związku. Zdaniem organu administrator danych osobowych nie może używać danych osobowych per se jako środka służącego do zachowania poufności przetwarzanych danych osobowych, w tym np. przez wykorzystanie właśnie numeru ewidencji ludności jako środka dostępu do informacji.

 

Realizacja obowiązku informacyjnego


Związki zawodowe jako administratorzy są zobowiązane do spełnienia obowiązku informacyjnego, o którym mowa odpowiednio w art. 13 i art. 14 rodo w stosunku do osób, których dane dotyczą. CNIL zauważa, że członkowie związków zawodowych są informowani o przetwarzaniu ich danych albo przez politykę prywatności udostępnioną na stronach internetowych związków zawodowych, albo klauzule informacyjne zamieszczane w formularzach członkowskich. Zdaniem francuskiego organu nadzorczego związki zawodowe powinny spełniać obowiązek informacyjny zarówno w sposób zbiorowy (np. na dedykowanej podstronie strony internetowej), jak i zindywidualizowany w momencie pozyskania danych. W przypadku gdy dane są pozyskiwane od członków związku przy użyciu zasobów papierowych, których format może czasem być trudny do pogodzenia z wymogiem przedstawienia wyczerpujących informacji dla osób fizycznych, CNIL zaleca zamieszczenie niezbędnych informacji (w szczególności tożsamości administratora, celu przetwarzania, praw jednostki i danych kontaktowych IOD) oraz dodanie adresu pełnej klauzuli informacyjnej opublikowanej na stronie internetowej związku zawodowego.


Przetwarzanie danych byłych członków związku zawodowego


O ile w danym stanie faktycznym nie zostanie spełniony jeden z warunków dopuszczalności określony w art. 9 ust. 2 rodo, o tyle zgodnie z art. 9 ust. 1 rodo zabronione jest przetwarzanie danych osobowych ujawniających przynależność do związków zawodowych. W zakresie tej szczególnej kategorii danych będą się mieściły wyłącznie informacje dotyczące osób fizycznych, które skorzystały z prawa tworzenia i wstępowania do związków zawodowych, wynikającego z art. 2 uzz i zostały przyjęte do organizacji związkowej. Warto zauważyć, że fakt rezygnacji z członkostwa w związku zawodowym lub jego utraty przez konkretną jednostkę również trzeba uznać za dane osobowe ujawniające przynależność do związków zawodowych. Same te informacje w połączeniu z imieniem i nazwiskiem pozwalają ustalić, że konkretna osoba należała do związku zawodowego, tj. była jego aktywnym członkiem.


Zakaz danych osobowych ujawniających przynależność do związków zawodowych zostaje wyłączony, gdy przetwarzanie danych osobowych ma miejsce w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych. Musi zostać przy tym zachowany warunek, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą. Jak słusznie zauważa CNIL, jeżeli konkretna osoba przestaje być członkiem związku, przechowywanie jej danych osobowych musi być uzasadnione dla celów innych niż związane z zarządzaniem jej członkostwem. Cele te mogą mieć np. charakter dowodowy (postępowanie sądowe), statystyczny lub administracyjny, zwłaszcza jeżeli były członek pełnił funkcję w związku lub reprezentował go na zewnątrz. Oznacza to, że związki zawodowe mogą przetwarzać dane osobowe swoich byłych członków, np. aby wykazać, że w dniu składania przez organizację związkową informacji o liczbie członków osoba taka rzeczywiście była jej członkiem.

 

[...]

 

Autor zajmuje się ochroną danych osobowych, współpracuje z kancelarią Traple Konarski Podrecki i Wspólnicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.