Omawiamy polskie przepisy o ochronie danych osobowych oraz częste błędy popełniane przez organizacje posiadające biura w Polsce, gdzie konkretne rozwiązania wprowadzane są przez centralę za granicą. Wskazujemy ponadto potencjalne konsekwencje oraz jak można im zapobiec, wprowadzając odpowiednie, proponowane przez nas narzędzia.
Cookies i inne technologie śledzące
W Polsce korzystanie z plików cookies oraz innych technologii śledzących jest ściśle regulowane przez Prawo komunikacji elektronicznej (art. 399-400 PKE). Zgodnie z tymi przepisami, pliki cookies mogą zostać umieszczone na urządzeniu końcowym użytkownika wyłącznie po uzyskaniu jego uprzedniej, aktywnej i jednoznacznej zgody. Użytkownik musi mieć możliwość wyrażenia zgody na różne kategorie plików (np. niezbędne do działania serwisu, analityczne, marketingowe) w sposób oddzielny, a także łatwo cofnąć swoją zgodę w każdym momencie.
Przepisy wymagają prowadzenia czytelnego rejestru udzielonych zgód, w którym odnotowywane są informacje o tym, kto, kiedy i na co wyraził zgodę, oraz precyzują maksymalne okresy przechowywania poszczególnych rodzajów danych. Organ nadzorczy (UKE lub UODO) w trakcie kontroli sprawdza między innymi, czy baner zgody umożliwia odrzucenie wszystkich plików oraz czy logi faktycznie archiwizują historię zgód w sposób gwarantujący pełną audytowalność.
Typowy błąd: globalny baner soft opt-in – jeden przycisk „Akceptuj wszystko”, brak opcji rezygnacji lub wyłączenia analityki. Zgoda uznawana „przez dalsze przeglądanie”, brak rejestru zgód i tabel retencji.
Komunikacja marketingowa (e-mail, sms, push, komunikatory)
Każda wiadomość o charakterze handlowym – nawet wysłana na adres firmowy – wymaga wcześniejszej, wyraźnej zgody odbiorcy (art. 398 PKE ustawy o świadczeniu usług drogą elektroniczną). Zgoda musi być:
- odrębna od akceptacji regulaminu lub polityki prywatności,
- jednoznacznie udokumentowana (data, godzina, źródło),
- łatwa do wycofania, a organizacja ma obowiązek uszanować rezygnację w ciągu 48 h,
- odrębna na każdy kanał komunikacji np. SMS, push, e-mail, rozmowa telefoniczna).
Typowy błąd: masowa wysyłka „cold mailing” B2B w oparciu o „uzasadniony interes” lub jeden zbiorczy checkbox łączący zgodę marketingową. Brak centralnego dziennika zgód i historii wypisów.
Monitoring pracowników i odwiedzających (CCTV i poczta email)
Każda forma monitoringu w miejscu pracy – w tym rejestracja obrazu przy użyciu kamer CCTV, śledzenie lokalizacji za pomocą GPS oraz kontrola służbowej poczty e-mail – musi być formalnie uwzględniona w regulaminie pracy zgodnie z art. 22² Kodeksu pracy. Pracodawca zobowiązany jest poinformować pracowników o planowanym wdrożeniu monitoringu z co najmniej 14-dniowym wyprzedzeniem oraz umieścić stosowne oznaczenia w rejonach objętych monitoringiem. Cel stosowania monitoringu musi być jasno określony (np. zapewnienie bezpieczeństwa, ochrona mienia, zachowanie poufności informacji), a wszelkie działania muszą być proporcjonalne do zamierzonego celu i zgodne z przepisami o ochronie danych osobowych.
Typowy błąd: narzędzia do skanowania poczty stosowane centralnie w grupie kapitałowej, bez rozważenia lokalnego otoczenia prawego dla tych technologii. Odczytywanie poczty pracownika bez jego zgody poprzez dział IT, bez wdrożenia monitoringu. System CCTV bez jasnych oznaczeń. GPS w samochodach bez ograniczenia wykorzystania. Monitoring telefonów służbowych bez jasnych informacji.
Prywatne urządzenia i komunikatory (BYOD)
W polskim środowisku prawnym pracodawca może zezwolić na przetwarzanie danych służbowych na prywatnych urządzeniach pracowników wyłącznie po uzyskaniu od nich pisemnej zgody i przeprowadzeniu odpowiedniej oceny ryzyka, uwzględniającej wymagania RODO oraz art. 22¹ Kodeksu pracy. Konieczne jest także wdrożenie rozwiązań MDM (Mobile Device Management) lub innych mechanizmów zabezpieczających urządzenia prywatne, a w procedurze zakończenia współpracy muszą być uregulowane zasady odzyskiwania lub usuwania danych firmowych znajdujących się na tych urządzeniach.
Typowy błąd: pracownicy korzystają z prywatnych telefonów i komputerów do celów służbowych (BYOD), ale firma nie ma żadnych ustalonych zasad ani pisemnej zgody na takie rozwiązanie (brak MDM). Urządzenia te nie są odpowiednio zabezpieczone, a w przypadku odejścia pracownika nie ma procedury odzyskania przechowywanych na nich danych firmowych.
Sygnaliści (whistleblowing)
Polska ustawa o ochronie osób zgłaszających naruszenia prawa (tzw. whistleblowing) z 2024 r. nakłada obowiązek, by wszystkie zgłoszenia sygnalistów były przyjmowane i rozpatrywane przez dedykowaną jednostkę funkcjonującą na terytorium Polski. Organizacja musi zapewnić odpowiednie zabezpieczenia organizacyjno-techniczne, a w przypadku korzystania z zewnętrznej platformy SaaS powinna zawrzeć dodatkowe umowy gwarantujące przetwarzanie zgłoszeń zgodnie z polskimi przepisami oraz terminowe udzielanie informacji zwrotnej zgłaszającemu.
Typowy błąd: kanał sygnalistyczny obsługiwany wyłącznie w centrali (np. Niemcy), bez lokalnej procedury, bez polskiego zespołu decyzyjnego i bez terminowego feedbacku.
Polityki ochrony danych i imienne upoważnienia
Organ nadzorczy (UODO) w swoich decyzjach wielokrotnie podkreśla, że każdy pracownik musi posiadać imienne upoważnienie do przetwarzania danych osobowych, zawierające zakres czynności oraz systemy, do których przetwarzania jest uprawniony. Polityka ochrony danych powinna odzwierciedlać strukturę organizacyjną firmy, określać role odpowiedzialne za obsługę wniosków osób, których dane dotyczą (termin odpowiedzi – 30 dni), procedurę zarządzania incydentami (reakcja do 72 godzin) i być wdrożona odrębnie w każdej spółce. Dokumentacja ta stanowi kluczowy dowód rozliczalności w razie kontroli.
Typowy błąd: globalna polityka wdrożona „mailem”, bez uchwały zarządu polskiej spółki i bez indywidualnych upoważnień; brak rejestru incydentów.
Inspektor ochrony danych (IOD)
W Polsce Inspektor Ochrony Danych musi być wskazaną osobą fizyczną zgłoszoną do UODO przez polską spółkę. Jeżeli rolę tę powierzono organizacji zewnętrznej, konieczne jest wyznaczenie konkretnego pracownika tej organizacji jako odpowiedzialnego IOD. Jego dane kontaktowe – włącznie z imieniem i nazwiskiem – muszą być podane w języku polskim na stronie internetowej oraz w klauzulach informacyjnych. IOD powinien raportować bezpośrednio do zarządu i dysponować zasobami niezbędnymi do wypełniania swoich obowiązków, a także znać język polski lub mieć zapewnione wsparcie zespołu polskojęzycznego.
Typowy błąd: jedna osoba pełniąca funkcję globalnego DPO nie jest formalnie zgłoszona w Polsce; brak danych kontaktowych w języku polskim na stronie; IOD pełniący też inne role – konflikt interesów.
Coroczny przegląd systemu ochrony danych
Zgodnie z zasadą rozliczalności zawartą w art. 24 RODO, każda organizacja jest zobowiązana do przeprowadzania udokumentowanej, corocznej oceny skuteczności wdrożonych środków ochrony danych lub po każdej istotnej zmianie w środowisku IT (np. nowy system, przejęcie spółki). UODO w swoich decyzjach wymaga posiadania raportu z audytu wraz z rekomendacjami działań naprawczych zatwierdzonymi przez zarząd, co stanowi podstawę do wykazania pełnej zgodności z przepisami podczas ewentualnej kontroli.
Typowy błąd: polityki wdrożone w 2023 r. nie były aktualizowane, a nowe aplikacje i dostawcy nie zostały w ogóle ocenione; audyt wewnętrzny ogranicza się do checklisty „kopiuj-wklej”.
W broszurze „RODO – Globalny compliance, lokalne ryzyka” wskazujemy potencjalne konsekwencje opisanych błędów oraz jak można im zapobiec, wprowadzając odpowiednie, proponowane przez nas narzędzia.
Masz pytania? Skontaktuj się z nami!
Kontakt:
Anna Matusiak-Wekiera – radczyni prawna | Counsel, Head of Data Protection & Compliance
Krzysztof Brant – radca prawny | Senior Associate, Data Protection & Compliance