Przetwarzanie danych osobowych podczas wideokonferencji
W przypadku organizowania wydarzeń o charakterze wewnętrznym, w ramach jednej organizacji polegajacych na odbywaniu spotkań wideo pomiędzy pracownikami, kwestie czynności jakie należy podjąć aby przetwarzanie było zgodne z prawme można, co do zasady, wykonać jednorazowo, o ile w trakcie korzystania z tego sposobu komunikacji nie zajdą istotne zmiany (np. zmiana narzędzi informatycznych). W przypadku organizowania spotkań zewnętrznych, w szczególności spoktań z klientami lub organizowaniu dostępnych dla publiczności webinarów organizator wydarzenia online z dostępem do video musi spełnić szereg warunków aby przetwarzanie danych osobowych było zgodne z RODO.
W tym wpisie pomijamy wątek organizowania wideokonferncji w ramach jednej firmy. Zajmiemy się odpowiedzią na pytanie, co powinien zrobić organizator wideokonferencji aby przetwarzanie danych osobowych było zgodne z prawem.
Podobnie jak w przypadku innych sposobów przetwarzania danych osobowych, odpowiadając praktycznie, należy;
- określić cel przetarzania danych osobowych
- wskazać podstawę przetwarzania danych osobowych
- zweryfikować narzędzie informatyczne, które będą służyły do prowadzenia wideokonferencji pod kątem ich zgodności z RODO, w zakresie przede wszystkim sposobu zabezpieczenia danych w transmisji oraz miejsca ich przechowywania (uwaga na wyrok TSUE "Scherms II" z 16 lipca 2020r)
- przeprowadzić ocenę ryzyka - zalecam każdorazowo opracowanie tekiego dokumentu
- opracować kaluzule informacyjne dla uczestników wideokonferencji, zgodne z art. 13 RODO
- zaktualizować rejestr czynności przetwarzania jako dokument wewnętrznych opisujący proces przetwarzania danych w formie wideokonferencji (opracowanie RCP pozwoli także wskazać szczegóły tego przetwarzania)
- zawrzeć umowę przetwarzania danych osobowych z dostawcami narzędzi wykorzystywanych przy wideokonferencjach (lub zaakceptować odpowiednie regulaminy
Dalsze przetwarzanie danych wykorzystywanych podczas wideokonferencji powinno uwzględniać realizację przez administraotra ogólnych zasad RODO, o których mowa w art. 5 ust. 1 RODO.
Dodatkowe zasady, choć bardziej skierowane do uczestników wideokonferencji niż organizatorów, znajdziesz tutaj. UODO opublikował krótką broszurę na ten temat.
Przetwarzanie danych osobowych w ramach Zakładowego Funduszu Świadczeń Socjalnych (dalej: fundusz) wymaga szczególnej uwagi administratorów. Wynika to z jednej strony z tego, że w ramach Funduszu przetwarzane mogą być dane szczególnych kategorii, o których mowa w art. 9 RODO, a poza tym, ustawa z dnia 4 marca 1994r. o zakładowym funduszu świadczeń socjalnych zawiera przepisy szczególne dotyczące przetwarzania danych osobowych na potrzeby udzielania świadczeń z funduszu.
Pracodawca ma prawo żądać i zbierać informacje o pobycie pracowników za granicą w stanie epidemii SARS-CoV-2 - tak prawomocnie wskazał Sąd Okręgowy w Olsztynie w wyroku z 29 stycznia 2021r. sygn. akt. IV Pa 79/20. To ciekawe orzeczenie zapadło w okolicznościach sprawy, w której pracownik został zwolniony w trybie dyscyplinarnym ze względu na zatajenie przed pracodawcą tego, że odbył podróż zagraniczną w okresie epidamii.
Fundamentalnym obowiązkiem administratora danych jest rzetelne informowanie osoby, której dane dotyczą o tym w jaki sposób będą przetwarzane jej dane osobowe.
Można powiedzieć, że nie poinformowanie osoby, której dane będą (lub są) przetwarzane, co do zasady bo są od tego wyjątki, uniemożliwia przetwarzanie danych osobowych a w przypadku niespełnienie przez administratora obowiązku informacyjnego może zostać nałożona na niego kara finsansowa. Spełnienie obowiązku informacyjnego RODO wobec osoby fizycznej wynika z art. 13 i art. 14 RODO a także, o czym warto pamiętać, pewne wskazówki wynikają także z tzw. motywów, w szczególności w motywach 60-74.