1. Przyjmując wniosek o skorzystanie z prawa do bycia zapomnianym bezpośrednio od osoby, która chce być zapomniana – sprawdź dane z wniosku i wylegitymuj składającego wniosek - czy osoba, rzeczywiście jest uprawniona do złożenia tego wniosku;
2. Jeżeli wniosek o skorzystanie z prawa do bycia zapomnianym wpłynie mailem – zweryfikuj w systemie, czy do maila, z którego wysłany jest wniosek przypisana jest osoba fizyczna z
tymi samymi danymi, które są ujęte w treści wniosku;
3. Nie podejmuj samodzielnie żadnych działań (kasowanie danych, niszczenie dokumentów) z powołaniem na wniosek osoby fizycznej;
4. Wniosek prześlij bezpośrednio do powołanego w jednostce Inspektora Ochrony Danych na adres e-mail dedykowany do obsługi takich wniosków (inspektor@coreconsulting.pl);
5. W dalszej kolejności kieruj się instrukcjami przekazywanymi przez Inspektora Ochrony Danych.
PEŁNA INFORMACJA I REGUŁY DZIAŁANIA
Prawo do bycia zapomnianym, opisane szczegółowo w art. 17 RODO, w praktyce funkcjonowania jednostki generalnie nie znajdzie zastosowania, co nie oznacza, że poszczególne osoby nie będą takich wniosków składać, nie rozumiejąc jego istoty. Prawo do bycia zapomnianym ma bowiem przede wszystkich służyć do ucieczki osób fizycznych od natrętnych firm marketingowych, które przesyłają reklamy i ponadto sprzedają dane do innych podmiotów. W praktyce działania jednostki, która przetwarza dane osobowe przede wszystkim z powołaniem na:
(a) obowiązek wynikający z przepisów prawa,
(b) w związku wykonywaniem władzy publicznej oraz,
(c) w celu wykonania umowy – prawo do bycia zapomnianym nie może znaleźć zastosowania. Nawet w przypadku zgłoszenia takie żądania, jednostka nie ma prawa usunąć danych osobowych takiej osoby.
Wyjątkami od tej reguły będą sytuacje, w której jednostka działa w innej roli - np. rekrutacja do jednostki, która zakończyła się niepowodzeniem.
Dla tych przypadków, gdzie prawo do bycia zapomnianym rzeczywiście byłoby zgłoszone zgodnie z prawem, jednostka musi uwzględnić następujące poniższe założenia:
1. Konieczne jest stworzenie w ramach jednostki tak zwanej „czarnej listy”, czyli odrębnej bazy danych, składającej się z osób, które zgłosiły roszczenie do bycia zapomnianymi. Celem takiej listy jest możliwość zapewnienia rozliczalności dotychczasowych działań
jednostki. Zgodnie z art. 5 ust. 2 RODO jednostkę zawsze obciąża ciężar udowodnienia, że w swojej praktyce działała zgodnie z RODO (ciężar ten sięga generalnie 5 lat wstecz). Ciężar dowodowy obejmuje w tym przypadku również działania na danych osoby, która zgłosiła wniosek o bycie zapomnianą.
Negatywny przykład: osoba fizyczna przesłała do nas swoje CV w celu rekrutacji. Na tej podstawie jednostka skontaktowała się z daną osobą, zaprosiła ją na rozmowę rekrutacyjną, była prowadzona korespondencja e-mail. Finalnie nie doszło do zatrudnienia. Niedoszły pracownik zgłosił wniosek o bycie zapomnianym. Jednostka w dobrej wierze usuwa wszystkie dane dotyczące tej osoby w swoich systemach informatycznych i z nośników papierowych. Następnie niedoszły pracownik przedstawia bilingi telefoniczne oraz treści przesyłanych przez jednostkę wiadomości e-mail z zarzutem, że jednostka przetwarzała jej dane niezgodnie z prawem, nie przedstawiła obowiązków informacyjnych itp. Formalnie, jeżeli jednostka całkowicie „zapomniała” daną osobę, to nie będzie w stanie się obronić przed takimi zarzutami. Celem przeciwdziałania takiemu właśnie ryzyku konieczne jest stworzenie w jednostce tzw. „czarnej listy”;
2. W ramach „czarnej listy” powinny funkcjonować informacje o osobie, która zgłosiła prawo do bycia zapomnianym oraz powinny być tam zawarte najważniejsze dowody potwierdzające działania jednostki w obszarze kontaktów z daną osobą fizyczną, potwierdzające zgodność tych działań z prawem (na przykład historia korespondencji, logi z systemów informatycznych jeżeli kontakt następował poprzez serwer www i tym podobne);
3. Dostęp do „czarnej listy” formalnie powinny mieć tylko Inspektor Ochrony Danych Osobowych oraz osoba odpowiedzialna za funkcjonowanie systemów Informatycznych w jednostce (np. dyrektor IT, zewnętrzny podwykonawca odpowiedzialny za obsługę IT jednostki). W praktyce wniosek o bycie zapomnianym w pierwszej kolejności wymaga zidentyfikowania, czy w ogóle jest zgodne z przepisami Rozporządzenia, czy rzeczywiście dana osoba w danych okolicznościach ma prawo do bycia zapomnianą (np. dłużnik jednostki nie będzie miał prawa do bycia zapomnianym). W związku z powyższym, każdy pracownik jednostki, który spotka się z żądaniem osoby fizycznej, która będzie chciała, aby jej dane były zapomniane powinna poprosić o przedstawienie pisma w tym zakresie oraz powinna poprosić o wylegitymowanie się osoby składającej pismo (tu: powinna nastąpić weryfikacja czy dane we wniosku są zgodne z danymi z dowodu tożsamości). Jeżeli formalnie wniosek spełnia najważniejsze warunki (identyfikuje osobę fizyczną oraz dane te zostały potwierdzone za zgodność z dowodem tożsamości) pracownik zobowiązany jest przyjąć wniosek. Pracownik jednostki powinien dokument wniosku zeskanować i przesłać na adres e-mail Inspektora Ochrony Danych Osobowych dedykowany do obsługi takich zagadnień (inspektor@coreconsulting.pl). Finalną decyzję co do tego czy wniosek o bycie zapomnianym jest zasadny podejmuje ww. Inspektor Ochrony Danych, na podstawie przepisów. Po rozpatrzeniu wniosku Inspektor udziela zainteresowanej osobie stosownej informacji z podaniem uzasadnienia. W przypadku gdy prawo do bycia zapomnianym jest zasadne Inspektor Ochrony Danych informuje o tym osoby odpowiedzialne za przyjęcie zgłoszenia oraz osoby odpowiedzialne za systemy IT w celu ustalenia, jakie dane osobowe o tej osobie funkcjonują w systemach informatycznych jednostki oraz w aktach papierowych, w celu ich przeniesienia do „czarnej listy”.
Brak komentarzy:
Prześlij komentarz
» niechaj ci sie darzy«zdrawiam«