iSecure logo
  • pl
  • en
    • Blog

    Pomoc humanitarna dla obywatelek i obywateli Ukrainy a RODO

    Maria Lothamer
    Kategorie

    W związku z toczącą się wojną w Ukrainie pojawiło się bardzo wiele fantastycznych osób, chcących pomóc obywatelkom i obywatelom tego kraju, w tym tak dla nich trudnym czasie. Zrodziło się pytanie, jak tę pomoc uregulować pod kontem przetwarzania danych osobowych, aby była ona zgodna z prawem, a zarazem, aby to prawo nie utrudniało możliwości jej udzielenia.

    Pamiętajmy, że RODO nie ma zastosowania do osób fizycznych chcących nieść pomoc w ramach czynności o czysto osobistym lub domowym charakterze, ale jeżeli chcesz już zorganizować szerszą pomoc, np. organizujesz bazę miejsc noclegowych w prywatnych mieszkaniach lub organizujesz tę pomoc jako podmiot gospodarczy, to musisz tutaj pamiętać również (niestety) o RODO.

    W przypadku przetwarzania danych osobowych osób z Ukrainy potrzebujących pomocy, czy innych osób chcących tej pomocy udzielić, należy stosować te same procedury, które wykorzystujemy przy przetwarzaniu danych osobowych w związku z bieżącą działalnością. Utrudnieniem może być fakt, że proces przetwarzania danych związanych z bieżącą działalnością mamy już opracowany, prawdopodobnie wielokrotnie przeaudytowany, opisany w wielu dokumentach, dokonaliśmy też oceny ryzyka w związku z przetwarzaniem tychże danych. Nowy proces, jakim jest pomoc Ukrainie, jest dla większości nową czynnością przetwarzania danych, nad którą nie mamy czasu się zastanowić, przygotować jej zgodnie z obowiązującymi procedurami, ponieważ pomoc Ukrainie jest potrzebna tu i teraz.

    Kwestiami, które mogą w jakiś sposób utrudnić przetwarzanie danych, a tym samym wydłużyć proces niesienia pomocy, jest chęć przetwarzania danych, które możliwe jest wyłącznie w oparciu o zgodę na ich przetwarzanie (art. 6 ust. 1 lit. „a” RODO). Przykładem przetwarzania, które oparte może być wyłącznie o zgodę, jest rozpowszechnianie wizerunku. W związku z tym, decydując się na publikację np. w mediach społecznościowych, zdjęć osób potrzebujących pomocy, pamiętajmy, że na takie działanie konieczna będzie zgoda osoby, której wizerunek dotyczy lub opiekuna prawnego w przypadku wizerunku dzieci. Zgoda oczywiście może być udzielona w dowolnej formie, ale musimy być w stanie wykazać, że została udzielona.

    Na szczęście do przetwarzania pozostałych danych, podczas organizacji pomocy, mamy inne przesłanki umożliwiające ich przetwarzanie, bez konieczności zbierania zgód. Przetwarzanie możemy oprzeć na:

    • 6 ust. 1 lit. d) – przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, tj. interesów związanych z ochroną życia lub interesów ważnych z punktu widzenia osoby, której dane dotyczą
    • 6 ust. 1 lit. f) – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, jakimi jest niesienie pomocy

    dodatkowo w przypadku podmiotów publicznych:

    • 6 ust. 1 lit. e) – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym, jakim jest niesienie pomocy

    jeżeli przetwarzane miałyby być szczególne kategorie danych, np. dane o stanie zdrowia, to można je oprzeć oczywiście na zgodzie (art. 9 ust. 2 lit. a) RODO), ale również można skorzystać z przesłanki:

    • 9 ust. 2 lit. e) – przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą

    Obowiązkiem, o którym musimy pamiętać, jest poinformowanie osób, których dane będziemy przetwarzać, o szczegółach przetwarzania ich danych, w szczególności:

    • kto jest administratorem danych osobowych (nazwa + dane kontaktowe)
    • jakie dane są przetwarzane
    • celach przetwarzania danych i podstawie prawnej
    • ewentualnych odbiorcach danych lub o kategoriach tych odbiorców
    • okresie przez jaki dane będą przetwarzane
    • przysługujących prawach
    • informacji na temat ewentualnego przekazania danych do państwa trzeciego
    • gdy dane zostały pozyskane z innego źródła, niż osoba, której dane dotyczą, to informację na temat tego źródła

    Informację taką możemy przekazać w każdej możliwej formie, czy to elektronicznej czy tradycyjnej, możliwe jest też zamieszczenie jej w ogólnie dostępnym miejscu – pamiętajmy, że w takim przypadku priorytetem jest niesienie pomocy. W związku z tym, że informacja powinna być zrozumiała dla osób, których dane będą przetwarzana, powinna być przygotowana również w języku, którym posługują się osoby, których dane będą przetwarzane. W przypadku obywatelek i obywateli Ukrainy może to być język ukraiński lub rosyjski.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Michał Sztąberek

    Obowiązki pracodawcy w zakresie ochrony danych osobowych, który wprowadził PPK dla swoich pracowników

    Zgodnie z ustawą z dnia 4 października 2018 r. o pracowniczych planach kapitałowych każda organizacja, która zatrudnia co najmniej jedną osobę podlegającą obowiązkowo ubezpieczeniom emerytalnemu i rentowemu, musi otworzyć pracownicze plany kapitałowe (PPK) dla swoich pracowników i zleceniobiorców. PPK są prowadzone przez instytucję finansową na podstawie umowy o prowadzenie PPK, zawieranej przez pracodawcę w imieniu […]

    Czytaj więcej
    Zmiany w ustawie od 7 marca 2011r.
    Piotr Miśkiewicz

    Autonomiczne podporządkowanie Inspektora Ochrony Danych

    Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Dlaczego szkolenia z ochrony danych osobowych są ważne?

    Szkolenie pracowników, szczególnie dla jego uczestników, często wydaje się przykrym obowiązkiem. Zdarza się też, że pracownik wyciąga magiczną kartę: „ja już miałem szkolenie z RODO”, dzięki czemu rzekomo nie musi brać w nim udziału ponownie. Czy na pewno? Dlaczego szkolenie jest ważne? Podstawowa wiedza personelu z zasad ochrony danych osobowych, to jeden z kluczowych elementów […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki