Współadministrowanie czy powierzenie przetwarzania? W jakich przypadkach dochodzi do współadministrowania a kiedy do powierzenia przetwarzania.

Przedmiotem działalności spółki X jest świadczenie usług rekrutacyjnych. Spółka na swojej stronie internetowej zamieszcza ogłoszenia, w związku z poszukiwaniem kandydata na określone stanowiska pracy. Jako agencja rekrutacji spółka udostępnia swoim klientom wybrane przez spółkę kandydatury, które wcześniej umieściła w swojej bazie. Równocześnie spółce zależy na tym, żeby nadesłane aplikacje wykorzystać także w przyszłości i rozbudowywać tym samym zasoby spółki. Kandydaci przysyłają CV według własnego uznania, spółka nie wymaga podania konkretnych danych. Jedni z nich zamieszczają klauzule zgody, inni nie. Jakie działania powinniśmy podjąć spółka, żeby wykorzystywać dane osobowe zawarte w dokumentach aplikacyjnych zgodnie z ustawą o ochronie danych osobowych?

Spółka X świadczy usługi outsourcingu w konkretnej branży. W związku z dużym zainteresowaniem klientów spółka intensywnie rozbudowuje bazę kandydatów do udziału w poszczególnych projektach. Z wybranymi kandydatami są podpisywane umowy. Spółka poszukuje kandydatów wśród docelowej grupy specjalistów i często wykorzystuje strony internetowe osób fizycznych prowadzących działalność gospodarczą w branży, która spółkę interesuje. Czy spółka może wykorzystać podane na tej stronie adresy e-mail bądź numery telefonów do kontaktów z tymi osobami w celu nawiązania współpracy (preferowane są umowy B2B), poprzedzonej wcześniejszym procesem rekrutacyjnym?

Przedmiotem działalności spółki X jest świadczenie usług rekrutacyjnych. Budując bazę kandydatów spółka pozyskuje od każdej z osób zgodę na przetwarzanie danych osobowych (głównie zamieszcza ją w treści ogłoszenia, jako wzorzec). Przeglądając jednak branżowe portale spółka zwróciła uwagę na dużą ilość różnych klauzul zgody na przetwarzanie danych w celach rekrutacyjnych. Spółka nie jest pewna, która klauzula jest właściwa i nie wie jak ocenić tą, którą stosuje obecnie. Co należy brać pod uwagę w kwestii opracowania właściwej klauzuli zgody?

Zgoda w dyrektywie 95/46/WE jest jedną z kilku podstaw prawnych przetwarzania danych osobowych. Jeśli zostanie właściwie wykorzystana – stanowi narzędzie umożliwiające osobie, której dane dotyczą, kontrolę nad ich przetwarzaniem. W przeciwnym wypadku kontrola ze strony osoby, której dane dotyczą, staje się złudna, a sama zgoda stanowi nieodpowiednią podstawę przetwarzania.

Z opinii 8/2010 w sprawie prawa właściwego zaprezentowanej przez Grupę Roboczą ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) wynika, że określenie prawa właściwego mającego zastosowanie w odniesieniu do przetwarzania danych osobowych na mocy dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych ma zasadnicze znaczenie z kilku powodów.

W sklepach z aplikacjami przybywa ponad 1 600 nowych aplikacji dziennie, z czego przeciętny użytkownik smartfona pobiera 37 aplikacji. Dzięki nim gromadzone są różnego rodzaju informacje, np. te dotyczące lokalizacji czy dane przechowywane na urządzeniu przez osobę korzystającą z urządzenia. Powoduje to powstanie nowych kategorii ryzyka związanego z przetwarzaniem danych osób korzystających z aplikacji w telefonach czy tabletach.

Jednym z wiodących problemów dotyczących ochrony danych osobowych na tle norm unijnych jest kwestia anonimizacji danych i zagadnienia z nią związane.

Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) w opinii 05/2014 w sprawie technik anonimizacji zajęła stanowisko w sprawie procesów anonimizacji i kwestii z nią związanych.

Zatrudniliśmy zewnętrzną firmę w zakresie zadań bhp. Oddelegowany przez tę firmę inspektor bhp będzie prowadzić na nasze potrzeby wszelką dokumentację wymaganą przez przepisy prawa pracy. Inspektor bhp przekazał naszemu działowi kadr, że będzie potrzebował korzystać z teczek osobowych pracowników, ponieważ potrzebuje do swojej pracy ich danych. Czy w związku z tym umowa z zewnętrzną firmą powinna zawierać jakieś dodatkowe zapisy związane z ochroną danych osobowych naszych pracowników?

Jestem pracownikiem działu informatyki i chciałem zapytać, co na gruncie ustawy o ochronie danych osobowych musimy dopełnić, abyśmy mogli oddawać do naprawy firmie zewnętrznej zepsute dyski twarde? Proces serwisu wygląda w ten sposób, że na nasze wezwanie pracownik zewnętrznej firmy serwisującej sprzęt komputerowy przyjeżdża do naszego biura i protokolarnie odbiera zepsuty dysk twardy. Następnie zabiera go do siedziby swojej firmy (serwisu), po czym do nas wraca już naprawiony dysk twardy. Zdajemy sobie sprawę, że na wielu dyskach twardych, które w ten sposób oddajemy do serwisu, mogą być zapisane dane osobowe, ale nie możemy ich samodzielnie usunąć przed przekazaniem do serwisu (z prostego powodu – dysk jest zepsuty). Co w takim wypadku? Czy protokolarne potwierdzenie odbioru dysku przez serwisanta jest wystarczające?