Status w RODO – punkt wyjścia
W modelowym scenariuszu:
- firma,
na rzecz której realizujesz usługę, jest administratorem danych,
- Ty –
jako wykonawca – jesteś podmiotem przetwarzającym (art. 4 pkt 8
RODO),
- Twoi
pracownicy (tajemniczy klienci) przetwarzają dane w Twoim imieniu.
Jeżeli jednak samodzielnie decydujesz o celach,
zakresie danych lub późniejszym wykorzystaniu nagrań – możesz stać się współadministratorem,
co znacząco zwiększa zakres obowiązków i ryzyk.
1. Umowa powierzenia przetwarzania danych (art. 28 RODO)
Przed rozpoczęciem realizacji usługi musisz posiadać z
klientem umowę powierzenia przetwarzania danych, która wprost obejmuje:
- przetwarzanie
danych:
- głosowych
(dyktafon),
- wizerunkowych
i głosowych (kamera),
- opisowych
(protokół PDF),
- sposób
przekazywania danych (np. e-mail) + hasło,
- czas
przetwarzania i zasady usuwania danych,
- obowiązki
w zakresie bezpieczeństwa,
- zakaz
wykorzystywania danych do własnych celów.
Bez tej umowy nie wolno przetwarzać danych osobowych.
2. Legalność stosowania dyktafonu i kamery
Nagrania audio i wideo
Nagrania wykonywane w ramach mystery shoppingu:
- zawsze
stanowią dane osobowe, jeżeli możliwa jest identyfikacja osoby,
- często
są danymi wrażliwymi kontekstowo (głos, wizerunek, zachowanie).
Twoje obowiązki jako podmiotu przetwarzającego:
- nagrywasz
wyłącznie w zakresie wskazanym przez administratora,
- nie
decydujesz samodzielnie:
- czy
nagrywać,
- jak
długo przechowywać,
- komu
udostępniać nagrania.
📌 Ważne: decyzja o
dopuszczalności nagrań (np. test równowagi (balansu), obowiązek informacyjny
wobec pracowników) leży po stronie administratora, ale Ty musisz działać
ściśle w tych ramach.
3. Bezpieczeństwo narzędzi pracy (art. 32 RODO)
Masz obowiązek wdrożyć odpowiednie środki techniczne i
organizacyjne, w szczególności:
Dyktafon i kamera
- zabezpieczenie
urządzeń hasłem / PIN-em,
- brak
prywatnego wykorzystywania sprzętu,
- niezwłoczne
przenoszenie nagrań do bezpiecznego systemu,
- usuwanie
danych z urządzeń po zakończeniu realizacji.
Protokół w PDF
- ograniczony
dostęp tylko dla osób upoważnionych,
- zabezpieczenie
plików hasłem (jeśli zawierają dane identyfikujące),
- brak
lokalnego przechowywania „na zapas”.
Wysyłka e-mail
- wysyłka
wyłącznie na wskazane adresy administratora,
- szyfrowanie
załączników lub bezpieczne platformy wymiany plików,
- weryfikacja
adresata przed wysyłką (minimalizacja ryzyka błędu).
4. Pracownicy jako osoby upoważnione
Jako pracodawca musisz zapewnić, że:
- każdy
„tajemniczy klient” posiada upoważnienie do przetwarzania danych
osobowych,
- pracownicy
są przeszkoleni z RODO w kontekście nagrań i poufności,
- obowiązuje
ich tajemnica służbowa także po zakończeniu współpracy.
Nie jest wystarczające ogólne szkolenie BHP lub regulamin
pracy.
5. Zakaz wykorzystywania danych do własnych celów
Nie możesz:
- archiwizować
nagrań „do celów dowodowych” bez polecenia administratora,
- używać
nagrań w materiałach marketingowych lub szkoleniowych,
- wykorzystywać
przypadków jako „case studies” z danymi identyfikującymi.
Każde takie działanie oznacza naruszenie RODO i
wyjście poza rolę podmiotu przetwarzającego.
6. Wsparcie administratora i naruszenia danych
Masz obowiązek:
- pomagać
administratorowi w realizacji praw osób, których dane dotyczą,
- niezwłocznie
zgłaszać naruszenia ochrony danych, np.:
- zgubiony
dyktafon,
- wysłanie
protokołu na błędny adres,
- kradzież
sprzętu.
Nie oceniasz samodzielnie „czy to poważne” – informujesz
administratora.
7. Usunięcie lub zwrot danych po zakończeniu usługi
Po zakończeniu realizacji:
- usuwasz
nagrania i protokoły,
- albo
przekazujesz je administratorowi,
- dokumentujesz
wykonanie tego obowiązku (na potrzeby rozliczalności).
Podsumowanie (w jednym zdaniu)
Jako pracodawca realizujący usługę „tajemniczego klienta” działasz
na cudzym ryzyku prawnym, dlatego musisz ściśle trzymać się poleceń
administratora, zapewnić wysoki poziom bezpieczeństwa nagrań i dokumentów oraz
pełną kontrolę nad personelem i narzędziami.
Brak komentarzy:
Prześlij komentarz