Partner wydania: ALEKSANDRA DALECKA // adwokat, Kancelaria Radców Prawnych Marek Zdanowicz i Wspólnicy Spółka komandytowa Adwokat od 2004 r., absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, szefowa Hospitality Department w Kancelarii Radców Prawnych Marek Zdanowicz i Wspólnicy Spółka komandytowa. W swojej praktyce zajmuje się w szczególności przygotowywaniem i negocjowaniem umów. Kancelaria, oprócz bieżącej obsługi prawnej dla przedsiębiorców, w tym przygotowywania i negocjowania umów, świadczy usługi w zakresie kompleksowej obsługi prawnej przedsiębiorców, w tym podatkowej, procesowej, windykacyjnej. przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Wskazana wyżej lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Dla event managera, oprócz oczywiście zgody na przetwarzanie danych, kluczowe znaczenie ma podstawa opisana w pkt b) – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przykład: klient dopytuje telefonicznie czy e-mailowo w sekretariacie agencji eventowej ws. przysłania mu propozycji zorganizowania przez nas imprezy. Zapisujemy jego dane, by przesłać żądaną ofertę – nie musimy pozyskiwać na to jego specjalnej zgody, gdyż jest to niezbędne dla wykonania przez nas usługi, w tym do zawarcia umowy na organizację imprezy. 9. PRZETWARZANIE DANYCH OSOBOWYCH DŁUŻNIKÓW Raczej absurdalne byłoby wymaganie nałożone na wierzyciela, by uzyskał zgodę dłużnika na przetwarzanie jego danych osobowych. Również RODO nie przewiduje takiego wymogu. Z pomocą przychodzi nam znów art. 6 akapit 1 RODO, przy czym potrzebna nam w przypadku przetwarzania danych osobowych dłużników podstawa z pkt f) . Pod rządami RODO przepis ten nakazuje nam „ważenie” interesów administratora lub osoby trzeciej z interesami osoby, której dane dotyczą i jej podstawowymi prawami i wolnościami, z uwzględnieniem szczególnej ochrony dziecka. Przykładem, kiedy takie ważenie interesów może mieć miejsce, jest uprawnienie wierzyciela do dochodzenia wierzytelności (również poprzez jej zbycie do firmy windykacyjnej) versus ochrona danych osobowych dłużnika. Większą wagę ma jednak dochodzenie wierzytelności, gdyż udzielenie ochrony dłużnikowi zniweczyłoby de facto prawo wierzyciela do windykacji. 10. ZGŁASZANIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH ORGANOWI NADZORCZEMU Zupełną nowość stanowi art. 33 RODO, który wprowadza obowiązek zgłaszania naruszeń ochrony danych osobowych w bardzo krótkim terminie – w ciągu 72 godzin od stwierdzenia naruszenia. Jeżeli dokonamy zgłoszenia, później musimy się usprawiedliwić. Obowiązek ten spoczywa na administratorze. Jedyny wyjątek od tego obowiązku jest bardzo ocenny – gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 11. CO GROZI EVENT MANAGEROWI W PRZYPADKU ŁAMANIA RODO? W pierwszej kolejności odpowiedzialność odszkodowawcza wobec poszkodowanego. Nie mniej ważne są też kary administracyjne za naruszenie niektórych przepisów RODO, gdyż ich wysokość jest po prostu porażająca. Zgodnie z RODO naruszenia przepisów dotyczących niektórych kwestii podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (dotyczy to np. obowiązków związanych z pozyskiwaniem zgody). Nie zawsze oczywiście zostanie nałożona kara w najwyższym wymiarze, przy jej ustaleniu będą brane m.in. takie kryteria, jak charakter, waga i czas trwania naruszenia, umyślność bądź nieumyślność. Nasze działania mogą także zminimalizować wymiar kary, np. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnie negatywnych skutków, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie do organu, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. 59
RkJQdWJsaXNoZXIy MTMwMjc0Nw==