Szkolenie online – jakie wymogi RODO musi spełnić organizator
W ostatnim czasie coraz większą popularność zdobywają szkolenia prowadzone przez Internet. Sprawdź, jakie wymogi w związku z RODO musi spełnić organizator szkolenia.
Administratorem danych osobowych w przypadku szkoleń online będzie osoba, która:
- decyduje o tym, że szkolenie się odbędzie,
- wybiera jego tematykę,
- odpowiada za organizację.
Zgodnie z RODO administratorem danych osobowych jest osoba fizyczna, osoba prawna lub inna jednostka organizacyjna, która samodzielnie lub wespół z innymi podmiotami, decyduje o celach i sposobach przetwarzania danych osobowych. Dlatego właśnie kwestia podejmowania decyzji w zakresie organizacji szkolenia jest kluczowa dla tego, aby ustalić kto jest administratorem danych. Nie zawsze będzie to sam prelegent.
Na jakiej podstawie przetwarzać dane uczestników szkolenia
Najczęściej organizator szkolenia przetwarza dane osobowe jego uczestników w związku z zawartą umową z klientami (niekoniecznie pisemną). Z tego względu podstawę przetwarzania danych będzie stanowił art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne, w sytuacji gdy dane te są niezbędne administratorowi do wykonania umowy, gdy stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Jeśli jednak organizacja szkolenia nie łączy się z koniecznością zawierania umowy z uczestnikami (np. w przypadku szkoleń otwartych, na które nie ma zapisu) wówczas przetwarzanie danych należy oprzeć na prawnie uzasadnionym interesie administratora danych (art. 6 ust. 1 lit. f RODO).
Jak zrealizować obowiązek informacyjny względem uczestników szkolenia
W przypadku zbierania danych osobowych bezpośrednio od uczestnika szkolenia informacja o ich przetwarzaniu powinna być przekazana najpóźniej w chwili, gdy uczestnik przekazuje organizatorowi swoje dane osobowe. Będzie to moment zapisu na szkolenie. Z kolei jeśli zapis na szkolenie nie jest konieczny, wówczas obowiązek informacyjny należy spełnić najpóźniej w momencie, gdy dana osoba wchodzi na stronę internetową szkolenia.
Możliwe jest zrealizowanie obowiązku informacyjnego w sposób warstwowy. W momencie gdy osoba podaje organizatorowi swoje dane osobowe, organizator przekazuje jej tylko część informacji – te najważniejsze, takie jak to, kto jest administratorem danych i w jakim celu będą przetwarzane dane. Do dalszych, szczegółowych uregulowań w tym zakresie należy taką osobę odesłać, np. do zamieszczonej na stronie internetowej polityki prywatności, w której treści znajdą się pozostałe informacje dotyczące przetwarzania jej danych osobowych w związku z uczestnictwem w szkoleniu.
Pobierz wzór klauzuli informacyjnej dla uczestnika szkolenia online.
Dane osobowe uczestników muszą być zabezpieczone
To na administratorze spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych uczestników szkolenia online. Po jego stronie leży też wybór odpowiednich narzędzi. Jak zabezpieczyć dane osobowe uczestników? Skorzystaj z poniższych wskazówek
|
Wskazówka |
Objaśnienie |
|
Dokonaj analizy ryzyka przetwarzania danych |
Wydaje się, że ograniczona ilość danych, które będą przetwarzane przez organizatora szkolenia, automatycznie powoduje, że ryzyko ewentualnego naruszenia praw lub wolności osób, których dane dotyczą (uczestników szkolenia), będzie niskie. Niestety, nie zawsze to prawda. Trzeba bowiem wziąć pod uwagę to, że uczestnicy mogą wymieniać się doświadczeniami, komunikować między sobą itp. – a to będzie skutkowało ujawnieniem większej ilości danych, niż początkowo zakładano. |
|
Ogranicz dostęp do danych innych użytkowników |
Warto wprowadzić rozwiązanie, w wyniku którego poszczególni użytkownicy będą widzieć jedynie nick pozostałych uczestników, a nie adres e-mail, mogli usłyszeć zadane przez nich pytanie, ale już nie byli w stanie widzieć ich wizerunku. |
|
Zapewnij sobie możliwość usuwanie użytkowników, którzy utrudniają prowadzenie szkolenia. |
W ostatnim czasie pojawiają się liczne informacje dotyczące przeszkadzania w prowadzeniu konwersacji pomiędzy użytkownikami, np. w ramach takich aplikacji jak Zoom (zjawisko Zoombombingu) czy Discord (aplikacja do komunikacji w grach online, wykorzystywana niekiedy także do innych celów). Ewentualne zakłócenia mogą godzić w wizerunek administratora ale może też dojść do nauszenia ochrony danych. |
|
Uzależnij dostęp do szkolenia o konieczności podania hasła. |
|
|
Każdorazowo podejmuj decyzję w sprawę przyjęcia danego użytkownika |
|
|
Sprawdź dostawcę narzędzia do prowadzenia szkolenia |
Administrator powinien zweryfikować, czy dane są przechowywane na terenie Europejskiego Obszaru Gospodarczego, a jeśli nie – czy istnieją inne, znane z RODO, podstawy prawne, umożliwiające przekazanie twórcy oprogramowania danych osobowych – np. w przypadku USA uczestnictwo w programie Tarcza Prywatności. Organizator szkolenia powinien również zweryfikować, czy dane osobowe osób używających danej aplikacji (uczestników szkolenia) mogą być przetwarzane w innym celu niż sama realizacja usługi, np. marketingowym. |
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 13, art. 14, art. 32.
- Standardy ochrony małoletnich – czy możliwa weryfikacja w KRK i Rejestrze Sprawców Przestępstw na Tle Seksualnym w trakcie zatrudnienia
- Obowiązek informacyjny w sieci – 20 wskazówek dla ADO
- Zatrudniłeś nowego pracownika – zapewnij mu szkolenie z ochrony danych
- RODO w urzędzie – 9 porad dla jednostek samorządowych
- TSUE: Nie wystarczy domyślnie zaznaczony checkbox, by używać plików cookie
- Bezpłatna Konferencja ONLINE „IT Security Trends” - bezpieczeństwo w erze cyfrowej transformacji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
