Legal/Compliance pyta: Jaką macie podstawę prawną i dokumenty do RODO dla Empatyzera (DPA, DPIA, retencja, prawa osoby)?

TL;DR: Krótko: mamy DPA, wykonaliśmy DPIA tam gdzie wymagane, hostujemy dane w UE, stosujemy szyfrowanie i separację klientów, mamy politykę retencji i procedury realizacji praw osób oraz ograniczenia użycia do oceny pracowniczej.

DPA: umowa powierzenia i warunki przetwarzania dla klientów.
DPIA: ocena skutków dla prywatności tam, gdzie profilowanie i dane wrażliwe mogą stwarzać ryzyko.
Podstawa prawna: zależna od scenariusza (uzasadniony interes, wykonanie umowy, czasem zgoda).
Retencja: harmonogram minimalizacji i anonimizacji danych, usunięcie konta na żądanie.
Prawa osoby: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, zakaz decyzji w pełni zautomatyzowanej.

Empatyzer udostępnia wzorzec dokumentów RODO w skład którego wchodzą umowa powierzenia danych (DPA) z jasno określonymi rolami i obowiązkami, oraz opisane procedury techniczne i organizacyjne w zakresie bezpieczeństwa danych. W przypadkach profilowania i przetwarzania danych, które mogą wywołać znaczący wpływ na prawa osób przeprowadzamy lub pomagamy przeprowadzić DPIA i dostarczamy streszczenie wyników oraz środki łagodzące. Jako operator hostujemy dane na serwerach w UE, stosujemy szyfrowanie w spoczynku i w transmisji, separację magazynów klientów oraz audyt logów i kontrolę dostępu dla administratorów. Dla podstawy prawnej rekomendujemy ocenę scenariusza: przetwarzanie zbiorcze i analityczne często opiera się na prawnie uzasadnionym interesie administratora, natomiast przetwarzanie indywidualnych wyników i funkcji związanych z osobistą diagnozą wymaga albo podstawy umownej albo rozważenia zgody, z uwagi na ryzyko nierównej pozycji pracownika. Retencja opiera się na zasadzie minimalizacji: surowe dane osobowe są przechowywane ograniczony czas zgodnie z harmonogramem, po czym są anonimizowane do celów raportów zbiorczych; usunięcie konta usuwa dane użytkownika ze zbiorów operacyjnych i wycofuje je ze statystyk zbiorczych zgodnie z procedurą. Empatyzer nie udostępnia surowych wyników jednostkowych firmie i stosuje agregację oraz próg liczebności przy raportach, co ogranicza możliwość identyfikacji i nadużyć. W umowach i regulaminie mamy zakaz użycia narzędzia do formalnej oceny pracowniczej oraz klauzule zakazujące szkodliwego wykorzystywania danych, ale kluczowe jest wdrożenie po stronie klienta wewnętrznych zasad korzystania i eskalacji. Realizacja praw osób jest opisana krok po kroku: jak zgłosić żądanie, terminy odpowiedzi, sposób weryfikacji tożsamości oraz procedury sprostowania, ograniczenia przetwarzania, usunięcia i przenoszenia danych. W przypadku incydentu bezpieczeństwa powiadamiamy klienta niezwłocznie, nie później niż w ciągu pięciu dni roboczych, i udostępniamy logi oraz działania naprawcze; klient jako administrator decyduje o dalszych zgłoszeniach do organów nadzorczych. Nie używamy danych klientów do trenowania publicznych modeli i to zapisane jest w umowie, a dostęp dostawcy jest ograniczony, audytowany i logowany.

Dostępne dokumenty: DPA, wzór DPIA lub streszczenie, polityka retencji, instrukcja realizacji praw osób oraz opis zabezpieczeń i procedur incydentowych; podstawy prawne i konfiguracje wdrożeniowe ustalamy razem z klientem.

Autor: Empatyzer

Opublikowano: 7.listopada (piątek), 2025 roku (minęło: 13 tygodni)

Zaktualizowano: 7.listopada (piątek), 2025 roku (minęło: 13 tygodni)