blog – Kancelaria bezpieczeństwa/biuro doradztwa prawnego dr Alicja Fiałkowska

25 października, 202526 października, 2025

OCHRONA DANYCH OSOBOWYCH W SYTUACJACH KRYZYSOWYCH – RYZYKO NADUŻYĆ

Zdarzają się w życiu sytuacje, które wyłączają lub osłabiają naszą czujność także jeśli chodzi o ochronę naszych danych osobowych. Dzieje się tak w sytuacji zagrożenia życia, zdrowia lub mienia znacznej wartości. Tak jest w przypadku klęsk żywiołowych. Przykładem jest wrześniowa powódź. Jako osoba będąca bezpośrednim świadkiem tych wydarzeń mam możliwość spojrzenia z perspektywy osoby pokrzywdzonej żywiołom i jednocześnie ze strony osoby zajmującej się ochroną danych osobowych i przeciwdziałaniem nadużyciom. Tak jak policjant zawsze pozostanie mentalnie policjantem wyczulonym na działania sprzeczne z prawem i zapewnienie bezpieczeństwa tak również w moim przypadku pomimo licznych problemów i poświęceniem całej uwagi na usuwanie skutków powodzi nie pozostałam bierna, jeśli chodzi o kwestię ochrony danych osobowych w związku z wyżej wymienioną klęską żywiołową będącą szczególnym rodzajem sytuacji kryzysowej spowodowanej kataklizmem naturalnym jaką w tym przypadku była powódź. Zrozumiałe jest jednak, że w takich sytuacjach cała uwaga skierowana jest na główny problem związany z sytuacją kryzysową. Człowiek przestawia się wówczas na inny tryb działania. Kwestia zadbania o bezpieczeństwa naszych danych osobowych schodzi na plan dalszy, jeżeli w ogóle jest brana pod uwagę. Jest to zupełnie zrozumiałe i nie można się temu dziwić. Dlatego zdecydowałam się na ten wpis – żeby budować świadomość społeczeństwa i wskazać (na podstawie własnych doświadczeń oraz spostrzeżeń)

CZYLI O PROBLEMIE OCHRONY SWOICH DANYCH OSOBOWYCH I PRYWATNOŚCI W SYTUACJI KRYZYSOWEJ/KLĘSKI ŻYWIOŁOWEJ

Zadbanie o bezpieczeństwo swoich danych osobowych właśnie w sytuacjach kryzysowych jest bardzo istotne, żeby szkody wyrządzone na skutek ich naruszenia nie zwiększyły bilansu strat będących konsekwencją powodzi. Spostrzeżenia wskazują, że niestety nawet w takich sytuacjach mają miejsce różnego rodzaju nadużycia ze strony osób pozbawionych skrupułów i empatii, które pod pretekstem rzekomej „pomocy” potrafią wyłudzić dane osobowe.

Trzeba jednak mocno zaakcentować, że są to przypadki skrajne w porównaniu z ogromną liczbą osób dobrej woli, o ogromnej empatii, które poświęcając swój prywatny czas bezinteresownie pomagały poszkodowanym powodzią, przywracając wiarę w człowieka.

PRZETWARZANIE DANYCH OSOBOWYCH PRZEZ PRACOWNIKÓW SOCJALNYCH W CZASIE KLĘSKI ŻYWIOŁOWEJ

Od przedstawionych powyżej przypadków trzeba odróżnić przetwarzanie danych osobowych przez urzędników, pracowników pomocy społecznej. Przetwarzanie danych osobowych przez wyżej wymienione osoby odbywa się na podstawie przepisów prawa, w tym przypadku będzie to art. 7 pkt 14 ustawy z dnia 12 marca 2004 r. o pomocy społecznej („pomocy społecznej udziela się w szczególności w przypadku zdarzenia losowego lub sytuacji kryzysowej). Celem przetwarzania danych będzie więc tutaj udzielenie pomocy w związku z sytuacją kryzysową. Zakres przetwarzanych danych obejmuje dane niezbędne do udzielenia pomocy społecznej (art. 100 ust. 2 wyżej wymienionej ustawy). Ostrożności jednak nie za dużo. Na co więc zwrócić uwagę?

– w przypadku wizyty pracownika socjalnego możesz poprosić o okazanie legitymacji służbowej, można też skontaktować się z OPS celem potwierdzenia, iż pracownik o takim nazwisku faktycznie przeprowadza wywiad na tym terenie. Unikamy wówczas ryzyka przekazania danych osobie podszywającej się za pracownika socjalnego. Może to wydawać się śmieszne. Jednak każdy kto doświadczył powodzi wie, iż z chwilą, gdy woda opadanie nieustannie przewija się dużo ludzi oferujących pomoc, dziennikarzy, urzędników itp.,

– w przypadku innych osób niż urzędnicy sporządzających listy poszkodowanych celem przyznania pomocy materialnej bądź finansowej – w tej sytuacji wskazane jest zachowanie szczególnej ostrożności. Koniecznie trzeba zwrócić uwagę na jakiego rodzaju dane są przekazywane oraz zakres danych (czy nie ma wśród nich np. numeru pesel), w jakim celu dane będą przetwarzanie, co ważne – kto będzie ich administratorem, komu mogą być udostępnione (czyli kto będzie miał dostęp do naszych danych), jak długo będą przetwarzane. W sytuacjach kryzysowych zwykle nie zwraca się uwagi na kwestie formalne przetwarzania danych, jak np. zgoda na ich przetwarzanie, klauzulę informacyjną. Zazwyczaj nikt wówczas nie pyta – komu będą udostępniane, kto będzie miał do nich dostęp i w jakim celu będą przetwarzane, do kogo można zwrócić się w celu realizacji praw związanych z przetwarzaniem danych osobowych. Brak ostrożności ze strony osób poszkodowanych żywiołem jest zupełnie zrozumiały, ale zwykle jest to też wynik braku świadomości, jeśli chodzi o bezpieczeństwo danych oraz zagrożeń ze strony nieuczciwych osób. Może bowiem okazać się, że nie tylko nie otrzymamy żadnej z oferowanej pomocy, ale także nie wiemy kto i w jakim celu będzie miał do nich dostęp. Tracimy wówczas kontrolę nad swoimi danymi. Warto więc zapytać jaką fundację/instytucję osoba reprezentuje, jeżeli nie jest nam znana – sprawdzić w internacie, poprosić o identyfikator, a nawet zrobić zdjęcie identyfikatora.

Jako bezpośredni uczestnik walki z żywiołem z perspektywy osoby poszkodowanej byłam świadkiem jeszcze innych sytuacji, które kwalifikowały się jako naruszenie dóbr osobistych. Jedną z nich było fotografowanie (a nawet nagrywanie) poszkodowanych posesji oraz znajdujących się na nich osób – oczywiście bez zgody, a często także bez wiedzy tych osób. Tymczasem wizerunek stanowi daną osobową i podlega ochronie nie tylko przepisami o ochronie danych osobowych, ale także prawem autorskim, prawem cywilnym. Pomijając już nawet kwestię moralną, etyczną takiego postępowania jakim jest utrwalanie nieszczęścia przez osoby nie będące przedstawicielami mediów, tego rodzaju działanie powoduje dyskomfort, eskaluje poczucie krzywdy, wykorzystania i bezradności wobec całej sytuacji. Nie wiemy w jakim celu, dla kogo nasz wizerunek (nie stanowiący w takiej sytuacji tła w rozumieniu prawa autorskiego) został utrwalony, czy został lub zostanie rozpowszechniony- jeżeli tak to, kiedy, gdzie i w jakim celu.

1 października, 20255 października, 2025

#LEGITYMOWANIE PRZEZ PRACOWNIKÓW OCHRONY – KIEDY UPRAWNIENIE MOŻE ZMIENIĆ SIĘ W NADUŻYCIE ?

COMPLIANCE W BRANŻY OCHRONY OSÓB I MIENIA

Pracownicy ochrony fizycznej są pierwszym ogniwem, z którym stykamy się w momencie przekroczenia progu instytucji publicznej lub zakładu pracy czy przedsiębiorstwa. Zadaniem ich jest zapewnienie bezpieczeństwa osób i mienia na terenie ochranianego obiektu. Realizują więc spoczywający na pracodawcy obowiązek zapewnienia porządku i bezpieczeństwa na terenie zakładu pracy. Jednak to na pracodawcy spoczywa obowiązek uregulowania zasad bezpieczeństwa i porządku. Powyższe nie budzi wątpliwości jeżeli chodzi o instytucje takie jak sąd, gdzie podstawę prawną dotyczącą zapewnienia odpowiednich warunków techniczno – organizacyjnych stanowi ustawa prawo o ustroju sądów powszechnych[1] i rozporządzenie Ministra Sprawiedliwości z dnia 18 czerwca 2019 r.[2] Regulamin urzędowania sądów powszechnych.

To na pracodawcy (czyli także w tym przypadku przedsiębiorcy działającym w branży ochrony fizycznej) spoczywa obowiązek zapewnia zgodności prowadzonej działalności z przepisami prawa, przepisami branżowymi, zasadami etyki, a także z przepisami dotyczącymi ochrony danych osobowych i ochrony informacji. Całokształt tych działań składa się na termin „Compliance”

W przypadku branży ochrony fizycznej najczęściej zadawane pytanie dotyczy uprawnienia pracownika ochrony do legitymowania. Powyższe jest wynikiem wzrastającej wśród społeczeństwa świadomości odnośnie przysługujących praw oraz zagrożeń dotyczących danych osobowych. Nie można się więc dziwić obiekcjom ze strony osób, jeśli chodzi o okazanie dokumentu tożsamości osobie nie będącej funkcjonariuszem Policji.

Legitymowanie jest bowiem czynnością wkraczającą w sferę prywatności osoby, w sferę informacji o osobie, które są objęte ochroną prawną. Prawo do prywatności jest chronione konstytucyjnie. W myśl art. 51 ust. 1 Konstytucji RP: „Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji go dotyczących”.[3] W przypadku pracownika ochrony podstawą prawną uprawniającą do legitymowania jest art. 36 ust. 1 pkt 1 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia.[4] Przepis ten upoważnia pracownika ochrony do ustalania uprawnień do przebywania na obszarach lub w obiektach chronionych oraz legitymowania osób w celu ustalenia ich tożsamości. Czynność ta może być przeprowadzona wyłącznie w związku z wykonywaniem zadań ochrony osób i mienia. Celem legitymowania jest ustalenie tożsamości osoby jako niezbędne do zapewnienia bezpieczeństwa osób i mienia na terenie ochranianego obiektu. Jeżeli chodzi o dane osobowe to w przypadku przedsiębiorcy będącego zarazem administratorem danych osobowych, podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora, tj. art. 6 ust. 1 lit f RODO. Wewnętrzny system ochrony w przedsiębiorstwie musi być jednak tak zorganizowany, aby przyznane pracownikom ochrony przez ustawodawcę uprawnienia nie były nadużywane przez nich lub przez przedsiębiorcę, u którego usługa ochrony fizycznej jest świadczona. W przypadku legitymowania nadużycie może polegać np. na przetwarzaniu większej ilości danych osobowych niż jest to niezbędne do ustalenia tożsamości osoby. Ustawa o ochronie osób i mienia nie określa jakie dane osobowe są przetwarzane podczas legitymowania. Zakres ten został określony w rozporządzeniu w sprawie szczegółowego trybu działań pracowników ochrony fizycznej, obligującego do sporządzenia notatki z czynności legitymowania zwierającej: imię i nazwisko osoby legitymowanej, wskazanie rodzaju dokumentu oraz jego numeru i serii, czas i miejsce legitymowania oraz przyczyny legitymowania. Nadużycie może wynikać także ze sposobu przeprowadzenia legitymowania, w tym legitymowania, pomimo że osoba jest znana pracownikowi ochrony np. ze względu na to, że już wcześniej była w stosunku do niej przeprowadzona wyżej wymieniona czynność. Istotne znaczenie ma również już wcześniej sygnalizowane – zachowanie pracownika ochrony podczas legitymowania.

Czynność legitymowania wiąże się nieuchronnie z wkroczeniem w sferę prywatności osoby, jej danych osobowych, informacji dotyczącej jej osoby, np. data urodzenia. Jakiekolwiek komentarze dotyczące osoby, jej statusu społecznego itp. są niedopuszczalne i mogą skutkować pociągnięciem do odpowiedzialności z tytułu naruszenia dóbr osobistych. Także przeprowadzenie tej czynności bez wyraźnej przyczyny, tj. gdy na terenie ochranianego obiektu nie wprowadzono kontroli ruchu osobowego lub przeprowadzenie tej czynności poza terenem ochranianego obiektu. Pomimo, że w pracy pracownika ochrony asertywność jest wskazana, to trzeba pamiętać, że w przypadku legitymowania dokonywanego przez pracownika ochrony osoba ma prawo odmówić okazania dokumentu tożsamości bez żadnych konsekwencji prawnych. Postępowanie w takich sytuacjach także wymaga wiedzy oraz taktu ze strony pracownika ochrony.

Jak widać uprawnienia pracowników ochrony określone w ustawie o ochronie osób i mienia nie stanowią „przepustki” do pełnej swobody działania. Nie są też pozbawione ryzyka przekroczenia swoich uprawnień tj. nadużyć. Zleceniodawca zawierając umowę z agencją ochrony osób i mienia powierza jej jako PROFESJONALIŚCIE ochronę swojego obiektu, w tym przetwarzanie danych osobowych pracowników, kontrahentów, interesantów, jak również informacje z tym związane. Działanie to jest oparte na zaufaniu, ale także z określonym w umowie zakresem odpowiedzialności.

Także Agencja Ochrony Osób i Mienia powierzając swoim pracownikom (lub osobom zatrudnionym na umowę zlecenie) wykonywanie zadań związanych z ochroną obiektu musi mieć pewność merytorycznego przygotowania tych osób nie tylko z kwestii dotyczących uprawnień, ale także ochrony danych osobowych oraz informacji przetwarzanych w związku z realizacją zadań. Tutaj nie wystarczy już samo zaufanie – konieczny jest profesjonalizm. Może to okazać się trudne, choćby nawet z uwagi na częstą rotację pracowników. Prowadząc działalność w branży ochrony zwykle nie ma wystarczająco dużo czasu na wprowadzenie odpowiednich regulacji, dokumentacji – w tym z zakresu ochrony danych osobowych, regulaminów oraz cyklicznych szkoleń pracowników z tej tematyki. Nadto zapewnienie profesjonalnej ochrony fizycznej wymaga uzgodnień z klientem odnośnie możliwych zagrożeń, zakresu wykonywanych zadań (np. kontrola ruchu osobowego, kontrola trzeźwości pracowników, działania mające na celu zapobieganiu kradzieży mienia). Powyższe wymaga uzgodnienia przez strony i opracowania odpowiednich procedur zapewniających skuteczność, jak również transparentność działania służby ochrony.

Temu służy Compliance w branży ochrony fizycznej – czyli zapewnieniU bezpieczeństwa prawnego branży ochrony, na co składają się:

– analiza ryzyka, opracowanie dokumentacji z zakresu ochrony danych osobowych, szkolenia pracowników ochrony z ochrony danych osobowych z uwzględnieniem specyfiki tej działalności;

-przygotowanie regulaminów, procedur związanych z realizacją zadań dotyczących ochrony obiektu, zmniejszając tym samym ryzyko wyrządzenia szkody lub nadużyć ze strony pracowników ochrony.

[1] Ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz.U. 2024 poz. 334 t.j. z dnia 9 lutego 2024 r.)

[2] Rozporządzenie z dnia 18 czerwca 2019 r. Regulamin urzędowania sądów powszechnych (Dz.U. 2019 r. poz. 1141).

[3] Art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz.U. 1997 Nr 78 poz. 483)

[4] Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz.U. 1997 Nr 114 poz. 740 t.j. Dz.U.2025 poz.532)

12 czerwca, 2025

Czy agencja ochrony osób i mienia potrzebuje Inspektora Ochrony Danych Osobowych ?

Specyfika działalności związanej z ochroną osób i mienia

Działalność gospodarcza związana z ochroną osób i mienia jest specyficzną branżą. Na prowadzących ww. działalność (a także na samych pracownikach spoczywa duża odpowiedzialność) spoczywa duża odpowiedzialność, bowiem niejednokrotnie dotyka sfery bardzo wrażliwej dla człowieka – mianowicie jego prywatności, czyli prawa zagwarantowanego konstytucyjnie. Przywykliśmy do obecności służb ochrony w miejscach publicznych, jak np. dworce kolejowe, bank jako gwarancji naszego bezpieczeństwa (co ma istotne znaczenie biorąc pod uwagę takie tragiczne wydarzenia na Uniwersytecie Warszawskim). Wewnętrzne służby ochrony obecne są także w podmiotach publicznych, a także w prywatnych przedsiębiorstwach. Mające miejsce coraz częściej tragiczne wydarzenia wyraźnie wskazują, że branża ochrony stoi przed istotnymi wyzwaniami.

Przetwarzanie danych osobowych przez agencję ochrony osób i mienia

Zakres czynności realizowanych przez pracowników ochrony wiąże z przetwarzaniem danych osobowych. Przykładowo legitymowanie osób wchodzących na teren zakładu, prowadzenie książki wejść i wyjść, wydawanie kluczy pracownikom, stosowanie monitoringu wizyjnego – to tylko przykładowe, najczęściej realizowane zadania przez pracowników ochrony. Profesjonalnego przygotowania wymaga także realizacja zadania związanego z badaniem trzeźwości pracowników (temu tematowi będzie poświęcony odrębny wpis), również realizacja zadań z zakresu stosowanego monitoringu wizyjnego wymaga odpowiedniego przeszkolenia pracownika służby ochrony. Obsługa monitoringu wizyjnego dotyka właśnie sfery prywatnej osoby, co wymaga ze strony pracowników ochrony właśnie profesjonalizmu, w tym zachowania dyskrecji, poszanowania godności osoby, której wizerunek jest przetwarzany (temat na odrębny wpis). Przekroczenie tych granic może skutkować odpowiedzialnością, również cywilnoprawną.

W związku z powyższym szczególną uwagę należy zwrócić na merytoryczne i praktyczne przygotowanie pracowników ochrony z problematyki ochrony danych osobowych. Powyższe można uzyskać poprzez specjalistyczne szkolenia z zakresu ochrony danych osobowych, które w swoim programie uwzględnia specyfikę branży jaką jest agencja ochrony osób i mienia.

Inspektor Ochrony Danych w agencji ochrony osób i mienia

Agencja ochrony osób i mienia przetwarza dane osobowe zarówno jako administrator (np. swoich pracowników, podmiotów z którymi współpracuje), jak również jako podmiot przetwarzający, któremu powierzono dane do przetwarzania. Chcąc udzielić odpowiedzi na pytanie zamieszczone w tytule niniejszego wpisu trzeba odwołać się do art. 37 RODO, który określa w jakich przypadkach administrator oraz podmiot przetwarzający powołują inspektora ochrony danych. Zgodnie z powyższym przepisem ma to miejsce gdy:

przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych, o których mowa w art. 9 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

Jeżeli chodzi o wyżej wymienioną branżę w grę mogą wchodzić sytuacje określone w pkt b i c. W przypadku agencji ochrony osób i mienia przetwarzanie danych na „dużą skalę” może mieć miejsce np. w prowadzeniu monitoringu wizyjnego w przestrzeni publicznej czy w centrach handlowych, czyli w przypadku dużej liczby osób. Nie można pominąć także faktu, że obowiązkiem przedsiębiorcy prowadzącego agencję ochrony osób i mienia ma obowiązek weryfikować karalność pracowników ochrony, jak również obowiązek prowadzenia wykazu pracowników ochrony, w którym oprócz danych wymienionych w art. 19 ust. 2 ustawy o ochronie osób i mienia zamieszcza się datę weryfikacji karalności. Przepis nie określa w jaki sposób przedsiębiorca prowadzący działalność z zakresu ochrony osób i mienia dokonuje weryfikacji karalności. Może to być oświadczenie o niekaralności lub oświadczenie pisemne złożone przez pracownika ochrony.

Trzeba pamiętać o tym, że specyfika działalności i zadania realizowane przez agencję ochrony niejednokrotnie ściśle dotykają sfery praw i wolności osób, których dane są przetwarzane, w związku z tym powołanie Inspektora Ochrony Danych postrzegane jest za profesjonalizm ze strony agencji ochrony.