RODO aktualności – 17.05.2022 r.

• okazuje się jednak, że ten sam WSA w Warszawie w innych wyrokach doszedł do całkowicie odmiennych wniosków – w jednym stwierdził, że przedsiębiorca ma prawo przetwarzać dane przynajmniej do upływu przedawnienia ewentualnych roszczeń – sprawa dotyczyła BIK, któremu UODO nakazał usunięcie danych zawartych w jego wniosku kredytowym
• UODO wniósł skargę kasacyjną od tego rozstrzygnięcia, zatem sprawę rozstrzygnie ostatecznie Naczelny Sąd Administracyjny
• rozstrzygając opisany spór prawny, NSA będzie musiał przesądzić, czy ewentualne, niepewne roszczenia dają podstawę do dalszego przechowywania danych

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8411766,rodo-czy-po-umowie-firmy-musza-kasowac-wszystkie-dane-o-kliencie.html

• 23 lutego 2021 r. w prasie ujawniono masowe wycieki danych dotyczące prawie 500 000 osób, w które zaangażowana była firma Dedalus Biologie – imię i nazwisko, numer ubezpieczenia społecznego, imię i nazwisko lekarza, data badania, ale przede wszystkim informacje medyczne tych osób zostały w ten sposób wydane w Internecie
• francuski wiodący organ nadzorczy przeprowadził kilka dochodzeń na miejscu i online, w szczególności dotyczących firmy Dedalus Biologie, która sprzedaje rozwiązania programowe dla laboratoriów analiz medycznych
• w oparciu o elementy zebrane w trakcie dochodzenia, organ CNIL (odpowiedzialny za nakładanie sankcji) zidentyfikował trzy naruszenia:
• po pierwsze, w kontekście migracji pakietu oprogramowania Dedalus Biologie pozyskało większą ilość danych niż było to wymagane – w związku z tym firma przetwarzała dane w sposób wykraczający poza instrukcje wydane przez administratorów danych
• po drugie, firma nie zapewniła bezpieczeństwa danych osobowych w rozumieniu art. 32 RODO – stwierdzono liczne naruszenia techniczne i organizacyjne w zakresie bezpieczeństwa
• po trzecie, ogólne warunki sprzedaży proponowane przez spółkę Dedalus Biologie oraz umowy serwisowe przekazane nie zawierały elementów powierzenia przetwarzania danych osobowych przewidzianych w art. 28 ust. 3 RODO
• francuski wiodący organ nadzorczy uznał, że firma nie przestrzegała art. 28, 29 i 32 RODO i postanowił nałożyć na administratora karę administracyjną w wysokości 1,5 mln euro

Źródło: https://edpb.europa.eu/news/national-news/2022/health-data-breach-dedalus-biologie-fined-15-million-euros_en

• biznes.gov.pl to rządowy serwis z usługami dla przedsiębiorców
• jak informuje niebezpiecznik.pl niestety miał dziurę, która każdemu pozwalała pobrać “dane niejawne” (w tym PESEL) nie tylko związane ze swoją działalnością gospodarczą, ale także z dowolną inną
• czytelnik znalazł błąd w API tego właśnie serwisu – błąd ten pozwalał pobrać dane niejawne przedsiębiorcy (np. datę urodzenia i PESEL)
• czytelnik postanowił zgłosić błąd mailowo na , ale reakcji nie było – niebezpiecznik.pl zadzwonił i napisał do Ministerstwa Rozwoju i Technologii, które nadzoruje biznes.gov.pl.
• zgłoszenia dokonano 6 maja o godz. 11:02. – dwie godziny później prace nad usunięciem usterki się rozpoczęły

Źródło: https://niebezpiecznik.pl/post/dziura-w-rzadowym-serwisie-mozna-bylo-pobrac-dane-niejawne-przedsiebiorcow-jednoosobowych/

• kończą się prace nad ustawą, która od lipca wprowadza nowy minimalny poziom wynagrodzenia w ochronie zdrowia
• Agencja Oceny Technologii Medycznych i Taryfikacji (AOTMiT) chce bowiem zbierać informacje o zarobkach lekarzy
• to wywołało opór ze strony pracodawców – jak przekonują, nie ma ku temu podstaw prawnych
• boją się też, że – mimo zanonimizowania danych – łatwo będzie wydedukować, ile zarabia konkretny dyrektor czy konsultant wojewódzki
• Agencja chce danych od placówek, które mają podpisane umowy z NFZ, bo liczy koszty świadczeń, czyli leczenia – a ponieważ największym wydatkiem są zazwyczaj wynagrodzenia, to planuje na bieżąco gromadzić takie informacje
• Pracodawcy RP w imieniu części placówek medycznych wysłali do ministra zdrowia oraz agencji i szefa NFZ list z protestem – jak wyliczali, żądanie pełnej wiedzy w zakresie wynagrodzeń wykracza poza ustawowe uprawnienia AOTMiT i jest niezgodne z RODO
• prezes Pracodawców RP, argumentuje, że skoro ok. 20 proc. stanowisk w podmiotach leczniczych to stanowiska jednoosobowe, to łatwo można powiązać kwotę z konkretną osobą, a zatem można mówić o przekazywaniu danych osobowych – dodaje, że to de facto oznacza ujawnienie wynagrodzenia danej osoby bez jej zgody

Źródło: https://serwisy.gazetaprawna.pl/zdrowie/artykuly/8414171,wynagrodzenia-ochrona-zdrowia-pracownik-szpitala-podwyzki.html

• podczas 64. posiedzenia plenarnego Europejski Inspektor Ochrony Danych i Europejska Rada Ochrony Danych opublikowali wspólną opinię dotyczącą proponowanego aktu w sprawie danych
• akt w sprawie danych ma na celu ustanowienie zharmonizowanych przepisów dotyczących dostępu i wykorzystywania danych generowanych z szerokiej gamy produktów i usług, w tym przedmiotów podłączonych do Internetu („Internet rzeczy”), wyrobów medycznych lub zdrowotnych oraz wirtualnych asystentów
• dokument ten ma również na celu zwiększenie prawa osób, których dane dotyczą, do przenoszenia danych na podstawie RODO
• EIOD i EROD z zadowoleniem przyjmują wysiłki podjęte w celu zapewnienia, aby akt w sprawie danych nie oddziaływał na obecnie przyjęte ramy ochrony danych
• EIOD i EROD wzywają współprawodawców do zapewnienia należytej ochrony praw osób, których dane dotyczą
• w opinii przedstawiono zalecenia dla współprawodawców, aby wprowadzić restrykcje lub ograniczenia dotyczące wykorzystywania danych generowanych w wyniku korzystania z produktu lub usługi przez jakikolwiek podmiot inny niż osoby, których dane dotyczą

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8411766,rodo-czy-po-umowie-firmy-musza-kasowac-wszystkie-dane-o-kliencie.html  https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8416616,data-act-dostep-do-danych-prywatnosc.html

• Minister Sprawiedliwości chce mieć prawo do przetwarzania danych, w tym osobowych, uczestników spraw sądowych z systemów teleinformatycznych – w zakresie zadań związanych z informatyzacją sądownictwa
• RPO ma wątpliwości, czy powinien mieć dostęp do takich danych i dodaje, że to jest niezgodne z Konstytucją
• projektowany art. 175ca ustawy o zmianie ustawy – Prawo o ustroju sądów powszechnych zakłada, że Minister Sprawiedliwości przetwarza dane, w tym dane osobowe uczestników postępowania sądowego, znajdujące się w systemach teleinformatycznych w zakresie niezbędnym dla realizacji zadań związanych z informatyzacją sądownictwa
• wątpliwości RPO budzi zakres projektowanych zmian – ma bowiem wątpliwość czy Minister Sprawiedliwości winien mieć dostęp do danych osobowych uczestników postępowań sądowych, w tym także – z uwagi na charakter postępowania sądowego – do danych wrażliwych
• zdaniem RPO realizacja zadań związanych z informatyzacją sądownictwa nie uzasadnia dostępu do danych osobowych

Źródło: https://www.prawo.pl/prawo/dane-osobowe-w-sadzie-minister-z-prawem-wgladu,515080.html

• Lincoln College zamknie swoje drzwi jeszcze w tym miesiącu, 157 lat od jej założenia i po brutalnym uderzeniu w finanse w wyniku pandemii COVID-19 i niedawnego ataku oprogramowania ransomware
• decyzja była jeszcze trudniejsza, ponieważ uczelnia przetrwała wiele katastrof, w tym duży pożar w 1912 roku, hiszpańską grypę, wielki kryzys, wojny światowe i globalny kryzys finansowy w 2008 roku
• grudniowy atak ransomware był ostatnią kroplą, która spowodowała decyzję o zamknięciu
• Lincoln College padł ofiarą cyberataku w grudniu 2021 r., który uniemożliwił rekrutację i utrudnił dostęp do wszystkich danych instytucjonalnych, tworząc niejasny obraz prognoz zapisów na jesień 2022 r.
• wszystkie systemy wymagane do rekrutacji, retencji i zbierania funduszy nie działały – na szczęście nie ujawniono żadnych danych osobowych

Źródło: https://www.bleepingcomputer.com/news/security/lincoln-college-to-close-after-157-years-due-ransomware-attack/?utm_content=buffer65fc1&utm_medium=social&utm_source=linkedin.com&utm_campaign=buffer

• obecnie pracodawca nie może zażądać od pracownika informacji na temat wykonania szczepienia przeciw COVID-19 lub wyniku testu, nie ma też prawa wymusić na nim przyjęcia szczepionki
• zmienić to może poselski projekt ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19 (EW-020-741/21) – rozwiązanie jest spóźnione, ale może okazać się potrzebne, gdy fala zachorowań powróci
• w przestrzeni publicznej wciąż pojawiają się pytania o to, czy pracodawca może żądać od pracownika lub kandydata do pracy informacji nt. wykonania szczepienia lub ujemnego wyniku testu antygenowego w przypadku COVID-19 – taka informacja może być przekazana przez konkretną osobę jedynie z jej inicjatywy, w wyniku dobrowolnej zgody
• pojawiają się pytania, czy postawa pracodawcy, który wymaga okazania certyfikatu lub zrobienia testu antygenowego, jest sprzeczna z obecnie obowiązującymi przepisami prawa – zdaniem ekspertów, w tym przypadku każda odpowiedź może być potraktowana jako błędna
• wymóg okazania certyfikatu covidowego lub zrobienia testu antygenowego jest sprzeczny z obecnie obowiązującymi przepisami prawa
• eksperci zwracają jedak uwagę na Kartę Praw Podstawowych UE i możliwość samodzielnego uznania, które z tych praw jest ważniejsze – jedno dotyczy ochrony życia i zdrowia, a drugie – prywatności
• istnieje przepis, który mówi o tym, że w przypadku konfliktu pomiędzy prawami podstawowymi, wygrywa to, którego istota jest naruszona – zdaniem niektórych, prywatności nie narusza pytanie o fakt szczepienia po to, by chronić inne osoby

Źródło: https://www.prawo.pl/kadry/szczepienia-przeciw-covid-19-czy-na-jesieni-pracodawcy-zyskaja,515150.html

NA CO ZWRÓCIĆ SZCZEGÓLNĄ UWAGĘ PRZY POWIERZENIU DANYCH OSOBOWYCH W SEKTORZE MEDYCZNYM?

• w przypadku powierzenia przetwarzania danych osobowych zawartych w dokumentacji medycznej, poza warunkami przewidzianymi w art. 28 ust. 3 RODO muszą być spełnione dodatkowe wymagania wskazane w ww. ustawie:

1. 1. realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej,
   2. podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta,
   3. w przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych.

Źródło: https://uodo.gov.pl/pl/225/2378

NA CO ZWRÓCIĆ SZCZEGÓLNĄ UWAGĘ PRZY POWIERZENIU DANYCH OSOBOWYCH W SEKTORZE MEDYCZNYM?

• w przypadku powierzenia przetwarzania danych osobowych zawartych w dokumentacji medycznej, poza warunkami przewidzianymi w art. 28 ust. 3 RODO muszą być spełnione dodatkowe wymagania wskazane w ww. ustawie:

1. 1. realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej,
   2. podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta,
   3. w przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych.

Źródło: https://uodo.gov.pl/pl/225/2378