Nowelizacja kodeksu pracy. Dzień Ochrony Danych Osobowych. TSUE: Policja może rejestrować dane biometryczne i genetyczne. Finlandia: kara administracyjna dla firmy za przetwarzanie informacji bez zgody. Francja: kara dla DISCORD.
MULTIMEDIA | |
---|---|
#RODOA [30.01.2023] | #RODOA [06.02.2023] |
Pobierz PDF | Pobierz PDF |
Nowelizacja kodeksu pracy podpisana.
- Prezydent podpisał ustawę, która wprowadza na stałe pracę zdalną oraz możliwość badania podwładnych przy użyciu alkomatu czy narkotestów
- Do kodeksu pracy trafi praca zdalna obecna dotąd tylko w przepisach antycovidowych. Będzie nią całkowite lub częściowe wykonywanie obowiązków w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania, m.in. z wykorzystaniem środków bezpośredniego porozumiewania się na odległość. Uwzględnienie wniosku o pracę zdalną będzie natomiast obowiązkowe m.in. w przypadku pracownicy w ciąży, zatrudnionego wychowującego dziecko do ukończenia przez nie czwartego roku życia (chyba że nie będzie to możliwe ze względu na organizację pracy lub jej rodzaj).
- Będzie także wyraźna podstawa do prowadzenia kontroli trzeźwości przez pracodawcę. Jednak będzie mogła zostać przeprowadzona tylko wtedy, gdy okaże się niezbędna do zapewnienia ochrony życia i zdrowia pracowników lub innych osób albo ochrony mienia. Jej zasady (a także grupy pracowników nią objętych) trzeba będzie ustalić w akcie wewnątrzzakładowym.
- Nowelizacja w zakresie pracy zdalnej wchodzi w życie po upływie 2 miesięcy od jej ogłoszenia w Dzienniku Ustaw.
Dzień Ochrony Danych Osobowych
- Z okazji Dnia Ochrony Danych Osobowych EROD przygotował filmik dotyczący egzekwowania RODO w ciągu ostatnich kilku lat oraz tego w jaki sposób EROD pomaga wszystkim organom ochrony danych działać jako jedność w ochronie praw, dziś i w przyszłości.
Żródło: https://edpb.europa.eu/news/news/2023/data-protection-day-2023_en
TSUE: Policja może rejestrować dane biometryczne i genetyczne, ale uwaga na prawo do ochrony danych wrażliwych
- Systematyczne gromadzenie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty, dla celów ich rejestracji policyjnej, jest niezgodne z wymogiem zapewnienia wzmocnionej ochrony w odniesieniu do przetwarzania wrażliwych danych osobowych – stwierdził w wydanym 26 stycznia br. wyroku Trybunał Sprawiedliwości Unii Europejskiej.
- W ramach postępowania karnego dotyczącego oszustwa podatkowego wszczętego przez organy bułgarskie, V.S. przedstawiono zarzut uczestnictwa w zorganizowanej grupie przestępczej. W następstwie przedstawienia zarzutów policja bułgarska wezwała V.S. do umożliwienia zbierania jej danych daktyloskopijnych i fotograficznych dla celów ich rejestracji i pobrania próbek w celu ustalenia jej wzoru profilu DNA. Opierając się na ustawodawstwie krajowym przewidującym „rejestrację policyjną” osób, którym przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z urzędu, organy policji bułgarskiej zwróciły się do sądu karnego o udzielenie zezwolenia na przymusowe zebranie danych genetycznych i biometrycznych V.S.
- Trybunał stwierdził, że dyrektywę 2016/680 należy interpretować w ten sposób, że przetwarzanie danych dla celów prowadzenia czynności dochodzenia, jest dozwolone prawem krajowym, gdy to prawo zawiera wystarczająco jasną i precyzyjną podstawę prawną dla zezwolenia na wspomniane przetwarzanie. Okoliczność, że krajowy akt ustawodawczy zawierający taką podstawę prawną odnosi się, poza tym, do ogólnego rozporządzenia o ochronie danych, a nie do dyrektywy 2016/680, nie może, sama w sobie, podważyć istnienia takiego zezwolenia, pod warunkiem że z wykładni wszystkich mających zastosowanie przepisów prawa krajowego wynika w sposób wystarczająco jasny, precyzyjny i jednoznaczny, że rozpatrywane przetwarzanie danych biometrycznych i genetycznych jest objęte zakresem stosowania tej dyrektywy, a nie RODO.
Źródło: https://uodo.gov.pl/pl/545/2609
Finlandia: kara administracyjna dla firmy za przetwarzanie informacji zdrowotnych bez odpowiedniej zgody
- Fiński organ ochrony danych zbadała praktyki spółki na podstawie skarg złożonych w latach 2018–2019. Dochodzenie wykazało, że firma nie miała wymaganej przez RODO zgody na przetwarzanie danych dotyczących wskaźników masy ciała i maksymalnego poboru tlenu.
- Firma poprosiła o zgodę na ogólne przetwarzanie danych dotyczących zdrowia, ale nie sprecyzowała, jakie dane gromadzi i przetwarza. Żądana zgoda nie spełniała wymogów RODO, ponieważ nie była konkretna i świadoma.
- Organ stwierdził, że administrator poinformował osoby, których dane dotyczą, o przetwarzaniu ich danych osobowych, ale mimo to nie dostarczył wystarczających informacji na temat rodzajów przetwarzanych danych osobowych i celów przetwarzania każdego rodzaju. Organ podkreślił w szczególności, że szerokie przetwarzanie danych zdrowotnych jest częścią podstawowej działalności spółki.
- Organ ochrony danych nałożył na spółkę karę administracyjną w wysokości 122 000 EUR. Firma dostała również reprymendę. Ponadto fiński organ nakazał spółce skorygowanie praktyk w zakresie żądania zgody.
Upomnienia cofnięte, bo nie było prawa pozwalającego sprawdzać szczepienia pracowników
- Sąd Okręgowy w Warszawie oddalił apelację pracodawcy od wyroku uchylającego karę porządkową upomnienia nałożoną na pracowników, którzy – wbrew zarządzeniu pracodawcy – nie okazali przed rozpoczęciem pracy certyfikatu covidowego, ani nie poddali się testowi antygenowemu. Pracownicy stawili się do pracy, ale wcześniej – wbrew zarządzeniu pracodawcy – nie przedstawili certyfikatów szczepienia oraz nie udali się na testy przeciwko COVID-19. W efekcie zostali ukarani karą porządkową – upomnienia, a następnie złożyli pozew do sądu.
- Pracownicy w pozwie wskazali, że pracodawca nałożył na nich kary porządkowe za niezastosowanie się do polecenia, które naruszało przepisy prawa. Sąd to potwierdził, wskazując na art. 100 par. 1 k.p., na podstawie którego pracownik jest obowiązany wykonywać pracę sumiennie i starannie oraz stosować się do poleceń przełożonych, które dotyczą pracy, jeżeli nie są one sprzeczne z przepisami prawa lub umową o pracę.
- Pełnomocnik pracodawcy tłumaczył, że postępowanie pracodawcy wynikało z obowiązku ciążącego na pracodawcy zapewnienia bezpiecznych warunków pracy pracownikom i w taki właśnie sposób je realizował. Abstrahując od tego pracodawcy w pandemii COVID-19 zostali pozostawieni sobie w tej trosce o zapobieganie zarażeniom. Rząd nie był w stanie przeforsować w parlamencie ustawy, które pozwalałaby pracodawcom mieć wgląd w informacje o szczepieniu pracowników. Inna rzecz, czy takie przepisy byłyby w ogóle zgodne z RODO i konwencjami. W tej jednak sprawie sąd zwrócił uwagę na bardzo ważną kwestię. A mianowicie na to, że pracodawca w swoim podejściu zlekceważył pracowników
Francja: kara dla DISCORD w wysokości 800 000 EUR
- CNIL postanowił przeprowadzić kontrolą z własnej inicjatywy, bez żadnych skarg. Kontrola obejmowała: stronę internetową „discord.com”, aplikacje mobilną DISCORD oraz dokumenty.
- Najważniejsze ustalenia
– niezdefiniowanie i nieprzestrzeganie odpowiedniego do celu okresu
przechowywania danych (art. 5 ust. 1 lit. e RODO)
– niedopełnienie obowiązku informacyjnego (art. 13 RGPD)
– niezapewnienie domyślnej ochrony danych (art. 25 ust. 2 RODO)
– niezapewnienie bezpieczeństwa danych osobowych (art. 32 RODO)
– nieprzeprowadzenie oceny skutków dla ochrony danych (art. 35 RODO)
- CNIL odpowiedzialny za nakładanie sankcji – uznała, że firma nie wywiązała się z szeregu obowiązków wynikających z ogólnego rozporządzenia o ochronie danych (RODO). Nałożył kare w wysokości 800 000 euro na DISCORD INC., która została upubliczniona. Wysokość grzywny została ustalona w odniesieniu do stwierdzonych naruszeń, liczby osób, których to dotyczy, ale również biorąc pod uwagę wysiłki podjęte przez przedsiębiorstwo w celu przestrzegania przepisów w trakcie całego postępowania oraz fakt, że jego model biznesowy nie opiera się na wykorzystywaniu danych osobowych.
Źródło: https://edpb.europa.eu/news/national-news/2023/french-sa-fines-discord-eur-800000_en
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.