RODO aktualności – 15.07.2020

Dlaczego nie warto igrać z UODO? Dlaczego warto sprawdzać folder SPAM? Jak zorganizować obieg korespondencji mailowej z wnioskami od osób, których dane są przetwarzane? Jakie dobre wieści dotyczące zgód na przetwarzanie danych osobowych ma dla nas UODO? Czego ciekawego dowiesz się z najnowszego newslettera od UODO? Jak NIE realizować działań marketingowych dla byłych klientów? W jakim kraju musisz ujawnić swoje dane w celu… napicia się piwa? Dlaczego należy uważać z chwaleniem się świadectwami szkolnymi naszych pociech? Co i jak znowu wyciekło z Politechniki Warszawskiej? Jak liczyć miesięczny termin odpowiedzi na wniosek podmiotu danych?

Narzekasz na brak czasu? Na naszych kanałach podcastowych oraz na YouTube przygotowaliśmy dla Ciebie przegląd 4 wyselekcjonowanych, kluczowych dla Twojego biznesu RODO aktualności. Nie znajdziesz tego na blogu - każdą RODO aktualność opatrzyliśmy naszym komentarzem z najważniejszymi wnioskami, jakie powinieneś z niej wyciągnąć.

Dlaczego nie warto igrać z UODO? Nowa kara

  • Prezes UODO nałożył 15 tys. zł. kary na spółkę East Power z Jeleniej Góry za niezapewnienie organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań
  • ukarana spółka zajmuje się na terenie Polski i Niemiec pośrednictwem pracy, a skargę na jej działania złożył obywatel Niemiec, gdyż przetwarzała ona jego dane osobowe w celach marketingowych
  • skargę złożył w niemieckim organie ochrony danych osobowych, ale została ona przejęta do rozpoznania przez Prezesa UODO, który był w tej sprawie tzw. organem wiodącym z uwagi na to, że spółka ma siedzibę w Polsce
  • z uwagi na to, że w odpowiedzi na wezwania, spółka składała niepełne i wewnętrznie sprzeczne wyjaśnienia, Prezes UODO uznał, że celowo utrudnia ona bieg postępowania lub co najmniej lekceważy swoje obowiązki związane ze współpracą
  • wydając decyzję o nałożeniu administracyjnej kary pieniężnej oraz określając jej wysokość, Prezes UODO wziął pod uwagę jako okoliczności obciążające m.in. dużą wagę naruszenia (godzącego w prawidłowe funkcjonowanie określonego przepisami RODO systemu ochrony danych osobowych), umyślny charakter naruszenia oraz niezadowalający stopień współpracy administratora z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego skutków

Źródło: https://uodo.gov.pl/pl/138/1597

UODO wnioskuje o regulacje w sprawie zagubionych nośników

  • Prezes UODO zwrócił się do MSWiA z wnioskiem o rozważenie uregulowania w ustawie o rzeczach znalezionych kwestii dotyczących postępowania z danymi osobowymi, utrwalonymi na zagubionych nośnikach danych
  • to reakcja kierowną do UODO korespondencję od starostów, którzy wskazują na problemy pojawiające się w związku z przechowywaniem znalezionych rzeczy, takich jak laptopy, telefony komórkowe, pendrive’y, dyski, aparaty fotograficzne, etc.
  • przepisy prawa wskazują na obowiązek zabezpieczenia przez starostów znalezionych rzeczy – jednak nie wynika z nich, w jakim zakresie ponoszą oni odpowiedzialność za dane osobowe utrwalone na znalezionych nośnikach
  • w urządzeniach wyposażonych w pamięć wewnętrzną mogą być utrwalone bardzo zróżnicowane dane – zarówno te zwykłe, jak i należące do szczególnych kategorii czy nawet dotyczące wyroków skazujących i czynów zabronionych
  • starosta przechowujący znalezione rzeczy jest bez wątpienia zobowiązany do stosowania przepisów RODO
  • w ocenie Prezesa UODO zagadnienie to wymaga analizy pod kątem rozważenia wprowadzenia odpowiednich regulacji prawnych, które będą precyzowały kwestię odpowiedzialności i stosownego postępowania z danymi osobowymi znajdującymi się na nośnikach danych stanowiących element zagubionych rzeczy

Źródło: https://uodo.gov.pl/pl/138/1595

WSA odmawia wstrzymania wykonania postanowienia Prezesa UODO

  • WSA w Warszawie odmówił wstrzymania wykonania zaskarżonego przez Głównego Geodetę Kraju postanowienia Prezesa UODO ograniczającego przetwarzanie danych osobowych w zakresie numerów ksiąg wieczystych w serwisie internetowym GEOPORTAL2
  • oznacza to, że postanowienie Prezesa UODO zobowiązujące GGK do zaprzestania publikowania numerów ksiąg wieczystych na portalu internetowym GEOPORTAL2 (geoportal.gov.pl) do czasu wydania decyzji administracyjnej kończącej postępowanie w tej sprawie wciąż podlega wykonaniu
  • postanowienie Prezesa UODO nakazujące GGK zaprzestanie publikowania numerów ksiąg wieczystych zostało wydane 6 kwietnia 2020 r
  • Prezes UODO podjął taką decyzję w związku z prowadzonym wobec Głównego Geodety Kraju postępowaniem z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych dotyczącej udostępniania bez podstawy prawnej na portalu internetowym GEOPORTAL2 numerów ksiąg wieczystych

Źródło: https://uodo.gov.pl/pl/138/1593

Projekt kodeksu postępowania dla fotografów

od 1 lipca do 31 sierpnia 2020 r. trwają konsultacje projektu kodeksu postępowania dla fotografów – projekt kodeksu został skierowany do konsultacji przez autora
projekt kodeksu został dostosowany do specyfiki sektora branży fotograficznej – osoby działające w tej branży znajdą w nim odpowiedź na szczegółowe pytania związane z przetwarzaniem danych osobowych, a także wytyczne postępowania w typowych dla fotografa procesach przetwarzania danych
głównym założeniem kodeksu jest wsparcie branży fotograficznej w interpretacji przepisów dotyczących ochrony danych osobowych oraz przedstawienie gotowych rozwiązań jak postępować w danej sytuacji, np. czy i jak zebrać zgodę na przetwarzanie danych, kiedy spełnić obowiązek informacyjny, jakie środki bezpieczeństwa zastosować
kodeks zawiera też bazę wiedzy na temat procedur wewnętrznych wraz z wzorami dokumentów, które mogą być stosowane przez fotografów przetwarzających dane osobowe
treść projektu znajduje się na stronie https://bezpiecznywizerunek.pl/
Źródło: https://uodo.gov.pl/pl/138/1589

Spam a odmowa realizacji wniosku

  • w swoim sprawozdaniu z działalności za 2019 r. berliński organ ochrony danych osobowych (DPA) skomentował wymogi dotyczące zapewnienia, że odpowiedzi na wnioski osób, których dane dotyczą, są zgodne z RODO
  • według DPA firmy często twierdzą, że terminowe rozpoznanie wniosku osoby, której dane dotyczą nie było możliwe, ponieważ osoba ta nie skierowała swojej prośby do właściwego działu w firmie (np. poprzez użycie dedykowanego adresu e-mail „ochrona prywatności / danych”)
  • zdaniem DPA okoliczność ta nie może być wykorzystana jako argument usprawiedliwiający administratora
  • zgodnie z RODO adresatem do wykonywania praw osób, których dane dotyczą, jest administrator jako taki – jeśli administrator otrzyma żądanie, musi zostać przetworzone, nawet jeśli wewnętrznie ustalono zróżnicowany podział zadań w firmie lub instytucji
  • nawet e-maile, które zostały zakwalifikowane przez serwer pocztowy jako rzekomy spam muszą być przetwarzane przez administratora danych jako ważne wykonanie prawa wynikającego z RODO

Źródło: https://www.linkedin.com/pulse/berlin-data-protection-authority-companies-must-accept-piltz/

Francja: mierzenie temperatury kamerami termicznymi nie ma podstawy w RODO

  • mierzenie temperatury kamerami termicznymi przy wejściu do budynków publicznych nie ma podstawy w art. 9 RODO – stwierdziła Rada Stanu we Francji
  • organizacja pozarządowa „Ligue des droits de l’Homme” wniosła skargę do sądu administracyjnego w Wersalu żądając usunięcia stałych i przenośnych kamer termowizyjnych zainstalowanych w urzędach miejskich i szkołach
  • sąd pierwszej instancji odrzucił skargę, w związku z tym organizacja odwołała się od do Rady Stanu – ta wskazała, że chociaż kamery termowizyjne nie rejestrują danych osobowych to podejmowanie decyzji (wpuszczenie lub nie na teren budynku) na podstawie zebranych informacji należy traktować jako przetwarzanie danych
  • organ stwierdził, że temperatura ciała była wystarczająco dokładna, aby zidentyfikować osoby i należy ją traktować jako szczególne kategorie danych na mocy RODO
  • organ odrzucił wszystkie podstawy prawne wskazane przez miasto i uznał, że przetwarzanie było oczywiście niezgodne z prawem – miasto nie podjęło żadnych postanowień dotyczących kamer termowizyjnych ani nie uchwalono żadnych przepisów dotyczących konieczności przetwarzania w odniesieniu do polityki zdrowotnej

Źródło: https://gdprhub.eu/index.php?title=CE_-_N%C2%B0_441065&oldid=10778&pk_campaign=today

UODO: Brak potwierdzenia zgody nie oznacza jej wycofania

  • poddajmy analizie następującą sytuację:
    • klient sklepu internetowego kupuje produkt i w trakcie finalizowania zakupu przy pytaniu, czy wyraża zgodę na przetwarzanie danych osobowych w celach marketingowych, zaznacza tzw. checkbox
    • kilka dni później zadowolony z produktu i oferty e-sklepu odwiedza go ponownie – znów dokonuje zakupu, jednak tym razem pozostawia ten sam checkbox pusty
  • w opisanej wyżej sytuacji powstaje pytanie: czy uznał, że wystarczyło jednorazowo wyrazić zgodę? A może rozmyślił się i jest przekonany, że brak wyrażenia ponownej zgody anuluje poprzednią akceptację kontaktu w celach marketingowych?
  • ta sama wątpliwość może pojawić się również w przypadku, gdy klient dokonuje zakupu produktu lub usługi w siedzibie firmy i za każdym razem otrzymuje wzór umowy z pytaniem o zgodę na telemarketing
  • UODO wskazuje, że jeśli klient już raz przyzwolił na przetwarzanie danych w celach marketingowych, to brak odniesienia się do tej kwestii przy kolejnym zakupie nie cofa pierwotnej decyzji
  • eksperci przyznają, że takie elastyczne podejście urzędu uratuje wiele baz danych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1485492,brak-potwierdzenia-zgody-czy-oznacza-wycofanie.html

Lipcowy numer newslettera UODO dla IOD

  • ukazał się nowy, lipcowy numer newslettera Urzędu Ochrony Danych Osobowych dla IOD, a w nim:
    • prezydent miasta nie naruszył prawa do ochrony danych osobowych, udostępniając informacje związane z wysokością dofinansowania na likwidację źródeł tzw. niskiej emisji zanieczyszczeń powietrza
    • obowiązkiem administratora jest ustalenie w każdym przypadku, jaki minimalny zakres danych osobowych jest dla niego wystarczający do identyfikacji konkretnej osoby fizycznej, w tym w zakresie pełnomocnictw
    • Prezes UODO udzielił jednej z partii politycznych upomnienia za bezprawne przetwarzanie danych osobowych byłego jej członka – polegało ono na wysyłaniu do niego zaproszeń na spotkania okolicznościowe kierowane do członków tej partii
    • dyrektor schroniska dla bezdomnych zwierząt słusznie nie udostępnił danych osobowych nowych właścicieli adoptowanego psa jego poprzedniej właścicielce
    • projekt nowelizacji ustawy prawo o notariacie wymaga dopracowania – nałożenie na notariuszy ustawowego obowiązku utrwalania przebiegu wszystkich czynności notarialnych za pomocą urządzenia rejestrującego obraz i dźwięk to rozwiązanie, które budzi zastrzeżenia Prezesa UODO
  • wersje archiwalne: https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Jak NIE realizować działań marketingowych dla byłych klientów?

  • belgijski organ ochrony danych nałożył grzywnę w wysokości 1 000 EUR na stowarzyszenie, które na podstawie swojego uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) wysłało bezpośrednie komunikaty marketingowe do (byłych) darczyńców w celu pozyskania środków
  • grzywna administracyjna została nałożona w następstwie skargi wniesionej przez byłego dawcę stowarzyszenia
  • belgijski organ stwierdził, że stowarzyszenie nie mogło skutecznie powołać się na swój uzasadniony interes jako podstawy do rozpatrzenia w niniejszej sprawie, ponieważ nie spełniało ono kumulatywnych warunków narzuconych przez orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej
  • zgodnie z tym orzecznictwem, aby powołać się na art. 6.1, f) RODO, administrator danych musi wykazać, że interesy, których służy przetwarzanie, można uznać za uzasadnione („test celu”), zamierzone przetwarzanie jest konieczne do celów zamierzonego przetwarzania („test konieczności”) oraz zrównoważenie tych interesów z podstawowymi prawami i swobodami osób, których dotyczy ochrona danych, ma znaczenie dla administratora danych lub strony trzeciej („test bilansujący”)
  • belgijski organ stwierdził wątpliwości, czy osoba, której dane dotyczą, mogłaby zasadnie oczekiwać, że jej dane będą przetwarzane do celów marketingu bezpośredniego wiele lat po zebraniu tych danych (motyw 47 RODO)
  • nie wiesz jak przeprowadzić balancing test? Skorzystaj z naszego sprawdzonego w boju szablonu testu równowagi z instrukcją wypełniania.

Źródło: https://edpb.europa.eu/news/national-news/2020/belgian-dpa-imposed-fine-1000-eur-association-sent-direct-marketing-messages_pl

Precedensowy proces ws. naruszenia RODO

  • prawnik z Fundacji Panoptykon pozwał Pocztę Polską za bezprawne przetwarzanie jego danych z rejestru PESEL
  • chodzi o prowadzone przez Pocztę Polską przygotowania do przeprowadzenia wyborów korespondencyjnych
  • choć ostatecznie do nich nie doszło, to operator w ramach prowadzonych przygotowań próbował uzyskać spisy wyborców – to wówczas rozesłał niepodpisane e-maile, w których zażądał od wójtów, burmistrzów i prezydentów przekazania tych danych
  • ponieważ spora część władz samorządowych odmówiła, operator wystąpił do Ministerstwa Cyfryzacji o informacje z bazy PESEL i je otrzymał
  • bezprawne przetwarzanie tych właśnie danych jest przedmiotem pozwu skierowanego przez Wojciecha Klickiego, prawnika Fundacji Panoptykon
  • proces będzie precedensowy nie tylko ze względu na przedmiot sporu, lecz także wybraną ścieżkę prawną – zazwyczaj w sprawach o naruszenie przepisów RODO kierowana jest skarga do Urzędu Ochrony Danych Osobowych, a ewentualnie później sprawa trafia do sądu administracyjnego
  • Wojciech Klicki postanowił skorzystać z innej możliwości, jaką daje RODO – pozwu wnoszonego do sądu powszechnego

Źródło: https://prawo.gazetaprawna.pl/artykuly/1485307,poczta-polska-wybory-dane-osobowe-proces.html

Przedsiębiorcy: konieczne ułatwienia w prowadzeniu działalności marketingowej

  • Związek Cyfrowa Polska wspólnie ze Związkiem Przedsiębiorców i Pracodawców zwrócił się do Prezesa Urzędu Ochrony Danych Osobowych oraz Ministra Cyfryzacji o wprowadzenie zmian w prawie, które ułatwią działalność marketingową firm
  • nowe przepisy powinny ułatwiać komunikację marketingową, a nie stawiać jej kolejne bariery – podkreślają wnioskodawcy
  • propozycje, o których rozważenie prosi organizacja reprezentująca polską branżę cyfrową i nowoczesnych technologii, dotyczy zapisów w Prawie Komunikacji Elektronicznej – obecnie trwają prace nad jego nowelizacją w związku z przeniesieniem do polskiego prawa regulacji zawartych w Europejskim Kodeksie Łączności Elektronicznej
  • w swoim piśmie, Cyfrowa Polska oraz ZPP wspólnie postulują m.in. aby dozwolone było, bez uprzedniej wymaganej zgody adresata, przesyłanie elektronicznej komunikacji marketingowej na ogólne adresy e-mail odbiorców instytucjonalnych i powiązane z nimi numery telefonów – taka zgoda nadal wymagana byłaby w przypadku odbiorców indywidualnych
  • wnioskodawcy uważają również, że potrzebne są ułatwienia w prowadzeniu marketingu bezpośredniego na zasadzie tzw. soft opt-in, tj. umożliwienie prowadzenia marketingu bezpośredniego do klientów instytucjonalnych, których elektroniczne dane kontaktowe zostały uzyskane przez firmę wcześniej w kontekście sprzedaży im produktów lub usług

Źródło: http://centrumprasowe.pap.pl/cp/pl/news/info/162105,,uodo-przedsiebiorcy-do-uodo-konieczne-ulatwienia-w-prowadzeniu-dzialalnosci-marketingowej-firm

Najlepszyprawnik.com.pl a RODO

  • do redakcji GP trafiają skargi na portal Najlepszyprawnik.com.pl, który w założeniu ma umożliwiać internautom wyszukiwanie opinii o prawnikach, adwokatach, radcach prawnych czy kancelariach – okazuje się, że zastrzeżenia do serwisu ma również Prezes Urzędu Ochrony Danych Osobowych
  • serwis w ogóle nie informuje prawników o tym, że przetwarza ich dane osobowe, nie da się też usunąć danych z witryny, bo link do formularza mającego to umożliwiać nie działa, na próżno też szukać informacji o administratorze strony
  • swoich zastrzeżeń co do funkcjonowania serwisu nie ukrywa UODO – Adam Sanocki, rzecznik prasowy urzędu, wskazuje, że przetwarzanie danych, także tych np. dostępnych w rejestrach publicznych, wymaga spełnienia obowiązków, jakie na administratorów nakładają przepisy RODO
  • jednym z nich jest wymóg dopełnienia obowiązku informacyjnego względem osób, których dane pozyskało się nie bezpośrednio od nich, ale z innych źródeł (art. 14 RODO) – osoby te mogą wówczas skorzystać z praw, jakie im przysługują na gruncie RODO i sprzeciwić się dalszemu przetwarzaniu ich danych osobowych, i zażądać ich usunięcia
  • Prezes UODO swoją pierwszą karę nałożył na jedną ze spółek właśnie z powodu braku dopełnienia obowiązku informacyjnego

Źródło: https://prawo.gazetaprawna.pl/artykuly/1485060,naruszanie-dobr-osobistych-najlepszyprawnik-com-pl.html

RPO też zainteresował się sprawą aplikacji stosowanej przez sieć aptek

  • Rzecznik Praw Obywatelskich jest zaniepokojony sygnałami, że e-recepty mogą nadmiernie wkraczać w prywatność poszczególnych pacjentów – może się na niej znaleźć ponad 60 różnych danych osobowych, a kilka recept pozwala stworzyć wirtualną kopię pacjenta
  • RPO wystosował w tej sprawie pismo do prezesa UODO
  • profilowanie pacjentów niepokoi RPO ze względu na ochronę prywatności w procesie informatyzacji ochrony zdrowia
  • jak wyjaśnia RPO konstytucja zapewnia obywatelom prawo do autonomii informacyjnej (art. 51), czyli prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, znajdującymi się w posiadaniu innych podmiotów
  • RPO spytał Prezesa Urzędu Ochrony Danych Osobowych, czy wpływają do niego skargi związane z funkcjonowaniem e-recepty, jeśli tak, to ile ich jest, jakie problemy są w nich sygnalizowane oraz jakie działania zostały podjęte
  • RPO poprosił także o poinformowanie, czy w UODO podjęto prace analityczne co do wpływu informatyzacji ochrony zdrowia na prywatność jednostki

Źródło: https://www.rynekaptek.pl/prawo/rzecznik-praw-obywatelskich-tez-zainteresowal-sie-sprawa-aplikacji-stosowanej-przez-siec-aptek,38859.html

Kolejny wyciek danych studentów Politechniki Warszawskiej

  • uczelnia po raz kolejny poinformowała studentów o wycieku ich danych
  • tym razem dane osobowe wyciekły z Wydziału Architektury i dotyczyły systemu Rekrutacja, czyli aplikacji na studia
  • ujawnione identyfikatory to: PESEL, imię i nazwisko
  • treść oświadczenia dotyczącego naruszenia dostępna jest dla kandydatów na studia dopiero po zalogowaniu na zapisy.pw.edu.pl/
  • wiadomość nie została rozesłana do ofiar e-mailem
  • 2 miesiące temu miał miejsce potężnym wycieku danych studentów (z wielu roczników) – informator, który przekazał informacje o błędach w infrastrukturze Politechniki Warszawskiej twierdził i pokazywał wiarygodne dowody na to, że miał dostęp do systemów Politechniki od pół roku
  • choć baza zawierała ogrom danych, to nie każdy student stracił komplet informacji, jakie z mocy prawa zobowiązany jest przekazać uczelni – niektórzy jednak potracili dane o rodzicach a nawet informacje o dokumentach tożsamości
  • w powyższej sprawie PUODO wszczął kontrolę

Źródło: https://niebezpiecznik.pl/post/kolejny-wyciek-danych-studentow-politechniki-warszawskiej/

Uwaga na SMS-y z prezentami od Allegro

  • przestępcy właśnie zaczęli wysyłać do Polaków SMS-y podszywając się pod Allegro
  • kliknięcie na podany w wiadomości link przekierowuje ofiarę na stronę udającą oficjalny sklep Google Play z aplikacjami na Androida
  • jeśli ofiara nie zorientuje się, że jest na fałszywej stronie i pobierze aplikację aby “otrzymać prezent”, zainfekuje sobie telefon złośliwym oprogramowaniem, które przestępcy wykorzystują do wykradania pieniędzy z rachunków bankowych

Źródło: https://niebezpiecznik.pl/post/uwaga-na-sms-y-z-prezentami-od-allegro/

Poczta elektroniczna i walka z niechcianymi reklamami

  • każdego dnia pracownicy infolinii UODO odpowiadają na pytania użytkowników poczty elektronicznej „Skąd te firmy mają moje dane? Skąd znają mój adres e-mail? – UODO daje na swojej stronie odpowiedź, która może być szokująca: od nas samych
  • Umowa – zakładając pocztę elektroniczną, podpisujemy umowę. Jedną stroną umowy jesteśmy my, a drugą dostawca poczty, który świadczy na naszą rzecz usługi, często mamy jednak możliwość wybrania formy rozliczania umowy: wersja płatna albo wersja bezpłatna, a wybierając „darmowe” konto poczty elektronicznej, otrzymujemy rabat w wysokości 100 proc., a jedynie co powinniśmy zrobić, to udzielić zgody na działania marketingowe, które są opisane w regulaminach lub politykach prywatności
  • Zgoda – zgody na przetwarzanie danych osobowych są powszechnie udzielane w Internecie. Niekiedy nie zwracamy uwagi na brak jakichkolwiek informacji nt. dostawcy usług albo też nie zapoznajemy się z pełną informacją na temat przetwarzania danych i bezrefleksyjnie zaznaczamy pola ze zgodami
  • Regulamin usługi konta poczty elektronicznej i polityka prywatności – z tych dokumentów dowiadujemy się, jakie dane, które sami podaliśmy na podstawie zgody, są zbierane, w jakim celu oraz do czego je wykorzystuje administrator
  • Zaufany Partner – za każdym razem UODO uczula, aby zwracać uwagę nie tylko na to, w jakim celu przekazujemy dane administratorom, ale też jakim innym podmiotom trzecim administrator te dane przekazuje

Źródło: https://uodo.gov.pl/pl/138/1585

Czy lekarzom należy nadawać upoważnienia?

  • dane osobowe mogą być przetwarzane wyłącznie na polecenie administratora przez osoby działające z upoważnienia administratora lub podmiotu przetwarzającego
  • pojawiła się opinia, że nie ma potrzeby nadawania upoważnień do danych pacjenta osobom wykonującym zawód medyczny (np. lekarz, pielęgniarka, stomatolog), bowiem do przetwarzania tych danych osoby te uprawnia art. 24 ust. 2 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta – zgodnie z tym przepisem do przetwarzania danych zawartych w dokumentacji medycznej w celu ochrony zdrowia są uprawnione osoby wykonujące zawód medyczny
  • w przypadku nadawania upoważnień osobom, których uprawnienia do przetwarzania danych wynikają z odrębnych przepisów, należy mieć na względzie cel, w jakim takie upoważnienia się nadaje – wydawanie upoważnień może być bowiem jednym ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i dlatego należy go odróżnić od uprawnienia do dostępu do danych przyznanego określonym funkcjom czy zawodom przez przepisy prawa w związku z wykonywanymi przez nich obowiązkami lub zadaniami
  • zatem jeśli administrator decyduje się na zastosowanie środka organizacyjnego, jakim jest nadawanie upoważnień, wówczas również wobec np. lekarzy może być podjęty taki środek, niezależnie od tego, że uprawnienie tych osób do dostępu do danych osobowych pacjenta gwarantują im właściwe ustawy

Źródło: https://uodo.gov.pl/pl/225/1578

EROD publikuje nowy rejestr

  • Europejska Rada Ochrony Danych opublikowała na swojej stronie internetowej nowy rejestr zawierający decyzje podjęte przez krajowe organy nadzorcze w ramach mechanizmu kompleksowej współpracy (One-Stop-Shop)
  • zgodnie z RODO organy nadzorcze mają obowiązek współpracowania w sprawach o charakterze transgranicznym w celu zapewnienia spójnego stosowania rozporządzenia – tak zwanego mechanizmu kompleksowej współpracy
  • w ramach tego mechanizmu wiodący organ nadzorczy odpowiada za przygotowanie projektów decyzji i współpracuje z organami nadzorczymi, których sprawa dotyczy, w celu osiągnięcia porozumienia
  • do czerwca wiodące organy nadzorcze przyjęły 110 ostatecznych decyzji w ramach One-Stop-Shop
  • na podstawie opublikowanych decyzji można stwierdzić, że większość zgłoszonych naruszeń wynika z nieodpowiedniego przygotowania organizacji do wdrożenia przepisów ogólnego rozporządzenia
  • rejestr obejmuje dostęp do decyzji, a także ich streszczenia w języku angielskim przygotowane przez Sekretariat EROD
  • rejestr jest dostępny pod adresem: https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_en

Źródło: https://uodo.gov.pl/pl/138/1574

Wielka Brytania: od lipca piwo w pubie tylko po podaniu danych

  • od 4 lipca, by zamówić piwo w pubie, konieczne będzie podanie nazwiska i danych kontaktowych – przewidują to nowe wytyczne brytyjskiego rządu
  • właściciel lokalu musi je przechowywać przez 21dni
  • wytyczne dotyczą całego sektora gastronomicznego, hotelarsko-turystycznego oraz niektórych usług
  • w ciągu najbliższych dni przedstawione zostaną bardziej dokładne zalecenia, dla poszczególnych typów miejsc, które wyjaśnią, w jaki sposób mają być zbierane dane kontaktowe od klientów pubów
  • obowiązek zbierania i przechowywania danych kontaktowych klientów – co ma na celu identyfikowanie i opanowywanie lokalnych ognisk epidemii – oprócz pubów dotyczyć będzie także restauracji, hoteli i wszystkich miejsc oferujących noclegi, a także fryzjerów

Źródło: https://biznes.interia.pl/gospodarka/news-wielka-brytania-od-lipca-piwo-w-pubie-tylko-po-podaniu-nazwi,nId,4572838

KE: po dwóch latach RODO działa dobrze

  • ponad dwa lata po wejściu w życie unijne przepisy o ochronie danych (RODO) działają dobrze, wzmacniają pozycję obywateli UE i są dostosowane do potrzeb ery cyfrowej – wynika z opublikowanego raportu Komisji Europejskiej
  • KE stwierdziła, że RODO spełnia większość swoich celów, a w szczególności zapewnia obywatelom solidny zestaw możliwych do wyegzekwowania praw oraz tworzy nowy europejski system zarządzania i egzekwowania przepisów
  • sprawozdanie zawiera wykaz działań mających na celu dalsze ułatwienie stosowania RODO wszystkim zainteresowanym stronom, w szczególności małym i średnim przedsiębiorstwom
  • Europejski system ochrony danych stał się dla nas drogowskazem w transformacji cyfrowej ukierunkowanej na człowieka i jest ważnym filarem, na którym opieramy inne strategie polityczne, takie jak strategia w zakresie danych lub podejście do sztucznej inteligencji. RODO stanowi doskonały przykład tego, w jaki sposób Unia Europejska, stosując podejście oparte na prawach podstawowych, wzmacnia pozycję swoich obywateli i daje przedsiębiorstwom możliwość jak najlepszego wykorzystania cyfrowej rewolucji. Musimy jednak nadal pracować, aby w pełni wykorzystać potencjał RODO” – powiedziała wiceprzewodnicząca KE do spraw wartości Viera Jourova

Źródło: https://www.cyberdefence24.pl/zagrozenia/ke-po-dwoch-latach-rodo-dziala-dobrze-w-ue

UODO wskazuje jak właściwie zadbać o dane podczas wakacji

  • na swojej stronie internetowej UODO przedstawił kilka rad, jak postępować i jak właściwie zadbać o dane osobowe podczas wakacji:
  1. Nie zostawiaj dowodu w zastaw
  2. Nie pozwól robić kserokopii
  3. Nie publikuj zdjęć z wakacji, podczas Twojej nieobecności w domu
  4. Nie dziel się danymi o swojej lokalizacji w mediach społecznościowych
  5. Na urządzeniu korzystaj ze swojego połączenia z Internetem
  6. Zainstaluj na swoim urządzeniu oprogramowanie antywirusowe
  7. Ostrożnie udostępniaj nieznajomemu swój telefon
  8. Zabezpiecz się na wypadek kradzieży lub zgubienia telefonu

Źródło: https://uodo.gov.pl/pl/138/1575

Wielkie profilowanie Gemini

  • jedna z największych sieci aptecznych zaczęła masowo profilować pacjentów, a zbierane dane medyczne mają być przekazywane Microsoftowi i Amazonowi – podaje Dziennik Gazeta Prawna
  • sieć aptek Gemini, w ramach której funkcjonuje niemal 200 placówek w całej Polsce, postanowiła ułatwić życie pacjentom jeszcze bardziej. W tym celu stworzyła stronę internetową do przechowywania e-recept
  • wkrótce zaś ma udostępnić pacjentom aplikację na smartfony – pacjenci mogą składować druki w jednym miejscu i jeszcze łatwiej je realizować w aptekach
  • „Rzecz w tym, że na jednej recepcie może się znaleźć ponad 60 różnych danych. Kilka recept pozwala stworzyć wirtualną kopię pacjenta. Pracownicy sieci bez trudu dowiedzą się, komu może stanąć serce, komu może nie stanąć coś innego, kto leczy się na depresję, kto poronił, kto jest rodziną lekarza, a komu zostało jeszcze tylko kilka dni życia” – wskazuje Marek Tomków, wiceprezes Naczelnej Rady Aptekarskiej
  • samorząd aptekarski wysłał do Prezesa Urzędu Ochrony Danych Osobowych wniosek o wszczęcie kontroli
  • UODO przyznaje, że obecnie analizuje pismo z NRA
  • według nieoficjalnych informacji, jeśli Gemini nie zrezygnuje z profilowania pacjentów, samorządowcy będą chcieli, by cofnąć spółkom należącym do grupy zezwolenie na prowadzenie aptek

Źródło: https://www.rmf24.pl/fakty/polska/news-dgp-pacjent-zlapany-w-siec-korporacje-poznaja-wrazliwe-infor,nId,4570483

Zdjęcia ze świadectwem szkolnym a RODO

  • Kończy się właśnie rok szkolny – uczniowie, ale też ich rodzice często chcą się pochwalić świadectwem szkolnym swoich pociech i publikują ich zdjęcia w mediach społecznościowych
  • UODO ostrzega – to niezła gratka dla „amatorów cudzych danych osobowych”
  • świadectwo szkolne, czy to poświadczające promocję do kolejnej klasy, czy to, które uczeń otrzymuje na zakończenie nauki w danej szkole, to nic innego jak dokument publiczny
  • z tego, jakie informacje na temat ucznia znajdują się na tym dokumencie wynika także to, że świadectwo szkolne umożliwia pełną identyfikację konkretnej osoby
  • ponieważ świadectwa szkolne to dokumenty dotyczące głównie niepełnoletnich, to tym bardziej trzeba szczególnie zadbać, aby nie narażali się na utratę swoich danych na skutek spontanicznych działań
  • dzieci są mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (o czym wspomina motyw 38 RODO)

Źródło: https://www.rp.pl/Dane-osobowe/306259932-Zdjecia-ze-swiadectwem-szkolnym-a-ochrona-danych-osobowych.html

Holandia: zakaz publikacji zdjęć dzieci bez zgody ich opiekunów prawnych

  • do holenderskiego sądu trafiła sprawa umieszczenia zdjęć swoich wnuków przez pewną kobietę
  • podwalinami konfliktu jest rozpad więzi rodzinnych między oskarżoną, a jej córką, która wielokrotnie prosiła matkę o usunięcie z serwisów społecznościowych (Pinterest i Facebook) zdjęć swoich dzieci
  • bezskuteczne nawoływania doprowadziły do rozprawy sądowej
  • podstawą żądań usunięcia zdjęć z social mediów było RODO
  • RODO dotyczy podmiotów komercyjnych i sąd uznał, że przez zamieszczenie zdjęć na Facebooku, potencjalnie mogą być one wykorzystane komercyjnie, jako że umieszczając je na łamach portalu, zgadzamy się takowe użycie i przetwarzanie danych
  • Babcia jednak nie miała takiej mocy względem wizerunków, czyt. danych wrażliwych, swoich wnucząt
  • wyrokiem sądu babcia musi usunąć zdjęcia z mediów społecznościowych, mimo ustawienia kont na prywatne lub wypłacić 50 euro za każdy dzień wykorzystywania wizerunku
  • jeśli ponownie wrzuci jakieś zdjęcie wnucząt, zostanie obciążona dodatkową grzywną w wysokości 50 euro za każdy dzień wykorzystania wizerunku do chwili usunięcia zdjęć

Źródło: https://fotoblogia.pl/15418,holandia-babcia-bedzie-musiala-usunac-zdjecia-wnuczat-przez-rodo

Kto jest odpowiedzialny za wyciek danych w wyniku ataku hakerskiego?

  • w wypadku wycieku danych bardzo często pojawia się problem odpowiedzialności za takie zdarzenie
  • użytkownicy w takim wypadku najczęściej od razu zgłaszają właściciela serwisu do UODO bądź innych organów
  • zgodnie z art. 5 RODO, administrator danych osobowych ma obowiązek zapewnić, że dane osobowe będą m.in.: przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych
  • administrator danych osobowych jest odpowiedzialny za wyciek danych, ale tylko wtedy, gdy jego działanie jest zawinione i wynika z niedopełnienia obowiązków, które na nim ciążą
  • odpowiedzialność, oprócz sankcji nałożonych przez UODO, może mieć również formę odszkodowania
  • jeżeli dane użytkowników były zabezpieczone w sposób dostateczny, a wyciek spowodowany jest atakiem hakerskim, to ciężko uznać, aby winnym wycieku był administrator danych

Źródło: https://bezprawnik.pl/odpowiedzialnosc-za-wyciek-danych/

Jak liczyć miesięczny termin odpowiedzi na wniosek podmiotu danych?

  • niemiecki organ nadzorczy Meklemburgii-Pomorza Przedniego (DPA) wskazał, kiedy rozpoczyna bieg miesięczny termin odpowiedzi na wniosek, w przypadku niepewności co do tożsamości osoby, której dane dotyczą
  • prawa osób, których dane dotyczą należy realizować bezzwłocznie, a najpóźniej w ciągu jednego miesiąca
    w tym terminie administrator musi albo spełnić żądanie lub odmówić żądania albo poinformować osobę, której dane dotyczą o wydłużeniu terminu rozpoznania jej wniosku
  • DPA wyjaśnia, że ww. wskazany termin biegnie od daty otrzymania wniosku
  • niemniej, organ wyjaśnia przy tym, że jeżeli tożsamość osoby, której dane dotyczą, nie może zostać ustalona po otrzymaniu wniosku i jeżeli istnieją powody, by kierować dalsze zapytania, należy je niezwłocznie przesłać, ale termin nie zaczyna biec, dopóki żądane dodatkowe informacje nie zostaną otrzymane
  • DPA zakłada zatem, że termin na odpowiedź na wniosek zaczyna biec dopiero wtedy, gdy administrator może mieć pewność, że osoba składająca wniosek jest osobą, której dane dotyczą

Źródło: https://www.linkedin.com/pulse/german-data-protection-authority-when-does-one-month-period-piltz/

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Pobierz plik PDF z prezentacją - RODO aktualności z dnia (29.06.2020)
Pobierz

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia (06.07.2020)
Pobierz

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia (13.07.2020)
Pobierz

Powiązane artykuły

RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO