Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 03.11.2020

Jak bezpiecznie zorganizować pracę zdalną w szkole i czy nauczyciel wykonujący pracę zdalną może korzystać z prywatnego sprzętu? Czego dowiesz się z najnowszego raportu ZFODO dot. naruszeń RODO? Jak wdrożyć PPK w zgodzie z RODO? Czy banki mają obowiązek wyjaśniać decyzję o odmowie udzielenia kredytu? Jakie są wytyczne EROD ws. uwzględniania ochrony danych w fazie projektowania? W jaki sposób McDonald’s i WeWork tłumaczą się z naruszenia RODO? Ilu mamy Inspektorów Ochrony Danych w Polsce? Na jakie odszkodowania możesz liczyć jeśli Twoja prywatność zostanie naruszona? Ile naruszeń zostało zgłoszonych do Prezesa UODO w III kwartale 2020 roku?

MULTIMEDIA

#RODOA [26.10.2020]
#RODOA [02.11.2020]
Obejrzyj na YouTube
Odsłuchaj na: Spotify, Google Podcasts, RSS
Pobierz PDFPobierz PDF

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Mail nauczyciela groźny dla ochrony danych

  • to dyrektorzy placówek odpowiadają za to, żeby zgodnie z prawem i stanem faktycznym organizować pracę zdalną, ale powinni mieć wsparcie inspektora ochrony danych – to on ma przygotować m.in. stosowne klauzule informacyjne czy oświadczenia z zakresu ochrony danych
  • dyrektor placówki oświatowej nie może stać na stanowisku, że nie interesuje go ochrona danych osobowych, bo ma inspektora z gminy – z perspektywy obowiązków prawnych tak to nie działa, prawo wskazuje, że to dyrektor zapewnia zgodność z przepisami o ochrony danych osobowych
  • pracownicy placówek powinni być na bieżąco zapoznawania z procedurami i należy im przypominać zasady pracy zdalnej
  • przy pracy zdalnej administrator nie przestaje być administratorem i nie ma to znaczenia wobec jego obowiązku, czy praca jest zdalna czy nie – to on odpowiada, w jaki sposób nauczyciel prowadzi korespondencję z uczniami czy dziennik elektroniczny
  • nauczyciele mają problem z wysyłaniem maili, co skutkuje naruszeniem ochrony danych, np. do wszystkich wysyłają maile bez opcji „ukrytego adresata”
  • inne błędy to maile wysyłane do wszystkich z informacjami przeznaczonymi tylko do małej grupy osób

Źródło: https://www.prawo.pl/oswiata/jak-nauczyciel-ma-wysylac-maila-podczas-pracy-zdalnej-dyrektor,503971.html

Czy nauczyciel wykonujący pracę zdalną może korzystać z prywatnego sprzętu?

  • UODO odpowiada, że jeżeli szkoła nie ma możliwości, aby zapewnić sprzęt służbowy nauczycielom – mogą oni wykorzystywać sprzęt prywatny
  • organ wskazuje jednak, że należy pamiętać, aby ten sprzęt był odpowiednio zabezpieczony
  • korzystając ze swojego urządzenia, nauczyciel powinien zadbać o wymogi bezpieczeństwa – sprawdzić, czy posiada aktualny system operacyjny, czy też czy są zainteresowane programy antywirusowe
  • jeżeli nauczyciel będzie pobierał programy i aplikacje – powinien to robić tylko z wiarygodnych źródeł
  • należy pamiętać, ze to szkoła powinna wdrożyć procedury bądź przeszkolić pracownika jak powinien zabezpieczyć swój prywatny sprzęt
  • UODO skazuje, ze jeżeli chodzi o odpowiedzialność za naruszenie ochrony danych osobowych – to taką odpowiedzialność na gruncie RODO ponosi szkoła, bądź inna placówka oświatowa

Źródło: https://twitter.com/UODOgov_pl/status/1319629727792025600/photo/1

Co druga firma narażona na wyciek – raport ZFODO

  • większość incydentów związanych z naruszeniem ochrony danych osobowych wynika z błędów ludzkich, a nie działań hakerów
  • dużo prościej zdobyć informację od pracownika korporacji, niż włamać się do jej systemu – potwierdza to najnowszy raport Związku Firm Ochrony Danych Osobowych
  • przeprowadził on badanie na temat incydentów związanych z naruszeniem ochrony danych wśród 454 przedsiębiorstw i instytucji publicznych obsługiwanych przez swoich członków
  • badanie pokazało, że 68 proc. z incydentów ma źródła wewnętrzne – najczęściej chodzi o niefrasobliwość pracowników.
  • tylko 20 proc. incydentów wynikała z działań zewnętrznych – przy czym nie chodzi wyłącznie o włamania dokonywane przez hakerów, czasem naruszeń dopuszczają się byli pracownicy
  • w 12 proc. wina leżała po stronie procesorów, czyli firm, którym powierzono przetwarzanie danych
  • z badania wynika, że przyczyną 96 proc. incydentów (zarówno tych z wewnątrz, jak i zewnątrz) był człowiek
  • tymczasem wśród wielu wciąż pokutuje przekonanie, że najsłabszym ogniwem są technologie
  • pełen raport dostępny jest tutaj – https://www.zfodo.org.pl/opinie/raport-incydentow-2020-edycja2/

Źródło: https://prawo.gazetaprawna.pl/artykuly/1494423,ochrona-danych-osobowych-co-druga-firma-narazona-na-wyciek.html

PPK a ochrona danych osobowych

  • wdrożenie i obsługa Pracowniczych Planów Kapitałowych wiążą się z szeregiem obowiązków wobec indywidualnych uczestników – podczas obsługi programu mamy do czynienia z przetwarzaniem bardzo wielu danych, które w myśl przepisów RODO stanowią dane identyfikujące
  • kwestia ochrony danych osobowych uczestników PPK pojawia się na etapie wdrożenia programu w samorządzie – podpisując umowę o prowadzeniu PPK, pracodawca musi dołączyć do niej listę pracowników zgłoszonych do PPK
  • następnie na etapie obsługi programu pracodawca będzie dla każdego uczestnika naliczał wpłaty, a informację o ich wysokości przekazywał do instytucji finansowej w formie pliku zawierającego dane jego dane
  • zgodnie ze stanowiskiem UODO pozyskanie danych przez instytucję finansową odbywa się w związku ze spełnieniem obowiązku wynikającego z przepisów prawa – bez możliwości przekazania tych danych pracodawca nie będzie mógł wywiązać się z obowiązków, jakie wynikają z ustawy o PPK
  • pracodawca nie musi pozyskiwać zgody od zainteresowanych na to, by przekazać listę uczestników PPK instytucji finansowej
  • na podstawie tych samych przepisów pracodawca może udostępnić instytucji finansowej również adres poczty elektronicznej oraz numer telefonu pracownika – jeśli uczestnik te informacje udostępni pracodawcy

Źródło: https://www.pulshr.pl/wynagrodzenia/ppk-a-ochrona-danych-osobowych,77266.html

Prezes UODO bez dostępu do billingów

  • Prezes UODO nie ma prawa żądać od operatorów udostępnienia danych stanowiących tajemnicę telekomunikacyjną – uznał Wojewódzki Sąd Administracyjny w Warszawie
  • UODO rozpoznawał skargę mężczyzny, który twierdzi, że był nękany telefonami przez firmę windykacyjną
  • miało to wynikać z pomyłki – firma zajmująca się dochodzeniem należności miała pomylić osobę o tym samym imieniu i nazwisku
  • UODO zażądał od niej wyjaśnień, ale w odpowiedzi został poinformowany, że firma nie miała danych skarżącego, aż do dnia otrzymania od niego skargi, a jej pracownicy nie mieli dzwonić do mężczyzny
  • skarżący domagał się od UODO, by ten wydobył od operatora wykaz połączeń przychodzących na jego numer, w ten sposób chciał dowieść, że pracownicy firmy windykacyjnej rzeczywiście nękali go telefonami
  • organ odmówił, uznając, że nie ma takich uprawnień, nie uwzględnił też wniosku o ukaranie przedsiębiorcy, uznając, że nie znalazł dowodów na to, by rzeczywiście przetwarzał on bezprawnie dane skarżącego
  • WSA potwierdził powyższe stanowisko UODO

Źródło: https://prawo.gazetaprawna.pl/artykuly/1494079,prezes-uodo-bez-dostepu-do-billingow.html

UODO przeciwny umieszczeniu nazwiska nieobecnego pracownika w umowie na zastępstwo

  • w 2016 r. przestał istnieć odrębny rodzaj umowy o pracę, jaką była umowa na zastępstwo – nie usunięto jej jednak zupełnie z przepisów kodeksu pracy, lecz stała się po prostu podtypem umowy na czas określony
  • różnica w porównaniu do zwykłej umowy polega na tym, że w treści umowy na zastępstwo konieczne jest zamieszczenie dodatkowego postanowienia – chodzi o określenie celu lub okoliczności uzasadniających dopuszczalny wyjątek od zasady zatrudnienia terminowego, a to powinno nastąpić poprzez zamieszczenie informacji o obiektywnych przyczynach uzasadniających zawarcie takiej umowy
  • Ministerstwo Rodziny, Pracy i Polityki Społecznej stwierdziło, że nazwisko osoby zastępowanej z pewnością nie jest daną niezbędną dla ważności zawartej umowy – jednak kwestia dopuszczalności podawania nazwiska wykracza poza prawo pracy
  • na gruncie poprzednio obowiązujących przepisów Generalny Inspektor Ochrony Danych Osobowych zezwalał na taką praktykę
  • przyjmował on z jednej strony, że ustawodawca pozostawił pracodawcom swobodę kształtowania treści umowy o pracę, z drugiej jednak w takich przypadkach uznawał za konieczne wykazanie niezbędności takiego działania
  • poglądy prezentowane przez GIODO nie zostały podtrzymane przez obecny urząd, który wskazał, że umieszczenie nazwiska nieobecnego pracownika w umowie na zastępstwo nie jest niezbędne

Źródło: https://praca.gazetaprawna.pl/artykuly/1494182,uodo-nazwisko-nieobecnego-pracownika-w-umowie-na-zastepstwo.html

Odmowa udzielenia kredytu: banki nie chcą wyjaśniać swojej decyzji

  • przy okazji wdrażania w Polsce RODO nałożono na banki obowiązek udzielania wyjaśnień dotyczących dokonanej oceny zdolności kredytowej – część instytucji finansowych wyjaśnia odmowę udzielenia kredytu tak, żeby nic nie wyjaśnić
  • dr Maciej Kawecki, który w Ministerstwie Cyfryzacji pracował nad projektem ustawy o ochronie danych osobowych, przyznaje, że banki mogą mieć problem ze zrozumieniem przepisu, gdyż został on wprowadzony na późnym etapie prac legislacyjnych i w uzasadnieniu do projektu ustawy nie sprecyzowano jego funkcji
  • jest jeszcze jeden problem – nie do końca wiadomo, co może zrobić klient, który otrzymał sztampową, niewiele mówiącą odpowiedź z banku, ostatecznie chodzi o dane osobowe i to przy wdrażaniu RODO nałożono na banki nowy obowiązek
  • Proces analizy zdolności kredytowej jest ściśle związany z przetwarzaniem danych osobowych, dlatego osoba ubiegająca się o kredyt jest uprawniona do dostępu do swoich danych osobowych i w związku z tym poznania przesłanek dokonanej analizy – potwierdza Adam Sanocki, rzecznik prasowy UODO
  • UODO nie może natomiast prowadzić postępowań dotyczących samej decyzji kredytowej – do UODO wpłynęły pojedyncze skargi dotyczące niewystarczających wyjaśnień ze strony banków, ale w żadnej z nich nie została jeszcze wydana decyzja

Źródło: https://biznes.interia.pl/finanse/news-odmowa-udzielenia-kredytu-banki-nie-chca-wyjasniac-swojej-de,nId,4802110

Wyciek danych nieletnich z Instagrama

  • Irlandzka Komisja Ochrony Danych bada sygnały o rzekomym wycieku danych nieletnich użytkowników Instagrama
  • dwa dochodzenia wobec Facebooka, właściciela Instagrama, rozpoczęto po tym, jak do Komisji wpłynęły zgłoszenia dotyczące nieprawidłowości przetwarzania przez giganta danych osobowych dzieci
  • zastępca komisarza Graham Doyle przekazał, że Komisja otrzymała skargi od osób fizycznych dotyczące przetwarzania danych osobowych, a dochodzenia rozpoczęto we wrześniu 2020 roku – chodzi o upublicznienie adresów e-mail i numerów telefonów użytkowników poniżej 18 roku życia
  • jedno dochodzenie ma na celu ustalenie, czy Facebook ma podstawę prawną do przetwarzania danych i czy stosuje na Instagramie odpowiednie zabezpieczenia i ograniczenia – Komisja sprawdzi, czy Facebook spełnia swoje obowiązki jako administratora danych w odniesieniu do „wymogów przejrzystości w udostępnianiu Instagrama dzieciom”
  • drugie dochodzenie ma na celu sprawdzenie, czy Instagram przestrzega wymogów ochrony danych

Źródło: https://cyfrowa.rp.pl/it/53103-wyciek-danych-nieletnich-z-instagrama-wszczeto-dochodzenie

Wytyczne ws. uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych

  • po zakończeniu konsultacji społecznych, EROD podczas 40. posiedzenia plenarnego, przyjęła ostateczną wersję Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych
  • przyjęte Wytyczne koncentrują się na obowiązku uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych, zgodnie z artykułem 25 RODO
  • podstawowym obowiązkiem zapisanym w tym artykule jest skuteczne wdrażanie zasad ochrony danych oraz praw i wolności osób, których dane dotyczą, już w fazie projektowania i domyślnie
  • oznacza to, że administratorzy muszą wdrożyć odpowiednie środki techniczne i organizacyjne oraz niezbędne zabezpieczenia, których celem jest zapewnienie praktycznego przestrzegania zasad ochrony danych oraz ochrony praw i wolności osób, których dane dotyczą
  • administratorzy powinni być w stanie wykazać, że wdrożone środki są skuteczne
  • EROD podjęła również decyzję o ustanowieniu Ram Skoordynowanego Egzekwowania Prawa – dokument zapewnia strukturę do koordynowania powtarzających się corocznych działań organów nadzorczych EROD

Źródło: https://uodo.gov.pl/pl/138/1753

WeWork i McDonald’s tłumaczą się za naruszenia RODO (1)

  • Urząd Ochrony Danych Osobowych prowadzi równolegle dwa postępowania administracyjne wobec światowych koncernów – jedno wobec światowego zarządcy ekskluzywnych biurowców, drugie wobec popularnej sieci fast foodów
  • obie firmy zbierały i przetwarzały chronione dane osobowe z naruszeniem prawa
  • WeWork to firma międzynarodowa, operator i właściciel ekskluzywnych powierzchni biurowych w największych polskich miastach – skala przetwarzania danych osobowych tylko na terytorium Unii Europejskiej liczona jest w milionach
  • mimo tego firma nie ma Inspektora Ochrony Danych, jak również żadnego innego przedstawiciela na terenie UE, który byłby odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych
  • osoby wchodzące do budynku WeWork są przypierane do muru i przymuszane, aby zostawić swoje chronione dane, inaczej nie zostaną przepuszczone dalej – nie wiadomo, co się z tymi danymi później dzieje, kto je przetwarza, jak długo są przechowywane
  • jedna z takich osób postanowiła wprost zapytać o powyższe WeWork – po długim okresie oczekiwania odpowiedź – po angielsku i bardzo ogólna
  • uznając odpowiedź za wymijającą, złożyła ona skargę na WeWork do Urzędu Ochrony Danych Osobowych

WeWork i McDonald’s tłumaczą się za naruszenia RODO (2)

  • rzecznik prasowy Urzędu Ochrony Danych Osobowych Adam Sanocki potwierdza, że niedawno wpłynęła do nich skarga od osoby fizycznej na WeWork – „Obecnie sprawa ta jest analizowana. Warto dodać, że skierowana do prezesa Urzędu Ochrony danych Osobowych skarga inicjuje postępowanie administracyjne. O szczegółach związanych z toczącymi się postępowaniem zawiadamiane są jedynie strony tego postępowania bądź ich pełnomocnicy”
  • UODO bardzo oszczędnie wypowiada się również o sprawie innego amerykańskiego giganta, sieci McDonald’s
  • Naruszenie prawa polegało na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald’s w Polsce zawartych w narzędziu do wyświetlania grafików pracy” – przypomina rzecznik UODO i dodaje, że prezes UODO prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia
  • Organ nadzorczy analizując sprawę, zwrócił się do spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych” – wskazał Sanocki

Źródło: https://www.money.pl/gospodarka/dwaj-amerykanscy-giganci-wework-i-mcdonalds-tlumacza-sie-za-naruszenia-rodo-6565296077413024a.html

UODO reaguje na upublicznienie na Twitterze prywatnych adresów

  • w związku z upublicznieniem na Twitterze prywatnych adresów zamieszkania aktywistów pro-life, polityków i sędziów Prezes UODO podjął niezwłoczne działania mające na celu ochronę danych osobowych i prywatności tych osób.
  • zamieszczenie przez użytkowników prywatnych danych adresowych i kontaktowych to działanie prowadzące do ujawnienia sfery prywatności, a przez to rodzące zagrożenia przeciwko zdrowiu i życiu, jak np. możliwe akty przemocy i agresji
  • Prezes UODO, po przeanalizowaniu wszystkich aspektów sprawy, zgodnie z przysługującymi mu na mocy RODO kompetencjami, podjął następujące działania:
  1. Wystąpił o niezwłoczne przeprowadzenie postępowania przez irlandzki organ nadzorczy, który jest właściwy w sprawie przetwarzania danych osobowych za pośrednictwem Twittera
  2. Wystąpił do organów ścigania z zawiadomieniem o popełnieniu przez użytkowników serwisu zamieszczających wpisy przestępstwa polegającego na przetwarzaniu danych osobowych bez podstawy prawnej
  3. Zwrócił się do Ministra Sprawiedliwości – Prokuratora Generalnego o objęcie niniejszej sprawy zgłoszonej organom ścigania szczególnym nadzorem z uwagi na eskalację konfliktu i agresji

Źródło: https://uodo.gov.pl/pl/138/1755

Naruszenie ochrony danych osobowych podczas sesji rady lub sejmiku

  • trudno jest zapanować nad zakresem danych udostępnianych w trakcie sesji rady gminy, powiatu lub sejmiku województwa – te dane są potem upowszechniane i przechowywane jako nagrania po tzw. anonimizacji
  • tymczasem nie do końca jasne jest, kto odpowie za to, że podczas sesji rady lub sejmiku radny niezasadnie ujawni czyjeś dane – czy będzie to wójt, burmistrz, prezydent, zarząd powiatu lub województwa?
  • oprócz ustaw samorządowych do posiedzeń organów kolegialnych władzy samorządowej ma także zastosowanie reżim dostępu do informacji publicznej – zgodnie z kolei RODO, ochronie podlegają wszystkie dane osobowe
  • Prezes UODO zaleca, by administrator dokonał “oceny niezbędności ich ujawnienia z punktu widzenia celu informacyjnego, któremu ta publikacja ma służyć”, więc przed udostępnianiem nagrania pracownik urzędu anonimizuje wypowiedzi radnych
  • problemem jest, na kim spoczywa odpowiedzialność – z obecnych przepisów wynika, że w trakcie transmisji – na radnym, a przy udostępnianiu – na urzędzie
  • czy urzędnik jednak ma prawo ingerować w wypowiedź radnego?

Naruszenie ochrony danych osobowych podczas sesji rady lub sejmiku (2)

  • radni nie odbywają szkoleń z zakresu ochrony danych osobowych – niejednokrotnie na sesji radni lub sołtysi posługują się nazwiskami osób, w sprawie których zabierają głos
  • ze sprawy Aleksandrowa Kujawskiego – pierwszej gminy, na którą Prezes UODO nałożył administracyjną karę pieniężną za nieprawidłowe przetwarzanie danych osobowych – wynika, że Prezes UODO za administratora danych przetwarzanych podczas sesji rad uznaje organ wykonawczy
  • to zrozumiałe w przypadku BIP, bo zamieszczanie w nim danych i związane z tym ich zabezpieczanie to czynność wykonawcza – nie jest jednak już takie jednoznaczne w przypadku działań związanych z sesją rady, a część ekspertów stoi na stanowisku, że rada jest tu administratorem

Źródło: https://www.prawo.pl/samorzad/naruszenie-danych-osobowych-podczas-sesji-rady-kto-odpowiada,504092.html

45 tysięcy IOD w Polsce? (1)

  • portal GDPR.pl skierował do poszczególnych organów nadzorczych ds. ochrony danych osobowych w Unii Europejskiej kilka pytań dotyczących zagadnienia powoływania IOD w poszczególnych państwach członkowskich – stanowisko w tej sprawie przesłał również Prezes UODO
  • liczba zgłoszonych IOD
  • analiza odpowiedzi wskazuje na ogromną dysproporcję w liczbie zgłoszonych IOD do organów nadzorczych w poszczególnych państwach członkowskich UE
  • liderami zestawienia bez wątpienia są Wielka Brytania i Hiszpania, ze zgłoszonymi odpowiednio – ponad 70 i niemal 60 tysiącami inspektorów
  • następny w zestawieniu jest regulator ze Słowacji, który otrzymał prawie 15 tysięcy zgłoszeń
  • dalej Niemcy – 12 tysięcy zgłoszeń, Holandia – 10,5 tysiąca zgłoszeń, Szwecja – blisko 8,5 tysiąca zgłoszeń oraz Chorwacja i Belgia – około 5,5 tysiąca zgłoszeń
  • zestawienie zamykają regulatorzy z Łotwy i Islandii – odpowiednio 780 i 377 zgłoszeń
  • nie znamy niestety danych z krajowego podwórka, ponieważ UODO nie jest w stanie zweryfikować liczby zgłoszeń

45 tysięcy IOD w Polsce? (2)

  • proporcja pomiędzy zgłoszeniami IOD w administracji publicznej oraz w sferze prywatnej
  • w Wielkiej Brytanii stosunek pomiędzy zgłoszonymi IOD w administracji publicznej oraz w biznesie wynosi jedynie 16%, zaś w Hiszpanii 12%
  • w Irlandii i Estonii także dominują IOD z sektora prywatnego, niemniej dysproporcje są mniejsze (odpowiednio 24% i 21 %)
  • przewaga IOD powołanych w administracji publicznej występuje jedynie na Islandii (63%)
  • równowagę pomiędzy IOD w administracją publicznej a biznesem zaobserwować można jedynie w Słowenii (56%)
  • liczba IOD a liczba mieszkańców danego państwa
  • średnio na jednego IOD przypada około 1 693 osób
  • polski organ nie prowadzi wewnętrznych statystyk w zakresie rejestrowania inspektorów – zarówno przepisy RODO, jak i ustawy o ochronie danych osobowych nie nakładają obowiązku prowadzenia rejestru IOD oraz publikowania treści zgłoszeń
  • jeśli w Polsce mamy około 38,4 mln i weźmiemy pod uwagę średnią europejską (z naszych wyliczeń wynika, że jest to 117 zgłoszonych IOD na 100.000 mieszkańców) to aby osiągnąć średnią europejską powinniśmy mieć około 45 tysięcy IOD

Źródło: https://gdpr.pl/czy-45-tysiecy-inspektorow-w-polsce-to-duzo-czy-malo

,,Tylko” 18 mln funtów dla Marriott za kradzież danych klientów

  • brytyjski organ ochrony danych nałożył na sieć Marriott Hotels karę w wysokości 18,4 miliona funtów za poważne naruszenie danych, które mogło dotknąć nawet 339 milionów gości
  • ICO stwierdziło, że nazwiska, dane kontaktowe i dane paszportowe mogły zostać przejęte podczas cyberataku
  • naruszenie obejmowało siedem milionów rekordów gości w Wielkiej Brytanii
  • ICO stwierdziło, że firma nie wprowadziła odpowiednich zabezpieczeń
  • pierwsza część cyberataku miała miejsce w 2014 roku, dotykając grupę Starwood Hotels, która została przejęta przez Marriott dwa lata później
  • do 2018 roku, kiedy problem został po raz pierwszy zauważony, osoba atakująca nadal miała dostęp do systemów
  • na tej podstawie ICO stwierdziło, że Marriott nie chronił danych osobowych zgodnie z wymogami RODO
  • grzywna w niczym nie przypomina 99 milionów funtów, które ICO planowało wydać, ale nadal stanowi ogromny środek odstraszający dla firm
  • Źródło: https://www.bbc.com/news/technology-54748843

Informowanie o zachorowaniu za pomocą dziennika elektronicznego niedozwolone

  • czy dyrekcja szkoły może informować za pośrednictwem dziennika elektronicznego, który nauczyciel zachorował na COVID-19?
  • Prezes UODO wskazuje, że nie jest to dozwolone, gdyż przepisy regulujące prowadzenie dziennika elektronicznego nie przewidują takiej możliwości
  • zakres informacji, które można gromadzić w dzienniku lekcyjnym określa rozporządzenie MEN w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji
  • przepisy nie przewidują wskazywania w dzienniku informacji dotyczących przyczyn nieobecności nauczyciela w pracy
  • przetwarzanie danych dotyczących zdrowia dopuszczalne jest wyłącznie w okolicznościach określonych w art. 9 ust. 2 RODO

Źródło: https://twitter.com/UODOgov_pl/status/1322161339083694085/photo/1

Działalność UODO w III kwartale 2020

Pierwsza skarga z art. 22 GDPR, złożona przeciwko Uberowi

  • byli kierowcy Ubera oskarżyli firmę taksówkarską o używanie zautomatyzowanych algorytmów w celu ich zwolnienia
  • brytyjscy kierowcy chcą, aby sądy w Holandii – gdzie są przechowywane są dane Ubera – unieważniły algorytm, który według nich spowodował ich zwolnienie
  • eksperci twierdzą, że ta skarga jest wyzwaniem, które przetestuje zabezpieczenia wskazane w art. 22 RODO
  • App Drivers & Couriers Union (ADCU), który złożył skargę, twierdzi, że od 2018 r. odnotowano ponad 1000 indywidualnych przypadków, w których kierowcy zostali rzekomo niesłusznie oskarżeni o oszukańcze działania i natychmiast zamknięto ich konta bez prawa do odwołania
  • były kierowca Ubera powiedział BBC, że jeździł z Uberem od około dwóch lat i miał ocenę klienta 4,94, kiedy nagle jego konto w aplikacji zostało dezaktywowane
  • w związku z twierdzeniami Ubera, że decyzje o wypowiedzeniu są podejmowane przez ludzi, przedstawiciel ADCU powiedział: „Jeśli jest to automatyczne podejmowanie decyzji, to RODO mówi, że Uber musi mieć podstawy prawne do korzystania z takiej technologii i musi dać kierowcom możliwość sprzeciwu wobec zautomatyzowanej decyzji, czego najwyraźniej nie zrobili. “

Źródło: https://www.bbc.com/news/business-54698858

Zestawienie decyzji sądów dotyczących odszkodowań na podstawie art. 82 RODO

  • na stronie http://dataprotect.law znajduje się zestawienie decyzji sądów na terenie EOG, dotyczących odszkodowań, gdzie podstawą żądania jest art. 82 RODO
  • zbiorem zarządza dr Thomas Schweiger, austriacki specjalista ds. ochrony danych osobowych
  • do tej pory w zestawieniu ujawnionych zostało 14 decyzji sądów w zakresie odszkodowań
  • orzeczenia pochodzą z 3 państw: Austrii, Niemiec i Rumunii
  • tylko w 4 na 14 przypadków odszkodowanie zostało przyznane
  • najwyższa kwota przyznanego odszkodowania wyniosła 5 tysięcy EUR

Źródło: https://www.dataprotect.law/

Powiązane artykuły

rodo aktualności
RODO aktualności – 17.11.2020
rodo aktualności
RODO aktualności – 20.10.2020
rodo aktualności
RODO aktualności – 06.10.2020

4 Odpowiedzi

  1. Joanna

    Dzień dobry 🙂 , chodzi mi o artykuł dotyczący umowy na zastępstwo, czy to oznacza ,że nie należy umieszczać nazwiska osoby nieobecnej na umowie o pracę na zastępstwo, bo ja do tej pory tak sporządzałam umowę . Dziękuje za odpowiedź 🙂

  2. piotr

    a w takim razie co ma zrobić pracodawca, gdy zastępowana osoba wróci do pracy a zastępujący pracownik powie, że dalej będzie pracował, bo ma umowę?
    Wpisanie tylko stanowiska, np. kierowca nic nie da, bo kierowców jest kilku 🙂
    czy nie zaczynamy iść w absurd?

    1. Lex Artist

      w przypadku stanowisk UODO często ocieramy się absurd, wynikający z braku znajomości rzeczywistości z którą muszą mierzyć się pracodawcy

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.