RODO aktualności – 03.11.2020

• UODO odpowiada, że jeżeli szkoła nie ma możliwości, aby zapewnić sprzęt służbowy nauczycielom – mogą oni wykorzystywać sprzęt prywatny
• organ wskazuje jednak, że należy pamiętać, aby ten sprzęt był odpowiednio zabezpieczony
• korzystając ze swojego urządzenia, nauczyciel powinien zadbać o wymogi bezpieczeństwa – sprawdzić, czy posiada aktualny system operacyjny, czy też czy są zainteresowane programy antywirusowe
• jeżeli nauczyciel będzie pobierał programy i aplikacje – powinien to robić tylko z wiarygodnych źródeł
• należy pamiętać, ze to szkoła powinna wdrożyć procedury bądź przeszkolić pracownika jak powinien zabezpieczyć swój prywatny sprzęt
• UODO skazuje, ze jeżeli chodzi o odpowiedzialność za naruszenie ochrony danych osobowych – to taką odpowiedzialność na gruncie RODO ponosi szkoła, bądź inna placówka oświatowa

Źródło: https://twitter.com/UODOgov_pl/status/1319629727792025600/photo/1

• większość incydentów związanych z naruszeniem ochrony danych osobowych wynika z błędów ludzkich, a nie działań hakerów
• dużo prościej zdobyć informację od pracownika korporacji, niż włamać się do jej systemu – potwierdza to najnowszy raport Związku Firm Ochrony Danych Osobowych
• przeprowadził on badanie na temat incydentów związanych z naruszeniem ochrony danych wśród 454 przedsiębiorstw i instytucji publicznych obsługiwanych przez swoich członków
• badanie pokazało, że 68 proc. z incydentów ma źródła wewnętrzne – najczęściej chodzi o niefrasobliwość pracowników.
• tylko 20 proc. incydentów wynikała z działań zewnętrznych – przy czym nie chodzi wyłącznie o włamania dokonywane przez hakerów, czasem naruszeń dopuszczają się byli pracownicy
• w 12 proc. wina leżała po stronie procesorów, czyli firm, którym powierzono przetwarzanie danych
• z badania wynika, że przyczyną 96 proc. incydentów (zarówno tych z wewnątrz, jak i zewnątrz) był człowiek
• tymczasem wśród wielu wciąż pokutuje przekonanie, że najsłabszym ogniwem są technologie
• pełen raport dostępny jest tutaj – https://www.zfodo.org.pl/opinie/raport-incydentow-2020-edycja2/

Źródło: https://prawo.gazetaprawna.pl/artykuly/1494423,ochrona-danych-osobowych-co-druga-firma-narazona-na-wyciek.html

• wdrożenie i obsługa Pracowniczych Planów Kapitałowych wiążą się z szeregiem obowiązków wobec indywidualnych uczestników – podczas obsługi programu mamy do czynienia z przetwarzaniem bardzo wielu danych, które w myśl przepisów RODO stanowią dane identyfikujące
• kwestia ochrony danych osobowych uczestników PPK pojawia się na etapie wdrożenia programu w samorządzie – podpisując umowę o prowadzeniu PPK, pracodawca musi dołączyć do niej listę pracowników zgłoszonych do PPK
• następnie na etapie obsługi programu pracodawca będzie dla każdego uczestnika naliczał wpłaty, a informację o ich wysokości przekazywał do instytucji finansowej w formie pliku zawierającego dane jego dane
• zgodnie ze stanowiskiem UODO pozyskanie danych przez instytucję finansową odbywa się w związku ze spełnieniem obowiązku wynikającego z przepisów prawa – bez możliwości przekazania tych danych pracodawca nie będzie mógł wywiązać się z obowiązków, jakie wynikają z ustawy o PPK
• pracodawca nie musi pozyskiwać zgody od zainteresowanych na to, by przekazać listę uczestników PPK instytucji finansowej
• na podstawie tych samych przepisów pracodawca może udostępnić instytucji finansowej również adres poczty elektronicznej oraz numer telefonu pracownika – jeśli uczestnik te informacje udostępni pracodawcy

Źródło: https://www.pulshr.pl/wynagrodzenia/ppk-a-ochrona-danych-osobowych,77266.html

• Prezes UODO nie ma prawa żądać od operatorów udostępnienia danych stanowiących tajemnicę telekomunikacyjną – uznał Wojewódzki Sąd Administracyjny w Warszawie
• UODO rozpoznawał skargę mężczyzny, który twierdzi, że był nękany telefonami przez firmę windykacyjną
• miało to wynikać z pomyłki – firma zajmująca się dochodzeniem należności miała pomylić osobę o tym samym imieniu i nazwisku
• UODO zażądał od niej wyjaśnień, ale w odpowiedzi został poinformowany, że firma nie miała danych skarżącego, aż do dnia otrzymania od niego skargi, a jej pracownicy nie mieli dzwonić do mężczyzny
• skarżący domagał się od UODO, by ten wydobył od operatora wykaz połączeń przychodzących na jego numer, w ten sposób chciał dowieść, że pracownicy firmy windykacyjnej rzeczywiście nękali go telefonami
• organ odmówił, uznając, że nie ma takich uprawnień, nie uwzględnił też wniosku o ukaranie przedsiębiorcy, uznając, że nie znalazł dowodów na to, by rzeczywiście przetwarzał on bezprawnie dane skarżącego
• WSA potwierdził powyższe stanowisko UODO

Źródło: https://prawo.gazetaprawna.pl/artykuly/1494079,prezes-uodo-bez-dostepu-do-billingow.html

• w 2016 r. przestał istnieć odrębny rodzaj umowy o pracę, jaką była umowa na zastępstwo – nie usunięto jej jednak zupełnie z przepisów kodeksu pracy, lecz stała się po prostu podtypem umowy na czas określony
• różnica w porównaniu do zwykłej umowy polega na tym, że w treści umowy na zastępstwo konieczne jest zamieszczenie dodatkowego postanowienia – chodzi o określenie celu lub okoliczności uzasadniających dopuszczalny wyjątek od zasady zatrudnienia terminowego, a to powinno nastąpić poprzez zamieszczenie informacji o obiektywnych przyczynach uzasadniających zawarcie takiej umowy
• Ministerstwo Rodziny, Pracy i Polityki Społecznej stwierdziło, że nazwisko osoby zastępowanej z pewnością nie jest daną niezbędną dla ważności zawartej umowy – jednak kwestia dopuszczalności podawania nazwiska wykracza poza prawo pracy
• na gruncie poprzednio obowiązujących przepisów Generalny Inspektor Ochrony Danych Osobowych zezwalał na taką praktykę
• przyjmował on z jednej strony, że ustawodawca pozostawił pracodawcom swobodę kształtowania treści umowy o pracę, z drugiej jednak w takich przypadkach uznawał za konieczne wykazanie niezbędności takiego działania
• poglądy prezentowane przez GIODO nie zostały podtrzymane przez obecny urząd, który wskazał, że umieszczenie nazwiska nieobecnego pracownika w umowie na zastępstwo nie jest niezbędne

Źródło: https://praca.gazetaprawna.pl/artykuly/1494182,uodo-nazwisko-nieobecnego-pracownika-w-umowie-na-zastepstwo.html

• przy okazji wdrażania w Polsce RODO nałożono na banki obowiązek udzielania wyjaśnień dotyczących dokonanej oceny zdolności kredytowej – część instytucji finansowych wyjaśnia odmowę udzielenia kredytu tak, żeby nic nie wyjaśnić
• dr Maciej Kawecki, który w Ministerstwie Cyfryzacji pracował nad projektem ustawy o ochronie danych osobowych, przyznaje, że banki mogą mieć problem ze zrozumieniem przepisu, gdyż został on wprowadzony na późnym etapie prac legislacyjnych i w uzasadnieniu do projektu ustawy nie sprecyzowano jego funkcji
• jest jeszcze jeden problem – nie do końca wiadomo, co może zrobić klient, który otrzymał sztampową, niewiele mówiącą odpowiedź z banku, ostatecznie chodzi o dane osobowe i to przy wdrażaniu RODO nałożono na banki nowy obowiązek
• Proces analizy zdolności kredytowej jest ściśle związany z przetwarzaniem danych osobowych, dlatego osoba ubiegająca się o kredyt jest uprawniona do dostępu do swoich danych osobowych i w związku z tym poznania przesłanek dokonanej analizy – potwierdza Adam Sanocki, rzecznik prasowy UODO
• UODO nie może natomiast prowadzić postępowań dotyczących samej decyzji kredytowej – do UODO wpłynęły pojedyncze skargi dotyczące niewystarczających wyjaśnień ze strony banków, ale w żadnej z nich nie została jeszcze wydana decyzja

Źródło: https://biznes.interia.pl/finanse/news-odmowa-udzielenia-kredytu-banki-nie-chca-wyjasniac-swojej-de,nId,4802110

• Irlandzka Komisja Ochrony Danych bada sygnały o rzekomym wycieku danych nieletnich użytkowników Instagrama
• dwa dochodzenia wobec Facebooka, właściciela Instagrama, rozpoczęto po tym, jak do Komisji wpłynęły zgłoszenia dotyczące nieprawidłowości przetwarzania przez giganta danych osobowych dzieci
• zastępca komisarza Graham Doyle przekazał, że Komisja otrzymała skargi od osób fizycznych dotyczące przetwarzania danych osobowych, a dochodzenia rozpoczęto we wrześniu 2020 roku – chodzi o upublicznienie adresów e-mail i numerów telefonów użytkowników poniżej 18 roku życia
• jedno dochodzenie ma na celu ustalenie, czy Facebook ma podstawę prawną do przetwarzania danych i czy stosuje na Instagramie odpowiednie zabezpieczenia i ograniczenia – Komisja sprawdzi, czy Facebook spełnia swoje obowiązki jako administratora danych w odniesieniu do „wymogów przejrzystości w udostępnianiu Instagrama dzieciom”
• drugie dochodzenie ma na celu sprawdzenie, czy Instagram przestrzega wymogów ochrony danych

Źródło: https://cyfrowa.rp.pl/it/53103-wyciek-danych-nieletnich-z-instagrama-wszczeto-dochodzenie

• po zakończeniu konsultacji społecznych, EROD podczas 40. posiedzenia plenarnego, przyjęła ostateczną wersję Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych
• przyjęte Wytyczne koncentrują się na obowiązku uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych, zgodnie z artykułem 25 RODO
• podstawowym obowiązkiem zapisanym w tym artykule jest skuteczne wdrażanie zasad ochrony danych oraz praw i wolności osób, których dane dotyczą, już w fazie projektowania i domyślnie
• oznacza to, że administratorzy muszą wdrożyć odpowiednie środki techniczne i organizacyjne oraz niezbędne zabezpieczenia, których celem jest zapewnienie praktycznego przestrzegania zasad ochrony danych oraz ochrony praw i wolności osób, których dane dotyczą
• administratorzy powinni być w stanie wykazać, że wdrożone środki są skuteczne
• EROD podjęła również decyzję o ustanowieniu Ram Skoordynowanego Egzekwowania Prawa – dokument zapewnia strukturę do koordynowania powtarzających się corocznych działań organów nadzorczych EROD

Źródło: https://uodo.gov.pl/pl/138/1753

• Urząd Ochrony Danych Osobowych prowadzi równolegle dwa postępowania administracyjne wobec światowych koncernów – jedno wobec światowego zarządcy ekskluzywnych biurowców, drugie wobec popularnej sieci fast foodów
• obie firmy zbierały i przetwarzały chronione dane osobowe z naruszeniem prawa
• WeWork to firma międzynarodowa, operator i właściciel ekskluzywnych powierzchni biurowych w największych polskich miastach – skala przetwarzania danych osobowych tylko na terytorium Unii Europejskiej liczona jest w milionach
• mimo tego firma nie ma Inspektora Ochrony Danych, jak również żadnego innego przedstawiciela na terenie UE, który byłby odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych
• osoby wchodzące do budynku WeWork są przypierane do muru i przymuszane, aby zostawić swoje chronione dane, inaczej nie zostaną przepuszczone dalej – nie wiadomo, co się z tymi danymi później dzieje, kto je przetwarza, jak długo są przechowywane
• jedna z takich osób postanowiła wprost zapytać o powyższe WeWork – po długim okresie oczekiwania odpowiedź – po angielsku i bardzo ogólna
• uznając odpowiedź za wymijającą, złożyła ona skargę na WeWork do Urzędu Ochrony Danych Osobowych

• rzecznik prasowy Urzędu Ochrony Danych Osobowych Adam Sanocki potwierdza, że niedawno wpłynęła do nich skarga od osoby fizycznej na WeWork – „Obecnie sprawa ta jest analizowana. Warto dodać, że skierowana do prezesa Urzędu Ochrony danych Osobowych skarga inicjuje postępowanie administracyjne. O szczegółach związanych z toczącymi się postępowaniem zawiadamiane są jedynie strony tego postępowania bądź ich pełnomocnicy”
• UODO bardzo oszczędnie wypowiada się również o sprawie innego amerykańskiego giganta, sieci McDonald’s
• „Naruszenie prawa polegało na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald’s w Polsce zawartych w narzędziu do wyświetlania grafików pracy” – przypomina rzecznik UODO i dodaje, że prezes UODO prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia
• „Organ nadzorczy analizując sprawę, zwrócił się do spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych” – wskazał Sanocki

Źródło: https://www.money.pl/gospodarka/dwaj-amerykanscy-giganci-wework-i-mcdonalds-tlumacza-sie-za-naruszenia-rodo-6565296077413024a.html

• w związku z upublicznieniem na Twitterze prywatnych adresów zamieszkania aktywistów pro-life, polityków i sędziów Prezes UODO podjął niezwłoczne działania mające na celu ochronę danych osobowych i prywatności tych osób.
• zamieszczenie przez użytkowników prywatnych danych adresowych i kontaktowych to działanie prowadzące do ujawnienia sfery prywatności, a przez to rodzące zagrożenia przeciwko zdrowiu i życiu, jak np. możliwe akty przemocy i agresji
• Prezes UODO, po przeanalizowaniu wszystkich aspektów sprawy, zgodnie z przysługującymi mu na mocy RODO kompetencjami, podjął następujące działania:

1. Wystąpił o niezwłoczne przeprowadzenie postępowania przez irlandzki organ nadzorczy, który jest właściwy w sprawie przetwarzania danych osobowych za pośrednictwem Twittera
2. Wystąpił do organów ścigania z zawiadomieniem o popełnieniu przez użytkowników serwisu zamieszczających wpisy przestępstwa polegającego na przetwarzaniu danych osobowych bez podstawy prawnej
3. Zwrócił się do Ministra Sprawiedliwości – Prokuratora Generalnego o objęcie niniejszej sprawy zgłoszonej organom ścigania szczególnym nadzorem z uwagi na eskalację konfliktu i agresji

Źródło: https://uodo.gov.pl/pl/138/1755

• trudno jest zapanować nad zakresem danych udostępnianych w trakcie sesji rady gminy, powiatu lub sejmiku województwa – te dane są potem upowszechniane i przechowywane jako nagrania po tzw. anonimizacji
• tymczasem nie do końca jasne jest, kto odpowie za to, że podczas sesji rady lub sejmiku radny niezasadnie ujawni czyjeś dane – czy będzie to wójt, burmistrz, prezydent, zarząd powiatu lub województwa?
• oprócz ustaw samorządowych do posiedzeń organów kolegialnych władzy samorządowej ma także zastosowanie reżim dostępu do informacji publicznej – zgodnie z kolei RODO, ochronie podlegają wszystkie dane osobowe
• Prezes UODO zaleca, by administrator dokonał „oceny niezbędności ich ujawnienia z punktu widzenia celu informacyjnego, któremu ta publikacja ma służyć”, więc przed udostępnianiem nagrania pracownik urzędu anonimizuje wypowiedzi radnych
• problemem jest, na kim spoczywa odpowiedzialność – z obecnych przepisów wynika, że w trakcie transmisji – na radnym, a przy udostępnianiu – na urzędzie
• czy urzędnik jednak ma prawo ingerować w wypowiedź radnego?

• radni nie odbywają szkoleń z zakresu ochrony danych osobowych – niejednokrotnie na sesji radni lub sołtysi posługują się nazwiskami osób, w sprawie których zabierają głos
• ze sprawy Aleksandrowa Kujawskiego – pierwszej gminy, na którą Prezes UODO nałożył administracyjną karę pieniężną za nieprawidłowe przetwarzanie danych osobowych – wynika, że Prezes UODO za administratora danych przetwarzanych podczas sesji rad uznaje organ wykonawczy
• to zrozumiałe w przypadku BIP, bo zamieszczanie w nim danych i związane z tym ich zabezpieczanie to czynność wykonawcza – nie jest jednak już takie jednoznaczne w przypadku działań związanych z sesją rady, a część ekspertów stoi na stanowisku, że rada jest tu administratorem

Źródło: https://www.prawo.pl/samorzad/naruszenie-danych-osobowych-podczas-sesji-rady-kto-odpowiada,504092.html

• portal GDPR.pl skierował do poszczególnych organów nadzorczych ds. ochrony danych osobowych w Unii Europejskiej kilka pytań dotyczących zagadnienia powoływania IOD w poszczególnych państwach członkowskich – stanowisko w tej sprawie przesłał również Prezes UODO
• liczba zgłoszonych IOD
• analiza odpowiedzi wskazuje na ogromną dysproporcję w liczbie zgłoszonych IOD do organów nadzorczych w poszczególnych państwach członkowskich UE
• liderami zestawienia bez wątpienia są Wielka Brytania i Hiszpania, ze zgłoszonymi odpowiednio – ponad 70 i niemal 60 tysiącami inspektorów
• następny w zestawieniu jest regulator ze Słowacji, który otrzymał prawie 15 tysięcy zgłoszeń
• dalej Niemcy – 12 tysięcy zgłoszeń, Holandia – 10,5 tysiąca zgłoszeń, Szwecja – blisko 8,5 tysiąca zgłoszeń oraz Chorwacja i Belgia – około 5,5 tysiąca zgłoszeń
• zestawienie zamykają regulatorzy z Łotwy i Islandii – odpowiednio 780 i 377 zgłoszeń
• nie znamy niestety danych z krajowego podwórka, ponieważ UODO nie jest w stanie zweryfikować liczby zgłoszeń

• proporcja pomiędzy zgłoszeniami IOD w administracji publicznej oraz w sferze prywatnej
• w Wielkiej Brytanii stosunek pomiędzy zgłoszonymi IOD w administracji publicznej oraz w biznesie wynosi jedynie 16%, zaś w Hiszpanii 12%
• w Irlandii i Estonii także dominują IOD z sektora prywatnego, niemniej dysproporcje są mniejsze (odpowiednio 24% i 21 %)
• przewaga IOD powołanych w administracji publicznej występuje jedynie na Islandii (63%)
• równowagę pomiędzy IOD w administracją publicznej a biznesem zaobserwować można jedynie w Słowenii (56%)
• liczba IOD a liczba mieszkańców danego państwa
• średnio na jednego IOD przypada około 1 693 osób
• polski organ nie prowadzi wewnętrznych statystyk w zakresie rejestrowania inspektorów – zarówno przepisy RODO, jak i ustawy o ochronie danych osobowych nie nakładają obowiązku prowadzenia rejestru IOD oraz publikowania treści zgłoszeń
• jeśli w Polsce mamy około 38,4 mln i weźmiemy pod uwagę średnią europejską (z naszych wyliczeń wynika, że jest to 117 zgłoszonych IOD na 100.000 mieszkańców) to aby osiągnąć średnią europejską powinniśmy mieć około 45 tysięcy IOD

Źródło: https://gdpr.pl/czy-45-tysiecy-inspektorow-w-polsce-to-duzo-czy-malo

• brytyjski organ ochrony danych nałożył na sieć Marriott Hotels karę w wysokości 18,4 miliona funtów za poważne naruszenie danych, które mogło dotknąć nawet 339 milionów gości
• ICO stwierdziło, że nazwiska, dane kontaktowe i dane paszportowe mogły zostać przejęte podczas cyberataku
• naruszenie obejmowało siedem milionów rekordów gości w Wielkiej Brytanii
• ICO stwierdziło, że firma nie wprowadziła odpowiednich zabezpieczeń
• pierwsza część cyberataku miała miejsce w 2014 roku, dotykając grupę Starwood Hotels, która została przejęta przez Marriott dwa lata później
• do 2018 roku, kiedy problem został po raz pierwszy zauważony, osoba atakująca nadal miała dostęp do systemów
• na tej podstawie ICO stwierdziło, że Marriott nie chronił danych osobowych zgodnie z wymogami RODO
• grzywna w niczym nie przypomina 99 milionów funtów, które ICO planowało wydać, ale nadal stanowi ogromny środek odstraszający dla firm
• Źródło: https://www.bbc.com/news/technology-54748843

• czy dyrekcja szkoły może informować za pośrednictwem dziennika elektronicznego, który nauczyciel zachorował na COVID-19?
• Prezes UODO wskazuje, że nie jest to dozwolone, gdyż przepisy regulujące prowadzenie dziennika elektronicznego nie przewidują takiej możliwości
• zakres informacji, które można gromadzić w dzienniku lekcyjnym określa rozporządzenie MEN w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji
• przepisy nie przewidują wskazywania w dzienniku informacji dotyczących przyczyn nieobecności nauczyciela w pracy
• przetwarzanie danych dotyczących zdrowia dopuszczalne jest wyłącznie w okolicznościach określonych w art. 9 ust. 2 RODO

Źródło: https://twitter.com/UODOgov_pl/status/1322161339083694085/photo/1

• Prezes UODO opublikował statystyki ze swojej działalności w III kwartale 2020 r.:
• liczba skarg: 1579
• opiniowane projekty aktów prawnych: 199
• liczba zgłoszonych naruszeń: 1957
• postępowania wszczęte z urzędu: 16
• Źródło: https://twitter.com/UODOgov_pl/status/1321386223567589378/photo/1

• byli kierowcy Ubera oskarżyli firmę taksówkarską o używanie zautomatyzowanych algorytmów w celu ich zwolnienia
• brytyjscy kierowcy chcą, aby sądy w Holandii – gdzie są przechowywane są dane Ubera – unieważniły algorytm, który według nich spowodował ich zwolnienie
• eksperci twierdzą, że ta skarga jest wyzwaniem, które przetestuje zabezpieczenia wskazane w art. 22 RODO
• App Drivers & Couriers Union (ADCU), który złożył skargę, twierdzi, że od 2018 r. odnotowano ponad 1000 indywidualnych przypadków, w których kierowcy zostali rzekomo niesłusznie oskarżeni o oszukańcze działania i natychmiast zamknięto ich konta bez prawa do odwołania
• były kierowca Ubera powiedział BBC, że jeździł z Uberem od około dwóch lat i miał ocenę klienta 4,94, kiedy nagle jego konto w aplikacji zostało dezaktywowane
• w związku z twierdzeniami Ubera, że decyzje o wypowiedzeniu są podejmowane przez ludzi, przedstawiciel ADCU powiedział: „Jeśli jest to automatyczne podejmowanie decyzji, to RODO mówi, że Uber musi mieć podstawy prawne do korzystania z takiej technologii i musi dać kierowcom możliwość sprzeciwu wobec zautomatyzowanej decyzji, czego najwyraźniej nie zrobili. „

Źródło: https://www.bbc.com/news/business-54698858

• na stronie http://dataprotect.law znajduje się zestawienie decyzji sądów na terenie EOG, dotyczących odszkodowań, gdzie podstawą żądania jest art. 82 RODO
• zbiorem zarządza dr Thomas Schweiger, austriacki specjalista ds. ochrony danych osobowych
• do tej pory w zestawieniu ujawnionych zostało 14 decyzji sądów w zakresie odszkodowań
• orzeczenia pochodzą z 3 państw: Austrii, Niemiec i Rumunii
• tylko w 4 na 14 przypadków odszkodowanie zostało przyznane
• najwyższa kwota przyznanego odszkodowania wyniosła 5 tysięcy EUR

Źródło: https://www.dataprotect.law/