RODO aktualności – 23.03.2021 r.

• bezpieczeństwo danych osobowych w okresie kształcenia na odległość ‒ to temat wykładu online przygotowanego przez Urząd Ochrony Danych Osobowych dla kadry pedagogicznej szkół różnego typu
• webinarium odbędzie się 11 marca 2021 r. w ramach programu zainicjowanego przez Kuratorium Oświaty w Warszawie „Reaguj i wspieraj. Koalicja na rzecz tworzenia bezpiecznego środowiska nauczania na odległość”
• odpowiadając na potrzeby pedagogów, podczas wykładu ekspert UODO omówi wszelkie zagadnienia związane z bezpiecznym prowadzeniem nauki zdalnej
• uczniowie są coraz bardziej świadomi swoich praw i obowiązków wynikających z przepisów prawa – natomiast potrzebują zwracać większą uwagę na to jak zachować się w konkretnych sytuacjach w życiu codziennym, w tym w nowych warunkach, jakie stwarza nauczanie na odległość
• pogłębienie zwłaszcza praktycznych aspektów wiedzy o ochronie danych osobowych uzasadniają zadania, jakie w tym procesie realizują szkoły, które przetwarzają dane osobowe uczniów i ich rodziców czy opiekunów oraz nauczycieli – jednak w związku z upowszechnieniem nauczania na odległość pojawiały się dodatkowe elementy, które w tradycyjnym nauczaniu nie dominowały

Źródło: https://uodo.gov.pl/pl/458/1955

• Ustawa o ochronie danych konsumentów w Wirginii zmusi firmy do przyznania konsumentom prawa do żądania zaprzestania gromadzenia ich danych
• ustawodawstwo obejmuje firmy przetwarzające dane osobowe co najmniej 100 000 konsumentów oraz firmy przetwarzające dane co najmniej 25 000 osób i czerpiących ponad połowę swoich dochodów ze sprzedaży tych danych
• Virginia staje się drugim stanem, po Kalifornii, w którym wprowadzono kompleksowe przepisy dotyczące prywatności
• prawo stanu Wirginia pozwala konsumentom m.in. potwierdzić, czy firma przechowuje ich dane i uzyskać do nich, podmioty danych mogą również żądać poprawienia danych oraz zmusić formę do ich całkowitego usunięcia
• organizacje muszą odpowiedzieć na wnioski w ciągu 45 dni, ale mogą przedłużyć ten termin o kolejne 45 dni w skomplikowanych przypadkach, pod warunkiem, że poinformują konsumenta i wyjaśnią przyczynę
• złamanie prawa wiąże się z karą w wysokości do 7500 USD na osobę poszkodowaną
• wszystkie zebrane pieniądze zostaną przekazane do Funduszu Prywatności Konsumentów
• ustawa trafiła teraz do komisji, która oceni, jak ją zaimplementować – wejście w życie przewidywane jest na 1 stycznia 2023 r.

Źródło: https://www.grcworldforums.com/data-protection-and-privacy/virginia-becomes-second-us-state-to-enact-comprehensive-data-privacy-law/992.article

• Program prac Europejskiej Rady Ochrony Danych na lata 2021-2022, oświadczenie dotyczące rozporządzenia ws. prywatności i łączności elektronicznej, wytyczne ws. wirtualnych asystentów głosowych, a także wytyczne ws. pojazdów połączonych – to przykładowe dokumenty przyjęte przez EROD podczas 46. posiedzenia plenarnego, które odbyło się 9 marca 2021 r.
• EROD przyjęła, zgodnie z art. 29 swojego Regulaminu wewnętrznego, program prac na lata 2021-2022, który jest zgodny z priorytetami określonymi w Strategii EROD na lata 2021-2023, co pozwoli zrealizować strategiczne cele Rady
• Oświadczenie dotyczące rozporządzenia ws. prywatności i łączności elektronicznej (rozporządzenia e-Privacy) – EROD uznała za pozytywny krok na drodze do finalizacji rozporządzenia w sprawie prywatności i łączności elektronicznej przyjęcie porozumienia w sprawie mandatu negocjacyjnego Rady UE
• Wytyczne ws. wirtualnych asystentów głosowych –mają na celu ustalenie wyzwań związanych z przestrzeganiem przepisów przez wirtualnych asystentów głosowych oraz przedstawienie zainteresowanym stronom zaleceń, jak sobie z nimi radzić
• Wytyczne ws. pojazdów połączonych – ostateczna wersja wytycznych koncentruje się na przetwarzaniu danych w związku z nieprofesjonalnym użytkowaniem pojazdów połączonych przez osoby, których dane dotyczą

Źródło https://uodo.gov.pl/pl/138/1959

• w najnowszym, marcowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

POZYSKIWANIE NUMERU PESEL NA POTRZEBY PROWADZENIA EGZEKUCJI ADMINISTRACYJNEJ

• dopiero na etapie prowadzonego postępowania egzekucyjnego uzasadnione jest przetwarzanie numeru PESEL strony postępowania

WIZERUNEK PROTOKOLANTA W TRANSMISJI I NA NAGRANIACH OBRAD RADY GMINY

• upublicznienie wizerunku osoby protokółującej obrady rady gminy zarówno podczas transmisji, jak i na utrwalonym nagraniu posiedzenia jest zgodne z prawem i nie wymaga jej zgody

PRZECHOWYWANIE DOKUMENTACJI UCZESTNIKÓW WARSZTATÓW TERAPII ZAJĘCIOWEJ

• jeśli przepisy szczególne nie określają okresu retencji danych, to zastosowanie znajdują przepisy RODO, w tym zasada
• ograniczenia przechowywania danych
• stanowi ona, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez
• okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, dla których je pozyskano

JAK DOKUMENTOWAĆ WPŁYW COVID-19 NA TERMINOWĄ REALIZACJĘ ZAMÓWIENIA PUBLICZNEGO?

• artykuł 15 ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 nie uprawnia pracodawcy do pozyskiwania danych o stanie zdrowia pracownika celem ich przekazywania zamawiającemu w ramach realizacji zamówienia publicznego – na tej podstawie także zamawiający nie ma prawa do pozyskiwania i przetwarzania tego rodzaju danych osobowych

OZNACZANIE PACJENTÓW SZPITALA DZIECIĘCEGO

• przepisy szczególne precyzyjnie regulują, w jaki sposób oznacza się pacjentów w znaki identyfikacyjne, w tym jakie dane osobowe są w nich zawarte
• w przypadku dzieci dopuszczalne może być umieszczanie na opasce identyfikacyjnej imienia i nazwiska dziecka, o ile dochodziłoby do tego za zgodą i przede wszystkim z inicjatywy jego rodziców lub opiekunów

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• ZUS wysłał na nieaktualne adresy zamieszkania PIT-11A osobom, którym wypłacał zasiłki chorobowe w 2020 roku – to efekt niewłaściwego zaciągnięcia przez system informatyczny starej bazy danych
• ZUS nie wie, ile PIT-ów trafiło w niepowołane ręce
• według UODO, Zakład zgłosił kilka incydentów związanych z wysyłką PIT na błędnie podany adres zamieszkania
• prawo.pl zapytało ZUS, ile wysłał PIT-11 z tytułu wypłacanych w roku 2020 zasiłków chorobowych na niewłaściwe (nieaktualne) adresy zamieszkania osób, które te zasiłki otrzymywały, a także ile takich przypadków było w skali kraju
• w odpowiedzi ZUS poinformował, że zarejestrował 291 przypadków podejrzeń naruszeń ochrony danych związanych z wysyłką formularzy PIT-11A (co stanowi zaledwie 0,02 proc. wysłanych formularzy tego typu)
• dodatkowo, zapytano ZUS, kto odpowiada za to, że w systemie informatycznym ZUS nieaktualne były dane świadczeniobiorców – w odpowiedzi instytucja poinformowała, że za aktualizację danych adresowych odpowiada klient, gdyż dane adresowe, zapisane w systemie Zakładu, pochodzą z dokumentów przekazywanych przez klientów

Źródło: https://www.prawo.pl/kadry/zasilki-chorobowe-zus-nie-wie-ile-pit-ow-nie-dotarlo-do-osob,506979.html

• osoby sprawujące kontrolę nad spółkami skarżą się, że ich dane, w tym także numer PESEL, są publicznie dostępne w Internecie, w prowadzonym przez resort finansów Centralnym Rejestrze Beneficjentów Rzeczywistych
• CRBR to system gromadzenia i przetwarzania informacji o osobach fizycznych sprawujących kontrolę nad spółkami – oficjalnym celem rejestru jest przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu
• do Biura RPO wpływają wnioski ws. ochrony danych osobowych w CRBR – autorzy skarg wskazują, że jawność rejestru wraz z katalogiem danych przetwarzanych w rejestrze (w tym numerem PESEL), może w dobie nowoczesnych technologii informatycznych zagrażać ich prywatności
• RPO poprosił ministra finansów Tadeusza Kościńskiego o działania zmierzające do lepszej ochrony prawa do prywatności
• wątpliwości dotyczące tej samej kwestii wyrażał Prezes Urzędu Ochrony Danych Osobowych jeszcze w procesie prac legislacyjnych na przepisami o Centralnym Rejestrze Beneficjentów Rzeczywistych
• PUODO podkreślał, że rozważenia wymaga wprowadzenie zmian legislacyjnych do ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu w taki sposób, aby uczynić zadość obowiązkowi unijnemu utworzenia jawnego rejestru beneficjentów rzeczywistych, zapewniając jednocześnie właściwe narzędzia ochrony danych osobowych zamieszczanych w tym rejestrze

Źródło: https://www.rp.pl/Firma/303209991-Numery-PESEL-szefow-spolek-dostepne-w-internecie-prywatnosc-zagrozona-Adam-Bodnar-pisze-do-MF.html

• Komisja Europejska przedstawiła projekt „paszportu covidowego” – oprócz wątpliwości etycznych budzi też wątpliwości dotyczące prywatności
• szefowa KE powiedziała, że chciałaby, aby „cyfrowy certyfikat COVID” był uniwersalnym narzędziem na terenie całej Unii Europejskiej – certyfikat miałby informować, że jego właściciel został zaszczepiony przeciwko chorobie COVID-19, ma aktualny negatywny test na obecność koronawirusa SARS-CoV-2 lub przeszedł chorobę i ma przeciwciała
• uniwersalny certyfikat ma przyśpieszyć proces powrotu do normalności po pandemii koronawirusa w całej Unii Europejskiej – obecna propozycja certyfikatu budzi jednak wątpliwości, a jednym z problemów są kwestie bezpieczeństwa i prywatności
• „Unia Europejska chce stworzyć centralne bazy osób zaszczepionych. Te z łatwością mogłyby być wykorzystane do innych celów, a dane mogłyby zostać wykradzione. Dane medyczne należą jedynie do ich właścicieli i do ich zaufanych placówek medycznych. Obywatele UE powinni mieć całkowitą kontrolę nad tym, kto ma dostęp do ich danych” – alarmują niektórzy członkowie PE
• Komisarz UE Didier Reyes, który pilotuje projekt „zielonego certyfikatu” lub „certyfikatu COVID” chciałby, aby został on wprowadzony jeszcze przed wakacjami

Źródło: https://tech.wp.pl/europejski-paszport-covidowy-jest-niegodny-z-rodo-6619445653260960a

• Krajowy Rejestr Zadłużonych ma stanowić źródło informacji, w szczególności o podmiotach niewypłacalnych, zagrożonych niewypłacalnością lub podmiotach, wobec których umorzono bezskuteczną egzekucję
• KRZ ma być udostępniony na stronie internetowej MS – rejestr ten ma być jawny, a sprawdzenie w nim danych ma być bezpłatne
• zgodnie z projektem, jednym z kryteriów wyszukiwania danych zawartych w rejestrze w odniesieniu do osób fizycznych będzie nr PESEL, a w przypadku innych podmiotów numer KRS
• dostęp do danych zawartych w KRZ będzie bardzo prosty – z możliwości tych będą mogli korzystać m.in. kontrahenci czy pracodawcy
• autorzy projektu, odwołując się do art. 5 i art. 6 RODO, przyjmują, że przetwarzanie danych osób fizycznych zamieszczonych w KRZ będzie zgodne z prawem i jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym – w interesie publicznym jest bowiem zapewnienie bezpieczeństwa obrotu prawnego i to nie tylko w sferze działalności gospodarczej
• w zakresie dotyczącym postępowań upadłościowych i restrukturyzacyjnych przetwarzanie danych osobowych jest dodatkowo realizacją obowiązku wynikającego z prawa unijnego
• projektodawcy podkreślają też, że ujawnianie numeru PESEL w KRZ jest niezbędne dla zagwarantowania rzetelności informacji
• ustawodawca zdecydował o wdrożeniu KRZ 1 lipca 2021 r. – jest to nowa data wejścia w życie ustawy o KRZ

Źródło: https://www.pit.pl/aktualnosci/krajowy-rejestr-zadluzonych-ma-ruszyc-1-lipca-2021-r-1005307

• Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych przyjęli wspólną opinię dotyczącą rozporządzenia w sprawie zarządzania danymi
• rozporządzenie ma na celu zwiększenie dostępności danych poprzez podniesienie poziomu zaufania do pośredników w zakresie danych oraz wzmocnienie mechanizmów udostępniania danych w całej Unii Europejskiej
• EROD i EIOD wzywają współustawodawców do zapewnienia pełnej zgodności przyszłego rozporządzenia w sprawie zarządzania danymi z prawodawstwem UE w zakresie ochrony danych osobowych, co zwiększy zaufanie do gospodarki cyfrowej i utrzyma stopień ochrony przewidziany w prawie Unii pod nadzorem organów nadzorczych państw członkowskich
• EROD i EIOD uważają, że unijny prawodawca powinien dopilnować, aby w treści rozporządzenia stwierdzono, że rozporządzenie to nie wpłynie na stopień ochrony danych osobowych osób fizycznych, ani nie zmieni żadnych praw i obowiązków określonych w prawodawstwie dotyczącym ochrony danych
• jeśli chodzi o ponowne wykorzystywanie danych będących w posiadaniu organów sektora publicznego, EROD i EIOD zalecają dostosowanie rozporządzenia do istniejących przepisów dotyczących ochrony danych osobowych – ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego może być dozwolone wyłącznie wtedy, jeśli jest osadzone w prawie UE lub prawie państwa członkowskiego

Źródło https://uodo.gov.pl/pl/138/1962

• Sąd Rejonowy w Hildesheim orzekł, że odsprzedaż zwróconego laptopa i związane z tym udostępnienie danych zapisanych na komputerze osobom trzecim stanowi naruszenie ochrony danych
• powód zakupił od pozwanego komputer – ponieważ po krótkim czasie nie można go było już uruchomić, zwrócił go
• według firmy, zwrócony komputer przeszedł kilka procesów naprawy, ale jeden z dwóch istniejących dysków twardych został przeoczony i w konsekwencji nie został wyczyszczony – następnie częściowo odnowiony komputer został odsprzedany stronie trzeciej, która znalazła dane powoda na wspomnianym dysku twardym i skontaktowała się z powodem
• sąd rozpoznając roszczenie uznał, że kwota odszkodowania w wysokości 800 EUR jest wystarczająca i odpowiednia, aby zrekompensować krzywdę niemajątkową powoda
• oceniając roszczenie o odszkodowanie, sąd uznał za istotne, że chociaż na komputerze znajdowała się duża ilość danych, tylko jedna osoba miała dostęp do danych i tylko niewielka część danych była przez nią uważnie przeglądana
• incydent był wynikiem zaniedbania, ponieważ co do zasady pozwany stworzył wystarczające metody wdrożenia standardów ochrony danych i nie są znane żadne dalsze incydenty

Źródło: https://www.linkedin.com/pulse/german-local-court-800-eur-gdpr-compensation-non-erased-piltz/

• Główny Inspektor Sanitarny informuje, że Państwowa Inspekcja Sanitarna przeprowadza wywiady epidemiologiczne z obywatelami w celu prowadzenia działań przeciwepidemicznych
• pracownicy Państwowej Inspekcji Sanitarnej wywiady epidemiologiczne przeprowadzają z osobami, których dane zawarte są w systemach teleinformatycznych, wykorzystywanych zgodnie z przepisami prawa w pracy Inspekcji
• sytuacje, w których anonimowe osoby dzwonią do obywateli i proszą o podanie danych osobowych w celu np.: umówienia osoby na test, są próbą wyłudzenia tych danych
• Główny Inspektor Sanitarny ostrzega, że osobom anonimowym, które proszą o podanie danych osobowych, a nie o ich potwierdzenie, nie należy takich informacji udzielać

Źródło: https://www.gov.pl/web/gis/proba-wyludzania-danych-osobowych