RODO aktualności – 23.02.2021 r.

Kto otrzymał pierwszą w historii karę za nieprzestrzeganie nakazu decyzji administracyjnej UODO? Jakie dane osobowe omyłkowo ujawnia Sanepid? Czego interesującego dowiesz się z najnowszego numeru newslettera UODO dla IOD? Dlaczego UODO ma zastrzeżenia do e-licytacji? Czy Prezes UODO ma uprawnienia do nakazania ujawnienia danych osobowych osobie trzeciej? O co upomina się Prezes UODO? Za co został ukarany KSSIP? Dlaczego kara nałożona przez Prezesa UODO została uchylona? Co zrobić jeśli uznamy, że administrator danych naruszył nasze prawa? Na kogo została nałożona RODO-grzywna w wysokości 6 mln EUR?

MULTIMEDIA

#RODOA [15.02.2021]
#RODOA [22.02.2021]
Pobierz PDFPobierz PDF

Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej

  • przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, został ukarany administracyjną karą pieniężną w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej
  • Prezes UODO nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu
  • administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane
  • organ nakładając karę wziął pod uwagę czynniki obciążające tj.: długotrwały okres trwania naruszenia, umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia

Źródło: https://uodo.gov.pl/pl/138/1889 https://www.pulshr.pl/prawo-pracy/byly-pracownik-skopiowal-dane-pacjentow-85-tys-zl-kary-dla-zlamanie-rodo,79507.html

Sanepid ujawnia prywatne adresy e-mail osób pytających o dostęp do informacji

  • Biuro Państwowego Powiatowego Inspektora Sanitarnego z Piotrkowa Trybunalskiego najpewniej w wyniku błędu rozesłała prywatne adresy e-mail
  • adresy pojawiły się w odpowiedzi osobom, które złożyły zapytanie w sprawie dostępu do informacji publicznej w ramach akcji Zapytaj Sanepid
  • w odpowiedzi na zapytanie obywateli, PIS odesłał zbiorową wiadomość e-mail, wpisując wszystkich nadawców do rubryki „do wiadomości”, zamiast „ukryte do wiadomości”
  • sanepid wskazał, że sprawa wynikła z błędu ludzkiego i wobec osoby odpowiedzialnej zostaną wyciągnięte konsekwencje służbowe

Źródło: https://www.komputerswiat.pl/aktualnosci/bezpieczenstwo/sanepid-lamie-rodo-i-ujawnia-prywatne-adresy-e-mail-osob-pytajacych-o-dostep-do/21kld67

Lutowy numer newslettera UODO dla IOD (1)

  • w najnowszym, lutowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

ADMINISTRATOR NIE MOŻE PRZERZUCAĆ SWOICH OBOWIĄZKÓW NA IOD

  • rolą IOD jest wpieranie administratora w przestrzeganiu i właściwym stosowaniu przepisów o ochronie danych osobowych, a nie wyręczanie go w realizacji jego zadań
  • podmiotowi, który zobowiązał IOD do nadawania pracownikom upoważnień do przetwarzania danych osobowych, Prezes UODO udzielił upomnienia

WERYFIKACJA PRZYNALEŻNOŚCI ZWIĄZKOWEJ PRACOWNIKA

  • pracodawca ma prawo do zwracania się do zakładowej organizacji związkowej z pytaniem, czy konkretny pracownik korzysta z jej ochrony
  • obowiązkiem związku zawodowego jest zaś przekazanie pracodawcy prawidłowej, aktualnej i rzetelnej informacji dotyczącej pracowników podlegających jego ochronie

Lutowy numer newslettera UODO dla IOD (2)

PRZEKAZYWANIE INFORMACJI O SKŁADKACH CZŁONKOWSKICH NA RZECZ SAMORZĄDU ZAWODOWEGO PIELĘGNIAREK I POŁOŻNYCH

  • pracodawca, przekazując samorządowi zawodowemu pielęgniarek i położnych informacje dotyczące składek członkowskich odprowadzonych w imieniu poszczególnych osób, musi zachować ostrożność, by nie doszło przy tym do ujawnienia danych o wysokości ich zarobków

WYDAWANIE ZAŚWIADCZEŃ O DOCHODACH NA POTRZEBY UBIEGANIA SIĘ O DOFINANSOWANIE Z NARODOWEGO LUB WOJEWÓDZKIEGO FUNDUSZU OCHRONY ŚRODOWISKA – STATUS ADMINISTRATORA

  • w procesie wydawania zaświadczeń o wysokości przeciętnego miesięcznego dochodu przypadającego na jednego członka gospodarstwa domowego wydawanego osobom fizycznym, które zamierzają ubiegać się o dofinansowanie z narodowego lub wojewódzkiego funduszu ochrony środowiska, administratorem jest ten podmiot, do którego w całości należeć będzie nie tylko wydawanie zaświadczeń, ale także prowadzenie postępowań w tych sprawach, archiwizacja dokumentów, zapewnienie dostępu do informacji publicznej czy odpowiedniego bezpieczeństwa danych

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

UODO ma zastrzeżenia do e-licytacji

  • e-licytacja nieruchomości w ramach egzekucji sądowej ma przyspieszyć, usprawnić oraz uczynić komornicze przetargi bardziej bezpiecznymi
  • dzięki temu, że cały proces odbywa się online, grupa potencjalnych licytantów może być nieporównanie większa w stosunku do grona osób, które mogą stawić się na licytację w budynku sądu – eliminuje to też ryzyko incydentów o charakterze czysto przestępczym w postaci zastraszania chętnych do nabycia oraz minimalizuje ryzyko ustawiania przetargów
  • projektowane rozwiązania budzą jednak wątpliwości Prezesa UODO – zwraca on uwagę na to, że z projektu nie wynika, kto będzie ponosił odpowiedzialność administratora danych osobowych, nie wskazano, które dane będą przetwarzane w systemie do e-licytacji, ani nie określono zabezpieczeń z tym związanych
  • zdaniem organu, niewłaściwa jest także delegacja dla ministra sprawiedliwości do określenia w rozporządzeniu sposobu uwierzytelniania użytkowników logujących się do sytemu
  • wątpliwości UODO ma także w stosunku do przepisu, który stanowi, że licytant wraz z rękojmią zobowiązany jest do podania w systemie danych niezbędnych do wydania postanowienia o przybiciu, w szczególności numerów PESEL oraz dowodu tożsamości – zdaniem organu nie wydaje się niezbędne przetwarzanie takich informacji

Źródło https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8093203,e-licytacje-uodo-zastrzezenia.html

Prezes UODO nie ma uprawnienia do nakazania ujawnienia danych osobowych osobie trzeciej

  • w 2018 r. do UODO wpłynęła skarga spółki o nakazanie udostępnienia jej przez inną spółkę danych osobowych w zakresie imienia, nazwiska, adresu IP komputera
  • skarżąca wskazała, że osoba, której udostępnienia danych żąda, zawiadomiła Wojewódzką Stację Sanitarno-Epidemiologiczną o tym, że skarżąca produkuje szkodliwe produkty kosmetyczne i lecznicze – skarżąca wskazała, że narusza to jej dobre imię, i podniosła, że udostępnienie danych osobowych jest niezbędne w celu prowadzenia postępowania sądowego
  • organ umorzył postępowanie wskazując, że nie ma uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu ujawnienia danych osobowych osobie trzeciej
  • sprawa trafiła do WSA w Warszawie, który przyznał rację Prezesowi UODO
  • sąd wskazał, że RODO przyznaje uprawnienia proceduralne i materialne wyłącznie osobom, których danych dotyczy ochrona – z przepisów nie wynikają żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona
  • w szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną – przepisy nie dają takich uprawnień także organowi nadzoru

Źródło: http://orzeczenia.nsa.gov.pl/doc/D6B498CAFD

Prezes UODO upomina za nieaktualne oprogramowanie

  • organ nadzorczy nałożył karę upomnienia na spółkę, która straciła dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware
  • postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych – nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia
  • w ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe
  • administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego – w efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach
  • w wyniku ataku złośliwego oprogramowania, które skutkowało zaszyfrowaniem danych osobowych, spółka utraciła dostęp do tych danych – nie doszło jednak do naruszenia atrybutu poufności danych osobowych
  • w ocenie UODO naruszenie nie powodowało więc wysokiego ryzyka dla osób dotkniętych naruszeniem

Źródło: https://uodo.gov.pl/pl/138/1896

KSSIP z karą pieniężną za naruszenie przepisów RODO

  • UODO stwierdził naruszenie przepisów RODO i nałożył administracyjną karę pieniężną w wysokości 100 tys. zł na Krajową Szkołę Sądownictwa i Prokuratury za niezrealizowanie ciążących na niej obowiązków administratora
  • zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania
  • KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych
  • administrator powierzył przetwarzanie danych osobowych podmiotowi przetwarzającemu bez umownego zobowiązania go do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora
  • KSSIP zgłosiła UODO naruszenie ochrony danych osobowych, w związku z powiadomieniem o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl – incydent polegał na uzyskaniu przez nieznane osoby dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej

Źródło: https://uodo.gov.pl/pl/138/1909

Kara nałożona przez Prezesa UODO uchylona

  • to pierwszy wyrok uchylający w pełni decyzję UODO – chodzi o karę 20 tys. zł nałożoną w lutym 2020 r. na Szkołę Podstawową nr 2 w Gdańsku za zainstalowanie czytników linii papilarnych przed wejściem do szkolnej stołówki
  • uczeń przykładał palec, skaner porównywał odcisk i identyfikował dziecko – po przesłaniu informacji do systemu ten weryfikował, czy posiłek został opłacany
  • szkoła twierdziła, że podstawę prawną stanowią dobrowolne zgody rodziców – UODO nie zgodził się, uznając, że chodziło o realizację zadań opiekuńczych i w tej sytuacji podstawą przetwarzania danych jest ustawa, a wówczas zgoda nie wchodzi w grę
  • WSA w Warszawie nie miał wątpliwości, że chodzi o dane biometryczne, a więc szczególne, ale jego zdaniem nawet ich przetwarzanie szkoła mogła oprzeć na pisemnej zgodzie rodziców.
  • dodatkowo sąd przyznał, że pogodzenie wymogu adekwatności i minimalizacji może nie być łatwe, ale jego zdaniem jest to możliwe i nie można zasadzie minimalizacji przyznawać pierwszeństwa – zdaniem sądu warunkiem jest to, aby przetwarzane dane miały ścisły związek z realizowanym celem – wystarczy, by ułatwiały jego osiągnięcie
  • Prezes UODO nie zgadza się z orzeczeniem WSA w Warszawie i zapowiada złożenie kasacji do NSA

Źródło: https://prawo.gazetaprawna.pl/artykuly/8099344,za-zgoda-rodzicow-mozna-skanowac-linie-papilarne.html

W indywidualnej sprawie należy złożyć skargę do UODO

  • co zrobić jeśli uznamy, że konkretny administrator danych naruszył nasze prawa albo przetwarza jej dane z naruszaniem przepisów o ochronie danych osobowych? – wtedy mamy prawo do złożenia skargi zarówno do Prezesa UODO, jak i skierować sprawę na drogę sądową
  • poszkodowany może ponadto w oparciu o regulacje RODO dochodzić sądownie odszkodowania
  • co w przypadku, gdy administrator danych nie jest nam znany? – wtedy urząd stara się ustalić administratora, a gdy nie jest to możliwe to zawiadamia organy ścigania
  • bez wiedzy kto jest administratorem nie jest możliwe wszczęcie postępowania z urzędu – wyjaśnia UODO.
  • Urząd Ochrony Danych Osobowych nie jest organem ściągania i nie ma kompetencji śledczych, by w niektórych przypadkach zidentyfikować sprawcę takiego naruszenia. Takie uprawnienia oraz narzędzia do tego mają jedynie organy ścigania, jak policja czy prokuratura – czytamy na stronie UODO.

Źródło: https://www.rp.pl/Dane-osobowe/302219978-Dane-osobowe-w-indywidualnej-sprawie-nalezy-zlozyc-skarge-do-UODO.html https://uodo.gov.pl/pl/138/1914

Hiszpański Urząd Ochrony Danych nakłada grzywnę w wysokości 6 mln EUR

  • Hiszpański Urząd Ochrony Danych nałożył grzywnę o łącznej wysokości 6 mln EUR na CAIXABANK, SA za niezgodne z prawem przetwarzanie danych osobowych klientów i niedostarczenie wystarczających informacji dotyczących przetwarzania
  • organ uznał, że dokument mający na celu przekazanie podmiotom danych informacji o przetwarzaniu ich danych nie zawiera wystarczających informacji dotyczących kategorii danych, których dotyczy, ani informacji o celach przetwarzania, a także o podstawie prawnej przetwarzania, zwłaszcza w odniesieniu przetwarzania opartego na uzasadnionym interesie firmy
  • w konsekwencji organ uznał, że CAIXABANK naruszył art. 13 i 14 RODO za co nałożono karę w wysokości 2 000 000 EUR
  • decydując o wysokości grzywny, organ uwzględnił m.in. charakter, wagę i czas trwania naruszenia, niedbały charakter naruszenia, związek między działalnością firmy a przetwarzaniem danych osobowych oraz obroty firmy
  • dalej, organ stwierdził, że CAIXABANK nie zapewnia żadnego mechanizmu zbierania zgody osoby, której dane dotyczą i uznał, że stanowiło to naruszenie art. 6 RODO za co nałożono karę administracyjną w wysokości 4 000 000 EUR
  • przy ustalaniu wysokości grzywny organ uwzględnił, m.in. charakter, wagę i czas trwania naruszenia; niedbały charakter naruszenia, stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych, korzyści uzyskane z naruszenia, kategorie danych, związek między działalnością firmy a przetwarzaniem danych osobowych; oraz obroty firmy

Źródło: https://edpb.europa.eu/news/national-news/2021/spanish-data-protection-authority-aepd-imposes-fine-6000000-eur-caixabank-sa_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 11.10.2024 r.
RODO aktualności
RODO aktualności – 24.09.2024 r.
RODO aktualności
RODO aktualności – 28.08.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO