Jakie wnioski możesz wyciągnąć z wyroku Wojewódzkiego Sądu Administracyjnego (WSA) ws. Aleksandrowa Kujawskiego? Jaki wyrok WSA ogłosił w sprawie Morele.net? Jakie wyzwania w zakresie ochrony danych osobowych pojawią się w nowym roku szkolnym? Dlaczego TiTok znalazł się na celowniku CNIL – francuskiego regulatora ochrony danych? Kto jest liderem rankingu kar RODO? Czego dotyczy krajowy precedensowy wyrok w sprawie przekazywania danych osobowych do USA? Za co GGK otrzymał kolejną karę w wysokości 100 tys. zł? Czego interesującego dowiesz się z kolejnych wyjaśnień UODO? Czy mierzenie temperatury ucznia jest możliwe bez zgody rodzica?
MULTIMEDIA | |
---|---|
#RODOA [31.08.2020] | #RODOA [08.09.2020] |
Obejrzyj na: YouTube | |
Odsłuchaj na: Spotify, Google Podcasts, SoundCloud, RSS | |
Pobierz PDF | Pobierz PDF |
WSA utrzymał karę UODO nałożoną na burmistrza Aleksandrowa Kujawskiego (1)
- WSA w Warszawie utrzymał karę 40 tys. zł nałożoną przez Prezesa UODO na burmistrza Aleksandrowa Kujawskiego
- spór dotyczy decyzji Prezesa UODO z października 2019 r., gdzie główny zarzut dotyczył sposobu publikowania informacji publicznych w Biuletynie Informacji Publicznej i tego, że burmistrz nie zawarł umowy powierzenia przetwarzania danych osobowych z firmami, które odpowiadają za funkcjonowanie tego serwisu od strony technicznej
- administratorem danych publikowanych w BIP jest Aleksandrów Kujawski, a dostęp do nich mają również firmy obsługujące stronę internetową od strony technicznej – zgodnie z art. 28 ust. 3 RODO wymaga to umowy powierzenia przetwarzania danych
- miasto przekonywało, że nie mogło powierzyć danych, bo to nie ono było stroną umowy z firmami dostarczającymi miejsca na serwerach i oprogramowania obsługujące BIP – umowy zawarło województwo kujawsko-pomorskie, które otrzymało na to dofinansowanie ze środków europejskich, a gminy mogły albo do nich przystąpić i otrzymać BIP za darmo, albo też zapłacić za stworzenie i obsługę BIP tylko na własne potrzeby
- Aleksandrów Kujawski, tak jak i inne gminy z województwa, wybrał to pierwsze rozwiązanie – tylko na niego nałożono jednak karę za brak umowy powierzenia przetwarzania danych
WSA utrzymał karę UODO nałożoną na burmistrza Aleksandrowa Kujawskiego (2)
- główny zarzut dotyczył jednak tego, że decyzja prezesa UODO miała zostać wydana bez podstawy prawnej – zasady udostępniania informacji publicznej nie są bowiem uregulowane przepisami unijnymi, a zgodnie zaś z art. 2 ust. 2 lit a. RODO rozporządzenie to nie ma zastosowania do przetwarzania danych w ramach działalności nieobjętej zakresem prawa UE
- Z art. 6 ustawy o ochronie danych osobowych wynika, co polski ustawodawca postanowił wyłączyć spod RODO. Gdy sięgniemy do uzasadnienia projektu tej ustawy, przeczytamy, że celowo przyjęto w nim, że wyłączenie ma bardzo wąski charakter. Ratio legis tych uregulowań zostało więc jasno określone – przekonywał reprezentujący urząd radca prawny
- WSA przyznał rację UODO, wskazując, że w zakresie publikacji danych w BIP RODO ma zastosowanie i nie można powiedzieć, że decyzja została wydana bez podstawy prawnej
- sąd odniósł się też do zarzutu zbyt wysokiej kary – Sąd nie uważa, żeby kara w wysokości 40 proc. górnego zagrożenia była nadmierna, ekstraordynaryjna i przekraczała możliwości finansowe gminy. Jest ona adekwatna do naruszenia – wskazano w uzasadnieniu ustnym wyroku
Nowy rok szkolny - nowe wyzwania w zakresie ochrony danych osobowych (1)
- nie można mówić o funkcjonowaniu szkoły bez przetwarzania danych osobowych uczniów ich rodziców czy nauczycieli, warto zatem wiedzieć, kto jest administratorem, czyli ustala cele i sposoby przetwarzania danych – na swojej stronie UODO przedstawia praktyczne wskazówki w tym zakresie
1) przetwarzanie danych przez pielęgniarkę w szkole
- uczniowie są w szkole objęci podstawową opieką zdrowotną, na podstawie porozumienia zawartego pomiędzy podmiotem leczniczym i szkołą oraz umowy o udzielanie świadczeń opieki zdrowotnej zawartej między podmiotem leczniczym i NFZ
- zasady funkcjonowania gabinetu profilaktyki zdrowotnej zostały szczegółowo uregulowane w przepisach prawa
- w związku z niezależnością świadczenia opieki zdrowotnej, zarówno szkołę, jak i podmiot leczniczy należy traktować jako odrębnych administratorów, którzy sami, każdy w swoim zakresie i celu, są odpowiedzialni za przetwarzanie danych osobowych
2 )przetwarzanie danych w związku z COVID-19
- przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych osób w zakresie np. mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi
Nowy rok szkolny - nowe wyzwania w zakresie ochrony danych osobowych (2)
3)przetwarzanie danych uczniów w dokumentacji udzielania pomocy psychologiczno-pedagogicznej w szkole
- dokumentowanie udzielania pomocy psychologiczno-pedagogicznej w szkołach regulują przepisy ustawy Prawo oświatowe
- udzielenie pomocy psychologiczno-pedagogicznej dziecku w przedszkolu czy szkole jest realizacją systemowych zadań tych placówek, nałożonych przepisami prawa
- w tym przypadku administratorem zawartych w dokumentacji danych z prowadzonych zajęć w ramach udzielenia pomocy psychologiczno-pedagogicznej w szkole jest reprezentujący placówkę dyrektor
- w przypadku udzielania uczniom pomocy psychologiczno-pedagogicznej w poradni psychologiczno-pedagogicznej, administratorem jest poradnia
Źródło: https://uodo.gov.pl/pl/138/1674
Naruszenie danych przez Okręgowego Inspektora Pracy w Katowicach
- Prezes UODO otrzymał zgłoszenie naruszenia danych osobowych od Okręgowego Inspektora Pracy w Katowicach – organ wyjaśnia sprawę
- z przesłanego zgłoszenia wynika, że w bliżej nieokreślonym czasie pracownik Państwowej Inspekcji Pracy Okręgowy Inspektorat Pracy w Katowicach, działając bez zgody i zezwolenia kierownictwa przekazał osobie nieuprawionej teczkę zawierającą dokumentację z kontroli podmiotu
- dokumentacja zawierała m.in. dane osobowe w postaci: imienia, nazwiska, numeru ewidencyjnego PESEL oraz danych dotyczących zarobków i/lub posiadanego majątku
- po dokonaniu analizy zgłoszenia zaistniała konieczność złożenia dodatkowych wyjaśnień – UODO zwróciło się do administratora z pismem o złożenie wyjaśnień, które to pozwolą na ustalenie dokładnych okoliczności sprawy oraz na weryfikację, czy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych
- z informacji medialnych, jakie uzyskał Prezes UODO wynika, że naruszeniem mogło zostać objętych znacznie więcej podmiotów niż wskazane w zgłoszeniu
- ewentualne kolejne działania UODO będą uzależnione od dalszych informacji przekazanych przez administratora
Źródło: https://uodo.gov.pl/pl/138/1675
Morele.net jednak zapłaci za wyciek danych (1)
- Wojewódzki Sąd Administracyjny w Warszawie ogłosił wyrok w sprawie skargi spółki Morele.net na decyzję Prezesa UODO nakładającą administracyjną karę pieniężną
- WSA oddalił skargę i uznał, że decyzja o karze nałożonej na spółkę była zasadna
- WSA rozpatrywał skargę spółki Morele.net w związku z m. in. niewystarczającym zastosowaniem środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów, przez co do danych osobowych klientów uzyskały dostęp osoby nieuprawnione
- skarga dotyczyła decyzji Prezesa UODO z 10 września 2019 r. (), w której stwierdzono, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła przepisy RODO, wobec czego Prezes UODO nałożył na Morele.net karę pieniężną w wysokości 2,8 mln zł
- sąd podzielił stanowisko organu nadzorczego, iż zastosowane przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów, w tym jednoetapowa autoryzacja do panelu pracownika
Morele.net jednak zapłaci za wyciek danych (2)
- sąd potwierdził również argument UODO, że spółka niewystarczająco monitorowała potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza
- WSA oddalając skargę uznał, że decyzja Prezesa UODO spełnia wymogi decyzji wynikające z Kodeksu postępowania administracyjnego, a zarzuty strony skarżącej dotyczące naruszenia jej praw, w tym ograniczenia prawa do obrony nie zasługują na uwzględnienie
- WSA stwierdził, że organ nadzorczy prawidłowo ocenił stan faktyczny w przedmiotowej sprawie i uznał, że nałożona kara jest wysoka, ale w granicach prawa oraz uzasadniona okolicznościami – zdaniem sądu organ nadzorczy prawidłowo wziął pod uwagę czynniki obciążające oraz łagodzące karę
Źródło: https://uodo.gov.pl/pl/138/1704 https://prawo.gazetaprawna.pl/artykuly/1490051,morele-net-rodo-rekordowa-kara.html https://uodo.gov.pl/decyzje/ZSPR.421.2.2019
Precedensowy wyrok o przekazywaniu danych do USA (1)
- nie można nakazać europejskiej firmie, by ujawniła informacje o swych klientach na potrzeby toczącego się w USA postępowania – uznał amerykański sąd apelacyjny.
- wyrok jest precedensowy, gdyż amerykańskie sądy niespecjalnie przejmują się europejskimi przepisami
- w przedmiotowej sprawie uznały jednak, że polskie i europejskie regulacje o ochronie danych osobowych nie pozwalają wymagać od firm przekazywania informacji o klientach, gdyż mogłoby to narazić na odpowiedzialność karną
- sprawa dotyczyła portalu internetowego z treściami pornograficznymi należącego do polskiej spółki cywilnej – w 2015 r. pozew przeciwko niej złożyła amerykańska firma AMA Multimedia (zarzut dotyczył naruszenia praw autorskich)
- na początkowym etapie sprawy konieczne było ustalenie właściwej jurysdykcji (pozew został złożony w sądzie amerykańskim, strona polska wniosła o jego oddalenie w związku z brakiem jurysdykcji tego sądu nad podmiotami, które nie mają z USA żadnego kontaktu, poza działającą tutaj stroną internetową)
Precedensowy wyrok o przekazywaniu danych do USA (2)
- chodziło o ustalenie, czy działalność ePorner jest adresowana na amerykański rynek – AMA Multimedia przekonywała m.in., że serwis internetowy ma wielu użytkowników mieszkających w USA i aby to udowodnić, wystąpiła z wnioskiem o udostępnienie danych osobowych użytkowników
- polska firma sprzeciwiła się temu wnioskowi – RODO jeszcze wówczas nie obowiązywało, dlatego powołano się na ówczesną ustawę o ochronie danych osobowych
- sąd okręgowy w Arizonie przyznał polskiej firmie rację, odmawiając nakazania udostępnienia danych i uznając, że sprawa nie podlega pod amerykańską jurysdykcję
- AMA Multimedia złożyła jednak apelację, dodatkowo powołując się na stosowane już wówczas RODO oraz „Privacy Shield” (Tarczę Prywatności)
- sąd Apelacyjny dla Dziewiątego Okręgu nie wziął jednak nowych przepisów pod uwagę, gdyż w czasie składania pierwszego wniosku RODO jeszcze nie obowiązywało
Pierwszy zatwierdzony kodeks postępowania
- holenderski organ nadzorczy (Autoriteit Persoonsgegevens, AP) zatwierdził pierwszy w Holandii (kodeks postępowania w rozumieniu art. 40 RODO) – jest to najprawdopodobniej pierwszy zatwierdzony kodeks na terenie EOG
- AP zatwierdził kodeks postępowania opracowany przez stowarzyszenie branżowego NLdigital
- jest to kodeks postępowania, do którego mogą przystąpić organizacje z sektora ICT (technologii informacyjno-komunikacyjnych)
- organizacja, która opracowała kodeks postępowania, musi sprawować nadzór nad kodeksem poprzez powołanie właściwego organu, który będzie monitorował przestrzeganie kodeksu, oceniał, czy podmioty powiązane są uprawnione do stosowania kodeksu i rozpatrywał skargi dotyczące naruszeń kodeksu
- AP musi akredytować ten organ, następnie ocenić między innymi, niezależność i fachowość organu nadzorczego
- AP opracował odpowiednie kryteria i przedłożył je Europejskiej Radzie Ochrony Danych (EROD) – AP oczekuje ostatecznej odpowiedzi przed końcem tego roku
- w Polsce osiem kodeksów postępowania ws. ochrony danych osobowych czeka na zatwierdzenie Prezesa Urzędu Ochrony Danych Osobowych, a kolejne branże pracują nad własnymi.
Źródło: https://autoriteitpersoonsgegevens.nl/nl/nieuws/gedragscode-nldigital-goedgekeurd-door-ap https://biznes.gazetaprawna.pl/artykuly/1488700,dane-osobowe-rodo-zasady-w-branzach.html
Ranking kar RODO
- w tym roku w państwach unijnych zapłacono już kary w wysokości 60 181 250 euro w związku ze złamaniem przepisów RODO – wynika z raportu Finbold
- pod względem wysokości kar na pierwszym miejscu są Włochy – łączna wysokość 13 kar to 45 609 000 euro
- na kolejnych miejscach znalazły się: Szwecja (7 031 800 euro), Niderlandy (2 080 000 euro), Hiszpania (1 952 810 euro), Niemcy (1 240 000 euro)
- liczebnie najwięcej kar przyznano w Hiszpanii – aż 76
- Polska jest dopiero na 16 miejscu rankingu, z łączną wysokością zaledwie trzech kar 12 400 euro
- najczęstszą przyczyną wymierzenia kary dla firmy jest niedostateczna podstawa prawna do przetwarzania danych
- bezpośredni link do raportu: https://finbold.com/gdpr-fines-2020/
Źródło: https://www.computerworld.pl/news/Ranking-kar-RODO,422555.html
TikTok na celowniku CNIL
- francuski organ ochrony danych osobowych (CNIL) bada TikTok pod kątem naruszeń przepisów RODO
- rzecznik organu potwierdził, że CNIL wszczęło dochodzenie przeciwko platformie mediów społecznościowych TikTok, po otrzymaniu skargi osoby, której dane dotyczą, zarzucającej TikTok naruszenie unijnego ogólnego rozporządzenia o ochronie danych
- dochodzenie CNIL zostało wszczęte w następstwie skargi osoby, której dane dotyczą, dotyczącej żądania usunięcia filmu z platformy społecznościowej
- osoba, której dane dotyczą, twierdziła, że TikTok naruszył prawo do bycia zapomnianym
- dochodzenie od tego czasu rozszerzyło się i objęło kwestie związane z wymogami przejrzystości dotyczącymi przetwarzania danych użytkowników przez TikTok, prawa dostępu do danych użytkowników, przekazywanie danych użytkowników poza UE oraz kroki podjęte w celu zapewnienia odpowiedniej ochrony danych małoletnich
- TikTok próbuje założyć swoją główną europejską placówkę w Irlandii – jeśli się powiedzie, dochodzenie może zostać przekazane do rąk Irlandzkiego Rzecznika ds. Informacji (irlandzkiego organu nadzorczego)
Mierzenie temperatury możliwe bez zgody rodzica?
- na konferencji prasowej dotyczącej warunków powrotu uczniów do szkół Minister Edukacji Narodowej mówił, że do szkół trafi 20 tys. termometrów bezdotykowych – w związku z tym powstaje pytanie kiedy pracownicy placówki oświatowej, będą mogli z nich skorzystać? Czy do zmierzenia temperatury dziecka przed wejściem do szkoły wymagana jest zgoda rodzica lub opiekuna prawnego? Zdania przedstawicieli doktryny są w tym zakresie podzielone:
- tak – mierzenie temperatury dziecku przed wejściem do budynku szkoły wymaga zgody rodziców, z art. 9 ust. 1 RODO wynika bowiem ogólny zakaz przetwarzania danych osobowych szczególnej kategorii, w tym dotyczących zdrowia, od tego zakazu istnieją wyjątki, do których należy sytuacja, gdy daje dotyczące zdrowia są przetwarzane na podstawie zgody, dane dotyczące temperatury czy to dzieci w wieku przedszkolnym czy w wieku szkolnym mogą być przetwarzane po wcześniejszym otrzymaniu zgody rodziców lub prawnych opiekunów, zgoda może zostać wyrażona z góry np. na cały rok szkolny i nie ma co do zasady konieczności, by rodzic musiał ją wyrażać za każdym razem, gdy mierzenie temperatury jest konieczne, w przypadku braku zgody, istnieje możliwość by zgodę taką wyraził GIS
- nie – wprost takiego upoważnienia w przepisach nie ma, za to w wytycznych sanitarnych dla jednostek oświaty mowa jest ogólnie o posiadaniu termometrów w placówce oraz o podwyższonej temperaturze u dziecka, co w praktyce wymaga jej pomiaru, czyli pośrednio uprawnia szkołę czy przedszkole do mierzenia, nawet, gdy zgody wprost od rodziców nie ma, to wygląda jednak na pewną lukę prawną, choć eksperci wskazują, że jest to luka o małym znaczeniu, to samo byłoby np. w przypadku bramek termicznych
UODO o orzeczeniach o niepełnosprawności (1)
- do Urzędu Ochrony Danych Osobowych pracodawcy zwracają się z pytaniami dotyczącymi orzeczeń o niepełnosprawności pracownika – na jakiej podstawie prawnej mają je przetwarzać oraz gdzie przechowywać
- dane osobowe, które obejmuje treść orzeczenia o niepełnosprawności zostały wskazane w § 13 Rozporządzenia ministra gospodarki, pracy i polityki społecznej w sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności, a pracodawca może przetwarzać dane osobowe zawarte w orzeczeniu zarówno w postępowaniu rekrutacyjnym, jak i później, nawiązując stosunek pracy
- prowadzący rekrutację nie musi pozyskiwać zgody na przetwarzanie szczególnej kategorii danych osobowych w zw. z przesłaniem przez kandydata orzeczenia potwierdzającego niepełnosprawność, ponieważ nastąpiło to z jego inicjatywy – wynika tak wprost z przepisów prawa
- pracodawca nie może objąć pracownika ulgami i świadczeniami, odpowiednimi dla jego stopnia niepełnosprawności, jeżeli nie przedstawi on właściwych dokumentów – jeżeli takie dokumenty pracownik przedstawi, to pracodawca przetwarza je w celu realizacji swoich obowiązków wynikających z określonych przepisów
UODO o orzeczeniach o niepełnosprawności (2)
- zgodnie z art. 2 b ust. 1 Ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych w związku z realizacją uprawnień przysługujących pracownikowi z tytułu niepełnosprawności pracodawca może przetwarzać dane dotyczące stanu zdrowia pracownika, w tym informacje o niepełnosprawności
- reasumując, dane zawarte w orzeczeniu – zarówno kandydata, jak i późniejszego pracownika, pracodawca przetwarza na podstawie przepisów prawa (art. 6 ust. 1 lit. c) oraz 9 ust. 2 lit. b) RODO łącznie z odpowiednim przepisem krajowym
- Rozporządzenie ministra rodziny, pracy i polityki społecznej w sprawie dokumentacji pracowniczej wskazuje, że katalog oświadczeń lub dokumentów gromadzonych w części B akt osobowych nie jest wyczerpujący i obejmuje oświadczenia lub dokumenty, których podstawę prawną pozyskania stanowi Kodeks pracy lub inne przepisy – pomimo, że rozporządzenie nie wymienia wprost orzeczenia o niepełnosprawności wśród dokumentów, które mają być przechowywane w ww. części dokumentacji pracowniczej, należy uznać, że z uwagi na to, że orzeczenie stanowi podstawę realizacji szeregu uprawnień przysługujących pracownikowi na podstawie przepisów szczególnych, jego kopię pracodawca powinien umieścić właśnie tam – w części B akt osobowych pracownika
Źródło: https://uodo.gov.pl/pl/138/1639
Sprawozdanie z działalności Prezesa UODO za 2019 r.
- na stronie internetowej Urzędu Ochrony Danych Osobowych opublikowano sprawozdanie z działalności Prezesa UODO za 2019 r.
- w sprawozdaniu organ opisuje swoją działalność w zakresie nakładania kar i przeprowadzanych kontroli, ale również podejmowane działania w zakresie edukacji i współpracy międzynarodowej
- w sprawozdaniu zostały opisane m.in. trzy kary finansowe, których decyzje nie zostały opublikowane na stronie internetowej organu
- sprawozdanie dostępne jest pod linkiem: https://uodo.gov.pl/pl/437/1173
100 tys. zł kary dla GGK
- Główny Geodeta Kraju na swojej stronie internetowej poinformował, że Prezes UODO nałożył na niego decyzję nakładającą karę pieniężną oraz zabraniającą udostępniania numerów ksiąg wieczystych w serwisie www.geoportal.gov.pl
- Prezes Urzędu Ochrony Danych Osobowych 24 sierpnia 2020 r. wydał decyzję nakładającą na Głównego Geodetę Kraju karę pieniężną w wysokości 100 tys. złotych oraz zakaz publikowania w rządowym serwisie www.geoportal.gov.pl numerów ksiąg wieczystych
- GGK informuje, że z ubolewaniem przyjmuje niniejszą decyzję i zaskarży ją do Wojewódzkiego Sądu Administracyjnego
- w opinii GGK nie może być tak, że rządowy portal służący bezpłatnie wszystkim obywatelom jest ograniczany przez Prezesa UODO jedynie na podstawie jego własnej oceny, że numery ksiąg wieczystych są danymi osobowymi – nie jest to poparte żadnym przepisem prawa, ani prawomocnym orzeczeniem sądu
- GGK podkreśla, że Prezes UODO walcząc z rządowym Geoportalem, podważa zaufanie do legalności działania rządowego serwisu, a jednocześnie nie interesuje się portalami komercyjnymi, które odpłatnie udostępniają informacje z rejestrów publicznych
- uzasadnienie decyzji Prezesa UODO nie jest znane, a informacja na temat kary nie pojawiła się jeszcze na stronie internetowej organu
- to już druga decyzja nakładająca karę finansową na GGK – pierwsza z nich, również w wysokości 100 tys. zł. została nałożona za brak współpracy z organem nadzorczym
UODO udziela kolejnych odpowiedzi (1)
1)Czy w celu wytworzenia legitymacji należy skorzystać z powierzenia przetwarzania?
- zgodnie z art. 11a ust. 1 ustawy Karta Nauczyciela, dyrektor szkoły, na wniosek nauczyciela, wystawia nauczycielowi legitymację służbową, ponadto zgodnie z treścią § 2 ust. 1 Rozporządzenia Ministra Edukacji Narodowej z dnia 29 września 2006 r. w sprawie wzoru oraz trybu wystawiania legitymacji służbowej nauczyciela, legitymację wydaje dyrektor szkoły w terminie 30 dni od dnia złożenia przez nauczyciela wniosku o jej wystawienie
- szkoła udostępnia podmiotowi zewnętrznemu w celu wykonania legitymacji dane osobowe w zakresie: imię i nazwisko, kolorowe zdjęcie posiadacza legitymacji oraz podpis posiadacza.
- biorąc pod uwagę treść przytoczonych przepisów, w przedstawionej sytuacji zasadne jest zawarcie umowy powierzenia przetwarzania danych osobowych przez szkołę z podmiotem zewnętrznym, który wytwarza legitymacje służbowe dla nauczycieli
Źródło: https://uodo.gov.pl/pl/225/1642
UODO udziela kolejnych odpowiedzi (2)
2)Jaki jest status WIOŚ w związku z wizyjnym systemem kontroli składowisk odpadów?
- zgodnie z art. 25 ust. 6a Ustawy o odpadach prowadzący magazynowanie odpadów jest obowiązany do prowadzenia wizyjnego systemu kontroli miejsca magazynowania lub składowania odpadów, który prowadzi się przy użyciu urządzeń technicznych zapewniających przez całą dobę zapis obrazu i identyfikację osób przebywających w tym miejscu
- w przypadku magazynowania lub składowania wymienionych w tym przepisie odpadów palnych prowadzący magazynowanie zapewnia wojewódzkiemu inspektorowi ochrony środowiska dostępność obrazu z wizyjnego systemu kontroli tego miejsca w czasie rzeczywistym przez przekazanie informacji umożliwiających logowanie do wizyjnego systemu kontroli miejsca magazynowania lub składowania odpadów w sposób zapewniający zachowanie tych informacji w poufności
- wojewódzki inspektor ochrony środowiska wykorzystuje dostęp do rejestrowanego obrazu w czasie rzeczywistym w przypadku prowadzonej kontroli oraz powzięcia uzasadnionego podejrzenia popełnienia przestępstwa przeciwko środowisku
- analiza przepisów pozwala zasadnie przyjąć, że w przypadku udostępnienia przez podmiot prowadzący magazynowanie obrazu z wizyjnego systemu kontroli w czasie rzeczywistym na rzecz wojewódzkiego inspektora ochrony środowiska, inspektor przetwarza pozyskane w ten sposób dane osobowe dla realizacji własnych zadań – w takiej sytuacji mamy zatem do czynienia z udostępnieniem danych osobowych na rzecz odrębnego administratora
Źródło: https://uodo.gov.pl/pl/225/1641
UODO udziela kolejnych odpowiedzi (3)
3)Kto jest administratorem danych osobowych przetwarzanych w urzędzie wojewódzkim?
- w odniesieniu do urzędu wojewódzkiego pomocniczo można wskazać, że co do zasady w przypadku przetwarzania danych pracowników lub kandydatów do pracy administratorem jest jednostka organizacyjna będąca pracodawcą w rozumieniu prawa pracy (w przypadku pracowników urzędu wojewódzkiego pracodawcą jest ten urząd), natomiast – wobec danych interesantów (w tej samej jednostce organizacyjnej) za administratora może być uznany właściwy do realizacji określonych zadań (podejmowania decyzji, uchwał) – organ jednoosobowy lub kolegialny
- w tym przypadku organem takim będzie zazwyczaj wojewoda, nie zaś dyrektor generalny, dyrektor generalny urzędu co do zasady dokonuje jedynie pewnych czynności w imieniu kierownika jednostki, a nie w swoim własnym
- regulamin organizacyjny, plany działalności i inne wewnętrzne dokumenty warunkujące cel przetwarzania danych zatwierdza kierownik jednostki, a nie dyrektor generalny, ponadto dyrektor również sam nie decyduje o sposobach przetwarzania, gdyż np. kwestie finansowe, muszą być zatwierdzone przez kierownika jednostki, co w znaczący sposób determinuje możliwość samodzielnego decydowania w tym zakresie
Źródło: https://uodo.gov.pl/pl/225/1640
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.