Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 11.02.2019

Kto może skanować dowody osobiste, kto będzie obserwować telemarketing pod kątem RODO, pierwsze kary za RODO w Polsce, nowe wzory dokumentów kadrowych. To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z końcówki stycznia 2019 i pierwszej połowy lutego 2019.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Kto może skanować dowody osobiste?

  • W związku ze stosowaniem RODO powstaje wiele kontrowersji na temat skanowania dowodów osobistych Polaków. Niektóre podmioty mają jednak takie uprawnienie.
  • Są to tzw. podmioty zobowiązane na mocy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (z angielskiego – AML).
  • Podmioty zobowiązane mają obowiązek potwierdzenia ustalonych danych identyfikacyjnych klienta przy pomocy dokumentu stwierdzającego tożsamość (art. 37 ustawy), a także uprawnienie do sporządzania ich kopii (art. 34 ust. 4 ustawy).

Źródło: https://niebezpiecznik.pl/post/przelewy24-skycash-revolut-skan-dowodu/ 

CNIL ukarał Google

  • 21 stycznia 2019 r. CNIL (francuski organ ochrony danych osobowych) nałożył na Google LLC karę w wysokości 50 milionów euro.
  • Powody? Brak przejrzystości (obowiązek informacyjny nie jest łatwo dostępny dla użytkowników – wymaga 5-6 działań), niedostateczna ilość przekazywanych informacji (np. cele przetwarzania wskazane są w sposób zbyt ogólny) oraz naruszenie warunków wyrażenia zgody dotyczącej spersonalizowanych reklam (świadomości, konkretności i jednoznaczności).
  • Testy online narzędzi Google, będących przedmiotem skargi, przeprowadzone zostały we wrześniu 2018 r.

Źródło: https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

Brak umowy powierzenia = 5000 euro

  • Karę w takiej wysokości musi zapłacić firma Kolibri Image z Hamburga za naruszenie art. 28 ust. 3 RODO.
  • Kolibri Image, jako administrator danych, uchylała się od zawarcia umowy powierzenia z dostawcą usług z Hiszpanii. Firma zrobiła to świadomie ponieważ uważała, że obowiązek przedstawienia projektu umowy spoczywa na podmiocie przetwarzającym.
  • Organ ochrony danych osobowych ustalił, że dane były przekazywane podmiotowi zewnętrznemu bez podstawy prawnej (umowy powierzenia).

Źródło: https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html

Większe nakłady potrzebne na cyberbezpieczeństwo

  • Polska Izba Informatyki i Telekomunikacji zwróciła się z petycją do Ministra Cyfryzacji o podjęcie działań zmierzających do zwiększenia środków na cyberbezpieczeństwo Polski.
  • Izba krytykuje art. 93 ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ustala maksymalne poziomy wydatków na cele związane z realizacją ustawy dla poszczególnych działów administracji rządowej (na lata 2019 – 2027).

Źródło: https://www.cyberdefence24.pl/polska-musi-zwiekszyc-wydatki-na-cyberbezpieczenstwo

Akcje ratownicze będą nagrywane?

  • Ministerstwo zdrowia pracuje nad przepisami nowelizującymi ustawę o Państwowym Ratownictwie Medycznym, które uprawnią do rejestrowania na wideo akcji ratowniczych.
  • Eksperci wskazują, że przepisy powinny decyzję o tym, czy filmować interwencję, pozostawić w rękach ratownika. Filmowanie każdej akcji może doprowadzić do nagrania sytuacji, w których nikt nie chciałby być oglądany, ani filmowany (np. sytuacje intymne).

Źródło: https://www.rp.pl/Lekarze-i-pielegniarki/301209937-Ratownicy-medyczni-kamery-ochronia-w-karetkach.html&cid=44     

         

Czy można pytać świadków o niekaralność?

  • Pytanie dotyczy przesłuchania świadka przez organ podatkowy w trakcie postępowania prowadzonego na podstawie Ordynacji podatkowej.
  • Rzecznik prasowy UODO wskazała, że organy podatkowe mogą sprawdzić karalność świadka w Krajowym Rejestrze Karnym, ale nie oznacza to, że mogą świadka pytać o niekaralność w trakcie przesłuchania.
  • Dane dotyczące karalności są danymi objętymi szczególną ochroną na mocy art. 10 RODO i przetwarzanie ich jest dozwolone wyłącznie w dwóch przypadkach. Rzecznik UODO podkreśliła, że przepisy Ordynacji podatkowej nie nadają uprawnienia organowi podatkowemu do pytania świadków o niekaralność.

Źródło: https://www.prawo.pl/podatki/pytanie-swiadkow-o-karalnosc-w-postepowaniu-podatkowym,360271.html?utm_source=twitter.com&utm_medium=social           

Spór między UODO, a MC?

  • Prezes Urzędu Ochrony Danych Osobowych wydał oświadczenie w sprawie konferencji Ministra Cyfryzacji (23 stycznia), na której zaprezentowane zostały objaśnienia prawne dotyczące przetwarzania danych osobowych w rekrutacji, wydane na mocy art. 33 ustawy Prawo przedsiębiorców.
  • Prezes UODO twierdzi, iż MC wkracza w kompetencje organu nadzorczego, co narusza przepisy Rozporządzenia. Dokonywanie wiążącej interpretacji przepisów RODO to wyłączna kompetencja organów nadzorczych oraz Europejskiej Rady Ochrony Danych.
  • Organ nadzoru przestrzega przed ewentualną odpowiedzialnością Skarbu Państwa za stosowanie się przedsiębiorców do wytycznych MC, które mogą być sprzeczne z wykładnią UODO.
  • Interesujący pogląd przedstawił również mec. Dominik Lubasz, zgodnie z którym Minister Cyfryzacji, jako organ krajowy, nie może wydawać wiążących interpretacji przepisów unijnego rozporządzenia, które jest aktem bezpośrednio stosowanym i wyłączą w tym zakresie kompetencje krajów członkowskich.

Źródła: https://uodo.gov.pl/pl/138/672, https://www.prawo.pl/kadry/kto-moze-interpretowac-rodo-opinia-radcy-prawnego-dominika,362066.html

Objaśnienia prawne ujrzały światło dzienne

  • Minister Cyfryzacji wydał, w trybie art. 33 ustawy Prawo przedsiębiorców, objaśnienia prawne dotyczące przepisów RODO.
  • Objaśnienia dotyczą dalszego gromadzenia danych osobowych osób ubiegających się o zatrudnienie u pracodawcy po zakończeniu rekrutacji. MC prezentuje stanowisko bardziej liberalne niż w Prezes UODO w swoim poradniku dotyczącym zatrudnienia.
  • Objaśnienia dostępne są w BIP-ie Ministra Cyfryzacji.

Źródło: https://www.gov.pl/web/cyfryzacja/objasnienia-prawne-dla-pracodawcow-dotyczace-rodo

RODO dla służb niebawem wejdzie w życie

  • Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (tzw. RODO dla służb) została opublikowana 22 stycznia 2019 r. w Dzienniku Ustaw (rok 2019, pozycja 125).
  • RODO dla służb wejdzie w życie po upływie 14 dni od dnia ogłoszenia, a zatem 6 lutego 2019 r.

Źródło: http://www.dziennikustaw.gov.pl/DU/2019/125                  

Japonia jest już krajem bezpiecznym

  • Komisja Europejska, w dniu 23 stycznia 2019 r., przyjęła w stosunku do Japonii decyzję, stwierdzającą odpowiedni poziom ochrony.
  • Od tej pory przekazywanie danych osobowych do Japonii, pomimo iż jest państwem trzecim w rozumieniu Ogólnego rozporządzenia o ochronie danych, będzie możliwe bez żadnych przeszkód na podstawie art. 45 ust. 1 RODO.
  • Proces decyzyjny w tej sprawie rozpoczął się we wrześniu 2018 r.

Źródło: http://europa.eu/rapid/press-release_IP-19-421_pl.htm

Cierpliwość bywa wynagradzana?

  • Nie zawsze, w szczególności jeśli chcemy dodzwonić się do Straży Miejskiej w Lublinie.
  • Po wybraniu numeru 986 dwukrotnie wybrzmiewa komunikat dotyczący przetwarzania danych osobowych, przy czym jest to skrócony (warstwowy) obowiązek informacyjny odsyłający do strony internetowej Straży.
  • Po odsłuchaniu komunikatu nie zawsze dochodzi jednak do połączenia z dyżurnym.

Źródło: https://www.dziennikwschodni.pl/lublin/chcesz-wezwac-straz-miejska-zanim-porozmawiasz-z-dyzurnym-posluchasz-o-rodo,n,1000235769.html

Kolejna sesja EROD

  • W dniach 22 – 23 stycznia 2019 r. miała miejsce szósta sesja Europejskiej Rady Ochrony Danych.
  • Tematy, które omawiano to: przyjęcie raportu z oceny funkcjonowania Privacy Shield z USA, Brexit, opinia w sprawie aspektów związanych z odpowiednimi podstawami prawnymi w kontekście badań klinicznych oraz wtórnego wykorzystania danych z badań klinicznych do celów naukowych, przyjęcie wykazów obowiązkowego DPIA z Liechtensteinu i Norwegii, przyjęcie ostatecznej wersji wytycznych dot. certyfikacji.

Źródło: https://edpb.europa.eu/news/news/2019/european-data-protection-board-sixth-plenary-session-privacy-shield-brexit-clinical_en

UODO: jakie plany na 2019?

  • Z pewnością ambitne. Prezes UODO opublikował w czwartek 24 stycznia 2019 r. plan kontroli sektorowych na rok 2019.
  • UODO zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów.
  • Kontrolerzy UODO sprawdzą też udostępnianie danych w Biuletynie Informacji Publicznej przez podmioty do tego zobowiązane.
  • Pod lupą UODO znajdą się też: Policja, Straż Graniczna i areszty śledcze w zakresie stosowania przez nie środków technicznych i organizacyjnych mających na celu zabezpieczenie przed nieuprawnionym dostępem, kopiowaniem, zmienianiem czy usuwaniem danych.

Źródło: https://uodo.gov.pl/pl/138/679

Vox populi uderzy w Morele

  • Informowaliśmy już kilkukrotnie o wycieku danych ze sklepu Morele.net oraz wszczętym postępowaniu przed Prezesem UODO.
  • To jednak nie koniec problemów sklepu, pracownicy Uniwersytetu Ekonomicznego w Katowicach przeprowadzili ankietę wśród klientów sklepu dotyczącą wycieku. Wyniki są miażdżące.
  • Przykładowo: uczestnicy mieli ocenić zaufanie do Moreli przed wyciekiem i po nim (w skali od 1 do 5). Wyniki to odpowiednio: 4,02 i 1,74.

Źródło: https://ithardware.pl/aktualnosci/mamy_wyniki_badania_na_temat_zaufania_po_incydencie_w_morele_net-8441.html

Śledzenie przez detektywa w miejscu publicznym nie narusza prywatności

  • 17 stycznia 2019 r. Europejski Trybunał Praw Człowieka opublikował decyzję, w której uznał, że śledzenie osoby ubezpieczonej na zlecenie prywatnego ubezpieczyciela, aby zweryfikować roszczenia ubezpieczonego o odszkodowanie, nie jest naruszeniem prawa do poszanowania życia prywatnego i rodzinnego.
  • Sądy krajowe (Szwajcaria) stwierdziły, że interes ubezpieczyciela (oraz innych ubezpieczonych) był nadrzędny w stosunku do ochrony skarżącego przed ingerencją w jego prawo do poszanowania prywatności.
  • Poszkodowany ma obowiązek współpracy z ubezpieczycielem w celu ustalenia wysokości szkody, w tym bez jego wiedzy i zgody.

Źródła: Mehmedovic przeciwko Szwajcarii – decyzja ETPC z dnia 11 grudnia 2018 r., skarga nr 17331/11.

            https://www.prawo.pl/prawo/detektyw-moze-sledzic-osobe-w-miejscu-publicznym-wyrok-etpc,362652.html

Przelewy24: uwaga na fałszywki

  • Spółka PayPro, operator popularnego serwisu Przelewy24, wydała ostrzeżenie przed atakiem wymierzonym w osoby korzystające z płatności internetowych.
  • Podszywacze rozsyłają wiadomości w imieniu operatora, po otwarciu których komputer może zostać zainfekowany złośliwym oprogramowaniem.

Źródło: https://www.cashless.pl/5288-przelewy24-atak-ostrzezenie

UODO o łańcuszkach na Facebooku

  • Ostatnio popularnym zjawiskiem stało się wklejanie na profilu Facebookowym łańcuszków o braku zgody na używanie zdjęć czy informacji na profilu. Na tyle popularnym, że do sprawy odniósł się Prezes UODO na stronie internetowej.
  • UODO informuje, że zamieszczanie łańcuszków nie ma większego sensu, gdyż nie mają mocy prawnej w relacjach z portalem społecznościowym.
  • Prezes UODO wielokrotnie zwraca uwagę, by nie zamieszczać informacji o nas bezrefleksyjnie nie tylko w mediach społecznościowych, ale w ogóle w Internecie. Porównuje je przy tym do balonów, które raz wypuszczone z ręki nigdy nie wracają.

Źródło: https://uodo.gov.pl/pl/138/682

Mobbing, a obowiązek informacyjny

  • W trakcie postępowania antymobbingowego najczęściej dochodzi do przetwarzania danych osobowych, lecz nie tylko zgłaszającego czy świadków, ale także mobbera, którego dane pozyskiwane są głównie od ofiary mobbingu.
  • Zdaniem autorki, do czasu zakończenia postępowania wyjaśniającego obowiązek informacyjny z art. 14 RODO jest wyłączony na podstawie art. 14 ust. 5 lit. d RODO (obowiązek zachowania tajemnicy zawodowej).
  • Tajemnicę zawodową autorka wywodzi z art. 943 § 1 Kodeksu pracy, w myśl którego pracodawca ma obowiązek przeciwdziałać mobbingowi.

Źródło: https://kancelarierp.pl/baza-wiedzy/mobbing-konieczna-poufnosc-danych.html

Prawo telekomunikacyjne nie zabrania kontaktu w celu uzyskania zgody

  • Orzecznictwo sądowe i stanowisko UOKiK są rozbieżne w kontekście art. 172 Prawa telekomunikacyjnego. We wrześniu 2017 r. UOKiK wszczął postępowanie przeciwko Netii o naruszenie art. 172 PT w kontekście telefonowania do abonentów i pytania o zgodę na przedstawienie oferty.
  • Z tym stanowiskiem nie zgodził się najpierw Sąd Rejonowy dla Warszawy Pragi-Południe, a którą następnie podzielił w II instancji Sąd Okręgowy Warszawa-Praga w Warszawie. Wyrok jest już prawomocny.
  • Sąd stwierdził, iż nie jest sprzeczne z art. 172 PT wykonywanie połączeń na losowo wybrane numery abonentów bez ich zgody w celu ustalenia, czy wyrażają oni zgodę na kontakt telefoniczny w celu marketingu bezpośredniego. Zakaz z art. 172 PT powinien być interpretowany ściśle, a nie rozszerzająco, ponieważ Konstytucja ustanawia zasadę proporcjonalności.

Źródła: http://nieuczciwepraktykirynkowe.pl/?p=1404, Wyrok Sądu Okręgowego Warszawa-Praga w Warszawie z dnia 4 stycznia 2019 r. (IV Ca 1873/16)

Wdrożenie RODO = poprawa bezpieczeństwa

  • Takie wnioski płyną z raportu Data Privacy Benchmark Study. Badania przeprowadziła firma Cisco.
  • Odnotowano m. in. mniej naruszeń ochrony danych u firm, które wdrożyły u siebie RODO (74 %), niż u tych, które są dopiero w trakcie wdrożenia (84 %) lub nie podjęły się go wcale (blisko 90 %). To nadal jednak bardzo wysoki procent.
  • Wdrożenie RODO pomogło jednak zminimalizować skutki ewentualnych naruszeń, stąd też firmy, które zdecydowały się dostosować do wymogów Rozporządzenia, straciły statystycznie najmniej rekordów z danymi w przypadku incydentu.

Źródło: https://www.dobreprogramy.pl/Cisco-RODO-zmniejsza-ryzyko-naruszenia-danych-w-firmach-i-minimalizuje-straty,News,99975.html

Przesyłanie CV pracowników oferenta w przetargach jest legalne

  • Artykuł porusza problematykę przesyłania dokumentów aplikacyjnych (w szczególności CV) pracowników oferenta do zamawiającego w zamówieniach publicznych oraz zamówieniach unijnych.
  • Autor stwierdza, że oferent może udostępnić zamawiającemu dane swoich pracowników, jeśli wymogi przetargu nakładają obowiązek udokumentowania ich umiejętności i kompetencji.
  • Wiąże się to również ze spełnieniem obowiązku informacyjnego. Oferent powinien o możliwości udostępnienia danych poinformować swoich pracowników przy rozpoczęciu pracy. Z kolei zgodnie z wytycznymi Urzędu Zamówień Publicznych, obowiązkiem oferenta jest przedstawienie, jako elementu oferty, oświadczenia o realizacji obowiązku informacyjnego względem osób, które będą wykonywały zamówienie – przy czym jest to obowiązek zamawiającego (wtórny), jednak zrealizowany być powinien przez oferenta.

Źródło: https://www.prawo.pl/biznes/podstawa-prawne-przeslania-zamawiajacemu-cv-pracownikow-zgodna-z,362678.html

Szyfrowanie maili po niemiecku

  • Organ ochrony danych osobowych w Nadrenii Północnej-Westfalii (Niemcy) wydał stanowisko dotyczące szyfrowania wiadomości e-mail w kontekście art. 32 ust. 1 lit. a) RODO.
  • W pierwszej kolejności organ zauważył, że szyfrowanie może nastąpić na poziomie treści maila (rekomendowane standardy szyfrowania: S / MIME i OpenPGP), jak i na poziomie jego przesyłania do odbiorcy (należy postępować zgodnie z wytycznymi niemieckiego federalnego organu nadzorczego BSI TR-03108 Bezpieczny transport e-mail).
  • Organ stwierdził również, że każda komunikacja drogą e-mail powinna posiadać szyfrowanie przynajmniej na poziomie transportu (przesyłania).
  • Dodatkowo, zdaniem organu nadzorczego, w temacie wiadomości e-mail nie powinny nigdy znajdować się dane osobowe.

Źródło: https://www.linkedin.com/pulse/german-data-protection-authority-north-communication-e-mail-piltz/

Pogromcy mitów RODO

  • Komisja Europejska, z okazji nadchodzącego Dnia Ochrony Danych Osobowych wydała krótką broszurę Mythbusting: General Data Protection Regulation.
  • Infografika, która przedstawiona jest w konwencji popularnego filmu, rozprawia się z niektórymi RODO-mitami.

Źródło: https://ec.europa.eu/commission/sites/beta-political/files/100124_gdpr_factsheet_mythbusting.pdf

Ocena ryzyka jest konieczna, aby wdrożyć odpowiednie zabezpieczenia

  • Do obowiązków administratora danych i podmiotu przetwarzającego należy dobór adekwatnych zabezpieczeń z uwzględnieniem (między innymi) ryzyka związanego z przetwarzaniem danych osobowych, zgodnie z art. 32 RODO. Wynika z tego obowiązek przeprowadzenia przez te podmioty ogólnej analizy ryzyka.
  • Autorzy podpowiadają, aby jako metodykę wykorzystać np. istniejące normy ISO w tym zakresie (w szczególności z rodziny 27000) lub metodykę oraz aplikację do PIA opublikowaną przez CNIL (francuski organ ochrony danych osobowych).
  • Zdaniem autorów, analizę ryzyka należy przeprowadzać dla procesu przetwarzania danych osobowych lub grupo podobnych procesów.

Źródło: https://www.prawo.pl/biznes/rodo-najpierw-ocena-ryzyka-potem-ochrona-danych,362658.html  

Połączone siły będą obserwować telemarketing

  • Prezes UODO, Prezes UOKiK i Prezes UKE łączą siły w celu zapewnienia prawidłowości działania firm telemarketingowych w stosunku do różnych przepisów, w tym RODO.
  • Powody? Pod względem zgodności z RODO, Klienci mają problemy z otrzymaniem informacji, kto jest administratorem danych czy skąd ich numer znalazł się w bazie, którą otrzymało call center, krótko mówiąc – niski poziom transparentności.
  • Wiele wątpliwości powstaje przy zagadnieniu, który podmiot powinien realizować prawa osób, których dane dotyczą: administrator danych, call center jako podmiot przetwarzający, czy może broker danych.

Źródło: https://www.prawo.pl/biznes/telemarketing-problemy-ze-stosowaniem-rodo,363833.html 

Tańszy węgiel, czy ochrona danych osobowych?

  • Z takim dylematem muszą zmierzyć się od początku 2019 r. osoby fizyczne nieprowadzące działalności gospodarczej, które chcą zakupić węgiel na własne potrzeby opałowe.
  • Obowiązująca od początku 2019 r. nowelizacja przepisów akcyzowych stanowi, iż aby nabyć węgiel ze zwolnieniem z zapłaty akcyzy, należy podać w oświadczeniu o przeznaczeniu węgla: imię, nazwisko, adres oraz numer PESEL i numer dowodu osobistego (ewentualnie innego dokumentu tożsamości).
  • Nabywcy niechętnie podchodzą jednak do podawania danych, w szczególności numeru PESEL oraz dowodu osobistego, mając w świadomości obowiązujące przepisy RODO.

Źródło: https://ksiegowosc.infor.pl/podatki/akcyza/rozliczanie-i-dokumentacja/2867945,Akcyza-2019-dokumentacja-sprzedazy-wegla-odbiorcom-indywidualnym.html 

Skarga do UODO na IAB i Google

  • Fundacja Panoptykon złożyła do Prezesa UODO skargę na Interactive Advertising Bureau (IAB) oraz Google – nieformalnych regulatorów w branży reklamy interaktywnej.
  • Zarzuty stawiane IAB i Google, to: dostęp do danych setek podmiotów, biorących udział w aukcjach reklamowych (aukcje dotyczą danych osobowych) bez wiedzy i zgody użytkowników, brak kontroli nad dalszym wykorzystaniem rozpowszechnionych danych, brak możliwości realizacji uprawnień przez osobę, której dane dotyczą, naruszenie zasady minimalizacji danych – na aukcję trafia więcej danych, niż jest potrzebne, aby dopasować reklamę do konkretnego użytkownika, w tym szczególne kategorie danych z art. 9 RODO.
  • Skargi dostępna są w tym miejscu.
  • Fundacja opublikowała również raport „Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem”, na kanwie którego zostały złożone skargi.

Źródło: https://panoptykon.org/panoptykon-skarzy-iab-google

Kary od UODO na horyzoncie

  • Prezes UODO zapowiada, że wkrótce nałożone zostaną pierwsze kary finansowe za nieprzestrzeganie przepisów RODO w Polsce.
  • Najbardziej przewidywane portale/firmy, które mogą zostać ukarane to: neo24.pl (Neonet), adwokat.com, morele.net oraz FreshMail. Każda z tych firm stwierdziła bowiem w swojej strukturze naruszenie ochrony danych osobowych.
  • UODO rozważa również podjęcie działań wskutek skargi na brokerów danych Acxiom, Experian i Oracle w zakresie posiadania przez nie podstawy prawnej do przetwarzania danych osobowych.

Źródło: https://www.prawo.pl/biznes/uodo-wkrotce-zacznie-karac-za-nieprzestrzeganie-rodo,362680.html      

         

Nowe pomocnicze wzory dokumentów pracowniczych

  • Na stronie internetowej Ministerstwa Rodziny, Pracy i Polityki Społecznej zostały opublikowane pomocnicze wzory dokumentów związanych z ubieganiem się o zatrudnienie, nawiązaniem, zmianą oraz ustaniem stosunku pracy: kwestionariusz osobowy dla osoby ubiegającej się o zatrudnienie, kwestionariusz osobowy dla pracownika, rozwiązanie umowy o pracę bez wypowiedzenia, rozwiązanie umowy o pracę za wypowiedzeniem, rozwiązanie umowy o pracę z zastosowaniem skróconego okresu wypowiedzenia, umowa o pracę oraz wypowiedzenie warunków umowy o pracę.
  • Dokumenty stanowią pomocniczy materiał dla pracodawców, a wydane zostały w związku z wejściem w życie 1 stycznia 2019 r. Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej.

Źródło: https://www.gov.pl/web/rodzina/bip-pomocnicze-wzory-dokumentow-zwiazanych-z-ubieganiem-sie-o-zatrudnienie-nawiazaniem-zmiana-oraz-ustaniem-stosunku-pracy             

Najpopularniejsze cyberzagrożenia w 2018: raport

  • European Union Agency for Network and Information Security (ENISA) wydała raport ENISA Threat Landscape Report 2018.
  • Według raportu, najpopularniejszym źródłem zagrożeń są obecnie wiadomości pocztowe oraz phishing.
  • Kryptominery stały się ważnym źródłem zarobku (monetyzacji) dla cyberprzestępców.
  • ENISA stwierdza również, że przedmioty IoT (Internetu rzeczy) są wysoce podane na wszelkie ataki cybernetyczne i istnieje wysokie zapotrzebowanie na architekturę obrony IoT.
  • Organizacja zauważyła również, że coraz popularniejszym polem walki cybernetycznej staje się sterowanie masowymi nastrojami.

Źródła: https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018 

Wytyczne dot. przekazywania danych partnerom biznesowym i brokerom danych

  • Wskazówki zostały wydane przez francuski organ ochrony danych osobowych – CNIL.
  • W szczególności: osoba, której dane dotyczą powinna wyrazić zgodę na udostępnienie oraz musi być w stanie zidentyfikować odbiorców danych z formularza, w którym odbywa się zbieranie danych (poprzez wylistowanie i bieżące aktualizowanie listy lub link do osobnej strony z listą). Należy informować osoby, których dane dotyczą, o zmianach na liście odbiorców/partnerów.
  • Każdy nowy partner, który otrzymuje dane osobowe, powinien przy pierwszej komunikacji, nie później niż w ciągu miesiąca, spełnić obowiązek informacyjny.
  • Niedopuszczalne jest również „przekazanie” zgody.

Źródło: https://www.cnil.fr/fr/transmission-des-donnees-des-partenaires-des-fins-de-prospection-electronique-quels-sont-les 

MF: dane podatników są bezpieczne!

  • Resort finansów udzielił odpowiedzi na interpelację posła PO Marcina Kierwińskiego, który pytał o to, czy dane podatników przechowywane są w chmurze.
  • MF wykorzystuje chmurę (Microsoft Azure) jedynie do transferu plików JPK od podatnika do ministerstwa. Transfer szyfrowany jest za pomocą algorytmów AES i RSA.
  • Po zakończeniu transferu danych pliki przechowywane są w lokalnych centrach podstawowych (Radom) oraz zapasowym (Warszawa).

Źródło: https://www.prawo.pl/podatki/rodo-i-ochrona-danych-osobowych-podatnikow-ministerstwo-finansow,364339.html 

Lista kontrolna jako narzędzie weryfikacji procesorów

  • Autor artykułu wskazuje, iż do obowiązków administratora danych, w związku z powierzeniem danych do przetwarzania, należy wybór właściwego podmiotu przetwarzającego. Administrator może również przeprowadzić audyt procesora.
  • Alternatywą dla każdorazowego przeprowadzania audytu procesora jest stworzenie uniwersalnej i szczegółowej listy kontrolnej. Taka weryfikacja stanowi, zdaniem autora, dowód świadczący o wyborze podmiotu przetwarzającego z uwzględnieniem obowiązku wskazanego w art. 28 ust. 1 RODO.

Źródło: http://inwestycje.pl/gospodarka/RODO-obowiazek-weryfikacji-podmiotu-przetwarzajacego-dane-a-lista-kontrolna-;332861;0.html   

ZUS: dobrowolna kontrola i niskie bezpieczeństwo

  • Niektórzy przedsiębiorcy otrzymują w ostatnim czasie pisma z ZUS-u, w których ZUS prosi o przekazanie do właściwej jednostki informacji o przeprowadzonych kontrolach pracowników w zakresie korzystania np. z zasiłku chorobowego. Przepisy jednak nie nakładają takiego obowiązku na pracodawcę (tylko uprawnienie).
  • Przesłanie danych do ZUS-u odbyć się miało przy pomocy zwykłego pliku Excel (.xlsx), nie wskazano przy tym, aby przynajmniej taki plik zabezpieczyć hasłem.

Źródło: https://niebezpiecznik.pl/post/to-nie-bylo-wyludzenie-danych-tylko-taka-prosba-zus-u/ 

Irlandia (znów) kontroluje Twittera

  • 25 stycznia 2019 r. irlandzki organ ochrony danych osobowych (DPC) poinformował, że prowadzi postępowanie, w którym stroną jest Twitter.
  • Sprawa dotyczy naruszenia ochrony danych osobowych, które zostało zgłoszone do DPC w dniu 8 stycznia 2019 r.
  • Nie jest to pierwsze postępowanie prowadzone w sprawie Twittera, wspominaliśmy już o tym w aktualnościach z dnia 19 listopada 2018 r.

Źródło: https://mobile.reuters.com/article/amp/idUSKCN1PJ28G 

Wyciek danych z księgarni

  • Doszło do wycieku danych z Księgarni Osób Myślących (XML.pl) prowadzonej przez FRONDA PL sp. z o.o.
  • Klienci księgarni otrzymali w nocy z 31 stycznia na 1 lutego 2019 r. wiadomość e-mail z propozycją kupna jej bazy danych.
  • Wyciek może dotyczyć ok. 37 tysięcy użytkowników i płatności powyżej 11 mln zł.
  • Sprawa została zgłoszona do Prezesa UODO oraz na Policję.
  • Wyciekiem mogły być objęte: imiona, nazwiska, adresy, nr telefonów, adresy e-mail.

Źródło: https://niebezpiecznik.pl/post/dane-36-tys-uzytkownikow-ksiegarni-xlm-pl-rzekomo-wyciekly-i-sa-na-sprzedaz/ 

Nie tylko karami RODO stoi

  • Niemcy: komisarz ochrony danych dla landu Meklemburgia – Pomorze Przednie nakazał, na podstawie art. 58 ust. 2 lit. f) RODO zaprzestanie przetwarzania danych osobowych przez policję w miejscowości Schwerin.
  • Policja wykorzystywała 8 kamer wideo, które monitorowały Marienplatz w Schwerinie.
  • Organ nadzoru zarzucił policji, że naruszyła wymogi Rozporządzenia poprzez niewłaściwe zabezpieczenie gromadzonych i przetwarzanych danych – nagrania z kamer były przesyłane do jednostki policji drogą radiową bez jakiegokolwiek szyfrowania.

Źródło: https://www.datenschutz-mv.de/presse/?id=146886&processor=processor.sa.pressemitteilung 

Liczne wymagania dla jednostek certyfikujących

  • RODO przewiduje mechanizm certyfikacji administratorów lub podmiotów przetwarzających. Mają jej dokonywać podmioty akredytowane.
  • W Polsce podmiotem akredytującym jest Polskie Centrum Akredytacji. Podmioty aspirujące do posiadania statusu podmiotu certyfikującego powinny spełnić szereg wymogów, które precyzują wytyczne Europejskiej Rady Ochrony Danych nr 4/2018.
  • Akredytacja musi odbywać się w zgodzie z normą ISO/IEC 17065/2012 oraz dodatkowymi wymaganiami organów nadzorczych państw członkowskich.

Źródło: https://www.prawo.pl/biznes/wymogi-erod-dla-podmiotow-certyfikujacych-katarzyna-szczypinska,366145.html  

Ochronę danych osobowych zacznij od siebie

  • Badania „Sytuacja na rynku consumer finance” przeprowadzone przez KPF – IRG pokazują, że Polacy nie dbają o swoje dane osobowe – do 5 razy w ciągu 2018 roku udostępniło swoje dane osobowe ponad 50 % ankietowanych. Nieco ponad 1/4 nie udostępniła danych ani razu.
  • Polacy nie mają większych problemów z okazywaniem czy umożliwieniem kopiowania lub skanowania dowodu osobistego, w szczególności w bankach, firmach pożyczkowych i przychodniach.
  • Ponad 1/3 badanych stwierdziła również, że nie ma pojęcia jakie dane zostały spisane z ich dokumentów.

Źródło: https://www.fakt.pl/pieniadze/prawo/ochrona-danych-osobowych-polacy-o-nie-nie-dbaja/q9n8zr2.amp   

Nazwisko przyczyną skargi

  • Przed irlandzkich organem ochrony danych osobowych (DPC) toczy się ciekawa sprawa ze skargi Ciarána Ó Cofaigh przeciwko szpitalowi uniwersyteckiemu w Galway.
  • Zarzutem jest odmowa wpisania w sposób poprawny imienia i nazwiska Pana Ciarána do systemu szpitalnego, ze względu na brak irlandzkich znaków diakrytycznych (fadas).
  • DPC bada sprawę pod kątem naruszenia art. 16 RODO – każdy ma bowiem prawo do sprostowania swoich danych osobowych, które są nieprawidłowe. Z drugiej strony brak fadas często wynika z niedostatków technicznych systemów różnych instytucji.

Źródło: https://www.irishexaminer.com/breakingnews/ireland/hse-and-bank-could-fall-foul-of-gdpr-over-fadas-902024.html  

Analiza predykcyjna powoduje dyskryminację rasową?

  • Organizacja Liberty, zajmująca się prawami człowieka, zarzuca brytyjskiej policji, że wykorzystywany przez nią model analizy predykcyjnej, która pomaga wykrywać potencjalnych przestępców, narusza prawa człowieka, w szczególności dyskryminuje ich na tle rasowym.
  • Liberty zarzuca policji, że wykorzystuje się nominalnie neutralną poglądowo technologię, aby uzasadnić i podtrzymać uprzedzenia rasowe, które zawsze pokazywała policja.

Źródło: https://www.theguardian.com/uk-news/2019/feb/03/police-risk-racial-profiling-by-using-data-to-predict-reoffenders-report-warns  

Tablice rejestracyjne po raz kolejny

  • Niedawno na naszym blogu ukazał się artykuł odnoszący się do tego, czy należy tablice rejestracyjne samochodu traktować jako dane osobowe.
  • 10 stycznia 2019 r. zapadło kolejne (nieprawomocne na dzień sporządzania niniejszych aktualności) orzeczenie sądowe w tym przedmiocie. Tym razem w sprawie wypowiedział się WSA w Białymstoku.
  • Sąd uznał, że tradycyjny numer rejestracyjny nie jest daną osobową, gdyż określenie tożsamości osoby parkującej (właściciela, posiadacza) wymagałoby nadmiernych kosztów, czasu lub działań. Z tych samych pojazdów korzystają bowiem często różne osoby, w różnych miejscach, a samochody rejestrowane są niejednokrotnie na więcej niż jeden podmiot. Nie jest zatem, zdaniem Sądu, spełniona przesłanka powiązania pojazdu z określoną osobą w sposób łatwy.

Źródło: Wyrok Wojewódzkiego Sądu Administracyjnego w Białymstoku z dnia 10 stycznia 2019 r. (II SA/Bk 678/18), http://orzeczenia.nsa.gov.pl/doc/489FDFA0FB 

Monitoring kodeksów postępowań

  • Piotr Drobek, dyrektor jednego z zespołów w UODO, udzielił wywiadu dotyczącego akredytacji oraz monitorowania przestrzegania kodeksów postępowań.
  • Kodeksy budzą w Polsce duże zainteresowanie i przygotowały lub przygotowuje je szereg branż.
  • Firmy doradcze będą mogły, po wydaniu ostatecznej wersji wytycznych EROD dot. akredytacji, przejść proces akredytacji i monitorować przestrzeganie kodeksów.
  • Taki monitoring będzie mógł w szczególności przybrać formę audytów.

Źródło: https://www.prawo.pl/biznes/rodo-monitorujacy-przestrzeganie-kodeksow-postepowan-musi-byc,366122.html      

 

Stały monitoring to działanie nadmiarowe

  • CNIL (francuski organ ochrony danych) nakazał zaprzestanie permanentnego filmowania klas i pomieszczeń rekreacyjnych w szkole z internatem prowadzonej przez stowarzyszenie „42”.
  • Zarzuty to między innymi: stałe filmowanie miejsc pracy uczniów, biur administracyjnych oraz fragmentów obszarów mieszkalnych, brak właściwego obowiązku informacyjnego oraz dostępność obrazu w czasie rzeczywistym w szkolnym intranecie.
  • CNIL stwierdził ponadto, że stały nadzór wideo pracowników lub uczniów jest w ogólności działaniem nadmiarowym.
  • Stowarzyszenie ma 2 miesiące na usunięcie uchybień, wtedy uniknie kary.

Źródło: https://www.cnil.fr/fr/videosurveillance-excessive-mise-en-demeure-de-lecole-42

Anonimizacja danych to mit?

  • Interesującymi należy nazwać wyniki badań przeprowadzone przez planistów miejskich i badaczy z MIT. Według nich, nawet po usunięciu danych identyfikacyjnych z jakiegoś zestawu informacji, dzięki technologii Big Data, jest możliwość identyfikacji konkretnej osoby fizycznej.
  • Badanie objęło dwa zanonimizowane zbiory danych w Singapurze – dzienniki lokalizacji z telefonów komórkowych oraz znaki lokalizacyjne z podróży po mieście.
  • Dzięki zastosowanemu algorytmowi, opartemu na Big Data, udało się w tydzień zidentyfikować 11 % użytkowników, a po 11 tygodniach było to już 95 %.

Źródła: https://www.fastcompany.com/90278465/sorry-your-data-can-still-be-identified-even-its-anonymized  

Łatwo dzielimy się danymi w sieci, chyba że chodzi o zarobki

  • Agencja Badawcza Biostat przeprowadziła badanie konsumenckie SMSAPI, które pokazało, że Polacy chętnie dzielą się w sieci swoimi danymi osobowymi.
  • Ponad 3/4 respondentów nie widzi przeszkód, aby podać swoją płeć czy adres mailowy. Prawie połowa podaję datę urodzenia, a ponad 1/3 – swój numer telefonu.
  • Największą niechęć do dzielenia się Polacy mają w stosunku do swoich zarobków – te ujawnia tylko 8,5 % badanych.

Źródło: https://cyfrowa.rp.pl/it/31164-polacy-zbyt-chetnie-odkrywaja-sie-sieci/amp?__twitter_impression=true  

UODO i telewizja publiczna

  • W sprawie ujawnienia w „Wiadomościach” TVP wizerunków oraz imion i nazwisk osób biorących udział w proteście przed siedzibą telewizji, w której zaatakowany został pojazd Magdaleny Ogórek, pojawił się wątek RODO. Do sprawy odniosła się Prezes UODO w liście do Przewodniczącego KRRiT.
  • Zdaniem Prezes UODO, choć do przetwarzania danych przez dziennikarzy nie mają zastosowania niektóre przepisy RODO, to dziennikarze (w szczególności na podstawie Prawa prasowego) są zobowiązani między innymi do ochrony dóbr osobistych przy zbieraniu i wykorzystaniu materiałów prasowych. Przepisy, które powinny być również przestrzegane to: ustawa o prawie autorskim i prawach pokrewnych oraz Kodeks cywilny (art. 23 i 24 KC).
  • Prezes UODO rekomenduje, aby środowisko dziennikarskie przygotowało i wdrożyło kodeks postępowania.

Źródło: https://uodo.gov.pl/pl/138/703  

Problematyczna podstawa prawna

  • Autorka artykułu pochyla się nad zagadnieniem stworzenia schematu, w jaki sposób poszukiwać podstawy prawnej do procesów przetwarzania danych osobowych.
  • Proponowana jest następująca kolejność: szukanie przepisu prawa (branżowego), rozłożenie przetwarzania na czynniki pierwsze (odpowiedź na pytanie: po co przetwarzamy dane osobowe?), zakres przetwarzania danych, gdy posiadamy więcej niż jedną podstawę prawną.
  • Autorka wskazuje również, że w obowiązku informacyjnym powinno się podać wszystkie podstawy legalizujące przetwarzanie danych.

Źródło: https://mojafirma.infor.pl/biznes/prawo/rodo-w-firmie/2894144,Jak-okreslic-podstawe-przetwarzania-danych-osobowych.html                   

MC wydało kolejny poradnik

  • W środę 6 lutego 2019 r. światło dzienne ujrzał kolejny poradnik Ministerstwa Cyfryzacji dotyczący stosowania przepisów RODO – tym razem jest to „RODO dla administracji”.
  • Konstrukcja poradnika oparta jest na formule Q&A, składając się z 27 występujących w praktyce pytań/problemów i odpowiedzi na nie z uzasadnieniem.
  • Poradnik można pobrać w tym miejscu.

Źródło: https://www.gov.pl/web/cyfryzacja/rodo-dla-administracji-odpowiedzi-na-27-pytan  

RODO dla służb już obowiązuje

  • 6 lutego 2019 r. zaczęła obowiązywać ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która transponowała do polskiego porządku prawnego dyrektywę 2016/680 (dyrektywę policyjną).
  • UODO na swojej stronie internetowej zamieścił komunikat o wejściu w życie ustawy.
  • Jednocześnie organ nadzoru wskazał, że polska ustawa nie wdraża w pełni standardów określonych dyrektywą policyjną, a także w niektórych przypadkach (szczególnie dotyczy to wyłączeń od obowiązku jej stosowania) jest niezgodna z dyrektywą.

Źródło: https://uodo.gov.pl/pl/138/706  

Przetwarzanie danych osobowych przy przekazaniu 1 % podatku

  • Prezes UODO wyraziła swoją opinię w przedmiocie podstaw prawnych do przetwarzania danych osobowych darczyńców 1 % podatku przez organizacje pożytku publicznego – tą podstawą jest zgoda podatnika zamieszczona w rozliczeniu rocznym.
  • OPP staje się zatem administratorem danych, co powoduje szereg obowiązków wynikających z RODO np. spełnienie obowiązku informacyjnego.
  • Podstawą prawną do podziękowania podatnikowi w imieniu obdarowanego przez OPP jest jej prawnie uzasadniony interes.
  • Z kolei udostępnienie danych podatnika przez OPP innemu podmiotowi (np. obdarowanej fundacji/stowarzyszeniu) wymaga odrębnej zgody podatnika.

Źródło: https://uodo.gov.pl/pl/138/704  

PUODO apeluje: trzeba zmienić Prawo spółdzielcze

  • Postulat zmiany art. 30 Prawa spółdzielczego wystosowała Prezes UODO w piśmie do Ministra Infrastruktury i Rozwoju.
  • Zdaniem organu nadzoru, nie zawsze powinno dochodzić do udostępniania rejestru z danymi wszystkich członków spółdzielni osobom wnioskującym, a tylko takim, którzy wykażą swój interes, a zakres danych udostępnionych będzie odpowiedni do statusu wnioskodawcy.
  • Doprecyzowanie art. 30 Prawa spółdzielczego byłoby dostosowaniem przepisów ustawy do zasady ograniczenia celu, o której mowa w art. 5 ust. 1 lit. b) RODO.

Źródło: https://uodo.gov.pl/pl/138/702  

Opinia EROD w sprawie badań klinicznych

  • Europejska Rada Ochrony Danych wydała opinię nr 3/2019, która odpowiada na pytania dotyczące podstawy prawnej przetwarzania danych osobowych (w tym danych wrażliwych) w zakresie badań klinicznych.
  • Administratorzy powinni przeprowadzić analizę, w jakim celu przeprowadzane są badania, ponieważ od tego będzie zależała podstawa prawna.
  • Za podstawę prawną można uznać (w zależności od okoliczności): obowiązek prawny, zadania realizowane w interesie publicznym, wyraźna zgoda podmiotu danych.

Źródło: https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-32019-concerning-questions-and-answers-interplay_en   

RODO incydentami stoi

  • Kancelaria DLA Piper opublikowała raport „GDPR data breach survey: February 2019”.
  • W ciągu pierwszych 8 miesięcy stosowania RODO organy nadzorcze państw EOG otrzymały ponad 59 tysięcy zawiadomień o naruszeniach (prawie 7,5 tysiąca miesięcznie).
  • „Liderami” w zgłoszeniach naruszeń są: Holandia (ponad 15 tysięcy), Niemcy (12 600) oraz Wielka Brytania (10 600). Najmniej naruszeń zgłoszono w Liechtensteinie, Islandii i na Cyprze.
  • Raport zawiera również statystyki dotyczące nakładania kar.

Źródło: https://www.dlapiper.com/it/italy/insights/publications/2019/01/gdpr-data-breach-survey/    

Ochrona przedsiębiorców w RODO nie ma charakteru bezwzględnego

  • Wojewódzki Sąd Administracyjny w Łodzi uznał skargę osoby, która wnioskowała od zarządu dróg miejskich o udzielenie informacji publicznej o wydanych przedsiębiorcom zezwoleniach na przejazd jedną z ulic w mieście oraz przesłanie rejestrów pojazdów ciężarowych.
  • Sąd stwierdził, że takie informacje związane są z działalnością gospodarczą podmiotów gospodarczych i z ruchem pojazdów na drodze publicznej, a nie ze sferą prywatną osób fizycznych i dotyczy to także sytuacji, gdy działalność gospodarcza jest wykonywana przez osobę fizyczną.

Źródło: Wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi z dnia 6 grudnia 2018 r. (II SAB/Łd 135/18)

Marketing ma swoją RODO-radę

  • Polskie Stowarzyszenie Marketingu SMB powołało Radę ds. RODO. Na pierwszym jej posiedzeniu był dyskutowany wyrok Sądu Okręgowego Warszawa-Praga w Warszawie (IV Ca 1873/16) w sprawie art. 172 ust. 1 Prawa telekomunikacyjnego.
  • Zadania Rady będą dwojakiego rodzaju: wewnętrzne (monitorowanie zmian przepisów, wypracowywanie wspólnych rozwiązań i standardów) oraz zewnętrzne (wsparcie w komunikacji branży z regulatorami – UODO, UOKiK i UKE).

Źródło: https://ccnews.pl/2019/02/07/przy-smb-powstala-rada-ds-rodo/

Demonstracje, a wewnętrzny ekstremizm

  • 94-letni John Oldroyd Catt często brał udział w różnych demonstracjach, jednak nigdy nie powodował problemów. Uzyskał informację, na podstawie brytyjskiej ustawy o ochronie danych osobowych, że zarejestrowano go 66 w bazie dotyczącej wewnętrznego ekstremizmu (odnotowywano m. in. datę urodzenia, adres i wizerunek). Zwrócił się o usunięcie wpisów jego dotyczących, jednak Sąd Najwyższy w UK uznał, że gromadzenie danych było zgodne z prawem.
  • Europejski Trybunał Praw Człowieka przyznał rację skarżącemu. Wskazał ponadto, iż mimo istnienia (w ustawie brytyjskiej) obowiązku przeglądu przydatności zgromadzonych danych co 6 lat, organy policji nie dochowały tego wymogu.
  • Źródło: http://www.wyrokietpc.pl/prywatnosc-w-policyjnych-bazach-danych/

Lepiej naruszyć RODO czy inne przepisy?

  • Przed takim dylematem mogą niedługo stanąć niektórzy pracodawcy, innymi przepisami są w tym wypadku regulacje rządowego projektu ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, który trafił już do Sejmu.
  • W myśl projektu, pracodawca poniesie odpowiedzialność za czyn zabroniony popełniony przez pracownika, który był bezpośrednio związany z prowadzoną działalnością, chyba że wykaże, iż dochował należytej staranności przy zatrudnianiu pracownika.
  • Należytą staranność pracodawcy mogliby wykazać poprzez weryfikację niekaralności kandydata, to jednak stoi w sprzeczności z art. 10 RODO.
  • Źródło: https://praca.gazetaprawna.pl/artykuly/1396467,rodo-kodeks-pracy-pracownik.html

Facebook z decyzją ograniczającą w Niemczech

  • Niemiecki urząd antymonopolowy nałożył decyzję ograniczającą możliwości Facebooka w gromadzeniu danych z innych aplikacji. Zgodnie z regulaminem Facebooka użytkownicy byli dotychczas w stanie korzystać z portalu pod warunkiem, że Facebook może zbierać dane użytkownika również poza Facebookiem.
  • Usługi będące własnością Facebooka, (np. WhatsApp i Instagram), mogą nadal gromadzić dane. Jednak przypisanie danych do kont użytkowników Facebooka będzie możliwe tylko pod warunkiem dobrowolnej zgody użytkowników.
  • Zbieranie danych z witryn stron trzecich i przypisywanie ich do konta użytkownika Facebooka będzie możliwe tylko wtedy, gdy użytkownicy dobrowolnie wyrażą zgodę.

Źródło: https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html?nn=3591568 

Ciasteczkowy problem

  • Na kanwie niedawnej decyzji CNIL, który nałożył 50 milionów euro kary na Google, bawarski urząd ds. ochrony danych osobowych postanowił przeprowadzić audyt u ponad 40 firm z regionu, czy ich polityki oraz praktyka wykorzystywania plików cookies są zgodne z RODO.
  • Raport z audytu wskazał, że żadna z firm (ich nazw nie ujawniono) nie spełniła w zakresie cookies wymogów Rozporządzenia. W związku z tym bawarski organ rozważa nałożenie kar na firmy poddane audytowi.
  • Czy kara na Google była początkiem lawiny kar związanej z marketingiem internetowym? Czas pokaże.

Źródło: https://www.alstonprivacy.com/google-style-gdpr-fines-for-everyone-bavarian-dpa-conducts-website-cookie-practices-sweep-announces-fines-under-consideration/    

Protokół powypadkowy będzie dostosowany do RODO

  • 6 lutego 2019 r. do konsultacji społecznych został skierowany projekt nowego rozporządzenia w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy.
  • Resort pracy zamierza dostosować wzór protokołu do zasady minimalizacji danych, którą zawiera RODO, usunięte zostaną: REGON pracodawcy, miejsce urodzenia oraz imię ojca i NIP poszkodowanego oraz obowiązek postawienia pieczątki pracodawcy.
  • Projekt rozporządzenia przewiduje, że pracodawcy będą mieli okres przejściowy (do 31 grudnia 2019 r.) na wdrożenie nowego wzoru.

Źródło: https://www.prawo.pl/kadry/wzor-protokolu-powypadkowego,368702.html

Powtarzalność to rzecz święta

  • Pracodawca ma obecnie obowiązek dwukrotnie poinformować pracownika o okresie przechowywania jego dokumentacji pracowniczej.
  • Pierwszy raz – przy zatrudnieniu, jako dopełnienie obowiązku informacyjnego (art. 13 ust. 1 i 2 RODO).
  • Drugi – przy wydawaniu świadectwa pracy, ponieważ obowiązek taki nakłada dodany ustawą z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją art. 94 z indeksem 6 pkt 1 Kodeksu pracy

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1396582,okres-przechowywania-dokumentacji-musimy-podac-dwa-razy.html

Czeski wykaz operacji wymagających DPIA

  • Czeski organ ochrony danych osobowych (UPOOU) opublikował w dniu 8 lutego 2019 r. wykaz operacji przetwarzania wymagających przeprowadzenia oceny skutków dla ochrony danych.
  • Czeski organ ciekawie odniósł się do kryterium dużej skali przetwarzania: w stosunku do liczby podmiotów danych jest to powyżej 10 000 osób lub powyżej 1 promila (0,1 %) mieszkańców Republiki Czeskiej lub innego państwa, w którym następuje przetwarzanie.
  • Kryterium dużej skali spełnione jest również jeśli jest 20 lub więcej administratorów lub administrator posiada ponad 20 miejsc, w których przetwarzane są dane osobowe.

Źródło: https://www.uoou.cz/k-nbsp-povinnosti-spravcu-provadet-posouzeni-vlivu-na-ochranu-osobnich-udaju/d-33194

Microsoft poprawia usługę MS Office

  • W naszych aktualnościach z 19 listopada 2018 r. pisaliśmy o krytycznym raporcie holenderskiego rządu w stosunku do pakietu Microsoft Office Plus, który zarzucał naruszenie przepisów RODO, w szczególności gromadzenie zbyt dużej ilości danych diagnostycznych w zbyt dużej ilości celów, bez informowania o tym.
  • Microsoft i holenderskie ministerstwo sprawiedliwości uzgodniły zmiany w ramach “planu poprawy” z terminem wdrożenia na koniec kwietnia 2019 r.

Źródło: https://www.politico.eu/article/microsoft-to-update-office-pro-plus-after-dutch-ministry-questions-privacy/ 

Jak ePrivacy ureguluje pliki cookies?

  • Artykuł porusza kwestię nadchodzącego nieubłaganie (podobno ma wejść w życie jeszcze w 2019 r.) rozporządzenia ePrivacy.
  • W zakresie plików cookies novum stanowić będzie konieczność odbierania zgody (z kilkoma wyjątkami) na używanie plików cookies, która będzie musiała spełniać te same warunki, jakie zgodzie stawia RODO.
  • Jednocześnie naruszeniem (zgodnie z ostatnią wersją projektu) będzie możliwość wyłączenia plików cookies tylko poprzez ustawienia przeglądarki.

Źródło: https://serwisy.gazetaprawna.pl/nowe-technologie/artykuly/1396917,rozporzadzenie-eprivacy-cookies-technologie.html  

Ustalenie ojcostwa ważniejsze niż prywatność

  • Europejski Trybunał Praw Człowiek wydał w dniu 29 stycznia 2019 r. wyrok, w którym uznał, że sądowy nakaz poddania się badaniu DNA w sprawie o ustalenie ojcostwa nie jest naruszeniem prawa skarżącego do prywatności.
  • Zdaniem Trybunału, możliwość nałożenia nakazu poddania się badaniom DNA nie narusza zasad demokratycznego państwa prawa, ponieważ jest to elementem realizacji obowiązków ojca względem dziecka, a także prawa dziecka do ustalenia jego tożsamości (pochodzenia).

Źródło: https://www.prawo.pl/prawo/ustalenie-ojcostwa-a-obowiazek-badania-dna-wyrok-etpc,369217.html   

UODO edukuje na Youtubie

  • Na oficjalnym kanale Urzędu Ochrony Danych Osobowych na portalu Youtube pojawiły się cztery krótkie (5-7 minut) filmy edukacyjne.
  • Zagadnienia, które są poruszane to: dowody osobiste, służba zdrowia, ochrona danych osobowych w szkole oraz monitoring wizyjny.

Źródło: https://www.youtube.com/channel/UCM0gqeaN0_NeiSdLYdxmm3w/featured    

Nigdy nie wiesz co znajdziesz…

  • W zamarzniętych szczątkach (a dokładniej w odchodach) wyrzuconego na brzeg lwa morskiego (z rodziny fokowatych) naukowcy znaleźli…pendrive’a.
  • Jak na warunki, w których znajdował się przez około rok, nośnik znajdował się w niezłym stanie. Po kilku tygodniach udało się odzyskać jego zawartość.
  • Okazało się, że były tam zdjęcia z fokami, matka i dziecko pływające po płyciznach i nos niebieskiego kajaka.
  • W przyrodzie zatem nic nie ginie. J

Źródło: https://www.niwa.co.nz/news/they-were-defrosting-leopard-seal-pooyou-wont-believe-what-happened-next     

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 21-28.01.2019 Pobierz

 

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 01-04.02.2019 Pobierz

 

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 5-11.02.2019 Pobierz

Powiązane artykuły

rodo aktualności
RODO aktualności – 16.04.2019
rodo aktualności
RODO aktualności – 25.03.2019
rodo aktualności
RODO aktualności – 11.03.2019

Zostaw odpowiedź