RODO aktualności – 15.06.2021

Nowe zestawy standardowych klauzul umownych – jak z nich korzystać? Czy RODO wymaga zgody pacjenta przed wysłaniem zaproszenia do programów profilaktycznych? Jak przechowywać dokumentację kadrową byłych pracowników? Czy pracodawca ma prawo skontrolować pracownika podczas pracy zdalnej? W jaki sposób, w zgodzie z RODO, powinno odbywać się wręczenie wypowiedzenia? Czy numer telefonu to dane osobowe? Czy sposoby pozyskiwania zgód… na cookies są zgodnie z prawem? Co było powodem nałożenia kary na PNP S.A.? Czy numer rejestracyjny pojazdu to dane osobowe? Czy dane biometryczne na nowych dowodach osobistych będą bezpieczne?

MULTIMEDIA

#RODOA [07.06.2021]
#RODOA [14.06.2021]
Pobierz PDFPobierz PDF

Nowe zestawy standardowych klauzul umownych

  • 4 czerwca Komisja Europejska przyjęła nowe zestawy standardowych klauzul umownych (SCC), które zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 7 czerwca 2021 r. i w konsekwencji wejdą w życie 27 czerwca 2021 r.
  • nowe SCC pozwalają na dalsze wykorzystywanie starych SCC do „nowych” transferów danych przez trzymiesięczny okres przejściowy po publikacji w Dzienniku Urzędowym Unii Europejskiej (tj. do 27 września 2021 r.).
  • stare SCC mogą być nadal wykorzystywane do istniejących transferów przez okres do 18 miesięcy po opublikowaniu w Dzienniku Urzędowym UE, dając organizacjom możliwość przeniesienia dotychczasowych transferów na nowe SCC do 27 grudnia 2022 r.
  • nowe SCC zachowują tę samą „modułową” strukturę, co we wcześniejszym projekcie Komisji z listopada:
  1. MODUŁ PIERWSZY: Przekazywanie między administratorami
  2. MODUŁ DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu
  3. MODUŁ TRZECI: Przekazywanie między podmiotami przetwarzającymi
  4. MODUŁ CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi

Źródło: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ%3AL%3A2021%3A199%3ATOC https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en

Programy profilaktyczne a RODO

  • RODO nie wymaga uprzedniej zgody pacjenta na kierowanie do niego zaproszeń do różnego rodzaju programów profilaktycznych, zwłaszcza realizowanych z publicznych pieniędzy
  • zgodnie z art. 6 pkt. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem, gdy jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
  • zaproszenia, czy to telefoniczne, czy mailowe do pacjentów do różnego rodzaju programów zdrowotnych, szczególnie tych realizowanych przez instytucje publiczne, nie wymagają uzyskania uprzedniej zgody pacjenta
  • zasady prowadzenia działań profilaktycznych muszą być niezbędne, a zatem uzasadnione stanem zdrowia, np. przez czynniki ryzyka wskazane w dokumentacji medycznej
  • zapraszanie na odbycie wizyty kontrolnej, bilansu, corocznego przeglądu stomatologicznego, jeśli jest do niego wskazanie, jest traktowane jak przetwarzanie danych w celach profilaktycznych
  • co ważne, to nie może być działanie reklamowe – dzwoniąc, nie można więc oferować korzyści
  • komunikację marketingową należy wyraźnie oddzielić od działań profilaktycznych

Źródło: https://www.prawo.pl/zdrowie/programy-profilaktyczne-a-rodo,508600.html

Dane osobowe z akt pracowniczych chronione po ustaniu zatrudnienia - wyrok WSA

  • po dziewięciu latach zatrudnienia w hurtowni, i po pięciu latach od odejścia stamtąd, była pracownica zwróciła się do Prezesa UODO ze skargą na przetwarzanie jej danych, zawartych w dokumentacji pracowniczej, przechowywanej przez przedsiębiorstwo – zażądała ich usunięcia, zaprzestania przetwarzania oraz nałożenia na hurtownię kary administracyjnej
  • do prowadzenia i przechowywania dokumentacji w sprawach związanych ze stosunkiem pracy oraz akt osobowych pracowników zobowiązują pracodawców przepisy kodeksu pracy
  • skarżąca zarzuciła, że jej dane osobowe zostały udostępnione przez właściciela hurtowni osobom trzecim, które nie mają i nie miały prawa dysponować nimi i je udostępniać
  • Prezes UODO uznał, że ponieważ dane osobowe wnioskodawczyni są przetwarzane przez przedsiębiorcę legalnie, na mocy przepisów kodeksu pracy, nie ma podstaw do nakazania ich usunięcia, a materiał dowodowy, w tym wyjaśnienia przedsiębiorcy, nie potwierdza także jednoznacznie ich udostępnienia osobom trzecim
  • po rozpatrzeniu skargi na takie rozstrzygnięcie sprawy WSA w Warszawie uchylił decyzję prezesa UODO – jego zdaniem nie ustalono w sposób niebudzący wątpliwości, czy w istocie nie było nieprawidłowości w przetwarzaniu danych osobowych
  • stan faktyczny w tej sprawie musi zatem być ustalony w sposób jednoznaczny i pewny – podkreślił sąd

Źródło: https://www.rp.pl/Kadry/306029985-Dane-osobowe-z-akt-pracowniczych-chronione-po-ustaniu-zatrudnienia—wyrok-WSA.html

Praca zdalna: Kontrola w domu nawet bez zgody pracownika

  • szef skontroluje pracę zdalną w miejscu jej świadczenia, nawet bez konieczności uzyskania zgody pracownika – nie może jednak naruszać jego prywatności.
  • jeśli pracownik zgodzi się na wykonywanie obowiązków z własnego domu, musi liczyć się z ewentualnymi kontrolami firmy – zatrudniający nie będzie musiał uprzednio uzyskiwać zgody na takie wizytacje
  • w wyjątkowych sytuacjach może sam wydać polecenie pracy zdalnej, bez wymogu porozumienia z pracownikiem, a następnie – również bez konieczności uzgodnienia – przeprowadzić kontrolę
  • tak wynika z ostatniej wersji projektu nowelizacji kodeksu pracy, który ma umożliwić stosowanie pracy zdalnej na stałe
  • z jednej strony przepisy wskazują, że można kontrolować pracę zdalną nawet bez konieczności uzyskiwania na to odrębnej zgody, a z drugiej – że nie może ona naruszać prywatności, przy czym w praktyce samo wejście do domu zatrudnionego może być takim naruszeniem
  • prawo do prywatności będzie skutecznie bronić przed nadużyciami – pracownik może odmówić na tej podstawie zatrudniającemu wstępu do mieszkania

Źródło: https://praca.gazetaprawna.pl/artykuly/8182210,praca-zdalna-na-stale-nowelizacja-kodeks-pracy-kontrola.html

Ochrona danych osobowych a wręczenie pracownikowi wypowiedzenia

  • wypowiedzenie należy wręczać pracownikowi komisyjnie (tzn. z udziałem co najmniej dwóch osób) – w razie bowiem, gdy pracownik go nie przyjmie, będą świadkowie, którzy będą mogli potwierdzić, że wypowiedzenie zostało pracownikowi złożone
  • przy składaniu wypowiedzenia umowy o pracę mogą być obecne tylko osoby upoważnione do składania wypowiedzenia oraz osoby upoważnione do przetwarzania danych osobowych zwalnianego pracownika
  • nie mogą w tym natomiast uczestniczyć inne osoby, ponieważ będzie to naruszało przepisy o ochronie danych osobowych – takie stanowisko prezentuje Urząd Ochrony Danych Osobowych

Źródło https://praca.gazetaprawna.pl/artykuly/8181750,kodeks-pracy-2021-wreczenie-pracownikowi-wypowiedzenia.html

Wyrok WSA: sam numer telefonu to nie dane osobowe

  • Prezes UODO udzielił Spółce upomnienia za naruszenie polegające na odmowie realizacji żądania Wnioskodawcy – udzielenia mu wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz kopii jego danych osobowych.
  • Prezes UODO przyjął, iż takimi danymi osobowymi jest sam numer telefonu komórkowego
  • innego zdania była upomniana Spółka – sprawa trafiła do WSA w Warszawie
  • zdaniem sądu trafne są zarzuty Spółki gdzie podniesiono, że orzekając w sprawie naruszono przepisy prawa materialnego zakreślające, co należy traktować jako dane osobowe, których przetwarzanie podlega regułom RODO
  • WSA wskazał, że mylna konstatacja organu, jakoby Spółka przetwarza dane osobowe Wnioskodawcy, prowadziła do bezpodstawnego wydania orzeczenia, którym udzielono Spółce upomnienia oraz zobowiązano ją do podjęcia określonych czynności
  • sąd przyjął, że zasadnie zauważa organ, że danymi takimi mogą być informacje, które nie identyfikują konkretnej osoby lecz jest możliwe – przy ich pomocy i wykorzystaniu nieznacznych środków – zidentyfikowanie konkretnej osoby
  • WSA podkreślił jednak, że Prezes UODO nie wywiódł jednak, aby tego rodzaju charakter miał sam numer telefonu – nieprzypisany do konkretnej osoby, w ramach zbioru informacji posiadanych przez podmiot dysponujący tymi danymi, bądź w łatwy sposób pozyskiwalnymi

Źródło https://judykatura.pl/kwietniowy-wyrok-wsa-sam-numer-telefonu-to-nie-dana-osobowa/

Organizacja Maxa Schremsa sprawdza zgody na ciasteczka

  • administratorzy 560 stron internetowych z 33 krajów Europy otrzymali wstępne skargi związane ze sposobami pozyskiwania zgód na cookies – jeśli w ciągu miesiąca nie zmienią swych praktyk, skargi zostaną przesłane do organów ochrony danych
  • to akcja zorganizowana przez NOYB – European Center for Digital Rights – organizację założoną przez Maxa Schremsa
  • administratorzy stron internetowych robią wszystko, by skłonić użytkowników do wyrażenia zgody na cookies – 81 proc. z tych, do których skierowano pierwsze skargi, w ogóle nie oferuje opcji odrzucenia zgody na ciasteczka na początkowej stronie
  • 73 proc. specjalnie tak dobiera kolory i kontrasty, aby skłonić użytkowników do kliknięcia na przycisk „akceptuj”
  • NOYB stworzył system do automatycznego wyszukiwania różnego rodzaju naruszeń – następnie prawnicy analizują stronę internetową, a jeśli potwierdzą złamanie prawa, to ich narzędzie generuje skargę na konkretne złamanie RODO
  • następnie firmy otrzymują pocztą elektroniczną nieformalny projekt skargi wraz z żądaniem usunięcia nieprawidłowości – aby im to ułatwić, organizacja przygotowała bezpłatny poradnik „krok po kroku”, jak zmienić ustawienia oprogramowania, aby były zgodne z prawem
  • w grudniu 2020 r. francuski organ ochrony danych (CNIL) wydał dwie decyzje nakładające kary 100 mln euro na Google i 35 mln euro na Amazona – obydwie sankcje nałożono m.in. za zapisywanie cookies bez uzyskania zgody użytkowników

Źródło https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8178421,organizacja-maxa-schremsa-sprawdza-zgody-na-ciasteczka.html

Ponad 22 tys. zł. za brak odpowiedzi na wezwania organu nadzorczego

  • Urząd Ochrony Danych Osobowych, stwierdzając naruszenie przepisów RODO przez PNP SA z siedzibą w Warszawie, nałożył na nią administracyjną karę pieniężną w kwocie ponad 22 tys. złotych
  • powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań
  • UODO w celu ustalenia stanu faktycznego sprawy zainicjowanej skargą, trzykrotnie zwrócił się do ukaranej Spółki z wezwaniem do ustosunkowania się do treści tej skargi oraz do złożenia wyjaśnień
  • żadne ze skierowanych do Spółki wezwań – na adresy ujawnione w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego jako adresy lokalu jej siedziby – nie zostało przez Spółkę odebrane pomimo dwukrotnego ich awizowania
  • Spółka nie odpowiadając na wezwania UODO, naruszyła obowiązek zapewnienia organowi nadzorczemu dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy

Źródło: https://uodo.gov.pl/pl/138/2067 https://blog-daneosobowe.pl/rejestr-kar-puodo/

Sąd Okręgowy w Warszawie: numer rejestracyjny pojazdu nie stanowi danych osobowych (1)

  • upowszechnianie zdjęcia samochodu z widocznym numerem rejestracyjnym nie narusza zasad RODO ani dóbr osobistych – nie można bowiem w łatwy sposób zidentyfikować właściciela.
  • to kolejny wyrok, w którym sąd uznaje, że numer rejestracyjny pojazdu nie stanowi danych osobowych, a tym samym w ogóle nie podlega pod RODO – tym razem chodzi jednak nie o sprawę administracyjną, tylko cywilną za opublikowanie zdjęcia auta z widocznymi tablicami w książce
  • książka ta była jedną z serii publikacji dla kolekcjonerów – wydawnictwo zawierało ciekawostki o danym pojeździe oraz jego zdjęcia, w tym również fotografię charakterystycznego egzemplarza wraz z tablicą rejestracyjną
  • właściciel wniósł pozew przeciwko wydawcy książki, uznając, że nie tylko naruszono jego prywatność, ale też dobra osobiste
  • zdaniem sądu numery rejestracyjne nie stanowią danych osobowych, a tym samym RODO w ogóle nie znajdzie do nich zastosowania – nie da się bowiem w prosty sposób powiązać takich numerów z właścicielami aut
  • możliwości takiej nie ma wydawca książki, który bez dostępu do Centralnej Ewidencji Pojazdów i Kierowców nie jest w stanie sprawdzić, do kogo należy samochód – nie miał jej również odbiorca danych, czyli sam czytelnik

Sąd Okręgowy w Warszawie: numer rejestracyjny pojazdu nie stanowi danych osobowych (2)

  • jak podkreślił sąd, trzeba tu rozróżnić osoby, które znały powoda czy to prywatnie, czy to ze zlotów zabytkowych samochodów – te rzeczywiście mogły na podstawie zdjęcia powiązać auto z jego właścicielem, tyle że nie po samych tablicach, co raczej po niepowtarzalnym wyglądzie samego
  • nie brakuje jednak przeciwników zawężania definicji danych osobowych – należy do nich również Prezes UODO, który wciąż stoi na stanowisku, że numery rejestracyjne również znajdują się pod ochroną RODO

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8190132,rodo-internet-numer-rejestracyjny-pojazdu-nie-stanowi-danych-osobowych.html

Paszporty covidowe a RODO

  • choć zwolennicy dowolności szczepień przekonywali, że paszporty covidowe ujawniają dane wrażliwe dotyczące zdrowia i mogą naruszać RODO, prawnicy i instytucje są zgodne – wymóg okazania świadectwa zaszczepienia nie narusza prawa
  • przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem
  • Europejska Rada Ochrony Danych Osobowych wskazała, że RODO jest obszernym aktem prawnym, zawierającym przepisy mające zastosowanie również do przetwarzania danych osobowych w kontekście takim jak ten dotyczący COVID-19
  • RODO pozwala organom ds. zdrowia publicznego i pracodawcom na przetwarzanie danych osobowych w kontekście epidemii, zgodnie z prawem krajowym i na określonych w nim warunkach
  • W tych okolicznościach nie ma potrzeby polegania na zgodzie osób fizycznych – informuje rzecznik UODO Adam Sanocki.
  • Jakub Gołąb z biura rzecznika praw pacjenta dodaje, że choć RODO w art. 9 ust. 1 zabrania przetwarzania danych dotyczących m.in. stanu zdrowia, nie jest to jednak zasada bezwzględna – można je przetwarzać bez zgody danej osoby, gdy jest to niezbędne z punktu widzenia interesu publicznego w dziedzinie zdrowia publicznego, tj. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej

Źródło: https://businessinsider.com.pl/firmy/przepisy/paszport-covidowy-a-rodo-czy-jest-zgodny-z-prawem/4y7zrx8

Deklaracja o niepłaceniu na radę rodziców a RODO

  • nie ma podstaw, by wymagać od rodziców oświadczenia, że nie zapłacą składek na radę rodziców – według prawników wymaganie takich oświadczeń jest nadmiarowe, bo przepisy oświatowe nie dają ku temu podstaw
  • niezgodne z prawem jest również rozsyłanie do wszystkich zestawień z listą osób, które „zalegają” z wpłatami
  • Ustawa Prawo oświatowe przyznaje radom rodziców określone kompetencje, natomiast nie rozstrzyga o ich statusie – jasno jednak przesądza, że składki na funkcjonowanie rady i dokonywane przez nią zakupy mają charakter dobrowolny
  • zatem nie ma możliwości występowania z roszczeniem do sądu o niezapłacone kwoty i to nawet w sytuacji, gdy rodzice zadeklarują, że dokonają wpłat – wątpliwa prawnie jest również praktyka, gdy rada wymaga oświadczenia, że tych wpłat rodzic dokonać nie zamierza
  • zbieranie informacji o tym, że ktoś nie zapłaci może być nadmiarowe – żądając informacji, zawsze powinniśmy mieć na względzie cel zbierania informacji i adekwatność do tego celu, a dokonanie lub niedokonanie wpłaty jest czynnością faktyczną, więc rada rodziców i tak ma informacje o tym, kto to zrobił, a kto nie
  • rozsyłanie do wszystkich rodziców maili z listą osób niepłacących składek jest bezprawne, nie ma podstaw do tego, by udostępniać innym takie dane osobowe – tym bardziej, że może mieć to wydźwięk pejoratywny, gdy lista będzie funkcjonowała

Źródło https://www.prawo.pl/oswiata/deklaracja-o-nieplaceniu-na-rade-rodzicow-a-rodo,508767.html

Odciski palców w dowodach osobistych

  • 2 sierpnia wchodzi w życie nowelizacja ustawy o dowodach osobistych oraz niektórych innych ustaw – na jej podstawie do dowodów osobistych zostanie wprowadzona druga cecha biometryczna, czyli zapis odcisków palców
  • w trakcie prac nad regulacją dyskusja w dużej mierze dotyczyła kwestii bezpieczeństwa danych biometrycznych – będą one trafiały do centralnej bazy danych (Rejestru Dowodów Osobistych)
  • ustawa zakłada, że zapis linii papilarnych będzie się tam znajdował tylko do momentu odebrania dowodu osobistego, nie dłużej jednak niż do 90 dni od daty jego wydania, pozostawienia wniosku bez rozpoznania lub wydania decyzji o odmowie wydania dokumentu – potem zostaną usunięte
  • projekt rozporządzenia w sprawie prowadzenia Rejestru Dowodów Osobistych zakłada, że druga cecha biometryczna będzie przetwarzana w RDO w formie zaszyfrowanej – jedynymi wyjątkami w tym zakresie będą proces pobierania oraz personalizacji dowodu osobistego, a i wtedy konieczne będzie zapewnienie ochrony przed nieuprawnionym dostępem (w tym kopiowaniem) oraz rejestrowanie działań podejmowanych w obrębie tych danych
  • w ocenie ekspertów sam proces pobierania odcisków nie budzi wątpliwości – w trakcie prac sejmowych padały jednak pytania m.in. o zabezpieczenia samych czytników i ich oprogramowania, by niemożliwy był wyciek danych poza system

Źródło https://serwisy.gazetaprawna.pl/samorzad/artykuly/8185918,odciski-palcow-do-dowodow-bezpieczenstwo-danych.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 27.02.2024 r.
RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO