RODO aktualności – 21.01.2019

• Naczelny Sąd Administracyjny rozstrzygnął trwający od 5 lat spór między GIODO i Agencją Restrukturyzacji i Modernizacji Rolnictwa, a Kancelarią Prezesa Rady Ministrów.
• Spór powstał w 2013 r. na tle ujawnienia przez szefa Kancelarii wyników kontroli (wraz z nazwiskami osób) w ARiMR, która wykazała liczne nieprawidłowości (np. nepotyzm).
• GIODO w 2014 r. wydał decyzję, orzekając iż publikacja narusza prawo do prywatności innych osób i nakazał usunięcie tych informacji. Po odwołaniu GIODO decyzję podtrzymał.
• WSA w 2016 r. uchylił decyzję GIODO, sprawa trafiła wówczas do NSA, który skargi kasacyjne GIODO i ARiMR oddalił.

Źródło: https://www.polskieradio.pl/5/1222/Artykul/2237960,Przelomowy-wyrok-NSA-Rzad-nie-ukryje-juz-wynikow-kontroli

• Na stronie internetowej rządu brytyjskiego opublikowany został projekt ustawy, która będzie regulowała w Wielkiej Brytanii kwestie ochrony danych osobowych po Brexicie.
• Głównym przedmiotem ustawy jest wprowadzenie modyfikacji do niektórych przepisów RODO, które nadal będzie stosowane w UK – z uwzględnieniem proponowanych zmian.

Źródło: http://www.legislation.gov.uk/ukdsi/2019/9780111177594

• Na kanwie opisywanego już przez nas wycieków danych klientów sklepu Morele.net odkryta została kolejna ciekawostka.
• Po pierwsze, Morele nie zresetowało haseł użytkowników sklepu, w związku z czym (stan na 20 grudnia 2018 r.) doszło do kradzieży ponad 350 tysięcy haseł.
• Po drugie, sklep nie realizował w pełni prawa do usunięcia danych w przypadku żądania skasowania konta w sklepie. Morele nie usuwało wszystkich zbędnych danych, lecz flagowało je tagiem „USUNIĘTY”. Takich osób, według włamywacza do sklepu Morele, jest 1849.

Źródło: https://niebezpiecznik.pl/post/morele-350k-zlamanych-hasel-i-wyciek-danych-usunietych-uzytkownikow/

• Artykuł podsumowuje zmiany w branży ubezpieczeniowej, w szczególności dystrybucji ubezpieczeń, w 2018 r.
• RODO wpłynęło w pierwszej kolejności na wydłużenie procesowania dystrybucji polis ubezpieczeniowych np. poprzez konieczność dopełnienia obowiązku informacyjnego.
• Większość branży działania marketingowe opiera na wyraźnej zgodzie osoby, której dane dotyczą.
• Wzrosło także zainteresowanie oprogramowaniem do zarządzania danymi klientów, w szczególności danymi wrażliwymi.

Źródło: https://gazetakrakowska.pl/agenci-ubezpieczeniowi-przy-sprzedazy-polis-coraz-czesciej-siegaja-po-nowe-technologie/ar/13766717          

• Francuski organ ochrony danych nałożył na operatora telekomunikacyjnego Bouygues SA karę 250 tysięcy euro. Kara nałożona została w oparciu o poprzednio obowiązujące regulacje.
• Firma została ukarana za trwające blisko 2 lata naruszenie bezpieczeństwa danych poprzez możliwość dostępu online do umów i faktur abonentów usług oferowanych przez Bouygues.
• Naruszenie dotyczyło około 2 milionów klientów.

Źródło: https://news.bloomberglaw.com/privacy-and-data-security/french-telecom-fined-250-000-euros-for-data-privacy-faults

• Wojewódzki Sąd Administracyjny w Gliwicach oddalił skargę właściciela samochodu na uchwałę rady miasta w sprawie ustanowienia strefy płatnego parkowania.
• Przedmiotem skargi był wymóg podania numeru rejestracyjnego samochodu podczas kupowania biletu w parkomacie.
• Sąd uznał, iż numer rejestracyjny samochodu nie stanowi danych osobowych w rozumieniu poprzednio obowiązującej ustawy, a zatem gmina nie jest administratorem danych osobowych.

Źródło: https://www.rp.pl/Dane-osobowe/312289993-Czy-mozna-zadac-podania-numeru-rejestracyjnego-podczas-oplaty-za-parkowanie.html&cid=44&template=restricted

• Art. 6 ust. 1 lit. f) RODO jako przesłankę prawną przetwarzania danych osobowych wskazuje prawnie uzasadniony interes, przy czym nie dotyczy to przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
• Autor artykułu zwraca uwagę, iż przepis ten nie wyłącza całkowicie prawnie uzasadnionego interesu, jako podstawy prawnej przetwarzania danych przez organ publiczny. Jeżeli organ występuje w „zwykłym” obrocie cywilnoprawnym jako jego uczestnik, to posługiwanie się tą przesłanką jest dopuszczalne.

Źródło: https://rynekinformacji.pl/organ-publiczny-nie-moze-przetwarzac-danych-w-oparciu-o-prawnie-uzasadniony-interes/

• 17 grudnia 2018 r. opublikowany został przyjęty 4 grudnia tekst dyrektywy ePrivacy (właściwie nowelizacji dyrektywy ePrivacy 2002/58/EC).
• Państwa członkowskie otrzymały czas na transpozycję przepisów dyrektywy do krajowego porządku prawnego do 21 grudnia 2020 r.
• Zasady Europejskiego kodeksu łączności elektronicznej (tj. zaktualizowanego ePrivacy) będą lex specialis w stosunku do przepisów RODO – w przypadku kwestii regulowanych w ePrivacy, a będących w konflikcie z RODO, stosować trzeba będzie przepisy dyrektywy ePrivacy.

Źródło: https://iapp.org/news/a/new-european-electronic-communications-code-means-the-application-of-the-eprivacy-directive-to-otts/              

• Na stronie internetowej Ministerstwa Finansów pojawił się formularz oceny spełniania obowiązków wynikających z RODO oraz ustawy o ochronie danych osobowych.
• Został on stworzony we współpracy audytorów i kontrolerów MF, Ministerstwa Sprawiedliwości, Ministerstwa Rodziny, Pracy i Polityki Społecznej oraz Kancelarii Prezesa Rady Ministrów.
• Formularz można pobrać w tym miejscu.

Źródło: https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf

• Rzecznik Praw Obywatelskich złożył zapytanie do Prezesa UODO w sprawie podpisów składanych na tablecie przy odbiorze przesyłki od operatora pocztowego.
• Jedną z przesłanek uznania danych osobowych za dane biometryczne to „cechy behawioralne osoby fizycznej” wynikające ze specjalnego przetwarzania technicznego – za taką cechę może zostać uznany charakter pisma czy dynamika pisania na urządzeniu elektronicznym np. tablecie.
• RPO chce uzyskać informacje na temat urządzeń stosowanych przez listonoszy, okresu przechowywania danych, jak i zabezpieczeń urządzeń.

Źródło: https://www.prawo.pl/prawo/podpis-na-tablecie-moze-byc-dana-biometryczna,350933.html

Tak to jest, gdy się nie ma RODO w systemie prawnym…

Źródło: https://twitter.com/matmakowski91/status/1078370720340529152

• Na stronie internetowej Fundacji Panoptykon został opublikowany poradnik „RODO. Masz prawo i nie wahaj się go użyć”.
• Autorzy starają się wyjaśnić narosłe od maja 2018 r. RODO-absurdy w poszczególnych sferach życia np. szkoła czy służba zdrowia.
• Publikację można pobrać tutaj.

Źródło: https://panoptykon.org/RODO-masz-prawo

• Privacy International opublikowała raport dotyczący udostępniania danych Facebookowi przez darmowe aplikacje dostępne w sklepie Google Play, w szczególności jeżeli osoba korzystająca z aplikacji nie posiada konta na Facebooku. Badanie wykonano w okresie sierpień – grudzień 2018 r.
• Co najmniej 61 % testowanych aplikacji automatyczne przesyła dane do Facebooka w momencie, gdy użytkownik uruchomi aplikację (niezależnie czy ma konto na Facebooku, czy nie oraz czy jest na nim zalogowany).
• Zakres danych przekazywanych Facebookowi jest bardzo szeroki. Testy wykazały, że dane mogą być wykorzystywane do profilowania osób fizycznych m. in. poprzez dane dotyczące zdrowia, wyznania czy nawyków.

Źródło: https://privacyinternational.org/sites/default/files/2018-12/How%20Apps%20on%20Android%20Share%20Data%20with%20Facebook%20-%20Privacy%20International%202018.pdf

• Artykuł porusza kwestię ochrony danych osobowych stron postępowania podatkowego, a w szczególności podatników.
• Według autora zbyt szeroki jest zakres danych podatnika, które mogą gromadzić i przetwarzać organy podatkowe, w tym mogą być to np. informacje z Krajowego Rejestru Karnego, a zatem dane dotyczące wyroków skazujących i czynów zabronionych z art. 10 RODO.
• Wskazana jest również potrzeba uchwalenia tzw. przepisów sektorowych, które mają znowelizować m. in. ustawę o Krajowej Administracji Skarbowej w zakresie ochrony danych osobowych.

Źródło: https://www.prawo.pl/podatki/rodo-i-ochrona-danych-osobowych-w-postepowaniu-podatkowym-wywiad,351127.html

• Artykuł porusza tematykę wykorzystania urządzeń monitorujących aktywność fizyczną w kontekście ochrony danych osobowych, w tym danych wrażliwych w rozumieniu art. 9 RODO.
• W Belgii został złożony projekt ustawy, która zakazuje ubezpieczycielom różnicowanie warunków ubezpieczenia od zgody ubezpieczonego na monitoring (czujnikami) jego aktywności zdrowotnej.

Źródło: https://www.pb.pl/rodo-a-urzadzenia-kontrolujace-aktywnosc-fizyczna-949599

• 1 stycznia 2019 r. weszła w życie nowa ustawa o komornikach sądowych.
• Dzięki temu Minister Sprawiedliwości uzyskał potencjalny dostęp do danych dłużników i wierzycieli, które znajdują się w systemie Currenda – systemem zarządza co prawda Krajowa Rada Komornicza, jednak uprawnienia te może utracić na mocy decyzji MS, której można nadać rygor natychmiastowej wykonalności.

Źródło: https://www.rp.pl/Komornicy/301029953-Ziobro-zyska-prawo-do-danych-dluznikow-i-wierzycieli.html   

• O 20 % wzrosła liczba plików cookies na polskich portalach internetowych po rozpoczęciu stosowania RODO – raport w tym zakresie przygotował Instytut Reutersa.
• Instytut przeanalizował oprócz Polski jeszcze 6 innych krajów UE. Co ciekawe, we wszystkich z nim liczba cookies po 25 maja 2018 r. spadła.
• Wśród firm, które instalują cookies dominują Google, Facebook i Amazon.

Źródło: https://forsal.pl/artykuly/1390132,rodo-nie-ochronilo-nas-od-ciasteczek-liczba-cookies-w-polsce-wzrosla-o-20-proc.html

• W artykule przedstawione jest zagadnienie na ile można w umowie rozszerzyć obowiązki inspektora ochrony danych.
• W praktyce zdarza się często, że administrator danych wpisuje IOD-owi do umowy zadania, które należą do ADO.
• Zadaniem IOD-a jest przede wszystkim wspieranie administratora danych w wykonywaniu jego obowiązków np. prowadzenie RCP jest obowiązkiem ADO, przy czym często te zadanie „zrzucane” jest na IOD-a.

Źródło: https://www.infor.pl/prawo/praca/umowa-o-prace/2860049,3,Jakie-obowiazki-IOD-mozna-wpisac-w-umowie.html

• Zmianę ustawy o Zakładowym Funduszu Świadczeń Socjalnych przewidują tzw. przepisy sektorowe (nowelizacja 168 aktów prawnych w związku z zapewnieniem stosowania RODO).
• Projektowany art. 8 ustawy o ZFŚS dopuści przetwarzanie przez pracodawcę oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej.
• Artykuł wskazuje również, że zgoda nie jest właściwą podstawą przetwarzania danych osobowych w ramach ZFŚS, jest nią obowiązek prawny. Pierwotny projekt przepisów sektorowych przewidywał zgodę jako podstawę prawną.
• Pracodawca będzie miał obowiązek dokonać przeglądu danych co najmniej raz w roku – zgodnie z zasadą ograniczenia przechowywania.
• W ocenie autorów artykułu, wobec członków rodziny pracownika, spełnienie obowiązku informacyjnego będzie wyłączone na podstawie art. 14 ust. 5 lit. c) RODO.

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1390129,zakladowy-fundusz-swiadczen-socjalnych-a-rodo.html              

• Rano 4 stycznia 2019 r. na Twitterze opublikowane zostały wewnętrzne dokumenty oraz dane osobowe niemieckich polityków ze wszystkich partii zasiadających w Bundestagu poza AfD (Alternatywa dla Niemiec).
• Informacje udostępnione na Twitterze dotyczą głównie danych kontaktowych, w tym numerów telefonów oraz adresów polityków.
• W części przypadków wyciekły również dane bankowe, finansowe oraz dowody osobiste czy prywatna korespondencja.

Źródło: https://www.cyberdefence24.pl/dane-niemieckich-politykow-w-sieci-bezpieczna-tylko-skrajna-prawica

Źródło: https://twitter.com/WitoldUrbanowic/status/1081740874650931202

• Kanadyjski Urząd Komisarza ds. ochrony danych osobowych, w wytycznych dla kupujących i sprzedających radzi, aby Kanadyjczycy kupujący legalną w tym kraju marihuanę płacili gotówką, a sklepy powinny zbierać jak najmniej informacji.
• Organ wyjaśnia, iż w większości porządków prawnych poza Kanadą marihuana jest nielegalna, stąd informacje o jej zakupie stanowią dane wrażliwe – niektóre kraje mogą zakazać wjazdu osobom, które wcześniej kupiły marihuanę, pomimo zgodności z prawem zakupu.

Źródło: https://businessinsider.com.pl/technologie/sprzedaz-marihuany-w-kanadzie-zalecenie-urzedu-ds-danych-osobowych/jhkkwte 

• Na stronie UODO został opublikowany krótki poradnik dotyczący postępowania z danymi osobowymi przez komitety wyborcze po zakończeniu kampanii wyborczej.
• Niedługo, zgodnie z art. 100 Kodeksu wyborczego, zostaną rozwiązane z mocy prawa komitety wyborcze zarejestrowane do zeszłorocznych wyborów samorządowych, w związku z tym istnieje konieczność bądź usunięcia danych bądź przekazania ich do właściwego organu wskazanego w prawie wyborczym.
• Prezes UODO podkreśla również, że po rozwiązaniu komitetu wyborczego z jego stron internetowych powinny zostać usunięte wskazane dane osobowe ujawnione w rejestrach, ponieważ cel ich przetwarzania został osiągnięty.

Źródło: https://uodo.gov.pl/pl/138/610

• Artykuł porusza kwestię, czy w Polsce, na podstawie przepisów RODO lub innych aktów szczególnych (Ustawa o świadczeniu usług drogą elektroniczną lub Prawo telekomunikacyjne) można żądać odszkodowania od przedsiębiorcy, który wysłał spam.
• Autor wskazuje na to, że mnogość przepisów dotyczących spamu i wykorzystywania adresu e-mail nie powoduje ułatwienia sprawy, lecz rozmycie odpowiedzialności.
• Praktyka sądowa pokazuje również, że o ile wysyłka spamu jest naruszeniem dóbr osobistych, o tyle nie należy się za to zadośćuczynienie, lecz wystarczy nakazanie przedsiębiorcy zaprzestania naruszenia.

Źródło: https://mojafirma.infor.pl/biznes/prawo/rodo-w-firmie/2857240,2,Odszkodowanie-od-przedsiebiorcy-za-spam-RODO.html

• Kierownik urzędu stanu cywilnego, a następnie wojewoda odmówili wnioskodawcy udostępnienia księgi małżeństw za dany rok. Wnioskodawca przeprowadzał badania genealogiczne. Kierownik urzędu wskazał, że dostęp do materiałów archiwalnych jest ograniczony ze względu na konieczność ochrony dóbr osobistych i ochronę danych osobowych.
• WSA w Gliwicach uchylił obie decyzje stwierdzając, że udostępnieniu podlegają nie tylko konkretne akty stanu cywilnego ale również akta zbiorowe (księgi). Rozstrzygnięte to zaskarżył wojewoda.
• NSA uwzględnił skargę, przy czym podniósł jednocześnie, że wniosek o udostępnienie materiałów archiwalnych powinien być na tyle precyzyjny, aby kierownik USC mógł określić grono osób, których dane osobowe bądź dobra osobiste mogą stanowić przeszkodę w udostępnieniu materiałów.

Źródło: Wyrok Naczelnego Sądu Administracyjnego w Warszawie z 9 października 2018 r. (II OSK 3212/17).

• ICO (brytyjski organ ochrony danych osobowych) opublikował na swojej stronie internetowej poradnik dotyczący rozumienia i stosowania zasady minimalizacji danych.
• Oprócz wymienienia kilku sytuacji przykładowych, ICO proponuje również, przy ocenie, czy organizacja przestrzega zasady minimalizacji, trzypunktową checklistę: gromadzimy wyłącznie dane, których rzeczywiście potrzebujemy do naszych określonych celów, mamy wystarczające dane, aby właściwe wypełnić te cele oraz okresowo sprawdzamy przechowywane przez nas dane i usuwamy wszystko, czego nie potrzebujemy.

Źródło: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/data-minimisation/

• 9 stycznia 2019 r. miało miejsce posiedzenie sejmowej podkomisji do rozpatrzenia projektu tzw. przepisów sektorowych. W posiedzeniu uczestniczyli przedstawiciele środowiska bankowego.
• Projekt przewiduje nowelizację prawa bankowego poprzez m. in. wprowadzenie katalogu danych, które banki będą mogły wykorzystywać do oceny zdolności kredytowej klienta w formie zautomatyzowanej (profilowania kwalifikowanego).
• W ocenie bankowców katalog ten jest niewystarczający, aby dokonać scoringu klienta. W efekcie bank nie będzie mógł w szczególnych sytuacjach sięgnąć po inne dane, co może spowodować odmowę udzielenia kredytu. Środowisko stawia również wiele innych zarzutów projektowi ustawy.

Źródło: https://www.prawo.pl/biznes/ocena-zdolnosci-kredytowej-a-rodo-co-banki-beda-mogly-badac,354660.html    

• 10 stycznia 2019 r. miało miejsce analogiczne posiedzenie sejmowej podkomisji jak w dniu poprzednim. Tym razem uczestnikami byli przedstawiciele środowiska ubezpieczeniowego.
• Projekt został mocno skrytykowany przez Polską Izbę Ubezpieczeń, ponieważ zakłada, że przetwarzanie danych dotyczących zdrowia klienta odbywać się będzie za jego zgodą, którą można w każdym momencie wycofać. W ocenie PIU takie brzmienie przepisu zablokowałoby rozwój rynku dobrowolnych ubezpieczeń zdrowotnych oraz na życie.
• Sprzeciw jest tak daleko idący, że podkomisja nie przyjęła sprawozdania ze swoich prac i ma się zebrać ponownie w kolejnym tygodniu.

Źródło: http://www.politykazdrowotna.com/40315,czy-rodo-zagrozi-ubezpieczeniom-zdrowotnym          

• 8 stycznia 2019 r. Prezydent RP podpisał ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (tzw. RODO dla służb).
• Ustawa wejdzie w życie w ciągu 14 dni od dnia jej ogłoszenia w Dzienniku Ustaw.

Źródło: http://www.prezydent.pl/prawo/ustawy/podpisane/art,41,styczen-2019-r.html

• Artykuł porusza dwie problematyczne kwestie związane z przetwarzaniem danych osobowych w ramach budżetów obywatelskich.
• Po pierwsze – trudności praktyczne sprawia określenie, kto jest administratorem danych, w momencie zbierania podpisów poparcia dla jakiejś inicjatywy, a przed przesłaniem listy do gminy
• Po drugie – ustawa, na podstawie której funkcjonuje budżet obywatelski, nie precyzuje zakresu informacji, jakie mogą być zbierane od osób, których dane dotyczą, przy okazji tworzenia budżetu obywatelskiego. Według UODO katalog danych powinien znaleźć się w ustawie o samorządzie gminnym.

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/1391156,budzety-obywatelskie-miasta-boja-sie-o-rodo.html

• Przy okazji ostatnich kontrowersji narosłych wokół zatrudniania na stanowiskach kierowniczych w Narodowym Banku Polskim, podniesiono również temat jawności zarobków takich osób.
• W praktyce istnieje konflikt między przepisami RODO, a ustawy o dostępie do informacji publicznej.
• Większość doktryny ochrony danych osobowych opowiada się za ujawnieniem zarobków – ich zdaniem przepisy ustawy o dostępie do informacji publicznej wyłączają w tym zakresie stosowanie przepisów RODO.

Źródło: https://konkret24.tvn24.pl/polska,108/rodo-a-dyrektorskie-pensje-w-nbp,899128.html

• Rzecznik Generalny Trybunału Sprawiedliwości UE wydał opinię dotyczącą dwóch spraw zawisłych przed Trybunałem, w których stroną jest Google.
• Pierwsza sprawa dotyczy zakazu przetwarzania przez wyszukiwarkę szczególnych kategorii danych (w tym wypadku – przekonań religijnych). Rzecznik wskazał, że w stosunku do wyszukiwarki również obowiązuje zakaz, ale w innym zakresie niż operatora strony internetowej.
• W drugiej sprawie Google odwołało się od kary nałożonej przez francuski organ ochrony danych osobowych, ponieważ nie usunęło na wezwanie wszystkich linków ze wszystkich wersji wyszukiwarek.
• Zdaniem Rzecznika obowiązek usunięcia linków istnieje, ale tylko w europejskich wersjach wyszukiwarek (państwach objętych RODO).

Źródło: https://prawo.gazetaprawna.pl/artykuly/1391518,google-wykasuje-linki-ale-tylko-w-ue.html               

• W myśl projektowanych przepisów sektorowych, ochronę danych osobowych w sądach, w zakresie postępowań sądowych, sprawować będzie Krajowa Rada Sądownictwa. W pozostałym zakresie (działalność administracyjna sądów) nadzór ma sprawować Prezes Urzędu Ochrony Danych Osobowych.
• Propozycja jest kontrowersyjna, ponieważ analogiczna regulacja została w 2015 r. uznana przez Trybunał Konstytucyjny za niezgodną z ustawą zasadniczą. Wówczas organem nadzorującym przetwarzanie danych osobowych w postępowaniach sądowych, wskazanym w projektowanych przepisach był Minister Sprawiedliwości

Źródło: https://www.prawo.pl/prawnicy-sady/ochrona-danych-w-sadach-nadzor-krs,355238.html

• Kolegium Regionalnej Izby Obrachunkowej w Rzeszowie stwierdziło nieważność uchwały Rady Miejskiej w Kańczudze, która ustalała wzory formularzy informacji i deklaracji podatkowych.
• RIO uznała, że zbieranie daty urodzenia, imion ojca oraz matki narusza zasadę minimalizacji danych. W ocenie organu nadzoru wystarczającą kategorią danych do identyfikacji podatnika jest numer PESEL.

Źródło: Uchwała Nr I/42/2019 z 3 stycznia 2019 r. Kolegium Regionalnej Izby Obrachunkowej w Rzeszowie, http://bip.rzeszow.rio.gov.pl/files/2019/uchwala.i.42.2019.2019-01-03.pdf

• Ta, wydawałoby się, oczywista zasada, stała się w niektórych przypadkach problematyczna po rozpoczęciu stosowania RODO.
• Autor artykułu podkreśla, że udzielanie informacji rodzinie o stanie zdrowia pacjenta jest dopuszczalne na mocy art. 9 ust. 2 lit. c) RODO. Dopuścił to także poradnik „RODO w służbie zdrowia” opracowany przez Ministerstwo Cyfryzacji we współpracy z Rzecznikiem Praw Obywatelskich.
• Administratorom danych często brakuje zwykłego, ludzkiego zdrowego rozsądku i empatii.

Źródło: https://www.prawo.pl/zdrowie/dane-medyczne-rodo-nie-zabrania-udzielania-informacji-rodzinie,353596.html

Źródło: https://twitter.com/borys_tomasz/status/1083499945112584192

• O wycieku danych ze sklepu internetowego Morele.net informowaliśmy już w kilku poprzednich RODO-aktualnościach.
• Sprawą zdecydował się zająć Prezes UODO. Wszczęte zostały czynności zmierzające do oceny, czy działalność podmiotu odbywa się zgodnie z przepisami o ochronie danych osobowych.
• Można zatem się spodziewać kontroli oraz ewentualnego dalszego postępowania administracyjnego wobec Moreli. Właściciel sklepu internetowego dopełnił obowiązku wobec organu nadzoru i zgłosił wcześniej naruszenie na podstawie art. 33 RODO.

Źródło: https://uodo.gov.pl/pl/138/644

• 11 stycznia 2019 r. zorganizowane zostało webinarium dla szkół w ramach programu edukacyjnego UODO „Twoje dane – Twoja sprawa”.
• Eksperci urzędu odpowiadali na liczne pytania w sprawie stosowania monitoringu wizyjnego np. jakie środki techniczne i organizacyjnego powinny być brane pod uwagę w fazie planowania, oceny skutków i zapewnienia bezpieczeństwa w przypadku stosowania monitoringu wizyjnego?

Źródło: https://uodo.gov.pl/pl/213/646

• 14 stycznia 2019 r. odbyło się szkolenie dla inspektorów ochrony danych organizowane przez Prezesa Urzędu Ochrony Danych Osobowych. Miejsca na szkolenie rozeszły się w kilka minut.
• Tematem szkolenia było zgłaszanie naruszeń ochrony danych osobowych do organu nadzoru.
• Szkolenie było również transmitowane online na kanale UODO w serwisie Youtube.

Źródło: https://uodo.gov.pl/pl/138/647

• Artykuł stanowi polemikę ze stanowiskiem Rzecznika Generalnego TSUE w opinii do sprawy przeciwko Google, o której pisaliśmy w RODO-aktualnościach z 14 stycznia 2019 r.
• Zdaniem autora nakaz usuwania linków tylko z europejskich wersji wyszukiwarek może doprowadzić albo do stworzenia dwóch „równoległych” sieci Internet albo być zwykłą fikcją.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1391930,rodo-w-sieci-i-likwidacja-linkow-w-google-litwinski.html

• Na szczęście co do zasady nie, choć do Ministerstwa Cyfryzacji spływają liczne zapytania od szkół średnich w sprawie stosowania przepisów RODO przy organizacji studniówek.
• Wg Macieja Kaweckiego, organizowanie studniówki na zewnątrz np. w hotelu czy na sali weselnej, nie jest objęte przepisami RODO, natomiast jeśli studniówka organizowana jest w samej szkole, znajdują zastosowanie te same regulacje, jak w przypadku innej działalności szkoły – jednak nie powinny one paraliżować.

Źródło: https://tvn24bis.pl/z-kraju,74/mc-rodo-nie-powinno-przeszkadzac-w-organizacji-studniowki,900228.html     

• Tematem artykułu jest bezpieczeństwo danych służbowych przetwarzanych na urządzeniach prywatnych, w szczególności takich jak smartfony czy laptopy.
• Autor radzi, celem zapewnienia zgodności z przepisami oraz bezpieczeństwa danych, aby między innymi: wprowadzić szyfrowanie (z uwzględnieniem obniżenia wydajności prywatnych urządzeń), zastosować mechanizmy rozdzielające dane służbowe od prywatnych (sandboxing), wprowadzić adekwatną blokadę urządzenia jak w sprzęcie służbowym, wymagać instalacji oprogramowania antywirusowego czy wprowadzić możliwość blokowania instalowania aplikacji z nieznanych źródeł lub potencjalnie niebezpiecznych.

Źródło: https://www.infor.pl/prawo/praca/prawa-pracownika/2867739,RODO-a-korzystanie-z-prywatnych-urzadzen-w-pracy.html           

• Przed organami nadzorczymi państw członkowskich UE toczą się postępowania przeciwko sieci hoteli z grupy Mariott w sprawie wycieku danych paszportowych.
• Początkowa szacunkowa liczba poszkodowanych (500 milionów) skurczyła się do „zaledwie” 383 milionów, w tym 20,2 miliona zaszyfrowanych numerów paszportowych.
• Sieć hoteli podejmuje rozliczne działania, aby uniknąć najwyższego wymiaru kary.
• Jeżeli Grupa Mariott zostałaby ukarana karą 4 % światowego rocznego obrotu, to jej wysokość wyniosłaby aż 915 milionów dolarów.

Źródło: https://www.compliancejunction.com/penalty-for-marriott-hotels-gdpr-breach-could-be-up-to-915/

• Firma POLVIET, pośrednicząca w uzyskiwaniu wiz do Wietnamu (właściciel strony wietnamwiza.com), udostępniła w sposób niezamierzony skany paszportów z danymi osobowymi posiadacza oraz zdjęciami ponad 3 tysięcy obywateli polskich, którzy wnioskowali o wizy od kwietnia 2015 r.
• Okazało się, że skany paszportów dostępne są pod publicznym adresem URL. Obecnie dostęp do katalogu ze skanami jest już zablokowany.
• POLVIET jest firmą wietnamską i działającą na podstawie prawa wietnamskiego. Dyrektor firmy przyznał, że w 3 i 4 kwartale 2018 r. miały miejsce ataki na stronę. Nie wiadomo, czy firma zgłosi naruszenie do Prezesa UODO.

Źródło: https://niebezpiecznik.pl/post/wyciek-3000-paszportow-wietnam-wiza/

• Prezes UODO zamierza przyjąć zgodnie z art. 28 ust. 8 RODO standardowe klauzule umowne w zakresie umów powierzenia przetwarzania danych. W związku z tym rozpoczęły się konsultacje w tym zakresie, które potrwają do 1 lutego 2019 r.
• Zainteresowani proszeni są o składanie wniosków dotyczących między innymi: dokumentowania poleceń administratora dotyczących przetwarzania danych, poziomu szczegółowości wskazania środków zabezpieczenia danych czy zapewnienia zgodności działania podprocesora z postanowienia umowy powierzenia.
• Większość branży chwali pomysł Prezesa UODO, aby opracować standardowe klauzule.

Źródła: https://uodo.gov.pl/pl/138/650

            https://www.prawo.pl/biznes/standardowe-umowy-powierzania-wytyczne-w-sprawie-akredytacji,357495.html

• Przedstawiciel Polskiej Izby Ubezpieczeń przedstawia w artykule argumenty przeciwko proponowanej zmianie ustawy o działalności ubezpieczeniowej i reasekuracyjnej, która oparłaby przetwarzanie danych dotyczących zdrowia klienta wyłącznie na zgodzie. Postuluje wprowadzenie przesłanki interesu publicznego (art. 9 ust. 2 lit. g) RODO). oraz wyraźnej podstawy prawnej w UDUiR. Poruszona zostaje również problematyka prawa do wycofania zgody bez ponoszenia negatywnych konsekwencji np. w trakcie postępowania likwidacyjnego. PIU podnosi również, że zgoda, jeżeli będzie warunkiem zawarcia umowy ubezpieczenia, nie będzie nosiła znamienia dobrowolności.
• 18 stycznia ponownie zbierze się sejmowa podkomisja do spraw tzw. przepisów sektorowych, gdzie nastąpi kolejna tura rozmów z przedstawicielami branży ubezpieczeniowej.

Źródła: https://www.prawo.pl/biznes/zgoda-na-przetwrzanie-danych-o-stanie-zdrowia-stanowisko,357501.html

            https://www.prawo.pl/biznes/podanie-nieprawdy-i-cofniecie-zgody-na-przetwarzanie-danych-o,358099.html                 

• Wnioskodawca zwrócił się do MSWiA o udostępnienie z rejestru PESEL informacji o stanie cywilnym matki dziecka za kilka wskazanych lat. Swoją prośbę argumentował chęcią wznowienia prawomocnego postępowania w sprawie o ustalenie pochodzenia dziecka. Organ odmówił i wskazał, że wnioskodawca powinien powołać się na rzeczywiście istniejący interes prawny (np. toczące się już postępowanie), a nie tylko zamiar wznowienia.
• NSA uznał skargę kasacyjną za niezasadną. Podkreślił, że interes prawny powinien być sprawdzalny obiektywnie, indywidualny, konkretny, a także aktualny, zaś sama deklaracja zainicjowania postępowania sądowego przesądza o braku uzasadnionych podstaw prawnych i faktycznych wykazania interesu prawnego.

Źródło: Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 29.11.2018 r. (II OSK 10/17)

• Artykuł stawia ciekawą tezę, iż RODO w zdecydowanej większości przedsiębiorstw (w szczególności mikro i małych) nie będzie miało zastosowania.
• Autor podkreśla między innymi, że jeśli mamy do czynienia z sytuacją, gdzie ustawa określa, cel, zakres danych i sposób ich przetwarzania (na przykładzie obowiązku wystawiania faktur), to przedsiębiorca (jeżeli w ustawie nie zostanie wprost wskazany) administratorem danych nie będzie, ponieważ nie ustala samodzielnie celów i sposobów przetwarzania danych, czyli nie spełnia kryterium art. 4 pkt 7 RODO.

Źródło: https://www.rp.pl/Dane-osobowe/301179984-RODO-w-Polsce-dyskusje-na-temat-watpliwosci-dotyczacych-rozporzadzenia.html

• Najwyższa Izba Kontroli opublikowała plan prac na rok 2019.
• Jednym z obszarów, które mają być skontrolowane w III i IV kwartale tego roku będzie „Wdrożenie przez administrację publiczną regulacji dotyczących ochrony danych osobowych po wejściu w życie RODO”.
• Plan można pobrać w tym miejscu.

• „Czy jesteśmy gotowi na stosowanie RODO? Wybrane zagadnienia z zakresu funkcjonowania administracji publicznej” – opracowanie o takim tytule ukazało się w wersji cyfrowej.
• Autorami są pracownicy naukowi Uniwersytetu Wrocławskiej.
• E-book do pobrania znajduje się tutaj.

Źródło: http://www.bibliotekacyfrowa.pl/dlibra/publication/100568/edition/93984

• Artykuł przedstawia najważniejsze, z punktu widzenia autora, problemy dotyczące przetwarzania danych osobowych w rekrutacji.
• Zagadnienia przedstawione są w formie mitów, które autor obala, a dotyczą m. in. zbierania innych kategorii danych, niż przewidziane w Kodeksie pracy czy zgody w formie odrębnego oświadczenia.

Źródło: https://www.pb.pl/rekrutacje-w-zgodzie-z-rodo-950825

• W związku z odrzuceniem przez brytyjski parlament projektu umowy „rozwodowej” z Unią Europejską, istnieje duże prawdopodobieństwo Brexitu bez porozumienia z UE.
• Prezes UODO zorganizowała briefing prasowy, na którym doradzała administratorom i podmiotom przetwarzającym, jak uregulować przepływ danych z UK po 29 marca 2019 r. (planowana data wyjścia UK z Unii).
• Organ nadzoru wskazał, jakie kroki powinni podjąć administratorzy lub podmioty przetwarzające, aby zapewnić po 30 marca 2019 r. zgodność z prawem transferu danych między Polską, a UK (która stanie się najprawdopodobniej państwem trzecim).

Źródło: https://uodo.gov.pl/pl/138/665

• U operatora popularnego serwisu świadczącego głównie usługi e-mail marketingu doszło w październiku 2018 r. do wycieku danych osobowych klientów, którzy równocześnie znajdowali się w bazie WordPressa.
• Freshmail poinformował, iż zgłosił naruszenie, w trybie art. 33 RODO, do Prezesa UODO, ale nie poinformował o naruszeniu osób, których dane dotyczą, ponieważ analiza incydentu określiła na poziomie średnim ryzyko naruszenia praw i wolności osób, których dane dotyczą.

Źródło: https://niebezpiecznik.pl/post/freshmail-wyciek-1100-danych-klientow/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+niebezpiecznik+%28Niebezpiecznik.pl+-+wszystko%29

• Deloitte przeprowadził badania „A new era for privacy. GDPR six months on”, które objęło przede wszystkim osoby, których dane dotyczą.
• 69 % badanych przyznało, że podstawą ich zaufania jest etyczne wykorzystywanie przez firmy informacji na ich temat.
• Z kolei 58 % respondentów twierdzi, że dzięki nowej regulacji prawnej zaczęli podchodzić do kwestii prywatności ze znacznie większą ostrożnością, niż wcześniej.

Źródło: https://ksiegowosc.infor.pl/obrot-gospodarczy/dzialalnosc-gospodarcza/2868390,RODO-po-6-miesiacach-prywatnosc-w-cenie.html

• Artykuł przedstawia poglądy dotyczące możliwości żądania przez szkoły oświadczeń o chorobach zakaźnych i szczepieniach uczniów w celu zapobiegnięcia epidemii.
• Jedni twierdzą, że nie ma takiej możliwości po pierwsze ze względu na RODO, a po drugie – ponieważ celem działalności szkoły nie jest zapobieganie chorobom zakaźnym, zatem szkoła powinna poinformować i pozostawić sprawę do decyzji sanepidowi.
• Niektóre kuratoria oświaty twierdzą jednak, że statut szkoły czy przedszkola powinien przewidywać zobowiązanie rodziców do poinformowania o chorobie zakaźnej dziecka, a ewentualnej problemy wynikają wyłącznie z nieporozumień między rodzicami, a władzami szkoły.

Źródło: https://serwisy.gazetaprawna.pl/edukacja/artykuly/1392528,szkola-bezprawnie-zada-oswiadczen-o-chorobach-uczniow.html?ref=purchaseCompleted

• Taką tezę stawia autor artykułu na kanwie zamieszczenia przez prezydentów jednego z miast relacji z jego wizyty w domu dziecka. Na zdjęciach pojawiały się podopieczni domu.
• Autor dopuszcza przetwarzanie wizerunku dzieci na gruncie przepisów prawa autorskiego (jako część większej całości – art. 81 ust. 1 pkt 2 Ustawy o prawie autorskim i prawach pokrewnych).
• Przetwarzanie wizerunku, jako danych osobowych, nie jest jednak, zdaniem autora, w tej sytuacji dopuszczalne na gruncie przepisów RODO. Zastosowanie nie znajdzie zarówno przesłanka prawnie uzasadnionego interesu (negatywny wynik testu równowagi), jak i zgody (naruszenie dobrowolności wyrażenia zgody przez pracowników domu dziecka).

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/1392552,rodo-kiedy-mozna-opublikowac-zdjecie-z-dziecmi.html?ref=purchaseCompleted

• Autorzy artykułu oceniają, jak polskie firmy poradziły sobie z wdrożeniem przepisów RODO.
• Wnioski nie są zbyt pozytywne, a eksperci wskazują, że najwięcej problemów pojawia się w obszarach: analizy ryzyka oraz jego minimalizowaniu lub zapobieganiu, DPIA, wdrożenia RODO w obszarze IT, udziału podmiotów zewnętrznych przy przetwarzaniu danych (udostępnienie/powierzenie) czy nielegalnych (z punktu widzenia RODO) działań marketingowych.

Źródło: https://mojafirma.infor.pl/biznes/prawo/rodo-w-firmie/2868415,Jak-polskie-firmy-poradzily-sobie-z-wdrozeniem-RODO.html

• Kolejny RODO-absurd, tym razem z Wielkiej Brytanii.
• 1/3 przebadanych sprzedawców deklaruje, że w razie zwrotu nietrafionego prezentu, będą musieli poinformować kupujących (tych, którzy wręczyli prezenty), że przedmioty zostały zwrócone.
• Sprzedawcy twierdzą, że to ich obowiązek na podstawie RODO oraz brytyjskiej ustawy o ochronie danych osobowych, stanowiącej uzupełnienie unijnego rozporządzenia.

Źródło: https://www.telegraph.co.uk/news/2019/01/13/customers-informed-gifts-returned-due-gdpr/