Uwaga na nowe prawo – czyli jaka odpowiedzialność grozi za kserowanie dowodów osobistych? Dlaczego należy zachować szczególną ostrożność po otrzymaniu e-maili z Urzędu Skarbowego? Czego interesującego dowiemy się z kolejnego Newslettera UODO? Jak Google edukuje internautów pod kątem odpowiedzialnego korzystania z poczty e-mail? Jak długo trzymać dokumenty z umów zleceń i PPK? Never ending story – czy numery rejestracyjne samochodu to dane osobowe, czy nie? Czego dotyczy kolejna RODO-afera w świecie piłki nożnej? Czy RODO chroni informacje o zarobkach osób publicznych? Czy na przetwarzanie danych pracownika w podróży służbowej jest potrzebna jego zgoda? Jak chronić dane osobowe w czasie wakacji? Czy pracodawca może badać pracowników alkomatem? Co ma RODO do nagrywania rozmów telefonicznych? Ile lat ma SPAM?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z drugiej połowy czerwca 2019.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Odpowiedzialność karna za ksero dowodu
- od 12 lipca za wykonanie kserokopii dowodu osobistego firma może odpowiadać nie tylko za naruszenie RODO, ale także karnie
- w życie wchodzi ustawa o dokumentach publicznych, która wprowadzaj sankcje karne za sporządzanie replik dokumentów publicznych, w tym m.in. dowodów i paszportów
- sporządzanie repliki będzie zagrożone karą do dwóch lat pozbawienia wolności
- kopiować dowody osobiste lub paszporty można wyłącznie wówczas, gdy są one wykonane do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument został wydany
Fałszywe maile z Urzędu Skarbowego
- Urzędy Skarbowe ostrzegają przed fałszywymi mailami, które odbierają internauci
- autorzy maili informują o zamiarze zainicjowania kontroli i przesyłają załącznik do wypełnienia
- w załączniku znajduje się downloader trojana, którego jednym z celów jest przechwycenie danych dostępowych do kont bankowych i kradzież środków
- przypominamy, że Urząd Skarbowy nigdy nie informuje e-mailem o zamiarze wszczęcia kontroli
Źródło: https://niebezpiecznik.pl/post/kolejna-fala-ataku-na-kontrole-z-urzadu-skarbowego/?fbclid=IwAR1B8r9kifoTvEZ1Cnkj68Rj8MTarU7Bam2PI2GXrD-D-zdWAlxl_tp4mp4 https://www.rybnik.com.pl/wiadomosci,uwaga-na-falszywe-maile-ze-skarbowki,wia5-3266-40997.html
Urzędnicy boją się o swoje dane
- 8 tys. pracowników ZUS obawia się o swoje dane osobowe – chodzi o kwestie związane ze składaniem podpisu kwalifikowanego
- mając podpis kwalifikowany urzędnika, wystarczy wejść na strony internetowe badające, czy dany elektroniczny dokument nie był modyfikowany albo czy nie jest sfałszowany – w wynikach weryfikacji można łatwo zobaczyć, kto jest podpisany pod dokumentem, pojawia się tam również PESEL
- ZUS rozkłada ręce i wskazuje, że tego typu przepisy obowiązują wszystkie instytucje publiczne
- do sytuacji odniósł się też UODO wskazując, że w obecnym stanie prawnym ujawnianie PESEL w kwalifikowanym podpisie elektronicznym, a także w KRS, jest dopuszczone ustawowo, przy czym wskazuje, że obowiązujące regulacje, które legalizują przetwarzanie takich danych w przywołanym zakresie, budzą wątpliwości pod kątem ich zgodności z przepisami RODO
Urzędnicy boją się o swoje dane
- 8 tys. pracowników ZUS obawia się o swoje dane osobowe – chodzi o kwestie związane ze składaniem podpisu kwalifikowanego
- mając podpis kwalifikowany urzędnika, wystarczy wejść na strony internetowe badające, czy dany elektroniczny dokument nie był modyfikowany albo czy nie jest sfałszowany – w wynikach weryfikacji można łatwo zobaczyć, kto jest podpisany pod dokumentem, pojawia się tam również PESEL
- ZUS rozkłada ręce i wskazuje, że tego typu przepisy obowiązują wszystkie instytucje publiczne
- do sytuacji odniósł się też UODO wskazując, że w obecnym stanie prawnym ujawnianie PESEL w kwalifikowanym podpisie elektronicznym, a także w KRS, jest dopuszczone ustawowo, przy czym wskazuje, że obowiązujące regulacje, które legalizują przetwarzanie takich danych w przywołanym zakresie, budzą wątpliwości pod kątem ich zgodności z przepisami RODO
Były pracownik wyniósł dane uczniów
- pracownica zwolniona z Gimnazjum nr 5 w Łodzi wyniosła ze szkoły dane osobowe 540 wychowanków i 43 nauczycieli
- w lipcu 2018 r. była pracownica zgłosiła się do gimnazjum po swoje rzeczy osobiste, jednak w kwietniu 2019 r. dyrektor dowiedział się, że kobieta wyniosła również dyskietki z danymi osobowymi (imionami i nazwiskami, datami urodzenia, PESEL, imionami rodziców oraz adresami)
- prokuratura wyjaśnia, czy kobieta weszła w posiadanie danych uczniów i nauczycieli przez pomyłkę – chcąc zabrać tylko rzeczy prywatne – czy kierowały nią inne intencje
Ostateczna wersja wytycznych w sprawie kodeksów postępowania
- 4 czerwca 2019 r., w Brukseli odbyło się 11. posiedzenie plenarne Europejskiej Rady Ochrony Danych (EROD)
- podczas posiedzenia organy nadzorcze m.in. przyjęły ostateczną wersję wytycznych w sprawie kodeksów postępowania, załącznika do wytycznych w sprawie akredytacji oraz załącznika 2 do wytycznych w sprawie certyfikacji
- pełna treść wytycznych w sprawie kodeksów postępowania: https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-12019-codes-conduct-and-monitoring-bodies-under_pl
Trzecie wydanie Newslettera UODO dla IOD
- UODO wydał kolejny numer swojego Newslettera dla IOD
- w najnowszym wydaniu m.in. o bezpieczeństwie danych osobowych w wyborach i kampaniach wyborczych, działaniach na rzecz zapobiegania kradzieży tożsamości, zgłaszaniu Zastępcy IOD, szkole, jako administratorze danych przetwarzanych w związku z działalnością rady rodziców, weryfikacji tożsamości przy przekazywaniu danych o stanie zdrowia drogą telefoniczną lub e-mail, a także działaniach na rzecz zapobiegania kradzieży tożsamości
- do subskrypcji Newslettera można zapisać się tu: https://news.uodo.gov.pl/lists/
Phishing quiz
- na początku roku Google wypuściło interesujący quiz sprawdzający, czy użytkownik dałby nabrać się na atak phishingowy
- phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) albo nakłonienia ofiary do określonych działań
- teraz pojawiła się polska wersja językowa quizu Googla, która dostępna jest pod linkiem: https://phishingquiz.withgoogle.com/
- sprawdź czy rozpoznasz próbę wyłudzenia informacji!
UODO wyjaśnia, jak długo trzymać dokumenty z umów zleceń i PPK
- UODO nie wskazuje konkretnie okresu przechowywania dokumentacji dotyczącej umów zlecenia, ale podaje wskazówki, według których powinno się postępować
- przy ustalaniu takiego okresu nie są wystarczające terminy przedawnienia roszczeń, lecz należy badać szerzej niezbędność przechowywania danych do celu, jakiemu służą
- i tak, choć dokumentacja dotycząca umów zlecenia powinna być przechowywana co najmniej przez trzy lata, to najwłaściwszym terminem wydaje się pięć lat – wypłata wynagrodzenia może bowiem podlegać oskładkowaniu, co zależy od zbiegu tytułów do ubezpieczeń, a roszczenia z tytułu składek przedawniają się dopiero po upływie pięciu lat
- w odniesieniu do dokumentacji związanej z PPK należy wziąć pod uwagę dwie daty – pięć lat, gdyż tyle wynosi okres przedawnienia roszczeń z tytułu wpłat do PPK oraz cztery lata w zakresie deklaracji o rezygnacji, gdyż co cztery lata od 1 kwietnia podmiot zatrudniający dokonuje ponownie wpłat na PPK, chyba że uczestnik znowu zrezygnuje
Źródło: https://praca.gazetaprawna.pl/artykuly/1415061,jak-dlugo-trzymac-dokumenty-z-umow-zlecen-i-ppk.html
Pierwszy rok obowiązywania RODO w jednostkach samorządu terytorialnego
- rejestry mieszkańców, monitoring wizyjny, zasoby BIP oraz stron internetowych urzędów – w tych obszarach samorządowcy mieli problemy ze stosowaniem RODO
- mimo to po roku jego obowiązywania bilans dla JST wypada pozytywnie
- takie wnioski płyną z konferencji podsumowującej pierwszy rok obowiązywania RODO w JST, zorganizowanej przez UODO, Sejmową Komisję Samorządu Terytorialnego i Polityki Regionalnej oraz Narodowy Instytut Samorządu Terytorialnego
- Piotr Drobek, dyrektor Zespołu Analiz i Strategii zachęca jednostki samorządu terytorialnego do tworzenia kodeksów postępowań przez zrzeszające je organizacje
- relacja z konferencji dostępna jest na stronie Sejmu: http://www.sejm.gov.pl/Sejm8.nsf/transmisje_arch.xsp#D069BFE9DC00D125C125841200246BD3
Upubliczniona korespondencja pracownika przestaje być prywatna
- wykorzystanie prywatnej korespondencji pracownika, ujawnionej pracodawcy przez samego pracownika i przez organy ścigania, w charakterze podstawy do zwolnienia z pracy, nie stanowi naruszenia prawa do poszanowania życia prywatnego i poufności korespondencji – stwierdził Europejski Trybunał Praw Człowieka
- sprawa dotyczyła pracownika brytyjskiej służby zdrowia, który został oskarżony o nękanie współpracowników
- po przeprowadzeniu postępowania wewnętrznego i postępowania dyscyplinarnego, skarżący został zwolniony z pracy ze względu na poważne naruszenie obowiązków pracowniczych, czego dowodem były prywatne maile i wiadomości pracodawca miał dostęp do tych treści dlatego, że zostały mu one częściowo przekazane przez organy ścigania, a częściowo skarżący sam je ujawnił w toku postępowania dyscyplinarnego
- skarżący zarzucił, iż zwolnienie go z pracy na podstawie jego prywatnej korespondencji odbyło się z naruszeniem jego prawa do życia prywatnego i do poufności korespondencji, chronionych w art. 8 Konwencji o prawach człowieka
Czy numer rejestracyjny można uznać za dane osobowe?
- w 2017 r. WSA w Warszawie unieważnił fragment uchwały Rady Miasta Stołecznego Warszawy, która nakazuje kierowcom podawać numery rejestracyjne w parkomatach – uznał, że miasto nie wykazało prawnej podstawy do przetwarzania danych osobowych
- stołeczny ratusz zaskarżył tę decyzję – w tym tygodniu NSA rozpozna tę skargę, a kluczową kwestią będzie rozstrzygnięcie, czy numer rejestracyjny należy uznać za dane osobowe
- zdaniem autorów skargi numer rejestracyjny może odnosić się do dwóch kategorii osób fizycznych: właścicieli pojazdów oraz ich użytkowników, a ani Zarząd Dróg Miejskich, ani Straż Miejska, nie mają narzędzi do stwierdzenia, czy osobą śledzoną jest właściciel pojazdu czy też inna osoba
- do podobnych wniosków doszedł WSA w Gliwicach, który uznał, że tradycyjny numer rejestracyjny nie stanowi danych osobowych, gdyż powiązanie go z konkretnym człowiekiem wymagałoby zbyt nadmiernych kosztów, czasu lub działań – numer identyfikuje pojazd, a nie osobę
Źródło: https://prawo.gazetaprawna.pl/artykuly/1417952,parkomaty-numer-rejestracyjny-dane-osobowe-nsa.html?
Wystąpienie Prezesa UODO do MC w sprawie podpisu elektronicznego
- Prezes UODO wystąpił do Ministra Cyfryzacji z prośbą o zmianę przepisów, które dostosują aktualne regulacje prawne dotyczące kwalifikowanego podpisu elektronicznego do zasad wyrażonych w RODO
- do UODO docierają sygnały w sprawie zagrożenia dla prywatności osób posługujących się kwalifikowanym podpisem elektronicznym, związane z ujawnianiem w tym podpisie numeru PESEL osoby podpisującej
- w ocenie UODO należy rozważyć, czy ujawnianie numeru PESEL w certyfikacie kwalifikowanego podpisu elektronicznego jest jedynym sposobem skutecznego i bezpiecznego potwierdzenia tożsamości osób podpisujących
Źródło: https://uodo.gov.pl/pl/138/1072
Podróże służbowe w wakacje a ochrona danych
- podróż służbowa w świetle art. 775 § 1 Kodeksu pracy to wykonywanie na polecenie pracodawcy zadania poza miejscowością, w której znajduje np. siedziba pracodawcy
- według RODO niepotrzebna jest dodatkowa zgoda osób zatrudnionych na przetwarzanie ich danych, gdyż podstawę stanowi obowiązek prawny ciążący na pracodawcy na gruncie przepisów prawa pracy
- sprawa ma się inaczej, gdy zlecamy zorganizowanie ich podmiotom zewnętrznym np. biurom podróży
- w procesie organizacji wyjazdu na sprecyzowanych przez pracodawcę warunkach, co do zasady biura podróży będą pełnić rolę podmiotu przetwarzającego – konieczne jest więc zawarcie umowy powierzenia danych osobowych
RODO nie chroni informacji o zarobkach osób publicznych
- pod koniec 2018 r. Sieć Obywatelska Watchdog Polska postanowiła zweryfikować informacje o wypłacaniu w spółkach Skarbu Państwa uznaniowych nagród związanych ze 100-leciem odzyskania niepodległości przez Polskę – dlatego wystąpiła do 29 firm wpisanych do wykazu spółek o istotnym znaczeniu dla gospodarki państwa
- spółki odmówiły ujawnienia żądanych danych, a często powtarzającym się argumentem było RODO
- w zdecydowanej większości zapadłych dotychczas wyroków sądy administracyjne uznały, że spółki są zobowiązane do udostępniania informacji publicznej i nakazały im rozpatrzenie wniosków
- ujawnieniu jako informacja publiczna podlegają jednak wyłącznie informacje na temat wynagrodzeń pracowników pełniących funkcję publiczną – nagrody i premie pracownika niebędącego osobą funkcyjną, niepełniącego roli piastuna organu, nie stanowią informacji publicznej
La Liga zapłaci 250 tys. euro kary
- oficjalna aplikacja La Liga, za pomocą której ponad cztery miliony ludzi w Hiszpanii śledzi wyniki meczów na żywo, pozwalała na zdalne włączenie mikrofonu w smartfonie jej użytkowników
- nagrywanie miało pomóc władzom ligi znaleźć bary, których właściciele nielegalnie puszczają transmisje meczów hiszpańskich drużyn
- zgodnie z oceną Hiszpańskiej Agencji Ochrony Danych (AEPD) takie wykorzystanie mikrofonów użytkowników aplikacji narusza zasady przejrzystości
- AEPD za naruszenie podstawowych zasad przejrzystości w aplikacji mobilnej nałożyła na La Lingę 250 tys. euro kary
- La Liga zapowiada odwołanie się od tej decyzji, gdyż jej zdaniem użytkownicy byli m.in. informowani o zasadach działania aplikacji
Źródło: https://www.spidersweb.pl/2019/06/la-liga-aplikacja-szpiegujaca-250-tys-euro-kary.html
Ochrona danych osobowych nie ma wakacji
- na swojej stronie internetowej Prezes UODO udostępnił kilka porad jak w czasie wakacji zadbać o swoje dane osobowe i uchronić się przed potencjalnymi problemami
- organ ostrzega m.in. aby nie zostawiać dowodów osobistych w zastaw (np. w wypożyczalniach różnego rodzaju sprzętu), a także aby nie pozwalać na robienie ich kserokopii lub skanów
- UODO zwraca również uwagę na konieczność zachowania szczególnej ostrożności przy korzystaniu z „darmowych” atrakcji – często ich ceną są nasze dane osobowe, które musimy podać, aby stać się ich uczestnikiem
Źródło: https://uodo.gov.pl/pl/138/1073
UODO o badaniach alkomatem
- w związku z kierowanymi do UODO licznymi pytaniami, wynikającymi m.in. z najnowszych zmian w Kodeksie pracy, organ wskazuje, że w obecnym stanie prawnym pracodawcy nie mogą samodzielnie prowadzić kontroli stanu trzeźwości pracowników, w tym kontroli wyrywkowych
- w opinii UODO wiedza o tym, czy ktoś jest nietrzeźwy jest informacją o stanie zdrowia
- stan trzeźwości pracowników można sprawdzać, tylko na warunkach określonych prze ustawę o wychowaniu w trzeźwości, tj. tylko wtedy, gdy łącznie są spełnione dwa warunki:
1) badanie odbywa się na żądanie kierownika zakładu pracy lub pracownika, co do którego zachodzi uzasadnione podejrzenie, że spożywał alkohol w czasie pracy lub stawił się do niej w stanie po spożyciu,
2) badanie stanu trzeźwości pracownika przeprowadza uprawniony organ
Źródło: https://uodo.gov.pl/pl/138/1076
Ile razy administratorzy uchylili się od informowania o wycieku?
- w związku z rocznicą stosowania RODO, Niebezpiecznik wystąpił do UODO z pytaniami dotyczącymi dotychczasowego postępowania administratorów w zakresie naruszeń ochrony danych osobowych
- rzecznik prasowy UODO poinformował, że w okresie od 25 maja 2018 r. do 25 maja 2019 r. do UODO zgłoszono 4539 naruszeń
- 813 razy UODO zwrócił się do administratorów o dopełnienie obowiązku zawiadomienia osób, których dane dotyczą
- do UODO wpłynęło ponad 8 tys. skarg z czego ok. 70% ma braki formalne (brak podpisu, brak określenia żądania)
Warunki nagrywania rozmów
- po wejściu w życie RODO osoby prywatne wciąż mają prawo do nagrywania telefonicznych rozmów bez informowania o tym drugiej strony – nagrywanie dla celów osobistych lub domowych nie jest sprzeczne z prawem i nie trzeba o nim informować, niezależnie od liczby uczestników dyskusji
- w przypadku nagrań wykonywanych dla potrzeb działalności gospodarczej lub zawodowej, rozmówcy podlegają regulacjom RODO opisanym w art.13 – wówczas powinni określić, kto jest administratorem danych i jaki jest cel nagrania
- niepoinformowanie o nagrywaniu, jeżeli podlega się RODO, to naruszenie obowiązków informacyjnych, zagrożone karą finansową do 4 % przychodu
Spam ma już ponad 40 lat!
- pierwszym w historii spamem była masowa korespondencja wysłana w 1978 roku przez marketing managera w firmie Digital Equipment Corp – wysłał on drogą elektroniczną ofertę handlową do niemal 400 użytkowników sieci rozległej ARPANET
- z kolei w latach 80-tych Brian Phish stosował techniki psychologiczne do wykradania numerów kart kredytowych – eksperci wciąż spierają się czy był on postacią prawdziwą, a niektórzy twierdzą, że to właśnie od jego nazwiska pochodzi termin phishing
- według danych grupy badaczy cyberbezpieczeństwa zrzeszonych w Cisco Talos, w kwietniu tego roku spam stanowił 85% wszystkich e-maili
- eksperci wskazują, że jednym z najskuteczniejszych sposobów ochrony przed cyberatakami jest organizacja cyklicznych szkoleń oraz niezapowiedzianych, kontrolowanych symulacji ataków,
Źródło: https://brandsit.pl/spam-ma-juz-ponad-40-lat-a-phishing-ponad-30-jak-bronic-sie-przed-tymi-atakami/
Webinar RODO w szkolnej ławce
- UODO udostępnił nagranie z webinaru, prowadzonego 17 maja 2019 r. dla placówek oświatowych pt. „RODO w szkolnej ławce – czyli o co najczęściej pytają dyrektorzy, rodzice i nauczyciele„
- podczas wykładu omówione zostały następujące zagadnienia: prowadzenie rekrutacji do szkół, organizacja szkolnych konkursów, prowadzenie dokumentacji psychologiczno-pedagogicznej, kierowanie uczniów na praktyki lub staże, a także przyjmowanie przez szkołę stażystów i praktykantów, prowadzenie przez szkoły rejestru czynności przetwarzania
- cały webinar można obejrzeć tutaj: https://www.youtube.com/watch?v=uWwcAgZKdic
Pobierz plik PDF z prezentacją
RODO aktualności z dnia 17.06.2019 Pobierz
Pobierz plik PDF z prezentacją
RODO aktualności z dnia 24.06.2019 Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.