Kilka aktualności o najważniejszym wydarzeniu ostatnich tygodni, czyli na kogo, w jakiej wysokości i za co została nałożona pierwsza w Polsce kara za naruszenie RODO? Od kiedy zacznie obowiązywać „RODO 2.0”, czyli pakiet krajowych ustaw dostosowujących polskie prawo do unijnego Rozporządzenia? Jakie najważniejsze wnioski wynikają z decyzji wydanych do tej pory przez UODO? Kto zostanie nowym Prezesem UODO? Newsletter dla IOD – jak się na niego zapisać? Czego będzie dotyczył kolejny poradnik Ministerstwa Cyfryzacji dot. RODO?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z końcówki marca i połowy kwietnia 2019.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Pierwsza w Polsce kara za naruszenie RODO
- Stało się! Prezes UODO nałożyła pierwszą administracyjną karę pieniężną za naruszenie przepisów RODO. Ukaranym podmiotem jest spółka, która prowadzi działalność tzw. wywiadowni gospodarczej.
- PUODO stwierdziła naruszenie art. 14 ust. 1-3 RODO poprzez brak spełnienia obowiązku informacyjnego wobec osób, których ukarana spółka dane przetwarzała oraz błędne zastosowanie wyłączenia z art. 14 ust. 5 lit. b) RODO (niewspółmierny wysiłek).
- Decyzja, zgodnie z przepisami UODO, jest ostateczna i przysługuje od niej bezpośrednio skarga do sądu administracyjnego. Kara wyniosła 943 470 zł. Oprócz tego spółka została zobowiązana do wykonania obowiązku informacyjnego w terminie 3 miesięcy.
Źródło: Decyzja PUODO z 15 marca 2019 r. (ZSPR.421.3.2018)
Decyzja (prawie) zpseudonimizowana
- Pan Łukasz Olejnik na swoim blogu Prywatnik przeprowadził ciekawą analizę decyzji PUODO z 15 marca, o której piszemy w newsie nr 6, pod kątem jej pseudonimizacji.
- Autor podkreśla, że bardzo niewiele czasu potrzeba, aby odwrócić pseudonimizację decyzji organu nadzoru i dowiedzieć się, jaka spółka została ukarana – wystarczy, na podstawie informacji zamieszczonych w decyzji, sformułować proste zapytanie w wyszukiwarce Google.
- Zdaniem autora decyzje Prezesa UODO nie powinny być poddawane pseudonimizacji, tym bardziej że chodzi o decyzję dotyczącą naruszenia przepisów o ochronie danych osobowych.
Źródło: https://prywatnik.pl/2019/03/27/o-pseudonimizacji-w-decyzji-o-pierwszej-karze-gdpr-w-polsce/
Audiatur et altera pars
- Prezes Zarządu spółki Bisnode, która została w tym tygodniu ukarana przez PUODO, zapowiada złożenie skargi na decyzję do sądu administracyjnego.
- Andrzej Osiński twierdzi, że spółka była kontrolowana również w dwóch innych krajach UE i nie stwierdzono wobec niej uchybień, a decyzja polskiego organu jest dla niego niezasadna.
- Prezes widzi dwa możliwe wyjścia z sytuacji (na poziomie ogólnym) – albo wprowadzenie obowiązku dla przedsiębiorców podania adresu e-mail podczas rejestracji działalności gospodarczej albo zmianę przepisów i wyłączenie przedsiębiorców z reżimu przepisów o ochronie danych osobowych – to jednak byłoby sprzeczne z przepisami RODO, które jest stosowane bezpośrednio.
Źródło: https://biznes.gazetaprawna.pl/artykuly/1405345,andrzej-osinski-bisnode-decyzja-uodo.html
Czyszczenie dysków przed sprzedażą - kto by o tym pamiętał?
- Portal Niebezpiecznik porusza ciekawą kwestię sprzedaży lub oddania używanych dysków twardych oraz urządzeń pamięci przenośnej.
- Specjalista z firmy Rapid7 przeprowadził badanie w USA kupując używane: komputery, dyski zewnętrzne, dyski twarde oraz telefony.
- Okazało się, że nawet 70 % urządzeń mogło zawierać dane poprzednich właścicieli – najczęstszą przyczyną jest przeprowadzenie „zwykłej” procedury usunięcia danych z dysku (przez co łatwo je odzyskać) albo nie przeprowadzenie czyszczenia dysków w ogóle.
Źródło: https://niebezpiecznik.pl/post/wiekszosc-uzywanych-dyskow-zawiera-dane-poprzednich-wlascicieli/
Wyłączenie przedmiotowe RODO
- Interesującej odpowiedzi na interpelację poselską, dotyczącą dostosowania Biura Lustracyjnego Instytutu Pamięci Narodowej do przepisów RODO, udzielił Dyrektor Głównej Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu IPN-u.
- Stwierdził on, iż poza zakresem wskazanym w znowelizowanym art. 71 ustawy o IPN, RODO nie ma zastosowania do działalności Instytutu. RODO zawiera bowiem wyłączenia przedmiotowe w jego stosowaniu, które odnoszą się bezpośrednio do zadań Biura Lustracyjnego. W art. 2 ust. 2 lit. a RODO wskazano, że RODO nie ma zastosowania do działalności nieobjętej zakresem prawa UE, a zdaniem Dyrektora w IPN, działalność związana z ochroną dziedzictwa narodowego i historycznego oraz tożsamością polskiego narodu nie może być regulowana prawem unijnym.
Źródło: http://www.sejm.gov.pl/sejm8.nsf/InterpelacjaTresc.xsp?key=BAHJWC
Aktualizacje to nie zawsze bezpieczeństwo
- Przekonali się o tym niektórzy użytkownicy sprzętu firmy ASUS.
- W okresie od czerwca do listopada 2018 r. otrzymywali oni złośliwe aktualizacje – hakerzy włamali się i przejęli kontrolę nad oficjalnym serwerem aktualizacji ASUS-a. Każda nowa wersja oprogramowania, dostarczana przez producenta sprzętu, była niezauważalnie infekowana.
- W tym miejscu możesz sprawdzić, jeśli posiadasz sprzęt tej firmy, czy nie jesteś ofiarą ataku.
Źródło: https://niebezpiecznik.pl/post/masz-asusa-twoje-urzadzenie-moglo-zostac-zainfekowane/
Przepisy sektorowe sprawią problemy branży telekomunikacyjnej?
- Kolejna branża (tym razem telekomunikacyjna) zgłasza zastrzeżenia do projektu tzw. ustawy sektorowej, która opuściła już Parlament i czeka na podpis Prezydenta.
- Po pierwsze, wątpliwości budzi znowelizowany art. 159 Prawa telekomunikacyjnego w zakresie danych osobowych, które powinny być objęte tajemnicą telekomunikacyjną.
- Po drugie, zmieniony art. 151 Prawa telekomunikacyjnego skreślił katalog danych, które operator telekomunikacyjny może przetwarzać bez zgody osoby, której dane dotyczą. W tej chwili przepis dotyczy tych samych danych osobowych, z tym że raz wymaga uzyskania zgody, a raz nie wymaga.
RODO nie uzasadnia zwolnienia dyscyplinarnego
- W Sądzie Rejonowym w Toruniu zapadło nieprawomocne orzeczenie, w którym sąd przyznał powodowi (pracownikowi) odszkodowanie za niezgodne z prawem rozwiązanie stosunku pracy.
- Z pracownikiem rozwiązano umowę o pracę w trybie art. 52 Kodeksu pracy, ponieważ nie podpisał dokumentów związanych z rozpoczęciem stosowania RODO (m. in. zgody na przetwarzanie danych osobowych w aktach osobowych, czy zgody na objęcie monitoringiem pracodawcy).
- Sąd wskazał, iż po pierwsze nie doszło do spełnienia wszystkich przesłanek ciężkiego naruszenia obowiązków pracowniczych, o którym mowa w art. 52 § 1 pkt 1 Kodeksu pracy, a także że niektóre dokumenty przygotowane przez pracodawcę (np. zgoda na objęcie monitoringiem), w świetle obowiązujących regulacji, były zbędne i niezgodne z przepisami.
Źródło: Wyrok Sądu Rejonowego w Toruniu z dnia 28 grudnia 2018 r. (IV P 364/18).
A może by tak odpocząć od RODO?
- Partia Wiosna, na kanwie opublikowanej w tym tygodniu decyzji PUODO, zaapelowała do Prezesa Rady Ministrów, aby podjął działania, które miałyby doprowadzić do zawieszenia na rok nakładania przez organ nadzoru kar za naruszenie przepisów RODO.
- Niektórzy złapali się za głowę twierdząc, że partia chciałaby, aby organ władzy wykonawczej wywarł nacisk na formalnie niezależny organ ochrony danych osobowych.
- Wiosna chciałaby również, aby rząd przeprowadził ponowną kampanię informacyjną, której zadaniem byłaby edukacja społeczeństwa polskiego na temat przepisów o ochronie danych osobowych.
Pierwsza kara w Danii
- Duński organ ochrony danych osobowych zarekomendował nałożenie 1,2 miliona koron duńskich kary na firmę taksówkową Taxa 4×35 za naruszenie art. 5 ust. 1 lit. c) oraz e) RODO (zasad minimalizacji danych oraz ograniczenia przechowywania).
- Organ zarzucił podmiotowi, że błędnie stosuje anonimizację danych, jako sposób na retencję (firma usuwała jedynie nazwisko osoby, która korzystała z jej usług). Oprócz tego administrator danych przechowywał numery telefonów osób, których dane dotyczą, co zdaniem organu nadzorczego było działaniem nadmiarowym.
Nowe okresy przechowywania dokumentacji pracowniczej i tak za długie?
- Autorka artykułu porusza kwestię relacji między znowelizowanymi przepisami Kodeksu pracy, dotyczącymi przechowywania dokumentów pracowniczych (nowe pojęcie, które zastąpiło akta osobowe) oraz zasadą ograniczenia przechowywania, którą statuuje RODO.
- Mec. Klaudia Kamińska-Kiempa stwierdza, że skrócone (10 lat) okresy przechowywania dokumentacji pracowniczej są niezgodne z zasadą ograniczenia przechowywania.
- Swoją tezę argumentuje tym, że maksymalny termin przedawnienia roszczeń ze stosunku pracy wynosi 3 lata, a znowelizowane przepisy dotyczą dokumentacji pracowniczej, której zawartość jest szersza, niż akt osobowych – jej zdaniem większość dokumentów powinna mieć 3-letni termin retencji.
Źródło: https://www.rp.pl/Kadry/303289987-Czas-trzymania-dokumentacji-pracowniczej-w-niezgodzie-z-RODO.html
UODO publikuje garść decyzji
- W ubiegłym tygodniu środowisko obiegła przede wszystkim informacja o nałożeniu kary administracyjnej na spółkę Bisnode.
- Na stronie UODO jednak, oprócz wskazanej powyżej, opublikowano również 9 innych decyzji.
- Decyzje są różnego rodzaju, jednak żadna nie nakłada kary. Dotyczą one głównie podmiotów z branży medycznej oraz finansowej.
Źródło: https://uodo.gov.pl/129
UODO kontynuuje edukację społeczeństwa
- W maju oraz czerwcu 2019 r. UODO zorganizuje we współpracy z NIST cztery szkolenia pn. „Zmiany w ochronie danych osobowych w świetle RODO i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych”.
- Inicjatywa skierowana jest do inspektorów ochrony danych, a także kadry kierowniczej pełniącej tę funkcję w administracji publicznej.
- Oprócz szkoleń stacjonarnych, zaplanowano także organizację webinariów (48 godzin zajęć).
Źródło: https://uodo.gov.pl/pl/218/775
Inteligentne liczniki będą stosowane masowo
- Maksymalnie do 2026 r. Polska jest zobowiązana, na mocy przepisów unijnych, do wdrożenia (w 80 % budynków) inteligentnych liczników pomiaru zużycia energii elektrycznej.
- Monitoring stosowany będzie w interwałach co 15 lub 60 minut. Dzięki technologii Big Data, wiele firm, zwłaszcza z sektora reklamowego i finansowego, jest w stanie stworzyć model naszego zachowania poprzez analizę zużycia mediów.
- Projekt nowelizacji ustawy Prawo energetyczne zawiera przepisy określający, którzy operatorzy energii będą administratorami danych osobowych swoich klientów. Wprowadzenie inteligentnych liczników wiązać się może (i najczęściej będzie) z koniecznością przeprowadzenia oceny skutków dla ochrony danych i stosowania adekwatnych zabezpieczeń.
Kamera nagra nasz głos?
- Obecnie powszechnie stosowany w miastach i gminach jest monitoring wizyjny – kamery umieszczone w przestrzeniach publicznych.
- Artykuł porusza kwestię możliwości i dopuszczalności prawnej stosowania fonomonitoringu – formy monitoringu, która nagrywa również głos.
- Podkreśla się jednak, że w myśl przepisów RODO oraz stanowiska organów i doktryny, głos jest szczególną kategorią danych, ponieważ stanowi dane biometryczne.
- Obecnie mało prawdopodobne jest, aby fonomonitoring miał być stosowany. Są jednak przykłady, kiedy system monitoringu wyposażony jest w możliwość nadawania komunikatów głosowych (nie nagrywa jednak obywateli).
Źródło: https://www.prawo.pl/samorzad/monitoring-glosowy-fonomonitoring-nie-moze-nagrywac-rozmow,392999.html
PUODO: forma spełnienia obowiązku informacyjnego nieistotna
- Prezes UODO udzieliła wywiadu serwisowi Prawo.pl w sprawie nałożenia kary na spółkę Bisnode.
- Dr Bielak-Jomaa stwierdziła, że istotą obowiązku informacyjnego jest to, aby osoba, której dane dotyczą (niezależnie od źródła pochodzenia jej danych osobowych) otrzymała informacje, o których mówi art. 13 lub 14 RODO. Forma spełnienia obowiązku nie jest istotna, decydującym jest wykazanie, że osoba, której dane dotyczą otrzymała informację.
- PUODO odpowiada również na pytania, jak wykazać spełnienie obowiązku informacyjnego np. poprzez wysyłkę listów zwykłych.
Źródło: https://www.prawo.pl/biznes/prezes-uodo-mowi-o-pierwszej-karze-za-naruszenie-rodo,392981.html
Sejm wybrał Jana Nowaka na nowego Prezesa UODO
- 4 kwietnia br. Sejm poparł kandydaturę Jana Nowaka na nowego Prezesa UODO (za głosowało 221 posłów, przeciw 171, 4 posłów wstrzymało się od głosu)
- wybór Prezesa UODO musi zatwierdzić jeszcze Senat
- Jan Nowak rozpoczął pracę w Biurze GIODO w 2006 r., obecnie pełni rolę Dyrektora Biura UODO i podlegają mu zespoły: radców prawnych, administracyjny, organizacyjny i informatyki oraz działy: kadr, finansów oraz kontroli wewnętrznej i zarządczej
- kadencja obecnej Prezes UODO dr Edyty Bielak-Jommy kończy się 22 kwietnia br.
Prezydent podpisał ustawę sektorową
- 3 kwietnia br. Prezydent RP Andrzej Duda podpisał ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania Ogólnego rozporządzenia o ochronie danych
- ustawa wprowadza zmiany w 170 ustawach dostosowując je do przepisów RODO
- zmiany dotyczą m.in. Kodeksu pracy, przepisów regulujących sektor finansowy oraz działania w obszarach: sportu, kultury, ochrony zdrowia, rodziny, polityki społecznej, administracji, ochrony środowiska, edukacji narodowej, inwestycji i rozwoju
- nowe przepisy wejdą w życie po upływie 14 dni od dnia publikacji ustawy w Dzienniku Ustaw (pod koniec kwietnia, realnie między 22 a 25 kwietnia 2019 r.)
Źródło: https://www.prezydent.pl/aktualnosci/wydarzenia/art,1357,prezydent-podpisal-dziewiec-ustaw.html
Twardy brexit a transfer danych
- w sytuacji, gdy Wielka Brytania postawi na tzw. twardy brexit, czyli formę bezumowną wyjścia ze struktur UE, stanie się „państwem trzecim” w rozumieniu RODO
- by przekazać dane osobowe do brytyjskiego podmiotu należało będzie zapewnić odpowiednie gwarancje bezpieczeństwa, wskazane w rozdziale V RODO
- w Wielkiej Brytanii przygotowywana jest odpowiednia ustawa, która w dużym stopniu będzie odpowiadać RODO – zacznie obowiązywać w momencie twardego brexitu, dzięki czemu m.in. nadal będzie istniał odpowiednik polskiego UODO (information Commissioner’s Office)
Newsletter UODO dla IOD
- 1 kwietnia br. Urząd Ochrony Danych Osobowych uruchomił specjalistyczny newsletter skierowany do Inspektorów Ochrony Danych
- w elektronicznym biuletynie mają znaleźć się przydatne i najbardziej aktualne informacje dotyczące problematyki ochrony danych osobowych
- subskrybcja newslettera jest bezpłatna, a zapisu można dokonać pod linkiem: https://news.uodo.gov.pl/lists/
Źródło: https://uodo.gov.pl/pl/138/842
RODO a walka z korupcją
- obowiązek informowania przedsiębiorców o ich przetwarzaniu danych zawartych w CEIDG utrudni ich wykorzystanie organizacjom patrzącym politykom na ręce
- organizacje pozarządowe walczące z korupcją mogą obecnie przetwarzać informacje zawarte w Krajowym Rejestrze Sądowym (KRS) – dane z CEIDG mogłyby stanowić dla nich istotne uzupełnienie tych informacji
- ze względu jednak na obowiązek informacyjny związany z przetwarzaniem informacji o ponad 1,5 mln osób nie będą ryzykować dostępu do tych danych
Źródło: https://www.rp.pl/Firma/303319979-Kara-za-nieprzestrzeganie-RODO-a-walka-z-korupcja.html
Diabeł tkwi w szczegółach
- Fundacja ePaństwo przetwarzająca dane pobrane z KRS uniknęła kary za niespełnienie obowiązku informacyjnego, a Bisnode wykorzystując dane z CEIDG została ukarana karą w wysokości 943 tys. zł.
- kluczowy w tych dwóch przypadkach jest zakres przetwarzanych danych
- w sytuacji Fundacji ePaństwo nie było w praktyce możliwe spełnienie obowiązku, bo pobrane z KRS dane obejmowały jedynie imię, nazwisko, PESEL oraz miejsce pracy
- w CEIDG znajduje się adres konkretnej osoby, czasem także numer telefonu i adres mailowy – kontakt z tymi osobami jest zatem możliwy
Źródło: https://gospodarka.dziennik.pl/news/artykuly/594845,rodo-pierwsza-kara-bisnode-epanstwo.html
Kara za naruszenie RODO trafi do TSUE?
- decyzja nakładająca pierwszą polską karę „za RODO” odnosi się do kwestii fundamentalnej dla prawa danych osobowych tj. prawa do informacji
- decyzja nie pokazuje jednak, dlaczego koszt wysyłki listów nie może uzasadniać odstąpienia od obowiązku informacyjnego
- uzasadnione jest skierowane pytania prawnego do TSUE w kwestii interpretacji pojęcia niewspółmiernie dużego wysiłku – pytanie zmierzałoby w kierunku ustalenia, czy ocena niewspółmierności może być dokonywana w oderwaniu od kosztów przekazania informacji oraz bez uwzględnienia specyfiki grupy osób, których dane dotyczą
Źródło: https://www.prawo.pl/biznes/kara-za-naruszenie-rodo-opinia-pawel-litwinski,393002.html
RODO utrudni sprawdzenie pracownika
- nowelizacja wdrażająca do polskiego prawa unijne przepisy o ochronie danych osobowych została już podpisana przez Prezydenta RP
- zdaniem ekspertów nowe przepisy Kodeksu Pracy przeszkodzą w gromadzeniu niestandardowych danych o zatrudnionych oraz utrudnią walkę z oszustwami i nadużyciami
- po zmianach przedsiębiorcy będą mieli m.in. problemy z gromadzeniem informacji o umiejętnościach radzenia sobie przez pracowników ze stresem czy testami na inteligencję, bardzo lubianymi w zagranicznych korporacjach
Wytyczne Rady Europy w zakresie ochrony danych związanych ze zdrowiem
- Rada Europy 27 marca 2019 r. wydała zestaw wytycznych, mających na celu zapewnienie pełnej zgodności przetwarzania danych związanych ze stanem zdrowia z prawami człowieka, w szczególności z prawem do prywatności i ochroną danych
- rekomendacja przeznaczona jest do stosowania zarówno w sektorze publicznym, jak i prywatnym
- w rekomendacji znajdują się wskazówki związane z podstawą prawną przetwarzania danych, danymi związanymi z nienarodzonymi dziećmi, danymi genetycznymi, dzieleniem się danymi specjalistów oraz z przechowywaniem danych
Źródło: https://search.coe.int/cm/pages/result_details.aspx?objectid=090000168093b26e
Wyciekły dane 540 mln użytkowników Facebooka
- niechroniona baza danych w chmurze Amazona zawierała informacje na temat 540 mln ludzi, a jej zakres obejmował: nazwy użytkowników, komentarze, polubienia i reakcje
- administratorem bazy jest meksykański wydawca Cultura Colectiva, który specjalizuje się w treściach adresowanych do społeczności latynoskiej, stworzonych z myślą o udostępnianiu w social mediach
- Cultura Colectiva poinformowała Amazona o incydencie 10 stycznia br., jednak ten bazę zabezpieczył dopiero 3 kwietnia br. po trzech ponagleniach
RPO: RODO nie może utrudniać dostępu do informacji o stanie zdrowia dziecka
- do Rzecznika Praw Obywatelskich skargę złożyła kobieta, której DPS, powołując się na RODO, odmówił przekazywania informacji o zdrowiu czy samopoczuciu jej dziecka telefonicznie czy drogą elektroniczną
- w ocenie RPO w przypadkach dzieci przebywających w DPS, gdzie nie ma do czynienia z sytuacją nagłą, stworzenie systemu weryfikacji tożsamości dzwoniących rodziców, może być rozwiązaniem dopuszczalnym z perspektywy prawa ochrony danych osobowych
- RPO zwrócił się do Prezes UODO o stanowisko w sprawie – chciałby wiedzieć, czy i jakie rozwiązania uznałaby za dopuszczalne w omawianej sytuacji
Nie można żądać od pacjenta podpisu przy wydawaniu dokumentacji medycznej
- placówka medyczna w lubelskim zapisała w swoim regulaminie, że osoby uprawnione mogą otrzymywać dokumentację medyczną jedynie po potwierdzeniu jej odbioru własnoręcznym podpisem
- w 2016 r. Rzecznik Praw Pacjenta uznał ten wymóg za niedozwolony i nakazał zmianę regulaminu, w związku z brakiem reakcji ze strony placówki, nałożył 50 tys. zł. kary
- sprawa ostatecznie trafiła do WSA, który utrzymał decyzję RPP
Źródło: Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 29 marca 2019 r. (sygn. akt II OSK 1142/18, VII SA/Wa 231/19) https://www.prawo.pl/zdrowie/zadanie-podpisu-przy-odbiorze-akt-przez-pacjenta-ukarane-20-tys,393003.html
RODO: jaki poziom zabezpieczeń systemu ochrony danych osobowych
- choć na przygotowanie się do stosowania RODO firmy otrzymały dwa lata, nadal nie wszystkim udało się wdrożyć stosowne rozwiązania, a w wielu przypadkach wdrożenie zostało wykonane nieprawidłowo lub w niepełnym zakresie
- z problemami boryka się również sektor medyczny, a złożony w pierwszej połowie listopadzie ubiegłego roku kodeks postępowania w sektorze ochrony zdrowia wciąż czeka na zatwierdzenie Prezesa UODO
- z uwagi na charakter danych medycznych, które stanowią szczególne kategorie danych istotnym jest, aby stosowany poziom zabezpieczeń był wysoki
UOKiK apeluje do Google i Apple w sprawie ochrony danych osobowych
- UOKiK dołączył do międzynarodowego apelu w sprawie sklepów z aplikacjami
- UOKiK domaga się przejrzystego informowania klientów o zasadach uzyskiwania i wykorzystywania ich danych
- Konsumenci przed pobraniem aplikacji muszą mieć jasne informacje, do jakich danych będzie miała dostęp. Wtedy będą mogli świadomie podjąć decyzję, czy chcą skorzystać z oferty sklepu – mówi Marek Niechciał, prezes UOKiK
- apel podpisało 27 instytucji zrzeszonych w ramach Międzynarodowej Sieci Ochrony Konsumentów
Rezygnacja z obowiązku informacyjnego tylko dla ryzykantów
- zgodnie z nowym brzmieniem art. 4a Prawa przedsiębiorców, mikroprzedsiębiorcy mogą skutecznie spełnić obowiązek informacyjny w zakresie umów poprzez wywieszenie w widocznym miejscu w lokalu lub udostępnienie na swojej stronie internetowej stosownych informacji dotyczących polityki prywatności
- przepis stawia jednak kilka warunków sprawiających, że możliwość zastosowania uproszczenia może być w praktyce kłopotliwa
- zdaniem ekspertów zastosowane wyłączenia są tak skomplikowane pod kątem prawnym, że w efekcie mikroprzedsiębiorcy mogą bać się do niego stosować
Ministerstwo Finansów na celowniku UODO
- UODO jest bliski podjęcia decyzji o nałożeniu kary za nieprawidłowości w działaniu usługi „Twój –PIT”
- mówi się o kwocie 100 000 zł w ramach demonstracji, że prawa muszą przestrzegać wszyscy
- oficjalnie resort ani UODO nie chcą komentować sprawy – wiadomo jednak, że obie instytucje wymieniają się dokumentami, a z przecieków z UODO wynika, że urzędnicy starają się znaleźć dowody na to, że dane rzeczywiście wyciekły
Rejestracja zgodna z RODO
Zielone światło dla Jana Nowaka
- Senat wyraził zgodę na powołanie Jana Nowaka na stanowisko Prezesa Urzędu Ochrony Danych Osobowych
- za kandydaturą Jana Nowaka opowiedziało się 57 senatorów, 17 zagłosowało przeciwko, 9 osób wstrzymało się od głosu
- kadencja obecnej Prezes UODO upływa 22 kwietnia br.
- Jan Nowak złoży ślubowanie przed Sejmem najpewniej 25 kwietnia br.
Źródło: https://tvn24bis.pl/z-kraju,74/senat-zatwierdzil-wybor-jana-nowaka-na-prezesa-uodo,926919.html
Zmiany na Facebooku po zarzutach KE
- 9 kwietnia br. ogłoszono rezultaty negocjacji między UE a właścicielami Facebooka
- wątpliwości Komisji Europejskiej oraz państw członkowskich UE budził m.in. brak czytelnych informacji o tym, w jaki sposób portal wykorzystuje dane użytkowników
- Facebook w warunkach świadczenia usług ma wytłumaczyć, że m.in. portal jest darmowy, ale ceną za tę usługę są dane osobowe i wyświetlane reklamy, których tematyka bazuje na informacjach zgromadzonych na temat użytkowników
- Facebook jest zobowiązany wprowadzić zmiany do końca czerwca 2019 r.
Konsumenci nie chcą usług w zamian za dane osobowe
- konsumenci z coraz większą nieufnością traktują firmy, które gromadzą i sprzedają ich dane osobowe reklamodawcom – wynika z badań przeprowadzonych przez Anagog
- dwóch na trzech konsumentów stwierdziło, że jest skłonnych pozbyć się aplikacji, które zbierają informacje niezwiązane ze swoją funkcją
- 29% konsumentów uważa, że do wyświetlania odpowiednich ofert firmy powinny wykorzystywać technologie bazujące na profilu klienta, zachowując jego anonimowość
- 43% ankietowanych twierdzi, iż jest wściekła na proceder zbierania danych osobowych przez duże korporacje, ale czuje się „bezsilna”, aby zmienić sytuację
Źródło: http://www.egospodarka.pl/155213,Konsumenci-nie-chca-uslug-w-zamian-za-dane-osobowe,1,39,1.html
Trzech IOD w sądach?
- prezesi, dyrektorzy właściwych sądów oraz sądy są niezależnymi administratorami danych osobowych – zakres danych jakimi administrują określają przepisy prawa m.in. Prawo o ustroju sądów powszechnych
- zgodnie z obowiązującymi przepisami każdy z wyżej wskazanych administratorów zobowiązany jest do wyznaczenia Inspektora Ochrony Danych
- należy przewidywać, że w większości przypadków prezes sądu i dyrektor sądu wyznaczą do pełnienia funkcji IOD tę samą osobę, która pełni tę funkcję dla sądu jako administratora
Świadectwo pracy po nowemu, w myśl RODO
- Rządowe Centrum Legislacji opublikowało proponowane zmiany w rozporządzeniu w sprawie świadectwa pracy
- Ministerstwo Rodziny, Pracy i Polityki Społecznej chce wprowadzić stosowne zmiany, by dostosować wzór świadectwa do RODO
- dokonanie korekty pomocniczego wzoru świadectwa pracy jest konieczne w celu dostosowania jego treści do zakresu danych, których podania – od dnia wejścia w życie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO – pracodawca będzie żądał od pracownika i od osoby ubiegającej się o zatrudnienia
Spółdzielnie utrudniają pracę rzeczoznawcom
- aby wycenić nieruchomość rzeczoznawca powinien mieć wgląd do aktów notarialnych lokali podobnych
- po wejściu w życie RODO niektóre spółdzielnie mieszkaniowe jednak odmawiają ich udostępniania
- zdaniem ekspertów rzeczoznawca majątkowy ma legitymację prawną do przeglądania aktów notarialnych na podstawie ustawy o gospodarce nieruchomościami, a powoływanie się na przepisy RODO jest dla części spółdzielni wygodną wymówką
Strony internetowe hoteli nie chronią danych
- z badań Symantec wynika, że dwie trzecie stron internetowych hoteli nie chroni danych klientów w należyty sposób, dopuszczając do przypadkowych wycieków
- z infrastruktury informatycznej hoteli najczęściej wyciekają imiona i nazwiska oraz adresy e-mail klientów, a także ich numery paszportów i kart kredytowych
- informacje zazwyczaj pozyskiwane są przez firmy analityczne i reklamowe, ale interesują się nimi również cyberprzestępcy, którzy mogą w ten sposób uzyskać wiedzę np. o podróżach wpływowych biznesmenów czy pracowników administracji rządowej
Źródło: https://www.dziennik.pl/amp/595471,rodo-internet-hotel-ochrona-dane-klient-bezpieczenstwo.html
5 praktycznych rzeczy, które wynikają z dotychczasowych decyzji UODO
- po pierwsze, udostępnienie kopii danych osobowych nie jest równoznaczne z obowiązkiem udostępnienia kopii dokumentów
- po drugie, nieuprawnione ujawnienie wielu informacji identyfikacyjnych, nawet jednej osoby i tylko jednej innej osobie, powoduje wysokie ryzyko dla praw i wolności
- po trzecie, przetwarzanie danych byłego pracownika w postaci adresu email znajduje podstawę w prawnie uzasadnionym interesie administratora danych
- po czwarte, nieuprawnione ujawnienie danych podmiotowi, co do którego administrator przekonany jest, że nie wykorzysta on w żaden sposób ujawnionych mu danych, nie wpływa na ocenę poziomu ryzyka naruszenia praw i wolności podmiotu danych
- po piąte pracodawca ma prawo skorzystać z zewnętrznego usługodawcy w celu kontroli prawidłowości korzystania ze zwolnienia lekarskiego, jeśli zawrze umowę powierzenia danych do przetwarzania
Kara za nielegalne nagrywanie pacjentów kliniki
- 120,000 £ kary otrzymało True Visions Productions (TVP) za nielegalne nagrywanie pacjentów kliniki położniczej podczas realizacji dokumentalnego programu telewizyjnego na temat martwych urodzeń
- kamery wraz z mikrofonami zostały ustawione w gabinetach lekarskich
- kontrola ICO wykazała, że chociaż TVP uzyskało zgodę kliniki na przebywanie na jej terenie to nie dostarczyło pacjentom odpowiednich informacji o filmowaniu ani nie otrzymało odpowiedniej zgody od osób, których filmowanie objęło
Skargi na przetwarzanie danych osobowych przez Kościoły
- do Rzecznika Praw Obywatelskich wpływają skargi na przetwarzanie danych osobowych przez kościoły i związki wyznaniowe
- RPO wystąpił do Ministerstwa Cyfryzacji o ustalenie, które kościoły i związki wyznaniowe podlegają nadzorowi Prezesa UODO, a które posiadają własny organ nadzorczy – jest to niezbędne dla umożliwienia podejmowania efektywnych działań przez RPO
- większość skarg dotyczy Kościoła katolickiego – skarżący wskazują, że w ich ocenie niedopuszczalne jest odmawianie aktualizacji w księgach parafialnych w związku z czynnościami, którą uznają za wystąpienie z kościoła
Ministerstwo Cyfryzacji przygotowuje kolejny poradnik w sprawie RODO
- w najbliższych tygodniach Ministerstwo Cyfryzacji wyda ostatni poradnik z odpowiedziami na najczęstsze pytania dotyczące RODO
- poruszone w nim zostaną m.in. kwestie upowszechniania wizerunków osób nagranych podczas wesel czy sposobu wykorzystywania wizerunków w mediach społecznościowych i stronach internetowych
Dane strajkujących nauczycieli nie powinny być umieszczane w SIO
- Prezes UODO, odpowiadając na liczne pytania kierowane do Urzędu, wyjaśnia, że wprowadzanie do systemu informacji oświatowej danych o tym, który nauczyciel bierze udział w strajku, nie ma podstaw prawnych
Źródło: https://uodo.gov.pl/pl/138/877
Koniec z profilowaniem pomocy dla bezrobotnych
- 2 kwietnia br. Rada Ministrów przyjęła projekt nowelizacji ustawy o promocji zatrudnienia przewiduje rezygnację z procedury profilowania pomocy dla bezrobotnych, która polegała na ustaleniu dla każdego bezrobotnego jednego z trzech profili, którym odpowiadały różne formy aktywizacji zawodowej
- rezygnując z obowiązku ustalania profilu pomocy, wprowadzono możliwość korzystania przez powiatowe urzędy pracy z różnych form pomocy określonych w ustawie – bez ograniczeń wynikających z ustalonego dla bezrobotnego profilu
Źródło: https://e-prawnik.pl/informacje/koniec-z-profilowaniem-pomocy-dla-bezrobotnych-.html
Majówka pod znakiem RODO
- z ustaleń Rzeczpospolitej wynika, że nowelizacja dostosowująca ponad 160 ustaw do przepisów RODO, zostanie opublikowana w Dzienniku Ustaw 19 kwietnia br. i wejdzie w życie po upływie 14 dni, czyli 4 maja br.
- Nowelizacja ponad 160 ustaw to nie pakiet obowiązków, a raczej ułatwień dla firm, jeśli chodzi o stosowanie RODO. Przedsiębiorcy powinni zwrócić uwagę na zmiany w kodeksie pracy. Ważne uprawnienie zyskają też klienci banków, którzy po odmowie udzielenia kredytu będą mieli prawo żądać uzasadnienia. Pacjenci zaś będą mogli żądać bezpłatnie wydania im pierwszej kopii dokumentacji medycznej – mówi Maciej Kawecki, dyrektor zarządzania danymi w Ministerstwie Cyfryzacji
Źródło: https://www.rp.pl/Firma/304119885-W-trakcie-majowki-RODO-znow-o-sobie-przypomni.html
Koniec z losowymi badaniami pracowników alkomatem
- pracodawcy od lat sprawdzają trzeźwość pracowników na własną rękę (w szczególności dotyczy to branży budowlanej)
- eksperci nie pozostawiają złudzeń – wyrywkowe sprawdzanie, czy pracownicy są na gazie, jest niezgodne z RODO i nowymi przepisami Kodeksu Pracy
- daniem niektórych ekspertów, zbierając dane osobowe dotyczące trzeźwości, dziś jeszcze można próbować opierać się na zgodzie pracownika – po zmianach w KP będzie to wykluczone, bo badanie alkomatem będzie mógł zainicjować tylko sam pracownik
KRS ujawnia PESEL nawet miliona Polaków
- w Polsce jest blisko 500 tys. spółek, 22 tys. fundacji i 112 tys. stowarzyszeń – gdyby średnio miały one tylko dwuosobowe zarządy, to KRS pozwala poznać PESEL ponad miliona osób
- jawność tych danych wzbudza wątpliwości UODO, co do zgodności z RODO
- UODO już wielokrotnie zwracał uwagę na potrzebę zmiany obecnych rozwiązań prowadzących do ujawnienia numeru PESEL w kwalifikowanym podpisie elektronicznym, wkrótce też wystąpi do Ministerstwa Sprawiedliwości w sprawie KRS
- część prawników twierdzi wręcz, że to wyciek danych na masową skalę
Europejski inspektor ochrony danych o statusie wdrożenia RODO
- EIOD nie wierzy w to, że Google czy Facebook wprowadzą zmiany w zakresie gwarancji równowagi sił między nimi, a użytkownikami, których dane osobowe przetwarzają
- 10 z 15 kontroli prowadzonych obecnie przez irlandzki organ nadzorczy dotyczy Facebooka, w tym Instagrama i WhatsAppa
- zdaniem EIOD niezwykle ważna jest wzajemna współpraca organów nadzoru, w tym ujednolicenie podejścia do nakładanych kar
- Jest jeszcze wiele do zrobienia. Osiągnięcie zgodności to proces, który musi być kontynuowany przez wszystkich [również Google i Facebooka] – mówi Giovanni Buttarelli
Europejski inspektor ochrony danych zbada oprogramowanie Microsoftu
- EIOD podejmie działania w celu zbadania zgodności oprogramowania i produktów Microsoftu wykorzystywanych przez instytucje UE z zasadami ochrony danych
- EIOD podkreślił, że niektóre obawy związane z ochroną danych są podobne do obaw Holandii, podniesionych w listopadzie w raporcie na temat zbierania danych za pośrednictwem Microsoft ProPlus i dotyczą m.in. informacji przechowywanych w bazie danych w Stanach Zjednoczonych w sposób, który stanowi zagrożenie dla prywatności użytkowników
- EIOD może nałożyć grzywny w wysokości do 50 tys. euro za każde naruszenie przepisów
Źródło: https://www.cyberdefence24.pl/naczelny-organ-ue-zbada-oprogramowanie-microsoftu
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.