Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 16.04.2019

Kilka aktualności o najważniejszym wydarzeniu ostatnich tygodni, czyli na kogo, w jakiej wysokości i za co została nałożona pierwsza w Polsce kara za naruszenie RODO? Od kiedy zacznie obowiązywać “RODO 2.0”, czyli pakiet krajowych ustaw dostosowujących polskie prawo do unijnego Rozporządzenia? Jakie najważniejsze wnioski wynikają z decyzji wydanych do tej pory przez UODO? Kto zostanie nowym Prezesem UODO? Newsletter dla IOD – jak się na niego zapisać? Czego będzie dotyczył kolejny poradnik Ministerstwa Cyfryzacji dot. RODO?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z końcówki marca i połowy kwietnia 2019.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Pierwsza w Polsce kara za naruszenie RODO

  • Stało się! Prezes UODO nałożyła pierwszą administracyjną karę pieniężną za naruszenie przepisów RODO. Ukaranym podmiotem jest spółka, która prowadzi działalność tzw. wywiadowni gospodarczej.
  • PUODO stwierdziła naruszenie art. 14 ust. 1-3 RODO poprzez brak spełnienia obowiązku informacyjnego wobec osób, których ukarana spółka dane przetwarzała oraz błędne zastosowanie wyłączenia z art. 14 ust. 5 lit. b) RODO (niewspółmierny wysiłek).
  • Decyzja, zgodnie z przepisami UODO, jest ostateczna i przysługuje od niej bezpośrednio skarga do sądu administracyjnego. Kara wyniosła 943 470 zł. Oprócz tego spółka została zobowiązana do wykonania obowiązku informacyjnego w terminie 3 miesięcy.

Źródło: Decyzja PUODO z 15 marca 2019 r. (ZSPR.421.3.2018)                     

Decyzja (prawie) zpseudonimizowana

  • Pan Łukasz Olejnik na swoim blogu Prywatnik przeprowadził ciekawą analizę decyzji PUODO z 15 marca, o której piszemy w newsie nr 6, pod kątem jej pseudonimizacji.
  • Autor podkreśla, że bardzo niewiele czasu potrzeba, aby odwrócić pseudonimizację decyzji organu nadzoru i dowiedzieć się, jaka spółka została ukarana – wystarczy, na podstawie informacji zamieszczonych w decyzji, sformułować proste zapytanie w wyszukiwarce Google.
  • Zdaniem autora decyzje Prezesa UODO nie powinny być poddawane pseudonimizacji, tym bardziej że chodzi o decyzję dotyczącą naruszenia przepisów o ochronie danych osobowych.

Źródło: https://prywatnik.pl/2019/03/27/o-pseudonimizacji-w-decyzji-o-pierwszej-karze-gdpr-w-polsce/             

Audiatur et altera pars

  • Prezes Zarządu spółki Bisnode, która została w tym tygodniu ukarana przez PUODO, zapowiada złożenie skargi na decyzję do sądu administracyjnego.
  • Andrzej Osiński twierdzi, że spółka była kontrolowana również w dwóch innych krajach UE i nie stwierdzono wobec niej uchybień, a decyzja polskiego organu jest dla niego niezasadna.
  • Prezes widzi dwa możliwe wyjścia z sytuacji (na poziomie ogólnym) – albo wprowadzenie obowiązku dla przedsiębiorców podania adresu e-mail podczas rejestracji działalności gospodarczej albo zmianę przepisów i wyłączenie przedsiębiorców z reżimu przepisów o ochronie danych osobowych – to jednak byłoby sprzeczne z przepisami RODO, które jest stosowane bezpośrednio.

Źródło: https://biznes.gazetaprawna.pl/artykuly/1405345,andrzej-osinski-bisnode-decyzja-uodo.html           

Czyszczenie dysków przed sprzedażą - kto by o tym pamiętał?

  • Portal Niebezpiecznik porusza ciekawą kwestię sprzedaży lub oddania używanych dysków twardych oraz urządzeń pamięci przenośnej.
  • Specjalista z firmy Rapid7 przeprowadził badanie w USA kupując używane: komputery, dyski zewnętrzne, dyski twarde oraz telefony.
  • Okazało się, że nawet 70 % urządzeń mogło zawierać dane poprzednich właścicieli – najczęstszą przyczyną jest przeprowadzenie „zwykłej” procedury usunięcia danych z dysku (przez co łatwo je odzyskać) albo nie przeprowadzenie czyszczenia dysków w ogóle.

Źródło: https://niebezpiecznik.pl/post/wiekszosc-uzywanych-dyskow-zawiera-dane-poprzednich-wlascicieli/  

Wyłączenie przedmiotowe RODO

  • Interesującej odpowiedzi na interpelację poselską, dotyczącą dostosowania Biura Lustracyjnego Instytutu Pamięci Narodowej do przepisów RODO, udzielił Dyrektor Głównej Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu IPN-u.
  • Stwierdził on, iż poza zakresem wskazanym w znowelizowanym art. 71 ustawy o IPN, RODO nie ma zastosowania do działalności Instytutu. RODO zawiera bowiem wyłączenia przedmiotowe w jego stosowaniu, które odnoszą się bezpośrednio do zadań Biura Lustracyjnego. W art. 2 ust. 2 lit. a RODO wskazano, że RODO nie ma zastosowania do działalności nieobjętej zakresem prawa UE, a zdaniem Dyrektora w IPN, działalność związana z ochroną dziedzictwa narodowego i historycznego oraz tożsamością polskiego narodu nie może być regulowana prawem unijnym.

Źródło: http://www.sejm.gov.pl/sejm8.nsf/InterpelacjaTresc.xsp?key=BAHJWC         

Aktualizacje to nie zawsze bezpieczeństwo

  • Przekonali się o tym niektórzy użytkownicy sprzętu firmy ASUS.
  • W okresie od czerwca do listopada 2018 r. otrzymywali oni złośliwe aktualizacje – hakerzy włamali się i przejęli kontrolę nad oficjalnym serwerem aktualizacji ASUS-a. Każda nowa wersja oprogramowania, dostarczana przez producenta sprzętu, była niezauważalnie infekowana.
  • W tym miejscu możesz sprawdzić, jeśli posiadasz sprzęt tej firmy, czy nie jesteś ofiarą ataku.

Źródło: https://niebezpiecznik.pl/post/masz-asusa-twoje-urzadzenie-moglo-zostac-zainfekowane/        

Przepisy sektorowe sprawią problemy branży telekomunikacyjnej?

  • Kolejna branża (tym razem telekomunikacyjna) zgłasza zastrzeżenia do projektu tzw. ustawy sektorowej, która opuściła już Parlament i czeka na podpis Prezydenta.
  • Po pierwsze, wątpliwości budzi znowelizowany art. 159 Prawa telekomunikacyjnego w zakresie danych osobowych, które powinny być objęte tajemnicą telekomunikacyjną.
  • Po drugie, zmieniony art. 151 Prawa telekomunikacyjnego skreślił katalog danych, które operator telekomunikacyjny może przetwarzać bez zgody osoby, której dane dotyczą. W tej chwili przepis dotyczy tych samych danych osobowych, z tym że raz wymaga uzyskania zgody, a raz nie wymaga.

Źródło: https://www.prawo.pl/biznes/jak-ustawa-wdrazajaca-rodo-wplynie-na-branze-telekomunikacyjna,390487.html        

RODO nie uzasadnia zwolnienia dyscyplinarnego

  • W Sądzie Rejonowym w Toruniu zapadło nieprawomocne orzeczenie, w którym sąd przyznał powodowi (pracownikowi) odszkodowanie za niezgodne z prawem rozwiązanie stosunku pracy.
  • Z pracownikiem rozwiązano umowę o pracę w trybie art. 52 Kodeksu pracy, ponieważ nie podpisał dokumentów związanych z rozpoczęciem stosowania RODO (m. in. zgody na przetwarzanie danych osobowych w aktach osobowych, czy zgody na objęcie monitoringiem pracodawcy).
  • Sąd wskazał, iż po pierwsze nie doszło do spełnienia wszystkich przesłanek ciężkiego naruszenia obowiązków pracowniczych, o którym mowa w art. 52 § 1 pkt 1 Kodeksu pracy, a także że niektóre dokumenty przygotowane przez pracodawcę (np. zgoda na objęcie monitoringiem), w świetle obowiązujących regulacji, były zbędne i niezgodne z przepisami.

Źródło: Wyrok Sądu Rejonowego w Toruniu z dnia 28 grudnia 2018 r. (IV P 364/18).

A może by tak odpocząć od RODO?

  • Partia Wiosna, na kanwie opublikowanej w tym tygodniu decyzji PUODO, zaapelowała do Prezesa Rady Ministrów, aby podjął działania, które miałyby doprowadzić do zawieszenia na rok nakładania przez organ nadzoru kar za naruszenie przepisów RODO.
  • Niektórzy złapali się za głowę twierdząc, że partia chciałaby, aby organ władzy wykonawczej wywarł nacisk na formalnie niezależny organ ochrony danych osobowych.
  • Wiosna chciałaby również, aby rząd przeprowadził ponowną kampanię informacyjną, której zadaniem byłaby edukacja społeczeństwa polskiego na temat przepisów o ochronie danych osobowych.

Źródło: https://www.gazetaprawna.pl/artykuly/1405487,wiosna-chce-by-na-rok-zawieszone-zostalo-nakladanie-kar-za-naruszenie-przepisow-rodo.html  

Pierwsza kara w Danii

  • Duński organ ochrony danych osobowych zarekomendował nałożenie 1,2 miliona koron duńskich kary na firmę taksówkową Taxa 4×35 za naruszenie art. 5 ust. 1 lit. c) oraz e) RODO (zasad minimalizacji danych oraz ograniczenia przechowywania).
  • Organ zarzucił podmiotowi, że błędnie stosuje anonimizację danych, jako sposób na retencję (firma usuwała jedynie nazwisko osoby, która korzystała z jej usług). Oprócz tego administrator danych przechowywał numery telefonów osób, których dane dotyczą, co zdaniem organu nadzorczego było działaniem nadmiarowym.

Źródło: https://gorrissenfederspiel.com/en/knowledge/news/recommended-fine-of-dkk-12-million-to-taxa-4×35-for-violation-of-the-gdpr          

Nowe okresy przechowywania dokumentacji pracowniczej i tak za długie?

  • Autorka artykułu porusza kwestię relacji między znowelizowanymi przepisami Kodeksu pracy, dotyczącymi przechowywania dokumentów pracowniczych (nowe pojęcie, które zastąpiło akta osobowe) oraz zasadą ograniczenia przechowywania, którą statuuje RODO.
  • Mec. Klaudia Kamińska-Kiempa stwierdza, że skrócone (10 lat) okresy przechowywania dokumentacji pracowniczej są niezgodne z zasadą ograniczenia przechowywania.
  • Swoją tezę argumentuje tym, że maksymalny termin przedawnienia roszczeń ze stosunku pracy wynosi 3 lata, a znowelizowane przepisy dotyczą dokumentacji pracowniczej, której zawartość jest szersza, niż akt osobowych – jej zdaniem większość dokumentów powinna mieć 3-letni termin retencji.

Źródło: https://www.rp.pl/Kadry/303289987-Czas-trzymania-dokumentacji-pracowniczej-w-niezgodzie-z-RODO.html          

UODO publikuje garść decyzji

  • W ubiegłym tygodniu środowisko obiegła przede wszystkim informacja o nałożeniu kary administracyjnej na spółkę Bisnode.
  • Na stronie UODO jednak, oprócz wskazanej powyżej, opublikowano również 9 innych decyzji.
  • Decyzje są różnego rodzaju, jednak żadna nie nakłada kary. Dotyczą one głównie podmiotów z branży medycznej oraz finansowej.

Źródło: https://uodo.gov.pl/129            

UODO kontynuuje edukację społeczeństwa

  • W maju oraz czerwcu 2019 r. UODO zorganizuje we współpracy z NIST cztery szkolenia pn. „Zmiany w ochronie danych osobowych w świetle RODO i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych”.
  • Inicjatywa skierowana jest do inspektorów ochrony danych, a także kadry kierowniczej pełniącej tę funkcję w administracji publicznej.
  • Oprócz szkoleń stacjonarnych, zaplanowano także organizację webinariów (48 godzin zajęć).

Źródło: https://uodo.gov.pl/pl/218/775            

Inteligentne liczniki będą stosowane masowo

  • Maksymalnie do 2026 r. Polska jest zobowiązana, na mocy przepisów unijnych, do wdrożenia (w 80 % budynków) inteligentnych liczników pomiaru zużycia energii elektrycznej.
  • Monitoring stosowany będzie w interwałach co 15 lub 60 minut. Dzięki technologii Big Data, wiele firm, zwłaszcza z sektora reklamowego i finansowego, jest w stanie stworzyć model naszego zachowania poprzez analizę zużycia mediów.
  • Projekt nowelizacji ustawy Prawo energetyczne zawiera przepisy określający, którzy operatorzy energii będą administratorami danych osobowych swoich klientów. Wprowadzenie inteligentnych liczników wiązać się może (i najczęściej będzie) z koniecznością przeprowadzenia oceny skutków dla ochrony danych i stosowania adekwatnych zabezpieczeń.

Źródło: https://serwisy.gazetaprawna.pl/energetyka/artykuly/1405655,smart-grid-inteligentne-liczniki-pradu-rodo.html            

Kamera nagra nasz głos?

  • Obecnie powszechnie stosowany w miastach i gminach jest monitoring wizyjny – kamery umieszczone w przestrzeniach publicznych.
  • Artykuł porusza kwestię możliwości i dopuszczalności prawnej stosowania fonomonitoringu – formy monitoringu, która nagrywa również głos.
  • Podkreśla się jednak, że w myśl przepisów RODO oraz stanowiska organów i doktryny, głos jest szczególną kategorią danych, ponieważ stanowi dane biometryczne.
  • Obecnie mało prawdopodobne jest, aby fonomonitoring miał być stosowany. Są jednak przykłady, kiedy system monitoringu wyposażony jest w możliwość nadawania komunikatów głosowych (nie nagrywa jednak obywateli).

Źródło: https://www.prawo.pl/samorzad/monitoring-glosowy-fonomonitoring-nie-moze-nagrywac-rozmow,392999.html             

PUODO: forma spełnienia obowiązku informacyjnego nieistotna

  • Prezes UODO udzieliła wywiadu serwisowi Prawo.pl w sprawie nałożenia kary na spółkę Bisnode.
  • Dr Bielak-Jomaa stwierdziła, że istotą obowiązku informacyjnego jest to, aby osoba, której dane dotyczą (niezależnie od źródła pochodzenia jej danych osobowych) otrzymała informacje, o których mówi art. 13 lub 14 RODO. Forma spełnienia obowiązku nie jest istotna, decydującym jest wykazanie, że osoba, której dane dotyczą otrzymała informację.
  • PUODO odpowiada również na pytania, jak wykazać spełnienie obowiązku informacyjnego np. poprzez wysyłkę listów zwykłych.

Źródło: https://www.prawo.pl/biznes/prezes-uodo-mowi-o-pierwszej-karze-za-naruszenie-rodo,392981.html              

Sejm wybrał Jana Nowaka na nowego Prezesa UODO

  • 4 kwietnia br. Sejm poparł kandydaturę Jana Nowaka na nowego Prezesa UODO (za głosowało 221 posłów, przeciw 171, 4 posłów wstrzymało się od głosu)
  • wybór Prezesa UODO musi zatwierdzić jeszcze Senat
  • Jan Nowak rozpoczął pracę w Biurze GIODO w 2006 r., obecnie pełni rolę Dyrektora Biura UODO i podlegają mu zespoły: radców prawnych, administracyjny, organizacyjny i informatyki oraz działy: kadr, finansów oraz kontroli wewnętrznej i zarządczej
  • kadencja obecnej Prezes UODO dr Edyty Bielak-Jommy kończy się 22 kwietnia br.

Źródło: https://www.cyberdefence24.pl/zagrozenia/sejm-wybral-jana-nowaka-na-nowego-prezesa-urzedu-ochrony-danych-osobowych

Prezydent podpisał ustawę sektorową

  • 3 kwietnia br. Prezydent RP Andrzej Duda podpisał ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania Ogólnego rozporządzenia o ochronie danych
  • ustawa wprowadza zmiany w 170 ustawach dostosowując je do przepisów RODO
  • zmiany dotyczą m.in. Kodeksu pracy, przepisów regulujących sektor finansowy oraz działania w obszarach: sportu, kultury, ochrony zdrowia, rodziny, polityki społecznej, administracji, ochrony środowiska, edukacji narodowej, inwestycji i rozwoju
  • nowe przepisy wejdą w życie po upływie 14 dni od dnia publikacji ustawy w Dzienniku Ustaw (pod koniec kwietnia, realnie między 22 a 25 kwietnia 2019 r.)

Źródło: https://www.prezydent.pl/aktualnosci/wydarzenia/art,1357,prezydent-podpisal-dziewiec-ustaw.html

Twardy brexit a transfer danych

  • w sytuacji, gdy Wielka Brytania postawi na tzw. twardy brexit, czyli formę bezumowną wyjścia ze struktur UE, stanie się „państwem trzecim” w rozumieniu RODO
  • by przekazać dane osobowe do brytyjskiego podmiotu należało będzie zapewnić odpowiednie gwarancje bezpieczeństwa, wskazane w rozdziale V RODO
  • w Wielkiej Brytanii przygotowywana jest odpowiednia ustawa, która w dużym stopniu będzie odpowiadać RODO – zacznie obowiązywać w momencie twardego brexitu, dzięki czemu m.in. nadal będzie istniał odpowiednik polskiego UODO (information Commissioner’s Office)

Źródło: https://strefabiznesu.pl/twardy-brexit-utrudni-przedsiebiorcom-obrot-gospodarczy-z-wielka-brytania-takze-przez-nowe-obowiazki-z-zakresu-ochrony-danych/ar/14016003

Newsletter UODO dla IOD

  • 1 kwietnia br. Urząd Ochrony Danych Osobowych uruchomił specjalistyczny newsletter skierowany do Inspektorów Ochrony Danych
  • w elektronicznym biuletynie mają znaleźć się przydatne i najbardziej aktualne informacje dotyczące problematyki ochrony danych osobowych
  • subskrybcja newslettera jest bezpłatna, a zapisu można dokonać pod linkiem: https://news.uodo.gov.pl/lists/

Źródło: https://uodo.gov.pl/pl/138/842

RODO a walka z korupcją

  • obowiązek informowania przedsiębiorców o ich przetwarzaniu danych zawartych w CEIDG utrudni ich wykorzystanie organizacjom patrzącym politykom na ręce
  • organizacje pozarządowe walczące z korupcją mogą obecnie przetwarzać informacje zawarte w Krajowym Rejestrze Sądowym (KRS) – dane z CEIDG mogłyby stanowić dla nich istotne uzupełnienie tych informacji
  • ze względu jednak na obowiązek informacyjny związany z przetwarzaniem informacji o ponad 1,5 mln osób nie będą ryzykować dostępu do tych danych

Źródło: https://www.rp.pl/Firma/303319979-Kara-za-nieprzestrzeganie-RODO-a-walka-z-korupcja.html

Diabeł tkwi w szczegółach

  • Fundacja ePaństwo przetwarzająca dane pobrane z KRS uniknęła kary za niespełnienie obowiązku informacyjnego, a Bisnode wykorzystując dane z CEIDG została ukarana karą w wysokości 943 tys. zł.
  • kluczowy w tych dwóch przypadkach jest zakres przetwarzanych danych
  • w sytuacji Fundacji ePaństwo nie było w praktyce możliwe spełnienie obowiązku, bo pobrane z KRS dane obejmowały jedynie imię, nazwisko, PESEL oraz miejsce pracy
  • w CEIDG znajduje się adres konkretnej osoby, czasem także numer telefonu i adres mailowy – kontakt z tymi osobami jest zatem możliwy

Źródło: https://gospodarka.dziennik.pl/news/artykuly/594845,rodo-pierwsza-kara-bisnode-epanstwo.html

Kara za naruszenie RODO trafi do TSUE?

  • decyzja nakładająca pierwszą polską karę „za RODO” odnosi się do kwestii fundamentalnej dla prawa danych osobowych tj. prawa do informacji
  • decyzja nie pokazuje jednak, dlaczego koszt wysyłki listów nie może uzasadniać odstąpienia od obowiązku informacyjnego
  • uzasadnione jest skierowane pytania prawnego do TSUE w kwestii interpretacji pojęcia niewspółmiernie dużego wysiłku – pytanie zmierzałoby w kierunku ustalenia, czy ocena niewspółmierności może być dokonywana w oderwaniu od kosztów przekazania informacji oraz bez uwzględnienia specyfiki grupy osób, których dane dotyczą

Źródło: https://www.prawo.pl/biznes/kara-za-naruszenie-rodo-opinia-pawel-litwinski,393002.html

RODO utrudni sprawdzenie pracownika

  • nowelizacja wdrażająca do polskiego prawa unijne przepisy o ochronie danych osobowych została już podpisana przez Prezydenta RP
  • zdaniem ekspertów nowe przepisy Kodeksu Pracy przeszkodzą w gromadzeniu niestandardowych danych o zatrudnionych oraz utrudnią walkę z oszustwami i nadużyciami
  • po zmianach przedsiębiorcy będą mieli m.in. problemy z gromadzeniem informacji o umiejętnościach radzenia sobie przez pracowników ze stresem czy testami na inteligencję, bardzo lubianymi w zagranicznych korporacjach

Źródło: https://www.rp.pl/Kadry/304039973-RODO-utrudni-sprawdzenie-pracownika—nowelizacja-wdrazajaca-do-polskiego-prawa-unijne-przepisy-o-ochronie-danych.html

Wytyczne Rady Europy w zakresie ochrony danych związanych ze zdrowiem

  • Rada Europy 27 marca 2019 r. wydała zestaw wytycznych, mających na celu zapewnienie pełnej zgodności przetwarzania danych związanych ze stanem zdrowia z prawami człowieka, w szczególności z prawem do prywatności i ochroną danych
  • rekomendacja przeznaczona jest do stosowania zarówno w sektorze publicznym, jak i prywatnym
  • w rekomendacji znajdują się wskazówki związane z podstawą prawną przetwarzania danych, danymi związanymi z nienarodzonymi dziećmi, danymi genetycznymi, dzieleniem się danymi specjalistów oraz z przechowywaniem danych

Źródło: https://search.coe.int/cm/pages/result_details.aspx?objectid=090000168093b26e

Wyciekły dane 540 mln użytkowników Facebooka

  • niechroniona baza danych w chmurze Amazona zawierała informacje na temat 540 mln ludzi, a jej zakres obejmował: nazwy użytkowników, komentarze, polubienia i reakcje
  • administratorem bazy jest meksykański wydawca Cultura Colectiva, który specjalizuje się w treściach adresowanych do społeczności latynoskiej, stworzonych z myślą o udostępnianiu w social mediach
  • Cultura Colectiva poinformowała Amazona o incydencie 10 stycznia br., jednak ten bazę zabezpieczył dopiero 3 kwietnia br. po trzech ponagleniach

Źródło: https://niebezpiecznik.pl/post/dane-540-mln-uzytkownikow-facebooka-byly-dostepne-publicznie-znow-w-chmurze-amazona/

RPO: RODO nie może utrudniać dostępu do informacji o stanie zdrowia dziecka

  • do Rzecznika Praw Obywatelskich skargę złożyła kobieta, której DPS, powołując się na RODO, odmówił przekazywania informacji o zdrowiu czy samopoczuciu jej dziecka telefonicznie czy drogą elektroniczną
  • w ocenie RPO w przypadkach dzieci przebywających w DPS, gdzie nie ma do czynienia z sytuacją nagłą, stworzenie systemu weryfikacji tożsamości dzwoniących rodziców, może być rozwiązaniem dopuszczalnym z perspektywy prawa ochrony danych osobowych
  • RPO zwrócił się do Prezes UODO o stanowisko w sprawie – chciałby wiedzieć, czy i jakie rozwiązania uznałaby za dopuszczalne w omawianej sytuacji

Źródło: https://www.rpo.gov.pl/pl/content/matka-autystycznego-dziecka-w-dps-bez-telefonicznej-informacji-o-jego-zdrowiu

Nie można żądać od pacjenta podpisu przy wydawaniu dokumentacji medycznej

  • placówka medyczna w lubelskim zapisała w swoim regulaminie, że osoby uprawnione mogą otrzymywać dokumentację medyczną jedynie po potwierdzeniu jej odbioru własnoręcznym podpisem
  • w 2016 r. Rzecznik Praw Pacjenta uznał ten wymóg za niedozwolony i nakazał zmianę regulaminu, w związku z brakiem reakcji ze strony placówki, nałożył 50 tys. zł. kary
  • sprawa ostatecznie trafiła do WSA, który utrzymał decyzję RPP

Źródło: Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 29 marca 2019 r. (sygn. akt II OSK 1142/18, VII SA/Wa 231/19) https://www.prawo.pl/zdrowie/zadanie-podpisu-przy-odbiorze-akt-przez-pacjenta-ukarane-20-tys,393003.html

RODO: jaki poziom zabezpieczeń systemu ochrony danych osobowych

  • choć na przygotowanie się do stosowania RODO firmy otrzymały dwa lata, nadal nie wszystkim udało się wdrożyć stosowne rozwiązania, a w wielu przypadkach wdrożenie zostało wykonane nieprawidłowo lub w niepełnym zakresie
  • z problemami boryka się również sektor medyczny, a złożony w pierwszej połowie listopadzie ubiegłego roku kodeks postępowania w sektorze ochrony zdrowia wciąż czeka na zatwierdzenie Prezesa UODO
  • z uwagi na charakter danych medycznych, które stanowią szczególne kategorie danych istotnym jest, aby stosowany poziom zabezpieczeń był wysoki

Źródło: https://www.rp.pl/Firma/304059961-RODO-jaki-poziom-zabezpieczen-systemu-ochrony-danych-osobowych.html

UOKiK apeluje do Google i Apple w sprawie ochrony danych osobowych

  • UOKiK dołączył do międzynarodowego apelu w sprawie sklepów z aplikacjami
  • UOKiK domaga się przejrzystego informowania klientów o zasadach uzyskiwania i wykorzystywania ich danych
  • Konsumenci przed pobraniem aplikacji muszą mieć jasne informacje, do jakich danych będzie miała dostęp. Wtedy będą mogli świadomie podjąć decyzję, czy chcą skorzystać z oferty sklepu – mówi Marek Niechciał, prezes UOKiK
  • apel podpisało 27 instytucji zrzeszonych w ramach Międzynarodowej Sieci Ochrony Konsumentów

Źródło: https://www.legalniewsieci.pl/aktualnosci/uokik-apeluje-do-google-i-apple-w-sprawie-ochrony-danych-osobowych

Rezygnacja z obowiązku informacyjnego tylko dla ryzykantów

  • zgodnie z nowym brzmieniem art. 4a Prawa przedsiębiorców, mikroprzedsiębiorcy mogą skutecznie spełnić obowiązek informacyjny w zakresie umów poprzez wywieszenie w widocznym miejscu w lokalu lub udostępnienie na swojej stronie internetowej stosownych informacji dotyczących polityki prywatności
  • przepis stawia jednak kilka warunków sprawiających, że możliwość zastosowania uproszczenia może być w praktyce kłopotliwa
  • zdaniem ekspertów zastosowane wyłączenia są tak skomplikowane pod kątem prawnym, że w efekcie mikroprzedsiębiorcy mogą bać się do niego stosować

Źródło: https://edgp.gazetaprawna.pl/e-wydanie/56334,5-kwietnia-2019/67440,Tygodnik-Gazeta-Prawna/692095,Ustawa-o-RODO:-rezygnacja-z-obowiazku-informacyjnego-tylko-dla-ryzykantow.html

Ministerstwo Finansów na celowniku UODO

  • UODO jest bliski podjęcia decyzji o nałożeniu kary za nieprawidłowości w działaniu usługi „Twój –PIT”
  • mówi się o kwocie 100 000 zł w ramach demonstracji, że prawa muszą przestrzegać wszyscy
  • oficjalnie resort ani UODO nie chcą komentować sprawy – wiadomo jednak, że obie instytucje wymieniają się dokumentami, a z przecieków z UODO wynika, że urzędnicy starają się znaleźć dowody na to, że dane rzeczywiście wyciekły

Źródło: https://www.antyradio.pl/Technologia/Internet/Ministerstwo-Finansow-na-celowniku-UODO-za-Twoj-e-PIT-Bedzie-wysoka-kara-za-wyciek-danych-osobowych-30743

Zielone światło dla Jana Nowaka

  • Senat wyraził zgodę na powołanie Jana Nowaka na stanowisko Prezesa Urzędu Ochrony Danych Osobowych
  • za kandydaturą Jana Nowaka opowiedziało się 57 senatorów, 17 zagłosowało przeciwko, 9 osób wstrzymało się od głosu
  • kadencja obecnej Prezes UODO upływa 22 kwietnia br.
  • Jan Nowak złoży ślubowanie przed Sejmem najpewniej 25 kwietnia br.

Źródło: https://tvn24bis.pl/z-kraju,74/senat-zatwierdzil-wybor-jana-nowaka-na-prezesa-uodo,926919.html

Zmiany na Facebooku po zarzutach KE

  • 9 kwietnia br. ogłoszono rezultaty negocjacji między UE a właścicielami Facebooka
  • wątpliwości Komisji Europejskiej oraz państw członkowskich UE budził m.in. brak czytelnych informacji o tym, w jaki sposób portal wykorzystuje dane użytkowników
  • Facebook w warunkach świadczenia usług ma wytłumaczyć, że m.in. portal jest darmowy, ale ceną za tę usługę są dane osobowe i wyświetlane reklamy, których tematyka bazuje na informacjach zgromadzonych na temat użytkowników
  • Facebook jest zobowiązany wprowadzić zmiany do końca czerwca 2019 r.

Źródło: https://gloswielkopolski.pl/zmiany-na-facebooku-po-zarzutach-komisji-europejskiej-chodzi-o-ochrone-danych-osobowych/ar/c12-14034841

Konsumenci nie chcą usług w zamian za dane osobowe

  • konsumenci z coraz większą nieufnością traktują firmy, które gromadzą i sprzedają ich dane osobowe reklamodawcom – wynika z badań przeprowadzonych przez Anagog
  • dwóch na trzech konsumentów stwierdziło, że jest skłonnych pozbyć się aplikacji, które zbierają informacje niezwiązane ze swoją funkcją
  • 29% konsumentów uważa, że do wyświetlania odpowiednich ofert firmy powinny wykorzystywać technologie bazujące na profilu klienta, zachowując jego anonimowość
  • 43% ankietowanych twierdzi, iż jest wściekła na proceder zbierania danych osobowych przez duże korporacje, ale czuje się „bezsilna”, aby zmienić sytuację

Źródło: http://www.egospodarka.pl/155213,Konsumenci-nie-chca-uslug-w-zamian-za-dane-osobowe,1,39,1.html

Trzech IOD w sądach?

  • prezesi, dyrektorzy właściwych sądów oraz sądy są niezależnymi administratorami danych osobowych – zakres danych jakimi administrują określają przepisy prawa m.in. Prawo o ustroju sądów powszechnych
  • zgodnie z obowiązującymi przepisami każdy z wyżej wskazanych administratorów zobowiązany jest do wyznaczenia Inspektora Ochrony Danych
  • należy przewidywać, że w większości przypadków prezes sądu i dyrektor sądu wyznaczą do pełnienia funkcji IOD tę samą osobę, która pełni tę funkcję dla sądu jako administratora

Źródło: https://www.rp.pl/Sedziowie-i-sady/304129972-Czy-w-sadach-trzeba-wyznaczyc-az-trzech-inspektorow-ochrony-danych.html

Świadectwo pracy po nowemu, w myśl RODO

  • Rządowe Centrum Legislacji opublikowało proponowane zmiany w rozporządzeniu w sprawie świadectwa pracy
  • Ministerstwo Rodziny, Pracy i Polityki Społecznej chce wprowadzić stosowne zmiany, by dostosować wzór świadectwa do RODO
  • dokonanie korekty pomocniczego wzoru świadectwa pracy jest konieczne w celu dostosowania jego treści do zakresu danych, których podania – od dnia wejścia w życie ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO – pracodawca będzie żądał od pracownika i od osoby ubiegającej się o zatrudnienia

Źródło: https://www.pulshr.pl/prawo-pracy/swiadectwo-pracy-po-nowemu-w-mysl-rodo-mrpips-zmienia-wzory,62996.html

Spółdzielnie utrudniają pracę rzeczoznawcom

  • aby wycenić nieruchomość rzeczoznawca powinien mieć wgląd do aktów notarialnych lokali podobnych
  • po wejściu w życie RODO niektóre spółdzielnie mieszkaniowe jednak odmawiają ich udostępniania
  • zdaniem ekspertów rzeczoznawca majątkowy ma legitymację prawną do przeglądania aktów notarialnych na podstawie ustawy o gospodarce nieruchomościami, a powoływanie się na przepisy RODO jest dla części spółdzielni wygodną wymówką

Źródło: https://serwisy.gazetaprawna.pl/nieruchomosci/artykuly/1407289,rzeczoznawca-wglad-do-aktow-notarialnych-rodo.html

Strony internetowe hoteli nie chronią danych

  • z badań Symantec wynika, że dwie trzecie stron internetowych hoteli nie chroni danych klientów w należyty sposób, dopuszczając do przypadkowych wycieków
  • z infrastruktury informatycznej hoteli najczęściej wyciekają imiona i nazwiska oraz adresy e-mail klientów, a także ich numery paszportów i kart kredytowych
  • informacje zazwyczaj pozyskiwane są przez firmy analityczne i reklamowe, ale interesują się nimi również cyberprzestępcy, którzy mogą w ten sposób uzyskać wiedzę np. o podróżach wpływowych biznesmenów czy pracowników administracji rządowej

Źródło: https://www.dziennik.pl/amp/595471,rodo-internet-hotel-ochrona-dane-klient-bezpieczenstwo.html

5 praktycznych rzeczy, które wynikają z dotychczasowych decyzji UODO

  • po pierwsze, udostępnienie kopii danych osobowych nie jest równoznaczne z obowiązkiem udostępnienia kopii dokumentów
  • po drugie, nieuprawnione ujawnienie wielu informacji identyfikacyjnych, nawet jednej osoby i tylko jednej innej osobie, powoduje wysokie ryzyko dla praw i wolności
  • po trzecie, przetwarzanie danych byłego pracownika w postaci adresu email znajduje podstawę w prawnie uzasadnionym interesie administratora danych
  • po czwarte, nieuprawnione ujawnienie danych podmiotowi, co do którego administrator przekonany jest, że nie wykorzysta on w żaden sposób ujawnionych mu danych, nie wpływa na ocenę poziomu ryzyka naruszenia praw i wolności podmiotu danych
  • po piąte pracodawca ma prawo skorzystać z zewnętrznego usługodawcy w celu kontroli prawidłowości korzystania ze zwolnienia lekarskiego, jeśli zawrze umowę powierzenia danych do przetwarzania

Źródło: https://www.pulshr.pl/prawo-pracy/5-praktycznych-rzeczy-ktore-pracodawcy-musza-wiedziec-ws-rodo,63066.html

Kara za nielegalne nagrywanie pacjentów kliniki

  • 120,000 £ kary otrzymało True Visions Productions (TVP) za nielegalne nagrywanie pacjentów kliniki położniczej podczas realizacji dokumentalnego programu telewizyjnego na temat martwych urodzeń
  • kamery wraz z mikrofonami zostały ustawione w gabinetach lekarskich
  • kontrola ICO wykazała, że chociaż TVP uzyskało zgodę kliniki na przebywanie na jej terenie to nie dostarczyło pacjentom odpowiednich informacji o filmowaniu ani nie otrzymało odpowiedniej zgody od osób, których filmowanie objęło

Źródło: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/ico-fines-production-company-120-000-for-unlawful-filming-in-maternity-clinic/

Skargi na przetwarzanie danych osobowych przez Kościoły

  • do Rzecznika Praw Obywatelskich wpływają skargi na przetwarzanie danych osobowych przez kościoły i związki wyznaniowe
  • RPO wystąpił do Ministerstwa Cyfryzacji o ustalenie, które kościoły i związki wyznaniowe podlegają nadzorowi Prezesa UODO, a które posiadają własny organ nadzorczy – jest to niezbędne dla umożliwienia podejmowania efektywnych działań przez RPO
  • większość skarg dotyczy Kościoła katolickiego – skarżący wskazują, że w ich ocenie niedopuszczalne jest odmawianie aktualizacji w księgach parafialnych w związku z czynnościami, którą uznają za wystąpienie z kościoła

Źródło: https://www.rpo.gov.pl/pl/content/koscioly-a-ochrona-danych-osobowych-wystapienie-rpo-do-ministra-cyfryzacji

Ministerstwo Cyfryzacji przygotowuje kolejny poradnik w sprawie RODO

  • w najbliższych tygodniach Ministerstwo Cyfryzacji wyda ostatni poradnik z odpowiedziami na najczęstsze pytania dotyczące RODO
  • poruszone w nim zostaną m.in. kwestie upowszechniania wizerunków osób nagranych podczas wesel czy sposobu wykorzystywania wizerunków w mediach społecznościowych i stronach internetowych

Źródło: https://www.pulshr.pl/prawo-pracy/ministerstwo-cyfryzacji-przygotowuje-kolejny-poradnik-w-sprawie-rodo,63116.html

Dane strajkujących nauczycieli nie powinny być umieszczane w SIO

  • Prezes UODO, odpowiadając na liczne pytania kierowane do Urzędu, wyjaśnia, że wprowadzanie do systemu informacji oświatowej danych o tym, który nauczyciel bierze udział w strajku, nie ma podstaw prawnych

Źródło: https://uodo.gov.pl/pl/138/877

Koniec z profilowaniem pomocy dla bezrobotnych

  • 2 kwietnia br. Rada Ministrów przyjęła projekt nowelizacji ustawy o promocji zatrudnienia przewiduje rezygnację z procedury profilowania pomocy dla bezrobotnych, która polegała na ustaleniu dla każdego bezrobotnego jednego z trzech profili, którym odpowiadały różne formy aktywizacji zawodowej
  • rezygnując z obowiązku ustalania profilu pomocy, wprowadzono możliwość korzystania przez powiatowe urzędy pracy z różnych form pomocy określonych w ustawie – bez ograniczeń wynikających z ustalonego dla bezrobotnego profilu

Źródło: https://e-prawnik.pl/informacje/koniec-z-profilowaniem-pomocy-dla-bezrobotnych-.html

Majówka pod znakiem RODO

  • z ustaleń Rzeczpospolitej wynika, że nowelizacja dostosowująca ponad 160 ustaw do przepisów RODO, zostanie opublikowana w Dzienniku Ustaw 19 kwietnia br. i wejdzie w życie po upływie 14 dni, czyli 4 maja br.
  • Nowelizacja ponad 160 ustaw to nie pakiet obowiązków, a raczej ułatwień dla firm, jeśli chodzi o stosowanie RODO. Przedsiębiorcy powinni zwrócić uwagę na zmiany w kodeksie pracy. Ważne uprawnienie zyskają też klienci banków, którzy po odmowie udzielenia kredytu będą mieli prawo żądać uzasadnienia. Pacjenci zaś będą mogli żądać bezpłatnie wydania im pierwszej kopii dokumentacji medycznej – mówi Maciej Kawecki, dyrektor zarządzania danymi w Ministerstwie Cyfryzacji

Źródło: https://www.rp.pl/Firma/304119885-W-trakcie-majowki-RODO-znow-o-sobie-przypomni.html

Koniec z losowymi badaniami pracowników alkomatem

  • pracodawcy od lat sprawdzają trzeźwość pracowników na własną rękę (w szczególności dotyczy to branży budowlanej)
  • eksperci nie pozostawiają złudzeń – wyrywkowe sprawdzanie, czy pracownicy są na gazie, jest niezgodne z RODO i nowymi przepisami Kodeksu Pracy
  • daniem niektórych ekspertów, zbierając dane osobowe dotyczące trzeźwości, dziś jeszcze można próbować opierać się na zgodzie pracownika – po zmianach w KP będzie to wykluczone, bo badanie alkomatem będzie mógł zainicjować tylko sam pracownik

Źródło: https://edgp.gazetaprawna.pl/e-wydanie/56340,12-kwietnia-2019/67467,Tygodnik-Gazeta-Prawna/692583,RODO-i-zmiany-w-kodeksie-pracy-zablokuja-losowe-badania-alkomatem.html

KRS ujawnia PESEL nawet miliona Polaków

  • w Polsce jest blisko 500 tys. spółek, 22 tys. fundacji i 112 tys. stowarzyszeń – gdyby średnio miały one tylko dwuosobowe zarządy, to KRS pozwala poznać PESEL ponad miliona osób
  • jawność tych danych wzbudza wątpliwości UODO, co do zgodności z RODO
  • UODO już wielokrotnie zwracał uwagę na potrzebę zmiany obecnych rozwiązań prowadzących do ujawnienia numeru PESEL w kwalifikowanym podpisie elektronicznym, wkrótce też wystąpi do Ministerstwa Sprawiedliwości w sprawie KRS
  • część prawników twierdzi wręcz, że to wyciek danych na masową skalę

Źródło: https://www.prawo.pl/biznes/numer-pesel-powszechnie-dostepny-w-krajowym-rejestrze-sadowym-krs,399496.html 

Europejski inspektor ochrony danych o statusie wdrożenia RODO

  • EIOD nie wierzy w to, że Google czy Facebook wprowadzą zmiany w zakresie gwarancji równowagi sił między nimi, a użytkownikami, których dane osobowe przetwarzają
  • 10 z 15 kontroli prowadzonych obecnie przez irlandzki organ nadzorczy dotyczy Facebooka, w tym Instagrama i WhatsAppa
  • zdaniem EIOD niezwykle ważna jest wzajemna współpraca organów nadzoru, w tym ujednolicenie podejścia do nakładanych kar
  • Jest jeszcze wiele do zrobienia. Osiągnięcie zgodności to proces, który musi być kontynuowany przez wszystkich [również Google i Facebooka] – mówi Giovanni Buttarelli

Źródło: https://digiday.com/media/european-commissions-giovanni-buttarelli-state-gdpr-adoption-even-ticking-box-not-necessarily-mean-consent-freely-given/

Europejski inspektor ochrony danych zbada oprogramowanie Microsoftu

  • EIOD podejmie działania w celu zbadania zgodności oprogramowania i produktów Microsoftu wykorzystywanych przez instytucje UE z zasadami ochrony danych
  • EIOD podkreślił, że niektóre obawy związane z ochroną danych są podobne do obaw Holandii, podniesionych w listopadzie w raporcie na temat zbierania danych za pośrednictwem Microsoft ProPlus i dotyczą m.in. informacji przechowywanych w bazie danych w Stanach Zjednoczonych w sposób, który stanowi zagrożenie dla prywatności użytkowników
  • EIOD może nałożyć grzywny w wysokości do 50 tys. euro za każde naruszenie przepisów

Źródło: https://www.cyberdefence24.pl/naczelny-organ-ue-zbada-oprogramowanie-microsoftu

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 20.03-01.04.2019 Pobierz

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 02-09.04.2019 Pobierz

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 10-15.04.2019 Pobierz

Powiązane artykuły

rodo aktualności
RODO aktualności – 20.05.2019
rodo aktualności
RODO aktualności – 14.05.2019
rodo aktualności
RODO aktualności – 25.03.2019

Zostaw odpowiedź