Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 05.11.2019

Mamy kolejną karę od PUODO! Za co został ukarany Urząd Miejski w Aleksandrowie Kujawskim? Kto i w jaki sposób najczęściej kradnie nasze dane osobowe? Ile są warte dane o stanie zdrowia w Holandii? Jak nie dać się oszukać “na ZUS”? Czy RODO blokuje dostęp do danych członków Wspólnot Mieszkaniowych? Czy Apple wysyła dane użytkowników Chińczykom? Czego dotyczą najnowsze wytyczne EROD? W jaki sposób będą się z nami kontaktować urzędy XXI wieku? Czy pracodawca może jednak stosować ukryte kamery? Mamy uzasadnienie NSA – dlaczego numery rejestracyjne pojazdów nie są danymi osobowymi? Jak w praktyce działa RODOwski system zbierania zgód od rodziców na korzystanie przez ich dzieci z usług interntowych i aplikacji? RODO a… liczenie uśmiechów ;)? Czy możliwe jest opracowanie… taryfikatora kar RODO? Co robi PESEL w punktach sprzedaży węgla? Weryfikacja wieku przed wejściem na stronę internetową dla dorosłych za pomocą… skanu twarzy? Jak korzystać ze służbowej skrzynki mailowej?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny

  • Urząd Ochrony Danych Osobowych nałożył pierwszą w Polsce karę pieniężną na podmiot publiczny – burmistrz Aleksandrowa Kujawskiego będzie musiał zapłacić 40 tys. zł za nieprzestrzeganie zasad RODO
  • kara jest efektem m.in. tego, że nie została zawarta umowa powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego, dodatkowo takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie
  • to jednak nie jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego – ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania, a to spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych
  • W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube – w urzędzie nie było kopii zapasowych tych nagrań, a przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami
  • nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube

Źródło: https://uodo.gov.pl/pl/138/1240

NSA uzasadnia wyrok w sprawie warszawskich parkomatów

  • dla przypomnienia – skargę złożył mieszkaniec Warszawy, który uznał, że parkomaty wymagające podania numeru rejestracyjnego naruszają jego prywatność. W ramach protestu mężczyzna wpisywał do urządzeń same litery X oraz cyfry , a gdy został ukarany, zaskarżył uchwałę Rady Miasta. WSA uznał, że rzeczywiście naruszała ona przepisy o ochronie danych osobowych, a NSA uchylił ten wyrok
  • NSA w składzie orzekającym podziela pierwszy z poglądów, że brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych
  • zdaniem NSA: „ numer rejestracyjny, ponieważ jest umieszczony na samochodzie, za zgodą właściciela pojazdu, sam w sobie jest ogólnie dostępny (…) Jednak nie oznacza to, że można go w sposób prosty powiązać z konkretną osobą. (…) często z tego samego pojazdu korzystają różne osoby. Powyższe niezbicie wskazuje, że nie jest możliwe, w sposób prosty i łatwy, powiązanie numeru rejestracyjnego pojazdu z konkretną osobą (…)”
  • NSA prezentuje tzw. subiektywne podejście do oceny, czym są dane osobowe tj. te same informacje dla jednych mogą stanowić dane osobowe, a dla innych, którzy nie dysponują środkami do powiązania ich z konkretną osobą, już nie
  • podejście obiektywne oznacza rozszerzającą interpretację, w którym wystarcza już nawet teoretyczna możliwość identyfikacji osoby – ten sposób rozumienia można odnaleźć w wyroku TSUE w sprawie C-582/14, gdzie uznano, że adres IP to dane osobowe, nawet jeśli administrator nie jest w stanie bezpośrednio połączyć go z konkretną osobą, ale dysponuje środkami prawnymi, które pozwalałyby na identyfikację

Źródło: https://prawo.gazetaprawna.pl/artykuly/1434746,wyrok-w-sprawie-parkomatow-pesel-ip.html

Kto i jak kradnie nasze dane osobowe?

  • jak co roku, w październiku, odbyła się konferencja jednej z największych polskich firm informatycznych, dotycząca wykorzystania nowych technologii w bankowości – w tym roku tematem było bezpieczeństwo
  • najczęściej dane kradnie się w małych punktach usługowych, w agencjach banków i w punktach terenowych firm pożyczkowych
  • wiele danych takich jak imię, nazwisko, PESEL, miejsce zamieszkania, lub też miejsce urodzenia znajdują się w wielu różnych rejestrach i czasem mają jawny charakter
  • sami często też ujawniamy informacje o sobie – przykładem użytkowniczka Facebooka, która pochwaliła się nowo uzyskanym prawem jazdy, publikując jego skan
  • kolejny przykład to nieroztropne korzystanie z serwisów internetowych – np. zmniejszacz.pl, do którego przesyła się zdjęcia i można w nim dowolnie zmniejszyć ich rozmiar, osoba z agencji banku używała go do pomniejszania skanów dowodów osobistych
  • login i hasło najczęściej pozyskiwane są przez przestępców poprzez ich podanie przez ich właściciela, np. wykorzystując tzw. phishing w listach wysyłanych pocztą elektroniczną
  • szacuje się, że od 2013 roku z baz danych wyciekło 14,7 mld rekordów.

Źródło: https://alebank.pl/kto-i-jak-kradnie-nasze-dane-osobowe/?fbclid=IwAR0MjCoRnFLrhXITC9KcjIK8usjAeJN3TS_faEMV5KIKtj0x5mACbJ3njb4

250 EUR za dane o stanie zdrowia

  • Holenderska Pracownicza Agencja Ubezpieczeń (UWV) musi wypłacić 250 EUR odszkodowania pracownikowi, którego dane osobowe zostały przypadkowo wysłane do jego nowego pracodawcy
  • wyrok w tej sprawie wydał Sąd Rejonowy w Amsterdamie
  • UWV przez pomyłkę wysłała pracodawcy list, w którym ujawniła, że jego nowy pracownik przez dłuży okres był niezdolny do pracy w wyniku wypalenia zawodowego
  • pracownik domagał się odszkodowania w wysokości 500 EUR, aby zrekompensować fakt, że istniała duża niepewność w okresie od momentu ujawnienia danych do momentu, w którym pracodawca zdecydował się ostatecznie przedłużyć z nim umowę – istniało bowiem ryzyko, że tego nie zrobi z uwagi na informacje jakie otrzymał od UWV
  • fakt, że ryzyko to ostatecznie się nie zmaterializowało, spowodował, że sąd uznał szkodę za ograniczoną
  • jest to jeden z pierwszych wyroków dotyczących roszczeń odszkodowawczych wynikających z naruszenia RODO w kontekście prawa pracy

Źródło: https://www.arbeitsrecht-weltweit.de/2019/10/11/netherlands-employee-awarded-damages-for-breach-of-the-gdpr/

ZUS ostrzega przed oszustami

  • uaktywnili się oszuści podszywający się pod Zakład Ubezpieczeń Społecznych – ZUS apeluje do klientów o szczególną ostrożność przy otwieraniu maili i odpowiadaniu na nie
  • w ostatnim tygodniu liczna grupa klientów ZUS w różnych częściach kraju otrzymała maile z informacją o pilnej konieczności spłaty zaległości składkowych
  • oszuści posługują się dwoma adresami: skł i .
  • rzecznik ZUS zwraca uwagę, że kontakt elektroniczny ze strony Zakładu jest możliwy jedynie w sytuacji, gdy klient posiada profil na Platformie Usług Elektronicznych i wyraził zgodę na taką formę kontaktu
  • pozostałych klientów ZUS nie informuje drogą mailową o zaległościach
  • otworzenie załącznika z maila oznacza zainfekowanie komputera co może prowadzić do wykradzenia haseł np. do bankowości elektronicznej

Źródło: https://radioszczecin.pl/6,395779,zus-ostrzega-przed-oszustami&s=1&si=1&sp=1

NSA o ochronie danych osobowych właścicieli lokali we wspólnocie mieszkaniowej

  • NSA orzekał w sprawie ochrony danych osobowych właścicieli lokali we wspólnocie mieszkaniowej
  • dostępu do nich żądała jedna z właścicielek mieszkań, która chciała wiedzieć, kto nie płaci, oraz poznać rozliczenie kosztów dostawy mediów
  • Zarząd nie chciał udostępnić żądanych danych, zainteresowana złożyła skargę do GIODO (obecnie UODO), który podzielił stanowisko Zarządu
  • sprawa znalazła się w WSA w Warszawie, który oddalił skargę na decyzję GIODO
  • ostatecznie sprawa trafiła do NSA, który uchylił wyrok i przekazał sprawę do ponownego rozpoznania
  • nieudostępnianie danych to masowy problem we wspólnocie – zarząd odmawia wglądu właścicielom do dokumentów, a ostatnio modną wymówką stało się RODO
  • prawnicy nie mają jednak wątpliwości, że RODO nie blokuje dostępu do danych we wspólnocie

Źródło: https://www.rp.pl/Nieruchomosci/310159910-Ochrona-danych-osobowych-wlascicieli-lokali-we-wspolnocie-mieszkaniowej—wyrok-NSA.html

Apple wyjaśnia, dlaczego wysyła dane Chińczykom

  • Apple wydało oświadczenie w sprawie informacji o tym, że przeglądarka Safari udostępnia dane użytkowników firmie powiązanej z chińskim rządem – chodziło o IP oraz historię przeglądanych stron
  • zgodnie z zapisami Polityki Prywatności przeglądarki Safari w nowych wersjach systemu iOS, aplikacje może wysłać dane witryny do serwerów Google’a oraz firmy Tencent (chińskiej firmy mającej powiązania z tamtejszym rządem)
  • Apple tłumaczy, że Safari sprawdza adres URL witryny pod kątem listy znanych witryn i wyświetla ostrzeżenie, jeśli adres odwiedzany przez użytkownika jest podejrzany o nieuczciwe zachowanie, takie jak phishing
  • aby wykonać to zadanie, Safari otrzymuje od Google listę stron internetowych znanych jako złośliwe, a dla urządzeń z kodem regionu ustawionym na Chiny kontynentalne – listę od Tencent
  • rzeczywisty adres URL odwiedzanej witryny nigdy nie jest udostępniany dostawcy bezpiecznego przeglądania, a funkcję tę można wyłączyć
  • ponadto, w bazie Tencent sprawdzane są tylko strony otwierane przez mieszkańców Chin

Źródło: https://www.telepolis.pl/wiadomosci/aplikacje-i-rozrywka/apple-nie-wysyla-danych-uzytkownikow-do-chin

Nowe wytyczne EROD

  • Europejska Rada Ochrony Danych opublikowała przyjęte po publicznych konsultacjach wytyczne w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) RODO (wykonanie umowy) w kontekście usług internetowych, w których wskazuje m.in.:
    • aby skorzystać z tej podstawy prawnej, administratorzy muszą być w stanie wykazać, że zarówno) przetwarzanie odbywa się w kontekście ważnej umowy z osobą, której dane dotyczą, oraz przetwarzanie jest obiektywnie konieczne, aby można wykonać określoną umowę z osobą, której dane dotyczą
    • ta podstawa prawna może mieć zastosowanie do niektórych działań, które można racjonalnie przewidzieć i są konieczne w ramach normalnego stosunku umownego, takie jak wysyłanie przypomnień o zaległych płatnościach lub korygowanie błędów lub opóźnień w realizacji umowy
    • przechowywanie niektórych danych przez określony czas po sfinalizowaniu wymiany towarów / usług / płatności do celów gwarancji może być konieczne do wykonania umowy
    • na tej podstawie prawnej może następować zwrot towaru lub płatność po zakończeniu umowy
    • przetwarzanie danych dla celów reklam behawioralnych nie jest konieczne dla wykonania umowy

Źródło: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en

Aplikacje mobilne muszą uwzględniać ochronę danych

  • UODO wskazuje, że przepisy określające wymagania dla aplikacji mobilnych muszą precyzyjnie wskazywać, jakie dane osobowe będą w niej przetwarzane oraz kto i na jakich zasadach uzyska do nich dostęp
  • aplikacja mobilna służąca do rozliczeń przejazdów realizowanych w usługach przewozowych i taksówkowych ma pozwolić na kontrolę danych związanych z przejazdami – to jedno z rozwiązań przewidzianych w projekcie rozporządzenia Ministra Cyfryzacji w sprawie aplikacji mobilnej służącej do rozliczania opłaty za przewóz osób
  • Prezes UODO kwestionuje to rozwiązanie wskazując m.in., że projektowana regulacja nie określa ani kręgu uprawnionych podmiotów, które będą miały dostęp do tych danych, ani zakresu tych danych
  • „Daje to nieokreślonej kategorii podmiotów (w tym służbom i inspekcjom) uprawnienie do dostępu do bardzo szczegółowych informacji o osobie korzystającej z usługi przewozowej” – wskazuje Prezes UODO w piśmie do Ministra Cyfryzacji
  • Prezes UODO zwraca też uwagę, że wprowadzenie rozwiązań silnie ingerujących w prywatność, powinno być poprzedzone oceną skutków dla ochrony danych – w tym przypadku projektodawca tego nie zrobił

Źródło: https://uodo.gov.pl/pl/138/1232

Urzędy będą przypominać obywatelom m.in. o terminach

  • Sejm przyjął zaproponiwane przez Ministerstwo Cyfryzacji zmiany w ustawie o informatyzacji, które uwzględniają m.in. powstanie Rejestru Danych Kontaktowych, w którym gromadzone będą dane kontaktowe obywateli (imię i nazwisko, PESEL, adres e–mail lub numer telefonu).
  • podstawowym celem RDK umożliwienie bezpośredniego kontaktu administracji z obywatelem, który zostanie powiadomiony telefonicznie lub za pośrednictwem poczty elektronicznej o stanie prowadzonej sprawy – w tym np. o niedotrzymaniu terminów – czy też o upływie ważności dokumentów
  • dostęp do danych będą miały wskazane enumeratywnie w ustawie instytucje i organy – wśród nich wskazuje się m.in. organy gmin, NFZ, organy wyborcze, czy urzędy skarbowe, ale także Polski Czerwony Krzyż
  • rejestr będzie wchodził w skład Systemu Rejestrów Państwowych
  • dane nie będą pojawiały się znikąd – każdy obywatel, który będzie chciał, aby jego dane znalazły się w bazie, będzie musiał sam wpisać je do rejestru, również wykorzystywanie rejestru do kontaktu z obywatelem będzie wymagało jego zgody

Źródło: https://bezprawnik.pl/urzedy-beda-przypominac/     https://www.gov.pl/web/cyfryzacja/urzad-dzwoni-do-obywatela–sejm-przyjal-nasze-propozycje

ETPC: ukryte monitorowanie pracowników czasem dopuszczalne

  • uzasadnione podejrzenie poważnych uchybień pracowniczych oraz ryzyko dużych strat firmy w pewnych sytuacjach może usprawiedliwiać stosowanie ukrytego nadzoru za pomocą kamer wideo. Nie narusza to prawa do prywatności ani sprawiedliwego procesu – tak uznała Wielka Izba Europejskiego Trybunału Praw Człowieka w Strasburgu
  • sprawa, która trafiła do ETPC, dotyczyła pracowników supermarketu w Hiszpanii – po odnotowaniu strat (w okresie pięciu miesięcy) i zauważeniu manka w zapasach kierownik supermarketu zainstalował w placówce zarówno widoczne, jak i ukryte kamery i w ten sposób ujawnił przypadki kradzieży towarów przez pracowników
  • czternaście osób zwolniono dyscyplinarnie – część osób odwołało się do hiszpańskiego sądu pracy, gdyż uznali, że zwolnienie nie było dopuszczalne, bo pracodawca wykorzystał nagrania z ukrytego monitoringu, który naruszył ich prywatność
  • w obu instancjach sędziowie przyznali jednak rację pracodawcy, a sprawa trafiła do ETPC
  • ETPC wskazał, że należy wyważyć prawo pracownika do ochrony prywatności oraz interes pracodawcy, który może chronić swój majątek i dbać o prawidłowe prowadzenie działalności i przypomniał, że zatrudnieni pracowali w przestrzeni publicznej (dostęp do niej mają klienci), więc ich prawo do prywatności było w tym zakresie znacznie bardziej ograniczone niż w przypadku takich pomieszczeń jak np. firmowe toalety lub szatnie

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1435861,ukryte-monitorowanie-pracownikow-czasem-dopuszczalne.html

Zgody rodzica łatwo można obejść

  • w okresie przygotowań do RODO nowy obowiązek, czyli konieczność uzyskiwania zgód rodziców na przetwarzanie danych osób nieletnich, budził spore obawy branży internetowej – dzisiaj, po kilkunastu miesiącach stosowania RODO, okazuje się, że przepis ten w praktyce jest martwy
  • RODO wymaga uzyskiwania zgody rodzica wyłącznie w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku – wbrew powszechnemu przekonaniu założenie konta w serwisie czy zainstalowanie aplikacji na smartfonie wcale nie musi pod niego podpadać
  • zgoda rodzica jest wymagana tylko tam, gdzie przetwarzanie opiera się na zgodzie – jeżeli jest np. niezbędne do realizacji umowy, to można oprzeć przetwarzanie o niezbędność do wykonania umowy, a wtedy nawet 13-letnie dziecko może zaakceptować regulamin i korzystać z danego serwisu czy aplikacji
  • jeśli jednak przetwarzanie danych nie jest niezbędne do realizacji usługi, to zgoda jest już wymagana – chodzi np. o marketing czy newslettery
  • większość ekspertów jest zwolennikami poglądu, że ten przepis RODO należy stosować wyjątkowo rzadko – chodzi wyłącznie o usługi online, które nie tylko oferowane są wprost dzieciom, ale też których dzieci są przeważającymi odbiorcami, dlatego też np. księgarnia internetowa nie musi pytać o zgodę rodziców na wysyłanie e-maili z nowościami książkowymi, nawet jeśli odbiorcami tej wiadomości mogą być też dzieci
  • z tym poglądem nie zgadza się była Prezes UODO Edyta Bielak-Joamma, gdyż jej zdaniem przepis należy interpretować szerzej – chodzi o każdą usługę skierowaną do dzieci i nie ma znaczenia, czy ze strony internetowej lub aplikacji mogą korzystać dorośli ani kto jest głównym odbiorcą

Źródło: https://prawo.gazetaprawna.pl/artykuly/1436054,rodo-serwsy-internetowe-aplikacje-dzieci.html

Umowy UE z Microsoftem niezgodne z RODO?

  • możliwe, że umowy, które zawarł Microsoft z unijnymi instytucjami, są niezgodne z RODO – tak wynika ze wstępnych ustaleń dochodzenia Europejskiego Inspektora Ochrony Danych (EIOD)
  • dochodzenie w tej sprawie wszczęto w kwietniu – miało ono sprawdzić, czy warunki umów między amerykańską firmą i instytucjami UE dotyczące przetwarzania danych osobowych są “w pełni zgodne” z zapisami RODO, które weszły w życie w ubiegłym roku
  • śledztwo nadal trwa, ale już wstępne wyniki wywołują poważne obawy – EIOD poinformował, że chodzi o zgodność badanych zapisów kontraktowych z zasadami ochrony danych oraz rolę, jaką firma Microsoft pełni jako podmiot przetwarzający dane instytucji UE, korzystających z produktów i usług tej firmy
  • EIOD w ramach dochodzenia współpracował m.in. z holenderskim ministerstwem sprawiedliwości, które w czerwcowej ocenie ryzyka wskazało, że urzędy państwowe w wielu krajach członkowskich mogą mieć do czynienia z podobnymi zapisami w umowach
  • oba urzędy stworzyły forum, które ma ustalić zasady kontraktów z instytucjami publicznymi

Źródło: https://businessinsider.com.pl/technologie/nowe-technologie/umowy-microsoftu-z-ue-rodo/k9v1qq9

RPO: liczenie uśmiechów pracowników PKO wkracza ich prywatność i godność

  • w wybranych oddziałach banku PKO BP zamontowano urządzenia monitorujące, czy pracownicy obsługujący klientów są uśmiechnięci, obserwowane są także uśmiechy ich klientów – w badaniach, dobrowolnie i na swój wniosek, bierze udział stu doradców
  • bank tłumaczy, że nie ma przy tym żadnych norm uśmiechów do wykonania, brak uśmiechów nie ma też żadnych konsekwencji dla pracowników, a każdy uśmiech klienta oznacza drobną kwotę przeznaczoną na lokalny cel charytatywny
  • mimo to RPO skierował w tej sprawie pismo do Głównego Inspektora Pracy – w jego ocenie, na tę ciągłą obserwację i nagradzanie pracownika za uśmiech trzeba popatrzeć z perspektywy prawa do prywatności i godności jednostki, to szczególnie istotne, jeśli uznamy ten system za zakładający zmianę naturalnych cech i zachowań pracownika
  • zgodnie art. 22(2) Kodeksu pracy korzystanie przez pracodawcę z monitoringu jest dopuszczalne, gdy jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę – zdaniem RPO przepis ten nie przewiduje celów, dla których monitoring został wprowadzony w omawianym przypadku
  • RPO wskazuje również, że dane przetwarzane w banku PKO BP należy uznać za dane objęte szczególną ochroną (stanowią dane biometryczne), a pobierana zgoda nie może stanowić podstawy ich przetwarzania

Źródło: https://www.rp.pl/Kadry/310219961-RPO-liczenie-usmiechow-pracownikow-PKO-wkracza-ich-prywatnosc-i-godnosc.html

Prawo do informacji nie daje prawa do uzyskania kopii dokumentów

  • bawarski organ ochrony danych osobowych odpowiedział na pytanie: Czy prawo do informacji na podstawie art. 15 RODO obejmuje również prawo do kopii dokumentów, korespondencji lub wiadomości e-mail?
  • zdaniem organu art. 15 RODO nie daje prawa do (kserokopii) kopii dokumentów, korespondencji lub wiadomości e-mail, gdyż zgodnie z jasnym brzmieniem, podmiot danych ma jedynie prawo do informacji o danych osobowych zawartych w tych tekstach
  • przedmiotowe prawo (art. 15 ust. 3 RODO) winno przybrać formę informacji o danych osobowych ujawnionych w treści wskazanych dokumentów (jako stosownego komunikatu)

Źródło: https://www.lda.bayern.de/de/faq.html

Pozyskiwanie danych na potrzeby statystyki musi być zgodne z ochroną danych osobowych

  • do Prezesa UODO w ostatnim czasie wpływają liczne sygnały od przedstawicieli sektora publicznego, jak i prywatnego w związku z wątpliwościami pojawiającymi się w procesie pozyskiwania danych osobowych na potrzeby programu badań statystycznych statystyki publicznej na rok 2019, prowadzonego przez Główny Urząd Statystyczny (GUS)
  • w przypadku instytucji publicznych, pytania dotyczą tego, czy mogą one pozyskiwać na rzecz GUS dane od jednostek im podległych – o ile zrozumiałe jest, że GUS może realizować swoje uprawnienia, wnioskując bezpośrednio do tych jednostek, to w ocenie Prezesa UODO do organów gmin nie powinno być kierowane żądanie, by to one pozyskały te dane z jednostek im podległych
  • organy gminy nie są organami statystyki publicznej i zdaniem Prezesa Urzędu nie mogą pełnić roli instytucji pośredniczącej
  • w przypadku podmiotów z sektora prywatnego podnoszone jest m.in. to, że nie zawsze znajdują się w posiadaniu wnioskowanych przez GUS danych oraz z przepisów prawa nie wynika, aby miały prawo do ich pozyskania i dalszego przetwarzania
  • Prezes UODO skierował wystąpienie do Prezesa GUS, w którym podzielił się swoimi spostrzeżeniami – podkreślił w nim, że ważne jest m.in. to, by wniosek o przekazanie danych był skierowany do podmiotów, które są ich administratorami i by istniała podstawa uprawniająca do żądania udostępnienia danych

Źródło: https://uodo.gov.pl/pl/138/1233

Niemiecki taryfikator łaskawszy dla Bisnode

  • problemów z wyliczaniem wysokości kar nie ma już w Holandii i nie będzie w Niemczech – opracowano tam taryfikatory
  • holenderski taryfikator składa się z dwóch elementów: stawek i kategorii naruszeń – poszczególnym przepisom RODO przypisano kategorie – od I do IV, a także wydzielono w sumie cztery pułapy kar, które można maksymalnie nałożyć za ich naruszenie
  • w Holandii wiadomo za złamanie, których przepisów grozi najwyższa kara – przykładowo jako naruszenie najpoważniejsze uznano brak poinformowania organu o naruszeniu, z kolei do pierwszej kategorii zaliczono nie wyznaczenia inspektora ochrony danych
  • w Niemczech w projekcie taryfikatora uwzględniono cztery kategorie przedsiębiorców w zależności od wysokość rocznego obrotu: mikroprzedsiębiorstwa, małe, średnie i duże przedsiębiorstwa, a w każdej z kategorii wyróżniono dodatkowo podkategorie, a także wyliczono średni obrót dla danej kategorii i tzw. stawkę dzienną
  • niemieckie organy podzieliły naruszenia RODO również na cztery kategorie: lekkie, średnie, poważne i bardzo poważne i przypisały im mnożniki od 1 do 12, zależnie od tego, czy dane naruszenie podlega pod niższą karę czy wyższą karę z RODO, dodatkowo bierze się pod uwagę 11 czynników, m.in. umyślność naruszenia, stopień współpracy z urzędem, czy też nawet potencjalną niewypłacalność przedsiębiorcy
  • nie biorąc pod uwagę dodatkowych czynników eksperci oszacowali, że przy kursie 4,3 zł morele.net mogłoby zapłacić w Niemczech średnio ok. 3 mln euro kary (kara nałożona przez UODO to 660 tys. euro), a Bisnode 100 tys. euro (kara nałożona przez UODO to 220 tys. euro)

Źródło: https://www.prawo.pl/biznes/taryfikator-za-naruszenie-rodo,493038.html

Maszyniści odmawiali potwierdzenia rozkazów dyżurnych - bo RODO

  • dyżurni ruchu są zaniepokojeni powtarzającymi się incydentami niewypełnienia procedur przez niektórych maszynistów – prowadzący pociągi nie chcieli potwierdzić przyjęcia rozkazów od dyżurnych ruchu swoim nazwiskiem, zasłaniając się przepisami o ochronie danych osobowych (RODO)
  • Związek Zawodowy Dyżurnych Ruchu przesłał do wiceprezesa PKP PLK pismo z prośbą o pilną interwencję – jak pisze, problem polega na tym, że „po podyktowaniu drogą radiową rozkazu pisemnego niektórzy maszyniści odmawiają podawania swojego nazwiska przy potwierdzeniu odebrania rozkazu, bezpodstawnie powołując się na przepisy RODO”
  • to w oczywisty sposób narusza przepisy kolejowe, w tym obowiązującą przewoźników instrukcję IR 1
  • instrukcja IR 1 jest obowiązującym dokumentem, a w nim znajduje się zapis, że dyżurny ruchu wpisuje nazwisko pracownika, któremu treść rozkazu pisemnego przekazał, a odbierający nazwisko dyżurnego ruchu

Źródło: https://www.rynek-kolejowy.pl/wiadomosci/maszynisci-odmawiali-potwierdzenia-rozkazow-dyzurnych-bo-rodo-94100.html

Nielegalna inwigilacja w PIP

  • Państwowa Inspekcja Pracy wykorzystała ustawowe kompetencje do sprawdzenia PIT swojego pracownika – UODO uznał, że złamała ustawę o ochronie danych osobowych i RODO
  • PIP chciała sprawdzić, jakie dochody (poza pensją) otrzymuje jeden z inspektorów
  • PIP może współpracować m.in. z urzędami skarbowymi, więc poprosiła o dane zawarte w deklaracjach PIT-37 pracownika
  • pracownik złożył skargę do UODO na działanie swojego pracodawcy
  • Prezes UODO nakazał inspekcji usunięcie danych z PIT byłego już inspektora pracy (został zwolniony 27 października 2017 r.) – jego zdaniem PIP naruszyła nie tylko ustawę o ochronie danych osobowych, ale też RODO, gdyż nie miała prawa wykorzystywać swojej ustawowej kompetencji do weryfikowania dochodów pracownika
  • PIP może pozyskiwać informacje z PIT, ale tylko wtedy, gdy służy to kontroli pracodawców nadzorowanych przez inspekcję
  • zdaniem Głównego Inspektora Pracy decyzja Prezesa UODO zostanie zaskarżona, gdyż jest niesłuszna – Nie naruszyliśmy żadnych przepisów i nie wykorzystywaliśmy pozyskanych danych do zwolnienia pracownika

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1436467,pip-rodo-uodo-pit-zarobki-pracownika-nielegalna-kontrola.html

MEN pyta uczniów o religijność i sprawy rodzinne

  • dzieci są pytane w szkolnych ankietach o sytuację rodzinną i udział w nabożeństwach
  • o ankietach, które dostali w szkołach uczniowie i ich rodzice w woj. małopolskim i lubuskim donosiły we wrześniu media – pytania dotyczyły sytuacji rodzinnej (Czy rodzice są rozwiedzeni? Czy masz ojczyma/macochę?), a także religijności (Jak często chodzisz do kościoła? Czy należysz do oazy?)
  • ankietę przygotowało Ministerstwo Edukacji Narodowej – na potrzeby dorocznej diagnozy potrzeb rozwojowych uczniów, w tym czynników chroniących i czynników ryzyka koniecznej dla opracowania programu wychowawczo-profilaktycznego
  • ankiety miały być anonimowe, ale we wstępie do ankiety zaznaczono, że w najmłodsze dzieci w podstawówkach powinny wypełniać ją razem z nauczycielem
  • wielu pedagogów i przedstawicieli ZNP wyraziło swoje oburzenie pytaniami w ankiecie MEN – nie podobają się one także RPO
  • RPO zwrócił się do ministra edukacji o uzasadnienie przeprowadzania tych ankiet w szkołach, zwłaszcza co do zakresu uzyskiwania danych dotyczących praktyk religijnych oraz wrażliwych danych o sytuacji rodzinnej

Źródło: https://www.rp.pl/Edukacja-i-wychowanie/310239953-MEN-pyta-uczniow-o-religijnosc-i-sprawy-rodzinne-Co-z-ochrona-prywatnosci.html

Postępy w funkcjonowaniu Tarczy Prywatności UE–USA

  • Komisja Europejska opublikowała sprawozdanie na temat trzeciego corocznego przeglądu funkcjonowania Tarczy Prywatności UE–USA
  • w sprawozdaniu potwierdzono, że USA w dalszym ciągu zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych w ramach Tarczy Prywatności przez podmioty z UE certyfikowanym przedsiębiorstwom w USA – obecnie w programie ochrony danych między UE a USA uczestniczy około 5 tys. przedsiębiorstw
  • w przeglądzie odnotowano między innymi, że Departament Handlu USA zapewnia niezbędny nadzór w sposób bardziej systematyczny, na przykład poprzez comiesięczne wyrywkowe kontrole przedsiębiorstw pod kątem przestrzegania przez nie zasad Tarczy Prywatności
  • coraz więcej osób fizycznych korzysta z praw przysługujących im w ramach Tarczy Prywatności, a odpowiednie mechanizmy dochodzenia roszczeń prawidłowo funkcjonują
  • oprócz mianowania stałego Rzecznika ds. Tarczy Prywatności wypełniono dwa ostatnie wakaty w Radzie Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, dzięki czemu Rada po raz pierwszy od 2016 r. została w pełni obsadzona
  • Komisja zaleca jednak podjęcie pewnych konkretnych kroków, aby zapewnić skuteczniejsze funkcjonowanie Tarczy Prywatności w praktyce, chodzi m.in. o dalsze wzmocnienie procesu (ponownej) certyfikacji przedsiębiorstw, rozszerzenie kontroli zgodności, w tym dotyczących fałszywych oświadczeń o uczestnictwie w programie

Źródło:  https://www.euractiv.pl/section/polityka-zagraniczna-ue/press_release/postepy-w-funkcjonowaniu-tarczy-prywatnosci-ue-usa/

PESEL w punktach sprzedaży węgla

  • infolinia UODO odbiera dużo sygnałów od osób kupujących obecnie węgiel i zaniepokojonych zakresem danych, które przy tej okazji są od nich wymagane
  • obecnie kupując węgiel do celów opałowych w gospodarstwach domowych, sprzedawca musi pozyskać dane osoby, która do takich celów nabywa węgiel – wymagają tego przepisy ustawy o podatku akcyzowym, które obowiązują od 1 stycznia 2019 rok
  • regulacje te nałożyły na sprzedawców węgla obowiązek odebrania od nabywcy oświadczenia zawierającego: ilość i przeznaczenie węgla , imię i nazwisko, adres zamieszkania, numer dowodu osobistego lub nazwę i numer innego dokumentu stwierdzającego tożsamość oraz PESEL.
  • przyjęte rozwiązania prawne prowadzące do pozyskiwania tak szerokiego zakresu danych osobowych, budzą wątpliwości Prezesa UODO dlatego też zwrócił się on do ustawodawcy z wnioskiem o podjęcie prac legislacyjnych i zmianę przepisów o podatku akcyzowym
  • Ministerstwo Finansów, po zapoznaniu się z argumentami Prezesa UODO, postanowiło ograniczyć zakres danych i w projektowanych regulacjach zaproponowało odstąpienie od wymogu podania numeru dowodu osobistego lub nazwy i numeru innego dokumentu stwierdzającego tożsamość
  • pozostawiono jednak wymóg podania numeru PESEL, który pozwoli organom podatkowym, przy ewentualnej kontroli, na właściwą identyfikację osób składających oświadczenie w zakresie wyrobów węglowych

Źródło:  https://uodo.gov.pl/pl/138/1236

Inteligentne opaski dla seniorów

  • coraz więcej miast testuje urządzenia monitorujące funkcje życiowe seniorów
  • urządzenia gromadzą dane medyczne (np. z pulsometru czy akcelerometru wykrywającego upadki), lokalizacyjne (GPS), a niektóre umożliwiają także szybki kontakt ze służbami medycznymi bądź inną instytucją
  • część miast testujących inteligentne opaski zleca to zadanie podmiotom zewnętrznym – wyspecjalizowane firmy prywatne często dysponują bardziej zaawansowaną technologią i większym doświadczeniem niż samorządy
  • firmy te muszą jednak wykazać – np. na etapie postępowania przetargowego – że korzystają z takich mechanizmów, które zapewniają dostateczny poziom bezpieczeństwa danych
  • seniorzy są jednak nieufni wobec nowej technologii – by ich do niej przekonać, należy najpierw dokładnie sprawdzić, jak dane uczestników programu będą przetwarzane, i dopełnić obowiązków informacyjnych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1437432,opaski-monitorujace-funkcje-zyciowe-a-rodo.html

Prezydent RP będzie mógł ratyfikować Konwencję 108+

  • polski parlament uchwalił ustawę zezwalającej Prezydentowi RP na ratyfikację Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego 10 października 2018 r. w Strasburgu – Protokół wprowadza tzw. Konwencję 108+
  • ustawa czeka na podpis Prezydenta RP, a wejdzie w życie po upływie 14 dni od dnia ogłoszenia, a na jej podstawie Prezydent RP będzie mógł oficjalnie ratyfikować Protokół – Polska może być pierwszym państwem, które ratyfikuje Protokół
  • Konwencja 108 Rady Europy została przyjęta 28 stycznia 1981 r. i jest jedynym wiążącym traktatem międzynarodowym, gwarantującym prawo osób fizycznych do ochrony ich danych osobowych
  • Protokół dostosowuje Konwencję 108 do aktualnych wyzwań związanych z rozwojem technologii komunikacyjno-informacyjnych oraz zapewnia spójność przyjętego przez Radę Europy standardu ochrony danych osobowych z regulacjami obowiązującymi w Unii Europejskiej
  • Protokół wprowadza także mechanizm zapewniający efektywne monitorowanie wdrożenia w poszczególnych państwach postanowień Konwencji 108+

Źródło: https://uodo.gov.pl/pl/138/1237

Weryfikacja wieku za pomocą skanu twarzy

  • australijski Departament Spraw Wewnętrznych chce wykorzystać rozpoznawanie twarzy jako formę weryfikacji wieku na stronach dla dorosłych
  • ma to zagwarantować, że żaden nieletni nie będzie ani oglądał pornografii, ani grał w wirtualnych kasynach
  • Identity Matching Services to zestaw usług, nad którymi pracuje od dawna australijski rząd – w założeniu mają one pomóc w weryfikacji czyjejś tożsamości i łapaniu przestępców na podstawie ich wizerunku
  • w ramach usług ma działać między innymi Document Verification Service (DVS) i Face Verification Service (FVC).
  • DVS pozwala na sprawdzenie, czy informacje z dokumentu tożsamości pokrywają się z oryginalnymi danymi posiadanymi przez państwo, a FVC porównuje dostarczone przez użytkownika zdjęcie z tym z państwowej bazy i potwierdza lub podaje w wątpliwość tożsamość osoby nim przedstawionej
  • pomysł ten spotkał się z ostrą krytyką

Źródło: https://www.spidersweb.pl/2019/10/australia-rozpoznawanie-twarzy-pornografia.html

WhatsApp pozywa producenta systemu Pegasus

  • Władze internetowego komunikatora WhatsApp pozwały izraelską firmę NSO Group i oskarżyły ją o pomoc cyberszpiegom we włamaniu się do telefonów około 1400 użytkowników na czterech kontynentach
  • NSO Group jest producentem systemu Pegasus umożliwiającego masową inwigilację telefonów i komputerów
  • zdaniem WhatsAppa izraelska firma miała uczestniczyć w akcji hakerskiej wymierzonej w dyplomatów, dysydentów politycznych, dziennikarzy i wyższych urzędników rządowych
  • w pozwie złożonym w sądzie federalnym w San Francisco WhatsApp oskarżył NSO o ułatwianie ataków hakerskich rządowym szpiegom w dwudziestu krajach
  • jedynymi do tej pory zidentyfikowanymi państwami, w których miało – zdaniem firmy – dojść do ataków, są Meksyk, Zjednoczone Emiraty Arabskie oraz Bahraj

Źródło: https://www.tvn24.pl/whatsapp-pozywa-producenta-systemu-pegasus-umozliwiajacemu-masowa-inwigilacje,981869,s.html

Kodeks RODO dla branży badawczej

  • branża badawcza dostrzegła potrzebę wsparcia badaczy w wypracowaniu wspólnych, dopuszczalnych praktyk przetwarzania i ochrony danych respondentów
  • związek pracodawców Organizacja Firm Badania Opinii i Rynku wraz z Kancelarią Osiej i Partnerzy oraz Omni Modo opracowały Kodeks RODO dla branży badawczej
  • trwają konsultacje społeczne projektu Kodeksu RODO dla branży badawczej – uwagi należy nadsyłać do 31 grudnia 2019 roku, na adres:
  • projekt Kodeksu dostępny jest pod linkiem: https://gdpr.pl/pierwszy-w-polsce-kodeks-rodo-dla-branzy-badawczej

Jak korzystać ze służbowej skrzynki mailowej

  • pracownicy korzystający ze służbowej skrzynki e-mail przede wszystkim powinni pamiętać o tym, że ich poczta elektroniczna może być monitorowana przez pracodawcę
  • co prawda pracodawca nie ma prawa stosowania monitoringu w sposób dowolny, niemniej jednak, w pewnych okolicznościach zezwalają mu na to przepisy
  • co do zasady wprowadzenie monitoringu poczty elektronicznej powinno zostać poprzedzone spełnieniem przez pracodawcę wymagań wynikających z kodeksu pracy
  • monitoring korespondencji elektronicznej powinien również być realizowany w sposób, który nie spowoduje naruszenia dóbr osobistych pracownika – należy jednak wspomnieć, że interes pracodawcy w stosowaniu również ukrytego monitoringu może mieć charakter nadrzędny w przypadku popełniania przez pracownika czynów na szkodę pracodawcy, w tym przestępstw, co wynika z wyroku Europejskiego Trybunału Praw Człowieka (wyrok z dnia 17.10.2019 r. López Ribald vs. Królestwo Hiszpanii)

Źródło: https://prawo.gazetaprawna.pl/artykuly/1437865,rodo-jak-korzystac-ze-sluzbowej-skrzynki-mailowej.html

RODO: PIT-y za 2019 rok będą wysłane zatrudnionym na różne adresy

  • od 4 maja 2019 r. w kodeksie pracy zmieniono zakres danych osobowych, jakich można żądać od kandydata do pracy oraz pracownika – z treści art. 22 1 par. 3 KP określającego dane, których można żądać od pracownika usunięto adres do korespondencji, a pozostawiono tylko adres zamieszkania
  • należy jednak mieć na uwadze, że niezależnie od powyższego pracodawca może posiadać adres do korespondencji pracownika dla innych celów – ubezpieczeniowych, np. związanych ze zgłoszeniem do ZUS, oraz do PPK
  • zgodnie jednak ze stanowiskiem Ministerstwa Rodziny, Pracy i Polityki Społecznej adresy inne niż zamieszkania nie powinny się znajdować w kwestionariuszu osobowym, a jedynie w dokumentach zgłoszeniowych wysyłanych do ZUS
  • Podawany w kwestionariuszu osobowym adres zamieszkania stał się więc (co do zasady) jedynym adresem, który można przetwarzać w celach związanych z zatrudnieniem i na niego powinna być wysyłana korespondencja do pracownika

Źródło: https://serwisy.gazetaprawna.pl/pit/artykuly/1437627,rodo-pit-za-2019-wysylane-zatrudnionym-na-rozne-adresy.html

Alexa powołana na świadka w sprawie morderstwa

  • w Hallandale na Florydzie czterdziestodwulatek zamordował swoją dziewczynę – policja postanowiła zażądać od Amazonu prawa do “przesłuchania” Alexy
  • mężczyzna zabił swoją ukochaną za pomocą włóczni – oskarżony jest on o morderstwo, jednak jego obrona twierdzi, że był to tragiczny wypadek
  • sprawę rozsądzić ma Alexa, która zachowała nagrania z rzekomej wcześniejszej kłótni pary
  • Amazon postanowił wydać żądane nagrania
  • rzecznik prasowy Amazonu Leigh Nakanishi zapewnia jednak, że klienci nie muszą się obawiać o prywatność ponieważ nagrania są kasowane już po krótkim okresie​​​​​, a to była sytuacja wyjątkowa

Źródło: https://www.telepolis.pl/wiadomosci/wydarzenia/alexa-powolana-na-swiadka-w-sprawie-morderstwa

Serwerownia pod wanną

  • emerytowi z Mińska Mazowieckiego pękła rura pod wanną – zorientował się on po chwili, zakręcił wodę w pionie oraz uprzątnął wyciek
  • po 2 miesiącach z kolei dostał z UPC wezwanie do zapłaty na 400 000 PLN
  • okazało się, że firma miała w lokalu piętro niżej serwerownię

Źródło:  https://niebezpiecznik.pl/post/upc-serwerownia-pod-wanna/?fbclid=IwAR2eZfdxbReQdXtNi-bRrAhMKVR-0LeIsYzZRjE6lNpayLz9-YGtMMbsTog

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 21.10.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 28.10.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 04.11.2019 Pobierz

Powiązane artykuły

rodo aktualności
RODO aktualności – 15.10.2019
rodo aktualności
RODO aktualności – 24.09.2019
rodo aktualności
RODO aktualności – 03.09.2019

Zostaw odpowiedź