Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 05.11.2019

Mamy kolejną karę od PUODO! Za co został ukarany Urząd Miejski w Aleksandrowie Kujawskim? Kto i w jaki sposób najczęściej kradnie nasze dane osobowe? Ile są warte dane o stanie zdrowia w Holandii? Jak nie dać się oszukać “na ZUS”? Czy RODO blokuje dostęp do danych członków Wspólnot Mieszkaniowych? Czy Apple wysyła dane użytkowników Chińczykom? Czego dotyczą najnowsze wytyczne EROD? W jaki sposób będą się z nami kontaktować urzędy XXI wieku? Czy pracodawca może jednak stosować ukryte kamery? Mamy uzasadnienie NSA – dlaczego numery rejestracyjne pojazdów nie są danymi osobowymi? Jak w praktyce działa RODOwski system zbierania zgód od rodziców na korzystanie przez ich dzieci z usług interntowych i aplikacji? RODO a… liczenie uśmiechów ;)? Czy możliwe jest opracowanie… taryfikatora kar RODO? Co robi PESEL w punktach sprzedaży węgla? Weryfikacja wieku przed wejściem na stronę internetową dla dorosłych za pomocą… skanu twarzy? Jak korzystać ze służbowej skrzynki mailowej?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny

  • Urząd Ochrony Danych Osobowych nałożył pierwszą w Polsce karę pieniężną na podmiot publiczny – burmistrz Aleksandrowa Kujawskiego będzie musiał zapłacić 40 tys. zł za nieprzestrzeganie zasad RODO
  • kara jest efektem m.in. tego, że nie została zawarta umowa powierzenia z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego, dodatkowo takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie
  • to jednak nie jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego – ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania, a to spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych
  • W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube – w urzędzie nie było kopii zapasowych tych nagrań, a przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami
  • nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube

Źródło: https://uodo.gov.pl/pl/138/1240

NSA uzasadnia wyrok w sprawie warszawskich parkomatów

  • dla przypomnienia – skargę złożył mieszkaniec Warszawy, który uznał, że parkomaty wymagające podania numeru rejestracyjnego naruszają jego prywatność. W ramach protestu mężczyzna wpisywał do urządzeń same litery X oraz cyfry , a gdy został ukarany, zaskarżył uchwałę Rady Miasta. WSA uznał, że rzeczywiście naruszała ona przepisy o ochronie danych osobowych, a NSA uchylił ten wyrok
  • NSA w składzie orzekającym podziela pierwszy z poglądów, że brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych
  • zdaniem NSA: „ numer rejestracyjny, ponieważ jest umieszczony na samochodzie, za zgodą właściciela pojazdu, sam w sobie jest ogólnie dostępny (…) Jednak nie oznacza to, że można go w sposób prosty powiązać z konkretną osobą. (…) często z tego samego pojazdu korzystają różne osoby. Powyższe niezbicie wskazuje, że nie jest możliwe, w sposób prosty i łatwy, powiązanie numeru rejestracyjnego pojazdu z konkretną osobą (…)”
  • NSA prezentuje tzw. subiektywne podejście do oceny, czym są dane osobowe tj. te same informacje dla jednych mogą stanowić dane osobowe, a dla innych, którzy nie dysponują środkami do powiązania ich z konkretną osobą, już nie
  • podejście obiektywne oznacza rozszerzającą interpretację, w którym wystarcza już nawet teoretyczna możliwość identyfikacji osoby – ten sposób rozumienia można odnaleźć w wyroku TSUE w sprawie C-582/14, gdzie uznano, że adres IP to dane osobowe, nawet jeśli administrator nie jest w stanie bezpośrednio połączyć go z konkretną osobą, ale dysponuje środkami prawnymi, które pozwalałyby na identyfikację

Źródło: https://prawo.gazetaprawna.pl/artykuly/1434746,wyrok-w-sprawie-parkomatow-pesel-ip.html

Kto i jak kradnie nasze dane osobowe?

  • jak co roku, w październiku, odbyła się konferencja jednej z największych polskich firm informatycznych, dotycząca wykorzystania nowych technologii w bankowości – w tym roku tematem było bezpieczeństwo
  • najczęściej dane kradnie się w małych punktach usługowych, w agencjach banków i w punktach terenowych firm pożyczkowych
  • wiele danych takich jak imię, nazwisko, PESEL, miejsce zamieszkania, lub też miejsce urodzenia znajdują się w wielu różnych rejestrach i czasem mają jawny charakter
  • sami często też ujawniamy informacje o sobie – przykładem użytkowniczka Facebooka, która pochwaliła się nowo uzyskanym prawem jazdy, publikując jego skan
  • kolejny przykład to nieroztropne korzystanie z serwisów internetowych – np. zmniejszacz.pl, do którego przesyła się zdjęcia i można w nim dowolnie zmniejszyć ich rozmiar, osoba z agencji banku używała go do pomniejszania skanów dowodów osobistych
  • login i hasło najczęściej pozyskiwane są przez przestępców poprzez ich podanie przez ich właściciela, np. wykorzystując tzw. phishing w listach wysyłanych pocztą elektroniczną
  • szacuje się, że od 2013 roku z baz danych wyciekło 14,7 mld rekordów.

Źródło: https://alebank.pl/kto-i-jak-kradnie-nasze-dane-osobowe/?fbclid=IwAR0MjCoRnFLrhXITC9KcjIK8usjAeJN3TS_faEMV5KIKtj0x5mACbJ3njb4

250 EUR za dane o stanie zdrowia

  • Holenderska Pracownicza Agencja Ubezpieczeń (UWV) musi wypłacić 250 EUR odszkodowania pracownikowi, którego dane osobowe zostały przypadkowo wysłane do jego nowego pracodawcy
  • wyrok w tej sprawie wydał Sąd Rejonowy w Amsterdamie
  • UWV przez pomyłkę wysłała pracodawcy list, w którym ujawniła, że jego nowy pracownik przez dłuży okres był niezdolny do pracy w wyniku wypalenia zawodowego
  • pracownik domagał się odszkodowania w wysokości 500 EUR, aby zrekompensować fakt, że istniała duża niepewność w okresie od momentu ujawnienia danych do momentu, w którym pracodawca zdecydował się ostatecznie przedłużyć z nim umowę – istniało bowiem ryzyko, że tego nie zrobi z uwagi na informacje jakie otrzymał od UWV
  • fakt, że ryzyko to ostatecznie się nie zmaterializowało, spowodował, że sąd uznał szkodę za ograniczoną
  • jest to jeden z pierwszych wyroków dotyczących roszczeń odszkodowawczych wynikających z naruszenia RODO w kontekście prawa pracy

Źródło: https://www.arbeitsrecht-weltweit.de/2019/10/11/netherlands-employee-awarded-damages-for-breach-of-the-gdpr/

ZUS ostrzega przed oszustami

  • uaktywnili się oszuści podszywający się pod Zakład Ubezpieczeń Społecznych – ZUS apeluje do klientów o szczególną ostrożność przy otwieraniu maili i odpowiadaniu na nie
  • w ostatnim tygodniu liczna grupa klientów ZUS w różnych częściach kraju otrzymała maile z informacją o pilnej konieczności spłaty zaległości składkowych
  • oszuści posługują się dwoma adresami: skł i .
  • rzecznik ZUS zwraca uwagę, że kontakt elektroniczny ze strony Zakładu jest możliwy jedynie w sytuacji, gdy klient posiada profil na Platformie Usług Elektronicznych i wyraził zgodę na taką formę kontaktu
  • pozostałych klientów ZUS nie informuje drogą mailową o zaległościach
  • otworzenie załącznika z maila oznacza zainfekowanie komputera co może prowadzić do wykradzenia haseł np. do bankowości elektronicznej

Źródło: https://radioszczecin.pl/6,395779,zus-ostrzega-przed-oszustami&s=1&si=1&sp=1

NSA o ochronie danych osobowych właścicieli lokali we wspólnocie mieszkaniowej

  • NSA orzekał w sprawie ochrony danych osobowych właścicieli lokali we wspólnocie mieszkaniowej
  • dostępu do nich żądała jedna z właścicielek mieszkań, która chciała wiedzieć, kto nie płaci, oraz poznać rozliczenie kosztów dostawy mediów
  • Zarząd nie chciał udostępnić żądanych danych, zainteresowana złożyła skargę do GIODO (obecnie UODO), który podzielił stanowisko Zarządu
  • sprawa znalazła się w WSA w Warszawie, który oddalił skargę na decyzję GIODO
  • ostatecznie sprawa trafiła do NSA, który uchylił wyrok i przekazał sprawę do ponownego rozpoznania
  • nieudostępnianie danych to masowy problem we wspólnocie – zarząd odmawia wglądu właścicielom do dokumentów, a ostatnio modną wymówką stało się RODO
  • prawnicy nie mają jednak wątpliwości, że RODO nie blokuje dostępu do danych we wspólnocie

Źródło: https://www.rp.pl/Nieruchomosci/310159910-Ochrona-danych-osobowych-wlascicieli-lokali-we-wspolnocie-mieszkaniowej—wyrok-NSA.html

Apple wyjaśnia, dlaczego wysyła dane Chińczykom

  • Apple wydało oświadczenie w sprawie informacji o tym, że przeglądarka Safari udostępnia dane użytkowników firmie powiązanej z chińskim rządem – chodziło o IP oraz historię przeglądanych stron
  • zgodnie z zapisami Polityki Prywatności przeglądarki Safari w nowych wersjach systemu iOS, aplikacje może wysłać dane witryny do serwerów Google’a oraz firmy Tencent (chińskiej firmy mającej powiązania z tamtejszym rządem)
  • Apple tłumaczy, że Safari sprawdza adres URL witryny pod kątem listy znanych witryn i wyświetla ostrzeżenie, jeśli adres odwiedzany przez użytkownika jest podejrzany o nieuczciwe zachowanie, takie jak phishing
  • aby wykonać to zadanie, Safari otrzymuje od Google listę stron internetowych znanych jako złośliwe, a dla urządzeń z kodem regionu ustawionym na Chiny kontynentalne – listę od Tencent
  • rzeczywisty adres URL odwiedzanej witryny nigdy nie jest udostępniany dostawcy bezpiecznego przeglądania, a funkcję tę można wyłączyć
  • ponadto, w bazie Tencent sprawdzane są tylko strony otwierane przez mieszkańców Chin

Źródło: https://www.telepolis.pl/wiadomosci/aplikacje-i-rozrywka/apple-nie-wysyla-danych-uzytkownikow-do-chin

Nowe wytyczne EROD

  • Europejska Rada Ochrony Danych opublikowała przyjęte po publicznych konsultacjach wytyczne w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) RODO (wykonanie umowy) w kontekście usług internetowych, w których wskazuje m.in.:
    • aby skorzystać z tej podstawy prawnej, administratorzy muszą być w stanie wykazać, że zarówno) przetwarzanie odbywa się w kontekście ważnej umowy z osobą, której dane dotyczą, oraz przetwarzanie jest obiektywnie konieczne, aby można wykonać określoną umowę z osobą, której dane dotyczą
    • ta podstawa prawna może mieć zastosowanie do niektórych działań, które można racjonalnie przewidzieć i są konieczne w ramach normalnego stosunku umownego, takie jak wysyłanie przypomnień o zaległych płatnościach lub korygowanie błędów lub opóźnień w realizacji umowy
    • przechowywanie niektórych danych przez określony czas po sfinalizowaniu wymiany towarów / usług / płatności do celów gwarancji może być konieczne do wykonania umowy
    • na tej podstawie prawnej może następować zwrot towaru lub płatność po zakończeniu umowy
    • przetwarzanie danych dla celów reklam behawioralnych nie jest konieczne dla wykonania umowy

Źródło: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en

Aplikacje mobilne muszą uwzględniać ochronę danych

  • UODO wskazuje, że przepisy określające wymagania dla aplikacji mobilnych muszą precyzyjnie wskazywać, jakie dane osobowe będą w niej przetwarzane oraz kto i na jakich zasadach uzyska do nich dostęp
  • aplikacja mobilna służąca do rozliczeń przejazdów realizowanych w usługach przewozowych i taksówkowych ma pozwolić na kontrolę danych związanych z przejazdami – to jedno z rozwiązań przewidzianych w projekcie rozporządzenia Ministra Cyfryzacji w sprawie aplikacji mobilnej służącej do rozliczania opłaty za przewóz osób
  • Prezes UODO kwestionuje to rozwiązanie wskazując m.in., że projektowana regulacja nie określa ani kręgu uprawnionych podmiotów, które będą miały dostęp do tych danych, ani zakresu tych danych
  • „Daje to nieokreślonej kategorii podmiotów (w tym służbom i inspekcjom) uprawnienie do dostępu do bardzo szczegółowych informacji o osobie korzystającej z usługi przewozowej” – wskazuje Prezes UODO w piśmie do Ministra Cyfryzacji
  • Prezes UODO zwraca też uwagę, że wprowadzenie rozwiązań silnie ingerujących w prywatność, powinno być poprzedzone oceną skutków dla ochrony danych – w tym przypadku projektodawca tego nie zrobił

Źródło: https://uodo.gov.pl/pl/138/1232

Urzędy będą przypominać obywatelom m.in. o terminach

  • Sejm przyjął zaproponiwane przez Ministerstwo Cyfryzacji zmiany w ustawie o informatyzacji, które uwzględniają m.in. powstanie Rejestru Danych Kontaktowych, w którym gromadzone będą dane kontaktowe obywateli (imię i nazwisko, PESEL, adres e–mail lub numer telefonu).
  • podstawowym celem RDK umożliwienie bezpośredniego kontaktu administracji z obywatelem, który zostanie powiadomiony telefonicznie lub za pośrednictwem poczty elektronicznej o stanie prowadzonej sprawy – w tym np. o niedotrzymaniu terminów – czy też o upływie ważności dokumentów
  • dostęp do danych będą miały wskazane enumeratywnie w ustawie instytucje i organy – wśród nich wskazuje się m.in. organy gmin, NFZ, organy wyborcze, czy urzędy skarbowe, ale także Polski Czerwony Krzyż
  • rejestr będzie wchodził w skład Systemu Rejestrów Państwowych
  • dane nie będą pojawiały się znikąd – każdy obywatel, który będzie chciał, aby jego dane znalazły się w bazie, będzie musiał sam wpisać je do rejestru, również wykorzystywanie rejestru do kontaktu z obywatelem będzie wymagało jego zgody

Źródło: https://bezprawnik.pl/urzedy-beda-przypominac/     https://www.gov.pl/web/cyfryzacja/urzad-dzwoni-do-obywatela–sejm-przyjal-nasze-propozycje

ETPC: ukryte monitorowanie pracowników czasem dopuszczalne

  • uzasadnione podejrzenie poważnych uchybień pracowniczych oraz ryzyko dużych strat firmy w pewnych sytuacjach może usprawiedliwiać stosowanie ukrytego nadzoru za pomocą kamer wideo. Nie narusza to prawa do prywatności ani sprawiedliwego procesu – tak uznała Wielka Izba Europejskiego Trybunału Praw Człowieka w Strasburgu
  • sprawa, która trafiła do ETPC, dotyczyła pracowników supermarketu w Hiszpanii – po odnotowaniu strat (w okresie pięciu miesięcy) i zauważeniu manka w zapasach kierownik supermarketu zainstalował w placówce zarówno widoczne, jak i ukryte kamery i w ten sposób ujawnił przypadki kradzieży towarów przez pracowników
  • czternaście osób zwolniono dyscyplinarnie – część osób odwołało się do hiszpańskiego sądu pracy, gdyż uznali, że zwolnienie nie było dopuszczalne, bo pracodawca wykorzystał nagrania z ukrytego monitoringu, który naruszył ich prywatność
  • w obu instancjach sędziowie przyznali jednak rację pracodawcy, a sprawa trafiła do ETPC
  • ETPC wskazał, że należy wyważyć prawo pracownika do ochrony prywatności oraz interes pracodawcy, który może chronić swój majątek i dbać o prawidłowe prowadzenie działalności i przypomniał, że zatrudnieni pracowali w przestrzeni publicznej (dostęp do niej mają klienci), więc ich prawo do prywatności było w tym zakresie znacznie bardziej ograniczone niż w przypadku takich pomieszczeń jak np. firmowe toalety lub szatnie

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1435861,ukryte-monitorowanie-pracownikow-czasem-dopuszczalne.html

Zgody rodzica łatwo można obejść

  • w okresie przygotowań do RODO nowy obowiązek, czyli konieczność uzyskiwania zgód rodziców na przetwarzanie danych osób nieletnich, budził spore obawy branży internetowej – dzisiaj, po kilkunastu miesiącach stosowania RODO, okazuje się, że przepis ten w praktyce jest martwy
  • RODO wymaga uzyskiwania zgody rodzica wyłącznie w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku – wbrew powszechnemu przekonaniu założenie konta w serwisie czy zainstalowanie aplikacji na smartfonie wcale nie musi pod niego podpadać
  • zgoda rodzica jest wymagana tylko tam, gdzie przetwarzanie opiera się na zgodzie – jeżeli jest np. niezbędne do realizacji umowy, to można oprzeć przetwarzanie o niezbędność do wykonania umowy, a wtedy nawet 13-letnie dziecko może zaakceptować regulamin i korzystać z danego serwisu czy aplikacji
  • jeśli jednak przetwarzanie danych nie jest niezbędne do realizacji usługi, to zgoda jest już wymagana – chodzi np. o marketing czy newslettery
  • większość ekspertów jest zwolennikami poglądu, że ten przepis RODO należy stosować wyjątkowo rzadko – chodzi wyłącznie o usługi online, które nie tylko oferowane są wprost dzieciom, ale też których dzieci są przeważającymi odbiorcami, dlatego też np. księgarnia internetowa nie musi pytać o zgodę rodziców na wysyłanie e-maili z nowościami książkowymi, nawet jeśli odbiorcami tej wiadomości mogą być też dzieci
  • z tym poglądem nie zgadza się była Prezes UODO Edyta Bielak-Joamma, gdyż jej zdaniem przepis należy interpretować szerzej – chodzi o każdą usługę skierowaną do dzieci i nie ma znaczenia, czy ze strony internetowej lub aplikacji mogą korzystać dorośli ani kto jest głównym odbiorcą

Źródło: https://prawo.gazetaprawna.pl/artykuly/1436054,rodo-serwsy-internetowe-aplikacje-dzieci.html

Umowy UE z Microsoftem niezgodne z RODO?

  • możliwe, że umowy, które zawarł Microsoft z unijnymi instytucjami, są niezgodne z RODO – tak wynika ze wstępnych ustaleń dochodzenia Europejskiego Inspektora Ochrony Danych (EIOD)
  • dochodzenie w tej sprawie wszczęto w kwietniu – miało ono sprawdzić, czy warunki umów między amerykańską firmą i instytucjami UE dotyczące przetwarzania danych osobowych są “w pełni zgodne” z zapisami RODO, które weszły w życie w ubiegłym roku
  • śledztwo nadal trwa, ale już wstępne wyniki wywołują poważne obawy – EIOD poinformował, że chodzi o zgodność badanych zapisów kontraktowych z zasadami ochrony danych oraz rolę, jaką firma Microsoft pełni jako podmiot przetwarzający dane instytucji UE, korzystających z produktów i usług tej firmy
  • EIOD w ramach dochodzenia współpracował m.in. z holenderskim ministerstwem sprawiedliwości, które w czerwcowej ocenie ryzyka wskazało, że urzędy państwowe w wielu krajach członkowskich mogą mieć do czynienia z podobnymi zapisami w umowach
  • oba urzędy stworzyły forum, które ma ustalić zasady kontraktów z instytucjami publicznymi

Źródło: https://businessinsider.com.pl/technologie/nowe-technologie/umowy-microsoftu-z-ue-rodo/k9v1qq9

RPO: liczenie uśmiechów pracowników PKO wkracza ich prywatność i godność

  • w wybranych oddziałach banku PKO BP zamontowano urządzenia monitorujące, czy pracownicy obsługujący klientów są uśmiechnięci, obserwowane są także uśmiechy ich klientów – w badaniach, dobrowolnie i na swój wniosek, bierze udział stu doradców
  • bank tłumaczy, że nie ma przy tym żadnych norm uśmiechów do wykonania, brak uśmiechów nie ma też żadnych konsekwencji dla pracowników, a każdy uśmiech klienta oznacza drobną kwotę przeznaczoną na lokalny cel charytatywny
  • mimo to RPO skierował w tej sprawie pismo do Głównego Inspektora Pracy – w jego ocenie, na tę ciągłą obserwację i nagradzanie pracownika za uśmiech trzeba popatrzeć z perspektywy prawa do prywatności i godności jednostki, to szczególnie istotne, jeśli uznamy ten system za zakładający zmianę naturalnych cech i zachowań pracownika
  • zgodnie art. 22(2) Kodeksu pracy korzystanie przez pracodawcę z monitoringu jest dopuszczalne, gdy jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę – zdaniem RPO przepis ten nie przewiduje celów, dla których monitoring został wprowadzony w omawianym przypadku
  • RPO wskazuje również, że dane przetwarzane w banku PKO BP należy uznać za dane objęte szczególną ochroną (stanowią dane biometryczne), a pobierana zgoda nie może stanowić podstawy ich przetwarzania

Źródło: https://www.rp.pl/Kadry/310219961-RPO-liczenie-usmiechow-pracownikow-PKO-wkracza-ich-prywatnosc-i-godnosc.html

Prawo do informacji nie daje prawa do uzyskania kopii dokumentów

  • bawarski organ ochrony danych osobowych odpowiedział na pytanie: Czy prawo do informacji na podstawie art. 15 RODO obejmuje również prawo do kopii dokumentów, korespondencji lub wiadomości e-mail?
  • zdaniem organu art. 15 RODO nie daje prawa do (kserokopii) kopii dokumentów, korespondencji lub wiadomości e-mail, gdyż zgodnie z jasnym brzmieniem, podmiot danych ma jedynie prawo do informacji o danych osobowych zawartych w tych tekstach
  • przedmiotowe prawo (art. 15 ust. 3 RODO) winno przybrać formę informacji o danych osobowych ujawnionych w treści wskazanych dokumentów (jako stosownego komunikatu)

Źródło: https://www.lda.bayern.de/de/faq.html

Pozyskiwanie danych na potrzeby statystyki musi być zgodne z ochroną danych osobowych

  • do Prezesa UODO w ostatnim czasie wpływają liczne sygnały od przedstawicieli sektora publicznego, jak i prywatnego w związku z wątpliwościami pojawiającymi się w procesie pozyskiwania danych osobowych na potrzeby programu badań statystycznych statystyki publicznej na rok 2019, prowadzonego przez Główny Urząd Statystyczny (GUS)
  • w przypadku instytucji publicznych, pytania dotyczą tego, czy mogą one pozyskiwać na rzecz GUS dane od jednostek im podległych – o ile zrozumiałe jest, że GUS może realizować swoje uprawnienia, wnioskując bezpośrednio do tych jednostek, to w ocenie Prezesa UODO do organów gmin nie powinno być kierowane żądanie, by to one pozyskały te dane z jednostek im podległych
  • organy gminy nie są organami statystyki publicznej i zdaniem Prezesa Urzędu nie mogą pełnić roli instytucji pośredniczącej
  • w przypadku podmiotów z sektora prywatnego podnoszone jest m.in. to, że nie zawsze znajdują się w posiadaniu wnioskowanych przez GUS danych oraz z przepisów prawa nie wynika, aby miały prawo do ich pozyskania i dalszego przetwarzania
  • Prezes UODO skierował wystąpienie do Prezesa GUS, w którym podzielił się swoimi spostrzeżeniami – podkreślił w nim, że ważne jest m.in. to, by wniosek o przekazanie danych był skierowany do podmiotów, które są ich administratorami i by istniała podstawa uprawniająca do żądania udostępnienia danych

Źródło: https://uodo.gov.pl/pl/138/1233

Niemiecki taryfikator łaskawszy dla Bisnode

  • problemów z wyliczaniem wysokości kar nie ma już w Holandii i nie będzie w Niemczech – opracowano tam taryfikatory
  • holenderski taryfikator składa się z dwóch elementów: stawek i kategorii naruszeń – poszczególnym przepisom RODO przypisano kategorie – od I do IV, a także wydzielono w sumie cztery pułapy kar, które można maksymalnie nałożyć za ich naruszenie
  • w Holandii wiadomo za złamanie, których przepisów grozi najwyższa kara – przykładowo jako naruszenie najpoważniejsze uznano brak poinformowania organu o naruszeniu, z kolei do pierwszej kategorii zaliczono nie wyznaczenia inspektora ochrony danych
  • w Niemczech w projekcie taryfikatora uwzględniono cztery kategorie przedsiębiorców w zależności od wysokość rocznego obrotu: mikroprzedsiębiorstwa, małe, średnie i duże przedsiębiorstwa, a w każdej z kategorii wyróżniono dodatkowo podkategorie, a także wyliczono średni obrót dla danej kategorii i tzw. stawkę dzienną
  • niemieckie organy podzieliły naruszenia RODO również na cztery kategorie: lekkie, średnie, poważne i bardzo poważne i przypisały im mnożniki od 1 do 12, zależnie od tego, czy dane naruszenie podlega pod niższą karę czy wyższą karę z RODO, dodatkowo bierze się pod uwagę 11 czynników, m.in. umyślność naruszenia, stopień współpracy z urzędem, czy też nawet potencjalną niewypłacalność przedsiębiorcy
  • nie biorąc pod uwagę dodatkowych czynników eksperci oszacowali, że przy kursie 4,3 zł morele.net mogłoby zapłacić w Niemczech średnio ok. 3 mln euro kary (kara nałożona przez UODO to 660 tys. euro), a Bisnode 100 tys. euro (kara nałożona przez UODO to 220 tys. euro)

Źródło: https://www.prawo.pl/biznes/taryfikator-za-naruszenie-rodo,493038.html

Maszyniści odmawiali potwierdzenia rozkazów dyżurnych - bo RODO

  • dyżurni ruchu są zaniepokojeni powtarzającymi się incydentami niewypełnienia procedur przez niektórych maszynistów – prowadzący pociągi nie chcieli potwierdzić przyjęcia rozkazów od dyżurnych ruchu swoim nazwiskiem, zasłaniając się przepisami o ochronie danych osobowych (RODO)
  • Związek Zawodowy Dyżurnych Ruchu przesłał do wiceprezesa PKP PLK pismo z prośbą o pilną interwencję – jak pisze, problem polega na tym, że „po podyktowaniu drogą radiową rozkazu pisemnego niektórzy maszyniści odmawiają podawania swojego nazwiska przy potwierdzeniu odebrania rozkazu, bezpodstawnie powołując się na przepisy RODO”
  • to w oczywisty sposób narusza przepisy kolejowe, w tym obowiązującą przewoźników instrukcję IR 1
  • instrukcja IR 1 jest obowiązującym dokumentem, a w nim znajduje się zapis, że dyżurny ruchu wpisuje nazwisko pracownika, któremu treść rozkazu pisemnego przekazał, a odbierający nazwisko dyżurnego ruchu

Źródło: https://www.rynek-kolejowy.pl/wiadomosci/maszynisci-odmawiali-potwierdzenia-rozkazow-dyzurnych-bo-rodo-94100.html

Nielegalna inwigilacja w PIP

  • Państwowa Inspekcja Pracy wykorzystała ustawowe kompetencje do sprawdzenia PIT swojego pracownika – UODO uznał, że złamała ustawę o ochronie danych osobowych i RODO
  • PIP chciała sprawdzić, jakie dochody (poza pensją) otrzymuje jeden z inspektorów
  • PIP może współpracować m.in. z urzędami skarbowymi, więc poprosiła o dane zawarte w deklaracjach PIT-37 pracownika
  • pracownik złożył skargę do UODO na działanie swojego pracodawcy
  • Prezes UODO nakazał inspekcji usunięcie danych z PIT byłego już inspektora pracy (został zwolniony 27 października 2017 r.) – jego zdaniem PIP naruszyła nie tylko ustawę o ochronie danych osobowych, ale też RODO, gdyż nie miała prawa wykorzystywać swojej ustawowej kompetencji do weryfikowania dochodów pracownika
  • PIP może pozyskiwać informacje z PIT, ale tylko wtedy, gdy służy to kontroli pracodawców nadzorowanych przez inspekcję
  • zdaniem Głównego Inspektora Pracy decyzja Prezesa UODO zostanie zaskarżona, gdyż jest niesłuszna – Nie naruszyliśmy żadnych przepisów i nie wykorzystywaliśmy pozyskanych danych do zwolnienia pracownika

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1436467,pip-rodo-uodo-pit-zarobki-pracownika-nielegalna-kontrola.html

MEN pyta uczniów o religijność i sprawy rodzinne

  • dzieci są pytane w szkolnych ankietach o sytuację rodzinną i udział w nabożeństwach
  • o ankietach, które dostali w szkołach uczniowie i ich rodzice w woj. małopolskim i lubuskim donosiły we wrześniu media – pytania dotyczyły sytuacji rodzinnej (Czy rodzice są rozwiedzeni? Czy masz ojczyma/macochę?), a także religijności (Jak często chodzisz do kościoła? Czy należysz do oazy?)
  • ankietę przygotowało Ministerstwo Edukacji Narodowej – na potrzeby dorocznej diagnozy potrzeb rozwojowych uczniów, w tym czynników chroniących i czynników ryzyka koniecznej dla opracowania programu wychowawczo-profilaktycznego
  • ankiety miały być anonimowe, ale we wstępie do ankiety zaznaczono, że w najmłodsze dzieci w podstawówkach powinny wypełniać ją razem z nauczycielem
  • wielu pedagogów i przedstawicieli ZNP wyraziło swoje oburzenie pytaniami w ankiecie MEN – nie podobają się one także RPO
  • RPO zwrócił się do ministra edukacji o uzasadnienie przeprowadzania tych ankiet w szkołach, zwłaszcza co do zakresu uzyskiwania danych dotyczących praktyk religijnych oraz wrażliwych danych o sytuacji rodzinnej

Źródło: https://www.rp.pl/Edukacja-i-wychowanie/310239953-MEN-pyta-uczniow-o-religijnosc-i-sprawy-rodzinne-Co-z-ochrona-prywatnosci.html

Postępy w funkcjonowaniu Tarczy Prywatności UE–USA

  • Komisja Europejska opublikowała sprawozdanie na temat trzeciego corocznego przeglądu funkcjonowania Tarczy Prywatności UE–USA
  • w sprawozdaniu potwierdzono, że USA w dalszym ciągu zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych w ramach Tarczy Prywatności przez podmioty z UE certyfikowanym przedsiębiorstwom w USA – obecnie w programie ochrony danych między UE a USA uczestniczy około 5 tys. przedsiębiorstw
  • w przeglądzie odnotowano między innymi, że Departament Handlu USA zapewnia niezbędny nadzór w sposób bardziej systematyczny, na przykład poprzez comiesięczne wyrywkowe kontrole przedsiębiorstw pod kątem przestrzegania przez nie zasad Tarczy Prywatności
  • coraz więcej osób fizycznych korzysta z praw przysługujących im w ramach Tarczy Prywatności, a odpowiednie mechanizmy dochodzenia roszczeń prawidłowo funkcjonują
  • oprócz mianowania stałego Rzecznika ds. Tarczy Prywatności wypełniono dwa ostatnie wakaty w Radzie Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, dzięki czemu Rada po raz pierwszy od 2016 r. została w pełni obsadzona
  • Komisja zaleca jednak podjęcie pewnych konkretnych kroków, aby zapewnić skuteczniejsze funkcjonowanie Tarczy Prywatności w praktyce, chodzi m.in. o dalsze wzmocnienie procesu (ponownej) certyfikacji przedsiębiorstw, rozszerzenie kontroli zgodności, w tym dotyczących fałszywych oświadczeń o uczestnictwie w programie

Źródło:  https://www.euractiv.pl/section/polityka-zagraniczna-ue/press_release/postepy-w-funkcjonowaniu-tarczy-prywatnosci-ue-usa/

PESEL w punktach sprzedaży węgla

  • infolinia UODO odbiera dużo sygnałów od osób kupujących obecnie węgiel i zaniepokojonych zakresem danych, które przy tej okazji są od nich wymagane
  • obecnie kupując węgiel do celów opałowych w gospodarstwach domowych, sprzedawca musi pozyskać dane osoby, która do takich celów nabywa węgiel – wymagają tego przepisy ustawy o podatku akcyzowym, które obowiązują od 1 stycznia 2019 rok
  • regulacje te nałożyły na sprzedawców węgla obowiązek odebrania od nabywcy oświadczenia zawierającego: ilość i przeznaczenie węgla , imię i nazwisko, adres zamieszkania, numer dowodu osobistego lub nazwę i numer innego dokumentu stwierdzającego tożsamość oraz PESEL.
  • przyjęte rozwiązania prawne prowadzące do pozyskiwania tak szerokiego zakresu danych osobowych, budzą wątpliwości Prezesa UODO dlatego też zwrócił się on do ustawodawcy z wnioskiem o podjęcie prac legislacyjnych i zmianę przepisów o podatku akcyzowym
  • Ministerstwo Finansów, po zapoznaniu się z argumentami Prezesa UODO, postanowiło ograniczyć zakres danych i w projektowanych regulacjach zaproponowało odstąpienie od wymogu podania numeru dowodu osobistego lub nazwy i numeru innego dokumentu stwierdzającego tożsamość
  • pozostawiono jednak wymóg podania numeru PESEL, który pozwoli organom podatkowym, przy ewentualnej kontroli, na właściwą identyfikację osób składających oświadczenie w zakresie wyrobów węglowych

Źródło:  https://uodo.gov.pl/pl/138/1236

Inteligentne opaski dla seniorów

  • coraz więcej miast testuje urządzenia monitorujące funkcje życiowe seniorów
  • urządzenia gromadzą dane medyczne (np. z pulsometru czy akcelerometru wykrywającego upadki), lokalizacyjne (GPS), a niektóre umożliwiają także szybki kontakt ze służbami medycznymi bądź inną instytucją
  • część miast testujących inteligentne opaski zleca to zadanie podmiotom zewnętrznym – wyspecjalizowane firmy prywatne często dysponują bardziej zaawansowaną technologią i większym doświadczeniem niż samorządy
  • firmy te muszą jednak wykazać – np. na etapie postępowania przetargowego – że korzystają z takich mechanizmów, które zapewniają dostateczny poziom bezpieczeństwa danych
  • seniorzy są jednak nieufni wobec nowej technologii – by ich do niej przekonać, należy najpierw dokładnie sprawdzić, jak dane uczestników programu będą przetwarzane, i dopełnić obowiązków informacyjnych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1437432,opaski-monitorujace-funkcje-zyciowe-a-rodo.html

Prezydent RP będzie mógł ratyfikować Konwencję 108+

  • polski parlament uchwalił ustawę zezwalającej Prezydentowi RP na ratyfikację Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego 10 października 2018 r. w Strasburgu – Protokół wprowadza tzw. Konwencję 108+
  • ustawa czeka na podpis Prezydenta RP, a wejdzie w życie po upływie 14 dni od dnia ogłoszenia, a na jej podstawie Prezydent RP będzie mógł oficjalnie ratyfikować Protokół – Polska może być pierwszym państwem, które ratyfikuje Protokół
  • Konwencja 108 Rady Europy została przyjęta 28 stycznia 1981 r. i jest jedynym wiążącym traktatem międzynarodowym, gwarantującym prawo osób fizycznych do ochrony ich danych osobowych
  • Protokół dostosowuje Konwencję 108 do aktualnych wyzwań związanych z rozwojem technologii komunikacyjno-informacyjnych oraz zapewnia spójność przyjętego przez Radę Europy standardu ochrony danych osobowych z regulacjami obowiązującymi w Unii Europejskiej
  • Protokół wprowadza także mechanizm zapewniający efektywne monitorowanie wdrożenia w poszczególnych państwach postanowień Konwencji 108+

Źródło: https://uodo.gov.pl/pl/138/1237

Weryfikacja wieku za pomocą skanu twarzy

  • australijski Departament Spraw Wewnętrznych chce wykorzystać rozpoznawanie twarzy jako formę weryfikacji wieku na stronach dla dorosłych
  • ma to zagwarantować, że żaden nieletni nie będzie ani oglądał pornografii, ani grał w wirtualnych kasynach
  • Identity Matching Services to zestaw usług, nad którymi pracuje od dawna australijski rząd – w założeniu mają one pomóc w weryfikacji czyjejś tożsamości i łapaniu przestępców na podstawie ich wizerunku
  • w ramach usług ma działać między innymi Document Verification Service (DVS) i Face Verification Service (FVC).
  • DVS pozwala na sprawdzenie, czy informacje z dokumentu tożsamości pokrywają się z oryginalnymi danymi posiadanymi przez państwo, a FVC porównuje dostarczone przez użytkownika zdjęcie z tym z państwowej bazy i potwierdza lub podaje w wątpliwość tożsamość osoby nim przedstawionej
  • pomysł ten spotkał się z ostrą krytyką

Źródło: https://www.spidersweb.pl/2019/10/australia-rozpoznawanie-twarzy-pornografia.html

WhatsApp pozywa producenta systemu Pegasus

  • Władze internetowego komunikatora WhatsApp pozwały izraelską firmę NSO Group i oskarżyły ją o pomoc cyberszpiegom we włamaniu się do telefonów około 1400 użytkowników na czterech kontynentach
  • NSO Group jest producentem systemu Pegasus umożliwiającego masową inwigilację telefonów i komputerów
  • zdaniem WhatsAppa izraelska firma miała uczestniczyć w akcji hakerskiej wymierzonej w dyplomatów, dysydentów politycznych, dziennikarzy i wyższych urzędników rządowych
  • w pozwie złożonym w sądzie federalnym w San Francisco WhatsApp oskarżył NSO o ułatwianie ataków hakerskich rządowym szpiegom w dwudziestu krajach
  • jedynymi do tej pory zidentyfikowanymi państwami, w których miało – zdaniem firmy – dojść do ataków, są Meksyk, Zjednoczone Emiraty Arabskie oraz Bahraj

Źródło: https://www.tvn24.pl/whatsapp-pozywa-producenta-systemu-pegasus-umozliwiajacemu-masowa-inwigilacje,981869,s.html

Kodeks RODO dla branży badawczej

  • branża badawcza dostrzegła potrzebę wsparcia badaczy w wypracowaniu wspólnych, dopuszczalnych praktyk przetwarzania i ochrony danych respondentów
  • związek pracodawców Organizacja Firm Badania Opinii i Rynku wraz z Kancelarią Osiej i Partnerzy oraz Omni Modo opracowały Kodeks RODO dla branży badawczej
  • trwają konsultacje społeczne projektu Kodeksu RODO dla branży badawczej – uwagi należy nadsyłać do 31 grudnia 2019 roku, na adres:
  • projekt Kodeksu dostępny jest pod linkiem: https://gdpr.pl/pierwszy-w-polsce-kodeks-rodo-dla-branzy-badawczej

Jak korzystać ze służbowej skrzynki mailowej

  • pracownicy korzystający ze służbowej skrzynki e-mail przede wszystkim powinni pamiętać o tym, że ich poczta elektroniczna może być monitorowana przez pracodawcę
  • co prawda pracodawca nie ma prawa stosowania monitoringu w sposób dowolny, niemniej jednak, w pewnych okolicznościach zezwalają mu na to przepisy
  • co do zasady wprowadzenie monitoringu poczty elektronicznej powinno zostać poprzedzone spełnieniem przez pracodawcę wymagań wynikających z kodeksu pracy
  • monitoring korespondencji elektronicznej powinien również być realizowany w sposób, który nie spowoduje naruszenia dóbr osobistych pracownika – należy jednak wspomnieć, że interes pracodawcy w stosowaniu również ukrytego monitoringu może mieć charakter nadrzędny w przypadku popełniania przez pracownika czynów na szkodę pracodawcy, w tym przestępstw, co wynika z wyroku Europejskiego Trybunału Praw Człowieka (wyrok z dnia 17.10.2019 r. López Ribald vs. Królestwo Hiszpanii)

Źródło: https://prawo.gazetaprawna.pl/artykuly/1437865,rodo-jak-korzystac-ze-sluzbowej-skrzynki-mailowej.html

RODO: PIT-y za 2019 rok będą wysłane zatrudnionym na różne adresy

  • od 4 maja 2019 r. w kodeksie pracy zmieniono zakres danych osobowych, jakich można żądać od kandydata do pracy oraz pracownika – z treści art. 22 1 par. 3 KP określającego dane, których można żądać od pracownika usunięto adres do korespondencji, a pozostawiono tylko adres zamieszkania
  • należy jednak mieć na uwadze, że niezależnie od powyższego pracodawca może posiadać adres do korespondencji pracownika dla innych celów – ubezpieczeniowych, np. związanych ze zgłoszeniem do ZUS, oraz do PPK
  • zgodnie jednak ze stanowiskiem Ministerstwa Rodziny, Pracy i Polityki Społecznej adresy inne niż zamieszkania nie powinny się znajdować w kwestionariuszu osobowym, a jedynie w dokumentach zgłoszeniowych wysyłanych do ZUS
  • Podawany w kwestionariuszu osobowym adres zamieszkania stał się więc (co do zasady) jedynym adresem, który można przetwarzać w celach związanych z zatrudnieniem i na niego powinna być wysyłana korespondencja do pracownika

Źródło: https://serwisy.gazetaprawna.pl/pit/artykuly/1437627,rodo-pit-za-2019-wysylane-zatrudnionym-na-rozne-adresy.html

Alexa powołana na świadka w sprawie morderstwa

  • w Hallandale na Florydzie czterdziestodwulatek zamordował swoją dziewczynę – policja postanowiła zażądać od Amazonu prawa do “przesłuchania” Alexy
  • mężczyzna zabił swoją ukochaną za pomocą włóczni – oskarżony jest on o morderstwo, jednak jego obrona twierdzi, że był to tragiczny wypadek
  • sprawę rozsądzić ma Alexa, która zachowała nagrania z rzekomej wcześniejszej kłótni pary
  • Amazon postanowił wydać żądane nagrania
  • rzecznik prasowy Amazonu Leigh Nakanishi zapewnia jednak, że klienci nie muszą się obawiać o prywatność ponieważ nagrania są kasowane już po krótkim okresie​​​​​, a to była sytuacja wyjątkowa

Źródło: https://www.telepolis.pl/wiadomosci/wydarzenia/alexa-powolana-na-swiadka-w-sprawie-morderstwa

Serwerownia pod wanną

  • emerytowi z Mińska Mazowieckiego pękła rura pod wanną – zorientował się on po chwili, zakręcił wodę w pionie oraz uprzątnął wyciek
  • po 2 miesiącach z kolei dostał z UPC wezwanie do zapłaty na 400 000 PLN
  • okazało się, że firma miała w lokalu piętro niżej serwerownię

Źródło:  https://niebezpiecznik.pl/post/upc-serwerownia-pod-wanna/?fbclid=IwAR2eZfdxbReQdXtNi-bRrAhMKVR-0LeIsYzZRjE6lNpayLz9-YGtMMbsTog

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 21.10.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 28.10.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 04.11.2019 Pobierz

Powiązane artykuły

rodo aktualności
RODO aktualności – 23.06.2020
rodo aktualności
RODO aktualności – 09.06.2020
rodo aktualności
RODO aktualności – 26.05.2020

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.