RODO aktualności – 05.11.2019

• dla przypomnienia – skargę złożył mieszkaniec Warszawy, który uznał, że parkomaty wymagające podania numeru rejestracyjnego naruszają jego prywatność. W ramach protestu mężczyzna wpisywał do urządzeń same litery X oraz cyfry , a gdy został ukarany, zaskarżył uchwałę Rady Miasta. WSA uznał, że rzeczywiście naruszała ona przepisy o ochronie danych osobowych, a NSA uchylił ten wyrok
• „NSA w składzie orzekającym podziela pierwszy z poglądów, że brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych”
• zdaniem NSA: „ numer rejestracyjny, ponieważ jest umieszczony na samochodzie, za zgodą właściciela pojazdu, sam w sobie jest ogólnie dostępny (…) Jednak nie oznacza to, że można go w sposób prosty powiązać z konkretną osobą. (…) często z tego samego pojazdu korzystają różne osoby. Powyższe niezbicie wskazuje, że nie jest możliwe, w sposób prosty i łatwy, powiązanie numeru rejestracyjnego pojazdu z konkretną osobą (…)”
• NSA prezentuje tzw. subiektywne podejście do oceny, czym są dane osobowe tj. te same informacje dla jednych mogą stanowić dane osobowe, a dla innych, którzy nie dysponują środkami do powiązania ich z konkretną osobą, już nie
• podejście obiektywne oznacza rozszerzającą interpretację, w którym wystarcza już nawet teoretyczna możliwość identyfikacji osoby – ten sposób rozumienia można odnaleźć w wyroku TSUE w sprawie C-582/14, gdzie uznano, że adres IP to dane osobowe, nawet jeśli administrator nie jest w stanie bezpośrednio połączyć go z konkretną osobą, ale dysponuje środkami prawnymi, które pozwalałyby na identyfikację

Źródło: https://prawo.gazetaprawna.pl/artykuly/1434746,wyrok-w-sprawie-parkomatow-pesel-ip.html

• jak co roku, w październiku, odbyła się konferencja jednej z największych polskich firm informatycznych, dotycząca wykorzystania nowych technologii w bankowości – w tym roku tematem było bezpieczeństwo
• najczęściej dane kradnie się w małych punktach usługowych, w agencjach banków i w punktach terenowych firm pożyczkowych
• wiele danych takich jak imię, nazwisko, PESEL, miejsce zamieszkania, lub też miejsce urodzenia znajdują się w wielu różnych rejestrach i czasem mają jawny charakter
• sami często też ujawniamy informacje o sobie – przykładem użytkowniczka Facebooka, która pochwaliła się nowo uzyskanym prawem jazdy, publikując jego skan
• kolejny przykład to nieroztropne korzystanie z serwisów internetowych – np. zmniejszacz.pl, do którego przesyła się zdjęcia i można w nim dowolnie zmniejszyć ich rozmiar, osoba z agencji banku używała go do pomniejszania skanów dowodów osobistych
• login i hasło najczęściej pozyskiwane są przez przestępców poprzez ich podanie przez ich właściciela, np. wykorzystując tzw. phishing w listach wysyłanych pocztą elektroniczną
• szacuje się, że od 2013 roku z baz danych wyciekło 14,7 mld rekordów.

Źródło: https://alebank.pl/kto-i-jak-kradnie-nasze-dane-osobowe/?fbclid=IwAR0MjCoRnFLrhXITC9KcjIK8usjAeJN3TS_faEMV5KIKtj0x5mACbJ3njb4

• Holenderska Pracownicza Agencja Ubezpieczeń (UWV) musi wypłacić 250 EUR odszkodowania pracownikowi, którego dane osobowe zostały przypadkowo wysłane do jego nowego pracodawcy
• wyrok w tej sprawie wydał Sąd Rejonowy w Amsterdamie
• UWV przez pomyłkę wysłała pracodawcy list, w którym ujawniła, że jego nowy pracownik przez dłuży okres był niezdolny do pracy w wyniku wypalenia zawodowego
• pracownik domagał się odszkodowania w wysokości 500 EUR, aby zrekompensować fakt, że istniała duża niepewność w okresie od momentu ujawnienia danych do momentu, w którym pracodawca zdecydował się ostatecznie przedłużyć z nim umowę – istniało bowiem ryzyko, że tego nie zrobi z uwagi na informacje jakie otrzymał od UWV
• fakt, że ryzyko to ostatecznie się nie zmaterializowało, spowodował, że sąd uznał szkodę za ograniczoną
• jest to jeden z pierwszych wyroków dotyczących roszczeń odszkodowawczych wynikających z naruszenia RODO w kontekście prawa pracy

Źródło: https://www.arbeitsrecht-weltweit.de/2019/10/11/netherlands-employee-awarded-damages-for-breach-of-the-gdpr/

• uaktywnili się oszuści podszywający się pod Zakład Ubezpieczeń Społecznych – ZUS apeluje do klientów o szczególną ostrożność przy otwieraniu maili i odpowiadaniu na nie
• w ostatnim tygodniu liczna grupa klientów ZUS w różnych częściach kraju otrzymała maile z informacją o pilnej konieczności spłaty zaległości składkowych
• oszuści posługują się dwoma adresami: skł i .
• rzecznik ZUS zwraca uwagę, że kontakt elektroniczny ze strony Zakładu jest możliwy jedynie w sytuacji, gdy klient posiada profil na Platformie Usług Elektronicznych i wyraził zgodę na taką formę kontaktu
• pozostałych klientów ZUS nie informuje drogą mailową o zaległościach
• otworzenie załącznika z maila oznacza zainfekowanie komputera co może prowadzić do wykradzenia haseł np. do bankowości elektronicznej

Źródło: https://radioszczecin.pl/6,395779,zus-ostrzega-przed-oszustami&s=1&si=1&sp=1

• NSA orzekał w sprawie ochrony danych osobowych właścicieli lokali we wspólnocie mieszkaniowej
• dostępu do nich żądała jedna z właścicielek mieszkań, która chciała wiedzieć, kto nie płaci, oraz poznać rozliczenie kosztów dostawy mediów
• Zarząd nie chciał udostępnić żądanych danych, zainteresowana złożyła skargę do GIODO (obecnie UODO), który podzielił stanowisko Zarządu
• sprawa znalazła się w WSA w Warszawie, który oddalił skargę na decyzję GIODO
• ostatecznie sprawa trafiła do NSA, który uchylił wyrok i przekazał sprawę do ponownego rozpoznania
• nieudostępnianie danych to masowy problem we wspólnocie – zarząd odmawia wglądu właścicielom do dokumentów, a ostatnio modną wymówką stało się RODO
• prawnicy nie mają jednak wątpliwości, że RODO nie blokuje dostępu do danych we wspólnocie

Źródło: https://www.rp.pl/Nieruchomosci/310159910-Ochrona-danych-osobowych-wlascicieli-lokali-we-wspolnocie-mieszkaniowej—wyrok-NSA.html

• Apple wydało oświadczenie w sprawie informacji o tym, że przeglądarka Safari udostępnia dane użytkowników firmie powiązanej z chińskim rządem – chodziło o IP oraz historię przeglądanych stron
• zgodnie z zapisami Polityki Prywatności przeglądarki Safari w nowych wersjach systemu iOS, aplikacje może wysłać dane witryny do serwerów Google’a oraz firmy Tencent (chińskiej firmy mającej powiązania z tamtejszym rządem)
• Apple tłumaczy, że Safari sprawdza adres URL witryny pod kątem listy znanych witryn i wyświetla ostrzeżenie, jeśli adres odwiedzany przez użytkownika jest podejrzany o nieuczciwe zachowanie, takie jak phishing
• aby wykonać to zadanie, Safari otrzymuje od Google listę stron internetowych znanych jako złośliwe, a dla urządzeń z kodem regionu ustawionym na Chiny kontynentalne – listę od Tencent
• rzeczywisty adres URL odwiedzanej witryny nigdy nie jest udostępniany dostawcy bezpiecznego przeglądania, a funkcję tę można wyłączyć
• ponadto, w bazie Tencent sprawdzane są tylko strony otwierane przez mieszkańców Chin

Źródło: https://www.telepolis.pl/wiadomosci/aplikacje-i-rozrywka/apple-nie-wysyla-danych-uzytkownikow-do-chin

• Europejska Rada Ochrony Danych opublikowała przyjęte po publicznych konsultacjach wytyczne w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) RODO (wykonanie umowy) w kontekście usług internetowych, w których wskazuje m.in.:
  • aby skorzystać z tej podstawy prawnej, administratorzy muszą być w stanie wykazać, że zarówno) przetwarzanie odbywa się w kontekście ważnej umowy z osobą, której dane dotyczą, oraz przetwarzanie jest obiektywnie konieczne, aby można wykonać określoną umowę z osobą, której dane dotyczą
  • ta podstawa prawna może mieć zastosowanie do niektórych działań, które można racjonalnie przewidzieć i są konieczne w ramach normalnego stosunku umownego, takie jak wysyłanie przypomnień o zaległych płatnościach lub korygowanie błędów lub opóźnień w realizacji umowy
  • przechowywanie niektórych danych przez określony czas po sfinalizowaniu wymiany towarów / usług / płatności do celów gwarancji może być konieczne do wykonania umowy
  • na tej podstawie prawnej może następować zwrot towaru lub płatność po zakończeniu umowy
  • przetwarzanie danych dla celów reklam behawioralnych nie jest konieczne dla wykonania umowy

Źródło: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en

• UODO wskazuje, że przepisy określające wymagania dla aplikacji mobilnych muszą precyzyjnie wskazywać, jakie dane osobowe będą w niej przetwarzane oraz kto i na jakich zasadach uzyska do nich dostęp
• aplikacja mobilna służąca do rozliczeń przejazdów realizowanych w usługach przewozowych i taksówkowych ma pozwolić na kontrolę danych związanych z przejazdami – to jedno z rozwiązań przewidzianych w projekcie rozporządzenia Ministra Cyfryzacji w sprawie aplikacji mobilnej służącej do rozliczania opłaty za przewóz osób
• Prezes UODO kwestionuje to rozwiązanie wskazując m.in., że projektowana regulacja nie określa ani kręgu uprawnionych podmiotów, które będą miały dostęp do tych danych, ani zakresu tych danych
• „Daje to nieokreślonej kategorii podmiotów (w tym służbom i inspekcjom) uprawnienie do dostępu do bardzo szczegółowych informacji o osobie korzystającej z usługi przewozowej” – wskazuje Prezes UODO w piśmie do Ministra Cyfryzacji
• Prezes UODO zwraca też uwagę, że wprowadzenie rozwiązań silnie ingerujących w prywatność, powinno być poprzedzone oceną skutków dla ochrony danych – w tym przypadku projektodawca tego nie zrobił

Źródło: https://uodo.gov.pl/pl/138/1232

• Sejm przyjął zaproponiwane przez Ministerstwo Cyfryzacji zmiany w ustawie o informatyzacji, które uwzględniają m.in. powstanie Rejestru Danych Kontaktowych, w którym gromadzone będą dane kontaktowe obywateli (imię i nazwisko, PESEL, adres e–mail lub numer telefonu).
• podstawowym celem RDK umożliwienie bezpośredniego kontaktu administracji z obywatelem, który zostanie powiadomiony telefonicznie lub za pośrednictwem poczty elektronicznej o stanie prowadzonej sprawy – w tym np. o niedotrzymaniu terminów – czy też o upływie ważności dokumentów
• dostęp do danych będą miały wskazane enumeratywnie w ustawie instytucje i organy – wśród nich wskazuje się m.in. organy gmin, NFZ, organy wyborcze, czy urzędy skarbowe, ale także Polski Czerwony Krzyż
• rejestr będzie wchodził w skład Systemu Rejestrów Państwowych
• dane nie będą pojawiały się znikąd – każdy obywatel, który będzie chciał, aby jego dane znalazły się w bazie, będzie musiał sam wpisać je do rejestru, również wykorzystywanie rejestru do kontaktu z obywatelem będzie wymagało jego zgody

Źródło: https://bezprawnik.pl/urzedy-beda-przypominac/     https://www.gov.pl/web/cyfryzacja/urzad-dzwoni-do-obywatela–sejm-przyjal-nasze-propozycje

• uzasadnione podejrzenie poważnych uchybień pracowniczych oraz ryzyko dużych strat firmy w pewnych sytuacjach może usprawiedliwiać stosowanie ukrytego nadzoru za pomocą kamer wideo. Nie narusza to prawa do prywatności ani sprawiedliwego procesu – tak uznała Wielka Izba Europejskiego Trybunału Praw Człowieka w Strasburgu
• sprawa, która trafiła do ETPC, dotyczyła pracowników supermarketu w Hiszpanii – po odnotowaniu strat (w okresie pięciu miesięcy) i zauważeniu manka w zapasach kierownik supermarketu zainstalował w placówce zarówno widoczne, jak i ukryte kamery i w ten sposób ujawnił przypadki kradzieży towarów przez pracowników
• czternaście osób zwolniono dyscyplinarnie – część osób odwołało się do hiszpańskiego sądu pracy, gdyż uznali, że zwolnienie nie było dopuszczalne, bo pracodawca wykorzystał nagrania z ukrytego monitoringu, który naruszył ich prywatność
• w obu instancjach sędziowie przyznali jednak rację pracodawcy, a sprawa trafiła do ETPC
• ETPC wskazał, że należy wyważyć prawo pracownika do ochrony prywatności oraz interes pracodawcy, który może chronić swój majątek i dbać o prawidłowe prowadzenie działalności i przypomniał, że zatrudnieni pracowali w przestrzeni publicznej (dostęp do niej mają klienci), więc ich prawo do prywatności było w tym zakresie znacznie bardziej ograniczone niż w przypadku takich pomieszczeń jak np. firmowe toalety lub szatnie

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1435861,ukryte-monitorowanie-pracownikow-czasem-dopuszczalne.html

• w okresie przygotowań do RODO nowy obowiązek, czyli konieczność uzyskiwania zgód rodziców na przetwarzanie danych osób nieletnich, budził spore obawy branży internetowej – dzisiaj, po kilkunastu miesiącach stosowania RODO, okazuje się, że przepis ten w praktyce jest martwy
• RODO wymaga uzyskiwania zgody rodzica wyłącznie w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku – wbrew powszechnemu przekonaniu założenie konta w serwisie czy zainstalowanie aplikacji na smartfonie wcale nie musi pod niego podpadać
• zgoda rodzica jest wymagana tylko tam, gdzie przetwarzanie opiera się na zgodzie – jeżeli jest np. niezbędne do realizacji umowy, to można oprzeć przetwarzanie o niezbędność do wykonania umowy, a wtedy nawet 13-letnie dziecko może zaakceptować regulamin i korzystać z danego serwisu czy aplikacji
• jeśli jednak przetwarzanie danych nie jest niezbędne do realizacji usługi, to zgoda jest już wymagana – chodzi np. o marketing czy newslettery
• większość ekspertów jest zwolennikami poglądu, że ten przepis RODO należy stosować wyjątkowo rzadko – chodzi wyłącznie o usługi online, które nie tylko oferowane są wprost dzieciom, ale też których dzieci są przeważającymi odbiorcami, dlatego też np. księgarnia internetowa nie musi pytać o zgodę rodziców na wysyłanie e-maili z nowościami książkowymi, nawet jeśli odbiorcami tej wiadomości mogą być też dzieci
• z tym poglądem nie zgadza się była Prezes UODO Edyta Bielak-Joamma, gdyż jej zdaniem przepis należy interpretować szerzej – chodzi o każdą usługę skierowaną do dzieci i nie ma znaczenia, czy ze strony internetowej lub aplikacji mogą korzystać dorośli ani kto jest głównym odbiorcą

Źródło: https://prawo.gazetaprawna.pl/artykuly/1436054,rodo-serwsy-internetowe-aplikacje-dzieci.html

• możliwe, że umowy, które zawarł Microsoft z unijnymi instytucjami, są niezgodne z RODO – tak wynika ze wstępnych ustaleń dochodzenia Europejskiego Inspektora Ochrony Danych (EIOD)
• dochodzenie w tej sprawie wszczęto w kwietniu – miało ono sprawdzić, czy warunki umów między amerykańską firmą i instytucjami UE dotyczące przetwarzania danych osobowych są „w pełni zgodne” z zapisami RODO, które weszły w życie w ubiegłym roku
• śledztwo nadal trwa, ale już wstępne wyniki wywołują poważne obawy – EIOD poinformował, że chodzi o zgodność badanych zapisów kontraktowych z zasadami ochrony danych oraz rolę, jaką firma Microsoft pełni jako podmiot przetwarzający dane instytucji UE, korzystających z produktów i usług tej firmy
• EIOD w ramach dochodzenia współpracował m.in. z holenderskim ministerstwem sprawiedliwości, które w czerwcowej ocenie ryzyka wskazało, że urzędy państwowe w wielu krajach członkowskich mogą mieć do czynienia z podobnymi zapisami w umowach
• oba urzędy stworzyły forum, które ma ustalić zasady kontraktów z instytucjami publicznymi

Źródło: https://businessinsider.com.pl/technologie/nowe-technologie/umowy-microsoftu-z-ue-rodo/k9v1qq9

• w wybranych oddziałach banku PKO BP zamontowano urządzenia monitorujące, czy pracownicy obsługujący klientów są uśmiechnięci, obserwowane są także uśmiechy ich klientów – w badaniach, dobrowolnie i na swój wniosek, bierze udział stu doradców
• bank tłumaczy, że nie ma przy tym żadnych norm uśmiechów do wykonania, brak uśmiechów nie ma też żadnych konsekwencji dla pracowników, a każdy uśmiech klienta oznacza drobną kwotę przeznaczoną na lokalny cel charytatywny
• mimo to RPO skierował w tej sprawie pismo do Głównego Inspektora Pracy – w jego ocenie, na tę ciągłą obserwację i nagradzanie pracownika za uśmiech trzeba popatrzeć z perspektywy prawa do prywatności i godności jednostki, to szczególnie istotne, jeśli uznamy ten system za zakładający zmianę naturalnych cech i zachowań pracownika
• zgodnie art. 22(2) Kodeksu pracy korzystanie przez pracodawcę z monitoringu jest dopuszczalne, gdy jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę – zdaniem RPO przepis ten nie przewiduje celów, dla których monitoring został wprowadzony w omawianym przypadku
• RPO wskazuje również, że dane przetwarzane w banku PKO BP należy uznać za dane objęte szczególną ochroną (stanowią dane biometryczne), a pobierana zgoda nie może stanowić podstawy ich przetwarzania

Źródło: https://www.rp.pl/Kadry/310219961-RPO-liczenie-usmiechow-pracownikow-PKO-wkracza-ich-prywatnosc-i-godnosc.html

• bawarski organ ochrony danych osobowych odpowiedział na pytanie: Czy prawo do informacji na podstawie art. 15 RODO obejmuje również prawo do kopii dokumentów, korespondencji lub wiadomości e-mail?
• zdaniem organu art. 15 RODO nie daje prawa do (kserokopii) kopii dokumentów, korespondencji lub wiadomości e-mail, gdyż zgodnie z jasnym brzmieniem, podmiot danych ma jedynie prawo do informacji o danych osobowych zawartych w tych tekstach
• przedmiotowe prawo (art. 15 ust. 3 RODO) winno przybrać formę informacji o danych osobowych ujawnionych w treści wskazanych dokumentów (jako stosownego komunikatu)

Źródło: https://www.lda.bayern.de/de/faq.html

• do Prezesa UODO w ostatnim czasie wpływają liczne sygnały od przedstawicieli sektora publicznego, jak i prywatnego w związku z wątpliwościami pojawiającymi się w procesie pozyskiwania danych osobowych na potrzeby programu badań statystycznych statystyki publicznej na rok 2019, prowadzonego przez Główny Urząd Statystyczny (GUS)
• w przypadku instytucji publicznych, pytania dotyczą tego, czy mogą one pozyskiwać na rzecz GUS dane od jednostek im podległych – o ile zrozumiałe jest, że GUS może realizować swoje uprawnienia, wnioskując bezpośrednio do tych jednostek, to w ocenie Prezesa UODO do organów gmin nie powinno być kierowane żądanie, by to one pozyskały te dane z jednostek im podległych
• organy gminy nie są organami statystyki publicznej i zdaniem Prezesa Urzędu nie mogą pełnić roli instytucji pośredniczącej
• w przypadku podmiotów z sektora prywatnego podnoszone jest m.in. to, że nie zawsze znajdują się w posiadaniu wnioskowanych przez GUS danych oraz z przepisów prawa nie wynika, aby miały prawo do ich pozyskania i dalszego przetwarzania
• Prezes UODO skierował wystąpienie do Prezesa GUS, w którym podzielił się swoimi spostrzeżeniami – podkreślił w nim, że ważne jest m.in. to, by wniosek o przekazanie danych był skierowany do podmiotów, które są ich administratorami i by istniała podstawa uprawniająca do żądania udostępnienia danych

Źródło: https://uodo.gov.pl/pl/138/1233

• problemów z wyliczaniem wysokości kar nie ma już w Holandii i nie będzie w Niemczech – opracowano tam taryfikatory
• holenderski taryfikator składa się z dwóch elementów: stawek i kategorii naruszeń – poszczególnym przepisom RODO przypisano kategorie – od I do IV, a także wydzielono w sumie cztery pułapy kar, które można maksymalnie nałożyć za ich naruszenie
• w Holandii wiadomo za złamanie, których przepisów grozi najwyższa kara – przykładowo jako naruszenie najpoważniejsze uznano brak poinformowania organu o naruszeniu, z kolei do pierwszej kategorii zaliczono nie wyznaczenia inspektora ochrony danych
• w Niemczech w projekcie taryfikatora uwzględniono cztery kategorie przedsiębiorców w zależności od wysokość rocznego obrotu: mikroprzedsiębiorstwa, małe, średnie i duże przedsiębiorstwa, a w każdej z kategorii wyróżniono dodatkowo podkategorie, a także wyliczono średni obrót dla danej kategorii i tzw. stawkę dzienną
• niemieckie organy podzieliły naruszenia RODO również na cztery kategorie: lekkie, średnie, poważne i bardzo poważne i przypisały im mnożniki od 1 do 12, zależnie od tego, czy dane naruszenie podlega pod niższą karę czy wyższą karę z RODO, dodatkowo bierze się pod uwagę 11 czynników, m.in. umyślność naruszenia, stopień współpracy z urzędem, czy też nawet potencjalną niewypłacalność przedsiębiorcy
• nie biorąc pod uwagę dodatkowych czynników eksperci oszacowali, że przy kursie 4,3 zł morele.net mogłoby zapłacić w Niemczech średnio ok. 3 mln euro kary (kara nałożona przez UODO to 660 tys. euro), a Bisnode 100 tys. euro (kara nałożona przez UODO to 220 tys. euro)

Źródło: https://www.prawo.pl/biznes/taryfikator-za-naruszenie-rodo,493038.html

• dyżurni ruchu są zaniepokojeni powtarzającymi się incydentami niewypełnienia procedur przez niektórych maszynistów – prowadzący pociągi nie chcieli potwierdzić przyjęcia rozkazów od dyżurnych ruchu swoim nazwiskiem, zasłaniając się przepisami o ochronie danych osobowych (RODO)
• Związek Zawodowy Dyżurnych Ruchu przesłał do wiceprezesa PKP PLK pismo z prośbą o pilną interwencję – jak pisze, problem polega na tym, że „po podyktowaniu drogą radiową rozkazu pisemnego niektórzy maszyniści odmawiają podawania swojego nazwiska przy potwierdzeniu odebrania rozkazu, bezpodstawnie powołując się na przepisy RODO”
• to w oczywisty sposób narusza przepisy kolejowe, w tym obowiązującą przewoźników instrukcję IR 1
• instrukcja IR 1 jest obowiązującym dokumentem, a w nim znajduje się zapis, że dyżurny ruchu wpisuje nazwisko pracownika, któremu treść rozkazu pisemnego przekazał, a odbierający nazwisko dyżurnego ruchu

Źródło: https://www.rynek-kolejowy.pl/wiadomosci/maszynisci-odmawiali-potwierdzenia-rozkazow-dyzurnych-bo-rodo-94100.html

• Państwowa Inspekcja Pracy wykorzystała ustawowe kompetencje do sprawdzenia PIT swojego pracownika – UODO uznał, że złamała ustawę o ochronie danych osobowych i RODO
• PIP chciała sprawdzić, jakie dochody (poza pensją) otrzymuje jeden z inspektorów
• PIP może współpracować m.in. z urzędami skarbowymi, więc poprosiła o dane zawarte w deklaracjach PIT-37 pracownika
• pracownik złożył skargę do UODO na działanie swojego pracodawcy
• Prezes UODO nakazał inspekcji usunięcie danych z PIT byłego już inspektora pracy (został zwolniony 27 października 2017 r.) – jego zdaniem PIP naruszyła nie tylko ustawę o ochronie danych osobowych, ale też RODO, gdyż nie miała prawa wykorzystywać swojej ustawowej kompetencji do weryfikowania dochodów pracownika
• PIP może pozyskiwać informacje z PIT, ale tylko wtedy, gdy służy to kontroli pracodawców nadzorowanych przez inspekcję
• zdaniem Głównego Inspektora Pracy decyzja Prezesa UODO zostanie zaskarżona, gdyż jest niesłuszna – Nie naruszyliśmy żadnych przepisów i nie wykorzystywaliśmy pozyskanych danych do zwolnienia pracownika

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1436467,pip-rodo-uodo-pit-zarobki-pracownika-nielegalna-kontrola.html

• dzieci są pytane w szkolnych ankietach o sytuację rodzinną i udział w nabożeństwach
• o ankietach, które dostali w szkołach uczniowie i ich rodzice w woj. małopolskim i lubuskim donosiły we wrześniu media – pytania dotyczyły sytuacji rodzinnej (Czy rodzice są rozwiedzeni? Czy masz ojczyma/macochę?), a także religijności (Jak często chodzisz do kościoła? Czy należysz do oazy?)
• ankietę przygotowało Ministerstwo Edukacji Narodowej – na potrzeby dorocznej diagnozy potrzeb rozwojowych uczniów, w tym czynników chroniących i czynników ryzyka koniecznej dla opracowania programu wychowawczo-profilaktycznego
• ankiety miały być anonimowe, ale we wstępie do ankiety zaznaczono, że w najmłodsze dzieci w podstawówkach powinny wypełniać ją razem z nauczycielem
• wielu pedagogów i przedstawicieli ZNP wyraziło swoje oburzenie pytaniami w ankiecie MEN – nie podobają się one także RPO
• RPO zwrócił się do ministra edukacji o uzasadnienie przeprowadzania tych ankiet w szkołach, zwłaszcza co do zakresu uzyskiwania danych dotyczących praktyk religijnych oraz wrażliwych danych o sytuacji rodzinnej

Źródło: https://www.rp.pl/Edukacja-i-wychowanie/310239953-MEN-pyta-uczniow-o-religijnosc-i-sprawy-rodzinne-Co-z-ochrona-prywatnosci.html

• Komisja Europejska opublikowała sprawozdanie na temat trzeciego corocznego przeglądu funkcjonowania Tarczy Prywatności UE–USA
• w sprawozdaniu potwierdzono, że USA w dalszym ciągu zapewniają odpowiedni poziom ochrony danych osobowych przekazywanych w ramach Tarczy Prywatności przez podmioty z UE certyfikowanym przedsiębiorstwom w USA – obecnie w programie ochrony danych między UE a USA uczestniczy około 5 tys. przedsiębiorstw
• w przeglądzie odnotowano między innymi, że Departament Handlu USA zapewnia niezbędny nadzór w sposób bardziej systematyczny, na przykład poprzez comiesięczne wyrywkowe kontrole przedsiębiorstw pod kątem przestrzegania przez nie zasad Tarczy Prywatności
• coraz więcej osób fizycznych korzysta z praw przysługujących im w ramach Tarczy Prywatności, a odpowiednie mechanizmy dochodzenia roszczeń prawidłowo funkcjonują
• oprócz mianowania stałego Rzecznika ds. Tarczy Prywatności wypełniono dwa ostatnie wakaty w Radzie Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, dzięki czemu Rada po raz pierwszy od 2016 r. została w pełni obsadzona
• Komisja zaleca jednak podjęcie pewnych konkretnych kroków, aby zapewnić skuteczniejsze funkcjonowanie Tarczy Prywatności w praktyce, chodzi m.in. o dalsze wzmocnienie procesu (ponownej) certyfikacji przedsiębiorstw, rozszerzenie kontroli zgodności, w tym dotyczących fałszywych oświadczeń o uczestnictwie w programie

Źródło:  https://www.euractiv.pl/section/polityka-zagraniczna-ue/press_release/postepy-w-funkcjonowaniu-tarczy-prywatnosci-ue-usa/

• infolinia UODO odbiera dużo sygnałów od osób kupujących obecnie węgiel i zaniepokojonych zakresem danych, które przy tej okazji są od nich wymagane
• obecnie kupując węgiel do celów opałowych w gospodarstwach domowych, sprzedawca musi pozyskać dane osoby, która do takich celów nabywa węgiel – wymagają tego przepisy ustawy o podatku akcyzowym, które obowiązują od 1 stycznia 2019 rok
• regulacje te nałożyły na sprzedawców węgla obowiązek odebrania od nabywcy oświadczenia zawierającego: ilość i przeznaczenie węgla , imię i nazwisko, adres zamieszkania, numer dowodu osobistego lub nazwę i numer innego dokumentu stwierdzającego tożsamość oraz PESEL.
• przyjęte rozwiązania prawne prowadzące do pozyskiwania tak szerokiego zakresu danych osobowych, budzą wątpliwości Prezesa UODO dlatego też zwrócił się on do ustawodawcy z wnioskiem o podjęcie prac legislacyjnych i zmianę przepisów o podatku akcyzowym
• Ministerstwo Finansów, po zapoznaniu się z argumentami Prezesa UODO, postanowiło ograniczyć zakres danych i w projektowanych regulacjach zaproponowało odstąpienie od wymogu podania numeru dowodu osobistego lub nazwy i numeru innego dokumentu stwierdzającego tożsamość
• pozostawiono jednak wymóg podania numeru PESEL, który pozwoli organom podatkowym, przy ewentualnej kontroli, na właściwą identyfikację osób składających oświadczenie w zakresie wyrobów węglowych

Źródło:  https://uodo.gov.pl/pl/138/1236

• coraz więcej miast testuje urządzenia monitorujące funkcje życiowe seniorów
• urządzenia gromadzą dane medyczne (np. z pulsometru czy akcelerometru wykrywającego upadki), lokalizacyjne (GPS), a niektóre umożliwiają także szybki kontakt ze służbami medycznymi bądź inną instytucją
• część miast testujących inteligentne opaski zleca to zadanie podmiotom zewnętrznym – wyspecjalizowane firmy prywatne często dysponują bardziej zaawansowaną technologią i większym doświadczeniem niż samorządy
• firmy te muszą jednak wykazać – np. na etapie postępowania przetargowego – że korzystają z takich mechanizmów, które zapewniają dostateczny poziom bezpieczeństwa danych
• seniorzy są jednak nieufni wobec nowej technologii – by ich do niej przekonać, należy najpierw dokładnie sprawdzić, jak dane uczestników programu będą przetwarzane, i dopełnić obowiązków informacyjnych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1437432,opaski-monitorujace-funkcje-zyciowe-a-rodo.html

• polski parlament uchwalił ustawę zezwalającej Prezydentowi RP na ratyfikację Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego 10 października 2018 r. w Strasburgu – Protokół wprowadza tzw. Konwencję 108+
• ustawa czeka na podpis Prezydenta RP, a wejdzie w życie po upływie 14 dni od dnia ogłoszenia, a na jej podstawie Prezydent RP będzie mógł oficjalnie ratyfikować Protokół – Polska może być pierwszym państwem, które ratyfikuje Protokół
• Konwencja 108 Rady Europy została przyjęta 28 stycznia 1981 r. i jest jedynym wiążącym traktatem międzynarodowym, gwarantującym prawo osób fizycznych do ochrony ich danych osobowych
• Protokół dostosowuje Konwencję 108 do aktualnych wyzwań związanych z rozwojem technologii komunikacyjno-informacyjnych oraz zapewnia spójność przyjętego przez Radę Europy standardu ochrony danych osobowych z regulacjami obowiązującymi w Unii Europejskiej
• Protokół wprowadza także mechanizm zapewniający efektywne monitorowanie wdrożenia w poszczególnych państwach postanowień Konwencji 108+

Źródło: https://uodo.gov.pl/pl/138/1237

• australijski Departament Spraw Wewnętrznych chce wykorzystać rozpoznawanie twarzy jako formę weryfikacji wieku na stronach dla dorosłych
• ma to zagwarantować, że żaden nieletni nie będzie ani oglądał pornografii, ani grał w wirtualnych kasynach
• Identity Matching Services to zestaw usług, nad którymi pracuje od dawna australijski rząd – w założeniu mają one pomóc w weryfikacji czyjejś tożsamości i łapaniu przestępców na podstawie ich wizerunku
• w ramach usług ma działać między innymi Document Verification Service (DVS) i Face Verification Service (FVC).
• DVS pozwala na sprawdzenie, czy informacje z dokumentu tożsamości pokrywają się z oryginalnymi danymi posiadanymi przez państwo, a FVC porównuje dostarczone przez użytkownika zdjęcie z tym z państwowej bazy i potwierdza lub podaje w wątpliwość tożsamość osoby nim przedstawionej
• pomysł ten spotkał się z ostrą krytyką

Źródło: https://www.spidersweb.pl/2019/10/australia-rozpoznawanie-twarzy-pornografia.html

• Władze internetowego komunikatora WhatsApp pozwały izraelską firmę NSO Group i oskarżyły ją o pomoc cyberszpiegom we włamaniu się do telefonów około 1400 użytkowników na czterech kontynentach
• NSO Group jest producentem systemu Pegasus umożliwiającego masową inwigilację telefonów i komputerów
• zdaniem WhatsAppa izraelska firma miała uczestniczyć w akcji hakerskiej wymierzonej w dyplomatów, dysydentów politycznych, dziennikarzy i wyższych urzędników rządowych
• w pozwie złożonym w sądzie federalnym w San Francisco WhatsApp oskarżył NSO o ułatwianie ataków hakerskich rządowym szpiegom w dwudziestu krajach
• jedynymi do tej pory zidentyfikowanymi państwami, w których miało – zdaniem firmy – dojść do ataków, są Meksyk, Zjednoczone Emiraty Arabskie oraz Bahraj

Źródło: https://www.tvn24.pl/whatsapp-pozywa-producenta-systemu-pegasus-umozliwiajacemu-masowa-inwigilacje,981869,s.html

• branża badawcza dostrzegła potrzebę wsparcia badaczy w wypracowaniu wspólnych, dopuszczalnych praktyk przetwarzania i ochrony danych respondentów
• związek pracodawców Organizacja Firm Badania Opinii i Rynku wraz z Kancelarią Osiej i Partnerzy oraz Omni Modo opracowały Kodeks RODO dla branży badawczej
• trwają konsultacje społeczne projektu Kodeksu RODO dla branży badawczej – uwagi należy nadsyłać do 31 grudnia 2019 roku, na adres:
• projekt Kodeksu dostępny jest pod linkiem: https://gdpr.pl/pierwszy-w-polsce-kodeks-rodo-dla-branzy-badawczej

• pracownicy korzystający ze służbowej skrzynki e-mail przede wszystkim powinni pamiętać o tym, że ich poczta elektroniczna może być monitorowana przez pracodawcę
• co prawda pracodawca nie ma prawa stosowania monitoringu w sposób dowolny, niemniej jednak, w pewnych okolicznościach zezwalają mu na to przepisy
• co do zasady wprowadzenie monitoringu poczty elektronicznej powinno zostać poprzedzone spełnieniem przez pracodawcę wymagań wynikających z kodeksu pracy
• monitoring korespondencji elektronicznej powinien również być realizowany w sposób, który nie spowoduje naruszenia dóbr osobistych pracownika – należy jednak wspomnieć, że interes pracodawcy w stosowaniu również ukrytego monitoringu może mieć charakter nadrzędny w przypadku popełniania przez pracownika czynów na szkodę pracodawcy, w tym przestępstw, co wynika z wyroku Europejskiego Trybunału Praw Człowieka (wyrok z dnia 17.10.2019 r. López Ribald vs. Królestwo Hiszpanii)

Źródło: https://prawo.gazetaprawna.pl/artykuly/1437865,rodo-jak-korzystac-ze-sluzbowej-skrzynki-mailowej.html

• od 4 maja 2019 r. w kodeksie pracy zmieniono zakres danych osobowych, jakich można żądać od kandydata do pracy oraz pracownika – z treści art. 22 1 par. 3 KP określającego dane, których można żądać od pracownika usunięto adres do korespondencji, a pozostawiono tylko adres zamieszkania
• należy jednak mieć na uwadze, że niezależnie od powyższego pracodawca może posiadać adres do korespondencji pracownika dla innych celów – ubezpieczeniowych, np. związanych ze zgłoszeniem do ZUS, oraz do PPK
• zgodnie jednak ze stanowiskiem Ministerstwa Rodziny, Pracy i Polityki Społecznej adresy inne niż zamieszkania nie powinny się znajdować w kwestionariuszu osobowym, a jedynie w dokumentach zgłoszeniowych wysyłanych do ZUS
• Podawany w kwestionariuszu osobowym adres zamieszkania stał się więc (co do zasady) jedynym adresem, który można przetwarzać w celach związanych z zatrudnieniem i na niego powinna być wysyłana korespondencja do pracownika

Źródło: https://serwisy.gazetaprawna.pl/pit/artykuly/1437627,rodo-pit-za-2019-wysylane-zatrudnionym-na-rozne-adresy.html

• w Hallandale na Florydzie czterdziestodwulatek zamordował swoją dziewczynę – policja postanowiła zażądać od Amazonu prawa do „przesłuchania” Alexy
• mężczyzna zabił swoją ukochaną za pomocą włóczni – oskarżony jest on o morderstwo, jednak jego obrona twierdzi, że był to tragiczny wypadek
• sprawę rozsądzić ma Alexa, która zachowała nagrania z rzekomej wcześniejszej kłótni pary
• Amazon postanowił wydać żądane nagrania
• rzecznik prasowy Amazonu Leigh Nakanishi zapewnia jednak, że klienci nie muszą się obawiać o prywatność ponieważ nagrania są kasowane już po krótkim okresie​​​​​, a to była sytuacja wyjątkowa

Źródło: https://www.telepolis.pl/wiadomosci/wydarzenia/alexa-powolana-na-swiadka-w-sprawie-morderstwa

• emerytowi z Mińska Mazowieckiego pękła rura pod wanną – zorientował się on po chwili, zakręcił wodę w pionie oraz uprzątnął wyciek
• po 2 miesiącach z kolei dostał z UPC wezwanie do zapłaty na 400 000 PLN
• okazało się, że firma miała w lokalu piętro niżej serwerownię

Źródło:  https://niebezpiecznik.pl/post/upc-serwerownia-pod-wanna/?fbclid=IwAR2eZfdxbReQdXtNi-bRrAhMKVR-0LeIsYzZRjE6lNpayLz9-YGtMMbsTog