Nowy plan kontroli PUODO – kto na celowniku? Życzenia Świąteczne z… obowiązkiem informacyjnym? „Pisemne” upoważnienia – czy można je nadawać w formie elektronicznej? Czy KAŻDY może zostać IOD? Ile kar za naruszenie RODO zostało nałożonych w UE do końca tego roku? Prywatność a… ograniczenie dostępu do pornografii? Abonencie Virgin Mobile Polska – czy masz się czego obawiać? Czy dzieci także mają prawo do informacji o naruszeniach ich danych osobowych? Monitoring w szpitalu – na co uważać? Czy konduktor ma prawo potwierdzić tożsamość pasażera? Czy USA wprowadzą „swoje RODO”?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Nowy plan kontroli PUODO - kto na celowniku?
- Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych na rok 2020
- zgodnie z nim w tym roku zostaną przeprowadzone kontrole sektorowe w:
-bankach pod kątem kopiowania dokumentów tożsamości,
-podmiotach korzystających z systemu zdalnego odczytu wodomierzy,
-organach przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym, tj. konsulatach i administracji skarbowej.
Źródło: https://uodo.gov.pl/pl/138/1302
Elektroniczna postać upoważnienia
- zdaniem UODO nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej
- w świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową
- za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO – zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną
- jak UODO wskazuje w poradniku dotyczącym tego obowiązku (Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO – str. 13) rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3), a zatem mogą być prowadzone zarówno w postaci papierowej, jak i elektronicznej
Źródło: https://uodo.gov.pl/pl/225/1278
IOD może zostać każdy?
- każdy może zostać inspektorem ochrony danych, niestety część z nich nie ma wystarczających kompetencji, a część łapie tylu klientów, że nie ma szans ich rzetelnie obsłużyć
- polskie przepisy nie stawiają IOD żadnych wymagań
- RODO teoretycznie mówi o kwalifikacjach zawodowych i wiedzy fachowej, ale nie przewiduje żadnych mechanizmów weryfikacji
- administrator ma obowiązek zgłoszenia wyznaczonego IOD Prezesowi UODO, ale rejestr nie jest jawny – nie wiadomo nawet, ilu IOD zostało w Polsce wyznaczonych
- RODO nie wskazuje wprost, czy obsługa wielu podmiotów jest dozwolona – art. 37 ust. 3 RODO wskazuje jednak, że można wyznaczyć jednego IOD dla kilku organów publicznych, a skoro dla kilku, to już nie dla kilkunastu, a tym bardziej kilkudziesięciu
Facebook może przesyłać dane do USA
- rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej uznał, że nie ma powodów, by generalnie podważyć klauzule umowne, na których opiera się przesyłanie danych osobowych Europejczyków poza UE
- zastrzegł on jednak, że jeśli służby kraju, do którego dane te trafiają mają zbyt łatwy do nich dostęp, to transfer na podstawie standardowych klauzul umownych powinien zostać zawieszony
- w 2015 r. Austriak Maximillian Schrems doprowadził do unieważnienia programu „Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA – TSUE uznał, że amerykańskie służby mają zbyt łatwy dostęp do informacji przetwarzanych przez tamtejsze firmy, w tym serwisy takie jak Facebook
- od sześciu lat Austriak próbuje przed irlandzkim organem ochrony danych i sądami podważyć inną podstawę prawą do przesyłania danych przez Facebooka czyli wspomniane standardowe klauzule umowne
- opinia rzecznika nie wiąże TSUE, a sam wyrok ma zapaść już w 2020 r.
Co najmniej 227 kar za RODO
- do 20 grudnia 2019 r. nałożono co najmniej 227 kar za RODO
- prym w liczbie kar wiodą Niemcy (87), a w zakresie wpływów finansowych – Francja (€51.100.000)
- chcesz zminimalizować ryzyko nałożenia kary finansowej na Twoją organizację? Zamów audyt RODO
- opracowanie powstało między innymi na podstawie danych z GDPR Enforcement Tracker
- autorem opracowania jest Adam Klimowski
Źródło: https://twitter.com/adamklimowski/status/1208037552546099200
Sąd nie wstrzymał decyzji PUODO
- sąd nie wstrzymał decyzji PUODO o zablokowaniu wyroku NSA w sprawie list poparcia do KRS
- RPO zaskarżył do sądu dwie decyzje Prezesa Urzędu Ochrony Danych Osobowych o nakazaniu Kancelarii Sejmu, aby nie udostępniała danych sędziów, którzy poparli kandydatów do nowej Krajowej Rady Sądownictwa
- zarazem Rzecznik zwrócił się do Wojewódzkiego Sądu Administracyjnego w Warszawie, by do czasu swego rozstrzygnięcia wstrzymał wykonanie tych decyzji prezesa UODO Jana Nowaka
- RPO skierował sprawę do sądu, bo decyzje PUODO mogą prowadzać do niewykonania prawomocnego wyroku Naczelnego Sądu Administracyjnego w sprawie ujawnienia list poparcia do KRS – prawomocne orzeczenie NSA wiąże zaś inne sądy i inne organy państwowe
- WSA odmówił wstrzymania decyzji co do przetwarzania danych osobowych jednego z sędziów, który poparł wybór członków KRS w marcu 2018 r. przez Sejm
Ograniczenie dostępu do pornografii a prywatność
- powstał projekt ustawy ograniczającej dostęp do pornografii
- Nikt na świecie nie wprowadził jeszcze sposobu, który skutecznie weryfikowałby wiek osób odwiedzających strony internetowe przy zachowaniu odpowiedniego poziomu prywatności – komentuje Piotr Konieczny z Niebezpiecznik.pl
- Stowarzyszenie Twoja Sprawa, które jest autorem projektu przyznaje, że nie wie, jak zrealizować wysuwane przez siebie postulaty
- z projektu wynika, że obowiązek weryfikacji wieku spadłby na administratorów stron pornograficznych – natomiast zadbanie o to, aby prywatność użytkowników nie była naruszona, ma być zadaniem dla Urzędu Ochrony Danych Osobowych
- dwa miesiące temu, 16 października, rząd Wielkiej Brytanii ogłosił, że wbrew wcześniejszym zapowiedziom, nie wprowadzi blokady dostępu do treści pornograficznych – jako główną przyczynę porzucenia pomysłu podaje się właśnie konieczność wprowadzenia internetowej weryfikacji wieku, a raczej wynikające z tego zagrożenia dla prywatności obywateli oraz skomplikowane wdrożenie po stronie dostawców treści i ocena tego, kto miałby być objęty takim obowiązkiem
Źródło: https://tech.wp.pl/blokada-pornografii-w-polsce-premier-chwali-pomysl-ale-rozwiazania-technicznego-brak-6457694303221377a https://niebezpiecznik.pl/post/blokada-tresci-pornograficznych-w-polsce/
Czynności kontrolne w Virgin Mobile Polska
- Prezes UODO otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od Virgin Mobile Polska i postanowił przeprowadzić czynności kontrolne
- sprawa dotyczy nieuprawnionego ujawnienia danych osobowych, tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Virgin Mobile Polska
- spółka podkreśla, że doszło do ataku hakerskiego na jedną z aplikacji informatycznych, która umożliwiała dostęp do danych rejestrowych i dotyczy wyłącznie części abonentów dokonujących rejestracji prepaid
Źródło: https://uodo.gov.pl/pl/138/1301
Radny to także administrator danych osobowych
- radny w pewnych aspektach swojej działalności jest administratorem danych w rozumieniu RODO
- chodzi m.in. o dyżury czy interwencje radnych, podczas których przyjmują skargi, oświadczenia czy kontakty do mieszkańców
- radni muszą odpowiednio przygotować się do administrowania takimi danymi
- sytuacja wyglądałaby inaczej, gdyby nie nowelizacja ustawy o samorządzie gminnym, która zaczęła obowiązywać na początku 2018 r. i dała radnym nowe uprawnienia kontrolne min. umożliwiając im samodzielnie, a nie w imieniu całej rady, występowanie po pewne informacje
Dzieci mają prawo do informacji o naruszeniach ich danych osobowych
- UODO wydał niedawno komunikat, z którego wynika, że dzieci mają prawo do otrzymania informacji o naruszeniach ich danych osobowych
- komunikat ten odnosił się ogólnie do osób niepełnoletnich i dotyczył obowiązków administratorów w zakresie komunikowania się z osobami niepełnoletnimi w przypadku naruszeń ochrony danych osobowych wymagających powiadomienia osób, których dane dotyczą
- przekaz ten powinien być różnicowany, gdyż w grupie osób niepełnoletnich mogą być zarówno małe dzieci, jak i osoby prawie dorosłe
- Administrator w komunikacie kierowanym do osoby małoletniej może jej zalecić zachowanie ostrożności. Czasami przekaz może odbywać się przez pośredników, np. nauczycieli lub rodziców – mówi Monika Młotkiewicz, naczelnik wydziału współpracy z inspektorami ochrony danych UODO
Źródło: https://prawo.gazetaprawna.pl/artykuly/1447238,ochrona-danych-osobowych-dzieci-monika-mlotkiewicz.html https://uodo.gov.pl/pl/138/1287
Monitoring w szpitalu nie może służyć kontroli jakości pracy
- zgodnie z art. 23a ust. 1 ustawy o działalności leczniczej regulamin organizacyjny podmiotu wykonującego działalność leczniczą może określić sposób obserwacji pomieszczeń ogólnodostępnych lub pomieszczeń, w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych
- nagrania z monitoringu nie stanowią jednak dokumentacji medycznej
- monitoring na sali szpitalnej nie służy kontroli jakości pracy pracowników, zatem jego udostępnienie np. rodzicom dziecka nagrań w celu skontrolowania prawidłowości opieki nad nim wymagałoby zgody pracowników, których wizerunek znajduje się na nagraniach, lub usunięcia (zasłonięcia) ich wizerunku
- wizerunek osoby jest jednak danymi osobowymi, zaś art. 15 ust. 1 RODO stanowi, że osoba, której dane dotyczą, jest uprawniona do uzyskania potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, jest uprawniona do uzyskania dostępu do nich – jeśli więc na nagraniach z monitoringu dziecko jest widoczne, rodzice, jako przedstawiciele ustawowi dziecka, mają prawo do dostępu do nich, w okresie przechowywania nagrania
- stosujesz monitoring, a nie wiesz jak robić to zgodnie z prawem? Skorzystaj z naszej pomocy
Konduktor ma prawo potwierdzić tożsamość pasażera
- PKP Intercity może żądać okazania dokumentu przy sprawdzaniu biletów kupionych przez Internet czy też za pomocą aplikacji mobilnej – uznał Urząd Ochrony Danych Osobowych
- wymóg okazania dokumentu potwierdzającego tożsamość konduktorowi przy posługiwaniu się e-biletem zakwestionował w skardze złożonej do Prezesa UODO dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński
- była to jedna z pierwszych skarg skierowanych na podstawie ROD
- skarżący wskazał na naruszenie zasady minimalizacji danych, gdyż jego zdaniem skoro sprzedaż biletów w kasie nie wymaga podawania danych osobowych, to tak samo powinno być przy e-biletach
- PKP Intercity odpierało zarzuty, przekonując, że podanie imienia i nazwiska jest konieczne, aby zweryfikować, czy bilet jest autentyczny i czy nie posługuje się nim kilka osób – bilet z kasy jest wydrukowany na blankiecie odpowiednio zabezpieczonym przed kopiowaniem, natomiast dla elektronicznego biletu zabezpieczeniem jest przypisanie go do jednej osoby
- autor skargi zapowiada, że choć decyzja go nie satysfakcjonuje, to nie zamierza jej skarżyć
Źródło: https://prawo.gazetaprawna.pl/artykuly/1447394,uodo-konduktor-tozsamosc-pasazera.html
Tabela stanowisk urzędników służby cywilnej wciąż bez IOD
- Prezes UODO podtrzymuje swoje stanowisko, że nieuwzględnienie Inspektora ochrony danych w tabeli stanowisk urzędniczych służby cywilnej utrudnia wywiązanie się z obowiązku ochrony danych osobowych
- Prezes UODO dwukrotnie zwracał się do Szefa Służby Cywilnej z prośbą o zainicjowanie prac legislacyjnych, które pozwolą na zatrudnianie w strukturach służby cywilnej IOD na odrębnym stanowisku
- organ wskazywał, że luka istniejąca w tym zakresie w architekturze stanowisk urzędniczych utrudnia właściwe wywiązywanie się podmiotom z sektora publicznego z obowiązku powołania IOD, w tym zapewnienia mu bezpośredniej podległości najwyższemu kierownictwu i niezależności
- w opinii Szefa Służby Cywilnej, nie ma potrzeby dodawania stanowiska IOD do wykazu stanowisk urzędniczych – aktualnie funkcjonujące rozwiązania dotyczące stanowisk w służbie cywilnej są wystarczająco elastyczne, nie prowadzą do przerostu zatrudnienia, a jednocześnie pozwalają na właściwą realizację zadań wynikających z RODO
Źródło: https://uodo.gov.pl/pl/138/1306
Amerykanie na drodze do RODO
- z początkiem roku w Kalifornii zaczęła obowiązywać ustawa o ochronie konsumenckiej (CCPA), która w ograniczonym stopniu powiela przepisy RODO
- mieszkańcy największego stanu USA zyskali prawo do kontrolowania informacji na swój temat, jakie przetwarzają giganci rynku internetowego jak Facebook czy Google, ale też brokerzy trudniący się ich wyszukiwaniem i udostępnianiem
- za ustawą zagłosowali mieszkańcy Kalifornii w referendum zorganizowanym przy okazji ostatnich wyborów parlamentarnych i stanowych w 2018 r.
Holenderski organ ochrony danych o plikach cookies
- Holenderski Urząd Ochrony Danych (De Autoriteit Persoonsgegevens) przeprowadził kontrolę około 175 stron internetowych sklepów internetowych, gmin i mediów, między innymi w celu ustalenia, czy spełniają one wymagania dotyczące umieszczania plików cookies
- prawie połowa skontrolowanych stron internetowych nie spełniała w tym zakresie wymagań
- organ wskazał, że odwiedzający witrynę musi wyrazić zgodę na umieszczanie i przeglądanie śledzących plików cookies przy jednoznacznym i aktywnym działaniu – pole z zaznaczonym „tak” z góry, gdy użytkownik zostanie poproszony o zatwierdzenie, jest niedozwolone
- cisza, bezczynność, przewijanie w dół lub informacja „zgadzasz się, jeśli będziesz kontynuować na tej stronie” również nie są dozwolone
- organ przypomniał orzeczenie TSUE z 01.10.2019 r, w którym trybunał wskazał, że zgoda na instalowanie ciasteczek nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru
Dowód jako zastaw wciąż popularny
- zgodnie z prawem nikt nie może wymagać od obywatela pozostawienia dowodu osobistego, ale praktyka zatrzymywania dokumentu tożsamości lub jego kserowania ma nadal miejsce, np. w wypożyczalniach sprzętu narciarskiego
- Prezes UODO radzi, by w zastaw nie zostawiać dowodów osobistych ani innych dokumentów potwierdzających tożsamość, jak np. jak paszport, prawo jazdy czy legitymacja szkolna lub studencka
- UODO przypomina, że dokumenty tożsamości są wydawane w celach ściśle określonych przepisami prawa i zawierają wskazany w nich katalog danych osobowych, który jest szerszy niż ten, jaki można uznać za niezbędny dla realizacji określonego celu
- zatrzymywanie dokumentów potwierdzających tożsamość prowadzi nie tylko do naruszenia krajowych przepisów, ale także zasad zawartych w RODO
- chcesz, żeby Twoi pracownicy wiedzieli jakie działania mogą narazić pracodawcę na RODO-konsekwencje? Przeszkól ich
Źródło: https://www.prawo.pl/prawo/dowod-osobisty-w-zastaw-uodo-przypomina-ze-to-bezprawne,497074.html
Awaria Facebooka
- 10 stycznia br. przez kilka godzin można było dziś dowiedzieć się, kto jest administratorem stron na Facebooku
- aby zobaczyć, kto jest administratorem strony, wystarczyło sprawdzić szczegóły dotyczące edycji zamieszczonych wpisów
- błąd został już naprawiony, ale przez kilka godzin internauci mieli wgląd do niedostępnych wcześniej informacji
Źródło: https://www.rp.pl/Polityka/200119900-Awaria-Facebooka-Wiemy-kto-prowadzi-profile-politykow.html
8 administracyjnych kar pieniężnych UODO
- z informacji ujawnionych przez Urząd Ochrony Danych Osobowych w trakcie konferencji „Cyfrowy bliźniak” wynika, że w Polsce nałożono do tej pory 8 administracyjnych kar pieniężnych za naruszenie RODO
- ich łączna wysokość wynosi €958.760 (ponad 4 miliony złotych)
- najmniej wiadomo o 3 nałożonych jeszcze w 2019 r. karach:
- €460,00 (1.973 zł) dla wspólnoty mieszkaniowej
- €1.900 (8.148 zł) dla spółki zarządzającej nieruchomościami
- €7.000 (30.019,50 zł) dla spółki zajmującej się ochroną mienia i ludzi
Źródło: https://twitter.com/MaciekWlazlo/status/1215571896332365825
Bisnode przygotowuje skargę kasacyjną
- w bazie orzeczeń sądów administracyjnych został opublikowany wraz z uzasadnieniem wyrok z 11 grudnia 2019 r. w sprawie pierwszej kary Prezesa UODO dla spółki Bisnode za nieprzestrzeganie RODO (sygn. II SA/Wa 1030/19)
- Z uzasadnienia wynika, że choć sąd uchylił decyzję Prezesa UODO, to podzielił wiele jego poglądów
- wyrok nie jest zadowalający ani dla spółki, ani dla Prezesa UODO
- Andrzej Osiński, prezes Bisnode, powiedział, że na chwilę obecną spółka jest w trakcie procesu przygotowania skargi kasacyjnej do Najwyższego Sądu Administracyjnego
- wszystko wskazuje na to, że apelacja zostanie złożona w styczniu br.
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 23.12.2019
Pobierz
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 07.01.2020
Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.