RODO aktualności – 13.01.2020

• zdaniem UODO nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej
• w świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową
• za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO – zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną
• jak UODO wskazuje w poradniku dotyczącym tego obowiązku (Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO – str. 13) rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3), a zatem mogą być prowadzone zarówno w postaci papierowej, jak i elektronicznej

Źródło: https://uodo.gov.pl/pl/225/1278

• każdy może zostać inspektorem ochrony danych, niestety część z nich nie ma wystarczających kompetencji, a część łapie tylu klientów, że nie ma szans ich rzetelnie obsłużyć
• polskie przepisy nie stawiają IOD żadnych wymagań
• RODO teoretycznie mówi o kwalifikacjach zawodowych i wiedzy fachowej, ale nie przewiduje żadnych mechanizmów weryfikacji
• administrator ma obowiązek zgłoszenia wyznaczonego IOD Prezesowi UODO, ale rejestr nie jest jawny – nie wiadomo nawet, ilu IOD zostało w Polsce wyznaczonych
• RODO nie wskazuje wprost, czy obsługa wielu podmiotów jest dozwolona – art. 37 ust. 3 RODO wskazuje jednak, że można wyznaczyć jednego IOD dla kilku organów publicznych, a skoro dla kilku, to już nie dla kilkunastu, a tym bardziej kilkudziesięciu

Źródło: https://forsal.pl/artykuly/1445187,udawana-troska-o-rodo-inspektorem-ochrony-danych-moze-zostac-kazdy.html

• rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej uznał, że nie ma powodów, by generalnie podważyć klauzule umowne, na których opiera się przesyłanie danych osobowych Europejczyków poza UE
• zastrzegł on jednak, że jeśli służby kraju, do którego dane te trafiają mają zbyt łatwy do nich dostęp, to transfer na podstawie standardowych klauzul umownych powinien zostać zawieszony
• w 2015 r. Austriak Maximillian Schrems doprowadził do unieważnienia programu „Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA – TSUE uznał, że amerykańskie służby mają zbyt łatwy dostęp do informacji przetwarzanych przez tamtejsze firmy, w tym serwisy takie jak Facebook
• od sześciu lat Austriak próbuje przed irlandzkim organem ochrony danych i sądami podważyć inną podstawę prawą do przesyłania danych przez Facebooka czyli wspomniane standardowe klauzule umowne
• opinia rzecznika nie wiąże TSUE, a sam wyrok ma zapaść już w 2020 r.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1445427,facebook-tsue-transfer-dane-osobowe-schrems-klauzule-umowne.html

• do 20 grudnia 2019 r. nałożono co najmniej 227 kar za RODO
• prym w liczbie kar wiodą Niemcy (87), a w zakresie wpływów finansowych – Francja (€51.100.000)
• chcesz zminimalizować ryzyko nałożenia kary finansowej na Twoją organizację? Zamów audyt RODO
• opracowanie powstało między innymi na podstawie danych z GDPR Enforcement Tracker
• autorem opracowania jest Adam Klimowski

Źródło: https://twitter.com/adamklimowski/status/1208037552546099200

• sąd nie wstrzymał decyzji PUODO o zablokowaniu wyroku NSA w sprawie list poparcia do KRS
• RPO zaskarżył do sądu dwie decyzje Prezesa Urzędu Ochrony Danych Osobowych o nakazaniu Kancelarii Sejmu, aby nie udostępniała danych sędziów, którzy poparli kandydatów do nowej Krajowej Rady Sądownictwa
• zarazem Rzecznik zwrócił się do Wojewódzkiego Sądu Administracyjnego w Warszawie, by do czasu swego rozstrzygnięcia wstrzymał wykonanie tych decyzji prezesa UODO Jana Nowaka
• RPO skierował sprawę do sądu, bo decyzje PUODO mogą prowadzać do niewykonania prawomocnego wyroku Naczelnego Sądu Administracyjnego w sprawie ujawnienia list poparcia do KRS – prawomocne orzeczenie NSA wiąże zaś inne sądy i inne organy państwowe
• WSA odmówił wstrzymania decyzji co do przetwarzania danych osobowych jednego z sędziów, który poparł wybór członków KRS w marcu 2018 r. przez Sejm

Źródło: https://www.rpo.gov.pl/pl/content/wsa-nie-wstrzyma%C5%82-decyzji-puodo-o-zablokowaniu-wyroku-nsa-ws-list-poparcia-do-krs 

• powstał projekt ustawy ograniczającej dostęp do pornografii
• Nikt na świecie nie wprowadził jeszcze sposobu, który skutecznie weryfikowałby wiek osób odwiedzających strony internetowe przy zachowaniu odpowiedniego poziomu prywatności – komentuje Piotr Konieczny z Niebezpiecznik.pl
• Stowarzyszenie Twoja Sprawa, które jest autorem projektu przyznaje, że nie wie, jak zrealizować wysuwane przez siebie postulaty
• z projektu wynika, że obowiązek weryfikacji wieku spadłby na administratorów stron pornograficznych – natomiast zadbanie o to, aby prywatność użytkowników nie była naruszona, ma być zadaniem dla Urzędu Ochrony Danych Osobowych
• dwa miesiące temu, 16 października, rząd Wielkiej Brytanii ogłosił, że wbrew wcześniejszym zapowiedziom, nie wprowadzi blokady dostępu do treści pornograficznych – jako główną przyczynę porzucenia pomysłu podaje się właśnie konieczność wprowadzenia internetowej weryfikacji wieku, a raczej wynikające z tego zagrożenia dla prywatności obywateli oraz skomplikowane wdrożenie po stronie dostawców treści i ocena tego, kto miałby być objęty takim obowiązkiem

Źródło: https://tech.wp.pl/blokada-pornografii-w-polsce-premier-chwali-pomysl-ale-rozwiazania-technicznego-brak-6457694303221377a https://niebezpiecznik.pl/post/blokada-tresci-pornograficznych-w-polsce/

• Prezes UODO otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od Virgin Mobile Polska i postanowił przeprowadzić czynności kontrolne
• sprawa dotyczy nieuprawnionego ujawnienia danych osobowych, tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Virgin Mobile Polska
• spółka podkreśla, że doszło do ataku hakerskiego na jedną z aplikacji informatycznych, która umożliwiała dostęp do danych rejestrowych i dotyczy wyłącznie części abonentów dokonujących rejestracji prepaid

Źródło: https://uodo.gov.pl/pl/138/1301

• radny w pewnych aspektach swojej działalności jest administratorem danych w rozumieniu RODO
• chodzi m.in. o dyżury czy interwencje radnych, podczas których przyjmują skargi, oświadczenia czy kontakty do mieszkańców
• radni muszą odpowiednio przygotować się do administrowania takimi danymi
• sytuacja wyglądałaby inaczej, gdyby nie nowelizacja ustawy o samorządzie gminnym, która zaczęła obowiązywać na początku 2018 r. i dała radnym nowe uprawnienia kontrolne min. umożliwiając im samodzielnie, a nie w imieniu całej rady, występowanie po pewne informacje

Źródło: https://www.portalsamorzadowy.pl/prawo-i-finanse/radny-to-takze-administrator-danych-osobowych,143457.html

• UODO wydał niedawno komunikat, z którego wynika, że dzieci mają prawo do otrzymania informacji o naruszeniach ich danych osobowych
• komunikat ten odnosił się ogólnie do osób niepełnoletnich i dotyczył obowiązków administratorów w zakresie komunikowania się z osobami niepełnoletnimi w przypadku naruszeń ochrony danych osobowych wymagających powiadomienia osób, których dane dotyczą
• przekaz ten powinien być różnicowany, gdyż w grupie osób niepełnoletnich mogą być zarówno małe dzieci, jak i osoby prawie dorosłe
• Administrator w komunikacie kierowanym do osoby małoletniej może jej zalecić zachowanie ostrożności. Czasami przekaz może odbywać się przez pośredników, np. nauczycieli lub rodziców – mówi Monika Młotkiewicz, naczelnik wydziału współpracy z inspektorami ochrony danych UODO

Źródło: https://prawo.gazetaprawna.pl/artykuly/1447238,ochrona-danych-osobowych-dzieci-monika-mlotkiewicz.html https://uodo.gov.pl/pl/138/1287

• zgodnie z art. 23a ust. 1 ustawy o działalności leczniczej regulamin organizacyjny podmiotu wykonującego działalność leczniczą może określić sposób obserwacji pomieszczeń ogólnodostępnych lub pomieszczeń, w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych
• nagrania z monitoringu nie stanowią jednak dokumentacji medycznej
• monitoring na sali szpitalnej nie służy kontroli jakości pracy pracowników, zatem jego udostępnienie np. rodzicom dziecka nagrań w celu skontrolowania prawidłowości opieki nad nim wymagałoby zgody pracowników, których wizerunek znajduje się na nagraniach, lub usunięcia (zasłonięcia) ich wizerunku
• wizerunek osoby jest jednak danymi osobowymi, zaś art. 15 ust. 1 RODO stanowi, że  osoba, której dane dotyczą, jest uprawniona do uzyskania potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, jest uprawniona do uzyskania dostępu do nich – jeśli więc na nagraniach z monitoringu dziecko jest widoczne, rodzice, jako przedstawiciele ustawowi dziecka, mają prawo do dostępu do nich, w okresie przechowywania nagrania
• stosujesz monitoring, a nie wiesz jak robić to zgodnie z prawem? Skorzystaj z naszej pomocy

Źródło: https://www.prawo.pl/zdrowie/czy-monitoring-w-szpitalu-moze-sluzyc-kontroli-jakosci-pracy,496957.html

• PKP Intercity może żądać okazania dokumentu przy sprawdzaniu biletów kupionych przez Internet czy też za pomocą aplikacji mobilnej – uznał Urząd Ochrony Danych Osobowych
• wymóg okazania dokumentu potwierdzającego tożsamość konduktorowi przy posługiwaniu się e-biletem zakwestionował w skardze złożonej do Prezesa UODO dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński
• była to jedna z pierwszych skarg skierowanych na podstawie ROD
• skarżący wskazał na naruszenie zasady minimalizacji danych, gdyż jego zdaniem skoro sprzedaż biletów w kasie nie wymaga podawania danych osobowych, to tak samo powinno być przy e-biletach
• PKP Intercity odpierało zarzuty, przekonując, że podanie imienia i nazwiska jest konieczne, aby zweryfikować, czy bilet jest autentyczny i czy nie posługuje się nim kilka osób – bilet z kasy jest wydrukowany na blankiecie odpowiednio zabezpieczonym przed kopiowaniem, natomiast dla elektronicznego biletu zabezpieczeniem jest przypisanie go do jednej osoby
• autor skargi zapowiada, że choć decyzja go nie satysfakcjonuje, to nie zamierza jej skarżyć

Źródło: https://prawo.gazetaprawna.pl/artykuly/1447394,uodo-konduktor-tozsamosc-pasazera.html

• Prezes UODO podtrzymuje swoje stanowisko, że nieuwzględnienie Inspektora ochrony danych w tabeli stanowisk urzędniczych służby cywilnej utrudnia wywiązanie się z obowiązku ochrony danych osobowych
• Prezes UODO dwukrotnie zwracał się do Szefa Służby Cywilnej z prośbą o zainicjowanie prac legislacyjnych, które pozwolą na zatrudnianie w strukturach służby cywilnej IOD na odrębnym stanowisku
• organ wskazywał, że luka istniejąca w tym zakresie w architekturze stanowisk urzędniczych utrudnia właściwe wywiązywanie się podmiotom z sektora publicznego z obowiązku powołania IOD, w tym zapewnienia mu bezpośredniej podległości najwyższemu kierownictwu i niezależności
• w opinii Szefa Służby Cywilnej, nie ma potrzeby dodawania stanowiska IOD do wykazu stanowisk urzędniczych – aktualnie funkcjonujące rozwiązania dotyczące stanowisk w służbie cywilnej są wystarczająco elastyczne, nie prowadzą do przerostu zatrudnienia, a jednocześnie pozwalają na właściwą realizację zadań wynikających z RODO

Źródło: https://uodo.gov.pl/pl/138/1306

• z początkiem roku w Kalifornii zaczęła obowiązywać ustawa o ochronie konsumenckiej (CCPA), która w ograniczonym stopniu powiela przepisy RODO
• mieszkańcy największego stanu USA zyskali prawo do kontrolowania informacji na swój temat, jakie przetwarzają giganci rynku internetowego jak Facebook czy Google, ale też brokerzy trudniący się ich wyszukiwaniem i udostępnianiem
• za ustawą zagłosowali mieszkańcy Kalifornii w referendum zorganizowanym przy okazji ostatnich wyborów parlamentarnych i stanowych w 2018 r.

Źródło: https://www.gazetaprawna.pl/artykuly/1447395,kalifornia-usa-reguluje-ochrone-prywatnosci-w-sieci-rodo.html

• Holenderski Urząd Ochrony Danych (De Autoriteit Persoonsgegevens) przeprowadził kontrolę około 175 stron internetowych sklepów internetowych, gmin i mediów, między innymi w celu ustalenia, czy spełniają one wymagania dotyczące umieszczania plików cookies
• prawie połowa skontrolowanych stron internetowych nie spełniała w tym zakresie wymagań
• organ wskazał, że odwiedzający witrynę musi wyrazić zgodę na umieszczanie i przeglądanie śledzących plików cookies przy jednoznacznym i aktywnym działaniu – pole z zaznaczonym „tak” z góry, gdy użytkownik zostanie poproszony o zatwierdzenie, jest niedozwolone
• cisza, bezczynność, przewijanie w dół lub informacja „zgadzasz się, jeśli będziesz kontynuować na tej stronie” również nie są dozwolone
• organ przypomniał orzeczenie TSUE z 01.10.2019 r, w którym trybunał wskazał, że zgoda na instalowanie ciasteczek nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru

Źródło: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-veel-websites-vragen-op-onjuiste-wijze-toestemming-voor-plaatsen-tracking-cookies

• zgodnie z prawem nikt nie może wymagać od obywatela pozostawienia dowodu osobistego, ale praktyka zatrzymywania dokumentu tożsamości lub jego kserowania ma nadal miejsce, np. w wypożyczalniach sprzętu narciarskiego
• Prezes UODO radzi, by w zastaw nie zostawiać dowodów osobistych ani innych dokumentów potwierdzających tożsamość, jak np. jak paszport, prawo jazdy czy legitymacja szkolna lub studencka
• UODO przypomina, że dokumenty tożsamości są wydawane w celach ściśle określonych przepisami prawa i zawierają wskazany w nich katalog danych osobowych, który jest szerszy niż ten, jaki można uznać za niezbędny dla realizacji określonego celu
• zatrzymywanie dokumentów potwierdzających tożsamość prowadzi nie tylko do naruszenia krajowych przepisów, ale także zasad zawartych w RODO
• chcesz, żeby Twoi pracownicy wiedzieli jakie działania mogą narazić pracodawcę na RODO-konsekwencje? Przeszkól ich

Źródło: https://www.prawo.pl/prawo/dowod-osobisty-w-zastaw-uodo-przypomina-ze-to-bezprawne,497074.html

• 10 stycznia br. przez kilka godzin można było dziś dowiedzieć się, kto jest administratorem stron na Facebooku
• aby zobaczyć, kto jest administratorem strony, wystarczyło sprawdzić szczegóły dotyczące edycji zamieszczonych wpisów
• błąd został już naprawiony, ale przez kilka godzin internauci mieli wgląd do niedostępnych wcześniej informacji

Źródło: https://www.rp.pl/Polityka/200119900-Awaria-Facebooka-Wiemy-kto-prowadzi-profile-politykow.html

• z informacji ujawnionych przez Urząd Ochrony Danych Osobowych w trakcie konferencji „Cyfrowy bliźniak” wynika, że w Polsce nałożono do tej pory 8 administracyjnych kar pieniężnych za naruszenie RODO
• ich łączna wysokość wynosi €958.760 (ponad 4 miliony złotych)
• najmniej wiadomo o 3 nałożonych jeszcze w 2019 r. karach:
  • €460,00 (1.973 zł) dla wspólnoty mieszkaniowej
  • €1.900 (8.148 zł) dla spółki zarządzającej nieruchomościami
  • €7.000 (30.019,50 zł) dla spółki zajmującej się ochroną mienia i ludzi

Źródło: https://twitter.com/MaciekWlazlo/status/1215571896332365825

• w bazie orzeczeń sądów administracyjnych został opublikowany wraz z uzasadnieniem wyrok  z 11 grudnia 2019 r. w sprawie pierwszej kary Prezesa UODO dla spółki Bisnode za nieprzestrzeganie RODO (sygn. II SA/Wa 1030/19)
• Z uzasadnienia wynika, że choć sąd uchylił decyzję Prezesa UODO, to podzielił wiele jego poglądów
• wyrok nie jest zadowalający ani dla spółki, ani dla Prezesa UODO
• Andrzej Osiński, prezes Bisnode, powiedział, że na chwilę obecną spółka jest w trakcie procesu przygotowania skargi kasacyjnej do Najwyższego Sądu Administracyjnego
• wszystko wskazuje na to, że apelacja zostanie złożona w styczniu br.

Źródło: https://www.prawo.pl/biznes/uzasadnienie-wyrok-wsa-w-sprawie-decyzji-uodo-dotyczacej-bisnode,497105.html?_ga=2.232629151.1242081695.1578640602-1758732953.1575526799