Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 13.01.2020

Nowy plan kontroli PUODO – kto na celowniku? Życzenia Świąteczne z… obowiązkiem informacyjnym? „Pisemne” upoważnienia – czy można je nadawać w formie elektronicznej? Czy KAŻDY może zostać IOD? Ile kar za naruszenie RODO zostało nałożonych w UE do końca tego roku? Prywatność a… ograniczenie dostępu do pornografii? Abonencie Virgin Mobile Polska – czy masz się czego obawiać? Czy dzieci także mają prawo do informacji o naruszeniach ich danych osobowych? Monitoring w szpitalu – na co uważać? Czy konduktor ma prawo potwierdzić tożsamość pasażera? Czy USA wprowadzą „swoje RODO”?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Nowy plan kontroli PUODO - kto na celowniku?

  • Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych na rok 2020
  • zgodnie z nim w tym roku zostaną przeprowadzone kontrole sektorowe w:

-bankach pod kątem kopiowania dokumentów tożsamości,

-podmiotach korzystających z systemu zdalnego odczytu wodomierzy,

-organach przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym, tj. konsulatach i administracji skarbowej.

Źródło: https://uodo.gov.pl/pl/138/1302

Elektroniczna postać upoważnienia

  • zdaniem UODO nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej
  • w świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową
  • za przyjęciem takiego stanowiska przemawia również podejście co do formy pisemnej wskazanej w art. 30 ust. 3 RODO – zgodnie z tym przepisem, rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, mają formę pisemną, w tym formę elektroniczną
  • jak UODO wskazuje w poradniku dotyczącym tego obowiązku (Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO – str. 13) rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3), a zatem mogą być prowadzone zarówno w postaci papierowej, jak i elektronicznej

Źródło: https://uodo.gov.pl/pl/225/1278

IOD może zostać każdy?

  • każdy może zostać inspektorem ochrony danych, niestety część z nich nie ma wystarczających kompetencji, a część łapie tylu klientów, że nie ma szans ich rzetelnie obsłużyć
  • polskie przepisy nie stawiają IOD żadnych wymagań
  • RODO teoretycznie mówi o kwalifikacjach zawodowych i wiedzy fachowej, ale nie przewiduje żadnych mechanizmów weryfikacji
  • administrator ma obowiązek zgłoszenia wyznaczonego IOD Prezesowi UODO, ale rejestr nie jest jawny – nie wiadomo nawet, ilu IOD zostało w Polsce wyznaczonych
  • RODO nie wskazuje wprost, czy obsługa wielu podmiotów jest dozwolona – art. 37 ust. 3 RODO wskazuje jednak, że można wyznaczyć jednego IOD dla kilku organów publicznych, a skoro dla kilku, to już nie dla kilkunastu, a tym bardziej kilkudziesięciu

Źródło: https://forsal.pl/artykuly/1445187,udawana-troska-o-rodo-inspektorem-ochrony-danych-moze-zostac-kazdy.html

Facebook może przesyłać dane do USA

  • rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej uznał, że nie ma powodów, by generalnie podważyć klauzule umowne, na których opiera się przesyłanie danych osobowych Europejczyków poza UE
  • zastrzegł on jednak, że jeśli służby kraju, do którego dane te trafiają mają zbyt łatwy do nich dostęp, to transfer na podstawie standardowych klauzul umownych powinien zostać zawieszony
  • w 2015 r. Austriak Maximillian Schrems doprowadził do unieważnienia programu „Safe Harbour” (bezpieczna przystań), który był podstawą do przesyłania danych Europejczyków do USA – TSUE uznał, że amerykańskie służby mają zbyt łatwy dostęp do informacji przetwarzanych przez tamtejsze firmy, w tym serwisy takie jak Facebook
  • od sześciu lat Austriak próbuje przed irlandzkim organem ochrony danych i sądami podważyć inną podstawę prawą do przesyłania danych przez Facebooka czyli wspomniane standardowe klauzule umowne
  • opinia rzecznika nie wiąże TSUE, a sam wyrok ma zapaść już w 2020 r.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1445427,facebook-tsue-transfer-dane-osobowe-schrems-klauzule-umowne.html

Co najmniej 227 kar za RODO

  • do 20 grudnia 2019 r. nałożono co najmniej 227 kar za RODO
  • prym w liczbie kar wiodą Niemcy (87), a w zakresie wpływów finansowych – Francja (€51.100.000)
  • chcesz zminimalizować ryzyko nałożenia kary finansowej na Twoją organizację? Zamów audyt RODO
  • opracowanie powstało między innymi na podstawie danych z GDPR Enforcement Tracker
  • autorem opracowania jest Adam Klimowski

Źródło: https://twitter.com/adamklimowski/status/1208037552546099200

Sąd nie wstrzymał decyzji PUODO

  • sąd nie wstrzymał decyzji PUODO o zablokowaniu wyroku NSA w sprawie list poparcia do KRS
  • RPO zaskarżył do sądu dwie decyzje Prezesa Urzędu Ochrony Danych Osobowych o nakazaniu Kancelarii Sejmu, aby nie udostępniała danych sędziów, którzy poparli kandydatów do nowej Krajowej Rady Sądownictwa
  • zarazem Rzecznik zwrócił się do Wojewódzkiego Sądu Administracyjnego w Warszawie, by do czasu swego rozstrzygnięcia wstrzymał wykonanie tych decyzji prezesa UODO Jana Nowaka
  • RPO skierował sprawę do sądu, bo decyzje PUODO mogą prowadzać do niewykonania prawomocnego wyroku Naczelnego Sądu Administracyjnego w sprawie ujawnienia list poparcia do KRS – prawomocne orzeczenie NSA wiąże zaś inne sądy i inne organy państwowe
  • WSA odmówił wstrzymania decyzji co do przetwarzania danych osobowych jednego z sędziów, który poparł wybór członków KRS w marcu 2018 r. przez Sejm

Źródło: https://www.rpo.gov.pl/pl/content/wsa-nie-wstrzyma%C5%82-decyzji-puodo-o-zablokowaniu-wyroku-nsa-ws-list-poparcia-do-krs 

Ograniczenie dostępu do pornografii a prywatność

  • powstał projekt ustawy ograniczającej dostęp do pornografii
  • Nikt na świecie nie wprowadził jeszcze sposobu, który skutecznie weryfikowałby wiek osób odwiedzających strony internetowe przy zachowaniu odpowiedniego poziomu prywatności – komentuje Piotr Konieczny z Niebezpiecznik.pl
  • Stowarzyszenie Twoja Sprawa, które jest autorem projektu przyznaje, że nie wie, jak zrealizować wysuwane przez siebie postulaty
  • z projektu wynika, że obowiązek weryfikacji wieku spadłby na administratorów stron pornograficznych – natomiast zadbanie o to, aby prywatność użytkowników nie była naruszona, ma być zadaniem dla Urzędu Ochrony Danych Osobowych
  • dwa miesiące temu, 16 października, rząd Wielkiej Brytanii ogłosił, że wbrew wcześniejszym zapowiedziom, nie wprowadzi blokady dostępu do treści pornograficznych – jako główną przyczynę porzucenia pomysłu podaje się właśnie konieczność wprowadzenia internetowej weryfikacji wieku, a raczej wynikające z tego zagrożenia dla prywatności obywateli oraz skomplikowane wdrożenie po stronie dostawców treści i ocena tego, kto miałby być objęty takim obowiązkiem

Źródło: https://tech.wp.pl/blokada-pornografii-w-polsce-premier-chwali-pomysl-ale-rozwiazania-technicznego-brak-6457694303221377a https://niebezpiecznik.pl/post/blokada-tresci-pornograficznych-w-polsce/

Czynności kontrolne w Virgin Mobile Polska

  • Prezes UODO otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od Virgin Mobile Polska i postanowił przeprowadzić czynności kontrolne
  • sprawa dotyczy nieuprawnionego ujawnienia danych osobowych, tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Virgin Mobile Polska
  • spółka podkreśla, że doszło do ataku hakerskiego na jedną z aplikacji informatycznych, która umożliwiała dostęp do danych rejestrowych i dotyczy wyłącznie części abonentów dokonujących rejestracji prepaid

Źródło: https://uodo.gov.pl/pl/138/1301

Radny to także administrator danych osobowych

  • radny w pewnych aspektach swojej działalności jest administratorem danych w rozumieniu RODO
  • chodzi m.in. o dyżury czy interwencje radnych, podczas których przyjmują skargi, oświadczenia czy kontakty do mieszkańców
  • radni muszą odpowiednio przygotować się do administrowania takimi danymi
  • sytuacja wyglądałaby inaczej, gdyby nie nowelizacja ustawy o samorządzie gminnym, która zaczęła obowiązywać na początku 2018 r. i dała radnym nowe uprawnienia kontrolne min. umożliwiając im samodzielnie, a nie w imieniu całej rady, występowanie po pewne informacje

Źródło: https://www.portalsamorzadowy.pl/prawo-i-finanse/radny-to-takze-administrator-danych-osobowych,143457.html

Dzieci mają prawo do informacji o naruszeniach ich danych osobowych

  • UODO wydał niedawno komunikat, z którego wynika, że dzieci mają prawo do otrzymania informacji o naruszeniach ich danych osobowych
  • komunikat ten odnosił się ogólnie do osób niepełnoletnich i dotyczył obowiązków administratorów w zakresie komunikowania się z osobami niepełnoletnimi w przypadku naruszeń ochrony danych osobowych wymagających powiadomienia osób, których dane dotyczą
  • przekaz ten powinien być różnicowany, gdyż w grupie osób niepełnoletnich mogą być zarówno małe dzieci, jak i osoby prawie dorosłe
  • Administrator w komunikacie kierowanym do osoby małoletniej może jej zalecić zachowanie ostrożności. Czasami przekaz może odbywać się przez pośredników, np. nauczycieli lub rodziców – mówi Monika Młotkiewicz, naczelnik wydziału współpracy z inspektorami ochrony danych UODO

Źródło: https://prawo.gazetaprawna.pl/artykuly/1447238,ochrona-danych-osobowych-dzieci-monika-mlotkiewicz.html https://uodo.gov.pl/pl/138/1287

Monitoring w szpitalu nie może służyć kontroli jakości pracy

  • zgodnie z art. 23a ust. 1 ustawy o działalności leczniczej regulamin organizacyjny podmiotu wykonującego działalność leczniczą może określić sposób obserwacji pomieszczeń ogólnodostępnych lub pomieszczeń, w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych
  • nagrania z monitoringu nie stanowią jednak dokumentacji medycznej
  • monitoring na sali szpitalnej nie służy kontroli jakości pracy pracowników, zatem jego udostępnienie np. rodzicom dziecka nagrań w celu skontrolowania prawidłowości opieki nad nim wymagałoby zgody pracowników, których wizerunek znajduje się na nagraniach, lub usunięcia (zasłonięcia) ich wizerunku
  • wizerunek osoby jest jednak danymi osobowymi, zaś art. 15 ust. 1 RODO stanowi, że  osoba, której dane dotyczą, jest uprawniona do uzyskania potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, jest uprawniona do uzyskania dostępu do nich – jeśli więc na nagraniach z monitoringu dziecko jest widoczne, rodzice, jako przedstawiciele ustawowi dziecka, mają prawo do dostępu do nich, w okresie przechowywania nagrania
  • stosujesz monitoring, a nie wiesz jak robić to zgodnie z prawem? Skorzystaj z naszej pomocy

Źródło: https://www.prawo.pl/zdrowie/czy-monitoring-w-szpitalu-moze-sluzyc-kontroli-jakosci-pracy,496957.html

Konduktor ma prawo potwierdzić tożsamość pasażera

  • PKP Intercity może żądać okazania dokumentu przy sprawdzaniu biletów kupionych przez Internet czy też za pomocą aplikacji mobilnej – uznał Urząd Ochrony Danych Osobowych
  • wymóg okazania dokumentu potwierdzającego tożsamość konduktorowi przy posługiwaniu się e-biletem zakwestionował w skardze złożonej do Prezesa UODO dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński
  • była to jedna z pierwszych skarg skierowanych na podstawie ROD
  • skarżący wskazał na naruszenie zasady minimalizacji danych, gdyż jego zdaniem skoro sprzedaż biletów w kasie nie wymaga podawania danych osobowych, to tak samo powinno być przy e-biletach
  • PKP Intercity odpierało zarzuty, przekonując, że podanie imienia i nazwiska jest konieczne, aby zweryfikować, czy bilet jest autentyczny i czy nie posługuje się nim kilka osób – bilet z kasy jest wydrukowany na blankiecie odpowiednio zabezpieczonym przed kopiowaniem, natomiast dla elektronicznego biletu zabezpieczeniem jest przypisanie go do jednej osoby
  • autor skargi zapowiada, że choć decyzja go nie satysfakcjonuje, to nie zamierza jej skarżyć

Źródło: https://prawo.gazetaprawna.pl/artykuly/1447394,uodo-konduktor-tozsamosc-pasazera.html

Tabela stanowisk urzędników służby cywilnej wciąż bez IOD

  • Prezes UODO podtrzymuje swoje stanowisko, że nieuwzględnienie Inspektora ochrony danych w tabeli stanowisk urzędniczych służby cywilnej utrudnia wywiązanie się z obowiązku ochrony danych osobowych
  • Prezes UODO dwukrotnie zwracał się do Szefa Służby Cywilnej z prośbą o zainicjowanie prac legislacyjnych, które pozwolą na zatrudnianie w strukturach służby cywilnej IOD na odrębnym stanowisku
  • organ wskazywał, że luka istniejąca w tym zakresie w architekturze stanowisk urzędniczych utrudnia właściwe wywiązywanie się podmiotom z sektora publicznego z obowiązku powołania IOD, w tym zapewnienia mu bezpośredniej podległości najwyższemu kierownictwu i niezależności
  • w opinii Szefa Służby Cywilnej, nie ma potrzeby dodawania stanowiska IOD do wykazu stanowisk urzędniczych – aktualnie funkcjonujące rozwiązania dotyczące stanowisk w służbie cywilnej są wystarczająco elastyczne, nie prowadzą do przerostu zatrudnienia, a jednocześnie pozwalają na właściwą realizację zadań wynikających z RODO

Źródło: https://uodo.gov.pl/pl/138/1306

Amerykanie na drodze do RODO

  • z początkiem roku w Kalifornii zaczęła obowiązywać ustawa o ochronie konsumenckiej (CCPA), która w ograniczonym stopniu powiela przepisy RODO
  • mieszkańcy największego stanu USA zyskali prawo do kontrolowania informacji na swój temat, jakie przetwarzają giganci rynku internetowego jak Facebook czy Google, ale też brokerzy trudniący się ich wyszukiwaniem i udostępnianiem
  • za ustawą zagłosowali mieszkańcy Kalifornii w referendum zorganizowanym przy okazji ostatnich wyborów parlamentarnych i stanowych w 2018 r.

Źródło: https://www.gazetaprawna.pl/artykuly/1447395,kalifornia-usa-reguluje-ochrone-prywatnosci-w-sieci-rodo.html

Holenderski organ ochrony danych o plikach cookies

  • Holenderski Urząd Ochrony Danych (De Autoriteit Persoonsgegevens) przeprowadził kontrolę około 175 stron internetowych sklepów internetowych, gmin i mediów, między innymi w celu ustalenia, czy spełniają one wymagania dotyczące umieszczania plików cookies
  • prawie połowa skontrolowanych stron internetowych nie spełniała w tym zakresie wymagań
  • organ wskazał, że odwiedzający witrynę musi wyrazić zgodę na umieszczanie i przeglądanie śledzących plików cookies przy jednoznacznym i aktywnym działaniu – pole z zaznaczonym „tak” z góry, gdy użytkownik zostanie poproszony o zatwierdzenie, jest niedozwolone
  • cisza, bezczynność, przewijanie w dół lub informacja „zgadzasz się, jeśli będziesz kontynuować na tej stronie” również nie są dozwolone
  • organ przypomniał orzeczenie TSUE z 01.10.2019 r, w którym trybunał wskazał, że zgoda na instalowanie ciasteczek nie jest ważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru

Źródło: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-veel-websites-vragen-op-onjuiste-wijze-toestemming-voor-plaatsen-tracking-cookies

Dowód jako zastaw wciąż popularny

  • zgodnie z prawem nikt nie może wymagać od obywatela pozostawienia dowodu osobistego, ale praktyka zatrzymywania dokumentu tożsamości lub jego kserowania ma nadal miejsce, np. w wypożyczalniach sprzętu narciarskiego
  • Prezes UODO radzi, by w zastaw nie zostawiać dowodów osobistych ani innych dokumentów potwierdzających tożsamość, jak np. jak paszport, prawo jazdy czy legitymacja szkolna lub studencka
  • UODO przypomina, że dokumenty tożsamości są wydawane w celach ściśle określonych przepisami prawa i zawierają wskazany w nich katalog danych osobowych, który jest szerszy niż ten, jaki można uznać za niezbędny dla realizacji określonego celu
  • zatrzymywanie dokumentów potwierdzających tożsamość prowadzi nie tylko do naruszenia krajowych przepisów, ale także zasad zawartych w RODO
  • chcesz, żeby Twoi pracownicy wiedzieli jakie działania mogą narazić pracodawcę na RODO-konsekwencje? Przeszkól ich

Źródło: https://www.prawo.pl/prawo/dowod-osobisty-w-zastaw-uodo-przypomina-ze-to-bezprawne,497074.html

Awaria Facebooka

  • 10 stycznia br. przez kilka godzin można było dziś dowiedzieć się, kto jest administratorem stron na Facebooku
  • aby zobaczyć, kto jest administratorem strony, wystarczyło sprawdzić szczegóły dotyczące edycji zamieszczonych wpisów
  • błąd został już naprawiony, ale przez kilka godzin internauci mieli wgląd do niedostępnych wcześniej informacji

Źródło: https://www.rp.pl/Polityka/200119900-Awaria-Facebooka-Wiemy-kto-prowadzi-profile-politykow.html

8 administracyjnych kar pieniężnych UODO

  • z informacji ujawnionych przez Urząd Ochrony Danych Osobowych w trakcie konferencji “Cyfrowy bliźniak” wynika, że w Polsce nałożono do tej pory 8 administracyjnych kar pieniężnych za naruszenie RODO
  • ich łączna wysokość wynosi €958.760 (ponad 4 miliony złotych)
  • najmniej wiadomo o 3 nałożonych jeszcze w 2019 r. karach:
    • €460,00 (1.973 zł) dla wspólnoty mieszkaniowej
    • €1.900 (8.148 zł) dla spółki zarządzającej nieruchomościami
    • €7.000 (30.019,50 zł) dla spółki zajmującej się ochroną mienia i ludzi

Źródło: https://twitter.com/MaciekWlazlo/status/1215571896332365825

Bisnode przygotowuje skargę kasacyjną

  • w bazie orzeczeń sądów administracyjnych został opublikowany wraz z uzasadnieniem wyrok  z 11 grudnia 2019 r. w sprawie pierwszej kary Prezesa UODO dla spółki Bisnode za nieprzestrzeganie RODO (sygn. II SA/Wa 1030/19)
  • Z uzasadnienia wynika, że choć sąd uchylił decyzję Prezesa UODO, to podzielił wiele jego poglądów
  • wyrok nie jest zadowalający ani dla spółki, ani dla Prezesa UODO
  • Andrzej Osiński, prezes Bisnode, powiedział, że na chwilę obecną spółka jest w trakcie procesu przygotowania skargi kasacyjnej do Najwyższego Sądu Administracyjnego
  • wszystko wskazuje na to, że apelacja zostanie złożona w styczniu br.

Źródło: https://www.prawo.pl/biznes/uzasadnienie-wyrok-wsa-w-sprawie-decyzji-uodo-dotyczacej-bisnode,497105.html?_ga=2.232629151.1242081695.1578640602-1758732953.1575526799

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia 23.12.2019
Pobierz

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia 07.01.2020
Pobierz

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia 13.01.2020
Pobierz

Powiązane artykuły

rodo aktualności
RODO aktualności – 11.02.2020
rodo aktualności
RODO aktualności – 17.12.2019
rodo aktualności
RODO aktualności – 25.11.2019

Zostaw odpowiedź

* pola obowiązkowe