RODO aktualności – 01.06.2021 r.

• Cyfrowy Polsat S.A. nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską – efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem
• z powodu tych zaniedbań Prezes UODO nałożył na spółkę karę pieniężną w wysokości ponad 1,1 mln zł.
• pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarany administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń
• zdaniem UODO było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie
• dopiero w toku postępowania spółka wdrożyła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie
• Prezes UODO zdecydował się nałożyć na spółkę karę za naruszenia przepisów RODO, gdyż zastosowanie innych środków naprawczych nie byłoby proporcjonalne do stwierdzonych nieprawidłowości

Źródło: https://uodo.gov.pl/pl/138/2048

• podczas sesji plenarnej EROD przyjęła dwie opinie ws. pierwszych projektów decyzji dotyczących międzynarodowych kodeksów postępowania – kodeksy zostały przedstawione przez belgijskie i francuskie organy nadzorcze
• projekt decyzji belgijskiego SA dotyczył kodeksu postępowania UE CLOUD skierowanego do dostawców usług w chmurze
• projekt decyzji francuskiego SA dotyczył Kodeksu Postępowania CISPE, skierowanego do dostawców usług infrastruktury chmurowej
• celem kodeksów jest zapewnienie praktycznych wskazówek i określenie szczegółowych wymagań dla podmiotów przetwarzających w UE podlegających tym kodeksom
• EROD jest zdania, że ​​oba projekty kodeksów są zgodne z RODO i spełniają wymogi określone w art. 40 i 41 RODO
• zgodnie z RODO przestrzeganie zatwierdzonych kodeksów postępowania może być elementem wykazania zgodności z prawem

• po pozytywnej opinii EROD, w dniu 20.05.2021 r. belgijski urząd ochrony danych zatwierdził paneuropejski kodeks postępowania RODO – European Union Cloud Code of Conduct (EU Cloud CoC) – podmiotem monitorującym przestrzeganie postanowień kodeksu została organizacja SCOPE Europe
• EU Cloud CoC konkretyzuje wymagania art. 28 RODO oraz innych przepisów RODO, istotnych dla przetwarzania danych w chmurze
• wymagania kodeksu EU Cloud CoC zostały ujęte w aneksie w postaci listy kontrolnej – odnoszą się one między innymi do norm: ISO/IEC 27001:2013, ISO/IEC 27018:2019 oraz ISO/IEC 27701:2019
• EU Cloud CoC przestrzegają już Google i Microsoft

Źródło: https://edpb.europa.eu/news/news/2021/edpb-adopts-opinions-first-transnational-codes-conduct-statement-data-governance-act_en https://www.prawo.pl/biznes/ochrona-danych-w-chmurze-kodeks-zatwierdzony-przez-europejska,508414.html  https://cloud.google.com/blog/products/compliance/google-cloud-adopts-eu-gdpr-cloud-code-of-conduct

• jeśli strona internetowa jest adresowana do odbiorców w innych państwach, to obowiązek informacyjny RODO należy wypełnić także w obcych językach – potwierdza to niedawna decyzja austriackiego organu ochrony danych wydana wobec polskiego przedsiębiorcy
• skargę złożyła obywatelka Austrii Brigitte A., która otrzymała list od polskiego producenta okuć okiennych – skontaktował się z nią, gdyż wcześniej kupiła okna, a po czasie okazało się, że część z nich może mieć wadliwe zamknięcia
• Austriaczkę zaniepokoiło to, że kontaktuje się wytwórca okuć, a nie okien, nie informując na dodatek, w jaki sposób pozyskał dane – dlatego też złożyła skargę do austriackiego organu ochrony danych
• organ w swej decyzji stwierdził naruszenie obowiązku informacyjnego i nakazał dopełnienie go wobec skarżącej – jednocześnie z decyzji płyną też dalej idące wnioski, które powinni sobie wziąć do serca polscy przedsiębiorcy prowadzący strony internetowe w językach innych niż polski
• w decyzji organ odwołał się do art. 3 ust. 2 RODO, stwierdzając, że jeśli firma za pośrednictwem strony internetowej adresuje swą ofertę do zagranicznych odbiorców i podaje ją w obcych językach, to w każdym z nich powinna wypełnić obowiązek informacyjny

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8165789,strona-internetowa-informacje-rodo-nie-tylko-w-jezyku-polskim.html

• portal Niebezpiecznik.pl opisał historię osoby, która padła ofiarą wyłudzenia – ktoś wziął pożyczkę na jej publicznie dostępne dane
• z teoretycznego punktu widzenia w takich sytuacjach konieczne jest okazanie dokumentu tożsamości, w praktyce wygląda to czasem zupełnie inaczej – w opisywanym w tym artykule przypadku skan ani dokument tożsamości nie wyciekły
• jeden z czytelników serwisu Niebezpiecznik.pl postanowił w celu zwiększenia swojego finansowego bezpieczeństwa włączyć powiadomienia Biura Informacji Kredytowej – ku jego zdumieniu po wygenerowaniu pierwszego raportu okazało się, że na początku zeszłego roku pewna firma pytała o jego dane i miało to związek z udzieleniem “kredytu niecelowego oraz studenckiego”
• research wykazał, że żadne dane osobowe nie wyciekły – pożyczka została wzięta w oparciu o publicznie dostępne dane
• tajemnica sprawy tkwi w uproszczonej formule udzielania pożyczek przez firmę, która jest winna zaistnienia tego nieprzyjemnego incydentu – w formularzu, za pomocą którego wnioskuje się o pożyczkę, należy podać: imię, nazwisko, mail, telefon, PESEL, numer dowodu, dane adresowe oraz informacje o statusie zawodowym
• w opisywanym przez Niebezpiecznik.pl przypadku większość danych została zmyślona
• najistotniejszy w tym kontekście wzięcia pożyczki wydaje się być numer PESEL, jednak w wielu przypadkach nie jest on sekretem i można go znaleźć w licznych miejscach w Internecie

Źródło https://niebezpiecznik.pl/post/oszustowi-do-wziecia-pozyczki-wystarczyly-publicznie-dostepne-dane/

• Prezes UODO musi wyjaśnić, czy umowę można uznać za zgodę na wykorzystanie swego wizerunku
• teledysk trafił do Prezesa UODO łącznie ze skargą na bezprawne przetwarzanie danych, w szczególności wizerunku, przez właściciela studia nagrań – skargę uzupełniał wniosek o wydanie nakazu usunięcia z wszelkiego rodzaju nośników fragmentów teledysku zawierających dane osobowe wnioskodawczyni oraz jej wizerunek
• według autorki wniosku wyraziła ona pisemną zgodę, ale wyłącznie na nieodpłatne przetwarzanie jej danych osobowych i wizerunku – nie zawierała natomiast umowy na występ w teledysku i nie otrzymała wynagrodzenia z tego tytułu
• teledysk został opublikowany na portalu internetowym, ale uczestniczka nagrania wycofała udzieloną poprzednio zgodę
• Prezes UODO stwierdził, że podstawą przetwarzania była umowa, której przedmiotem był odpłatny występ w teledysku do utworu jednego z zespołów – w tym przypadku nagranie teledysku poprzedziły ustalenia dotyczące jego realizacji
• w skardze do WSA artystka zarzuciła, że prezes UODO oparł się wyłącznie na wyjaśnieniach właściciela studia
• sąd uwzględnił skargę i uchylił zaskarżoną decyzję – jak wyjaśnił, za przesłankę stwierdzenia, że przetwarzanie danych odbywało się zgodnie z RODO, Prezes UODO uznał umowę skarżącej i właściciela firmy nagrań – nie wyjaśniono jednak, dlaczego organ stwierdził, że strony w ogóle zawarły umowę, której istnieniu zaprzecza skarżąca

Źródło https://www.rp.pl/Dane-osobowe/210519443-Dane-osobowe-jak-legalnie-wykorzystac-wizerunek-w-teledysku.html

• problemu nie ma, gdy akcję przeprowadza jeden pracodawca – jeśli jednak organizuje ją wspólnie kilka podmiotów, to konieczny jest precyzyjny podział zadań w całym procesie
• ustalenie właściwego administratora danych nie będzie powodować szczególnych problemów, gdy szczepienia organizowane są wyłącznie w ramach jednego zakładu pracy
• inaczej będzie jednak, gdy w programie wezmą udział pracownicy grupy pracodawców (np. w ramach jednego budynku, strefy przemysłowej czy grupy kapitałowej) lub też podwykonawcy zgłoszeni przez głównego wykonawcę – tego typu współpraca powoduje konieczność ustalenia administratora danych osobowych, co może wiązać się z wątpliwościami
• dodatkowo przy okazji współpracy między odrębnymi podmiotami konieczne będzie ustalenie, czy zachodzi współadministrowanie lub powierzenie przetwarzania danych osobowych

Źródło: https://praca.gazetaprawna.pl/artykuly/8174381,administrator-danych-rodo-szczepienia-w-firmach.html

• kamery na prywatnej posesji lub na bloku nie zawsze wiszą legalnie – coraz częściej sądy orzekają więc, że naruszają prywatność osób postronnych i nakazują ich usunięcie oraz wypłatę zadośćuczynienia poszkodowanym
• do sądów trafiają zazwyczaj sprawy dotyczące ochrony dóbr osobistych, a przede wszystkim prywatności
• Sąd Apelacyjny w Gdańsku uznał, że doszło do naruszenia dóbr osobistych małżeństwa ze Słupska, którego posesję obejmowała kamera sąsiada – nakazał jej demontaż i przesądził, że należy się im zadośćuczynienie (4 tys. na każdą osobę)
• kamery rejestrowały lub mogły rejestrować ich aktywność na ich nieruchomości (życie prywatne) – doszło więc do naruszenia prawa do wizerunku, a także prawa do prywatności, spokoju i miru domowego.
• w podobnej sprawie tym razem dotyczącej kamienicy rozstrzygał Sąd Okręgowy w Toruniu – zamontowano w niej kamery na zewnątrz budynku i oraz na parterze, które miały odstraszać potencjalnych wandali i zapobiegać kradzieżom – przy okazji jedna z kamer objęły drzwi wejściowe do jednego z mieszkań, co wywołało dyskomfort lokatora i nikt go nie zawiadomił o montażu monitoringu
• Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na decyzję prezesa UODO, który nałożył karę administracyjną 8 tys. zł na spółkę administrującą wspólnotą mieszkaniową – okazało się, że spółka przetwarzała dane osobowe bez zawartej w tym celu umowy, nie wdrożyła też odpowiednich środków organizacyjnych i technicznych do kontroli udostępniania nagrań

Źródło: https://www.prawo.pl/biznes/monitoring-nie-wolno-bezkarnie-podgladac-sasiada,508477.html

• pracodawcy zyskają podstawę prawną do wyrywkowych i prewencyjnych kontroli pod kątem obecności alkoholu lub narkotyków
• firma ma prawo samodzielnie kontrolować trzeźwość pracowników, ale wyłącznie za pomocą metod niewymagających badań laboratoryjnych (czyli np. alkomatem) – na podobnych zasadach sprawdzi, czy pracownik jest pod wpływem środków odurzających
• testy będą mogły obejmować tylko zatrudnionych, których weryfikowanie jest niezbędne z uwagi na ochronę życia lub zdrowia (ich samych lub osób trzecich) albo ze względu na ochronę mienia pracodawcy
• grupę lub grupy zatrudnionych, które będą objęte prewencyjnymi kontrolami, określi pracodawca w układzie zbiorowym, regulaminie pracy lub obwieszczeniu – w takim samym trybie firma określi metodę i sposób kontroli, czy będzie codziennie sprawdzać wszystkich pracowników, czy jedynie część z nich (np. rotacyjnie), a także czas przeprowadzania testu, w tym to czy będzie dokonywał go jedynie przed rozpoczęciem wykonywania pracy w danym dniu, czy również w czasie wykonywania obowiązków
• nowe przepisy przewidują też dodatkowe wymogi związane z dokumentacją – informację wskazującą na obecność alkoholu firma będzie musiała przechowywać w aktach osobowych przez sześć miesięcy lub – jeśli nałoży karę porządkową – przez rok, a jeżeli informacja ta może stanowić dowód w postępowaniu (np. zatrudniony zostanie zwolniony dyscyplinarnie i odwoła się do sądu), trzeba będzie ją zachować aż do prawomocnego zakończenia sprawy

Źródło https://praca.gazetaprawna.pl/artykuly/8177464,trzezwosc-pracownikow-firma-alkomat.html

• blisko co czwarty Polak boi się, że w czasie pandemii padnie ofiarą hakerów wyłudzający dane osobowe – blisko 60 proc. respondentów nie wie lub nie jest pewna, jakie działania należy podjąć w takim przypadku
• 1/3 z nas nie dba o to, by hasło do logowania w banku lub serwisie internetowym było odpowiednio trudne, a ponad 20 proc. ankietowanych nigdy go nie zmieniło
• to wyniki badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem UODO
• ponad 43 proc. ankietowanych uważa, że największe zagrożenie dla danych osobowych w czasie pandemii stanowi działalność oszustów próbujących wyłudzić dane – jednocześnie co trzeci ankietowany (33,7 proc.) najbardziej obawia się tego, że padnie ofiarą wycieku danych z bazy instytucji państwowej lub prywatnej firmy
• dla 23,4 proc. największym zagrożeniem jest atak hakerów na komputer lub telefon
• ataku hakerów znacznie częściej obawiają się najmłodsi respondenci (32,5 proc.) – aktywność cyberprzestępców nie spędza z kolei snu z powiek osobom w wieku 55–64 lata (19,5 proc.) oraz najstarszej grupie ankietowanych (17 proc.)
• ta statystyka obrazuje stan świadomości istnienia takich zagrożeń – w tym wypadku większe obawy oznaczają wiedzę na temat konsekwencji działalności cyberprzestępców

Źródło https://uodo.gov.pl/pl/138/2062