RODO aktualności – 01.06.2021 r.

Jak UODO podsumował ostatnie trzy lata funkcjonowania RODO? Za co karę otrzymał Cyfrowy Polsat? Jakie są podstawowe założenia Kodeksu zgodności z RODO dostawców usług w chmurze? Czy obowiązek informacyjny RODO należy wypełniać również w języku obcym? Czy możliwe jest wyłudzenie pożyczki na publicznie dostępne dane? Jak legalnie wykorzystać wizerunek w teledysku? Kto jest administratorem danych osobowych podczas szczepień w zakładzie pracy? Jaki zasięg „widzenia” powinna mieć kamera na prywatnej posesji? Czy pracodawca ma prawo do wyrywkowych kontroli pracowników na obecność alkoholu? Jaki jest poziom wiedzy na temat zagrożeń w sieci?

MULTIMEDIA

#RODOA [24.05.2021]
#RODOA [30.05.2021]
Pobierz PDFPobierz PDF

Urząd Ochrony Danych Osobowych podsumował 3 lata funkcjonowania RODO

  • RODO to akt, który bezpośrednio obowiązuje od 25 maja 2018 roku, we wszystkich państwach członkowskich Unii Europejskiej
  • jak zauważa Prezes UODO trzy lata temu, kiedy zaczęto stosować RODO, pojawiało się wiele mitów czy absurdów dotyczących realizacji jego przepisów w praktyce – tymczasem w Polsce regulacje dotyczące ochrony danych osobowych obowiązują od ponad 20 lat, a RODO nie zmieniło ich w sposób istotny
  • odkąd stosujemy RODO wzrosła liczba skarg na administratorów – w 2017 roku, czyli jeszcze przed RODO, było ich około 2,9 tys., a już rok później złożono ich ponad 5,5 tys., rok 2019 to nieco ponad 9,3 tys. skarg, a w roku 2020, co prawda liczba skarg zmalała, jednak nadal utrzymywała się wysoko – 6,4 tys.
  • w 2019 roku UODO otrzymał ponad 6 tys. zgłoszeń naruszeń, w całym 2020 roku wpłynęło ich łącznie ponad 7,5 tys., na co wpływ miało przeorganizowanie działalności administratorów, którzy na skutek pandemii niejednokrotnie musieli rozpocząć prace w trybie zdalnym oraz dostarczać towary i usługi za pośrednictwem Internetu
  • ponadto w minionych trzech latach odnotować należy znaczny wzrost liczby wpływających do UODO pytań prawnych dotyczących stosowania RODO, jak i zgłoszeń naruszeń ochrony danych, dokonywanych przez administratorów
  • jeśli chcesz się dowiedzieć jak my podsumowaliśmy trzy lata stosowania RODO, zapraszamy Cię na nasz kanał na YouTube – Czas na RODO:

Źródło: https://uodo.gov.pl/pl/138/2059

Prezes UODO nałożył karę pieniężną w wysokości ponad 1,1 mln zł.

  • Cyfrowy Polsat S.A. nie wdrożył odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską – efektem tego były liczne naruszenia identyfikowane z dużym opóźnieniem
  • z powodu tych zaniedbań Prezes UODO nałożył na spółkę karę pieniężną w wysokości ponad 1,1 mln zł.
  • pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarany administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń
  • zdaniem UODO było możliwe wprowadzenie i egzekwowanie przez administratora nowych rozwiązań, które zarówno ograniczyłyby liczbę naruszeń, jak i umożliwiły szybsze ich identyfikowanie
  • dopiero w toku postępowania spółka wdrożyła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie
  • Prezes UODO zdecydował się nałożyć na spółkę karę za naruszenia przepisów RODO, gdyż zastosowanie innych środków naprawczych nie byłoby proporcjonalne do stwierdzonych nieprawidłowości

Źródło: https://uodo.gov.pl/pl/138/2048

Kodeksy zgodności z RODO dla dostawców usług w chmurze i infrastruktury chmurowej (1)

  • podczas sesji plenarnej EROD przyjęła dwie opinie ws. pierwszych projektów decyzji dotyczących międzynarodowych kodeksów postępowania – kodeksy zostały przedstawione przez belgijskie i francuskie organy nadzorcze
  • projekt decyzji belgijskiego SA dotyczył kodeksu postępowania UE CLOUD skierowanego do dostawców usług w chmurze
  • projekt decyzji francuskiego SA dotyczył Kodeksu Postępowania CISPE, skierowanego do dostawców usług infrastruktury chmurowej
  • celem kodeksów jest zapewnienie praktycznych wskazówek i określenie szczegółowych wymagań dla podmiotów przetwarzających w UE podlegających tym kodeksom
  • EROD jest zdania, że ​​oba projekty kodeksów są zgodne z RODO i spełniają wymogi określone w art. 40 i 41 RODO
  • zgodnie z RODO przestrzeganie zatwierdzonych kodeksów postępowania może być elementem wykazania zgodności z prawem

Kodeksy zgodności z RODO dla dostawców usług w chmurze i infrastruktury chmurowej

  • po pozytywnej opinii EROD, w dniu 20.05.2021 r. belgijski urząd ochrony danych zatwierdził paneuropejski kodeks postępowania RODO – European Union Cloud Code of Conduct (EU Cloud CoC) – podmiotem monitorującym przestrzeganie postanowień kodeksu została organizacja SCOPE Europe
  • EU Cloud CoC konkretyzuje wymagania art. 28 RODO oraz innych przepisów RODO, istotnych dla przetwarzania danych w chmurze
  • wymagania kodeksu EU Cloud CoC zostały ujęte w aneksie w postaci listy kontrolnej – odnoszą się one między innymi do norm: ISO/IEC 27001:2013, ISO/IEC 27018:2019 oraz ISO/IEC 27701:2019
  • EU Cloud CoC przestrzegają już Google i Microsoft

Źródło: https://edpb.europa.eu/news/news/2021/edpb-adopts-opinions-first-transnational-codes-conduct-statement-data-governance-act_en https://www.prawo.pl/biznes/ochrona-danych-w-chmurze-kodeks-zatwierdzony-przez-europejska,508414.html  https://cloud.google.com/blog/products/compliance/google-cloud-adopts-eu-gdpr-cloud-code-of-conduct

Informacje RODO nie tylko w języku polskim

  • jeśli strona internetowa jest adresowana do odbiorców w innych państwach, to obowiązek informacyjny RODO należy wypełnić także w obcych językach – potwierdza to niedawna decyzja austriackiego organu ochrony danych wydana wobec polskiego przedsiębiorcy
  • skargę złożyła obywatelka Austrii Brigitte A., która otrzymała list od polskiego producenta okuć okiennych – skontaktował się z nią, gdyż wcześniej kupiła okna, a po czasie okazało się, że część z nich może mieć wadliwe zamknięcia
  • Austriaczkę zaniepokoiło to, że kontaktuje się wytwórca okuć, a nie okien, nie informując na dodatek, w jaki sposób pozyskał dane – dlatego też złożyła skargę do austriackiego organu ochrony danych
  • organ w swej decyzji stwierdził naruszenie obowiązku informacyjnego i nakazał dopełnienie go wobec skarżącej – jednocześnie z decyzji płyną też dalej idące wnioski, które powinni sobie wziąć do serca polscy przedsiębiorcy prowadzący strony internetowe w językach innych niż polski
  • w decyzji organ odwołał się do art. 3 ust. 2 RODO, stwierdzając, że jeśli firma za pośrednictwem strony internetowej adresuje swą ofertę do zagranicznych odbiorców i podaje ją w obcych językach, to w każdym z nich powinna wypełnić obowiązek informacyjny

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8165789,strona-internetowa-informacje-rodo-nie-tylko-w-jezyku-polskim.html

Oszuści mogą wziąć pożyczkę na publicznie dostępne dane

  • portal Niebezpiecznik.pl opisał historię osoby, która padła ofiarą wyłudzenia – ktoś wziął pożyczkę na jej publicznie dostępne dane
  • z teoretycznego punktu widzenia w takich sytuacjach konieczne jest okazanie dokumentu tożsamości, w praktyce wygląda to czasem zupełnie inaczej – w opisywanym w tym artykule przypadku skan ani dokument tożsamości nie wyciekły
  • jeden z czytelników serwisu Niebezpiecznik.pl postanowił w celu zwiększenia swojego finansowego bezpieczeństwa włączyć powiadomienia Biura Informacji Kredytowej – ku jego zdumieniu po wygenerowaniu pierwszego raportu okazało się, że na początku zeszłego roku pewna firma pytała o jego dane i miało to związek z udzieleniem “kredytu niecelowego oraz studenckiego”
  • research wykazał, że żadne dane osobowe nie wyciekły – pożyczka została wzięta w oparciu o publicznie dostępne dane
  • tajemnica sprawy tkwi w uproszczonej formule udzielania pożyczek przez firmę, która jest winna zaistnienia tego nieprzyjemnego incydentu – w formularzu, za pomocą którego wnioskuje się o pożyczkę, należy podać: imię, nazwisko, mail, telefon, PESEL, numer dowodu, dane adresowe oraz informacje o statusie zawodowym
  • w opisywanym przez Niebezpiecznik.pl przypadku większość danych została zmyślona
  • najistotniejszy w tym kontekście wzięcia pożyczki wydaje się być numer PESEL, jednak w wielu przypadkach nie jest on sekretem i można go znaleźć w licznych miejscach w Internecie

Źródło https://niebezpiecznik.pl/post/oszustowi-do-wziecia-pozyczki-wystarczyly-publicznie-dostepne-dane/

Jak legalnie wykorzystać wizerunek w teledysku

  • Prezes UODO musi wyjaśnić, czy umowę można uznać za zgodę na wykorzystanie swego wizerunku
  • teledysk trafił do Prezesa UODO łącznie ze skargą na bezprawne przetwarzanie danych, w szczególności wizerunku, przez właściciela studia nagrań – skargę uzupełniał wniosek o wydanie nakazu usunięcia z wszelkiego rodzaju nośników fragmentów teledysku zawierających dane osobowe wnioskodawczyni oraz jej wizerunek
  • według autorki wniosku wyraziła ona pisemną zgodę, ale wyłącznie na nieodpłatne przetwarzanie jej danych osobowych i wizerunku – nie zawierała natomiast umowy na występ w teledysku i nie otrzymała wynagrodzenia z tego tytułu
  • teledysk został opublikowany na portalu internetowym, ale uczestniczka nagrania wycofała udzieloną poprzednio zgodę
  • Prezes UODO stwierdził, że podstawą przetwarzania była umowa, której przedmiotem był odpłatny występ w teledysku do utworu jednego z zespołów – w tym przypadku nagranie teledysku poprzedziły ustalenia dotyczące jego realizacji
  • w skardze do WSA artystka zarzuciła, że prezes UODO oparł się wyłącznie na wyjaśnieniach właściciela studia
  • sąd uwzględnił skargę i uchylił zaskarżoną decyzję – jak wyjaśnił, za przesłankę stwierdzenia, że przetwarzanie danych odbywało się zgodnie z RODO, Prezes UODO uznał umowę skarżącej i właściciela firmy nagrań – nie wyjaśniono jednak, dlaczego organ stwierdził, że strony w ogóle zawarły umowę, której istnieniu zaprzecza skarżąca

Źródło https://www.rp.pl/Dane-osobowe/210519443-Dane-osobowe-jak-legalnie-wykorzystac-wizerunek-w-teledysku.html

Nie tak łatwo ustalić administratora danych podczas szczepień w firmach

  • problemu nie ma, gdy akcję przeprowadza jeden pracodawca – jeśli jednak organizuje ją wspólnie kilka podmiotów, to konieczny jest precyzyjny podział zadań w całym procesie
  • ustalenie właściwego administratora danych nie będzie powodować szczególnych problemów, gdy szczepienia organizowane są wyłącznie w ramach jednego zakładu pracy
  • inaczej będzie jednak, gdy w programie wezmą udział pracownicy grupy pracodawców (np. w ramach jednego budynku, strefy przemysłowej czy grupy kapitałowej) lub też podwykonawcy zgłoszeni przez głównego wykonawcę – tego typu współpraca powoduje konieczność ustalenia administratora danych osobowych, co może wiązać się z wątpliwościami
  • dodatkowo przy okazji współpracy między odrębnymi podmiotami konieczne będzie ustalenie, czy zachodzi współadministrowanie lub powierzenie przetwarzania danych osobowych

Źródło: https://praca.gazetaprawna.pl/artykuly/8174381,administrator-danych-rodo-szczepienia-w-firmach.html

Monitoring zwiększa bezpieczeństwo, ale nie wolno bezkarnie podglądać sąsiada

  • kamery na prywatnej posesji lub na bloku nie zawsze wiszą legalnie – coraz częściej sądy orzekają więc, że naruszają prywatność osób postronnych i nakazują ich usunięcie oraz wypłatę zadośćuczynienia poszkodowanym
  • do sądów trafiają zazwyczaj sprawy dotyczące ochrony dóbr osobistych, a przede wszystkim prywatności
  • Sąd Apelacyjny w Gdańsku uznał, że doszło do naruszenia dóbr osobistych małżeństwa ze Słupska, którego posesję obejmowała kamera sąsiada – nakazał jej demontaż i przesądził, że należy się im zadośćuczynienie (4 tys. na każdą osobę)
  • kamery rejestrowały lub mogły rejestrować ich aktywność na ich nieruchomości (życie prywatne) – doszło więc do naruszenia prawa do wizerunku, a także prawa do prywatności, spokoju i miru domowego.
  • w podobnej sprawie tym razem dotyczącej kamienicy rozstrzygał Sąd Okręgowy w Toruniu – zamontowano w niej kamery na zewnątrz budynku i oraz na parterze, które miały odstraszać potencjalnych wandali i zapobiegać kradzieżom – przy okazji jedna z kamer objęły drzwi wejściowe do jednego z mieszkań, co wywołało dyskomfort lokatora i nikt go nie zawiadomił o montażu monitoringu
  • Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na decyzję prezesa UODO, który nałożył karę administracyjną 8 tys. zł na spółkę administrującą wspólnotą mieszkaniową – okazało się, że spółka przetwarzała dane osobowe bez zawartej w tym celu umowy, nie wdrożyła też odpowiednich środków organizacyjnych i technicznych do kontroli udostępniania nagrań

Źródło: https://www.prawo.pl/biznes/monitoring-nie-wolno-bezkarnie-podgladac-sasiada,508477.html

Firma sprawdzi trzeźwość pracowników – konsultacje projektu nowelizacji Kodeksu Pracy

  • pracodawcy zyskają podstawę prawną do wyrywkowych i prewencyjnych kontroli pod kątem obecności alkoholu lub narkotyków
  • firma ma prawo samodzielnie kontrolować trzeźwość pracowników, ale wyłącznie za pomocą metod niewymagających badań laboratoryjnych (czyli np. alkomatem) – na podobnych zasadach sprawdzi, czy pracownik jest pod wpływem środków odurzających
  • testy będą mogły obejmować tylko zatrudnionych, których weryfikowanie jest niezbędne z uwagi na ochronę życia lub zdrowia (ich samych lub osób trzecich) albo ze względu na ochronę mienia pracodawcy
  • grupę lub grupy zatrudnionych, które będą objęte prewencyjnymi kontrolami, określi pracodawca w układzie zbiorowym, regulaminie pracy lub obwieszczeniu – w takim samym trybie firma określi metodę i sposób kontroli, czy będzie codziennie sprawdzać wszystkich pracowników, czy jedynie część z nich (np. rotacyjnie), a także czas przeprowadzania testu, w tym to czy będzie dokonywał go jedynie przed rozpoczęciem wykonywania pracy w danym dniu, czy również w czasie wykonywania obowiązków
  • nowe przepisy przewidują też dodatkowe wymogi związane z dokumentacją – informację wskazującą na obecność alkoholu firma będzie musiała przechowywać w aktach osobowych przez sześć miesięcy lub – jeśli nałoży karę porządkową – przez rok, a jeżeli informacja ta może stanowić dowód w postępowaniu (np. zatrudniony zostanie zwolniony dyscyplinarnie i odwoła się do sądu), trzeba będzie ją zachować aż do prawomocnego zakończenia sprawy

Źródło https://praca.gazetaprawna.pl/artykuly/8177464,trzezwosc-pracownikow-firma-alkomat.html

Co czwarty Polak boi się ataku cyberprzestępców

  • blisko co czwarty Polak boi się, że w czasie pandemii padnie ofiarą hakerów wyłudzający dane osobowe – blisko 60 proc. respondentów nie wie lub nie jest pewna, jakie działania należy podjąć w takim przypadku
  • 1/3 z nas nie dba o to, by hasło do logowania w banku lub serwisie internetowym było odpowiednio trudne, a ponad 20 proc. ankietowanych nigdy go nie zmieniło
  • to wyniki badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem UODO
  • ponad 43 proc. ankietowanych uważa, że największe zagrożenie dla danych osobowych w czasie pandemii stanowi działalność oszustów próbujących wyłudzić dane – jednocześnie co trzeci ankietowany (33,7 proc.) najbardziej obawia się tego, że padnie ofiarą wycieku danych z bazy instytucji państwowej lub prywatnej firmy
  • dla 23,4 proc. największym zagrożeniem jest atak hakerów na komputer lub telefon
  • ataku hakerów znacznie częściej obawiają się najmłodsi respondenci (32,5 proc.) – aktywność cyberprzestępców nie spędza z kolei snu z powiek osobom w wieku 55–64 lata (19,5 proc.) oraz najstarszej grupie ankietowanych (17 proc.)
  • ta statystyka obrazuje stan świadomości istnienia takich zagrożeń – w tym wypadku większe obawy oznaczają wiedzę na temat konsekwencji działalności cyberprzestępców

Źródło https://uodo.gov.pl/pl/138/2062

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO