Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 20.10.2020

Czego dowiesz się z Księgi Bezpieczeństwa Komunikacji Elektronicznej? Jaką karą został ostatecznie ukarany British Airways? Jak przekazywać dane osobowe poza UE po wyroku TSUE “Schrems II”? Z jakich narzędzi technicznych może korzystać pracodawca w celu walki z pandemią COVID-19? Czego dowiesz się z najnowszego newslettera UODO?

MULTIMEDIA

#RODOA [12.10.2020]
#RODOA [19.10.2020]
Obejrzyj na: YouTube
Odsłuchaj na: na: Spotify, Google Podcasts, RSS
Pobierz PDFPobierz PDF

Druga część Księgi Bezpieczeństwa Komunikacji Elektronicznej (1)

  • jak bezpiecznie korzystać z emaila, których programów używać, jakie są ich plus i minusy, czy warto przechowywać dane w chmurze i na co trzeba uważać – na te i inne pytania ma odpowiedzieć przygotowana na zlecenie Krajowej Rady Radców Prawnych druga część Księgi Bezpieczeństwa Komunikacji Elektronicznej
  • KRRP swoją inicjatywę tłumaczy m.in. obecną sytuację i faktem, że w dobie koronawirusa wiele kancelarii zdecydowało się przejść w tryb częściowo zdalnej pracy
  • pierwsza jego część opublikowana została w czerwcu – wskazywano wówczas, że celem publikacji jest przybliżenie radcom dostępnych na rynku rozwiązań, w tym m.in. aplikacji i możliwości jakie one oferują
  • w tamtej części znalazły się rekomendacje dotyczące zapewnienia klientom bezpieczeństwa i zachowania tajemnicy zawodowej
  • w drugiej części Księgi przeanalizowano możliwości korzystania przez radców prawnych z usług związanych z pocztą elektroniczną – pozytywnie oceniono usługi Exchange Online w ramach pakietu Microsoft 365 a także Gmail w ramach pakietu G – Suite, natomiast – jak wskazano wątpliwe byłoby wykorzystywanie usługi iCloud Mail
  • podkreślono równocześnie, że warunkiem legalności korzystania z którejkolwiek z usług dla celów wykonywania zawodu jest wykupienie usługi biznesowej

Druga część Księgi Bezpieczeństwa Komunikacji Elektronicznej (2)

  • kolejną kwestią, której dotyczy opracowanie jest przechowywanie danych w chmurze – radcowie prawni powinni uważnie dobierać rozwiązania chmurowe, z których korzystają, chmura zapewnia dużo większą niezawodność lecz mamy mniejszą kontrolę nad danymi, co może niekiedy prowadzić do naruszenia przepisów o ochronie danych i tajemnicy zawodowej
  • prawnik musi wiedzieć na początek co najmniej tyle, że z dostawcą chmury musi zawrzeć umowę powierzenia przetwarzania danych osobowych
  • jeśli chodzi o zasady etyki i tajemnicę zawodową, to od lat dyskutuje się na temat bezpieczeństwa i poufności przechowywanych w chmurze plików – wybierając chmurę należy zwrócić uwagę na gwarancje dotyczące bezpieczeństwa przechowywanych plików i ograniczenia dostępu do nich
  • warto również sprawdzić oświadczenia dotyczące tego, czy pliki w chmurze są szyfrowane w celu zwiększenia poziomu ochrony
  • każda firma powinna mieć wewnętrzne zasady korzystania z chmury i umieszczania w niej danych

Źródło: https://www.prawo.pl/prawnicy-sady/jak-sobie-radzic-z-poczta-elektroniczna-i-danymi-w-chmurze,503702.html

British Airways ostatecznie z karą w wysokości 20 milionów funtów za wyciek danych

  • brytyjski urząd do spraw ochrony danych osobowych (ICO), nałożył na linie lotnicze British Airways grzywnę w wysokości 20 milionów funtów (to ponad 100 milionów złotych) za wyciek danych klientów z 2018 roku
  • jeszcze w zeszłym roku przedstawiciele ICO twierdzili, że kara dla przewoźnika może wynieść nawet 183 miliony funtów, ale przy ustalaniu ostatecznej kwoty kary pod uwagę wzięto ekonomiczny wpływ pandemii Covid-19
  • pomimo znacznego zmniejszenia kary wciąż jest to najwyższa grzywna jaką do tej pory nałożył brytyjski odpowiednik UODO
  • dane pasażerów British Airways korzystających ze strony internetowej lub aplikacji przewoźnika na przełomie sierpnia i września 2018 roku wyciekły do sieci – ofiarami cyberataku mogło paść nawet 400 tysięcy klientów
  • najważniejsze dane, jakie mogły znaleźć się w rękach złodziei to dane kart kredytowych osób kupujących bilety online – Wraz z tymi danymi przestępcy dostali także dostęp do danych personalnych klientów, ich adresów zamieszkania i adresów email
  • dochodzenie ICO ujawniło, że British Airways nie dopełniło wystarczająco procedur bezpieczeństwa, aby uniknąć wycieku, między innymi, nie stosując wielostopniowej weryfikacji

Źródło: https://www.geekweb.pl/inne/wydarzenia/item/1435-british-airways-wyciek-danych-kara-rodo https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

Nadal brak rozwiązań ws. transferu danych osobowych poza UE

  • europejskie urzędy ochrony danych osobowych i firmy nadal poszukują wyjścia z sytuacji po wyroku TSUE w tzw. sprawie Schrems II
  • w lipcu 2020 r. TSUE uznał, że dotychczasowe warunki transferu danych osobowych, zebranych w UE, a więc chronionych przez RODO są niewystarczające – wyrok przewiduje m.in. nałożenie na eksporterów danych obowiązku sprawdzenia sprawdzania, jakie prawa dotyczące danych osobowych przysługują w kraju, do którego się transferuje dane
  • problem dotyczy np. używania chmur obliczeniowych, leżących poza UE
  • literalne stosowanie wyroku sparaliżowałoby np. zdalne nauczanie -większość popularnych aplikacji, stosowanych w szkołach i na uczelniach do zdalnego nauczania jest amerykańska i korzysta z chmur w USA
  • zgodnie z wyrokiem każdy eksporter danych powinien przeanalizować, czy państwo trzecie daje podobną ochronę jak RODO
  • Europejska Rada Ochrony Danych na posiedzeniu plenarnym 2 września 2020 r. powołała grupę zadaniową, która będzie koordynowała działania w tym zakresie
  • Na obecnym etapie postępowania trudno jest rozstrzygnąć jak i kiedy się ono zakończy. W opinii Prezesa UODO bardzo ważne jest zapewnienie jednolitego podejścia wszystkich organów nadzorczych w państwach członkowskich UE w tych sprawach, czemu służą działania podejmowane w ramach EROD – powiedział rzecznik UODO Adam Sanocki

Źródło: https://www.gazetaprawna.pl/artykuly/1493760,po-wyroku-tsue-nadal-brak-rozwiazan-ws-transferu-danych-osobowych-poza-ue.html

UODO odpowiada na petycję ws. kar dla GGK

  • Nie był Pan stroną postępowania prowadzonego przed Prezesem Urzędu Ochrony Danych Osobowych, więc wydane rozstrzygnięcie nie dotyczy Pana interesu prawnego, ani obowiązku – czytamy w odpowiedzi na petycję w sprawie wycofania kar nałożonych przez Prezesa UODO na Głównego Geodetę Kraju
  • autorem petycji jest geodeta z Polic Paweł Myłka, który jak podkreśla, nie chce rozstrzygać meritum sporu między prezesem UODO a GGK, ale w jego ocenie nie powinien być on rozwiązywany w ten sposób
  • na wstępie swojej odpowiedzi organ wyjaśnia, że pismo zostało rozpatrzone jako wniosek, gdyż nie spełnia wymogów petycji określonych w przepisach
  • dalej tłumaczy, że decyzje, o których mowa w piśmie, zostały wydane na podstawie ustalonego stanu faktycznego i w oparciu o obowiązujące przepisy prawa, a Prezes Urzędu Ochrony Danych Osobowych nie ma prawa kierować się pozaprawnymi przesłankami przy wydawaniu decyzji
  • na koniec informuje, że zgodność decyzji z prawem będzie podlegała ocenie w toku postępowania sądowo-administracyjnego, gdyż zostały one zaskarżone przez GGK do WSA w Warszawie

Źródło: https://geoforum.pl/news/29819/uodo-odpowiada-na-petycje-ws-kar-dla-ggk

SMS o pomoc lepiej bez PESEL

  • Alarm 112 to aplikacja mobilna, za udostępnienie której odpowiada Ministerstwo Spraw Wewnętrznych i Administracji – ma stanowić alternatywny sposób kontaktu z operatorem numeru alarmowego w sytuacjach kryzysowych
  • jednak zastrzeżenia budzi konieczność podania numeru PESEL w momencie rejestracji
  • uwagę na ten problem zwróciła jedna z organizacji reprezentujących osoby niepełnosprawne – wskazywała ona, że podczas wykonywania standardowej rozmowy alarmowej nie jest wymagane podawanie takich danych jak PESEL
  • MSWiA twierdzi, że identyfikacja za pomocą PESEL jest podyktowana koniecznością walki z fałszywymi zgłoszeniami – PESEL zniechęca zgłaszającego do korzystania z aplikacji niezgodnie z przeznaczeniem, ponieważ użytkownik nie ma poczucia anonimowości
  • eksperci mają wątpliwości, czy podanie numeru PESEL rzeczywiście pomoże w walce z tym zjawiskiem –w przypadku wielu osób i tak jest on dostępny organom administracji w publicznych rejestrach (np. KRS)
  • w razie fałszywego alarmu odpowiednie organy i tak mogą ustalić dane właściciela telefonu, korzystając m.in. z jego lokalizacji
  • zastrzeżenia do wykorzystywania numeru PESEL ma także Urząd Ochrony Danych Osobowych – wyraźnie wskazuje na szczególny charakter numeru PESEL i podkreśla, że stanowi on krajowy numer identyfikacyjny w rozumieniu art. 87 RODO, który musi być poddany szczególnej ochronie

Źródło: https://prawo.gazetaprawna.pl/artykuly/1493563,aplikacja-alarmowa-112-zgloszenia-pesel-ochrona-danych-osobowych.html

Dane medyczne Francuzów nie trafią do USA

  • francuski organ ochrony danych (CNIL) wydał rekomendacje dla ośrodków gromadzących informacje zdrowotne – urząd chce przeniesienia danych pacjentów do europejskiej infrastruktury chmurowej, żeby uniknąć ich transferu pomiędzy Unią a USA
  • zgodnie z rekomendacjami urzędu, firmy gromadzące dane medyczne francuskich pacjentów powinny unikać korzystania z amerykańskich usług chmurowych, w tym: Microsoft Azure, Amazon Web Services i Google Cloud
  • zamiast tego informacje tego rodzaju miałyby być przechowywane w europejskiej infrastrukturze chmurowej
  • ma to zapobiec konieczności przesyłania danych Europejczyków na serwery w USA, gdzie nie podlegają one takiej same ochronie prywatności, jak w UE, i gdzie mogą mieć do nich dostęp amerykańskie służby
  • wytyczne CNIL pojawiły się krótko po tym, jak Francja ogłosiła, że buduje krajową platformę danych zdrowotnych – serwis ma m.in. ułatwić badanie rzadkich chorób
  • według CNIL amerykańskie firmy, takie jak Microsoft, nawet jeśli przetwarzają dane użytkowników w Europie, to nadal podlegają pod regulacje prawne USA – to oznacza, że dane Europejczyków wciąż mogą wpaść w ręce amerykańskich służb

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/dane-medyczne-francuzow-nie-trafia-do-usa-paryz-stawia-na-chmure-w-ue

Newsletter UODO (1)

  • w najnowszym, październikowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

1. IOD MOŻE MIEĆ DWÓCH ZASTĘPCÓW

  • administrator może wyznaczyć dwie osoby zastępujące inspektora ochrony danych – należy jednak zadbać o to, by przejrzyście określić nie tylko system zastępstw IOD, ale również podział obowiązków wszystkich osób, tak by wówczas, gdy jednocześnie będą one obecne w pracy, nie było wątpliwości, kto za jakie zadania jest odpowiedzialny

2. JAKIE DANE PRACOWNIKÓW SZKOŁY DYREKTOR MOŻE UDOSTĘPNIĆ ORGANOWI PROWADZĄCEMU

  • organ prowadzący szkołę nie ma podstaw, by żądać szczegółowych danych dotyczących pracowników takiej placówki

3. ZAŚWIADCZENIE O PRZEKSZTAŁCENIU PRAWA UŻYTKOWANIA WIECZYSTEGO W PRAWO WŁASNOŚCI BEZ DANYCH OSOBOWYCH BENEFICJENTA PRZEKSZTAŁCENIA

  • burmistrzowi, który postąpił wbrew tej regule, Prezes UODO udzielił upomnienia

Newsletter UODO (2)

4. PRZEDŁOŻENIE EROD PROJEKTU WYMOGÓW AKREDYTACJI PODMIOTÓW MONITORUJĄCYCH KODEKSY POSTĘPOWANIA

  • Prezes UODO, po wnikliwej analizie wszystkich uwag nadesłanych w czasie konsultacji społecznych, dokonał stosownych zmian w projekcie Wymogów akredytacji podmiotów monitorujących kodeksy postępowania

5. DOKUMENTACJA DOTYCZĄCA NIEODPŁATNEJ PRACY SKAZANYCH NA CELE SPOŁECZNE. WYSTĄPIENIE O DOPRECYZOWANIE PRZEPISÓW

  • Prezes UODO zwrócił się do Ministra Sprawiedliwości o podjęcie prac legislacyjnych mających na celu doprecyzowanie zasad postępowania z dokumentacją dotyczącą wykonywania nieodpłatnej, kontrolowanej pracy na cele społeczne

Źródło: https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Sprostowanie tłumaczenia RODO

  • Rada Unii Europejskiej opublikowała sprostowanie do oficjalnych tłumaczeń RODO na języki krajowe – poprawki dotyczą również tłumaczenia treści rozporządzenia na język polski
  • sprostowanie dotyczące polskiego tłumaczenia RODO dotyczy treści art. 82 ust. 2 RODO

zamiast:

„2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.”

powinno być:

„2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

Źródło: https://data.consilium.europa.eu/doc/document/ST-11744-2020-INIT/en/pdf

Gazety nie muszą usuwać danych osobowych z artykułu prasowego

  • zgodnie z RODO państwa członkowskie powinny przyjąć krajowe przepisy, które pozwolą pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji, w tym pracą dziennikarzy – Polska zrobiła to w art. 2 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym przy przygotowaniu materiałów prasowych nie stosuje się wielu z regulacji RODO
  • ustawodawca nie wyłączył natomiast art. 17, który przewiduje tzw. prawo do bycia zapomnianym, czyli możliwość żądania usunięcia danych
  • właśnie na ten przepis powołał się prawnik, którego dane osobowe, w tym zdjęcie, znalazły się w artykule opublikowanym w jednej z gazet oraz na jej stronie internetowej – uznał to za naruszenie swej prywatności i złożył skargę do Prezesa UODO
  • Prezes UODO umorzył postępowanie – Uznał, że co prawda art. 17 RODO nie został wyłączony przy działalności prasowej, ale jednocześnie nie stosuje się innych przepisów, a tylko one mogłyby wskazywać na bezprawność przetwarzania danych
  • sprawa trafiła do WSA – sąd oddalił skargę, wskazał też że polska ustawa nie wyłącza art. 17 RODO, co oznacza, że teoretycznie można domagać się usunięcia informacji lecz nie oznacza to jednak, że prasa ma obowiązek spełnienia tych żądań
  • Prezes UODO nie może nakazać usunięcia danych osobowych z artykułu prasowego, prasę obejmuje bowiem wyjątek dziennikarski – uznał sąd

Źródło: https://prawo.gazetaprawna.pl/artykuly/1492652,sad-gazety-nie-musza-usuwac-danych-osobowych-z-artykulu-prasowego.html

Zlecenie przeprowadzania testów na COVID-19 przez pracodawcę (1)

  • na chwilę obecną brak jednak podstaw do badania pracowników pod kątem COVID-19 – nakazywanie przez pracodawcę wykonania testu przez pracownika może być zbyt daleko idącą ingerencję w prawa pracownika
  • pracodawca, który ma wątpliwości co do stanu zdrowia danego pracownika, może skierować go na badanie do lekarza medycyny pracy i dopiero ten lekarz powinien – jeżeli uzna to za zasadne – zainicjować postępowanie
  • pracodawca może zawiadomić Państwowego Inspektora Sanitarnego o potencjalnym ryzyku choroby u danego pracownika, co może doprowadzić do zainicjowania weryfikacji stanu zdrowia takiej osoby, przy czym w takim przypadku pracodawca może narażać się na ryzyko nierównego traktowania pracownika w zatrudnieniu
  • pracodawca ma prawo skierować pracownika na badania, jeżeli ma podejrzenia co do jego stanu zdrowia, ale jedyne co powinno go interesować to wynik końcowy, czyli to, czy pracownik jest zdolny lub niezdolny do wykonywania pracy – pracodawca nie powinien mieć natomiast dostępu do samych wyników

Zlecenie przeprowadzania testów na COVID-19 przez pracodawcę (2)

  • w sytuacji, kiedy to pracodawca organizuje i finansuje zakup oraz przeprowadzenie testów na obecność koronawirusa należy uznać, że następuje to z inicjatywy pracodawcy, a nie pracownika
  • w takiej sytuacji pracodawca może również wywierać nacisk na pracowników, ponieważ poniósł koszty związane z zakupem i przeprowadzeniem testów, dlatego też podstawa legalizująca przetwarzanie przez pracodawcę danych o stanie zdrowia pracownika oparta jedynie na przesłance zgody budzi wątpliwości organu nadzorczego z punktu widzenia przepisów nie tylko RODO, ale także przepisów prawa pracy – wskazuje UODO
  • to służby sanitarne, a nie pracodawcy, powinny wskazywać kierunki podejmowanych działań – przypomina organ

Źródło: https://www.prawo.pl/kadry/testy-czy-pracodawca-moze-przebadac-pracownika-na-covid-19-tylko,503667.html

Kradzież danych użytkowników Forum Play

  • nieznany sprawca pozyskał dane na temat klientów sieci Play – incydent dotyczy osób, które korzystały z usługi Forum Play
  • 7 września br. do Play trafiła informacja o możliwości wystąpienia incydentu, polegającego na nieuprawnionym przetwarzaniu danych użytkowników Forum Play
  • analiza wykazała, że nieznany sprawca pozyskał dane takie jak: adres e-mail, hash (skrót) hasła, adres IP czy data urodzenia
  • o incydencie władze Play poinformowały Prezesa Urzędu Ochrony Danych Osobowych, CERT Polska oraz CSIRT GOV
  • złożono również zawiadomienie o możliwości popełnienia przestępstwa do Prokuratury Rejonowej Warszawa-Mokotów w Warszawie
  • konsekwencją pozyskania danych przez nieuprawnione osoby może być próba logowania się do kont w serwisach internetowych, w których loginem był adres e-mail podany na Forum, a hasło było takie samo jak do konta w usłudze świadczonej przez operatora
  • to także ryzyko przetwarzania danych w celach marketingowych bez uprzednio wyrażonej zgody oraz możliwość wykorzystania pozyskanych informacji do uwierzytelnienia/weryfikacji tożsamości lub skorzystania z przysługujących praw

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/kradziez-danych-uzytkownikow-forum-play

Belgijski organ ostrzega instytucję ochrony środowiska

  • trzech powodów złożyło skargę do belgijskiego organu ochrony danych przeciwko regionalnej publicznej instytucji ochrony środowiska – instytucja ta ma kompetencje do podejmowania działań w przypadku naruszenia przepisów dotyczących ochrony środowiska, na przykład w przypadku zaśmiecania
  • instytucja ta ukarała pierwszego powoda grzywną za zaśmiecanie
  • w postanowieniu nakładającym grzywnę instytucja odniosła się również do partnera pierwszego powoda oraz teścia pierwszego powoda – instytucja znalazła nazwisko i link do partnera (drugiego powoda) w krajowym rejestrze pierwszego powoda, teść (trzeci powód) komunikował się z instytucją w celu obrony pierwszego powoda w postępowaniu środowiskowym
  • instytucja stwierdziła w swojej decyzji, opierając się na nazwisku drugiego i trzeciego powoda, że istniał między nimi związek rodzinny
  • belgijski organ stwierdził, że pozyskanie danych z krajowego rejestru stanowi przetwarzanie niezgodne z prawem, a przetwarzanie to in concreto nie było konieczne do wykonania zadania, dodatkowo wzmianka o powiązaniu rodzinnym między drugim a trzecim powodem może być błędna i opiera się na założeniach, o których nie trzeba wspominać w decyzji instytucji w tym kontekście
  • belgijski organ ochrony danych nie może nałożyć grzywny administracyjnej na belgijską instytucję publiczną ani na żaden inny organ rządowy, ponieważ zostało to wykluczone przez belgijskiego ustawodawcę – dlatego też instytucja została jedynie upomniana

Źródło: https://edpb.europa.eu/news/national-news/2020/belgian-data-protection-authority-has-issued-warning-and-reprimand-regional_en

Kamery termowizyjne okiem niemieckich organów ochrony danych osobowych (1)

  • niemiecki Datenschutzkonferenz (DSK)- wspólny organ niemieckich organów ochrony danych, opublikował swoje stanowisko w sprawie stosowania kamer termowizyjnych i elektronicznych kontroli temperatury w kontekście pandemii COVID-19
  • Pomimo wyrażenia ogólnej krytyki kontroli temperatury ciała w kontekście COVID-19, DSK stwierdziła że uznaje stosowanie kamer termowizyjnych w miejscu pracy za dopuszczalne, pod warunkiem, że są przestrzegane wymogi ochrony danych już w fazie projektowania określone w art. 25 RODO i bezpieczeństwo przetwarzania danych zgodnie z art. 32 RODO
  • niemieckie organy ochrony danych uważają, że elektroniczne kontrole temperatury, a następnie dokumentacja lub rejestracja podlegają RODO – wskazują jednak, że kontrole temperatury ciała, które są obsługiwane ręcznie i nie są poprzedzone rejestracją, dokumentacją lub innym przetwarzaniem danych osobowych, mogą nie podlegać RODO.
  • w miejscach publicznych, takich jak centra handlowe i lotniska, kontrole temperatury ciała nie są uważane za dopuszczalne – organy podkreślają, że nie uważają automatycznych kontroli temperatury ciała za odpowiednie i konieczne, ponieważ podwyższona temperatura ciała nie musi być koniecznie traktowana jako objaw koronawirusa
  • kontrole temperatury ciała nie mogą opierać się na zgodzie w ramach RODO, ponieważ zwykle trudno jest dobrowolnie wyrazić zgodę (w szczególności w przypadku zatrudnienia) i świadomie

Kamery termowizyjne okiem niemieckich organów ochrony danych osobowych (2)

  • w odniesieniu do badania temperatury w miejscu pracy można by uznać to za konieczne jako miara bezpieczeństwa i higieny pracy – byłoby to oparte na art. 9 ust. 2 h, 88 i art. 26 niemieckiej federalnej ustawy o ochronie danych, ale tylko wtedy, gdy pomiar jest wykonywany przez pracowników służby zdrowia, którzy podlegają obowiązkowi zachowania tajemnicy zawodowej
  • korzystając z kamery termowizyjnej, administratorzy powinni zadbać o spełnienie wymagań określonych w art. 25 i 32 RODO, w szczególności organy zalecają wprowadzenie następujących ustawień:
    • odpowiednie ustawienie kamery – należy uchwycić tylko niektóre części ciała, takie jak czoło i wewnętrzne kąty, ponieważ uchwycenie całego ciała nie jest konieczne
    • wysoka dokładność pomiaru – określenie wartości progowej wyzwalającej przechwytywanie przez kamerę, tj. producent lub użytkownik kamery powinien skonfigurować ją w taki sposób, aby kamera dokonywała nagrań lub wyzwalała alarm tylko wtedy, gdy wykryje podwyższoną temperaturę ciała
    • korzystanie z personelu ochrony nadzorującego kamery termowizyjne i wykrywającego osoby o podwyższonej temperaturze ciała

Źródło: https://www.dataprotectionreport.com/2020/10/thermal-cameras-and-covid-19-the-german-dpas-have-spoken/

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

rodo aktualności
RODO aktualności – 17.11.2020
rodo aktualności
RODO aktualności – 03.11.2020
rodo aktualności
RODO aktualności – 06.10.2020

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.