Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 30.12.2020

Jak będzie wyglądało przekazywanie danych do Wielkiej Brytanii po brexicie? Jaką karę RODO będzie musiała zapłacić spółka Virgin Mobile? A jaką karę Twitter? Czy Facebook przeniesie swoich brytyjskich użytkowników do USA? Czy urzędy i instytucje dobrze chronią dane osobowe? Ilu administratorów danych może być w jednym urzędzie? Czy zachęty do szczepień mogą dyskryminować pracowników? Jaką karę finansową można otrzymać nadzór video niezgodny z prawem??

MULTIMEDIA

#RODOA [21.12.2020]
#RODOA [28.12.2020]
Pobierz PDFPobierz PDF

1,9 mln zł kary za RODO dla Virgin Mobile

  • Prezes UODO nałożył na Virgin Mobile Polska 1,9 mln zł kary – sprawa dotyczy incydentu sprzed niemal roku, gdy operator ujawnił, że doszło do wycieku danych ok. 12 proc. klientów usługi pre-paid
  • naruszenie obejmowało imiona, nazwiska, numery PESEL lub numery dowodu osobistych – UODO wszczął kontrolę i postępowanie, którego efektem jest nałożona sankcja
  • operator przejęty w międzyczasie przez Play został ukarany za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych
  • UODO stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności – Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych, które miały zabezpieczyć przetwarzane dane
  • administrator utrzymywał, że testował i monitorował zabezpieczenia, ale zdaniem UODO zrobił za mało – w ocenie urzędu działania te były incydentalne i nie obejmowały wszystkich systemów, w których przetwarzane są dane

Źródło: https://crn.pl/aktualnosci/19-mln-zl-kary-za-rodo-dla-virgin-mobile/    https://uodo.gov.pl/pl/138/1791

EROD o przekazywaniu danych w związku z brexitem

  • podczas 43. posiedzenia plenarnego Europejska Rada Ochrony Danych wydała oświadczenie, w którym administratorzy i podmioty przetwarzające dane znajdą informacje na temat konsekwencji zakończenia 31 grudnia 2020 r. okresu przejściowego w związku z opuszczeniem przez Zjednoczone Królestwo struktur Unii Europejskiej
  • od 1 stycznia 2021 r. Zjednoczone Królestwo nie będzie już stosować RODO do przetwarzania danych osobowych, a będą w nim obowiązywać odrębne ramy prawne dotyczące ochrony danych
  • w oświadczeniu EROD w szczególności podkreśliła kwestię przekazywania danych do państwa trzeciego, jak również konsekwencje dotyczące nadzoru regulacyjnego i mechanizmu kompleksowej współpracy
  • okres przejściowy, podczas którego organ Zjednoczonego Królestwa nadal uczestniczy we współpracy administracyjnej EROD, upływa z końcem 2020 r.
  • od 1 stycznia 2021 r. każde przekazywanie danych osobowych między zainteresowanymi stronami objętymi RODO a podmiotami Zjednoczonego Królestwa będzie stanowić przekazanie danych osobowych do państwa trzeciego i w związku z tym będzie podlegać przepisom rozdziału V RODO

Źródło: https://uodo.gov.pl/pl/138/1793

Jednak 450 tys. EUR dla Twittera

  • Komisja Ochrony Danych (DPC) ogłosiła zakończenie dochodzenia dotyczącego RODO, które przeprowadziła w firmie Twitter International Company
  • dochodzenie irlandzkiego organu ochrony danych osobowych rozpoczęło się w styczniu 2019 r.
  • po otrzymaniu od Twittera powiadomienia o naruszeniu, DPC stwierdziła, że Twitter naruszył art. 33 ust. 1 i art. 33 ust. 5 RODO w zakresie braku powiadomienia DPC i braku odpowiedniego udokumentowania naruszenia
  • DPC nałożyła na Twitter karę administracyjną w wysokości 450 000 euro jako skuteczny, proporcjonalny i odstraszający środek.
  • projekt decyzji w tym zapytaniu, który został przekazany innym zainteresowanym organom nadzorczym na podstawie art. 60 RODO w maju tego roku, był pierwszym, który przeszedł przez proces art. 65 („rozstrzyganie sporów”) od wprowadzenia RODO, w którym wszystkie organy nadzorcze UE były konsultowane jako zainteresowane organy nadzoru

Źródło: https://edpb.europa.eu/news/national-news/2020/irish-data-protection-commission-announces-decision-twitter-inquiry_en

Usunięcie danych przez procesora a pytania Prezesa UODO

  • podmioty przetwarzające dane osobowe na zlecenie są najczęściej zobowiązane do ich usunięcia po wykonaniu swoich zadań
  • w toku postępowań organ nadzorczy pyta jednak niektórych przedsiębiorców o dokładny moment pozbycia się konkretnych informacji – z takiej sytuacji nie jest łatwo wybrnąć
  • przedsiębiorcy zastanawiają się, czy UODO ma podstawy do żądania tego typu informacji
  • Prezes UODO może prosić o informacje na temat daty usunięcia konkretnych danych, o ile jest to istotne z punktu widzenia prowadzonego postępowania – może się bowiem zdarzyć naruszenie w konkretnej dacie i urząd musi zbadać, kto dokładnie dokonał tego naruszenia – administrator, procesor czy może ktoś inny
  • informacja o tym, kiedy np. procesor usunął dane, może go wykluczyć jako potencjalnego sprawcę naruszenia
  • zdaniem ekspertów procesor, który nie jest w stanie wskazać dokładnego momentu usunięcia danych, bo już ich nie posiada w swojej bazie, powinien przedstawić UODO procedurę, jaką ma w tym zakresie, oraz stosowną dokumentację

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8044765,procesor-dane-osobowe-kontrakt-kara-prezes-uodo.html

Facebook ,,przeniesie” swoich brytyjskich użytkowników do USA

  • serwis społecznościowy świata zamierza stosować wobec użytkowników w Wielkiej Brytanii te same zasady co wobec użytkowników w USA, ale już nie te co wobec użytkowników z UE – wszystko wiąże się z wyjściem Wielkiej Brytanii z Unii Europejskiej
  • użytkownicy Facebooka z UE są formalnie „klientami” spółki Facebooka założonej w Irlandii, która stanowi centrum operacyjne tego serwisu w Europie
  • od przyszłego roku brytyjscy użytkownicy Facebooka będą jednak „klientami” spółki Facebooka zarejestrowanej w Kalifornii – tym samym przestaną być chronieni restrykcyjnymi unijnymi przepisami dotyczącymi np. ochrony ich danych osobowych
  • brytyjski organ nadzoru – Biuro Komisarza ds. Informacji (ICO) poinformowało, że jest już w kontakcie z amerykańskimi spółkami internetowymi, które mają wielu użytkowników w Wielkiej Brytanii, ale zamierzają ich po upływie okresu przejściowego po brexicie „przenieść” z europejskich spółek do amerykańskiej
  • biuro prasowe Facebooka poinformowało, że w ciągu najbliższych sześciu miesięcy przygotuje dla swoich brytyjskich użytkowników konkretne rozwiązania, a potem przedstawi im je do akceptacji, jeśli chcą nadal korzystać z aplikacji tej spółki – oprócz serwisu Facebook to także takie aplikacje jak WhatsApp czy Instagram

Źródło: https://www.euractiv.pl/section/gospodarka/news/facebook-usa-wielka-brytania-unia-europejska-dane-brexit/

Konsultacje publiczne wytycznych ws. ograniczeń na podstawie art. 23 RODO

  • do 12 lutego 2021 r. Europejska Rada Ochrony Danych (EROD) przyjmuje uwagi dotyczące Wytycznych 10/2020 w sprawie ograniczeń na podstawie art. 23 RODO
  • celem wytycznych jest wskazanie warunków stosowania ograniczeń z art. 23 RODO w świetle Karty praw podstawowych UE i RODO
  • dokument zawiera dokładną analizę kryteriów stosowania ograniczeń, ocen, których należy dokonywać, dotyczących tego, jak osoby, których dane dotyczą, mogą wykonywać swoje prawa po zniesieniu ograniczeń oraz konsekwencji naruszeń art. 23 RODO
  • ponadto wytyczne analizują, w jaki sposób środki prawne określające ograniczenia muszą spełniać wymóg przewidywalności i analizują podstawy ograniczeń wymienionych w art. 23 ust. 1 RODO oraz obowiązki i prawa, które mogą zostać ograniczone
  • przedstawiono również wyjaśnienie testu „niezbędności i proporcjonalności”, któremu ograniczenia muszą zostać poddane i go spełnić w oparciu o art. 23 ust. 1 RODO
  • uwagi do wytycznych należy przesłać najpóźniej do 12 lutego 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://uodo.gov.pl/pl/138/1797

Czy uważamy, że dane osobowe są dobrze chronione przez urzędy i instytucje?

  • czy obywatele Polski i innych krajów europejskich mają zaufanie do władz i wierzą, że ich dane są bezpiecznie przechowywane i będą wykorzystywane zgodnie z przeznaczeniem?
  • odpowiedzi na to pytanie zaprezentowała brytyjska agencja Reboot Online analizując najnowsze dane udostępniane przez Komisję Europejską
  • badania ankietowe objęły ponad 27 tys. osób z wszystkich 27 krajów UE i Wielkiej Brytanii
  • z analizy Reboot wynika, że zaufanie do instytucji rządowych i administracyjnych pod względem ochrony danych jest słabe – w całej Unii Europejskiej, nie ma go średnio aż 61% obywateli
  • Polska plasuje się w środku stawki krajów objętych badaniami z wynikiem 59% i wraz z Holandią, Cyprem i Litwą zajmuje 15. pozycję w rankingu
  • tylko w siedmiu krajach ponad połowa obywateli jest przekonana, że ich dane osobowe są bezpiecznie przechowywane i odpowiednio zarządzane

Źródło: https://www.computerworld.pl/news/Czy-uwazamy-ze-dane-osobowe-sa-dobrze-chronione-przez-urzedy-i-instytucje,424529.html

Kilkunastu administratorów danych w jednym urzędzie

  • brakuje regulacji prawnych określających, kto jest administratorem danych osobowych w samorządach
  • problem określenia administratora w samorządach pozostaje nierozwiązany od lat, Prezes UODO nie przyjął do tej pory jednolitego stanowiska w tym zakresie, uznając na przestrzeni lat za administratora różnie – odpowiednio gminę, urząd gminy lub burmistrza (wójta, prezydenta)
  • w sektorze publicznym współistnieje wiele organów, podmiotów, jednostek organizacyjnych, realizujących różnego rodzaju zadania publiczne, w pewnym stopniu decydujących o celach i sposobach przetwarzania – urząd jest pracodawcą w rozumieniu przepisów Kodeksu pracy i ustawy o pracownikach samorządowych, więc w tym ujęciu także może występować jako administrator względem danych pracowniczych
  • problemem jest fakt, że w urzędzie gminy w jednym budynku może być od kilku nawet do kilkunastu administratorów – mogą to być gminne komisje, straż miejska stacjonująca w budynku gminy, kierownik urzędu stanu cywilnego, kasy zapomogowo-pożyczkowe, itp.
  • często dane różnych administratorów są przetwarzane w tych samych pomieszczeniach, są przechowywane w tych samych szafach i ci sami pracownicy urzędu gminy mogą jednocześnie działać na rzecz różnych administratorów danych

Źródło: https://www.prawo.pl/samorzad/administrator-danych-osobowych-w-samorzadzie-kazda-gmina-czy,505363.html

Zachęty do szczepień mogą dyskryminować pracowników

  • promowania szczepień w firmach nie ułatwiają też przepisy o ochronie danych osobowych
  • zgodnie z RODO i Kodeksem Pracy informacje o stanie zdrowia zatrudnionych można pozyskiwać tylko za ich zgodą i z ich inicjatywy
  • jeśli pracodawca deklaruje dodatkowe uprawnienia dla osób, które się zaszczepią, to trudno uznać, że przekazywanie informacji następuje tu z inicjatywy pracownika – budzi to co najmniej wątpliwości
  • firmy zawsze mogą podnosić, że pozyskane informacje o zaszczepieniu nie będą rejestrowane (nie powstanie zbiór), więc nie dojdzie do naruszenia przepisów o ochronie danych – nie wszystkich jednak przekonuje taka interpretacja, a Urząd Ochrony Danych Osobowych uznał, że pracodawcy nie mogą samodzielnie badać, czy zatrudnieni nie mają gorączki (choć wówczas informacje też nie są formalnie rejestrowane)

Źródło: https://praca.gazetaprawna.pl/artykuly/8054094,zachety-do-szczepien-moga-dyskryminowac-pracownikow.html

30 tys. EUR za niezgodny z prawem nadzór video

  • szwedzki urząd ochrony danych nałożył grzywnę administracyjną w wysokości 300 000 SEK (ok. 30 000 EUR) na spółkę mieszkaniową za niezgodny z prawem nadzór wideo w budynku mieszkalnym
  • DPA otrzymał skargę dotyczącą monitoringu wideo w budynku mieszkalnym – skarżący twierdził, że w kamienicy znajdowała się kamera monitorująca skierowana na drzwi wejściowe skarżącego
  • kontrola wykazała, że kamera monitorowała piętro, na którym mieszka skarżący – obszar monitorowania obejmował dwoje drzwi do mieszkań, z których jedno należy do skarżącego, a drugie do mieszkańca, który był obiektem nękania
  • firma mieszkaniowa twierdziła, że celem monitoringu wideo było usunięcie z upływem czasu zakłóceń na klatce schodowej
  • szwedzki organ stwierdził, że sposób instalacji monitoringu na parterze posesji spowodował, że wszyscy mieszkańcy domu podlegali monitorowaniu w drodze do i z domu, dotyczyło to szczególnie skarżącego i najbliższego sąsiada, ponieważ ich drzwi wejściowe są wyraźnie objęte monitorowanym obszarem nadzoru wideo
  • nawet jeśli firma miała uzasadniony interes w monitorowaniu, przeważało nad tym prawo mieszkańców do prywatności
  • przedsiębiorstwo mieszkaniowe zaprzestało monitoringu

Źródło: https://edpb.europa.eu/news/national-news_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 01.06.2021 r.
RODO aktualności
RODO aktualności – 18.05.2021 r.
RODO aktualności
RODO aktualności – 04.05.2021 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.