Przekazywanie danych osobowych kancelariom prawnym – kto administratorem, a kto procesorem? Co ma RODO do scoringu bankowego? Jaka wyszukiwarka internetowa ochroni naszą prywatność? Jak wygląda wdrożenie RODO w służbie zdrowia? Na kogo zostały nałożone pierwsze kary za RODO?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z drugiej połowy listopada 2018.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych prezentacji w formie PDF do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Przekazywanie danych osobowych kancelariom
- Dr Paweł Litwiński oraz mec. Katarzyna Kloc w artykule próbują odpowiedzieć na pytanie, jaki jest status adwokatów i radców prawnych oraz kancelarii.
- Ich zdaniem, co do zasady prawnicy (kancelarie) co do zasady będą administratorami danych klientów, mogą jednak zdarzyć się sytuacje, kiedy będą występować jako podmiot przetwarzający.
- Taka sytuacja może mieć miejsce w przypadku klientów instytucjonalnych np. dużych korporacji.
- Prawnicy nie powinni z góry i na sztywno zakładać swojej roli w procesie przetwarzania danych.
Źródło: https://www.prawo.pl/prawnicy-sady/rodo-w-kancelarii-prawnej,329941.html
Scoring bankowy, a RODO
- Prezes Fundacji Panoptykon udzieliła wywiadu dotyczącego wpływu RODO na stosowaną przez banki praktykę scoringu – oceny czynników osobowych w celu weryfikacji np. przy wnioskowaniu o udzielenie kredytu hipotecznego.
- W projektowanych przepisach dostosowujących 168 ustaw do RODO znajduje się m. in. zmiana Prawa bankowego, która zezwoli bankom na tzw. profilowanie kwalifikowane. Wprowadzone zostanie jednak prawo do tzw. interwencji ludzkiej.
- Podnoszony jest również postulat, aby osoba poddana profilowaniu w banku mogła poznać mechanizmy, na podstawie których została oceniona np. jakie czynniki zostały wzięte pod uwagę i z jaką wagą.
Źródło: https://www.rp.pl/Opinie/311229978-Jak-ocenia-nas-bank-i-co-RODO-do-tego.html
Zbieranie przez pracodawcę informacji o nadużyciach zgodne z RODO
- Pracodawcy mają prawo podejmowania działań zmierzających do ustalenia ewentualnych naruszeń (korupcja, kradzież, oszustwa, wyciek tajemnicy przedsiębiorstwa czy mobbing) i osób odpowiedzialnych.
- Podstawą prawną wg autora jest prawnie uzasadniony interes.
- W artykule poruszone również są kwestie ewentualnej niezgodności z art. 10 RODO oraz spełniania wtórnego obowiązku informacyjnego z art. 14 RODO.
- Przestrzega się także przed zbyt szybki usuwaniem danych po zakończeniu wewnętrznych śledztw.
Wyszukiwarka z wrodzoną skromnością
- Funkcjonowanie rozpoczęła wyszukiwarka Startpage.com, jak twierdzą jej autorzy – najbardziej prywatna wyszukiwarka na świecie.
- Wyszukiwarka korzysta z Google’a, jednak usuwane są wszystkie trackery i logi.
- Twórcy wskazują również, że nie gromadzą i nie przetwarzają żadnych danych osobowych.
- Startpage.com oferuje również funkcję „Tryb Anonimowy”.
Źródło: https://www.startpage.com/pl/
RDNO uchwalone
- Pod skrótem RDNO kryje się rozporządzenie ogólne o danych nieosobowych, które zostało przyjęte przez Radę UE 9 listopada 2018 r. w kształcie zaproponowanym wcześniej przez Parlament Europejski.
- Dane nieosobowe zdefiniowano w sposób negatywny – są to wszelkie dane niebędące danymi osobowymi w rozumieniu RODO.
- Przepisy regulują m. in. swobodę przepływu tego typu danych, reguły przechowywania danych na serwerach czy reguły lokalizacji samych serwerów.
- Vacatio legis tego aktu prawnego wynosi 6 miesięcy.
Źródło: http://lswipblog.pl/pl/2018/11/rodo-szalenstwo-za-nami-czy-czeka-nas-rodn-szalenstwo/
Służba zdrowia męczy się z RODO
- Adw. Łukasz Pociecha wskazał problemy, z jakimi w związku z wdrożeniem RODO zmaga się branża medyczna.
- Poruszona została m. in. kwestia wywoływania pacjentów do gabinetu – autor proponuje stosowanie imienia i godziny wizyty lub nadawanie pacjentom numerów w kolejce.
- Z kolei w przypadku udzielania informacji przez telefon powinno się udzielać, zdaniem autora, podstawowych informacji (np. tego, czy dana osoba znajduje się w placówce medycznej), natomiast szersze informacje przedstawić już osobiście po zweryfikowaniu osoby pytającej o stan zdrowia chorego/poszkodowanego.
Źródło: https://polskatimes.pl/sluzba-zdrowia-pod-presja-rodo-przepisy-sa-czesto-zle-rozumiane/ar/13676032
Poradnik – RODO w bankowości
Portal Cyberdefence24.pl, we współpracy z jedną kancelarii prawnych, przygotowali poradnik dotyczący stosowania RODO w bankowości.
A pokazy nadal dzwonią…
- Prezes UOKiK wszczął postępowanie wobec ACS Medica.
- Call center dzwoniło pod numery z książki telefonicznej z zaproszeniami na pokazy handlowe mat i urządzeń do magnetoterapii.
- Postępowanie toczy się w ramach potencjalnego naruszenia art. 172 Prawa telekomunikacyjnego, co może godzić w zbiorowe interesy konsumentów.
RODO okiem sędziego
- Prezes Sądu Okręgowego w Przemyślu udzielił wywiadu, w którym podzielił się doświadczeniami z wdrożenia i stosowania RODO w sądzie.
- Problemy, na które w szczególności zwraca uwagę to: swoisty dualizm w statusie administratora danych (prezes sądu i dyrektor sądu), udzielanie informacji o sprawach przez telefon, współpraca organów państwa lub samorządu (Policja/ośrodki pomocy społecznej) z kuratorami oraz umowy powierzenia.
Ofiara wyłudzenia dostanie zwrot pieniędzy
- Sąd Okręgowy w Warszawie zasądził od banku (pozwanego) na rzecz ofiary wyłudzenia (powoda) kwotę ponad 76 tysięcy złotych.
- Oszuści wykorzystali oprogramowanie szpiegowskie zainstalowane na komputerze poszkodowanego.
- Sąd odrzucił zarzut banku o przyczynieniu się poszkodowanego do szkody, bankowi zarzucono m. in. niewystarczająco wyraźne ostrzeganie klientów przed atakami hakerskimi i złośliwym oprogramowaniem.
- Sąd stwierdził również, iż działanie poszkodowanego miało co prawda charakter niedbalstwa, ale nie w stopniu rażącym.
Źródła: Wyrok Sądu Okręgowego w Warszawie z dnia 28 października 2018 r. (I C 1208/16)
Imiona i nazwiska lekarzy są jawne
- WSA w Olsztynie nakazał Dyrektorowi Oddziału Wojewódzkiego NFZ udostępnienie imion i nazwisk lekarzy w trybie dostępu do informacji publicznej.
- Wcześniej Dyrektor odmówił ujawnienia imion i nazwisk lekarzy przyjmujących w placówce zasłaniając się przepisami RODO oraz potencjalnym naruszeniem ich dóbr osobistych.
- Sąd stwierdził m. in., że przepisy RODO dotyczą przetwarzania danych osób fizycznych, nie zaś dostępu do informacji publicznej, a informacja o imionach i nazwiskach lekarzy onkologów w przytoczonym stanie faktycznym stanowi informację publiczną.
Źródło: Wyrok WSA w Olsztynie z dnia 19 października 2018 r. (II SA/Ol 542/18), http://www.orzeczenia-nsa.pl/wyrok/ii-sa-ol-542-18/1850c36.html
Na oferowanie usług innego podmiotu trzeba mieć zgodę
- WSA w Warszawie oddalił skargę spółki P-4 złożonej wskutek wydania w styczniu 2018 r. decyzji przez GIODO nakazującej spółce przywrócić stan zgodny z prawem poprzez zaprzestanie przetwarzania danych osoby, która złożyła do GIODO skargę.
- Pracownicy operatora telekomunikacyjnego telefonowali do klientów proponując im ubezpieczenie oferowane przez Amplico Life, nie pobierając wcześniej zgody na rzecz Amplico Life. Spółka twierdziła, że realizuje swój prawnie usprawiedliwiony cel.
- Sąd stwierdził, że usługi ubezpieczenia nie da się podciągnąć pod usprawiedliwiony cel przetwarzania danych spółki telekomunikacyjnej, a oferowanie umowy ubezpieczenia abonentowi nie było marketingiem dla celów własnych lecz realizacją celu biznesowego i aby go osiągnąć spółka powinna była uzyskać zgodę swego klienta na przetwarzanie danych przez podmiot trzeci.
Źródło: Wyrok WSA w Warszawie z dnia 23 listopada 2018 r. (II SA/Wa 511/18), https://www.prawo.pl/prawo/klient-pokrzywdzony-przez-laczenie-ofert-telekomunikayjnych-z,334966.html
Chcesz pełnomocnika z urzędu? Ujawnij swoją sytuację materialną
- WSA w Gdańsku w dwóch różnych sprawach odmówił przyznania wnioskodawcy prawa pomocy w postaci pełnomocnika z urzędu.
- Odmowa w obu przypadkach wynikała z braku przedłożenia przez wnioskodawców dokumentów potwierdzających trudną sytuację majątkową, którą wcześniej wnioskodawcy oświadczyli.
- Wnioskodawcy w obu przypadkach twierdzili, iż nie przekażą dokumentów ze względu na przepisy RODO.
- Sąd stwierdził, regulacje ustawy Prawo o postępowaniu przed sądami administracyjnymi., w tym art. 255 PPSA są regulacjami szczególnymi, które wyprzedzają zastosowanie rozporządzenia unijnego w zakresie rozpoznawania spraw sądowych, w tym także postępowań wpadkowych, a zatem chybione jest nawiązanie wnioskodawcy do RODO.
Źródła: Postanowienie WSA w Gdańsku z dnia 13 listopada 2018 r. (II SA/Gd 541/18)
Postanowienie WSA w Gdańsku z dnia 3 października 2018 r. (I SA/Gd 1117/17)
Black Friday w Amazonie
- Tuż przed tzw. „czarnym piątkiem” doszło do wycieku danych klientów.
- Klienci otrzymali bardzo enigmatyczną informację od Amazonu, że ich adresy e-mail zostały przypadkowo ujawnione. Nie podano jednak przyczyny, ani żadnych działań naprawczych.
Przetwarzanie danych w relacji wynajmujący - najemca
- R. pr. Katarzyna Kamińska udzieliła wypowiedzi dotyczącej relacji przekazywania sobie danych osobowych na linii wynajmujący – najemca w przypadków centrów handlowych.
- Mec. Kamińska stwierdziła, iż co do zasady mamy do czynienia z relacją administrator-administrator i udostępnieniem danych osobowych.
- Autorka zwraca uwagę, że nieprawidłową jest praktyka podpisywania umów powierzenia z każdym kontrahentem.
- Artykuł porusza również inne obowiązki administratora danych: wyznaczenie IOD-a czy ocenę skutków.
Źródło: http://www.propertynews.pl/prawo/okiem-eksperta-rodo-goraczka-w-centrum-handlowym,68927_2.html
Pierwsza kara w Niemczech
- Niemiecki organ ochrony danych osobowych nałożył 20 tysięcy euro kary na właściciela portalu randkowego Knuddels.
- Firma została ukarana za naruszenie art. 32 RODO – brak odpowiednich zabezpieczeń, wskutek czego doszło we wrześniu 2018 r. do wycieku danych (adresy e-mail oraz hasła) około 2 milionów użytkowników. O wycieku poinformowano użytkowników bardzo szybko.
- Organ uzasadnił wysokość kary wzorową współpracą ze strony ukaranego podmiotu oraz zapewnieniem i wdrożeniem dodatkowych zabezpieczeń danych.
Zakres terytorialny RODO – nowe wytyczne
- Europejska Rada Ochrony Danych wydała 16 listopada 2018 r. wytyczne 3/2018 dotyczące zasięgu terytorialnego Ogólnego rozporządzenia o ochronie danych (art. 3 RODO).
- Wytyczne zajmują się w szczególności sytuacjami, gdy administrator danych lub podmiot przetwarzający nie mają siedziby w UE, proponując instytucję przedstawiciela.
- W wytycznych wyjaśnione jest również pojęcie „jednostki organizacyjnej”, które występuje w art. 3 ust. 1 RODO.
- EROD wskazuje również zalecenia dotyczące stosowania art. 3 ust. 2 RODO.
Źródło: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_en.pdf (tekst EN).
LinkedIn prześwietlony w Irlandii
- Irlandzki organ ochrony danych, na skutek skargi osoby fizycznej, wszczął postępowanie i przeprowadził audyt w LinkedIn Ireland.
- Audyt wykazał, że LinkedIn Corp w USA, który przetwarza dane w imieniu LinkedIn Ireland, przetwarzał adresy e-mail około 18 milionów osób, które nie są użytkownikami LinkedIn i wyświetlał tym osobom reklamy na Facebooku.
- Sprawa skargi została rozwiązana polubownie.
PESEL Prezesa PiS ujawniony
- Do ujawnienia numeru PESEL Jarosława Kaczyńskiego doszło podczas rozprawy z jego udziałem w procesie o naruszenie jego dóbr osobistych przez Lecha Wałęsę.
- Operator kamery TVN wykonał zbliżenie, w którym wyraźnie widać było dowód osobisty Jarosława Kaczyńskiego, w tym jego numer PESEL.
- Na zdarzenie zareagowała natychmiast Prezes UODO, która wystosowała pismo do Krajowej Rady Radiofonii i Telewizji.
RODO w opinii internautów
- Raport o powyższym tytule został opublikowany po przeprowadzeniu badań przez IAB Polska.
- Według deklaracji użytkowników Internetu – zdecydowana większość z nich posiada wiedzę na temat RODO, niektórzy (41 %) twierdzą nawet, że znają szczegóły RODO.
- Niemal idealny podział na 3 części wprowadziło pytanie, czy RODO pomaga lepiej chronić dane osobowe internautów – 33 % odpowiedziało, że tak, 34 % – nie, a 34 % nie miało zdania.
- Zdecydowana większość uczestników badania nie skorzystała z żadnego z przysługujących im na mocy RODO praw.
- Raport można pobrać stąd.
Źródło: https://iab.org.pl/badania-i-publikacje/raport-rodo-w-opinii-internautow-2/
Podsumowanie półrocza RODO
- Prezes UODO wystosowała list otwarty z okazji półrocza stosowania RODO.
- Na stronie Urzędu opublikowane zostało również podsumowanie ostatnich pół roku działalności, w tym dostosowywania się do RODO.
- Opublikowano również krótkie (10 punktów) poradniki dla administratorów danych oraz dla osób, których dane dotyczą.
Źródło: https://uodo.gov.pl/pl/171/576
Szpital nie udzielił informacji o zmarłym, bo RODO
- Do absurdalnej i przykrej sytuacji doszło w poznańskim szpitalu. Zaniepokojona rodzina zgłosiła się do szpitala z zapytaniem, czy został do niego przewieziony 70-letni mężczyzna.
- Pracownicy szpitala odmówili udzielenia informacji, zasłaniając się RODO.
- O tym, że mężczyzna trafił do szpitala i w nim zmarł, rodzina dowiedziała się przypadkiem od sprzątaczki, która usłyszała rozmowę rodziny zmarłego z personelem.
RODO dla służb w Sejmie
- 22 listopada 2018 r. miało miejsce pierwsze czytanie rządowego projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która stanowi wdrożenie do polskich przepisów tzw. dyrektywy policyjnej (dyrektywa 2016/680).
- MSZ wskazuje, iż art. 3 ust. 2 projektowanej ustawy mogą być niezgodne z prawem unijnym. Spod zakresu ustawy wyłączone mają być służby związane z bezpieczeństwem narodowym tj. ABW, Agencja Wywiadu, CBA, Służba Wywiadu Wojskowego oraz Służba Kontrwywiadu Wojskowego.
- Nadzór nad przetwarzaniem danych osobowych w ramach implementacji dyrektywy policyjnej ma sprawować Prezes UODO.
Źródła: https://prawo.gazetaprawna.pl/artykuly/1359549,dyrektywa-policyjna-nie-obejmie-abw-i-cba.html
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.