RODO aktualności – 08.03.2022 r.

Kto i za co otrzymał rekordową karę od UODO? Co było powodem nałożenia kary na Santander Bank Polska S.A.? Czy ubezpieczyciel może zażądać kartę zgonu? Kiedy badania satysfakcji klienta mogą nie być zgodne z RODO? Jaką decyzję w sprawie kary dla Cyfrowego Polsatu podjął Sąd? Czy informacje o charakterze majątkowym pracowników publicznych to dane osobowe i czy powinny być chronione? Jakie zmiany w ustawie o Obronie Ojczyzny proponuje Panoptykon? Jak brzmi ostateczna wersja wytycznych w sprawie kodeksów postępowania jako narzędzia do międzynarodowego przekazywania danych?

MULTIMEDIA

#RODOA [28.02.2022]
#RODOA [07.03.2022]
Pobierz PDFPobierz PDF

Obejrzyj na YouTube

Odsłuchaj w formie podcastu

Rekordowa kara za naruszenie RODO

  • UODO nałożył najwyższą w swej historii karę za naruszenie RODO – około 4,9 mln zł ma zapłacić dostawca prądu i gazu, spółka Fortum Marketing and Sales Polska, za to, że nie zadbał wystarczająco o dane swych klientów
  • kara ta to przede wszystkim wynik braku nadzoru nad firmą, która na zlecenie administratora danych wdrażała nowe narzędzie informatyczne – spółka miała zawartą z nią umowę powierzenia przetwarzania danych osobowych, zgodnie z którą powinna zostać przeprowadzana pseudonimizacja danych
  • niestety podmiot przetwarzający pracował na niezabezpieczonych danych, kopiując bazę klientów na niezabezpieczony serwer – do tej kopii mieli dostęp dwaj niezależni internauci, którzy powiadomili o tym fakcie administratora
  • bezpośrednią winę za incydent ponosi więc podwykonawca, który działał niezgodnie z powszechnie znanymi normami ISO – on również został ukarany i ma zapłacić 250 tys. zł.
  • dużo wyższa sankcja nałożona na Fortum wynika z faktu, że to ta spółka jako administrator danych powinna wdrożyć procedury gwarantujące bezpieczeństwo danych

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8369936,naruszenie-rodo-kary-fortum-marketing-and-sales-polska.html https://uodo.gov.pl/pl/138/2304

Santander Bank Polska S. A. z administracyjną karą pieniężną w wysokości ponad 545 tys. zł.

  • organ nadzorczy nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł
  • powodem tej decyzji było naruszenie przez bank przepisów RODO polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu
  • UODO nakazało więc zawiadomienie tych osób o zaistniałej sytuacji i potencjalnych konsekwencjach z nim związanych
  • administrator zgłosił do UODO naruszenie ochrony danych osobowych po tym, gdy stwierdził, że były pracownik banku mimo zakończenia pracy w tej instytucji, posiada nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS) – w wyniku tego mógł on przeglądać znajdujące się na profilu płatnika dane pracowników Banku – w toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy
  • w ocenie Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO
  • w ocenie UODO w prezentowanej sprawie zaszły wszelkie okoliczności, które potwierdzały konieczność zawiadomienia o naruszeniu osób, których dane dotyczą – dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą – w tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi)

Źródło: https://uodo.gov.pl/pl/138/2303 https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8362615,santander-uodo-kara-dane-osobowe.html

Węgry: kara za niezgodne z prawem praktyki przetwarzania danych związane z badaniem satysfakcji

  • po przeprowadzeniu przeglądu samochodu, skarżący na prośbę warsztatu podał swój adres e-mail
  • skarżący otrzymał następnie niechcianą wiadomość e-mail z prośbą o wypełnienie kwestionariusza satysfakcji w związku z powyższą świadczoną usługą, a następnie kolejną wiadomość e-mail z prośbą o ponowne wypełnienie kwestionariusza z powodu braku odpowiedzi
  • e-maile zawierały numer podwozia samochodu, ale e-maile nie pochodziły od warsztatu, ale od nadawcy będącego stroną trzecią – importera, który pozostaje w stosunku umownym z warsztatem, jako wyłączny importer na Węgry samochodów tego samego typu co samochód skarżącego
  • administratorem danych e-maila, o którym mowa, nie był warsztat, ale importer – informacje te są zwykle dostarczane wraz z dokumentacją roboczą, której w tym przypadku nie podano
  • węgierski organ stwierdził, że w przypadku braku odpowiednich informacji i skutecznych praw osoby, której dane dotyczą, importer nie mógłby mieć uzasadnionego interesu w indywidualnym przypadku
  • w odniesieniu do praktyk przetwarzania danych, w przypadku braku adekwatnych informacji i nadmiernego przetwarzania danych osobowych, nie może istnieć prawnie uzasadniony interes Importera, aby poznać satysfakcję swoich klientów dla celów monitorowania i zapewnienia jakości świadczonych przez niego usług i handlu

Źródło: https://edpb.europa.eu/news/national-news/2022/hungarian-sa-fines-car-importer-unlawful-data-processing-practices-related_en

Sąd: ubezpieczyciel mógł żądać karty zgonu

  • towarzystwo ubezpieczeniowe zwróciło się do urzędu stanu cywilnego o udostępnienie kserokopii karty zgonu ubezpieczonego, złożonej do akt zbiorowych rejestracji aktów stanu cywilnego, lub o wskazanie placówki medycznej, która wystawiła ten dokument
  • karta zgonu jest podstawą sporządzenia aktu zgonu, a zawarte w niej dane były ubezpieczycielowi niezbędne do ustalenia okoliczności zdarzenia losowego oraz wysokości odszkodowania
  • Kierownik USC odmówił, ponieważ – jak stwierdził w uzasadnieniu decyzji – zgodnie z przepisami ustawy – Prawo o aktach stanu cywilnego dane w karcie zgonu – w tym o przyczynie śmierci – służą wyłącznie do celów statystycznych
  • Wojewoda śląski, do którego odwołało się towarzystwo, utrzymał w mocy odmowną decyzję – na przeszkodzie udostępnienia stoją dobra ustawowo chronione, a ustawa o statystyce publicznej nie uprawnia kierownika USC do udzielania informacji o przyczynie zgonu
  • WSA w Gliwicach oddalił skargę towarzystwa ubezpieczeniowego na decyzję wojewody – zdaniem WSA słusznie organy administracji uznały, że na przeszkodzie udostępnienia kserokopii aktu zgonu stają dobra ustawowo chronione m.in. tajemnicą statystyczną
  • spółka złożyła skargę kasacyjną od tego wyroku do NSA, a WSA w Gliwicach uchylił wydany uprzednio wyrok oraz decyzje kierownika USC i wojewody śląskiego – dane wykorzystywane do celów statystycznych nie w każdej sytuacji podlegają bowiem ochronie, w tej sprawie były niezbędne do ustalenia okoliczności zdarzenia losowego i mieściły się w zadaniach ubezpieczyciela
  • sprawa wraca więc do pierwszej instancji, czyli do kierownika USC

Źródło: https://www.rp.pl/dane-osobowe/art35770171-sad-ubezpieczyciel-mogl-zadac-karty-zgonu

Data Act – RODO dla danych nieosobowych

  • KE zaproponowała nowe przepisy dotyczące tego, kto może wykorzystywać i uzyskiwać dostęp do danych generowanych w UE we wszystkich sektorach gospodarki
  • Data Act ma zapewnić uczciwość w środowisku cyfrowym, pobudzić konkurencyjny rynek danych, otworzyć możliwości dla innowacji opartych na danych i sprawić, że dane będą bardziej dostępne dla wszystkich
  • Data Act ma również zapewnić konsumentom i firmom jeszcze większą kontrolę nad tym, co można zrobić z ich danymi, wyjaśniając, kto może uzyskać dostęp do danych i na jakich warunkach
  • Projekt Data Act obejmuje m.in.

1)środki umożliwiające użytkownikom podłączonych urządzeń dostęp do generowanych przez nich danych, które często są gromadzone wyłącznie przez producentów; oraz udostępniać takie dane stronom trzecim w celu świadczenia usług posprzedażnych lub innych innowacyjnych usług opartych na danych

2)środki mające na celu zrównoważenie siły negocjacyjnej MŚP poprzez zapobieganie nadużywaniu niezrównoważenia umownego w umowach dotyczących udostępniania danych

3)środki umożliwiające organom sektora publicznego dostęp do danych znajdujących się w posiadaniu sektora prywatnego i korzystanie z nich, które są niezbędne w wyjątkowych okolicznościach

Źródło: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113

Sąd uchylił karę ponad miliona zł nałożoną przez UODO na Cyfrowy Polsat (1)

  • zdaniem nie wyjaśniono, czy firma kurierska gubiąca umowy klientów była procesorem, czy administratorem danych
  • zdarza się, że przesyłki giną bądź też trafiają do niewłaściwych adresatów – takie problemy napotykał również Cyfrowy Polsat
  • informacje na temat zgubionych czy błędnie dostarczonych przesyłek przekazywał UODO – analizując je, organ zwrócił uwagę na wzrost liczby tych zgłoszeń oraz zbyt długi, jego zdaniem, czas, jaki upływał między naruszeniem a przekazaniem informacji o nim klientom
  • właśnie z tego powodu wszczął postępowanie, a następnie wydał decyzję i nałożył karę 1,1 mln zł
  • Prezes UODO przyjął, że to na Cyfrowym Polsacie ciążył obowiązek wdrożenia technicznych i organizacyjnych środków ochrony pozwalających natychmiast stwierdzać naruszenie i bez zbędnej zwłoki zawiadomić organ nadzorczy oraz osobę, której bezpieczeństwo danych zostało zagrożone
  • spółka powinna wdrożyć odpowiednie rozwiązania, np. monitoring przesyłek, tak aby na bieżąco spływały do niej informacje o naruszeniach
  • głównym powodem uchylenia tej decyzji przez WSA w Warszawie było przyjęcie założenia, zgodnie z którym firma kurierska jest procesorem danych, a Cyfrowy Polsat pozostaje ich administratorem
  • zdaniem sądu UODO nie wyjaśnił przekonywająco, dlaczego tak a nie inaczej określił jej status

Sąd uchylił karę ponad miliona zł nałożoną przez UODO na Cyfrowy Polsat (2)

  • sytuacja zmieniłaby się diametralnie, gdyby firmę kurierską uznać za administratora danych. W momencie przekazania jej przesyłki odpowiedzialność za bezpieczeństwo danych zaczynałaby bowiem w pełni na niej spoczywać
  • sąd, odwołując się do ustawy – Prawo pocztowe wskazał wiele przesłanek, które jego zdaniem mogą przemawiać za tym, że to operator pocztowy jest administratorem danych
  • sąd uznał za uzasadnione domniemanie, że operator pocztowy jest samodzielnym administratorem w ramach czynności przemieszczania i doręczenia przesyłek do odbiorców (choć zaznaczył, że są to rozważania poboczne, bo ich rozstrzygnięcie nie jest rolą sądu w tej sprawie)
  • zgodnie z wyrokiem UODO ma przeanalizować rolę, w jakiej występuje firma kurierska, bo dopiero to pozwoli na stwierdzenie, kto ponosi odpowiedzialność naruszenia przepisów RODO

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8373435,uodo-zaginiecie-przesylki-sad-kara.html

Dostęp do informacji publicznej nie kłóci się z RODO

  • dyrektor jednej ze szkół publicznych, do którego wpłynął wniosek o ujawnienie zarobków wszystkich nauczycieli wskazał z imienia i nazwiska wszystkich członków rady pedagogicznej wraz z wykształceniem i procentową wielkością dodatku stażowego oraz zbiorczą tabelą wynagrodzeń – odmówił natomiast ujawnienia, ile zarabiają konkretni nauczyciele
  • dyrektor powołał się m.in. na RODO, zgodnie z którym informacje o charakterze majątkowym stanowią dane osobowe, które pozostają w relacji z życiem prywatnym i rodzinnym danej osoby
  • WSA w Rzeszowie nie podzielił tej argumentacji i uchylił decyzję – w uzasadnieniu wyroku podkreślił, że nauczyciel jest osobą pełniącą funkcję publiczną, przyjmuje się bowiem, że funkcja publiczna jest związana z uprawnieniami i obowiązkami w zakresie realizacji zadań o znaczeniu publicznym, takim zadaniem jest zaś bez wątpienia edukacja
  • konsekwencją powyższego stanowiska jest mniejsza aniżeli w stosunku do innych podmiotów ochrona prywatności – dotyczy to również wynagrodzenia
  • zdaniem sądu RODO nie tylko nie sprzeciwia się udostępnianiu informacji o osobach publicznych, ale wręcz bezpośrednio wskazuje ku temu podstawę prawną – jest nią art. 6 ust. 1 lit e RODO zezwalający na przetwarzanie danych niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi w związku z określonymi przepisami prawa krajowego

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8368890,rodo-dostep-do-informacji-publicznej.html

Ustawa o obronie ojczyzny - dane obywateli trafią w ręce wojska bez ich zgody i wiedzy

  • zgodnie z art. 10 ust. 1 projektu ustawy o obronie ojczyzny, organy wojskowe w zakresie swojej właściwości przetwarzają informacje, w tym dane osobowe, uzyskane ze zbiorów danych prowadzonych przez inne służby, instytucje państwowe oraz organy władzy publicznej – przetwarzanie informacji, w tym danych osobowych, przez organy wojskowe może mieć charakter niejawny, odbywać się bez zgody i wiedzy, osoby, której dane dotyczą
  • jednocześnie służby, instytucje państwowe oraz organy władzy publicznej są obowiązane do nieodpłatnego udostępnienia organom wojskowym informacji, w tym danych osobowych, w szczególności organy wojskowe są uprawnione do uzyskiwania informacji, w tym danych osobowych gromadzonych w administrowanych przez nich zbiorach danych lub rejestrach
  • zdaniem Fundacji Panoptykon, jeśli przepisy wejdą w życie, wojsko będzie mogło pozyskiwać dane m.in. od służb, ZUS-u, szpitali czy urzędów skarbowych i to bez względu na to, czy będą mu one faktycznie potrzebne do realizacji zadań przewidzianych przez prawo
  • w opinii Fundacji przygotowanej dla Sejmu zwrócono uwagę, że takie dzielenie się danymi obywateli i obywatelek między różnymi instytucjami państwa nie może odbywać się bez żadnych zasad
  • Panoptykon zaproponował zmiany, które powinny zdaniem ekspertów znaleźć się w nowej ustawie – to ograniczenie możliwości przetwarzania danych przez wojsko do zamkniętego katalogu celów i tylko w zakresie niezbędnych i proporcjonalnych do tych celów danych
  • Panoptykon chce też wprowadzenia instytucji pełnomocnika do spraw kontroli przetwarzania danych osobowych przez organy wojskowe

Źródło: https://serwisy.gazetaprawna.pl/nowe-technologie/artykuly/8372866,ustawa-o-obronie-ojczyzny-dane-osobowe-fundacja-panoptykon.html

EROD o zapewnieniu stopnia ochrony danych osobowych przekazywanych do państw trzecich

  • EROD przyjęła podczas 61. posiedzenia plenarnego odpowiedź do LIBE w sprawie drugiego protokołu dodatkowego do Konwencji o cyberprzestępczości, wytyczne w sprawie kodeksów postępowania jako narzędzia do międzynarodowego przekazywania danych, pismo w sprawie odpowiedzialności AI oraz wyznaczyła przedstawicieli do grupy ENISA ds. certyfikacji bezpieczeństwa cybernetycznego
  • w swojej odpowiedzi EROD przypomina, że stopień ochrony danych osobowych przekazywanych do państw trzecich wynikający z protokołu musi być zasadniczo odpowiadający stopniowi ochrony zapewnianemu w Unii – EROD odnosi się również do opinii EIOD w sprawie wniosków Komisji i podkreśla niektóre z jej kluczowych punktów
  • EROD przyjęła ostateczną wersję „Wytycznych w sprawie kodeksów postępowania jako narzędzia do przekazywania danych” po konsultacjach publicznych – głównym celem wytycznych jest wyjaśnienie przepisów RODO dot. stosowania kodeksów postępowania (art. 40 ust. 3 RODO) i przekazywania danych osobowych z zastrzeżeniem odpowiednich zabezpieczeń (art. 46 ust. 2 lit. e) RODO)
  • EROD przyjęła także pismo w sprawie odpowiedzialności sztucznej inteligencji (AI) – EROD z zadowoleniem przyjmuje inicjatywę KE mającą na celu dostosowanie zasad odpowiedzialności do ery cyfrowej i sztucznej inteligencji, w świetle oceny dyrektywy w sprawie odpowiedzialności za produkty
  • na koniec EROD wyznaczyła swoich przedstawicieli do udziału w nowo utworzonej Grupie Interesariuszy ds. Certyfikacji i Cyberbezpieczeństwa (SCCG) przy Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) – SCCG będzie doradzać ENISA i Komisji Europejskiej w strategicznych kwestiach dotyczących certyfikacji bezpieczeństwa cybernetycznego

Źródło: https://uodo.gov.pl/pl/138/2315

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 27.02.2024 r.
RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO