RODO aktualności – 08.03.2023 r.

Kara UODO – Środki organizacyjne i techniczne powinny się uzupełniać. EROD publikuje trzy wytyczne po konsultacjach społecznych. Cała władza w ręce UODO: Rozporządzenie o ochronie danych osobowych (RODO) działa. Pacjent musi wyrazić jasną zgodę na udzielenie informacji o jego zdrowiu. Newsletter UODO. WSA oddalił skargę spółki P4 na decyzję UODO. Opinia EROD ws. projektu decyzji dotyczącej ram ochrony danych UE-USA. EROD publikuje procedurę przyjmowania opinii ws. krajowych kryteriów cyfryzacji. NSA: Wydawcy usuną dane osobowe z nieprzychylnych artykułów.

MULTIMEDIA

#RODOA [27.02.2023]
#RODOA [06.03.2023]
Pobierz PDFPobierz PDF

WSA oddalił skargę spółki P4 na decyzję UODO

  • Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę P4 Sp. z o.o. na decyzję Prezesa UODO nakładającą administracyjną karę pieniężną w wysokości 100 tys. złotych*. Powodem decyzji było niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszeń danych osobowych.
  • Spółka w postępowaniu przed organem nadzorczym wyjaśniła, że zawiadomienie o naruszeniach danych osobowych po upływie 24 godzin związane było z nieumyślnymi błędami pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji. Jednak, jak zauważył UODO, błędy pracowników nie mogą uzasadniać opóźnienia zawiadomienia organu nadzorczego. Również WSA przychylił się do tego stanowiska. Według Sądu błędy pracowników spółki nie mogą zostać uznane za okoliczność uzasadniającą opóźnienie dokonania zawiadomienia. Zdaniem Sądu, błędy te świadczą o nieprawidłowym zorganizowaniu procesu powiadamiania organu nadzorczego o naruszeniach danych osobowych
  • WSA potwierdził, że przed wydaniem decyzji Urząd wyjaśnił wszelkie okoliczności sprawy oraz dokonał właściwej oceny zebranego materiału dowodowego. Istotnie spółka P4 jako dostawca usług telekomunikacyjnych nie wywiązała się z obowiązku zawiadomienia o naruszeniach organu nadzorczego w terminie ściśle określonym przepisami prawa, czyli nie później niż 24 godziny po wykryciu tych naruszeń. Ponadto Sąd uznał, że UODO w sposób właściwy ustalił wysokość kary pieniężnej, która jest nie tylko adekwatna do stwierdzonego naruszenia, ale także spełnia zamierzone funkcje ̶ represyjną i prewencyjną. *Sygn. akt II SA/Wa 2875/21

Żródło:  https://www.uodo.gov.pl/pl/138/2643

 

Kara UODO - Środki organizacyjne i techniczne powinny się uzupełniać

  • Urząd Ochrony Danych Osobowych nałożył na Sąd Rejonowy Szczecin-Centrum w Szczecinie administracyjną karę pieniężną w wysokości 30 tys. zł. W decyzji zostało stwierdzone naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.
  • Do Urzędu Ochrony Danych Osobowych 20 września 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Do naruszenia doszło na skutek zagubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.).
  • Podczas prowadzonego postępowania ustalono wieloletnie korzystanie na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu. Okazało się również, że administrator pomimo istniejących procedur dotyczących zakazu użytkowania prywatnych nośników danych nie prowadził nadzoru nad tym, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
  • Organ w toku postępowania stwierdził, że administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa pozwoliłaby administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna. W ocenie organu, gdyby administrator zweryfikował sposób realizacji środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, to wówczas znacząco obniżyłby ryzyko wystąpienia naruszenia albo nawet doprowadziłby do całkowitego jego wyeliminowania. Żródło:  https://www.uodo.gov.pl/pl/138/2639

EROD publikuje trzy wytyczne po konsultacjach społecznych

Po przeprowadzeniu konsultacji publicznych EROD przyjęła w ostatecznej wersji trzy zestawy wytycznych:

  • Wytyczne dotyczące zależności między stosowaniem art. 3 a przepisami dotyczącymi międzynarodowego przekazywania danych zgodnie z rozdziałem V RODO: Wytyczne wyjaśniają wzajemne zależności między terytorialnym zakresem stosowania RODO (art. 3) a przepisami dotyczącymi międzynarodowego przekazywania danych w rozdziale V. Mają one pomóc administratorom i podmiotom przetwarzającym w ustaleniu, czy operacja przetwarzania stanowi międzynarodowy transfer danych, oraz zapewnić wspólne rozumienie pojęcia międzynarodowego przekazywania danych.
  • Wytyczne dotyczące certyfikacji jako narzędzia przekazywania danych: Głównym celem niniejszych wytycznych jest dalsze wyjaśnienie praktycznego zastosowania tego narzędzia transferu. Wytyczne składają się z czterech części, z których każda koncentruje się na konkretnych aspektach dotyczących certyfikacji jako narzędzia do transferów.
  • Wytyczne dotyczące zwodniczych wzorców projektowych w interfejsach platform mediów społecznościowych: Wytyczne zawierają praktyczne zalecenia dla projektantów i użytkowników platform mediów społecznościowych dotyczące sposobu oceny i unikania wprowadzających w błąd wzorców projektowych w interfejsach mediów społecznościowych, które naruszają wymogi RODO.

Żródło:  https://edpb.europa.eu/news/news/2023/edpb-publishes-three-guidelines-following-public-consultation_en

Cała władza w ręce UODO. Rozporządzenie o ochronie danych osobowych (RODO), działa

  • Tylko za ubiegły rok sumaryczna wysokość wszystkich nałożonych kar przekroczyła 2 mld euro, z czego 1,3 mld w Irlandii. Polska pod tym względem znajduje się w środku rankingu z ponad 3,3 mln euro nałożonych grzywien. W całej Unii Europejskiej liczba zgłoszeń naruszenia ochrony danych przekroczyła 100 tys. W Polsce – 13 tys.
  • Wiele wskazuje na to, że wysokość kar wzrośnie, podobnie jak dotkliwość ich egzekwowania. Zaostrzeniem bardzo zainteresowana jest Komisja Europejska. Niektórzy politycy uznali działanie systemu ochrony danych za punkt honoru, choćby nasz czołowy reprezentant w UE, europejski inspektor ochrony danych Wojciech Wiewiórowski. W KE i okolicach krążą pogłoski o nieuniknionym zaostrzeniu egzekwowania przepisów poprzez wdrożenie systemu umożliwiającego duże śledztwa i nakładanie naprawdę wysokich grzywien na dużych graczy.

Żródło:  https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8664379,cala-wladza-w-rece-uodo-rodo-rozporzadzenie-o-ochronie-danych-osobowych.html

 

Pacjent musi wyrazić jasną zgodę na udzielanie informacji o jego zdrowiu

  • Lekarz nie powinien się domyślać zgody pacjenta na przekazanie informacji o stanie zdrowia innym osobom – konieczne jest złożenia przez pacjenta jasnego oświadczenia w tym zakresie. Sama obecność innej osoby podczas rozmowy z pacjentem, nie oznacza automatycznie, że pacjent chce, aby w obecności tej osoby „opowiadać” o jego stanie zdrowia.
  • Zasadą jest to, że lekarz może udzielić informacji o stanie zdrowia pacjenta innym osobom za zgodą pacjenta (lub jego przedstawiciela ustawowego). Lekarz jest zwolniony z obowiązku zachowania tajemnicy zawodowej, gdy przepisy konkretnych ustawy przewidują możliwość udzielenia informacji o stanie zdrowia pacjenta innym osobom lub instytucjom. Jednym z takich wyjątków jest upoważnienie pacjenta do udzielania informacji innej osobie.
  • Pacjent może dokonać upoważnienia w dowolnej formie, zatem także ustnie, pisemnie, czy elektronicznie poprzez Internetowe Konto Pacjenta. Obecne przepisy nakazują, aby poinformować pacjenta przed złożeniem przez niego m.in. oświadczenia o upoważnieniu o możliwości złożenia go za pośrednictwem IKP, zaś oświadczenie złożone w inny sposób niż za pośrednictwem IKP należy zamieścić się w dokumentacji indywidualnej wewnętrznej. Powyższe oznacza, że w przypadku upoważnienia w drodze rozmowy należy sporządzić odpowiednią notatkę z przebiegu rozmowy, warto także poczynić stosowną adnotację w dokumentacji medycznej.

Żródło:  https://www.prawo.pl/kadry/ochrona-niezaleznosci-inspektora-ochrony-danych-wyroki-tsue,519828.html

 

Newsletter UODO

W Newsletterze:

  • Podstawa pozyskiwania szczególnych kategorii danych osobowych obywateli Ukrainy
  • Pojazdy komunikacji miejskiej bez monitoringu fonicznego
  • Pracodawca w celu zapewnienia bezpieczeństwa pracowników lub ochrony mienia może zainstalować  monitoring, ale powinien on umożliwiać jedynie rejestrację obrazu, a nie dźwięku.
  • Nie ma więc podstaw prawnych, by w kabinie kierowcy w pojazdach komunikacji miejskiej montowane były kamery umożliwiające rejestrację dźwięku.
  • Lepsza ochrona danych osobowych przy zgłaszaniu zdarzeń niepożądanych
  • Finlandia: kara 230 tys. euro za naruszenie ochrony danych osobowych pracowników
  • Hiszpańska branża reklamowa ma swój kodeks postępowania

 

Opinia EROD ws. projektu decyzji dotyczącej ram ochrony danych UE-USA

  • Podczas 76. posiedzenia plenarnego, 28 lutego 2023 roku Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie projektu decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do ram ochrony danych UE-USA (dalej: „ramy ochrony danych UE-USA”)
  • EROD pozytywnie zaopiniowała a takie usprawnienia, jak wprowadzenie wymogów obejmujących zasady konieczności i proporcjonalności gromadzenia danych przez służby wywiadowcze USA oraz nowy mechanizm dotyczący sądowych środków zaskarżenia dla osób w UE, których dane dotyczą. Jednocześnie EROD zgłosiła pewne zastrzeżenia zwróciła się o wyjaśnienia w kilku kwestiach. Dotyczą one w szczególności niektórych praw osób, których dane dotyczą, dalszego przekazywania, zakresu wyłączeń, tymczasowego zbiorczego gromadzenia danych oraz praktycznego funkcjonowania mechanizmu sądowego zaskarżenia. EROD zaproponowała, aby nie tylko wejście w życie, ale także przyjęcie decyzji było uzależnione od wdrożenia zaktualizowanych polityk i procedur w celu implementacji rozporządzenia wykonawczego nr 14086 przez wszystkie amerykańskie agencje wywiadowcze. EROD zarekomendowała Komisji dokonanie oceny zaktualizowanych polityk i procedur oraz przedstawienie tej oceny EROD.
  • Jeśli chodzi o aspekty handlowe, EROD z zadowoleniem przyjęła szereg aktualizacji zasad ram ochrony danych. Zauważyła również, że niektóre zasady pozostają zasadniczo takie same jak w Tarczy Prywatności. W związku z tym nadal istnieją pewne obawy dotyczące na przykład niektórych odstępstw od prawa dostępu, braku kluczowych definicji, braku jasności, co do stosowania zasad tych ram do podmiotów przetwarzających, szerokiego odstępstwa od prawa dostępu do informacji publicznie dostępnych oraz braku szczegółowych przepisów dotyczących zautomatyzowanego podejmowania decyzji i profilowania.

Żródło:  https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en, https://www.uodo.gov.pl/pl/138/2644

 

EROD publikuje procedurę przyjmowania opinii ws. krajowych kryteriów certyfikacji

  • Podczas posiedzenia plenarnego 14 lutego 2023 r. EROD przyjęła procedurę przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.
  • Dokument ten jest skierowany do wszystkich wnioskodawców ubiegających się o zatwierdzenie kryteriów certyfikacji i ma na celu usprawnienie oraz ułatwienie przyjmowania opinii EROD w sprawie kryteriów certyfikacji poprzez wyjaśnienie procesu zatwierdzania krajowych i unijnych kryteriów certyfikacji, a także kryteriów certyfikacji, które mają być narzędziami do międzynarodowego przekazywania danych.
  • Przyjęty dokument zastąpi dokument wewnętrzny 04/2019 w sprawie procedury przyjmowania opinii EROD w sprawie projektu kryteriów akredytacji organu ochrony danych dla podmiotów certyfikujących oraz projektów decyzji organu ochrony danych w sprawie kryteriów certyfikacji (części związane z procedurą przyjmowania opinii w sprawie kryteriów akredytacji pozostaną w mocy), jak również dokument EROD dotyczący procedury zatwierdzania kryteriów certyfikacji przez EROD, skutkujący wspólną certyfikacją – europejskim znakiem jakości ochrony danych.
  • EROD przyjęła także trzy zestawy wytycznych po konsultacjach publicznych: Wytyczne w sprawie wzajemnych relacji pomiędzy stosowaniem art. 3 i przepisami dotyczącymi międzynarodowego przekazywania danych zawartymi w rozdziale V RODO, Wytyczne w sprawie certyfikacji jako narzędzia przekazywania danych, Wytyczne w sprawie tzw. deceptive design patterns w interfejsach platform społecznościowych.

Żródło: https://www.uodo.gov.pl/pl/138/2642

 

NSA: Wydawcy usuną dane osobowe z nieprzychylnych artykułów

  • Zgodnie z najnowszym orzeczeniem NSA skorumpowany polityk lub biznesmen może się domagać od wydawcy prasy usunięcia swoich danych z nieprzychylnych dla niego artykułów. Przynajmniej w tekstach archiwalnych.
  • Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego „pierwszeństwo wolności prasy nad ochroną prawa do prywatności możliwe jest tylko do chwili, gdy są realizowane cele działalności prasowej”. Chodzi o takie wartości jak prawo obywateli do rzetelnej informacji, jawności życia publicznego oraz kontroli i krytyki społecznej. Zdaniem sądu dotyczy to jednak wyłącznie artykułów, które mają „przymiot aktualności”. Archiwalne materiały prasowe już go nie mają, a to oznacza, że każdy może się domagać usunięcia z nich swych danych na podstawie prawa do bycia zapomnianym.
  • Wyrok może mieć daleko idące negatywne konsekwencje dla jawności i integralności życia publicznego. Istnieje ryzyko powoływania się na brak aktualności jakiegoś artykułu w celu ukrycia prawdy niewygodnej dla byłego polityka. Polityka, który miesiąc później może do czynnej polityki wrócić, a opinia publiczna będzie miała ograniczoną wiedzę na temat jego przeszłości – zauważa Krzysztof Izdebski, ekspert forumIdei Fundacji im. Stefana Batorego.
  • Jakie konsekwencje może mieć to orzeczenie? Można sobie wyobrazić przypadek radnego, który znęcał się nad żoną. Po opisaniu tego przez lokalną prasę nie został wybrany na kolejną kadencję. Powołując się na to, że nie pełni już funkcji publicznych, może on się domagać usunięcia nazwiska z archiwalnych tekstów. A za jakiś czas znów wystartować w wyborach.

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8668488,wyok-nsa-dane-osobowe-prasa.html

 

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 12.09.2023
RODO aktualności
RODO aktualności – 23.08.2023 r.
RODO aktualności
RODO aktualności – 01.08.2023 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO