RODO aktualności – 09.05.2023 r.

WSA: Prezes UODO nie może nakazać udostępnienia danych hejterów. Pacjent nie może sprzeciwić się dostępowi do jego danych medycznych. Sąd doprecyzowuje pojęcie danych osobowych. Cyberprzestępcy wykradli dane osobowe z poznańskiego magistratu. Powstał Instytut Prawa Ochrony Danych Osobowych (IPODO). Śmierć już nas nie rozłączy – cyfrowe wskrzeszenie wyzwaniem dla ochrony danych. Więzienie za naruszenie RODO, czyli 3-miesięczny wyrok w zawieszeniu w Finlandii. EROD wprowadza przewodnik dotyczący ochrony danych dla małych przedsiębiorstw.

 

MULTIMEDIA

#RODOA [02.05.2023]
#RODOA [08.05.2023]
Pobierz PDFPobierz PDF

WSA: Prezes UODO nie może nakazać udostępnienia danych hejterów

  • Skarżący potrzebował danych osobowych autorów komentarzy, by zainicjować postępowania sądowe o ochronę dóbr osobistych. Spółka prowadząca portal odmówiła ich udostępnienia. Nie pomógł też Prezes UODO, który uznał, że sprawa ta wykracza poza zakres jego kompetencji. Wojewódzki Sąd Administracyjny w Warszawie przyznał mu rację, ponieważ przepisy nie dają podstaw do wystosowania nakazu udostępnienia danych osobie trzeciej.
  • WSA ocenił, że art. 57 i art. 58 RODO nie dają Prezesowi UODO podstaw do prowadzenia postępowania w sprawie udostępnienia danych osobowych przez administratora osobie trzeciej, a tym bardziej do wystosowania nakazu ich udostępnienia. Sąd podkreślił, że zasadniczą rolą organu ochrony danych osobowych jest egzekwowanie stosowania RODO. Oznacza to podejmowanie wszelkich działań określonych w tym rozporządzeniu, które mają służyć zapewnieniu właściwego poziomu ochrony danych osobowych. Z tego względu, prowadzenie postępowania w sprawie nakazania udostępnienia danych osobowych przez spółkę w sposób rażący naruszałoby art. 58 ust. 2 lit. d RODO. Przepis ten daje organowi nadzorczemu jedynie uprawnienie do nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu. Mając powyższe na uwadze, WSA oddalił skargę.

Źródło: https://www.prawo.pl/biznes/dane-osobowe-do-pozwu-prezes-uodo-nie-moze-nakazac-ich,520823.html

Pacjent nie może sprzeciwić się dostępowi do jego danych medycznych

  • Prawo nie przewiduje instytucji sprzeciwu pacjenta wobec dostępu do jego dokumentacji medycznej. Część danych pacjenta w elektronicznej dokumentacji medycznej (EDM) jest udostępniona automatycznie personelowi medycznemu. W pozostałych przypadkach to zawsze pacjent sam decyduje. Tyle tylko, że system udzielania zgód przez IKP często nie jest znany ani pacjentom, ani lekarzom.
  • Zgodnie z art. 35 ust. 1a ustawy o systemie informacji w ochronie zdrowia (SIOZ) to zgoda pacjenta stanowi podstawę do umożliwienia konkretnemu pracownikowi medycznemu dostępu do danych pacjenta zgromadzonych w SIM. Wyjątkiem są przypadki tzw. dostępów automatycznych, o których mowa w art. 35 ust. 1 ustawy o SIOZ.
  • W pozostałych przypadkach pacjent sam decyduje o zasadach udzielania dostępu pracownikom medycznym i innym osobom do jego danych osobowych lub jednostkowych danych medycznych przetwarzanych w SIM. W tym także tych gromadzonych w ramach raportowania informacji o zdarzeniach medycznych i EDM.
  • Natomiast pacjent nie może wyrazić sprzeciwu w sprawie danych udzielanych automatycznie. Polskie prawo nie przewiduje instytucji sprzeciwu wobec dostępu do dokumentacji medycznej pacjenta – zaznacza CeZ. W żadnym przypadku, niezależnie od rodzaju dokumentacji, pacjent nie ma możliwości zastrzeżenia dostępu do danych medycznych. Jednak, co warto podkreślić jeszcze raz, pacjent może decydować dla jakiego personelu medycznego zgadza się (oprócz danych automatycznych) na dostęp do jego danych osobowych lub jednostkowych danych medycznych przetwarzanych w SIM i gromadzonych w EDM.

Źródło: https://www.prawo.pl/zdrowie/edm-zgoda-pacjenta-na-dostep-do-dokumentacji,508688.html

Wyrok sądu – pojęcie danych osobowych

  • Jedno z ważniejszych orzeczeń sądowych dotyczących pojęcia danych osobowych w ostatnim czasie, w szczególności dla branży IT:
  • WYROK SĄDU (ósma izba w składzie powiększonym) z dnia 26 kwietnia 2023 r. W sprawie T‑557/20, „SRB podnosi, że wbrew temu, co uznał EIOD, przekazanie Deloitte kodu alfanumerycznego nie doprowadziło do „pseudonimizacji” danych. Pozostały one anonimowe, ponieważ SRB nie udostępniła Deloitte informacji pozwalających na ponowną identyfikację autorów komentarzy”. W związku z tym (…) do EIOD należało zbadanie, czy przekazane Deloitte komentarze stanowiły dla niego dane osobowe. Zdaniem Sądu: ponieważ EIOD nie zbadał, czy Deloitte dysponował środkami prawnymi i wykonalnymi w praktyce umożliwiającymi mu dostęp do dodatkowych informacji niezbędnych do ponownej identyfikacji autorów uwag, EIOD nie miał podstaw, by wnioskować, że informacje przekazane Deloitte stanowią informacje odnoszące się do „możliwej do zidentyfikowania osoby fizycznej”.
  • Należy zauważyć, że w takim przypadku trzeba ustalić zakres dostępu obu podmiotów i nie można automatycznie przyjmować, że każdy z nich przetwarza dane osobowe.

Żródło: https://curia.europa.eu/juris/document/document.jsf;jsessionid=6C1A4AB45272602BAE2F13385426F1CE?text=&docid=272910&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=2283338

Cyberprzestępcy wykradli dane osobowe z poznańskiego magistratu

  • Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie Urzędu Miasta Poznania w sprawie naruszenia ochrony danych osobowych. Chodzi o usługę wysyłki na wskazane przez klientów numery komunikatów np. w związku z rezerwacją wizyt w urzędzie, czy powiadomieniem o odbiorze dokumentów. Według poznańskiego magistratu za sprawą stoją cyberprzestępcy.
  • Władze miasta podały, że w bazie danych, do której dostęp uzyskali cyberprzestępcy znajdowały się numery telefonów około 30 tys. osób oraz treści urzędowych komunikatów, które nie zawierały danych osobowych. Rzecznik prasowy UODO, który poinformował o wpłynięciu tego zgłoszenia podkreślił, że „istnieje wiele argumentów na prawidłowość poglądu, że numeru telefonu osoby fizycznej jest jej daną osobową”.
  • Dyrektor zarządzający SerwerSMS Daniel Zawiliński poinformował PAP, że 19 kwietnia potwierdzone zostało, że w systemie miał miejsce incydent bezpieczeństwa polegający na uzyskaniu nieautoryzowanego dostępu do części danych klientów biznesowych. – W wyniku tego ataku nie stwierdziliśmy uzyskania dostępu do kont naszych klientów – podał. Miasto poinformowało w środę, że pracownik Urzędu Miasta Poznania otrzymał zawiadomienie o incydencie 20 kwietnia. Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP Michał Łakomski pytany o to, dlaczego informacja do mieszkańców o incydencie została przekazana 25 kwietnia, podkreślił, że komunikat o zdarzeniu został przesłany do mieszkańców „niezwłocznie po uzyskaniu niezbędnych informacji w sprawie”.

Źródło: https://www.prawo.pl/prawo/dane-osobowe-wyciekly-z-poznanskiego-magistratu,521038.html

Powstał Instytut Prawa Ochrony Danych Osobowych (IPODO)

  • Pierwszy w Polsce Instytut zajmujący się zagadnieniami ochrony danych powstał na Akademii Ekonomiczno-Humanistycznej pod patronatem i we współpracy z Urzędem Ochrony Danych Osobowych.
  • Celem działań Instytutu jest zwiększenie świadomości społeczeństwa na temat prawa ochrony danych oraz propagowanie najlepszych praktyk i rozwiązań w zakresie przetwarzania i ochrony danych, poprzez badania, raporty, edukację, doradztwo i współpracę z innymi instytucjami oraz uczestnictwo w procesach tworzenia regulacji prawnych w tej dziedzinie. Instytut tworzy zespół ekspertów, praktyków oraz naukowców mających duży wpływ na powstanie i kształtowanie się systemu ochrony danych w Polsce.
  • Cieszę się, że pod patronatem UODO powstała naukowa inicjatywa o takim szerokim spektrum działania w zakresie ochrony danych. Jest to kontynuacja działań edukacyjnych śp. Michała Serzyckiego. Pomimo wieloletniego funkcjonowania systemu ochrony danych w Polsce widzimy sporo wyzwań w kontekście rozwoju nowych technologii, regulacji prawnych, edukacji społeczeństwa, kształcenia i profesjonalizacji kadr zajmujących się ochroną danych czy propagowania właściwych standardów i pokazywania najlepszych praktyk w tym obszarze. Jestem przekonany, że Instytut z dużym sukcesem zaangażuje się w tę misję – powiedział Jan Nowak, Prezes UODO.
  • Instytut formalnie ma zacząć funkcjonować w maju – wówczas zostanie utworzona Rada Naukowa. Władze administracyjne IPODO tworzą: Jakub Groszkowski (prezes honorowy), Monika Krasińska (dyrektor), Adam Sanocki (zastępca dyrektora) oraz Anna Dudkowska i Ewelina Janczylik-Foryś (pełniące funkcje sekretarzy IPODO).

Źródło: https://uodo.gov.pl/pl/138/2695

Śmierć już nas nie rozłączy – cyfrowe wskrzeszenie wyzwaniem dla ochrony danych

  • Sztuczna inteligencja (AI) pozwoli na wskrzeszanie zmarłych, a konkretniej na tworzenie ich cyfrowych imitacji. To kolejne wyzwanie dla ustawodawcy, bo będzie musiał zdecydować, czy takie działanie narusza dobra osobiste lub przepisy o ochronie danych osobowych. Obecnie, z prawnego punktu widzenia, zagadnienie ochrony danych osoby zmarłej i jej prywatności pozostaje nierozwiązane.
  • Wirtualne zmartwychwstanie wcale nie jest już pieśnią przyszłości – jak donoszą media, nauczenie sztucznej inteligencji zachowań zmarłej osoby, możliwe jest już na tym etapie rozwoju AI.
  • Ekspert wskazuje, że, jego zdaniem, nie istnieje odpowiednik prawa do prywatności zmarłej osoby, czy jakaś inna furtka do tego rodzaju procesów. – Natomiast faktycznie w tej materii – o ile świat pójdzie w te stronę – konieczne będą odpowiednie regulacje prawne. Powstaje bowiem pytanie, kto powinien na takich dziełach zarabiać? Logika wskazywałaby przecież na spadkobierców, bo ów program korzystałby z dzieła zależnego pierwotnego twórcy – podkreśla.
  • Ze względu bowiem na podmiotowy charakter prawa do prywatności i prawa do ochrony danych osobowych przyjmuje się, że wygasają one wraz ze śmiercią jednostki – podkreśla. – Większość systemów prawnych zapewnia pewne gwarancje godności zmarłych oraz ich bliskich, zwłaszcza poprzez szczegółowe określenie tego, co można, a czego nie można zrobić ze zwłokami lub chroniąc pamięć i kult zmarłego jako dobro osobiste jego najbliższych umożliwiając im w ten sposób zapamiętanie tej osoby jako dobrego, godnego człowieka. Niemniej jednak takie przepisy albo dotyczą wyłącznie fizycznych pozostałości po zmarłym, albo nie chronią bezpośrednio „cyfrowej tożsamości” samego zmarłego – tłumaczy Mateusz Kupiec, prawnik w kancelarii Traple Konarski Podrecki i Wspólnicy

Żródło: https://www.prawo.pl/prawo/cyfrowe-wskrzeszenie-przez-ai-a-rodo-i-dobra-osobiste,521078.html

Były dyrektor centrum terapii dostaje 3-miesięczny wyrok w zawieszeniu - Helsinki

  • Sąd Okręgowy w Helsinkach wydał wyrok trzech miesięcy w zawieszeniu dla byłego dyrektora generalnego centrum psychoterapeutycznego, która stała się celem poważnego naruszenia danych.
  • Sąd uznał byłego dyrektora generalnego Vastaamo, Ville Tapio, za winnego przestępstwa w zakresie ochrony danych, ponieważ nie spełniał wymogów ogólnego rozporządzenia o ochronie danych (RODO) w zakresie pseudonimizacji i szyfrowania danych pacjentów przetwarzanych przez centrum.
  • Jesienią 2020 r. zarząd Vastaamo zwolnił Tapio w związku z naruszeniem, wkrótce po ujawnieniu, że z bazy danych skradziono bardzo wrażliwe informacje od dziesiątek tysięcy pacjentów. Informacje zawierały dokumentację pacjentów i notatki z sesji terapeutycznych. Niektóre pliki – w tym wyjątkowo osobiste materiały, w tym pamiętniki, diagnozy i informacje kontaktowe – zostały również opublikowane w sieci. Firma oraz indywidualni pacjenci i członkowie personelu otrzymali żądania zapłaty okupu, aby zapobiec wyciekowi większej ilości informacji, ale odmówili zapłaty. Przyczyną było niewłaściwe zabezpieczenie baz danych, w szczególności brak odpowiedniego szyfrowania. Firmę ukarano wówczas administracyjną karą pieniężną w wysokości €608.000.

Żródło: https://yle.fi/a/74-20027665

EROD wprowadza przewodnik dotyczący ochrony danych dla małych przedsiębiorstw

  • EROD opublikowała przewodnik po ochronie danych, aby pomóc właścicielom małych przedsiębiorstw w osiągnięciu większej zgodności z przepisami w zakresie ochrony danych. Przewodnik ma na celu zwiększenie świadomości na temat RODO i dostarczenie MŚP praktycznych informacji na temat zgodności z RODO w przystępnym i łatwo zrozumiałym formacie.
  • Andrea Jelinek powiedziała: „W tym przewodniku MŚP znajdą różne narzędzia i praktyczne wskazówki, które pomogą im zachować zgodność z RODO. Zawiera konkretne przykłady zebrane podczas naszych 5-letnich doświadczeń z RODO. „
  • Przewodnik obejmuje różne aspekty RODO, od podstaw ochrony danych, po prawa osób, których dane dotyczą, naruszenia danych i wiele innych. Zawiera filmy, infografiki, interaktywne schematy blokowe i inne praktyczne materiały, które pomogą MŚP we wdrażaniu ochrony danych w praktyce. Ponadto przewodnik zawiera przegląd przydatnych materiałów opracowanych dla MŚP przez krajowe organy ochrony danych.

Żródło: https://edpb.europa.eu/news/news/2023/edpb-launches-data-protection-guide-small-business_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO