RODO aktualności – 09.11.2021 r.

Dlaczego UODO nałożył równocześnie kary na administratora i procesora? Jak stworzyć dobry kodeks RODO? Czy organy podatkowe mogą przetwarzać dane podatników na tzw. czarnych listach? Czy istnieje dobry sposób na zabezpieczenie interesów administratora przed błędami procesora? Jak doszło do ataku hakerskiego na Totolotka? Jak wygląda rejestr wniosków o dostęp do informacji publicznej pod kątem RODO? Jakich odpowiedzi udzielił UODO na kolejne pytania IOD-ów? Czy dane publikowane w BIP są wiarygodne? Dlaczego pracownica jednego z marketów zaskarżyła swojego pracodawcę? Ile wynosi średnia grzywna za naruszenie RODO?

MULTIMEDIA

#RODOA [02.11.2021]
#RODOA [08.11.2021]
Obejrzyj na YouTube
Odsłuchaj na: Spotify, Google Podcasts, RSS
Pobierz PDFPobierz PDF

UODO nałożył karę jednocześnie na administratora i procesora (1)

  • UODO nałożył sankcję (karę upomnienia) równocześnie na administratora oraz na podmiot przetwarzający
  • po raz pierwszy de facto za to samo przewinienie (w tym wypadku chodziło o przetwarzanie danych osobowych bez podstawy prawnej) ukarane zostały obie strony
  • sprawa dotyczyła sytuacji, w której pewna firma zleciła w stosunku do swojego dłużnika działania windykacyjne innej firmie wyspecjalizowanej w tym zakresie – ta miała skontaktować się z przedstawicielem dłużnika (chodziło o podmiot gospodarczy) w celu zaspokojenia wierzytelności
  • poszukując jednak kontaktu telefonicznego oraz e-mailowego, popełniła błąd i zaczęła nękać postronną osobę fizyczną, wydzwaniając do niej oraz kierując na adres jej poczty elektronicznej wezwania do zapłaty
  • osoba ta złożyła skargę do prezesa UODO na nieprawidłowości w procesie przetwarzania jej danych osobowych
  • po rozpatrzeniu skargi UODO nałożył karę upomnienia zarówno na administratora, jak i procesora ‒ za brak przesłanki przetwarzania danych osobowych

UODO nałożył karę jednocześnie na administratora i procesora (2)

  • na nic zdały się tłumaczenia procesora, że w jego przypadku taką podstawą była umowa zawarta z ADO
  • organ nadzorczy zwrócił uwagę, że dłużnikiem administratora był określony podmiot gospodarczy, a nie skarżąca, a skoro tak, to przetwarzanie jej danych kontaktowych było nieuprawnione, stwierdził także, że procesor dodatkowo naruszył zasadę rzetelności oraz prawidłowości przetwarzania tychże danych (art. 5 ust. 1 lit. a i d RODO)
  • uzasadniając z kolei upomnienie dla ADO za brak przesłanki przetwarzania danych osobowych, UODO stwierdził, że to on jest administratorem danych, w imieniu i na rzecz którego działał procesor

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8277984,uodo-kara-administrator-procesor-niebezpieczny-precedens-firmy-windykacyjne-rodo.html

Urząd chce pomóc w tworzeniu dobrych kodeksów RODO (1)

  • Środowiska inicjujące prace nad projektami kodeksów postępowania w zakresie RODO popełniają błędy, które często wpływają na wydłużenie procedury zatwierdzenia kodeksu, zawieszenie prac nad projektem, a nawet całkowite zaniechanie przygotowania takiego dokumentu – stwierdza Prezes Urzędu Ochrony Danych Osobowych i doradza, jak to zrobić dobrze
  • organ postanowił wskazać najczęściej popełniane błędy przez środowiska pracujące nad projektami kodeksów postępowania, by wskazać te problemy, i w ten sposób pomóc kolejnym podmiotom uniknąć ich w przyszłości
  • brak jasnego i zwięzłego uzasadnienia, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO, to jeden z częstych błędów stwierdzanych przez organ nadzorczy na pierwszym etapie badania projektów kodeksów
  • zdarza się też, że podmiot wnioskujący o zatwierdzenie kodeksu nie reprezentuje większości sektora
  • podobnym problemem jest sytuacja, w której żaden uprawniony podmiot, nie podejmuje się przyjęcia roli wnioskodawcy w postępowaniu o zatwierdzenie kodeksu
  • kolejnymi wymienianymi przez UODO brakami, z którymi często spotyka się organ nadzorczy na pierwszym etapie badania projektu kodeksu, są zbyt wąski zakres przeprowadzonych konsultacji (np. nie obejmujący w ogóle osób, których dane dotyczą)

Urząd chce pomóc w tworzeniu dobrych kodeksów RODO (2)

  • UODO stwierdza też, że z jego doświadczeń wynika, że przyczyną trudności w stworzeniu odpowiedniego kodeksu jest także zbyt kompleksowe/szerokie podejście do zagadnień przetwarzania danych zamiast rozstrzygnięcia najważniejszych problemów sektora
  • jak stwierdza UODO, przepisanie w kodeksie przepisów RODO lub ustawy o ochronie danych osobowych bez praktycznego wyjaśnienia ich stosowania to kolejny błąd popełniany przez środowiska tworzące kodeks
  • niewskazanie w kodeksie przepisów sektorowych oraz wytycznych, opinii i stanowisk EROD w odniesieniu do konkretnego sektora lub konkretnej czynności przetwarzania lub tylko ogólne ich wskazanie bez odniesienia się do konkretnych przepisów związanych z przetwarzaniem danych osobowych w sektorze, dla którego powstał kodeks to kolejny z braków stwierdzanych przez Prezesa UODO
  • UODO stwierdza też, że niezależnie od wskazanych wyżej błędów popełnianych podczas prac nad tworzeniem kodeksów, wpływ na czas trwania postępowania o zatwierdzenie kodeksu ma też oczekiwanie przez środowiska pracujące nad takim dokumentem na zmianę przepisów sektorowych

Źródło: https://www.prawo.pl/prawo/kodeks-rodo-uodo-chce-pomoc-w-tworzeniu,511421.html https://uodo.gov.pl/pl/138/2182

 

Organy podatkowe nielegalnie umieściły na czarnych listach 270 tys. osób

  • holenderskie organy podatkowe łamały prawo umieszczając od co najmniej 7 lat na listach potencjalnych oszustów 270 tys. osób, w tym nieletnich, ustalił Holenderski Urząd Ochrony Danych Osobowych (AP)
  • zdaniem organu listy potencjalnych oszustów były tworzone przez holenderskiego fiskusa niezgodnie z prawem, m.in. z pogwałceniem zasad RODO
  • Oczywiście administracja podatkowa i celna musi walczyć z oszustwami, ale nasze ustalenia wykazały, że sygnały dotyczące oszustw były rejestrowane i wykorzystywane w sposób absolutnie niedozwolony” – powiedział rozgłośni NPO Radio 1 prezes AP
  • urząd wyjaśnia, że podatnicy byli umieszczani na czarnej liście, jeśli Administracja Podatkowa i Celna otrzymywała tzw. sygnały ryzyka, jak np. deklarowanie wysokich odliczeń w rocznym zeznaniu podatkowym
  • organ wyjaśnia, że podstawą do wpisania na listę mogły być też „informacje od sąsiadów lub mściwych eks-partnerów”
  • Prezes AP przekazał, że urząd rozważa nałożenie na fiskusa grzywny – zanim to jednak nastąpi do zarzutów ma się odnieść minister finansów

Źródło: https://www.gazetaprawna.pl/wiadomosci/swiat/artykuly/8283045,holandia-organy-podatkowe-nielegalnie-tworzyly-liste-potencjalnych-oszustow.html

Administrator powinien się zabezpieczyć przed błędami podmiotu przetwarzającego

  • administratorzy oraz podmioty przetwarzające powinny podjąć działania zmierzające do zmniejszenia ryzyka wystąpienia wydarzeń takich jak np. omyłkowe przetwarzanie danych niewłaściwych osób lub zminimalizowania ich negatywnych skutków – o zabezpieczenia powinna zadbać przede wszystkim firma zlecająca usługę, choć i procesorzy mogą zadbać o swoje interesy
  • procesorzy przy podpisywaniu jakiejkolwiek umowy powierzenia powinni zabezpieczać się poprzez zbieranie dowodów i oświadczeń administratora, że na pewno ma on podstawy prawne do przetwarzania danych
  • w Polsce nie istnieje ścieżka certyfikacji operacji przetwarzania prowadzonych przez podmioty przetwarzające – mimo że prezes UODO od ponad trzech lat ma ustawowy obowiązek wypracowania i opublikowania kryteriów dokonywania takiej certyfikacji
  • administrator powinien przede wszystkim precyzyjnie ustalić z procesorem zakres zlecenia – ustalenia powinny być odpowiednio zapisane, można je dopisać w umowie o współpracy w rozdziale dotyczącym zakresu i czynności przetwarzania danych, a jeśli ogólnej umowie o współpracy towarzyszy odrębna umowa powierzenia, to wówczas ona będzie najlepszym do tego miejscem
  • administrator może pomyśleć nad zobowiązaniem procesora do przekazywania klientom w imieniu administratora klauzuli obowiązku informacyjnego o przetwarzaniu przez administratora danych osobowych
  • dobrym sposobem na zabezpieczenie interesów administratora jest też wykonywanie przysługującego mu prawa do kontroli podmiotu przetwarzającego

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8283492,administrator-powinien-sie-zabezpieczyc-przed-bledami-podmiotu-przetwarzajacego.html

Totolotek zaatakowany przez hakerów

  • Totolotek padł ofiarą ataku hakerskiego – nieuprawnione osoby mogły uzyskać dostęp do danych klientów
  • klienci zostali poinformowani o wycieku – powiadomione zostały również policja i UODO
  • Totolotek poinformował w specjalnym komunikacie, że padł ofiarą ataku grupy hakerskiej
  • W chwili wykrycia ataku nasze systemy IT zostały odłączone od sieci celem zminimalizowania ilości danych, do których dostęp mogli mieć przestępcy” – czytamy
  • firma podkreśliła w oświadczeniu, że hakerzy uzyskali dostęp do archiwalnych danych, w tym do danych osobowych części klientów
  • totolotek zapewnił, że zdarzenie nie wywarło wpływu na bieżącą działalność operacyjną
  • do ataku doszło 30 września 2021 r. Hakerzy mogli uzyskać dostęp do loginu, maila, numeru telefonu, imienia i nazwiska, płci, daty urodzenia, numeru dowodu osobistego, PESEL, adresu zamieszkania oraz numeru rachunku bankowego
  • firma bukmacherska poradziła klientom, aby: regularnie zmieniali hasła do konta, nie otwierali wiadomości od nieznanych nadawców, sprawdzali historię kredytową, zastrzegli konta, co do których możliwe było uzyskanie dostępu na podstawie ww. danych, zastrzegli dowód osobisty oraz natychmiastowo powiadomili policję, jeśli jakiekolwiek dane zostaną wykorzystane przez nieuprawnione osoby

Źródło: https://biznes.wprost.pl/technologie/cyberbezpieczenstwo/10532887/totolotek-zaatakowany-przez-hakerow-wyciek-danych-klientow.html

Rejestr wniosków o dostęp do informacji publicznej a RODO

  • w Biuletynie Informacji Publicznej umieszcza się wszystkie wnioski o udostępnienie informacji, jakie wpływają do danego podmiotu, wraz z odpowiedziami na nie – zazwyczaj towarzyszy temu mniej lub bardziej rozbudowany mechanizm przeszukiwania powstałej w ten sposób bazy danych, np. po słowach kluczowych czy tematyce wniosku
  • analiza dostępnych w sieci rejestrów wniosków o dostęp do informacji prowadzi do wniosku, że można spotkać dwa typowe modele ich tworzenia:

1) publikacja wniosku i odpowiedzi, czasem z decyzją o odmowie udostępnienia informacji, bez żadnej ingerencji w ich treść

2) publikacja dokumentów w postaci zanonimizowanej

  • publikowanie rejestrów wniosków o dostęp do informacji to wyraz pewnej praktyki, co do zasady dobrej praktyki nie istnieją żadne przepisy prawa, które by wymagały takiego postępowania – a to sprawia, że nie istnieją przepisy stanowiące podstawę przetwarzania danych osobowych wnioskodawców w zakresie, w jakim te dane miałyby być ujawnione w rejestrze wniosków
  • przepisy ustawy z 6 września 2001 r. o dostępie do informacji publicznej powinny być tutaj wskazówką co do tego, jak należy postąpić – otóż zgodnie z art. 5 ust. 2 tejże ustawy prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/8284352,rejestr-wnioskow-o-dostep-do-informacji-publicznej-ochrona-danych-osobowych.html

Nowe odpowiedzi UODO na pytania IOD (1)

Jaka jest podstawa przetwarzania przez szkołę danych uczniów w celu wydania mLegitymacji?

  • w przypadku podmiotów publicznych oraz podmiotów, których działalność uregulowana została przepisami prawa co do zasady podstawę prawną przetwarzania danych osobowych powinno stanowić wykonanie obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) lub wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO)
  • w sytuacji, gdy przetwarzane będą szczególne kategorie danych, przesłanką dla ich przetwarzania zwykle będzie art. 9 ust. 2 lit. g RODO, tj. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym na podstawie prawa Unii lub prawa państwa członkowskiego
  • powołanie się na te przesłanki wymaga dodatkowo istnienia przepisów prawa wskazujących na zadania podmiotu publicznego, dla których realizacji niezbędne jest przetwarzanie danych osobowych
  • warunki i tryb wydawania mLegitymacji szkolnej uregulowane są w rozporządzeniu Ministra Edukacji Narodowej z 27 sierpnia 2019 r. w sprawie świadectw, dyplomów państwowych i innych druków, wydanym na podstawie art. 11 ust. 2 ustawy z dnia 7 września 1991 r. o systemie oświaty

Źródło: https://uodo.gov.pl/pl/225/2198

Nowe odpowiedzi UODO na pytania IOD (2)

Jakie dokumenty i przez jaki okres powinny być publikowane w BIP?

  • jeśli administrator oceni, że określona informacja stanowi informację publiczną, wówczas w następnym kroku powinien ocenić, czy prawo dostępu do takiej informacji nie podlega ograniczeniu, np. z uwagi na prywatność osoby fizycznej
  • opublikowanie przez urząd określonych informacji powinno być zatem poprzedzone staranną oceną, czy i w jakim zakresie należy je udostępnić
  • przepisy ustawy o dostępie do informacji publicznej, a także przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej nie precyzują okresu udostępniania informacji w BIP, zarówno minimalnego, jak i maksymalnego
  • brak określonych przepisami prawa okresów przetwarzania (udostępniania) informacji zawierających dane osobowe, nie oznacza, że informacje takie można przetwarzać bezterminowo – do takich informacji zastosowanie bowiem znajduje zasada ograniczonego przechowywania, wynikającą z art. 5 ust. 1 lit. e RODO

Źródło: https://uodo.gov.pl/pl/225/2199

Nowe odpowiedzi UODO na pytania IOD (3)

Czy przedstawiciel związku zawodowego może mieć dostęp do danych we wnioskach o przyznanie świadczeń?

  • postanowienia regulaminu ZFŚS określają zatem, na jakich zasadach, komu i w jaki sposób (w tym: z udziałem jakich osób) przyznawane są świadczenia z zakładowego funduszu świadczeń socjalnych
  • jeżeli regulamin ZFŚS przewiduje, że związki zawodowe pisemnie wyznaczają do tego zadania swojego przedstawiciela, wówczas taki przedstawiciel może i powinien mieć dostęp do danych osobowych zawartych we wniosku o przyznanie świadczenia

Źródło: https://uodo.gov.pl/pl/225/2200

Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów?

  • administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań
  • Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243)

Źródło: https://uodo.gov.pl/pl/223/2201

Dane z Internetu o reprezentowaniu urzędu mogą być mylące

  • projekt nowelizacji kodeksu postępowania cywilnego, nad którym pracuje rząd, przewiduje m.in. rezygnację z konieczności przedkładania aktu powołania lub innych aktów równorzędnych wskazujących na pełnienie przez daną osobę określonej funkcji, jeśli można to stwierdzić na podstawie Biuletynu Informacji Publicznej
  • Prezes Urzędu Ochrony Danych Osobowych w opinii do tego projektu podkreśla jednak, że dane publikowane w BIP nie zawsze są wiarygodne
  • organ zwraca uwagę na nieprawidłowości odnotowane przez niego w związku z udostępnianiem danych osobowych w tych serwisach – przepisy nie określają nawet czasu ich przechowywania
  • Nie ma też ukształtowanej odpowiedzialności za przetwarzanie tam danych nieprawidłowych lub nieaktualnych (np. informacji o zaprzestaniu pełnienia funkcji). W tej sytuacji powoływanie się na BIP jako wiarygodne źródło informacji kształtowania statusu osób pełniących funkcje publiczne lub wykonujących zadania publiczne należy raz jeszcze głęboko przeanalizować” – ostrzega Prezes UODO.
  • zgłoszone uwagi są kontynuacją zastrzeżeń wysuwanych od lat wobec przepisów dotyczących BIP czy też szerzej – ustawy o dostępie do informacji publicznej – zdaniem UODO nie uwzględniają one RODO i ochrony prywatności

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8285085,prezes-uodo-czy-dane-z-internetu-moga-byc-mylace.html

Ukryta kamera w sklepie - UODO vs. Biedronka

  • ochrona Biedronki w Bartoszycach zamontowała w magazynie ukrytą kamerę, by złapać złodzieja alkoholu
  • przez przypadek nagrała się też jedna z pracownic, która poprawiała sobie przed kamerą bieliznę – pracownicy sklepu nie wiedzieli, że są nagrywani w tym miejscu
  • pracownica Biedronki złożyła skargę na swojego pracodawcę do Urzędu Ochrony Danych Osobowych
  • pracodawca wskazał, że wszyscy pracownicy nadzorowani monitoringiem są przy zatrudnianiu informowani na piśmie o obecności kamer – sklepy są też oznakowane jako obiekty monitorowane
  • UODO nie uznał argumentacji spółki za wystarczającą i 28 września br. wydał decyzję, stwierdzając naruszenie Kodeksu Pracy i nakazał spółce usunięcie danych osobowych pracownicy, które zostały utrwalone za pomocą ukrytej kamery
  • urząd zaznaczył, że zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem
  • UODO przyznał, że zgodnie z Kodeksem pracy pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu – nie może to jednak w żaden sposób naruszać godności oraz dóbr osobistych pracownika

Źródło: https://www.money.pl/gospodarka/pracodawca-ukryl-kamere-by-zlapac-zlodzieja-przypadkiem-nagral-pracownice-6694085739797344a.html

W Polsce średnia grzywna za naruszenie RODO to 86 tys. euro

  • firma ESET przyjrzała się, które z firm działających w Europie mają tu najwięcej na sumieniu – jeśli mierzyć to wielkością kary, to Amazon ma z RODO poważny problem
  • gdyby zsumować wszystkie grzywny nałożone w Europie za złamanie przepisów RODO, to uzbierałby się 280 mln euro – ta kwota nie uwzględnia kary, jaką dostał w Luksemburgu Amazon (746 mln euro)
  • póki co najwięcej, bo 50 mln euro, nałożył francuski regulator danych osobowych na firmę Google – francuzi uznali, że nie informował w wystarczającym stopniu swoich użytkowników o tym, w jaki sposób zbiera ich dane i jak je wykorzystuje, dobierając reklamy
  • za to samo zapłacił, trzeci na liście najostrzej ukaranych, H&M (35,3 mln euro) – tyle że chodziło o dane pracowników
  • drugim najpowszechniej stwierdzonym powodem nałożenia grzywien było niezapewnienie przez firmy odpowiedniego bezpieczeństwa danych swoich konsumentów- srogo za to zapłaciły, na przykład, British Airways i Marriott International
  • jeśli spojrzeć nie za co, ale w którym kraju najłatwiej zostać ukaranym za nieprzestrzeganie RODO, to zdecydowanie wyróżnia się Hiszpania – organ nałożył tu od 2018 roku – 273 kary finansowe, Polska z 24 grzywnami jest na 9 miejscu
  • średnia hiszpańska to 118 tys. euro, włoska i niemiecka to ponad 1 mln euro, a francuska ponad 3 mln euro, Polska średnia to ok. 86 tys. euro

Źródło: https://bezprawnik.pl/amazon-ma-z-rodo-powazny-problem/

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.
RODO aktualności
RODO aktualności – 22.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO