RODO aktualności – 09.11.2021 r.

• na nic zdały się tłumaczenia procesora, że w jego przypadku taką podstawą była umowa zawarta z ADO
• organ nadzorczy zwrócił uwagę, że dłużnikiem administratora był określony podmiot gospodarczy, a nie skarżąca, a skoro tak, to przetwarzanie jej danych kontaktowych było nieuprawnione, stwierdził także, że procesor dodatkowo naruszył zasadę rzetelności oraz prawidłowości przetwarzania tychże danych (art. 5 ust. 1 lit. a i d RODO)
• uzasadniając z kolei upomnienie dla ADO za brak przesłanki przetwarzania danych osobowych, UODO stwierdził, że to on jest administratorem danych, w imieniu i na rzecz którego działał procesor

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8277984,uodo-kara-administrator-procesor-niebezpieczny-precedens-firmy-windykacyjne-rodo.html

• Środowiska inicjujące prace nad projektami kodeksów postępowania w zakresie RODO popełniają błędy, które często wpływają na wydłużenie procedury zatwierdzenia kodeksu, zawieszenie prac nad projektem, a nawet całkowite zaniechanie przygotowania takiego dokumentu – stwierdza Prezes Urzędu Ochrony Danych Osobowych i doradza, jak to zrobić dobrze
• organ postanowił wskazać najczęściej popełniane błędy przez środowiska pracujące nad projektami kodeksów postępowania, by wskazać te problemy, i w ten sposób pomóc kolejnym podmiotom uniknąć ich w przyszłości
• brak jasnego i zwięzłego uzasadnienia, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO, to jeden z częstych błędów stwierdzanych przez organ nadzorczy na pierwszym etapie badania projektów kodeksów
• zdarza się też, że podmiot wnioskujący o zatwierdzenie kodeksu nie reprezentuje większości sektora
• podobnym problemem jest sytuacja, w której żaden uprawniony podmiot, nie podejmuje się przyjęcia roli wnioskodawcy w postępowaniu o zatwierdzenie kodeksu
• kolejnymi wymienianymi przez UODO brakami, z którymi często spotyka się organ nadzorczy na pierwszym etapie badania projektu kodeksu, są zbyt wąski zakres przeprowadzonych konsultacji (np. nie obejmujący w ogóle osób, których dane dotyczą)

• UODO stwierdza też, że z jego doświadczeń wynika, że przyczyną trudności w stworzeniu odpowiedniego kodeksu jest także zbyt kompleksowe/szerokie podejście do zagadnień przetwarzania danych zamiast rozstrzygnięcia najważniejszych problemów sektora
• jak stwierdza UODO, przepisanie w kodeksie przepisów RODO lub ustawy o ochronie danych osobowych bez praktycznego wyjaśnienia ich stosowania to kolejny błąd popełniany przez środowiska tworzące kodeks
• niewskazanie w kodeksie przepisów sektorowych oraz wytycznych, opinii i stanowisk EROD w odniesieniu do konkretnego sektora lub konkretnej czynności przetwarzania lub tylko ogólne ich wskazanie bez odniesienia się do konkretnych przepisów związanych z przetwarzaniem danych osobowych w sektorze, dla którego powstał kodeks to kolejny z braków stwierdzanych przez Prezesa UODO
• UODO stwierdza też, że niezależnie od wskazanych wyżej błędów popełnianych podczas prac nad tworzeniem kodeksów, wpływ na czas trwania postępowania o zatwierdzenie kodeksu ma też oczekiwanie przez środowiska pracujące nad takim dokumentem na zmianę przepisów sektorowych

Źródło: https://www.prawo.pl/prawo/kodeks-rodo-uodo-chce-pomoc-w-tworzeniu,511421.html https://uodo.gov.pl/pl/138/2182

• holenderskie organy podatkowe łamały prawo umieszczając od co najmniej 7 lat na listach potencjalnych oszustów 270 tys. osób, w tym nieletnich, ustalił Holenderski Urząd Ochrony Danych Osobowych (AP)
• zdaniem organu listy potencjalnych oszustów były tworzone przez holenderskiego fiskusa niezgodnie z prawem, m.in. z pogwałceniem zasad RODO
• „Oczywiście administracja podatkowa i celna musi walczyć z oszustwami, ale nasze ustalenia wykazały, że sygnały dotyczące oszustw były rejestrowane i wykorzystywane w sposób absolutnie niedozwolony” – powiedział rozgłośni NPO Radio 1 prezes AP
• urząd wyjaśnia, że podatnicy byli umieszczani na czarnej liście, jeśli Administracja Podatkowa i Celna otrzymywała tzw. sygnały ryzyka, jak np. deklarowanie wysokich odliczeń w rocznym zeznaniu podatkowym
• organ wyjaśnia, że podstawą do wpisania na listę mogły być też „informacje od sąsiadów lub mściwych eks-partnerów”
• Prezes AP przekazał, że urząd rozważa nałożenie na fiskusa grzywny – zanim to jednak nastąpi do zarzutów ma się odnieść minister finansów

Źródło: https://www.gazetaprawna.pl/wiadomosci/swiat/artykuly/8283045,holandia-organy-podatkowe-nielegalnie-tworzyly-liste-potencjalnych-oszustow.html

• administratorzy oraz podmioty przetwarzające powinny podjąć działania zmierzające do zmniejszenia ryzyka wystąpienia wydarzeń takich jak np. omyłkowe przetwarzanie danych niewłaściwych osób lub zminimalizowania ich negatywnych skutków – o zabezpieczenia powinna zadbać przede wszystkim firma zlecająca usługę, choć i procesorzy mogą zadbać o swoje interesy
• procesorzy przy podpisywaniu jakiejkolwiek umowy powierzenia powinni zabezpieczać się poprzez zbieranie dowodów i oświadczeń administratora, że na pewno ma on podstawy prawne do przetwarzania danych
• w Polsce nie istnieje ścieżka certyfikacji operacji przetwarzania prowadzonych przez podmioty przetwarzające – mimo że prezes UODO od ponad trzech lat ma ustawowy obowiązek wypracowania i opublikowania kryteriów dokonywania takiej certyfikacji
• administrator powinien przede wszystkim precyzyjnie ustalić z procesorem zakres zlecenia – ustalenia powinny być odpowiednio zapisane, można je dopisać w umowie o współpracy w rozdziale dotyczącym zakresu i czynności przetwarzania danych, a jeśli ogólnej umowie o współpracy towarzyszy odrębna umowa powierzenia, to wówczas ona będzie najlepszym do tego miejscem
• administrator może pomyśleć nad zobowiązaniem procesora do przekazywania klientom w imieniu administratora klauzuli obowiązku informacyjnego o przetwarzaniu przez administratora danych osobowych
• dobrym sposobem na zabezpieczenie interesów administratora jest też wykonywanie przysługującego mu prawa do kontroli podmiotu przetwarzającego

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8283492,administrator-powinien-sie-zabezpieczyc-przed-bledami-podmiotu-przetwarzajacego.html

• Totolotek padł ofiarą ataku hakerskiego – nieuprawnione osoby mogły uzyskać dostęp do danych klientów
• klienci zostali poinformowani o wycieku – powiadomione zostały również policja i UODO
• Totolotek poinformował w specjalnym komunikacie, że padł ofiarą ataku grupy hakerskiej
• „W chwili wykrycia ataku nasze systemy IT zostały odłączone od sieci celem zminimalizowania ilości danych, do których dostęp mogli mieć przestępcy” – czytamy
• firma podkreśliła w oświadczeniu, że hakerzy uzyskali dostęp do archiwalnych danych, w tym do danych osobowych części klientów
• totolotek zapewnił, że zdarzenie nie wywarło wpływu na bieżącą działalność operacyjną
• do ataku doszło 30 września 2021 r. Hakerzy mogli uzyskać dostęp do loginu, maila, numeru telefonu, imienia i nazwiska, płci, daty urodzenia, numeru dowodu osobistego, PESEL, adresu zamieszkania oraz numeru rachunku bankowego
• firma bukmacherska poradziła klientom, aby: regularnie zmieniali hasła do konta, nie otwierali wiadomości od nieznanych nadawców, sprawdzali historię kredytową, zastrzegli konta, co do których możliwe było uzyskanie dostępu na podstawie ww. danych, zastrzegli dowód osobisty oraz natychmiastowo powiadomili policję, jeśli jakiekolwiek dane zostaną wykorzystane przez nieuprawnione osoby

Źródło: https://biznes.wprost.pl/technologie/cyberbezpieczenstwo/10532887/totolotek-zaatakowany-przez-hakerow-wyciek-danych-klientow.html

• w Biuletynie Informacji Publicznej umieszcza się wszystkie wnioski o udostępnienie informacji, jakie wpływają do danego podmiotu, wraz z odpowiedziami na nie – zazwyczaj towarzyszy temu mniej lub bardziej rozbudowany mechanizm przeszukiwania powstałej w ten sposób bazy danych, np. po słowach kluczowych czy tematyce wniosku
• analiza dostępnych w sieci rejestrów wniosków o dostęp do informacji prowadzi do wniosku, że można spotkać dwa typowe modele ich tworzenia:

1) publikacja wniosku i odpowiedzi, czasem z decyzją o odmowie udostępnienia informacji, bez żadnej ingerencji w ich treść

2) publikacja dokumentów w postaci zanonimizowanej

• publikowanie rejestrów wniosków o dostęp do informacji to wyraz pewnej praktyki, co do zasady dobrej praktyki nie istnieją żadne przepisy prawa, które by wymagały takiego postępowania – a to sprawia, że nie istnieją przepisy stanowiące podstawę przetwarzania danych osobowych wnioskodawców w zakresie, w jakim te dane miałyby być ujawnione w rejestrze wniosków
• przepisy ustawy z 6 września 2001 r. o dostępie do informacji publicznej powinny być tutaj wskazówką co do tego, jak należy postąpić – otóż zgodnie z art. 5 ust. 2 tejże ustawy prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/8284352,rejestr-wnioskow-o-dostep-do-informacji-publicznej-ochrona-danych-osobowych.html

Jaka jest podstawa przetwarzania przez szkołę danych uczniów w celu wydania mLegitymacji?

• w przypadku podmiotów publicznych oraz podmiotów, których działalność uregulowana została przepisami prawa co do zasady podstawę prawną przetwarzania danych osobowych powinno stanowić wykonanie obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) lub wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO)
• w sytuacji, gdy przetwarzane będą szczególne kategorie danych, przesłanką dla ich przetwarzania zwykle będzie art. 9 ust. 2 lit. g RODO, tj. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym na podstawie prawa Unii lub prawa państwa członkowskiego
• powołanie się na te przesłanki wymaga dodatkowo istnienia przepisów prawa wskazujących na zadania podmiotu publicznego, dla których realizacji niezbędne jest przetwarzanie danych osobowych
• warunki i tryb wydawania mLegitymacji szkolnej uregulowane są w rozporządzeniu Ministra Edukacji Narodowej z 27 sierpnia 2019 r. w sprawie świadectw, dyplomów państwowych i innych druków, wydanym na podstawie art. 11 ust. 2 ustawy z dnia 7 września 1991 r. o systemie oświaty

Źródło: https://uodo.gov.pl/pl/225/2198

Jakie dokumenty i przez jaki okres powinny być publikowane w BIP?

• jeśli administrator oceni, że określona informacja stanowi informację publiczną, wówczas w następnym kroku powinien ocenić, czy prawo dostępu do takiej informacji nie podlega ograniczeniu, np. z uwagi na prywatność osoby fizycznej
• opublikowanie przez urząd określonych informacji powinno być zatem poprzedzone staranną oceną, czy i w jakim zakresie należy je udostępnić
• przepisy ustawy o dostępie do informacji publicznej, a także przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej nie precyzują okresu udostępniania informacji w BIP, zarówno minimalnego, jak i maksymalnego
• brak określonych przepisami prawa okresów przetwarzania (udostępniania) informacji zawierających dane osobowe, nie oznacza, że informacje takie można przetwarzać bezterminowo – do takich informacji zastosowanie bowiem znajduje zasada ograniczonego przechowywania, wynikającą z art. 5 ust. 1 lit. e RODO

Źródło: https://uodo.gov.pl/pl/225/2199

Czy przedstawiciel związku zawodowego może mieć dostęp do danych we wnioskach o przyznanie świadczeń?

• postanowienia regulaminu ZFŚS określają zatem, na jakich zasadach, komu i w jaki sposób (w tym: z udziałem jakich osób) przyznawane są świadczenia z zakładowego funduszu świadczeń socjalnych
• jeżeli regulamin ZFŚS przewiduje, że związki zawodowe pisemnie wyznaczają do tego zadania swojego przedstawiciela, wówczas taki przedstawiciel może i powinien mieć dostęp do danych osobowych zawartych we wniosku o przyznanie świadczenia

Źródło: https://uodo.gov.pl/pl/225/2200

Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów?

• administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań
• Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243)

Źródło: https://uodo.gov.pl/pl/223/2201

• projekt nowelizacji kodeksu postępowania cywilnego, nad którym pracuje rząd, przewiduje m.in. rezygnację z konieczności przedkładania aktu powołania lub innych aktów równorzędnych wskazujących na pełnienie przez daną osobę określonej funkcji, jeśli można to stwierdzić na podstawie Biuletynu Informacji Publicznej
• Prezes Urzędu Ochrony Danych Osobowych w opinii do tego projektu podkreśla jednak, że dane publikowane w BIP nie zawsze są wiarygodne
• organ zwraca uwagę na nieprawidłowości odnotowane przez niego w związku z udostępnianiem danych osobowych w tych serwisach – przepisy nie określają nawet czasu ich przechowywania
• „Nie ma też ukształtowanej odpowiedzialności za przetwarzanie tam danych nieprawidłowych lub nieaktualnych (np. informacji o zaprzestaniu pełnienia funkcji). W tej sytuacji powoływanie się na BIP jako wiarygodne źródło informacji kształtowania statusu osób pełniących funkcje publiczne lub wykonujących zadania publiczne należy raz jeszcze głęboko przeanalizować” – ostrzega Prezes UODO.
• zgłoszone uwagi są kontynuacją zastrzeżeń wysuwanych od lat wobec przepisów dotyczących BIP czy też szerzej – ustawy o dostępie do informacji publicznej – zdaniem UODO nie uwzględniają one RODO i ochrony prywatności

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8285085,prezes-uodo-czy-dane-z-internetu-moga-byc-mylace.html

• ochrona Biedronki w Bartoszycach zamontowała w magazynie ukrytą kamerę, by złapać złodzieja alkoholu
• przez przypadek nagrała się też jedna z pracownic, która poprawiała sobie przed kamerą bieliznę – pracownicy sklepu nie wiedzieli, że są nagrywani w tym miejscu
• pracownica Biedronki złożyła skargę na swojego pracodawcę do Urzędu Ochrony Danych Osobowych
• pracodawca wskazał, że wszyscy pracownicy nadzorowani monitoringiem są przy zatrudnianiu informowani na piśmie o obecności kamer – sklepy są też oznakowane jako obiekty monitorowane
• UODO nie uznał argumentacji spółki za wystarczającą i 28 września br. wydał decyzję, stwierdzając naruszenie Kodeksu Pracy i nakazał spółce usunięcie danych osobowych pracownicy, które zostały utrwalone za pomocą ukrytej kamery
• urząd zaznaczył, że zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem
• UODO przyznał, że zgodnie z Kodeksem pracy pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu – nie może to jednak w żaden sposób naruszać godności oraz dóbr osobistych pracownika

Źródło: https://www.money.pl/gospodarka/pracodawca-ukryl-kamere-by-zlapac-zlodzieja-przypadkiem-nagral-pracownice-6694085739797344a.html

• firma ESET przyjrzała się, które z firm działających w Europie mają tu najwięcej na sumieniu – jeśli mierzyć to wielkością kary, to Amazon ma z RODO poważny problem
• gdyby zsumować wszystkie grzywny nałożone w Europie za złamanie przepisów RODO, to uzbierałby się 280 mln euro – ta kwota nie uwzględnia kary, jaką dostał w Luksemburgu Amazon (746 mln euro)
• póki co najwięcej, bo 50 mln euro, nałożył francuski regulator danych osobowych na firmę Google – francuzi uznali, że nie informował w wystarczającym stopniu swoich użytkowników o tym, w jaki sposób zbiera ich dane i jak je wykorzystuje, dobierając reklamy
• za to samo zapłacił, trzeci na liście najostrzej ukaranych, H&M (35,3 mln euro) – tyle że chodziło o dane pracowników
• drugim najpowszechniej stwierdzonym powodem nałożenia grzywien było niezapewnienie przez firmy odpowiedniego bezpieczeństwa danych swoich konsumentów- srogo za to zapłaciły, na przykład, British Airways i Marriott International
• jeśli spojrzeć nie za co, ale w którym kraju najłatwiej zostać ukaranym za nieprzestrzeganie RODO, to zdecydowanie wyróżnia się Hiszpania – organ nałożył tu od 2018 roku – 273 kary finansowe, Polska z 24 grzywnami jest na 9 miejscu
• średnia hiszpańska to 118 tys. euro, włoska i niemiecka to ponad 1 mln euro, a francuska ponad 3 mln euro, Polska średnia to ok. 86 tys. euro

Źródło: https://bezprawnik.pl/amazon-ma-z-rodo-powazny-problem/