RODO aktualności – 12.08.2024 r.

• Rozporządzenie DORA (Unijne Rozporządzenie o operacyjnej odporności cyfrowej sektora finansowego) zawiera szereg artykułów poświęconych zagadnieniom kontroli i nadzoru, a także możliwości zastosowania kar administracyjnych i środków naprawczych.
• Środki te będą dotyczyć wszystkich podmiotów rynku finansowego, które mają obowiązek stosować przepisy DORA. Osobną kategorią kar zostaną objęci kluczowi zewnętrzni dostawcy usług ICT. W ich przypadku system nadzoru i kar jest nieodłącznym elementem tzw. ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT – jednego z kluczowych filarów DORA.
• Nad przestrzeganiem zasad zgodności z DORA będzie czuwać organ właściwy dla instytucji płatniczych, kredytowych czy ubezpieczycieli, czyli Komisja Nadzoru Finansowego. Wiadomo, że KNF będzie miał szerokie uprawnienia, jeśli chodzi o możliwość ustalenia potencjalnych naruszeń. Będzie on mógł m. in.: mieć dostęp do wszelkich dokumentów lub danych, które uzna za istotne z punktu widzenia wykonywania swoich obowiązków; przeprowadzać dochodzenia lub kontrole na miejscu, zastosować środki naprawcze w odniesieniu do naruszeń wymogów rozporządzenia DORA.
• Do zestawu narzędzi dostępnych KNF należeć więc będzie m. in. wydanie danemu podmiotowi nakazu zaprzestania działań naruszających rozporządzenie oraz aby powstrzymał się od ponownego podejmowania tego postępowania. Kolejnym jest zakaz pełnienia funkcji członka zarządu, rady nadzorczej albo innej funkcji kierowniczej osobie odpowiedzialnej za naruszenie przez okres od miesiąca do roku. Ostatecznym środkiem, jaki będzie mógł zastosować organ nadzoru w razie notorycznych naruszeń będą kary pieniężne. W przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej może być to nawet kwota 20 869 500 zł lub 10 proc. przychodów netto z ostatniego roku, a w przypadku osoby fizycznej nawet 3 042 410 zł.

Żródło: Rozporządzenie DORA od 2025 r. Skala zmian podobna do RODO. Duże kary dla firm za brak dostosowania – Infor.pl

• W ramach badania Eurobarometr z 2024 r. na temat sprawiedliwości, praw i wartości zapytano respondentów m.in. o ich świadomość na temat istnienia krajowych organów odpowiedzialnych za ochronę danych osobowych. Pod tym względem Polska znalazła się w czołówce państw Unii – aż 75% respondentów zadeklarowało, że słyszało o takiej instytucji. Równie dobry wynik odnotowano w Czechach, Słowenii (75%) oraz Portugalii (74 %). Na pierwszym miejscu uplasowały się Niderlandy z wynikiem 82%.
• Komunikat przedstawiony przez KE, jest streszczeniem najważniejszych wniosków ze sprawozdania na temat stosowania RODO, które w całości zostanie opublikowane w późniejszym terminie. Jest to już drugie sprawozdanie Komisji przyjęte zgodnie z art. 97 RODO (pierwsze przyjęto w dniu 24 czerwca 2020 r.).
• Sprawozdanie zostało opracowane w oparciu o wiele źródeł m.in. stanowiska i ustalenia Rady Unii Europejskiej, uwagi zgłaszane w drodze publicznego zaproszenia oraz informacje otrzymane od organów ochrony danych (wkład Europejskiej Rady Ochrony Danych).
• Wśród podstawowych wniosków płynących ze sprawozdania wymieniono wzmocnienie pozycji obywateli oraz stworzenie warunków działania dla przedsiębiorstw, napędzających transformację cyfrową w UE. Autorzy dokumentu wskazali jednak, że pełne osiągnięcie dwóch celów RODO – tj. silnej ochrony osób fizycznych przy jednoczesnym zapewnieniu swobodnego przepływu danych osobowych w UE oraz bezpiecznego przepływu danych poza UE – wciąż wymaga dalszych działań.

Źródło: Aktualności – UODO; https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=COM:2024:357:FIN

• Urząd Ochrony Danych Osobowych zakończył już zbieranie uwag do swojego poradnika dla pracodawców dotyczącego ochrony danych osobowych w miejscu pracy i obecnie trwa ich analiza. Jak dowiedział się DGP, uwag wpłynęło bardzo dużo. Zgłosiło je ponad 40 podmiotów, z czego każdy z nich od kilku do kilkudziesięciu.
• Jednym z zagadnień, które od lat budzą wątpliwości w praktyce, i które – zdaniem komentujących – teraz powinny być wreszcie rozwiane na łamach poradnika, jest kwestia przetwarzania danych osobowych osób trzecich, czyli np. członków rodziny pracownika. Sytuacji, w których trafiają one do pracodawcy, jest wiele. Ma to miejsce w przypadku składania wniosków np. o świadczenia z zakładowego funduszu świadczeń socjalnych (ZFŚS), o opiekę nad dzieckiem do 14. roku życia, o elastyczną organizację pracy czy o urlop opiekuńczy.
• Problem dotyczy zwłaszcza tego, czy wobec tych osób pracodawca powinien realizować obowiązek informacyjny (czyli powiadomić osobę zainteresowaną o przetwarzaniu jej danych osobowych). W dotychczasowym poradniku UODO wskazywał, że nie ma takiego obowiązku, gdy dane członków rodziny są zbierane na potrzeby ZFŚS. Brakuje natomiast takiego stwierdzenia wobec innych przypadków przetwarzania danych os. trzecich.
• Eksperci domagają się także liberalizacji stanowiska UODO w sprawie tzw. background screening czy pre-employment screening. W jej ramach sprawdzana jest przeszłość kandydata do pracy bądź pracownika, np. gdy aplikuje na wyższe stanowisko. W podstawowej wersji obejmuje weryfikację życiorysu zawodowego, czyli poprzedniego zatrudnienia, wykształcenia, uzyskanych certyfikatów i referencji. W zaawansowanej – również np. badanie historii kryminalnej i kredytowej, a także wpisów w mediach społecznościowych.
• Z poradnika UODO wynika obecnie, że rekrutujący nie może kontaktować się z podmiotem, który wystawił referencje. Z kolei dane dotyczące karalności pracodawca może przetwarzać tylko wtedy, gdy wynika to wprost z przepisów prawa.

Źródło: Pracodawcy chcą nowych wyjaśnień. Co z poradnikiem UODO? – GazetaPrawna.pl

• Prezes UODO zwrócił się do Ministra Finansów Andrzeja Domańskiego o dostosowanie przepisów ustawy o Krajowej Administracji Skarbowej do wymogów wynikających z Konstytucji RP, przepisów rozporządzenia (Parlamentu Europejskiego i Rady UE – PAP) 2016/679 i orzecznictwa sądów międzynarodowych.
• Krajowa Administracja Skarbowa wykorzystuje dane podatników zgromadzone w rejestrach, bazach, ewidencjach, zbiorach i systemach, by pobierać podatki i inne należności oraz wykrywać przestępstwa skarbowe. Dane te są wykorzystywane także do analiz, prognoz i badań.
• Są wśród nich także dane osobowe szczególnych kategorii, m.in. dane dotyczące wyroków skazujących, czynów zabronionych lub powiązanych środków bezpieczeństwa. Organy Krajowej Administracji Skarbowej mają prawo je przetwarzać na podstawie art. 47 ustawy o KAS.
• Według Prezesa UODO pilnej i gruntownej zmiany wymaga art. 48 ustawy o KAS. Wyjaśniono, że przepis ten stanowi dla Krajowej Administracji Skarbowej uprawnienie w zakresie pozyskiwania szczegółowych informacji dotyczących konkretnych rachunków bankowych. „Art. 48 ustawy o KAS w istocie stanowi podstawę prawną do zbierania wrażliwych informacji przez organy państwa o osobach, którym nie postawiono zarzutów w postępowaniu karnym, co wymaga weryfikacji w kontekście art. 51 ust. 1 Konstytucja RP” – wskazał urząd.
• Zdaniem UODO art. ten narusza zasadę legalizmu i jest niezgodny z zasadami proporcjonalności i celowości RODO.

Żródło: Przepisy o KAS sprzeczne z konstytucją i RODO. PUODO pisze do min. Domańskiego – rp.pl

• 35% firm z sektora MŚP boi się kradzieży danych osobowych swoich pracowników – wynika z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. Główne powody tych obaw to świadomość częstych ataków cyberprzestępców, dla których przedsiębiorstwa są atrakcyjnym celem oraz przetwarzanie dużej ilości danych. W mikro, małych i średnich przedsiębiorstwach pracuje 7,3 mln osób.
• Ankietowani przedsiębiorcy jako główne przyczyny obawy o kradzież danych osobowych pracowników wymieniają częste skuteczne ataki cyberprzestępców na firmy (59%), przetwarzanie dużej ilości danych (29%) oraz to, że są atrakcyjnym celem dla złodziei danych osobowych (26%).
• Atrakcyjność danych osobowych zgromadzonych w mikro, małych i średnich firmach dla hakerów wynika też z tego, że zdecydowana większość z nich, bo aż 83, przechowuje je w wersji cyfrowej. Z czego połowa robi to wyłącznie w formie elektronicznej, a 33% zarówno w papierowej, jak i cyfrowej. Chociaż tradycyjna dokumentacja coraz częściej odchodzi do lamusa, to nadal 12% firm gromadzi w ten sposób wrażliwe informacje o zatrudnionych.
• Paradoksalnie, aż 90% MŚP twierdzi, że prawidłowo chroni dane osobowe pracowników, a 54% jest o tym silnie przekonana. Najbardziej pewne siebie są małe (55%) i mikrofirmy (54%), a najmniej średnie przedsiębiorstwa (47%.). Respondenci stosują też zróżnicowane metody zabezpieczeń.
• Ponad połowa (51%) MŚP pozostawia dostęp do ważnych dokumentów jedynie upoważnionym osobom. Niestety rzadziej firmy do zapewnienia bezpieczeństwa wykorzystują nowe technologie. 40% przedsiębiorców zabezpiecza pliki i foldery hasłami, 36% zamontowało w siedzibie alarm lub drzwi antywłamaniowe, a 35% posiada aktualne wersje programów antywirusowych.

Źródło: Aktualności – UODO

• Niemiecki adwokat pełnił funkcję kuratora wobec osoby z bliskiej rodziny. Obywatel – po zmianie osoby kuratora – wniósł do tego pierwszego kuratora wniosek o dostęp do kopii swoich danych osobowych.
• Osoba ta złożyła wniosek o udzielenie pomocy prawnej do Amtsgericht Hannover (sądu rejonowego w Hanowerze, Niemcy), który oddalił ten wniosek w zakresie, w jakim dotyczył on wystąpienia z żądaniem udzielenia dostępu na podstawie art. 15 RODO, ze względu na to, że pełniący swoje obowiązki w ramach działalności zawodowej kurator nie stanowi „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia. Sąd ten miał jednak wątpliwości co do tego, czy osobę, która pełniła obowiązki kuratora zawodowo, można uznać za „administratora” w rozumieniu RODO.
• TSUE wskazał, że wątpliwości sądu odsyłającego wynikają z faktu, że zgodnie z przepisami prawa niemieckiego regulującymi kuratelę kurator jest przedstawicielem ustawowym osoby objętej kuratelą oraz działa na jej rzecz i w jej imieniu. Wynika stąd, że byłego kuratora, który względem osoby objętej jego kuratelą pełnił swoje obowiązki zawodowo, należy uznać za „administratora” przetwarzania znajdujących się w jego posiadaniu danych osobowych dotyczących tej osoby oraz, że w konsekwencji jest on zobowiązany do przetwarzania tych danych z poszanowaniem RODO, w szczególności obowiązków spoczywających na nim na mocy jego art. 15, z uwzględnieniem ich ewentualnego ograniczenia na podstawie art. 23.
• Nadto Sąd podniósł, że artykuł 4 pkt 7 RODO należy interpretować w ten sposób, że byłego kuratora, który względem osoby objętej jego kuratelą pełnił swoje obowiązki zawodowo, należy uznać za „administratora” – w rozumieniu tego przepisu – przetwarzania znajdujących się w jego posiadaniu danych osobowych dotyczących tej osoby, a przetwarzanie to musi odbywać się w poszanowaniu wszystkich przepisów tego rozporządzenia, w szczególności jego art. 15

Źródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7223903939698556928-Wscq?utm_source=share&utm_medium=member_desktop

• W środę odbyło się kolejne posiedzenie Podkomisji stałej ds. sztucznej inteligencji i przejrzystości algorytmów, które było poświęcone wdrożeniu AI Act (w związku z publikacją aktu w Dzienniku Urzędowym Unii Europejskiej).
• Wiceminister cyfryzacji Dariusz Standerski przedstawił, jaki jest stan prac nad polskimi regulacjami, wdrażającymi zapisy Aktu o sztucznej inteligencji do krajowego porządku prawnego. Przypomniał, że od 1 sierpnia płynie vacatio legis dla tych przepisów, a od 1 lutego 2025 roku wejdą w życie przepisy dotyczące systemów zakazanych. Z kolei w ciągu 12 miesięcy – dotyczące modeli sztucznej inteligencji w pozostałym zakresie. Całość aktu będzie obowiązywała od 1 sierpnia 2026 roku (poza wyjątkami dotyczącymi niektórych obowiązków związanych np. z systemami wysokiego ryzyka).
• Wiceminister cyfryzacji przypomniał, że wskazano, aby powołać nowy organ nadzoru, ponieważ brak jest obecnie instytucji, które spełnia wymogi określone w rozporządzeniu AI Act.
• „Projekt ustawy przewiduje powołanie nowego organu – Komisji Nadzoru, a jej pracami będzie kierował przewodniczący. Wyjściowa propozycja zakłada, że będzie wskazany przez prezesa Rady Ministrów, ale to jest kwestia do konsultacji i uzgodnień. Skład Komisji ma być różnorodny i elastyczny, by odpowiadał na wyzwania rynku, czyli aby nie był to tylko przedstawiciel ministra ds. informatyzacji, ale też urzędów” – objaśnił Dariusz Standerski.
• Dodatkowo, Polskie Centrum Akredytacji ma zajmować się sprawami związanymi z akredytacją, oceną zgodności i nadzorem rynku.
• Wiceminister poinformował również, że złożono już wniosek do wykazu prac legislacyjnych, tak aby w sierpniu 2024 roku złożyć projekt i rozpocząć prace międzyresortowe.

Źródło: Komisja nadzoru nad sztuczną inteligencją. Padły ważne daty | CyberDefence24

• 31 lipca 2024 r. w siedzibie UODO odbyło się seminarium „Przetwarzanie danych osobowych przez związki zawodowe. Od teorii do praktyki w kierunku poradnika”. Wydarzenie zorganizowane zostało przez UODO we współpracy z Katedrą Prawa Pracy i Polityki Społecznej WPiA Uniwersytetu Jagiellońskiego dla zaproszonych reprezentantów związków zawodowych i organizacji związkowych.
• Podczas spotkania Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych zapowiedział powstanie osobnego poradnika, dotyczącego ochrony danych osobowych, dedykowanego związkom zawodowym. Nowy poradnik „Prowadzenie działalności związkowej zgodnie z RODO“, przygotowany zostanie we współpracy ze Społecznym Zespołem Ekspertów przy PUODO.
• Pomysł powstania poradnika pojawił się po konsultacjach społecznych poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”. Prowadzone przez UODO konsultacje pokazały jak wiele tematów dotyczących związków zawodowych wymaga doprecyzowania. Po analizie sytuacji, przeprowadzonej wspólnie ze Społecznym Zespołem Ekspertów przy PUODO, prezes Mirosław Wróblewski uznał, że potrzebny jest dedykowany poradnik.

Źródło: Aktualności – UODO