RODO aktualności – 13.01.2021

Jakie są konsekwencje za brak zgłoszenia naruszenia RODO? Jak będzie funkcjonowało przekazywanie danych osobowych do Wielkiej Brytanii po Brexicie? Dlaczego nie można zwlekać ze sprawdzeniem potencjalnych luk w systemach IT? Czy Ty też otrzymujesz fałszywe SMS-y dotyczące skierowania na kwarantannę? Czy informację o osobach korzystających z pomocy społecznej to tajemnica zawodowa? Kiedy odbędzie się konferencja UODO w ramach obchodów Dnia Ochrony Danych Osobowych? Czy będą kontrole trzeźwości pracowników? Jakie dane chce zbierać ABW?

MULTIMEDIA

#RODOA [04.01.2021]
#RODOA [11.01.2021]
Pobierz PDFPobierz PDF

85 588 zł za brak zgłoszenia naruszenia bez zbędnej zwłoki

  • Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy RODO, gdyż nie zgłosiło Prezesowi UODO naruszenia ochrony danych osobowych – organ nadzorczy nałożył na spółkę karę pieniężną w wysokości 85 588 zł
  • w maju 2020 r. do UODO wpłynęła informacja od osoby postronnej o naruszeniu polegającym na wysłaniu pocztą elektroniczną przez agenta, będącego podmiotem przetwarzającym dla spółki, polisy ubezpieczeniowej do nieuprawnionego adresata
  • załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy)
  • organ nadzorczy zwrócił się do spółki o wyjaśnienie, czy w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych
  • spółka potwierdziła, że doszło do incydentu oraz że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych – na jej podstawie ukarana spółka uznała, iż zaistniałe naruszenie nie wymaga zawiadomienia UODO
  • UODO uznał, że administrator dopuszczając możliwość wykorzystania do komunikacji poczty elektronicznej powinien mieć świadomość ryzyk z tym związanych, a fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie korespondencji nie może stanowić o tym, że ryzyko dla praw i wolności osób, których dane dotyczą nie jest wysokie

Źródło: https://uodo.gov.pl/pl/138/1801

Swobodny przepływ danych do Wielkiej Brytanii w dodatkowym okresie przejściowym

  • od 1 stycznia 2021 r. swobodny przepływ danych między Europejskim Obszarem Gospodarczym (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia) a Zjednoczonym Królestwem zostanie utrzymany maksymalnie do 1 lipca 2021 r.
  • przewiduje to tzw. klauzula pomostowa zawarta w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej, która będzie regulowała przyszłe relacje między UE i Zjednoczonym Królestwem
  • zgodnie z art. FINPROV 10A Umowy, który określa przepisy przejściowe dotyczące przekazywania danych osobowych do Zjednoczonego Królestwa, takie transfery tymczasowo nie będą traktowane jako przekazywanie danych do państwa trzeciego
  • tym samym nadal od przedsiębiorców lub podmiotów publicznych nie będzie wymagane spełnienie dodatkowych wymogów określonych w rozdziale V RODO
  • dotyczy to również dodatkowych wymogów dotyczących międzynarodowych transferów danych określonych w rozdziale 3a Ustawy o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi, który wdraża w polskim porządku prawnym rozdział V dyrektywy (UE) 2016/680

Źródło: https://uodo.gov.pl/pl/138/1810

Nie można zwlekać ze sprawdzeniem potencjalnych luk w systemach

  • niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia doprowadziła spółkę ID Finance Poland do utraty danych – Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych i nałożył na spółkę karę w wysokości ponad 1 mln zł
  • ukarana spółka nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach, nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów
  • w toku postępowania UODO ustalił, że do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń
  • do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone
  • zdaniem UODO administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań
  • administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze

Źródło: https://uodo.gov.pl/pl/138/1809

Dane osób podpisanych pod petycją nie mogły być udostępnione

  • skoro Ustawa o dostępie do informacji publicznej nie określa, jak rozumieć pojęcie „prywatności osoby fizycznej”, należy sięgnąć do przepisów europejskich – tak orzekł Wojewódzki Sąd Administracyjny w Szczecinie, oddalając skargę spółki deweloperskiej
  • spółka zwróciła się do burmistrza miasta o udostępnienie danych osobowych autorów petycji do Rady Miasta – petycja zawierała protest przeciwko mającej powstać inwestycji
  • autorzy petycji zwracali się o taką zmianę miejscowego planu zagospodarowania, który dopuszczałby jedynie zabudowę jednorodzinną lub wielorodzinną, ale nieprzekraczającą wysokości istniejących już tu budynków – do petycji dołączono karty z podpisami osób popierających wniosek oraz nie wyrażono zgody na udostępnienie danych osobowych innym podmiotom
  • mimo to spółka wystąpiła do burmistrza miasta o udostępnienie – jako informacji publicznej – kserokopii petycji wraz z załącznikami, zawierającymi podpisy i adresy jej autorów
  • zdaniem firmy wgląd do treści petycji wraz z załącznikami jest niezbędny, ponieważ pozwoli na rzetelne i merytoryczne ustosunkowanie się do samej petycji
  • burmistrz odmówił udostępnienia informacji i ostatecznie sprawa trafiła do WSA, który zgodził się z odmową

Źródło: https://www.rp.pl/Dane-osobowe/312309987-Dane-osob-podpisanych-pod-petycja-nie-mogly-byc-udostepnione—wyrok-WSA.html

Fałszywe SMS-y o skierowaniu na Kwarantannę Domową

  • Polacy otrzymują wiarygodnie wyglądające SMS-y o skierowaniu na kwarantannę domową
  • po kliknięciu w podany w wiadomości link z telefonu korzystającego z systemu Android oczom odbiorcy ukaże się strona imitująca prawdziwy sklep Google Play z widokiem na prawdziwą aplikację Kwarantanna Domowa – ale kliknięcie na link spowoduje pobranie z serwerów Amazona aplikacji podstawionej przez oszustów
  • złośliwa aplikacja ma na celu kradzież pieniędzy z rachunków bankowych
  • atak nie działa na użytkowników iPhona

Źródło: https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms-y-o-skierowaniu-na-kwarantanne-domowa/

Informacje o osobach korzystających z pomocy społecznej to tajemnica zawodowa

  • nie można podawać podmiotom nieuprawnionym informacji o osobach korzystających z pomocy społecznej, bo to tajemnica zawodowa
  • art. 100 ustawy o pomocy społecznej stanowi, że podmioty i osoby realizujące zadania w zakresie pomocy społecznej obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy wykonywaniu tych zadań
  • w postępowaniu w sprawie świadczeń z pomocy społecznej należy kierować się przede wszystkim dobrem osób korzystających z pomocy społecznej i ochroną ich dóbr osobistych, w szczególności nie należy podawać do wiadomości publicznej nazwisk osób korzystających z pomocy społecznej oraz rodzaju i zakresu przyznanego świadczenia
  • w przypadku złamania zasad dotyczących prawidłowego przetwarzania danych osobowych beneficjentów pomocy społecznej, poza karami administracyjnymi z RODO możliwe do rozważenia są inne sankcje
  • kierownik OPS może wobec niesubordynowanego pracownika zastosować karę upomnienia lub nagany przewidzianą w art. 108 Kodeksu pracy za nieprzestrzeganie przez pracownika przyjętych w OPS uregulowań wewnętrznych, jak na przykład procedury ochrony danych osobowych

Źródło: https://www.prawo.pl/samorzad/informacje-o-osobach-korzystajacych-z-pomocy-spolecznej-to,505686.html

Konferencja UODO w ramach obchodów XV Dnia Ochrony Danych Osobowych

  • „Realna ochrona danych osobowych w zdalnej rzeczywistości” to temat tegorocznej konferencji, jaką organizuje Urząd Ochrony Danych Osobowych w ramach obchodów XV Dnia Ochrony Danych Osobowych
  • wydarzenie online odbędzie się 28 stycznia i będzie transmitowane za pośrednictwem strony internetowej UODO
  • celem konferencji jest wymiana poglądów na temat sposobów zapewnienia efektywnego systemu ochrony danych osobowych, w szczególnym odniesieniu do wyzwań związanych ze stosowaniem przepisów RODO w nowej rzeczywistości spowodowanej pandemią COVID-19, a zwłaszcza wprowadzaniem narzędzi i procedur mających na celu walkę z epidemią, potrzebą zapewnienia bezpieczeństwa danych osobowych, czy organizacją pracy zdalnej

Źródło: https://uodo.gov.pl/pl/138/1814

Dokumenty z danymi wyrzucone przy drodze

  • dane osobowe znaleziono porzucone przy jednej z lokalnych dróg w Kokotowie w pobliżu małopolskiej Wieliczki
  • stosy porozrzucanych dokumentów znaleźli mieszkańcy
  • wzdłuż lokalnej drogi znaleziono oprócz plakatów wyborczych i dokumentów lokalnego oddziału jednej z partii politycznych, również wrażliwe dane osobowe – chodzi m.in. o wyniki testów na obecność koronawirusa, kopie akt sądowych, dokumentów tożsamości, numery kont czy faktury i dokumentacje jednej z lokalnych firm
  • sprawą zajęła się już policja, która prowadzi postępowanie w tej sprawie, przesłuchano również pierwszych świadków
  • na razie nie wiadomo, kto dysponował takimi dokumentami i kto je zostawił w miejscu publicznym

Źródło: https://www.rmf24.pl/goraca-linia/wasze-fakty/news-malopolska-dokumenty-z-wrazliwymi-danymi-wyrzucone-przy-drod,nId,4974484

Będą kontrole trzeźwości pracowników przez pracodawców? (1)

  • planuje się umożliwienie pracodawcom wprowadzenia prewencyjnej kontroli pracowników na obecność alkoholu lub podobnie działających środków
  • przewidywane są dwa tryby niedopuszczania pracownika do pracy po użyciu alkoholu lub środka odurzającego – miałoby to się odbywać na podstawie „uzasadnionego podejrzenia pracodawcy”, np. gdy pracodawca nie wprowadził takiej kontroli lub gdy kontrola wykaże stan pracownika po użyciu alkoholu lub innego środka
  • w ocenie RPO pracodawcy powinni mieć możliwość samodzielnej kontroli pracowników – z przestrzeganiem ich prawa do prywatności, szczególnie ważne jest to w przypadku kierowców autobusów, lekarzy, czy obsługi ruchu lotniczego
  • Sąd Najwyższy w jednym z wyroków dopuścił stosowanie wyrywkowych kontroli trzeźwości – możliwe to jest w sytuacjach, w których z uwagi na charakter pracy lub zakładu pracy istnieje ryzyko zagrożenia dla życia i zdrowia
  • tymczasem UODO stoi na stanowisku, że w obecnym stanie prawnym pracodawcy nie mogą samodzielnie kontrolować stanu trzeźwości pracowników, nawet wyrywkowo

Będą kontrole trzeźwości pracowników przez pracodawców? (2)

  • Ministerstwo Rozwoju, Pracy i Technologii pracuje nad działaniami mającymi na celu uregulowanie kwestii przeprowadzania przez pracodawców prewencyjnych kontroli trzeźwości pracowników, a także kontroli na obecność środków działających podobnie do alkoholu w ich organizmach
  • w chwili obecnej nadal trwają prace wewnątrz resortu, poprzedzające oficjalne rozpoczęcie procedury legislacyjnej w tym zakresie
  • przeprowadzone przez MRPiT analizy doprowadziły do wniosku, że projektowaną regulacją należałoby objąć dwie kategorie sytuacji – w pierwszej kolejności winno się umożliwić pracodawcom wprowadzenie prewencyjnej kontroli pracowników na obecność alkoholu lub środków działających podobnie do alkoholu, a także określić ogólne zasady przeprowadzania takich kontroli.
  • ponadto winno się wprowadzić kompleksową regulację, określającą podstawy do niedopuszczenia przez pracodawcę do wykonywania pracy pracownika, wobec którego zachodzi uzasadnione podejrzenie, że stawił się do pracy w stanie po użyciu alkoholu lub środków działających podobnie do alkoholu lub spożywał alkohol lub zażywał takie środki w czasie pracy

Źródło: https://www.rpo.gov.pl/pl/content/mrpit-do-rpo-planowane-kontrole-trzezwo%C5%9Bci-pracownikow-przez-pracodawcow?fbclid=IwAR2SZtfG0NXnOZ4KbvIUZ-6n6Oivetg6nfU4MimLGTOI5Kknkm8wmba9qzc

ABW chce zbierać dane o ludziach w tramwajach

  • Rzecznik Praw Obywatelskich dowiedział się z mediów o żądaniu ABW, by spółka Tramwaje Warszawskie dała Agencji dostęp do kamer CCTV, a także danych generowanych przez inne systemy teleinformatyczne w dyspozycji Spółki
  • pismo w tej sprawie miało być wystosowane 2 grudnia 2020 r. ABW powołuje się w nim na porozumienie z dnia 30 czerwca 2016 r. w sprawie zasad i warunków korzystania przez Agencję Bezpieczeństwa Wewnętrznego z elementów infrastruktury Tramwaje Warszawskie Sp. z o. o.
  • z pisma tego nie wynika jednak ani podstawa żądania dostępu do kamer monitoringu wizyjnego ani cel, jakiemu miałby służyć dostęp do danych z kamer i innych systemów
  • w piśmie nie ma też żadnego uzasadnienia
  • zdaniem RPO takie działania mogą ograniczać bowiem prawo do prywatności oraz ochrony danych osobowych obywateli
  • na podstawie ustawy o RPO, Rzecznik pyta, w jakim celu ABW żąda dostępu do kamer monitoringu wizyjnego w tramwajach, w jaki sposób dane uzyskane będą wykorzystywane, a także czy ABW uzyskała opinię Prezesa UODO w tym zakresie

Źródło: https://www.rpo.gov.pl/pl/content/abw-kamery-tramwaje-warszawa-rpo

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 24.09.2024 r.
RODO aktualności
RODO aktualności – 28.08.2024 r.
RODO aktualności
RODO aktualności – 12.08.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO