RODO aktualności – 13.01.2021

• od 1 stycznia 2021 r. swobodny przepływ danych między Europejskim Obszarem Gospodarczym (27 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia) a Zjednoczonym Królestwem zostanie utrzymany maksymalnie do 1 lipca 2021 r.
• przewiduje to tzw. klauzula pomostowa zawarta w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej, która będzie regulowała przyszłe relacje między UE i Zjednoczonym Królestwem
• zgodnie z art. FINPROV 10A Umowy, który określa przepisy przejściowe dotyczące przekazywania danych osobowych do Zjednoczonego Królestwa, takie transfery tymczasowo nie będą traktowane jako przekazywanie danych do państwa trzeciego
• tym samym nadal od przedsiębiorców lub podmiotów publicznych nie będzie wymagane spełnienie dodatkowych wymogów określonych w rozdziale V RODO
• dotyczy to również dodatkowych wymogów dotyczących międzynarodowych transferów danych określonych w rozdziale 3a Ustawy o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi, który wdraża w polskim porządku prawnym rozdział V dyrektywy (UE) 2016/680

Źródło: https://uodo.gov.pl/pl/138/1810

• niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia doprowadziła spółkę ID Finance Poland do utraty danych – Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych i nałożył na spółkę karę w wysokości ponad 1 mln zł
• ukarana spółka nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach, nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów
• w toku postępowania UODO ustalił, że do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń
• do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone
• zdaniem UODO administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań
• administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze

Źródło: https://uodo.gov.pl/pl/138/1809

• skoro Ustawa o dostępie do informacji publicznej nie określa, jak rozumieć pojęcie „prywatności osoby fizycznej”, należy sięgnąć do przepisów europejskich – tak orzekł Wojewódzki Sąd Administracyjny w Szczecinie, oddalając skargę spółki deweloperskiej
• spółka zwróciła się do burmistrza miasta o udostępnienie danych osobowych autorów petycji do Rady Miasta – petycja zawierała protest przeciwko mającej powstać inwestycji
• autorzy petycji zwracali się o taką zmianę miejscowego planu zagospodarowania, który dopuszczałby jedynie zabudowę jednorodzinną lub wielorodzinną, ale nieprzekraczającą wysokości istniejących już tu budynków – do petycji dołączono karty z podpisami osób popierających wniosek oraz nie wyrażono zgody na udostępnienie danych osobowych innym podmiotom
• mimo to spółka wystąpiła do burmistrza miasta o udostępnienie – jako informacji publicznej – kserokopii petycji wraz z załącznikami, zawierającymi podpisy i adresy jej autorów
• zdaniem firmy wgląd do treści petycji wraz z załącznikami jest niezbędny, ponieważ pozwoli na rzetelne i merytoryczne ustosunkowanie się do samej petycji
• burmistrz odmówił udostępnienia informacji i ostatecznie sprawa trafiła do WSA, który zgodził się z odmową

Źródło: https://www.rp.pl/Dane-osobowe/312309987-Dane-osob-podpisanych-pod-petycja-nie-mogly-byc-udostepnione—wyrok-WSA.html

• Polacy otrzymują wiarygodnie wyglądające SMS-y o skierowaniu na kwarantannę domową
• po kliknięciu w podany w wiadomości link z telefonu korzystającego z systemu Android oczom odbiorcy ukaże się strona imitująca prawdziwy sklep Google Play z widokiem na prawdziwą aplikację Kwarantanna Domowa – ale kliknięcie na link spowoduje pobranie z serwerów Amazona aplikacji podstawionej przez oszustów
• złośliwa aplikacja ma na celu kradzież pieniędzy z rachunków bankowych
• atak nie działa na użytkowników iPhona

Źródło: https://niebezpiecznik.pl/post/uwaga-na-falszywe-sms-y-o-skierowaniu-na-kwarantanne-domowa/

• nie można podawać podmiotom nieuprawnionym informacji o osobach korzystających z pomocy społecznej, bo to tajemnica zawodowa
• art. 100 ustawy o pomocy społecznej stanowi, że podmioty i osoby realizujące zadania w zakresie pomocy społecznej obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy wykonywaniu tych zadań
• w postępowaniu w sprawie świadczeń z pomocy społecznej należy kierować się przede wszystkim dobrem osób korzystających z pomocy społecznej i ochroną ich dóbr osobistych, w szczególności nie należy podawać do wiadomości publicznej nazwisk osób korzystających z pomocy społecznej oraz rodzaju i zakresu przyznanego świadczenia
• w przypadku złamania zasad dotyczących prawidłowego przetwarzania danych osobowych beneficjentów pomocy społecznej, poza karami administracyjnymi z RODO możliwe do rozważenia są inne sankcje
• kierownik OPS może wobec niesubordynowanego pracownika zastosować karę upomnienia lub nagany przewidzianą w art. 108 Kodeksu pracy za nieprzestrzeganie przez pracownika przyjętych w OPS uregulowań wewnętrznych, jak na przykład procedury ochrony danych osobowych

Źródło: https://www.prawo.pl/samorzad/informacje-o-osobach-korzystajacych-z-pomocy-spolecznej-to,505686.html

• „Realna ochrona danych osobowych w zdalnej rzeczywistości” to temat tegorocznej konferencji, jaką organizuje Urząd Ochrony Danych Osobowych w ramach obchodów XV Dnia Ochrony Danych Osobowych
• wydarzenie online odbędzie się 28 stycznia i będzie transmitowane za pośrednictwem strony internetowej UODO
• celem konferencji jest wymiana poglądów na temat sposobów zapewnienia efektywnego systemu ochrony danych osobowych, w szczególnym odniesieniu do wyzwań związanych ze stosowaniem przepisów RODO w nowej rzeczywistości spowodowanej pandemią COVID-19, a zwłaszcza wprowadzaniem narzędzi i procedur mających na celu walkę z epidemią, potrzebą zapewnienia bezpieczeństwa danych osobowych, czy organizacją pracy zdalnej

Źródło: https://uodo.gov.pl/pl/138/1814

• dane osobowe znaleziono porzucone przy jednej z lokalnych dróg w Kokotowie w pobliżu małopolskiej Wieliczki
• stosy porozrzucanych dokumentów znaleźli mieszkańcy
• wzdłuż lokalnej drogi znaleziono oprócz plakatów wyborczych i dokumentów lokalnego oddziału jednej z partii politycznych, również wrażliwe dane osobowe – chodzi m.in. o wyniki testów na obecność koronawirusa, kopie akt sądowych, dokumentów tożsamości, numery kont czy faktury i dokumentacje jednej z lokalnych firm
• sprawą zajęła się już policja, która prowadzi postępowanie w tej sprawie, przesłuchano również pierwszych świadków
• na razie nie wiadomo, kto dysponował takimi dokumentami i kto je zostawił w miejscu publicznym

Źródło: https://www.rmf24.pl/goraca-linia/wasze-fakty/news-malopolska-dokumenty-z-wrazliwymi-danymi-wyrzucone-przy-drod,nId,4974484

• planuje się umożliwienie pracodawcom wprowadzenia prewencyjnej kontroli pracowników na obecność alkoholu lub podobnie działających środków
• przewidywane są dwa tryby niedopuszczania pracownika do pracy po użyciu alkoholu lub środka odurzającego – miałoby to się odbywać na podstawie „uzasadnionego podejrzenia pracodawcy”, np. gdy pracodawca nie wprowadził takiej kontroli lub gdy kontrola wykaże stan pracownika po użyciu alkoholu lub innego środka
• w ocenie RPO pracodawcy powinni mieć możliwość samodzielnej kontroli pracowników – z przestrzeganiem ich prawa do prywatności, szczególnie ważne jest to w przypadku kierowców autobusów, lekarzy, czy obsługi ruchu lotniczego
• Sąd Najwyższy w jednym z wyroków dopuścił stosowanie wyrywkowych kontroli trzeźwości – możliwe to jest w sytuacjach, w których z uwagi na charakter pracy lub zakładu pracy istnieje ryzyko zagrożenia dla życia i zdrowia
• tymczasem UODO stoi na stanowisku, że w obecnym stanie prawnym pracodawcy nie mogą samodzielnie kontrolować stanu trzeźwości pracowników, nawet wyrywkowo

• Ministerstwo Rozwoju, Pracy i Technologii pracuje nad działaniami mającymi na celu uregulowanie kwestii przeprowadzania przez pracodawców prewencyjnych kontroli trzeźwości pracowników, a także kontroli na obecność środków działających podobnie do alkoholu w ich organizmach
• w chwili obecnej nadal trwają prace wewnątrz resortu, poprzedzające oficjalne rozpoczęcie procedury legislacyjnej w tym zakresie
• przeprowadzone przez MRPiT analizy doprowadziły do wniosku, że projektowaną regulacją należałoby objąć dwie kategorie sytuacji – w pierwszej kolejności winno się umożliwić pracodawcom wprowadzenie prewencyjnej kontroli pracowników na obecność alkoholu lub środków działających podobnie do alkoholu, a także określić ogólne zasady przeprowadzania takich kontroli.
• ponadto winno się wprowadzić kompleksową regulację, określającą podstawy do niedopuszczenia przez pracodawcę do wykonywania pracy pracownika, wobec którego zachodzi uzasadnione podejrzenie, że stawił się do pracy w stanie po użyciu alkoholu lub środków działających podobnie do alkoholu lub spożywał alkohol lub zażywał takie środki w czasie pracy

Źródło: https://www.rpo.gov.pl/pl/content/mrpit-do-rpo-planowane-kontrole-trzezwo%C5%9Bci-pracownikow-przez-pracodawcow?fbclid=IwAR2SZtfG0NXnOZ4KbvIUZ-6n6Oivetg6nfU4MimLGTOI5Kknkm8wmba9qzc

• Rzecznik Praw Obywatelskich dowiedział się z mediów o żądaniu ABW, by spółka Tramwaje Warszawskie dała Agencji dostęp do kamer CCTV, a także danych generowanych przez inne systemy teleinformatyczne w dyspozycji Spółki
• pismo w tej sprawie miało być wystosowane 2 grudnia 2020 r. ABW powołuje się w nim na porozumienie z dnia 30 czerwca 2016 r. w sprawie zasad i warunków korzystania przez Agencję Bezpieczeństwa Wewnętrznego z elementów infrastruktury Tramwaje Warszawskie Sp. z o. o.
• z pisma tego nie wynika jednak ani podstawa żądania dostępu do kamer monitoringu wizyjnego ani cel, jakiemu miałby służyć dostęp do danych z kamer i innych systemów
• w piśmie nie ma też żadnego uzasadnienia
• zdaniem RPO takie działania mogą ograniczać bowiem prawo do prywatności oraz ochrony danych osobowych obywateli
• na podstawie ustawy o RPO, Rzecznik pyta, w jakim celu ABW żąda dostępu do kamer monitoringu wizyjnego w tramwajach, w jaki sposób dane uzyskane będą wykorzystywane, a także czy ABW uzyskała opinię Prezesa UODO w tym zakresie

Źródło: https://www.rpo.gov.pl/pl/content/abw-kamery-tramwaje-warszawa-rpo