Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 14.06.2022 r.

Jaką karę można otrzymać za niezgłoszenie naruszenia RODO w postaci utraty świadectwa pracy? Czy UODO może ingerować w wewnętrzne sprawy Kościoła? Jak wygląda postępowanie w sprawie naruszeń RODO w  Vinted? Czy udostępnianie informacji o parametrach zdrowotnych narusza dobra osobiste uczniów? W jaki sposób doszło do wycieku danych w banku PKO BP? Czy Ministerstwo Cyfryzacji naruszyło przepisy o ochronie danych? Jak wygląda projekt weryfikacji trzeźwości w zakładzie pracy? Czy projekt nowelizacji kodeksu pracy będzie zawierał regulacje kwestii pracy zdalnej?

MULTIMEDIA

#RODOA [06.06.2022]
#RODOA [13.06.2022]
Pobierz PDFPobierz PDF

Omówienie RODO aktualności na YouTube…

… albo w formie podcastu

UODO ukarał firmę za niezgłoszenie utraty świadectwa pracy

  • w toku czynności wyjaśniających prowadzonych przez UODO w Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. ujawniony został fakt zagubienia dokumentu z akt osobowych pracownika spółki
  • spółka wskazała w wyjaśnieniach skierowanych do organu nadzorczego, że doszło do naruszenia ochrony danych osobowych polegającego na utracie z winy pracodawcy świadectwa pracy jednego z pracowników. Jednocześnie spółka wyjaśniła, że nie zgłosiła naruszenia do UODO, ponieważ w jej opinii nie wiązało się ono z ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą
  • spółka oświadczyła, że zawiadomiła pracownika o utracie jego świadectwa pracy, a on sam nie zgłaszał z tego tytułu roszczeń wobec spółki.
  • zdaniem UODO uznanie przez spółkę, że incydent nie stanowił naruszenia ochrony danych osobowych, nie miało podstaw faktycznych ani prawnych – jeżeli występuje ryzyko naruszenia praw lub wolności osoby, której dotyczy naruszenie ochrony danych osobowych, administrator powinien zgłosić to naruszenie organowi nadzorczemu
  • nie jest przy tym istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi osoby, której dane znajdują się na zagubionym świadectwie pracy
  • zagubiony dokument nie został do dnia wydania decyzji odnaleziony.
  • organ nadzorczy skorzystał z przysługujących mu uprawnień i nałożył karę pieniężną w wysokości 15 994 złotych

Źródło: https://www.prawo.pl/kadry/kara-dla-pracodawcy-ktory-zgubil-swiadectwo-pracy,515536.html https://uodo.gov.pl/pl/138/2393

UODO nie może nakazać parafii usunięcia danych osobowych

  • niektórzy Polacy, zwłaszcza po dokonaniu aktu apostazji, chcieliby całkowicie zniknąć z dokumentów kościelnych – w teorii RODO pozwala domagać się usunięcia swych danych, co jednak zrobić, jeśli Kościół nie reaguje na takie żądania?
  • Prezes UODO, do którego wpływają takie skargi, od początku stoi na stanowisku, że nie jest władny do zajmowania się nimi – pogląd ten podzielił w minionym tygodniu NSA uznając, że wyłączne kompetencje w tego typu sprawach posiada Kościelny Inspektor Ochrony Danych
  • mężczyzna, który złożył skargę, początkowo żądał od kurii i parafii udostępnienia mu informacji, jakie dane na jego temat instytucje te przetwarzają, w jaki sposób je przechowują i zabezpieczają. Dodatkowo zażądał przesłania mu pełnej kopii akt, odpowiedzi go nie usatysfakcjonowały go, dlatego ponowił swoje żądania, dodatkowo wnosząc o usunięcie danych – następnie złożył skargę do UODO, domagając się od niego wydania decyzji nakazującej instytucjom kościelnym poszanowanie jego praw
  • UODO odmówił wszczęcia postępowania, uznając, że nie ma kompetencji do ingerowania w wewnętrzne sprawy Kościoła – powołał się na art. 91 RODO, zgodnie z którym, jeśli w momencie wejścia w życie RODO Kościół stosuje szczegółowe zasady ochrony osób, to może je nadal stosować, pod warunkiem ich dostosowania do RODO
  • zdaniem UODO tak właśnie się stało poprzez wydanie przez Konferencję Episkopatu Polski „Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim” oraz powołanie Kościelnego Inspektora Ochrony Danych
  • wnioski te podzielił WSA w Warszawie, a następnie NSA

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8430028,koscielne-ksiegi-dane-osobowe-parafia-uodo-rodo-nsa.html

Postępowanie w sprawie Vinted zapowiada bliższą i ściślejszą współpracę między organami ochrony danych

  • grupa robocza składająca się z organów nadzorczych z Francji, Holandii, Litwy i Polski, wspierana przez Europejską Radę Ochrony Danych, rozpatrzyła szereg skarg dotyczących potencjalnych naruszeń RODO przez Vinted UAB, operatora serwisu sprzedażowego odzieży Vinted.com
  • organy nadzorcze badają kwestie związane m.in. z przejrzystym informowaniem, przechowywaniem danych związanych z wypłatą środków czy realizacją praw osób, których dane dotyczą
  • praca koncentruje się również na przetwarzaniu danych osobowych w kontekście przetwarzania danych związanego z blokowaniem kont użytkowników
  • zaangażowanie i ścisła współpraca organów nadzorczych w toczących się postępowaniach w związku z działalnością Vinted UAB, zaowocowały dokumentem roboczym, który jest w trakcie harmonizacji i posłuży do oceny skarg przeciwko Vinted UAB
  • zaangażowanie organów nadzorczych w prace grupy roboczej do spraw Vinted jest przykładem ścisłej współpracy w zakresie egzekwowania prawa – strategicznego priorytetu dla EROD

Źródło: https://uodo.gov.pl/pl/138/2392

Waga i dane zdrowotne dziecka a RODO i dobra osobiste

  • grupowe ważenie uczniów i głośne podawanie wyników to postępowanie niezgodne z prawem
  • takie działanie jest niedopuszczalne zarówno gdy chodzi o ochronę danych osobowych, jak i naruszenie dóbr osobistych
  • informacje o parametrach zdrowotnych, a do takich należy waga ciała, należą do tzw. danych szczególnych kategorii, których przetwarzanie, w tym udostępnianie co do zasady – w myśl art. 9 ust. 1 RODO, jest zakazane, a dopuszczalne jedynie wówczas, gdy spełniona jest któraś z przesłanek określonych w art. 9 ust. 2 RODO
  • analizowane ujawnienie danych nie znajduje podstawy w żadnej z nich, co więcej narusza dobra osobiste takiego ucznia – chodzi tu zarówno o prywatność, jak i o godność

Źródło: https://www.prawo.pl/oswiata/waga-i-dane-zdrowotne-dziecka-a-rodo-i-dobra-osobiste,515518.html

Bank ujawnił dane, UODO mu odpuścił (1)

  • 4 sierpnia 2021 r. pracownica oddziału PKO BP obsługiwała klientów przy okienku – interesanci wyszli, a kobieta opuszczając stanowisko, wyłączyła swój monitor przyciskiem zasilania, nie wylogowując się jednak z systemu
  • wygasił się również tablet umieszczony po stronie dla klientów – po kilku sekundach włączył się jednak ponownie (samoczynnie) i wyświetlił informacje o koncie poprzednio obsługiwanego klienta
  • kolejna obsługiwana osoba dostrzegła cudze dane na urządzeniu i zrobiła trzy zdjęcia tabletu zawierającego dane osobowe – opublikowała je jako załącznik do komentarza dla placówki banku, wytykając jej nierzetelność i wskazując utratę zaufania do marki
  • 26 października 2021 r. p.o. IOD wysłał klientowi zawiadomienie o naruszeniu ochrony danych osobowych – poinformował o zajściu, podkreślając, że fotografie zamieszczone w sieci przez innego klienta były niewyraźne w stopniu uniemożliwiającym odczytanie danych osobowych, wskazał, że bank wystąpił do Google z żądaniem usunięcia zdjęć i ten wniosek został uwzględniony 9 sierpnia 2021 r.
  • bank złożył zawiadomienie do prokuratury o możliwości popełnienia przestępstwa przez klienta, który upublicznił zdjęcia z cudzymi danymi
  • o nieuprawnionym dostępie do danych bank zawiadomił Prezesa UODO – organ nadzorczy przeprowadził analizę naruszenia ochrony danych osobowych i ocenił, że powoduje ono wysokie ryzyko naruszenia praw lub wolności osoby – to właśnie z jego polecenia bank zawiadomił klienta o wycieku danych

Bank ujawnił dane, UODO mu odpuścił (2)

  • rzecznik prasowy UODO tłumaczy, że w związku z zastosowanymi środkami naprawczymi, urząd odstąpił od dalszych czynności względem banku
  • pełnomocniczka klienta, uważa jednak, że prezes UODO mógł zostać wprowadzony w błąd co do jednostkowości zdarzenia
  • pełnomocniczka klienta złożyła w związku z tym zawiadomienia do prokuratury: o możliwości złamania tajemnicy bankowej przez pracownicę banku oraz jej bezpośrednią przełożoną, a także o możliwości popełnienia przestępstwa przez p.o. IOD banku, polegającego na umyślnym podaniu nieprawdziwych informacji w zawiadomieniu skierowanym do klienta

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8440056,pko-bp-bank-ujawnil-dane-wyciek-uodo.html?fbclid=IwAR3h4rO1aNDzmOjFFOTIaiMxQKinQ0IxkJHP5dGY0aZKMLgxmifsVKY4Ouo

WSA: Udostępnienie danych na potrzeby wyborów kopertowych naruszyło RODO

  • skarżący wniósł do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych przez Ministra Cyfryzacji i spółkę – zarzucił, że organ przekazał jego dane zawarte w rejestrze PESEL z naruszeniem przepisów RODO
  • Prezes UODO wyjaśnił, że podstawą wystąpienia przez spółkę do Ministerstwa Cyfryzacji o przekazanie danych osobowych z rejestru PESEL był art. 99 ustawy z 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 (dalej jako: specustawa) oraz decyzja Prezesa Rady Ministrów z 16 kwietnia 2020 r.
  • z uwagi jednak na zmianę terminu wyborów i powrót do ich tradycyjnej formy, ustał cel przetwarzania danych osobowych – spółka trwale usunęła wszystkie pozyskane dane osobowe
  • Prezes UODO uznał, że przetwarzanie danych miało oparcie w przepisach prawa oraz wydał decyzję, którą umorzył postępowanie jako bezprzedmiotowe
  • sprawą zajął się WSA w Warszawie, który wskazał, że udostępnienie spółce danych osobowych nastąpiło z naruszeniem prawa – art. 6 ust. 1 lit. c RODO – przepis ten stanowi, że przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. – obowiązek ten musi jednak wynikać z przepisów rangi ustawowej
  • tym samym skarżący miał rację, że w dniu wystąpienia przez spółkę z wnioskiem o udostępnienie danych osobowych, żaden przepis prawa nie przewidywał dla niej jakichkolwiek zadań i obowiązków związanych z organizacją wyborów prezydenckich w trybie korespondencyjnym

Źródło: https://www.prawo.pl/samorzad/wybory-kopertowe-udostepnienie-danych-osobowych-spolce-naruszylo,515472.html

Kontrola trzeźwości w pracy? Tak, ale ograniczona

  • możliwość prewencyjnego sprawdzania trzeźwości przewiduje projekt nowelizacji kodeksu pracy, który przyjął rząd (trafi teraz do Sejmu)
  • kluczowe znaczenie ma brzmienie projektowanego art. 221c par. 10 oraz 221d k.p. – pierwszy z nich wskazuje, że w razie wprowadzenia kontroli trzeźwości konieczne jest ustalenie grupy lub grup pracowników, którzy będą nią objęci – sposób ich ustalenia będzie uzależniony od branży, w której pracodawca działa
  • art. 221d przewiduje, że zatrudniający nie dopuszcza podwładnego do pracy, jeśli kontrola trzeźwości wykaże obecność alkoholu w organizmie albo zachodzi uzasadnione podejrzenie, że stawił się on w firmie nietrzeźwy lub spożywał alkohol w czasie pracy (na żądanie zatrudniającego lub niedopuszczonego pracownika badanie trzeźwości przeprowadza np. policja)
  • wydaje się więc, że firma będzie mogła badać alkomatem tylko zatrudnionych wcześniej do tego wytypowanych, a w razie podejrzenia, że nietrzeźwy jest pracownik nieobjęty taką kontrolą, powinna jedynie nie dopuścić go do pracy i może wezwać policję
  • zgodnie z projektem weryfikację trzeźwości będzie można wprowadzić, jeśli jest to niezbędne do zapewnienia wspomnianej ochrony życia, zdrowia lub mienia – zdaniem Konfederacji Lewiatan warunek „niezbędności” uniemożliwi objęcie kontrolą wielu grup zatrudnionych – przedsiębiorcy postulują, aby powodem wdrożenia kontroli trzeźwości mogła być też „ochrona dobra pracodawcy”
  • według pracodawców także rola związków w całym procesie kontroli ograniczy tę ostatnią – zgodnie z projektem wprowadzenie badania trzeźwości oraz jego zasady trzeba będzie ustalać w układzie zbiorowym lub regulaminie albo obwieszczeniu

Źródło: https://praca.gazetaprawna.pl/artykuly/8425691,badanie-trzezwosci-w-pracy-kodeks-pracy-zmiany-2022.html

Praca zdalna i kontrola pracownika

  • przyjęty przez rząd projekt nowelizacji kodeksu pracy przewiduje również uregulowanie kwestii pracy zdalnej
  • najważniejsze założenie projektu nowelizacji kodeksu pracy to zastąpienie telepracy bardziej elastyczną formą – pracą zdalną
  • nowelizacja ustawy przewiduje również możliwość używania prywatnych narzędzi m.in. komputera przez pracownika wykonującego pracę zdalną – obie strony stosunku pracy muszą jednak wyrazić na to zgodę
  • pracownik na pracy zdalnej musi się liczyć z tym, że będzie podlegał kontroli ze strony pracodawcy – będzie ona mogła się odbywać w godzinach pracy na zasadach określonych w porozumieniu z zakładową organizacją związkową, regulaminie, poleceniu albo w porozumieniu zawartym z pracownikiem
  • wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8426697,kodeksowe-gwarancje-dla-pracy-zdalnej.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 22.11.2022 r.
RODO aktualności
RODO aktualności – 08.11.2022 r.
RODO aktualności
RODO aktualności – 25.10.2022 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO