RODO aktualności – 17.05.2022 r.

Kiedy przedsiębiorca powinien usunąć dane konsumenta? Czego dotyczyło naruszenie we Francuskiej firmie Dedalus Biologie? Jak doszło do wycieku z rządowego serwisu? Czy dane o zarobkach pracowników służby zdrowia powinny być jawne? Co na celu ma unijny akt w sprawie danych? Czy Minister Sprawiedliwości powinien mieć prawo do wglądu i przetwarzania sądowych danych? Jaki efekt przyniósł atak ransomware na Lincoln Collage? Czy pracodawca będzie miał prawo do zdobycia informacji na temat szczepienia pracowników? Jakich odpowiedzi na pytania IOD udzielił UODO?

MULTIMEDIA

#RODOA [09.05.2022]
#RODOA [16.05.2022]
Pobierz PDFPobierz PDF

Omówienie RODO aktualności na YouTube…

… albo w formie podcastu

Czy dane klientów po wykonaniu lub zerwaniu umowy powinny zostać usunięte? (1)

  • UODO konsekwentnie uznaje, że gdy przedsiębiorcy nie wiąże już z klientem umowa, ten ostatni ma prawo żądać wykasowania wszystkich swoich danych osobowych – nie chodzi tylko o samo imię i nazwisko czy adres dostawy, banki przechowują historię transakcji, wypożyczalnia samochodów nie tylko dokładne godziny, ale i trasę przejazdu, sklep internetowy potwierdzenia dostaw towaru
  • stanowisko prezesa UODO oraz niektórych składów WSA w Warszawie prowadzi do sytuacji, w której przedsiębiorca po zrealizowaniu umowy z konsumentem musi bezwzględnie usunąć jego dane osobowe
  • w jednym z wyroków stwierdzono, że to nie stanowi problemu, bo jeśli przedsiębiorca usunie dane konsumenta, a ten ostatni zgłosi się później z jakimś roszczeniem, to przecież, jak mówi sąd, ponownie poda swoje dane i na tej podstawie przedsiębiorca będzie mógł zweryfikować zasadność roszczenia
  • spór dotyczy interpretacji art. 6 ust. 1 lit. c i f RODO – przepisy te pozwalają przetwarzać dane, jeśli jest to niezbędne do wypełnienia obowiązku prawnego lub do celów wynikających z jego prawnie uzasadnionych interesów
  • przedsiębiorcy uważają, że także po realizacji czy zerwaniu umowy mają prawo przechowywać dane klientów na wypadek ewentualnego sporu prawnego – UODO uważa to jednak za niedopuszczalne, jego zdaniem nie można przechowywać danych „na wszelki wypadek”
  • stanowisko to podzieliły niektóre składy orzekające WSA w Warszawie

Czy dane klientów po wykonaniu lub zerwaniu umowy powinny zostać usunięte? (2)

  • okazuje się jednak, że ten sam WSA w Warszawie w innych wyrokach doszedł do całkowicie odmiennych wniosków – w jednym stwierdził, że przedsiębiorca ma prawo przetwarzać dane przynajmniej do upływu przedawnienia ewentualnych roszczeń – sprawa dotyczyła BIK, któremu UODO nakazał usunięcie danych zawartych w jego wniosku kredytowym
  • UODO wniósł skargę kasacyjną od tego rozstrzygnięcia, zatem sprawę rozstrzygnie ostatecznie Naczelny Sąd Administracyjny
  • rozstrzygając opisany spór prawny, NSA będzie musiał przesądzić, czy ewentualne, niepewne roszczenia dają podstawę do dalszego przechowywania danych

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8411766,rodo-czy-po-umowie-firmy-musza-kasowac-wszystkie-dane-o-kliencie.html

Francja: Dedalus Biologie ukarany grzywną w wysokości 1,5 mln euro

  • 23 lutego 2021 r. w prasie ujawniono masowe wycieki danych dotyczące prawie 500 000 osób, w które zaangażowana była firma Dedalus Biologie – imię i nazwisko, numer ubezpieczenia społecznego, imię i nazwisko lekarza, data badania, ale przede wszystkim informacje medyczne tych osób zostały w ten sposób wydane w Internecie
  • francuski wiodący organ nadzorczy przeprowadził kilka dochodzeń na miejscu i online, w szczególności dotyczących firmy Dedalus Biologie, która sprzedaje rozwiązania programowe dla laboratoriów analiz medycznych
  • w oparciu o elementy zebrane w trakcie dochodzenia, organ CNIL (odpowiedzialny za nakładanie sankcji) zidentyfikował trzy naruszenia:
  • po pierwsze, w kontekście migracji pakietu oprogramowania Dedalus Biologie pozyskało większą ilość danych niż było to wymagane – w związku z tym firma przetwarzała dane w sposób wykraczający poza instrukcje wydane przez administratorów danych
  • po drugie, firma nie zapewniła bezpieczeństwa danych osobowych w rozumieniu art. 32 RODO – stwierdzono liczne naruszenia techniczne i organizacyjne w zakresie bezpieczeństwa
  • po trzecie, ogólne warunki sprzedaży proponowane przez spółkę Dedalus Biologie oraz umowy serwisowe przekazane nie zawierały elementów powierzenia przetwarzania danych osobowych przewidzianych w art. 28 ust. 3 RODO
  • francuski wiodący organ nadzorczy uznał, że firma nie przestrzegała art. 28, 29 i 32 RODO i postanowił nałożyć na administratora karę administracyjną w wysokości 1,5 mln euro

Źródło: https://edpb.europa.eu/news/national-news/2022/health-data-breach-dedalus-biologie-fined-15-million-euros_en

Dziura w rządowym serwisie

  • biznes.gov.pl to rządowy serwis z usługami dla przedsiębiorców
  • jak informuje niebezpiecznik.pl niestety miał dziurę, która każdemu pozwalała pobrać “dane niejawne” (w tym PESEL) nie tylko związane ze swoją działalnością gospodarczą, ale także z dowolną inną
  • czytelnik znalazł błąd w API tego właśnie serwisu – błąd ten pozwalał pobrać dane niejawne przedsiębiorcy (np. datę urodzenia i PESEL)
  • czytelnik postanowił zgłosić błąd mailowo na , ale reakcji nie było – niebezpiecznik.pl zadzwonił i napisał do Ministerstwa Rozwoju i Technologii, które nadzoruje biznes.gov.pl.
  • zgłoszenia dokonano 6 maja o godz. 11:02. – dwie godziny później prace nad usunięciem usterki się rozpoczęły

Źródło: https://niebezpiecznik.pl/post/dziura-w-rzadowym-serwisie-mozna-bylo-pobrac-dane-niejawne-przedsiebiorcow-jednoosobowych/

Pracodawcy w służbie zdrowia nie chcą pokazywać zarobków

  • kończą się prace nad ustawą, która od lipca wprowadza nowy minimalny poziom wynagrodzenia w ochronie zdrowia
  • Agencja Oceny Technologii Medycznych i Taryfikacji (AOTMiT) chce bowiem zbierać informacje o zarobkach lekarzy
  • to wywołało opór ze strony pracodawców – jak przekonują, nie ma ku temu podstaw prawnych
  • boją się też, że – mimo zanonimizowania danych – łatwo będzie wydedukować, ile zarabia konkretny dyrektor czy konsultant wojewódzki
  • Agencja chce danych od placówek, które mają podpisane umowy z NFZ, bo liczy koszty świadczeń, czyli leczenia – a ponieważ największym wydatkiem są zazwyczaj wynagrodzenia, to planuje na bieżąco gromadzić takie informacje
  • Pracodawcy RP w imieniu części placówek medycznych wysłali do ministra zdrowia oraz agencji i szefa NFZ list z protestem – jak wyliczali, żądanie pełnej wiedzy w zakresie wynagrodzeń wykracza poza ustawowe uprawnienia AOTMiT i jest niezgodne z RODO
  • prezes Pracodawców RP, argumentuje, że skoro ok. 20 proc. stanowisk w podmiotach leczniczych to stanowiska jednoosobowe, to łatwo można powiązać kwotę z konkretną osobą, a zatem można mówić o przekazywaniu danych osobowych – dodaje, że to de facto oznacza ujawnienie wynagrodzenia danej osoby bez jej zgody

Źródło: https://serwisy.gazetaprawna.pl/zdrowie/artykuly/8414171,wynagrodzenia-ochrona-zdrowia-pracownik-szpitala-podwyzki.html

Unijny akt w sprawie danych: wspólna opinia EIOD i EROD

  • podczas 64. posiedzenia plenarnego Europejski Inspektor Ochrony Danych i Europejska Rada Ochrony Danych opublikowali wspólną opinię dotyczącą proponowanego aktu w sprawie danych
  • akt w sprawie danych ma na celu ustanowienie zharmonizowanych przepisów dotyczących dostępu i wykorzystywania danych generowanych z szerokiej gamy produktów i usług, w tym przedmiotów podłączonych do Internetu („Internet rzeczy”), wyrobów medycznych lub zdrowotnych oraz wirtualnych asystentów
  • dokument ten ma również na celu zwiększenie prawa osób, których dane dotyczą, do przenoszenia danych na podstawie RODO
  • EIOD i EROD z zadowoleniem przyjmują wysiłki podjęte w celu zapewnienia, aby akt w sprawie danych nie oddziaływał na obecnie przyjęte ramy ochrony danych
  • EIOD i EROD wzywają współprawodawców do zapewnienia należytej ochrony praw osób, których dane dotyczą
  • w opinii przedstawiono zalecenia dla współprawodawców, aby wprowadzić restrykcje lub ograniczenia dotyczące wykorzystywania danych generowanych w wyniku korzystania z produktu lub usługi przez jakikolwiek podmiot inny niż osoby, których dane dotyczą

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8411766,rodo-czy-po-umowie-firmy-musza-kasowac-wszystkie-dane-o-kliencie.html  https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8416616,data-act-dostep-do-danych-prywatnosc.html

Minister chce prawa do wglądu i przetwarzania sądowych danych osobowych

  • Minister Sprawiedliwości chce mieć prawo do przetwarzania danych, w tym osobowych, uczestników spraw sądowych z systemów teleinformatycznych – w zakresie zadań związanych z informatyzacją sądownictwa
  • RPO ma wątpliwości, czy powinien mieć dostęp do takich danych i dodaje, że to jest niezgodne z Konstytucją
  • projektowany art. 175ca ustawy o zmianie ustawy – Prawo o ustroju sądów powszechnych zakłada, że Minister Sprawiedliwości przetwarza dane, w tym dane osobowe uczestników postępowania sądowego, znajdujące się w systemach teleinformatycznych w zakresie niezbędnym dla realizacji zadań związanych z informatyzacją sądownictwa
  • wątpliwości RPO budzi zakres projektowanych zmian – ma bowiem wątpliwość czy Minister Sprawiedliwości winien mieć dostęp do danych osobowych uczestników postępowań sądowych, w tym także – z uwagi na charakter postępowania sądowego – do danych wrażliwych
  • zdaniem RPO realizacja zadań związanych z informatyzacją sądownictwa nie uzasadnia dostępu do danych osobowych

Źródło: https://www.prawo.pl/prawo/dane-osobowe-w-sadzie-minister-z-prawem-wgladu,515080.html

Lincoln College zamknięty po 157 latach z powodu ataku ransomware

  • Lincoln College zamknie swoje drzwi jeszcze w tym miesiącu, 157 lat od jej założenia i po brutalnym uderzeniu w finanse w wyniku pandemii COVID-19 i niedawnego ataku oprogramowania ransomware
  • decyzja była jeszcze trudniejsza, ponieważ uczelnia przetrwała wiele katastrof, w tym duży pożar w 1912 roku, hiszpańską grypę, wielki kryzys, wojny światowe i globalny kryzys finansowy w 2008 roku
  • grudniowy atak ransomware był ostatnią kroplą, która spowodowała decyzję o zamknięciu
  • Lincoln College padł ofiarą cyberataku w grudniu 2021 r., który uniemożliwił rekrutację i utrudnił dostęp do wszystkich danych instytucjonalnych, tworząc niejasny obraz prognoz zapisów na jesień 2022 r.
  • wszystkie systemy wymagane do rekrutacji, retencji i zbierania funduszy nie działały – na szczęście nie ujawniono żadnych danych osobowych

Źródło: https://www.bleepingcomputer.com/news/security/lincoln-college-to-close-after-157-years-due-ransomware-attack/?utm_content=buffer65fc1&utm_medium=social&utm_source=linkedin.com&utm_campaign=buffer

Pracodawca nie może pytać o szczepienie i przebytą infekcję - jesienią może się to zmienić

  • obecnie pracodawca nie może zażądać od pracownika informacji na temat wykonania szczepienia przeciw COVID-19 lub wyniku testu, nie ma też prawa wymusić na nim przyjęcia szczepionki
  • zmienić to może poselski projekt ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19 (EW-020-741/21) – rozwiązanie jest spóźnione, ale może okazać się potrzebne, gdy fala zachorowań powróci
  • w przestrzeni publicznej wciąż pojawiają się pytania o to, czy pracodawca może żądać od pracownika lub kandydata do pracy informacji nt. wykonania szczepienia lub ujemnego wyniku testu antygenowego w przypadku COVID-19 – taka informacja może być przekazana przez konkretną osobę jedynie z jej inicjatywy, w wyniku dobrowolnej zgody
  • pojawiają się pytania, czy postawa pracodawcy, który wymaga okazania certyfikatu lub zrobienia testu antygenowego, jest sprzeczna z obecnie obowiązującymi przepisami prawa – zdaniem ekspertów, w tym przypadku każda odpowiedź może być potraktowana jako błędna
  • wymóg okazania certyfikatu covidowego lub zrobienia testu antygenowego jest sprzeczny z obecnie obowiązującymi przepisami prawa
  • eksperci zwracają jedak uwagę na Kartę Praw Podstawowych UE i możliwość samodzielnego uznania, które z tych praw jest ważniejsze – jedno dotyczy ochrony życia i zdrowia, a drugie – prywatności
  • istnieje przepis, który mówi o tym, że w przypadku konfliktu pomiędzy prawami podstawowymi, wygrywa to, którego istota jest naruszona – zdaniem niektórych, prywatności nie narusza pytanie o fakt szczepienia po to, by chronić inne osoby

Źródło: https://www.prawo.pl/kadry/szczepienia-przeciw-covid-19-czy-na-jesieni-pracodawcy-zyskaja,515150.html

Nowe odpowiedzi na pytania IOD (1)

NA CO ZWRÓCIĆ SZCZEGÓLNĄ UWAGĘ PRZY POWIERZENIU DANYCH OSOBOWYCH W SEKTORZE MEDYCZNYM?

  • w przypadku powierzenia przetwarzania danych osobowych zawartych w dokumentacji medycznej, poza warunkami przewidzianymi w art. 28 ust. 3 RODO muszą być spełnione dodatkowe wymagania wskazane w ww. ustawie:
    1. realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej,
    2. podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta,
    3. w przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych.

Źródło: https://uodo.gov.pl/pl/225/2378

Nowe odpowiedzi na pytania IOD (2)

NA CO ZWRÓCIĆ SZCZEGÓLNĄ UWAGĘ PRZY POWIERZENIU DANYCH OSOBOWYCH W SEKTORZE MEDYCZNYM?

  • w przypadku powierzenia przetwarzania danych osobowych zawartych w dokumentacji medycznej, poza warunkami przewidzianymi w art. 28 ust. 3 RODO muszą być spełnione dodatkowe wymagania wskazane w ww. ustawie:
    1. realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej,
    2. podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta,
    3. w przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych.

Źródło: https://uodo.gov.pl/pl/225/2378

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO