Czy pracownik może zastępować administratora w realizacji jego obowiązków wynikających z RODO? Jak brzmi decyzja WSA w sprawie kary dla KSSIP? Jakie jest stanowisko EROD w sprawie porozumienia nowych Transatlantyckich Ram Ochrony Prywatności Danych? Czy łączenie danych powinno budzić obawy RPO? Jak działa prawo do bycia zapomnianym? Do jakiego naruszenia doszło w Szwedzkiej firmie Klarna? Jakich incydentów dopuścił się Bank of Ireland Group? Czy przedsiębiorcy stosują się do wszystkich wymogów RODO? Na czym będzie polegał Celny Rejestr Umów? Za co karę otrzymał Danske Bank? Czy wynagrodzenia osób pełniących funkcje publiczne powinny być informacją jawną?
MULTIMEDIA | |
---|---|
#RODOA [11.04.2022] | #RODOA [18.04.2022] |
Pobierz PDF | Pobierz PDF |
WSA: pracownik nie może zastępować administratora w realizacji jego obowiązków
- ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych – tak stwierdził WSA w Warszawie, oddalając skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję organu ds. ochrony danych osobowych
- WSA utrzymał w mocy decyzję organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł.
- sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive – na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym
- w uzasadnieniu WSA uznał, że organ nadzorczy w prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy, nie popierając tym samym zarzutów skarżącego decyzję administratora
- w przedmiotowej sprawie bezsporne było, że doszło do naruszenia ochrony danych osobowych na skutek zgubienia niezaszyfrowanego nośnika danych typu pendrive – administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie
- sąd podtrzymał stanowisko organu nadzorczego, że pracownik nie może zastępować administratora w realizacji jego obowiązków, ponadto pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych
Źródło: https://uodo.gov.pl/pl/138/2343
WSA w całości oddalił skargę KSSIP na decyzję UODO
- WSA w wyroku z 26 stycznia 2022 r. zgodził się z całą argumentacją, jaką przedstawił organ nadzorczy w decyzji nakładającej administracyjną karę pieniężną w wysokości 100 tys. zł na KSSIP w związku z naruszeniem ochrony danych
- w sprawie tej doszło do ujawnienia danych osobowych związanych z domeną kssip.gov.pl. – w wyniku nieupoważnionego dostępu do pliku z kopią bazy danych nieznane osoby ujawniły te dane w Internecie
- kopia powstała w związku z testową migracją do nowej platformy szkoleniowej – KSSIP starała się udowodnić, że odpowiedzialność za wskazany incydent spoczywa na podmiocie przetwarzającym
- WSA podkreślił jednak, że UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana – nawet jak pracownik podmiotu przetwarzającego nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji czy wskazana lokalizacja zapewnia bezpieczeństwo
- to administrator jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania
- zarzuty UODO dotyczące braków kompleksowych postanowień w umowie powierzenia przetwarzania danych również zostały podzielone
- WSA nie zgodził się z zarzutem skarżącego, że postępowanie przed UODO powinno być zawieszone do czasu zakończenia postępowania karnego wszczętego w związku z naruszeniem
Źródło: https://uodo.gov.pl/pl/138/2342
EROD o porozumieniu ws. nowych Transatlantyckich Ram Ochrony Prywatności Danych
- podczas 63. posiedzenia plenarnego w dniu 6 kwietnia br. EROD przyjęła oświadczenie 01/2022 w sprawie ogłoszenia porozumienia zasadniczego w sprawie nowych Transatlantyckich Ram Ochrony Prywatności Danych
- EROD z zadowoleniem przyjęła zobowiązanie USA do podjęcia „bezprecedensowych” środków ochrony prywatności i danych osobowych osób z EOG, podczas przekazywania ich danych do USA, uznając je za pozytywny pierwszy krok we właściwym kierunku
- ogłoszenie to nie stanowi ram prawnych, na podstawie których podmioty przekazujące dane osobowe poza EOG mogą przekazywać dane do USA – podmioty przekazujące dane muszą nadal podejmować działania niezbędne do zachowania zgodności z orzecznictwem TSUE, a w szczególności z decyzją w sprawie Schrems II z 16 lipca 2020 r.
- RODO wymaga, aby Komisja zasięgnęła opinii EROD przed przyjęciem ewentualnej nowej decyzji stwierdzającej odpowiedni stopień ochrony danych, uznającej stopień ochrony danych gwarantowany przez władze USA za zadowalający
- Rada zapowiedziała, że zbada, jak to porozumienie polityczne przekłada się na konkretne propozycje prawne, by zapewnić pewność prawną osobom fizycznym z EOG i podmiotom przekazującym dane
- ponadto Rada podczas 63. posiedzenia przyjęła pismo w sprawie niezależności belgijskiego organu nadzorczego, w którym wyraziła zaniepokojenie ostatnimi zmianami legislacyjnymi w Belgii, mającymi na celu reformę prawa ustanawiającego belgijski organ nadzorczy – daniem EROD, zmiany te mogą negatywnie wpłynąć na stabilność i niezależne funkcjonowanie tego organu
Źródło: https://uodo.gov.pl/pl/138/2360
Łączenie danych o obywatelach budzi obawy RPO
- RPO interweniuje u premiera w sprawie zintegrowanej platformy analitycznej – uważa, że rozporządzenie, którego projekt przygotował rząd, będzie niekonstytucyjne.
- zintegrowana platforma analityczna ma pozwolić na łączenie i analizę danych zebranych z większości państwowych baz – wskazano je w projekcie rozporządzenia przygotowanego przez ministra cyfryzacji – chodzi m.in. o bazy: ZUS, NFZ, PESEL czy Krajową Ewidencję Podatników
- pierwotnie miały to być również dane GUS, ale usunięto je z projektu.
- „Przetwarzanie przez organy państwa nakładanych na siebie olbrzymich zestawów danych może przywoływać skojarzenia z systemem kontroli społecznej, który obecnie jest domeną Chińskiej Republiki Ludowej” – napisał w piśmie do premiera i zarazem ministra cyfryzacji Marcin Wiącek, rzecznik praw obywatelskich
- RPO zwraca uwagę na niekonstytucyjność projektowanych przepisów, tego rodzaju materii, jego zdaniem, nie można określać rozporządzeniem – chodzi bowiem o wskazanie szerokiego zakresu danych, co można uczynić wyłącznie w ustawie, ten sam argument wskazał wcześniej w swej opinii zarówno prezes Urzędu Ochrony Danych Osobowych, jak i inni eksperci
- autorzy projektu nie zgadzają się z tym zarzutem – zwracają uwagę, że ZPA jest tworzone na podstawie przepisów rozdziału 3b ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne
Prawo do bycia zapomnianym: Google w roli sądu (1)
- wyszukiwarka ma obowiązek sprawdzić, czy link prowadzi do nieprawdziwych informacji – żądając jego usunięcia, trzeba to jednak uprawdopodobnić, wskazując wszystkie okoliczności
- już w 2014 r. w głośnej sprawie Google Spain TSUE potwierdził, że użytkownicy mają prawo do bycia zapomnianym, w ramach którego mogą się domagać od wyszukiwarki usunięcia linków prowadzących do informacji na ich temat
- sprawa, którą teraz ma rozstrzygnąć, idzie jednak dalej – jak wyważyć dwie sprzeczne wartości: z jednej strony prawo ludzi do informacji, z drugiej zaś prawo do prywatności
- pytania prejudycjalne dotyczą menedżera, który zajmuje odpowiedzialne stanowiska w różnych spółkach oferujących usługi finansowe – pewien serwis internetowy opublikował trzy artykuły, w których wyrażono zastrzeżenia co do modelu inwestycyjnego tych spółek, tekstom towarzyszyły zdjęcia za kierownicą luksusowych samochodów czy przed samolotem czarterowym, co mogło wywoływać wrażenie, jakoby menedżer żyje na koszt spółek
- menedżer powiadomił o tym Google’a, domagając się, by z wyników wyszukiwania z użyciem jego nazwiska usunięto linki odsyłające do artykułów o nim
- Google odmówił, wskazując na kontekst zawodowy, w jaki wpisują się sporne artykuły i zdjęcia, oraz powołując się na swoją niewiedzę co do nieprawdziwości zawartych w nich informacji
Prawo do bycia zapomnianym: Google w roli sądu (2)
- Rzecznik generalny TSUE uznał, że wyszukiwarka jest zobowiązana do zweryfikowania twierdzeń osoby domagającej się usunięcia linków – przy czym samo wysunięcie przez nią żądań to za mało
- otrzymawszy taki wniosek, operator wyszukiwarki, ze względu na rolę, jaką odgrywa w rozpowszechnianiu informacji, musi zweryfikować jego zasadność – można tego dokonać czy to na podstawie danych dostępnych dla Google’a, czy też wykorzystując dostępne narzędzia technologiczne
- ponadto konieczne jest skonfrontowanie stanowisk spornych stron i skontaktowanie się z wydawcą strony, która rozpowszechniła kwestionowane treści. Wreszcie operator wyszukiwarki musi podjąć decyzję, czy usuwa link, czy też tego nie robi, i poinformować o tym wnioskodawcę, podając zwięzłe uzasadnienie swej decyzji
- w tej samej sprawie TSUE ma rozstrzygnąć problem dotyczący wniosków o usunięcie miniaturek zdjęć, które wyświetlają się po wpisaniu imienia i nazwiska – tu chodziło o wspomniane fotografie, sugerujące nadmierne bogactwo menedżera
Szwecja: kara za naruszenie zasady przejrzystości i praw osób, których dane dotyczą
- Klarna to firma finansowa, która przetwarza dane osobowe wielu osób i na wiele różnych sposobów – ważne jest, aby informacje, które przekazuje o tym, jak firma przetwarza dane osobowe, były poprawne i jak najbardziej kompletne
- w trakcie dochodzenia Klarna stale zmieniała przekazywane informacje o tym, jak firma przetwarza dane osobowe
- decyzja Szwedzkiego Urzędu Ochrony Prywatności (IMY) dotyczy informacji przekazanych wiosną 2020 roku
- Klarna nie podała informacji w jakim celu i podstawie prawnej przetwarzano dane osobowe w jednym z serwisów firmy – firma dostarczyła również niepełne i wprowadzające w błąd informacje o tym, kto był odbiorcą różnych kategorii danych osobowych, gdy dane były udostępniane szwedzkim i zagranicznym firmom zajmującym się informacjami kredytowymi
- Klarna nie dostarczyła również informacji o tym, do jakich krajów spoza UE/EOG zostały przekazane dane osobowe ani o tym, gdzie i jak osoby fizyczne mogą uzyskać informacje o zabezpieczeniach stosowanych w przypadku przekazywania do państw trzecich
- IMY zwraca również uwagę, że firma przekazała niepełne informacje o prawach osób, których dane dotyczą, w tym o prawie do usunięcia danych, prawie do przenoszenia danych oraz prawie do sprzeciwu wobec sposobu przetwarzania danych osobowych
- Klarna nie spełniła podstawowej zasady przejrzystości i prawa osób, których dane dotyczą, do informacji –IMY nałożył grzywnę administracyjną w wysokości około 724 000 EUR za uchybienia wykryte podczas dochodzenia
Irlandia: kary Bank of Ireland Group
- dochodzenie zostało wszczęte w związku z 22 zawiadomieniami o naruszeniu danych osobowych, które Bank of Ireland Group plc (BOI) skierował do Komisji Ochrony Danych (DPC) w okresie od 9 listopada 2018 r. do 27 czerwca 2019 r.
- zawiadomienia związane były z uszkodzeniem informacji w przesyłanie danych do Centralnego Rejestru Kredytów (CCR), scentralizowanego systemu, który gromadzi i bezpiecznie przechowuje informacje o pożyczkach
- incydenty obejmowały nieuprawnione ujawnienie danych osobowych klientów do CCR oraz przypadkowe zmiany danych osobowych klientów w CCR
- BOI naruszył m.in.: artykuł 33 RODO poprzez przez niezgłoszenie naruszenia danych osobowych bez zbędnej zwłoki oraz przez nieprzekazanie przez wystarczających szczegółów w odniesieniu do niektórych naruszeń ochrony danych osobowych
- naruszony został również, art. 34 RODO w zakresie niepodejmowania przez BOI komunikacji z osobami, których dane dotyczą, bez zbędnej zwłoki w okolicznościach, w których naruszenia mogłyby skutkować wysokim ryzykiem naruszenia praw i wolności tych osób
- BOI naruszył również art. 32 ust. 1 RODO gdyż nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa adekwatny do ryzyka, jakie stwarza przetwarzanie danych klientów w przekazywaniu informacji do CCR
- organ nadzorczy nałożył kary administracyjne o całkowitej kwocie 463 000 euro
Źródło: https://edpb.europa.eu/news/national-news/2022/irish-sa-inquiry-bank-ireland-group_en
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.