RODO aktualności – 20.12.2023 r.

Największy wyciek danych medycznych w Polsce (ALAB). Czy PUODO może zajmować się Chatem GPT, czyli RODO a AI. Organizacja NOYB złożyła do austriackiego organu ochrony danych skargę przeciwko właścicielowi Facebooka i Instagrama. Data Act – nowe zasady dostępu do danych. Irlandia: nowe wytyczne dla administratorów danych w sprawie prowadzenia monitoringu wizyjnego. TSUE: Jedynie zawinione naruszenie RODO może skutkować nałożeniem administracyjnej kary pieniężnej. WSA: dane osobowe w prywatnym komputerze pracownika też trzeba chronić. TSUE: niektóre praktyki przetwarzania danych przez biura informacji kredytowej są niezgodne z RODO. Pięć technologicznych kierunków, które będą w przyszłości wpływać na prawa osób do ochrony danych i prywatności. Sąd Apelacyjny zmniejsza zadośćuczynienie RODO z 20 000 na 10 000 zł. Prezes UODO zatwierdził Kodeks postępowania dla sektora ochrony zdrowia.

RODO aktualności z dnia 05.12.2023 r.

RODO aktualności z dnia 11.12.2023 r.
Pobierz PDF

Pobierz PDF

Największy wyciek danych medycznych w Polsce (ALAB)

  • Do Internetu trafiły wyniki badań medycznych wykonanych przez ostatnie kilka lat w jednej z największych ogólnopolskich sieci laboratoriów medycznych, firmy ALAB. Wyciek jest skutkiem ataku grupy ransomware.
  • W sieci znalazły się dane co najmniej kilkudziesięciu tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB laboratoria. Według serwisu, szerzej nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych, a w niej między innymi wyniki ponad 50 tysięcy badań medycznych.
  • Wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.
  • Hakerzy domagają się okupu od firmy za to, że nie ujawnią wszystkich przejętych danych. Grożą przy tym, że jeśli nie dostaną pieniędzy, do 31 grudnia opublikują wszystkie wykradzione dane. Jak nieoficjalnie ustaliła PAP, szantażyści zażądali od firmy kilkuset tysięcy dolarów.
  • Skutkiem ataku hakerskiego było utrudnienie dostępu do danych informatycznych oraz uniemożliwienie ich automatycznego przetwarzania, gromadzenia i przekazywania.
  • Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała CERT Polska, Ministerstwo Zdrowia i Centrum E-Zdrowia. Złożyła także zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości.
  • Po wycieku danych pacjentów ALAB Laboratoria, zespół CERT Polska wspólnie z Centralnym Ośrodkiem Informatyki zasilił stronę bezpiecznedane.gov.pl numerami PESEL upublicznionymi przez hakerów z grupy „RA World”. Każdy może więc łatwo sprawdzić, czy jego dane osobowe są objęte wyciekiem z ALAB.

Żródło: Wyciek danych z ALAB Laboratoria. Hakerzy zażądali kilkuset tysięcy dolarów – RMF 24; Wyciek danych pacjentów ALAB – jak sprawdzić swoje dane? (prawo.pl)

Czy PUODO może zajmować się Chatem GPT, czyli RODO a AI

  • Już na 6 grudnia b.r. zaplanowana jest następna sesja trilogu, czyli trójstronnych negocjacji między Parlamentem, Komisją a Radą UE, w toku których powstaje ostateczna wersja unijnego rozporządzenia w sprawie sztucznej inteligencji („AI Act”).
  • Zgodnie z projektem AI Act, w każdym państwie członkowskim UE powinien zostać ustanowiony właściwy, bezstronny organ, którego zadaniem będzie zapewnienie stosowania i wykonania AI Act. Pojawiają się sygnały, że regulatorem stojącym na straży zgodności z AI Act może stać się w Polsce Prezes Urzędu Ochrony Danych Osobowych. Mimo tego, RODO pozostanie w pełni niezależną od AI Act regulacją w zakresie ochrony danych osobowych. Oznacza to, że firmy budujące lub wdrażające systemy oparte na AI będą musiały przestrzegać nakazów i zakazów wynikających zarówno z AI Act, jak i RODO.
  • Przetwarzanie danych przez system AI musi być zgodne z ogólnymi zasadami przetwarzania danych zapisanymi w RODO, w szczególności zasadami zgodności z prawem, rzetelności i przejrzystości, zaś dane powinny być zbierane w konkretnych celach i ograniczone do tego, co niezbędne do realizacji tych celów (tzw. minimalizacja danych).
  • Ponadto, przetwarzanie danych osobowych przez system oparty na AI musi opierać się na jednej z podstaw określonych w art. 6 RODO – w szczególności taką podstawą może być zgoda, umowa lub uzasadniony interes. Przykładowo, włoski organ ochrony danych dopuścił dalsze przetwarzanie danych osobowych użytkowników systemu Chat GPT dla celów szkolenia algorytmu pod warunkiem, że oparte będzie ono na zgodzie użytkownika lub prawnie uzasadnionym interesie jako podstawie prawnej przetwarzania tych danych.
  • Oprócz tego, Firma oferująca usługi z wykorzystaniem sztucznej inteligencji musi spełnić obowiązek informacyjny wynikający z RODO zarówno wobec osób, których dane zostały zebrane i przetworzone na potrzeby uczenia algorytmów, jak i wobec osób fizycznych będących użytkownikami systemu. Osobom, których dane zostały wykorzystane w celu uczenia algorytmów, jak i użytkownikom usługi należy również zapewnić możliwość skorzystania z tzw. praw jednostki przewidzianych w RODO.

Żródło: Czy PUODO może zajmować się Chatem GPT? (prawo.pl)

Organizacja NOYB złożyła do austriackiego organu ochrony danych skargę przeciwko właścicielowi Facebooka i Instagrama

  • Od początku listopada europejscy użytkownicy dwóch największych serwisów Mety mają do wyboru: albo nadal będą korzystać ze swoich kont na Facebooku i Instagramie za darmo, godząc się, by śledzono ich aktywność internetową w celu personalizacji reklam, albo wykupią subskrypcję.
  • Za miesięczny dostęp do konta (lub połączonych kont danego użytkownika) przez stronę internetową trzeba zapłacić 9,99 euro, a za korzystanie z nich w aplikacji – 12,99 euro. Dodatkowo od marca 2024 r. ma obowiązywać dopłata za każde połączone konto: odpowiednio 6 euro lub 8 euro miesięcznie.
  • Założona przez prawnika i aktywistę Maxa Schremsa organizacja NOYB (jej nazwa to akronim wyrażenia: „none of your business” – nie twój interes) uważa, że przy opłacie, która przy kontach w obu serwisach może sięgnąć ponad 251 euro rocznie, wybór użytkowników jest pozorny. Co za tym idzie, wyrażona w ten sposób zgoda na zbieranie danych nie spełnia warunku dobrowolności, a to stanowi naruszenie przepisów RODO.
  • „Meta wdrożyła dokładne przeciwieństwo prawdziwie wolnego wyboru” – stwierdza NOYB. Z raportu finansowego spółki wynika, że w III kw. tego roku średni kwartalny przychód Facebooka w Europie w przeliczeniu na użytkownika wyniósł 19 dol., podczas gdy dostęp do aplikacji jest dwukrotnie droższy.
  • Big tech zmienił podstawę zbierania danych internautów w EOG, bo metody, jakie stosował poprzednio, zostały zakwestionowane przez organy ochrony danych oraz Trybunał Sprawiedliwości Unii Europejskiej – m.in. w efekcie skarg NOYB.
  • – Ile osób nadal korzystałoby z prawa do głosowania, gdyby trzeba było za to zapłacić 250 euro? Były czasy, gdy prawa podstawowe przysługiwały tylko bogatym. Wygląda na to, że Meta chce nas cofnąć o ponad 100 lat – uważa Max Schrems.

Żródło: Skarga na Facebooka. „Meta nie daje prawdziwie wolnego wyboru” – GazetaPrawna.pl

Data Act – nowe zasady dostępu do danych

  • Rada Unii Europejskiej przyjęła w listopadzie br. Rozporządzenie w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (dalej „Data Act”). Regulacja wejdzie w życie jeszcze w grudniu tego roku, a nowe przepisy zaczną obowiązywać po upływie 20 miesięcy, tj. w drugiej połowie 2025 roku.
  • Celem Data Act jest m.in. uregulowanie zasad wykorzystania danych wytwarzanych przez urządzenia skomunikowane (takie jak sprzęty użytku domowego, samochody, w tym pojazdy autonomiczne, maszyny rolnicze, inteligentne gadżety, itp.) tak, aby były one przekazywane szerszej grupie podmiotów, co ma zapewnić bardziej sprawiedliwy dostęp do informacji i wspomóc rozwój technologii.
  • Dane, które potencjalnie mogą podlegać obowiązkowi przekazania, to przykładowo lokalizacja GPS samochodów, dane dotyczące ilości prądu pobieranego przez sprzęty użytku domowego czy warunków atmosferycznych, zbierane przez urządzenia rolnicze.
  • Data Act ma znieść bariery w przepływie danych, w związku z czym zobowiązuje posiadaczy danych (tj. podmioty które uzyskują dostęp do danych, np. producent urządzenia bądź dostawca usług) do ich udostępniania zarówno użytkownikom, odbiorcom danych (czyli innym przedsiębiorcom, w tym konkurentom posiadaczy urządzeń) jak i w niektórych przypadkach organom publicznym. Udostępnienie generowanych przez urządzenie danych osobowych może natomiast nastąpić wyłącznie na wniosek użytkownika.
  • Celem Data Act jest także ułatwienie dostępu do danych, a zatem również do danych osobowych. W związku z powyższym, w projekcie przesądzono, że do przepływu w zakresie danych osobowych zastosowanie nadal znajdują w pierwszej kolejności przepisy RODO, a w przypadku kolizji zastosować należy przepisy unijne bądź krajowe regulujące kwestie przetwarzania danych osobowych.
  • W przypadku nieprzestrzegania obowiązków wynikających z Data Act grozić będą kary pieniężne, których wysokość ma zostać ustanowiona przez Państwa członkowskie

Żródło: Legal Alert: Data Act – nowe zasady dostępu do danych – KPMG Poland

Irlandia: nowe wytyczne dla administratorów danych w sprawie prowadzenia monitoringu wizyjnego

  • Wytyczne Komisji Ochrony Danych mają na celu pomóc właścicielom i najemcom lokali, w szczególności tych, które są miejscami pracy lub są w inny sposób publicznie dostępne, w zrozumieniu ich odpowiedzialności i obowiązków w zakresie ochrony danych podczas korzystania z CCTV.
  • Przed zainstalowaniem systemu CCTV potencjalni administratorzy danych powinni rozważyć następujące kwestie:
  1. Cel: Czy istnieje jasno określony cel instalacji CCTV
  2. Zgodność z prawem: Jaka jest podstawa prawna korzystania z CCTV
  3. Konieczność: Czy możesz wykazać, że CCTV jest niezbędne do osiągnięcia Twojego celu?
  4. Proporcjonalność: Jeśli system CCTV ma być wykorzystywany do celów innych niż bezpieczeństwa, czy jesteś w stanie wykazać, że te inne zastosowania są proporcjonalne?
  5. Bezpieczeństwo: Jakie środki zostaną wprowadzone w celu zapewnienia, że nagrania CCTV są bezpieczne;
  6. Retencja: Jak długo będą przechowywane nagrania, biorąc pod uwagę, że powinny być przechowywane nie dłużej niż jest to konieczne
  7. Przejrzystość: W jaki sposób osoby zostaną poinformowane o monitoringu

Żródło: Guidance on the Use of CCTV – For Data Controllers | Data Protection Commissioner

TSUE: Jedynie zawinione naruszenie RODO może skutkować nałożeniem administracyjnej kary pieniężnej

  • Sąd litewski i sąd niemiecki zwróciły się do Trybunału Sprawiedliwości o dokonanie wykładni przepisów RODO w odniesieniu do możliwości nakładania administracyjnej kary pieniężnej przez krajowe organy nadzorcze na administratora danych.
  • W sprawie niemieckiej, spółka nieruchomościowa Deutsche Wohnen, która pośrednio posiada około 163 000 lokali mieszkalnych i 3 000 lokali użytkowych lokali mieszkalnych i 3 000 lokali użytkowych, kwestionuje, między innymi, grzywnę w wysokości ponad 14 milionów euro, która została na nią nałożona na nią w wyniku przechowywania danych osobowych najemców przez okres dłuższy niż to konieczne.
  • Trybunał orzekł, że administrator danych nie może zostać obciążony administracyjną karą pieniężną za naruszenie RODO, chyba że naruszenie to zostało popełnione bezprawnie, tj. umyślnie lub przez zaniedbanie.
  • W przypadku gdy administrator jest osobą prawną, nie jest konieczne, aby naruszenie zostało popełnione przez jego organ zarządzający. Nie jest też konieczne, aby organ ten wiedział o tym naruszeniu. Wręcz przeciwnie, osoba prawna ponosi odpowiedzialność zarówno za naruszenia popełnione przez jej przedstawicieli, dyrektorów lub kierowników, jak i za naruszenia popełnione przez jakąkolwiek inną osobę działającą w ramach działalności tej osoby prawnej i w jej imieniu.
  • Oprócz tego, nałożenie administracyjnej kary pieniężnej na osobę prawną jako administratora danych nie może być uzależnione od wcześniejszego ustalenia, że naruszenie zostało popełnione przez zidentyfikowaną osobę fizyczną.
  • Ponadto na administratora może zostać nałożona kara w związku z operacjami wykonywanymi przez podmiot przetwarzający, w zakresie, w jakim administrator może zostać pociągnięty do odpowiedzialności za takie operacje.
  • Ponadto, w przypadku gdy adresat grzywny należy do grupy spółek, obliczenie tej grzywny powinno opierać się na obrotach całej grupy.

Żródło: Only a wrongful infringement of the General Data Protection Regulation may result in an administrative fine being imposed (europa.eu)

WSA: Dane osobowe w prywatnym komputerze pracownika też trzeba chronić

  • Wojewódzki Sąd Administracyjny podtrzymał decyzję prezesa UODO, w której nałożono karę upomnienia na Rzecznika Finansowego za brak odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.
  • Do naruszenia ochrony danych osobowych doszło w związku z kradzieżą prywatnego komputera byłego pracownika Rzecznika Finansowego. W komputerze tym przechowywane były dane osobowe przetwarzane podczas pracy zdalnej świadczonej dla administratora danych. Fakt nieprzeprowadzenia przez administratora analizy ryzyka sprawił, że dane te nie zostały odpowiednio zabezpieczone.
  • Ponadto administrator nie upewnił się, czy pracownik po zakończeniu świadczenia pracy skutecznie i trwale usunął dane z komputera. Brak odpowiednich zabezpieczeń technicznych i organizacyjnych doprowadził do nałożenia przez prezesa UODO kary upomnienia na administratora.
  • Skarżąc decyzję organu nadzorczego, Rzecznik Finansowy twierdził, iż skradziony komputer należał do byłego już pracownika, a Prezes UODO nie udowodnił, że na jego dysku twardym faktycznie znajdowały się dane osobowe.
  • Żaden z powyższych argumentów nie został podzielony przez WSA w Warszawie. Wojewódzki Sąd Administracyjny nie miał wątpliwości, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik. Sąd, rozstrzygając tę kwestię, przywołał definicję administratora zawartą w RODO, zgodnie z którą jest nim ten, kto decyduje o celach i sposobach przetwarzania danych osobowych.
  • WSA w Warszawie zgodził się z prezesem UODO, że administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. Odpowiadając na zarzut skarżącego, że organ nadzorczy nie udowodnił w postępowaniu, iż komputer nie był odpowiednio chroniony, sąd wskazał, iż ciężar dowodowy w tym przypadku spoczywa po stronie administratora.
  • W swoim orzeczeniu WSA zwrócił też uwagę, że administrator nie zweryfikował również, czy pracownik skutecznie usunął dane z komputera.

Żródło: Dane osobowe w prywatnym komputerze pracownika też pod ochroną. Wyrok WSA (prawo.pl)

TSUE: RODO sprzeciwia się dwóm praktykom przetwarzania danych przez biura informacji kredytowej

  • Trybunał Sprawiedliwości Unii Europejskiej (dalej: Trybunał, TSUE) wydał wyrok w sprawie C-634/21 | SCHUFA Holding (Scoring) oraz w sprawach połączonych C-26/22 i C-64/22 | SCHUFA Holding (Zwolnienie z pozostałej części długu). Orzeczenie zapadło w czwartek, 7 grudnia 2023 r.
  • Wiele osób zaskarżyło przed sądem administracyjnym w Wiesbaden (Niemcy) na odmowę podjęcia działań przez właściwego komisarza ds. ochrony danych przeciwko niektórym rodzajom działalności SCHUFA, będącego prywatnym biurem informacji kredytowej, którego klientami są w szczególności banki. Sprzeciwiają się scoringowi oraz przechowywaniu informacji dotyczących zwolnienia z pozostałej części długu przejętej z rejestrów publicznych.
  • Scoring jest matematyczną metodą statystyczną umożliwiającą, oparte na prawdopodobieństwie, ustalenie przyszłego zachowania, takiego jak spłata kredytu. Informacje dotyczące zwolnienia z pozostałej części długu są przechowywane w niemieckim publicznym rejestrze upadłości przez sześć miesięcy, podczas gdy kodeks postępowania niemieckich biur informacji kredytowej przewiduje dla ich własnych baz danych okres przechowywania wynoszący trzy lata.
  • W odniesieniu do scoringu Trybunał orzekł, że należy go uznać za „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach”, co do zasady zakazane przez RODO, o ile klienci SCHUFA, tacy jak banki, przypisują mu decydującą rolę przy udzielaniu kredytów. Według sądu administracyjnego w Wiesbaden sytuacja taka ma miejsce.
  • Odnosząc się zaś do informacji dotyczących zwolnienia z pozostałej części długu Trybunał uznał za sprzeczne z RODO to, że prywatne biura przechowują takie dane dłużej niż publiczny rejestr upadłości. Zwolnienie z pozostałej części długu ma bowiem na celu umożliwienie zainteresowanej osobie ponownego uczestnictwa w życiu gospodarczym, a zatem ma dla niej egzystencjalne znaczenie. Tymczasem informacje te są zawsze wykorzystywane jako czynnik negatywny przy ocenie zdolności kredytowej danej osoby.
  • W zakresie, w jakim przechowywanie danych jest niezgodne z prawem, jak ma to miejsce po upływie sześciu miesięcy, osoba, której dane dotyczą, ma prawo do usunięcia tych danych, a biuro jest zobowiązane do ich usunięcia bez zbędnej zwłoki.

Żródło: RODO a praktyki przetwarzania danych przez biura informacji kredytowej – wyrok TSUE (prawo.pl)

Pięć technologicznych kierunków, które będą wpływać na prawa osób do ochrony danych i prywatności

  • EDPS – European Data Protection Supervisor opublikował kolejną edycję raportu TechSonar. W edycji 2023-2024 wskazano pięć technologicznych kierunków, które z dużym prawdopodobieństwem będą wpływać na prawa osób fizycznych do ochrony danych i prywatności. Są to: modele językowe (Large Language Models-LLM), wykrywanie deepfake (Deepfake detection), portfel tożsamości cyfrowej (Digital Identity Wallet-DIW), wirtualna rzeczywistość (Extended Reality-XR) oraz Internet of Behaviours (IoB).
  • Jako rodzaj generatywnego systemu AI, LLM tworzy nowe treści w odpowiedzi na pytania użytkownika na podstawie danych z różnych źródeł, w tym ze źródeł publicznych. LLM mogłyby pomóc w wykrywaniu i lepszym zarządzaniu danymi osobowymi dotyczącymi informacji nieustrukturyzowanych (np. pola tekstowego zawierającego historię rodziny). LLM mogłyby również pomóc w identyfikacji, redagowaniu lub anonimizowaniu danych osobowych. Jeśli jednak nie są odpowiednio zabezpieczone, LLM mogą ujawnić poufne lub prywatne informacje zawarte w ich zbiorach danych, co prowadzi do potencjalnych lub rzeczywistych naruszeń danych.
  • DIW to aplikacja, która umożliwia bezpieczne przechowywanie, zarządzanie i udostępnianie danych osobowych, danych uwierzytelniających i innych informacji, odnoszących się do właściciela tego wirtualnego portfela. DIW mają duży potencjał w celu umożliwienia profilowania osób fizycznych, jeśli cechy i sposób korzystania z DIW nie są spójne z podejściem uwzględniającym ochronę prywatności w fazie projektowania.
  • Rozszerzona rzeczywistość (XR) to z kolei termin obejmujący wszystkie technologie immersyjne, w tym rzeczywistość wirtualną, rzeczywistość rozszerzoną i rzeczywistość mieszaną. Systemy VR mogą rejestrować zachowania, takie jak ruchy części różnych części ciała (np. głowa, dłoń, stopy, klatka piersiowa, łokieć lub kolana). Według niektórych autorów, pozycja głowy i ruch mogą być wykorzystywane do wnioskowania o schorzeniach, takich jak zespół nadpobudliwości psychoruchowej, autyzm lub demencja. Tak dużą ilość przetwarzanych danych jest trudno pogodzić z zasadami minimalizacji danych i ograniczenia celu.

Żródło: 23-12-04_techsonar_23-24_en.pdf (europa.eu)

Sąd Apelacyjny zmniejsza zadośćuczynienie RODO z 20 000 na 10 000 zł

  • Sąd Okręgowy w Warszawie zasądził na rzecz pewnej Obywatelki kwotę 20 000 zł zadośćuczynienia za błąd popełniony przez Naczelny Sąd Administracyjny dotyczący braku anonimizacji danych osobowych.
  • Sąd Apelacyjny zmienił to orzeczenie, zmniejszając kwotę 20 000 zł do 10 000 zł.
  • Co istotne, Sąd Apelacyjny podzielił i przyjął jako własne ustalenia faktyczne Sądu Okręgowego z niewielkimi korektami, które nie dotyczą meritum postępowania.
  • Sąd Apelacyjny dostrzega, że RODO ma zastosowanie dopiero od dnia 25 maja 2018 r. (art. 99 ust. 1 RODO), podczas gdy do opublikowania orzeczenia w wersji niezanonimizowanej doszło w 2016 roku.
  • Niemniej jednak należy przyjąć, że stan nieuprawnionego przetwarzania danych osobowych powódki trwał do chwili ich usunięcia, co nastąpiło w 2021 roku, dlatego zasadne jest również dokonanie oceny prawnej na podstawie przepisów RODO;
  • Ponadto nie można pomijać tego, że opublikowanie pełnych danych osobowych powódki w Centralnej Bazie Orzeczeń Sądów Administracyjnych było czynem bezprawnym również w roku 2016, gdyż pozostawało w sprzeczności z art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).

Żródło: Judykatura.pl; Opublikuj | LinkedIn

Prezes UODO zatwierdził Kodeks postępowania dla sektora ochrony zdrowia

  • Prezes Urzędu Ochrony Danych Osobowych zatwierdził „Kodeks postępowania dla sektora ochrony zdrowia” przygotowany przez Polską Federację Szpitali. Podpisany dokument to pierwszy w Europie kodeks obejmujący podmioty publiczne i prywatne z sektora medycznego.
  • Dokument przewiduje odrębne mechanizmy monitorowania przestrzegania jego postanowień dla publicznych placówek medycznych. Przystąpienie do kodeksu nie wiąże się z członkostwem w żadnej organizacji.
  • W ocenie organu nadzorczego przedstawiony przez Polską Federację Szpitali kodeks postępowania jest zgodny z przepisami ogólnego rozporządzenia o ochronie danych (RODO) oraz stanowi odpowiednie zabezpieczenie w zakresie ochrony danych przewidzianych przepisami tego rozporządzenia. Ważnym aspektem było wypracowanie rozwiązań monitorowania podmiotów publicznych. Jest to pierwszy taki kodeks dla sektora medycznego umożliwiający szpitalom publicznym potwierdzanie zgodności procesu przetwarzania danych z RODO.
  • Decyzja Prezesa UODO kończy okres pracy nad treścią kodeksu i daje placówkom medycznym możliwość rozpoczęcia przygotowań do jego wdrożenia.
  • Przystąpienie do stosowania kodeksu postępowania wiąże się z licznymi korzyściami. Przede wszystkim podmioty, które będą go stosowały mogą mieć gwarancję prawidłowości używania określonych rozwiązań zatwierdzonych przez organ nadzoru. Mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych w oparciu o mechanizmy monitorowania opisane w kodeksie. Nie bez znaczenia jest również fakt, iż zgodnie z RODO organ nadzorczy, gdy rozważa nałożenie kary na dany podmiot musi brać pod uwagę w każdym przypadku, czy podmiot ten prawidłowo stosuje zatwierdzony kodeks postępowania.
  • Organ nadzorczy udzielił akredytacji KPMG Advisory sp. z o.o. sp. k., który będzie pełnił funkcję podmiotu monitorującego stosowanie kodeksu wśród jego członków z sektora prywatnego.

Żródło: Aktualności – UODO

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

RODO aktualności
RODO aktualności – 04.06.2024 r.
RODO aktualności
RODO aktualności – 23.05.2024 r.
RODO aktualności
RODO aktualności – 06.05.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO