RODO aktualności – 24.09.2024 r.

• W tym orzeczeniu NSA nie pozostawił żadnej wątpliwości, że w przypadku przetwarzania danych osobowych przez Kuratora Sądowego administratorem danych osobowych jest Prezes Sądu Rejonowego przy którym działa ten kurator, a nie Sąd.
• Tę różnicę podnosił w skardze kasacyjnej Prezes Sądu Rejonowego wskazując, że „rażące naruszenie 102 ust. 1. pkt. 1 ustawy o ochronie danych osobowych w związku z art 175db ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych poprzez nałożenie przez Prezesa Urzędu Ochrony Danych Osobowych kary pieniężnej na Prezesa Sądu Rejonowego […] będącego organem jednostki sektora finansów publicznych w sytuacji, gdy administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy, a nie ich organy.
• W orzeczeniu WSA w Warszawie wiele miejsce poświęcono temu zagadnieniu i wskazano m. in., że Prezes UODO nie nałożył przecież kary pieniężnej na konkretną osobę fizyczną pełniącą funkcję Prezesa Sądu. Kara została prawidłowo skierowana do organu danej jednostki organizacyjnej, bo tylko jej organ uprawniony jest do jej reprezentowania i działania za nią.
• NSA podzielił to stanowisko i podniósł, że w sprawie nie ma sporu, że PUODO nałożył karę administracyjną na Prezesa Sądu […], jako administratora danych osobowych. Karę nałożono z uwagi na naruszenie zasad przetwarzania danych osobowych przez kuratora sądowego. Zgodnie z art. 9b ustawy z dnia 27 lipca 2001 r. o kuratorach sądowych (Dz. U. 2020 r. poz. 167 ze zm.; dalej: “u.k.s.”) “Administratorem danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu, w którym kurator sądowy pełni obowiązki służbowe.

Żródło: Judykatura.pl

• Przed przystąpieniem do wdrożenia ustawy, organizacja musi ustalić jakimi kanałami będzie przyjmować zgłoszenia (elektronicznie, telefonicznie, czy dopuszczalne są anonimowe zgłoszenia i czym to będzie skutkowało w ocenie ryzyka formularza). Organizacja powinna podjąć decyzję, kto będzie przyjmował zgłoszenia i prowadził działania następcze. Mogą to robić wyłącznie osoby bezstronne. W tym kontekście pojawił się również temat outsourcingu – zakres dopuszczalnego outsourcingu wynika z art. 28 ust.1 ustawy o ochronie sygnalistów w powiązaniu w zakresie przetwarzania danych osobowych z RODO.
• Organizacja musi przeprowadzić ocenę ryzyka naruszenia praw lub wolności osób fizycznych (z art. 25 RODO i 32 RODO) już w fazie projektowania procesu przyjmowania zgłoszeń sygnalistów uwzględniając także wymagania dotyczące oceny skutków (art. 35 RODO).
• Organizacja powinna również zastanowić się, jak będzie spełniać obowiązki informacyjne – należy je wypełniać warstwowo .Jeśli chodzi o informowanie o procedurze kandydatów do pracy, kontrahentów – tu istnieje możliwość spełnienia wprost obowiązku informacyjnego, jak i przekierowania do właściwych dokumentów. Klauzule informacyjne muszą być dostosowane w szczególności w zakresie informowania o obowiązku lub też dobrowolności podania danych przez sygnalistę. Ustawa o ochronie sygnalistów nie wymaga podania danych do kontaktu przez sygnalistę. Należy to zsynchronizować z kwestią zakresu tych danych, w zależności od tego, czy organizacja dopuści anonimowe zgłoszenia czy też nie.
• Bardzo ważne jest uwzględnienie kwestii powierzenia przekazania danych oraz weryfikacji nadawanych upoważnień. Organizacja musi też ustalić jak zarządzać usuwaniem danych i dokonać aktualizacji rejestru czynności, w zależności od typu i zakresu pozyskiwanych danych. Niezbędne jest, by wskazała podstawę do przetwarzania danych. Musi również uwzględnić konieczność aktualizacji rejestru czynności o nowy proces przetwarzania danych (w tym kontekście warto wspomnieć o tym, że w procesie szeroko pojętej obsługi zgłoszeń sygnalistów pojawiają się różne kategorie osób, których dane są przetwarzane m.in. sygnalista, osoba, której dotyczy zgłoszenie, świadek, osoba powiązana z sygnalistą).

Źródło: BIULETYN UODO Nr 07_08 /07_08 /24, str. 66; www.uodo.gov.pl

• Prezes UODO w związku z ostatnio napływającymi do niego sygnałami, pytaniami w zakresie przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich (dzieci), wskazuje – wraz ze Społecznym Zespołem Ekspertów przy Prezesie UODO – na co zwrócić uwagę przy przetwarzaniu ich danych osobowych.
• Po śmierci Kamilka z Częstochowy prawo zostało zmienione tak, by wprowadzić standardy ochrony małoletnich we wszystkich placówkach, gdzie przebywają dzieci. Nowe obowiązki dotyczą organów zarządzających jednostkami systemu oświaty (przedszkoli, szkół i schronisk młodzieżowych) oraz innych placówek oświatowych, opiekuńczych wychowawczych, resocjalizacyjnych, religijnych, artystycznych, medycznych, rekreacyjnych, sportowych lub związanymi z rozwijaniem zainteresowań, do których uczęszczają albo w której przebywają małoletni, a także organizatorzy tychże działalności oraz podmioty świadczące usługi hotelarskie, turystyczne czy prowadzące inne miejsca zakwaterowania zbiorowego.
• Placówki te miały do 15 sierpnia 2024 r. czas na wprowadzenie standardów pracy i postępowania z dziećmi. Chodzi m.in. o to, by lepiej rejestrować i analizować sygnały o problemach zgłaszanych przez dzieci. Nowe wymogi dotyczą też opiekunów. Osoba, z którą ma być nawiązany stosunek pracy lub która ma być dopuszczona do działalności, musi przedstawić informacje o swojej karalności.
• Prezes UODO zwraca uwagę, że zarówno dane o pracownikach i kandydatach do pracy, jak i informacje przekazywane przez dzieci trzeba przetwarzać z poszanowaniem prawa ochrony danych osobowych.
• W kontekście nowych przepisów należy zweryfikować i zaktualizować m.in.: Kategorie osób, których dane są przetwarzane oraz zakres zbieranych i przetwarzanych danych osobowych – ograniczyć je do danych niezbędnych dla realizacji obowiązków nałożonych przepisami prawa; Klauzule obowiązków informacyjnych – zweryfikować w szczególności: cele, podstawę prawną przetwarzania, informacje o odbiorcach lub kategoriach odbiorców danych, retencję danych, źródła pochodzenia danych; dbać o przejrzystość informacji i komunikacji.

Źródło: Aktualności – UODO

• Prezes UODO nałożył na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. złotych. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników. Działania naprawcze podjęła dopiero po fakcie.
• Do ataku hakerskiego doszło w lutym 2022 r. Złośliwe oprogramowanie typu „ransomware” zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. ZOZ zawiadomił o tym UODO i Policję. Uznał jednak, że atak nie był poważny, bo dane nie wyciekły – stały się tylko niedostępne (zewnętrzny ekspert wskazał, że danych nie da się odszyfrować – atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie).
• Na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych.
• ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych.
• W efekcie, przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych. Wykazał to przeprowadzony już po ataku audyt. Nie mając analizy ryzyka ZOZ popełnił błędy także po incydencie – zgłosił swój problem UODO i Policji, ale nie zauważył problemu osób, których dane dotyczyły. Nie powiadomił ich, że stracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.

Źródło: Aktualności – UODO

• Pracownica spółki była żoną członka zarządu. Małżeństwo było w separacji, a Spółka zdecydowała wypowiedzieć umowę o prace tej kobiecie. Wtedy okazało się – po dokonaniu wewnętrznego dochodzenia – że kobieta ta sprzedawała na eBay majątek spółki. Udało się jej sprzedać 195 przedmiotów należących do spółki, czym wyrządziła spółce szkodę w “łącznej pięciocyfrowej kwocie”. Spółka zgłosiła zaginiecie telefonu komórkowego wraz z kartą sim, a pracownica wyrobiła sobie jej duplikat i dzięki temu mogła zresetować hasło do portalu aukcyjnego. Co ważne – było to prywatne konto tej kobiety założone na służbowy adres e-mail.
• Sąd pracy zastanawia się, czy może w postępowaniu sądowym wykorzystać materiały z wewnętrznego dochodzenia, gdyż Spółka wykorzystała to, że kobieta wskazała przy rejestracji do eBay służbowy numer telefonu. W związku z powyższą sytuacją powstały pytania prejudycjalne, w tym:
• „Jeżeli art. 17 ust. 3 lit. e) RODO może co do zasady stanowić podstawę prawną dla sądowych czynności przetwarzania: Czy dotyczy to również przypadków, w których pierwotne zbieranie tych danych przez stronę procesu lub osobę trzecią nie było zgodne z prawem?”
• W odniesieniu do tego pytania prejudycjalnego sąd odsyłający wskazuje, że Bundesarbeitsgericht (federalny sąd pracy) orzekł, iż przetwarzanie danych osobowych przez sąd – ewentualnie w innym celu – może być dokonywane nawet wtedy, gdy przedsądowe lub pozasądowe zbieranie takich danych przez stronę postępowania jest niezgodne z prawem na mocy RODO lub krajowego prawa o ochronie danych.
• Wynika to jednoznacznie (acte clair) z art. 17 RODO. Jednakże Trybunał w swoim rozstrzygnięciu z dnia 24 września 2019 r. wyjaśnił w pkt 57 w odniesieniu do wyjątku, o którym mowa w art. 17 ust. 3 lit. e) RODO, że prawo do ochrony danych osobowych nie stanowi prawa bezwzględnego, lecz należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności.

Żródło: Judykatura.pl

• ZUS zaprasza do współpracy dostawców sztucznej inteligencji (AI) mających w ofercie interesujące dla Zakładu rozwiązania – przekazał w poniedziałek członek zarządu ZUS Sławomir Wasielewski, który nadzoruje Pion Operacji i Eksploatacji Systemów.
• Aby zgłosić swoją ofertę współpracy w ramach AI, wystarczy wypełnić ankietę dostępną na stronie ZUS.
• Zakład zwraca uwagę, że w ostatnich dwóch latach trwa szeroka i zaangażowana dyskusja o możliwościach wykorzystania AI w różnych branżach. Również ZUS szuka rozwiązań, w których AI mogłaby być wsparciem w realizacji zadań, a przede wszystkim ułatwić pracę w różnych obszarach działalności.
• „Dziś – w dobie szeroko dyskutowanego wykorzystania AI – jako ZUS również chcemy korzystać z nowych możliwości. Musimy to robić w bardzo przemyślany sposób, po dokładnym sprawdzeniu i przeanalizowaniu wielu aspektów korzystania z tego typu technologii. Musimy być pewni, że to, z czego będziemy korzystać, będzie bezpieczne i pewne” – wskazał Sławomir Wasielewski.
• „Zakładamy, że AI pomoże nam w prostych czynnościach, dzięki czemu zaoszczędzimy czas na realizację poważnych wyzwań i złożonych przypadków. Interesują nas optymalizacje, które mogłyby ułatwić pracę pracownikom ZUS w różnych obszarach działalności ZUS” – dodał szef pionu IT w ZUS.
• Zakład deklaruje, że jest otwarty na dialog z dostawcami nowych technologii. Ci, którzy mają w swojej ofercie interesujące ZUS rozwiązania, mają szansę je zaprezentować i sprawdzić wspólnie z nami, czy mają one praktyczny potencjał. ZUS skontaktuje się z wybranymi wykonawcami.

Źródło: ZUS zaprasza do współpracy dostawców sztucznej inteligencji – Bankier.pl

• Instytucją prowadzącą projekt Krajowego Centrum Przetwarzania danych jest NASK.
• Pod koniec lipca resort cyfryzacji informował, że chce uzyskać pozwolenia na budowę Krajowego Centrum Przetwarzania Danych w IV kw. 2024 roku. Ministerstwo zakomunikowało wówczas również, że planuje podpisanie umowy z wykonawcą inwestycji na początku 2025 roku.
• Wartość dofinansowania projektu z KPO to 829,15 mln zł netto przy całkowitym koszcie inwestycji na poziomie ponad 1 mld zł.
• Budowa KCPD jest inwestycją strategiczną, która istotnie wpłynie na zapewnienie ciągłości działania systemów o krytycznym znaczeniu dla Państwa, np. działanie rejestrów państwowych i chmury rządowej, które stanowią bazę do świadczenia e-usług niezbędnych dla stabilnego funkcjonowania społeczeństwa i administracji państwowej w życiu codziennym i w sytuacjach kryzysowych.
• Odbiorcami powstałej infrastruktury będą więc jednostki administracji rządowej, w tym w szczególności jednostki podległe i nadzorowane przez ministra właściwego ds. cyfryzacji, a także jednostki samorządu terytorialnego i ich związków oraz samorządowych osób prawnych tworzonych na podstawie odrębnych ustaw, będący użytkownikami infrastruktury wybudowanej w ramach realizacji.

Źródło: Wiceminister cyfryzacji: Krajowe Centrum Przetwarzania Danych powstanie za 2-3 lata – Bankier.pl ;Budowa Krajowego Centrum Przetwarzania Danych – rozpoczęcie prac projektowych – Ministerstwo Cyfryzacji – Portal Gov.pl (www.gov.pl)

• Zespół powypadkowy nie może wpisywać do protokołu powypadkowego numeru PESEL i numeru dowodu osobistego osoby, która uległa wypadkowi przy pracy, bo stanowi to naruszenie zasady minimalizacji danych osobowych. Także ZUS nie powinien żądać uzupełnienia protokołów o podanie numeru dowodu, jeżeli podany jest w nim już numer PESEL identyfikujący pracownika, który uległ wypadkowi – uważają prawnicy. Teraz takie stanowisko potwierdziła Państwowa Inspekcja Pracy.
• Z sygnałów, jakie docierają do redakcji Prawo.pl wynika, że u wielu pracodawców zespoły powypadkowe mają problemy z prawidłowym wypełnieniem protokołu powypadkowego. Po części jest to efekt stanowiska Państwowej Inspekcji Pracy z kwietnia 2024 r., a po części także postępowania samego Zakładu Ubezpieczeń Społecznych, który zwraca protokoły powypadkowe celem uzupełnienia, w tym właśnie dopisania numeru dowodu osobistego osoby poszkodowanej w wypadku w miejscu pracy. ZUS prawdopodobnie zasugerował się wzorem protokołu powypadkowego i pewnie uznał, że skoro jest rubryka, to trzeba ją wypełnić.
• Zdaniem PIP, co do zasady pracodawcy nie mogą zbierać danych w postaci serii i numeru dowodu osobistego pracownika, ale w sytuacji, gdy dojdzie do wypadku przy pracy i będzie konieczność sporządzenia protokołu wypadku, to osoby odpowiedzialne za obszar bhp będą uprawnione do uzyskania od pracownika danej w postaci numeru dowodu, gdyż jest ona elementem protokołu, który jest oficjalnym drukiem. Zespół powypadkowy ma prawo pozyskać oraz wprowadzić do wzoru daną, którą jest PESEL, a jeśli nie został on nadany, wówczas numer dowodu osobistego albo innego dokumentu potwierdzającego tożsamość – przekazał Główny Inspektorat Pracy.
• Także Zakład Ubezpieczeń Społecznych potwierdził, że podanie numeru PESEL pozwala na jednoznaczne zidentyfikowanie osoby fizycznej. W przypadku, gdy osoba, która uległa wypadkowi nie ma nadanego numeru PESEL wówczas – zgodnie z pouczeniem zawartym w protokole –  konieczne jest podanie numeru dowodu osobistego albo innego dokumentu potwierdzającego tożsamość.

Źródło: Protokół powypadkowy – czy można wpisywać PESEL i numer dowodu osobistego (prawo.pl)

• Od 25 września br., kiedy w Polsce zaczną obowiązywać przepisy o ochronie sygnalistów, pracodawcy będą zobowiązani do utworzenia kanałów zgłoszeń naruszeń prawa oraz prowadzenia w tym celu tzw. działań następczych, w tym przede wszystkim postępowania wyjaśniającego. Te nowe obowiązki wiążą się z przetwarzaniem wielu danych osobowych, w tym zarówno samych sygnalistów, jak i innych osób, m.in. potencjalnych sprawców naruszeń, świadków czy osób pomagających sygnalistom.
• Kluczową kwestią jest tutaj ochrona tożsamości osób uczestniczących w całym procesie. W pierwszej kolejności dotyczy to oczywiście samych sygnalistów. Przepisy wskazują, że tożsamość osoby zgłaszającej naruszenia nie jest ujawniana i w tym zakresie wyłączone jest prawo do uzyskania informacji o źródle danych. Tożsamość takiej osoby jest chroniona jedynie wtedy, gdy miała uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa.
• W przypadku świadków oraz innych osób pomagających dokonać zgłoszenia sytuacja wygląda jeszcze gorzej – ich tożsamości przepisy Ustawy o ochronie sygnalistów już nie chronią na takim poziomie. Art. 27 ust. 1 mówi, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych powinny uniemożliwiać nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniać ochronę poufności tożsamości zarówno sygnalisty, jak i osoby, której dotyczy zgłoszenie, oraz osoby trzeciej w nim wskazanej. Brakuje jednak analogicznego przepisu wyłączającego pewne przepisy RODO. A to właśnie na podstawie regulacji RODO osoba, której dane dotyczą – czyli w tym wypadku np. potencjalny sprawca naruszenia – może żądać informacji o źródle jego danych. Realizacja tego obowiązku nie musi oznaczać podania konkretnej osoby jako źródła danych, ale mając na uwadze wątpliwości, należałoby również w stosunku do tych osób wyłączyć stosowanie art. 14 ust. 2 lit. f) oraz art. 15 ust. 1 lit. g) RODO – podobnie jak w przypadku danych sygnalisty.

Źródło: Tożsamość świadków gorzej chroniona niż sygnalistów [WYWIAD] – GazetaPrawna.pl