Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 25.10.2022 r.

Czy za każde naruszenie RODO mogę dostać odszkodowanie? Jak ze zgłaszaniem RODO naruszeń radzą sobie… sądy? Jakie nowe wytyczne przyjął EROD? Czego dowiemy się z nowego newslettera UODO? Czy administrator danych jest organem? W jaki sposób notariusze mogą zyskać dostęp do bazy PESEL? Jakie są najnowsze rekomendacje w zakresie polityki haseł dostępu do systemów IT? Czy Holenderski rząd ma prawo do monitorowania tweetwów swoich obywateli? Jak doszło do naruszenia danych w firmie Clearview Al? A jak w jednej z amerykańskich firm? Na jakiej podstawie lekarze będą mieli wgląd do recept seniorów? Czy Fiskus może żądać informacji o podatnikach od administratorów portali internetowych?

MULTIMEDIA

#RODOA [17.10.2022]
#RODOA [24.10.2022]
Pobierz PDF

Obejrzyj na YouTube

Odsłuchaj podcast

Pobierz PDF

Obejrzyj na YouTube

Odsłuchaj podcast

Naruszenie RODO. Rzecznik generalny TSUE: Złość nie uprawnia do odszkodowania

  • Nie każde naruszenie przepisów RODO powoduje szkodę, a co za tym idzie nie za każde można żądać odszkodowania. W przeciwnym razie odszkodowanie nie byłoby rekompensatą za szkodę, tylko karą – uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej
  • poczta austriacka Österreichische Post w ramach dodatkowej działalności związanej z wydawaniem baz adresowych profilowała swych klientów także pod kątem ewentualnych sympatii politycznych – na podstawie określonych kryteriów społeczno-demograficznych uznawała ludzi za potencjalnych wyborców danej partii
  • miało to być wykorzystane do reklamy wyborczej – wzbudziło to oburzenie jednego z klientów, który poczuł się urażony faktem, że Österreichische Post uznała go za sympatyzującego z konkretną partią polityczną
  • w pozwie zażądał 1000 euro odszkodowania za naruszenie dóbr osobistych – działanie poczty miało wywołać u niego wielkie wzburzenie i poczucie kompromitacji, co istotne, nigdy nie udzielił operatorowi zgody na przetwarzanie danych osobowych
  • sądy obydwu instancji oddaliły pozew – sprawa trafiła do Sądu Najwyższego, a ten postanowił poprosić TSUE o wyjaśnienie kilku kwestii
  • Rzecznik generalny Manuel Campos Sánchez-Bordona w przedstawionej opinii przekonuje, że odszkodowanie może zostać zasądzone tylko po udowodnieniu szkody – nie wystarczy więc samo naruszenie normy RODO
  • przeciwnej interpretacji nie da się pogodzić z podstawowym założeniem przyjętym w tym rozporządzeniu, jakim jest pełne naprawienie szkody – rezygnacja z przesłanki szkody sprawiłaby, że odszkodowanie nie byłoby rekompensatą za szkodę, lecz karą

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8565225,przetwarzanie-danych-osobowych-rodo-zlosc-odszkodowanie-tsue.html

Zgłaszanie naruszeń ochrony danych osobowych przez sądy

  • UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku sądów – i w jakim ewentualnie zakresie
  • organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania, dokonywanych przez sądy, w ramach sprawowania przez nie wymiaru sprawiedliwości – RODO dopuszcza jednak możliwość doprecyzowania przez prawo państwa członkowskiego operacji i procedur przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości
  • polski ustawodawca skorzystał z takiej możliwości w ustawie Prawo ustroju sądów powszechnych i określił, że administratorami danych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy
  • w przepisach Prawa o ustroju sądów powszechnych nie zostało jednak wprost wskazane, że organy te są również uprawnione do przyjmowania zgłoszeń naruszeń ochrony danych osobowych
  • w takiej sytuacji należy przyjąć, że co do zasady RODO ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości w zakresie zgłaszania naruszeń ochrony danych, o których mowa w art. 33 RODO – dlatego też administrator (np. sąd) w każdym przypadku wystąpienia jakiegokolwiek incydentu jest zobowiązany do dokonania oceny, czy konkretny incydent stanowi naruszenie ochrony danych, a jeżeli tak, to czy naruszenie dotyczyło przetwarzania danych przez sądy w ramach sprawowania wymiaru sprawiedliwości, czy też nie

Żródło: https://uodo.gov.pl/pl/138/2454

EROD przyjmuje m.in. „listę życzeń” dotyczącą aspektów proceduralnych, które chciałaby zharmonizować

  • EROD podczas 70. posiedzenia plenarnego przyjęła wykaz aspektów krajowego prawa proceduralnego, które chciałaby zharmonizować na szczeblu UE w celu ułatwienia egzekwowania RODO
  • ta „lista życzeń” jest jednym z kluczowych działań określonych w deklaracji wiedeńskiej EROD w sprawie współpracy w zakresie egzekwowania prawa – wykaz aspektów krajowego prawa proceduralnego, który dotyczy m.in. statusu i praw stron postępowania administracyjnego, terminów proceduralnych, a także wymogów dotyczących dopuszczalności lub oddalenia skarg został przesłany do rozpatrzenia Komisji Europejskiej
  • EROD przyjęła także opinię w sprawie zatwierdzenia przez Radę kryteriów certyfikacji Europrivacy przedłożonych przez luksemburski organ ochrony danych – opinia oznacza zatwierdzenie przez EROD pierwszego europejskiego znaku jakości ochrony danych zgodnie z art. 42 ust. 5 RODO
  • na koniec EROD przyjęła oświadczenie w sprawie cyfrowego euro – w swoim oświadczeniu EROD ponownie podkreśla znaczenie zapewnienia w tym projekcie uwzględnienia ochrony prywatności i ochrony danych w fazie projektowania oraz domyślnej ochrony danych, a także ostrzega przed stosowaniem systematycznej walidacji i śledzenia wszystkich transakcji dokonywanych przy użyciu cyfrowego euro

Źródło: https://uodo.gov.pl/pl/138/2456

Październikowy newsletter UODO

  • w październikowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

OCHRONA STABILNOŚCI PEŁNIENIA FUNKCJI IOD POWINNA ZOSTAĆ WZMOCNIONA

  • w ocenie organu nadzorczego celowe jest rozważenie zmiany przepisów prawa krajowego pod kątem doprecyzowania w polskim porządku prawnym regulacji art. 38 ust. 3 zdanie drugie RODO, a tym samym wzmocnienia pozycji inspektora ochrony danych.

BĘDĄ CZĘŚCIOWE ZMIANY ODNOSZĄCYCH SIĘ DO IOD PRZEPISÓW USTAWY IMPLEMENTUJĄCEJ DYREKTYWĘ POLICYJNĄ

  • taką deklarację Ministerstwo Spraw Wewnętrznych i Administracji złożyło w odpowiedzi na wystąpienie Prezesa UODO w sprawie konieczności dokonania zmiany niektórych dotyczących IOD przepisów ustawy implementującej dyrektywę policyjną.

OCHRONA DANYCH OSOBOWYCH W PROGRAMIE STUDIÓW

  • w programie studiów podyplomowych w zakresie wyceny nieruchomości uwzględnione mają być kwestie dotyczące ochrony danych

KARY

  • Francja: brak przemyślanego posługiwania się danymi doprowadził do nałożenia kary – dane geolokalizacyjne stały się przyczyną nałożenia na UBEEQO International przez francuski organ nadzorczy administracyjnej kary pieniężnej w wysokości 175 tys. euro.

Źródło: Źródło: Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Administrator danych osobowych nie jest organem

  • nie można skarżyć do sądu administracyjnego przewlekłości postępowania w sprawie ochrony danych osobowych prowadzonego przez administratora – skargę należy kierować do Urzędu Ochrony Danych Osobowych
  • skargę do sądu administracyjnego złożył mężczyzna oburzony tym, że NFZ wysłał skierowanie do sanatorium na niewłaściwy adres – w ten sposób nieuprawnione osoby miały dostęp do jego danych osobowych, a to ewidentne naruszenie przepisów RODO
  • mężczyzna złożył do dyrektora oddziału pismo, w którym wniósł o „podjęcie procedur w związku z podejrzeniem naruszenia RODO i ujawnienia jego danych wrażliwych” – pismo to pozostało bez jakiejkolwiek odpowiedzi
  • po trzech miesiącach mężczyzna wniósł do sądu skargę na przewlekłość postępowania
  • Wojewódzki Sąd Administracyjny w Gdańsku odrzucił skargę wskazując, że w sprawach dotyczących ochrony danych osobowych dyrektor oddziału wojewódzkiego NFZ nie występuje w roli organu administracji, na którym według przepisów prawa ciąży obowiązek wszczęcia postępowania i wydania aktu administracyjnego lub podjęcia czynności z zakresu administracji publicznej dotyczącej uprawnień lub obowiązków skarżącego
  • choć RODO pozwala wysuwać pewne żądania względem administratora danych (np. żądać dostępu do informacji o celach czy kategoriach przetwarzania na podstawie art. 15 RODO), to w razie braku reakcji należy kierować skargę do prezesa Urzędu Ochrony Danych Osobowych – dopiero jego decyzje mogą być skarżone do sądu

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8569824,ochrona-danych-osobowych-przewleklosc-postepowania.html

Notariusze mogą zyskać dostęp do bazy PESEL

  • Krajowa Rada Notarialna otrzymała od Kancelarii Prezesa Rady Ministrów warunki techniczne, których spełnienie umożliwiłoby dostęp do rejestru PESEL oraz Rejestru Dowodów Osobistych przez notariuszy
  • zgodnie z art. 85 par. 1 i 2 prawa o notariacie rejenci muszą skutecznie potwierdzać tożsamość osób biorących udział w czynności notarialnej, przede wszystkim na podstawie dokumentów – najczęściej dowodu osobistego lub paszportu
  • Janusz Cieszyński wskazuje, że notariusze mogliby sprawdzić poprawność danych osobowych znajdujących się w dokumencie tożsamości i porównać je z widniejącymi w bazie PESEL
  • wprowadzenie takiej możliwości wiązałoby się z koniecznością zmiany art. 46 ust. 1 ustawy o ewidencji ludności – wymienia on katalog podmiotów, którym dane z rejestru PESEL mogą być udostępniane
  • KRN wskazała, że teraz najpilniejszą potrzebą dla notariuszy jest otrzymanie możliwości pobierania odpisów skróconych aktów stanu cywilnego (urodzenia, małżeństwa, zgonu) – i rząd postanowił tę potrzebę zaspokoić
  • w projekcie ustawy – Przepisy wprowadzające ustawę o cmentarzach i chowaniu zmarłych, który został przekazany do opiniowania w ramach Stałego Komitetu Rady Ministrów, zaproponowano nowelizację art. 45 ust. 3 ustawy – Prawo o aktach stanu cywilnego – notariusze oraz zastępcy notarialni mieliby zostać dodani do tamtejszego katalogu podmiotów uprawnionych do pobrania za pośrednictwem usług sieciowych odpisów skróconych aktów stanu cywilnego w zakresie niezbędnym do dokonywania czynności notarialnych

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8571181,pesel-dostep-baza-notariusze.html

Hasła – nowe rekomendacje CNIL

  • w kontekście zwiększonych zagrożeń dla bezpieczeństwa danych CNIL zaktualizował swoje zalecenie dotyczące haseł z 2017 r., aby zapewnić profesjonalistom i osobom fizycznym praktyczne narzędzia i najnowocześniejsze rozwiązania w tym zakresie
  • zdaniem organu, aby sprawdzić solidność hasła, w obecnym stanie techniki konieczne jest poleganie na definicji kryteriów złożoności i długości – dla każdego systemu informatycznego, czyli każdego przetwarzania danych osobowych , ustalana jest polityka haseł, która określa kryteria, które muszą zostać spełnione, aby hasło było „akceptowalne” w tym systemie
  • rekomendacja CNIL z 2017 r. określiła progi pod względem liczby znaków i złożoności każdego hasła – Jednak definicji tej brakowało elastyczności, stąd wprowadzenie pojęcia „entropii” w celu umożliwienia porównania odporności różnych polityk haseł
  • CNIL zidentyfikował 3 różne, najnowocześniejsze przypadki użycia haseł, które są powiązane z różnymi minimalnymi poziomami entropii:
  1.  „proste” uwierzytelnianie hasłem
  2. przypadek, w którym wdrażane są środki ograniczające ryzyko ataków online
  3. i wreszcie przypadek kodu odblokowującego sprzęt

podmioty mogą również wdrożyć inne środki bezpieczeństwa niż te opisane w zaleceniu – w takim przypadku muszą być w stanie wykazać, że gwarantują co najmniej równoważny poziom bezpieczeństwa

Źródło: https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Holenderskie władze monitorują tweety i dane osobowe obywateli

  • władze Holandii bez wiedzy obywateli zbierają i analizują posty zamieszczane przez nich na Twitterze – informuje dziennik „Trouw”
  • zdaniem gazety robi to m.in. administracja podatkowa i celna
  • rząd korzysta z narzędzi firm komercyjnych, takich jak Coosto, Obi4wan i Twittertap, aby zbierać i analizować „krytyczne” tweety
  • w ostatnich latach Biuro Planowania Społecznego i Kulturalnego (SCP) zebrało tysiące tweetów na temat zmian klimatycznych i „tożsamości narodowej” na potrzeby swoich badań
  • dane osobowe użytkowników Twittera, takie jak przekonania religijne, pochodzenie etniczne, zachowania seksualne lub poglądy polityczne, były również gromadzone
  • zdaniem ekspertów jest to kontrowersyjna praktyka, albowiem użytkownicy Twittera nie są o tym informowani
  • według SCP nie trzeba prosić o zgodę użytkowników, albowiem dane są wykorzystywane do celów statystycznych

Źródło: https://technologia.dziennik.pl/aktualnosci/artykuly/8569518,holandia-tweeter-obywatele-dane.html

Francuski organ nakłada na Clearview AI grzywnę w wysokości 20 mln euro

  • od maja 2020 r. CNIL otrzymywał skargi od osób fizycznych dotyczące oprogramowania do rozpoznawania twarzy Clearview AI i wszczął dochodzenie w maju 2021 r.
  • 26 listopada 2021 r. CNIL podjął decyzję o wezwaniu Clearview AI do formalnego do zaprzestania gromadzenia i wykorzystywania danych osób przebywających na terytorium Francji w przypadku braku podstawy prawnej oraz rozpatrywania wniosków o usunięcie danych
  • Clearview AI miała dwa miesiące na zastosowanie się do nakazów sformułowanych w formalnym zawiadomieniu i uzasadnienie ich w CNIL – nie udzieliła jednak żadnej odpowiedzi
  • sprawa została zatem skierowana do komisji, która jest odpowiedzialna za nakładanie sankcji
  • komisja postanowiła nałożyć maksymalną karę finansową w wysokości 20 mln euro, zgodnie z art. 83 RODO
  • w odniesieniu do bardzo poważnych zagrożeń dla praw podstawowych osób, których dane dotyczą, wynikających z przetwarzania prowadzonego przez spółkę, komisja postanowiła nakazać Clearview AI zaprzestanie gromadzenia i przetwarzania danych osób mieszkających we Francji bez podstawy prawnej oraz usunięcie dane tych osób, które już zebrał, w okresie dwóch miesięcy
  • komisja dodała do tego nakazu karę w wysokości 100 000 euro za każdy dzień zwłoki

Źródło: https://edpb.europa.eu/news/national-news/2022/french-sa-fines-clearview-ai-eur-20-million_en

Włoski organ nakłada grzywnę na amerykańską firmę oferującą aplikację dla diabetyków

  • sprawa rozpoczęła się od wysyłki– w ramach akcji informacyjnej – wiadomości e-mail z adresami odbiorców w polu „DW” zamiast w polu „UDW” co spowodowało, że każdy odbiorca mógł przeglądać adresy e-mail innych odbiorców, które w tym przypadku również zawierały dane ujawniające dane o stanie zdrowia
  • włoski organ stwierdził, że administrator (firma amerykańska) bezprawnie ujawnił konta e-mail i dane dotyczące zdrowia około 2000 włoskich pacjentów z cukrzycą i dopuścił się dodatkowych naruszeń przepisów o ochronie danych
  • w szczególności, po pobraniu aplikacji, użytkownicy oczekiwali, że jednym kliknięciem zaakceptują warunki korzystania z serwisu wraz z treścią polityki prywatności – uniemożliwiło im to wyrażenie zgody odrębnie na poszczególne operacje przetwarzania, w tym przetwarzanie danych dotyczących zdrowia
  • naruszono również zasady rzetelności i przejrzystości, ponieważ informacje przekazywane użytkownikom były niejasne i niekompletne, a firma nie wyznaczyła na piśmie swojego przedstawiciela w UE do wszystkich kwestii związanych z prywatnością zgodnie z RODO
  • mając na uwadze niezamierzony charakter działalności e-mailingowej oraz współpracę wykazaną przez spółkę w toku działań informacyjnych oraz profil organizacyjny spółki, włoski organ nałożył karę administracyjną w wysokości 45 000 EUR oraz nakazał przywrócenie przetwarzania do zgodność z RODO

Źródło: https://edpb.europa.eu/news/national-news/2022/italian-sa-fines-us-company-offering-diabetes-app_en

Lekarz zajrzy do recept seniora bez jego zgody

  • nie tylko lekarz rodzinny seniora, ale każdy uprawniony do wystawiania recept dla pacjentów 75+, ma otrzymać automatyczny dostęp do informacji o przepisanych starszej osobie lekach
  • prawo ma się zmienić w trosce o seniorów, którzy są wykluczeni cyfrowo i nie korzystają z Internetowego Konta Pacjenta (IKP)
  • jednocześnie, będzie to kolejna otwarta furtka do danych wrażliwych pacjenta
  • o pilną nowelizację ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych apelowała Koalicja Izb Handlowych dla Zdrowia – obecnie, jak podkreśla Koalicja, pacjenci 75+ mają utrudnioną możliwość korzystania z przysługujących im praw – chodzi o dostęp do bezpłatnych leków. Seniorzy, którzy leczą się u specjalistów, a nie obsługują IKP, napotykają na problemy
  • lekarz POZ automatycznie uzyskuje dostęp do historii wystawionych recept i uprawnień pacjenta, natomiast według przepisów, aby lekarz specjalista AOS przepisał receptę seniorowi, ten musi wcześniej aktywować swoje Internetowe Konto Pacjenta i upoważnić w nim lekarza do wglądu w historię choroby i weryfikację uprawnień – niestety dla wielu seniorów, ze względu na ograniczenia techniczne, ten wymóg jest niewykonalny
  • Wiceminister zdrowia Maciej Miłkowski odpowiada, że prawo zostanie zmienione – przygotowana propozycja zmian dotyczy ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych

Źródło: https://www.prawo.pl/zdrowie/recepty-dla-pacjentow-75-zgoda-na-dostep,517865.html

NSA: Fiskus może żądać informacji o podatnikach od administratorów portali

  • organy podatkowe mają prawo wystąpić z żądaniem uzyskania informacji pozwalających na zidentyfikowanie użytkowników portalu internetowego, a organ nie musi prowadzić żadnego postępowania, aby żądać takich informacji – może to zrobić przed wszczęciem postępowania podatkowego – wynika z czwartkowego wyroku Naczelnego Sądu Administracyjnego
  • eksperci twierdzą, że to ingerencja w sferę prywatności podatników
  • chociaż Naczelny Sąd Administracyjny uzasadniając wyrok zauważył, że w orzecznictwie prezentowane są również inne, bardziej restrykcyjne poglądy w stosunku do uprawnień organów skarbowych, to dzisiejszy skład orzekający stanął po ich stronie
  • o co chodziło w sprawie – Naczelnik Małopolskiego Urzędu Celno-Skarbowego zwrócił się do spółki o udostępnienie i przekazanie informacji dotyczących transakcji zawieranych w okresie całego 2017 r. za pośrednictwem serwisu internetowego, będącego własnością spółki, zażądał przekazania wszelkich danych pozwalających na zidentyfikowanie użytkowników serwisu, w tym danych osobowych, adresów poczty elektronicznej, numerów rachunków bankowych, historii uznań i obciążeń kont prowadzonych dla użytkowników serwisu, zestawienie dokonanych transakcji, z uwzględnieniem adresów kryptowalutowych stron transakcji
  • Naczelnik powołując art. 45 ustawy o Krajowej Administracji Skarbowej wyjaśnił, że organy skarbowe są uprawnione do zbierania i wykorzystywania informacji o zdarzeniach, które mają bezpośredni wpływ na powstanie lub wysokość zobowiązania podatkowego – spółka odmówiła udostępniania informacji, a sprawa ostatecznie trafiła przed NSA

Źródło: https://www.prawo.pl/podatki/fiskus-moze-zadac-informacji-o-podatnikach-od-administratorow,517806.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 22.11.2022 r.
RODO aktualności
RODO aktualności – 08.11.2022 r.
RODO aktualności
RODO aktualności – 11.10.2022 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO