Co nie podoba się norweskiemu Regulatorowi w Facebooku? Czy TikTok działa zgodnie z RODO? Czego dowiesz się z wrześniowego newslettera UODO? Czy jednostki gminne w prawidłowy sposób pobierają dane o mieszkańcach? W jakich sytuacjach administrator danych ma prawo udostępniać zdjęcia przypadkowych osób? Co było przyczyną nałożenia kary dla francuskiej firmy AG2R LA MONDIALE? Jak Xiaomi zareagowało na zarzuty Litwinów? Czym jest RODO-wyprawka dla rodziców? Jaki wpływ na popularność serwisów internetowych ma ilość danych jakie zbierają nt. użytkowników? Jakie zmiany czekają nas w e-fakturowaniu?
MULTIMEDIA | |
---|---|
#RODOA [20.09.2021] | #RODOA [27.09.2021] |
Pobierz PDF | Pobierz PDF |
Norweski Urząd Ochrony Danych zdecydował się nie korzystać z Facebooka
- Jakie są zagrożenia prywatności związane z komunikacją za pośrednictwem strony na Facebooku? – norweski organ ochrony danych przeprowadził ocenę ryzyka i DPIA Facebooka w oparciu o obowiązki wynikające z przepisów o ochronie danych
- punktem wyjścia do oceny było wykorzystanie Facebooka w działaniach komunikacyjnych, a celem było założenie strony na Facebooku – pierwotnym i podstawowym celem raportu było umożliwienie podjęcia świadomej decyzji w tym zakresie
- organ doszedł do wniosku, że nie powinien wykorzystywać Facebooka w swoich działaniach komunikacyjnych – ryzyko naruszenia praw i wolności użytkowników związane z przetwarzaniem danych osobowych za pośrednictwem strony na Facebooku jest zbyt duże
- organ podkreśla, że jako właściciel strony na Facebooku nie byłby w stanie wdrożyć środków w celu zadowalającego złagodzenia tego ryzyka
- ustalono również, że organ nie będzie w wystarczającym stopniu zgodny z art. 26 RODO dotyczącym współadministrowania, ponieważ standardowe porozumienie między Facebookiem a nim jest niewystarczające
- norweski organ doszedł również do wniosku, że nie jest możliwe spełnienie wymagań art. 25 RODO w zakresie ochrony danych w fazie projektowania i domyślnej ochrony danych
Irlandia wszczęła dochodzenia w sprawie ochrony danych na TikToku
- irlandzka Komisja Ochrony Danych, będąca czołowym organem regulacyjnym UE dla wielu firm posiadających siedzibę w Irlandii, postanowiła wszcząć dwa dochodzenia w sprawie nieprzestrzegania przez platformę przepisów RODO
- pierwsze z nich dotyczy „zgodności polityki TikToka z wymogami RODO dotyczącymi ochrony danych już w fazie projektowania i domyślnej ochrony danych, bo dotyczą one przetwarzania danych osobowych w kontekście ustawień platformy dla użytkowników poniżej 18 roku życia oraz weryfikacji wieku osób poniżej 13 roku życia”
- kontroli poddane zostanie również to, czy sposób przetwarzania danych przez platformę jest wystarczająco przejrzysty dla niepełnoletnich użytkowników.
- z kolei drugie dochodzenie ma na celu zbadanie zgodności zasad TikToka z postanowieniami RODO związanymi z przekazywaniem danych osobowych do krajów trzecich oraz przekazywania tych danych do Chin
- co ciekawe, Irlandzka Komisja Ochrony Danych została skrytykowana przez europejskich regulatorów z powodu podjęcia zbyt pochopnych kroków
Źródło: https://cyberdefence24.pl/irlandia-wszczela-dochodzenia-w-sprawie-ochrony-danych-na-tiktoku
Wrześniowy numer newslettera UODO (1)
- w najnowszym, wrześniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:
WERYFIKOWANIE PRZEZ PRACODAWCĘ UPRAWNIEŃ PRACOWNIKA DO KIEROWANIA POJAZDAMI
- gdy do obowiązków pracownika należy prowadzenie służbowego pojazdu, celowe może być okresowe weryfikowanie przez pracodawcę jego uprawnień w tym zakresie
- pracodawca powinien jednak określić częstotliwość takiej kontroli, co powinno znaleźć swoje odzwierciedlenie w obowiązujących u niego regulaminach
DOPEŁNIANIE OBOWIĄZKU INFORMACYJNEGO PRZY WSZCZĘCIU POSTĘPOWANIA W DRUGIEJ INSTANCJI
- Wojewódzki Sąd Administracyjny w Warszawie podzielił opinię Prezesa UODO, że w zakresie prowadzenia postępowania administracyjnego pierwszej i drugiej instancji, komendant wojewódzki oraz Komendant Główny Policji są odrębnymi administratorami, zobowiązanymi do dopełnienia obowiązku informacyjnego
USŁUGI BANKOWE DLA PUP BEZ UMOWY POWIERZENIA
- powiatowy urząd pracy, przekazując bankowi listy bezrobotnych, którym mają być wypłacane świadczenia, nie powinien zawierać umowy powierzenia przetwarzania
Wrześniowy numer newslettera UODO (2)
POTWIERDZANIE ODBYCIA ZABIEGU FIZJOTERAPII DOMOWEJ
- w obecnym stanie prawnym dla potwierdzenia odbycia zabiegu fizjoterapii domowej nie można pobierać odcisku palca pacjenta
KLASYFIKACJA ZAWODÓW BEZ ABI
- z rozporządzenia w sprawie klasyfikacji zawodów i specjalności na potrzeby rynku pracy zniknie administrator bezpieczeństwa informacji (ABI)
KARY
- Holandia: TikTok ukarany za naruszenie prywatności dzieci
- Francja: MONSANTO ukarane za niepoinformowanie klientów o użyciu ich danych
Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod
UODO sprawdzi, jak gminne jednostki przekazują dane
- zgodnie z nowym art. 6o ust. 1a ustawy z 13 września 1996 r. o utrzymaniu czystości i porządku w włodarze zyskali uprawnienia do tego, by w celu weryfikacji złożonych przez mieszkańców deklaracji śmieciowych skorzystać z baz danych gminnych jednostek organizacyjnych, w tym przedsiębiorstw wodociągowo-kanalizacyjnych
- przepis jest ogólnikowy i stawia w kłopocie zarówno włodarzy, jak i podmioty, które będą zobowiązane przekazać dane – z noweli nie wynika bowiem, jakich kategorii danych może żądać wójt
- obawy ekspertów związane z tym, że lakoniczność przepisów będzie dla administratorów kłopotem, podziela Monika Krasińska, dyrektor departamentu orzecznictwa i legislacji w Urzędzie Ochrony Danych Osobowych
- choć sam projekt nowelizacji był konsultowany z UODO, to rozwiązania prawne zakładające pozyskiwanie przez gminy danych o mieszkańcach od gminnych jednostek organizacyjnych pojawiły się na dalszym etapie procesu legislacyjnego i nie były oceniane przez UODO pod kątem ewentualnych ryzyk związanych z naruszeniem przepisów o ochronie danych osobowych
- nie była także przeprowadzona ocena skutków dla ochrony danych, a z naszych doświadczeń wynika, że istnieje duże ryzyko związane np. z łączeniem baz danych, które są prowadzone przez różne podmioty do realizacji różnych zadań
- UODO deklaruje, że będzie wnikliwie się przyglądać, jak będą one wykorzystywane w praktyce i kontrolować, czy odbywa się to z poszanowaniem zasad i gwarancji wynikających z RODO
Słowacki organ nakazuje administratorowi usunięcie zbioru 88 zdjęć
- CNIL przeprowadził w 2019 roku kontrolę w grupie AG2R LA MONDIALE – celem tego była weryfikacja zgodności operacji przetwarzania realizowanych w ramach jego zadania zarządzania emeryturami uzupełniającymi pracowników sektora prywatnego i jego działalnością ubezpieczeniową
- w trakcie kontroli i późniejszych wymian informacji CNIL stwierdził, że grupa ubezpieczeń wzajemnych AG2R LA MONDIALE (SGAM AG2R LA MONDIALE) przechowywała dane o milionach osób przez zbyt długi czas i nie wywiązywała się ze swoich obowiązków informacyjnych w kontekście akwizycji telefonicznych
- na podstawie tych elementów CNIL uznał, że firma nie zastosowała się do art. 5 ust. 1 e) oraz 13 i 14 RODO.
- spółka nie wdrożyła określonych przez siebie okresów przechowywania – w efekcie dane prawie 2000 potencjalnych klientów, którzy nie mieli żadnego kontaktu z firmą, były przechowywane dłużej niż trzy, pięć lat
- rozmowy telefoniczne wykonywane przez podmioty przetwarzające dane na rzecz spółki były nagrywane bez informowania osoby, z którą się kontaktowano o zasadzie nagrywania lub o prawie sprzeciwu wobec tego – osoby te nie miały możliwości uzyskania wyczerpujących informacji na temat przetwarzania ich danych
Francja: kara 1,75 mln EUR
- CNIL przeprowadził w 2019 roku kontrolę w grupie AG2R LA MONDIALE – celem tego była weryfikacja zgodności operacji przetwarzania realizowanych w ramach jego zadania zarządzania emeryturami uzupełniającymi pracowników sektora prywatnego i jego działalnością ubezpieczeniową
- w trakcie kontroli i późniejszych wymian informacji CNIL stwierdził, że grupa ubezpieczeń wzajemnych AG2R LA MONDIALE (SGAM AG2R LA MONDIALE) przechowywała dane o milionach osób przez zbyt długi czas i nie wywiązywała się ze swoich obowiązków informacyjnych w kontekście akwizycji telefonicznych
- na podstawie tych elementów CNIL uznał, że firma nie zastosowała się do art. 5 ust. 1 e) oraz 13 i 14 RODO.
- spółka nie wdrożyła określonych przez siebie okresów przechowywania – w efekcie dane prawie 2000 potencjalnych klientów, którzy nie mieli żadnego kontaktu z firmą, były przechowywane dłużej niż trzy, pięć lat
- rozmowy telefoniczne wykonywane przez podmioty przetwarzające dane na rzecz spółki były nagrywane bez informowania osoby, z którą się kontaktowano o zasadzie nagrywania lub o prawie sprzeciwu wobec tego – osoby te nie miały możliwości uzyskania wyczerpujących informacji na temat przetwarzania ich danych
Xiaomi odpiera zarzuty Litwinów: przestrzegamy RODO
- władze litewskie stwierdziły, że urządzenia z Chin są niebezpieczne, ponieważ mają wbudowane funkcje służące do cenzury
- w informacjach przekazanych przez Litwinów została wymieniona m.in. firma Xiaomi
- chiński gigant odpiera zarzuty – firma podkreśla, że jej urządzenia nie cenzurują komunikacji dotyczy to treści, zarówno odczytywanych, jak i wysyłanych
- Xiaomi nigdy nie ograniczało i nie będzie ograniczać ani blokować osobistych działań użytkowników smartfonów, takich jak wyszukiwanie, dzwonienie, przeglądanie stron internetowych czy korzystanie z oprogramowania komunikacyjnego innych firm – czytamy w oświadczeniu
- W pełni szanujemy i chronimy prawa wszystkich użytkowników oraz przestrzegamy ogólnego rozporządzenia Unii Europejskiej o ochronie danych (RODO) – komunikuje producent smartfonów
Źródło: https://biznesalert.pl/xiaomi-odpiera-zarzuty-litwinow-przestrzegamy-rodo/
Szkolna RODO-wyprawka dla rodziców (1)
- „Szkolna RODO-wyprawka dla rodziców” to przygotowany przez UODO miniprzewodnik, który zawiera odpowiedzi na najczęściej zadawane przez rodziców (opiekuna prawnego) pytania o przetwarzanie danych osobowych uczniów, m.in. takie jak:
Czy szkoła i na jakiej podstawie może przetwarzać dane osobowe rodziców w dzienniku lekcyjnym?
- w przypadku prowadzenia przez szkoły dzienników lekcyjnych podstawą do przetwarzania danych jest przepis prawa
Czy rodzice innych uczniów mogą mieć wgląd w dzienniku elektronicznym do informacji dotyczących nie swojego dziecka?
- prowadzenie dziennika elektronicznego wymaga zastosowania odpowiednich zabezpieczeń, co oznacza, że dostęp do danych w nim zawartych mają tylko osoby uprawnione, np. rodzice uczniów – w zakresie, który dotyczy wyłącznie ich dziecka/dzieci, i osoby upoważnione (np. nauczyciele)
Jeśli budynek szkolny lub jego najbliższe otocznie jest monitorowany, to czy miejsca te powinny być oznaczone graficznie?
- tak, obowiązek ten wynika z przepisów oświatowych.
Z kim mogę w szkole porozmawiać o ochronie danych osobowych?
- jeśli szkoła ma wyznaczonego inspektora ochrony danych (IOD), to z nim najlepiej porozmawiać na temat obowiązujących przepisów, podstaw i celów, w których szkoła przetwarza dane osobowe uczniów
Szkolna RODO-wyprawka dla rodziców (2)
Czy szkoła może opublikować na stronie internetowej wyniki i osiągniecia uczniów zdobyte podczas różnych konkursów lub olimpiad?
- publikacja ogólnej informacji o wynikach, bez wyraźnego wskazania, który uczeń jaki wynik osiągnął, będzie możliwa bez uprzedniej zgody rodziców ucznia
Czy szkoła możne informować o osiągnięciach uczniów podczas uroczystości szkolonych?
- publiczne wyczytywanie w czasie uroczystości szkolnej imion i nazwisk uczniów wyróżnionych za wybitne osiągnięcia edukacyjne uznać należy za czynności dozwolone i niewymagające uprzedniej zgody rodziców ucznia – albo w przypadku ucznia pełnoletniego – przez samego ucznia
Czy szkoła ma prawo udostępnić informacje o postępach w nauce czy zachowaniu ucznia np. babci lub dziadkowi, których rodzice upoważnili do obioru danego ucznia ze szkoły?
- tylko osoby uprawnione otrzymają informacje o dziecku – każdorazowe udostępnienie danych dotyczących ucznia musi mieć podstawę w obowiązujących przepisach prawa, na które powinny się one powołać
Źródło: https://uodo.gov.pl/pl/138/2164
Internauci porzucają serwisy, które żądają zbyt dużej ilości danych osobowych
- nowe badanie pokazało tendencję do porzucania platform cyfrowych przez użytkowników z powodu wymogu podania zbyt dużej ilości danych osobowych – nie lubimy również, gdy logowanie do usługi jest uciążliwe
- badanie przeprowadzone przez Ping Identity pokazuje, w jaki sposób zmienia się sposób korzystania z sieci i wymagania internautów
- zdaniem firmy konsumenci coraz częściej doświadczają frustracji i porzucają markę, jeśli ta nie jest w stanie zrównoważyć wygody korzystania i prywatności
- użytkownicy nie wahają się szukać alternatyw, które zaoferują lepsze doświadczenia, co jest oczywiście ważną wiadomością dla firm
- z badania przeprowadzonego na grupie 3400 osób ze Stanów Zjednoczonych, Wielkiej Brytanii, Francji i Australii dowiedzieliśmy się, że aż 85 proc. klientów jest zainteresowanych tym, jak serwisy internetowe udostępniają ich dane osobowe
- aż 72 proc. uważa, że znalezienie takich informacji nie jest proste
- również 72 proc. ręcznie dostosowało ustawienia swojego profilu, aby kontrolować prywatność, natomiast 60 proc. badanych wskazało, że zrezygnowało co najmniej z jakiegoś konta właśnie z powodu na kwestię prywatności
- do tego 77 proc. ankietowanych zrezygnowało z zakładania konta z różnych powodów, w tym 40 proc. ze względu na żądanie zbyt dużej liczby danych osobowych
E-faktury już od października – nowe zasady fakturowania a RODO
- już w październiku rusza rządowy system e-faktur – docelowo faktury wystawiane będą wyłącznie elektronicznie i wszystkie trafiać będą na serwer Ministerstwa Finansów – już wkrótce system stanie się obowiązkowy dla wszystkich firm, a faktury papierowe zostaną całkowicie wyeliminowane
- nowelizacja ustawy o VAT zakłada wdrożenie Krajowego Systemu e-Faktur, który gromadzić będzie wszystkie faktury wystawiane przez polskich przedsiębiorców
- nowy system e-Faktur opiera się na wprowadzeniu elektronicznej faktury w postaci ustrukturyzowanego pliku, który tworzony będzie zgodnie z wyznaczonym przez ministerstwo standardem – taki wystandaryzowany plik wysyłany będzie nie tylko kontrahentowi, ale trafi również – już w momencie wystawienia – na serwer fiskusa
- system zostanie uruchomiony już 1 października 2021 roku – przez pierwsze trzy miesiące funkcjonować będzie tylko w trybie testowym, właściwy system e-faktur ruszy 1 stycznia 2022 roku i przez pierwszy rok jego wdrożenie w firmie będzie dobrowolne
- faktury dostępne w rządowej bazie danych nie ulegną zniszczeniu, przez co nie będzie już konieczności wydawania duplikatów faktur
- również sam podatnik nie będzie miał obowiązku przechowywania faktur, gdyż będą one przechowywane na serwerze Ministerstwa przez okres 10 lat
- nowy system na pewno wpłynie na wdrożone w podmiotach rozwiązania z zakresu ochrony danych osobowych – m.in. kwestie związane z retencją przetwarzanych danych oraz miejscem ich przechowywania i udostępniania
Źródło: https://zus.pox.pl/vat/e-faktury-juz-od-pazdziernika-nowe-zasady-fakturowania.htm
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.