RODO aktualności – 28.09.2021 r.

• irlandzka Komisja Ochrony Danych, będąca czołowym organem regulacyjnym UE dla wielu firm posiadających siedzibę w Irlandii, postanowiła wszcząć dwa dochodzenia w sprawie nieprzestrzegania przez platformę przepisów RODO
• pierwsze z nich dotyczy „zgodności polityki TikToka z wymogami RODO dotyczącymi ochrony danych już w fazie projektowania i domyślnej ochrony danych, bo dotyczą one przetwarzania danych osobowych w kontekście ustawień platformy dla użytkowników poniżej 18 roku życia oraz weryfikacji wieku osób poniżej 13 roku życia”
• kontroli poddane zostanie również to, czy sposób przetwarzania danych przez platformę jest wystarczająco przejrzysty dla niepełnoletnich użytkowników.
• z kolei drugie dochodzenie ma na celu zbadanie zgodności zasad TikToka z postanowieniami RODO związanymi z przekazywaniem danych osobowych do krajów trzecich oraz przekazywania tych danych do Chin
• co ciekawe, Irlandzka Komisja Ochrony Danych została skrytykowana przez europejskich regulatorów z powodu podjęcia zbyt pochopnych kroków

Źródło: https://cyberdefence24.pl/irlandia-wszczela-dochodzenia-w-sprawie-ochrony-danych-na-tiktoku

• w najnowszym, wrześniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

WERYFIKOWANIE PRZEZ PRACODAWCĘ UPRAWNIEŃ PRACOWNIKA DO KIEROWANIA POJAZDAMI

• gdy do obowiązków pracownika należy prowadzenie służbowego pojazdu, celowe może być okresowe weryfikowanie przez pracodawcę jego uprawnień w tym zakresie
• pracodawca powinien jednak określić częstotliwość takiej kontroli, co powinno znaleźć swoje odzwierciedlenie w obowiązujących u niego regulaminach

DOPEŁNIANIE OBOWIĄZKU INFORMACYJNEGO PRZY WSZCZĘCIU POSTĘPOWANIA W DRUGIEJ INSTANCJI

• Wojewódzki Sąd Administracyjny w Warszawie podzielił opinię Prezesa UODO, że w zakresie prowadzenia postępowania administracyjnego pierwszej i drugiej instancji, komendant wojewódzki oraz Komendant Główny Policji są odrębnymi administratorami, zobowiązanymi do dopełnienia obowiązku informacyjnego

USŁUGI BANKOWE DLA PUP BEZ UMOWY POWIERZENIA

• powiatowy urząd pracy, przekazując bankowi listy bezrobotnych, którym mają być wypłacane świadczenia, nie powinien zawierać umowy powierzenia przetwarzania

POTWIERDZANIE ODBYCIA ZABIEGU FIZJOTERAPII DOMOWEJ

• w obecnym stanie prawnym dla potwierdzenia odbycia zabiegu fizjoterapii domowej nie można pobierać odcisku palca pacjenta

KLASYFIKACJA ZAWODÓW BEZ ABI

• z rozporządzenia w sprawie klasyfikacji zawodów i specjalności na potrzeby rynku pracy zniknie administrator bezpieczeństwa informacji (ABI)

KARY

• Holandia: TikTok ukarany za naruszenie prywatności dzieci
• Francja: MONSANTO ukarane za niepoinformowanie klientów o użyciu ich danych

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• zgodnie z nowym art. 6o ust. 1a ustawy z 13 września 1996 r. o utrzymaniu czystości i porządku w włodarze zyskali uprawnienia do tego, by w celu weryfikacji złożonych przez mieszkańców deklaracji śmieciowych skorzystać z baz danych gminnych jednostek organizacyjnych, w tym przedsiębiorstw wodociągowo-kanalizacyjnych
• przepis jest ogólnikowy i stawia w kłopocie zarówno włodarzy, jak i podmioty, które będą zobowiązane przekazać dane – z noweli nie wynika bowiem, jakich kategorii danych może żądać wójt
• obawy ekspertów związane z tym, że lakoniczność przepisów będzie dla administratorów kłopotem, podziela Monika Krasińska, dyrektor departamentu orzecznictwa i legislacji w Urzędzie Ochrony Danych Osobowych
• choć sam projekt nowelizacji był konsultowany z UODO, to rozwiązania prawne zakładające pozyskiwanie przez gminy danych o mieszkańcach od gminnych jednostek organizacyjnych pojawiły się na dalszym etapie procesu legislacyjnego i nie były oceniane przez UODO pod kątem ewentualnych ryzyk związanych z naruszeniem przepisów o ochronie danych osobowych
• nie była także przeprowadzona ocena skutków dla ochrony danych, a z naszych doświadczeń wynika, że istnieje duże ryzyko związane np. z łączeniem baz danych, które są prowadzone przez różne podmioty do realizacji różnych zadań
• UODO deklaruje, że będzie wnikliwie się przyglądać, jak będą one wykorzystywane w praktyce i kontrolować, czy odbywa się to z poszanowaniem zasad i gwarancji wynikających z RODO

Źródło: https://serwisy.gazetaprawna.pl/ekologia/artykuly/8246453,odpady-uodo-sprawdzi-jak-gminne-jednostki-przekazuja-dane.html

• CNIL przeprowadził w 2019 roku kontrolę w grupie AG2R LA MONDIALE – celem tego była weryfikacja zgodności operacji przetwarzania realizowanych w ramach jego zadania zarządzania emeryturami uzupełniającymi pracowników sektora prywatnego i jego działalnością ubezpieczeniową
• w trakcie kontroli i późniejszych wymian informacji CNIL stwierdził, że grupa ubezpieczeń wzajemnych AG2R LA MONDIALE (SGAM AG2R LA MONDIALE) przechowywała dane o milionach osób przez zbyt długi czas i nie wywiązywała się ze swoich obowiązków informacyjnych w kontekście akwizycji telefonicznych
• na podstawie tych elementów CNIL uznał, że firma nie zastosowała się do art. 5 ust. 1 e) oraz 13 i 14 RODO.
• spółka nie wdrożyła określonych przez siebie okresów przechowywania – w efekcie dane prawie 2000 potencjalnych klientów, którzy nie mieli żadnego kontaktu z firmą, były przechowywane dłużej niż trzy, pięć lat
• rozmowy telefoniczne wykonywane przez podmioty przetwarzające dane na rzecz spółki były nagrywane bez informowania osoby, z którą się kontaktowano o zasadzie nagrywania lub o prawie sprzeciwu wobec tego – osoby te nie miały możliwości uzyskania wyczerpujących informacji na temat przetwarzania ich danych

Źródło: https://edpb.europa.eu/news/national-news/2021/french-dpa-175-million-penalty-against-ag2r-la-mondiale_en

• CNIL przeprowadził w 2019 roku kontrolę w grupie AG2R LA MONDIALE – celem tego była weryfikacja zgodności operacji przetwarzania realizowanych w ramach jego zadania zarządzania emeryturami uzupełniającymi pracowników sektora prywatnego i jego działalnością ubezpieczeniową
• w trakcie kontroli i późniejszych wymian informacji CNIL stwierdził, że grupa ubezpieczeń wzajemnych AG2R LA MONDIALE (SGAM AG2R LA MONDIALE) przechowywała dane o milionach osób przez zbyt długi czas i nie wywiązywała się ze swoich obowiązków informacyjnych w kontekście akwizycji telefonicznych
• na podstawie tych elementów CNIL uznał, że firma nie zastosowała się do art. 5 ust. 1 e) oraz 13 i 14 RODO.
• spółka nie wdrożyła określonych przez siebie okresów przechowywania – w efekcie dane prawie 2000 potencjalnych klientów, którzy nie mieli żadnego kontaktu z firmą, były przechowywane dłużej niż trzy, pięć lat
• rozmowy telefoniczne wykonywane przez podmioty przetwarzające dane na rzecz spółki były nagrywane bez informowania osoby, z którą się kontaktowano o zasadzie nagrywania lub o prawie sprzeciwu wobec tego – osoby te nie miały możliwości uzyskania wyczerpujących informacji na temat przetwarzania ich danych

Źródło: https://edpb.europa.eu/news/national-news/2021/french-dpa-175-million-penalty-against-ag2r-la-mondiale_en

• władze litewskie stwierdziły, że urządzenia z Chin są niebezpieczne, ponieważ mają wbudowane funkcje służące do cenzury
• w informacjach przekazanych przez Litwinów została wymieniona m.in. firma Xiaomi
• chiński gigant odpiera zarzuty – firma podkreśla, że jej urządzenia nie cenzurują komunikacji dotyczy to treści, zarówno odczytywanych, jak i wysyłanych
• Xiaomi nigdy nie ograniczało i nie będzie ograniczać ani blokować osobistych działań użytkowników smartfonów, takich jak wyszukiwanie, dzwonienie, przeglądanie stron internetowych czy korzystanie z oprogramowania komunikacyjnego innych firm – czytamy w oświadczeniu
• W pełni szanujemy i chronimy prawa wszystkich użytkowników oraz przestrzegamy ogólnego rozporządzenia Unii Europejskiej o ochronie danych (RODO) – komunikuje producent smartfonów

Źródło: https://biznesalert.pl/xiaomi-odpiera-zarzuty-litwinow-przestrzegamy-rodo/

• „Szkolna RODO-wyprawka dla rodziców” to przygotowany przez UODO miniprzewodnik, który zawiera odpowiedzi na najczęściej zadawane przez rodziców (opiekuna prawnego) pytania o przetwarzanie danych osobowych uczniów, m.in. takie jak:

Czy szkoła i na jakiej podstawie może przetwarzać dane osobowe rodziców w dzienniku lekcyjnym?

• w przypadku prowadzenia przez szkoły dzienników lekcyjnych podstawą do przetwarzania danych jest przepis prawa

Czy rodzice innych uczniów mogą mieć wgląd w dzienniku elektronicznym do informacji dotyczących nie swojego dziecka?

• prowadzenie dziennika elektronicznego wymaga zastosowania odpowiednich zabezpieczeń, co oznacza, że dostęp do danych w nim zawartych mają tylko osoby uprawnione, np. rodzice uczniów – w zakresie, który dotyczy wyłącznie ich dziecka/dzieci, i osoby upoważnione (np. nauczyciele)

Jeśli budynek szkolny lub jego najbliższe otocznie jest monitorowany, to czy miejsca te powinny być oznaczone graficznie?

• tak, obowiązek ten wynika z przepisów oświatowych.

Z kim mogę w szkole porozmawiać o ochronie danych osobowych?

• jeśli szkoła ma wyznaczonego inspektora ochrony danych (IOD), to z nim najlepiej porozmawiać na temat obowiązujących przepisów, podstaw i celów, w których szkoła przetwarza dane osobowe uczniów

Czy szkoła może opublikować na stronie internetowej wyniki i osiągniecia uczniów zdobyte podczas różnych konkursów lub olimpiad?

• publikacja ogólnej informacji o wynikach, bez wyraźnego wskazania, który uczeń jaki wynik osiągnął, będzie możliwa bez uprzedniej zgody rodziców ucznia

Czy szkoła możne informować o osiągnięciach uczniów podczas uroczystości szkolonych?

• publiczne wyczytywanie w czasie uroczystości szkolnej imion i nazwisk uczniów wyróżnionych za wybitne osiągnięcia edukacyjne uznać należy za czynności dozwolone i niewymagające uprzedniej zgody rodziców ucznia – albo w przypadku ucznia pełnoletniego – przez samego ucznia

Czy szkoła ma prawo udostępnić informacje o postępach w nauce czy zachowaniu ucznia np. babci lub dziadkowi, których rodzice upoważnili do obioru danego ucznia ze szkoły?

• tylko osoby uprawnione otrzymają informacje o dziecku – każdorazowe udostępnienie danych dotyczących ucznia musi mieć podstawę w obowiązujących przepisach prawa, na które powinny się one powołać

Źródło: https://uodo.gov.pl/pl/138/2164

• nowe badanie pokazało tendencję do porzucania platform cyfrowych przez użytkowników z powodu wymogu podania zbyt dużej ilości danych osobowych – nie lubimy również, gdy logowanie do usługi jest uciążliwe
• badanie przeprowadzone przez Ping Identity pokazuje, w jaki sposób zmienia się sposób korzystania z sieci i wymagania internautów
• zdaniem firmy konsumenci coraz częściej doświadczają frustracji i porzucają markę, jeśli ta nie jest w stanie zrównoważyć wygody korzystania i prywatności
• użytkownicy nie wahają się szukać alternatyw, które zaoferują lepsze doświadczenia, co jest oczywiście ważną wiadomością dla firm
• z badania przeprowadzonego na grupie 3400 osób ze Stanów Zjednoczonych, Wielkiej Brytanii, Francji i Australii dowiedzieliśmy się, że aż 85 proc. klientów jest zainteresowanych tym, jak serwisy internetowe udostępniają ich dane osobowe
• aż 72 proc. uważa, że znalezienie takich informacji nie jest proste
• również 72 proc. ręcznie dostosowało ustawienia swojego profilu, aby kontrolować prywatność, natomiast 60 proc. badanych wskazało, że zrezygnowało co najmniej z jakiegoś konta właśnie z powodu na kwestię prywatności
• do tego 77 proc. ankietowanych zrezygnowało z zakładania konta z różnych powodów, w tym 40 proc. ze względu na żądanie zbyt dużej liczby danych osobowych

Źródło: https://www.komputerswiat.pl/aktualnosci/internet/internauci-porzucaja-serwisy-ktore-zadaja-zbyt-duzej-ilosci-danych-osobowych/4yrh6lp

• już w październiku rusza rządowy system e-faktur – docelowo faktury wystawiane będą wyłącznie elektronicznie i wszystkie trafiać będą na serwer Ministerstwa Finansów – już wkrótce system stanie się obowiązkowy dla wszystkich firm, a faktury papierowe zostaną całkowicie wyeliminowane
• nowelizacja ustawy o VAT zakłada wdrożenie Krajowego Systemu e-Faktur, który gromadzić będzie wszystkie faktury wystawiane przez polskich przedsiębiorców
• nowy system e-Faktur opiera się na wprowadzeniu elektronicznej faktury w postaci ustrukturyzowanego pliku, który tworzony będzie zgodnie z wyznaczonym przez ministerstwo standardem – taki wystandaryzowany plik wysyłany będzie nie tylko kontrahentowi, ale trafi również – już w momencie wystawienia – na serwer fiskusa
• system zostanie uruchomiony już 1 października 2021 roku – przez pierwsze trzy miesiące funkcjonować będzie tylko w trybie testowym, właściwy system e-faktur ruszy 1 stycznia 2022 roku i przez pierwszy rok jego wdrożenie w firmie będzie dobrowolne
• faktury dostępne w rządowej bazie danych nie ulegną zniszczeniu, przez co nie będzie już konieczności wydawania duplikatów faktur
• również sam podatnik nie będzie miał obowiązku przechowywania faktur, gdyż będą one przechowywane na serwerze Ministerstwa przez okres 10 lat
• nowy system na pewno wpłynie na wdrożone w podmiotach rozwiązania z zakresu ochrony danych osobowych – m.in. kwestie związane z retencją przetwarzanych danych oraz miejscem ich przechowywania i udostępniania

Źródło: https://zus.pox.pl/vat/e-faktury-juz-od-pazdziernika-nowe-zasady-fakturowania.htm