RODO aktualności – 31.05.2022 r.

Czy administrator może przerzucać swoje obowiązki na IOD? Jakie są wytyczne EROD w sprawie naliczania kar RODO? Jak doszło do wycieku danych we Wronkach? Czy funkcjonowanie systemów rozpoznawania twarzy powinno zostać ograniczone? Czy i kiedy powstanie rejestr ciąż? Czego dowiemy się z majowego newslettera UODO? Czego dotyczy i co zawiera zmodernizowana Konwencja 108+? Czy UODO nadal stosuje taryfę ulgową dla firm, które utraciły dostęp do danych? Czy nałożenie obowiązku ubezpieczenia medycznego narusza prywatność? Czy nagranie z wesela może być udostępniane publicznie? Jak ujawnienie zarobków w branży finansowej narusza prywatność pracowników? Czego dotyczy najnowsze naruszenie w Islandii?

MULTIMEDIA

#RODOA [23.05.2022]
#RODOA [30.05.2022]
Pobierz PDFPobierz PDF

Omówienie RODO aktualności na YouTube…

… albo w formie podcastu

Czy administrator może przerzucać swoje obowiązki na IOD?

  • UODO konsekwentnie wskazuje, że do zadań inspektora ochrony danych należy m.in. monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk danego administratora, a także nadzorowanie prawidłowego wykonywania wynikających z nich obowiązków, doradzanie i podnoszenie świadomości w tym zakresie
  • dlatego IOD nie powinien być osobą, która wyręcza administratora w realizacji należących do niego zadań – mogłoby to prowadzić do powstania konfliktu interesów, którego występowania zakazuje w odniesieniu do inspektorów art. 38 ust. 6 RODO
  • potwierdzeniem powyższego jest jedna z decyzji, w której organ nadzorczy udzielił upomnienia podmiotowi, który zobowiązał IOD do nadawania pracownikom upoważnień do przetwarzania danych osobowych (sygn. sprawy ZWAD.405.31.331.2019)
  • kształtując zakres obowiązków IOD warto pamiętać, że inspektor nie powinien realizować zadań, które mogą stać się następnie przedmiotem dokonywania przez niego czynności monitorowania ani podejmować decyzji w zakresie celów i środków dotyczących przetwarzania i zabezpieczania danych

Źródło: https://uodo.gov.pl/pl/225/2374

Harmonizacja metodologii nakładania kar pieniężnych na poziomie EROD

  • EROD przyjęła wytyczne w sprawie obliczania administracyjnych kar pieniężnych – zostaną teraz skierowane do konsultacji publicznych
  • wytyczne harmonizują one stosowanie metod wykorzystywanych przez organy ochrony danych
  • w wytycznych określono 5-etapową metodologię obliczania wysokości kary:
    1. organy muszą ustalić, czy dana sprawa dotyczy jednego lub większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego lub wielu naruszeń
    2. organy muszą opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę
    3. organy muszą wziąć pod uwagę czynniki obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej, w odniesieniu do których EROD zapewnia spójną interpretację
    4. czwartym krokiem jest określenie maksymalnych pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone
    5. organy muszą przeanalizować, czy obliczona kwota końcowa spełnia wymogi dotyczące skuteczności, odstraszającego charakteru i proporcjonalności, czy też konieczne są dalsze korekty kwoty

Źródło: https://uodo.gov.pl/pl/138/2383 https://www.prawo.pl/biznes/kary-za-naruszanie-danych-osobowych-w-ue-bedzie-harmonizacja,515196.html

Wyciek danych osobowych w urzędzie miasta – skopiowano dane na pendrive

  • Burmistrz Miasta i Gminy Wronki Mirosław Wieczór poinformował, że w dniach 9-12 maja doszło do wykonania nieautoryzowanej kopii danych osobowych z komputera służbowego przez jednego z pracowników Urzędu Miasta i Gminy Wronki
  • w związku z tym, że 12 maja 2022 r. pendrive z danymi został zwrócony przez osobę trzecią, uznano, że mogło nastąpić ich nieuprawnione przejęcie
  • wśród dokumentów, które zostały wyprowadzone poza Urząd Miasta i Gminy Wronki, znajdują się sprawy związane z mieszkaniami komunalnymi i socjalnymi (rozliczenia ścieków, rozliczenia wody, rozliczenia czynszów, rozliczenia energii elektrycznej), mieszkańcami wspólnot (rozliczenia), pisma do mieszkańców (informacje o rozliczeniach, informacje o zmianach w opłatach, wezwania do zapłaty, zwrot wadium, o zwrot lokalu, aneksy do umów, przyznanie mieszkania z zasobów Gminy Wronki), zestawienia lokali mieszkaniowych i umowy użyczenia boisk sportowych
  • dane zawarte we wskazanych dokumentach ograniczają się do imion, nazwisk, adresów zamieszkania. Sporadycznie obejmują również numery kont bankowych i numery PESEL
  • o incydencie powiadomiono Prezesa Urzędu Ochrony Danych Osobowych

Źródło: https://www.prawo.pl/samorzad/wyciek-danych-osobowych-we-wronkach-skopiowano-dane-na-pendrive,515259.html

EROD konsultuje ograniczenia dla systemów rozpoznawania twarzy

  • Europejska Rada Ochrony Danych przyjęła wytyczne w sprawie technologii rozpoznawania twarzy w dziedzinie egzekwowania prawa – dokument zostanie teraz skierowany do konsultacji publicznych
  • wytyczne zawierają wskazówki dla unijnych i krajowych ustawodawców, a także dla organów ścigania, dotyczące wdrażania i stosowania systemów technologii rozpoznawania twarzy
  • narzędzia rozpoznawania twarzy powinny być stosowane w zakresie w jakim są one konieczne i proporcjonalne
  • w wytycznych EROD ponawia apel o zakaz stosowania technologii rozpoznawania twarzy w pewnych przypadkachw szczególności EROD uważa, że należy wprowadzić zakaz:
    1. zdalnej identyfikacji biometrycznej osób w przestrzeniach publicznych,
    2. systemów rozpoznawania twarzy kategoryzujących osoby na podstawie ich danych biometrycznych w klastry według pochodzenia etnicznego, płci, orientacji politycznej lub seksualnej lub innych przyczyn dyskryminacji,
    3. rozpoznawania twarzy lub podobnych technologii w celu wyciągania wniosków na temat stanu emocjonalnego osoby fizycznej,
    4. przetwarzania danych w kontekście egzekwowania prawa, które opierałoby się na bazie danych opierającej się na gromadzeniu danych na skalę masową i w sposób niedyskryminujący, np. poprzez tzw. „scraping” (wyodrębnianie) fotografii i zdjęć twarzy dostępnych online

Źródło: https://www.prawo.pl/prawo/systemy-rozpoznawania-twarzy-ue-konsultuje-ograniczenia,515198.html

Rejestr ciąż prawie gotowy

  • pod rozporządzeniem wprowadzającym rejestr ciąż brakuje już tylko podpisu Ministra Zdrowia – chodzi o projekt rozporządzenia w sprawie szczegółowego zakresu danych zdarzenia medycznego przetwarzanego w systemie informacji oraz sposobu i terminów przekazywania tych danych do Systemu Informacji Medycznej
  • zgodnie z projektem podmiot wykonujący świadczenia zdrowotne, ma podawać do systemu: informacje o potwierdzonym wyniku grupy krwi, o ile usługodawca uzyska je w związku z udzielaniem świadczenia zdrowotnego lub realizacją istotnej procedury medycznej oraz informację o wyrobach medycznych, alergiach i ciąży, o ile usługodawca uzyska je w związku z udzielaniem świadczenia zdrowotnego lub realizacją istotnej procedury medycznej
  • do informacji w systemie dostęp będą mieli tylko wybrani pracownicy medyczni, a w każdej innej sytuacji, żeby poznać informacje dotyczące danej osoby, potrzebna będzie jej zgoda
  • uprawnienia sądów czy prokuratury do żądania udostępnienia informacji zawartych w SIM nie mogą być stosowane w sposób dowolny, a wyłącznie zgodnie z obowiązującymi przepisami prawa, tym samym ewentualne udostępnienie danych może mieć miejsce jedynie w ramach toczącego się postępowania
  • prawnicy oraz Fundacja Panoptykon od początku zwracali uwagę, że rejestr jest wprowadzany rozporządzeniem, choć powinien ustawą – rozszerzenie w drodze rozporządzenia zakresu danych jest próbą obejścia zasady wyłączności ustawy w odniesieniu do danych, które mogą być przetwarzane przez władze publiczne, a jeśli rozporządzenie zostanie wydane, będzie niezgodnie z Konstytucją i RODO

Źródło: https://www.prawo.pl/zdrowie/rejestr-ciaz-projekt-w-sprawie-sim,515231.html

Majowy newsletter UODO (1)

  • w kwietniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

PREZES UODO NIE MOŻE NAKAZAĆ UJAWNIENIA DANYCH OSOBOWYCH OSOBIE TRZECIEJ

  • w aktualnym stanie prawnym Prezes UODO nie ma uprawnień do nakazania administratorowi lub podmiotowi przetwarzającemu udostępnienia danych osobowych osobie trzeciej

WYKORZYSTYWANIE ZWOLNIENIA LEKARSKIEGO PRZEZ PRACOWNIKA – KONTROLA FIRMY ZEWNĘTRZNEJ

  • pracodawca ma możliwość zlecenia podmiotowi zewnętrznemu przeprowadzenia kontroli wykorzystania zwolnienia lekarskiego przez pracownika
  • ważne jest jednak, by udostępnienie jego danych osobowych odbyło się na podstawie umowy powierzenia i z poszanowaniem zasady minimalizacji danych
  • osoby przeprowadzające kontrolę powinny też mieć imienne upoważnienie, które uprawnia do jej wykonywania

DO PRACY PRZY WYTWARZANIU LUB HANDLU BRONIĄ I AMUNICJĄ POTRZEBNA POZYTYWNA OPINIA POLICJI

  • przepisy szczególne nakładają na przedsiębiorców obowiązek weryfikacji pracowników dopuszczonych do pracy przy wytwarzaniu materiałów wybuchowych, broni, amunicji oraz wyrobów o przeznaczeniu wojskowym lub policyjnym, jak również przy ich obrocie

Majowy newsletter UODO (2)

KARY

  • Belgia: kara za kontrole temperatury na lotnisku w Brukseli w ramach walki z COVID-19
  • Irlandia: kara dla banku m.in. za zaniedbania w zakresie bezpieczeństwa przetwarzania
  • Szwecja: problemy z komunikacją doprowadziły do ukarania banku
  • Hiszpania: operatorów telefonii komórkowej ukarano za utratę poufności związaną z duplikowaniem kart SIM

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod 

Europejskie organy ochrony danych wzywają do ratyfikacji Konwencji 108+

  • podczas 30. Konferencji Europejskich Organów Ochrony Danych jej członkowie przyjęli rezolucję w sprawie przyspieszenia ratyfikacji Konwencji 108+, której celem jest ochrona prywatności obywateli w nowej erze cyfrowej
  • w drugiej rezolucji organy przyjęły również podstawowe założenia dotyczące kontynuacji Konferencji
  • Konwencja 108, czyli Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, jest jedynym prawnie wiążącym traktatem na szczeblu międzynarodowym o ochronie danych osobowych
  • Konwencja została zmodernizowana w maju 2018 r. w drodze protokołu zmieniającego i bardzo ważne jest, aby ten wyjątkowy instrument został szybko wprowadzony w życie
  • dzięki wyważonym standardom zmodernizowana konwencja ustanawia stopień ochrony osób fizycznych w stale rozwijającej się erze cyfrowej, aby w pełni korzystać z prawa do ochrony danych, a jednocześnie ułatwić swobodny przepływ danych z korzyścią dla naszych społeczeństw, gospodarek i zrównoważonego rozwoju
  • podczas Konferencji organy przyjęły drugą Rezolucję w sprawie wizji, misji oraz Grupy Sterującej Wiosennej Konferencji, zapewniając, że będzie ona nadal skutecznie realizowana we wszystkich priorytetowych wspólnych kwestiach przez europejskie organy ochrony danych

Źródło: https://uodo.gov.pl/pl/138/2388

Nie będzie taryfy ulgowej dla firm naruszających RODO

  • nie tylko firmy, z których wyciekły dane, lecz także te, które utraciły do nich dostęp, muszą zacząć się liczyć z karami finansowymi – zapowiada Urząd Ochrony Danych Osobowych
  • dotychczas nakładane kary dotyczyły wycieków danych, w przypadku utraty dostępu do bazy UODO poprzestawał na upomnieniu
  • chodzi zwłaszcza o sytuacje, gdy system informatyczny zostaje zainfekowany wirusem typu ransomware, który szyfruje dostęp do całych baz, a niekiedy ich kopii zapasowych, haker, który żąda zapłaty za odszyfrowanie, nie ma do nich dostępu, ale administrator również – to także naruszenie RODO, ale dotychczas nie było karane finansowo
  • Czas kończyć z taryfą ulgową. Administratorzy także w takich sytuacjach mogą się spodziewać nakładania kar pieniężnych – zapowiedział Jacek Młotkiewicz, dyrektor departamentu kontroli i naruszeń UODO
  • powodem kar finansowych nakładanych przez UODO jest również brak współpracy administratorów z organem – chodzi głównie o nieodpowiadanie na pisma i nieudzielanie informacji
  • w marcu UODO wysłał do administratorów ankietę zawierającą 27 pytań dotyczących prawidłowego wyznaczenia i funkcjonowania IOD
  • Niestety część administratorów podeszła do niej w sposób lekceważący, odpowiadając lakonicznie. W przypadku niektórych zostały podjęte decyzje o przeprowadzeniu kontroli. Muszę też przyznać, że zastanawiamy się, czy nie potraktować tego jako brak współpracy z organem – ostrzegł Jacek Młotkiewicz

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8426057,nie-bedzie-taryfy-ulgowej-dla-firm-naruszajacych-rodo.html

Strasburg: Obowiązkowe ubezpieczenie medyczne uzasadnioną ingerencją w prywatność

  • nałożenie na osobę obowiązku wykupienia podstawowego ubezpieczenia zdrowotnego nie stanowi naruszenia prawa do poszanowania życia prywatnego ani naruszenia prawa do poszanowania mienia ubezpieczonego – uznał Europejski Trybunał Praw Człowieka
  • zdaniem Trybunału, nawet jeśli doszło do naruszenia tych praw, to ingerencja ta jest jednak proporcjonalna i uzasadniona
  • skargę do Trybunału wniósł obywatel Niderlandów w związku z powszechnym obowiązkiem posiadania przynajmniej podstawowego ubezpieczenia zdrowotnego, które obejmuje, między innymi, świadczenia medyczne związane z konwencjonalną medycyną, leczeniem pierwszego kontaktu i leczeniem specjalistycznym oraz hospitalizacją
  • istnieje również możliwość dokupienia ubezpieczenie dodatkowego, które obejmuje na przykład leczenie homeopatyczne
  • skarżący zakwestionował istnienie obowiązku i odmówił opłacania ubezpieczenia podstawowego – krajowa kasa chorych wykupiła ubezpieczenie za niego i obciążyła go kosztami
  • przed Trybunałem skarżący zarzucał, iż taki stan rzeczy stanowił, między innymi, naruszenie m.in. jego prawa do poszanowania życia prywatnego z art. 8 Konwencji o prawach człowieka

Źródło: https://www.prawo.pl/zdrowie/obowiazkowe-ubezpieczenie-medyczne-wg-etpc-nie-narusza-prawa-do,515351.html

Film z weselnej zabawy powinien zostać w rodzinie

  • na Youtube można znaleźć sporo filmów z wesel – zwykle udostępniane są przez profesjonalne studia lub osoby zajmujące się prowadzeniem takich imprez, w ten sposób przedsiębiorcy promują swoje usługi
  • zdaniem ekspertów gości przede wszystkim trzeba poinformować, że wesele jest nagrywane – nowożeńcy, decydując się na zawarcie umowy umożliwiającej przedsiębiorcy korzystanie z filmów w celach promocyjnych, powinni podpisać umowę, a w niej wskazać, na jakich zasadach będzie dokonywane nagranie wesela, najlepiej wyraźnie określając części imprezy, które ewentualnie mogą być nie tylko nagrane, ale i nagranie to może być rozpowszechniane
  • w polskim prawie nie ma czegoś takiego, jak zbiorowe wyrażenie zezwolenia na rozpowszechnianie wizerunku, nie można więc wpisać do umowy z osobą sporządzającą nagranie, że zgadzamy się „w imieniu własnym i naszych gości” na rozpowszechnianie nagrań
  • zezwolenie musi być świadome, dlatego osoba, która go udziela, powinna znać okoliczności, w jakich film będzie rozpowszechniany
  • o ile w przypadku nowożeńców film nagrywany jest na potrzeby domowe, to już fotograf, czy DJ wykorzystuje materiały w celach zawodowych – więc ma w związku z tym dodatkowe obowiązki wynikające z RODO, ponieważ w przypadku wykorzystywania nagrań na własne potrzeby, np. poprzez ich zamieszczenie na kanale YouTube promującym ich usługi, czy ich użycie przy tworzeniu portfolio trzeba liczyć się z tym, że takim przedsiębiorcom przypisać będzie można status administratora, z którym wiążę się konieczność dopełnienia procedur z zakresu ochrony danych osobowych

Źródło: https://www.prawo.pl/prawo/film-z-wesela-a-prawo-do-wizerunku,515394.html

Ujawnianie zarobków w branży finansowej może naruszać prywatność

  • zgodnie z przygotowywanymi przepisami, od 1 stycznia 2023 r. jednostki sektora finansów publicznych mają prowadzić jawny rejestr umów wszystkich pracowników wraz z wynagrodzeniami
  • zdaniem Rzecznika Praw Obywatelskich może to naruszać ich prawo do prywatności
  • niepokój RPO budzi też brak ustawowej podstawy do uregulowania wzoru rejestru umów w drodze rozporządzenia
  • obowiązek taki wprowadza art. 12 pkt 3 ustawy uchwalonej 12 maja 2022 r. przez Sejm o zmianie ustawy o podatku dochodowym od osób fizycznych oraz niektórych innych ustaw
  • Rzecznik stwierdza, że podjął sprawę jawnego rejestru umów, prowadzonego przez jednostki sektora finansów publicznych, po skargach obywateli
  • ustawa przewiduje szeroki zakres informacji, udostępnianych w rejestrze, zarówno podmiotowo – umowy wszystkich pracowników, jak i przedmiotowo – imię i nazwisko, wartość wynagrodzenia
  • mimo że przyczynia się to do transparentności wydatków publicznych oraz zapewnienia dostępu do informacji publicznej, to jednocześnie budzi uzasadnione obawy społeczeństwa co do możliwości naruszenia prawa do prywatności pracowników jednostek sektora finansów publicznych

Źródło: https://www.prawo.pl/kadry/jawnosc-zarobkow-w-branzy-finansowej-moze-naruszac-prywatnosc,515283.html

Islandia: kary za nieprzestrzeganie przepisów RODO (1)

7 200 EUR dla Harpa

  • islandzki organ nadzorczy otrzymał skargę dotyczącą pobrania numeru identyfikacyjnego i daty urodzenia skarżącego przez Salę Koncertową i Centrum Konferencyjne Harpa w związku z zakupem przez niego biletów drogą elektroniczną
  • skarga dotyczyła przetwarzania, które miało miejsce przed pandemią COVID-19 na Islandii, a więc przed ustaleniem zasad, które wymagały rejestracji danych osobowych w związku z uczestnictwem w wydarzeniu
  • organ uznał, że nie jest konieczne zbieranie informacji o numerze identyfikacyjnym skarżącego i dacie urodzenia w celu wręczenia mu biletu, gdyż bez niego możliwe byłoby wykonanie umowy zakupu – przetwarzanie było zatem niezgodne z prawem i z zachowaniem zasad dotyczących przetwarzania danych osobowych dotyczących legalności, rzetelności, przejrzystości i minimalizacji danych
  • Harpa otrzymała polecenie zaprzestania zbierania informacji o numerach identyfikacyjnych i datach urodzenia w związku z nabywaniem przez osoby fizyczne biletów na imprezy organizowane przez firmę oraz usunięcia dostępnych informacji, które zostały zebrane w celu ich identyfikacji
  • Harpa została ukarane grzywną w wysokości 1 miliona ISK (ok. 7.200 euro)

Źródło: https://edpb.europa.eu/news/national-news/2022/icelandic-sa-fine-imposed-harpa-concert-hall-collection-id-number-and-date_en

Islandia: kary za nieprzestrzeganie przepisów RODO (2)

10 700 EUR dla HEI ehf.

  • do islandzkiego organu została złożona skarga dotycząca wykorzystania adresu e-mail skarżącego w HEI ehf., medycznego biura podróży w Islandii, jak również rozpatrzenia przez spółkę wniosku skarżącego o dostęp do danych
  • pracownik HEI ehf. uzyskał adresy e-mail skarżącego i kilku innych lekarzy, logując się na wewnętrznej stronie internetowej Islandzkiego Stowarzyszenia Medycznego, wykorzystując dostęp lekarza, który był członkiem rodziny pracownika
  • HEI wykorzystała listę mailingową do wysłania ukierunkowanego e-maila do lekarzy, w tym do skarżącego
  • islandzki organ ochrony danych uznał, że chociaż HEI uznała się za upoważnioną do korzystania z wykazu, w sprawie nie było nic, co dowodziłoby, że przedsiębiorstwo potwierdziło zgodność z prawem tego przetwarzania
  • ponadto wniosek skarżącego o dostęp do danych nie został rozpatrzony zgodnie z prawem
  • po tym, jak skarżący zażądał dostępu do swoich danych, firma usunęła jego dane, w związku z tym firma nie mogła odpowiedzieć na pytania islandzkiego organu dotyczące liczby lekarzy znajdujących się na liście mailingowej
  • HEI ehf. została ukarana grzywną w wysokości 1,5 miliona ISK (około 10 700 euro)

Źródło: https://edpb.europa.eu/news/national-news/2022/icelandic-sa-hei-medical-travel-agency-fined-unlawful-use-e-mail-address_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 27.02.2024 r.
RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO