RODO aktualności – 8.01.2025 r.

• Kontekst sprawy: Skarżący, prowadzący spółkę cywilną, złożyli skargę do Prezesa UODO, wskazując, że nieprawdziwe informacje o ich rzekomych wierzytelnościach są dostępne na stronie internetowej. Wskazano też, kto – zdaniem Skarżących – jest administratorem tych danych.
• Decyzja Prezesa UODO:
  • Postępowanie zostało umorzone z dwóch powodów:
  • Administrator wskazany przez Skarżących oświadczył, że obecnie nie przetwarza ich danych ani informacji o rzekomym długu.
  • Polityka prywatności oraz regulamin strony wskazywały, że administratorem danych nie jest wskazany podmiot, lecz H. Sp. z o.o., a ta z kolei nie jest administratorem danych dłużników, lecz jedynie podmiotem przetwarzającym dane na rzecz wierzycieli.
• Zastrzeżenia WSA w Warszawie:
  • Sąd stwierdził, że decyzja Prezesa UODO była przedwczesna, ponieważ nie wyjaśniono wszystkich kluczowych okoliczności sprawy.
  • Zwrócono uwagę, że wątpliwości dotyczące właściciela strony internetowej na wskazany dzień (grudzień 2021 r.) nie zostały rozwiane przez regulamin oraz politykę prywatności.
  • Podkreślono, że strona internetowa była opatrzona firmą przedsiębiorcy „H.”, co sugeruje powiązanie, które wymaga dalszego wyjaśnienia.
  • Sąd skrytykował też brak ponownego wezwania na właściwy adres w toku postępowania.
• Kluczowe wnioski:
  • Prezes UODO powinien dokładniej zbadać ustalenia faktyczne dotyczące właściciela strony oraz przetwarzania danych osobowych.
  • Sąd wskazał na braki w sposób prowadzenia postępowania i konieczność uwzględnienia dodatkowych dowodów.

Źródło: https://judykatura.pl/wsa-organ-nadzorczy-ma-obowiazek-zbadania-tozsamosci-administratora/

• Kontekst sprawy: Wojewódzki Sąd Administracyjny (WSA) w Warszawie oddalił skargę Szkoły Głównej Handlowej w Warszawie (SGH) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO).
• Przedmiot sprawy: Decyzja dotyczyła naruszenia ochrony danych osobowych w aplikacji rekrutacyjnej na wymiany studenckie oraz nałożenia kary w wysokości 35 tys. zł na SGH.
• Incydent: W 2022 roku, podczas migracji systemu na nowy serwer, nastąpiło przypadkowe ujawnienie danych 1461 osób (studentów, absolwentów i byłych studentów SGH) w internecie.
• Stanowisko PUODO:
  • SGH nie realizowała obowiązków wynikających z RODO.
  • Nie przeprowadzono analizy ryzyka, nie dobrano właściwych środków bezpieczeństwa ani nie oceniono skuteczności wdrożonych rozwiązań.
• Argumentacja SGH:
  • Incydent wynikał z błędu pracownika.
  • Uczelnia twierdziła, że dochowano standardów ochrony danych.
• Ustalenia WSA:
  • Sąd uznał, że SGH nie wykazała wdrożenia odpowiednich środków organizacyjnych i technicznych zgodnych z RODO.
  • Stwierdzono brak testowania, mierzenia oraz oceny skuteczności ochrony danych w rekrutacyjnym systemie IT.
  • Sąd potwierdził, że nie tylko błąd ludzki, ale także systemowe naruszenia przepisów RODO były przyczyną wycieku danych.
• Wniosek: Decyzja Prezesa UODO była uzasadniona i nie została skutecznie podważona przez SGH.

Źródło: https://uodo.gov.pl/pl/138/3483

• Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na Szpital Powiatowy we Wrześni karę w wysokości 29 648 zł za zaniedbanie obowiązków związanych z ochroną danych osobowych.
• Kara dotyczy braku zgłoszenia naruszenia przetwarzanych danych osobowych do UODO oraz opóźnionego poinformowania osoby, której dane zostały ujawnione.
• Incydent polegał na tym, że jedna z pacjentek szpitala otrzymała dokumentację medyczną innej osoby, zawierającą dane osobowe takie jak imię, nazwisko, PESEL i informacje dotyczące zdrowia.
• O sprawie Prezes UODO dowiedział się od Rzecznika Praw Pacjenta, a nie od szpitala, co wskazuje na brak proaktywnego działania administratora danych.
• Szpital tłumaczył, że o incydencie nie wiedział, a ryzyko związane z ujawnieniem danych osobowych określił jako niskie, dlatego początkowo nie podjął odpowiednich działań.
• UODO podkreślił, że przypadkowe ujawnienie danych osobowych nawet jednej osobie może prowadzić do zwiększenia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
• Nałożona kara ma stanowić sygnał ostrzegawczy i zapewnić, że szpital w przyszłości będzie przestrzegał swoich obowiązków związanych z ochroną danych osobowych, zwłaszcza w zakresie zgłaszania naruszeń do UODO.

Źródło: https://uodo.gov.pl/pl/138/3475

• Kontekst: Artykuł dotyczy kwestii przetwarzania danych osobowych przez pracodawcę w związku z działalnością Komisji Socjalnej oraz prawa do ochrony danych osobowych zgodnie z RODO.
• Stwierdzenie organu nadzorczego:
  • Pracodawca jest administratorem danych osobowych przetwarzanych przez Komisję Socjalną.
  • Pracodawca nie ma obowiązku konsultować rozdysponowania środków z Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS) z organizacjami związkowymi ani udostępniać im danych osobowych osób korzystających ze świadczeń.
• Podstawa prawna przetwarzania: W sprawie powołano się na art. 9 ust. 2 lit. e RODO, który umożliwia przetwarzanie danych osobowych, jeśli osoba sama podała je w kontekście realizacji swoich wniosków.
• Zarzuty skarżącego:
  • Skarżący twierdził, że jego pracodawca przetwarza dane dotyczące przynależności związkowej niezgodnie z prawem.
  • Zgłaszał, że został dyskryminowany ze względu na pełnione funkcje związkowe, co przejawiało się zaprzestaniem wypłacania wynagrodzenia.
• Kluczowe fakty w sprawie:
  • Skarżący dobrowolnie przekazał informację o przynależności związkowej we wniosku do Komisji Socjalnej.
  • Organ nadzorczy oraz WSA w Warszawie uznali, że przetwarzanie tych danych było legalne.
  • Przyznawanie świadczeń socjalnych opiera się na obiektywnej analizie sytuacji życiowej, rodzinnej i materialnej, bez konieczności angażowania związków zawodowych w udostępnianie danych osobowych.
• Stanowisko WSA w Warszawie:
  • Sąd poparł stanowisko Prezesa UODO, uznając przetwarzanie danych za zgodne z prawem.

Źródło: https://judykatura.pl/wsa-podanie-danych-w-formularzu-zfss-jest-ich-upublicznieniem/

• Kontekst sprawy: Prezes UODO wydał decyzję wobec Rzecznika Dyscyplinarnego Izby Adwokackiej, dotyczącą naruszenia ochrony danych osobowych. Problem dotyczył zagubienia niezabezpieczonego pendrive’a z wrażliwymi danymi w trakcie przesyłki pocztowej.
• Przedmiot naruszenia: Nagranie audio z rozprawy rozwodowej zawierało imiona, nazwiska i prywatne informacje 8 osób. Nośnik ani plik nie były zaszyfrowane, co doprowadziło do potencjalnego ujawnienia danych osobowych.
• Działania administracyjne: Prezes UODO wszczął postępowanie wyjaśniające, oceniając naruszenie obowiązków wynikających z RODO, w tym zasad poufności i rozliczalności danych osobowych.
• Działania podjęte przez Rzecznika Dyscyplinarnego: Przedstawiono m.in. Instrukcję Zarządzania Systemami Informatycznymi (IZSI) oraz analizę ryzyka, jednak środki techniczne i organizacyjne okazały się niewystarczające.
• Decyzja Prezesa UODO:
  • Nałożono administracyjną karę pieniężną w wysokości 23 580 zł.
  • Zarządzono wdrożenie dodatkowych środków bezpieczeństwa technicznych i organizacyjnych, w tym regularne testowanie i ocenianie skuteczności tych środków.
• Uchybienia Rzecznika: Stwierdzono brak odpowiedniej ochrony danych, błędne oszacowanie ryzyka oraz niedostatek właściwych procedur zabezpieczających dane na nośnikach zewnętrznych.
• Orzeczenie WSA: Sąd przyznał rację Prezesowi UODO, wskazując, że Rzecznik Dyscyplinarny pełnił funkcję administratora danych osobowych.
• Administrator danych jest odpowiedzialny za zapewnienie ich ochrony na wszystkich etapach przetwarzania, również w trakcie przesyłki.
• Podsumowanie: Decyzja uwypukliła konieczność stosowania odpowiednich zabezpieczeń technicznych i organizacyjnych zgodnych z RODO, szczególnie w przypadku przetwarzania wrażliwych danych osobowych za pomocą nośników zewnętrznych.

Źródło: https://judykatura.pl/wsa-prawidlo-prezes-uodo-ukaral-kara-prawie-24-000-zl-izbe-dyscyplinarna/

• Kontekst: Gabriela Fostiak, szefowa związku zawodowego na Uniwersytecie Szczecińskim, zgłosiła ministrowi nauki Dariuszowi Wieczorkowi możliwe nieprawidłowości na uczelni. Poprosiła o anonimowość, ale minister ujawnił jej tożsamość rektorowi.
• Nieprawidłowości: Szereg zarzutów Gabrieli Fostiak dotyczyło m.in. wysokich wynagrodzeń władz uniwersytetu, niejasnych awansów w jednostkach uczelni oraz trudnej sytuacji finansowej (strata 24,5 mln zł w 2023 r.).
• Problemy w uczelni: Obniżono stypendia dla studentów, a jednocześnie rektor i kanclerz zarabiają bardzo wysokie kwoty (rektor: 53 518 zł brutto miesięcznie).
• Działania ministra: Minister Dariusz Wieczorek przesłał skargi Fostiak rektorowi uczelni mimo braku jej zgody, co doprowadziło do eskalacji konfliktu i oskarżeń wobec Fostiak.
• Reakcja uczelni: Rektor Waldemar Tarczyński odrzucił zarzuty, a prorektor oskarżyła Fostiak o szkodzenie reputacji uczelni. Uczelnia zawiadomiła prokuraturę o podejrzeniu popełnienia przestępstwa przez Fostiak.
• Problemy systemowe: Eksperci wskazują, że działania ministra były niekonsekwentne, a przekazanie danych osobowych Fostiak było nieuzasadnione i naruszyło jej zaufanie jako sygnalistki.
• Autonomia uczelni: Prawo o szkolnictwie wyższym daje ministrowi możliwość nadzoru nad uczelniami, ale minister ograniczył się do przekazania sprawy rektorowi, co wzbudza wątpliwości.
• Brak wsparcia prawnego: Fostiak zgłosiła się do kilku prawników w Szczecinie, ale żaden nie podjął się reprezentowania jej ze względu na konflikty interesów.
• Niejasne decyzje personalne: Zarzuty Fostiak obejmują m.in. nominacje związane z obniżeniem wymogów na stanowiskach kierowniczych oraz uprzywilejowane traktowanie rodzin ministra i rektora.
• Wątpliwości ekspertów: Doktor Błażej Mądrzycki uważa, że działania ministra nauki były nie tylko nieadekwatne, ale również szkodliwe dla sygnalistów i związanej z nimi idei ochrony pracowników.
• Podsumowanie: Sprawa uwidacznia problemy związane z autonomią uczelni, ochroną sygnalistów oraz konfliktem interesów w procesach decyzyjnych na poziomie zarówno uczelni, jak i ministerstwa.

Źródło: https://wiadomosci.wp.pl/minister-wieczorek-ujawnil-dane-sygnalistki-zaufalam-teraz-jestem-szykanowana-7101726195264160a