RODO aktualności – 28.07.2020

Dlaczego należy uważać na transfer danych osobowych do USA? Czym jest usługa PrimEyes i dlaczego zainteresował się nią Prezes UODO? Za co  i na kogo UODO nałożył kolejne kary finansowe? Jak prowadzić rekrutację w zgodzie z RODO? Jak „zasłużyć” na karę 16,7 mln euro za uporczywe działania marketingowe? Czy zostaną opracowane nowe przepisy w zakresie kontroli trzeźwości i narkotestów? Czy gminy za wysoko podnoszą poprzeczkę dla usług IOD?

Multimedia

Uważaj na transfer danych do USA

#RODOA [20.07.2020] 

Marketing zgodny z RODO

#RODOA [27.07.2020]

Obejrzyj na YouTubeObejrzyj na YouTube
Odsłuchaj na: SoundCloud lub SpotifyOdsłuchaj na: SoundCloud lub Spotify
Pobierz PDFPobierz PDF

TSUE unieważnia Tarczę Prywatności (1)

  • TSUE unieważnił decyzję wykonawczą Komisji Europejskiej 2016/1250 z dnia 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności
  • oznacza to, że od że od 15 lipca br. porozumienie Privacy Shield nie może stanowić podstawy transferów danych osobowych do USA
  • Orzeczenie TSUE było efektem działań Maximilliana Schremsa, który od 2008 r. korzysta z Facebooka – tak jak w przypadku innych obywateli UE, jego dane osobowe są w całości lub części przekazywane przez działającą w Irlandii spółkę Facebook Ireland na serwery koncernu w USA
  • Schrems uznał, że USA nie zapewniają wystarczającej ochrony danych, do których wgląd mogą mieć amerykańskie władze i wniósł skargę do irlandzkiego urzędu ochrony danych razem z żądaniem zakazu przekazywania danych – sprawa ostatecznie trafiła do High Court, który wystosował pytania prejudycjalne do TSUE
  • w wydanym wyroku TSUE uznał, że prawo Unii oraz zapisy RODO są wiążące jeśli chodzi o przekazywanie danych osobowych mieszkańców UE w celach komercyjnych do państw trzecich

TSUE unieważnia Tarczę Prywatności (2)

  • TSUE podkreślił jednak, że zgodnie z RODO osoby, których dane osobowe są przekazywane za granicę, muszą korzystać z takiego samego stopnia ochrony, jaki gwarantowany jest w UE – jeśli natomiast państwa trzecie nie są w stanie zapewnić wystarczającej ochrony, przekazywanie danych może zostać zawieszone lub zakazane
  • TSUE ocenił decyzję KE co do adekwatności ochrony zapewnianej przez Tarczę Prywatności w kontekście przepisów o RODO i zauważył, że ustanawia ona pierwszeństwo bezpieczeństwa narodowego, interesu publicznego i ustawodawstwa USA nad ochroną danych unijnych użytkowników – w praktyce oznacza to, że jeśli amerykańskie służby uznają, że któryś z tych elementów jest zagrożony, mogą złamać prywatność osób, których dane są przekazywane do USA
  • zdaniem TSUE jest to sprzeczne z prawem UE – Trybunał orzekł, wiec, że wbrew temu, co przyjęła Komisja Europejska, Tarcza Prywatności nie zapewnia adekwatnej ochrony danych Europejczyków i stwierdził nieważność tej decyzji
  • decyzja KE określająca tzw. standardowe klauzule umowne nadal pozostaje w mocy

TSUE unieważnia Tarczę Prywatności (3)

  • Europejska Rada Ochrony Danych w swoim komunikacie prasowym poparła wyrok TSUE i jego argumentację
  • EROD zapowiedziała, że dokona bardziej szczegółowej oceny orzeczenia i przedstawi dalsze wyjaśnienia zainteresowanym stronom oraz wytyczne dotyczące stosowania instrumentów przekazywania danych osobowych do państw trzecich zgodnie z orzeczeniem

Źródło: https://noyb.eu/files/CJEU/judgment.pdf, https://www.wnp.pl/tech/tsue-tarcza-prywatnosci-ue-usa-nie-zapewnia-wystarczajacej-ochrony-obywatelom-unii,407097.html https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

PrimEyes a RODO

  • polska firma startupowa stworzyla wyszukiwarkę twarzy PimEyes
  • aplikacja wzbudziła kontrowersje wśród niemieckich polityków – Tankred Schipanski, rzecznik klubu poselskiego chadecji ds. polityki cyfrowej w Bundestagu, określił to narzędzie jako „niedopuszczalne”, i wskazał, że jeśli nie uda się rychłe uregulowanie aplikacji na poziomie UE, należy zadziałać w kraju jako narodowi ustawodawcy
  • według badań portalu netzpolitik.org wyszukiwarka PimEyes w zmasowany sposób analizuje twarze w Internecie pod kątem indywidualnych cech i przechowuje dane biometryczne – baza danych zawiera około 900 milionów twarzy
  • PrimEyes podkreśla, że wyszukiwarka nie ma służyć do identyfikacji osób – użytkownicy mają sami przesyłać tam swoje zdjęcia, by móc stwierdzić, gdzie ich zdjęcia pojawiają się w sieć
  • sprawą zainteresował się już Prezes UODO, Departament Komunikacji Społecznej UODO poinformował redakcję Niebezpiecznik.pl, że organ jest świadomy istnienia wyszukiwarki twarzy PimnEyes, a działalność spółki stojącej za wyszukiwarką jest przedmiotem zainteresowania Urzędu – Niemiecki organ nadzorczy otrzymał skargę na tę spółkę i zgodnie z art. 56 RODO wskazał UODO jako właściwy do zajęcia się tą sprawą. Na obecnym etapie jest jednak za wcześnie, by mówić o szczegółach związanych z działalnością spółki PimEyes i o działaniach UODO w tej sprawie – czytamy w e-mailu od UODO skierowanym do Niebezpiecznik.pl

Źródło: https://niebezpiecznik.pl/post/uodo-zajmuje-sie-skarga-na-pimeyes/ https://www.dw.com/pl/niemieccy-politycy-kontra-polska-firma-niedopuszczalne/a-54133223

Kolejna kara za brak współpracy z UODO

  • Prezes UODO nałożył 5 tys. zł kary na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole
  • przedsiębiorca prowadzący placówki nie zapewnił Prezesowi UODO dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań – w tym przypadku do oceny czy administrator w sposób zgodny z przepisami RODO zawiadomił osoby, których dane dotyczą, o naruszeniu (czym naruszył art. 58 ust. 1 lit. e RODO)
  • przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu
  • w związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, organ nadzorczy trzykrotnie skierował do przedsiębiorcy wezwania do złożenia stosownych wyjaśnień – przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania

Źródło: https://uodo.gov.pl/pl/138/1601

UODO: Pracodawca administratorem danych w dokumentacji pracowniczej

  • UODO przypomina, że administrator, przechowując dane w dokumentacji pracowniczej nie musi prosić pracownika o zgodę na przetwarzanie jego danych
  • W tym przypadku to nie zgoda pracowników, a obowiązek prawny administratora będzie właściwą podstawą przetwarzania danych zgromadzonych w aktach osobowych pracowników
  • prowadzenie dokumentacji pracowniczej odbywa się na podstawie odrębnych przepisów prawa pracy – w rozporządzeniu Ministra Rodziny Pracy i Polityki Społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej został określony m.in. zakres, sposób i warunki prowadzenia oraz przechowywania pracowniczych akt osobowych
  • oznacza to, że pracodawca będący administratorem danych zawartych w aktach osobowych jest związany przepisami ww. rozporządzenia, a nie wolą pracownika poprzez odbieranie od niego zgody na realizację procesu przetwarzania w ww. celach
  • obowiązki pracodawcy w zakresie prowadzenia akt osobowych i ich zawartości są więc ściśle określone i nie można mówić o dobrowolności przy przetwarzaniu danych osobowych w tych celach
  • jeśli po stronie pracodawcy istnieje ryzyko, że w aktach osobowych znajdują się informacje zebrane niezgodne z obowiązującymi przepisami, to pracodawca powinien dokonać ich przeglądu i usunąć dane pozyskane nielegalnie

Źródło: https://uodo.gov.pl/pl/138/1600

ABC rekrutacji według UODO

  • Prezes UODO wskazuje, że przygotowując się do rekrutacji, pracodawca powinien gruntownie przeanalizować, jakie dane będzie mógł pozyskać od kandydata, aby na ich podstawie była możliwa ocena, czy spełnia on kryteria niezbędne do objęcia danego stanowiska
  • zakres danych jaki można pozyskać od kandydata określa art. 221 § 1 Kodeksu pracy – do ich przetwarzania nych nie jest potrzebna zgoda
  • zgoda może być niezbędna jedynie w określonych sytuacjach, np. kandydat może zgodzić się na przetwarzanie jego danych na potrzeby przyszłych rekrutacji przez wskazany czas
  • referencje – złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie
  • pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w kodeksie pracy, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika
  • zdarza się, że osoby kandydujące przekazują z własnej inicjatywy więcej danych, niż jest to wskazane w przepisach – w takiej sytuacji dane są przetwarzane na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą godzi się na przetwarzanie jej danych osobowych, które sama przekazała

Źródło: https://uodo.gov.pl/pl/138/1599

Projekt Kodeksu RODO dla branży retail

  • branżowy kodeks przetwarzania danych osobowych, stworzony przez grupę ekspercką Polskiej Rady Centrów Handlowych dla sektora handlowego czeka na zatwierdzenie Prezesa UODO – to ostatni etap przed jego publikacją
  • niedługo po wejściu w życie przepisów RODO, PRCH podjęła inicjatywę utworzenia kodeksu branżowego, który stałby się drogowskazem w kwestii właściwego zarządzania danymi osobowymi dla przedsiębiorstw działających w sektorze handlu
  • potrzebę opracowania dokumentu uwzględniającego specyfikę branży dostrzegły również same firmy zrzeszone w PRCH – powołano więc grupę roboczą, która w trakcie wielu miesięcy intensywnych prac stworzyła projekt kodeksu branżowego
  • kolejnym etapem były konsultacje społeczne, a finalnie, w dniu 13 lipca br., projekt trafił na biurko prezesa UODO

Źródło: https://retailnet.pl/2020/07/15/30094-projekt-kodeksu-rodo-dla-branzy-retail-czeka-na-zatwierdzenie/

€600,000 kary dla belgijskiego Google

  • belgijski organ ochrony danych nałożył na Google Belgium SA grzywnę w wysokości 600 000 EUR za nieprawidłowości w rozpatrywaniu wniosku osoby, której dane dotyczą
  • zdaniem organu, Google niezgodnie z prawem odrzucił wniosek obywatela Belgii o usunięcie z wyszukiwarki artykułów szkodzących jego reputacji, dodatkowo organ stwierdził brak przejrzystości w formularzu Google dotyczącym składania żądań
  • belgijski organ ochrony danych zażądał, aby firma Google Belgium zarówno usunęła przedmiotowe artykuły, jak i dostosowała, w ciągu dwóch miesięcy od wydania decyzji, swoje formularze wniosków o usunięcia wyników wyszukiwania, tak aby zapewnić większą jasność co do tego, który podmiot działa jako administrator danych w odniesieniu do jakich czynności przetwarzania
  • jeśli chodzi o jurysdykcję belgijskiego organu ochrony danych, belgijski organ ochrony danych stwierdził, że pomimo twierdzenia Google, że skarga nie ma podstaw, ponieważ została wniesiona przeciwko Google Belgium, podczas gdy administratorem danych jest Google LLC, działalność Google Belgium i Google LLC jest nierozerwalnie połączone, w wyniku czego firma Google Belgium może zostać pociągnięta do odpowiedzialności

Źródło: https://www.dataguidance.com/news/belgium-belgian-dpa-fines-google-belgium-%E2%82%AC600000-violation-right-be-forgotten-imposes

Główny Geodeta Kraju z karą 100 tys. zł za naruszenie RODO

  • Prezes UODO po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia administracyjnej kary pieniężnej nałożył na Głównego Geodetę Kraju karę pieniężną w kwocie 100 tys. złotych.
  • Prezes UODO stwierdził naruszenie polegające na niezapewnieniu organowi w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań
  • ponadto GGK nie współpracował z Prezesem UODO w trakcie tej kontroli
  • na początku marca 2020 r. Prezes UODO zdecydował o konieczności przeprowadzenia kontroli przetwarzania przez GGK na portalu GEOPORTAL2 danych osobowych pochodzących z powiatowych ewidencji gruntów i budynków
  • w celu przeprowadzenia czynności kontrolnych, kontrolujący upoważnieni przez Prezesa UODO, okazali GGK swoje legitymacje służbowe oraz przedłożyli upoważnienia imienne zawierające informację o zakresie kontroli
  • GGK nie dopuścił do przeprowadzenia kontroli w pełnym zakresie wynikającym z upoważnień – uzasadniając swoje stanowisko, wskazał, że według jego oceny kontrola ma dotyczyć numerów ksiąg wieczystych, które według niego nie stanowią danych osobowych
  • z uwagi na powyższe, w toku kontroli ustalono jedynie, jakie środki organizacyjne zastosował GGK dla bezpieczeństwa danych oraz czy powołany został inspektor ochrony danych

Źródło: https://uodo.gov.pl/pl/138/1602

Urzędy pracy administrują danymi pracowników bez klauzuli informacyjnej

  • pracodawcy nie wiedzą, czy ubiegając się o dofinansowanie do wynagrodzeń, muszą uzyskać zgodę pracowników na przekazywanie ich danych osobowych do wojewódzkiego urzędu pracy – resort pracy nie przygotował dla przedsiębiorców wzoru nowej klauzuli informacyjnej do wniosków o składanych na nowych zasadach
  • w ramach tarczy antykryzysowej pracodawcy udostępniają wojewódzkim urzędom pracy szereg danych osobowych pracowników, takich jak ich imiona, nazwiska, numery PESEL, serie i numer dokumentu tożsamości, wysokość wynagrodzenia i wymiar czasu pracy
  • pracodawcy zostali zobowiązani do przekazania pracownikom w imieniu WUP klauzuli informacyjnej o przetwarzaniu ich danych osobowych przez WUP, której wzór można było pobrać ze strony internetowej WUP lub z portalu praca.gov.pl.
  • zobowiązanie do przekazania klauzuli pracownikom składał pracodawca ubiegający się o dofinansowanie do wynagrodzeń pracowników objętych przestojem ekonomicznym lub obniżonym wymiarem czasu pracy
  • w okresie kwiecień – czerwiec 2020 r., gdy dofinansowanie było przyznawane na podstawie art. 15g ustawy w sprawie COVID-19, dane pracowników w postaci listy stanowiły załącznik do wniosku – od 24 czerwca, gdy weszła w życia tarcza 4, pracodawca ma obowiązek posiadać taką listę, ale nie musi jej dołączać do wniosku, ma ją okazać dopiero na żądanie wojewódzkiego urzędu pracy
  • nie ma jednak wzoru klauzuli, w której pracodawca mógłby poinformować pracowników, że ich dane będą przekazywane do wojewódzkiego urzędu pracy i to ten urząd będzie ich administratorem

Źródło: https://www.prawo.pl/kadry/czy-wojewodzkie-urzedy-pracy-moga-przetwarzac-dane-osobowe,501752.html

UODO komentuje wyrok Schrems II

  • zdaniem Prezesa UODO, Trybunał Sprawiedliwości UE w wyroku w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems, potwierdził wysoki standard ochrony danych osobowych w odniesieniu do przekazywania danych osobowych do państw trzecich
  • organ podkreśla wskazaną przez TSUE konieczność dokonania przez administratorów indywidualnej oceny stopnia ochrony danych zapewnianego w ramach transgranicznego przekazywania danych, która musi uwzględniać nie tylko same postanowienia umowne uzgodnione między eksporterami i importerami danych, lecz również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych
  • Prezes UODO podkreśla konieczność spójnego podejścia do oceny konsekwencji wyroku TSUE w całej Unii Europejskiej oraz niezbędność wspólnych działań w tym zakresie krajowych organów nadzorczych współpracujących w ramach EROD, w której pracach Prezes UODO uczestniczy

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/pozew-przeciwko-uberowi-kierowcy-chca-wiedziec-co-dzieje-sie-z-ich-danymi

Kierowcy Ubera chcą wiedzieć, co dzieje się z ich danymi

  • brytyjski związek zawodowy ADCU (ang. App Drivers and Couriers Union), zrzeszający kierowców i dostawców realizujących zlecenia internetowe, złożył do sądu pozew przeciwko Uberowi
  • pozew został złożony w sądzie rejonowym w Amsterdamie, gdzie koncern posiada swoją międzynarodową siedzibę
  • kierowcy chcą, że Uber ujawnił, w jaki sposób działa oprogramowanie komputerowe wykorzystywane przez koncern i na podstawie jakich danych algorytm przyznaje zlecenia konkretnym pracownikom
  • związkowcy zarzucają Uberowi, że gromadzi ich bardzo szczegółowe dane, łącznie ze śledzeniem ich lokalizacji oraz monitorowaniem zachowania, w tym komunikacji z klientami, a także bez wiedzy kierowców i dostawców oznacza ich profile takim hasłami, jak „nieodpowiednie zachowanie”, „interwencja policji”, „późny przyjazd”, co ma potem wpływ na to, jak algorytm przyznaje im zlecenia
  • członkowie związku tłumaczą, że już wcześniej zwrócili się do Ubera z prośbą o to, żeby zgodnie z przepisami RODO udzielił im wglądu w ich dane zgromadzone przez firmę, w tym ich profile kierowców, komentarze na ich temat i informacje o tym, jak ich dane są gromadzone, a potem przetwarzane, ale koncern nie wywiązał się z tego obowiązku

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/pozew-przeciwko-uberowi-kierowcy-chca-wiedziec-co-dzieje-sie-z-ich-danymi

16,7 mln euro kary za uporczywy marketing

  • operator telekomunikacyjny Wind Tre S.p.A. został ukarany grzywną w wysokości ok. 16,7 mln EUR za naruszenie RODO
  • włoski organ ochrony danych (IDPA) nałożył karę za nielegalne przetwarzanie danych związane z działaniami promocyjnymi, organ stwierdził również problemy z procedurami zbierania danych przez podwykonawcę prowadzącego call center
  • według IDPA WINDTRE była jedną z najbardziej znanych firm telemarketingowych, które były przedmiotem setek zgłoszeń i skarg, które co tydzień docierają do organu
  • użytkownicy skarżyli się na otrzymywanie niechcianych połączeń i kontaktów za pośrednictwem wiadomości SMS , e-mail, faks i automatyczne rozmowy telefoniczne, kilku skarżących wskazywało, że nie może cofnąć zgody lub nawet sprzeciwić się przetwarzaniu ich danych w celach marketingowych, a ich dane osobowe zostały opublikowane w publicznych spisach
  • inspektorzy IDPA stwierdzili, że aplikacje MyWind i My3 WINDTRE zostały skonfigurowane w taki sposób, aby zobowiązać użytkownika do udzielenia, przy każdym nowym dostępie, szeregu zgód na różne cele przetwarzania (marketing, profilowanie, komunikacja z osobami trzecimi, wzbogacanie i geolokalizacja), a ich odwołanie było możliwe dopiero po 24 godzinach
  • kara jest szóstą co do wielkości nałożoną na mocy RODO od czasu rozpoczęcia stosowania RODO w maju 2018 r.

Źródło: https://www.complianceweek.com/gdpr/italian-telecom-fined-186m-for-violating-gdpr-data-collection-rules/29187.article

Dane kredytobiorcy, który nie spłaca zadłużenia mogą trafić do BIK

  • Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO nakazującą bankowi zaprzestanie przetwarzania informacji kredytobiorcy, który nie spłacał swojego długu w terminie – chodziło o podanie przez bank do Biura Informacji Kredytowej danych byłego kredytobiorcy, który miał problemy ze spłatą zadłużenia, dlatego bank przekazał jego dane do BIK
  • doszło do zawarcia ugody z bankiem i dług był spłacany, ale z opóźnieniem, kredytobiorca zażądał, by wykreślić go z BIK, a kiedy to nie nastąpiło, złożył skargę do UODO
  • UODO nakazał zaprzestanie przetwarzania danych – według niego doszło do naruszenia art. 105a ust. 3 prawa bankowego, zgodnie z którym banki mogą przetwarzać informacje objęte tajemnicą bankową po wygaśnięciu zobowiązania, gdy nie spłacono kredytu lub zrobiono to z opóźnieniem powyżej 60 dni, wcześniej jednak informując o tym fakcie z min. 30-dniowym wyprzedzeniem
  • zdaniem UODO termin 30-dniowy biegnie od momentu, w którym konsument zostanie skutecznie poinformowany, tak w tym wypadku nie było, a Bank nie dysponuje dowodem, że przesłał zawiadomienie kredytobiorcy, iż planuje wpisać go do BIK
  • Bank złożył skargę do sądu – WSA uznał, że skarga jest zasadna, a Prezes UODO źle interpretuje art. 105 prawa bankowego, według sądu prawidłowa interpretacja tego przepisu powinna prowadzić do przyjęcia, że „poinformowanie” oznacza jedynie rzeczywiste umożliwienie klientowi banku zaznajomienia się ze wspomnianą informacją

Źródło: https://www.rp.pl/Nieruchomosci/307169917-Dane-kredytobiorcy-ktory-nie-splaca-zadluzenia-trafia-do-BIK.html

Gminy za wysoko podnoszą poprzeczkę dla usług IOD?

  • organizując przetargi z zakresu ochrony danych osobowych, niektóre jednostki samorządu wskazują takie warunki zamówienia, że jest je w stanie spełnić zaledwie garstka firm – to może być dyskryminacja mówią eksperci
  • wymóg wieloletniej pracy na rzecz jednostek publicznych, obowiązek posiadania milionowej polisy ubezpieczeniowej OC, konieczność przeprowadzania audytów zgodnych z wymogami rozporządzenia w sprawie krajowych ram interoperacyjności czy dysponowanie wyspecjalizowanym sprzętem do niszczenia danych z twardych dysków – to tylko niektóre z koniecznych do spełnienia warunków przez starających się o wykonanie zamówienia, jakie samorządy zamieszczają w specyfikacji istotnych warunków zamówienia (SIWZ)
  • do redakcji GP zgłaszają się stowarzyszenia inspektorów ochrony danych, które sprzeciwiają się stawianiu tak wyśrubowanych i niezwiązanych z obowiązkami IOD warunków
  • ich zdaniem samorządy bardzo często chcą w ten sposób doprowadzić do wygrana przetargu przez firmy, które dotychczas pełniły podobną funkcję w gminie

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/1486740,ido-gminy-przetargi-uslugi.html?utm_source=dlvr.it&utm_medium=twitter

Prezes UODO i Rzecznik Praw Pacjenta zacieśniają współpracę

  • Jan Nowak, Prezes Urzędu Ochrony Danych Osobowych i Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta podpisali porozumienie o wzajemnej współpracy, którego celem jest wzajemne wspieranie się w realizacji ustawowych zadań
  • edukacja, współpraca legislacyjna czy informowanie się o zagrożeniach wymagających wspólnych działań – to obszary, w jakich Prezes UODO i Rzecznik Praw Pacjenta podejmują współpracę
  • podpisane porozumienie przewiduje również wzajemne informowanie się w obszarach związanych z realizacją ustawowych zadań obydwu podmiotów, w których obie instytucje przejawiają zainteresowanie bądź posiadają ustawowe kompetencje
  • Dane pacjentów o ich zdrowiu wymagają szczególnej troski. Należy pamiętać o godności pacjentów, ich prywatności i umiejętnym godzeniu tych praw z koniecznością zadbania o zdrowie publiczne. Dlatego współpraca między Prezesem UODO i Rzecznikiem Praw Pacjenta jest niezwykle istotna – powiedział Jan Nowak, Prezes UODO
  • Rzecznik Praw Pacjenta skupia się na edukacji, bezpieczeństwie i wsparciu pacjentów. Nasza współpraca z UODO jest bardzo ważna z perspektywy ochrony danych pacjentów, przestrzegania ich praw oraz edukowania na temat możliwości, jakie mają – dodał Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta

Źródło: https://uodo.gov.pl/pl/138/1606

Nowe przepisy w zakresie kontroli trzeźwości i narkotestów?

  • zdaniem ekspertów obecnie mogą być wątpliwości co do tego, czy, kiedy i pod jakimi warunkami pracodawca może sprawdzać pracowników na obecność substancji psychoaktywnych
  • w efekcie ostatnich zdarzeń (wypadki autokarów) niektórzy przewoźnicy zaczęli przeprowadzać masowe kontrole antynarkotykowe wśród zatrudnianych kierowców – mimo że prawo nie daje im do tego wystarczających podstaw
  • związki zawodowe działające u przewoźników skierowały pismo do Ministra Spraw Wewnętrznych i Administracji, podnosząc, że choć nie są przeciwni badaniom kierowców na zawartość narkotyków w organizmie, to jednak sprzeciwiają się metodom ich prowadzenia bez poszanowania godności pracowników
  • jednocześnie z różnych stron, m.in. od warszawskiego samorządu, pojawiły się apele o inicjatywę w zakresie zmiany przepisów, która wprost pozwoliłyby przewoźnikom kontrolować pracowników również na obecność narkotyków
  • resort pracy informuje, że prace nad nowym prawem już są prowadzone i obejmą także kwestie kontroli trzeźwości pracowników
  • stanowisko Związku Firm Ochrony Danych Osobowych dotyczące przeprowadzania kontroli trzeźwości, w tym prewencyjnych, pracowników przez pracodawcę znajdą Państwu pod linkiem: https://www.zfodo.org.pl/opinie/stanowisko-zwiazku-firm-ochrony-danych-osobowych-dotyczace-przeprowadzania-kontroli-trzezwosci-w-tym-prewencyjnych-pracownikow-przez-pracodawce/

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1486818,kontrole-trzezwosci-i-narkotesty-w-firmie-legalne-zmiana-prawa.html?r=83404

Pracodawca ma prawo potwierdzenia legalnego pobytu w Polsce

  • chcąc zatrudnić cudzoziemca, pracodawca ma prawo żądać przedstawienia dokumentów uprawniających do przebywania na terytorium Rzeczpospolitej Polskiej
  • zgodnie z przepisami Kodeksu pracy pracodawca może przetwarzać zamknięty katalog danych osobowych osoby ubiegającej się o pracę oraz pracownika
  • Kodeks pracy daje również pracodawcy możliwość żądania podania innych danych osobowych niż określone w tym katalogu, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa
  • z taką sytuacją administrator będzie miał do czynienia w przypadku, gdy zatrudnia cudzoziemca – warunki przyjmowania osób niebędących obywatelami Rzeczpospolitej Polskiej określają przepisy odrębnych ustaw
  • pracodawcę zobowiązuje do tego ustawa o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej
  • przetwarzanie danych osobowych dotyczących pobytu na terenie Polski, wykraczających poza katalog wskazany w art. 22(1) Kodeksu pracy, będzie odbywało się na podstawie art. 6 ust. 1 lit. c RODO, czyli obowiązku prawnego administratora, jakim jest pracodawca, w związku z wspomnianymi wyżej przepisami ustawy

Źródło: https://uodo.gov.pl/pl/138/1609

Współzależności dyrektywy PSD2 i RODO

  • Europejska Rada Ochrony Danych przyjmuje uwagi dotyczące wytycznych 6/2020 na temat współzależności pomiędzy dyrektywą w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2) a ogólnym rozporządzeniem o ochronie danych (RODO) – można je przesłać najpóźniej do 14 września 2020 r.
  • EROD przyjęła wytyczne dotyczące dyrektywy PSD2, która unowocześnia ramy prawne rynku usług płatniczych – wprowadza ona przepisy dla nowych usług inicjowania transakcji płatności (PISP) i usług dostępu do informacji o rachunku (AISP)
  • zgodnie z wytycznymi użytkownicy mogą żądać, aby nowym dostawcom usług płatniczych przyznano dostęp do ich rachunków płatniczych
  • w efekcie prac zainteresowanych stron, EROD opracowała wytyczne w sprawie stosowania RODO do nowych usług płatniczych
  • wytyczne wskazują, że w tym kontekście przetwarzanie szczególnych kategorii danych osobowych jest co do zasady zabronione (zgodnie z art. 9 ust. 1 RODO), z wyjątkiem sytuacji, gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę (art. 9 ust. 2 lit. a) RODO) lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym (art. 9 ust. 2 lit. g) RODO)
  • uwagi do wytycznych należy przesłać najpóźniej do 14 września 2020 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://uodo.gov.pl/pl/138/1613

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO