Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 09.02.2021 r.

Jakie zadośćuczynienie za ujawnienie danych osobowych? Kto został ukarany za brak współpracy z UODO? Czego interesującego dowiesz się z nagrania konferencji “Realna ochrona danych osobowych w zdalnej rzeczywistości”? Kto wystosował ostrzeżenie w związku z korzystaniem z technologii rozpoznawania twarzy? Czy można streamować… dane osobowe? Jakie są wymogi akredytacji podmiotów monitorujących kodeksy postępowania? Czego interesującego dowiesz się z najnowszego dokumentu opublikowanego przez łotewski organ nadzorczy?

MULTIMEDIA

#RODOA [01.02.2021]
#RODOA [08.02.2021]
Pobierz PDFPobierz PDF

Zadośćuczynienie za ujawnienie danych osobowych

  • 1,5 tys. zł zasądzono od ubezpieczyciela, który przekazał osobie poszkodowanej w kolizji drogowej zbyt wiele informacji na temat właścicielki polisy
  • poszkodowany w kolizji zwrócił się do firmy ubezpieczeniowej o przesłanie mu dokumentacji dotyczącej szkody – otrzymał ją bez jakiejkolwiek anonimizacji, trafiły do niego pełne dane właścicielki auta: jej imię i nazwisko, adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu
  • ubezpieczyciel sam zorientował się, że przekazał zbyt wiele informacji i w październiku 2018 r. zawiadomił właścicielkę o incydencie naruszenia ochrony jej danych osobowych.
  • kobieta przestraszyła się tego, że jej dane trafiły w niepowołane ręce – dlatego też wystąpiła do ubezpieczyciela o 10 tys. zł zadośćuczynienia za naruszenie ochrony jej danych osobowych, a gdy ten odmówił, skierowała pozew do sądu
  • sąd uznał, że żądana kwota 10 tys. zł jest zbyt wysoka w stosunku do rzeczywiście doznanej krzywdy
  • sąd wziął pod uwagę, że bezprawne przekazanie danych nie wiązało się z dalszymi negatywnymi konsekwencjami, jak nękanie czy próby zaciągnięcia zobowiązań – dlatego też kwota 1,5 tys. zł w sposób wystarczający, zdaniem sądu, zrekompensuje rzeczywistą krzywdę

Źródło: https://www.legalniewsieci.pl/aktualnosci/sad-przyznal-zadoscuczynienie-za-ujawnienie-danych-osobowych 

Kolejna kara za brak współpracy z UODO

  • spółka Smart Cities z Warszawy ukarana karą pieniężną w wysokości ponad 12 tys. zł za brak współpracy z UODO poprzez nieudzielanie odpowiedzi na jego pisma oraz niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań
  • UODO monitoruje i egzekwuje stosowanie tego rozporządzenia – dla umożliwienia realizacji zadań UODO przysługuje szereg uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań
  • zdaniem organu, utrudnianie i uniemożliwianie uzyskania dostępu do informacji, których UODO żądał od spółki, a które niewątpliwie są w jej posiadaniu, świadczy o rażącym lekceważeniu swoich obowiązków dotyczących współpracy z organem nadzoru w ramach wykonywania przez niego zadań

Źródło: https://uodo.gov.pl/pl/138/1867

WSA: Prezes UODO mógł ukarać niemiecką spółkę za brak współpracy

  • kara nałożona na firmę przez Prezesa UODO za brak współpracy w toku postępowania była zasadna – stwierdził WSA w Warszawie i oddalił skargę spółki East Power
  • decyzja sądu, która została podjęta na posiedzeniu niejawnym 26 stycznia 2021 r. oznacza, że spółka będzie musiała zapłacić 15 tys. zł kary, jak tylko wyrok się uprawomocni – strony postępowania mają jednak możliwość odwołania się od wyroku do NSA
  • kara związana była z tym, że w toku postępowania spółka nienależycie współpracowała z organem – nie wywiązywała się także z obowiązku zapewnienia organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji zadań związanych z rozpatrzeniem skargi wniesionej na te spółkę
  • postępowanie było pierwszym, w którym UODO nałożył na administratora karę w ramach postępowania transgranicznego
  • ukarana spółka zajmuje się na terenie Polski i Niemiec pośrednictwem pracy, a skargę na jej działania złożył obywatel Niemiec, gdyż przetwarzała ona jego dane osobowe w celach marketingowych
  • skargę złożył w niemieckim organie ochrony danych osobowych właściwym dla Nadrenii-Palatynatu, ale została ona przejęta do rozpoznania przez UODO, który był w tej sprawie tzw. organem wiodącym z uwagi na to, że spółka ma siedzibę w Polsce

Źródło: https://www.prawo.pl/biznes/rodo-wg-wsa-prezes-uodo-mogl-ukarac-firme-za-brak-wspolpracy,506102.html

Nagranie konferencji „Realna ochrona danych osobowych w zdalnej rzeczywistości”

  • głównym wydarzeniem zorganizowanym w ramach obchodów XV Dnia Ochrony Danych Osobowych była w tym roku konferencja pt. „Realna ochrona danych osobowych w zdalnej rzeczywistości”, zorganizowana 28 stycznia 2021 r. przez Urząd Ochrony Danych Osobowych w formule online
  • w ramach trzech sesji merytorycznych przedstawiciele Urzędu, Komisji Europejskiej, prawnicy i praktycy omówili najbardziej aktualne kwestie dotyczące ochrony danych osobowych i prywatności, odnosząc się również do nowej rzeczywistości, jaką jest zdalna praca czy nauka, które stworzyły bezprecedensowe wyzwania w tym zakresie
  • prelegenci dyskutowali o bieżących zadaniach i wyzwaniach, jakie stoją przed administratorami z sektora publicznego i prywatnego w związku ze stosowaniem przepisów o ochronie danych osobowych
  • nagranie z wydarzenia jest dostępne pod linkiem https://video.uodo.gov.pl/video/Konferencja_DODO.mp4

Źródło: https://uodo.gov.pl/pl/138/1868

Formalne ostrzeżenie za korzystanie z technologii rozpoznawania twarzy

  • holenderski organ ochrony danych (DPA) wystosował formalne ostrzeżenie do supermarketu w związku z korzystaniem przez niego z technologii rozpoznawania twarzy
  • supermarket twierdzi, że używał technologii rozpoznawania twarzy, aby chronić swoich klientów i pracowników oraz zapobiegać kradzieżom w sklepach – technologia została podłączona do kamer przy wejściu do sklepu.
  • technologia skanowała twarze każdego, kto wszedł do sklepu i porównała ją z bazą danych osób, którym zabroniono wchodzić do sklepów – twarze osób, które nie zostały zbanowane, były usuwane po kilku sekundach
  • zdaniem DPA, niedopuszczalne jest, aby ten supermarket – lub jakikolwiek inny sklep – zaczął po prostu korzystać z technologii rozpoznawania twarzy, niemal we wszystkich przypadkach korzystanie z takiej technologii poza domem jest zabronione
  • technologia rozpoznawania twarzy wykorzystuje dane biometryczne do identyfikacji ludzi – korzystanie z funkcji rozpoznawania twarzy w celu zapewnienia bezpieczeństwa jest zabronione we wszystkich sytuacjach oprócz dwóch
  • pierwsza dotyczy sytuacji, gdy osoby wyraziły wyraźną zgodę na przetwarzanie ich danych, a drugim wyjątkiem jest sytuacja, gdy technologia rozpoznawania twarzy jest niezbędna do celów uwierzytelniania lub bezpieczeństwa, ale tylko w zakresie, w jakim dotyczy to istotnego interesu publicznego

Źródło https://edpb.europa.eu/news/national-news/2021/dutch-dpa-issues-formal-warning-supermarket-its-use-facial-recognition_en

Pracownik przez dwie godziny streamował dane osobowe i hasła

  • jeden z pracowników firmy posiedzenia.pl, której klientami są setki gmin, urzędów i instytucji takich jak straż miejska, przez dwie godziny streamował na YouTube wszystko to, co robił na swoim służbowym komputerze
  • można było nie tylko zobaczyć dane osobowe klientów i hasła dostępowe, ale także usłyszeć prowadzone z klientami i współpracownikami rozmowy telefoniczne
  • pracownik, czytał i wysyłał e-maile, ujawniając zawartość skrzynki pocztowej co do samych danych kontrahentów jak i treści e-maili
  • poza e-mailem, pracownik komunikował się przez Gadu-Gadu, gdzie m.in. przekazywane były loginy i hasła
  • pracownik spędzał też sporo czasu w firmowym CRMie, gdzie uzupełniał dane klientów, więc można było poznać ich: imiona, nazwiska, adresy e-mail, numery telefonów, i inne informacje z nimi związane
  • pracownik przeglądał również umowy i faktury klientów oraz rozliczał podwykonawców
  • na pytania portalu Niebezpiecznik.pl firma odpowiedziała, że film został opublikowany omyłkowo i jest usunięty oraz dokłada wszelkich starań do ochrony danych osobowych i zajmiemy się tą sprawą profesjonalnie

Źródło: https://niebezpiecznik.pl/post/pracownik-przez-2-godziny-streamowal-hasla-i-dane-klientow-na-youtube/

Akredytacja podmiotów monitorujących kodeksy postępowania

  • UODO przedstawia wymogi akredytacji podmiotów monitorujących przestrzeganie postanowień kodeksów postępowania
  • w ubiegłym roku Prezes UODO przygotował i konsultował z zainteresowanymi podmiotami projekt wymogów akredytacji podmiotu monitorującego – zgodnie z mechanizmem spójności określonym w RODO, został on zaopiniowany przez EROD by zapewnić spójność stosowania przepisów RODO w państwach członkowskich Unii Europejskiej
  • w ostatnich dniach zakończyło się uzupełnienie projektu o zalecenia EROD, a to oznacza, że niebawem organ nadzoru będzie mógł zatwierdzić podmioty monitorujące kodeksy postępowania
  • informacje o zatwierdzonych kodeksach będą się pojawiały w rejestrze na stronie internetowej UODO
  • z kolei lista wszystkich organizacji, które zgłosiły swoje kodeksy do zatwierdzenia przez Prezesa UODO jest już dostępna na stronie internetowej organu pod linkiem: https://uodo.gov.pl/pl/426/1109.
  • w związku z wątpliwościami dotyczącymi akredytacji podmiotów monitorujących przestrzeganie kodeksów postępowania, jakie kierują do UODO podmioty, które wystąpiły z inicjatywą stworzenia kodeksów postępowania w swoich branżach, organ przygotowuje webinarium poświęcone tej tematyce, które odbędzie się 15 lutego 2021 r.

Źródło: https://uodo.gov.pl/pl/138/1861

Wyciek danych milionów osób zarejestrowanych do szczepienia w Holandii

  • w izbie niższej holenderskiego parlamentu (Tweede Kamer) toczyła się nadzwyczajna debata poświęcona wyciekowi danych milionów Holendrów zarejestrowanych do szczepienia przeciwko koronawirusowi
  • policja zatrzymała w Amsterdamie dwie osoby podejrzane o nielegalny handel danymi, które gromadzone są przez Agencję Zdrowia Publicznego (GGD)
  • aferę ujawniła telewizja RTL Nieuws, która wykryła handel na dużą skalę milionami danych adresowych, numerów telefonów i numerów ubezpieczenia społecznego z dwóch najważniejszych systemów – CoronIT i HPZone Lite
  • CoronIT to internetowy system rejestracji testów, do którego dostęp ma około 26 tys. pracowników GGD, zaś HPZone Lite to system informacyjny do wyszukiwania źródeł i kontaktów GGD, który zawiera prywatne dane Holendrów zagrożonych zarażeniem koronawirusem

Źródło: https://www.bankier.pl/wiadomosc/Wyciek-danych-milionow-osob-zarejestrowanych-do-szczepienia-w-Holandii-8049803.html

II edycja badania Ochrona danych osobowych w czasie pandemii

  • z przeprowadzonej przez Krajowy Rejestr Długów Biuro Informacji Gospodarczej (KRD) i serwis ChronPESEL.pl II edycji badania “Ochrona danych osobowych w czasie pandemii” wynika, że obecnie ataków hakerskich w sieci boi się więcej Polaków niż pół roku wcześniej
  • w II edycji badania, atak hakerów jako główne źródło zagrożenia dla naszych danych osobowych wskazało 25 proc. ankietowanych
  • wciąż więcej Polaków obawia się wycieków z bazy firm lub instytucji państwowych (46 proc.) oraz wyłudzenia danych w wyniku oszustwa (28,5 proc.)
  • ponad 50 proc. Polaków nie zmienia regularnie hasła do logowania, a ok. 20 proc. nie ma w urządzeniach antywirusa
  • porównując odpowiedzi respondentów udzielone w trakcie I i II fali pandemii, widać, że świadomość niebezpieczeństw rośnie
  • Ogólnopolskie badanie “Ochrona danych osobowych w czasie pandemii” zostało przeprowadzone w kwietniu i listopadzie 2020 r. przez IMAS International na zlecenie Krajowego Rejestru Długów i serwisu ChronPESEL.pl na próbie 515 osób

Źródło: https://grudziadz365.pl/pl/689_o-tym-sie-mowi/76966_badanie-ponad-polowa-polakow-nie-dba-o-regularna-zmiane-hasla-do-logowania.html

Zwolnienie dyscyplinarne za brak informacji o zagranicznej podróży

  • sprawa dotyczyła przedsiębiorstwa, które wydało zarządzenie w sprawie podjęcia środków zapewniających ochronę zdrowia, bezpieczeństwo pracowników i bezpieczeństwo całego zakładu pracy w związku z rozwojem epidemii COVID-19
  • zatrudnieni zostali zobowiązani m.in. do informowania firmy o powrocie z podróży zagranicznych – takie rozwiązanie miało umożliwić podjęcie decyzji o dalszym sposobie postępowania, które zabezpieczałoby pozostałych pracowników oraz produkcję
  • jeden z zatrudnionych na stanowisku magazyniera był w Holandii – nie poinformował nikogo o wyjeździe, a następnie wielokrotnie okłamał zatrudniającego, który pytał go o zagraniczny pobyt
  • firma zwolniła go dyscyplinarnie, a podwładny odwołał się do sądu pracy
  • sąd I instancji oddalił powództwo, pracownik odwołał się do Sądu Okręgowego w Olsztynie
  • sąd przyznał rację pracodawcy –uznał, że w pandemii zasadne jest pytanie o to, czy w ostatnim czasie pracownik nie przebywał w miejscu występowania wirusa SARS CoV-2
  • istotnym elementem wyroku jest nie tylko potwierdzenie prawa pracodawcy do wydawania wiążących zarządzeń, ale też brak obiekcji sądu w zakresie ochrony danych osobowych – chodzi np. o zbieranie danych dotyczących szczepień lub testów

Źródło https://tvn24.pl/biznes/z-kraju/koronawirus-w-polsce-zwolnienie-dyscyplinarne-za-brak-informacji-o-podrozy-za-granice-w-czasie-pandemii-covid-19-5006350

Łotewski cennik kar za naruszenie RODO

  • 28 stycznia 2021 r. łotewski organ nadzorczy opublikował dokument, którym będzie się posługiwał przy nakładaniu administracyjnych kar pieniężnych za naruszenia RODO
  • celem jest doprowadzenie do sytuacji, w której nakładane na Łotwie „kary za RODO” będą – zgodne z wymogiem art. 83 ust. 1 RODO – w każdym indywidualnym przypadku skuteczne, proporcjonalne
  • To już trzeci tego rodzaju dokument (po holenderskim i niemieckim).

Źródło: https://www.linkedin.com/pulse/%C5%82otewski-cennik-kar-za-naruszenie-rodo-adam-klimowski/ https://t.co/qvOyCgDgIj?amp=1 https://www.dvi.gov.lv/lv/dvi

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 23.02.2021 r.
Dzień Ochrony Danych Osobowych
XV Dzień Ochrony Danych Osobowych
RODO aktualności
RODO aktualności – 25.01.2021 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.