RODO aktualności – 09.02.2021 r.

• spółka Smart Cities z Warszawy ukarana karą pieniężną w wysokości ponad 12 tys. zł za brak współpracy z UODO poprzez nieudzielanie odpowiedzi na jego pisma oraz niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań
• UODO monitoruje i egzekwuje stosowanie tego rozporządzenia – dla umożliwienia realizacji zadań UODO przysługuje szereg uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań
• zdaniem organu, utrudnianie i uniemożliwianie uzyskania dostępu do informacji, których UODO żądał od spółki, a które niewątpliwie są w jej posiadaniu, świadczy o rażącym lekceważeniu swoich obowiązków dotyczących współpracy z organem nadzoru w ramach wykonywania przez niego zadań

Źródło: https://uodo.gov.pl/pl/138/1867

• kara nałożona na firmę przez Prezesa UODO za brak współpracy w toku postępowania była zasadna – stwierdził WSA w Warszawie i oddalił skargę spółki East Power
• decyzja sądu, która została podjęta na posiedzeniu niejawnym 26 stycznia 2021 r. oznacza, że spółka będzie musiała zapłacić 15 tys. zł kary, jak tylko wyrok się uprawomocni – strony postępowania mają jednak możliwość odwołania się od wyroku do NSA
• kara związana była z tym, że w toku postępowania spółka nienależycie współpracowała z organem – nie wywiązywała się także z obowiązku zapewnienia organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji zadań związanych z rozpatrzeniem skargi wniesionej na te spółkę
• postępowanie było pierwszym, w którym UODO nałożył na administratora karę w ramach postępowania transgranicznego
• ukarana spółka zajmuje się na terenie Polski i Niemiec pośrednictwem pracy, a skargę na jej działania złożył obywatel Niemiec, gdyż przetwarzała ona jego dane osobowe w celach marketingowych
• skargę złożył w niemieckim organie ochrony danych osobowych właściwym dla Nadrenii-Palatynatu, ale została ona przejęta do rozpoznania przez UODO, który był w tej sprawie tzw. organem wiodącym z uwagi na to, że spółka ma siedzibę w Polsce

Źródło: https://www.prawo.pl/biznes/rodo-wg-wsa-prezes-uodo-mogl-ukarac-firme-za-brak-wspolpracy,506102.html

• głównym wydarzeniem zorganizowanym w ramach obchodów XV Dnia Ochrony Danych Osobowych była w tym roku konferencja pt. „Realna ochrona danych osobowych w zdalnej rzeczywistości”, zorganizowana 28 stycznia 2021 r. przez Urząd Ochrony Danych Osobowych w formule online
• w ramach trzech sesji merytorycznych przedstawiciele Urzędu, Komisji Europejskiej, prawnicy i praktycy omówili najbardziej aktualne kwestie dotyczące ochrony danych osobowych i prywatności, odnosząc się również do nowej rzeczywistości, jaką jest zdalna praca czy nauka, które stworzyły bezprecedensowe wyzwania w tym zakresie
• prelegenci dyskutowali o bieżących zadaniach i wyzwaniach, jakie stoją przed administratorami z sektora publicznego i prywatnego w związku ze stosowaniem przepisów o ochronie danych osobowych
• nagranie z wydarzenia jest dostępne pod linkiem https://video.uodo.gov.pl/video/Konferencja_DODO.mp4

Źródło: https://uodo.gov.pl/pl/138/1868

• holenderski organ ochrony danych (DPA) wystosował formalne ostrzeżenie do supermarketu w związku z korzystaniem przez niego z technologii rozpoznawania twarzy
• supermarket twierdzi, że używał technologii rozpoznawania twarzy, aby chronić swoich klientów i pracowników oraz zapobiegać kradzieżom w sklepach – technologia została podłączona do kamer przy wejściu do sklepu.
• technologia skanowała twarze każdego, kto wszedł do sklepu i porównała ją z bazą danych osób, którym zabroniono wchodzić do sklepów – twarze osób, które nie zostały zbanowane, były usuwane po kilku sekundach
• zdaniem DPA, niedopuszczalne jest, aby ten supermarket – lub jakikolwiek inny sklep – zaczął po prostu korzystać z technologii rozpoznawania twarzy, niemal we wszystkich przypadkach korzystanie z takiej technologii poza domem jest zabronione
• technologia rozpoznawania twarzy wykorzystuje dane biometryczne do identyfikacji ludzi – korzystanie z funkcji rozpoznawania twarzy w celu zapewnienia bezpieczeństwa jest zabronione we wszystkich sytuacjach oprócz dwóch
• pierwsza dotyczy sytuacji, gdy osoby wyraziły wyraźną zgodę na przetwarzanie ich danych, a drugim wyjątkiem jest sytuacja, gdy technologia rozpoznawania twarzy jest niezbędna do celów uwierzytelniania lub bezpieczeństwa, ale tylko w zakresie, w jakim dotyczy to istotnego interesu publicznego

Źródło https://edpb.europa.eu/news/national-news/2021/dutch-dpa-issues-formal-warning-supermarket-its-use-facial-recognition_en

• jeden z pracowników firmy posiedzenia.pl, której klientami są setki gmin, urzędów i instytucji takich jak straż miejska, przez dwie godziny streamował na YouTube wszystko to, co robił na swoim służbowym komputerze
• można było nie tylko zobaczyć dane osobowe klientów i hasła dostępowe, ale także usłyszeć prowadzone z klientami i współpracownikami rozmowy telefoniczne
• pracownik, czytał i wysyłał e-maile, ujawniając zawartość skrzynki pocztowej co do samych danych kontrahentów jak i treści e-maili
• poza e-mailem, pracownik komunikował się przez Gadu-Gadu, gdzie m.in. przekazywane były loginy i hasła
• pracownik spędzał też sporo czasu w firmowym CRMie, gdzie uzupełniał dane klientów, więc można było poznać ich: imiona, nazwiska, adresy e-mail, numery telefonów, i inne informacje z nimi związane
• pracownik przeglądał również umowy i faktury klientów oraz rozliczał podwykonawców
• na pytania portalu Niebezpiecznik.pl firma odpowiedziała, że film został opublikowany omyłkowo i jest usunięty oraz dokłada wszelkich starań do ochrony danych osobowych i zajmiemy się tą sprawą profesjonalnie

Źródło: https://niebezpiecznik.pl/post/pracownik-przez-2-godziny-streamowal-hasla-i-dane-klientow-na-youtube/

• UODO przedstawia wymogi akredytacji podmiotów monitorujących przestrzeganie postanowień kodeksów postępowania
• w ubiegłym roku Prezes UODO przygotował i konsultował z zainteresowanymi podmiotami projekt wymogów akredytacji podmiotu monitorującego – zgodnie z mechanizmem spójności określonym w RODO, został on zaopiniowany przez EROD by zapewnić spójność stosowania przepisów RODO w państwach członkowskich Unii Europejskiej
• w ostatnich dniach zakończyło się uzupełnienie projektu o zalecenia EROD, a to oznacza, że niebawem organ nadzoru będzie mógł zatwierdzić podmioty monitorujące kodeksy postępowania
• informacje o zatwierdzonych kodeksach będą się pojawiały w rejestrze na stronie internetowej UODO
• z kolei lista wszystkich organizacji, które zgłosiły swoje kodeksy do zatwierdzenia przez Prezesa UODO jest już dostępna na stronie internetowej organu pod linkiem: https://uodo.gov.pl/pl/426/1109.
• w związku z wątpliwościami dotyczącymi akredytacji podmiotów monitorujących przestrzeganie kodeksów postępowania, jakie kierują do UODO podmioty, które wystąpiły z inicjatywą stworzenia kodeksów postępowania w swoich branżach, organ przygotowuje webinarium poświęcone tej tematyce, które odbędzie się 15 lutego 2021 r.

Źródło: https://uodo.gov.pl/pl/138/1861

• w izbie niższej holenderskiego parlamentu (Tweede Kamer) toczyła się nadzwyczajna debata poświęcona wyciekowi danych milionów Holendrów zarejestrowanych do szczepienia przeciwko koronawirusowi
• policja zatrzymała w Amsterdamie dwie osoby podejrzane o nielegalny handel danymi, które gromadzone są przez Agencję Zdrowia Publicznego (GGD)
• aferę ujawniła telewizja RTL Nieuws, która wykryła handel na dużą skalę milionami danych adresowych, numerów telefonów i numerów ubezpieczenia społecznego z dwóch najważniejszych systemów – CoronIT i HPZone Lite
• CoronIT to internetowy system rejestracji testów, do którego dostęp ma około 26 tys. pracowników GGD, zaś HPZone Lite to system informacyjny do wyszukiwania źródeł i kontaktów GGD, który zawiera prywatne dane Holendrów zagrożonych zarażeniem koronawirusem

Źródło: https://www.bankier.pl/wiadomosc/Wyciek-danych-milionow-osob-zarejestrowanych-do-szczepienia-w-Holandii-8049803.html

• z przeprowadzonej przez Krajowy Rejestr Długów Biuro Informacji Gospodarczej (KRD) i serwis ChronPESEL.pl II edycji badania „Ochrona danych osobowych w czasie pandemii” wynika, że obecnie ataków hakerskich w sieci boi się więcej Polaków niż pół roku wcześniej
• w II edycji badania, atak hakerów jako główne źródło zagrożenia dla naszych danych osobowych wskazało 25 proc. ankietowanych
• wciąż więcej Polaków obawia się wycieków z bazy firm lub instytucji państwowych (46 proc.) oraz wyłudzenia danych w wyniku oszustwa (28,5 proc.)
• ponad 50 proc. Polaków nie zmienia regularnie hasła do logowania, a ok. 20 proc. nie ma w urządzeniach antywirusa
• porównując odpowiedzi respondentów udzielone w trakcie I i II fali pandemii, widać, że świadomość niebezpieczeństw rośnie
• Ogólnopolskie badanie „Ochrona danych osobowych w czasie pandemii” zostało przeprowadzone w kwietniu i listopadzie 2020 r. przez IMAS International na zlecenie Krajowego Rejestru Długów i serwisu ChronPESEL.pl na próbie 515 osób

Źródło: https://grudziadz365.pl/pl/689_o-tym-sie-mowi/76966_badanie-ponad-polowa-polakow-nie-dba-o-regularna-zmiane-hasla-do-logowania.html

• sprawa dotyczyła przedsiębiorstwa, które wydało zarządzenie w sprawie podjęcia środków zapewniających ochronę zdrowia, bezpieczeństwo pracowników i bezpieczeństwo całego zakładu pracy w związku z rozwojem epidemii COVID-19
• zatrudnieni zostali zobowiązani m.in. do informowania firmy o powrocie z podróży zagranicznych – takie rozwiązanie miało umożliwić podjęcie decyzji o dalszym sposobie postępowania, które zabezpieczałoby pozostałych pracowników oraz produkcję
• jeden z zatrudnionych na stanowisku magazyniera był w Holandii – nie poinformował nikogo o wyjeździe, a następnie wielokrotnie okłamał zatrudniającego, który pytał go o zagraniczny pobyt
• firma zwolniła go dyscyplinarnie, a podwładny odwołał się do sądu pracy
• sąd I instancji oddalił powództwo, pracownik odwołał się do Sądu Okręgowego w Olsztynie
• sąd przyznał rację pracodawcy –uznał, że w pandemii zasadne jest pytanie o to, czy w ostatnim czasie pracownik nie przebywał w miejscu występowania wirusa SARS CoV-2
• istotnym elementem wyroku jest nie tylko potwierdzenie prawa pracodawcy do wydawania wiążących zarządzeń, ale też brak obiekcji sądu w zakresie ochrony danych osobowych – chodzi np. o zbieranie danych dotyczących szczepień lub testów

Źródło https://tvn24.pl/biznes/z-kraju/koronawirus-w-polsce-zwolnienie-dyscyplinarne-za-brak-informacji-o-podrozy-za-granice-w-czasie-pandemii-covid-19-5006350

• 28 stycznia 2021 r. łotewski organ nadzorczy opublikował dokument, którym będzie się posługiwał przy nakładaniu administracyjnych kar pieniężnych za naruszenia RODO
• celem jest doprowadzenie do sytuacji, w której nakładane na Łotwie „kary za RODO” będą – zgodne z wymogiem art. 83 ust. 1 RODO – w każdym indywidualnym przypadku skuteczne, proporcjonalne
• To już trzeci tego rodzaju dokument (po holenderskim i niemieckim).

Źródło: https://www.linkedin.com/pulse/%C5%82otewski-cennik-kar-za-naruszenie-rodo-adam-klimowski/ https://t.co/qvOyCgDgIj?amp=1 https://www.dvi.gov.lv/lv/dvi