RODO aktualności – 11.06.2019

Czego dotyczą najnowsze zmiany w UODO? Rok po RODO – jak wypada podsumowanie ostatnich 365 dni stosowania RODO w Polsce? Czy „darmowe” ubezpieczenie jest rzeczywiście darmowe? Na co trzeba zwrócić uwagę na wypadek ewentualnej kontroli UODO? RODO w służbie zdrowia – czy pacjenci powinni „być” numerkami? Jak zgodnie z RODO przetwarzać dane osobowe w agencjach PR? Czy RODO pomogło Biedronce? W czym RODO pomogło osobom ubiegającym się o kredyt? Czy radcy prawni mają obowiązek realizować obowiązek informacyjny w każdym przypadku? Czym są mieszane bazy danych? Jak bezpiecznie przetwarzać dane pracowników (monitoring, wizerunek, publikowanie informacji o urodzinach)? Czego dotyczy kolejny praktyczny poradnik od UODO?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z końcówki maja i początku czerwca 2019.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Zmiany w UODO

  • ustawą sektorową z 4 maja br. w nowej ustawie o ochronie danych osobowych dodano m.in. art. 11a na podstawie którego, podmiot, który wyznaczył IOD, może wyznaczyć osobę zastępującą IOD w czasie jego nieobecności
  • co do osoby zastępującej IOD stosuje się takie same wymagania jak wobec inspektora
  • w związku z wykonywaniem obowiązków IOD w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora
  • podmiot , który wyznaczył osobę zastępującą, zobowiązany jest zawiadomić o tym Prezesa UODO oraz udostępnić dane tej osoby na stronie internetowej

Źródło: https://samorzad.infor.pl/sektor/organizacja/rodo-2018/2974655,Zmiany-w-ustawie-o-ochronie-danych-osobowych-2019-r.html

Agencje PR nie radzą sobie z RODO

  • Fundacja internetPR sprawdziła, jak największe agencje PR i firmy w Polsce reagują na dziennikarzy zainteresowanych otrzymywaniem informacji i chęcią nawiązania kontaktu
  • przedmiotem badań był sposób odpowiedzi na prośbę o otrzymywanie informacji i nawiązywania relacji, a ponadto sprawdzano, jak podmioty są przygotowane do pytań o szczegóły przetwarzania danych oraz usunięcie z bazy
  • 64% firm poprawnie odpowiedziało na prośbę o informacje w jaki sposób przetwarzane są dane, 9% firm nie odpowiedziało na maila z pytaniem o szczegóły przetwarzania danych zupełnie, a w przypadku 27% w mailu zwrotnym nie znajdowała się faktyczna odpowiedź na prośbę

Źródło: https://ceo.com.pl/rok-po-rodo-z-punktu-widzenia-dziennikarza-70534

Kontrola zwolnień lekarskich a RODO

  • pracodawcom zatrudniającym ponad 20 pracowników przysługuje uprawnienie do skontrolowania prawidłowości wykorzystania przez pracowników zwolnień lekarskich
  • pracodawca może dokonać kontroli samodzielnie lub przy współpracy z podmiotem zewnętrznym
  • zgodnie z decyzją Prezesa UODO pracodawca realizując swoje szczególne prawa w tym zakresie powinien zawrzeć z podmiotem zewnętrznym zgodną z przepisami prawa pracy umowę o świadczenie usług oraz umowę powierzenia przetwarzania danych osobowych spełniającą wymogi art. 28 RODO

Źródło: https://ksiegowosc.infor.pl/zus-kadry/zatrudnianie-i-zwalnianie/2979592,Kontrola-zwolnien-lekarskich-a-ochrona-danych-osobowych.html Decyzja Prezesa UODO z 20 marca 2019 r. (sygn. ZSZZS.440.727.2018)

Dzięki RODO dowiesz się dlaczego nie dostałeś kredytu

  • 4 maja br. w życie weszła tzw. ustawa sektorowa RODO zmieniające m.in. przepisy Prawa bankowego
  • poprawki w prawie dają klientowi możliwość żądania od banku udzielenia informacji, jakie dane osobowe miały główny wpływ na dokonaną oceną zdolności kredytowej, która finalnie doprowadziła do odmowy
  • jeżeli decyzja kredytowa była negatywna i została podjęta w sposób zautomatyzowany, czyli bez udziału człowieka, klient banku lub innej instytucji finansowej może zarówno zażądać podania przyczyn odmowy, jak i ponownego rozpatrzenia wniosku

Źródło: https://alebank.pl/nie-dostales-kredytu-dzieki-rodo-bank-musi-poinformowac-cie-dlaczego/?id=285509&catid=22869

Przetwarzanie danych przez radców bez informowania

  • gdy radca prawny przetwarza dane osób trzecich, które pozyskał od swoich klientów, nie musi powiadamiać tych osób o zbieraniu i przetwarzaniu ich danych, gdyby naruszało to tajemnicę zawodową
  • takie rozwiązanie ma na celu umocnienie zaufania klienta do tych podmiotów
  • w przeciwnym wypadku dochodziłoby do sytuacji, że radca prawny zobowiązany byłby poinformować osobę, np. domniemanego sprawcę przestępstwa zgłoszonego mu przez klienta, o gromadzeniu jego danych osobowych, co byłoby sprzeczne z interesem klienta i umożliwiłoby ukrycie się przestępcy

Źródło: https://prawo.gazetaprawna.pl/artykuly/1412845,rodo-przetwarzanie-danych-przez-radcow-tajemnica-zawodowa.html

Phishing na klientów Pekao

  • 22 maja br. na skrzynki Polaków (nie tylko klientów Pekao) rozesłane zostały fałszywe e-maile podszywające się pod Pekao
  • cyberprzestępcy nakłaniają ofiary do instalacji złośliwej aplikacji na smartfony i wyłudzają dane do logowania w serwisie bankowości elektronicznej Pekao24
  • wszystkich przestrzegamy przed tym atakiem phishingowym i radzimy korzystać z programów antywirusowych nie tylko na komputerach

Źródło: https://niebezpiecznik.pl/post/ciekawy-phishing-na-klientow-pekao/?fbclid=IwAR0Q2GbgQbtNXSnhrS50mGSwJw-thSfRiiEkiQc9eMghpCuLVb4Y5XQTHoM https://www.komputerswiat.pl/aktualnosci/bezpieczenstwo/nowy-atak-phishingowy-wymierzony-w-klientow-polskiego-banku/5h92h2g

Rok po RODO

  • rok po rozpoczęciu stosowania nowego rozporządzenia eksperci oceniają, że Polska poradziła sobie z reformą danych osobowych
  • eksperci krytykują jednak, że polski ustawodawca wdrażając RODO do krajowego prawa, okazał się bardziej restrykcyjny i wymagający wobec przedsiębiorców niż inne państwa
  • natomiast w praktycznym stosowaniu nowych regulacji Prezes UODO wydaje się dla przedsiębiorców łaskawy – w pierwszej chwili zwrócił się głównie do urzędów
  • do tej pory nałożono dwie kary, których wysokość znacznie odbiega od tych nakładanych w innych krajach

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414070,rok-po-rodo-jak-poradzilismy-sobie-z-reforma-danych-osobowych.html

Na co trzeba zwrócić uwagę na wypadek ewentualnej kontroli UODO?

  • ustawodawca nie określił wprost zakresu działań, które może objąć kontrola UODO
  • eksperci wskazują 8 podstawowych zagadnień na jakie kontrolujący będą mogli zwrócić uwagę:
  1. monitoring
  2. upoważnienia do przetwarzania danych
  3. dokumentacja dotycząca ochrony danych osobowych
  4. dokumentacja osobowa
  5. korzystanie z usług podmiotów trzecich
  6. rejestr naruszeń
  7. niszczenie dokumentacji
  8. zabezpieczenie przetwarzanych danych osobowych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1413179,rodo-co-trzeba-wiedziec-na-wypadek-kontroli-uodo.html

Obywatele świadomi znaczenia ochrony danych osobowych

  • dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji dr Maciej Kawecki wskazuje, że najważniejsza zmiana, która zaszła po wprowadzeniu RODO dotyczy świadomości społecznej
  • dr Kawecki podkreślił, że 46% polskiego PKB oparte jest na danych, stąd ich ochrona jest kluczowa dla rozwoju gospodarki
  • dr Kawecki wskazał, że jest RODO to regulacja neutralna technicznie, dlatego też w najbliższym czasie nie ma konieczności tworzenia RODO 2.0 – dodatkowo Komisja Europejska zajmuje stanowisko, w którym sprzeciwia się kolejnym regulacjom w obszarze prywatności i bezpieczeństwa danych

Źródło: https://www.cyberdefence24.pl/dr-kawecki-rok-z-rodo-obywatele-swiadomi-znaczenia-ochrony-danych-osobowych

RODO nie pomogło Biedronce

  • Jeronimo Martins odmówiło przekazania danych pracowników działającej w sieci „Solidarności” powołując się na RODO
  • w swoim stanowisku Prezes UODO wskazuje jednak wprost, że związek zawodowy ma prawo pozyskiwać od pracodawcy imiona i nazwiska pracowników oraz dane umożliwiające poinformowanie pracownika o referendum strajkowym
  • szef „Solidarności” wskazał, że związek czeka teraz na oficjalne pismo z Urzędu
  • prokuratura we Wrześni prowadzi śledztwo ws. utrudniania przez właściciela Biedronki prowadzenia działalności związkowej

Źródło: https://www.money.pl/gospodarka/rodo-biedronce-nie-pomoze-musi-przekazac-dane-zwiazkowcom-ktorzy-chca-strajku-6384106763986561a.html

Jak RODO zmieniło polskie firmy?

  • wejście w życie RODO, w 89% polskich firm skutkowało istotnymi zmianami – wynika z przygotowanego przez EY Polska raportu „Rok z RODO. Stosowanie RODO w firmach – szanse i zagrożenia”
  • 68% organizacji poniosło odczuwalne wydatki na dostosowanie do nowych przepisów, a oprócz pieniędzy zainwestowało w ten proces również czas
  • z punktu widzenia ponad połowy firm (56%) wyzwania na nadchodzący czas to ograniczenie wpływu RODO na działania marketingowe i sprzedażowe
  • przedsiębiorcy deklarują, że będą musieli stawić również czoła nadużywaniu przez konsumentów np. prawa do zapomnienia (39%)

Źródło: https://alebank.pl/jak-rodo-zmienilo-polskie-firmy/

Polacy bardziej ufają pracodawcom

  • Polacy coraz bardziej ufają, że pracodawcy chronią ich dane osobowe
  • nie mały wkład w tę pozytywną zmianę miało właśnie to unijne rozporządzenie
  • 59,6% polskich pracowników uważa, że ich dane osobowe w miejscu pracy są bezpieczne
  • średnia europejska wynosi 56,3%
  • największe zaufanie do bezpieczeństwa przechowywania danych mają milenialsi, aż 75,60% z nich uważa, że ich pracodawca skutecznie zabezpiecza ich dane osobowe

Źródło: https://www.pulshr.pl/prawo-pracy/rok-od-wprowadzenia-rodo-polacy-bardziej-ufaja-pracodawcom,64102.html

Google vs RODO: runda I

  • na skutek doniesień o możliwym łamaniu przepisów RODO irlandzki odpowiednik Prezesa UODO wszczął postępowanie w sprawie Google
  • celem prowadzonego śledztwa będzie sprawdzenie, czy stosowana przez amerykańską korporację polityka prywatności spełnia wymagania RODO
  • w szczególności irlandzki UODO ma zwrócić uwagę na to, co dokładnie dzieje się z danymi użytkownika w procesie wyświetlania spersonalizowanych reklam
  • przedstawiciel Google poinformował, że firma ma zamiar od początku ściśle współpracować z irlandzkimi organami powołanymi do kontroli

Źródło: https://www.tabletowo.pl/irlandia-przyglada-sie-google-i-rodo/

Prezes UODO: nie będę robił rewolucji

  • Dużym wyzwaniem będzie sprawne i terminowe rozpatrywanie skarg. Liczyliśmy się z tym, że w związku z RODO skarg będzie dużo więcej, ale nikt nie przypuszczał, że aż tyle – mówi Jan Nowak, Prezes UODO
  • według nowego Prezesa, Urząd Ochrony Danych Osobowych to dojrzały, dobrze ukształtowany organizm, niemniej nie wyklucza on pewnych zmian wewnętrznych
  • kolejnym wyzwaniem będzie tworzenie przewidzianego przepisami o ochronie danych osobowych systemu certyfikacji oraz zatwierdzanie kodeksów postępowania
  • w zakresie możliwych kar finansowych, Prezes UODO uspokaja, że do ich nakładania podchodzi z dużą odpowiedzialnością oraz rozwagą, a przed podjęciem decyzji w tej sprawie opinię, czy nałożenie kary jest zasadne i jaka powinna być jej wysokość, wyraża specjalnie powołany komitet

Źródło: https://www.rp.pl/Dane-osobowe/305269977-Jan-Nowak-prezes-UODO-nie-bede-robil-rewolucji.html

Ubezpieczenie za zgodę marketingową

  • PZU Pomoc od 27 maja br. zapewnia rodzicom i opiekunom dzieci do 18. roku życia możliwość bezpłatnego przystąpienia na czas wakacji do ubezpieczenia NNW
  • aby z niego skorzystać, należy wypełnić formularz deklaracji i wyrazić zgody na przetwarzanie danych we wskazanych celach (w tym w celach marketingowych, przez wszystkie podmioty powiązane kapitałowo z PZU)
  • zdaniem Fundacji Panoptykon takie działanie rażąco narusza przepisy RODO, a pod pozorem darmowej usługi próbuje się uzyskać wartość w postaci ogromnej bazy danych
  • PZU z takim postawieniem sprawy się nie zgadza i zapowiada podjęcie stosownych kroków prawnych przeciwko osobom, kierującym zarzuty

Źródło: https://businessinsider.com.pl/firmy/strategie/pzu-ubezpieczy-za-darmo-dzieci-trzeba-zgodzic-sie-na-reklamy/zc52hgx

Polacy chcą usunięcia ich danych przez Google

  • w ciągu ostatnich pięciu lat Google otrzymał z Polski 22,4 tys. Zgłoszeń od osób prywatnych w sprawie usunięcia danych osobowych z wyników wyszukiwania
  • spośród 91,2 tys. dotychczas zweryfikowanych przez Google adresów stron, usuniętych zostało 40,2 tys. (44%)
  • Google tłumaczy, że większość zgłoszonych stron nie zostało usuniętych m.in. z powodów technicznych oraz tego, że zawierały informacje, których pozostawienie jest w wyraźnym interesie publicznym
  • zdecydowana część zgłoszeń nie odnosi skutku, bo Google nie ma określonego terminu, w którym powinien dane usunąć

Źródło: https://www.press.pl/tresc/57407,ponad-20-tys_-zgloszen-z-polski-w-sprawie-usuniecia-danych-z-google

Zapomniane dane w bibliotekach

  • brak jest jakichkolwiek szczególnych przepisów dotyczących przetwarzania danych osobowych przez biblioteki
  • biblioteki bardzo różnie podchodzą do ochrony danych osobowych czytelników
  • brak jest nawet zgodności co do tego, jaka jest podstawa przetwarzania tych danych i czy jest ono niezbędne do wykonywania umowy z biblioteką
  • przykładowo osoby nie będące studentami UW, aby móc korzystać z biblioteki uniwersyteckiej muszą podać zarówno PESEL, jak i numer oraz serię dowodu tożsamości – dane wystarczające do zaciągnięcia kredytu

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414371,pesel-bilbioteki-dane-osobowe.html

UODO kontroluje Bayer

  • UODO zainteresował się stosowaną jeszcze niedawno przez Bayer praktyką zmuszania aptekarzy do przesyłania im do wiadomości recept pacjentów, zawierających m.in. numery PESEL
  • choć koncern twierdzi, że przed rozpoczęciem RODO zaprzestał zbierania tych numerów, to i tak pozostaje pytanie, czy wciąż nie przetwarza zgromadzonych danych
  • przekazywanie takich informacji może skutkować cofnięciem zezwolenia na prowadzenie apteki, co niejednokrotnie przypominał Główny Inspektorat Farmaceutyczny

Źródło: https://biznes.gazetaprawna.pl/artykuly/1414561,panstwo-sprawdza-czy-wielcy-producenci-lekow-nie-rozgrywaja-rynku-aptek.html

Wykaz kar za RODO

  • niemiecka firma prawnicza CMS Hasche Sigle prowadzi rejestr administracyjnych kar pieniężnych, nakładanych w Europie za naruszenia przepisów RODO
  • w rejestrze można znaleźć informacje kto, za co i w jakiej wysokości otrzymał karę
  • strona jest prowadzona w języku angielskim
  • link do rejestru: http://enforcementtracker.com/

Kiedy obowiązek informacyjny naraża na śmieszność

  • w tym roku do wniosku o przyjęcie do szkoły ponadgimnazjalnej automatycznie dołączane były informacje dotyczące RODO – w Warszawie informacje te zajęły trzy strony z liczącego siedem stron wniosku, dodatkowo zarówno kandydat, jak i jego rodzice musieli je wydrukować i potwierdzić swymi podpisami, że się z nimi zapoznali
  • eksperci są zgodni – drukowanie i podpisywanie nie ma żadnego sensu, obowiązek informacyjny wykonuje się nie poprzez odebranie oświadczenia, ale przez przekazanie informacji, np. wyświetlenie na stronie internetowej
  • podobnie uważa UODO – zasada rozliczalności nie musi oznaczać tworzenia i gromadzenia niepotrzebnej dokumentacji, nie zawsze konieczne jest np. zbieranie oświadczeń w formie papierowych czy podpisanych własnoręcznie dokumentów

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414776,rodo-szkoly-uczniowie-obowiazek-informacyjny.html

Ochnik ofiarą cyberataku?

  • od 28 maja br. Ochnik rozsyła do swoich klientów wiadomości SMS z informacją o możliwym wycieku danych osobowych
  • sklep informuje, że wykrył próbę dostępu do bazy systemu ERP, gdzie przechowywane są dane osobowe klientów: imię i nazwisko, adres e-mail, numer telefonu, adres oraz dane dotyczące składanych reklamacji
  • po wykryciu incydentu Ochnik zawiadomił organy ścigania o możliwości popełnienia przestępstwa oraz Prezesa UODO
  • sieć przyznaje, że wykryła incydent 15 kwietnia br.

Źródło: http://next.gazeta.pl/next/7,151243,24837054,wyciekly-dane-klientow-ochnika-polska-marka-padla-ofiara-cyberataku.html

Pacjenci nie chcą być numerkami

  • RODO w służbie zdrowia było tematem szkolenia i dyskusji w Uniwersyteckim Szpitalu Klinicznym w Opolu
  • Pacjenci mają na przykład prawo do nieodpłatnego dostępu do pierwszej kopii dokumentacji medycznej – podkreślał dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji
  • dyrektor USK podkreślał z kolei, że na szczególną uwagę zasługuje sprawa sposobu wywoływania pacjenta do gabinetu lekarskiego – To jest podstawowa rzecz, bo ludzie nie chcą być oznaczeni numerkami. Nie możemy zamienić ludzi na cyfry oraz liczby i mówić „numer siedem”, „numer osiem” – przecież to jest pacjent – żywy człowiek – więc w jakiś sposób trzeba to rozwiązywać.
  • pełne wystąpienia ze szkolenia można odsłuchać pod linkiem: http://radio.opole.pl/100,280517,rodo-przysparza-trudnosci-i-watpliwosci-w-szpita

Wykorzystywanie wizerunku pracownika

  • ochrona wizerunku jest przedmiotem regulacji: art. 111 k.p. (poszanowanie godności i innych dóbr osobistych), art. 23 i 24 k.c. (dobro osobiste), art. 81 prawa autorskiego oraz RODO (dane osobowe)
  • pracodawca korzysta z wizerunku pracownika zarówno w sferze działalności wewnętrznej (w ramach organizacji i funkcjonowania zakładu pracy), jak i zewnętrznej (w działaniach promocyjnych itp.).
  • pracodawca może korzystać z wizerunku pracownika jeśli ma ku temu właściwą przesłankę – najczęściej przesłanką taką jest zgoda pracownika, konieczność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze lub celów wynikających z (prawnie uzasadnionych) interesów pracodawcy
  • w przypadku rozpowszechniania wizerunku na zewnątrz konieczne jest pozyskanie od pracownika zezwolenia, o którym mowa w art. 81 prawa autorskiego
  • naruszenie prawa pracownika do ochrony wizerunku grozi pracodawcy konsekwencjami z zakresu prawa cywilnego, prawa pracy oraz RODO

Źródło: https://businessinsider.com.pl/firmy/przepisy/wizerunek-pracownika-wykorzystywany-przez-pracodawce-przepisy/bpmtz1s

Bilans pierwszego roku stosowania RODO

  • na kilka dni przed pierwszą rocznicą stosowania RODO, Europejska Rada Ochrony Danych zebrała wyniki ankiet, wypełnionych przez organy nadzorcze krajów Europejskiego Obszaru Gospodarczego i sporządziła bilans dotychczasowych osiągnięć
  • większość organów nadzorczych zgłasza wzrost liczby zapytań i skarg w porównaniu z rokiem 2017
  • właściwe instytucje państw EOG zarejestrowały ponad 144 tys. zapytań i skarg i ponad 89 tys. zgłoszeń naruszeń ochrony danych osobowych, z czego 63% spraw zostało zakończonych
  • 67% ankietowanych obywateli Unii Europejskiej oświadczyło, że słyszało o RODO, a 36% że wie, z czym RODO się wiąże, 57% badanych stwierdziło, iż są świadomi istnienia krajowego organu publicznego odpowiedzialnego za ochronę danych

Źródło: https://uodo.gov.pl/pl/138/1007 https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en

Sam zamiar złożenia pozwu nie stwarza interesu prawnego

  • zgodnie z przepisami ustawy o ewidencji ludności dane z rejestru PESEL oraz z rejestru mieszkańców mogą być udostępnione zainteresowanym, jeżeli wykażą oni w tym swój interes prawny
  • skarżąca zwróciła się do urzędu miasta o udostępnienie z miejskich rejestrów adresu zameldowania i PESEL właścicielki działki sąsiadującej wyjaśniając, że ma interes prawny w ich uzyskaniu, ponieważ zamierza m.in. złożyć do sądu powszechnego pozew o ochronę dóbr osobistych – spotkała się z odmową
  • prezydent miasta a potem również wojewoda małopolski stwierdzili, że ewentualny zamiar wystąpienia z pozwem do sądu nie może być uznany do posiadania interesu prawnego, gdyż ten musi istnieć aktualnie, a nie hipotetycznie
  • WSA w Krakowie, do którego skarżąca złożyła skargę na decyzję wojewody oddalił tą skargę wskazując, że wyprowadzenie interesu prawnego z okoliczności przyszłych i niepewnych, nie ma usprawiedliwionych podstaw

Źródło: https://www.rp.pl/Dane-osobowe/305299980-Dane-osobowe-zamiar-zlozenia-pozwu-nie-stwarza-interesu-prawnego.html?fbclid=IwAR2JkXBIE-FTgYmF79fOEUei5cS3V4sgF3zxUipF3HJd2lqyee-Z9bc5sRY wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 25 kwietnia 2019 r. (sygn. akt III SA/Kr 117/19)

Wielki Brat w pracy

  • kamery mogą być wykorzystywane przez pracodawcę tylko w określonych warunkach, a jeśli już są stosowane, to nie mogą jednocześnie nagrywać dźwięku
  • zastosowanie monitoringu regulują przepisy zawarte w kodeksie pracy, które określają cele monitoringu: bezpieczeństwo pracowników, ochrona mienia, kontrola produkcji oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę
  • firmy muszą informować pracowników o okolicznościach przetwarzania danych osobowych związanych ze stosowaniem wideonadzoru – w trybie indywidualnym i zbiorowym oraz poprzez oznaczenie graficzne lub dźwiękowe miejsc objętych monitorowaniem
  • chcesz wiedzieć jak bezpiecznie przetwarzać dane pracowników? Zapraszamy do naszego e-szkolenia -> link.

Źródło: https://businessinsider.com.pl/firmy/przepisy/monitoring-w-pracy-a-rodo-prawa-i-obowiazki-pracodawcy-i-pracownika/3m7whbd

Przepływ danych nieosobowych

  • 28 maja br. w życie weszło Rozporządzenie Parlamentu Europejskiego i Rady dotyczące ram swobodnego przepływu danych nieosobowych w Unii Europejskiej
  • chodzi o informacje, dane elektroniczne, które nie pozwalają na ustalenie tożsamości, ale wskazują z jakich wyszukiwarek, systemów operacyjnych korzystamy, jakie strony przeglądamy, ile czasu na nich spędzamy – czyli o podstawę wielu nowoczesnych usług.
  • celem nowej regulacji jest w głównej mierze zwiększenie swobody przy przetwarzaniu danych przez podmioty świadczące usługi cloud computing, (IaaS, PaaS, SaaS), big data, internetu rzeczy oraz sztucznej inteligencji, a ponadto wzmocnienie cyfrowej gospodarki Europy

Źródło: https://www.prawo.pl/prawo/przeplyw-danych-nieosobowych-obowiazuje-unijne-rozporzadzenie,422125.html

Mieszane bazy danych

  • mieszane bazy danych to bazy składające się zarówno z danych osobowych jak i danych nieosobowych
  • łączenie takich baz podlega nowym regulacjom – punktem wyjścia jest odpowiedź na pytanie do której części z takich baz stosuje się RODO, a do której nowe rozporządzenie o przepływie danych nieosobowych
  • Komisja Europejska wydała swoje wytyczne, które koncentrują się na interakcji między swobodnym przepływem regulacji danych nieosobowych a RODO, dotyczy to w szczególności: pojęcia danych osobowych i nieosobowych oraz ich połączenia w tak zwanych „mieszanych bazach danych”, zasad swobodnego przepływu danych i zakazu wymagania lokalizacji danych oraz przenoszenia danych

Źródło: https://ec.europa.eu/digital-single-market/en/news/practical-guidance-businesses-how-process-mixed-datasets

Koniec ze straszeniem RODO

  • niepokój w związku z wdrażaniem przepisów RODO udzielił się licznym administratorom danych co starali się wykorzystać różni oszuści, grożąc oprowadzeniem do wszczęcia kontroli i do nałożenia wysokich kar finansowych
  • wskutek nowelizacji Kodeksu karnego taki czyn będzie uznawany za przestępstwo
  • istota tkwi w zmodyfikowanej definicji groźby bezprawnej, za którą będzie uznawane grożenie spowodowaniem nie tylko postępowania karnego, ale także innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna
  • chodzi tu również o postępowanie w sprawie stwierdzenia naruszenia ochrony danych, prowadzone przez Prezesa UODO, które w istocie może zakończyć się wymierzeniem wysokiej kary finansowej

Źródło: https://www.portaloswiatowy.pl/zmiany-w-prawie-oswiatowym/koniec-ze-straszeniem-rodo-znowelizowano-kodeks-karny-16827.html

Poradnik UODO dot. naruszeń

  • Pytanie UODO udostępnił na swojej stronie internetowej materiał informacyjny dotyczący obowiązków administratorów i podmiotów przetwarzających w związku z naruszeniami ochrony danych
  • z doświadczeń organu w zakresie przyjmowania i analizy zgłoszeń naruszeń wynika, że administratorzy w dalszym ciągu mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych
  • poradnik wskakuje m.in. o jakich naruszeniach należy powiadomić Prezesa UODO, jak ocenić ryzyko naruszenia praw i wolności osób fizycznych oraz kiedy i w jaki sposób informować osoby, których dane dotyczą o tym naruszeniu

Źródło: https://uodo.gov.pl/pl/138/1029

RODO a dostęp do informacji publicznej

  • RODO nie ogranicza dostępu obywateli do informacji publicznej, a jedynie wskazuje zasady właściwego przetwarzania danych osobowych przez administratorów danych
  • motyw 4 preambuły do RODO stanowi, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym – należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności
  • prawo do informacji publicznej jest jednym z praw podstawowych – zostało zagwarantowane w art. 61 Konstytucji RP
  • ochrona obejmuje osoby fizyczne, które nie pełnią funkcji publicznych – organ powinien ograniczyć dostęp do informacji umożliwiających ich identyfikację, co w praktyce oznacza udostępnienie dokumentów odpowiednio zanonimizowanych ze względu na prywatność osób fizycznych

Źródło: https://www.pit.pl/aktualnosci/dostep-do-informacji-publicznej-w-swietle-rodo-956616

Dane przedszkolaków w zadaniu maturalnym

  • do stworzenia jednego z zadań na egzaminie maturalnym z informatyki, który odbył się w 2014 r. wykorzystano dane prawdziwe dane dzieci, które w 2013 r. ubiegały się o przyjęcie do publicznych przedszkoli w Gdańsku
  • plik, na którym pracowali maturzyści, zawierał listę 2443 imion, nazwisk, numerów PESEL, informacji o płci i wieku dzieci
  • dane przez pięć lat były dostępne na stronie Centralnej Komisji Egzaminacyjnej
  • dane zniknęły po interwencji Zaufanej Strony Trzeciej

Źródło: https://m.trojmiasto.pl/wiadomosci/Dane-24-tys-gdanskich-przedszkolakow-w-zadaniu-maturalnym-n134965.html?fbclid=IwAR0w-M33KKC7YkJaK0hp_gewJNvVzyrocnUn7i_PeyQ4cRaaebfXCTng1sA

RODO utrudnia świętowanie urodzin?

  • świętowanie w pracy urodzin czy imienin, o ile jest oddolną inicjatywą pracowników, to przejaw dobrej atmosfery w zespole
  • RODO nie wprowadza wprawdzie zakazu świętowania urodzin pracowników w firmie, ale nakłada dodatkowe obowiązki dotyczące upubliczniania daty urodzenia
  • zgodnie z RODO publiczne świętowanie urodzin pracownika nie może się odbyć bez jego zgody
  • nie można udostępniać w firmie wspólnego kalendarza z datami urodzin, zanim się nie uzyska pozwolenia wszystkich zainteresowanych

Źródło: https://www.rp.pl/Biznes/306029938-Urodziny-zwykle-integruja-ludzi–ale-niektorym-moga-sprawic-klopot.html

UODO pracuje nad nowym poradnikiem dot. rekrutacji

  • UODO pracuje nad nowym poradnikiem w sprawie gromadzenia i przechowywania informacji o kandydatach do pracy
  • aktualny poradnik wywołał spore zamieszanie ze względu na bezkompromisowe podejście do danych kandydatów
  • w odpowiedzi na wątpliwości jakie przyniosła publikacja poradnika UODO, Ministerstwo Cyfryzacji wydało objaśnienia prawne, w których m.in. inaczej interpretowano okres przechowywania danych kandydatów
  • poradnik ma być gotowy w ciągu najbliższych kilku tygodni

Źródło: https://www.rp.pl/Kadry/306039982-RODO—rekrutacja-dane-kandydatow-do-pracy-lagodniej-traktowane—UODO-pracuje-nad-nowym-poradnikiem.html

813 mln cyberataków na polskie firmy

  • według najnowszego raportu Interaktywnie.com „RODO i cyberbezpieczeństwo 2019”:
    • 33% polskich firm doświadczyło w ubiegłym roku od jednego do trzech cyberataków
    • 21% twierdzi, że odnotowała ich od 4 do 9
    • 6% wskazuje, że zostało zaatakowanych co najmniej 30 razy
  • najczęstszym źródłem pochodzenia ataków są Stany Zjednoczone, na drugim miejscu znalazła się Rosja, a na kolejnych Włochy i Wielka Brytania
  • ponad 48% cyberataków jest efektem zaniedbań pracowników

Źródło: https://m.interia.pl/biznes/news,2616573

2 miliony euro za niechciany telemarketing

  • włoski organ nadzorczy nałożył karę 2 mln euro na firmę, która wykonywała za pośrednictwem albańskiego centrum telefonicznego działania telemarketingowe w imieniu firmy działającej w sektorze energetycznym
  • telemarketing prowadzony był bez wymaganych zgód oraz informowania osób, kto, w jakim zakresie i w jakim celu przetwarza ich dane osobowe
  • na wysokość sankcji złożyło się nie tylko samo naruszenie przepisów ochrony danych osobowych, ale również postępowanie ukaranej spółki, która według włoskiego organu nie potraktowała przepisów z należytą powagą oraz nie wzięła pod uwagę konsekwencji swojego działania
  • karę nałożono na podstawie przepisów obowiązujących przed wejściem w życie RODO

Źródło: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9116516#3

Pamiętajmy o papierowych archiwach

  • przedsiębiorcy w obawie przed karami wynikającymi z RODO skupili się głównie na elektronicznym obiegu dokumentów, zapominając o papierowych archiwach
  • jak wskazuje Iron Mountain w ciągu ostatniego roku firma uporządkowała archiwa liczące 100 mln dokumentów i okazało się, że przeszło 40 mln z nich było już dawno przeterminowanych
  • wielu przedsiębiorców uznało, że w przypadku papierowych dokumentów, inaczej niż w przypadku ich cyfrowej wersji, trudniej o ich wyciek, zniszczenie czy modyfikację
  • czas dozwolonego przechowywania zależy głównie od okresu przedawnienia roszczeń wynikającego z danego zobowiązania

Źródło: https://www.rp.pl/Firma/306039934-RODO-papierowe-archiwa-firm-z-danymi-osobowymi-klientow-moga-byc-ryzykowne.html

Kolejne skargi ws. praktyk prywatności Google

  • urzędy ochrony danych osobowych w dziewięciu krajach UE (Francji, Włoszech, Niemczech, Belgii, Bułgarii, Czechach, Estonii, Słowenii i na Węgrzech) otrzymały skargi dot. praktyk prywatności stosowanych przez Google’a
  • chodzi o przetwarzanie danych internautów na potrzeby sprzedaży reklam
  • Działający w czasie rzeczywistym system udostępnia dane użytkowników setkom, a nawet tysiącom firm. Ta metoda reklamowa w oczywisty sposób narusza unijne regulacje dotyczące ochrony danych – powiedziała Ewa Simon, ekspertka prawna koordynującego składanie skarg ugrupowania „Liberties”

Źródło: http://www.dlahandlu.pl/technologie-i-wyposazenie/ue-w-9-krajach-kolejne-skargi-ws-praktyk-prywatnosci-google-a,79828.html

Dowody osobiste bez danych

  • wszystkie nowe e-dowody osobiste wydawane od marca br. są niezgodne z ustawą o dowodach osobistych – to nawet 700 tysięcy wyprodukowanych dokumentów
  • nowe e-dowody w chipie nie mają zapisanych wszystkich wymaganych danych – chodzi o imiona rodziców oraz nazwisko rodowe
  • MSWiA, które odpowiada za personalizację dowodów, zapewnia, że to nie powoduje nieważności dokumentu i nazywa tę sytuację nieścisłością formalno-techniczną
  • Ministerstwo tłumaczy, że warstwa elektroniczna dowodu jest kluczem także do rejestrów państwowych, a tam są obecne wszystkie niezbędne dane

Źródło: https://www.rmf24.pl/fakty/news-w-e-dowodach-brakuje-istotnych-danych-mswia-uspokaja,nId,3026599

RODO nie wymaga wyraźnej zgody na przetwarzanie ciasteczek

  • nowelizacja ustawy o świadczeniu usług drogą elektroniczną, wywołała popłoch w branży internetowej – usługodawcy muszą uzyskać wyraźną zgodę na profilowanie (np. do celów reklamy, badania rynku)
  • zdaniem prawników nie oznacza to jednak zasypu mailami o zgody na przetwarzanie
  • w normalnej sytuacji dane pozyskiwane dzięki cookies nie pozwalają na ustalenie tożsamości osoby fizycznej
  • dopiero, gdy pliki cookies mogą mieć charakter danych osobowych, należy dostosować do RODO treść informacji podawanych przy okazji ich instalowania
  • to powinno było jednak nastąpić już 25 maja 2018 r., a tzw. ustawa wdrażająca niczego tutaj nie zmienia

Źródło: https://www.prawo.pl/biznes/zgoda-na-przetwarzanie-ciasteczek-a-rodo-i-eprivacy,426875.html

8 tys. skarg od konsumentów

  • dwie kary administracyjne i około 8 tys. skarg od konsumentów – to bilans 12 miesięcy obowiązywania RODO
  • Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO wskazuje, że na ocenę funkcjonowania nowych przepisów jest wciąż zbyt wcześnie, ale część zmian ustawodawczych, które były w Polsce wprowadzane na przestrzeni ostatnich kilkunastu miesięcy, nie przysłużyła się do właściwego stosowania przepisów RODO
  • ekspert podkreśla, że nowe przepisy, które weszły w życie na początku maja, są niespójne z RODO i rozstrzygająca będzie w ich przypadku interpretacja Prezesa UODO

Źródło: https://ceo.com.pl/dzieki-rodo-konsumenci-maja-wieksza-wiedze-o-ochronie-danych-osobowych-liczba-skarg-wzrosla-dwukrotnie-32233

Ponad 4,5 tys. zgłoszeń o utracie danych

  • od 25 maja 2018 r. do UODO wpłynęło 4 539 zgłoszeń o utracie danych , a we wszystkich krajach UE do odpowiedników UODO wpłynęło już 89 271 zgłoszeń
  • Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO, zauważa, że na pewno zgłoszeń jest więcej w tych krajach, gdzie funkcjonował już system powszechnego zgłaszania, w których obowiązek ten nie był ograniczony do sektora telekomunikacyjnego
  • z danych UODO wynika, że częstymi naruszeniami są przypadki przesłania danych osobowych do niewłaściwego odbiorcy, tj. na niewłaściwy adres e-mail czy do korespondencji
  • ponadto dużo jest zgłoszeń dotyczących zagubienia lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne), dokumentów zawierających dane osobowe klientów

Źródło: https://www.prawo.pl/biznes/jak-i-jakie-naruszenia-ochrony-danych-zglaszac-do-uodo,424638.html

Rozporządzenie w sprawie trybu i sposobu realizacji zadań przez IOD

  • od 6 czerwca br. obowiązuje Rozporządzenie Prezesa RM w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych, o których mowa w ustawie wdrażającej tzw. dyrektywę policyjną (dot. przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości)
  • Rozporządzenie wskazuje m.in. sposób współpracy IOD z administratorem, osobami, które uczestniczą w operacjach przetwarzania danych osobowych oraz osobami, których dane dotyczą, a także sposób w jaki ta współpraca powinna zostać udokumentowana
  • pełna treść Rozporządzenia: http://www.dziennikustaw.gov.pl/DU/2019/1041

Google analizuje maile w Gmailu do profilowania

  • Google gromadzi informacje o dokonanych przez użytkowników zakupach, nawet jeśli dokonano ich poza Google – informacje te pobierane są z Gmaila
  • aby wyizolować i przeanalizować dokonane zakupy, Google musi skanować każdą wiadomość mail i odpowiednio zakwalifikować ją jako zakup
  • usunięcie tak zgromadzonych informacji jest skomplikowane, a opcje jej wyłączenia są ukryte w ustawieniach prywatności
  • Google twierdzi, że nie wykorzystuje tych informacji do sprzedaży reklam

Źródło: https://www.zerohedge.com/news/2019-06-04/google-parses-your-gmail-financial-transactions?fbclid=IwAR2ge8pMieABd9-cCH6Q6_EBZzVcxJAjp2THCSBKomcgcvR4SbGbRjr8Zw4

Dokumenty z sądu na śmietniku

  • urzędniczka Sądu Rejonowego we Włodawie w połowie listopada 2018 r. wykonała wydruki zawiadomień z systemu ksiąg wieczystych zawierające numery ksiąg, PESEL oraz adresy zamieszkania ośmiu osób
  • dokumenty te zamiast do niszczarki wyrzucała do kosza na śmieci
  • firma zajmująca się odbiorem odpadów zamiast dostarczyć śmieci na wysypisko, po drodze część worków wyrzuciła do rowu
  • prokuratura oskarżyła urzędniczkę o niedopełnienie obowiązków służbowych związanych z ochroną danych osobowych
  • firma zajmująca się odbiorem śmieci poniesie natomiast karę finansową za zanieczyszczanie środowiska

Źródło: https://www.prawo.pl/prawnicy-sady/dane-osobowe-z-sadu-trafily-do-smieci,427491.html

Dokumentacja medyczna po zaprzestaniu działalności

  • w Ministerstwie Zdrowia rozpoczęte zostały prace legislacyjne dotyczące przygotowania projektu ustawy regulującej w sposób kompleksowy tematykę dokumentacji medycznej, w tym zawierającej rozwiązania ułatwiające i racjonalizujące proces jej digitalizacji
  • obecnie w przypadku zaprzestania wykonywania działalności leczniczej podmiot udzielający świadczeń zdrowotnych przekazuje dokumentację medyczną podmiotom wskazanym w ustawie o prawach pacjenta i Rzeczniku Praw Pacjent – w pierwszej kolejności dokumentacja powinna trafić do podmiotu, który przejął zadania lecznicze
  • w przypadku gdy nie jest możliwe ustalenie podmiotu, za przechowywanie dokumentacji odpowiada wojewoda

Źródło: http://www.infodent24.pl/lexdentpost/kto-i-jak-ma-archiwizowac-dokumentacje-medyczna-po-zaprzestaniu-dzialalnosci-medycznej,112216.html

Kolejna wysoka kara CNIL

  • Francuski organ ochrony danych osobowych nałożył drugą karę za naruszenie RODO – tym razem ukaranym podmiotem jest agencja nieruchomości Sergic
  • przyczyną było niewłaściwe zabezpieczenie danych na stronie internetowej – użytkownicy strony Sergic mogli uzyskać dostęp do dokumentów zapisanych przez innych użytkowników, nieznacznie modyfikując adres URL wyświetlany w przeglądarce
  • ​​dokumenty te zawierały kopie dowodu osobistego, legitymacji, zawiadomień podatkowych, zaświadczeń wydanych przez fundusz zasiłków rodzinnych, orzeczeń rozwodowych, wyciągów z konta lub danych banku
  • wysokość kary to 400 tys. euro

Źródło: https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de

RODO jako narzędzie do naprzykrzania się wnioskami

Przedstawiciele branży IT: RODO jest niejasne, łatwo nadużywane, sięga za daleko i umacnia pozycję dużych firm technologicznych. Aż prosi się aby je wykorzystać.
Organy nadzoru: To nigdy się nie wydarzy.
Reklama: Nienawidzisz swojego dostawcy poczty e-mail? Pomożemy ci wysłać mu takie wiadomości dotyczące dostępu do danych na podstawie RODO, na których odpowiedź zajmie mu tak dużo czasu jak to tylko możliwe. Ma obowiązek odpowiedzieć na nie w przeciągu 30 dni.

Źródło: https://twitter.com/zck/status/1134545851479543809

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 27.05.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 03.06.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 10.06.2019 Pobierz

Powiązane artykuły

RODO aktualności
RODO aktualności – 24.12.2024 r.
RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO