Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 11.06.2019

Czego dotyczą najnowsze zmiany w UODO? Rok po RODO – jak wypada podsumowanie ostatnich 365 dni stosowania RODO w Polsce? Czy “darmowe” ubezpieczenie jest rzeczywiście darmowe? Na co trzeba zwrócić uwagę na wypadek ewentualnej kontroli UODO? RODO w służbie zdrowia – czy pacjenci powinni “być” numerkami? Jak zgodnie z RODO przetwarzać dane osobowe w agencjach PR? Czy RODO pomogło Biedronce? W czym RODO pomogło osobom ubiegającym się o kredyt? Czy radcy prawni mają obowiązek realizować obowiązek informacyjny w każdym przypadku? Czym są mieszane bazy danych? Jak bezpiecznie przetwarzać dane pracowników (monitoring, wizerunek, publikowanie informacji o urodzinach)? Czego dotyczy kolejny praktyczny poradnik od UODO?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z końcówki maja i początku czerwca 2019.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Zmiany w UODO

  • ustawą sektorową z 4 maja br. w nowej ustawie o ochronie danych osobowych dodano m.in. art. 11a na podstawie którego, podmiot, który wyznaczył IOD, może wyznaczyć osobę zastępującą IOD w czasie jego nieobecności
  • co do osoby zastępującej IOD stosuje się takie same wymagania jak wobec inspektora
  • w związku z wykonywaniem obowiązków IOD w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora
  • podmiot , który wyznaczył osobę zastępującą, zobowiązany jest zawiadomić o tym Prezesa UODO oraz udostępnić dane tej osoby na stronie internetowej

Źródło: https://samorzad.infor.pl/sektor/organizacja/rodo-2018/2974655,Zmiany-w-ustawie-o-ochronie-danych-osobowych-2019-r.html

Agencje PR nie radzą sobie z RODO

  • Fundacja internetPR sprawdziła, jak największe agencje PR i firmy w Polsce reagują na dziennikarzy zainteresowanych otrzymywaniem informacji i chęcią nawiązania kontaktu
  • przedmiotem badań był sposób odpowiedzi na prośbę o otrzymywanie informacji i nawiązywania relacji, a ponadto sprawdzano, jak podmioty są przygotowane do pytań o szczegóły przetwarzania danych oraz usunięcie z bazy
  • 64% firm poprawnie odpowiedziało na prośbę o informacje w jaki sposób przetwarzane są dane, 9% firm nie odpowiedziało na maila z pytaniem o szczegóły przetwarzania danych zupełnie, a w przypadku 27% w mailu zwrotnym nie znajdowała się faktyczna odpowiedź na prośbę

Źródło: https://ceo.com.pl/rok-po-rodo-z-punktu-widzenia-dziennikarza-70534

Kontrola zwolnień lekarskich a RODO

  • pracodawcom zatrudniającym ponad 20 pracowników przysługuje uprawnienie do skontrolowania prawidłowości wykorzystania przez pracowników zwolnień lekarskich
  • pracodawca może dokonać kontroli samodzielnie lub przy współpracy z podmiotem zewnętrznym
  • zgodnie z decyzją Prezesa UODO pracodawca realizując swoje szczególne prawa w tym zakresie powinien zawrzeć z podmiotem zewnętrznym zgodną z przepisami prawa pracy umowę o świadczenie usług oraz umowę powierzenia przetwarzania danych osobowych spełniającą wymogi art. 28 RODO

Źródło: https://ksiegowosc.infor.pl/zus-kadry/zatrudnianie-i-zwalnianie/2979592,Kontrola-zwolnien-lekarskich-a-ochrona-danych-osobowych.html Decyzja Prezesa UODO z 20 marca 2019 r. (sygn. ZSZZS.440.727.2018)

Dzięki RODO dowiesz się dlaczego nie dostałeś kredytu

  • 4 maja br. w życie weszła tzw. ustawa sektorowa RODO zmieniające m.in. przepisy Prawa bankowego
  • poprawki w prawie dają klientowi możliwość żądania od banku udzielenia informacji, jakie dane osobowe miały główny wpływ na dokonaną oceną zdolności kredytowej, która finalnie doprowadziła do odmowy
  • jeżeli decyzja kredytowa była negatywna i została podjęta w sposób zautomatyzowany, czyli bez udziału człowieka, klient banku lub innej instytucji finansowej może zarówno zażądać podania przyczyn odmowy, jak i ponownego rozpatrzenia wniosku

Źródło: https://alebank.pl/nie-dostales-kredytu-dzieki-rodo-bank-musi-poinformowac-cie-dlaczego/?id=285509&catid=22869

Przetwarzanie danych przez radców bez informowania

  • gdy radca prawny przetwarza dane osób trzecich, które pozyskał od swoich klientów, nie musi powiadamiać tych osób o zbieraniu i przetwarzaniu ich danych, gdyby naruszało to tajemnicę zawodową
  • takie rozwiązanie ma na celu umocnienie zaufania klienta do tych podmiotów
  • w przeciwnym wypadku dochodziłoby do sytuacji, że radca prawny zobowiązany byłby poinformować osobę, np. domniemanego sprawcę przestępstwa zgłoszonego mu przez klienta, o gromadzeniu jego danych osobowych, co byłoby sprzeczne z interesem klienta i umożliwiłoby ukrycie się przestępcy

Źródło: https://prawo.gazetaprawna.pl/artykuly/1412845,rodo-przetwarzanie-danych-przez-radcow-tajemnica-zawodowa.html

Phishing na klientów Pekao

  • 22 maja br. na skrzynki Polaków (nie tylko klientów Pekao) rozesłane zostały fałszywe e-maile podszywające się pod Pekao
  • cyberprzestępcy nakłaniają ofiary do instalacji złośliwej aplikacji na smartfony i wyłudzają dane do logowania w serwisie bankowości elektronicznej Pekao24
  • wszystkich przestrzegamy przed tym atakiem phishingowym i radzimy korzystać z programów antywirusowych nie tylko na komputerach

Źródło: https://niebezpiecznik.pl/post/ciekawy-phishing-na-klientow-pekao/?fbclid=IwAR0Q2GbgQbtNXSnhrS50mGSwJw-thSfRiiEkiQc9eMghpCuLVb4Y5XQTHoM https://www.komputerswiat.pl/aktualnosci/bezpieczenstwo/nowy-atak-phishingowy-wymierzony-w-klientow-polskiego-banku/5h92h2g

Rok po RODO

  • rok po rozpoczęciu stosowania nowego rozporządzenia eksperci oceniają, że Polska poradziła sobie z reformą danych osobowych
  • eksperci krytykują jednak, że polski ustawodawca wdrażając RODO do krajowego prawa, okazał się bardziej restrykcyjny i wymagający wobec przedsiębiorców niż inne państwa
  • natomiast w praktycznym stosowaniu nowych regulacji Prezes UODO wydaje się dla przedsiębiorców łaskawy – w pierwszej chwili zwrócił się głównie do urzędów
  • do tej pory nałożono dwie kary, których wysokość znacznie odbiega od tych nakładanych w innych krajach

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414070,rok-po-rodo-jak-poradzilismy-sobie-z-reforma-danych-osobowych.html

Na co trzeba zwrócić uwagę na wypadek ewentualnej kontroli UODO?

  • ustawodawca nie określił wprost zakresu działań, które może objąć kontrola UODO
  • eksperci wskazują 8 podstawowych zagadnień na jakie kontrolujący będą mogli zwrócić uwagę:
  1. monitoring
  2. upoważnienia do przetwarzania danych
  3. dokumentacja dotycząca ochrony danych osobowych
  4. dokumentacja osobowa
  5. korzystanie z usług podmiotów trzecich
  6. rejestr naruszeń
  7. niszczenie dokumentacji
  8. zabezpieczenie przetwarzanych danych osobowych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1413179,rodo-co-trzeba-wiedziec-na-wypadek-kontroli-uodo.html

Obywatele świadomi znaczenia ochrony danych osobowych

  • dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji dr Maciej Kawecki wskazuje, że najważniejsza zmiana, która zaszła po wprowadzeniu RODO dotyczy świadomości społecznej
  • dr Kawecki podkreślił, że 46% polskiego PKB oparte jest na danych, stąd ich ochrona jest kluczowa dla rozwoju gospodarki
  • dr Kawecki wskazał, że jest RODO to regulacja neutralna technicznie, dlatego też w najbliższym czasie nie ma konieczności tworzenia RODO 2.0 – dodatkowo Komisja Europejska zajmuje stanowisko, w którym sprzeciwia się kolejnym regulacjom w obszarze prywatności i bezpieczeństwa danych

Źródło: https://www.cyberdefence24.pl/dr-kawecki-rok-z-rodo-obywatele-swiadomi-znaczenia-ochrony-danych-osobowych

RODO nie pomogło Biedronce

  • Jeronimo Martins odmówiło przekazania danych pracowników działającej w sieci „Solidarności” powołując się na RODO
  • w swoim stanowisku Prezes UODO wskazuje jednak wprost, że związek zawodowy ma prawo pozyskiwać od pracodawcy imiona i nazwiska pracowników oraz dane umożliwiające poinformowanie pracownika o referendum strajkowym
  • szef „Solidarności” wskazał, że związek czeka teraz na oficjalne pismo z Urzędu
  • prokuratura we Wrześni prowadzi śledztwo ws. utrudniania przez właściciela Biedronki prowadzenia działalności związkowej

Źródło: https://www.money.pl/gospodarka/rodo-biedronce-nie-pomoze-musi-przekazac-dane-zwiazkowcom-ktorzy-chca-strajku-6384106763986561a.html

Jak RODO zmieniło polskie firmy?

  • wejście w życie RODO, w 89% polskich firm skutkowało istotnymi zmianami – wynika z przygotowanego przez EY Polska raportu „Rok z RODO. Stosowanie RODO w firmach – szanse i zagrożenia”
  • 68% organizacji poniosło odczuwalne wydatki na dostosowanie do nowych przepisów, a oprócz pieniędzy zainwestowało w ten proces również czas
  • z punktu widzenia ponad połowy firm (56%) wyzwania na nadchodzący czas to ograniczenie wpływu RODO na działania marketingowe i sprzedażowe
  • przedsiębiorcy deklarują, że będą musieli stawić również czoła nadużywaniu przez konsumentów np. prawa do zapomnienia (39%)

Źródło: https://alebank.pl/jak-rodo-zmienilo-polskie-firmy/

Polacy bardziej ufają pracodawcom

  • Polacy coraz bardziej ufają, że pracodawcy chronią ich dane osobowe
  • nie mały wkład w tę pozytywną zmianę miało właśnie to unijne rozporządzenie
  • 59,6% polskich pracowników uważa, że ich dane osobowe w miejscu pracy są bezpieczne
  • średnia europejska wynosi 56,3%
  • największe zaufanie do bezpieczeństwa przechowywania danych mają milenialsi, aż 75,60% z nich uważa, że ich pracodawca skutecznie zabezpiecza ich dane osobowe

Źródło: https://www.pulshr.pl/prawo-pracy/rok-od-wprowadzenia-rodo-polacy-bardziej-ufaja-pracodawcom,64102.html

Google vs RODO: runda I

  • na skutek doniesień o możliwym łamaniu przepisów RODO irlandzki odpowiednik Prezesa UODO wszczął postępowanie w sprawie Google
  • celem prowadzonego śledztwa będzie sprawdzenie, czy stosowana przez amerykańską korporację polityka prywatności spełnia wymagania RODO
  • w szczególności irlandzki UODO ma zwrócić uwagę na to, co dokładnie dzieje się z danymi użytkownika w procesie wyświetlania spersonalizowanych reklam
  • przedstawiciel Google poinformował, że firma ma zamiar od początku ściśle współpracować z irlandzkimi organami powołanymi do kontroli

Źródło: https://www.tabletowo.pl/irlandia-przyglada-sie-google-i-rodo/

Prezes UODO: nie będę robił rewolucji

  • Dużym wyzwaniem będzie sprawne i terminowe rozpatrywanie skarg. Liczyliśmy się z tym, że w związku z RODO skarg będzie dużo więcej, ale nikt nie przypuszczał, że aż tyle – mówi Jan Nowak, Prezes UODO
  • według nowego Prezesa, Urząd Ochrony Danych Osobowych to dojrzały, dobrze ukształtowany organizm, niemniej nie wyklucza on pewnych zmian wewnętrznych
  • kolejnym wyzwaniem będzie tworzenie przewidzianego przepisami o ochronie danych osobowych systemu certyfikacji oraz zatwierdzanie kodeksów postępowania
  • w zakresie możliwych kar finansowych, Prezes UODO uspokaja, że do ich nakładania podchodzi z dużą odpowiedzialnością oraz rozwagą, a przed podjęciem decyzji w tej sprawie opinię, czy nałożenie kary jest zasadne i jaka powinna być jej wysokość, wyraża specjalnie powołany komitet

Źródło: https://www.rp.pl/Dane-osobowe/305269977-Jan-Nowak-prezes-UODO-nie-bede-robil-rewolucji.html

Ubezpieczenie za zgodę marketingową

  • PZU Pomoc od 27 maja br. zapewnia rodzicom i opiekunom dzieci do 18. roku życia możliwość bezpłatnego przystąpienia na czas wakacji do ubezpieczenia NNW
  • aby z niego skorzystać, należy wypełnić formularz deklaracji i wyrazić zgody na przetwarzanie danych we wskazanych celach (w tym w celach marketingowych, przez wszystkie podmioty powiązane kapitałowo z PZU)
  • zdaniem Fundacji Panoptykon takie działanie rażąco narusza przepisy RODO, a pod pozorem darmowej usługi próbuje się uzyskać wartość w postaci ogromnej bazy danych
  • PZU z takim postawieniem sprawy się nie zgadza i zapowiada podjęcie stosownych kroków prawnych przeciwko osobom, kierującym zarzuty

Źródło: https://businessinsider.com.pl/firmy/strategie/pzu-ubezpieczy-za-darmo-dzieci-trzeba-zgodzic-sie-na-reklamy/zc52hgx

Polacy chcą usunięcia ich danych przez Google

  • w ciągu ostatnich pięciu lat Google otrzymał z Polski 22,4 tys. Zgłoszeń od osób prywatnych w sprawie usunięcia danych osobowych z wyników wyszukiwania
  • spośród 91,2 tys. dotychczas zweryfikowanych przez Google adresów stron, usuniętych zostało 40,2 tys. (44%)
  • Google tłumaczy, że większość zgłoszonych stron nie zostało usuniętych m.in. z powodów technicznych oraz tego, że zawierały informacje, których pozostawienie jest w wyraźnym interesie publicznym
  • zdecydowana część zgłoszeń nie odnosi skutku, bo Google nie ma określonego terminu, w którym powinien dane usunąć

Źródło: https://www.press.pl/tresc/57407,ponad-20-tys_-zgloszen-z-polski-w-sprawie-usuniecia-danych-z-google

Zapomniane dane w bibliotekach

  • brak jest jakichkolwiek szczególnych przepisów dotyczących przetwarzania danych osobowych przez biblioteki
  • biblioteki bardzo różnie podchodzą do ochrony danych osobowych czytelników
  • brak jest nawet zgodności co do tego, jaka jest podstawa przetwarzania tych danych i czy jest ono niezbędne do wykonywania umowy z biblioteką
  • przykładowo osoby nie będące studentami UW, aby móc korzystać z biblioteki uniwersyteckiej muszą podać zarówno PESEL, jak i numer oraz serię dowodu tożsamości – dane wystarczające do zaciągnięcia kredytu

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414371,pesel-bilbioteki-dane-osobowe.html

UODO kontroluje Bayer

  • UODO zainteresował się stosowaną jeszcze niedawno przez Bayer praktyką zmuszania aptekarzy do przesyłania im do wiadomości recept pacjentów, zawierających m.in. numery PESEL
  • choć koncern twierdzi, że przed rozpoczęciem RODO zaprzestał zbierania tych numerów, to i tak pozostaje pytanie, czy wciąż nie przetwarza zgromadzonych danych
  • przekazywanie takich informacji może skutkować cofnięciem zezwolenia na prowadzenie apteki, co niejednokrotnie przypominał Główny Inspektorat Farmaceutyczny

Źródło: https://biznes.gazetaprawna.pl/artykuly/1414561,panstwo-sprawdza-czy-wielcy-producenci-lekow-nie-rozgrywaja-rynku-aptek.html

Wykaz kar za RODO

  • niemiecka firma prawnicza CMS Hasche Sigle prowadzi rejestr administracyjnych kar pieniężnych, nakładanych w Europie za naruszenia przepisów RODO
  • w rejestrze można znaleźć informacje kto, za co i w jakiej wysokości otrzymał karę
  • strona jest prowadzona w języku angielskim
  • link do rejestru: http://enforcementtracker.com/

Kiedy obowiązek informacyjny naraża na śmieszność

  • w tym roku do wniosku o przyjęcie do szkoły ponadgimnazjalnej automatycznie dołączane były informacje dotyczące RODO – w Warszawie informacje te zajęły trzy strony z liczącego siedem stron wniosku, dodatkowo zarówno kandydat, jak i jego rodzice musieli je wydrukować i potwierdzić swymi podpisami, że się z nimi zapoznali
  • eksperci są zgodni – drukowanie i podpisywanie nie ma żadnego sensu, obowiązek informacyjny wykonuje się nie poprzez odebranie oświadczenia, ale przez przekazanie informacji, np. wyświetlenie na stronie internetowej
  • podobnie uważa UODO – zasada rozliczalności nie musi oznaczać tworzenia i gromadzenia niepotrzebnej dokumentacji, nie zawsze konieczne jest np. zbieranie oświadczeń w formie papierowych czy podpisanych własnoręcznie dokumentów

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414776,rodo-szkoly-uczniowie-obowiazek-informacyjny.html

Ochnik ofiarą cyberataku?

  • od 28 maja br. Ochnik rozsyła do swoich klientów wiadomości SMS z informacją o możliwym wycieku danych osobowych
  • sklep informuje, że wykrył próbę dostępu do bazy systemu ERP, gdzie przechowywane są dane osobowe klientów: imię i nazwisko, adres e-mail, numer telefonu, adres oraz dane dotyczące składanych reklamacji
  • po wykryciu incydentu Ochnik zawiadomił organy ścigania o możliwości popełnienia przestępstwa oraz Prezesa UODO
  • sieć przyznaje, że wykryła incydent 15 kwietnia br.

Źródło: http://next.gazeta.pl/next/7,151243,24837054,wyciekly-dane-klientow-ochnika-polska-marka-padla-ofiara-cyberataku.html

Pacjenci nie chcą być numerkami

  • RODO w służbie zdrowia było tematem szkolenia i dyskusji w Uniwersyteckim Szpitalu Klinicznym w Opolu
  • Pacjenci mają na przykład prawo do nieodpłatnego dostępu do pierwszej kopii dokumentacji medycznej – podkreślał dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji
  • dyrektor USK podkreślał z kolei, że na szczególną uwagę zasługuje sprawa sposobu wywoływania pacjenta do gabinetu lekarskiego – To jest podstawowa rzecz, bo ludzie nie chcą być oznaczeni numerkami. Nie możemy zamienić ludzi na cyfry oraz liczby i mówić „numer siedem”, „numer osiem” – przecież to jest pacjent – żywy człowiek – więc w jakiś sposób trzeba to rozwiązywać.
  • pełne wystąpienia ze szkolenia można odsłuchać pod linkiem: http://radio.opole.pl/100,280517,rodo-przysparza-trudnosci-i-watpliwosci-w-szpita

Wykorzystywanie wizerunku pracownika

  • ochrona wizerunku jest przedmiotem regulacji: art. 111 k.p. (poszanowanie godności i innych dóbr osobistych), art. 23 i 24 k.c. (dobro osobiste), art. 81 prawa autorskiego oraz RODO (dane osobowe)
  • pracodawca korzysta z wizerunku pracownika zarówno w sferze działalności wewnętrznej (w ramach organizacji i funkcjonowania zakładu pracy), jak i zewnętrznej (w działaniach promocyjnych itp.).
  • pracodawca może korzystać z wizerunku pracownika jeśli ma ku temu właściwą przesłankę – najczęściej przesłanką taką jest zgoda pracownika, konieczność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze lub celów wynikających z (prawnie uzasadnionych) interesów pracodawcy
  • w przypadku rozpowszechniania wizerunku na zewnątrz konieczne jest pozyskanie od pracownika zezwolenia, o którym mowa w art. 81 prawa autorskiego
  • naruszenie prawa pracownika do ochrony wizerunku grozi pracodawcy konsekwencjami z zakresu prawa cywilnego, prawa pracy oraz RODO

Źródło: https://businessinsider.com.pl/firmy/przepisy/wizerunek-pracownika-wykorzystywany-przez-pracodawce-przepisy/bpmtz1s

Bilans pierwszego roku stosowania RODO

  • na kilka dni przed pierwszą rocznicą stosowania RODO, Europejska Rada Ochrony Danych zebrała wyniki ankiet, wypełnionych przez organy nadzorcze krajów Europejskiego Obszaru Gospodarczego i sporządziła bilans dotychczasowych osiągnięć
  • większość organów nadzorczych zgłasza wzrost liczby zapytań i skarg w porównaniu z rokiem 2017
  • właściwe instytucje państw EOG zarejestrowały ponad 144 tys. zapytań i skarg i ponad 89 tys. zgłoszeń naruszeń ochrony danych osobowych, z czego 63% spraw zostało zakończonych
  • 67% ankietowanych obywateli Unii Europejskiej oświadczyło, że słyszało o RODO, a 36% że wie, z czym RODO się wiąże, 57% badanych stwierdziło, iż są świadomi istnienia krajowego organu publicznego odpowiedzialnego za ochronę danych

Źródło: https://uodo.gov.pl/pl/138/1007 https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en

Sam zamiar złożenia pozwu nie stwarza interesu prawnego

  • zgodnie z przepisami ustawy o ewidencji ludności dane z rejestru PESEL oraz z rejestru mieszkańców mogą być udostępnione zainteresowanym, jeżeli wykażą oni w tym swój interes prawny
  • skarżąca zwróciła się do urzędu miasta o udostępnienie z miejskich rejestrów adresu zameldowania i PESEL właścicielki działki sąsiadującej wyjaśniając, że ma interes prawny w ich uzyskaniu, ponieważ zamierza m.in. złożyć do sądu powszechnego pozew o ochronę dóbr osobistych – spotkała się z odmową
  • prezydent miasta a potem również wojewoda małopolski stwierdzili, że ewentualny zamiar wystąpienia z pozwem do sądu nie może być uznany do posiadania interesu prawnego, gdyż ten musi istnieć aktualnie, a nie hipotetycznie
  • WSA w Krakowie, do którego skarżąca złożyła skargę na decyzję wojewody oddalił tą skargę wskazując, że wyprowadzenie interesu prawnego z okoliczności przyszłych i niepewnych, nie ma usprawiedliwionych podstaw

Źródło: https://www.rp.pl/Dane-osobowe/305299980-Dane-osobowe-zamiar-zlozenia-pozwu-nie-stwarza-interesu-prawnego.html?fbclid=IwAR2JkXBIE-FTgYmF79fOEUei5cS3V4sgF3zxUipF3HJd2lqyee-Z9bc5sRY wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 25 kwietnia 2019 r. (sygn. akt III SA/Kr 117/19)

Wielki Brat w pracy

  • kamery mogą być wykorzystywane przez pracodawcę tylko w określonych warunkach, a jeśli już są stosowane, to nie mogą jednocześnie nagrywać dźwięku
  • zastosowanie monitoringu regulują przepisy zawarte w kodeksie pracy, które określają cele monitoringu: bezpieczeństwo pracowników, ochrona mienia, kontrola produkcji oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę
  • firmy muszą informować pracowników o okolicznościach przetwarzania danych osobowych związanych ze stosowaniem wideonadzoru – w trybie indywidualnym i zbiorowym oraz poprzez oznaczenie graficzne lub dźwiękowe miejsc objętych monitorowaniem
  • chcesz wiedzieć jak bezpiecznie przetwarzać dane pracowników? Zapraszamy do naszego e-szkolenia -> link.

Źródło: https://businessinsider.com.pl/firmy/przepisy/monitoring-w-pracy-a-rodo-prawa-i-obowiazki-pracodawcy-i-pracownika/3m7whbd

Przepływ danych nieosobowych

  • 28 maja br. w życie weszło Rozporządzenie Parlamentu Europejskiego i Rady dotyczące ram swobodnego przepływu danych nieosobowych w Unii Europejskiej
  • chodzi o informacje, dane elektroniczne, które nie pozwalają na ustalenie tożsamości, ale wskazują z jakich wyszukiwarek, systemów operacyjnych korzystamy, jakie strony przeglądamy, ile czasu na nich spędzamy – czyli o podstawę wielu nowoczesnych usług.
  • celem nowej regulacji jest w głównej mierze zwiększenie swobody przy przetwarzaniu danych przez podmioty świadczące usługi cloud computing, (IaaS, PaaS, SaaS), big data, internetu rzeczy oraz sztucznej inteligencji, a ponadto wzmocnienie cyfrowej gospodarki Europy

Źródło: https://www.prawo.pl/prawo/przeplyw-danych-nieosobowych-obowiazuje-unijne-rozporzadzenie,422125.html

Mieszane bazy danych

  • mieszane bazy danych to bazy składające się zarówno z danych osobowych jak i danych nieosobowych
  • łączenie takich baz podlega nowym regulacjom – punktem wyjścia jest odpowiedź na pytanie do której części z takich baz stosuje się RODO, a do której nowe rozporządzenie o przepływie danych nieosobowych
  • Komisja Europejska wydała swoje wytyczne, które koncentrują się na interakcji między swobodnym przepływem regulacji danych nieosobowych a RODO, dotyczy to w szczególności: pojęcia danych osobowych i nieosobowych oraz ich połączenia w tak zwanych „mieszanych bazach danych”, zasad swobodnego przepływu danych i zakazu wymagania lokalizacji danych oraz przenoszenia danych

Źródło: https://ec.europa.eu/digital-single-market/en/news/practical-guidance-businesses-how-process-mixed-datasets

Koniec ze straszeniem RODO

  • niepokój w związku z wdrażaniem przepisów RODO udzielił się licznym administratorom danych co starali się wykorzystać różni oszuści, grożąc oprowadzeniem do wszczęcia kontroli i do nałożenia wysokich kar finansowych
  • wskutek nowelizacji Kodeksu karnego taki czyn będzie uznawany za przestępstwo
  • istota tkwi w zmodyfikowanej definicji groźby bezprawnej, za którą będzie uznawane grożenie spowodowaniem nie tylko postępowania karnego, ale także innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna
  • chodzi tu również o postępowanie w sprawie stwierdzenia naruszenia ochrony danych, prowadzone przez Prezesa UODO, które w istocie może zakończyć się wymierzeniem wysokiej kary finansowej

Źródło: https://www.portaloswiatowy.pl/zmiany-w-prawie-oswiatowym/koniec-ze-straszeniem-rodo-znowelizowano-kodeks-karny-16827.html

Poradnik UODO dot. naruszeń

  • Pytanie UODO udostępnił na swojej stronie internetowej materiał informacyjny dotyczący obowiązków administratorów i podmiotów przetwarzających w związku z naruszeniami ochrony danych
  • z doświadczeń organu w zakresie przyjmowania i analizy zgłoszeń naruszeń wynika, że administratorzy w dalszym ciągu mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych
  • poradnik wskakuje m.in. o jakich naruszeniach należy powiadomić Prezesa UODO, jak ocenić ryzyko naruszenia praw i wolności osób fizycznych oraz kiedy i w jaki sposób informować osoby, których dane dotyczą o tym naruszeniu

Źródło: https://uodo.gov.pl/pl/138/1029

RODO a dostęp do informacji publicznej

  • RODO nie ogranicza dostępu obywateli do informacji publicznej, a jedynie wskazuje zasady właściwego przetwarzania danych osobowych przez administratorów danych
  • motyw 4 preambuły do RODO stanowi, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym – należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności
  • prawo do informacji publicznej jest jednym z praw podstawowych – zostało zagwarantowane w art. 61 Konstytucji RP
  • ochrona obejmuje osoby fizyczne, które nie pełnią funkcji publicznych – organ powinien ograniczyć dostęp do informacji umożliwiających ich identyfikację, co w praktyce oznacza udostępnienie dokumentów odpowiednio zanonimizowanych ze względu na prywatność osób fizycznych

Źródło: https://www.pit.pl/aktualnosci/dostep-do-informacji-publicznej-w-swietle-rodo-956616

Dane przedszkolaków w zadaniu maturalnym

  • do stworzenia jednego z zadań na egzaminie maturalnym z informatyki, który odbył się w 2014 r. wykorzystano dane prawdziwe dane dzieci, które w 2013 r. ubiegały się o przyjęcie do publicznych przedszkoli w Gdańsku
  • plik, na którym pracowali maturzyści, zawierał listę 2443 imion, nazwisk, numerów PESEL, informacji o płci i wieku dzieci
  • dane przez pięć lat były dostępne na stronie Centralnej Komisji Egzaminacyjnej
  • dane zniknęły po interwencji Zaufanej Strony Trzeciej

Źródło: https://m.trojmiasto.pl/wiadomosci/Dane-24-tys-gdanskich-przedszkolakow-w-zadaniu-maturalnym-n134965.html?fbclid=IwAR0w-M33KKC7YkJaK0hp_gewJNvVzyrocnUn7i_PeyQ4cRaaebfXCTng1sA

RODO utrudnia świętowanie urodzin?

  • świętowanie w pracy urodzin czy imienin, o ile jest oddolną inicjatywą pracowników, to przejaw dobrej atmosfery w zespole
  • RODO nie wprowadza wprawdzie zakazu świętowania urodzin pracowników w firmie, ale nakłada dodatkowe obowiązki dotyczące upubliczniania daty urodzenia
  • zgodnie z RODO publiczne świętowanie urodzin pracownika nie może się odbyć bez jego zgody
  • nie można udostępniać w firmie wspólnego kalendarza z datami urodzin, zanim się nie uzyska pozwolenia wszystkich zainteresowanych

Źródło: https://www.rp.pl/Biznes/306029938-Urodziny-zwykle-integruja-ludzi–ale-niektorym-moga-sprawic-klopot.html

UODO pracuje nad nowym poradnikiem dot. rekrutacji

  • UODO pracuje nad nowym poradnikiem w sprawie gromadzenia i przechowywania informacji o kandydatach do pracy
  • aktualny poradnik wywołał spore zamieszanie ze względu na bezkompromisowe podejście do danych kandydatów
  • w odpowiedzi na wątpliwości jakie przyniosła publikacja poradnika UODO, Ministerstwo Cyfryzacji wydało objaśnienia prawne, w których m.in. inaczej interpretowano okres przechowywania danych kandydatów
  • poradnik ma być gotowy w ciągu najbliższych kilku tygodni

Źródło: https://www.rp.pl/Kadry/306039982-RODO—rekrutacja-dane-kandydatow-do-pracy-lagodniej-traktowane—UODO-pracuje-nad-nowym-poradnikiem.html

813 mln cyberataków na polskie firmy

  • według najnowszego raportu Interaktywnie.com “RODO i cyberbezpieczeństwo 2019”:
    • 33% polskich firm doświadczyło w ubiegłym roku od jednego do trzech cyberataków
    • 21% twierdzi, że odnotowała ich od 4 do 9
    • 6% wskazuje, że zostało zaatakowanych co najmniej 30 razy
  • najczęstszym źródłem pochodzenia ataków są Stany Zjednoczone, na drugim miejscu znalazła się Rosja, a na kolejnych Włochy i Wielka Brytania
  • ponad 48% cyberataków jest efektem zaniedbań pracowników

Źródło: https://m.interia.pl/biznes/news,2616573

2 miliony euro za niechciany telemarketing

  • włoski organ nadzorczy nałożył karę 2 mln euro na firmę, która wykonywała za pośrednictwem albańskiego centrum telefonicznego działania telemarketingowe w imieniu firmy działającej w sektorze energetycznym
  • telemarketing prowadzony był bez wymaganych zgód oraz informowania osób, kto, w jakim zakresie i w jakim celu przetwarza ich dane osobowe
  • na wysokość sankcji złożyło się nie tylko samo naruszenie przepisów ochrony danych osobowych, ale również postępowanie ukaranej spółki, która według włoskiego organu nie potraktowała przepisów z należytą powagą oraz nie wzięła pod uwagę konsekwencji swojego działania
  • karę nałożono na podstawie przepisów obowiązujących przed wejściem w życie RODO

Źródło: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9116516#3

Pamiętajmy o papierowych archiwach

  • przedsiębiorcy w obawie przed karami wynikającymi z RODO skupili się głównie na elektronicznym obiegu dokumentów, zapominając o papierowych archiwach
  • jak wskazuje Iron Mountain w ciągu ostatniego roku firma uporządkowała archiwa liczące 100 mln dokumentów i okazało się, że przeszło 40 mln z nich było już dawno przeterminowanych
  • wielu przedsiębiorców uznało, że w przypadku papierowych dokumentów, inaczej niż w przypadku ich cyfrowej wersji, trudniej o ich wyciek, zniszczenie czy modyfikację
  • czas dozwolonego przechowywania zależy głównie od okresu przedawnienia roszczeń wynikającego z danego zobowiązania

Źródło: https://www.rp.pl/Firma/306039934-RODO-papierowe-archiwa-firm-z-danymi-osobowymi-klientow-moga-byc-ryzykowne.html

Kolejne skargi ws. praktyk prywatności Google

  • urzędy ochrony danych osobowych w dziewięciu krajach UE (Francji, Włoszech, Niemczech, Belgii, Bułgarii, Czechach, Estonii, Słowenii i na Węgrzech) otrzymały skargi dot. praktyk prywatności stosowanych przez Google’a
  • chodzi o przetwarzanie danych internautów na potrzeby sprzedaży reklam
  • Działający w czasie rzeczywistym system udostępnia dane użytkowników setkom, a nawet tysiącom firm. Ta metoda reklamowa w oczywisty sposób narusza unijne regulacje dotyczące ochrony danych – powiedziała Ewa Simon, ekspertka prawna koordynującego składanie skarg ugrupowania „Liberties”

Źródło: http://www.dlahandlu.pl/technologie-i-wyposazenie/ue-w-9-krajach-kolejne-skargi-ws-praktyk-prywatnosci-google-a,79828.html

Dowody osobiste bez danych

  • wszystkie nowe e-dowody osobiste wydawane od marca br. są niezgodne z ustawą o dowodach osobistych – to nawet 700 tysięcy wyprodukowanych dokumentów
  • nowe e-dowody w chipie nie mają zapisanych wszystkich wymaganych danych – chodzi o imiona rodziców oraz nazwisko rodowe
  • MSWiA, które odpowiada za personalizację dowodów, zapewnia, że to nie powoduje nieważności dokumentu i nazywa tę sytuację nieścisłością formalno-techniczną
  • Ministerstwo tłumaczy, że warstwa elektroniczna dowodu jest kluczem także do rejestrów państwowych, a tam są obecne wszystkie niezbędne dane

Źródło: https://www.rmf24.pl/fakty/news-w-e-dowodach-brakuje-istotnych-danych-mswia-uspokaja,nId,3026599

RODO nie wymaga wyraźnej zgody na przetwarzanie ciasteczek

  • nowelizacja ustawy o świadczeniu usług drogą elektroniczną, wywołała popłoch w branży internetowej – usługodawcy muszą uzyskać wyraźną zgodę na profilowanie (np. do celów reklamy, badania rynku)
  • zdaniem prawników nie oznacza to jednak zasypu mailami o zgody na przetwarzanie
  • w normalnej sytuacji dane pozyskiwane dzięki cookies nie pozwalają na ustalenie tożsamości osoby fizycznej
  • dopiero, gdy pliki cookies mogą mieć charakter danych osobowych, należy dostosować do RODO treść informacji podawanych przy okazji ich instalowania
  • to powinno było jednak nastąpić już 25 maja 2018 r., a tzw. ustawa wdrażająca niczego tutaj nie zmienia

Źródło: https://www.prawo.pl/biznes/zgoda-na-przetwarzanie-ciasteczek-a-rodo-i-eprivacy,426875.html

8 tys. skarg od konsumentów

  • dwie kary administracyjne i około 8 tys. skarg od konsumentów – to bilans 12 miesięcy obowiązywania RODO
  • Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO wskazuje, że na ocenę funkcjonowania nowych przepisów jest wciąż zbyt wcześnie, ale część zmian ustawodawczych, które były w Polsce wprowadzane na przestrzeni ostatnich kilkunastu miesięcy, nie przysłużyła się do właściwego stosowania przepisów RODO
  • ekspert podkreśla, że nowe przepisy, które weszły w życie na początku maja, są niespójne z RODO i rozstrzygająca będzie w ich przypadku interpretacja Prezesa UODO

Źródło: https://ceo.com.pl/dzieki-rodo-konsumenci-maja-wieksza-wiedze-o-ochronie-danych-osobowych-liczba-skarg-wzrosla-dwukrotnie-32233

Ponad 4,5 tys. zgłoszeń o utracie danych

  • od 25 maja 2018 r. do UODO wpłynęło 4 539 zgłoszeń o utracie danych , a we wszystkich krajach UE do odpowiedników UODO wpłynęło już 89 271 zgłoszeń
  • Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO, zauważa, że na pewno zgłoszeń jest więcej w tych krajach, gdzie funkcjonował już system powszechnego zgłaszania, w których obowiązek ten nie był ograniczony do sektora telekomunikacyjnego
  • z danych UODO wynika, że częstymi naruszeniami są przypadki przesłania danych osobowych do niewłaściwego odbiorcy, tj. na niewłaściwy adres e-mail czy do korespondencji
  • ponadto dużo jest zgłoszeń dotyczących zagubienia lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne), dokumentów zawierających dane osobowe klientów

Źródło: https://www.prawo.pl/biznes/jak-i-jakie-naruszenia-ochrony-danych-zglaszac-do-uodo,424638.html

Rozporządzenie w sprawie trybu i sposobu realizacji zadań przez IOD

  • od 6 czerwca br. obowiązuje Rozporządzenie Prezesa RM w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych, o których mowa w ustawie wdrażającej tzw. dyrektywę policyjną (dot. przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości)
  • Rozporządzenie wskazuje m.in. sposób współpracy IOD z administratorem, osobami, które uczestniczą w operacjach przetwarzania danych osobowych oraz osobami, których dane dotyczą, a także sposób w jaki ta współpraca powinna zostać udokumentowana
  • pełna treść Rozporządzenia: http://www.dziennikustaw.gov.pl/DU/2019/1041

Google analizuje maile w Gmailu do profilowania

  • Google gromadzi informacje o dokonanych przez użytkowników zakupach, nawet jeśli dokonano ich poza Google – informacje te pobierane są z Gmaila
  • aby wyizolować i przeanalizować dokonane zakupy, Google musi skanować każdą wiadomość mail i odpowiednio zakwalifikować ją jako zakup
  • usunięcie tak zgromadzonych informacji jest skomplikowane, a opcje jej wyłączenia są ukryte w ustawieniach prywatności
  • Google twierdzi, że nie wykorzystuje tych informacji do sprzedaży reklam

Źródło: https://www.zerohedge.com/news/2019-06-04/google-parses-your-gmail-financial-transactions?fbclid=IwAR2ge8pMieABd9-cCH6Q6_EBZzVcxJAjp2THCSBKomcgcvR4SbGbRjr8Zw4

Dokumenty z sądu na śmietniku

  • urzędniczka Sądu Rejonowego we Włodawie w połowie listopada 2018 r. wykonała wydruki zawiadomień z systemu ksiąg wieczystych zawierające numery ksiąg, PESEL oraz adresy zamieszkania ośmiu osób
  • dokumenty te zamiast do niszczarki wyrzucała do kosza na śmieci
  • firma zajmująca się odbiorem odpadów zamiast dostarczyć śmieci na wysypisko, po drodze część worków wyrzuciła do rowu
  • prokuratura oskarżyła urzędniczkę o niedopełnienie obowiązków służbowych związanych z ochroną danych osobowych
  • firma zajmująca się odbiorem śmieci poniesie natomiast karę finansową za zanieczyszczanie środowiska

Źródło: https://www.prawo.pl/prawnicy-sady/dane-osobowe-z-sadu-trafily-do-smieci,427491.html

Dokumentacja medyczna po zaprzestaniu działalności

  • w Ministerstwie Zdrowia rozpoczęte zostały prace legislacyjne dotyczące przygotowania projektu ustawy regulującej w sposób kompleksowy tematykę dokumentacji medycznej, w tym zawierającej rozwiązania ułatwiające i racjonalizujące proces jej digitalizacji
  • obecnie w przypadku zaprzestania wykonywania działalności leczniczej podmiot udzielający świadczeń zdrowotnych przekazuje dokumentację medyczną podmiotom wskazanym w ustawie o prawach pacjenta i Rzeczniku Praw Pacjent – w pierwszej kolejności dokumentacja powinna trafić do podmiotu, który przejął zadania lecznicze
  • w przypadku gdy nie jest możliwe ustalenie podmiotu, za przechowywanie dokumentacji odpowiada wojewoda

Źródło: http://www.infodent24.pl/lexdentpost/kto-i-jak-ma-archiwizowac-dokumentacje-medyczna-po-zaprzestaniu-dzialalnosci-medycznej,112216.html

Kolejna wysoka kara CNIL

  • Francuski organ ochrony danych osobowych nałożył drugą karę za naruszenie RODO – tym razem ukaranym podmiotem jest agencja nieruchomości Sergic
  • przyczyną było niewłaściwe zabezpieczenie danych na stronie internetowej – użytkownicy strony Sergic mogli uzyskać dostęp do dokumentów zapisanych przez innych użytkowników, nieznacznie modyfikując adres URL wyświetlany w przeglądarce
  • ​​dokumenty te zawierały kopie dowodu osobistego, legitymacji, zawiadomień podatkowych, zaświadczeń wydanych przez fundusz zasiłków rodzinnych, orzeczeń rozwodowych, wyciągów z konta lub danych banku
  • wysokość kary to 400 tys. euro

Źródło: https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de

RODO jako narzędzie do naprzykrzania się wnioskami

Przedstawiciele branży IT: RODO jest niejasne, łatwo nadużywane, sięga za daleko i umacnia pozycję dużych firm technologicznych. Aż prosi się aby je wykorzystać.
Organy nadzoru: To nigdy się nie wydarzy.
Reklama: Nienawidzisz swojego dostawcy poczty e-mail? Pomożemy ci wysłać mu takie wiadomości dotyczące dostępu do danych na podstawie RODO, na których odpowiedź zajmie mu tak dużo czasu jak to tylko możliwe. Ma obowiązek odpowiedzieć na nie w przeciągu 30 dni.

Źródło: https://twitter.com/zck/status/1134545851479543809

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 27.05.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 03.06.2019 Pobierz

 

Pobierz plik PDF z prezentacją

RODO aktualności z dnia 10.06.2019 Pobierz

Powiązane artykuły

rodo aktualności
RODO aktualności – 13.08.2019
rodo aktualności
RODO aktualności – 30.07.2019
rodo aktualności
RODO aktualności – 02.07.2019

Zostaw odpowiedź