RODO aktualności – 11.06.2019

• Fundacja internetPR sprawdziła, jak największe agencje PR i firmy w Polsce reagują na dziennikarzy zainteresowanych otrzymywaniem informacji i chęcią nawiązania kontaktu
• przedmiotem badań był sposób odpowiedzi na prośbę o otrzymywanie informacji i nawiązywania relacji, a ponadto sprawdzano, jak podmioty są przygotowane do pytań o szczegóły przetwarzania danych oraz usunięcie z bazy
• 64% firm poprawnie odpowiedziało na prośbę o informacje w jaki sposób przetwarzane są dane, 9% firm nie odpowiedziało na maila z pytaniem o szczegóły przetwarzania danych zupełnie, a w przypadku 27% w mailu zwrotnym nie znajdowała się faktyczna odpowiedź na prośbę

Źródło: https://ceo.com.pl/rok-po-rodo-z-punktu-widzenia-dziennikarza-70534

• pracodawcom zatrudniającym ponad 20 pracowników przysługuje uprawnienie do skontrolowania prawidłowości wykorzystania przez pracowników zwolnień lekarskich
• pracodawca może dokonać kontroli samodzielnie lub przy współpracy z podmiotem zewnętrznym
• zgodnie z decyzją Prezesa UODO pracodawca realizując swoje szczególne prawa w tym zakresie powinien zawrzeć z podmiotem zewnętrznym zgodną z przepisami prawa pracy umowę o świadczenie usług oraz umowę powierzenia przetwarzania danych osobowych spełniającą wymogi art. 28 RODO

Źródło: https://ksiegowosc.infor.pl/zus-kadry/zatrudnianie-i-zwalnianie/2979592,Kontrola-zwolnien-lekarskich-a-ochrona-danych-osobowych.html Decyzja Prezesa UODO z 20 marca 2019 r. (sygn. ZSZZS.440.727.2018)

• 4 maja br. w życie weszła tzw. ustawa sektorowa RODO zmieniające m.in. przepisy Prawa bankowego
• poprawki w prawie dają klientowi możliwość żądania od banku udzielenia informacji, jakie dane osobowe miały główny wpływ na dokonaną oceną zdolności kredytowej, która finalnie doprowadziła do odmowy
• jeżeli decyzja kredytowa była negatywna i została podjęta w sposób zautomatyzowany, czyli bez udziału człowieka, klient banku lub innej instytucji finansowej może zarówno zażądać podania przyczyn odmowy, jak i ponownego rozpatrzenia wniosku

Źródło: https://alebank.pl/nie-dostales-kredytu-dzieki-rodo-bank-musi-poinformowac-cie-dlaczego/?id=285509&catid=22869

• gdy radca prawny przetwarza dane osób trzecich, które pozyskał od swoich klientów, nie musi powiadamiać tych osób o zbieraniu i przetwarzaniu ich danych, gdyby naruszało to tajemnicę zawodową
• takie rozwiązanie ma na celu umocnienie zaufania klienta do tych podmiotów
• w przeciwnym wypadku dochodziłoby do sytuacji, że radca prawny zobowiązany byłby poinformować osobę, np. domniemanego sprawcę przestępstwa zgłoszonego mu przez klienta, o gromadzeniu jego danych osobowych, co byłoby sprzeczne z interesem klienta i umożliwiłoby ukrycie się przestępcy

Źródło: https://prawo.gazetaprawna.pl/artykuly/1412845,rodo-przetwarzanie-danych-przez-radcow-tajemnica-zawodowa.html

• 22 maja br. na skrzynki Polaków (nie tylko klientów Pekao) rozesłane zostały fałszywe e-maile podszywające się pod Pekao
• cyberprzestępcy nakłaniają ofiary do instalacji złośliwej aplikacji na smartfony i wyłudzają dane do logowania w serwisie bankowości elektronicznej Pekao24
• wszystkich przestrzegamy przed tym atakiem phishingowym i radzimy korzystać z programów antywirusowych nie tylko na komputerach

Źródło: https://niebezpiecznik.pl/post/ciekawy-phishing-na-klientow-pekao/?fbclid=IwAR0Q2GbgQbtNXSnhrS50mGSwJw-thSfRiiEkiQc9eMghpCuLVb4Y5XQTHoM https://www.komputerswiat.pl/aktualnosci/bezpieczenstwo/nowy-atak-phishingowy-wymierzony-w-klientow-polskiego-banku/5h92h2g

• rok po rozpoczęciu stosowania nowego rozporządzenia eksperci oceniają, że Polska poradziła sobie z reformą danych osobowych
• eksperci krytykują jednak, że polski ustawodawca wdrażając RODO do krajowego prawa, okazał się bardziej restrykcyjny i wymagający wobec przedsiębiorców niż inne państwa
• natomiast w praktycznym stosowaniu nowych regulacji Prezes UODO wydaje się dla przedsiębiorców łaskawy – w pierwszej chwili zwrócił się głównie do urzędów
• do tej pory nałożono dwie kary, których wysokość znacznie odbiega od tych nakładanych w innych krajach

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414070,rok-po-rodo-jak-poradzilismy-sobie-z-reforma-danych-osobowych.html

• ustawodawca nie określił wprost zakresu działań, które może objąć kontrola UODO
• eksperci wskazują 8 podstawowych zagadnień na jakie kontrolujący będą mogli zwrócić uwagę:

1. monitoring
2. upoważnienia do przetwarzania danych
3. dokumentacja dotycząca ochrony danych osobowych
4. dokumentacja osobowa
5. korzystanie z usług podmiotów trzecich
6. rejestr naruszeń
7. niszczenie dokumentacji
8. zabezpieczenie przetwarzanych danych osobowych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1413179,rodo-co-trzeba-wiedziec-na-wypadek-kontroli-uodo.html

• dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji dr Maciej Kawecki wskazuje, że najważniejsza zmiana, która zaszła po wprowadzeniu RODO dotyczy świadomości społecznej
• dr Kawecki podkreślił, że 46% polskiego PKB oparte jest na danych, stąd ich ochrona jest kluczowa dla rozwoju gospodarki
• dr Kawecki wskazał, że jest RODO to regulacja neutralna technicznie, dlatego też w najbliższym czasie nie ma konieczności tworzenia RODO 2.0 – dodatkowo Komisja Europejska zajmuje stanowisko, w którym sprzeciwia się kolejnym regulacjom w obszarze prywatności i bezpieczeństwa danych

Źródło: https://www.cyberdefence24.pl/dr-kawecki-rok-z-rodo-obywatele-swiadomi-znaczenia-ochrony-danych-osobowych

• Jeronimo Martins odmówiło przekazania danych pracowników działającej w sieci „Solidarności” powołując się na RODO
• w swoim stanowisku Prezes UODO wskazuje jednak wprost, że związek zawodowy ma prawo pozyskiwać od pracodawcy imiona i nazwiska pracowników oraz dane umożliwiające poinformowanie pracownika o referendum strajkowym
• szef „Solidarności” wskazał, że związek czeka teraz na oficjalne pismo z Urzędu
• prokuratura we Wrześni prowadzi śledztwo ws. utrudniania przez właściciela Biedronki prowadzenia działalności związkowej

Źródło: https://www.money.pl/gospodarka/rodo-biedronce-nie-pomoze-musi-przekazac-dane-zwiazkowcom-ktorzy-chca-strajku-6384106763986561a.html

• wejście w życie RODO, w 89% polskich firm skutkowało istotnymi zmianami – wynika z przygotowanego przez EY Polska raportu „Rok z RODO. Stosowanie RODO w firmach – szanse i zagrożenia”
• 68% organizacji poniosło odczuwalne wydatki na dostosowanie do nowych przepisów, a oprócz pieniędzy zainwestowało w ten proces również czas
• z punktu widzenia ponad połowy firm (56%) wyzwania na nadchodzący czas to ograniczenie wpływu RODO na działania marketingowe i sprzedażowe
• przedsiębiorcy deklarują, że będą musieli stawić również czoła nadużywaniu przez konsumentów np. prawa do zapomnienia (39%)

Źródło: https://alebank.pl/jak-rodo-zmienilo-polskie-firmy/

• Polacy coraz bardziej ufają, że pracodawcy chronią ich dane osobowe
• nie mały wkład w tę pozytywną zmianę miało właśnie to unijne rozporządzenie
• 59,6% polskich pracowników uważa, że ich dane osobowe w miejscu pracy są bezpieczne
• średnia europejska wynosi 56,3%
• największe zaufanie do bezpieczeństwa przechowywania danych mają milenialsi, aż 75,60% z nich uważa, że ich pracodawca skutecznie zabezpiecza ich dane osobowe

Źródło: https://www.pulshr.pl/prawo-pracy/rok-od-wprowadzenia-rodo-polacy-bardziej-ufaja-pracodawcom,64102.html

• na skutek doniesień o możliwym łamaniu przepisów RODO irlandzki odpowiednik Prezesa UODO wszczął postępowanie w sprawie Google
• celem prowadzonego śledztwa będzie sprawdzenie, czy stosowana przez amerykańską korporację polityka prywatności spełnia wymagania RODO
• w szczególności irlandzki UODO ma zwrócić uwagę na to, co dokładnie dzieje się z danymi użytkownika w procesie wyświetlania spersonalizowanych reklam
• przedstawiciel Google poinformował, że firma ma zamiar od początku ściśle współpracować z irlandzkimi organami powołanymi do kontroli

Źródło: https://www.tabletowo.pl/irlandia-przyglada-sie-google-i-rodo/

• Dużym wyzwaniem będzie sprawne i terminowe rozpatrywanie skarg. Liczyliśmy się z tym, że w związku z RODO skarg będzie dużo więcej, ale nikt nie przypuszczał, że aż tyle – mówi Jan Nowak, Prezes UODO
• według nowego Prezesa, Urząd Ochrony Danych Osobowych to dojrzały, dobrze ukształtowany organizm, niemniej nie wyklucza on pewnych zmian wewnętrznych
• kolejnym wyzwaniem będzie tworzenie przewidzianego przepisami o ochronie danych osobowych systemu certyfikacji oraz zatwierdzanie kodeksów postępowania
• w zakresie możliwych kar finansowych, Prezes UODO uspokaja, że do ich nakładania podchodzi z dużą odpowiedzialnością oraz rozwagą, a przed podjęciem decyzji w tej sprawie opinię, czy nałożenie kary jest zasadne i jaka powinna być jej wysokość, wyraża specjalnie powołany komitet

Źródło: https://www.rp.pl/Dane-osobowe/305269977-Jan-Nowak-prezes-UODO-nie-bede-robil-rewolucji.html

• PZU Pomoc od 27 maja br. zapewnia rodzicom i opiekunom dzieci do 18. roku życia możliwość bezpłatnego przystąpienia na czas wakacji do ubezpieczenia NNW
• aby z niego skorzystać, należy wypełnić formularz deklaracji i wyrazić zgody na przetwarzanie danych we wskazanych celach (w tym w celach marketingowych, przez wszystkie podmioty powiązane kapitałowo z PZU)
• zdaniem Fundacji Panoptykon takie działanie rażąco narusza przepisy RODO, a pod pozorem darmowej usługi próbuje się uzyskać wartość w postaci ogromnej bazy danych
• PZU z takim postawieniem sprawy się nie zgadza i zapowiada podjęcie stosownych kroków prawnych przeciwko osobom, kierującym zarzuty

Źródło: https://businessinsider.com.pl/firmy/strategie/pzu-ubezpieczy-za-darmo-dzieci-trzeba-zgodzic-sie-na-reklamy/zc52hgx

• w ciągu ostatnich pięciu lat Google otrzymał z Polski 22,4 tys. Zgłoszeń od osób prywatnych w sprawie usunięcia danych osobowych z wyników wyszukiwania
• spośród 91,2 tys. dotychczas zweryfikowanych przez Google adresów stron, usuniętych zostało 40,2 tys. (44%)
• Google tłumaczy, że większość zgłoszonych stron nie zostało usuniętych m.in. z powodów technicznych oraz tego, że zawierały informacje, których pozostawienie jest w wyraźnym interesie publicznym
• zdecydowana część zgłoszeń nie odnosi skutku, bo Google nie ma określonego terminu, w którym powinien dane usunąć

Źródło: https://www.press.pl/tresc/57407,ponad-20-tys_-zgloszen-z-polski-w-sprawie-usuniecia-danych-z-google

• brak jest jakichkolwiek szczególnych przepisów dotyczących przetwarzania danych osobowych przez biblioteki
• biblioteki bardzo różnie podchodzą do ochrony danych osobowych czytelników
• brak jest nawet zgodności co do tego, jaka jest podstawa przetwarzania tych danych i czy jest ono niezbędne do wykonywania umowy z biblioteką
• przykładowo osoby nie będące studentami UW, aby móc korzystać z biblioteki uniwersyteckiej muszą podać zarówno PESEL, jak i numer oraz serię dowodu tożsamości – dane wystarczające do zaciągnięcia kredytu

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414371,pesel-bilbioteki-dane-osobowe.html

• UODO zainteresował się stosowaną jeszcze niedawno przez Bayer praktyką zmuszania aptekarzy do przesyłania im do wiadomości recept pacjentów, zawierających m.in. numery PESEL
• choć koncern twierdzi, że przed rozpoczęciem RODO zaprzestał zbierania tych numerów, to i tak pozostaje pytanie, czy wciąż nie przetwarza zgromadzonych danych
• przekazywanie takich informacji może skutkować cofnięciem zezwolenia na prowadzenie apteki, co niejednokrotnie przypominał Główny Inspektorat Farmaceutyczny

Źródło: https://biznes.gazetaprawna.pl/artykuly/1414561,panstwo-sprawdza-czy-wielcy-producenci-lekow-nie-rozgrywaja-rynku-aptek.html

• niemiecka firma prawnicza CMS Hasche Sigle prowadzi rejestr administracyjnych kar pieniężnych, nakładanych w Europie za naruszenia przepisów RODO
• w rejestrze można znaleźć informacje kto, za co i w jakiej wysokości otrzymał karę
• strona jest prowadzona w języku angielskim
• link do rejestru: http://enforcementtracker.com/

• w tym roku do wniosku o przyjęcie do szkoły ponadgimnazjalnej automatycznie dołączane były informacje dotyczące RODO – w Warszawie informacje te zajęły trzy strony z liczącego siedem stron wniosku, dodatkowo zarówno kandydat, jak i jego rodzice musieli je wydrukować i potwierdzić swymi podpisami, że się z nimi zapoznali
• eksperci są zgodni – drukowanie i podpisywanie nie ma żadnego sensu, obowiązek informacyjny wykonuje się nie poprzez odebranie oświadczenia, ale przez przekazanie informacji, np. wyświetlenie na stronie internetowej
• podobnie uważa UODO – zasada rozliczalności nie musi oznaczać tworzenia i gromadzenia niepotrzebnej dokumentacji, nie zawsze konieczne jest np. zbieranie oświadczeń w formie papierowych czy podpisanych własnoręcznie dokumentów

Źródło: https://prawo.gazetaprawna.pl/artykuly/1414776,rodo-szkoly-uczniowie-obowiazek-informacyjny.html

• od 28 maja br. Ochnik rozsyła do swoich klientów wiadomości SMS z informacją o możliwym wycieku danych osobowych
• sklep informuje, że wykrył próbę dostępu do bazy systemu ERP, gdzie przechowywane są dane osobowe klientów: imię i nazwisko, adres e-mail, numer telefonu, adres oraz dane dotyczące składanych reklamacji
• po wykryciu incydentu Ochnik zawiadomił organy ścigania o możliwości popełnienia przestępstwa oraz Prezesa UODO
• sieć przyznaje, że wykryła incydent 15 kwietnia br.

Źródło: http://next.gazeta.pl/next/7,151243,24837054,wyciekly-dane-klientow-ochnika-polska-marka-padla-ofiara-cyberataku.html

• RODO w służbie zdrowia było tematem szkolenia i dyskusji w Uniwersyteckim Szpitalu Klinicznym w Opolu
• Pacjenci mają na przykład prawo do nieodpłatnego dostępu do pierwszej kopii dokumentacji medycznej – podkreślał dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji
• dyrektor USK podkreślał z kolei, że na szczególną uwagę zasługuje sprawa sposobu wywoływania pacjenta do gabinetu lekarskiego – To jest podstawowa rzecz, bo ludzie nie chcą być oznaczeni numerkami. Nie możemy zamienić ludzi na cyfry oraz liczby i mówić „numer siedem”, „numer osiem” – przecież to jest pacjent – żywy człowiek – więc w jakiś sposób trzeba to rozwiązywać.
• pełne wystąpienia ze szkolenia można odsłuchać pod linkiem: http://radio.opole.pl/100,280517,rodo-przysparza-trudnosci-i-watpliwosci-w-szpita

• ochrona wizerunku jest przedmiotem regulacji: art. 111 k.p. (poszanowanie godności i innych dóbr osobistych), art. 23 i 24 k.c. (dobro osobiste), art. 81 prawa autorskiego oraz RODO (dane osobowe)
• pracodawca korzysta z wizerunku pracownika zarówno w sferze działalności wewnętrznej (w ramach organizacji i funkcjonowania zakładu pracy), jak i zewnętrznej (w działaniach promocyjnych itp.).
• pracodawca może korzystać z wizerunku pracownika jeśli ma ku temu właściwą przesłankę – najczęściej przesłanką taką jest zgoda pracownika, konieczność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze lub celów wynikających z (prawnie uzasadnionych) interesów pracodawcy
• w przypadku rozpowszechniania wizerunku na zewnątrz konieczne jest pozyskanie od pracownika zezwolenia, o którym mowa w art. 81 prawa autorskiego
• naruszenie prawa pracownika do ochrony wizerunku grozi pracodawcy konsekwencjami z zakresu prawa cywilnego, prawa pracy oraz RODO

Źródło: https://businessinsider.com.pl/firmy/przepisy/wizerunek-pracownika-wykorzystywany-przez-pracodawce-przepisy/bpmtz1s

• na kilka dni przed pierwszą rocznicą stosowania RODO, Europejska Rada Ochrony Danych zebrała wyniki ankiet, wypełnionych przez organy nadzorcze krajów Europejskiego Obszaru Gospodarczego i sporządziła bilans dotychczasowych osiągnięć
• większość organów nadzorczych zgłasza wzrost liczby zapytań i skarg w porównaniu z rokiem 2017
• właściwe instytucje państw EOG zarejestrowały ponad 144 tys. zapytań i skarg i ponad 89 tys. zgłoszeń naruszeń ochrony danych osobowych, z czego 63% spraw zostało zakończonych
• 67% ankietowanych obywateli Unii Europejskiej oświadczyło, że słyszało o RODO, a 36% że wie, z czym RODO się wiąże, 57% badanych stwierdziło, iż są świadomi istnienia krajowego organu publicznego odpowiedzialnego za ochronę danych

Źródło: https://uodo.gov.pl/pl/138/1007 https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en

• zgodnie z przepisami ustawy o ewidencji ludności dane z rejestru PESEL oraz z rejestru mieszkańców mogą być udostępnione zainteresowanym, jeżeli wykażą oni w tym swój interes prawny
• skarżąca zwróciła się do urzędu miasta o udostępnienie z miejskich rejestrów adresu zameldowania i PESEL właścicielki działki sąsiadującej wyjaśniając, że ma interes prawny w ich uzyskaniu, ponieważ zamierza m.in. złożyć do sądu powszechnego pozew o ochronę dóbr osobistych – spotkała się z odmową
• prezydent miasta a potem również wojewoda małopolski stwierdzili, że ewentualny zamiar wystąpienia z pozwem do sądu nie może być uznany do posiadania interesu prawnego, gdyż ten musi istnieć aktualnie, a nie hipotetycznie
• WSA w Krakowie, do którego skarżąca złożyła skargę na decyzję wojewody oddalił tą skargę wskazując, że wyprowadzenie interesu prawnego z okoliczności przyszłych i niepewnych, nie ma usprawiedliwionych podstaw

Źródło: https://www.rp.pl/Dane-osobowe/305299980-Dane-osobowe-zamiar-zlozenia-pozwu-nie-stwarza-interesu-prawnego.html?fbclid=IwAR2JkXBIE-FTgYmF79fOEUei5cS3V4sgF3zxUipF3HJd2lqyee-Z9bc5sRY wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 25 kwietnia 2019 r. (sygn. akt III SA/Kr 117/19)

• kamery mogą być wykorzystywane przez pracodawcę tylko w określonych warunkach, a jeśli już są stosowane, to nie mogą jednocześnie nagrywać dźwięku
• zastosowanie monitoringu regulują przepisy zawarte w kodeksie pracy, które określają cele monitoringu: bezpieczeństwo pracowników, ochrona mienia, kontrola produkcji oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę
• firmy muszą informować pracowników o okolicznościach przetwarzania danych osobowych związanych ze stosowaniem wideonadzoru – w trybie indywidualnym i zbiorowym oraz poprzez oznaczenie graficzne lub dźwiękowe miejsc objętych monitorowaniem
• chcesz wiedzieć jak bezpiecznie przetwarzać dane pracowników? Zapraszamy do naszego e-szkolenia -> link.

Źródło: https://businessinsider.com.pl/firmy/przepisy/monitoring-w-pracy-a-rodo-prawa-i-obowiazki-pracodawcy-i-pracownika/3m7whbd

• 28 maja br. w życie weszło Rozporządzenie Parlamentu Europejskiego i Rady dotyczące ram swobodnego przepływu danych nieosobowych w Unii Europejskiej
• chodzi o informacje, dane elektroniczne, które nie pozwalają na ustalenie tożsamości, ale wskazują z jakich wyszukiwarek, systemów operacyjnych korzystamy, jakie strony przeglądamy, ile czasu na nich spędzamy – czyli o podstawę wielu nowoczesnych usług.
• celem nowej regulacji jest w głównej mierze zwiększenie swobody przy przetwarzaniu danych przez podmioty świadczące usługi cloud computing, (IaaS, PaaS, SaaS), big data, internetu rzeczy oraz sztucznej inteligencji, a ponadto wzmocnienie cyfrowej gospodarki Europy

Źródło: https://www.prawo.pl/prawo/przeplyw-danych-nieosobowych-obowiazuje-unijne-rozporzadzenie,422125.html

• mieszane bazy danych to bazy składające się zarówno z danych osobowych jak i danych nieosobowych
• łączenie takich baz podlega nowym regulacjom – punktem wyjścia jest odpowiedź na pytanie do której części z takich baz stosuje się RODO, a do której nowe rozporządzenie o przepływie danych nieosobowych
• Komisja Europejska wydała swoje wytyczne, które koncentrują się na interakcji między swobodnym przepływem regulacji danych nieosobowych a RODO, dotyczy to w szczególności: pojęcia danych osobowych i nieosobowych oraz ich połączenia w tak zwanych „mieszanych bazach danych”, zasad swobodnego przepływu danych i zakazu wymagania lokalizacji danych oraz przenoszenia danych

Źródło: https://ec.europa.eu/digital-single-market/en/news/practical-guidance-businesses-how-process-mixed-datasets

• niepokój w związku z wdrażaniem przepisów RODO udzielił się licznym administratorom danych co starali się wykorzystać różni oszuści, grożąc oprowadzeniem do wszczęcia kontroli i do nałożenia wysokich kar finansowych
• wskutek nowelizacji Kodeksu karnego taki czyn będzie uznawany za przestępstwo
• istota tkwi w zmodyfikowanej definicji groźby bezprawnej, za którą będzie uznawane grożenie spowodowaniem nie tylko postępowania karnego, ale także innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna
• chodzi tu również o postępowanie w sprawie stwierdzenia naruszenia ochrony danych, prowadzone przez Prezesa UODO, które w istocie może zakończyć się wymierzeniem wysokiej kary finansowej

Źródło: https://www.portaloswiatowy.pl/zmiany-w-prawie-oswiatowym/koniec-ze-straszeniem-rodo-znowelizowano-kodeks-karny-16827.html

• Pytanie UODO udostępnił na swojej stronie internetowej materiał informacyjny dotyczący obowiązków administratorów i podmiotów przetwarzających w związku z naruszeniami ochrony danych
• z doświadczeń organu w zakresie przyjmowania i analizy zgłoszeń naruszeń wynika, że administratorzy w dalszym ciągu mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych
• poradnik wskakuje m.in. o jakich naruszeniach należy powiadomić Prezesa UODO, jak ocenić ryzyko naruszenia praw i wolności osób fizycznych oraz kiedy i w jaki sposób informować osoby, których dane dotyczą o tym naruszeniu

Źródło: https://uodo.gov.pl/pl/138/1029

• RODO nie ogranicza dostępu obywateli do informacji publicznej, a jedynie wskazuje zasady właściwego przetwarzania danych osobowych przez administratorów danych
• motyw 4 preambuły do RODO stanowi, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym – należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności
• prawo do informacji publicznej jest jednym z praw podstawowych – zostało zagwarantowane w art. 61 Konstytucji RP
• ochrona obejmuje osoby fizyczne, które nie pełnią funkcji publicznych – organ powinien ograniczyć dostęp do informacji umożliwiających ich identyfikację, co w praktyce oznacza udostępnienie dokumentów odpowiednio zanonimizowanych ze względu na prywatność osób fizycznych

Źródło: https://www.pit.pl/aktualnosci/dostep-do-informacji-publicznej-w-swietle-rodo-956616

• do stworzenia jednego z zadań na egzaminie maturalnym z informatyki, który odbył się w 2014 r. wykorzystano dane prawdziwe dane dzieci, które w 2013 r. ubiegały się o przyjęcie do publicznych przedszkoli w Gdańsku
• plik, na którym pracowali maturzyści, zawierał listę 2443 imion, nazwisk, numerów PESEL, informacji o płci i wieku dzieci
• dane przez pięć lat były dostępne na stronie Centralnej Komisji Egzaminacyjnej
• dane zniknęły po interwencji Zaufanej Strony Trzeciej

Źródło: https://m.trojmiasto.pl/wiadomosci/Dane-24-tys-gdanskich-przedszkolakow-w-zadaniu-maturalnym-n134965.html?fbclid=IwAR0w-M33KKC7YkJaK0hp_gewJNvVzyrocnUn7i_PeyQ4cRaaebfXCTng1sA

• świętowanie w pracy urodzin czy imienin, o ile jest oddolną inicjatywą pracowników, to przejaw dobrej atmosfery w zespole
• RODO nie wprowadza wprawdzie zakazu świętowania urodzin pracowników w firmie, ale nakłada dodatkowe obowiązki dotyczące upubliczniania daty urodzenia
• zgodnie z RODO publiczne świętowanie urodzin pracownika nie może się odbyć bez jego zgody
• nie można udostępniać w firmie wspólnego kalendarza z datami urodzin, zanim się nie uzyska pozwolenia wszystkich zainteresowanych

Źródło: https://www.rp.pl/Biznes/306029938-Urodziny-zwykle-integruja-ludzi–ale-niektorym-moga-sprawic-klopot.html

• UODO pracuje nad nowym poradnikiem w sprawie gromadzenia i przechowywania informacji o kandydatach do pracy
• aktualny poradnik wywołał spore zamieszanie ze względu na bezkompromisowe podejście do danych kandydatów
• w odpowiedzi na wątpliwości jakie przyniosła publikacja poradnika UODO, Ministerstwo Cyfryzacji wydało objaśnienia prawne, w których m.in. inaczej interpretowano okres przechowywania danych kandydatów
• poradnik ma być gotowy w ciągu najbliższych kilku tygodni

Źródło: https://www.rp.pl/Kadry/306039982-RODO—rekrutacja-dane-kandydatow-do-pracy-lagodniej-traktowane—UODO-pracuje-nad-nowym-poradnikiem.html

• według najnowszego raportu Interaktywnie.com „RODO i cyberbezpieczeństwo 2019”:
  • 33% polskich firm doświadczyło w ubiegłym roku od jednego do trzech cyberataków
  • 21% twierdzi, że odnotowała ich od 4 do 9
  • 6% wskazuje, że zostało zaatakowanych co najmniej 30 razy
• najczęstszym źródłem pochodzenia ataków są Stany Zjednoczone, na drugim miejscu znalazła się Rosja, a na kolejnych Włochy i Wielka Brytania
• ponad 48% cyberataków jest efektem zaniedbań pracowników

Źródło: https://m.interia.pl/biznes/news,2616573

• włoski organ nadzorczy nałożył karę 2 mln euro na firmę, która wykonywała za pośrednictwem albańskiego centrum telefonicznego działania telemarketingowe w imieniu firmy działającej w sektorze energetycznym
• telemarketing prowadzony był bez wymaganych zgód oraz informowania osób, kto, w jakim zakresie i w jakim celu przetwarza ich dane osobowe
• na wysokość sankcji złożyło się nie tylko samo naruszenie przepisów ochrony danych osobowych, ale również postępowanie ukaranej spółki, która według włoskiego organu nie potraktowała przepisów z należytą powagą oraz nie wzięła pod uwagę konsekwencji swojego działania
• karę nałożono na podstawie przepisów obowiązujących przed wejściem w życie RODO

Źródło: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9116516#3

• przedsiębiorcy w obawie przed karami wynikającymi z RODO skupili się głównie na elektronicznym obiegu dokumentów, zapominając o papierowych archiwach
• jak wskazuje Iron Mountain w ciągu ostatniego roku firma uporządkowała archiwa liczące 100 mln dokumentów i okazało się, że przeszło 40 mln z nich było już dawno przeterminowanych
• wielu przedsiębiorców uznało, że w przypadku papierowych dokumentów, inaczej niż w przypadku ich cyfrowej wersji, trudniej o ich wyciek, zniszczenie czy modyfikację
• czas dozwolonego przechowywania zależy głównie od okresu przedawnienia roszczeń wynikającego z danego zobowiązania

Źródło: https://www.rp.pl/Firma/306039934-RODO-papierowe-archiwa-firm-z-danymi-osobowymi-klientow-moga-byc-ryzykowne.html

• urzędy ochrony danych osobowych w dziewięciu krajach UE (Francji, Włoszech, Niemczech, Belgii, Bułgarii, Czechach, Estonii, Słowenii i na Węgrzech) otrzymały skargi dot. praktyk prywatności stosowanych przez Google’a
• chodzi o przetwarzanie danych internautów na potrzeby sprzedaży reklam
• Działający w czasie rzeczywistym system udostępnia dane użytkowników setkom, a nawet tysiącom firm. Ta metoda reklamowa w oczywisty sposób narusza unijne regulacje dotyczące ochrony danych – powiedziała Ewa Simon, ekspertka prawna koordynującego składanie skarg ugrupowania „Liberties”

Źródło: http://www.dlahandlu.pl/technologie-i-wyposazenie/ue-w-9-krajach-kolejne-skargi-ws-praktyk-prywatnosci-google-a,79828.html

• wszystkie nowe e-dowody osobiste wydawane od marca br. są niezgodne z ustawą o dowodach osobistych – to nawet 700 tysięcy wyprodukowanych dokumentów
• nowe e-dowody w chipie nie mają zapisanych wszystkich wymaganych danych – chodzi o imiona rodziców oraz nazwisko rodowe
• MSWiA, które odpowiada za personalizację dowodów, zapewnia, że to nie powoduje nieważności dokumentu i nazywa tę sytuację nieścisłością formalno-techniczną
• Ministerstwo tłumaczy, że warstwa elektroniczna dowodu jest kluczem także do rejestrów państwowych, a tam są obecne wszystkie niezbędne dane

Źródło: https://www.rmf24.pl/fakty/news-w-e-dowodach-brakuje-istotnych-danych-mswia-uspokaja,nId,3026599

• nowelizacja ustawy o świadczeniu usług drogą elektroniczną, wywołała popłoch w branży internetowej – usługodawcy muszą uzyskać wyraźną zgodę na profilowanie (np. do celów reklamy, badania rynku)
• zdaniem prawników nie oznacza to jednak zasypu mailami o zgody na przetwarzanie
• w normalnej sytuacji dane pozyskiwane dzięki cookies nie pozwalają na ustalenie tożsamości osoby fizycznej
• dopiero, gdy pliki cookies mogą mieć charakter danych osobowych, należy dostosować do RODO treść informacji podawanych przy okazji ich instalowania
• to powinno było jednak nastąpić już 25 maja 2018 r., a tzw. ustawa wdrażająca niczego tutaj nie zmienia

Źródło: https://www.prawo.pl/biznes/zgoda-na-przetwarzanie-ciasteczek-a-rodo-i-eprivacy,426875.html

• dwie kary administracyjne i około 8 tys. skarg od konsumentów – to bilans 12 miesięcy obowiązywania RODO
• Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO wskazuje, że na ocenę funkcjonowania nowych przepisów jest wciąż zbyt wcześnie, ale część zmian ustawodawczych, które były w Polsce wprowadzane na przestrzeni ostatnich kilkunastu miesięcy, nie przysłużyła się do właściwego stosowania przepisów RODO
• ekspert podkreśla, że nowe przepisy, które weszły w życie na początku maja, są niespójne z RODO i rozstrzygająca będzie w ich przypadku interpretacja Prezesa UODO

Źródło: https://ceo.com.pl/dzieki-rodo-konsumenci-maja-wieksza-wiedze-o-ochronie-danych-osobowych-liczba-skarg-wzrosla-dwukrotnie-32233

• od 25 maja 2018 r. do UODO wpłynęło 4 539 zgłoszeń o utracie danych , a we wszystkich krajach UE do odpowiedników UODO wpłynęło już 89 271 zgłoszeń
• Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO, zauważa, że na pewno zgłoszeń jest więcej w tych krajach, gdzie funkcjonował już system powszechnego zgłaszania, w których obowiązek ten nie był ograniczony do sektora telekomunikacyjnego
• z danych UODO wynika, że częstymi naruszeniami są przypadki przesłania danych osobowych do niewłaściwego odbiorcy, tj. na niewłaściwy adres e-mail czy do korespondencji
• ponadto dużo jest zgłoszeń dotyczących zagubienia lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne), dokumentów zawierających dane osobowe klientów

Źródło: https://www.prawo.pl/biznes/jak-i-jakie-naruszenia-ochrony-danych-zglaszac-do-uodo,424638.html

• od 6 czerwca br. obowiązuje Rozporządzenie Prezesa RM w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych, o których mowa w ustawie wdrażającej tzw. dyrektywę policyjną (dot. przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości)
• Rozporządzenie wskazuje m.in. sposób współpracy IOD z administratorem, osobami, które uczestniczą w operacjach przetwarzania danych osobowych oraz osobami, których dane dotyczą, a także sposób w jaki ta współpraca powinna zostać udokumentowana
• pełna treść Rozporządzenia: http://www.dziennikustaw.gov.pl/DU/2019/1041

• Google gromadzi informacje o dokonanych przez użytkowników zakupach, nawet jeśli dokonano ich poza Google – informacje te pobierane są z Gmaila
• aby wyizolować i przeanalizować dokonane zakupy, Google musi skanować każdą wiadomość mail i odpowiednio zakwalifikować ją jako zakup
• usunięcie tak zgromadzonych informacji jest skomplikowane, a opcje jej wyłączenia są ukryte w ustawieniach prywatności
• Google twierdzi, że nie wykorzystuje tych informacji do sprzedaży reklam

Źródło: https://www.zerohedge.com/news/2019-06-04/google-parses-your-gmail-financial-transactions?fbclid=IwAR2ge8pMieABd9-cCH6Q6_EBZzVcxJAjp2THCSBKomcgcvR4SbGbRjr8Zw4

• urzędniczka Sądu Rejonowego we Włodawie w połowie listopada 2018 r. wykonała wydruki zawiadomień z systemu ksiąg wieczystych zawierające numery ksiąg, PESEL oraz adresy zamieszkania ośmiu osób
• dokumenty te zamiast do niszczarki wyrzucała do kosza na śmieci
• firma zajmująca się odbiorem odpadów zamiast dostarczyć śmieci na wysypisko, po drodze część worków wyrzuciła do rowu
• prokuratura oskarżyła urzędniczkę o niedopełnienie obowiązków służbowych związanych z ochroną danych osobowych
• firma zajmująca się odbiorem śmieci poniesie natomiast karę finansową za zanieczyszczanie środowiska

Źródło: https://www.prawo.pl/prawnicy-sady/dane-osobowe-z-sadu-trafily-do-smieci,427491.html

• w Ministerstwie Zdrowia rozpoczęte zostały prace legislacyjne dotyczące przygotowania projektu ustawy regulującej w sposób kompleksowy tematykę dokumentacji medycznej, w tym zawierającej rozwiązania ułatwiające i racjonalizujące proces jej digitalizacji
• obecnie w przypadku zaprzestania wykonywania działalności leczniczej podmiot udzielający świadczeń zdrowotnych przekazuje dokumentację medyczną podmiotom wskazanym w ustawie o prawach pacjenta i Rzeczniku Praw Pacjent – w pierwszej kolejności dokumentacja powinna trafić do podmiotu, który przejął zadania lecznicze
• w przypadku gdy nie jest możliwe ustalenie podmiotu, za przechowywanie dokumentacji odpowiada wojewoda

Źródło: http://www.infodent24.pl/lexdentpost/kto-i-jak-ma-archiwizowac-dokumentacje-medyczna-po-zaprzestaniu-dzialalnosci-medycznej,112216.html

• Francuski organ ochrony danych osobowych nałożył drugą karę za naruszenie RODO – tym razem ukaranym podmiotem jest agencja nieruchomości Sergic
• przyczyną było niewłaściwe zabezpieczenie danych na stronie internetowej – użytkownicy strony Sergic mogli uzyskać dostęp do dokumentów zapisanych przez innych użytkowników, nieznacznie modyfikując adres URL wyświetlany w przeglądarce
• ​​dokumenty te zawierały kopie dowodu osobistego, legitymacji, zawiadomień podatkowych, zaświadczeń wydanych przez fundusz zasiłków rodzinnych, orzeczeń rozwodowych, wyciągów z konta lub danych banku
• wysokość kary to 400 tys. euro

Źródło: https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de

Źródło: https://twitter.com/zck/status/1134545851479543809