blog
RODO – przegląd najnowszych informacji dotyczących ochrony danych osobowych (27.07.2020)
1. Prezes UODO i Rzecznik Praw Pacjenta zacieśniają współpracę
https://uodo.gov.pl/pl/138/1606
· Jan Nowak, Prezes Urzędu Ochrony Danych Osobowych i Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta podpisali porozumienie o wzajemnej współpracy, którego celem jest wzajemne wspieranie się w realizacji ustawowych zadań.
· Edukacja, współpraca legislacyjna czy informowanie się o zagrożeniach wymagających wspólnych działań – to obszary, w jakich Prezes UODO i Rzecznik Praw Pacjenta podejmują współpracę. Podpisane pomiędzy nimi porozumienie przewiduje również wzajemne informowanie się w obszarach związanych z realizacją ustawowych zadań obydwu podmiotów, w których obie instytucje przejawiają zainteresowanie bądź posiadają ustawowe kompetencje.
- – Dane pacjentów o ich zdrowiu wymagają szczególnej troski. Należy pamiętać o godności pacjentów, ich prywatności i umiejętnym godzeniu tych praw z koniecznością zadbania o zdrowie publiczne. Dlatego współpraca między Prezesem UODO i Rzecznikiem Praw Pacjenta jest niezwykle istotna – powiedział Jan Nowak, Prezes UODO.
- – Rzecznik Praw Pacjenta skupia się na edukacji, bezpieczeństwie i wsparciu pacjentów. Nasza współpraca z UODO jest bardzo ważna z perspektywy ochrony danych pacjentów, przestrzegania ich praw oraz edukowania na temat możliwości, jakie mają – dodał Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta.
- Współpraca obu instytucji z pewnością pozwoli lepiej chronić pacjentów nie tylko poprzez skuteczne reagowanie w sytuacji zagrożenia, ale także poprzez budowanie odpowiedniej świadomości zarówno wśród pacjentów, jak i administratorów danych.
- – Dynamicznie zmieniające się otoczenie, szczególnie związane z rozwojem technologii i profilowaniem obywateli w oparciu także o dane na temat ich stanu zdrowia wymaga zacieśnienia współpracy między obiema instytucjami – zaznaczył Jan Nowak.
- – Nowe wyzwania, jakie stawia przed nami rzeczywistość w ochronie zdrowia, w tym rozwój e-zdrowia, wynikające z niego szanse, ale i zadania wymagają harmonijnego i ścisłego współdziałania RPP i UODO – podsumował Bartłomiej Chmielowiec.
- Porozumienie ma też za zadanie stworzenie warunków, w których współpraca będzie odpowiednio zorganizowana i nadzorowana przez oba organy. Dlatego też w treści porozumienia zawarto postanowienie o wykorzystaniu potencjału eksperckiego i organizacyjnego obu instytucji.
2. Wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems
https://uodo.gov.pl/pl/138/1603
- Trybunał Sprawiedliwości UE w wydanym 16 lipca 2020 r. wyroku w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems, potwierdził wysoki standard ochrony danych osobowych w odniesieniu do przekazywania danych osobowych do państw trzecich.
- TSUE stwierdził nieważność decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. W konsekwencji, od dnia ogłoszenia wyroku, tj. 16 lipca 2020 r., przekazywanie danych do importerów w Stanach Zjednoczonych Ameryki nie może się już odbywać na tej podstawie.
- Jednocześnie TSUE potwierdził dalsze obowiązywanie decyzji Komisji Europejskiej 2010/87 w sprawie standardowych klauzul umownych (SCC) dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich. Trybunał jednak zastrzegł, że należy zapewnić, aby prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul umownych ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w UE przez RODO w świetle postanowień Karty Praw Podstawowych UE.
- Oznacza to konieczność dokonania przez administratorów indywidualnej oceny stopnia ochrony danych zapewnianego w ramach takiego transgranicznego przekazywania danych, która musi uwzględniać nie tylko same postanowienia umowne uzgodnione między eksporterami i importerami danych, lecz również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych. Gdy w świetle dokonanej oceny poziom ochrony danych osobowych nie będzie merytorycznie równoważny z poziomem gwarantowanym w UE, przekazywanie danych może być uzależnione od zapewnienia równoważnego poziomu ich ochrony za pomocą innych środków.
- Prezes UODO podkreśla konieczność spójnego podejścia do oceny konsekwencji wyroku TSUE w całej Unii Europejskiej oraz niezbędność wspólnych działań w tym zakresie krajowych organów nadzorczych współpracujących w ramach Europejskiej Rady Ochrony Danych (EROD), w której pracach Prezes UODO uczestniczy.
- EROD na swym 34. posiedzeniu plenarnym 17 lipca 2020 r. przedyskutowała najważniejsze kwestie związane z konsekwencjami wyroku TSUE i zapowiedziała opublikowanie dalszych wyjaśnień.
3. Kontrola musi być przeprowadzona w pełnym zakresie – Prezes UODO po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia administracyjnej kary pieniężnej nałożył na Głównego Geodetę Kraju karę pieniężną w kwocie 100 tys. złotych
https://uodo.gov.pl/pl/138/1602
- Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Głównego Geodetę Kraju przepisów ogólnego rozporządzenia o ochronie danych (RODO), polegające na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Ponadto GGK nie współpracował z Prezesem UODO w trakcie tej kontroli.
- Prezes UODO ma za zadanie monitorować oraz egzekwować stosowanie RODO. W ramach swoich kompetencji m.in. prowadzi postępowania w sprawie stosowania przepisów RODO. Dla umożliwienia realizacji zadań organowi nadzorczemu przysługuje szereg określonych uprawnień, w tym prawo do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich niezbędnych dla niego informacji, czy uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.
- Ponadto administrator i podmiot przetwarzający mają obowiązek współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 RODO.
- Naruszenie przepisów ogólnego rozporządzenia o ochronie danych, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, skutkuje naruszeniem uprawnień organu nadzorczego określonych w art. 58 ust. 1 RODO. Dlatego też, Prezes UODO uznał za uzasadnione nałożenie administracyjnej kary pieniężnej.
- Przypomnijmy, że na początku marca 2020 r. Prezes Urzędu Ochrony Danych Osobowych zdecydował o konieczności przeprowadzenia kontroli przetwarzania przez Głównego Geodetę Kraju na portalu GEOPORTAL2 danych osobowych pochodzących z powiatowych ewidencji gruntów i budynków, o czym poinformował go pismem, w którym wskazał zakres kontroli oraz termin jej przeprowadzenia. W celu przeprowadzenia czynności kontrolnych, kontrolujący upoważnieni przez Prezesa UODO, okazali Głównemu Geodecie Kraju swoje legitymacje służbowe oraz przedłożyli upoważnienia imienne zawierające informację o zakresie kontroli. GGK nie dopuścił do przeprowadzenia czynności kontrolnych w pełnym zakresie wynikającym z przedłożonych upoważnień. Uzasadniając swoje stanowisko, wskazał, że według jego oceny z zakresu wskazanego w upoważnieniach wynika, że kontrola ma dotyczyć numerów ksiąg wieczystych, które według niego nie stanowią danych osobowych w rozumieniu przepisów Prawa geodezyjnego i kartograficznego.
- Ostatecznie GGK podpisał upoważnienia, na których zamieścił pisemną adnotację, z której wynika, że odmawia przeprowadzenia kontroli w zakresie ustalenia m.in.: podstawy przetwarzania (także udostępniania w GEOPRTALU2) danych osobowych, źródeł pozyskiwania tych danych, zakresu i rodzaju udostępnianych danych osobowych oraz sposobu i celu tego udostępniania. Ponadto z adnotacji wynika, że Główny Geodeta Kraju wyraził zgodę na przeprowadzenie czynności kontrolnych w zakresie ustalenia, czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną oraz czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych. Niestety, z powodu braku dostępu kontrolujących do systemów informatycznych używanych przez GGK oraz dokonania niezbędnych oględzin systemu informatycznego, w toku kontroli nie ustalono, czy wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. Z uwagi na powyższe, w toku kontroli ustalono jedynie, jakie środki organizacyjne zastosował GGK dla bezpieczeństwa danych oraz czy powołany został inspektor ochrony danych.
- Z dokonanych czynności kontrolnych sporządzono protokół kontroli, który został podpisany przez Głównego Geodetę Kraju.
- Z uwagi na kategoryczny brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie oraz jednoznacznie wyrażony przez niego brak woli współpracy, kontrolujący nie mogli ustalić, w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych oraz, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. Podczas kontroli nie można było zbadać tego co było jej głównym przedmiotem z uwagi na uniemożliwienie przeprowadzenia wszystkich czynności. W tym zakresie bowiem kontrola została udaremniona przez Głównego Geodetę Kraju.
- Ponadto przed Prezesem UODO toczy się osobne postępowanie w przedmiocie naruszenia polegającego na przetwarzaniu danych osobowych w postaci numerów ksiąg wieczystych na portalu internetowym GEOPORTAL2 bez podstawy prawnej.
- Komunikat informujący o udaremnieniu kontroli przez GGK i o wydaniu postanowienia przez Prezesa UODO dostępny jest na stronie internetowej Urzędu pod linkiem: https://uodo.gov.pl/pl/138/1483.
- Pełna treść decyzji dostępna pod adresem: https://uodo.gov.pl/decyzje/DKE.561.3.2020
- Brak współpracy z organem nadzorczym – Prezes UODO nałożył 5 tys. zł kary na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole.
https://uodo.gov.pl/pl/138/1601
- Przedsiębiorca prowadzący placówki nie zapewnił Prezesowi UODO dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań – w tym przypadku do oceny czy administrator w sposób zgodny z przepisami RODO zawiadomił osoby, których dane dotyczą, o naruszeniu (czym naruszył art. 58 ust. 1 lit. e RODO).
- Przedsiębiorca zgłosił do Prezesa UODO naruszenia ochrony danych osobowych, polegające na utracie dostępu do danych osobowych przechowywanych w prowadzonym niepublicznym żłobku i przedszkolu.
- W związku z brakiem w ww. zgłoszeniu informacji niezbędnych do oceny tego naruszenia, organ nadzorczy trzykrotnie skierował do przedsiębiorcy wezwania do złożenia stosownych wyjaśnień. Dwa wezwania nie zostały podjęte w terminie, natomiast jedno ukarany podmiot odebrał osobiście. Przedsiębiorca nie udzielił Prezesowi UODO żadnej odpowiedzi na wezwania.
- Obowiązkiem przedsiębiorcy, czyli podmiotu profesjonalnie działającego w obrocie prawno-gospodarczym, jest odbieranie korespondencji związanej z prowadzoną działalnością. Zachowanie przedsiębiorcy budzi szczególne niezrozumienie, tym bardziej to on sam zgłosił Prezesowi UODO naruszenie ochrony danych osobowych i w związku z tym powinien spodziewać się stanowiska organu ochrony danych osobowych w tej sprawie.
- Podkreślić należy także, że prowadzona przez ukarany podmiot działalność obejmowała przetwarzanie danych osobowych dzieci, które wymagają szczególnej ochrony, ponieważ mogą być mniej świadome ryzyka, czy konsekwencji związanych z przetwarzaniem danych.
- Wydając decyzję o nałożeniu administracyjnej kary pieniężnej oraz określając jej wysokość, Prezes UODO wziął pod uwagę jako okoliczności obciążające przedsiębiorcę, m.in. charakter, wagę i czas trwania naruszenia, umyślny charakter naruszenia oraz brak współpracy z organem nadzorczym. Nałożona kara jest w ocenie Prezesa UODO proporcjonalna do wagi stwierdzonego naruszenia oraz do możliwości jej poniesienia przez przedsiębiorcę bez dużego uszczerbku dla prowadzonej przez niego działalności.
- Kara ta powinna zdyscyplinować przedsiębiorcę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku trwającego postępowania w sprawie zgłoszenia naruszenia ochrony danych osobowych, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z udziałem przedsiębiorcy przed Prezesem UODO. Jest ona jasnym sygnałem, że lekceważenie obowiązków związanych ze współpracą z organem – w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań – stanowi naruszenie o dużej wadze i jako takie podlega sankcjom finansowym.
- Pełna treść decyzji dostępna: https://www.uodo.gov.pl/decyzje/DKE.561.2.2020
- Pracodawca administratorem danych w dokumentacji pracowniczej – Administrator, przechowując dane w dokumentacji pracowniczej nie musi prosić pracownika o zgodę na przetwarzanie jego danych. W tym przypadku to nie zgoda pracowników, a obowiązek prawny administratora będzie właściwą podstawą przetwarzania danych zgromadzonych w aktach osobowych pracowników.
https://uodo.gov.pl/pl/138/1600
- Prowadzenie dokumentacji pracowniczej odbywa się na podstawie odrębnych przepisów prawa pracy. W rozporządzeniu Ministra Rodziny Pracy i Polityki Społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej został określony m.in. zakres, sposób i warunki prowadzenia oraz przechowywania pracowniczych akt osobowych.
- Zgodnie z tym rozporządzeniem to na pracodawcy spoczywa obowiązek zakładania i prowadzenia akt osobowych dla każdego pracownika oddzielnie. Regulacje te stanowią także, że akta osobowe składają się z czterech części ze wskazaniem, jaki rodzaj dokumentów i informacji znajduje się w każdej z nich. Tak więc podstawą prawną przechowywania danych pracownika w jego aktach osobowych jest art. 6 ust. 1 lit. c RODO, czyli obowiązek prawny ciążący na administratorze.
- Oznacza to, że pracodawca będący administratorem danych zawartych w aktach osobowych jest związany przepisami ww. rozporządzenia, a nie wolą pracownika poprzez odbieranie od niego zgody na realizację procesu przetwarzania w ww. celach.
- Obowiązki pracodawcy w zakresie prowadzenia akt osobowych i ich zawartości są więc ściśle określone i nie można mówić o dobrowolności przy przetwarzaniu danych osobowych w tych celach.
- Należy pamiętać, że jeśli po stronie pracodawcy istnieje ryzyko, że w aktach osobowych znajdują się informacje zebrane niezgodne z obowiązującymi przepisami, to pracodawca powinien dokonać ich przeglądu i usunąć dane pozyskane nielegalnie.
- ABC rekrutacji – Przygotowując się do rekrutacji, pracodawca powinien gruntownie przeanalizować, jakie dane będzie mógł pozyskać od kandydata do pracy, aby na ich podstawie była możliwa ocena, czy dana osoba spełnia kryteria niezbędne do objęcia stanowiska, o które się ubiega.
https://uodo.gov.pl/pl/138/1599
- Pracodawca musi pamiętać, że proces rekrutacyjny będzie wiązał się z pozyskiwaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych. Warto podkreślić, że pracodawca nie może żądać od kandydata danych nadmiarowych, które są niepotrzebne do przeprowadzenia rekrutacji. Ponadto dane osobowe nie mogą być zbierane na zapas, tj. bez wykazania przez administratora zgodnego z prawem celu ich pozyskania i niezbędności do realizacji tego celu.
Jakie dane można pozyskać?
- Zgodnie z art. 221 1 kodeksu pracy, pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
- Co więcej, pracodawca może żądać podania wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia, ale tylko wtedy gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
- Katalog danych, które mogą być przetwarzane w procesie rekrutacji przez pracodawcę jest zamknięty, co oznacza, że pracodawca nie może przetwarzać danych, które wykraczają poza ten zakres.
Wyrażam zgodę na przetwarzanie danych…
- W tym miejscu należy podkreślić, że do przetwarzania wyżej wymienionych danych nie jest potrzebna zgoda. Dotychczasowa praktyka zamieszczenia w liście motywacyjnym CV zgody na przetwarzanie danych w celach rekrutacyjnych nie jest właściwa. Zgoda, a w szczególności wyraźna zgoda na przetwarzanie wybranych danych, może być niezbędna jedynie w określonych sytuacjach. Na przykład, kandydat może zgodzić się na przetwarzanie jego danych na potrzeby przyszłych rekrutacji przez wskazany czas.
Referencje
- Co się tyczy referencji należy też pamiętać, że złożenie przez kandydata do pracy tzw. referencji nie uprawnia pracodawcy do kontaktu z podmiotem je wystawiającym w celu pozyskania dodatkowych informacji o kandydacie. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Potencjalny pracodawca nie może tym samym zwrócić się do poprzedniego pracodawcy o informację, jakie zadania realizował kandydat u tego podmiotu oraz jaką ma opinię o kandydacie do pracy. Podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat.
Jakich danych nie trzeba pozyskiwać?
- Pracodawca nie może żądać od kandydata danych wykraczających poza zakres, który został wskazany w kodeksie pracy w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika. Może się oczywiście zdarzyć, że osoba kandydująca na konkretne stanowisko będzie musiała spełnić pewne określone prawem wymogi, np. wymóg niekaralności i wówczas pracodawca będzie uprawniony do pozyskania informacji o nim w tym zakresie. Zdarza się, że osoby kandydujące do pracy przekazują z własnej inicjatywy więcej danych, niż jest to wskazane w kodeksie pracy. Przepisy kodeksu pracy nie nakładają obowiązku przekazywania pracodawcy przez kandydata do pracy swojego zdjęcia (niezależnie od formy jego udostępnienia). Niekiedy podajemy także informację o stanie cywilnym, numer PESEL, miejsce urodzenia czy nawet imiona rodziców.
- W takiej sytuacji dane osobowe kandydata, o ile nie należą do szczególnej kategorii danych, są przetwarzane przez potencjalnego pracodawcę na podstawie zgody, która może polegać na oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą godzi się na przetwarzanie jej danych osobowych, które sama przekazała. Zatem o ile kandydat sam z własnej woli zechce udostępnić dodatkowe informacje na swój temat, np. zdjęcie, to wyrażona przez niego zgoda na ich wykorzystanie będzie elementem legalizującym przetwarzanie tych danych na potrzeby naboru przez pracodawcę.
- Trzeba przypomnieć, że zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
- Warto również dodać, że pracodawca nie może sugerować kandydatowi do pracy zakresu innych danych, które z własnej woli kandydat miałby przekazywać.
- Innym przykładem danych, których pracodawca nie może żądać od osoby ubiegającej się o zatrudnienie jest informacja o toczących się i niezakończonych postępowaniach karnych oraz o ich przebiegu. Tego typu informacje nie mieszczą się w katalogu danych, które mogą być przez niego przetwarzane.
- Toczące się postępowanie karne nie musi bowiem doprowadzić do prawomocnego skazania danej osoby. Informacji o takich postępowaniach nie zawiera również Krajowy Rejestr Karny, w którym wskazuje się dane, m.in. osób prawomocnie skazanych oraz przeciwko którym prawomocnie umorzono postępowanie karne.
Po dokonaniu wyboru
- Jeżeli cel przetwarzania związany z rekrutacją, w związku z którą pozyskano dane, ustaje to dane nie powinny być dłużej przetwarzane. Jednocześnie administrator musi ocenić, czy nie wystąpią inne cele i podstawy prawne uzasadniające ich przetwarzanie (np. archiwizacja). Ponadto w przypadku gdy toczy się spór związany z niezatrudnieniem jest jeszcze kwestia przetwarzania w celu dochodzenia roszczeń.
Pracodawca administratorem
- Jak stanowi art. 5 RODO administrator powinien przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której one dotyczą. Powinien też zbierać je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie wykorzystywać ich w sposób niezgodny z tymi celami. Jednocześnie RODO zobowiązuje go, by pozyskując dane osobowe, w sposób jasny, przejrzysty i zrozumiały informował m.in. o pełnej nazwie i adresie swojej siedziby; o celu i podstawie prawnej przetwarzania danych osobowych, a także o okresie, przez który zebrane dane będą przechowywane.
- Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy.
- Każda osoba, która ma wątpliwość, czy po zakończeniu rekrutacji usunięto jej dane osobowe, ma prawo – zgodnie z art. 15 RODO – zwrócić się do administratora z pytaniem, czy i jakie dotyczące jej dane przetwarza oraz w jakim celu to robi i na jakiej podstawie. Gdyby okazało się, że mimo zakończonej rekrutacji jej dane nadal są przetwarzane, to może zażądać od administratora ich usunięcia.
7. Prezes UODO nakłada karę w transgranicznym postępowaniu – Prezes UODO nałożył 15 tys. zł. kary na spółkę East Power z Jeleniej Góry za niezapewnienie organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań
https://uodo.gov.pl/pl/138/1597
- Ukarana spółka zajmuje się na terenie Polski i Niemiec pośrednictwem pracy, a skargę na jej działania złożył obywatel Niemiec, gdyż przetwarzała ona jego dane osobowe w celach marketingowych. Skargę złożył w niemieckim organie ochrony danych osobowych właściwym dla Nadrenii-Palatynatu, ale została ona przejęta do rozpoznania przez Prezesa UODO, który był w tej sprawie tzw. organem wiodącym z uwagi na to, że spółka ma siedzibę w Polsce.
- W ramach tego postępowania Prezes UODO trzykrotnie skierował do spółki wezwania do złożenia wyjaśnień. Dwa z nich (prawidłowo doręczonych i odebranych przez spółkę) pozostały bez żadnej odpowiedzi. Na jedno z wezwań spółka udzieliła odpowiedzi, jednakże wyjaśnienia w niej zawarte były niepełne i wewnętrznie sprzeczne. W ocenie Prezesa UODO były one dalece niewystarczające do ustalenia stanu faktycznego sprawy. Wobec takiego postępowania spółki Prezes UODO uznał, że celowo utrudnia ona bieg postępowania lub co najmniej lekceważy swoje obowiązki związane ze współpracą z organem nadzoru. Prezes UODO za konieczne uznał więc wszczęcie odrębnego postępowania w sprawie nałożenia na nią administracyjnej kary pieniężnej.
- Dopiero w reakcji na zawiadomienie o wszczęciu tego postępowania spółka złożyła bardziej obszerne wyjaśnienia, jednak i tym razem były one niepełne i wymagały prowadzenia dalszego postępowania wyjaśniającego. Prezes UODO uznał więc, że spółka nie chce z nim współpracować i nie wywiązuje się z – przewidzianego przepisami RODO – obowiązku zapewnienia mu dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań, w tym przypadku do rozpatrzenia skargi wniesionej przez obywatela Niemiec.
- Wydając decyzję o nałożeniu na East Power Sp. z o.o. administracyjnej kary pieniężnej oraz określając jej wysokość, Prezes UODO wziął pod uwagę jako okoliczności obciążające m.in. dużą wagę naruszenia (godzącego w prawidłowe funkcjonowanie określonego przepisami RODO systemu ochrony danych osobowych), umyślny charakter naruszenia oraz niezadowalający stopień współpracy administratora z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego skutków.
- Sankcje nakładane przez Prezesa UODO w postaci administracyjnych kar pieniężnych mają na celu zdyscyplinowanie administratorów i podmiotów przetwarzających. Lekceważenie przez nich obowiązków związanych ze współpracą z Prezesem UODO prowadzi bowiem do przedłużania prowadzonych przez niego postępowań. W ten sposób utrudniona jest realizacja praw osób, których dane osobowe są naruszane.
- Taka sytuacja ma miejsce w przypadku ukaranej spółki. Swoim działaniem uniemożliwia rozpatrzenie skargi obywatela Niemiec i wydanie przez Prezesa UODO decyzji rozstrzygającej sprawę związaną ze złożoną skargą.
- Pełna treść decyzji dostępna: https://uodo.gov.pl/decyzje/DKE.561.1.2020
8. Potrzebne przepisy dotyczące postępowania z danymi osobowymi utrwalonymi na zagubionych nośnikach – Prezes UODO zwrócił się do Ministra Spraw Wewnętrznych i Administracji z wnioskiem o rozważenie uregulowania w ustawie o rzeczach znalezionych kwestii dotyczących postępowania z danymi osobowymi, utrwalonymi na zagubionych nośnikach danych
https://uodo.gov.pl/pl/138/1595
- To reakcja na wpływającą do Prezesa UODO korespondencję od starostów, którzy wskazują na problemy pojawiające się w związku z przechowywaniem przez nich znalezionych rzeczy, takich jak laptopy, telefony komórkowe, pendrive’y, dyski, aparaty fotograficzne czy tablety.
- W myśl bowiem art. 12 ust. 1 ustawy z dnia 20 lutego 2015 r. o rzeczach znalezionych, do zadań starostów należy prowadzenie postępowania w sprawach odbierania zawiadomień o znalezieniu rzeczy, przyjmowania i przechowania rzeczy znalezionych oraz poszukiwania osób uprawnionych do ich odbioru, chyba że przepis szczególny stanowi inaczej.
- Przepisy prawa wskazują na obowiązek zabezpieczenia przez starostów znalezionych rzeczy. Jednak nie wynika z nich, w jakim zakresie ponoszą oni odpowiedzialność za dane osobowe utrwalone na znalezionych nośnikach. Nie wiadomo np., czy starostowie mają prawo do wyszukiwania na znalezionych nośnikach informacji umożliwiających ustalenie tożsamości ich właściciela, czy powinni ze znalezionych sprzętów usuwać dane osobowe, czy mogą wydawać rzeczy znalazcy bez żadnej ingerencji.
- Problem jest skomplikowany tym bardziej, że w urządzeniach wyposażonych w pamięć wewnętrzną mogą być utrwalone bardzo zróżnicowane dane – zarówno te zwykłe, jak i należące do szczególnych kategorii czy nawet dotyczące wyroków skazujących i czynów zabronionych. Dane te mogą odnosić się do sfery prywatności czy wręcz intymności osób fizycznych, jak i być objęte tajemnicami prawnie chronionymi.
- Starosta przechowujący znalezione rzeczy jest bez wątpienia zobowiązany do stosowania przepisów RODO. Jednocześnie w ustawie o rzeczach znalezionych nie ma żadnych regulacji uprawniających czy zobowiązujących starostę do ingerencji w zawartość zagubionych nośników danych. Co więcej, ze wskazanych przepisów wynika, że starosta w określonych sytuacjach ma obowiązek przekazania rzeczy znalazcy, który w ten sposób wchodzi w posiadanie danych osobowych znajdujących się w pamięci znalezionego urządzenia, co może prowadzić do naruszenia zasad określonych w art. 5 RODO (m.in. rzetelności, celowości, poufności, minimalizacji i in.).
- W związku z tym, w ocenie Prezesa UODO zagadnienie to wymaga analizy pod kątem rozważenia wprowadzenia odpowiednich regulacji prawnych, które będą precyzowały kwestię odpowiedzialności i stosownego postępowania z danymi osobowymi znajdującymi się na nośnikach danych stanowiących element zagubionych rzeczy.
9. Zgłoś uwagi do projektu kodeksu postępowania dla fotografów – Trwają konsultacje projektu kodeksu postępowania dla fotografów. Projekt kodeksu został skierowany przez autora do konsultacji, a te trwają od 1 lipca do 31 sierpnia 2020 r.
https://uodo.gov.pl/pl/138/1589
- Wszystkie podmioty zainteresowane stosowaniem ogólnego rozporządzenia o ochronie danych (RODO) w branży fotograficznej mogą wziąć udział w konsultacjach projektu kodeksu postępowania w tym sektorze. Treść projektu kodeksu oraz więcej informacji na jego temat są dostępne na stronie internetowej https://bezpiecznywizerunek.pl/.
- Wszelkie uwagi oraz sugestie do treści projektu kodeksu, można przesyłać bezpośrednio na adres e-mail: rodo@soinlaw.comlub za pośrednictwem formularza kontaktowego, znajdującego się na stronie internetowej: https://bezpiecznywizerunek.pl/.
- Prezes UODO zachęca do tworzenia kodeksów branżowych (art. 40 ust. 1 RODO) i wspiera ich autorów. Wielokrotnie zwracał on też uwagę, aby tworzenie kodeksów postępowania poprzedziły odpowiednio szerokie konsultacje. Obowiązek ich przeprowadzenia wynika zarówno z RODO, jak i ustawy z 25 maja 2018 r. o ochronie danych osobowych (dalej: u.o.d.o.). Ocena procesu konsultacji będzie dokonywana przez organ ochrony danych po złożeniu wniosku o zatwierdzenie projektu kodeksu, zgodnie z art. 40 RODO i art. 27 u.o.d.o.
- Szczegółowe informacje o kodeksach postępowania są dostępne na stronie: https://uodo.gov.pl/pl/426.
10. Wyjaśnienia od Gemini Apss
https://uodo.gov.pl/pl/138/1581
- Prezes UODO zwrócił się do Gemini Apss Sp. z o.o. o złożenie wyjaśnień w związku z przetwarzaniem danych osobowych w ramach usługi polegającej na wyszukiwaniu informacji w zakresie dostępności i orientacyjnej ceny produktów leczniczych i wyrobów medycznych wskazanych w e-receptach w aplikacji dostępnej na stronie: receptagemini.pl
- Na problem ten zwróciła uwagę Naczelna Izba Aptekarska w piśmie do Prezesa UODO z 19 czerwca 2020 r. Zdaniem NIA, Spółka Gemini Apss mogła naruszyć przepisy o ochronie danych osobowych, w szczególności wynikające z przepisów RODO. Izba zwróciła uwagę, że spółka zbiera i przetwarza dane osobowe użytkowników portalu, w tym dane osobowe szczególnych kategorii (dane dotyczące zdrowia) z naruszeniem zasad przetwarzania danych osobowych oraz nie zapewniając im odpowiedniego stopnia bezpieczeństwa. Jednocześnie Urząd analizuje pisma innych podmiotów zainteresowanych tą sprawą.
- Ewentualne dalsze działania Urzędu będą uzależnione od poczynionych ustaleń.
Marta Rabe-Kozłowska
Radca prawny
Email: odo@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.