blog

RODO – przegląd najnowszych informacji dotyczących ochrony danych osobowych (27.10.2020)

27/10/20 | Artykuły

1. WSA oddalił skargę spółki Morele.net na decyzję Prezesa UODO – 4.09.2020 r.

Wojewódzki Sąd Administracyjny w Warszawie 3 września 2020 r. ogłosił wyrok w sprawie skargi spółki Morele.net na decyzję Prezesa UODO nakładającą administracyjną karę pieniężną. WSA oddalił skargę i uznał, że decyzja o karze nałożonej na spółkę była zasadna.

WSA rozpatrywał skargę spółki Morele.net w związku z m. in. niewystarczającym zastosowaniem środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów, przez co do danych osobowych klientów uzyskały dostęp osoby nieuprawnione.

Skarga dotyczyła decyzji Prezesa UODO z 10 września 2019 r. (https://uodo.gov.pl/decyzje/ZSPR.421.2.2019), w której stwierdzono, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła przepisy RODO, wobec czego Prezes UODO nałożył na Morele.net karę pieniężną w wysokości 2,8 mln zł.

Sąd podzielił stanowisko organu nadzorczego, iż zastosowane przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów, w tym jednoetapowa autoryzacja do panelu pracownika. Sąd potwierdził również argument UODO, że spółka niewystarczająco monitorowała potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza.

Sąd oddalając skargę uznał, że decyzja Prezesa UODO spełnia wymogi decyzji wynikające z Kodeksu postępowania administracyjnego, a zarzuty strony skarżącej dotyczące naruszenia jej praw, w tym ograniczenia prawa do obrony nie zasługują na uwzględnienie. Zdaniem Sądu sentencja decyzji wskazuje, które przepisy zostały naruszone. Sąd nie miał wątpliwości za jakie naruszenia została nałożona kara.

Ponadto WSA stwierdził, że organ nadzorczy prawidłowo ocenił stan faktyczny w przedmiotowej sprawie i uznał, że nałożona kara jest wysoka, ale w granicach prawa oraz uzasadniona okolicznościami. Zdaniem Sądu organ nadzorczy prawidłowo wziął pod uwagę czynniki obciążające oraz łagodzące karę.

https://uodo.gov.pl/pl/138/1704

 

  1. Naruszenie ochrony danych w McDonald’s Polska – 7.09.2020 r.

Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie naruszenia danych osobowych od  McDonald’s Polska Sp. z o.o. Urząd wyjaśnia sprawę.

Naruszanie polegało na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald’s w Polsce zawartych w narzędziu do wyświetlania grafików pracy. 

Prezes UODO prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia. Organ nadzorczy analizując sprawę, zwrócił się do Spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych, a w szczególności czy Spółka dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów i pracowników Spółki. Ponadto w przedmiocie zainteresowań Prezesa UODO jest wyjaśnienie okoliczności w jaki sposób doszło do umieszczenia pliku zawierającego dane osobowe na publicznie dostępnym katalogu. Ewentualne dalsze kroki organ nadzorczy podejmie po ustaleniu wszelkich okoliczności w tej sprawie.

https://uodo.gov.pl/pl/138/1705

 

  1. Kara nałożona na Głównego Geodetę Kraju – 7.09.2020 r.

Prezes UODO, poza nałożeniem w drodze decyzji administracyjnej kary pieniężnej, zobowiązał Głównego Geodetę Kraju (GGK) do trwałego zaprzestania udostępniania numerów ksiąg wieczystych. Tak szeroki dostęp do danych osób fizycznych zawartych w portalu GEOPORTAL2 niesie za sobą ryzyko kradzieży tożsamości. Jak wynika z postępowania przeprowadzonego przez Prezesa UODO, GGK miał świadomość braku podstawy do przetwarzania danych zgodnie z prawem.

https://uodo.gov.pl/pl/138/1707

 

  1. EROD przyjęła wytyczne m.in. ws. pojęć administratora i podmiotu przetwarzającego – 7.09.2020 r.

Podczas 37. posiedzenia plenarnego EROD przyjęła wytyczne w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO, a także w sprawie targetowania użytkowników mediów społecznościowych. Ponadto utworzono grupę roboczą ds. skarg wniesionych w następstwie wyroku TSUE w sprawie Schrems II oraz grupę roboczą ds. środków uzupełniających, których zastosowania można wymagać od podmiotów przekazujących i odbierających dane w celu zapewnienia odpowiedniego stopnia ochrony danych podczas przekazywania danych w świetle wyroku TSUE w sprawie Schrems II.

Rada przyjęła Wytyczne w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Od rozpoczęcia obowiązywania RODO pojawiły się pytania, w jakim stopniu rozporządzenie wprowadziło zmiany do tych pojęć, w szczególności w odniesieniu do pojęcia współadministrowania (jak stanowi art. 26 RODO oraz w następstwie szeregu orzeczeń TSUE), jak również obowiązków podmiotów przetwarzających (w szczególności art. 28 RODO) określonych w rozdziale IV RODO.

EROD przyjęła również Wytyczne w sprawie targetowania użytkowników mediów społecznościowych, które dostarczają praktyczne wskazówki i zawierają przykłady różnych sytuacji, ułatwiające zidentyfikowanie „scenariusza” najbardziej zbliżonego do praktyki targetowania, którą zainteresowani będą mieli zamiar zastosować.

Ponadto Rada utworzyła grupę roboczą, która rozpatrzy skargi złożone w następstwie wyroku TSUE w sprawie Schrems II. Chodzi o 101 identycznych skarg wniesionych do organów ochrony danych państw EOG przeciwko kilku administratorom w państwach członkowskich EOG w związku z korzystaniem przez nich z usług Google oraz Facebook, które obejmują przekazywanie danych osobowych.

Dodatkowo w następstwie wyroku TSUE w sprawie Schrems II oraz w uzupełnieniu do dokumentu zawierającego odpowiedzi na najczęściej zadawane pytania dotyczące tego wyroku, przyjętego 23 lipca 2020 r. Rada utworzyła grupę roboczą. Grupa ta przygotuje zalecenia w celu wsparcia administratorów i podmiotów przetwarzających w ich obowiązkach związanych z identyfikacją i wdrożeniem odpowiednich środków uzupełniających dla zapewnienia odpowiedniego stopnia ochrony przy przekazywaniu danych do państw trzecich.

https://uodo.gov.pl/pl/138/1710

 

  1. SGGW z karą za naruszenie ochrony danych osobowych – 8.09.2020 r.

Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie ochrony danych osobowych przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, nałożył na ten podmiot administracyjną karę pieniężną w wysokości 50 tys. zł.

Przypomnijmy, że Prezes UODO otrzymał w listopadzie 2019 roku zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW. Zgłoszenie było związane z kradzieżą przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych. Po kontroli przeprowadzonej na uczelni w związku z naruszeniem ochrony danych, Prezes UODO wszczął z urzędu postępowanie administracyjne.

Na podstawie zebranego materiału dowodowego w toku postępowania Prezes UODO nałożył na uczelnię administracyjną karę pieniężną. Decydując o wysokości kary, organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica). Znaczenie dla wysokości kary miało również to, że administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Powyższe okoliczności świadczą o naruszeniu zasady poufności i rozliczalności określonej w RODO.

Warto odnotować, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.

Ponadto w wyniku przeprowadzonego postępowania ustalono, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia.

Jednocześnie Prezes UODO stwierdził, że w przedmiotowej sprawie inspektor ochrony danych (IOD) wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania. Powołany inspektor ochrony danych nie był angażowany przez uczelnię w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania. Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych.

Wymierzając karę pieniężną, Prezes UODO wziął pod uwagę okoliczności łagodzące, takie jak: dobrą współpracę z organem nadzorczym zarówno w toku przeprowadzonej kontroli, jak i w trakcie postępowania administracyjnego, podjęcie działań przez uczelnię mających na celu usunięcie naruszenia oraz zapewnienie bezpieczeństwa w procesie przetwarzania danych w przyszłości.

https://uodo.gov.pl/pl/138/1711

 

  1. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 08.10.2020 r. – 13.10.2020 r.

Podczas 39. posiedzenia plenarnego EROD przyjęła wytyczne w sprawie pojęcia „mający znaczenie dla sprawy i uzasadniony sprzeciw”. Wytyczne przyczynią się do jednolitej interpretacji pojęcia, co pomoże usprawnić przyszłe procedury art. 65 RODO.

Wytyczne mają na celu wypracowanie wspólnego zrozumienia pojęcia „mający znaczenie dla sprawy i uzasadniony sprzeciw”, w tym tego, co należy wziąć pod uwagę przy ocenie, czy sprzeciw „jasno wskazuje wagę wynikającego z projektu decyzji ryzyka” (art. 4 ust. 24 RODO).

https://uodo.gov.pl/pl/185/1730

 

  1. Konsultacje wytycznych ws. pojęcia mającego znaczenie dla sprawy i uzasadnionego sprzeciwu – 19.10.2020 r.

Do 24 listopada 2020 r. Europejska Rada Ochrony Danych (EROD) prowadzi konsultacje publiczne dotyczące Wytycznych 9/2020 w sprawie pojęcia mającego znaczenie dla sprawy i uzasadnionego sprzeciwu.

Podczas 39. posiedzenia plenarnego EROD przyjęła wytyczne w sprawie pojęcia mającego znaczenie dla sprawy i uzasadnionego sprzeciwu. Celem wytycznych jest wypracowanie wspólnego zrozumienia analizowanego pojęcia, w tym tego, co należy wziąć pod uwagę przy ocenie, czy sprzeciw „jasno wskazuje wagę wynikającego z projektu decyzji ryzyka” (art. 4 pkt. 24 RODO).

W ramach mechanizmu współpracy organy nadzorcze mają obowiązek nie tylko “wymieniać się wszelkimi stosownymi informacjami”, ale i współpracować „w celu osiągnięcia porozumienia”. Zgodnie z art. 60 ust. 3 i 4 RODO wiodący organ nadzorczy przedkłada projekt decyzji innym organom, których sprawa dotyczy, aby uzyskać ich opinię i uwzględnić uwagi. Ponadto inne organy nadzorcze mogą następnie zgłosić mający znaczenie dla sprawy i uzasadniony sprzeciw. Po otrzymaniu sprzeciwu wiodący organ nadzorczy ma dwie możliwości – jeżeli nie uwzględni sprzeciwu lub jest zdania, że nie ma on znaczenia dla sprawy lub nie jest uzasadniony, wiodący organ przedkłada sprawę EROD w ramach mechanizmu spójności (art. 65 RODO).

 https://uodo.gov.pl/pl/138/1738

 

  1. Wytyczne ws. uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych – 23.20.2020 r.

Po zakończeniu konsultacji społecznych, EROD podczas 40. posiedzenia plenarnego, przyjęła ostateczną wersję Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych.

Przyjęte Wytyczne koncentrują się na obowiązku uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych, zgodnie z artykułem 25 RODO. Podstawowym obowiązkiem zapisanym w tym artykule jest skuteczne wdrażanie zasad ochrony danych oraz praw i wolności osób, których dane dotyczą, już w fazie projektowania i domyślnie. Oznacza to, że administratorzy muszą wdrożyć odpowiednie środki techniczne i organizacyjne oraz niezbędne zabezpieczenia, których celem jest zapewnienie praktycznego przestrzegania zasad ochrony danych oraz ochrony praw i wolności osób, których dane dotyczą. Ponadto administratorzy powinni być w stanie wykazać, że wdrożone środki są skuteczne.

EROD podjęła również decyzję o ustanowieniu Ram Skoordynowanego Egzekwowania Prawa. Dokument zapewnia strukturę do koordynowania powtarzających się corocznych działań organów nadzorczych EROD. Rada przyjęła także pismo w odpowiedzi do Europejskiej Akademii Wolności Informacji i Ochrony Danych  w sprawie konsekwencji art. 17 dyrektywy w sprawie prawa autorskiego dla ochrony danych, w szczególności w odniesieniu do programów filtrujących.

https://uodo.gov.pl/pl/138/1753

Marta Rabe-Kozłowska

Radca prawny

Email: odo@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Magdalena Wietrak-Smura

Prawnik

Email: odo@turcza.com.pl

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.

MONITORING W MIEJSCU PRACY

Wielu pracodawców decyduje się na wprowadzenie monitoringu w miejscu pracy. Przed zastosowaniem takiego rozwiązania należy jednak dokładnie zweryfikować przepisy ustawy – Kodeksu pracy…

Urządzenia do pomiaru temperatury zgodne z RODO

W związku z trwającą w kraju i na świecie epidemią wirusa SARS-CoV-2, pracodawcy muszą zmierzyć się z wieloma wyzwaniami związanymi ze stworzeniem bezpiecznych i higienicznych warunków pracy we…

MONITORING W MIEJSCU PRACY

MONITORING W MIEJSCU PRACY

Wielu pracodawców decyduje się na wprowadzenie monitoringu w miejscu pracy. Przed zastosowaniem takiego rozwiązania należy jednak dokładnie zweryfikować przepisy ustawy – Kodeksu pracy…

Urządzenia do pomiaru temperatury zgodne z RODO

Urządzenia do pomiaru temperatury zgodne z RODO

W związku z trwającą w kraju i na świecie epidemią wirusa SARS-CoV-2, pracodawcy muszą zmierzyć się z wieloma wyzwaniami związanymi ze stworzeniem bezpiecznych i higienicznych warunków pracy we…

Nowe wytyczne UODO dotyczące pracy zdalnej

Nowe wytyczne UODO dotyczące pracy zdalnej

Urząd Ochrony Danych Osobowych przygotował poradnik dotyczący zasad, których należy przestrzegać podczas wykonywania pracy zdalnej, tak aby nie naruszać zasad bezpieczeństwa ochrony danych osobowych. Poradnik został wprowadzony ze względu na…

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

Oddział Poznań

ul. Palacza 144
60-278 Poznań

Oddział Leszno

ul. Niepodległości 49
64-100 Leszno

    Wyrażam zgodę na przetwarzanie przez Kancelarię Radców Prawnych Marek Turcza z siedzibą w Poznaniu, moich danych osobowych wskazanych na formularzu kontaktowym w celach marketingowych.

    Wyrażam zgodę na otrzymywanie od Kancelarii Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838 informacji handlowej i materiałów promocyjnych środkami komunikacji elektronicznej (e-mail), w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.


    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-278), ul. Palacza 144, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.


    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Palacza 144
    60-278 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2019 TURCZA Kancelaria Radców Prawnych. All rights reserved.

    0