blog
RODO – przegląd najnowszych informacji dotyczących ochrony danych osobowych (27.10.2020)
1. WSA oddalił skargę spółki Morele.net na decyzję Prezesa UODO – 4.09.2020 r.
Wojewódzki Sąd Administracyjny w Warszawie 3 września 2020 r. ogłosił wyrok w sprawie skargi spółki Morele.net na decyzję Prezesa UODO nakładającą administracyjną karę pieniężną. WSA oddalił skargę i uznał, że decyzja o karze nałożonej na spółkę była zasadna.
WSA rozpatrywał skargę spółki Morele.net w związku z m. in. niewystarczającym zastosowaniem środków technicznych i organizacyjnych do zabezpieczenia danych swych klientów, przez co do danych osobowych klientów uzyskały dostęp osoby nieuprawnione.
Skarga dotyczyła decyzji Prezesa UODO z 10 września 2019 r. (https://uodo.gov.pl/decyzje/ZSPR.421.2.2019), w której stwierdzono, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła przepisy RODO, wobec czego Prezes UODO nałożył na Morele.net karę pieniężną w wysokości 2,8 mln zł.
Sąd podzielił stanowisko organu nadzorczego, iż zastosowane przez spółkę środki techniczne i organizacyjne okazały się nieskuteczne w celu ochrony danych osobowych klientów, w tym jednoetapowa autoryzacja do panelu pracownika. Sąd potwierdził również argument UODO, że spółka niewystarczająco monitorowała potencjalne zagrożenia dla praw i wolności osób, których dane przetwarza.
Sąd oddalając skargę uznał, że decyzja Prezesa UODO spełnia wymogi decyzji wynikające z Kodeksu postępowania administracyjnego, a zarzuty strony skarżącej dotyczące naruszenia jej praw, w tym ograniczenia prawa do obrony nie zasługują na uwzględnienie. Zdaniem Sądu sentencja decyzji wskazuje, które przepisy zostały naruszone. Sąd nie miał wątpliwości za jakie naruszenia została nałożona kara.
Ponadto WSA stwierdził, że organ nadzorczy prawidłowo ocenił stan faktyczny w przedmiotowej sprawie i uznał, że nałożona kara jest wysoka, ale w granicach prawa oraz uzasadniona okolicznościami. Zdaniem Sądu organ nadzorczy prawidłowo wziął pod uwagę czynniki obciążające oraz łagodzące karę.
https://uodo.gov.pl/pl/138/1704
- Naruszenie ochrony danych w McDonald’s Polska – 7.09.2020 r.
Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie naruszenia danych osobowych od McDonald’s Polska Sp. z o.o. Urząd wyjaśnia sprawę.
Naruszanie polegało na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald’s w Polsce zawartych w narzędziu do wyświetlania grafików pracy.
Prezes UODO prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia. Organ nadzorczy analizując sprawę, zwrócił się do Spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych, a w szczególności czy Spółka dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów i pracowników Spółki. Ponadto w przedmiocie zainteresowań Prezesa UODO jest wyjaśnienie okoliczności w jaki sposób doszło do umieszczenia pliku zawierającego dane osobowe na publicznie dostępnym katalogu. Ewentualne dalsze kroki organ nadzorczy podejmie po ustaleniu wszelkich okoliczności w tej sprawie.
https://uodo.gov.pl/pl/138/1705
- Kara nałożona na Głównego Geodetę Kraju – 7.09.2020 r.
Prezes UODO, poza nałożeniem w drodze decyzji administracyjnej kary pieniężnej, zobowiązał Głównego Geodetę Kraju (GGK) do trwałego zaprzestania udostępniania numerów ksiąg wieczystych. Tak szeroki dostęp do danych osób fizycznych zawartych w portalu GEOPORTAL2 niesie za sobą ryzyko kradzieży tożsamości. Jak wynika z postępowania przeprowadzonego przez Prezesa UODO, GGK miał świadomość braku podstawy do przetwarzania danych zgodnie z prawem.
https://uodo.gov.pl/pl/138/1707
- EROD przyjęła wytyczne m.in. ws. pojęć administratora i podmiotu przetwarzającego – 7.09.2020 r.
Podczas 37. posiedzenia plenarnego EROD przyjęła wytyczne w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO, a także w sprawie targetowania użytkowników mediów społecznościowych. Ponadto utworzono grupę roboczą ds. skarg wniesionych w następstwie wyroku TSUE w sprawie Schrems II oraz grupę roboczą ds. środków uzupełniających, których zastosowania można wymagać od podmiotów przekazujących i odbierających dane w celu zapewnienia odpowiedniego stopnia ochrony danych podczas przekazywania danych w świetle wyroku TSUE w sprawie Schrems II.
Rada przyjęła Wytyczne w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Od rozpoczęcia obowiązywania RODO pojawiły się pytania, w jakim stopniu rozporządzenie wprowadziło zmiany do tych pojęć, w szczególności w odniesieniu do pojęcia współadministrowania (jak stanowi art. 26 RODO oraz w następstwie szeregu orzeczeń TSUE), jak również obowiązków podmiotów przetwarzających (w szczególności art. 28 RODO) określonych w rozdziale IV RODO.
EROD przyjęła również Wytyczne w sprawie targetowania użytkowników mediów społecznościowych, które dostarczają praktyczne wskazówki i zawierają przykłady różnych sytuacji, ułatwiające zidentyfikowanie „scenariusza” najbardziej zbliżonego do praktyki targetowania, którą zainteresowani będą mieli zamiar zastosować.
Ponadto Rada utworzyła grupę roboczą, która rozpatrzy skargi złożone w następstwie wyroku TSUE w sprawie Schrems II. Chodzi o 101 identycznych skarg wniesionych do organów ochrony danych państw EOG przeciwko kilku administratorom w państwach członkowskich EOG w związku z korzystaniem przez nich z usług Google oraz Facebook, które obejmują przekazywanie danych osobowych.
Dodatkowo w następstwie wyroku TSUE w sprawie Schrems II oraz w uzupełnieniu do dokumentu zawierającego odpowiedzi na najczęściej zadawane pytania dotyczące tego wyroku, przyjętego 23 lipca 2020 r. Rada utworzyła grupę roboczą. Grupa ta przygotuje zalecenia w celu wsparcia administratorów i podmiotów przetwarzających w ich obowiązkach związanych z identyfikacją i wdrożeniem odpowiednich środków uzupełniających dla zapewnienia odpowiedniego stopnia ochrony przy przekazywaniu danych do państw trzecich.
https://uodo.gov.pl/pl/138/1710
- SGGW z karą za naruszenie ochrony danych osobowych – 8.09.2020 r.
Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie ochrony danych osobowych przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, nałożył na ten podmiot administracyjną karę pieniężną w wysokości 50 tys. zł.
Przypomnijmy, że Prezes UODO otrzymał w listopadzie 2019 roku zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW. Zgłoszenie było związane z kradzieżą przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych. Po kontroli przeprowadzonej na uczelni w związku z naruszeniem ochrony danych, Prezes UODO wszczął z urzędu postępowanie administracyjne.
Na podstawie zebranego materiału dowodowego w toku postępowania Prezes UODO nałożył na uczelnię administracyjną karę pieniężną. Decydując o wysokości kary, organ nadzorczy wziął pod uwagę, że naruszenie ochrony danych osobowych dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica). Znaczenie dla wysokości kary miało również to, że administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe kandydatów na studia pobierane z systemu informatycznego oraz brak rejestrowania tej operacji w systemie informatycznym. Powyższe okoliczności świadczą o naruszeniu zasady poufności i rozliczalności określonej w RODO.
Warto odnotować, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Stanowi to o naruszeniu zasady ograniczenia przechowywania określonej w RODO.
Ponadto w wyniku przeprowadzonego postępowania ustalono, że uczelnia nie wdrożyła odpowiednich środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia.
Jednocześnie Prezes UODO stwierdził, że w przedmiotowej sprawie inspektor ochrony danych (IOD) wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania. Powołany inspektor ochrony danych nie był angażowany przez uczelnię w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania. Włączenie inspektora mogłoby obniżyć ryzyko niewłaściwego przetwarzania danych.
Wymierzając karę pieniężną, Prezes UODO wziął pod uwagę okoliczności łagodzące, takie jak: dobrą współpracę z organem nadzorczym zarówno w toku przeprowadzonej kontroli, jak i w trakcie postępowania administracyjnego, podjęcie działań przez uczelnię mających na celu usunięcie naruszenia oraz zapewnienie bezpieczeństwa w procesie przetwarzania danych w przyszłości.
https://uodo.gov.pl/pl/138/1711
- posiedzenie plenarne Europejskiej Rady Ochrony Danych, 08.10.2020 r. – 13.10.2020 r.
Podczas 39. posiedzenia plenarnego EROD przyjęła wytyczne w sprawie pojęcia „mający znaczenie dla sprawy i uzasadniony sprzeciw”. Wytyczne przyczynią się do jednolitej interpretacji pojęcia, co pomoże usprawnić przyszłe procedury art. 65 RODO.
Wytyczne mają na celu wypracowanie wspólnego zrozumienia pojęcia „mający znaczenie dla sprawy i uzasadniony sprzeciw”, w tym tego, co należy wziąć pod uwagę przy ocenie, czy sprzeciw „jasno wskazuje wagę wynikającego z projektu decyzji ryzyka” (art. 4 ust. 24 RODO).
https://uodo.gov.pl/pl/185/1730
- Konsultacje wytycznych ws. pojęcia mającego znaczenie dla sprawy i uzasadnionego sprzeciwu – 19.10.2020 r.
Do 24 listopada 2020 r. Europejska Rada Ochrony Danych (EROD) prowadzi konsultacje publiczne dotyczące Wytycznych 9/2020 w sprawie pojęcia mającego znaczenie dla sprawy i uzasadnionego sprzeciwu.
Podczas 39. posiedzenia plenarnego EROD przyjęła wytyczne w sprawie pojęcia mającego znaczenie dla sprawy i uzasadnionego sprzeciwu. Celem wytycznych jest wypracowanie wspólnego zrozumienia analizowanego pojęcia, w tym tego, co należy wziąć pod uwagę przy ocenie, czy sprzeciw „jasno wskazuje wagę wynikającego z projektu decyzji ryzyka” (art. 4 pkt. 24 RODO).
W ramach mechanizmu współpracy organy nadzorcze mają obowiązek nie tylko “wymieniać się wszelkimi stosownymi informacjami”, ale i współpracować „w celu osiągnięcia porozumienia”. Zgodnie z art. 60 ust. 3 i 4 RODO wiodący organ nadzorczy przedkłada projekt decyzji innym organom, których sprawa dotyczy, aby uzyskać ich opinię i uwzględnić uwagi. Ponadto inne organy nadzorcze mogą następnie zgłosić mający znaczenie dla sprawy i uzasadniony sprzeciw. Po otrzymaniu sprzeciwu wiodący organ nadzorczy ma dwie możliwości – jeżeli nie uwzględni sprzeciwu lub jest zdania, że nie ma on znaczenia dla sprawy lub nie jest uzasadniony, wiodący organ przedkłada sprawę EROD w ramach mechanizmu spójności (art. 65 RODO).
https://uodo.gov.pl/pl/138/1738
- Wytyczne ws. uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych – 23.20.2020 r.
Po zakończeniu konsultacji społecznych, EROD podczas 40. posiedzenia plenarnego, przyjęła ostateczną wersję Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych.
Przyjęte Wytyczne koncentrują się na obowiązku uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych, zgodnie z artykułem 25 RODO. Podstawowym obowiązkiem zapisanym w tym artykule jest skuteczne wdrażanie zasad ochrony danych oraz praw i wolności osób, których dane dotyczą, już w fazie projektowania i domyślnie. Oznacza to, że administratorzy muszą wdrożyć odpowiednie środki techniczne i organizacyjne oraz niezbędne zabezpieczenia, których celem jest zapewnienie praktycznego przestrzegania zasad ochrony danych oraz ochrony praw i wolności osób, których dane dotyczą. Ponadto administratorzy powinni być w stanie wykazać, że wdrożone środki są skuteczne.
EROD podjęła również decyzję o ustanowieniu Ram Skoordynowanego Egzekwowania Prawa. Dokument zapewnia strukturę do koordynowania powtarzających się corocznych działań organów nadzorczych EROD. Rada przyjęła także pismo w odpowiedzi do Europejskiej Akademii Wolności Informacji i Ochrony Danych w sprawie konsekwencji art. 17 dyrektywy w sprawie prawa autorskiego dla ochrony danych, w szczególności w odniesieniu do programów filtrujących.
Marta Rabe-Kozłowska
Radca prawny
Email: odo@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Magdalena Wietrak-Smura
Prawnik
Email: odo@turcza.com.pl
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
RODO a anonimowe naruszenie dóbr osobistych w Internecie
Podanie podstawowych danych jak imię i nazwisko, adres i PESEL to wymóg formalny w przypadku skierowania sprawy na drogę postępowania sądowego, dotyczy to zarówno strony powodowej, jak i…
Zmiana adresu Kancelarii TURCZA
Szanowni Państwo, Z przyjemnością zawiadamiamy o zmianie siedziby Kancelarii TURCZA, która już od najbliższego poniedziałku tj. 16 sierpnia br. będzie się mieściła przy ul. Grochowskiej 56 w…
Czy dealer jest zobowiązany do zawierania umów powierzenia przetwarzania danych?
Dealerzy samochodowi prowadząc działalność gospodarczą wykonują szereg różnych czynności – począwszy od np. działalności marketingowej, przez zawieranie umów sprzedaży, do ustalania warunków…
„Wyciek” danych z portalu LinkedIn
Na początku lipca 2021 roku pojawiły się informacje sugerujące wyciek danych osobowych z 700 milionów kont założonych na portalu LinkedIn, które teraz są oferowane na sprzedaż. Jest to już kolejna informacja o wycieku danych z tego portalu na przestrzeni ostatnich…
Przegląd najnowszych kar Urzędu Ochrony Danych Osobowych
Kara dla Spółki P4 w wysokości 100.000,00 zł Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu…
Czy pracodawca może korzystać z prywatnych danych pracownika?
Na podstawie wytycznych Prezesa Urzędu Ochrony Danych Osobowych, należy wskazać, że pracodawca który dysponuje danymi kontaktowymi pracownika pozyskanymi podczas rekrutacji (np. prywatnym…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.