blog

NEWSLETTER RODO (3.02.2021)

3/02/21 | Newsletter RODO

1. BRAK ZGŁOSZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH BEZ ZBĘDNEJ ZWŁOKI POWODEM NAŁOŻENIA KARY – 28.12.2021 R.

Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych. Organ nadzorczy nałożył więc na spółkę karę pieniężną w wysokości 85 588 zł.
Do Urzędu Ochrony Danych Osobowych (UODO) w maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata.

Załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.

Spółka potwierdziła, że doszło do incydentu związanego z naruszeniem ochrony danych osobowych oraz, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. To właśnie na jej podstawie ukarana spółka uznała, iż zaistniałe naruszenie nie wymaga zawiadomienia UODO. Spółka uznała, że naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na błędny adres poczty elektronicznej, który wskazał sam klient. Ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.

W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym w celu minimalizacji tych ryzyk administrator powinien wprowadzić odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów.

https://uodo.gov.pl/pl/138/1801

2. UODO WERYFIKUJE WYCIEK DANYCH Z PLATFORMY TELEMEDYCZNEJ – 12.01.2021 R.

Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych od Telmedicin sp. z o.o. odpowiedzialnej za platformę telemedyczną oraz zdalne konsultacje z lekarzami różnych specjalności. Administrator otrzymał informację od osoby postronnej, o błędzie bezpieczeństwa w jednym z podsystemów, odpowiedzialnym za obsługę rozmów głosowych. Z powodu luki w systemie osoba nieuprawniona przez krótki czas mogła mieć nieuprawniony dostęp do numeru telefonu użytkownika, a jeśli konsultacja zawierała nagranie audio – możliwość jego pobrania.
Spółka niezwłocznie po uzyskaniu tej informacji usunęła błąd, blokując działanie podsystemu, bez innych konsekwencji dla zachowania ciągłości obsługi klientów.

Ponadto administrator zabezpieczył dane przed nieuprawnionym dostępem.

Zaistniały incydent może skutkować utratą poufności danych osobowych pacjentów, które są chronione tajemnicą zawodową.

https://uodo.gov.pl/pl/138/1821

3. WYTYCZNE DOTYCZĄCE OCHRONY DANYCH DZIECI W ŚRODOWISKU EDUKACYJNYM – 15.01.2021R.

W dniach 18–20 listopada 2020 r., delegacje Państw-Stron Konwencji, podczas 40. posiedzenia plenarnego Komitetu Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych, zdecydowały o przyjęciu Wytycznych dotyczących ochrony danych dzieci w środowisku edukacyjnym.

Wytyczne wyjaśniają kwestie związane z realizacją podstawowych zasad praw dziecka w placówkach edukacyjnych w kontekście ochrony danych osobowych. W ocenie autorów Wytycznych prawo do prywatności i ochrony danych osobowych są prawami komplementarnymi w stosunku do innych praw dziecka takich jak najlepszy interes dziecka, ewoluujące zdolności dziecka, prawo do bycia wysłuchanym oraz prawo do niedyskryminacji, zapewniającymi spójność z prawami podstawowymi także w kontekście dzieci.

Dokument zawiera szereg wskazówek, które mają pomóc ustawodawcom i decydentom, administratorom danych, a także branży w przestrzeganiu tych praw. Podkreśla się m.in. potrzebę regularnego przeglądu prawodawstwa, polityk i praktyki, uwzględniając w tym również konieczność zapewnienia środków skutecznego wsparcia dla praw dzieci, aby te zostały wysłuchane.

Wśród zaleceń skierowanych do administratorów danych wskazano kluczowe obszary, na które należy zwrócić szczególną uwagę w kontekście ochrony danych osobowych dzieci, w szczególności zasady legalności, rzetelności, zapewnienia oceny ryzyka, zatrzymywania danych, zabezpieczenia danych osobowych w środowisku edukacyjnym, zautomatyzowanych decyzji i profilowania oraz przetwarzania danych biometrycznych.

W dokumencie wskazano również zalecenia dla branży, tak by w tej dziedzinie również zadbano o dzieci i ich prawa w kontekście m.in. norm, przejrzystości oraz projektowania funkcji z uwzględnieniem ochrony danych i prywatności.

https://uodo.gov.pl/pl/138/1824

4. KARA DLA UCZELNI ZA BRAK POWIADOMIEŃ O NARUSZENIU OCHRONY DANYCH – 18.01.2021 R.

Prezes UODO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny, gdyż na uczelni doszło do naruszenia ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent.
Sygnały o tym, że na Śląskim Uniwersytecie Medycznym doszło do naruszenia ochrony danych dotarły do UODO na początku czerwca 2020 roku. Z informacji tych, jak i opisu skargi wynikało, że podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów. Po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu. Ponadto wykorzystując bezpośredni link każda osoba postronna mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów.

Ponieważ informacje wskazywały na to, że mogło dojść do wysokiego ryzyka dla praw i wolności osób, które przystąpiły do egzaminu, UODO zwrócił się do administratora danych o wyjaśnienie sytuacji. Ten w odpowiedzi na pismo utrzymywał, że w związku z naruszeniem nie było konieczności zawiadamiania Urzędu, gdyż w jego ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie. Ponadto po tym zdarzeniu system został zmodyfikowany, by nie dochodziło do omyłkowego udostępniania plików z zarejestrowanym przebiegiem egzaminów. Administrator wskazał też, że zidentyfikował osoby, które pobrały plik z egzaminem i powiadomił je o odpowiedzialności za posługiwanie się tymi danymi.

Urząd uznał, że doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie. Takie obowiązki powstają, gdy w związku z naruszeniem istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób (np. niebezpieczeństwo zaciągnięcia na czyjeś dane rożnych zobowiązań). Administrator niewłaściwie więc ocenił zaistniałe ryzyko.

https://uodo.gov.pl/pl/138/1825

5. WSPÓLNE OPINIE EROD I EIOD WS. NOWYCH ZESTAWÓW STANDARDOWYCH KLAUZUL UMOWNYCH – 19.01.2021 R.

Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęły 14 stycznia 2021 r. wspólne opinie w sprawie dwóch zestawów standardowych klauzul umownych: opinię w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi oraz opinię w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich.

Standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi będą miały skutek ogólnounijny i mają na celu zapewnienie pełnej harmonizacji i pewności prawa w terenie UE, w odniesieniu do umów między administratorami a podmiotami przetwarzającymi.

https://uodo.gov.pl/pl/138/1829

6. WSA: DECYZJA UODO NAKŁADAJĄCA KARĘ W POSTĘPOWANIU TRANSGRANICZNYM ZASADNA

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę spółki East Power na decyzję Prezesa UODO, w której organ nadzoru nałożył na spółkę karę za brak współpracy w toku postępowania.

Decyzja Sądu, która została podjęta na posiedzeniu niejawnym 26 stycznia 2021 r. oznacza, że spółka będzie musiała zapłacić 15 tys. zł kary, jak tylko wyrok się uprawomocni. Strony postępowania mają jednak możliwość odwołania się od wyroku do Naczelnego Sądu Administracyjnego.

Przypominamy, że kara związana była z tym, że w toku postępowania spółka nienależycie współpracowała z organem nadzoru. Nie wywiązywała się także z obowiązku zapewnienia organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji zadań związanych z rozpatrzeniem skargi wniesionej na te spółkę. Ukarany podmiot na niektóre pisma UODO nie odpowiadał, a na inne udzielał wyjaśnień, które były niepełne i wewnętrznie sprzeczne.
Postępowanie to było pierwszym, w którym Prezes UODO nałożył na administratora karę pieniężną w ramach postępowania transgranicznego. Polski organ nadzoru był w tej sprawie organem wiodącym, gdyż skargę niemieckiego obywatela przekazał mu do prowadzenia niemiecki organ z uwagi na to, że spółka ma siedzibę w Polsce.

https://uodo.gov.pl/pl/138/1865

7. KOLEJNA KARA ZA BRAK WSPÓŁPRACY Z UODO

Spółka Smart Cities z Warszawy ukarana karą pieniężną w wysokości ponad 12 tys. zł za brak współpracy z UODO poprzez nieudzielanie odpowiedzi na jego pisma oraz niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań.

UODO – jako organ nadzorczy w rozumieniu art. 51 RODO – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. Dla umożliwienia realizacji zadań UODO przysługuje szereg uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań.

Utrudnianie i uniemożliwianie uzyskania dostępu do informacji, których UODO żądał od Spółki, a które niewątpliwie są w jej posiadaniu, świadczy o rażącym lekceważeniu swoich obowiązków dotyczących współpracy z organem nadzoru w ramach wykonywania przez niego zadań.

https://uodo.gov.pl/pl/138/1867

Marta Rabe-Kozłowska

Radca prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Magdalena Wietrak-Smura

Prawnik

Email: odo@turcza.com.pl

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.

Plan kontroli sektorowych UODO

Plan kontroli sektorowych UODO

W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…

Co z tymi ciasteczkami (cookies) na stronach internetowych?

Co z tymi ciasteczkami (cookies) na stronach internetowych?

Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.

Plan kontroli sektorowych UODO

Plan kontroli sektorowych UODO

W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

ul. Grochowska 56
60 – 347 Poznań

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-347), ul. Grochowska 56, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.

    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Grochowska 56
    60-347 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.