blog
NEWSLETTER RODO (17.03.2021)
1. Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej – 9 lutego 2021 r.
Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, z administracyjną karą pieniężną w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.
Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.
Więcej na ten temat pisaliśmy tutaj: https://iodkancelaria.pl/2021/02/17/pierwsza-kara-uodo-za-nieprzestrzeganie-nakazu-decyzji-administracyjnej/
2. Kara upomnienia za naruszenie ochrony danych osobowych z powodu nieaktualnego oprogramowania – 17 lutego 2021 r.
Organ nadzorczy nałożył karę upomnienia na Spółkę, gdyż administrator ten stracił dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware.
Postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. Nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie. W ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.
Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.
https://uodo.gov.pl/pl/138/1896
3. Kara pieniężna za naruszenie przepisów RODO dla Krajowej Szkoły Sądownictwa i Prokuratury – 18 lutego 2021 r.
UODO stwierdził naruszenie przepisów ogólnego rozporządzenia ochrony danych osobowych (RODO) i nałożył administracyjną karę pieniężną w wysokości 100 tys. zł na Krajową Szkołę Sądownictwa i Prokuratury (KSSIP) za niezrealizowanie ciążących na niej obowiązków administratora.
Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych. Ponadto należy wskazać, że administrator powierzył przetwarzanie danych osobowych podmiotowi przetwarzającemu bez umownego zobowiązania go do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.
Przypomnijmy, KSSIP zgłosiła UODO naruszenie ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Zgłoszony incydent polegał na uzyskaniu przez nieznane osoby nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej.. Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Osoby te piastują stanowiska m.in. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.
Więcej na ten temat pisaliśmy tutaj: (link – Najnowsze kary UODO)
https://uodo.gov.pl/pl/138/1909
4. WSA oddalił skargę RPO na decyzję Prezesa UODO dotyczącą oświadczeń sędziów i prokuratorów – 22 lutego 2021 r.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 lutego 2021 r. (sygn. akt II SA/Wa 1264/20) przyznał rację Prezesowi Urzędu Ochrony Danych Osobowych, który umorzył postępowanie dotyczące obowiązku składania przez sędziów i prokuratorów oświadczeń o członkostwie w zrzeszeniu lub w stowarzyszeniu oraz ich upubliczniania w Biuletynie Informacji Publicznej. Oddalił więc skargę Rzecznika Praw Obywatelskich na tę decyzję organu nadzorczego.
Prezes UODO uznał, że wspomniany obowiązek nałożony na sędziów i prokuratorów nie narusza rozporządzenia ogólnego o ochronie danych osobowych (RODO), gdyż wynika on z przepisów prawa. Tym samym w tej sprawie nie można było uznać, że organ nadzorczy miał podstawy prawne do wydania postanowienia ograniczającego przetwarzanie danych osobowych sędziów i prokuratorów w trybie art. 70 ust. 1 ustawy o ochronie danych osobowych. Wydania takiego zabezpieczenia domagał się RPO.
UODO badając sprawę na wniosek RPO przeanalizował przepisy ustawy o zmianie ustaw – Prawo o ustroju sądów powszechnych, ustawy o Sądzie Najwyższym oraz niektórych innych ustaw, które zobowiązały sędziów i prokuratorów do składania wspomnianych oświadczeń, które następnie są publikowane w Biuletynie Informacji Publicznej. Postępowanie UODO wykazało, że przetwarzanie danych osobowych sędziów i prokuratorów jest zatem wynikiem wykonania przez ww. osoby obowiązku jednoznacznie określonego w przepisie prawa. Ma więc ono oparcie w art. 6 ust. 1 lit. c) RODO, zgodnie z którym przetwarzanie danych osobowych jest dopuszczalne wówczas, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Dlatego też Prezes UODO nie miał podstaw do stwierdzenia naruszenia przepisów o ochronie danych osobowych.
https://uodo.gov.pl/pl/138/1922
5. Pozytywna opinia Prezesa UODO dwóch projektów kodeksów postępowania RODO dla sektora zdrowia – 23 lutego 2021 r.
Prezes UODO pozytywnie zaopiniował projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali, z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach.
Zdaniem UODO przedstawione przez Federację Porozumienie Zielonogórskie oraz Polską Federację Szpitali projekty Kodeksów postępowania są zgodne z RODO i stanowią odpowiednie zabezpieczenia w zakresie ochrony danych przewidziane w art. 40 ust. 5 RODO.
Organ nadzorczy podkreślił, że istnieje potrzeba społeczna, którą Kodeksy zaspokajają. Jest nią ochrona, na wysokim poziomie, danych osobowych pacjentów i innych osób w placówkach służby zdrowia. Mimo, że ochrona danych osobowych jest regulowana w Polsce od ponad 20-tu lat to z chwilą rozpoczęcia stosowania RODO zmienił powszechne podejście do ochrony danych nie tylko ze strony administratorów, ale w znacznej mierze ze strony osób, których dane dotyczą – stały się one bardziej świadome przysługujących im praw. Z pewnością postanowienia Kodeksów pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów.
„Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”
W opinii UODO, Kodeks spełnia warunki dopuszczalności projektu kodeksu Wytycznych 1/2019. Ponadto stwierdził, że w Kodeksie zapewniono wystarczające zabezpieczenia o których mowa w ww. wytycznych. Za takie zabezpieczenia należy uznać: wskazanie zakresu danych, które mogą lub nie mogą przetwarzać członkowie Kodeksu, wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych, wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej, przykłady zarządzania dokumentacją, szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.
„Kodeks postepowania dla sektora ochrony zdrowia”
Kodeks ten spełnia warunki dopuszczalności projektu kodeksu (pkt. 20-26 i 28-30 i częściowo p. 27 – w zakresie określenia mechanizmów umożliwiających podmiotowi monitorującemu wykonywanie jego zadań zgodnie z art. 41 RODO) Wytycznych 1/2019. Ponadto Kodeks spełnia kryteria wyznaczone w pkt. 32-39 i 41 Wytycznych 1/2019. Należą do nich m.in.: zaspokajanie określonej potrzeby ustanowienia kodeksu; ułatwienie skutecznego stosowania RODO; doprecyzowanie stosowania RODO; zapewnienie wystarczających zabezpieczeń.
https://uodo.gov.pl/pl/138/1923
6. WSA potwierdza, że GGK uniemożliwiał przeprowadzenie kontroli – 23 lutego 2021 r.
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Głównego Geodety Kraju na decyzję UODO w sprawie nałożenia administracyjnej kary pieniężnej w kwocie 100 tys. zł za udaremnienie przeprowadzenia kontroli.
Wyrok w tej sprawie zapadł 23 lutego 2021 roku na posiedzeniu niejawnym (sygn. akt. II SA/Wa 1746/20). Przez brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie kontrolerzy UODO nie mogli ustalić następujących kwestii. Po pierwsze, w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków, za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych. Po drugie, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych.
Urząd Ochrony Danych Osobowych, biorąc pod uwagę celowe działanie GGK, które uniemożliwiło przeprowadzenie kontroli w pełnym zakresie, stwierdził naruszenie przez niego przepisów ogólnego rozporządzenia o ochronie danych (RODO), polegające na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań. Ponadto GGK nie współpracował z UODO w trakcie tej kontroli.
https://uodo.gov.pl/pl/138/1926
7. KOLEJNA KARA ZA BRAK WSPÓŁPRACY Z UODO
Prezes UODO nałożył karę w wysokości ponad 21 tys. złotych na spółkę Anwara Sp. z o.o. z siedzibą w Warszawie, która, będąc administratorem danych osobowych, nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w toku postępowania.
Ukarana spółka w związku z postępowaniem administracyjnym, prowadzonym w celu rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.
Więcej na ten temat pisaliśmy tutaj: (link – Najnowsze kary UODO)
https://uodo.gov.pl/pl/138/1897
8. WSA oddalił skargę ClickQuickNow na decyzję UODO – 25 lutego 2021 r.
Skarga spółki ClickQuickNow na decyzję Prezesa Urzędu Ochrony Danych Osobowych została oddalona przez Wojewódzki Sąd Administracyjny w Warszawie. Chodzi o decyzję nakładającą karę pieniężną w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.
Wyrok w tej sprawie zapadł 10 lutego 2021 r. (sygn. akt II SA/Wa2378/20).
W decyzji nakładającej administracyjną karę pieniężną za naruszenie przepisów ogólnego rozporządzenia o ochronie danych (RODO), Urząd pokreślił, że ukarana spółka nie tylko w procesie wycofania zgody nie uwzględniła zasady, zgodnie z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie, a wręcz działała odwrotnie, tzn. stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne.
Ponadto spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc realizację prawa do żądania usunięcia danych osobowych ( tzw. prawa do bycia zapomnianym).
https://uodo.gov.pl/pl/138/1927
9. Rekomendacja UODO dotycząca danych biometrycznych – 3 marca 2021 r.
Przez UODO uznał, że przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych, a ostateczna decyzja o jego zastosowaniu uwzględniać podstawowe zasady ochrony danych osobowych, takie jak niezbędność, celowość oraz proporcjonalność.
Rozporządzenie ogólne o ochronie danych osobowych (RODO) nieprzypadkowo co do zasady zabrania przetwarzania danych biometrycznych, poza pewnymi wyjątkami. Dane takie jak odciski palców, wizerunek twarzy, siatkówka czy tęczówka oka, czy behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie nas zidentyfikować i określić, ale są to dane niezmienne. A więc w ciągu całego naszego życia nie da się ich zmienić, tak jak np. nazwiska, numeru identyfikacyjnego, adresu zamieszkania. Ewentualny wyciek tej szczególnej kategorii danych osobowych – spowodowałby wysokie ryzyko naruszenia praw i wolności osób, których dotyczą. Negatywne konsekwencje takiego zdarzenia mogą mieć miejsce przez całe dalsze życie. Dlatego przetwarzanie danych biometrycznych dopuszczone jest tylko wyjątkowo na podstawie art. 9 ust. 2 RODO gdy m.in. pozwala na to przepis bądź osoba, której dane dotyczą wyraziła na to zgodę.
Prezes UODO przypomina, że przetwarzanie danych biometrycznych nie może się odbywać z pominięciem zasady minimalizacji określonej w art. 5 ust. 1 lit. c) RODO. Zgodnie z nią administrator danych może pozyskiwać tylko te dane, które są niezbędne dla zrealizowania konkretnych celów.
https://uodo.gov.pl/pl/138/1943
10. Kara UODO nałożona na ENEA S.A. za brak zgłoszenia naruszenia ochrony danych osobowych – 4 marca 2021 r.
Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych.
Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.
W przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.
Do dnia wydania decyzji przez UODO, spółka nie wykonała obowiązku wynikającego z art. 33 RODO.
https://uodo.gov.pl/pl/138/1944
Marta Rabe-Kozłowska
Radca prawny
Email: m.rabe-kozlowska@turcza.com.pl
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.
Magdalena Wietrak-Smura
Prawnik
Email: odo@turcza.com.pl
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
RODO a anonimowe naruszenie dóbr osobistych w Internecie
Podanie podstawowych danych jak imię i nazwisko, adres i PESEL to wymóg formalny w przypadku skierowania sprawy na drogę postępowania sądowego, dotyczy to zarówno strony powodowej, jak i…
Co z tymi ciasteczkami (cookies) na stronach internetowych?
Przeglądając strony internetowe można odnieść wrażenie, że regulacje dot. plików cookies pozostają w najlepszym wypadku nieznane. Przyczyna? Wdrażając wytyczne najprawdopodobniej pozbawimy się cennych informacji, jakie dostarczają ciasteczka marketingowe.
Zakaz wykorzystania treści przez przedsiębiorcę – co zawierają nowe przepisy o prawach konsumenta
Poczynając od 1 stycznia 2023 roku do ustawy o prawach konsumenta, zwanej dalej również jako ”ustawa” wprowadzono szereg zmian, w tym związanych z ochroną danych osobowych. Ustawodawca wprowadził definicję, rozszerzył katalog umów zawieranych z konsumentem oraz…
Czy pracodawca ma prawo do poinformowania kontrahentów o odejściu z pracy pracownika?
Każde przetwarzanie danych osobowych powinno następować zgodnie z obowiązującymi przepisami prawa, a także zgodnie z oświadczeniem o wyrażeniu zgody na przetwarzanie danych złożonym przez podmiot, którego dane osobowe będą przetwarzane. Ostatnimi czasy Wojewódzki…
Brak podstawy do sprawdzania statusu szczepień przez pracodawców
Rząd oraz większość sejmowa od dłuższego czasu zmaga się z projektem ustawy umożliwiającym pracodawcom sprawdzanie status pracowników. Obecnie jednak brak odpowiednich regulacji – zarówno dla…
Brak współpracy z UODO jako podstawa do nałożenia kary pieniężnej
Karę 18 tysięcy złotych nałożył na Pactum Poland Sp. z o.o. Prezes Urzędu Ochrony Danych Osobowych. Podstawą do nałożenia powyższej kary był brak współpracy ze strony spółki w wyjaśnianiu stanu…
Plan kontroli sektorowych UODO
W 2022 roku Urząd Ochrony Danych Osobowych zaplanował obecnie kontrole w trzech sektorach. Pierwszym z nich są organy przetwarzające dane w Systemach Informacyjnych Schengen oraz Wizowym. Jeżeli…
Pytania?
KONTAKT Z KANCELARIĄ
Pomożemy wybrać odpowiednie rozwiązanie
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60 – 347 Poznań
NIP: 945-189-28-38
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Biuro
TURCZA Kancelaria Radców Prawnych
ul. Grochowska 56
60-347 Poznań
Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl
Godziny otwarcia: od pon do pt - 8.30-16.30
O nas
TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.
Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl
Nawigacja strony
Copyright © 2023 TURCZA Kancelaria Radców Prawnych. All rights reserved.