blog

NEWSLETTER RODO (17.03.2021)

17/03/21 | Newsletter RODO

1. Pierwsza kara za nieprzestrzeganie nakazu decyzji administracyjnej – 9 lutego 2021 r.

Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, z administracyjną karą pieniężną w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.

Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.

Więcej na ten temat pisaliśmy tutaj: https://iodkancelaria.pl/2021/02/17/pierwsza-kara-uodo-za-nieprzestrzeganie-nakazu-decyzji-administracyjnej/

2. Kara upomnienia za naruszenie ochrony danych osobowych z powodu nieaktualnego oprogramowania – 17 lutego 2021 r.

Organ nadzorczy nałożył karę upomnienia na Spółkę, gdyż administrator ten stracił dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware.

Postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. Nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie. W ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.
Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

https://uodo.gov.pl/pl/138/1896

3. Kara pieniężna za naruszenie przepisów RODO dla Krajowej Szkoły Sądownictwa i Prokuratury – 18 lutego 2021 r.

UODO stwierdził naruszenie przepisów ogólnego rozporządzenia ochrony danych osobowych (RODO) i nałożył administracyjną karę pieniężną w wysokości 100 tys. zł na Krajową Szkołę Sądownictwa i Prokuratury (KSSIP) za niezrealizowanie ciążących na niej obowiązków administratora.

Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych. Ponadto należy wskazać, że administrator powierzył przetwarzanie danych osobowych podmiotowi przetwarzającemu bez umownego zobowiązania go do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

Przypomnijmy, KSSIP zgłosiła UODO naruszenie ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Zgłoszony incydent polegał na uzyskaniu przez nieznane osoby nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej.. Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Osoby te piastują stanowiska m.in. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.

Więcej na ten temat pisaliśmy tutaj: (link – Najnowsze kary UODO)

https://uodo.gov.pl/pl/138/1909

4. WSA oddalił skargę RPO na decyzję Prezesa UODO dotyczącą oświadczeń sędziów i prokuratorów – 22 lutego 2021 r.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 lutego 2021 r. (sygn. akt II SA/Wa 1264/20) przyznał rację Prezesowi Urzędu Ochrony Danych Osobowych, który umorzył postępowanie dotyczące obowiązku składania przez sędziów i prokuratorów oświadczeń o członkostwie w zrzeszeniu lub w stowarzyszeniu oraz ich upubliczniania w Biuletynie Informacji Publicznej. Oddalił więc skargę Rzecznika Praw Obywatelskich na tę decyzję organu nadzorczego.
Prezes UODO uznał, że wspomniany obowiązek nałożony na sędziów i prokuratorów nie narusza rozporządzenia ogólnego o ochronie danych osobowych (RODO), gdyż wynika on z przepisów prawa. Tym samym w tej sprawie nie można było uznać, że organ nadzorczy miał podstawy prawne do wydania postanowienia ograniczającego przetwarzanie danych osobowych sędziów i prokuratorów w trybie art. 70 ust. 1 ustawy o ochronie danych osobowych. Wydania takiego zabezpieczenia domagał się RPO.
UODO badając sprawę na wniosek RPO przeanalizował przepisy ustawy o zmianie ustaw – Prawo o ustroju sądów powszechnych, ustawy o Sądzie Najwyższym oraz niektórych innych ustaw, które zobowiązały sędziów i prokuratorów do składania wspomnianych oświadczeń, które następnie są publikowane w Biuletynie Informacji Publicznej. Postępowanie UODO wykazało, że przetwarzanie danych osobowych sędziów i prokuratorów jest zatem wynikiem wykonania przez ww. osoby obowiązku jednoznacznie określonego w przepisie prawa. Ma więc ono oparcie w art. 6 ust. 1 lit. c) RODO, zgodnie z którym przetwarzanie danych osobowych jest dopuszczalne wówczas, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Dlatego też Prezes UODO nie miał podstaw do stwierdzenia naruszenia przepisów o ochronie danych osobowych.
https://uodo.gov.pl/pl/138/1922

5. Pozytywna opinia Prezesa UODO dwóch projektów kodeksów postępowania RODO dla sektora zdrowia – 23 lutego 2021 r.

 
Prezes UODO pozytywnie zaopiniował projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali, z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach.
Zdaniem UODO przedstawione przez Federację Porozumienie Zielonogórskie oraz Polską Federację Szpitali projekty Kodeksów postępowania są zgodne z RODO i stanowią odpowiednie zabezpieczenia w zakresie ochrony danych przewidziane w art. 40 ust. 5 RODO.
Organ nadzorczy podkreślił, że istnieje potrzeba społeczna, którą Kodeksy zaspokajają. Jest nią ochrona, na wysokim poziomie, danych osobowych pacjentów i innych osób w placówkach służby zdrowia. Mimo, że ochrona danych osobowych jest regulowana w Polsce od ponad 20-tu lat to z chwilą rozpoczęcia stosowania RODO zmienił powszechne podejście do ochrony danych nie tylko ze strony administratorów, ale w znacznej mierze ze strony osób, których dane dotyczą – stały się one bardziej świadome przysługujących im praw. Z pewnością postanowienia Kodeksów pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów.
„Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”
W opinii UODO, Kodeks spełnia warunki dopuszczalności projektu kodeksu Wytycznych 1/2019. Ponadto stwierdził, że w Kodeksie zapewniono wystarczające zabezpieczenia o których mowa w ww. wytycznych. Za takie zabezpieczenia należy uznać: wskazanie zakresu danych, które mogą lub nie mogą przetwarzać członkowie Kodeksu, wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych, wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej, przykłady zarządzania dokumentacją, szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.
„Kodeks postepowania dla sektora ochrony zdrowia”
Kodeks ten spełnia warunki dopuszczalności projektu kodeksu (pkt. 20-26 i 28-30 i częściowo p. 27 – w zakresie określenia mechanizmów umożliwiających podmiotowi monitorującemu wykonywanie jego zadań zgodnie z art. 41 RODO) Wytycznych 1/2019. Ponadto Kodeks spełnia kryteria wyznaczone w pkt. 32-39 i 41 Wytycznych 1/2019. Należą do nich m.in.: zaspokajanie określonej potrzeby ustanowienia kodeksu; ułatwienie skutecznego stosowania RODO; doprecyzowanie stosowania RODO; zapewnienie wystarczających zabezpieczeń.
https://uodo.gov.pl/pl/138/1923

6. WSA potwierdza, że GGK uniemożliwiał przeprowadzenie kontroli – 23 lutego 2021 r.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Głównego Geodety Kraju na decyzję UODO w sprawie nałożenia administracyjnej kary pieniężnej w kwocie 100 tys. zł za udaremnienie przeprowadzenia kontroli.
Wyrok w tej sprawie zapadł 23 lutego 2021 roku na posiedzeniu niejawnym (sygn. akt. II SA/Wa 1746/20). Przez brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie kontrolerzy UODO nie mogli ustalić następujących kwestii. Po pierwsze, w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków, za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych. Po drugie, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych.

Urząd Ochrony Danych Osobowych, biorąc pod uwagę celowe działanie GGK, które uniemożliwiło przeprowadzenie kontroli w pełnym zakresie, stwierdził naruszenie przez niego przepisów ogólnego rozporządzenia o ochronie danych (RODO), polegające na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań. Ponadto GGK nie współpracował z UODO w trakcie tej kontroli.

https://uodo.gov.pl/pl/138/1926

7. KOLEJNA KARA ZA BRAK WSPÓŁPRACY Z UODO

Prezes UODO nałożył karę w wysokości ponad 21 tys. złotych na spółkę Anwara Sp. z o.o. z siedzibą w Warszawie, która, będąc administratorem danych osobowych, nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w toku postępowania.

Ukarana spółka w związku z postępowaniem administracyjnym, prowadzonym w celu rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień. Pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie.

Więcej na ten temat pisaliśmy tutaj: (link – Najnowsze kary UODO)

https://uodo.gov.pl/pl/138/1897

8. WSA oddalił skargę ClickQuickNow na decyzję UODO – 25 lutego 2021 r.

Skarga spółki ClickQuickNow na decyzję Prezesa Urzędu Ochrony Danych Osobowych została oddalona przez Wojewódzki Sąd Administracyjny w Warszawie. Chodzi o decyzję nakładającą karę pieniężną w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.

Wyrok w tej sprawie zapadł 10 lutego 2021 r. (sygn. akt II SA/Wa2378/20).

W decyzji nakładającej administracyjną karę pieniężną za naruszenie przepisów ogólnego rozporządzenia o ochronie danych (RODO), Urząd pokreślił, że ukarana spółka nie tylko w procesie wycofania zgody nie uwzględniła zasady, zgodnie z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie, a wręcz działała odwrotnie, tzn. stosowała dla wycofania zgody skomplikowane rozwiązania organizacyjne i techniczne.

Ponadto spółka przetwarzała bez podstawy prawnej dane osób, które nie są jej klientami, a od których otrzymała żądania zaprzestania przetwarzania ich danych osobowych. Naruszyła więc realizację prawa do żądania usunięcia danych osobowych ( tzw. prawa do bycia zapomnianym).

https://uodo.gov.pl/pl/138/1927

9. Rekomendacja UODO dotycząca danych biometrycznych – 3 marca 2021 r.

Przez UODO uznał, że przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych, a ostateczna decyzja o jego zastosowaniu uwzględniać podstawowe zasady ochrony danych osobowych, takie jak niezbędność, celowość oraz proporcjonalność.

Rozporządzenie ogólne o ochronie danych osobowych (RODO) nieprzypadkowo co do zasady zabrania przetwarzania danych biometrycznych, poza pewnymi wyjątkami. Dane takie jak odciski palców, wizerunek twarzy, siatkówka czy tęczówka oka, czy behawioralne lub psychiczne cechy danej osoby, przetwarzane specjalnymi metodami technicznymi, pozwalają nie tylko jednoznacznie nas zidentyfikować i określić, ale są to dane niezmienne. A więc w ciągu całego naszego życia nie da się ich zmienić, tak jak np. nazwiska, numeru identyfikacyjnego, adresu zamieszkania. Ewentualny wyciek tej szczególnej kategorii danych osobowych – spowodowałby wysokie ryzyko naruszenia praw i wolności osób, których dotyczą. Negatywne konsekwencje takiego zdarzenia mogą mieć miejsce przez całe dalsze życie. Dlatego przetwarzanie danych biometrycznych dopuszczone jest tylko wyjątkowo na podstawie art. 9 ust. 2 RODO gdy m.in. pozwala na to przepis bądź osoba, której dane dotyczą wyraziła na to zgodę.

Prezes UODO przypomina, że przetwarzanie danych biometrycznych nie może się odbywać z pominięciem zasady minimalizacji określonej w art. 5 ust. 1 lit. c) RODO. Zgodnie z nią administrator danych może pozyskiwać tylko te dane, które są niezbędne dla zrealizowania konkretnych celów.

https://uodo.gov.pl/pl/138/1943

10. Kara UODO nałożona na ENEA S.A. za brak zgłoszenia naruszenia ochrony danych osobowych – 4 marca 2021 r.

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych.

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.
W przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.
Do dnia wydania decyzji przez UODO, spółka nie wykonała obowiązku wynikającego z art. 33 RODO.
https://uodo.gov.pl/pl/138/1944

Marta Rabe-Kozłowska

Radca prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

Magdalena Wietrak-Smura

Prawnik

Email: odo@turcza.com.pl

Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

blogW dniu 23 kwietnia 2021 roku Europejski Inspektor Ochrony Danych i Prywatności (dalej jako: „EIOD”) wypowiedział się na temat wykorzystania technologii pozwalającej na rozpoznawanie twarzy. W swoim oświadczeniu uznał, że stosowanie tego typu rozwiązań powinno być...

Wyciek danych osobowych funkcjonariuszy służb mundurowych

Wyciek danych osobowych funkcjonariuszy służb mundurowych

W minionym tygodniu do Urzędu Ochrony Danych Osobowych (dalej jako: „UODO”) wpłynęło kolejne zgłoszenie dotyczące wycieku danych osobowych. Tym razem naruszenie dotyczyło danych osobowych funkcjonariuszy służb mundurowych. UODO wszczął już postępowanie w tej…

NEWSLETTER RODO (12.04.2021)

NEWSLETTER RODO (12.04.2021)

Program prac EROD na lata 2021-2022 – 11 marca 2021 r. Podczas 46. posiedzenia plenarnego EROD, które odbyło się 9 marca 2021 r., przyjęte zostały takie dokumenty jak: program prac Europejskiej Rady Ochrony Danych na lata 2021-2022, oświadczenie dotyczące…

NEWSLETTER RODO (3.02.2021)

NEWSLETTER RODO (3.02.2021)

blog1. BRAK ZGŁOSZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH BEZ ZBĘDNEJ ZWŁOKI POWODEM NAŁOŻENIA KARY – 28.12.2021 R. Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło Prezesowi Urzędu...

Kolejna milionowa kara za naruszenie ochrony danych osobowych

Kolejna milionowa kara za naruszenie ochrony danych osobowych

W dniu 17 maja 2021 roku Urząd Ochrony Danych Osobowych (dalej jako: „UODO”) poinformował o nałożeniu kary w wysokości 1,1 mln zł na Cyfrowy Polsat S.A. w związku z brakiem wdrożenia przez podmiot odpowiednich środków technicznych i organizacyjnych przy współpracy…

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

EIOD chce zakazać stosowania technologii rozpoznawania twarzy

blogW dniu 23 kwietnia 2021 roku Europejski Inspektor Ochrony Danych i Prywatności (dalej jako: „EIOD”) wypowiedział się na temat wykorzystania technologii pozwalającej na rozpoznawanie twarzy. W swoim oświadczeniu uznał, że stosowanie tego typu rozwiązań powinno być...

Wyciek danych osobowych funkcjonariuszy służb mundurowych

Wyciek danych osobowych funkcjonariuszy służb mundurowych

W minionym tygodniu do Urzędu Ochrony Danych Osobowych (dalej jako: „UODO”) wpłynęło kolejne zgłoszenie dotyczące wycieku danych osobowych. Tym razem naruszenie dotyczyło danych osobowych funkcjonariuszy służb mundurowych. UODO wszczął już postępowanie w tej…

NEWSLETTER RODO (12.04.2021)

NEWSLETTER RODO (12.04.2021)

Program prac EROD na lata 2021-2022 – 11 marca 2021 r. Podczas 46. posiedzenia plenarnego EROD, które odbyło się 9 marca 2021 r., przyjęte zostały takie dokumenty jak: program prac Europejskiej Rady Ochrony Danych na lata 2021-2022, oświadczenie dotyczące…

Pytania?

KONTAKT Z KANCELARIĄ

Pomożemy wybrać odpowiednie rozwiązanie

TURCZA Kancelaria Radców Prawnych

NIP: 945-189-28-38

Telefon: +48 61 666 37 60
E-mail: kancelaria@turcza.com.pl

Oddział Poznań

ul. Palacza 144
60-278 Poznań

Oddział Leszno

ul. Niepodległości 49
64-100 Leszno

    Wyrażam zgodę na przetwarzanie przez Kancelarię Radców Prawnych Marek Turcza z siedzibą w Poznaniu, moich danych osobowych wskazanych na formularzu kontaktowym w celach marketingowych.

    Wyrażam zgodę na otrzymywanie od Kancelarii Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-347), ul. Grochowska 56, REGON: 120119490, NIP: 9451892838 informacji handlowej i materiałów promocyjnych środkami komunikacji elektronicznej (e-mail), w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.


    Administratorem danych osobowych jest Kancelaria Radców Prawnych Marek Turcza z siedzibą w Poznaniu (60-347), ul. Grochowska 56, REGON: 120119490, NIP: 9451892838. Informacje w przedmiocie warunków i zasad ochrony danych osobowych znajdują się na stronie http://turcza.com.pl/odo/.


    Biuro

    TURCZA Kancelaria Radców Prawnych

    ul. Grochowska 56
    60-347 Poznań

    Telefon: +48 61 666 37 60
    E-mail: kancelaria@turcza.com.pl

    Godziny otwarcia: od pon do pt - 8.30-16.30

    O nas

    TURCZA Kancelaria Radców Prawnych zapewnia stałą obsługę prawną z zakresu prawa ochrony danych osobowych zarówno przedsiębiorcom z sektora MŚP, jak i dużym spółkom notowanym na GPW S.A. w Warszawie.

    Zapraszamy również na stronę internetową Kancelarii: turcza.com.pl

    Copyright © 2021 TURCZA Kancelaria Radców Prawnych. All rights reserved.

    0