Do Urzędu Ochrony Danych Osobowych pracodawcy zwracają się z pytaniami dotyczącymi orzeczeń o niepełnosprawności pracownika. Zastanawiają się, na jakiej podstawie prawnej mają je przetwarzać oraz gdzie przechowywać.

Zgodnie z prawem, pracownikowi z niepełnosprawnością przysługują określone uprawnienia, wskazane przede wszystkim w ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych.

Dane osobowe, które obejmuje treść orzeczenia o niepełnosprawności zostały wskazane w § 13 rozporządzenia ministra gospodarki, pracy i polityki społecznej w sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności. Zgodnie z jego brzmieniem na ww. dokumentach znajdują się dane tzw. zwykłe, jak imię, nazwisko, adres zamieszkania czy numer PESEL oraz szczególna kategoria danych osobowych (art. 9 RODO), m.in. informacja o niepełnosprawności czy przypisany jej symbol.

Więcej informacji: https://uodo.gov.pl/pl/138/1639

UODO – PAMIĘTAJ, ŻE ZGODA NIE ZAWSZE JEST PODSTAWĄ PRZETWARZANIA DANYCH

Zgoda może być podstawą przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące. Gdy jednak zgoda ma zastosowanie, to musi spełniać określone warunki, by rzeczywiście była podstawą przetwarzania.

Wiele osób jest przekonanych, że jeśli nie wyraziło zgody na przetwarzanie swoich danych osobowych, to nie można tego robić. W praktyce jednak zgoda może być podstawą do przetwarzania naszych danych, gdy nie występują inne przesłanki legalizujące, które są określone w art. 6 ust. 1 RODO.

Więcej informacji: https://uodo.gov.pl/pl/138/1638

Pracodawca, który dysponuje danymi kontaktowymi do pracownika pozyskanymi podczas rekrutacji, takimi jak np. adres prywatnej poczty elektronicznej czy numer prywatnego telefonu komórkowego, nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody.

Kodeks pracy nie wskazuje prywatnego adresu poczty elektronicznej i numeru prywatnego telefonu jako danych, których pracodawca ma prawo żądać od pracownika. W polskim systemie prawnym nie istnieje też żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji. Dysponowanie adresem poczty elektronicznej i telefonem jest i powinno pozostać dobrowolne.

Więcej informacji: https://uodo.gov.pl/pl/138/1636

Instagram bezprawnie gromadził dane biometrycznie? 

Instagramowi grozi proces za nielegalne pozyskiwanie danych biometrycznych użytkowników. W ubiegłym miesiącu koncern Marka Zuckerberga zgodził się zapłacić 650 mln dolarów odszkodowania za wykorzystywanie technologii identyfikacyjnych na Facebooku.

Więcej informacji: https://www.cyberdefence24.pl/instagram-bezprawnie-gromadzil-dane-biometrycznie-kolejny-proces-koncernu-zuckerberga

Organizacje reprezentujące administratorów lub podmioty przetwarzające dane osobowe mogą opracowywać kodeksy postępowania, aby doprecyzować w swojej branży zastosowanie RODO.

Złożone wnioski o zatwierdzenie kodeksów: https://uodo.gov.pl/pl/426/1109

Inicjatywy opracowania kodeksów postępowania: https://uodo.gov.pl/pl/426/1108

•  Kodeks postępowania dla fotografów
•  Kodeks postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego
•  Kodeks postępowania w zakresie ochrony danych osobowych (dla Uczelni Medycznych)
•  Kodeks postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej
•  Kodeks Postępowania w Zakresie Przetwarzania Danych Osobowych w Organizacjach Społecznych
•  Kodeks dotyczący zasad przetwarzania danych osobowych gości hotelowych
•  Kodeks Ochrony Danych Osobowych w Rekrutacji 
•  Kodeks postępowania dla jednostek oświatowych, mający na celu doprecyzowanie stosowania rozporządzenia 2016/679

Weryfikowanie tożsamości posiadaczy Karty Dużej Rodziny

Sprzedawca ma prawo żądać, by osoba chcąca skorzystać z uprawnień przysługujących jej z tytułu posiadania Karty Dużej Rodziny, a posługująca się tradycyjną jej wersją, uwiarygodniła swoją tożsamość np. poprzez okazanie swojego dowodu osobistego.

Do takiego wniosku prowadzi analiza przepisów ustawy z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny oraz aktów wykonawczych wydanych na jej podstawie.

Więcej informacji: https://uodo.gov.pl/pl/138/1630

Samo okazanie dokumentu potwierdzającego tożsamość, o ile nie dochodzi do jego kopiowania, nie jest czynnością nadmiarową.

Kara upomnienia za przetwarzanie danych uczniów

Prezes UODO nałożył karę upomnienia za przetwarzanie bez podstawy prawnej danych osobowych uczniów przez szkołę w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 wywiadów pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”. Badania ankietowe dotyczyły ich sytuacji osobistej.

Więcej informacji: https://uodo.gov.pl/pl/138/1629

Przechowywanie danych na zewnętrznych nośnikach w świetle przepisów o ochronie danych osobowych

  RODO umożliwia współpracę między naukowcami z EOG i spoza EOG w zakresie poszukiwania szczepionki przeciwko COVID-19

Podczas 24. posiedzenia plenarnego Europejska Rada Ochrony Danych przyjęła trzy pisma, zwracając uwagę na kilka elementów ze swoich wcześniejszych wytycznych dotyczących ochrony danych w kontekście zwalczania pandemii COVID-19.

Więcej informacji: https://uodo.gov.pl/pl/138/1511

  Minister Marek Zagórski pełnomocnikiem rządu ds. cyberbezpieczeństwa

Premier Mateusz Morawiecki w dniu dzisiejszym powołał ministra cyfryzacji Marka Zagórskiego na stanowisko pełnomocnika rządu ds. cyberbezpieczeństwa.

Więcej informacji: https://www.gov.pl/web/cyfryzacja/minister-marek-zagorski-pelnomocnikiem-rzadu-ds-cyberbezpieczenstwa

Pełnomocnik rządu ds. cyberbezpieczeństwa koordynuje działania i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Rzeczypospolitej Polskiej.

  NASK, POLICJA I EUROPOL RADZĄ, JAK BEZPIECZNIE PRACOWAĆ ZDALNIE

Dogodne rozwiązania umożliwiające wykonywanie zadań na odległość niosą za sobą ogromne korzyści. Należy jednak pamiętać, iż praca zdalna nie jest pozbawiona zagrożeń, zwłaszcza jeśli wykorzystujemy sieć Internet. Wszystkie instytucje, korzystające z pracy w systemie zdalnym, powinny podjąć działania ograniczające zagrożenia, których możemy stać się ofiarami. Wśród zaleceń specjalistów jest prawidłowe przygotowanie infrastruktury dla pracowników, a także ustalenie bezpiecznych procedur, zapewniających przekazywanie informacji w obrębie firmy w sposób sprawny i wiarygodny.

Więcej informacji: https://www.nask.pl/pl/aktualnosci/3780,NASK-Policja-i-Europol-radza-jak-bezpiecznie-pracowac-zdalnie.html

  EROD przyjmuje dalsze wytyczne w sprawie COVID-19

Europejska Rada Ochrony Danych przyjęła podczas 23 plenarnego posiedzenia, które odbyło się 21 kwietnia 2020 r., kolejne wytyczne dotyczące pandemii COVID-19. Wytyczne dotyczą przetwarzania danych dotyczących zdrowia do celów badań naukowych oraz geolokalizacji i innych narzędzi ustalania kontaktów zakaźnych. 

Więcej informacji: https://uodo.gov.pl/pl/138/1504

  Komunikat do Klientów Fortum Marketing and Sales Polska S.A. w sprawie naruszenia bezpieczeństwa danych osobowych 

Klientów prosimy o zwrócenie szczególnej uwagi na możliwe próby nieuprawnionego użycia danych. Przepraszamy naszych Klientów za wszelkie niedogodności.

Więcej informacji: https://www.fortum.pl/komunikat-do-klientow-fortum-marketing-and-sales-polska-sa?fbclid=IwAR0BO17c13OC_5ioanBcFDowZ_en5aYbhQZQzfoa5U5z0Zc9YLuXRDlZno0

  Wymiana informacji o przeprowadzonych badaniach na obecność koronawirusa

Tworząc system informatyczny, w którym przetwarzane będą dane osób, u których przeprowadzono badania na obecność koronawirusa, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka.

Więcej informacji: https://uodo.gov.pl/pl/138/1500

Administrator, mając dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia, jest jednocześnie zobowiązany do zapewnienia, że wdrożone rozwiązania będą wystarczające i skuteczne.

  Wyciek ponad 3 mln danych klientów Fortum

Wyciekły dane osobowe klientów Fortum, zawartych w umowach sprzedaży energii elektrycznej i gazu. W sieci 16 kwietnia br. dostępny był plik z blisko 3,38 mln rekordów, wśród nich: imię i nazwisko, adres, numer telefonu, PESEL, informacje o umowie, numer dowodu osobistego.

Więcej informacji: https://www.bankier.pl/wiadomosc/Fortum-wyciek-danych-osobowych-klientow-kupujacych-energie-oraz-gaz-7868127.html

Dane osobowe klientów krążące w sieci mogły trafić w niepowołane ręce. 

  UODO przygląda się sprawie związanej z ujawnieniem danych osób objętych kwarantanną

Prezes Urzędu Ochrony Danych Osobowych otrzymał od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie (PPIS) pismo wyjaśniające dotyczące opublikowania danych osobowych osób przebywających na kwarantannie. Sprawa jest obecnie analizowana przez UODO, a ewentualne dalsze działania Urzędu będą uzależnione od jej okoliczności.

Więcej informacji: https://uodo.gov.pl/pl/138/1499

  UODO – nabór do przedszkoli i szkół na rok szkolny 2020/2021

Prawo oświatowe pozwala na przeprowadzanie postępowania rekrutacyjnego z wykorzystaniem systemów informatycznych. W takiej sytuacji możliwe jest sporządzenie formularza elektronicznego zawierającego odpowiednią klauzulę informacyjną, co powinno stanowić jego niezbędny element.

Więcej informacji: https://uodo.gov.pl/pl/138/1497

  W Gnieźnie dane osób w kwarantannie wyciekły do sieci. Sprawę wyjaśnia policja i prokuratura

Dane adresowe ok. 300 osób z powiatu gnieźnieńskiego, poddanych kwarantannie w związku z podejrzeniem zakażenia koronawirusem, zostały opublikowane w internecie. Sprawą zajmuje się policja i prokuratura.

Więcej informacji: https://www.gazetaprawna.pl/artykuly/1470278,gniezno-wyciek-danych-osobowych-kwarantanna-policja-prokuratura.html

O wycieku danych poinformowały w niedzielę lokalne media. Jak podał portal gniezno.naszemiasto.pl, kilkustronicowa lista zawierająca ponad 300 adresów z terenu miasta, a także z gmin powiatu gnieźnieńskiego „krąży” w internecie od soboty.

  EROD o aplikacjach wspierających walkę z pandemią

EROD uważa, że tworzenie aplikacji powinno odbywać się w sposób umożliwiający jego rozliczalność, dokumentując, wraz z oceną skutków dla ochrony danych, wszystkie wdrożone mechanizmy uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Ponadto kod źródłowy powinien być udostępniony publicznie w celu umożliwienia jak najszerszej jego kontroli przez środowisko naukowe.

Więcej informacji: https://uodo.gov.pl/pl/138/1495

  Prezes UODO umorzył postępowanie dot. składania przez sędziów i prokuratorów oświadczeń

Prezes Urzędu Ochrony Danych Osobowych umorzył postępowanie dotyczące przetwarzania danych w związku z wymogiem składania przez sędziów i prokuratorów oświadczeń o członkostwie w zrzeszeniu, w tym w stowarzyszeniu. Postępowanie to zostało wszczęte z urzędu po tym, gdy wnioskował o to Rzecznik Praw Obywatelskich w piśmie do Prezesa UODO z 9 marca 2020 r. RPO wskazywał, że taki wymóg oraz publikacja tych oświadczeń w Biuletynie Informacji Publicznej ograniczają prywatność sędziów i prokuratorów.

Więcej informacji: https://uodo.gov.pl/pl/138/1493

  Wyciek danych osobowych polskich prokuratorów, sędziów i pracowników sądów

Krajowa Szkoła Sędziów i Prokuratorów, poinformowała przed świętami, o kradzieży danych osobowych użytkowników swojej platformy szkoleniowej. Z platformy korzystają nie tylko sędziowie, ale też asesorzy sądowi, referendarze, asystenci sędziów, urzędnicy sądów powszechnych. Również prokuratorzy i inni zatrudnieni w prokuraturach. Przedmiotem kradzieży według ostatnich ustaleń (jak poinformowano) jest imię i nazwisko, numer telefonu, adres e-mail, miejsce zamieszkania niewykluczone, że też numer PESEL.

Więcej informacji: https://ithardware.pl/aktualnosci/wyciek_danych_osobowych_polskich_prokuratorow_sedziow_i_pracownikow_sadow-11952.html

  Nastąpił wyciek danych części klientów

9 kwietnia wieczorem klienci sklepu Cyfrowe.pl, zajmującego się sprzedażą sprzętu fotograficznego, otrzymali wiadomość e-mail z informacją o ataku hakerskim, którego efektem był wyciek danych części klientów sklepu.

Więcej informacji: https://www.telepolis.pl/tech/bezpieczenstwo/cyfrowe-pl-atak-hakerow-wyciek-danych

Sklep poinformował o krokach, jakie podjął w związku z atakiem hakerskim. To między innymi bezzwłoczna zmiana haseł dostępowych dla wszystkich klientów, przez co przy kolejnej wizycie na cyfrowe.pl będziemy musieli przejść przez procedurę odzyskiwania hasła. Podjęte zostały również inne działania wymagane prawem, w tym ponowny przegląd bezpieczeństwa systemu sklepu i powiązanej z nim infrastruktury sprzętowej, zabezpieczono również dowody działań osób trzecich.

  EROD rozpoczęła prace nad wskazówkami w sprawie przetwarzania danych w okresie pandemii COVID-19

Europejska Rada Ochrony Danych podczas 20. posiedzenia plenarnego 7 kwietnia 2020 r. przyznała swoim podgrupom eksperckim szczegółowe mandaty w celu opracowania wskazówek dotyczących istotnych dla praw i wolności osób, których dane dotyczą, aspektów przetwarzania danych w związku z pandemią COVID-19.

Rozpoczęto prace nad wskazówkami na temat geolokalizacji i innych narzędzi śledzenia w kontekście wybuchu pandemii COVID-19 oraz wskazówkami w sprawie przetwarzania danych dotyczących zdrowia w celach badawczych także w kontekście koronawirusa.

EROD zdecydowała także o tymczasowym odroczeniu prac nad wytycznymi dotyczącymi narzędzi i praktyk telepracy w kontekście wybuchu pandemii COVID-19.

Więcej informacji: https://uodo.gov.pl/pl/185/1489

  Główny Geodeta Kraju zobowiązany do zaprzestania publikowania numeru ksiąg wieczystych na GEOPORTAL2

Prezes UODO na podstawie z art. 70 ust. 1 i 2 ustawy o ochronie danych osobowych zobowiązał Głównego Geodetę Kraju do ograniczenia przetwarzania danych osobowych w zakresie numerów ksiąg wieczystych, nakazując zaprzestanie ich publikowania na portalu internetowym GEOPORTAL2 (geoportal.gov.pl) do czasu wydania decyzji administracyjnej kończącej postępowanie w tej sprawie. Podstawą wydania postanowienia jest uprawdopodobnienie naruszenia przepisów o ochronie danych oraz zagrożenie spowodowania poważnych i trudnych do usunięcia skutków.

Więcej informacji: https://uodo.gov.pl/pl/138/1483

  Jakie informacje o pracownikach można udostępnić jako informację publiczną?

Relacje między prawem do ochrony danych osobowych a prawem dostępu do informacji publicznej określone zostały w art. 86 RODO. Zgodnie z tym przepisem, dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy ww. rozporządzenia.

Więcej informacji: https://uodo.gov.pl/pl/225/1484

  EROD wyda wytyczne dotyczące przetwarzania danych w ramach walki z COVID-19

Europejska Rada Ochrony Danych w odpowiedzi na kryzys COVID-19 przyspiesza prace nad wytycznymi na temat przetwarzania danych w czasie działań służących opanowaniu trwającej pandemii.

Więcej informacji: https://uodo.gov.pl/pl/138/1482

  Kara za uniemożliwienie przeprowadzenia kontroli

Prezes UODO nałożył 20 tys. zł. kary na Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach, związaną z branżą telemarketingową, za uniemożliwienie przeprowadzenia kontroli. Dodatkowo właścicielowi spółki grozi za to odpowiedzialność karna.

Więcej informacji: https://uodo.gov.pl/pl/138/1480

Szerokie uprawnienia GIS przy przetwarzaniu danych w związku z koronawirusem

Zalecenia GIS wydane na podstawie specustawy dotyczącej przeciwdziałania COVID-19 mogą stanowić podstawę prawną do przetwarzania danych osobowych. Prezes UODO zaleca, by GIS, jak i organy Państwowej Inspekcji korzystali ze wsparcia swoich inspektorów ochrony danych osobowych (IOD) i deklaruje pełną gotowość współpracy w tym zakresie.

Więcej informacji: https://uodo.gov.pl/pl/138/1471

Europejski Inspektor Ochrony Danych: UE stoi teraz przed pytaniem, czy śledzić zakażone osoby

O rozwoju epidemii można informować na dwa skrajne sposoby: nie mówić, że współpracownik jest nosicielem wirusa, lub podawać o zakażonym zbyt wiele informacji, łącznie z tym, w jakich stosunkach pozostaje z żoną lub partnerem. – Gdzieś pomiędzy tymi sytuacjami jest punkt, który musimy wyważyć – mówi Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych.

Więcej informacji: https://wyborcza.pl/7,156282,25814758,europejski-inspektor-ochrony-danych-ue-stoi-teraz-przed-pytaniem.html

Wszczęcie postępowania wobec SGGW

Kontrola wykazała wyraźne dysfunkcje systemu ochrony danych na uczelni – zarówno od strony technicznej, jak i organizacyjnej. Stwierdzono naruszenie przepisów o ochronie danych osobowych odnoszących się do obowiązków ciążących na administratorze m.in. z art. 24 ust. 1 RODO w kontekście braku aktualizacji i przeglądów polityk bezpieczeństwa przyjętych na uczelni.

Więcej informacji: https://uodo.gov.pl/pl/138/1464

Oświadczenie w sprawie przetwarzania danych osobowych w kontekście pandemii COVID-19 przyjęte w dniu 19 marca 2020 r.

Zasady ochrony danych (takie jak RODO) nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata.

Więcej:

UODO – https://uodo.gov.pl/pl/138/1463?fbclid=IwAR1JkSaLgKrGgL0uNuo5KlMsjQxw9TVpz1GHGlyARdQ4MHhx08KEWFpgtwU

⚠️ Wyciek danych z portalu MoneyMan.

Prezes Urzędu Ochrony Danych Osobowych (UODO) otrzymał zgłoszenie dotyczące naruszenia danych osobowych od ID Finance Poland Sp. z o.o. – podmiotu prowadzącego portal pożyczkowy MoneyMan.pl. Sprawa jest obecnie analizowana przez UODO i podjęto pierwsze czynności mające na celu wyjaśnienie dokładnych okoliczności przedmiotowego naruszenia.

Więcej:

UODO – https://uodo.gov.pl/pl/138/1462

 Biznes wciąż uczy się RODO

W najnowszym e-wydaniu Newsweek Polska, kilka słów od Inspektorzy ODO na temat świadomości polskich przedsiębiorców, dotyczącej konieczności traktowania danych osobowych jako ważnego elementu biznesu 🎯

http://www.newsweek.pl/biznes/przestrzeganie-rodo-biznes-bezpieczny-w-sieci/eeygc27?fbclid=IwAR2YClk5SOcDwZUS3LluP-7wp97kwAW-cssyxYgI2nhl_MQmtbPM4W5tH_8

Globalna współpraca na rzecz ochrony danych i walki z koronawirusem

Global Privacy Assembly (światowa organizacja zrzeszająca rzeczników ochrony danych osobowych) stworzyła na swojej stronie internetowej specjalną sekcję, w której będą zamieszczane oświadczenia z poszczególnych organów ds. ochrony danych osobowych w związku z koronawirusem. ⬇️

Oświadczenie Komitetu Wykonawczego GPA dostępne jest pod linkiem: https://globalprivacyassembly.org/gpaexco-covid19/

Oświadczenia poszczególnych organów ds. ochrony danych: https://globalprivacyassembly.org/covid19/

Urząd Ochrony Danych Osobowych radzi jak postępować podczas pracy zdalnej, aby nie naruszyć przepisów o ochronie danych oraz jakie zabezpieczenia rekomendować swoim pracownikom ⬇️

Więcej informacji: http://uodo.gov.pl/pl/138/1459?fbclid=IwAR3nc7rhJohohFxpVOGsBR89YRk8SUnnEnV1i6AYfNobXRuVjSpGngNQ5Mg