Bezpieczeństwo danych i usługi zaufania

Więcej: Techniczne i formalnoprawne aspekty szyfrowania i uwierzytelniania

Jakie zasady należy stosować podczas używania technologii rozpoznawania twarzy, aby zapewnić zgodność m.in. z prawem ochrony danych osobowych? Odpowiedź na to pytanie zawierają Wytyczne dot. rozpoznawania twarzy

Rozpoznawanie twarzy to automatyczne przetwarzanie obrazów cyfrowych zawierających twarze osób w celu identyfikacji lub weryfikacji tych osób za pomocą szablonów twarzy. Zastosowania tej technologii są liczne i zróżnicowane, a niektóre z nich mogą poważnie naruszać prawa osób, których dane dotyczą.

Więcej: UODO

Podczas 52. posiedzenia plenarnego EROD przyjęła pierwszą pilną wiążącą decyzję na podstawie art. 66 ust. 2 RODO, na wniosek niemieckiego organu nadzorczego kraju związkowego Hamburg, po przyjęciu przez organ nadzorczy środków tymczasowych wobec Facebook Ireland Ltd (Facebook IE) na podstawie art. 66 ust. 1 RODO.

Hamburski organ nadzorczy zakazał przetwarzania danych użytkowników WhatsApp przez Facebook IE do własnych celów w następstwie zmiany warunków Regulaminu i Polityki Prywatności mających zastosowanie do europejskich użytkowników WhatsApp Ireland Ltd.

W związku z 52. posiedzeniem plenarnym na stronie internetowej EROD opublikowano oświadczenie prasowe: Oświadczenie EROD

Więcej informacji: UODO

Przepisy rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii nie uprawniają podmiotów zobowiązanych do przestrzegania określonego tymi przepisami limitu osób do żądania od nich udostępnienia informacji o zaszczepieniu przeciwko COVID-19. Ewentualne okazywanie dowodów potwierdzających fakt zaszczepienia może się odbywać z inicjatywy samej osoby zainteresowanej skorzystaniem z usług takiego podmiotu.

Więcej: Informacje o zaszczepieniu są danymi dotyczącymi zdrowia

SYGNALIŚCI – LUDZIE, KTÓRZY NIE POTRAFIA MILCZEĆ.
DOSWIADCZENIA OSÓB UJAWNIAJACYCH NIEPRAWIDŁOWOSCI W INSTYTUCJACH I FIRMACH W POLSCE

Zagadnienie whistleblowingu pozostaje w Polsce wciąż niedostatecznie
rozpoznane. Mimo rosnącego zainteresowania środowisk akademickich czy
pozarządowych, problem aktywności jednostek ujawniających nieprawidłowości w swoim otoczeniu wciąż w niedostatecznym stopniu przyciąga uwagę opinii publicznej, która ma na ten temat jedynie szczątkową wiedzę. Dzieje się tak między innymi ze względu na trudności ze zrozumieniem i z przełożeniem na konkretne przykłady obco brzmiącego pojęcia whistleblowingu.

Zobacz więcej: SYGNALIŚCI

Powodem nałożenia administracyjnej kary pieniężnej jest naruszenie przez spółkę przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji  (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej. W świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny- administrator danych – nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Ponadto na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.

Więcej: Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych.

Urząd Ochrony Danych Osobowych, stwierdzając naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez PNP SA z siedzibą w Warszawie, nałożył na nią administracyjną karę pieniężną w kwocie ponad 22 tys. złotych.

Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań.

Więcej informacji: Kara dla PNP SA

Treść decyzji: Pełna treść decyzji Prezesa UODO w sprawie PNP SA

Po wystąpieniu Prezesa UODO resort klimatu i środowiska deklaruje, że doprecyzuje przepisy dotyczące monitoringu wizyjnego na składowiskach odpadów.

Z wnioskiem o zainicjowanie stosownych zmian przepisów ustawy z dnia 14 grudnia 2012 r. o odpadach dla zapewnienia ich zgodności z RODO organ nadzorczy zwrócił się do Ministra Klimatu i Środowiska pod koniec 2020 r.

Wystąpienie Prezesa UODO ws. ustawy o odpadach

Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu do wyroku z 23 lutego 2021 r. w pełni podzielił stanowisko i wszystkie argumenty Prezesa UODO wyrażone w decyzji nakładającej 100 tys. zł kary na Głównego Geodetę Kraju za uniemożliwienie przeprowadzenia kontroli. Sąd krytycznie odniósł się zarówno do działań GGK w zakresie współpracy z UODO, jak i wszystkich jego argumentów przedstawionych w skardze na decyzję organu nadzorczego. 

W swoim uzasadnieniu do wyroku z 23 lutego 2021 roku (sygn. akt. II SA/Wa 1746/20) WSA stwierdził, że w państwie prawa nie do wyobrażenia jest uniemożliwianie kontroli, bojkotowanie i kwestionowanie uprawnień Prezesa UODO. Sąd zaznaczył też, że organ publiczny, jakim jest GGK, powinien też znać przepisy prawa i wiedzieć o tym, nawet bez konieczności uzyskiwania stosownych dokumentów, jakie uprawnienia posiada UODO i jakie są podstawy prawne jego działań.

Wyrok wraz z uzasadnieniem Wojewódzkiego Sądu Administracyjnego z 23 lutego 2021

Prezes Urzędu Ochrony Danych Osobowych wystąpił z pismem do władz Facebook Poland. To efekt licznych doniesień na temat wycieku danych osobowych polskich obywateli, użytkowników portalu społecznościowego Facebook.com, jakie miało miejsce na początku kwietnia 2021 roku.

Zdaniem Prezesa UODO wyciek danych z portalu Facebook.com ma ogromne zagrożenie dla prywatności wielu osób. Udostępnione dane osobowe mogą zostać wykorzystywane nie tylko w celu rozsyłania spamu czy nieuczciwego prowadzenia telemarketingu, ale także w celach przestępczych. Dlatego też, jak wskazuje Prezes UODO, istotne jest wszechstronne wyjaśnienie okoliczności przedmiotowej sprawy.

Więcej informacji: Wystąpienie UODO do władz Facebook

Koordynator do spraw dostępności to nowa funkcja, wprowadzona przepisami ustawy o zapewnianiu dostępności osobom ze szczególnymi potrzebami. Zgodnie z  art. 14 ustawy każdy organ władzy publicznej ma obowiązek wyznaczyć co najmniej jedną osobę pełniącą funkcję koordynatora do spraw dostępności.

Zobacz, w jaki sposób możesz zapewnić dostępność osobom ze szczególnymi potrzebami zgodnie z ustawą:

13 kwietnia 2021 r., podczas 48. posiedzenia plenarnego, Europejska Rada Ochrony Danych (EROD) przyjęła dwie opinie w sprawie projektów decyzji stwierdzających odpowiedni stopień ochrony w Zjednoczonym Królestwie.

Więcej: https://uodo.gov.pl/pl/138/1998

Podczas 47. posiedzenia plenarnego, które odbyło się w dniach 30-31 marca 2021 r., Europejska Rady Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęli wspólną opinię dotyczącą Wniosków w sprawie zielonego zaświadczenia cyfrowego.

We wspólnej opinii EROD i EIOD wezwały współprawodawców do zapewnienia, że zielone zaświadczenie cyfrowe jest w pełni zgodne z unijnymi przepisami o ochronie danych osobowych. Komisarze ochrony danych z całej UE i Europejskiego Obszaru Gospodarczego podkreślają potrzebę zmniejszenia zagrożeń dla podstawowych praw obywateli i mieszkańców UE, które mogą wynikać z wydania zielonego zaświadczenia cyfrowego, w tym jego ewentualnych niezamierzonych wtórnych zastosowań.

Więcej: Wspólna opinia EROD i EIOD

Przedstawiamy raport sytuacyjny opracowany przez ENISA zawierający ocenę oraz porady i środki łagodzące dla luk w zabezpieczeniach MS Exchange. Zagrożenie związane z nowymi aktualizacjami zostało ocenione jako poważne, a ENISA uważa ataki za prawdopodobne i obarczone wysokim ryzykiem. Agencja wzywa organizacje korzystające z wersji Microsoft Exchange, których dotyczy problem, do natychmiastowego załatania luk i dokładnego zbadania potencjalnych oznak naruszenia bezpieczeństwa. Wykorzystane luki w MS Exchange mogą prowadzić do włamań do sieci, eksfiltracji danych i ataków ransomware. W całej UE coraz większa liczba instalacji MS Exchange okazała się również celem złośliwych ataków.

ENISA Situational Report on Microsoft Exchange Vulnerabilities

Przedstawiciele Urzędu bardzo szczegółowo omówili m.in. status podmiotu monitorującego i podstawy prawne jego funkcjonowania, wymogi formalne wniosku oraz procedury i struktury, które wnioskodawca musi przygotować. Eksperci UODO podkreślali, że kodeksy postępowania są jednym z narzędzi, które mają ułatwić administratorom lub podmiotom przetwarzającym działającym w poszczególnych branżach zapewnienie zgodności z RODO.

Webinarium do obejrzenia:

Prezes UODO pozytywnie zaopiniował projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali, z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach.

Więcej informacji: https://uodo.gov.pl/pl/138/1923

Z opinią w sprawie projektu Kodeksu Polskiej Federacji Szpitali mogą się Państwo zapoznać tutaj: Opinia w sprawie projektu Kodeksu Polskiej Federacji Szpitali

Z opinią w sprawie projektu Kodeksu Porozumienia Zielonogórskiego mogą się Państwo zapoznać tutaj: Opinia w sprawie projektu Kodeksu Porozumienia Zielonogórskiego

Zalecenia Europejskiej Rady Ochrony Danych 01/2021 w sprawie odniesienia adekwatności w ramach dyrektywy o egzekwowaniu prawa: Dyrektywa dotycząca egzekwowania prawa

Skarga na bezprawne działania związane z udostępnieniem naszych danych inicjuje postępowanie w UODO. Konieczne jest przy tym wskazanie kogo skarżymy, gdyż urząd nie posiada kompetencji organów ścigania, by ustalić podmiot naruszający czyjeś prawa. Jeżeli nie jesteśmy w stanie ustalić, kto i w jaki sposób udostępnił nasze dane, a doszło, naszym zdaniem, do przestępstwa, powinniśmy złożyć stosowne zawiadomienie o podejrzeniu popełnienia przestępstwa. Organy ścigania, takie jak policja czy prokuratura, mają bowiem możliwość w toku postępowania przygotowawczego prowadzonego w związku z takim zawiadomieniem ustalić dane sprawcy.

Więcej informacji: https://uodo.gov.pl/pl/138/1914

UODO stwierdził naruszenie przepisów ogólnego rozporządzenia ochrony danych osobowych (RODO) i nałożył administracyjną karę pieniężną w wysokości 100 tys. zł na Krajową Szkołę Sądownictwa i Prokuratury (KSSIP) za niezrealizowanie ciążących na niej obowiązków administratora.

Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych.

Decyzja UODO: https://www.uodo.gov.pl/decyzje/DKN.5130.2024.2020

Organ nadzorczy nałożył karę upomnienia na Spółkę, gdyż administrator ten stracił dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware.

Postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. Nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie. W ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.

Decyzja UODO: https://www.uodo.gov.pl/decyzje/DKN.5130.2815.2020

Przedsiębiorca, prowadzący działalność gospodarczą w zakresie ochrony zdrowia, z administracyjną karą pieniężną w wysokości ponad 85 tys. zł za niewykonanie nakazu nałożonego wobec niego w decyzji administracyjnej.

Urząd Ochrony Danych Osobowych (UODO) nakazał przedsiębiorcy zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie tym osobom zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków zaistniałego incydentu. Administrator tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy nałożone w decyzji UODO obowiązki zostały zrealizowane.

Więcej: https://www.uodo.gov.pl/decyzje/DKE.561.11.2020

Strategia Europejskiej Rady Ochrony Danych na lata 2021-2023: Strategia EROD na lata 2021-2023

Rozporządzenie określa tryb i sposób realizacji przez inspektora ochrony danych zadań, o których mowa w art. 47 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości: Rozporządzenie Prezesa Rady Ministrów z dnia 31 maja 2019 r. w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych

Ustawa określa:
1) zasady i warunki ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności;

2) prawa osób, których dane osobowe są przetwarzane przez właściwe organy w celach, o których mowa w pkt 1, oraz środki ochrony prawnej przysługujące tym osobom;
3) sposób prowadzenia nadzoru nad ochroną danych osobowych przetwarzanych przez właściwe organy w celach, o których mowa w pkt 1, z wyłączeniem danych osobowych przetwarzanych przez prokuraturę i sądy;
4) zadania organu nadzorczego oraz formy i sposób ich wykonania;
5) obowiązki administratora i podmiotu przetwarzającego oraz inspektora ochrony danych i tryb jego wyznaczania;
6) sposób zabezpieczenia danych osobowych;
7) tryb współpracy z organami nadzorczymi w innych państwach Unii Europejskiej;
8) odpowiedzialność karną za naruszenie przepisów tej ustawy.

Zapraszamy do zapoznania się: Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Mimo, iż nowe zasady przetwarzania danych osobowych funkcjonują już od 2018 roku, pewne aspekty nadal budzą wątpliwości interpretacyjne. Szczególnie obszar dotyczący zatrudniania pracowników tymczasowych, roli agencji i pracodawcy użytkownika, który biorąc pod uwagę pojawiające się głosy, wydaje się nierozstrzygnięty. Analiza relacji pomiędzy agencją pracy tymczasowej a pracodawcą użytkownikiem oraz roli pracodawcy użytkownika w świetle RODO musi być dokonywana z uwzględnieniem przepisów Ustawy o zatrudnianiu pracowników tymczasowych.

W opinii Polskiego Forum HR pracodawca użytkownik pełni samodzielną rolę administratora danych, działając we własnym celu i posługując się własnymi środkami przetwarzania. W drugiej edycji małego kodeksu postępowania celowo rozbudowano cześć poświęconą temu aspektowi, kompleksowo uzasadniając takie stanowisko.

Więcej informacji: RODO mały kodeks postepowania dla agencji zatrudnienia II edycja

10 stycznia 2020 r. we Wrocławiu zorganizowano konferencję naukową „Cyfrowy bliźniak” w trakcie której Wojciech Trebnio, Dyrektor Departamentu Kar i Egzekucji UODO w swoim wystąpieniu „Uprawnienia naprawcze regulatora – doświadczenia w sferze cyfrowej”, przedstawił uczestnikom, jak z perspektywy regulatora wygląda praktyka stosowania RODO w dobie gospodarki cyfrowej. W tym kontekście odniósł się do kwestii administracyjnych kar finansowych, które w minionym roku nałożył Prezes UODO.

Więcej informacji uzyskają Państwo po zapoznaniu się z informacjami: Podsumowanie wysokości kar nałożonych przez UODO w 2019 roku

Nie można podawać podmiotom nieuprawnionym informacji o osobach korzystających z pomocy społecznej, bo to tajemnica zawodowa. Należy kierować się przede wszystkim ochroną ich dóbr osobistych. Pokrzywdzonym przysługuje skarga do UODO i do szefa jednostki. Skutkiem dla pracownika może być utrata pracy.

Czytaj więcej:
https://www.prawo.pl/samorzad/informacje-o-osobach-korzystajacych-z-pomocy-spolecznej-to,505686.html?fbclid=IwAR19fq4RWP76aQUmvAIJ28VB69pGmwBpk9tXvM-ViP7-yMBfNjU-wZMjsD8

Celem konferencji jest wymiana poglądów na temat sposobów zapewnienia efektywnego systemu ochrony danych osobowych, w szczególnym odniesieniu do wyzwań związanych ze stosowaniem przepisów RODO w nowej rzeczywistości spowodowanej pandemią COVID-19, a zwłaszcza wprowadzaniem narzędzi i procedur mających na celu walkę z epidemią, potrzebą zapewnienia bezpieczeństwa danych osobowych, czy organizacją pracy zdalnej.

Więcej informacji: https://uodo.gov.pl/pl/138/1814

Kontrola trzeźwości pracownika będzie dopuszczalna. Trwają prace nad projektem ustawy zezwalającej pracodawcy na zbadanie pracowników pod względem obecności alkoholu lub innych podobnie działających środków jak narkotyki.

Więcej informacji: https://kadry.infor.pl/wiadomosci/5164838,Pracodawca-zbada-trzezwosc-pracownika-projekt-ustawy.html

Niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia doprowadziła spółkę ID Finance Poland do utraty danych. Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych przez co doszło do naruszenia zasady poufności danych i nałożył na spółkę karę w wysokości ponad 1 mln zł.

Ukarana spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.

Decyzja dostępna pod linkiem: https://uodo.gov.pl/decyzje/DKN.5130.1354.2020?fbclid=IwAR1zxUMllPp5nj_Q-F6zFDB8sslzYP_pjVKgxm5PNeY2iL0diBtjc7DZYxQ

Unia Europejska opublikowała projekt regulacji, która ma wprowadzić nowe standardy zwiększające kontrolę Europejczyków nad ich danymi. Proponowane prawo ma wesprzeć europejskie firmy w rozwoju innowacji i tym samym ograniczyć dominację amerykańskich oraz chińskich koncernów technologicznych.

Więcej informacji: https://www.cyberdefence24.pl/polityka-i-prawo/ue-tworzy-jednolity-rynek-danych-punkt-zwrotny-w-wyscigu-technologicznym

EROD wskazał, że pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne. Z drugiej strony UODO stoi na stanowisku, że to służby sanitarne powinny wskazywać kierunki podejmowanych działań, poprzez wydawanie decyzji, w których może zobowiązać inne podmioty do przetwarzania danych i określić zasady takiego przetwarzania.

Więcej informacji:

Pracodawca może ujawnić dane osoby zakażonej w celu ochrony pozostałych pracowników. Nie musi to być sprzeczne z RODO

Europejska Rada Ochrony Danych upubliczniła projekt wytycznych w sprawie przekazywania danych osobowych do państw trzecich, np. USA. Nie ma już wątpliwości, że by mieć pewność, czy dane są odpowiednio chronione poza Unią, trzeba nie tylko znać system prawny danego kraju, ale także na bieżąco śledzić jego zmiany. To jeden z sześciu wymogów, które rekomenduje Rada.

Czytaj więcej:
https://www.prawo.pl/biznes/wytyczne-erod-w-sprawie-przekazywania-danych-do-panstw-trzecich,504456.html

Sposób wyboru inspektora i wypełniania przez niego zadań podlega kontroli UODO

Wypowiedź Pana Piotra Drobek, radcy w Urzędzie Ochrony Danych Osobowych.

Ciekawe, o jakiej kontroli mówi Pan Piotr. Nie przypominamy sobie żadnego postępowania prowadzonego przez PUODO, w związku z nienależytym wykonywaniem zadań przez Inspektora Ochrony Danych.

Więcej informacji: https://prawo.gazetaprawna.pl/artykuly/1447671,inspektor-ochrony-danych-nie-moze-byc-zawodem-regulowanym.html

YouTube pozwane za naruszenie przepisów Ogólnego Rozporządzenia o Ochronie Danych. W grze odszkodowanie w wysokości 3,2 mld dolarów za gromadzenie i sprzedaż danych dzieci. Pozew dotyczy udostępnienie reklamodawcom danych zebranych od dzieci w celu wykorzystywania ich do wysyłania skierowanych do nich reklam.

Więcej informacji: https://ithardware.pl/aktualnosci/youtube_pozwane_na_3_2_mld_dolarow_za_gromadzenie_i_sprzedaz_danych_dzieci-13380.html

Urząd Ochrony Danych Osobowych prowadzi równolegle dwa postępowania administracyjne wobec światowych koncernów. Jedno wobec światowego zarządcy ekskluzywnych biurowców, drugie – wobec popularnej sieci fast foodów. Obie firmy zbierały i przetwarzały chronione dane osobowe z naruszeniem prawa.

Więcej informacji: https://www.money.pl/gospodarka/dwaj-amerykanscy-giganci-wework-i-mcdonalds-tlumacza-sie-za-naruszenia-rodo-6565296077413024a.html?fbclid=IwAR1a3INpjZwMqQn0fVxkeH7pi2iUpOsT1-3E9I-2bVw9prlG74feqrp1f00

Uber pozwany został przez byłych kierowców, za używanie zautomatyzowanych algorytmów oceniających pracę kierowcy w celu wykrywania niezgodności. Kierowcy twierdzą że doprowadziło to do zablokowania około 1000 kierowcom kont w aplikacji. Jest to prawdopodobnie pierwsze roszczenia wynikające z art. 22 RODO. Postępowanie prowadzone będzie przez Holenderski Organ Nadzorczy.

Więcej informacji: https://www.bbc.com/news/business-54698858

Mówi się, że dane osobowe to ropa XXI wieku. W czasach stanów klęski żywiołowej mogą służyć także do zapewnienia bezpieczeństwa obywatelom. Na co zwracać uwagę przy udostępnianiu informacji na swój temat, jakie zmiany prawne mogą nas czekać na tym polu w najbliższym czasie i jak przygotowane są na nie polskie firmy? O tym rozmawiamy z Przemysławem Chąciak, Inspektorem Ochrony Danych.

Więcej informacji:

Udostępnianie danych osobowych – ochrona czy niebezpieczeństwo?

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a),  art. 58 ust. 2 lit. d) oraz i) w zw. z art. 5 ust. 1 lit. a), e) i f) oraz ust. 2, art. 24 ust. 1 i 2, art. 28, art. 30 ust. 1 lit. d) i f) oraz art. 32, a także art. 83 ust. 1 – 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Burmistrza Aleksandrowa Kujawskiego, Prezes Urzędu Ochrony Danych Osobowych wydał decyzję: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 7 ust 1 i ust. 2, art. 60, art. 101, art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) w związku z art. 5 ust. 1 lit. a, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b, art. 24 ust 1, art. 58 ust. 2 lit. d oraz lit. i, a także w związku z art. 83 ust. 3, art. 83 ust. 5 lit. a oraz lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez ClickQuickNow Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych wydał decyzję: https://uodo.gov.pl/decyzje/ZSPR.421.7.2019

Europejska Rada Ochrony Danych organizuje konsultacje publiczne przyjmowanych wytycznych w celu zebrania uwag na temat dokumentów od wszystkich zainteresowanych stron. Rada może publikować odpowiedzi uczestników konsultacji na jej stronie internetowej.

Aktualne konsultacje: https://edpb.europa.eu/our-work-tools/public-consultations-art-704_pl

Sprawozdanie roczne EROD za 2019 r. jest dostępne w angielskiej wersji językowej: Sprawozdanie roczne 2019

Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie dotyczące trzeciego rocznego przeglądu Tarczy Prywatności UE-USA. W swoim sprawozdaniu EROD z zadowoleniem odnotowuje poczynania dokonane przez amerykańskie organy związane z wdrożeniem Tarczy Prywatności, w szczególności w odniesieniu do nadzoru z urzędu i działań w zakresie egzekwowania prawa dotyczących aspektów komercyjnych oraz nominacji ostatnich brakujących członków Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (PCLOB) oraz stałego Rzecznika ds. Tarczy Prywatności: Tarcza Prywatności – III doroczny raport

Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych): Ustawa z dnia 21 lutego 2019 r.

Sprostowanie do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych): Sprostowanie do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016_679

RODO

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016_680

Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.

Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 30 sierpnia 2019 r. w sprawie ogłoszenia jednolitego tekstu ustawy o przetwarzaniu danych dotyczących przelotu pasażera: Ustawa z dnia 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera

Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 30 sierpnia 2019 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych: Ustawa z 10 maja 2018 o ochronie danych osobowych

Ustawa dokonuje w zakresie swojej regulacji wdrożenia dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89): Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych (ZiZP)