Podsumowanie działalności PUODO za rok 2023
Prezes Urzędu Ochrony Danych Osobowych (PUODO) opublikował szczegółowe sprawozdanie z działalności urzędu za 2023 rok. Dokument stanowi kompleksowe podsumowanie kluczowych działań podjętych przez PUODO w
Poniżej znajdziesz odpowiedzi na często pojawiające się pytania m.in. z zakresu ochrony danych osobowych, przetwarzania i bezpieczeństwa danych, a także dotyczące naszych usług.
Szkoła ma podstawę przetwarzania danych osobowych zawartych w podpisie w zakresie obrony przed roszczeniami, co stanowi jej prawnie uzasadniony interes. Podmiot ten może zachować wniosek, o którym wspomniał Pan w swojej wiadomości, w zakresie swojej rozliczalności. Ten dokument z Pana danymi pozwoli szkole wykazać, że w istocie taki wniosek otrzymała, w szczególności biorąc pod uwagę fakt, iż zostały w tym zakresie już podjęte kroki prawne. W celu uzyskania szczegółowych informacji od szkoły dotyczących przetwarzania Pana danych osobowych, może Pan skontaktować się z nią powołując się na swoje prawo dostępu do danych, przysługujące Panu na podstawie art. 15 RODO. W takiej sytuacji szkoła jest zobowiązana udzielić Panu wszelkich niezbędnych informacji dotyczących przetwarzania Pana danych osobowych, w tym przytoczyć cel oraz podstawę prawną przetwarzania.
W naszej ocenie żądanie skanu dowodu osobistego jest wątpliwe prawnie. PayU S.A. jako krajowa instytucja płatnicza, a w konsekwencji instytucja obowiązana w rozumieniu przepisów ustawy z 1.03.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu może, w celu stosowania środków bezpieczeństwa finansowego, przetwarzać informacje zawarte w dokumentach tożsamości klienta, a także sporządzać ich kopie (art. 34 ust. 4 ustawy o AML). Przepisy wskazanej ustawy muszą być jednak interpretowane z uwzględnieniem RODO, w tym z zasadą minimalizacji danych, która nakazuje przetwarzanie danych osobowych jedynie w zakresie niezbędnym do realizacji celu, dla którego są pozyskiwane. Trudno przyjąć, że na potrzeby dokonania weryfikacji lub identyfikacji klienta, instytucja płatnicza musi przetwarzać wszystkie dane zawarte w dowodzie osobistym. W tym zakresie zasadne wydaje się, aby podmiot taki wskazał, które konkretnie dane są potrzebne do przeprowadzenia weryfikacji, aby umożliwić Panu odpowiednie zanonimizowanie dokumentu. Ponadto instytucja taka powinna zapewnić bezpieczny kanał przekazania takiego skanu. Warto zwrócić uwagę, że w sprawie skanowania dowodów przez instytucje obowiązane wątpliwości wyraża też Prezes UODO: https://uodo.gov.pl/pl/138/2476.
Znowelizowany w maju 2019 roku przepis art. 22(1) Kodeksu pracy wyraźnie wskazuje, jakich informacji (danych osobowych) może żądać pracodawca od kandydata do pracy, a później od pracownika. Dowód osobisty, zawiera szeroki zakres danych osobowych, a przede wszystkim nazwisko, imię, wizerunek, PESEL, seria i numer, datę i miejsce urodzenia, płeć, wiek, datę wydania dowodu czy datę jego ważności. Samo kserowanie jako czynność techniczna, na gruncie przepisów o ochronie danych osobowych (RODO) nie jest zakazana. Jednakże w wyniku wykonania tej czynności, pracodawca może przetworzyć szerszy zakres danych osobowych niż jest do tego uprawniony, co niewątpliwie będzie się wiązało naruszeniem przepisów RODO. Proszę pamiętać, że każdej osobie fizycznej, przysługuje prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych na działanie Administratora, które skutkuje naruszeniem przepisów o ochronie danych osobowych. Wszelkie informacje w jaki sposób zgłosić skargę można znaleźć na stronie https://uodo.gov.pl/pl/526/2464.
Jeśli salon optyczny zażądał podania numeru PESEL to powinien także poinformować jaki jest cel podania tego numeru identyfikującego. Ponadto, powinien zostać przekazany obowiązek informacyjny, wynikający z art. 13 RODO. Zawarte w nim informacje powinny wyjaśnić powód zbierania poszczególnych danych osobowych. Proszę pamiętać, że każdej osobie fizycznej, przysługuje prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych na działanie Administratora, które skutkuje naruszeniem przepisów o ochronie danych osobowych. Wszelkie informacje w jaki sposób zgłosić skargę można znaleźć na stronie https://uodo.gov.pl/pl/526/2464
Naruszeniem na gruncie przepisów o ochronie danych osobowych jest każde zdarzenie wskutek którego dojdzie do utraty poufności lub dostępności lub integralności przetwarzanych danych osobowych. W przedstawionej sytuacji, jeśli błędnie zaadresowana wiadomość zawierała dane osobowe np. imię i nazwisko, adres, numer telefonu lub inne informacje, które stanowią dane osobowe na gruncie przepisów RODO, to doszło do utraty ich poufności. Jest to więc naruszenie na gruncie RODO.
To czy istnieje obowiązek dokonania zgłoszenia do Urzędu Ochrony Danych Osobowych (UODO), należy ocenić przez pryzmat prawdopodobieństwa powstania ryzyka naruszenia praw lub wolności osoby fizycznej, której dane osobowe zostały dotknięty zdarzeniem. W sytuacji, gdy w wyniku zdarzenia, istnieje małe prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej, nie mamy obowiązku dokonywać takiego zgłoszenia. Jednakże zdarzenie należy zarejestrować w wewnętrznym rejestrze naruszeń. Należy również pamiętać, że w sytuacji, gdy w wyniku dokonanej oceny, zdarzenie może spowodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, to obowiązkiem Administratora poza dokonaniem zgłoszenia do UODO jest również poinformowanie osoby dotkniętej naruszeniem o powstałym zdarzeniu.
Odsyłam do naszego artykułu, w którym opisaliśmy poprawny proces obsługi naruszeń: Naruszenie ochrony danych osobowych- poprawny proces obsługi
Tak. Obowiązek prowadzenia rejestru naruszeń wynika z art. 33 ust. 5 Ogólnego Rozporządzenia o Ochronie Danych (RODO). Przepis ten stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Co ważne prowadzona dokumentacja musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania przez Administratora niniejszego obowiązku. Wskazany obowiązek należy rozumieć szerzej niż wyłącznie prowadzenie rejestru. Należy gromadzić również dokumentację opisującą podjęte działania wyjaśniające i naprawcze. Prowadzenie rejestru i dokumentacji opisującej dane zdarzenia, pozwali na uzyskanie rozliczalności zgodności przetwarzania danych, o której mowa w art. 5 RODO.
Jeśli chcesz wiedzieć więcej o zasadzie rozliczalności, odsyłamy do naszego artykułu: Zasada rozliczalności w RODO
Jeśli przy wykonywaniu przez biuro księgowo-kadrowe usług niezbędne jest udostępnienie danych osobowych w celu realizacji zleconych zadań, należy podpisać umowę powierzenia przetwarzania danych osobowych. Obowiązek ten wynika z art. 28 ust. 3 RODO, który stanowi, że w sytuacji, gdy w procesie przetwarzania danych osobowych Administrator korzysta z usług innego podmiotu, przetwarzanie takie odbywa się na podstawie umowy lub innego instrumentu prawnego, który wiąże Administratora i Podmiot Przetwarzający, określa przedmiot, cel, charakter, czas przetwarzania, rodzaj danych oraz kategorie osób, których dane zostały powierzone. Należy również pamiętać, że obowiązkiem Administratora jest korzystanie wyłącznie z usług takich podmiotów, które gwarantują zgodność dokonywanego przetwarzania z przepisami RODO.
Jeśli chcesz wiedzieć więcej, odsyłamy do naszych artykułów:
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
W pierwszej kolejności, należy przypomnieć, że wizerunek jest informacją umożliwiającą identyfikację osoby fizycznej. Tym samym na gruncie przepisów RODO wizerunek jest daną osobową. Jednocześnie wizerunek stanowi jedno z dóbr osobistych podlegających ochronie cywilnoprawnej oraz ochronie prawno-autorskiej.
Przepisy prawa nie zabraniają publikowania wizerunku uczniów, ale szkoła musi pamiętać, aby zrobić to zgodnie z obowiązującymi przepisami. W pierwszej kolejności spójrzmy przez pryzmat ochrony prawno-autorskiej. Opublikowanie wizerunku na stronie www szkoły jest niczym innym jak rozpowszechnieniem na gruncie przepisów ustawy o prawach autorskich i prawach pokrewnych. Aby danego rozpowszechnienia dokonać zgodnie z wskazanym przepisem prawnym, szkoła musi uzyskać zezwolenia osoby, której wizerunek dotyczy. Należy pamiętać, że w sytuacji, gdy wizerunek dotyczy osoby poniżej 18 roku życia, taką zgodę musi uzyskać od opiekuna prawnego. Uzyskanie zezwolenia na dokonanie rozpowszechniania wizerunku nie jest równoznaczne z zgodą na przetwarzanie danych na gruncie przepisów o ochronie danych osobowych (RODO). Dlaczego, ponieważ rozpowszechnienie jest jedną z czynności przetwarzania, a przecież aby dokonać rozpowszechnienia w pierwszej kolejności należy dokonać utrwalenia lub pozyskania wizerunku. Dlatego szkoła musi pamiętać o wyborze właściwej podstawy prawnej przetwarzania na gruncie RODO. Może to być zgoda (art. 6 ust. 1 lit. a) RODO, ale również realizowanie interesu publicznego, czyli art. 6 ust. 1 lit. e) RODO. Przetwarzając wizerunek, należy również pamiętać, że nie można naruszyć dóbr osobistych osoby, której wizerunek utrwalono. Dokonując wyboru zdjęcia zawierającego wizerunek oceńmy czy nie narusza ono dóbr prawnie ochronionych.
Na gruncie obowiązującego prawa, stosowanie atrap kamer nie jest zakazane. Jednakże, należy zwrócić uwagę na wydaną opinię Prezesa Urzędu Ochrony Danych Osobowy, który wskazał, że „stosowanie atrap powinno być zakazane”. Jak wykazał organ w publikacji z czerwca 2018 roku, atrapy kamer wprowadzają z jednej strony poczucie fizycznej ingerencji w prywatność osoby, a z drugiej mylnie zwiększają poczucie bezpieczeństwa. Jak czytamy dalej „zastosowanie danego rozwiązania należy tym samym podawać w wątpliwość skuteczność i adekwatność tego narzędzie w realizacji zamierzonego celu”. Tym samym należy przyjąć, że w przypadku zastosowanie atrap kamer, możemy dopuścić naruszenia art. 5 RODO, podstawowych zasad przetwarzania danych osobowych. Poniżej link do wskazanego dokumenty: https://uodo.gov.pl/data/filemanager_pl/1200.pdf
Tak, choć nie wynika to wprost z przepisów ogólnego rozporządzenia o ochronie danych (dalej RODO). Zgodnie z art. 29 RODO, każda osoba działająca z upoważnienia administratora i mająca dostęp do danych osobowych przetwarza je wyłącznie na jego polecenie, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Nie mniej należy zwrócić uwagę na zasadę rozliczalności. Zasada ta zobowiązuje administratora na wykazaniu przez niego zarówno przed organem nadzorczym, jak przed podmiotem danych (osobą fizyczną), dowodów na przestrzeganie zasad wynikających z RODO. Przyjmując, iż upoważnienie do przetwarzania danych osobowych wydawane jest w formie słownego polecenia, administratorowi trudno będzie udowodnić, że dopuścił do przetwarzania danych osobowych wyłącznie osoby przez niego upoważnione, a czynność przetwarzania odbywa się na jego polecenie.
Zapraszamy do przeczytania naszego artykułu Forma Upoważnienia Do Przetwarzania Danych Osobowych
Nie, żaden przepis ogólnego rozporządzenia o ochronie danych nie wskazuje takiego obowiązku. Niemniej rejestr umożliwia prawidłowe zarządzanie wystawionymi upoważnieniami do przetwarzania danych osobowych. Prowadzenie rejestru będzie więc mile widziane w kontekście wykazania rozliczalności zgodności administratora z RODO.
Zapraszamy do przeczytania naszego artykułu o zasadzie rozliczalności w RODO
Przetwarzając wyłącznie imię i nazwisko, nie mamy takiego obowiązku. Wskazuje na to art. 11 RODO. Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.
Tak. Co prawda na gruncie RODO nie została przewidziana sankcja karna za naruszenie jego przepisów. Ustawodawca krajowy został jednak upoważniony do przyjęcia takich sankcji (art. 84 ust. 1 RODO) i skorzystał z tego w art. 107 UODO.
Zgodnie ze wskazanym przepisem podmiot, który przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Wyższa kara przewidziana jest, jeżeli przetwarzanie danych osobowych w ww. warunkach dotyczy danych szczególnych kategorii – wówczas sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Nie. Rejestr czynności przetwarzania danych osobowych prowadzony przez gminę nie stanowi co do zasady informacji publicznej. WSA w Łodzi wskazał, że rejestr taki jest nośnikiem informacji, nie zaś samą informacją. Sąd ten uznał, że jest to dokument o charakterze wewnętrznym, organizacyjnym i porządkowym, przez co nie może być uznany za informację publiczną (wyrok WSA w Łodzi z 12.02.2019 r. II SAB/Łd 181/18).
Tak. Sytuacje, w których przepisy RODO nie znajdują zastosowania zostały wskazane w art. 2 ust. 2 RODO. Żaden z nich nie wyłącza stosowania tego aktu do stowarzyszeń, niezależnie od tego czy prowadzą one działalność gospodarcza, czy nie. Uwzględniając, że stowarzyszenie przetwarza dane osobowe swoich członków, darczyńców, ale też pracowników i innych podmiotów, ma ono obowiązek wdrożenia zasad ochrony danych osobowych w zakresie wynikającym z RODO.
Administratorem danych jest samo stowarzyszenie i to niezależnie, czy ma ono formę rejestrową (posiada osobowość prawną), czy też jest to stowarzyszenie zwykłe (będące ułomną osobą prawną). W imieniu stowarzyszenia rejestrowego działa jego zarząd lub inny uprawniony na mocy statutu organ, zaś w imieniu stowarzyszenia zwykłego działa przedstawiciel wybrany przez założycieli tego stowarzyszenia albo wybrany przez nich zarząd.
Co do zasady tak. Przez pojemnik bezpieczny rozumiemy zwykle stalowy, zamykamy pojemnik, do którego możliwe jest wrzucenie zbędnych dokumentów, celem ich późniejszego zniszczenia, i który posiada odpowiednie zabezpieczenia przed nieuprawnionym wyjęciem dokumentów. W naszej ocenie stosowania pojemników bezpiecznych będzie dopuszczalne, jeżeli:
Oczywiście ostateczna ocena stosowania pojemników bezpiecznych powinna być poprzedzona przeprowadzeniem przez administratora danych stosownej analizy ryzyka.
Zgodnie z art. 2 ust. 1 Ogólne Rozporządzenie o Ochronie Danych (dalej RODO) ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Nie ma więc znaczenia czy dane osobowe przetwarzane są przez osobę fizyczną, podmiot gospodarczy, jednostkę publiczną lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, istotne jest, że w ramach czynności dochodzi do przetwarzania danych osobowych np. klientów, pracowników, dostawców, kandydatów do pracy, itp. Odnosząc się do pytania, jeśli w ramach prowadzonej działalności gospodarczej (niezależnie od formy jej prowadzenia) dochodzi do przetwarzania danych osobowych (tradycyjnie lub w systemach informatycznych) to jako Administrator tych danych mamy obowiązek przestrzegać przepisów o ochronie danych osobowych. Polecam zapoznanie się z naszą publikacją Administrator danych w spółce cywilnej oraz Wdrożenie RODO korzyścią dla firmy i jej Klientów.
Analizując przedstawione zagadnienie, należy przytoczyć przepisy kodeksu postępowania cywilnego (kpc), wskazujące na uprawnienia komornika w zakresie prowadzonych przez niego czynności. Art. 760 (2) kpc w tej materii brzmi następująco: „Organ egzekucyjny, dokonując zajęcia majątku dłużnika albo żądając udzielenia informacji, o których mowa w art. 761 § 11, jest obowiązany podać numer PESEL, NIP lub REGON dłużnika, którego ta czynność dotyczy, jeżeli numery te zostały dłużnikowi nadane, a w razie konieczności także inne dane niezbędne do identyfikacji jego tożsamości”. Z kolei art. 761 par. 11, do którego odnosi się powyższy przepis, wskazuje, iż organ egzekucyjny (komornik) może „żądać od osób nieuczestniczących w postępowaniu informacji dotyczących stanu majątkowego dłużnika lub umożliwiających identyfikację składników jego majątku oraz danych adresowych jedynie w zakresie niezbędnym do zapewnienia prawidłowego toku postępowania”. Powołując się na powyższe przepisy, komornik potencjalnie może kierować się do osób nieuczestniczących w postępowaniu, w zakresie uzyskania niezbędnych informacji do prowadzenia postępowania, podając przy tym dane osobowe dłużnika. Jednakże, należy przy tym zaznaczyć, że zasadność wykonywania tych czynności jest zależna od określonego przypadku. Dlatego też, zalecamy zwrócenie się bezpośrednio do samego komornika prowadzącego postępowanie z zapytaniem dotyczącym przetwarzania danych osobowych, w tym przekazywania ich osobom trzecim. Prawo do uzyskania tych informacji na gruncie art. 12 Ogólnego Rozporządzenia o Ochronie Danych (RODO).
Zasadniczo, jeżeli monitoring stosowany przez sąsiadów wykracza poza ich posesje i obejmuje np. Państwa teren, to przetwarzanie przez nich danych osobowych (wizerunku, głosu) podlega przepisom RODO (por. Wytyczne EDPB 3/2019 ws. przetwarzania danych osobowych przez urządzenia wideo). W takiej sytuacji właściciele monitoringu są administratorami danych i zobowiązani są stosować się do postanowień ww. aktu. W opisanej sytuacji niewątpliwie mamy do czynienia z naruszeniem zasad ochrony danych osobowych, chociażby w zakresie zgodności, rzetelności i przejrzystości przetwarzania danych osobowych, a także przetwarzania tych danych w konkretnych, wyraźnych i prawnie uzasadnionych celach. W związku z tym przysługuje prawo skargi do Prezesa Urzędu Ochrony Danych Osobowych. Tryb wniesienia skargi opisany został na stronie UODO: https://uodo.gov.pl/pl/492/2464. Warto w tym zakresie potwierdzić również, że już sam fakt stosowania monitoringu z rejestracją dźwięku budzi wątpliwości prawne. Niezależnie od powyższego można skorzystać z roszczeń cywilnoprawnych – z tytułu szkody niemajątkowej w wyniku naruszenia przez administratora danych (sąsiada) przepisów RODO (art. 82 RODO), z tytułu naruszenia dóbr osobistych (art. 23-24 Kodeksu cywilnego) oraz z tytułu immisji (art. 144 Kodeksu cywilnego). W tym celu konieczne byłoby wytoczenie powództwa sądowego. W przypadku zgłoszenia na Policję warto powołać się na art. 107 § 1 Ustawy o ochronie danych osobowych, który kryminalizuje przetwarzanie danych osobowych, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony. Jeżeli organ ścigania nie będzie chciał podjąć interwencji można złożyć w najbliższej jednostce Policji albo korespondencyjnie zawiadomienie o możliwości popełnienia przestępstwa.
Zgodnie z art. 13 Administrator ma obowiązek w sytuacji wyznaczenia Inspektora Ochrony Danych wskazać osobie fizycznej, której dane osobowe przetwarza, dane kontaktowe do Inspektora Ochrony Danych. Zgodnie z art. 37 ust. 7 RODO, administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych. Sposób realizacji tego obowiązku doprecyzowany został w art. 11 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. W przepisie tym wskazano, że podmiot, który wyznaczył Inspektora Ochrony Danych, udostępnia dane inspektora w zakresie: imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności np. w treści obowiązku informacyjnego o przetwarzaniu danych osobowych. Dodatkowo na Administratorze spoczywa obowiązek zapewnienia, aby informacja o danych kontaktowych Inspektora Ochrony Danych była łatwo dostępna dla osób, których dane dotyczą. Administrator nie może odmówić podania danych kontaktowych do Inspektora Ochrony Danych. W sytuacji wystąpienia takiego zdarzenia, stanowi to naruszenie przepisów o ochronie danych osobowych. Link do publikacji PUODO https://uodo.gov.pl/pl/495/2342.
Dziękuję za skierowanie do Nas tej kwestii. Rozumiem, że znalazła się Pani w sytuacji, w której pracodawca, z którym ostatecznie nie nawiązała Pani współpracy, posiada Pani dokumenty medyczne oraz orzeczenie o niepełnosprawności i odmawia ich przekazania inaczej niż przez odbiór osobisty.
W kontekście przepisów Ogólnego Rozporządzenia o Ochronie Danych z dnia 27 kwietnia 2016 r (dalej RODO), ważne jest podkreślenie kilku aspektów:
W odpowiedzi na Pani pytanie, pracodawca powinien dostosować sposób realizacji Pani praw do aktualnej sytuacji, uwzględniając Pani niedyspozycję. Niezależnie od tego, czy doszło do nawiązania współpracy, przechowywane przez pracodawcę dokumenty medyczne i orzeczenie o niepełnosprawności są Pani danymi osobowymi, do których ma Pani prawo dostępu. Jeśli pracodawca odmawia przekazania dokumentów w inny sposób niż przez odbiór osobisty, bez podania uzasadnionej przyczyny, może to być traktowane jako naruszenie Pani praw, na gruncie przepisów RODO. W takiej sytuacji zalecam skontaktowanie się bezpośrednio z Urzędem Ochrony Danych Osobowych (UODO) w celu uzyskania dalszych wskazówek lub złożenia skargi na postępowanie pracodawcy. Może Pani również zwróć się do Państwowej Inspekcji Pracy, która może interweniować w przypadkach naruszenia praw pracowniczych.
Mam nadzieję, że powyższe informacje okażą się pomocne. W razie dodatkowych pytań lub potrzeby dalszej asysty, proszę o kontakt.
Wysłanie przez komornika pisma o zajęciu wynagrodzenia do zakładu pracy, w którym dana osoba nie pracuje i nigdy nie pracowała, może potencjalnie stanowić naruszenie przepisów RODO.
RODO (Rozporządzenie o Ochronie Danych Osobowych) nakłada obowiązek na podmioty przetwarzające dane osobowe, aby były one przetwarzane zgodnie z zasadami, w tym m.in. zgodnie z zasadą minimalizacji danych, która wymaga, aby dane osobowe były adekwatne, stosowne i ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane. Jeśli komornik wysłał pismo o zajęcie wynagrodzenia do niewłaściwego pracodawcy, oznacza to, że dane osobowe osoby, której pismo dotyczy, zostały udostępnione podmiotowi, który nie powinien ich otrzymać. To może być uznane za naruszenie zasady poufności w zakresie nieuprawnionego ujawnienia danych osobowych stronie trzeciej. RODO umożliwia Panu dokonanie złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Na stronie www.uodo.gov.pl w zakładce DLA OBYWATELA – UODO znajduje się formularz zgłoszenia skargi do Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu przepisów o ochronie danych osobowych. Znajdują się tam również wszelkie informacje, którą pomogą dokonać takiego zgłoszenia.
Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), każdy administrator jest zobowiązany do odpowiedniej ochrony danych osobowych. Wysłanie danych do niewłaściwego odbiorcy, w tym: numeru klienta, numeru telefonu, warunków przyznanego upustu/rabatu oraz innych informacji wynikających z otrzymanej korespondencji, stanowi naruszenie ochrony danych osobowych w kontekście nieuprawnionego udostępnienia danych (naruszenie poufności).
Chociaż wskazany zakres informacji nie pozwala na bezpośrednie zidentyfikowanie osoby fizycznej, to dostępność takich danych jak numer klienta, numer telefonu, nazwa firmy, z której oferta została wysłana, oraz kontekst usługi lub oferty, może umożliwić pośrednią identyfikację tej osoby.
W przypadku, gdy administrator uzyska informację o naruszeniu ochrony danych, powinien podjąć odpowiednie działania, w tym poinformować osoby, których dane dotyczą, oraz organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych), jeśli na podstawie dokonanej oceny stwierdzi ryzyko naruszenia praw i wolności osoby fizycznej. Niezależnie od oceny, każdy przypadek naruszenia musi zostać zarejestrowany w wewnętrznym rejestrze naruszeń. Należy również zarchiwizować zebraną dokumentację z prowadzonego postępowania wyjaśniającego w celu rozliczenia się z podjętych działań przed Prezesem Urzędu Ochrony Danych Osobowych.
Prezes Urzędu Ochrony Danych Osobowych (PUODO) opublikował szczegółowe sprawozdanie z działalności urzędu za 2023 rok. Dokument stanowi kompleksowe podsumowanie kluczowych działań podjętych przez PUODO w
Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 21 827 PLN na przedsiębiorcę za brak współpracy z organem nadzorczym w sprawie związanej
Zapraszamy serdecznie na konferencję online organizowaną przez Centrum Promocji Informatyki, poświęconą tematyce ochrony danych osobowych i cyberbezpieczeństwa, która odbędzie się w dniu 3 października 2024