RODO w praktyce – decyzje UODO: Wspólnota Mieszkaniowa jest administratorem danych osobowych swoich członków.

W decyzji z dnia 16 kwietnia 2019 roku (ZSPU.440.131.2019) Prezes Urzędu Ochrony Danych Osobowych stwierdził, że jeżeli Wspólnota zawarła a innym podmiotem – osobą prawną lub fizyczną – umowę o zarządzanie Wspólnotą, to zarządzający jest jedynie podmiotem, któremu powierzono przetwarzanie danych osobowych w rozumieniu art. 28 RODO, a nie odrębnym administratorem danych – ponieważ zarządca działa w imieniu Wspólnoty.

W praktyce oznacza to, że obowiązek informacyjny względem właścicieli lokali powinien być realizowany w ten sposób, by jako administratora wskazać Wspólnotę, a nie zarządzającego. Czytaj dalej RODO w praktyce – decyzje UODO: Wspólnota Mieszkaniowa jest administratorem danych osobowych swoich członków.

5 kwietnia 201925 kwietnia 2019

Witamy nowego Prezesa UODO. Jan Nowak na czele Urzędu Ochrony Danych

Obecny dyrektor Urzędu Ochrony Danych Osobowych Jan Nowak został wybrany przez Sejm w czwartek 4 kwietnia 2019 roku na stanowisko prezesa UODO. Za kandydaturą Jana Nowaka głosowało 221 posłów, 171 było przeciw, a 4 wstrzymało się od głosu.

Zgodnie z przepisami prezesa Urzędu Ochrony Danych Osobowych powołuje i odwołuje Sejm za zgodą Senatu. Jego kadencja trwa cztery lata. Czytaj dalej Witamy nowego Prezesa UODO. Jan Nowak na czele Urzędu Ochrony Danych

27 marca 2019

Posiadanie baz danych wymaga obowiązku informacji wobec osób fizycznych

Posiadasz bazę danych, której nie używasz? Wywiąż się z obowiązku informacyjnego zanim do Twoich drzwi zapuka kontrola UODO. Polski Urząd Ochrony Danych Osobowych nałożył właśnie karę w wysokości miliona złotych na firmę, która złamała art. 14 RODO.

Warszawska spółka pozyskiwała dane osobowe przez KRS, GUS, CEPiK, CEiDG oraz Monitor Sądowy i Gospodarczy i nie wywiązała się przy tym z obowiązku informacyjnego. Czytaj dalej Posiadanie baz danych wymaga obowiązku informacji wobec osób fizycznych

27 marca 2019

Kara wynikająca z RODO może zostać nałożona także za nieodpowiednio skierowane kamery monitoringu

Dnia 15 marca Prezes UODO nałożył karę pieniężną w wysokości blisko miliona złotych na firmę zbierającą dane o przedsiębiorcach z powszechnie dostępnych źródeł (CEIDG, KRS etc.) – organ nadzorczy uznał, że spółka powinna poinformować osoby, których dane przetwarza w formie listów wysłanych pocztą tradycyjną (w tych przypadkach, w których nie dysponuje ona adresami mailowymi lub numerami telefonów).

Spółka z pewnością będzie się jeszcze odwoływać do sądu administracyjnego – a do czasu prawomocnego rozpatrzenia sprawy przez sąd konieczność zapłaty kary będzie wstrzymana.

Warto jednak pamiętać, że kary pieniężne związane ze stosowaniem RODO mogą myć nałożone także za inne, znacznie bardziej prozaiczne naruszenia np. z powodu kamer monitoringu które zostały skierowane tak, by obejmowały swoim zakresem zbyt szeroki obszar, lub braku oznaczenia obszaru monitorowanego.

Naruszeniem przepisów może być też np. pozyskiwanie zbyt dużego zakresu informacji o pracownikach, błędne wskazanie podstaw prawnych, nieodpowiednie posługiwanie się zgodą w ramach procesu rekrutacji pracowników, przechowywanie danych przez zbyt długi okres lub brak wyznaczonych okresów retencji danych.

Warto także sprawdzić treść zawartych umów powierzenia przetwarzania, sposób udokumentowania oszacowania ryzyka oraz sposób sformułowania upoważnień do przetwarzania.

To wszystko to jedynie przykłady – RODO wpływa bardzo często całość codziennych czynności, codzienną praktykę działania całego przedsiębiorstwa – taki całościowy przegląd zgodności z RODO powinien być przeprowadzony przynajmniej na początku procedury dostosowania się do nowych przepisów. Czytaj dalej Kara wynikająca z RODO może zostać nałożona także za nieodpowiednio skierowane kamery monitoringu

21 lutego 2019

RODO i zmiana w 167 ustawach

To nie koniec zmian w przepisach w związku z RODO. Coraz bliżej do przyjęcia przez Sejm pakietu legislacyjnego zmieniającego 167 ustaw.

Przedsiębiorcy powinni pamiętać, że już niedługo zostanie przyjęty tzw. pakiet legislacyjny związany z dostosowaniem polskiego prawa do RODO.

Zmienionych zostanie aż 167 ustaw, w tym kodeks pracy, kodeks postępowania administracyjnego, oraz kodeks karny.

W maju 2018 roku, poprzednia ustawa o ochronie danych osobowych z 1997 roku została zastąpiona przez nową ustawę o ochronie danych osobowych i RODO – ale to nie koniec zmian, odrębną ustawą zostanie zmienione 167 ustaw – tak, by wszystkie krajowe przepisy były spójne z RODO.

By firmy były na czas przygotowane do zmian w prawie – warto już dziś sprawdzić, czy przepisy, nad którymi pracuje Sejm będą wpływały na codzienną działalność konkretnego przedsiębiorstwa. Najlepszym narzędziem do uzyskania pewności w tym zakresie jest przeprowadzenie audytu, którego efektem będzie ustalenie, co firma będzie musiała zmienić, by nie narażać się na ryzyko poniesienia odpowiedzialności finansowej.

http://www.sejm.gov.pl/sejm8.nsf/PrzebiegProc.xsp?nr=3050

20 lutego 2019

Kolejne kary RODO – czas na Polskę?

Krajowe urzędy kontrolujące ochronę danych osobowych nie próżnują. Niedawno w trzech krajach zapadły nowe decyzje w sprawie naruszeń RODO. Padły już kolejne kary.

Kara ze względu na monitoring – Węgry

Coraz więcej spraw przed krajowymi urzędami ochrony danych osobowych rozstrzyga się przez łamanie procedur RODO w związku z nieprawidłowym monitoringiem. Na Węgrzech nałożono na firmę karę wynosząca ponad 3000 euro (która stanowi 6,5% jej rocznych przychodów ze sprzedaży netto), ponieważ odmówiła ona dostępu do nagrań osobie, która została na nich zarejestrowana. NAIH (odpowiednik UODO) stwierdził, że przedsiębiorstwo dopuściło się naruszenia, gdyż ADO (Administrator Danych Osobowych) nie mógł żądać od tej osoby uzasadnienia wglądu w nagranie, ponieważ chodziło o jej własne dane. Ponadto podmiot żądał udostępnienia nagrania do celów sądowych i zdaniem NAIH przedsiębiorstwo nie miało mocy, by określać, czy nagrania były do tego zbędne czy nie. Czytaj dalej Kolejne kary RODO – czas na Polskę?

14 lutego 201914 lutego 2019

Wytyczne Ministerstwa Cyfryzacji dla Pracodacy w zakresie RODO

W opublikowanych dnia 6 lutego 2019 roku wytycznych, Ministerstwo Cyfryzacji wyjaśniło kilka wątpliwości, jakie dotychczas pojawiały się w związku z z wdrażaniem RODO. Choć wydane wytyczne przeznaczone skierowane są do administracji publicznej, to niżej przedstawione stanowiska można odnieść także to prywatnych przedsiębiorców:

1. Pracodawca może posługiwać się imionami i nazwiskami pracowników w związku z funkcjonowaniem zakładu pracy – zarówno w relacjach wewnętrznych jak i zewnętrznych.

Na listach obecności (dostępnych swobodnie w ramach zakładu pracy) nie powinna być jednak ujawniane ewentualne przyczyny nieobecności w pracy, np. urlop wypoczynkowy lub zwolnienia lekarskie.

2. Z lekarzem/ośrodkiem medycyny pracy nie zawiera się umów powierzenia przetwarzania (ponieważ jest to udostępnienie odrębnemu administratorowi, a nie powierzenie podmiotowi przetwarzającemu).

3. Podmiot przetwarzający przetwarzający dane powierzone w trybie art. 28 RODO sam upoważnia swoich pracowników do przetwarzania danych powierzonych przez innego administratora.

źródło: s. 23-28 dokumentu „RODO dla Administracji” link: https://www.gov.pl/web/cyfryzacja/rodo-dla-administracji-odpowiedzi-na-27-pytan

23 stycznia 2019

Konflikt pomiędzy Prezesem Urzędu Ochrony Danych Osobowych a Ministerstwem Cyfryzacji.

Podczas gdy od dnia 1 stycznia 2019 roku pracodawcy muszą stosować się do nowych zasad postępowania z dokumentacją pracowniczą (zastąpiono rozporządzenie z 1996 roku, które do tej pory regulowało kwestię dokumentacji pracowniczej) – Ministerstwo Cyfryzacji wydało oficjalne objaśnienia prawne dotyczące postępowania z CV pozyskiwanymi w ramach rekrutacji kandydatów do pracy (https://mc.bip.gov.pl/objasnienia-prawne/objasnienia-prawne.html).

Największą różnicą w porównaniu do wytycznych wydanych przez Prezesa UODO z października 2018 roku jest uznanie za dopuszczalne przechowywanie CV kandydatów, którzy nie zostali wybrani przez okres po zakończeniu rekrutacji bez ich zgody, w celu ochrony przez ewentualnymi roszczeniami – np. zarzutami o dyskryminację przy rekrutacji. Ministerstwo Cyfryzacji rekomenduje tu „racjonalny kilkumiesięczny okres retencji”.

Choć objaśnienia prawne Ministerstwa Cyfryzacji mają walor oficjalnego dokumentu poprzez oparcie się
tzw. „Konstytucji dla biznesu”, czyli w trybie art. 33 ust. 1 ustawy Prawo przedsiębiorców, w odpowiedzi na wniosek Rzecznika Małych i średnich Przedsiebiorców to ich moc wiążącą kwestionuje Prezes UODO.

W oświadczeniu zamieszczonym na oficjalnej stronie UODO (https://uodo.gov.pl/pl/138/672), Prezes organu nadzorczego stanowczo wskazuje: „(…)w świetle prawa UE Prezes UODO nie jest związany ‎jakimikolwiek formalnymi objaśnieniami prawnymi dotyczącymi stosowania RODO. Dlatego apelujemy o niepodejmowanie działań, które mogą narazić polskich przedsiębiorców na negatywne konsekwencje i w dłuższej perspektywie utrudnić im działalność, a w konsekwencji rodzić pytanie o możliwą odpowiedzialność Skarbu Państwa ‎ za takie szkody.”

Powyższy konflikt pomiędzy Ministerstwem a UODO dodatkowo komplikuje fakt, że w kwietniu bieżącego roku kończy się kadencja obecnej Prezes UODO, a nowy prezes zostanie wybrany na czteroletnią kadencję przez obecną większość parlamentarną.

27 listopada 2018

Można wysyłać informację handlowe zgodnie z RODO – ale w zgodzie z UŚUDE

Posiadasz firmę z sektora FinTech? Zapoznaj się z tym materiałem. Ministerstwo Cyfryzacji podaje wytyczne w sprawie przesyłania informacji handlowych na podstawie ustawy o świadczeniu usług drogą elektroniczną (UŚUDE).

Unijne Rozporządzenie (RODO) obowiązujące od 25 maja br. przewiduje, że administrator może przetwarzać dane osobowe celem wysłania drogą elektroniczną informacji handlowych, bez zgody osoby, której one dotyczą. Możliwe jest to na podstawie tzw. uzasadnionych interesów. Jednak z ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) wynika, że zgoda taka jest wymagana. Jak w tym przypadku należy rozumieć przepisy? Czytaj dalej Można wysyłać informację handlowe zgodnie z RODO – ale w zgodzie z UŚUDE

5 listopada 2018

Kolejne zmiany w związku z RODO

Pojawił się nowy projekt ustawy z 22 października – ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, nowelizujący 167 ustaw w związku z RODO. Czytaj dalej Kolejne zmiany w związku z RODO

10 września 20185 listopada 2018

Wrzesień 2018: Kontroloe Urzędu Ochrony Danych się rozpoczęły!

– Nikt się z nikim nie umówił, że nie nakładamy kar (…) dobrze, że są wysokie kary, bo jak inaczej nie uda się uporządkować ochrony danych osobowych, to może te kary zadziałają porządkująco – podkreśla Edyta Bielak-Jomaa w rozmowie z„Rzeczpospolitą” z dnia 22 października 2018 roku.

Kontrole z UODO trwają już od 25 maja 2018 r. Polscy przedsiębiorcy nie mają co liczyć na taryfę ulgową mimo, że polski rząd nadal pracuje nad tzw. dużą nowelizacją wdrażającą RODO. Czytaj dalej Wrzesień 2018: Kontroloe Urzędu Ochrony Danych się rozpoczęły!

7 sierpnia 20187 sierpnia 2018

Wybory samorządowe a RODO

Podpis, imię i nazwisko, adres zamieszkania oraz PESEL – takie informacje znajdują się na wykazie obywateli popierających utworzenie komitetu wyborczego na potrzeby wyborów samorządowych – choć zakres tych informacji został określony w art. 403 kodeksu wyborczego, to w ostatnich dniach pojawiły się obawy, że w związku przyjęciem od 25 maja 2018 roku RODO, zbieranie takich informacji nie będzie już legalne.Oczywiście takie obawy nie mają zupełnie żadnych podstaw – o ile przestrzegane będzie kilka podstawowych reguł. Czytaj dalej Wybory samorządowe a RODO

29 maja 2018

List Prezesa Urzędu Ochrony Danych – „Nawet pensjonaty i warsztaty samochodowe muszą przestrzegać RODO”

List Prezesa UODO

Szanowni Państwo,

dziś 25 maja 2018 roku – rozpoczynamy stosowanie przepisów unijnego ogólnego rozporządzenia o ochronie danych, czyli RODO. Kończy się zatem dwuletni okres dostosowawczy, w którym każdy zobowiązany do stosowania jego przepisów, powinien zacząć działać w sposób w pełni z nimi zgodny.

Ten dzień jest znakomitą okazją do podzielenia się z Państwem kilkoma refleksjami na temat przyszłości polskiego systemu ochrony danych osobowych.

Nowy system ochrony danych oparty jest o przepisy europejskiego rozporządzenia, zatem we wszystkich krajach Unii Europejskiej jest ono stosowane bezpośrednio. Do historii przechodzą zaś przepisy dyrektywy 95/46 oraz implementującej ją w polskim porządku prawnym ustawy o ochronie danych osobowych z 1997 r., które przez ostatnich 20 lat były podstawą działania Generalnego Inspektora Ochrony Danych Osobowych. Doświadczenie Urzędu oraz wszystkich, którzy zajmowali się dotąd tą problematyką, zarówno od strony teoretycznej, jak i praktycznej – a więc przedstawicieli świata nauki, administratorów, administratorów bezpieczeństwa informacji i wszystkich, którym bliskie są zagadnienia ochrony danych osobowych i prawa do prywatności, pozwoli na efektywne stosowanie nowych przepisów i zapewni realizację celów rozporządzenia. Dla organu ochrony danych to bezcenny kapitał, którym jak dotąd z troską będę zarządzać.

Za 20-letnią pracę na rzecz ochrony danych osobowych wszystkim chciałabym bardzo serdecznie podziękować.

Nowe prawo, które od dziś w sposób jednolity będzie regulowało prawa wszystkich osób przebywających na terenie Unii Europejskiej i obowiązki podmiotów, które gromadzą i wykorzystują ich dane osobowe, powinno lepiej odpowiadać na potrzeby i wyzwania XXI wieku. Ustanawia ono bowiem nowe mechanizmy ochrony danych, a organom nadzorczym daje nowe, jednakowe uprawnienia do egzekwowania działania zgodnego z prawem.

O tym europejskim wymiarze RODO przypomina odbywające się dziś w Brukseli pierwsze posiedzenie Europejskiej Rady Ochrony Danych zrzeszającej szefów wszystkich unijnych organów ochrony danych osobowych. Jednym z jej zadań będzie zaś czuwanie nad zapewnieniem spójnego stosowania nowego prawa.

Warto raz jeszcze przypomnieć, że ta nowa regulacja dotyczy wszystkich. Jej przepisy muszą bowiem stosować te podmioty, które pozyskują i wykorzystują dane osobowe w związku z działalnością zarobkową, zawodową, realizacją zadań publicznych bądź celów statutowych. Muszą więc ich przestrzegać i duże korporacje – np. firmy ubezpieczeniowe czy instytucje finansowe, i wszystkie urzędy, placówki oświaty, służby zdrowia czy organizacje pozarządowe, i sklepy internetowe, i wreszcie niewielkie rodzinne przedsiębiorstwa, jak warsztaty samochodowe czy pensjonaty.

Przez ostatnie 20 lat rzeczywistość zmieniła się diametralnie. Wiele zagrożeń dla prywatności, z jakimi dziś spotykamy się na co dzień, po prostu nie istniało. Telefonia komórkowa, Internet mobilny, serwisy społecznościowe czy Internet rzeczy to tylko cztery najbardziej widoczne symbole tych zmian. Postępująca globalizacja i cyfryzacja to bowiem jedne z powodów, dla których niezbędna stała się reforma systemu ochrony naszych danych.

Nowe prawo służy zapewnieniu wysokiego poziomu ochrony danych i uelastycznia prawne mechanizmy – odchodzi bowiem od szczegółowego regulowania niektórych zagadnień na poziomie aktów normatywnych. Wyznacza cele, które należy osiągnąć. Można to jednak zrobić w sposób dostosowany do specyfiki swojego działania.

Spełnienie określonych w RODO standardów od administratorów będzie wymagało odpowiedzialności, kreatywności i samodzielności, codziennej refleksji nad tym, jak ochronę danych uczynić częścią zarządzania instytucją, a nie jedynie formalnym obowiązkiem. Niezbędne będzie też jednocześnie podnoszenie świadomości pracowników.

Zdaję sobie sprawę z tego, że na początku wszystkie te działania mogą sprawiać trudności. Uważam jednak, że w dłuższej perspektywie podjęcie tego wysiłku się opłaci, a w przyszłości może być nawet źródłem oszczędności. Urząd jest gotowy wspierać administratorów w realizacji tego wyzwania.

Uporządkowanie procesów przetwarzania danych osobowych, które obecnie stały się „paliwem” gospodarki, i stworzenie modelu zarządzania całością informacji mogą być źródłem wyraźnej przewagi konkurencyjnej i podstawą budowania właściwego wizerunku w oczach klientów i kontrahentów.

Warto też uzmysłowić sobie, że RODO to także wymierne korzyści i nowe uprawniania dla każdego z nas. Przede wszystkim zwiększa ono naszą kontrolę nad tym, kto i co robi z naszymi danymi osobowymi. Każdy bowiem, kto przetwarza nasze dane, będzie nas musiał prostym, klarownym i zrozumiałym językiem poinformować m.in. o tym, jakie nasze dane, na jakiej podstawie, w jakim celu i jak długo będzie wykorzystywał, jakie w związku z tym przysługują nam prawa. Gdy utracona zostanie kontrola nad nimi, też zostaniemy o tym poinformowani.

W ten sposób zyskamy również spokój. Dziś bowiem niektórzy są zaniepokojeni, że jakiś podmiot ma ich dane, a tymczasem wynika to np. z ciążących na nim obowiązków prawnych, albo z naszej zgody, której niefrasobliwie bądź nieświadomie udzieliliśmy. Często o tym nie wiemy, gdyż po prostu nie jesteśmy o tym wystarczająco informowani. Teraz będzie inaczej.

Nowe rozwiązania, jak choćby „prawo do bycia zapomnianym” czy „prawo do przenoszenia danych”, na pewno przyczynią się do lepszej ochrony naszej prywatności.

Na straży wykonania tych praw i obowiązków stać będzie silny i niezależny organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych, wyposażony w niezbędne do tego narzędzia.

Oczywiście wśród nich najwięcej emocji budzą kary. Chciałabym jednak zaznaczyć, że jest to jeden z wielu mechanizmów zapewniania zgodności z prawem, z których organ nadzorczy będzie korzystał tak, jak ze wszystkich innych swoich uprawnień. Przepisy RODO określają zaś wiele różnych czynników, które będziemy brać pod uwagę, podejmując decyzję o nałożeniu i wysokości kary.

Szanowni Państwo, od dziś zaczynamy zatem działać w nowej, zreformowanej rzeczywistości. Jestem pewna, że wszyscy dołożymy wszelkich starań, aby zadanie właściwej obrony prywatności w tych nowych warunkach wypełnić jak najlepiej.

Źródło: UODO

https://uodo.gov.pl/pl/138/257

29 maja 2018

Czy wystarczy zamieszczenie klauzuli informacyjnej na stronie internetowej ?

Ograniczenie realizacji obowiązku informacyjnego do zamieszczenia komunikatu na stronie internetowej jest dopuszczalne w sytuacji, w której dane są zbierane z innych źródeł, niż bezpośrednio od osoby, której dane dotyczą, a jednocześnie ADO jest w stanie wykazać, że przekazanie informacji wskazanych w art. 14 RODO byłoby niemożliwe lub wymagało niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO).

W sytuacji najczęściej spotykanej, gdy dane zbierane są bezpośrednio od osób, których dane dotyczą, należy przynajmniej wskazać link, pod którym w przejrzystej formie osoba, której dane są przetwarzane będzie mogła zapoznać się z przeznaczonymi dla niej informacjami. ADO musi podjąć „aktywne” działania związane z podaniem osobom wymaganych informacji.

29 maja 2018

Czy od 25 maja muszę pobierać zgody od każdej osoby, której dane przechowuję ? Czy muszę pobierać zgody na przetwarzanie danych od swoich pracowników ?

Zgoda jest tylko jedną z kilku możliwych do przyjęcia podstaw prawnych na przetwarzanie danych osobowych – w przypadku relacji pracodawca-pracownik zasadą jest, że dane osobowe pracownika przetwarzane są jako realizacją obowiązku wynikającego z przepisu prawa (przede wszystkim kodeksu pracy, prawa podatkowego i przepisów dotyczących ubezpieczeń społecznych). Jeżeli pracodawca chce wykroczyć poza tą granicę, wtedy musi znaleźć odpowiednią podstawę prawną – może nią być zgoda, jeżeli gwarantuje on realną dobrowolność, może nią być też prawnie uzasadniony interes, jeżeli uznaje pozykiwanie określo0nych informacji za obowiązkowe.

Inaczej mówiąc, zgody nie stosujemy wszędzie, nie stosujemy jej też „na wszelki wypadek”, a jedynie tam, gdzie jest to odpowiednie, czyli tam, gdzie wprowadzamy realną dobrowolność.