W decyzji ZSZZS.440.660.2018z dnia 22 marca 2019 roku Prezes Urzędu Ochrony Danych Osobowych stanął na stanowisku, że wykonanie obowiązku określonego w art. 15 ust. 3 RODO, czyli wydanie kopii danych osobowych może być spełnione zarówno poprzez wykonanie kopii lub odpisu całego dokumentu (nośnika) na którym znajdują się dane osobowe oraz inne dane, jak i poprzez podanie wnioskującemu jedynie treści jego danych osobowych, z pominięciem informacji znajdujących się w nośniku, które nie stanowią danych osobowych. Czytaj dalej RODO Informator: UODO – prawo do uzyskania kopii danych osobowych nie musi być realizowane poprzez sporządzenia kopii nośnika.
RODO Informator: Kolejna kara UODO nałożona w Polsce
Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę pieniężną na naruszenie przepisów RODO. Sprawa dotyczyła związku sportowego, który opublikował numery PESEL i adresy zamieszkania 585 sędziów sportowych. Wysokość kary wyniosła prawie 56 tys. złotych. Jak wskazuje w swoim komunikacie UODO, głównym powodem nałożenia przez Prezesa Urzędu kary były nieskuteczne próby usunięcia naruszenia. Czytaj dalej RODO Informator: Kolejna kara UODO nałożona w Polsce
Wyjątkowa okazja na procedury RODO oraz 5 e-szkoleń za 69 zł!
Serdecznie zapraszamy Państwa do zamówienia pakietu dokumentów UE RODO 2019 + E-SZKOLENIE Z CERTYFIKACJĄ DLA 5 OSÓB + APLIKACJA DPOS – jednorazowa opłata pozwoli Państwu korzystać z bezpiecznych procedur RODO ze wsparciem w zakresie wdrożenia.
TYLKO TERAZ ZA CAŁY PAKIET ZA 69 ZŁ +23% VAT
W cenie pakietu – (1) Kompletna dokumentacja i procedury ochrony danych zgodne z RODO (z roczną aktualizacją i przykładami wdrożeń) + (2) E-SZKOLENIE OCHRONY DANYCH Z CERTYFIKACJĄ DLA 5 OSÓB + (3) Najnowsze materiały szkoleniowe + (4) Aplikacja DPOS z dostępem do aktualizacji dokumentacji oraz rejestrami czynności przetwarzania (5) Consulting w zakresie wdrożenia procedur – w cenie pakietu
Jest to kompleksowy pakiet materiałów ze wsparciem prawnym, ukierunkowany na wdrożenie nowych procedur ochrony danych UE (RODO) w przedsiębiorstwie lub jednostce organizacyjnej.
Zamówienie można złożyć na stronie https://rbdo.com.pl/sklep/produkt/dokumentacja-przetwarzania-danych-osobowych
lub pod adresem biuro@rbdo.pl – przesyłając dane do faktury pro forma.
Informator RODO: Mała zmiana w obowiązku informacyjnym
Od dnia 4 maja 2018 roku, przedsiębiorcy zatrudniający (średniorocznie) poniżej 10 pracowników (tzw. „mikroprzedsiębiorcy” w rozumieniu art. 7 ust. 1 pkt 1 ustawy prawo przedsiębiorców”) będą korzystali z częściowego zwolnienia od realizacji obowiązku informacyjnego wymaganego przez RODO (art. 13 RODO).
Zgodnie z nowymi przepisami, mikroprzedsiębiorcy, którzy nie przetwarzają danych wrażliwych będą mogli spełnić obowiązek informacyjny poprzez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Ułatwienie to dotyczy umów zawieranych z konsumentami. Czytaj dalej Informator RODO: Mała zmiana w obowiązku informacyjnym
RODO Informator – najważniejsze newsy 4 maja 2019
1. Prezes Urzędu Ochrony danych osobowych wydał stanowisko, które jednoznacznie przesądza formułowane przez niektórych pracodawców wątpliwości – pracodawca, który np. w celu wypłaty wynagrodzeń przekazuje do banku, na podstawie zawartej z nim umowy dane swoich pracowników nie dokonuje powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO, a dokonuje udostępnienia odrębnemu administratorowi danych osobowych, ponieważ bank działając na podstawie przepisów szczególnych zawartych ustawie prawie bankowym zobowiązany jest do wykonywania określonych działań na tych danych osobowych – działa on zatem w zakresie przetwarzania danych osobowych w swoim własnym imieniu a nie w imieniu pracodawcy.
2. Rozpoczęte zostały pracy nad zmianą w procedurze zgłaszania powierzenia pracy cudzoziemcowi.
3. Zmieniony ma być zakres danych wymagany na wnioskach o sprawdzenie kwalifikacji o których mowa w art. 22 ust. 2 i 3 ustawy o dozorze technicznym.
4. Warto przypomnieć, że już 4 maja, wejdą w życie zmiany w 162 ustawa w związku z dostosowaniem polskiego systemu prawnego do RODO – dlatego ważne jest pilne śledzenie nadchodzących zmian. Czytaj dalej RODO Informator – najważniejsze newsy 4 maja 2019
RODO w praktyce – decyzje UODO: Wspólnota Mieszkaniowa jest administratorem danych osobowych swoich członków.
W decyzji z dnia 16 kwietnia 2019 roku (ZSPU.440.131.2019) Prezes Urzędu Ochrony Danych Osobowych stwierdził, że jeżeli Wspólnota zawarła a innym podmiotem – osobą prawną lub fizyczną – umowę o zarządzanie Wspólnotą, to zarządzający jest jedynie podmiotem, któremu powierzono przetwarzanie danych osobowych w rozumieniu art. 28 RODO, a nie odrębnym administratorem danych – ponieważ zarządca działa w imieniu Wspólnoty.
W praktyce oznacza to, że obowiązek informacyjny względem właścicieli lokali powinien być realizowany w ten sposób, by jako administratora wskazać Wspólnotę, a nie zarządzającego. Czytaj dalej RODO w praktyce – decyzje UODO: Wspólnota Mieszkaniowa jest administratorem danych osobowych swoich członków.
Witamy nowego Prezesa UODO. Jan Nowak na czele Urzędu Ochrony Danych
Obecny dyrektor Urzędu Ochrony Danych Osobowych Jan Nowak został wybrany przez Sejm w czwartek 4 kwietnia 2019 roku na stanowisko prezesa UODO. Za kandydaturą Jana Nowaka głosowało 221 posłów, 171 było przeciw, a 4 wstrzymało się od głosu.
Zgodnie z przepisami prezesa Urzędu Ochrony Danych Osobowych powołuje i odwołuje Sejm za zgodą Senatu. Jego kadencja trwa cztery lata. Czytaj dalej Witamy nowego Prezesa UODO. Jan Nowak na czele Urzędu Ochrony Danych
Posiadanie baz danych wymaga obowiązku informacji wobec osób fizycznych
Posiadasz bazę danych, której nie używasz? Wywiąż się z obowiązku informacyjnego zanim do Twoich drzwi zapuka kontrola UODO. Polski Urząd Ochrony Danych Osobowych nałożył właśnie karę w wysokości miliona złotych na firmę, która złamała art. 14 RODO.
Warszawska spółka pozyskiwała dane osobowe przez KRS, GUS, CEPiK, CEiDG oraz Monitor Sądowy i Gospodarczy i nie wywiązała się przy tym z obowiązku informacyjnego. Czytaj dalej Posiadanie baz danych wymaga obowiązku informacji wobec osób fizycznych
Kara wynikająca z RODO może zostać nałożona także za nieodpowiednio skierowane kamery monitoringu
Dnia 15 marca Prezes UODO nałożył karę pieniężną w wysokości blisko miliona złotych na firmę zbierającą dane o przedsiębiorcach z powszechnie dostępnych źródeł (CEIDG, KRS etc.) – organ nadzorczy uznał, że spółka powinna poinformować osoby, których dane przetwarza w formie listów wysłanych pocztą tradycyjną (w tych przypadkach, w których nie dysponuje ona adresami mailowymi lub numerami telefonów).
Spółka z pewnością będzie się jeszcze odwoływać do sądu administracyjnego – a do czasu prawomocnego rozpatrzenia sprawy przez sąd konieczność zapłaty kary będzie wstrzymana.
Warto jednak pamiętać, że kary pieniężne związane ze stosowaniem RODO mogą myć nałożone także za inne, znacznie bardziej prozaiczne naruszenia np. z powodu kamer monitoringu które zostały skierowane tak, by obejmowały swoim zakresem zbyt szeroki obszar, lub braku oznaczenia obszaru monitorowanego.
Naruszeniem przepisów może być też np. pozyskiwanie zbyt dużego zakresu informacji o pracownikach, błędne wskazanie podstaw prawnych, nieodpowiednie posługiwanie się zgodą w ramach procesu rekrutacji pracowników, przechowywanie danych przez zbyt długi okres lub brak wyznaczonych okresów retencji danych.
Warto także sprawdzić treść zawartych umów powierzenia przetwarzania, sposób udokumentowania oszacowania ryzyka oraz sposób sformułowania upoważnień do przetwarzania.
To wszystko to jedynie przykłady – RODO wpływa bardzo często całość codziennych czynności, codzienną praktykę działania całego przedsiębiorstwa – taki całościowy przegląd zgodności z RODO powinien być przeprowadzony przynajmniej na początku procedury dostosowania się do nowych przepisów. Czytaj dalej Kara wynikająca z RODO może zostać nałożona także za nieodpowiednio skierowane kamery monitoringu
RODO i zmiana w 167 ustawach
To nie koniec zmian w przepisach w związku z RODO. Coraz bliżej do przyjęcia przez Sejm pakietu legislacyjnego zmieniającego 167 ustaw.
Przedsiębiorcy powinni pamiętać, że już niedługo zostanie przyjęty tzw. pakiet legislacyjny związany z dostosowaniem polskiego prawa do RODO.
Zmienionych zostanie aż 167 ustaw, w tym kodeks pracy, kodeks postępowania administracyjnego, oraz kodeks karny.
W maju 2018 roku, poprzednia ustawa o ochronie danych osobowych z 1997 roku została zastąpiona przez nową ustawę o ochronie danych osobowych i RODO – ale to nie koniec zmian, odrębną ustawą zostanie zmienione 167 ustaw – tak, by wszystkie krajowe przepisy były spójne z RODO.
By firmy były na czas przygotowane do zmian w prawie – warto już dziś sprawdzić, czy przepisy, nad którymi pracuje Sejm będą wpływały na codzienną działalność konkretnego przedsiębiorstwa. Najlepszym narzędziem do uzyskania pewności w tym zakresie jest przeprowadzenie audytu, którego efektem będzie ustalenie, co firma będzie musiała zmienić, by nie narażać się na ryzyko poniesienia odpowiedzialności finansowej.
Kolejne kary RODO – czas na Polskę?
Krajowe urzędy kontrolujące ochronę danych osobowych nie próżnują. Niedawno w trzech krajach zapadły nowe decyzje w sprawie naruszeń RODO. Padły już kolejne kary.
Kara ze względu na monitoring – Węgry
Coraz więcej spraw przed krajowymi urzędami ochrony danych osobowych rozstrzyga się przez łamanie procedur RODO w związku z nieprawidłowym monitoringiem. Na Węgrzech nałożono na firmę karę wynosząca ponad 3000 euro (która stanowi 6,5% jej rocznych przychodów ze sprzedaży netto), ponieważ odmówiła ona dostępu do nagrań osobie, która została na nich zarejestrowana. NAIH (odpowiednik UODO) stwierdził, że przedsiębiorstwo dopuściło się naruszenia, gdyż ADO (Administrator Danych Osobowych) nie mógł żądać od tej osoby uzasadnienia wglądu w nagranie, ponieważ chodziło o jej własne dane. Ponadto podmiot żądał udostępnienia nagrania do celów sądowych i zdaniem NAIH przedsiębiorstwo nie miało mocy, by określać, czy nagrania były do tego zbędne czy nie. Czytaj dalej Kolejne kary RODO – czas na Polskę?
Wytyczne Ministerstwa Cyfryzacji dla Pracodacy w zakresie RODO
W opublikowanych dnia 6 lutego 2019 roku wytycznych, Ministerstwo Cyfryzacji wyjaśniło kilka wątpliwości, jakie dotychczas pojawiały się w związku z z wdrażaniem RODO. Choć wydane wytyczne przeznaczone skierowane są do administracji publicznej, to niżej przedstawione stanowiska można odnieść także to prywatnych przedsiębiorców:
1. Pracodawca może posługiwać się imionami i nazwiskami pracowników w związku z funkcjonowaniem zakładu pracy – zarówno w relacjach wewnętrznych jak i zewnętrznych.
Na listach obecności (dostępnych swobodnie w ramach zakładu pracy) nie powinna być jednak ujawniane ewentualne przyczyny nieobecności w pracy, np. urlop wypoczynkowy lub zwolnienia lekarskie.
2. Z lekarzem/ośrodkiem medycyny pracy nie zawiera się umów powierzenia przetwarzania (ponieważ jest to udostępnienie odrębnemu administratorowi, a nie powierzenie podmiotowi przetwarzającemu).
3. Podmiot przetwarzający przetwarzający dane powierzone w trybie art. 28 RODO sam upoważnia swoich pracowników do przetwarzania danych powierzonych przez innego administratora.
źródło: s. 23-28 dokumentu „RODO dla Administracji” link: https://www.gov.pl/web/cyfryzacja/rodo-dla-administracji-odpowiedzi-na-27-pytan
Konflikt pomiędzy Prezesem Urzędu Ochrony Danych Osobowych a Ministerstwem Cyfryzacji.
Podczas gdy od dnia 1 stycznia 2019 roku pracodawcy muszą stosować się do nowych zasad postępowania z dokumentacją pracowniczą (zastąpiono rozporządzenie z 1996 roku, które do tej pory regulowało kwestię dokumentacji pracowniczej) – Ministerstwo Cyfryzacji wydało oficjalne objaśnienia prawne dotyczące postępowania z CV pozyskiwanymi w ramach rekrutacji kandydatów do pracy (https://mc.bip.gov.pl/objasnienia-prawne/objasnienia-prawne.html).
Największą różnicą w porównaniu do wytycznych wydanych przez Prezesa UODO z października 2018 roku jest uznanie za dopuszczalne przechowywanie CV kandydatów, którzy nie zostali wybrani przez okres po zakończeniu rekrutacji bez ich zgody, w celu ochrony przez ewentualnymi roszczeniami – np. zarzutami o dyskryminację przy rekrutacji. Ministerstwo Cyfryzacji rekomenduje tu „racjonalny kilkumiesięczny okres retencji”.
Choć objaśnienia prawne Ministerstwa Cyfryzacji mają walor oficjalnego dokumentu poprzez oparcie się
tzw. „Konstytucji dla biznesu”, czyli w trybie art. 33 ust. 1 ustawy Prawo przedsiębiorców, w odpowiedzi na wniosek Rzecznika Małych i średnich Przedsiebiorców to ich moc wiążącą kwestionuje Prezes UODO.
W oświadczeniu zamieszczonym na oficjalnej stronie UODO (https://uodo.gov.pl/pl/138/672), Prezes organu nadzorczego stanowczo wskazuje: „(…)w świetle prawa UE Prezes UODO nie jest związany jakimikolwiek formalnymi objaśnieniami prawnymi dotyczącymi stosowania RODO. Dlatego apelujemy o niepodejmowanie działań, które mogą narazić polskich przedsiębiorców na negatywne konsekwencje i w dłuższej perspektywie utrudnić im działalność, a w konsekwencji rodzić pytanie o możliwą odpowiedzialność Skarbu Państwa za takie szkody.”
Powyższy konflikt pomiędzy Ministerstwem a UODO dodatkowo komplikuje fakt, że w kwietniu bieżącego roku kończy się kadencja obecnej Prezes UODO, a nowy prezes zostanie wybrany na czteroletnią kadencję przez obecną większość parlamentarną.
Można wysyłać informację handlowe zgodnie z RODO – ale w zgodzie z UŚUDE
Posiadasz firmę z sektora FinTech? Zapoznaj się z tym materiałem. Ministerstwo Cyfryzacji podaje wytyczne w sprawie przesyłania informacji handlowych na podstawie ustawy o świadczeniu usług drogą elektroniczną (UŚUDE).
Unijne Rozporządzenie (RODO) obowiązujące od 25 maja br. przewiduje, że administrator może przetwarzać dane osobowe celem wysłania drogą elektroniczną informacji handlowych, bez zgody osoby, której one dotyczą. Możliwe jest to na podstawie tzw. uzasadnionych interesów. Jednak z ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) wynika, że zgoda taka jest wymagana. Jak w tym przypadku należy rozumieć przepisy? Czytaj dalej Można wysyłać informację handlowe zgodnie z RODO – ale w zgodzie z UŚUDE
Kolejne zmiany w związku z RODO
Pojawił się nowy projekt ustawy z 22 października – ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, nowelizujący 167 ustaw w związku z RODO. Czytaj dalej Kolejne zmiany w związku z RODO