Kolejne kary RODO – czas na Polskę?

Krajowe urzędy kontrolujące ochronę danych osobowych nie próżnują. Niedawno w trzech krajach zapadły nowe decyzje w sprawie naruszeń RODO. Padły już kolejne kary.

Kara ze względu na monitoring – Węgry

Coraz więcej spraw przed krajowymi urzędami ochrony danych osobowych rozstrzyga się przez łamanie procedur RODO w związku z nieprawidłowym monitoringiem. Na Węgrzech nałożono na firmę karę wynosząca ponad 3000 euro (która stanowi 6,5% jej rocznych przychodów ze sprzedaży netto), ponieważ odmówiła ona dostępu do nagrań osobie, która została na nich zarejestrowana. NAIH (odpowiednik UODO) stwierdził, że przedsiębiorstwo dopuściło się naruszenia, gdyż ADO (Administrator Danych Osobowych) nie mógł żądać od tej osoby uzasadnienia wglądu w nagranie, ponieważ chodziło o jej własne dane. Ponadto podmiot żądał udostępnienia nagrania do celów sądowych i zdaniem NAIH przedsiębiorstwo nie miało mocy, by określać, czy nagrania były do tego zbędne czy nie. Czytaj dalej Kolejne kary RODO – czas na Polskę?

Wytyczne Ministerstwa Cyfryzacji dla Pracodacy w zakresie RODO

W opublikowanych dnia 6 lutego 2019 roku wytycznych, Ministerstwo Cyfryzacji wyjaśniło kilka wątpliwości, jakie dotychczas pojawiały się w związku z z wdrażaniem RODO. Choć wydane wytyczne przeznaczone skierowane są do administracji publicznej, to niżej przedstawione stanowiska można odnieść także to prywatnych przedsiębiorców:

1. Pracodawca może posługiwać się imionami i nazwiskami pracowników w związku z funkcjonowaniem zakładu pracy – zarówno w relacjach wewnętrznych jak i zewnętrznych.

Na listach obecności (dostępnych swobodnie w ramach zakładu pracy) nie powinna być jednak ujawniane ewentualne przyczyny nieobecności w pracy, np. urlop wypoczynkowy lub zwolnienia lekarskie.

2. Z lekarzem/ośrodkiem medycyny pracy nie zawiera się umów powierzenia przetwarzania (ponieważ jest to udostępnienie odrębnemu administratorowi, a nie powierzenie podmiotowi przetwarzającemu).

3. Podmiot przetwarzający przetwarzający dane powierzone w trybie art. 28 RODO sam upoważnia swoich pracowników do przetwarzania danych powierzonych przez innego administratora.

źródło: s. 23-28 dokumentu „RODO dla Administracji” link:  https://www.gov.pl/web/cyfryzacja/rodo-dla-administracji-odpowiedzi-na-27-pytan

Konflikt pomiędzy Prezesem Urzędu Ochrony Danych Osobowych a Ministerstwem Cyfryzacji.

Podczas gdy od dnia 1 stycznia 2019 roku pracodawcy muszą stosować się do nowych zasad postępowania z dokumentacją pracowniczą (zastąpiono rozporządzenie z 1996 roku, które do tej pory regulowało kwestię dokumentacji pracowniczej) – Ministerstwo Cyfryzacji wydało oficjalne objaśnienia prawne dotyczące postępowania z CV pozyskiwanymi w ramach rekrutacji kandydatów do pracy (https://mc.bip.gov.pl/objasnienia-prawne/objasnienia-prawne.html).

Największą różnicą w porównaniu do wytycznych wydanych przez Prezesa UODO z października 2018 roku jest uznanie za dopuszczalne przechowywanie CV kandydatów, którzy nie zostali wybrani przez okres po zakończeniu rekrutacji bez ich zgody, w celu ochrony przez ewentualnymi roszczeniami – np. zarzutami o dyskryminację przy rekrutacji. Ministerstwo Cyfryzacji rekomenduje tu „racjonalny kilkumiesięczny okres retencji”.

Choć objaśnienia prawne Ministerstwa Cyfryzacji mają walor oficjalnego dokumentu poprzez oparcie się
tzw. „Konstytucji dla biznesu”, czyli w trybie art. 33 ust. 1 ustawy Prawo przedsiębiorców, w odpowiedzi na wniosek Rzecznika Małych i średnich Przedsiebiorców to ich moc wiążącą kwestionuje Prezes UODO.

W oświadczeniu zamieszczonym na oficjalnej stronie UODO (https://uodo.gov.pl/pl/138/672), Prezes organu nadzorczego stanowczo wskazuje: „(…)w świetle prawa UE Prezes UODO nie jest związany ‎jakimikolwiek formalnymi objaśnieniami prawnymi dotyczącymi stosowania RODO. Dlatego apelujemy o niepodejmowanie działań, które mogą narazić polskich przedsiębiorców na negatywne konsekwencje i w dłuższej perspektywie utrudnić im działalność, a w konsekwencji rodzić pytanie o możliwą odpowiedzialność Skarbu Państwa ‎ za takie szkody.”

Powyższy konflikt pomiędzy Ministerstwem a UODO dodatkowo komplikuje fakt, że w kwietniu bieżącego roku kończy się kadencja obecnej Prezes UODO, a nowy prezes zostanie wybrany na czteroletnią kadencję przez obecną większość parlamentarną.

Można wysyłać informację handlowe zgodnie z RODO – ale w zgodzie z UŚUDE

Posiadasz firmę z sektora FinTech? Zapoznaj się z tym materiałem. Ministerstwo Cyfryzacji podaje wytyczne w sprawie przesyłania informacji handlowych na podstawie ustawy o świadczeniu usług drogą elektroniczną (UŚUDE).

Unijne Rozporządzenie (RODO) obowiązujące od 25 maja br. przewiduje, że administrator może przetwarzać dane osobowe celem wysłania drogą elektroniczną informacji handlowych, bez zgody osoby, której one dotyczą. Możliwe jest to na podstawie tzw. uzasadnionych interesów. Jednak z ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) wynika, że zgoda taka jest wymagana. Jak w tym przypadku należy rozumieć przepisy? Czytaj dalej Można wysyłać informację handlowe zgodnie z RODO – ale w zgodzie z UŚUDE

Wrzesień 2018: Kontroloe Urzędu Ochrony Danych się rozpoczęły!

– Nikt się z nikim nie umówił, że nie nakładamy kar (…) dobrze, że są wysokie kary, bo jak inaczej nie uda się uporządkować ochrony danych osobowych, to może te kary zadziałają porządkująco – podkreśla Edyta Bielak-Jomaa w rozmowie z„Rzeczpospolitą” z dnia 22 października 2018 roku. 

Kontrole z UODO trwają już od 25 maja 2018 r. Polscy przedsiębiorcy nie mają co liczyć na taryfę ulgową mimo, że polski rząd nadal pracuje nad tzw. dużą nowelizacją wdrażającą RODO. Czytaj dalej Wrzesień 2018: Kontroloe Urzędu Ochrony Danych się rozpoczęły!

Wybory samorządowe a RODO

Podpis, imię i nazwisko, adres zamieszkania oraz PESEL –  takie informacje znajdują się na wykazie obywateli popierających utworzenie komitetu wyborczego na potrzeby wyborów samorządowych – choć zakres tych informacji został określony w  art. 403  kodeksu wyborczego, to w  ostatnich dniach  pojawiły się obawy, że  w  związku  przyjęciem od 25 maja 2018 roku RODO, zbieranie takich informacji nie będzie już legalne.Oczywiście takie obawy nie mają zupełnie żadnych podstaw – o ile przestrzegane będzie  kilka podstawowych reguł. Czytaj dalej Wybory samorządowe a RODO

Maciej Kawceki o kilku interpretacjach RODO m.in. wobec przedsiębiorców

RODO w praktyce – szanse i zagrożenia dla biznesu.

Jak przygotować się do reformy, która wchodzi w życie 25 maja? Główne zasady reformy i zmiany jakie niesie ze sobą dla przedsiębiorców? Jak zaplanować wdrożenie RODO w organizacji? Odpowiedzialność za wdrożenie RODO i cyberbezpieczeństwo. RODO a profilowanie klientów i pracowników.

Poniżej konferencja zdr. Maciejem Kaweckim z Ministerstwa Cyfryzacji  – o ważnych elementach UE RODO z początku lutego 2018

 

Źródło: Youtube

Konferencja do reformy RODO krakowego projektu nowej ustawy o ochronie danych

Dnia 15 stycznia 2018 roku w Sali Kolumnowej Sejmu odbyła się konferencja uzgodnieniowa w związku z projektem ustawy ochrony danych do stosowania Rrozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, zwanego dalej również „RODO”) w Polsce. Podczas konsultacji społecznych wpłynęło blisko 1700 uwag do projektu nowej ustawy o ochronie danych osobowych . Konferencja zatem cieszyła się ogromnym zainteresowaniem – wzięło  w niej udział ponad 400 osób, co wskazuje na doniosłość zmian w prawie.

Czytaj dalej Konferencja do reformy RODO krakowego projektu nowej ustawy o ochronie danych

Fragmenty: Szkolenie UE RODO – Procedura oceny ryzyka jako jeden z kluczowych elementów RODO

Prezentujemy Państwo fragment szkolenia z nowych procedur ochrony danych UE RODO –  zrealizowany w Warszawie w październIku 2018 roku. Nasz ekspert Karol Cieniak, Dyrektor Działu Prawngo, w tej części  omawiał obowiązek przeprowadzania analizy ryzyka DPIA. 

Zapraszamy do obejrzenia fragmentów – wstęp o analizie ryzyka:


Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowych

Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL

Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl


Nowe terminy szkoleń z procedur UE RODO Warszawa – 27 listopada oraz 4-5 grudnia 2017  – wyślij delegata firmy i rezerwuj szkolenie tutaj >>

• Nowe procedury ochrony danych UE (RODO) przewidują kary finansowe za uchybienia ochrony danych do 20 mln EURO lub wyższe do 4% przychodu za ub. rok

 W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych

 Pojawi się wiele nowych procedur, m .in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h

—-

Jeśli są Państwo zainteresowani szkoleniem lub audytem i przygotowaniem się do nowych procedur UE (RODO), prosimy o kontakt na mail: zapytanie@rbdo.pl

Informacje i porady prawne z zakresu ochrony danych: 222-905-320

Szkolenie UE RODO – Rejestry Czynności przetwarzania zastąpią rejestrację w GIODO w 2018 roku

Prezentujemy Państwo fragment szkolenia z nowych procedur ochrony danych UE RODO –  zrealizowany w Warszawie w październiku 2017. Nasz ekspert Karol Cieniak, Dyrektor Działu Prawngo, omawiał obowiązej prowadzenia rejestru czynności przetwrzania danych osobowych oraz dla danych powierzonych – Rejestru kategorii czynności przetwarzania.

Zapraszamy do obejrzenia fragmentów:


Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowych

Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL

Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: zapytanie@rbdo.pl


Nowe terminy szkoleń z procedur UE RODO Warszawa – 27 listopada oraz 4-5 grudnia 2017  – wyślij delegata firmy i rezerwuj szkolenie tutaj >>

• Nowe procedury ochrony danych UE (RODO) przewidują kary finansowe za uchybienia ochrony danych do 20 mln EURO lub wyższe do 4% przychodu za ub. rok

 W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych

 Pojawi się wiele nowych procedur, m .in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h

—-

Jeśli są Państwo zainteresowani szkoleniem lub audytem i przygotowaniem się do nowych procedur UE (RODO), prosimy o kontakt na mail: zapytanie@rbdo.pl

Informacje i porady prawne z zakresu ochrony danych: 222-905-320

Nowe! Są unijne wytyczne odnośnie nakładania kar finansowych wg nowych przepisów UE RODO

W piątek, dnia 20 października 2017 roku, Grupa Robocza Art. 29 wydała długo wyczekiwane wytyczne dotyczące administracyjnych kar pieniężnych jakie organy nadzorcze państw członkowskich będą mogły nakładać na administratorów danych oraz podmioty przetwarzające dane osobowe – w Polsce będzie to Prezes Urzędu Ochrony Danych Osobowych, będący następcą GIODO (od 25 maja 2018 roku).

Wytyczne są istotne z powodu wprowadzenia kar pieniężnych nakładanych w trybie administracyjnym, wynoszących nawet do 20 milionów euro  (lub wyższych) – decyzje będzie wydawał Prezes UODO, natomiast skarżyć będzie je można do sądów administracyjnych.
Czytaj dalej Nowe! Są unijne wytyczne odnośnie nakładania kar finansowych wg nowych przepisów UE RODO

Według GIODO, 100 tysięcy złotych kary to zbyt mało

GIODO domaga się prawa do nakładania wyższych kar na podmioty publiczne niż 100 tysięcy złotych, a także zapisania wprost w nowej ustawie o ochronie danych możliwości wielokrotnego nakładania kar pieniężnych za niewykonanie wydanego w decyzji zakazu.

W opublikowanym na stronie GIODO w dniu 27 października piśmie do Ministerstwa Cyfryzacji GIODO argumentuje, że w projekcie ustawy o ochronie danych osobowych z 12 września obniżono maksymalną karę dla podmiotów publicznych w porównaniu do innych administratorów danych (w szczególności przedsiębiorców) aż czterystukrotnie – z 20 milionów euro do zaledwie 100 tysięcy złotych. Czytaj dalej Według GIODO, 100 tysięcy złotych kary to zbyt mało

UE RODO. Wytyczne w sprawie zgłaszania naruszeń ochrony danych – (Część II)

Grupa Robocza podkreśla, że to na administratorze danych spoczywa odpowiedzialność za ochronę danych osobowych, jednak przy zgłaszaniu naruszeń istna jest także rola procesora, który powinien umożliwić administratorowi danych wywiązanie się z obowiązków dotyczących ewidencjonowania i zgłaszania naruszeń. Czytaj dalej UE RODO. Wytyczne w sprawie zgłaszania naruszeń ochrony danych – (Część II)

Pilne! UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h – (Część I)

Wytyczne w sprawie zgłaszania naruszeń ochrony danych (omówienie część 1/3)

Dnia 18 października 2017 roku, Grupa Robocza art. 29 opublikowała projekt wytycznych (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083) dotyczących realizacji obowiązku zgłaszania naruszeń ochrony danych osobowych, który od dnia 25 maja 2018 roku będzie spoczywał na każdym administratorze danych osobowych (niezależnie od skali i rodzaju prowadzonej działalności). Do projektu wytycznych można składać uwagi do dnia 28 listopada pod adresem: JUST-ARTICLE29WP-SEC@ec.europa.eu Czytaj dalej Pilne! UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h – (Część I)