Kategorie

Ochrona danych osobowych

Urząd Ochrony Danych Osobowych wyjaśnia, że pracownik powinien otrzymać od pracodawcy informację o stosowaniu w zakładzie pracy monitoringu wizyjnego oraz o terenie i pomieszczeniach nim objętym. Monitoring wizyjny nie może nagrywać dźwięku. Stosowanie kamer rejestrujących również dźwięk może, w przypadkach nieuregulowanych przepisami prawa, zostać uznane za naruszenie prywatności oraz za nadmiarową formę przetwarzania danych.
Ochrona danych osobowych klientów biur rachunkowych w zgodzie z RODO to temat niezwykle istotny i obszerny. W naszym artykule postaramy się rozwiać najczęściej pojawiające się obecnie wątpliwości.
5 maja 2020 r. Prezes Urzędu Ochrony Danych Osobowych opublikował opinię na temat sprawdzania temperatury ciała pracownikom oraz gościom hotelowym w celu zapobiegania rozprzestrzeniania się COVID-19. W związku z przeprowadzanym aktualnie zmniejszaniem obostrzeń, wielu przedsiębiorców planuje powrót pracowników z pracy zdalnej (home office) lub telepracy do pracy w biurze. Ze względu na to, iż pandemia nadal trwa, powstały wątpliwości czy przed dopuszczeniem pracowników do pracy można badać im temperaturę ciała. Wydane przez PUODO wyjaśnienia rozwiewają jedynie część wątpliwości w tym temacie.
Rozpoczął się okres rozliczeniowy podatku dochodowego od osób fizycznych (PIT) za rok 2019. Wielu podatników PIT przekaże kwotę 1% należnego podatku na organizację pożytku publicznego (OPP). Przy tej okazji Prezes UODO przypomina, że jeżeli podatnik w rozliczeniu rocznym wyraził zgodę na przekazanie jego danych organizacji, to może ona je przetwarzać np. po to, by np. podziękować darczyńcy w imieniu obdarowanego.
29 stycznia 2020 r., podczas 17. posiedzenia plenarnego, Europejska Rada Ochrony Danych (EROD) przyjęła m.in.: ostateczną wersję wytycznych dotyczących przetwarzania danych osobowych za pośrednictwem urządzeń wideo (po publicznych konsultacjach), wytyczne w sprawie pojazdów połączonych, opinie w sprawie wymogów akredytacji podmiotów monitorujących przestrzeganie kodeksów postępowania oraz opinie na temat projektu wymogów akredytacji podmiotów certyfikujących, które są pierwszymi opiniami na ten temat przyjętymi przez Radę.
Prezes Urzędu Ochrony Danych Osobowych ogłosił plan kontroli sektorowych na 2020 rok. W najbliższych miesiącach pod lupą znajdą się m.in. instytucje finansowe wykonujące kopie dowodów osobistych. Z czego wynikają kontrole w tym zakresie i kto jeszcze może spodziewać się wizyty kontrolerów?
Po blisko półtora roku obowiązywania RODO warto dokonać przeglądu najczęściej występujących naruszeń związanych z ochroną danych i kar jakie w następstwie tego zostały nałożone przez organy nadzorcze w poszczególnych krajach członkowskich. W samej Polsce od 25 maja 2018 roku do organu wpłynęło co najmniej 8 000 skarg. Prezes UODO wydał już ponad 886 decyzji, z czego jedynie 3 nakładały na administratorów kary pieniężne. Przy czym łączna wysokość kar pieniężnych wyniosła blisko 3 miliony zł. W pozostałych krajach UE sytuacja wygląda podobnie – organy stosują „bat pieniężny” raczej w ostateczności. Jakiego rodzaju naruszenia najczęściej skutkowały najsurowszymi konsekwencjami?
Przed wejściem w życie RODO organizatorzy tzw. „pokazów” (garnków, odkurzaczy, pościeli etc.), banki oraz m. in. operatorzy telefonii komórkowej kontaktowali się ze swoimi klientami prezentując przy okazji oferty handlowe i kusząc szeregiem oferowanych korzyści. Wejście w życie RODO miało taki proceder ukrócić i poddać pod weryfikację podstawy tego rodzaju działań marketingowych. Skutkować to miało sytuacją w której nawet jeśli ww. instytucje posiadały jakiekolwiek zgody marketingowe, najpewniej na gruncie dokonanych zmian w przepisach o ochronie danych osobowych – nie spełniały już one aktualnie obowiązujących wymogów. Z tego powodu w niektórych sektorach gospodarki (m. in. w bankowości) masowo zaczęto wysyłać wiadomości mailowe z prośbą o wyrażenie zgód marketingowych, które w znacznej większości pozostały bez odpowiedzi/reakcji klientów. Nie przeszkodziło to jednak w tym, aby kontakt marketingowy nadal był podejmowany.
Rödl & Partner zaprasza na konferencję (26 listopada 2019 r. w Warszawie) dedykowaną tym wszystkim, których interesują konkretne rozwiązania na styku prawa, technologii i bezpieczeństwa w kontekście RODO. Skierowane jest zarówno do ekspertów przetwarzania danych osobowych, jak i do osób zarządzających firmami, czy prowadzących projekty. Infor.pl objął patronat medialny nad tym wydarzeniem.
Rödl & Partner zaprasza na bezpłatne śniadanie biznesowe, na którym zostaną przedstawione zasady i praktyka postępowania kontrolnego Prezesa UODO. Ponadto omówione zostaną wydane dotąd przez Prezesa UODO decyzje i nałożone kary, a także odpowiedzialność administracyjnoprawna, cywilnoprawna i karnoprawna przedsiębiorców za naruszenie obowiązków dot. przetwarzania danych osobowych. Infor.pl objął patronat nad tym wydarzeniem.
„D(RODO)wskazy, czyli nowe kierunki ochrony danych w biznesie” – to hasło przewodnie VIII edycji Konwentu Ochrony Danych i Informacji 2019, który odbędzie się 19 listopada 2019 r. w Hali EXPO w Łodzi. Portal infor.pl objął patronat medialny nad tym wydarzeniem.
Przepisami RODO nałożono na administratorów ogólny obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie danych odbywało się zgodnie z przepisami rozporządzenia ogólnego o ochronie danych osobowych, a także aby przetwarzanie danych było bezpieczne z perspektywy prawa i wolności osób, których dane są przetwarzane. Ustaleniu, jakie środki będą najbardziej odpowiednie dla celu zapewnienia zgodności i w najlepszy sposób zapewnią bezpieczeństwo przetwarzania służy analiza ryzyka związanego z przetwarzaniem danych, którą można przeprowadzić również z wykorzystaniem aplikacji GDPR Risk Tracker.
Prezes Urzędu Ochrony Danych Osobowych wydał decyzję nakładającą karę finansową w wysokości ponad 2,8 mln zł (660 000 EUR) za naruszenie przepisów RODO. Kara nałożona została na sklep internetowy Morele.net za niewystarczające zabezpieczenia organizacyjne (w zakresie monitorowania potencjalnych zagrożeń dotyczących nietypowych zachowań w sieci) i techniczne (w zakresie zabezpieczeń), które skutkowały uzyskaniem przez osobę nieupoważnioną dostępu do bazy danych klientów.
Prezes Urzędu Ochrony Danych Osobowych prezentuje wykładnię, że art. 112b ustawy Prawo bankowe nie pozwala bankom wykonywać kserokopii i skanów dowodów osobistych klientów, żeby np. założyć konto bankowe czy zbadać zdolność kredytową klienta. Wystarczy wówczas spisanie danych z dokumentów tożsamości.
Pomimo trwających wakacji, organy nadzorcze w całej Unii Europejskiej intensywnie kontrolują przedsiębiorców pod kątem przestrzegania przepisów unijnych i krajowych regulacji dotyczących ochrony danych osobowych. Kontrole te doprowadziły w ostatnim czasie do nałożenia kolejnych kar za naruszenia. Jakie praktyczne wnioski płyną z tych postępowań dla polskich przedsiębiorców?
Wejście w życie przepisów tzw. ustawy wdrażającej RODO (ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 ) oznacza kolejne modyfikacje w obszarze ochrony danych osobowych. Przygotowany przez Ministerstwo Cyfryzacji dokument ma na celu dostosowanie przepisów sektorowych do standardów wyznaczonych przez RODO, efektem czego jest zmiana aż 168 ustaw. Większość przepisów weszła w życie z dniem 4 maja 2019r. Z punktu widzenia miko- i małych przedsiębiorców, warto zwrócić szczególną uwagę na nowelizację trzech aktów prawnych: Kodeksu pracy, ustawy o prawach konsumenta oraz ustawy o świadczeniu usług drogą elektroniczną. Poniżej – w dużym skrócie – przedstawiamy zestawienie wprowadzonych zmian.
Prośby o kolejne zgody na przetwarzanie danych osobowych i zmiany w procedurach wewnętrznych podmiotów świadczących usługi on-line, to wynik nowelizacji ustawy o świadczeniu usług drogą elektroniczną i Prawa telekomunikacyjnego. Wiele firm musi ponownie przeprowadzić analizę zgodności swoich działań z obowiązującym prawem oraz zmienić zasady przyjęte przy wdrażaniu RODO. Większość przepisów tej nowelizacji weszło w życie 4 maja 2019 r.
Wejście w życie nowych przepisów w zakresie ochrony danych osobowych (RODO) skutkowało istotnymi zmianami w 89% polskich firm – tak wynika z przygotowanego przez EY Polska raportu „Rok z RODO. Stosowanie RODO w firmach – szanse i zagrożenia”.
4 maja wszedł w życie pakiet zmian legislacyjnych dostosowujących polskie prawo do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) tzw. RODO. Jedną z istotniejszych zmian ustawodawca wprowadził w obszarze prawa bankowego, precyzując warunki oceny zdolności kredytowej klientów przez banki (oraz inne instytucje pożyczkowe) przy udzielaniu kredytów i pożyczek.
Kwestia czy pracownik musi wyrazić zgodę na przetwarzanie swoich danych osobowych przez pracodawcę stała się kanwą rozstrzygnięcia jednego z sądów pracy. Pracownik odmówił podpisania kilku oświadczeń związanych z ochroną danych osobowych, a pracodawca z tego powodu rozwiązał z nim umowę o pracę bez wypowiedzenia.
Choć minęło już trochę czasu od ogłoszenia decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), którą dr Edyta Bielak–Jomaa nałożyła pierwszą karę finansową na spółkę Bisnode Polska Sp. z o.o. (dalej: Spółka), komentarze wciąż nie cichną.
21 stycznia 2019 r. francuski organ nadzorczy (La Commission Nationale de l'Informatique et des Libertés, CNIL – odpowiednik polskiego Urzędu Ochrony Danych Osobowych), wydał decyzję wobec spółki Google LLC, w której stwierdził, że nie przestrzega ona przepisów z zakresu ochrony danych osobowych. CNIL dopatrzył się szeregu naruszeń, za które nałożył na Google karę pieniężną w wysokości 50 milionów Euro. To pierwsza tak wysoka kara za nieprzestrzeganie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Urząd Ochrony Danych Osobowych (UODO) poinformował 6 lutego 2019 r., że organizacja pożytku publicznego (OPP) nie ma podstaw prawnych do udostępnienia danych darczyńców osobom obdarowanym, chyba że pozyskana byłaby na ten cel uprzednia zgoda.
23 stycznia 2019 roku Minister Cyfryzacji wydał objaśnienia prawne dla przedsiębiorców, dotyczące przetwarzania danych osobowych osób rekrutowanych, zawartych w CV czy listach motywacyjnych. Materiał ten jest istotną wskazówką dla działów kadrowych w procesach związanych z poszukiwaniem i zatrudnieniem kandydatów. Co ważniejsze, zastosowanie się do objaśnień daje przedsiębiorcy gwarancję uniknięcia kar związanych z nieprzestrzeganiem przepisów RODO.
25 maja 2018 roku większość podmiotów przetwarzających dane osobowe drżało z obawy przed stosowanie przepisów RODO. Strach spowodowany był przede wszystkim bardzo wysokimi sankcjami finansowymi za naruszenia związane z przetwarzaniem danych osobowych, które mogą sięgać nawet 20 000 000 euro (tudzież 4% wartości rocznego światowego obrotu przedsiębiorstwa). Dziś większość podmiotów przetwarzających zaczyna pytać o to „co właściwie z tymi karami”, czy jakiekolwiek decyzje zostały już wydane przez Organ, czy kary są wysokie i przede wszystkim za jakie naruszenia są orzekane?
Minęło przeszło sześć miesięcy od 25 maja 2018 roku, tj. od rozpoczęcia stosowania RODO, czyli Ogólnego Rozporządzenia o Ochronie Danych. Około 58 proc. konsumentów przyznaje, że nowa regulacja wymogła na nich większą ostrożność w dzieleniu się danymi osobowymi z organizacjami. Natomiast prawie połowa firm deklaruje, że dokonała znaczących inwestycji związanych z dostosowywaniem działalności do wymogów RODO.
RODO, czyli inaczej rozporządzenie o ochronie danych osobowych, (ang. General Data Protection Regulation, GDPR) – to rozporządzenie Unii Europejskiej, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. RODO obowiązuje od dnia 25 maja 2018 roku, nakładając tym samym na firmy i instytucje szczególne obowiązki w dziedzinie ochrony poufnych danych swoich klientów, kontrahentów czy pacjentów.
Wraz z wejściem w życie nowych przepisów o ochronie danych osobowych (RODO) klienci przedsiębiorstw zostali wręcz zasypani wiadomościami mailowymi o tym, jakie posiadają prawa i dlaczego ich dane są gromadzone przez poszczególne firmy. Widać jednak wyraźnie, że to co piszą prywatne firmy nie zawsze jest zgodne z tym, co miał na myśli ustawodawca.
Cyberbezpieczeństwo to w ostatnim czasie coraz poważniejsze zagadnienie. Nie tylko RODO nakłada na przedsiębiorców nowe, istotne obowiązki. Od końca sierpnia 2018 r. obowiązuje Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Czy w związku z wejściem w życie przepisów RODO masz obowiązek powołać Inspektora Ochrony Danych w swojej firmie? Wyjaśnia Wojciech Ostrowski, radca prawny w Kancelarii Rachelski i Wspólnicy.
Chcesz wprowadzić w firmie monitoring służbowej poczty elektronicznej? Pamiętaj od dostosowaniu wewnętrznych regulacji do aktualnych wymogów Kodeksu pracy oraz RODO.
Prezes Urzędu Ochrony Danych Osobowych ostrzega przed fałszywymi kontrolerami i wyjaśnia, jak rozpoznać i jak zweryfikować prawdziwego kontrolera z UODO. W ostatnim czasie do przedsiębiorców zaczęły zgłaszać się osoby podające się za kontrolerów z Urzędu Ochrony Danych Osobowych. Prezes UODO zaleca zachowanie ostrożności i jednocześnie informuje, że co do zasady UODO uprzedza o kontrolach.
Ministerstwo Finansów i Prezes Urzędu Ochrony Danych Osobowych określili 1 sierpnia 2018 r. zasady współpracy audytora wewnętrznego i inspektora ochrony danych w jednostkach sektora publicznego. Zadaniem zarówno inspektora ochrony danych, jak i audytora wewnętrznego jest wspieranie kierownika jednostki sektora finansów publicznych w zgodnej z prawem realizacji celów i zadań tej jednostki. Dlatego działania audytorów wewnętrznych i inspektorów ochrony danych powinny być komplementarne.
W przestrzeni publicznej pojawiło się wiele absurdów związanych z obowiązywaniem RODO. Obalamy mity, wprowadzając program RODOracjonalność - powiedziała w poniedziałek w Ostrzeszowie sekretarz stanu w Ministerstwie Inwestycji i Rozwoju Andżelika Możdżanowska.
Coraz popularniejsza technologia chmur obliczeniowych (cloud computing), gwarantuje bezpieczeństwo przetwarzania i magazynowania danych w stopniu o wiele wyższym niż tradycyjne, „fizyczne” twarde dyski, płyty CD, czy popularne, niemal wszechobecne pen – drive'y. Jednakże, zgodnie z powiedzeniem „strzeżonego Pan Bóg strzeże”, nawet w przypadku bezpiecznych chmur, nie wolno zaniechać działań, zmierzających do stałego wzrostu poziomu rzeczonego bezpieczeństwa (szczególnie jeżeli chodzi o tzw. dane poufne); jedną z dróg prowadzących do tego celu, może być precyzyjne określenie zasad, jakimi powinni kierować się zarówno usługobiorcy, jak i usługodawcy rozwiązań chmurowych.
Od wejścia w życie RODO minął już ponad miesiąc, ale temat wdrożenia odpowiednich procedur wciąż jest jednym z najpopularniejszych w przedsiębiorstwach. Nadal brakuje jednoznacznych odpowiedzi na wiele pytań, a część rozwiązań jest dopiero wypracowywana m.in. przez powołaną przy Ministerstwie Cyfryzacji Grupę Roboczą ds. RODO. Większość zainteresowanych tematyką skupia się jednak na rozwiązaniach prawnych – przygotowaniu odpowiednich formułek i zgód dla klientów. Tymczasem większość danych przetwarzana jest dziś głównie w systemach informatycznych i to od nich powinniśmy zacząć przygotowanie do wdrożenia RODO w każdej firmie.
Wejście w życie RODO pociągnęło za sobą zmiany w obszarze ochrony danych osobowych także w innych ustawach. I tak do Kodeksu pracy wprowadzono nowe przepisy w zakresie monitoringu pracowników, które, podobnie jako RODO, obowiązują od 25 maja 2018 r.
RODO to zdecydowanie jeden z kluczowych tematów 2018 roku. Rozporządzenie dotyczące ochrony danych osobowych zaczęło obowiązywać 25 maja i niesie za sobą szereg konsekwencji dla praktycznie każdego przedsiębiorcy. Wszyscy bowiem powinni już odpowiednio przygotować się na nowe zasady w zakresie przetwarzania danych osobowych.
Administrator fanpage’a prowadzonego na Facebooku ponosi z Facebookiem wspólną odpowiedzialność za przetwarzanie danych osób odwiedzających jego stronę. Organ ds. ochrony danych państwa członkowskiego, w którym ów administrator ma swą siedzibę, może podjąć działania, na podstawie dyrektywy 95/46, zarówno w stosunku do tego administratora, jak i w stosunku do spółki zależnej od Facebooka mającej siedzibę w tym samym państwie. To tezy wyroku Trybunału Sprawiedliwości Unii Europejskiej w Luksemburgu z 5 czerwca 2018 r. (sygn. C-210/16).
W jakim zakresie przepisy RODO dotyczą blogosfery? Jakie obowiązki muszą spełnić blogerzy i którzy spośród nich są w myśl przepisów unijnego rozporządzenia administratorami danych osobowych?
Przestrzegamy, żeby dokładnie czytać komunikaty powołujące się na RODO; w niektórych sytuacjach może dojść do próby zainfekowania urządzenia wirusem lub wyłudzenia danych - podkreślił 28 maja 2018 r. Karol Manys z Ministerstwa Cyfryzacji.
22 maja 2018 r. Prezydent RP podpisał ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych. Nowa ustawa, która wchodzi w życie 25 maja 2018 r. przewiduje m.in. kary za naruszenie przepisów o ochronie danych osobowych, powołanie Urzędu Ochrony Danych Osobowych w miejsce Generalnego Inspektora Ochrony Danych Osobowych, skrócenie postępowań dotyczących naruszeń danych osobowych.
Czynność dostarczania informacji dotyczących danych osobowych na podstawie przepisów RODO oraz wszelkich kolejnych kopii za pobraniem opłaty, podlegać będzie opodatkowaniu podatkiem od towarów i usług (VAT) według stawki podstawowej (obecnie 23%). Stanowisko podatnika potwierdził w tym zakresie Dyrektor Krajowej Informacji Skarbowej w interpretacji podatkowej z 9 maja 2018 r.
W dniu 10 maja Sejm uchwalił z poprawkami ustawę o ochronie danych osobowych. Zakłada ona m.in. skrócenie postępowań w sprawach o naruszenie ochrony danych osobowych, a także możliwość nakładania kar za naruszenia przepisów o ochronie danych osobowych. Nowe przepisy dostosowują polskie prawo do przyjętego w maju 2016 r. przez UE ogólnego rozporządzenia o ochronie danych osobowych (RODO).
RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zacznie obowiązywać już 25 maja 2018 r. Nowe regulacje znacząco wpłyną na komfort życia polskich przedsiębiorców, bo to na nich spocznie odpowiedzialność za ich wdrożenie. Z jakim zagrożeniami muszą się zmierzyć przedsiębiorcy?
Firmy nie będą mogły weryfikować kandydatów do zatrudnienia na własną rękę. Utrudnione będzie nawet pozyskiwanie zwykłych referencji od byłych szefów. Może to działać na niekorzyść zatrudnionych na podstawie umów o pracę. Dodatkowe dane o kandydacie do pracy będzie można zbierać za jego zgodą, ale wyłącznie od niego osobiście, a nie od osób trzecich, w tym byłych chlebodawców. Tak wynika z rządowego projektu o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzania 2016/679 (tzw. RODO).
25 maja 2018 r. w życie wejdzie unijna dyrektywa RODO, która oznacza największą od 21 lat zmianę w przepisach dotyczących ochrony danych osobowych. W praktyce, wprowadzenie tego rozporządzenia pociągnie za sobą potrzebę utworzenia lub w najlepszym przypadku zaktualizowanie istniejących baz danych, włącznie z uzyskaniem nowych zgód. W przypadku dużych baz danych, zgody na przetwarzanie danych osobowych firmy mogą pozyskiwać np. za pomocą masowej wysyłki SMS.
W dniu 27 kwietnia 2016 roku zostało opublikowane Rozporządzenie Parlamentu Europejskiego i Rady Europy (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej zwane „RODO” Rozporządzenie to weszło w życie w dniu 17 maja 2016 r. z tym, że stosowanie przepisów RODO będzie miało miejsce od 25 maja 2018 r. Państwa członkowskie UE mają więc do 25 maja 2018 r. czas na wdrożenie tych przepisów do porządku prawa krajowego.
Od 25 maja 2018 roku zacznie obowiązywać w Polsce (a także w innych państwach członkowskich UE) stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). Myśl przewodnią, przyczyny oraz cele RODO omawia Michał Gruza z Kancelarii Prawnej Rachelski i Wspólnicy.
Generalne Rozporządzenie o Ochronie Danych Osobowych – w skrócie RODO – wchodzi w życie już 25 maja 2018 roku. Oznacza to szereg obligatoryjnych zmian, które będą dotyczyć wszystkich przedsiębiorców – od wielkich korporacji po najmniejsze rodzinne firmy. To już najwyższy czas, by przygotować się na nowe regulacje.