W najnowszym poradniku prezesa Urzędu Ochrony Danych Osobowych rola inspektora ochrony danych (IOD) została sprowadzona do "pomagania", "doradzania" i "udzielania wskazówek". Nie może on natomiast wykonywać zadań, za które odpowiada administrator. Prawnicy wskazują, że to podejście wyjątkowo restrykcyjne, a jego wdrożenie spowoduje, że naruszeniem ochrony danych będą musiały zajmować się w organizacjach co najmniej dwa piony.

Zaktualizowany w ubiegłym tygodniu poradnik prezesa Urzędu Ochrony Danych Osobowych zawiera nowe, bardziej restrykcyjne stanowisko organu co do tego, czym są naruszenia danych i kiedy trzeba je zgłaszać. Do stwierdzenia naruszenia wystarczy samo podejrzenie jego wystąpienia, zaś administrator powinien zawiadamiać o każdym zdarzeniu, które stwarza najmniejsze nawet ryzyko. Może to skutkować większą liczbą zgłoszeń.

Podmioty, do których zwróci się starosta o podanie danych dotyczących adresu osoby, której przedmiot został znaleziony, powinny mieć obowiązek udzielenia takiej informacji. Dziś np. telekomy odmawiają współpracy, powołując się na RODO. W efekcie telefon przez dwa lata leżakuje w starostwie. Ale to nie jedyne propozycje zmian przepisów. Uwagi mają także przewoźnicy. Tylko w pociągach PKP Intercity w ubiegłym roku zostawiono ponad 25 tys. przedmiotów, m.in. mandolinę i sejf z zawartością.

Co oznacza termin „naruszenie ochrony danych osobowych”? Czy wszystkie przypadki takich naruszeń trzeba zgłaszać prezesowi Urzędu Ochrony Danych Osobowych? Jak oceniać ryzyka i zapobiegać naruszeniom? Kim jest „zaufany odbiorca”? Na te i inne pytania odpowiada zaktualizowany poradnik UODO "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych".

Komisja Europejska rezygnuje z planów wprowadzenia rozporządzenia w sprawie prywatności i łączności elektronicznej, znanego jako rozporządzenie ePrivacy. Oficjalny powód: procedowany latami projekt stał się już przestarzały i nie doczeka się akceptacji. Eksperci uważają, że wpływ na taką decyzję mogły mieć też tendencje deregulacyjne ze Stanów Zjednoczonych i Chin oraz lobby gigantów.

Skoro nie doszło do zawarcia umowy kredytowej, to zarówno bank, jak i Biuro Informacji Kredytowej, nie mają podstaw do dalszego przetwarzania danych osoby starającej się o kredyt – stwierdził prezes Urzędu Ochrony Danych Osobowy. Stanowisko to potwierdził w niedawnym wyroku Naczelny Sąd Administracyjny, oddalając skargi kasacyjne.

Organ umorzył postępowanie w sprawie skargi na nieprawidłowości w procesie przetwarzania danych osobowych przez przedsiębiorcę w związku z prowadzoną przez niego działalnością gospodarczą. Ustalono bowiem, że został on wykreślony z CEIDG. Wojewódzki Sąd Administracyjny w Warszawie potwierdził, że z uwagi na zakończenie prowadzenia działalności gospodarczej, przedsiębiorca utracił status administratora danych osobowych i nie można było wobec niego wydać decyzji.

Wdrożenie rozporządzenia o europejskiej przestrzeni danych dotyczących zdrowia (EHDS) będzie wyzwaniem zarówno dla krajowego ustawodawcy, jak i placówek medycznych - docelowo może jednak przynieść sporo korzyści. Po pierwsze, dostęp do danych medycznych będzie ujednolicony i bezpieczny. Po drugie, pacjenci będą mieć kontrolę np. nad tym, kto je sprawdza. Potrzebujemy jednak strategii wdrażania przepisów - w pierwszej kolejności wyznaczenia odpowiedzialnych organów.

Nie było podstaw do przekazaniu resortowi zdrowia danych z bazy POL-on do analiz stopnia zaszczepienia przeciw COVID-19 na uczelniach. WSA podtrzymał decyzję prezesa Urzędu Ochrony Danych Osobowych. Cele przetwarzania danych osobowych zawartego między MEiN a MZ nie mieszczą się w katalogach celów przetwarzania danych osobowych zarówno w systemie POL-on, jak i SIM (Systemie Informacji Medycznej, jednej z części systemu P1).

Pracownicy i funkcjonariusze Krajowej Administracji Skarbowej wysyłają służbową korespondencję z prywatnych kont na ePUAP – ustalił serwis Prawo.pl. Czy to właśnie z tego powodu doszło do wycieku ich danych osobowych, czy też może dlatego, że to numer PESEL służy do identyfikacji osoby przy podpisie kwalifikowanym? Jutro minie miesiąc od wycieku danych z firmy EuroCert, a opinia publiczna wciąż nie wie, ani jaka była jego skala, ani co robi państwo, a zwłaszcza Ministerstwo Finansów, aby zabezpieczyć dane swoich pracowników i funkcjonariuszy przed kradzieżą ich tożsamości i naruszeniami z tym związanymi.

Ubiegając się o urząd sędziego, prawnicy przedkładają akta prowadzonych spraw, gdzie m.in. są informacje objęte tajemnicą zawodową. Nie są one anonimizowane, a kandydaci zwykle nie konsultują z dawnymi klientami wykorzystania dokumentów dotyczących ich prywatnych spraw. W efekcie informacje te są udostępniane m.in. prezesowi sądu, wizytatorom i członkom Krajowej Rady Sądownictwa, sędziom, posłom, senatorom, ministrowi sprawiedliwości. RPO zabiega o uregulowanie tej sprawy, a MS zgadza się tylko na częściowe ograniczenia.

Rzecznik generalny Trybunału Sprawiedliwości UE Maciej Szpunar przeanalizował obowiązki i odpowiedzialność operatora internetowej platformy handlowej w kontekście dyrektywy o handlu elektronicznym oraz rozporządzenia RODO. Jak ocenił, chociaż operator nie jest zobowiązany do kontrolowania treści ogłoszeń, to musi weryfikować tożsamości użytkowników, którzy posiadają konta w jego serwisie.

Posiadanie upoważnienia do przetwarzania danych osobowych przez pracowników urzędu miejskiego nie oznacza, iż mają oni autonomię w decydowaniu o celach, w jakich dane innych pracowników urzędu będą przetwarzane i udostępniane. Mogą oni bowiem przetwarzać dane osobowe pracowników tylko w zakresie niezbędnym do wykonywania zadań – orzekł Naczelny Sąd Administracyjny. Chodziło o udostępnienie danych przed sądem w sprawie karnej.

Urząd Ochrony Danych Osobowych zaprezentował rygorystyczne stanowisko co do potrzeby zgłaszania mu naruszeń ochrony danych osobowych. Jak zwracają uwagę eksperci, oznacza ono, że nawet niskie lub niewielkie ryzyko może nie zwolnić z obowiązku powiadomienia organu o incydencie. Kwestia ta zostanie szczegółowo opisana w zaktualizowanym poradniku UODO dotyczącym oceny ryzyka, który ma się ukazać w najbliższych dniach.

28 stycznia Naczelny Sąd Administracyjny orzekł, że numery ksiąg wieczystych są danymi osobowymi. Wyrok kończy wieloletni spór w tej sprawie między Urzędem Ochrony Danych Osobowych a byłym Głównym Geodetą Kraju. Oznacza też, że administracyjna kara pieniężna w wysokości 100 tys. zł, jaką prezes UODO nałożył w 2020 roku za ujawnianie w serwisie Geoportal2 numerów ksiąg wieczystych, jest zasadna.

Co właściwie jest ryzykiem na gruncie RODO? – zastanawiali się uczestnicy konferencji „Ocena ryzyka a ochrona danych osobowych”. Odpowiedź nie jest prosta, a dyskusja na ten temat może mieć praktyczny wymiar - chociażby w kontekście kontroli Urzędu Ochrony Danych Osobowych. Eksperci sygnalizowali też, że podejście do obecnego modelu regulacji może zmienić się na skutek decyzji politycznych.

23 stycznia 2025 r. w Urzędzie Ochrony Danych Osobowych odbędzie się konferencja „Ocena ryzyka a ochrona danych osobowych”. Głównym tematem będzie zagadnienie prawidłowego przeprowadzania przez administratorów oceny ryzyka dla ochrony danych osobowych oraz znaczenia tego procesu dla zarządzanych przez nich organizacji. Wydarzenie odbywa się pod patronatem Prawo.pl.

Dwie formy marketingu są zakazane. Po pierwsze, wysyłanie niezamówionych informacji handlowych i marketingowych, głównie pocztą elektroniczną, tzw. spaming, ale również telefonicznie oraz przez inne formy automatycznych systemów wywołujących. Po drugie, wysyłanie informacji handlowych do klientów, którzy przy okazji zawierania umów z konkretnym przedsiębiorcą przekazali adres swojej poczty lub numer telefonu - pisze dr Joanna Worona-Vlugt, adwokat, of counsel w Gardocki i Partnerzy Adwokaci i Radcowie Prawni.

Resort pracy chce uregulować maksymalną temperaturę dla pracy wykonywanej w pomieszczeniach i na otwartej przestrzeni. W tym celu pracodawcy będą musieli ustalać... tempo metabolizmu pracowników, a to oznacza, że będą zbierać dane o ich wzroście, wadze i wieku, bo te informacje są niezbędne według Polskich Norm. Może to naruszać przepisy o ochronie danych osobowych, a przedsiębiorcy mówią wprost: projekt nie uwzględnia realiów gospodarczych.

Ponad pół miliona złotych kary nałożył na Toyota Bank Polska S.A. Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych. Najistotniejsze okazało się pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych. Kontrola wykazała ponadto, że inspektor danych osobowych nie był w pełni niezależny w swojej pracy.