W czwartek Trybunał Sprawiedliwości UE orzekł, że krajowe urzędy ochrony danych nie muszą nakładać kar, w tym pieniężnych, za każde naruszenie RODO, zwłaszcza jeżeli instytucje, w których doszło do naruszeń, same podjęły odpowiednie środki naprawcze. Spór dotyczył niemieckiej kasy oszczędnościowej, której jedna z pracownic wielokrotnie i bez uprawnień zaglądała do danych osobowych jednego z klientów.

W przypadku prowadzenia komunikacji drogą elektroniczną (poczta e-mail), administrator jest zobowiązany do realizacji obowiązku informacyjnego, ponieważ jego pracownicy komunikując się z przyporządkowanych im skrzynek poczty elektronicznej pozyskują dane osobowe nadawców lub odbiorców korespondencji e-mail. Zazwyczaj administratorzy korzystają z informowania warstwowego – wyjaśnia ekspert z programu LEX Ochrona Danych Osobowych.

Urząd Ochrony Danych Osobowych będzie stosował na terenach powodziowych "taryfę ulgową" w wypadku naruszeń ochrony danych osobowych. Informację w tej sprawie zamieścił na swojej stronie internetowej. Zgodnie z przepisami termin 72 godzin na zgłoszenie takiego zdarzenia do prezesa UODO biegnie dopiero od momentu jego stwierdzenia. Tym niemniej na terenach powodziowych może to być trudne.

Kandydaci do pracy nagrywają rozmowy rekrutacyjne, a pracownicy - rozmowy z przełożonymi. Może to być forma zabezpieczenia własnych interesów. Gorzej, jeśli nagranie jest publikowane w internecie i godzi w dobre imię firmy albo dobra osobiste osób, które to nagranie ma poniżyć czy ośmieszyć. Zdaniem prawników, dopóki takie sytuacje nie zostaną ściśle uregulowane, będą problemy.

Prezes UODO nakazał usunięcie danych osobowych byłego pracownika w zakresie adresu e-mail, zawierającego pierwszą literę jego imienia oraz nazwisko. Spółka twierdziła, że wykonanie decyzji będzie się dla niej wiązało z utratą intratnych relacji handlowych. Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że imienne oznaczenie skrzynki pocztowej, powoduje, że w sytuacji zakończenia stosunku pracy konieczne jest usunięcie takiego adresu, np. poprzez zastąpienie go innym oznaczeniem.

Wraz z rokiem szkolnym w szkołach rozpoczęły się zbiórki funduszy na radę rodziców. Składki są dobrowolne, a o ich wysokości decydują sami rodzice. Zdarzają się jednak sytuacje, gdy rodzice są zmuszani do dokonania wpłaty i piętnowani, gdy tego nie zrobią. Choć składki są przeznaczane na potrzeby uczniów i rodzic powinien je płacić, nie ma prawnych podstaw, by to egzekwować.

Prezes Urzędu Ochrony Danych Osobowych nałożył na mBank karę ponad 4 mln zł (4 053 173) za niezawiadomienie osób poszkodowanych wyciekiem danych. - Kara wydaje się ogromna, ale stanowi tylko 24 tysięczne procenta obrotów banku - zwraca uwagę urząd. Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań.

Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych, zwrócił się do Jarosława Kaczyńskiego, prezesa Prawa i Sprawiedliwości, o przedstawienie wyjaśnień w związku z informacjami dotyczącymi m.in. zbierania numerów PESEL od osób dokonujących wpłat na konto tej partii politycznej.

Prezes UODO Mirosław Wróblewski nałożył karę pieniężną w wysokości 85 tys. zł na Prokuraturę Krajową. Chodzi o jedną z konferencji poprzedniego prokuratora generalnego Zbigniewa Ziobry podczas której - według UODO - ujawniono dane osobowe pokrzywdzonego. Prokuratura tłumaczyła się, że nie doszło do naruszenia danych, bo informacje te były przetwarzane w związku z realizacją ustawowych zadań prokuratury.

Bezrefleksyjnie publikowane przez rodziców zdjęcia dzieci to nie tylko potencjalny przyczynek do hejtu ze strony rówieśników, ale też łatwy łup dla cyberprzestępców. Nawet pozornie nieszkodliwa fotografia czy nagranie może posłużyć do kradzieży tożsamości dziecka (wizerunku, głosu), a następnie do próby wyłudzenia pieniędzy.

Mija sześć lat od uchwalenia ustawy o Krajowym Systemie Cyberbezpieczeństwa, najwyższa więc pora na aktualizację przepisów determinujących bezpieczeństwo naszej cyberprzestrzeni. Obecne warunki geopolityczne, niesłychana skala zagrożeń cyfrowych i stale rosnąca liczba incydentów wymagają niezwłocznej, ale i precyzyjnej, reakcji ustawodawczej. Projekt nowelizacji ustawy o KSC jest ambitny i budzi duże nadzieje na umocnienie cyberprzestrzeni i bezpieczny wzrost gospodarki cyfrowej - uważa Michał Kanownik, prezes Związku Cyfrowa Polska.

Zespół powypadkowy nie może wpisywać do protokołu powypadkowego numeru PESEL i numeru dowodu osobistego osoby, która uległa wypadkowi przy pracy, bo stanowi to naruszenie zasady minimalizacji danych osobowych. Także ZUS nie powinien żądać uzupełnienia protokołów o podanie numeru dowodu, jeżeli podany jest w nim już numer PESEL identyfikujący pracownika, który uległ wypadkowi – uważają prawnicy. Teraz ich stanowisko potwierdziła nam Państwowa Inspekcja Pracy.

Sędzia, co do którego złożono wniosek o wyrażenie zgody na pociągnięcie do odpowiedzialności karnej, ma prawo zapoznać się z dokumentami włączonymi do akt. Odmowa udostępnienia dokumentacji w sprawie obwinionego o niedopuszczalne przetwarzanie danych osobowych nie została dostateczne uzasadniona i brak było podstaw do uwzględnienia zastrzeżenia Prokuratora Regionalnego – orzekła Izba Odpowiedzialności Zawodowej Sądu Najwyższego.

Zakład Ubezpieczeń Społecznych we współpracy z Urzędem Ochrony Danych Osobowych organizuje cykl czterech wydarzeń związanych z tematyką dotyczącą ochrony danych osobowych. 16 września w Gdańsku odbędzie się drugie z nich - seminarium „Wdrożenie ustawy o sygnalistach oraz ochrona danych osobowych w miejscu pracy”. Udział w seminarium jest bezpłatny. W wydarzeniu można uczestniczyć na miejscu lub online.

Mimo że zdecydowana większość przedsiębiorców uważa, że dane ich pracowników są prawidłowo chronione, w praktyce jest zupełnie inaczej. Z najnowszego badania wynika, że aż 14 proc. małych i średnich firm wysyła podwykonawcom nieszyfrowane e-maile z załącznikiem bez wymaganego hasła dostępu do pliku, a 9 proc. ankietowanych przechowuje nieszyfrowane dokumenty w chmurze, a następnie udziela do niej dostępu firmom zewnętrznym. To podawanie hakerom danych pracowników na tacy.

Wymaganie podania imienia ojca przy identyfikacji jest historycznym reliktem. Nie ma potrzeby wykorzystywania danych osób trzecich, skoro PESEL, imię i nazwisko czy data urodzenia, pozwalają w pełni zidentyfikować tożsamość - wskazał w czwartek Urząd Ochrony Danych Osobowych. Zaznaczył, że taka praktyka nie znajduje też uzasadnienia z punktu widzenia zasad dotyczących przetwarzania danych osobowych, zwłaszcza zasady minimalizacji.

Wraz z postępem technologicznym przechowywanie dokumentów w formie elektronicznej staje się faktem. Pracodawcy, zwłaszcza duże zakłady pracy, coraz częściej decydują się na odejście od papierowych rozwiązań. Od 1 stycznia 2019 r. możliwe jest prowadzenie akt pracowniczych w postaci elektronicznej, zrównanej z postacią papierową. Taka dokumentacja pracownicza musi spełniać wymogi rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej w sprawie dokumentacji pracowniczej – piszą Karolina Kalinowska i Marta Dychto z Deloitte.

Infrastruktura informatyczna Spółki American Heart of Poland SA została zaatakowana przez hakerów, którzy uzyskali w ten sposób dostęp do szczegółowych danych osobowych około 21 tys. osób. Prezes UODO ustalił, że doszło do tego, ponieważ spółka źle szacowała ryzyko. Dodatkowo w pandemii nie przestrzegała swojej własnej polityki dotyczącej bezpieczeństwa danych. Spółka odwołała się do Wojewódzkiego Sądu Administracyjnego.

Organ nie mógł udostępnić numerów geodezyjnych nieruchomości z uwagi na prywatność osób fizycznych. Przekazanie tych danych pozwala bowiem na łatwe ustalenie tożsamości właścicieli. Ponadto uzyskanie numerów działek w trybie ustawy o dostępie do informacji publicznej stanowiłoby obejście przepisów, które przewidują szczególny tryb dostępu i zasadę odpłatności. Tak orzekł Wojewódzki Sąd Administracyjny w Gorzowie Wielkopolskim.

Prezes Urzędu Ochrony Danych Osobowych wycofał z Naczelnego Sądu Administracyjnego wszystkie skargi kasacyjne w sprawach związanych z przekazywaniem danych obywateli Poczcie Polskiej na potrzeby przeprowadzenia tzw. wyborów kopertowych. Do tej pory UODO nie chciał wszczynać postępowania administracyjnego w tej sprawie.