LexDigital

Podsumowanie roku 2019 w zakresie ochrony danych osobowych

Mijający rok obfitował w przeprowadzone przez Prezesa UODO kontrole i postępowania administracyjne. Kary za nieprzestrzeganie przepisów RODO (niektóre z nich bardzo dotkliwe) nie funkcjonują już tylko w sferze wyobraźni, ale stały się faktem.

Podsumowanie roku 2019 w zakresie ochrony danych osobowych

Nic nie wskazuje na to, żeby w nadchodzącym roku kontroli miało być mniej, a przedsiębiorcy nieprzestrzegający przepisów traktowani bardziej liberalnie. 

W obliczu ogromnej ilości skarg obywateli (ponad 9 tysięcy) na nieprzestrzeganie przez przedsiębiorców przepisów o ochronie danych osobowych, a także pokaźnej liczby naruszeń i incydentów zgłoszonych przez podmioty przetwarzające dane, Prezes Urzędu Ochrony Danych Osobowych podjął decyzję o zmianach w strukturach Urzędu.

UODO postanowił powołać osobny departament, który zajmie się rozpatrywaniem skarg, tak, aby zoptymalizować czas postępowań i możliwie najszybciej i najskuteczniej reagować na sytuacje, w których dochodzić może do naruszeń ochrony danych osobowych.

Według Prezesa Urzędu Ochrony Danych utworzenie osobnego departamentu jest konieczne, chociażby ze względu na ciągle rosnącą świadomość obywateli w zakresie ochrony ich danych osobowych. Jak wynika z badań Komisji Europejskiej, na tle Europejczyków Polacy mają dużą świadomość funkcjonowania RODO. Polska uplasowała się na trzecim miejscu (86 proc.), po Szwecji (90 proc.) i Holandii (87 proc.). Dla porównania we Włoszech o RODO słyszało 49 proc. obywateli, a we Francji 44 proc. Przekłada się to na liczbę skarg zgłaszanych do urzędu.

Kary RODO

Od momentu rozpoczęcia funkcjonowania RODO w Polsce, Urząd Ochrony Danych nie próżnuje. Nałożył już kilka kar na podmioty przetwarzające dane, w tym na jeden podmiot publiczny. 

Przypominamy, po krótce, które podmioty taką karą zostały dotknięte i jakie były powody jej nałożenia.

 

  1. Pierwsza kara, w wysokości prawie 1 mln zł nałożona została na Spółkę Bisnode - grzywna dotyczyła postępowania związanego z działalnością spółki, która przetwarzała dane osób, których dane dotyczą, uzyskane z publicznie dostępnych źródeł, między innymi z Centralnej Ewidencji i Informacji o Działalności Gospodarczej i przetwarzała dane do celów komercyjnych. Organ zweryfikował niezgodność z obowiązkiem informacyjnym w stosunku do osób fizycznych prowadzących działalność gospodarczą – przedsiębiorców, którzy obecnie prowadzą taką działalność lub ją zawiesili, a także przedsiębiorców, którzy prowadzili taką działalność w przeszłości. Administrator spełnił obowiązek informacyjny, przekazując informacje wymagane zgodnie z art. 14 (1) – (3) RODO jedynie w odniesieniu do osób, których adresy e-mail posiadał. W przypadku pozostałych osób administrator nie wywiązał się z obowiązku informacyjnego – jak wyjaśnił w trakcie postępowania – z powodu wysokich kosztów operacyjnych. Dlatego przedstawił klauzulę informacyjną tylko na swojej stronie internetowej. Według UODO nie było to wystarczające.
  2. Kolejną karę nałożono na Dolnośląski Związek Piłki Nożnej (w kwocie 55 750,50 zł) za nieskuteczne próby usunięcia naruszenia polegającego na upublicznieniu zbyt szerokiego zakresu danych osobowych. Związek upublicznił w sieci dane osobowe sędziów, którym przyznano licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL.  Wydaną przez siebie decyzję UODO uzasadnił m. in. tym, że DZPN nie dopełnił obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku udostępniania danych osobowych na stronie internetowej przez co dane osób, którym przyznano licencje sędziowskie w roku 2015, w zakresie ich numeru PESEL oraz adresu zamieszkania, były dostępne na stronie internetowej Związku. Uznano, że powoduje to prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych dla 585 osób, których dane zostały ujawnione w Internecie.  Wymierzając karę, Prezes UODO uwzględnił jednak okoliczności łagodzące, którymi były m.in. dobra współpraca administratora z organem nadzoru czy brak dowodów na to, że powstały szkody po stronie osób, których dane ujawniono.
  3. W związku z wyciekiem danych klientów sklepu internetowego Morele.net do którego doszło w październiku 2018 r. Urząd Ochrony Danych Osobowych decyzją z 10 września br. nałożył na sklep karę w wysokości 2 830 410 zł., jak dotąd najwyższą nałożoną przez organ nadzorczy w Polsce. Ukarana spółka padła ofiarą ataku hackerskiego, a hacker uzyskał dostęp do bazy danych klientów Morele.net, ale również dostęp do dziesięciu powiązanych z Morele sklepów internetowych.
  4. W dniu 18 października 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył czwartą, a pierwszą na podmiot publiczny, karę finansową za nieprzestrzeganie przepisów o ochronie danych.Karą w wysokości 40 000 zł został ukarany Urząd Miasta w Aleksandrowie Kujawskim w związku z naruszeniem przepisów z art. 5, 24, 28, 30 i 32 RODO, czego konsekwencją było m.in. niezgodne z prawem udostępnianie danych osobowych oraz złamanie zasady poufności, dostępności i rozliczalności danych. Odnosząc się szczegółowo do postawionych przez Prezesa UODO zarzutów głównym i najważniejszym przewinieniem było niezalegalizowanie przetwarzania danych pomiędzy Urzędem, a podmiotami obsługującymi jednostkę w zakresie udostępniania biuletynu na własnych serwerach oraz dostarczających oprogramowanie do stworzenia i serwisowania podstrony Urzędu w BIP. Zakres świadczonych usług jednoznacznie wskazuje, że operatorzy mieli dostęp do danych osobowych, których administratorem jest Urząd Miasta, a brak zawartych z nimi umów powierzenia dowodzi naruszenia art. 28 ust. 3 RODO (Podmiot przetwarzający) i wiąże się z nie tylko z udostępnieniem danych osobowych bez podstawy prawnej, ale również złamaniem zasady poufności, o której mowa w art. 5 ust. 1 lit. f RODO.
  5. Ponad 201 tys. zł ma zapłacić spółka ClickQuickNow działająca w branży reklamowej, za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych. Zdaniem UODO Spółka lekceważyła prawa do wycofania zgody na przetwarzanie danych oraz prawa do bycia zapomnianym.Ustalając wysokość kary pieniężnej UODO nie uwzględnił żadnej okoliczności łagodzącej. Uznał też, że działanie spółki było umyślne, gdyż przekazując osobie zainteresowanej wycofaniem zgody sprzecznych ze sobą komunikatów spółka umyślnie utrudniała, czy wręcz uniemożliwiała realizację praw osób, których dane dotyczą. 

Zmiany w aktach prawnych

W niniejszej publikacji wskażemy jedynie przykładowe akty prawne, w których zaszły zmiany w związku z koniecznością dostosowania polskich przepisów do RODO, a które w znaczący sposób wpływają na przetwarzanie danych osobowych.

  • Kodeks pracy – na mocy ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania ogólnego rozporządzenie o ochronie danych wprowadzono zmiany dotyczące zakresu danych, których pracodawca może wymagać od kandydata ubiegającego się o zatrudnienie – zniesiono wymóg podawania imion rodziców oraz miejsca zamieszkania – nowy zakres danych to: 
  • Ustawa o Zakładowym Funduszu Świadczeń Socjalnych - na mocy ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO wprowadzono dodatkowe ustępy do art. 8 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych.  
  • imię i nazwisko,
  • data urodzenia,
  • dane kontaktowe wskazane przez kandydata 

oraz dane dodatkowe, które mogą być zbierane o ile zostaną spełnione określone warunki – tylko wówczas, gdy jest to niezbędne do wykonania określonego rodzaju pracy lub pracy na określonym stanowisku: 

  • wykształcenie,
  • kwalifikacje zawodowe,
  • przebieg dotychczasowego zatrudnienia.

Zmianie uległ również zakres danych, których pracodawca może zażądać od zatrudnionego pracownika. W zakresie tym mieszczą się: 

  • adres zamieszkania, numeru PESEL lub rodzaj i numer dokumentu potwierdzającego tożsamość w przypadku obcokrajowców, inne dane, w tym dane osobowe dzieci i członków najbliższej rodziny, jeżeli jest to konieczne do skorzystania przez pracownika ze szczególnych uprawnień,
  • dane o wykształceniu i przebiegu dotychczasowego zatrudnienia, jeżeli w czasie rekrutacji nie istniała potrzeba ich zbierania,
  • numer rachunku bankowego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych, 
  • inne niż wskazane powyżej dane osobowe tylko wówczas, gdy jest to niezbędne do zrealizowania uprawnień lub spełnienia obowiązku wynikającego z przepisów prawa. 

W art. 22 KP doprecyzowano również kwestie związane z monitoringiem wizyjnym stosowanym w miejscu pracy, a mianowicie: 

  • zasięg stosowanych kamer nie może obejmować pomieszczeń udostępnianych zakładowej organizacji związkowej,
  • zasięg stosowanych kamer nie może obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni – dopuszczane są wyjątki od wskazanej reguły w przypadku, kiedy zastosowanie monitoringu jest niezbędne do zachowania specjalnych środków bezpieczeństwa z zastrzeżeniem, że nie naruszy to godności i innych dóbr osobistych pracownika oraz zostanie wyrażona zgoda związków zakładowych lub przedstawicieli pracowników (w sytuacji, kiedy w zakładzie nie funkcjonują związki zawodowe)

§ Ustawa o Zakładowym Funduszu Świadczeń Socjalnych - na mocy ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO wprowadzono dodatkowe ustępy do art. 8 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych.

Wprowadzone zmiany dotyczą:

  • ust 1a ustala, że udostępnianie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Jednocześnie przepis ten upoważnia pracodawcę do żądania udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie to może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu,
  • ust 1b nakłada obowiązek dopuszczanie do przetwarzania danych osobowych dotyczących zdrowia tylko osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby upoważnione do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. Członkowie Komisji Socjalnej powinni zatem takie upoważnienie od pracodawcy otrzymać,
  • ust 1c upoważnia pracodawcę do przetwarzania danych osobowych o których mowa w ust. 1a, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń,
  • ust 1d nakazuje pracodawcy dokonywanie przeglądu danych osobowych, o których mowa w ust. 1a, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Ponadto przepis ten nakazuje pracodawcy usuwanie danych osobowych, których dalsze przechowywanie jest zbędne do realizacji celów określonych w ust.1a.i 1c.

W regulaminie ZFŚS uzasadnione (choć nieobligatoryjne) jest wskazanie tego obowiązku, określając jednocześnie termin przeglądu.

Pracownicze Plany Kapitałowe

W 2019 roku, w polskim ustawodawstwie, pojawił się zupełnie nowy akt, który związany jest z przetwarzaniem danych osobowych. Mowa o ustawie o Pracowniczych Planach Kapitałowych (PPK).

Na mocy ustawy wprowadzono powszechny, dobrowolny i w pełni prywatny system długoterminowego gromadzenia i pomnażania oszczędności na emeryturę. 

Biorąc pod uwagę fakt, że PPK są nowością dla polskich przedsiębiorców, a ich wdrożenie wymaga tworzenia nowej dokumentacji oraz udostępniania danych pracowników ich identyfikujących (imię i nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL, numer i serię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość w przypadku obcokrajowców) do podmiotów zewnętrznych, aspekty

Programów powinny zostać rozważone w kontekście ochrony danych osobowych     pracowników.

Pracownicze Plany Kapitałowe stanowią odrębny proces przetwarzania danych, w którym równocześnie występuje dwóch niezależnych administratorów danych – pracodawca oraz instytucja finansowa obsługująca PPK. Każdy z podmiotów realizuje swoje obowiązki wynikające z ustawy, w zakresie w jakim uzyskali oni dostęp do danych. Przyjęło się również uważać, że Pracodawca jest administratorem danych na etapie ich przekazywania do instytucji, przy czym dokładne rozwiązanie tej sytuacji ma miejsce na etapie podpisywania umowy i ustalania warunków współpracy pomiędzy zainteresowanymi stronami.

LexDigital w 2019

W tym roku wprowadziliśmy na rynek narzędzie wspomagające zarządzanie systemem ochrony danych osobowych. To oprogramowanie, które prowadzi organizację przez wszystkie kroki wdrożenia RODO w efektywny i szybki sposób. Stosując naszą aplikację organizacja uzyskuje sprawdzone i gotowe rozwiązania, cenne podpowiedzi i łatwe do utrzymania repozytorium. Zapraszamy do zapoznania się ze szczegółami funkcjonalności LexDigitalApp [klik].

Nasze kompetencje i doświadczenie zostało docenione przez dotychczasowych i zupełnie nowych klientów. Obdarzając nas zaufaniem w niezwykle trudnej i delikatnej materii jaką jest ochrona danych osobowych (dając jednocześnie dowód na własną świadomość i dbałość o dane swoich klientów i pracowników) powierzyli nam funkcję Inspektora ochrony danych.

Świadczymy usługi m.in. dla jednej z największych polskich firm w branży meblarskiej, dostawcy zaawansowanych usług technologicznych i produktów IT wspierających procesy biznesowe, lidera polskiego rynku jubilerskiego w związku z jego ekspansją na rynki zagraniczne, agencji kreatywnej świadczącej usługi dla najbardziej znanych, światowym marek i wielu innych.

W szeregach naszego zespołu znajdują się specjaliści najwyższej klasy z zakresu danych osobowych, prelegenci wielu prestiżowych wydarzeń związanych z ochroną danych takich jak: 

  • Szkolenie dla Inspektorów Ochrony Danych  
  • Presscom: Dzień Ochrony Danych Osobowych
  • ABI Expert: III Forum ABI EXPERT
  • RIBA – RODO, Innowacje, Bezpieczeństwo, Audyt
  • MIODO: IV MEETING INSPEKTORÓW OCHRONY DANYCH (OSOBOWYCH)
  • Seminarium SABI
  • I Forum Informacji i Ochrony Danych Osobowych,
  • What The H@ck 

Zagadnienia związane z ochroną danych osobowych to z pewnością tematy trudne i często niezrozumiałe, dlatego zachęcamy do śledzenia naszej strony internetowej, a teraz życzymy Państwu Szczęśliwego i dano-osobowo bezpiecznego roku 2020! 

Polecane

Czy compliance officer może być inspektorem ochrony danych?

Czy compliance officer może być inspektorem ochrony danych?

25 maja 2020 roku miną 2 lata odkąd obowiązują wymogi ogólnego rozporządzenia o ochronie danych osobowych (RODO). Funkcja Inspektora Ochrony Danych (IOD) oraz jego zadania zostały dość jasno określone w rozporządzeniu i wydaje się, że po 24 miesiącach funkcjonowania RODO wszystko powinno być jasne. Skąd zatem tyle wątpliwości dotyczących łączenia stanowiska IOD z innymi obowiązkami? I czy możliwe jest łączenie funkcji IOD ze stanowiskiem compliance officera?

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.