Naruszenie RODO na terenie Unii Europejskiej kosztuje coraz więcej

Data dodania:
Naruszenia RODO kosztują coraz więcej
  • Najwięcej naruszeń zgłoszono w Niemczech (było ich 106 731),
  • Najwyższą karę w wysokości 746 mln euro nałożył urząd ochrony danych z Luksemburga, kolejne zostały nałożone przez organy ochrony danych osobowych z Irlandii (225 mln euro) i Francji (50 mln euro),
  • Krajowy Urząd Ochrony Danych Osobowych wymierzył kary o łącznej wartości 2,2 mln.
Naruszenia RODO kosztują coraz więcej
Naruszenie RODO to koszt

Początek roku to czas podsumowań, które nie mogą ominąć również dziedziny ochrony danych osobowych. Organizacjom i podmiotom zainteresowanym tematyką prywatności pragniemy zaprezentować wyniki raportu dotyczącego stosowania RODO „DLA Piper GDPR fines and data breach survey: January 2022. A report produced by DLA Piper’s cybersecurity and data protection team”, który po raz trzeci przygotowała międzynarodowa firma prawnicza DLA Piper. To dobra okazja na podsumowanie tego, jak z perspektywy naruszeń i kar nałożonych w ciągu ostatnich 12 miesięcy działają przepisy RODO w poszczególnych krajach Unii Europejskiej. Data publikacji raportu jest nieprzypadkowa, bo 28 stycznia obchodzony jest Międzynarodowy Dzień Ochrony Danych Osobowych.

Raport zawiera analizę zgłaszanych naruszeń dotyczących RODO oraz dane statystyczne odnoszące się do wymierzonych kar przez organy nadzorcze w poszczególnych krajach członkowskich. Badanie obejmuje 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Lichtenstein.

Ile zgłoszeń wpłynęło do europejskich organów nadzoru?

Od 28 stycznia 2020 r. do 27 stycznia 2022 r. zgłoszono do europejskich organów ochrony danych osobowych 121 165 naruszeń. Oznacza to, że każdego dnia odnotowano 278 naruszeń. Dla porównania w 2019 r. do organów regulacyjnych wpłynęło 101 403 skarg, a liczba zgłoszonych naruszeń RODO wzrosła o 19 proc w stosunku do poprzedniego okresu badawczego.

Kto odnotował najwięcej zgłoszeń w okresie od 25 maja 2018 r. do stycznia 2022 r.? W tej klasyfikacji pierwsze miejsce zajmują Niemcy – 40 111 tysiąca zgłoszeń, drugie miejsce Holandia – 25 880 tysiąca zgłoszeń, a trzecie miejsce należy do Danii – 9 132 zgłoszeń. W tym czasie polski urząd ochrony danych osobowych odnotował 8 635 przypadków zgłoszeń naruszeń zajmując – 6  miejsce pośród 27 krajów UE.

Dane dotyczące kar związanych z naruszeniem RODO

Z raportu DLA Piper wynika, że w Unii Europejskiej siedmiokrotnie wzrasta liczba kar wymierzona przez organy nadzorcze.
Kto wymierzył w okresie od 25 maja 2018 r. do stycznia 2022 najwięcej kar w ujęciu ilościowym? Na pierwszym miejscu zestawienia znajduje się włoski organ ochrony danych (Garante per la protezione dei dati personali) z kwotą grzywn w wysokości – 69,3 mln euro, na drugim miejscu plasuje się niemiecki organ (Bundesbeauftragten für den Datenschutz und die Informationsfreiheit BfDI) – 69 mln euro, a na trzecim miejscu francuski organ regulacyjny (Commission Nationale de I’Informatique et des Libertes ) z sumą 54,4 mln euro. Całkowita kwota kar nałożonych przez krajowy Urząd Ochrony Danych Osobowych wyniosła około 2 mln euro, a Polska zajmuje 13 miejsce w zestawieniu.

Rekordowe kary za naruszenie prywatności

Najwyższa kara z tytułu naruszenia RODO została nałożona w Luksemburgu przez National Commission for Data Protection. Rekordowa kara 746 mln EUR została nałożona na amerykańskiego giganta Amazon za niezgodne z prawem targetowanie reklam. Druga pod względem wysokości kara została nałożona przez irlandzki organ ochrony danych osobowych (Data Protecion Commission) na WhatsApp – internetowy komunikator należący do firmy Facebook – za nieprzestrzeganie RODO. Trzecia najwyższa w historii kara za złamanie przepisów RODO została nałożona we Francji (Commission Nationale de I’Informatique et des Libertes) na innego internetowego giganta Google, który został ukarany za niewłaściwy sposób przetwarzania danych osobowych.

Co z tego wynika?

W raporcie międzynarodowej firmy prawniczej znajdziemy też odpowiedź na pytanie, dlaczego w krajach Europy Zachodniej organy nadzoru zasądzają dużo wyższe kary z tytułu naruszenia RODO. Przypomnijmy, że kara za złamanie przepisów ogólnego rozporządzenia o ochronie danych osobowych może wynieść nawet 4 proc. całkowitego rocznego obrotu firmy za poprzedni rok. Eksperci przypominają, że lepiej rozwinięte gospodarczo kraje Europy Zachodniej mają więcej powiązań gospodarczych i przetwarzają na znacznie większą skalę dane osobowe m.in w branżach e-commerce czy sektorze przedsiębiorstw. Natomiast w Luksemburgu czy w Irlandii mają siedzibę międzynarodowe koncerny, w tym internetowi giganci jak Facebook czy Google.
Eksperci z Globalnego Zespołu Ochrony Danych Osobowych firmy Piper zwracają również uwagę na znaczący wzrost kar pieniężnych wymierzanych za naruszenie RODO. W ocenie prawników wzrost sankcji za złamanie przepisów dotyczących prywatności może być szczególnie dotkliwy dla firm z branży e-commerce i prowadzących działalność online. Problemem, z którym z pewnością zetkną się podmioty prowadzące działalność gospodarczą w Europie jest transfer danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego, w następstwie wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems z lipca 2020 roku, znany jako „Schrems II”.
Wyrok europejskiego trybunału nakłada na firmy, transferujące dane osobowe poza strefę Europejskiego Obszaru Gospodarczego, obowiązek mapowania transferów oraz dokonanie szczegółowej oceny prawnego i praktycznego ryzyka przechwycenia ich przez organy publiczne w krajach, w których znajdują się importerzy danych. Zdaniem autorów raportu, orzeczenie TSUE w sprawie Schrems II zwiększa ryzyko kar i ryzyko roszczeń odszkodowawczych. Może się też wiązać z koniecznością zawieszenia transferu. Eksperci prognozują, że w opisywanej sytuacji może nawet dojść do naruszenia ciągłości prowadzenia działalności gospodarczej lub zakłócenia świadczenia usług w tym zakresie.
Ze względu na światową pandemię COVID-19 i finansowe trudności wielu firm, zauważalna jest tendencja organów nadzoru ochrony danych osobowych do orzekania w głośnych sprawach nieco niższych, niż pierwotnie prognozowanych, kar np. kara brytyjskiego organu ochrony danych osobowych dla linii lotniczych British Airlines za wyciek danych 500 tys. klientów. została obniżona z 183 milionów funtów do 20 mln.

Więcej:

  • Komentarz Ewy Kurowskiej-Tober, partner w polskim oddziale DLA Piper i współkierująca globalną Grupą Ochrony Danych, Prywatności i Bezpieczeństwa DLA Piper, dostępny na oficjalnej stronie internetowej firmy Piper
  • https://www.dlapiper.com/pl/poland/insights/publications/2022/1/dla-piper-gdpr-fines-and-data-breach-survey-2022/
  • https://www.all-about-security.de/wp-content/uploads/2022/01/Data-Breach-Report-2022.
  • https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers.

Brakuje Ci praktycznej wiedzy z zakresu ochrony danych osobowych? Chcesz przygotować się do kontroli ze strony Urzędu Ochrony Danych Osobowych lub potrzebujesz przygotować odpowiedź na pismo organu nadzorczego? Zapraszamy do kontaktu: biuro@ochronadanych-rodo.pl.

Nowa podstawa dla zespołów orzekających.

Data dodania:
Nowa podstawa prawna dla poradni pedagogicznych

Problem braku kompleksowych regulacji procesów związanych z przetwarzaniem danych przez poradnie psychologiczno-pedagogiczne był sygnalizowany wielokrotnie przez Urząd Ochrony Danych Osobowych. Zmiany obowiązują od 28 grudnia 2021 r.

Nowa podstawa prawna dla poradni pedagogicznych
Właściwa podstawa prawna dla zespołów orzekających w poradniach pedagogiczno-psychologicznych.

Poradnie udzielające pomocy psychologiczno-pedagogicznej przetwarzają dane osobowe uczniów i ich rodziców, a także nauczycieli czy specjalistów udzielających pomocy. W prowadzonej dokumentacji zbierają szeroki zakres danych zwykłych i szczegółowych. W zakresie danych o charakterze zwykłym: imiona i nazwiska dziecka oraz jego rodziców, numer PESEL dziecka, numer i seria innego dokumentu potwierdzającego tożsamość, adresy zamieszkania oraz dane kontaktowe. W zakresie danych szczegółowych: stan zdrowia, przekonania religijne czy światopoglądowe, a więc informacje wymagające szczególnej ochrony. Dokumentacja prowadzona przez poradnie, niezależnie od tego, czy jest w formie papierowej, czy elektronicznej, powinna być chroniona przy zapewnieniu wysokich standardów bezpieczeństwa.

Dotychczasowa praktyka poradni psychologiczno-pedagogicznych

W dotychczas akceptowanej przez poradnie pedagogiczno-psychologiczne formie, rodzic lub opiekun prawny we wniosku o wydanie orzeczenia o potrzebie kształcenia lub opinii składał również oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych dziecka lub ucznia. Taki wymóg formalny wynikał wprost z § 6 ust. 2 pkt 2 uchylonego z dniem 28 grudnia 2021 r. rozporządzenia Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych (Dz.U. z 2017 r. Nr 1743).

Prezesa Urzędu Ochrony Danych Osobowych apeluje do Resortu Edukacji o przeprowadzenie zmian

Problem braku kompleksowych regulacji procesów związanych z przetwarzaniem danych zawartych w dokumentacji, prowadzonej przez poradnie psychologiczno-pedagogiczne, wielokrotnie sygnalizował Prezes Urzędu Ochrony Danych Osobowych. Organ nadzorczy wielokrotnie wskazywał, że rozporządzenie Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych zawiera błędną podstawę prawną do przetwarzania danych osobowych przez poradnie psychologiczno-pedagogiczne na potrzeby orzeczeń wydawanych przez zespoły orzekające np. o potrzebie kształcenia indywidualnego lub specjalnego. Przetwarzanie danych w związku z działalnością poradni psychologiczno-pedagogicznych nie może być kształtowane wyłącznie w oparciu o zgodę, o której mowa w art. 9 ust. 2 lit. a) RODO. Zgoda w każdym momencie może być wycofana, a jej wycofanie niesie określone konsekwencje prawne.

Zgoda nie zawsze jest właściwą podstawą przetwarzania danych

Przypomnijmy, że zgodnie z art. 6 ust. 1 RODO dane osobowe mogą być przetwarzane, gdy jest to niezbędne do:

  • wykonania umowy,
  • wypełnienia obowiązku prawnego ciążącego na administratorze,
  • ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo administrator musi zrealizować cel wynikający z prawnie uzasadnionych interes.

Dopiero, gdy, przeprowadzona przez administratora danych, analiza wykaże, że w danej organizacji nie mogą być zastosowane wymienione przesłanki, to podstawą do przetwarzania danych osobowych może być zgoda, ale tylko, gdy spełnione zostaną określone warunki dotyczące np. dobrowolności jej złożenia.

Nowe rozporządzenie Ministra Edukacji i Nauki

Minister Edukacji i Nauki przychylił się do argumentów prawnych przedstawionych w wystąpieniu Prezesa UODO i usunął wymóg zamieszczania we wniosku o wydanie opinii bądź orzeczenia, oświadczenia wnioskodawcy o wyrażeniu zgody na przetwarzanie danych osobowych w celu wydania orzeczenia lub opinii. Takie zmiany zostały już wprowadzone rozporządzeniem Ministra Edukacji i Nauki z dnia 30 listopada 2021 r., które zmieniło powołane wcześniej rozporządzenie z 2017 r. Nowe przepisy obowiązują od dnia 28 grudnia 2021 r. Zgoda nie może być już podstawą przetwarzania danych osobowych na potrzeby orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych.

Więcej:
https://uodo.gov.pl/pl/138/2165,
http://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20170001743/O/D20171743.pdf,
https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20210002294/O/D20212294.pdf.

Brakuje Ci praktycznej wiedzy z zakresu danych osobowych? Chcesz przygotować się do kontroli ze stronu Urzędu Ochrony Danych Osobowych lub potrzebujesz przygotować projekt odpowiedzi na pismo organu nadzorczego? Zapraszamy do kontaktu: biuro@ochronadanych-rodo.pl

Kogo będzie kontrolował UODO w 2022 roku?

Data dodania:
Kogo będzie kontrolował Urząd Ochrony Danych Osobowych w 2022 roku?

Prezes Urzędu Ochrony Danych Osobowych ogłosił plan kontroli na 2022 r. Kto powinien szykować się na kontrolę przetwarzanych danych osobowych?

Kogo będzie kontrolował Urząd Ochrony Danych Osobowych w 2022 roku?
UODO opublikował doroczny plan kontroli na 2022 rok.

Prezes Urzędu Ochrony Danych Osobowych przyjął plan kontroli na 2022 r. Organ nadzorczy ustalając obszary kontroli, bierze pod uwagę wpływające skargi, pytania i zgłoszenia naruszeń ochrony danych osobowych, które wskazują na zagrożenia naruszenia przepisów o ochronie danych osobowych oraz społeczne zainteresowanie tego typu problemami.

W bieżącym roku, Prezes Urzędu Ochrony Danych Osobowych uznał za istotne, z punktu widzenia zadań realizowanych przez organ nadzorczy, sprawdzenie przetwarzania danych osobowych przez banki, w tym w zakresie profilowania. Sprawdzi też sposoby informowania, osób ubiegających się o kredyt, o dokonanej ocenie zdolności kredytowej w związku z art. 70a ustawy Prawo bankowe. Z kontrolą muszą się też liczyć przetwarzający dane przy użyciu mobilnych aplikacji, organy przetwarzające dane osobowe w systemach SIS i VIS oraz organy administracyjne przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym.

Doroczny plan kontroli sektorowych budowany jest w oparciu o pojawiające się zagrożenia przepisów o ochronie danych osobowych w danych sektorach oraz duże zainteresowanie społeczne. Kontroli podlegają również te obszary, które można uznać za istotne z punktu widzenia zadań realizowanych przez Prezesa Urzędu Ochrony Danych Osobowych.
Publikacja dorocznego planu kontroli nie oznacza jednak, że organ nadzorczy nie będzie kontrolował żadnych innych instytucji publicznych czy prywatnych firm. Należy bowiem pamiętać, że większość kontroli podejmowana jest na skutek zgłoszeń i donosów o nieprawidłowościach.

CHECKLISTA
PLAN KONTROLI PREZESA UODO NA 2022 R.

  • KONTROLA ADMINISTRACJI SKARBOWEJ I PLACÓWEK KONSULARNYCH w zakresie przetwarzania danych w Systemie Informacyjnym Schengen, kontrola Krajowego Systemu Informatycznego,
  • BANKI – przetwarzanie danych osobowych klientów w zakresie weryfikacji tożsamości klientów lub potencjalnych klientów, którzy starają się o przyznanie kredytu oraz profilowanie),
  • PODMIOTY PRZETWARZAJĄCE DANE ZA POMOCĄ APLIKACJI MOBILNYCH.

Więcej informacji:
Doroczny plan kontroli sektorowej jest dostępny na oficjalnej stronie urzędu: https://uodo.gov.pl/pl/138/2250

Brakuje Ci praktycznej wiedzy z zakresu danych osobowych? Chcesz przygotować się do kontroli ze stronu Urzędu Ochrony Danych Osobowych? Jesteśmy tu aby Ci pomóc. Zapraszamy do kontaktu: biuro@ochronadanych-rodo.pl

Pierwsza skarga przeciwko Europejskiej Radzie Ochrony Danych

Data dodania:
Skarga WhatsApp do TSUE

Z uwagi na wysokość nałożonej kary pieniężnej w wysokości 225 mln euro (jedna z najwyższych kar pieniężnych nałożonych na podstawie RODO), toczący się pomiędzy twórcą najpopularniejszego internetowego komunikatora WhatsApp, a Europejską Radą Ochrony Danych spór sądowy będzie miał duże znaczenie dla ochrony danych osobowych europejskich konsumentów.

Do Europejskiego Trybunału Sprawiedliwości wpłynęła pierwsza skarga przeciwko Europejskiej Radzie Ochronie Radych.
Pierwsza skarga na EROD

Spółka WhatsApp Ireland Limited z siedzibą w Dublinie, Irlandia (dalej: “WhatsApp IE”) skierowała do Europejskiego Trybunału Sprawiedliwości pierwszą w historii skargę przeciwko Europejskiej Radzie Ochrony Danych, zarzucając jej naruszenie szeregu przepisów prawa w związku z przyjęciem na podstawie art. 65 RODO wiążącej decyzji nr 1/2021 w sprawie sporu powstałego w związku z projektem decyzji irlandzkiego organu nadzorczego („Data Protection Commission”, zwany dalej Data Protection) dotyczącego wymienionej powyżej aplikacji mobilnej.

Spór dotyczy projektu decyzji wydanego przez irlandzki organ nadzorczy w porozumieniu z Europejską Radą Ochrony Danych Osobowych w sprawie dotyczącej nieprawidłowego wypełnienia przez WhatsApp obowiązków informacyjnych. Zasądzona kwota 225 mln euro jest jedną z najwyższych kar pieniężnych nałożonych na podstawie RODO.

W wyniku przeprowadzonego postępowania stwierdzono, że WhatsApp w nieprawidłowy sposób informował użytkowników z Unii Europejskiej o tym, w jaki sposób zbiera i przetwarza ich dane osobowe. Tym samym, według organu nadzoru, WhatsApp naruszył zasady wynikające z art. 12, 13 i 14 RODO oraz nie informował należycie użytkowników aplikacji na czym polegają prawnie uzasadnione interesy dostawcy usługi przetwarzania danych. Ponadto irlandzki organ ochrony danych stwierdził, że WhatsApp dopuścił się także naruszenia art. 5 ust. 1 lit. a RODO, czyli zasady przejrzystości w przetwarzaniu danych osobowych.

Zaktualizowana polityka prywatności jednej z najpopularniejszych na świecie aplikacji, służących do komunikacji 2 miliardów użytkowników ze 180 krajów, uzależnia możliwość korzystania z aplikacji od udzielenia zgody na udostępnienie danych osobowych portalowi społecznościowemu Facebook, w tym m.in. numeru telefonu, nazwy profilu oraz adresu IP.

Warto zauważyć, że początkowo kara miała być niższa, jednak, po wielu konsultacjach, europejski regulator w porozumieniu z irlandzkim organem ochrony danych kilkakrotnie podniósł jej wysokość. Wskazał też odpowiednie wymagania, które WhatsApp powinien podjąć w celu poprawy zgodności z RODO, gdyż stwierdzone naruszenia art. 14 RODO mają „bardzo poważny charakter” i „dużą wagę”, a naruszenia stanowią „wysoki stopień zaniedbania”.

Więcej informacji:
https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:62021TN0709&from=EN

Rzecznik TSUE za udziałem organizacji konsumenckich w sprawach dotyczących ochrony danych osobowych

Data dodania:

Rzecznik Europejskiego Trybunału Sprawiedliwości wydał opinię w sprawie udziału w postępowaniu przed europejskim trybunałem organizacji konsumenckich w sprawach dotyczących ochrony danych osobowych.

Rzecznik TSUE za udziałem organizacji społecznych w postępowaniach sądowych  dotyczących ochrony danych osobowych.
Rzecznik TSUE opowiedział się za udziałem organizacji społecznych w postępowaniach dotyczących ochrony danych osobowych.

Niemiecki Federalny Trybunał Sprawiedliwości (Bundesgerischtshof) skierował pytanie prawne do Trybunału Sprawiedliwości Unii Europejskiej, w związku z wątpliwościami, co do zdolności procesowej powoda, którym była niemiecka organizacja prokonsumencka (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.). Stowarzyszenia reprezentujące konsumentów zarzucają internetowemu gigantowi, że jego platforma z darmowymi grami narusza reguły ochrony danych osobowych i uczciwej konkurencji.

Rzecznik Generalny Trybunału Sprawiedliwości Unii Europejskiej, Jean Richard de la Tour, wydał opinię w postępowaniu prowadzonym przez TSUE w sprawie skargi niemieckiego związku organizacji konsumenckich, który skierował przeciwko Facebook Ireland powództwo o nakazanie zaprzestania szkodliwych praktyk (sprawa C-319/20). Zaprezentowana przez rzecznika generalnego unijnego Trybunału Sprawiedliwości opinia jest pozytywna dla organizacji konsumenckich domagających się wysokiego standardu ochrony danych użytkowników internetowych aplikacji i prawdopodobnie utoruję drogę do podobnych działań w całej Unii Europejskiej.

Zgodnie z art. 80 RODO organizacja społeczna może wnosić skargę na naruszenie przepisów o ochronie danych osobowych, ale tylko w imieniu osób, których dane dotyczą. RODO, nie przyznaje stowarzyszeniom, w szczególności prokonsumenckim uprawnień do samodzielnego kierowania takich skarg. Zgodnie z niemieckim prawem na gruncie, którego sprawa była rozstrzygana, organizacje konsumenckie działają w postępowaniach na podstawie krajowych przepisów dotyczących konkurencji. Rozpatrujący sprawę niemiecki sąd miał wątpliwości prawne, czy po wejściu w życie RODO, przepisy te zachowują dalszą moc.

W ocenie Rzecznika Generalnego (TSUE) Państwa członkowskie mogą zezwolić stowarzyszeniom ochrony konsumentów na wnoszenie powództw przedstawicielskich przeciwko naruszeniom ochrony danych osobowych – powiedział w opinii rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z siedzibą w Luksemburgu Richard de la Tour. – Takie działania muszą opierać się na naruszeniach praw wywodzących się bezpośrednio z RODO – dodał, odnosząc się do przełomowych unijnych zasad ochrony prywatności przyjętych trzy lata temu.

Jean Richard de la Tour podkreślił, że organy konsumenckie, które bronią zbiorowych interesów konsumentów, są szczególnie dostosowane do celu RODO, jakim jest ustanowienie wysokiego poziomu ochrony danych osobowych.
Opinie rzecznika generalnego z zasady nie wiążą Trybunału Sprawiedliwości, ale praktyka pokazuje, że składy sędziowskie europejskiego trybunału bardzo często przychylają się do stanowiska prawnego wyrażanego przez rzecznika generalnego.

Więcej:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=250421&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=8218782

Czy nowe przepisy pozwolą pracodawcy poznać informacje o zaszczepionych pracownikach?

Data dodania:
Weryfikacja zaszczepionych na COVID-19 przez pracodawcę.

Pracodawcy postulują o prawo dostępu do informacji o pracownikach zaszczepionych przeciwko COVID-19

Czy pracodawcy będą mogli  uzyskać informację o pracownikach zaszczepionych na COVID-19?
Czy pracodawcy będą mogli uzyskać informację o pracownikach zaszczepionych na COVID-19?

Minister Zdrowia Adam Niedzielski zapowiedział, że na jednym z najbliższym posiedzeń Sejmu rozpatrywany będzie projekt przepisów dotyczący dostępu pracodawców do informacji o zaszczepieniu pracowników na COVID-19. Przypomnijmy, że dotychczas żaden przepis prawa nie pozwalał pracodawcy sprawdzić, czy zatrudniony pracownik lub kandydat do pracy się zaszczepił. Minister Zdrowia w rozmowie z Polsat News podkreślił, że w dobie epidemii, pracodawcom trzeba dać narzędzia, które pozwolą im zachować ciągłość działalności firmy.
Ustawowe uregulowanie kwestii prawa pracodawcy do weryfikacji informacji o zaszczepionych pracownikach jest bardzo oczekiwane przez rynek pracy. Pozwoli też wyeliminować nieprawidłowości związane z pobieraniem zgód od pracowników dotyczących informacji o szczepieniu, czy przetwarzaniu informacji o zaszczepieniu w związku z obowiązkiem pracodawcy zapewnienia bezpiecznych i higienicznych warunków pracy.

Czy rządowy projekt ustawy o sygnalistach stanie się obowiązującym prawem?

Data dodania:
Ustawa o sygnalistach 2021 r.

Na stronie Kancelarii Prezesa Rady Ministrów w wykazie prac legislacyjnych zaplanowanych na IV kwartał 2021 r. opublikowano projekt ustawy o ochronie osób zgłaszających naruszenia prawa tzw. sygnalistach (numer UC101). Jakich zmian w prawie należy się spodziewać na zakończenie 2021 roku?

Ustawa o sygnalistach 2021 r.
Projekt ustawy o sygnalistach 2021 r.

Na stronie internetowej Rządowego Centrum Legislacji opublikowany został projekt ustawy o ochronie osób zgłaszających naruszenia prawa (tzw. sygnalistów) wraz z uzasadnieniem. Przepisy nie przewidują żadnego okresu przejściowego dla podmiotów zatrudniających więcej niż 249 pracowników, co oznacza, że projekt może bardzo szybko stać się obowiązującym prawem. Prezentujemy wybrane zagadnienia, które znalazły się w projekcie.

Obowiązek implementacji:

Ustawa ma implementować do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L 305 z 26.11.2019, str. 17 oraz Dz. Urz. UE L 347 z 20.10.2020, str. 1), czyli tzw. dyrektywę o sygnalistach, której termin wdrożenia upływa 17 grudnia 2021 roku i może szybko stać się obowiązującym prawem.

Cel:

Celem przepisów jest wdrożenie do polskiego porządku prawnego przepisów dotyczących ochrony tzw. sygnalistów (ang. whistblower), czyli osób zgłaszających nieprawidłowości i naruszenia prawa w interesie publicznym. Projektowana ustawa określa tryb zgłaszania naruszeń i podejmowania w związku z tym określonych działań następczych przez pracodawców i organy publiczne. Przepisy mają za zadanie przeciwdziałać i zwalczać praktyki korupcyjne oraz wszelkie inne działania sprzeczne z prawem oraz chronić podmioty, które dokonują zgłoszeń nieprawidłowości.

Zakres ustawy:

Dyrektywa obejmuje zgłoszenia dotyczące naruszeń przepisów w następujących dziedzinach:
• Zamówienia publiczne
Usługi, produkty i rynki finansowe
Bezpieczeństwo produktów,
• Bezpieczeństwo transportu
Ochrona środowiska
Ochrona radiologiczna i bezpieczeństwo jądrowe
• Bezpieczeństwo żywności, pasz i zwierząt
Zdrowie publiczne
Ochrona konsumentów
Ochrona prywatności i danych osobowych
• Bezpieczeństwo sieci i systemów informatycznych
Naruszenia mające wpływ na interesy Unii Europejskiej
Naruszenia rynku wewnętrznego, w tym ochrona konkurencji, pomocy państwa

Od kiedy i kogo dotyczy?

• Przepisom ustawy od momentu wejścia w życie ustawy podlegać będą podmioty sektora publicznego, a także te z sektora prywatnego, które zatrudniają co najmniej 250 pracowników.
• Podmioty sektora prywatnego zatrudniające co najmniej 50 pracowników będą podlegać ustawie od dnia 17 grudnia 2023 r.

Kto może zostać sygnalistą?

Projekt ustawy zakłada, że sygnalistą może być wyłącznie osoba fizyczna, która zostaje objęta ochroną, gdy dokonuje zgłoszenia:
• w związku z wykonywaną pracą,
• ma uzasadnione podstawy by sądzić, że informacje są prawdziwe,
• informacje są objęte zakresem Dyrektywy UE nr 2019/1937 z dnia z dnia 23 października 2019 r.,
• motywy jej działania nie mają znaczenia,
• spełnia wymóg dokonania zgłoszenia wewnętrznego albo zewnętrznego lub ujawnienia publicznego.
Weźmy pod uwagę, że przewidziane w projekcie ustawy gwarancje i środki prawne będą przysługiwały sygnaliście, którym może zostać osoba zatrudniona na podstawie umowy o pracę lub na podstawie umowy cywilnoprawnej, a także wykonawcą, podwykonawcą lub dostawcą oraz inną osobą zgłaszającą informacje o naruszeniach w kontekście związanym z pracą, jak akcjonariusze i wspólnicy oraz członkowie organów osoby prawnej. Ochroną będą również objęte osoby dokonujące zgłoszenia, których stosunek pracy ustał lub dopiero ma zostać nawiązany, w przypadku, gdy informacje na temat naruszenia uzyskano w trakcie procesu rekrutacyjnego.
Warunkiem otrzymania statusu sygnalisty i uprawnień z tego wynikających będzie dokonanie przez sygnalistę zgłoszenia zgodnie z zasadami wynikającymi z ustawy tj. dokonania w pierwszej kolejności zgłoszenia wewnętrznego.

Podstawowe założenia zmian:

Istotą rozwiązań przyjętych w projekcie jest objęcie ochroną osób dokonujących zgłoszenia lub ujawnienia informacji lub uzasadnionych podejrzeń naruszenia prawa, które uzyskały informacje na temat naruszenia w kontekście związanym z pracą w sektorze prywatnym lub publicznym.

Szczegółowe rozwiązania:

Wśród proponowanych rozwiązań szczegółowych przewidziano m.in.:
1) Ustanowienie kanałów dokonywania zgłoszeń przez sygnalistę. Zgłoszenia naruszenia prawa można dokonać za pomocą:
a) wewnętrznych kanałów zgłoszeń utworzonych przez pomioty prywatne i publiczne,
b) zewnętrznych kanałów zgłoszeń do odpowiednich organów publicznych,
c) ujawnienia publicznego,
2) wyznaczenie bezstronnej osoby lub działu do działań następczych,
3) Rzecznik Praw Obywatelskich będzie organem uprawnionym do przyjęcia zgłoszenia zewnętrznego,
4) prowadzenie działań następczych,
5) zapewnienie dostępności informacji nt. procedur zgłaszania nieprawidłowości,
6) prowadzenie rejestru zgłoszeń,
7) zapewnienie ochrony tożsamości sygnalisty.

Wyłączenie odpowiedzialności wobec sygnalisty:

Sygnalista nie odpowiada, gdy pozyskał informację zgodnie z prawem lub np. kopiuje dokumenty, do których ma dostęp i wynosi je z firmy wbrew klauzulom umownym. W związku z dokonywanym zgłoszeniem sygnalista nie odpowiada też za szkody i nie można wobec niego wszcząć postępowania dyscyplinarnego.

Podsumowanie:

Projektowana ustawa ma wejść w życie po upływie 14 dni od dnia ogłoszenia. Oznacza to, że projekt może szybko stać się obowiązującym prawem. Ustawodawca nie przewidział jednak żadnego okresu przejściowego, dlatego rekomendujemy, aby podmioty zatrudniające więcej niż 249 osób traktowały tę kwestię, jako priorytetową i jak najszybciej podjęły prace wdrożeniowe.

Źródła:
• Projekt ustawy z dnia 18 października 2021 r. o ochronie osób zgłaszających naruszenia prawa (numer UC101).

Błędy w wysyłce e-mail powodem naruszenia RODO.

Data dodania:
Jak wysyłać seryjną korespondencję godnie z RODO?

Jakich błędów unikać przy wysyłce korespondencji w formie elektronicznej do klientów czy kontrahentów, aby nie narazić się na zarzut naruszenia RODO i straty wizerunkowe?

Jak wysyłać seryjną korespondencję godnie z RODO?
Seryjna wysyłka poczty elektronicznej a RODO.

Wysyłka poczty elektronicznej jest doskonałym sposobem na szybkie rozpowszechnianie informacji lub treści marketingowych. Trzeba jednak zachować ostrożność, aby nie zdarzyła się kompromitująca wpadka lub nie postawiono firmie zarzutu naruszenia przepisów RODO.

Do naruszeń ochrony danych osobowych związanych z błędami w wysyłce firmowych e-maili dochodzi z błahych powodów, przeważnie przez pośpiech lub nieuwagę nadawcy korespondencji lub na skutek błędu pracownika administratora danych odpowiedzialnego za przygotowanie i wysyłkę korespondencji. Źródło nieprawidłowości może powstać również na etapie gromadzenia danych, gdzie potencjalny odbiorca nieprawidłowo wskazywał swój adres korespondencyjny. W efekcie dochodzi do ujawnienia przypadkowym odbiorcom danych adresata wiadomości lub udostępnienia danych nieuprawnionemu odbiorcy. Konsekwencją takiego naruszenia bezpieczeństwa w zależności od jego wagi jest:

Ze Sprawozdania Prezesa Urzędu Ochrony Danych Osobowych za 2020 r. wynika, że wśród najczęściej zgłaszanych naruszeń należą incydenty bezpieczeństwa związane z wysyłaniem korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy. Taka tendencja utrzymuje się od dobrych kilku lat.

• wpis do rejestru naruszeń,
• zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych.

Adres e-mail jako dana osobowa?

Zgodnie z art. 4 pkt 1 RODO adres e-mail może stanowić daną osobową, gdy prowadzi do identyfikacji danej osoby fizycznej. Łatwo będzie ustalić tożsamość konkretnej osoby fizycznej, której adres poczty elektronicznej składa się z imienia i nazwiska, przykładowo: annakowalska@poczta.pl lub akowalska@poczta.pl. Imienny adres e-mail zawierający „dane zwykłe” jakimi są nasze personalia powinien być przetwarzany zgodnie z przesłankami wskazanymi w art. 6 ust. 1 RODO np. potrzebujemy zgody na przesłanie wiadomości na wskazany adres.

Stanowiska organów nadzoru ochrony danych osobowych

Warto prześledzić, jak w kwestii incydentów bezpieczeństwa związanych z wysyłką poczty elektronicznej wypowiadają się organy nadzorcze poszczególnych krajów członkowskich. Taka sprawa pojawiła się również w polskim urzędzie ochrony danych osobowych.
W minionym roku Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę w wysokości 85 588 zł. Wszystko za sprawą podania przez klienta nieprawidłowego adresu e-mail. Przewinienie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata, który poinformował UODO o naruszeniu. W dokumencie znalazły się takie dane osobowe, jak: imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dot. przedmiotu ubezpieczenia jakim był samochód osobowy. Spółka nie zgłosiła naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych oraz nie zawiadomiła osób, których dotyczyło naruszenie.
W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. W ocenie Prezesa UODO administrator powinien mieć świadomość ryzyk związanych z nieprawidłowym podaniem przez klienta adresu e-mail i wprowadzić dodatkowe środki organizacyjne oraz techniczne, jak np. weryfikacja podanego adresu lub też szyfrowanie przesłanych w ten sposób dokumentów.
Organ nadzorczy podkreślił, że fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej omyłkowo korespondencji nie może stanowić o tym, że ryzyko praw i wolności osób fizycznych, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał kserokopii dokumentów lub w inny sposób ich nie utrwalił.
Prezes UODO nakładając karę podkreślił, że sama prośba o usunięcie danych nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania.
A jakie stanowisko w kwestii omyłkowego przesłania maila do złego adresata zajmują europejskie organy nadzorcze? Przykładowo islandzki organ nadzorczy stwierdził niezgodność z przepisami o ochronie danych osobowych sprawy związanej z ujawnieniem adresów e-mail odbiorców wiadomości pozostałym adresatom w wyniku umieszczenia ich adresów w kopii widocznej zamiast w ukrytej. Organ nadzorczy w związku z zaistniałym incydentem nie nałożył kary pieniężnej tylko dlatego, że administrator szybko podjął działania w celu ochrony praw podmiotów danych np. zainteresowani zostali niezwłocznie powiadomieni o zmianie procedur wewnętrznych mających zapobiec wystąpieniu takich incydentów w przyszłości.

Stanowiska organów nadzoru ochrony danych osobowych

Warto prześledzić, jak w kwestii incydentów bezpieczeństwa związanych z wysyłką poczty elektronicznej wypowiadają się organy nadzorcze poszczególnych krajów członkowskich. Taka sprawa pojawiła się również w polskim urzędzie ochrony danych osobowych.
W minionym roku Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę w wysokości 85 588 zł. Wszystko za sprawą podania przez klienta nieprawidłowego adresu e-mail. Przewinienie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata, który poinformował UODO o naruszeniu. W dokumencie znalazły się takie dane osobowe, jak: imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dot. przedmiotu ubezpieczenia jakim był samochód osobowy. Spółka nie zgłosiła naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych oraz nie zawiadomiła osób, których dotyczyło naruszenie.
W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. W ocenie Prezesa UODO administrator powinien mieć świadomość ryzyk związanych z nieprawidłowym podaniem przez klienta adresu e-mail i wprowadzić dodatkowe środki organizacyjne oraz techniczne, jak np. weryfikacja podanego adresu lub też szyfrowanie przesłanych w ten sposób dokumentów.
Organ nadzorczy podkreślił, że fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej omyłkowo korespondencji nie może stanowić o tym, że ryzyko praw i wolności osób fizycznych, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał kserokopii dokumentów lub w inny sposób ich nie utrwalił.
Prezes UODO nakładając karę podkreślił, że sama prośba o usunięcie danych nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania.
A jakie stanowisko w kwestii omyłkowego przesłania maila do złego adresata zajmują europejskie organy nadzorcze? Przykładowo islandzki organ nadzorczy stwierdził niezgodność z przepisami o ochronie danych osobowych sprawy związanej z ujawnieniem adresów e-mail odbiorców wiadomości pozostałym adresatom w wyniku umieszczenia ich adresów w kopii widocznej zamiast w ukrytej. Organ nadzorczy w związku z zaistniałym incydentem nie nałożył kary pieniężnej tylko dlatego, że administrator szybko podjął działania w celu ochrony praw podmiotów danych np. zainteresowani zostali niezwłocznie powiadomieni o zmianie procedur wewnętrznych mających zapobiec wystąpieniu takich incydentów w przyszłości.

Jak poprawnie wysłać maila do wielu odbiorców, aby nie narazić się na zarzut naruszenia RODO?

Można uniknąć problemów pamiętając o kilku prostych zasadach związanych z obsługą poczty elektronicznej. Wysyłając e-mail firmowy do klientów warto użyć funkcji UDW (Ukryte do Wiadomości). Jest to bezpieczna forma wysyłki korespondencji seryjnej, ponieważ odbiorca nie może zobaczyć innych odbiorców.

Inne środki techniczne i organizacyjne ochrony korespondencji, które można wdrożyć w firmie

Administratorzy danych, aby zmniejszyć prawdopodobieństwo wystąpienia naruszeń związanych z przesłaniem informacji lub dokumentów omyłkowemu adresatowi, mogą wdrożyć środki bezpieczeństwa w postaci:

  • szyfrowania przesyłanej korespondencji, uniemożliwiając dostęp do danych osobom nieuprawnionym,
  • stosować dodatkową weryfikację adresu korespondencyjnego w momencie gromadzenia danych, polegającą m.in. na konieczności przeliterowania adresu (w przypadku gromadzenia danych przez telefon) lub poprzez wymuszenie ponownego wpisania adresu e-mail w formularzach.

Podsumowanie

Jeżeli w firmie zdarzają się przypadki błędnie wysłanych e-maili to jest wiele prostych i skutecznych środków, które pozwolą uniknąć takich pomyłek w przyszłości. Do wdrożenia czego serdecznie zachęcamy.

Źródła:

• Opublikowane w dniu 26 sierpnia 2021 r. Sprawozdanie Prezesa Urzędu Ochrony Danych Osobowych z działalności w 2020 r. i dostępne na oficjalnej stronie organu (str. 141-142),
• Decyzja Prezesa UODO z dnia 9.12.2020 r., nr DKN.5131.5.2020 w sprawie TUiR WARTA S.A. (więcej: https://uodo.gov.pl/decyzje/DKN.5131.5.2020).

Dostęp do poczty pracownika w świetle RODO

Data dodania:
Monitoring poczty elektronicznej pracownika

Czy pracodawca może kontrolować służbową skrzynkę pracownika?

Monitoring poczty elektronicznej pracownika
Monitoring służbowej poczty elektronicznej.

Zastosowanie monitoringu poczty elektronicznej w firmie staje się coraz popularniejszym narzędziem kontroli pracowników. To wyzwanie organizacyjne dla pracodawcy, bo z jednej strony powinien zapewnić zgodność wewnętrznych regulacji z RODO, a z drugiej z Kodeksem Pracy, który wymaga poinformowania pracownika o prowadzeniu monitoringu poczty.

„Zgodnie z art. 223 ustawy z dnia 26 czerwca 1974 r. Kodeksu pracy jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej)”.

W ostatnim roku pojawiło się jednak kilka ciekawych wypowiedzi europejskich organów nadzorczych dotyczących stosowania w firmach monitoringu poczty elektronicznej pracowników. Odpowiadają one na wiele pytań dotyczących dostępu do poczty elektronicznej pracowników oraz osób, z którymi zakończono już współpracę. Sprawy są o tyle ciekawe, bo rodzime UODO nie przeprowadziło w sprawie monitoringu poczty pracowników postępowania zakończonego wydaniem decyzji administracyjnej.

Stanowiska europejskich organów ochrony danych

Włoski organ ochrony danych osobowych (GARANTE PER LA PROTEZIONE DEI DATI PERSONALI: dalej Garante) ukarał spółkę Mapei karą 15 tys. Euro za utrzymywanie dostępu do imiennej, służbowej skrzynki pocztowej byłego pracownika. Garante uzasadniając decyzję o wymierzeniu kary argumentowało, że ukarana firma nie poinformowała byłego pracownika o aktywności jego imiennego adresu służbowej poczty elektronicznej po ustaniu zatrudnienia. Z ustaleń dokonanych przez organ nadzorczy wynika, że korespondencja z tego konta była przekierowywana do byłego przełożonego. Przez ten czas były pracodawca miał dostęp do prywatnych wiadomości kierowanych na skrzynkę zwolnionego z pracy pracownika. W ocenie włoskiego organu nadzorczego w opisanej sprawie doszło do naruszenia zasady minimalizacji danych i legalności oraz naruszono przepisy dotyczące realizacji prawa dostępu do danych i ich usunięcia. Zdaniem organu nadzorczego niewystarczające jest powołanie się przez pracodawcę na potrzebę dostępu do historycznych danych przechowywanych na skrzynce pocztowej z uwagi na istniejący interes w postaci zachowania ciągłości biznesowej.

W ostatnim czasie kwestią monitoringu poczty elektronicznej zajął się również norweski organ nadzorczy (Datatilsynet, dalej norweski organ nadzorczy). Sprawa zakończyła się wymierzeniem norweskiemu przedsiębiorstwu kary w wysokości 25 tys. EUR. Powodem wymierzenia kary było nielegalne przekierowywanie poczty elektronicznej pracownika na inną skrzynkę firmową celem zapewnienia wysokiej organizacji pracy. W ramach przeprowadzonego postępowania organ nadzorczy zidentyfikował szereg uchybień, z czego najpoważniejszym był brak procedur dotyczących stosowania monitoringu służbowej poczty elektronicznej, które wskazywałyby na konkretne podstawy prawne i zapewniały zgodność z Kodeksem Pracy. W ramach przeprowadzonego postępowania organ nadzorczy zidentyfikował szereg uchybień, z czego najpoważniejszym był brak procedur dotyczących stosowania monitoringu służbowej poczty elektronicznej, które wskazywałyby na konkretne podstawy prawne i zapewniały zgodność z Kodeksem Pracy.

Stanowisko krajowego organu ochrony danych osobowych

Jakie stanowisko prezentuje w tej sprawie rodzimy Urząd Ochrony Danych Osobowych? W zamieszczonym na stronie www Urzędu komunikacie przedstawiono wynikające z Kodeksu Pracy zasady monitoringu. W celu zapewnienia stosowania legalnego monitoringu zwrócono szczegółową uwagę na spełnienie przez pracodawcę obowiązków informacyjnych wobec pracowników. Zatrudnieni mają prawo poznać w jakim celu firma będzie stosować monitoring poczty elektronicznej i jaki jest jego zakres. Najlepiej, aby informacja została przygotowana w formie pisemnej. Informacje najlepiej umieścić w zbiorowym układzie pracy, w regulaminie pracy albo w formie obwieszczenia na tablicy ogłoszeń. Kontrola poczty nie może naruszać tajemnicy korespondencji oraz dóbr osobistych pracownika.

O czym jeszcze powinien pamiętać pracodawca?

Pracodawca powinien poinformować pracowników o wprowadzeniu monitoringu poczty elektronicznej, nie później niż dwa tygodnie przed jego uruchomieniem. Przy wprowadzeniu monitoringu pomocne może się okazać przeprowadzenie oceny skutków dla ochrony danych (DPIA) oraz środków zabezpieczających prywatność pracowników. Wystrzegamy się wprowadzania ukrytego monitoringu do kontroli pracowników lub wprowadzania go w firmach, w których nie ma takiej potrzeby np. w salonie fryziersko – kosmetycznym . Wszystko po to, aby nie narazić się na zarzuty związane z prowadzeniem w organizacji nielegalnego monitoringu lub naruszenia dóbr osobistych pracowników.

Więcej:

• Ordinanza ingiunezione nei confronti di Mapei S.p.A. – 2 luglio 2020 [9445180] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9445180
• https://uodo.gov.pl/pl/138/1635
• https://www.datatilsynet.no/en/news/2021/fined-for-illegal-forwarding-of-e-mail

Kolejna kara pieniężna za brak zawiadomienia UODO o naruszeniu danych

Data dodania:
Kara UODO za brak zawiadomienia o naruszeniu danych

Fundacja, zajmująca się świadczeniem pomocy prawnej, ukarana za brak zawiadomienia UODO o naruszeniu danych osobowych.

Kara UODO za brak zawiadomienia o naruszeniu danych
Kara UODO za naruszenie RODO

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”, „organ nadzorczy”) nałożył na Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra (dalej: „Fundacja”) administracyjną karę pieniężną w wysokości 13644 zł za naruszenie RODO. Powodem nałożenia kary było niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych, oraz niezawiadomienie o incydencie osób, których dotyczył wyciek danych.

Najnowsza decyzja UODO dotyczy uchybień związanych z niewykonaniem obowiązku zgłoszenia naruszenia danych osobowych, do którego doszło w październiku 2020 r. w wyniku kradzieży teczek, zawierających dane osobowe 96 niezidentyfikowanych beneficjentów fundacji m.in. imię, nazwisko, adres do korespondencji, numer telefonu oraz numer PESEL.

„Zgodnie z art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.”

Początkiem sprawy było „zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych” w związku z utratą danych wielu osób na skutek kradzieży dokumentów w biurze terenowym Fundacji. Następnie Prezes UODO zwrócił się do Fundacji o ustosunkowanie się do treści skargi oraz udzielenie odpowiedzi na pytania dotyczące formalnego zgłoszenia naruszenia ochrony danych. Wobec braku zgłoszenia naruszenia ochrony danych osobowych do UODO i braku zawiadomienia osób, których dotyczyło naruszenie, Prezes UODO wszczął wobec Fundacji postępowanie administracyjne.
W odpowiedzi Fundacja wskazała, że nie zawiadomiła o sprawie UODO ani osób, których dane dotyczą, ponieważ uznała zdarzenie za obarczone niskim ryzykiem. Z ustaleń poczynionych przez organ nadzorczy wynika, że Fundacja nie była w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji ani nie próbowała zweryfikować faktycznego zakresu danych osobowych objętych naruszeniem, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia.

W ramach przeprowadzonego postępowania organ nadzorczy zidentyfikował szereg uchybień, z czego najpoważniejszym było nie wykonanie oceny zdarzenia ani obowiązków związanych ze zgłoszeniem naruszenia ochrony danych do organu nadzorczego i zawiadomienia zainteresowanych osób, co wynika z art. 33-34 RODO. Fundację obciążał również brak kopii skradzionych dokumentów. Nie była ich w stanie odtworzyć nawet przy użyciu systemu informatycznego.

Obowiązek zgłoszenia do UODO naruszenia ochrony danych

UODO w uzasadnieniu decyzji o nałożeniu kary podał, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Podkreślił jednak, że samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowane osoby.

Obowiązek zawiadomienia osób, których dane osobowe wyciekły

Prezes UODO uznał, że Fundacja podejmując decyzję o niezawiadomieniu organu nadzorczego o naruszeniu, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Prezes UODO podkreślił, że w przypadku, gdy Fundacja nie była w stanie zidentyfikować osób, których dotyczył wyciek, to powinna dokonać zawiadomienia w sposób ogólny np. poprzez wydanie publicznego komunikatu.

Czas na zgłoszenie naruszenia to tylko 72 h

Urząd Ochrony Danych Osobowych przypomina, że na wywiązanie się z obowiązku zgłoszenia naruszenia ochrony danych mamy 72 godzin po stwierdzeniu naruszenia. Ważny jest szybki czas reakcji na zaistniałe naruszenia, która ma zapewnić osobom, których dane dotyczą, możliwość jak najlepszego zabezpieczenia swoich danych np. w przypadku kradzieży tożsamości czy wyłudzenia pożyczki. Takie sytuacje mają miejsce, gdy wyciekły dane widniejące w naszych dokumentach tożsamości – imię i nazwisko, nr PESEL, czy adres zamieszkania.

„Zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w RODO”.

Co z tego wynika?

Prezes UODO sporą wagę przykłada do przestrzegania obowiązków dotyczących zgłaszania naruszeń ochrony danych osobowych. Konsekwencją są kolejne kary pieniężne kierowane do administratorów danych w związku z brakiem zawiadomienia lub nieterminowym zawiadomieniem Prezesa UODO i poszkodowanych ewentualnym wyciekiem danych osób. Na powyższym przykładzie widać także, że art. 33 i 34 RODO sprawiają wiele problemów administratorom danych, którym trudno jest dokonać właściwej oceny, czy powstałe w ich organizacjach naruszenie ochrony danych podlega zgłoszeniu oraz jak wyliczyć czas powstania naruszenia.

Z decyzją można się zapoznać pod następującym linkiem: https://uodo.gov.pl/decyzje/DKN.5131.11.2020