Aktualnosci

RODOINSPEKTOR.EU

Progi dużej skali w kontekście wyznaczenia IODO dla podmiotów wykonujących działalność medyczną.

Jak powszechnie wiadomo, RODO nie przewiduje szczegółowych progów, z których przekroczeniem powiązana jest definicja dużej skali – ściśle związana z kolei z obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych. Choć na etapie projektu RODO proponowano konkretne liczby (5000 rekordów w ciągu 12 miesięcy) [Link], to jednak ostatecznie zrezygnowano z wpisania tak szczegółowego rozwiązania do rozporządzenia. Argumentowano to tym, że wpisanie tego „na sztywno” było by zbyt mało elastyczne – z drugiej jednak strony spowodowało to znaczną niepewność wśród podmiotów zobowiązanych – ponieważ nawet wytyczne grupy roboczej art. 29 w sprawie IODO [Link] jedynie parafrazowały wskazówki z preambuły (jednoosobowa praktyka lekarska lub jednoosobowa kancelaria prawna – brak dużej skali, szpital, bank ubezpieczyciel – duża skala).

23.08.2019

Księgi wejść i wyjść oraz przepustki, a RODO.

Systemy przepustkowe/ewidencje wejść i wyjść powszechnie stosowane są nie tylko przez urzędy lub inne podmioty publiczne, ale także przez część prywatnych przedsiębiorstw – zwłaszcza tam, gdzie w codziennej działalności wykorzystywany jest istotny majątek, a liczba osób „przewijających” się przez przedsiębiorstwo jest bardzo wysoka. Zapisywanie danych w księdze wejść i wyjść jest także standardem obiektach przeznaczonych na komercyjny wynajem powierzchni biurowych. Czynnikiem, który powoduje konieczność weryfikacji takiej procedury jako zgodnej z RODO jest pozyskiwanie danych osoby, której dane są pozyskiwane w celu zaewidencjonowania wejścia na teren obiektu.

22.08.2019

Łączenie roli radcy prawnego z wykonywaniem zadań IODO a konflikt interesów.

Wątpliwości co do dopuszczalności łączenia tych dwóch ról dostrzegła już w styczniu 2018 roku ówczesna GIODO – dr Edyta Bielak-Jomaa. W piśmie skierowanym do Prezesa Krajowej Rady Radców Prawnych Macieja Bobrowicza [Link PDF] zwrócono się o wyrażenie opinii dotyczącej warunków dopuszczalności łączenia tych dwóch ról. Jak wskazano w stanowisku Komisji Etyki i Wykonywania Zawodu Krajowej Rady Radców Prawnych [Link PDF] generalnej wykładni dokonał Ośrodek Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych [Link PDF].

20.08.2019

Wideorejestrator samochodowy a RODO – w Europie.

Poszczególne państwa członkowskie Unii Europejskiej różnie podchodzą do stosowania przez kierowców wideorejestratorów – od zupełnej pobłażliwości (jak się to dzieje w Polsce) po nakładanie dotkliwych kar pieniężnych (przykładem Austria). W niedalekiej przyszłości możemy się jednak spodziewać ujednolicenia podejścia do kwestii wideorejestratorów samochodowych.

14.08.2019

Z inspektorami ochrony danych nie należy zawierać umowy powierzenia.

Bardzo często stosowanym rozwiązaniem w umowach pomiędzy administratorami danych a inspektorami ochrony danych jest zawieranie w umowie o współpracy postanowienia, które wprost odnosi się do ustalonej w art. 28 RODO relacji powierzenia przetwarzania. Dotyczy to w szczególności współpracy z zewnętrznymi IODO na zasadzie outsourcingu – tzn. gdy IODO nie jest pracownikiem ADO, a formalnie stanowi o zewnętrzny podmiot. Jest to jednak błąd – uformowanie relacji pomiędzy ADO a IODO jako relacja powierzenia przetwarzania będzie wprost naruszało zasadę niezależności IODO.

09.08.2019

ETS wydał wyrok na „Lajka”. Komentarz do orzeczenia w sprawie Fashion ID.

Jedno z niemieckich stowarzyszeń zajmujących się ochroną konsumentów pozwało sklep internetowy domagając się od niego usunięcia wtyczki „Like” (dalej jako „lajk”), zapewnianej przez Facebook Ireland (dalej jako „Facebook”, gdy mowa o spółce lub „fejs”, gdy mowa o serwisie). Stowarzyszenie swoje żądanie argumentowało tym, że sklep nie informował o konsekwencjach wejścia na stronę z wtyczką lajka w zakresie wykorzystania danych osób odwiedzających stronę oraz nie pozyskiwał zgody na pozyskanie danych osobowych.

05.08.2019

Formularze orzeczeń lekarskich z rozporządzenia Ministra Zdrowia niezgodne z kodeksem pracy?

Na skierowaniu na badania wstępne osoby ubiegającej się o zatrudnienie należy podawać – zgodnie z objaśnieniem z rozporządzenia Ministra zdrowia – wyłącznie datę urodzenia (bez PESELu), ale już na orzeczeniu które wraca do pracodawcy musi (wedle objaśnień Ministra) znajdować się nr PESEL (lub seria, numer i nazwa dokumentu potwierdzającego tożsamość).

02.08.2019

Grecki PricewaterhouseCoopers (PwC) ukarany karą pieniężną za naruszenie RODO.

Co dodaje sprawie charakteru – pierwsza grecka kara pieniężna na podstawie RODO została nałożona na podmiot, który – między innymi – specjalizuje się we wdrożeniach RODO. Kara wynosi 150 tysięcy euro [Link PDF do podsumowania decyzji], a jej powodem było wymuszenie od własnych pracowników wyrażenia „zgody” na przetwarzanie, którego legalność wyznaczały w istocie inne podstawy prawne.

31.07.2019

Stosowanie plików cookies, a obowiązek pozyskania zgody.

Wielu operatorów stron internetowych różnie interpretuje przepisy związane z informowaniem i pozyskiwaniem zgody na wykorzystanie plików cookies. Niektóre witryny przepisy o cookies interpretują bardzo rygorystycznie – np. ustalają, że użytkownik musi „ręcznie” zatwierdzić stosowanie wobec niego Google Analytics, inne zaś opierają się na konstrukcji „zgody przeglądarkowej”, czyli wyrażonej poprzez ustawienia przeglądarki użytkownika.

25.07.2019

Analiza prawna polityki prywatności FaceApp – część druga (i ostatnia).

Bardzo często powtarzany jest potoczny pogląd, że to, co w Terms of Use gwarantuje sobie deweloper FaceApp, mają przecież zapisane wszyscy inni producenci podobnego rodzaju oprogramowania. Jest to nieprawda. Zarówno Instagram, jak i Snapchat wyraźnie rozróżniają rodzaj zawartości wprowadzanej przez użytkownika, a także sposób i cel jej późniejszego wykorzystania.

23.07.2019

Szacowanie ryzyka w świetle RODO – ujęcie praktyczne.

Szacowanie ryzyka dla ochrony danych osobowych ma znacznie więcej wspólnego ze zdrowym rozsądkiem, niż to by się mogło na pozór wydawać. Oczywiście – dla wielu problemem będzie kwestia udokumentowania tego działania, i to faktycznie można poczytywać za dodatkowy formalizm – jednak samo udokumentowanie można, a nawet powinno się ograniczyć do niezbędnego minimum.

22.07.2019

Omówienie nowych wytycznych EROD w sprawie stosowania monitoringu wizyjnego – część pierwsza.

Co dalej z popularnymi rejestratorami w samochodach? Jak należy podejmować decyzję o miejscach, gdzie zainstalowany będzie monitoring? Gdzie nie wolno go absolutnie stosować?
EROD, czyli organ powołany do dokonywania wykładni legalnej RODO podejmuje próbę odpowiedzi na te pytania w projekcie najnowszych wytycznych.

17.07.2019
O tym, jak Ministerstwo Pracy „po cichu” zmieniło (i zmienia) wzory kwestionariuszy osobowych dla pracowników
i kandydatów do pracy.

Od 2 czerwca 1996 roku do 1 stycznia 2019 roku obowiązywały pomocnicze wzory kwestionariuszy osobowych, które zostały wydane jako załączniki do rozporządzenia z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia dokumentacji pracowniczej (Dz.U. 1996 nr 62 poz. 286). Od dnia 1 stycznia 2019 roku obowiązuje nowe rozporządzenie w sprawie dokumentacji pracowniczej (Dz.U. 2018 poz. 2369), które nie zawiera już jednak żadnych wzorów kwestionariuszy osobowych – od tego dnia jedynie pomocnicze wzory kwestionariuszy zamieszczone są jako dostępne do pobrania ze stron Ministerstwa Rodziny, Pracy i Polityki Społecznej pod tym linkiem.

17.07.2019
Najczęstsze błędy popełniane przy wdrażaniu RODO  – część pierwsza (i nie ostatnia).

Rozwiązaniem, które jest spotykane nagminnie – nawet w instytucjach o dość dużej skali działania – jest żądanie zgody na przetwarzanie danych osobowych tam, gdzie właściwa jest inna podstawa prawna. Bardzo często można spotkać się z poglądem, że „na wszelki wypadek” lepiej jest zgodę mieć, niż nie mieć:

  • np. poprzez dodanie do umowy sprzedaży sformułowania „Nabywca wyraża zgodę na przetwarzanie danych osobowych przez Sprzedającego w celu niezbędnym do realizacji niniejszej umowy.
16.07.2019

9 zasad tworzenia prawidłowych procedur ochrony danych.

Poniższe zasady mogą wydawać się oczywiste – jednak, niestety – tworzenie zbyt formalistycznych, oderwanych od rzeczywistości procedur ochrony danych osobowych (ale także innych informacji) to bardzo powszechny problem. Bardzo często używanie skomplikowanego języka jest formą „pójścia na skróty” przez tworzących procedury. Problem  polega na tym, że tak ustalone zasady nie realizują celu, jakiemu mają służyć, a bardzo często (głównie ze względu na język i poziom ogólności lub brak dostosowania do konkretnej działalności) nie mają wręcz szans na to, by być stosowane w praktyce.

15.07.2019

Strona wykorzystuje pliki cookies do celu prowadzenia anonimowych statystyk wyświetleń -  jeżeli ustawienia Twojej przeglądarki na to pozwalają (Google Analytics i Twitter).  Możesz je wyłączyć zmieniając ustawienia przeglądarki – szczegóły w Polityce Prywatności.