Aktualnosci

RODOINSPEKTOR.EU

Zgoda na przetwarzanie danych osobowych a rekrutacja pracowników.

Choć od przyjęcia do stosowania RODO minęło już kilkanaście miesięcy, w klauzulach stosowanych na potrzeby rekrutacji wciąż powielane są te same błędy. Poniżej przytoczono i omówiono przypadki błędnych klauzul wraz ze wskazaniem konkretnych błędów oraz ich omówieniem.

04.11.2019

Polityka haseł a RODO.

Od 2004 roku obowiązywał ściśle określony standard, jakie musiały spełniać hasła do systemów informatycznych, służących do przetwarzania danych osobowych. W rozporządzeniu do uchylonej już ustawy o ochronie danych osobowych wskazano wprost, że hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Hasło należało też  zmieniać nie rzadziej, niż co 30 dni. Od 25 maja 2018 tak szczegółowe przepisy już jednak nie obowiązują.

31.10.2019

Uśmiech pracownika za voucher do sklepu.

Już niedługo pracownicy restauracji typu fastfood, stacji benzynowych, call center i różnego innego typu miejsc związanych z bieżącą, ciągłą obsługą klientów mogą zmierzyć się z rzeczywistością opisywaną do tej pory jedynie przez produkcje typu science-fiction. Chodzi o systemy potrafiące rozpoznać emocje osoby, na którą skierowana zostanie specjalna kamera czy jednak przepisy dotyczące ochrony prywatności nie stoją temu na przeszkodzie ?

26.09.2019

Rekordowa kara pieniężna za naruszenie przepisów o ochronie danych osobowych dla Morele.net

Dokładnie 2 830 410 złotych (ponad 2,8 mln) nałożono na operatora sklepów internetowych, rozpoznawanego pod nazwą Morele.net. Jest to najwyższa do tej pory kara pieniężna nałożona przez Prezesa Urzędu Ochrony Danych Osobowych. Kara nie jest jednak nałożona za sam wyciek danych – o czym poniżej. Jakie więc powody zaważyły na tak wysokiej karze pieniężnej ?

19.09.2019

Do czego nie stosuje się RODO.

Choć RODO dotyczy bardzo szerokiego zakresu działania – od zatrudniania pracowników, poprzez rejestrację pacjentów a kończąc chociażby na sprzedaży prowadzonej przez sklep internetowy. Jednak od jego stosowania istnieją wyjątki – nie jest ich wiele – jednak warto wiedzieć, w jakich sytuacjach nie trzeba np. realizować obowiązku informacyjnego czy wyszukiwać podstawy prawnej.

05.09.2019

Szkoła, a przetwarzanie danych osobowych.

Podmiotem zobowiązanym do wypełniania obowiązków wynikających z przepisów o ochronne danych osobowych będzie szkoła – jako jednostka organizacyjna reprezentowana w tym zakresie przez dyrektora. Oczywiście mogą zdarzyć się sytuacje w których jako administratora będzie należało uznać np. stowarzyszenie lub fundację prowadzącą szkołę, będą one jednak należały do rzadkości.

02.09.2019

Księgi wejść i wyjść oraz przepustki, a RODO.

Systemy przepustkowe/ewidencje wejść i wyjść powszechnie stosowane są nie tylko przez urzędy lub inne podmioty publiczne, ale także przez część prywatnych przedsiębiorstw – zwłaszcza tam, gdzie w codziennej działalności wykorzystywany jest istotny majątek, a liczba osób „przewijających” się przez przedsiębiorstwo jest bardzo wysoka. Zapisywanie danych w księdze wejść i wyjść jest także standardem obiektach przeznaczonych na komercyjny wynajem powierzchni biurowych. Czynnikiem, który powoduje konieczność weryfikacji takiej procedury jako zgodnej z RODO jest pozyskiwanie danych osoby, której dane są pozyskiwane w celu zaewidencjonowania wejścia na teren obiektu.

22.08.2019

Łączenie roli radcy prawnego z wykonywaniem zadań IODO a konflikt interesów.

Wątpliwości co do dopuszczalności łączenia tych dwóch ról dostrzegła już w styczniu 2018 roku ówczesna GIODO – dr Edyta Bielak-Jomaa. W piśmie skierowanym do Prezesa Krajowej Rady Radców Prawnych Macieja Bobrowicza [Link PDF] zwrócono się o wyrażenie opinii dotyczącej warunków dopuszczalności łączenia tych dwóch ról. Jak wskazano w stanowisku Komisji Etyki i Wykonywania Zawodu Krajowej Rady Radców Prawnych [Link PDF] generalnej wykładni dokonał Ośrodek Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych [Link PDF].

20.08.2019

Wideorejestrator samochodowy a RODO – w Europie.

Poszczególne państwa członkowskie Unii Europejskiej różnie podchodzą do stosowania przez kierowców wideorejestratorów – od zupełnej pobłażliwości (jak się to dzieje w Polsce) po nakładanie dotkliwych kar pieniężnych (przykładem Austria). W niedalekiej przyszłości możemy się jednak spodziewać ujednolicenia podejścia do kwestii wideorejestratorów samochodowych.

14.08.2019

Z inspektorami ochrony danych nie należy zawierać umowy powierzenia.

Bardzo często stosowanym rozwiązaniem w umowach pomiędzy administratorami danych a inspektorami ochrony danych jest zawieranie w umowie o współpracy postanowienia, które wprost odnosi się do ustalonej w art. 28 RODO relacji powierzenia przetwarzania. Dotyczy to w szczególności współpracy z zewnętrznymi IODO na zasadzie outsourcingu – tzn. gdy IODO nie jest pracownikiem ADO, a formalnie stanowi o zewnętrzny podmiot. Jest to jednak błąd – uformowanie relacji pomiędzy ADO a IODO jako relacja powierzenia przetwarzania będzie wprost naruszało zasadę niezależności IODO.

09.08.2019

ETS wydał wyrok na „Lajka”. Komentarz do orzeczenia w sprawie Fashion ID.

Jedno z niemieckich stowarzyszeń zajmujących się ochroną konsumentów pozwało sklep internetowy domagając się od niego usunięcia wtyczki „Like” (dalej jako „lajk”), zapewnianej przez Facebook Ireland (dalej jako „Facebook”, gdy mowa o spółce lub „fejs”, gdy mowa o serwisie). Stowarzyszenie swoje żądanie argumentowało tym, że sklep nie informował o konsekwencjach wejścia na stronę z wtyczką lajka w zakresie wykorzystania danych osób odwiedzających stronę oraz nie pozyskiwał zgody na pozyskanie danych osobowych.

05.08.2019

Formularze orzeczeń lekarskich z rozporządzenia Ministra Zdrowia niezgodne z kodeksem pracy?

Na skierowaniu na badania wstępne osoby ubiegającej się o zatrudnienie należy podawać – zgodnie z objaśnieniem z rozporządzenia Ministra zdrowia – wyłącznie datę urodzenia (bez PESELu), ale już na orzeczeniu które wraca do pracodawcy musi (wedle objaśnień Ministra) znajdować się nr PESEL (lub seria, numer i nazwa dokumentu potwierdzającego tożsamość).

02.08.2019

Grecki PricewaterhouseCoopers (PwC) ukarany karą pieniężną za naruszenie RODO.

Co dodaje sprawie charakteru – pierwsza grecka kara pieniężna na podstawie RODO została nałożona na podmiot, który – między innymi – specjalizuje się we wdrożeniach RODO. Kara wynosi 150 tysięcy euro [Link PDF do podsumowania decyzji], a jej powodem było wymuszenie od własnych pracowników wyrażenia „zgody” na przetwarzanie, którego legalność wyznaczały w istocie inne podstawy prawne.

31.07.2019

Stosowanie plików cookies, a obowiązek pozyskania zgody.

Wielu operatorów stron internetowych różnie interpretuje przepisy związane z informowaniem i pozyskiwaniem zgody na wykorzystanie plików cookies. Niektóre witryny przepisy o cookies interpretują bardzo rygorystycznie – np. ustalają, że użytkownik musi „ręcznie” zatwierdzić stosowanie wobec niego Google Analytics, inne zaś opierają się na konstrukcji „zgody przeglądarkowej”, czyli wyrażonej poprzez ustawienia przeglądarki użytkownika.

25.07.2019

Analiza prawna polityki prywatności FaceApp – część druga (i ostatnia).

Bardzo często powtarzany jest potoczny pogląd, że to, co w Terms of Use gwarantuje sobie deweloper FaceApp, mają przecież zapisane wszyscy inni producenci podobnego rodzaju oprogramowania. Jest to nieprawda. Zarówno Instagram, jak i Snapchat wyraźnie rozróżniają rodzaj zawartości wprowadzanej przez użytkownika, a także sposób i cel jej późniejszego wykorzystania.

23.07.2019

Szacowanie ryzyka w świetle RODO – ujęcie praktyczne.

Szacowanie ryzyka dla ochrony danych osobowych ma znacznie więcej wspólnego ze zdrowym rozsądkiem, niż to by się mogło na pozór wydawać. Oczywiście – dla wielu problemem będzie kwestia udokumentowania tego działania, i to faktycznie można poczytywać za dodatkowy formalizm – jednak samo udokumentowanie można, a nawet powinno się ograniczyć do niezbędnego minimum.

22.07.2019

Omówienie nowych wytycznych EROD w sprawie stosowania monitoringu wizyjnego – część pierwsza.

Co dalej z popularnymi rejestratorami w samochodach? Jak należy podejmować decyzję o miejscach, gdzie zainstalowany będzie monitoring? Gdzie nie wolno go absolutnie stosować?
EROD, czyli organ powołany do dokonywania wykładni legalnej RODO podejmuje próbę odpowiedzi na te pytania w projekcie najnowszych wytycznych.

17.07.2019
O tym, jak Ministerstwo Pracy „po cichu” zmieniło (i zmienia) wzory kwestionariuszy osobowych dla pracowników
i kandydatów do pracy.

Od 2 czerwca 1996 roku do 1 stycznia 2019 roku obowiązywały pomocnicze wzory kwestionariuszy osobowych, które zostały wydane jako załączniki do rozporządzenia z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia dokumentacji pracowniczej (Dz.U. 1996 nr 62 poz. 286). Od dnia 1 stycznia 2019 roku obowiązuje nowe rozporządzenie w sprawie dokumentacji pracowniczej (Dz.U. 2018 poz. 2369), które nie zawiera już jednak żadnych wzorów kwestionariuszy osobowych – od tego dnia jedynie pomocnicze wzory kwestionariuszy zamieszczone są jako dostępne do pobrania ze stron Ministerstwa Rodziny, Pracy i Polityki Społecznej pod tym linkiem.

17.07.2019
Najczęstsze błędy popełniane przy wdrażaniu RODO  – część pierwsza (i nie ostatnia).

Rozwiązaniem, które jest spotykane nagminnie – nawet w instytucjach o dość dużej skali działania – jest żądanie zgody na przetwarzanie danych osobowych tam, gdzie właściwa jest inna podstawa prawna. Bardzo często można spotkać się z poglądem, że „na wszelki wypadek” lepiej jest zgodę mieć, niż nie mieć:

  • np. poprzez dodanie do umowy sprzedaży sformułowania „Nabywca wyraża zgodę na przetwarzanie danych osobowych przez Sprzedającego w celu niezbędnym do realizacji niniejszej umowy.
16.07.2019

9 zasad tworzenia prawidłowych procedur ochrony danych.

Poniższe zasady mogą wydawać się oczywiste – jednak, niestety – tworzenie zbyt formalistycznych, oderwanych od rzeczywistości procedur ochrony danych osobowych (ale także innych informacji) to bardzo powszechny problem. Bardzo często używanie skomplikowanego języka jest formą „pójścia na skróty” przez tworzących procedury. Problem  polega na tym, że tak ustalone zasady nie realizują celu, jakiemu mają służyć, a bardzo często (głównie ze względu na język i poziom ogólności lub brak dostosowania do konkretnej działalności) nie mają wręcz szans na to, by być stosowane w praktyce.

15.07.2019

Strona wykorzystuje pliki cookies do celu prowadzenia anonimowych statystyk wyświetleń -  jeżeli ustawienia Twojej przeglądarki na to pozwalają (Google Analytics i Twitter).  Możesz je wyłączyć zmieniając ustawienia przeglądarki – szczegóły w Polityce Prywatności.