RODO
Polska - Przegląd ochrony danych
SPIS TREŚCI
WPROWADZENIE
+ 1. TEKSTY WŁAŚCIWE
+ 2. ZAKRES ZASTOSOWANIA
+ 3. URZĄD OCHRONY DANYCH | ORGAN REGULACYJNY
4. KLUCZOWE DEFINICJE
+ 5. PODSTAWY PRAWNE
6. ZASADY
+ 7. OBOWIĄZKI KONTROLERA I CPU
+ 8. PRAWA PODMIOTU DANYCH
8.1. Prawo do informacji
8.2. Prawo dostępu
8.3. Prawo do sprostowania
8.4. Prawo do usunięcia
8.5. Prawo do sprzeciwu/rezygnacji
8.6. Prawo do przenoszenia danych
8.7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji
8.8. Inne prawa
+ 9. KARY
WPROWADZENIE
Ochronę danych w Polsce reguluje przede wszystkim Ogólne rozporządzenie o ochronie danych (Rozporządzenie (UE) 2016/679) („RODO”), które zostało wdrożone do polskiego prawa na mocy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
1. TEKSTY WŁAŚCIWE
1.1. Kluczowe ustawy, rozporządzenia, dyrektywy, ustawy
W ramach wdrażania RODO uchwalono ustawę regulującą kwestie proceduralne oraz inne szczegółowe zasady dotyczące m.in.:
obowiązek wyznaczenia przez organy publiczne inspektora ochrony danych („IOD”);
powiadomienie o wyznaczeniu inspektora ochrony danych;
wyznaczenie „zastępcy DPO” pod nieobecność DPO;
akredytację podmiotu uprawnionego do udzielania certyfikacji;
podmioty uprawnione do monitorowania kodeksów postępowania i certyfikacji;
zatwierdzenie kodeksu postępowania;
uprawnienia organu nadzorczego;
Europejska współpraca administracyjna;
odpowiedzialność cywilna, odpowiedzialność karna i grzywny administracyjne; oraz
zmiany w Kodeksie pracy z 1974 r. („Kodeks pracy”) dotyczące monitorowania pracowników.
Ponadto ustawa z dnia 21 lutego 2019 r. o zmianie ustaw sektorowych w celu zapewnienia stosowania RODO („ustawa zmieniająca”) ma na celu dostosowanie polskiego systemu prawnego do wymogów wynikających z RODO.
Wprowadziła zmiany do prawie 170 odrębnych ustaw sektorowych, w tym:
Kodeks Pracy;
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe („Prawo Bankowe”);
Ustawa z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi
Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną („Ustawa o świadczeniu usług drogą elektroniczną”);
Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa
Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych
Ustawa z dnia 10 kwietnia 1997 r. Prawo energetyczne
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej
1.2. Wytyczne
Do tej pory najważniejsze wytyczne wydane przez polski organ ochrony danych („UODO”) to:
wskazówki, jak zastosować podejście oparte na ryzyku;
Zmieniony wykaz operacji przetwarzania danych wymagających oceny skutków dla ochrony danych („DPIA”);
wytyczne dotyczące prowadzenia ewidencji wraz ze wzorami ewidencji czynności przetwarzania oraz ewidencji wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, wraz z wzorami wypełnionych wzorów;
wytyczne dotyczące telewizji przemysłowej;
wytyczne dotyczące ochrony danych w miejscu pracy;
wytyczne dotyczące przetwarzania danych osobowych w szkołach i placówkach oświatowych;
wytyczne dotyczące obowiązków administratorów związanych z naruszeniami danych;
wytyczne dotyczące ochrony danych w kampaniach wyborczych; oraz;
Bezpieczeństwo danych osobowych podczas nauki zdalnej.
1.3. Orzecznictwo
Proszę zapoznać się z sekcją 9.1. poniżej.
2. ZAKRES ZASTOSOWANIA
2.1. Zakres osobisty
Ustawa precyzuje, że dotyczy ona ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 RODO.
Ustawa zmieniająca nie reguluje tej kwestii.
2.2. Zakres terytorialny
Ustawa wyraźnie wprowadza art. 3 RODO dotyczący zakresu terytorialnego RODO.
Ustawa zmieniająca nie przewiduje modyfikacji przepisów dotyczących stosowania RODO.
2.3. Zakres rzeczowy
Ustawa odwołuje się wprost do art. 2 RODO. W kolejnych częściach niniejszych wytycznych opisujemy niektóre odmiany prawa krajowego ważne dla przedsiębiorstw.
Ponadto krajowe przepisy dotyczące różnych rodzajów tajemnicy (np. tajemnica bankowa, tajemnica komunikacyjna) mogą mieć wpływ na zasady przetwarzania danych osobowych, w szczególności podstawy prawne przetwarzania.
3. URZĄD OCHRONY DANYCH | ORGAN REGULACYJNY
3.1. Główny regulator ochrony danych
UODO jest głównym regulatorem ochrony danych w Polsce. Ponadto naruszenie zasad marketingu bezpośredniego może skutkować podjęciem działań przez inne organy, takie jak Prezes Urzędu Ochrony Konkurencji i Konsumentów czy Prezes Urzędu Komunikacji Elektronicznej .
3.2. Główne uprawnienia, obowiązki i odpowiedzialność
Zasady powoływania i kompetencje UODO określa ustawa, która przede wszystkim przypomina uprawnienia, obowiązki i odpowiedzialność określone w RODO.
Te uprawnienia, obowiązki i odpowiedzialność obejmują:
przeprowadzanie audytów zgodności, wykonywanie i wydawanie decyzji administracyjnych, informowanie o decyzjach, gdy leży to w interesie publicznym;
występowanie do sądów administracyjnych o wydanie opinii na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej w sprawie ważności orzeczeń Komisji Europejskiej ;
zwrócenie się do innych organów o zapewnienie skutecznej ochrony danych osobowych;
opiniowanie proponowanych regulacji prawnych dotyczących danych osobowych;
udostępnia na swojej stronie internetowej standardowe klauzule umowne („SCC”), zatwierdzone kodeksy postępowania, standardowe klauzule ochrony danych oraz zalecenia dotyczące środków technicznych i organizacyjnych;
ogłoszenie listy rodzajów przetwarzania, które wymagają (lub nie wymagają) DPIA;
zatwierdzanie Wiążących Reguł Korporacyjnych („Wiążących Reguł Korporacyjnych”);
upoważnienie odpowiednich zabezpieczeń na podstawie art. 46 RODO;
przeprowadzanie wcześniejszych konsultacji;
domaganie się postępowania dyscyplinarnego lub innego postępowania sądowego przeciwko sprawcom naruszeń oraz żądanie zawiadomienia w określonym terminie o skutkach podjętych działań; oraz
współpraca z innymi organami nadzorczymi.
Ustawa powołuje ponadto Radę Ochrony Danych Osobowych, która jest organem opiniodawczo-doradczym UODO.
4. KLUCZOWE DEFINICJE
Nie ma żadnych różnic w prawie krajowym w odniesieniu do poniższych definicji. Obowiązują przepisy RODO.
Administrator danych: W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Podmiot przetwarzający dane: W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane osobowe: W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane wrażliwe: W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane zdrowotne: W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Dane biometryczne: W polskim prawie nie ma definicji. Obowiązuje definicja RODO.
Pseudonimizacja: w polskim prawie nie ma definicji. Obowiązuje definicja RODO.
5. PODSTAWY PRAWNE
5.1. Zgoda
Nie ma żadnych różnic w prawie krajowym w odniesieniu do zgody jako podstawy prawnej.
Kodeks pracy przewiduje jednak szczególne zasady dotyczące przetwarzania danych kandydata do pracy/pracownika na podstawie zgody. Te szczegółowe zasady zostały opisane w punkcie 5.7. poniżej.
5.2. Umowa z osobą, której dane dotyczą
Nie ma żadnych różnic w prawie krajowym w odniesieniu do wykonania umowy jako podstawy prawnej.
Jednak niektóre akty prawne, takie jak Kodeks pracy czy Prawo bankowe, określają, jakie dane ma obowiązek gromadzić administrator.
5.3. Zobowiązania prawne
Nie ma żadnych różnic w prawie krajowym w odniesieniu do obowiązku prawnego jako podstawy prawnej.
Istnieje jednak szereg przepisów prawa, które nakładają obowiązki prawne, o których mowa w art. 6 ust. 1 lit. c RODO.
5.4. Interesy osoby, której dane dotyczą
Nie istnieją żadne różnice w prawie krajowym w odniesieniu do ochrony interesów osoby, której dane dotyczą, jako podstawy prawnej.
5.5. Interes publiczny
Istnieją sytuacje, w których ustawa zmieniająca wprowadza odstępstwa dotyczące art. 6 ust. 1 lit. e w związku z art. 6 ust. 2 i art. 6 ust. 3 RODO skierowane do organów publicznych. Przykładowo w przypadku działania Inspekcji Ochrony Środowiska ustawa nowelizująca określa, w jaki sposób należy wypełnić obowiązki przetwarzania danych (np. sposób przekazywania informacji o ochronie prywatności, ograniczenie niektórych praw osób, których dane dotyczą).
5.6. Prawnie uzasadnione interesy administratora danych
Nie ma żadnych różnic w prawie krajowym w odniesieniu do uzasadnionych interesów jako podstawy prawnej.
5.7. Podstawy prawne w innych przypadkach
Szczegółowe zasady przetwarzania danych pracowników
Co do zasady, zgodnie z Kodeksem pracy, pracodawca jest zobowiązany do przetwarzania danych osobowych kandydatów/pracowników wyraźnie wymienionych w Kodeksie pracy i innych przepisach, takich jak:
Ustawa z dnia 13 października 1998 r. o ubezpieczeniu społecznym;
Ustawa z dnia 4 marca 1994 r. o Funduszu Świadczeń Socjalnych oraz,
Ustawa z dnia 4 października 2018 r. o Pracowniczych Planach Kapitałowych;
Ponadto pracodawca może zażądać innych danych, jeżeli jest to niezbędne do wykonania prawa lub wykonania obowiązku wynikającego z przepisu prawa.
Ponadto pracodawca może gromadzić i przetwarzać dane w celu wykonania umowy o pracę (np. związanej z wynagrodzeniem) na podstawie art. 6 ust. 1 lit. b RODO lub opłacania podatków i składek na ubezpieczenie społeczne na podstawie art. 6 ust. ) lit. c RODO. Zgoda i prawnie uzasadniony interes są również realną podstawą prawną przetwarzania danych osobowych pracowników.
Zgodnie z Kodeksem pracy pracodawca może przetwarzać dane osobowe inne niż określone w przepisach prawa pracy (np. wizerunek i interesy osoby) za zgodą osoby, której dane dotyczą. Takie dane kandydat lub pracownik powinien podać na żądanie (potencjalnego) pracodawcy lub z własnej inicjatywy.
Zgoda nie może być podstawą prawną przetwarzania danych osobowych dotyczących wyroków skazujących i przestępstw uregulowanych w art. 10 RODO. Jedyną podstawą takiego przetwarzania jest niezbędność do wypełnienia obowiązku prawnego.
Przetwarzanie szczególnych kategorii danych przez pracodawcę może opierać się na zgodzie tylko wtedy, gdy pracownik poda takie dane z własnej inicjatywy. Pracodawcy mogą również przetwarzać dane biometryczne pracowników, jeżeli jest to konieczne do zapewnienia kontroli dostępu do szczególnie ważnych informacji lub do pomieszczeń wymagających szczególnej ochrony.
Pracownicy, którzy będą przetwarzać szczególne kategorie danych, powinni otrzymać do tego pisemne upoważnienie i powinni być zobowiązani do zachowania poufności.
Zgodnie z Kodeksem pracy brak zgody na przetwarzanie danych lub jej cofnięcie nie może być podstawą niekorzystnego traktowania kandydata lub pracownika i nie może powodować dla tych osób żadnych negatywnych konsekwencji. W szczególności nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
Dodatkowo przepisy Kodeksu pracy wprowadzone ustawą regulują monitoring pracowników (tj. monitoring, monitoring poczty elektronicznej i inne środki monitoringu). Możliwy jest monitoring pracowników na podstawie prawnie uzasadnionego interesu pracodawcy pod warunkiem, że spełnione są łącznie następujące wymagania (w zależności od rodzaju działań monitorujących):
cele telewizji przemysłowej mogą obejmować konieczność zapewnienia bezpieczeństwa pracowników lub ochrony mienia, kontroli produkcji, zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkody;
cele dla poczty elektronicznej i innych form monitoringu (np. monitorowanie rozmów telefonicznych, logów z kart RFID, urządzeń biznesowych, lokalizacji i bezpiecznej jazdy, aktywności w sieci, odwiedzanych stron internetowych, rozliczeń itp.) mogą obejmować konieczność zapewnienia organizacji pracy umożliwiające pełne wykorzystanie czasu pracy (w tym sprawną organizację pracy) oraz właściwe korzystanie z udostępnionych pracownikowi narzędzi pracy (np. czy pracownik korzysta z konta e-mail zgodnie z instrukcją, w szczególności pod kątem zapewnienia bezpieczeństwa ). Kodeks pracy wymienia tylko dwa cele, ale naszym zdaniem cele te należy interpretować szeroko. Obecnie nie jest jasne, czy pracodawcy mogą monitorować pracowników w innych celach;
cel, zakres i sposób monitorowania należy określić w regulaminie pracy, w Zakładowym Układzie Zbiorowym Pracy („CCLA”) lub w ogłoszeniu (w przypadku braku regulaminu pracy lub CCLA). Jeżeli u pracodawcy działają związki zawodowe, zmiana regulaminu pracy lub CCLA będzie wymagać współpracy ze związkami zawodowymi;
pracodawca jest obowiązany poinformować swoich pracowników o wdrożeniu monitoringu, w sposób przez siebie zatwierdzony, nie później niż na dwa tygodnie przed jego rozpoczęciem;
pracodawca jest obowiązany udzielić nowym pracownikom pisemnych informacji o celu, zakresie i metodach monitorowania przed dopuszczeniem ich do pracy;
monitorowanie nie powinno naruszać poufności korespondencji i innych dóbr osobistych pracownika (np. prywatne e-maile pracowników nie powinny być monitorowane);
w przypadku telewizji przemysłowej pracodawca musi przestrzegać wymagań dotyczących lokalizacji kamer (na ogół nie należy instalować kamer w toaletach, szatniach, stołówkach, palarniach, a także w pomieszczeniach udostępnionych związkom zawodowym);
pracodawca może przechowywać nagrania z telewizji przemysłowej przez okres do trzech miesięcy, chyba że nagrania służą jako dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca ma wiedzę, że mogą one stanowić dowód w postępowaniu;
pracodawca jest zobowiązany do oznakowania monitorowanych pomieszczeń i obszarów w sposób widoczny, czytelny za pomocą odpowiednich znaków lub komunikatów dźwiękowych, nie później niż na jeden dzień przed rozpoczęciem monitoringu w miejscu pracy; oraz
należy przestrzegać pozostałych zasad opisanych w RODO, w tym zasad celowości i minimalizacji danych.
Monitoring pomieszczeń sanitarnych wymaga uprzedniej zgody związków zawodowych lub, w przypadku ich braku, uprzedniej zgody przedstawicieli pracowników wybranych w sposób przyjęty przez pracodawcę.
Szczegółowe zasady dotyczące marketingu bezpośredniego
Zgodnie z polskim prawem marketing bezpośredni należy rozpatrywać z kilku perspektyw:
perspektywa ochrony danych;
perspektywy ustawy o świadczeniu usług drogą elektroniczną (w zakresie przesyłania informacji marketingowych w formie wiadomości e-mail, wiadomości SMS/MMS oraz powiadomień push za pośrednictwem aplikacji i stron internetowych); oraz
ustawa z dnia 16 lipca 2004 r . Prawo telekomunikacyjne („Prawo Telekomunikacyjne”) (w zakresie marketingu za pośrednictwem telefonu, poczty elektronicznej, wiadomości SMS/MMS oraz powiadomień push za pośrednictwem aplikacji i stron internetowych).
Perspektywa ochrony danych:
Zgodnie z przepisami o ochronie danych marketing może być realizowany na podstawie zgody lub uzasadnionego interesu.
Marketing bezpośredni w oparciu o Ustawę o świadczeniu usług drogą elektroniczną
W celu przesyłania informacji handlowych kierowanych do konkretnej osoby fizycznej środkami komunikacji elektronicznej, takich jak sms, e-mail, powiadomienia push za pośrednictwem aplikacji i serwisów internetowych, wymagana jest zgoda odbiorcy. Zgoda musi spełniać wymagania RODO.
Ponadto Ustawa o świadczeniu usług drogą elektroniczną została znowelizowana Ustawą Zmieniającą. Nowelizacja stanowi, że dostawcy usług społeczeństwa informacyjnego muszą uzyskać zgodę użytkownika na przetwarzanie jego danych osobowych, jeżeli wykracza to poza to, co jest konieczne do świadczenia takich usług do celów:
reklama; lub
badania rynku lub analizy zachowań lub preferencji użytkownika w celu poprawy jakości usług społeczeństwa informacyjnego.
Nie jest jasne, jakie dane należy uznać za niezbędne do świadczenia usług społeczeństwa informacyjnego, a zatem, kiedy należy uzyskać zgodę. Większość ekspertów ds. ochrony danych uważa, że powyższe przepisy naruszają art. 6 RODO, ponieważ wprowadzają bardziej szczegółowe przepisy dotyczące zgodności z prawem przetwarzania bez podstaw do takiego odstępstwa w samym RODO. UODO milczy w tej kwestii.
Marketing bezpośredni na podstawie ustawy Prawo telekomunikacyjne:
Ustawa Prawo Telekomunikacyjne reguluje w szczególności przesyłanie informacji marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych oraz rozmowy marketingowe. Obejmuje to:
wiadomości SMS/MMS; oraz
e-maile i rozmowy telefoniczne, w tym za pośrednictwem automatycznych systemów wywołujących.
Tak więc w Polsce dwie ustawy regulują tę samą kwestię przesyłania marketingu bezpośredniego za pośrednictwem e-maili i sms-ów. Prawo telekomunikacyjne wymaga uzyskania odrębnej zgody użytkownika końcowego na przesyłanie informacji marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych oraz połączeń marketingowych (w tym za pośrednictwem automatycznych systemów wywołujących). Zgoda musi spełniać wymagania RODO. W związku z powyższym, w celu prowadzenia działań marketingowych w pełnej zgodności z ustawą o świadczeniu usług drogą elektroniczną i ustawą Prawo telekomunikacyjne, wymagane są dwie odrębne zgody (jedna na przesyłanie informacji marketingowych i jedna na korzystanie z telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących) oraz wszelka zgoda wymagana z punktu widzenia ochrony danych (wg interpretacji UODO i Urzędu Komunikacji Elektronicznej). Jednakże, w praktyce zwykle się tego nie robi. Organizacje często zbierają tylko jedną zgodę na komunikację marketingową lub na określone kanały komunikacji.
Ustawa o świadczeniu usług elektronicznych i ustawa Prawo telekomunikacyjne częściowo implementowały dyrektywę o prywatności i łączności elektronicznej (2002/58/WE) (z późn. zm.) („dyrektywa o prywatności i łączności elektronicznej”) w opcji „opt in”, a nie „opt out” Model.
Opublikowano wstępny projekt ustawy Prawo o komunikacji elektronicznej („Projekt ustawy”), który ma zastąpić regulacje dotyczące marketingu bezpośredniego w ustawie o świadczeniu usług drogą elektroniczną i ustawie Prawo telekomunikacyjne. Obecnie, zgodnie z Projektem Ustawy, na przesyłanie informacji handlowych, w tym marketingu bezpośredniego za pomocą telekomunikacyjnych urządzeń końcowych, wymagana jest zgoda odbiorcy.
Szczegółowe zasady dotyczące plików cookie:
Zgodnie z art. 173 ustawy Prawo telekomunikacyjne zgoda na korzystanie z plików cookies może być wyrażona poprzez dostosowanie ustawień oprogramowania zainstalowanego w telekomunikacyjnym urządzeniu końcowym, z którego korzysta ten abonent lub użytkownik końcowy lub poprzez dostosowanie konfiguracji usługi (np. poprzez ustawienia przeglądarki internetowej).
Choć zgodnie z art. 174 Prawa Telekomunikacyjnego zgodę na pliki cookie należy interpretować zgodnie z wymogami zgody RODO, to jednak niektórzy wydawcy uzyskują zgodę dorozumianą (np. poprzez dalsze korzystanie z serwisu) poprzez powołanie się na art. 173 Prawa Telekomunikacyjnego.
Przetwarzanie do celów naukowych lub badań historycznych
Ustawa nie reguluje podstaw prawnych przetwarzania danych osobowych. Jednak niektóre polskie ustawy sektorowe zapewniają określone podstawy prawne dla różnych czynności przetwarzania.
Ustawa zmieniająca wprowadziła zmiany w następujących ustawach w celu wdrożenia art. 89 RODO:
Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej, obejmująca m.in. wyłączenie stosowania art. 15, 16, 18 i 21 RODO;
Ustawa z dnia 20 lipca 2018 r. o szkolnictwie wyższym i nauce, regulująca przetwarzanie danych w celach badań naukowych, w tym m.in. o wyłączeniu stosowania art. 15, 16, 18 i 21 RODO w określonych sytuacjach. Zmiany te dotyczą wyłącznie podmiotów i instytucji wymienionych w tej ustawie. Dodatkowo w ramach tych zmian należy wprowadzić określone środki bezpieczeństwa przetwarzania danych osobowych w związku z badaniami naukowymi;
Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach, obejmująca m.in. ograniczenie stosowania art. 16 i 18 RODO; oraz
Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia regulująca, że dane zawarte w dokumentacji medycznej mogą być udostępniane w celu prowadzenia badań naukowych oraz dla celów statystycznych wyłącznie w formie zanonimizowanej.
6. ZASADY
Nie ma zmian w prawie krajowym w zakresie zasad dotyczących przetwarzania danych osobowych.
7. OBOWIĄZKI ADMINISTRATORA I CPU
7.1. Powiadomienie o przetwarzaniu danych
Nie istnieją żadne krajowe szczególne wymogi dotyczące powiadamiania lub rejestracji, z wyjątkiem wymogu powiadomienia o wyznaczeniu inspektora / zastępcy inspektora ochrony danych opisanego w sekcji 7.5. poniżej.
7.2. Transfery danych
Nie ma zmian w prawie krajowym dotyczących przekazywania danych.
W większości przypadków prawo krajowe nie wymaga przechowywania danych (biznesowych) ani dokumentacji na terenie Polski. Istnieją jednak pewne wyjątki od tej reguły, na przykład:
dokumentacja zawierająca informacje niejawne lub tajemnicę państwową; oraz
określone dane telekomunikacyjne w przypadku operatorów publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych.
7.3. Ewidencja przetwarzania danych
Nie ma zmian w prawie krajowym dotyczących zapisów przetwarzania danych.
7.4. Ocena wpływu na ochronę danych
Nie ma żadnych zmian w prawie krajowym dotyczących przeprowadzania DPIA.
Nie ma wykazu czynności wymagających uprzedniej konsultacji lub zezwolenia. UODO opublikował znowelizowany wykaz rodzajów czynności przetwarzania, dla których wymagane jest przeprowadzenie DPIA (patrz pkt 1.2. powyżej). UODO nie przewidział żadnych z góry określonych czynności o niewielkim wpływie, które są zwolnione z DPIA.
7.5. Powołanie inspektora ochrony danych
Ustawa wprowadza obowiązek zawiadomienia UODO o wyznaczeniu IOD w terminie 14 dni od dnia wyznaczenia lub o zmianach w IOD. Ponadto firma wyznaczająca IOD jest zobowiązana do opublikowania na swojej stronie internetowej danych kontaktowych IOD, w tym imienia, nazwiska, adresu e-mail lub numeru telefonu (lub, w przypadku braku strony internetowej, w sposób powszechnie dostępny w jej miejscu biznes). Praktyką rynkową jest podawanie adresu e-mail DPO zamiast jego numeru telefonu. Należy zauważyć, że organizacja może wybrać, czy woli publikować na swojej stronie internetowej informacje o adresie e-mail lub numerze telefonu wyznaczonego IOD, nie jest konieczne publikowanie obu.
Zgłoszenie powinno być dokonane elektronicznie i podpisane „profilem zaufanym” lub kwalifikowanym podpisem elektronicznym. Formularz zgłoszeniowy należy przesłać w języku polskim. Informacje o sposobie powiadomienia IOD znajdują się na stronie UODO.
Jeżeli na poziomie grupy wyznaczony jest DPO, a funkcja DPO ma objąć również Polskę, należy powiadomić UODO globalnego DPO.
Ustawa zmieniająca wprowadziła dodatkową rolę zastępcy IOD, który działa pod nieobecność IOD. Wymogi dotyczące stanowiska zastępcy IOD, zawiadomienia i publikowania danych teleadresowych są takie same jak w przypadku wyznaczenia IOD.
7.6. Powiadomienie o naruszeniu danych
Nie ma ogólnej krajowej zmiany lub wyłączenia w zgłoszeniu. Zgłoszenie należy składać drogą elektroniczną w języku polskim.
7.7. Zatrzymywanie danych
W Polsce istnieje kilka ustawowych minimalnych lub maksymalnych okresów przechowywania określonych przez prawo. W innych przypadkach okresy przechowywania muszą być ustalone w oparciu o zasadę ograniczenia przechowywania RODO, stanowiącą, że dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do celu. Generalnie UODO nie wydał szczegółowych wytycznych na ten temat.
Przykłady okresów przechowywania określonych przez prawo obejmują:
dokumentacja pracownicza od 10 do 50 lat (w zależności od konkretnych okoliczności);
dokumentację wypadkową i wypadkową przy pracy z dziesięciu lat od sporządzenia akt;
nagrania z monitoringu pracowniczego przez trzy miesiące od daty nagrania (jeżeli nagrane zdarzenie podlega dalszemu postępowaniu, o ile zdarzenie zostało w pełni wyjaśnione); oraz,
dokumentację podatkową za pięć lat od końca roku kalendarzowego, w którym nastąpiła płatność podatku.
W przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką nie ma zastosowania art. 5 RODO, regulujący m.in. zasadę ograniczenia przechowywania.
7.8. Dane dzieci
Przepisy krajowe nie zmieniają wieku zgody określonego w RODO. W przypadku usług świadczonych drogą elektroniczną (usługi on-line) małoletni mogą wyrazić zgodę na samodzielne przetwarzanie swoich danych osobowych po ukończeniu 16 roku życia.
W innych kontekstach, jeśli małoletni ma ukończone 13 lat, zarówno przedstawiciel prawny (np. rodzic), jak i małoletni muszą wyrazić zgodę na przetwarzanie danych osobowych małoletniego lub przedstawiciel prawny może wyrazić zgodę w imieniu małoletniego. Jeżeli osoba małoletnia nie ukończyła 13 roku życia, na przetwarzanie danych osobowych osoby małoletniej może wyrazić zgodę jedynie jej przedstawiciel ustawowy.
7.9. Szczególne kategorie danych osobowych
Nie ma ogólnych przepisów krajowych dotyczących przetwarzania szczególnych kategorii danych lub danych dotyczących wyroków skazujących, ale w polskich przepisach przewidziano pewne szczególne zmiany lub wyłączenia. Te szczególne przepisy mają zastosowanie przede wszystkim do organów publicznych i stanowią podstawę prawną do przetwarzania szczególnych kategorii danych lub danych dotyczących wyroków skazujących za przestępstwa oraz dalsze warunki, aby to zrobić.
Przykłady regulacji mających zastosowanie do sektora prywatnego obejmują:
Ustawa z dnia 11 września 2015 r. o ubezpieczeniach i reasekuracji, na mocy której zakłady ubezpieczeń mogą przetwarzać szczególne kategorie danych osobowych, w tym dane dotyczące zdrowia, w celu oceny ryzyka ubezpieczeniowego i wykonania umowy; oraz
Ustawa z dnia 11 września 2019 r. Prawo zamówień publicznych, dotycząca obowiązku podania danych skazujących w określonych sytuacjach.
W niektórych przypadkach polskie przepisy wymagają:
- szczególnych środków bezpieczeństwa w celu ochrony
- szczególnych kategorii danych osobowych lub danych o wyrokach skazujących.
Głównymi środkami bezpieczeństwa przetwarzania szczególnych kategorii danych osobowych lub danych dotyczących wyroków karnych jest to, że tylko osoby odpowiednio upoważnione na piśmie, zobowiązane do zachowania poufności, mogą przetwarzać szczególne kategorie danych osobowych (np. osoby przetwarzające szczególne kategorie danych pracowników) lub dane dotyczące wyroków skazujących (np. osoby przetwarzające dane dotyczące wyroków skazujących w postępowaniu o zawarcie umowy koncesji na roboty budowlane lub usługi).
Szczegółowe zasady przetwarzania danych pracowników zostały opisane w punkcie 5.7. nad.
7.10. Umowy z administratorem i podmiotem przetwarzającym
Nie istnieją żadne różnice w prawie krajowym dotyczące umów o przetwarzanie danych i współpracy między administratorem a podmiotem przetwarzającym.
8. PRAWA PODMIOTU DANYCH
8.1. Prawo do informacji
Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 13 i 14 RODO nie mają zastosowania. Dodatkowo, w przypadku przetwarzania danych osobowych w związku z wypowiedziami akademickimi, art. 13 RODO nie ma zastosowania.
Administrator jest zwolniony z obowiązków informacyjnych na podstawie art. 13 ust. 3, 14 ust. 1, 14 ust. 2 i 14 ust. 4 RODO, jeżeli:
administrator wykonuje zadanie publiczne;
przetwarzanie służy wykonaniu takiego zadania; oraz
jest to niezbędne do realizacji celów określonych w art. 23 ust. 1 RODO, a także spełnione są inne warunki określone w art. 3 i 4 Ustawy.
Ustawa zmieniająca wprowadza zmiany w wielu ustawach i wyłącza organy publiczne z obowiązku udzielania indywidualnych informacji osobom, których dane dotyczą. Zamiast tego organy publiczne są zobowiązane do publikowania informacji publicznych na swoich stronach internetowych lub umieszczania informacji w widocznym miejscu w budynku, w którym działają.
Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa do informacji, np. zmiany przewidziane w ustawie z dnia 30 maja 2014 r. o prawach konsumenta umożliwiają mikroprzedsiębiorcom złożenie oświadczenia o ochronie prywatności na podstawie art. RODO poprzez zawieszenie go w siedzibie firmy w widocznym miejscu lub umieszczenie odpowiednich informacji na swojej stronie internetowej.
Zwolnienie to nie ma zastosowania, jeżeli:
osoba, której dane dotyczą, nie ma możliwości zapoznania się z polityką prywatności;
administrator danych przetwarza dane, o których mowa w art. 9 ust. 1 RODO (tj. dane kategorii specjalnej); oraz
administrator danych ujawnia dane, o których mowa w art. 9 ust. 1 RODO (tj. dane kategorii szczególnej), z wyjątkiem sytuacji, gdy ich ujawnienie odbywa się na podstawie zgody lub wypełnienia obowiązku prawnego.
8.2. Prawo dostępu
Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 15 RODO nie ma zastosowania. Dodatkowo w przypadku przetwarzania danych osobowych w związku z wypowiedziami akademickimi nie mają zastosowania art. 15 ust. 3 i art. 15 ust. 4 RODO.
Administratorzy realizujący zadanie publiczne są zwolnieni z obowiązku przekazywania osobom, których dane dotyczą, informacji określonych w art. 15 ust. 1 – 3 RODO, jeżeli ich nie podanie jest niezbędne do realizacji celów określonych w art. spełnione są inne warunki określone w art. 5 ustawy.
Zgodnie z ustawą administratorzy otrzymujący dane od podmiotu realizującego zadanie publiczne są zwolnieni z obowiązku przekazywania informacji określonych w art. 15 ust. mające na celu w szczególności zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, wykrywanie lub ściganie przestępstw.
Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa dostępu, np. w przypadku przetwarzania danych osobowych przez:
podmioty sektora finansowego w zakresie, w jakim jest to niezbędne do prawidłowego wykonywania ich zadań związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, a także zapobieganiem innym przestępstwom (np. banki, ubezpieczyciele, fundusze inwestycyjne itp.), w których. w przypadku, gdy wszystkie prawa opisane w art. 15 RODO są wyłączone; oraz osoby wykonujące zawody radcy prawnego, notariusza, doradcy podatkowego, tłumacza przysięgłego oraz pracownika Prokuratora Generalnego RP („Zawody”), w którym to przypadku Ustawa zmieniająca ograniczyła stosowanie art. 15 1 i 15 ust. 3 RODO ze względu na ciążący na nich obowiązek zachowania tajemnicy.
8.3. Prawo do sprostowania
Zgodnie z ustawą w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką art. 16 RODO nie ma zastosowania. Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa do sprostowania. Przykładowo w przypadku przetwarzania danych osobowych na potrzeby statystyki publicznej ustawa zmieniająca wyłączyła zastosowanie art. 16 RODO.
8.4. Prawo do usunięcia
Nie ma żadnych zmian w prawie krajowym dotyczących prawa do usunięcia.
8.5. Prawo do sprzeciwu/rezygnacji
Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką art. 21 RODO nie ma zastosowania. Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące prawa do sprzeciwu. Przykładowo w przypadku przetwarzania danych osobowych przez osoby wykonujące Zawody (patrz ust. 8.2. powyżej) Ustawa zmieniająca wyłącza zastosowanie art. 21 ust. 1 RODO ze względu na ciążący na nich obowiązek zachowania tajemnicy.
8.6. Prawo do przenoszenia danych
Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 20 RODO nie ma zastosowania.
8.7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji
Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką art. 22 RODO nie ma zastosowania.
Ponadto ustawa zmieniająca wprowadza szereg możliwości zautomatyzowanego podejmowania decyzji, w tym profilowania, oraz wyłącza prawo osoby, której dane dotyczą, do niepodlegania takim decyzjom, w szczególności w przypadku przetwarzania danych osobowych przez:
banki i inne podmioty udzielające kredytów w celu oceny zdolności kredytowej i ryzyka kredytowego;
ubezpieczycieli w celu oceny ryzyka ubezpieczeniowego i wykonywania innych czynności ubezpieczeniowych; oraz
Głównego Inspektoratu Transportu Drogowego w związku ze stosowaniem fotoradarów.
Wspomniani administratorzy muszą jednak spełnić dodatkowe wymagania.
8.8. Inne prawa
Zgodnie z Ustawą, w przypadku przetwarzania danych osobowych w związku z działalnością publicystyczną, artystyczną lub literacką, art. 18 i 19 RODO nie mają zastosowania. Dodatkowo, w przypadku przetwarzania danych osobowych w związku z wypowiedziami akademickimi, art. 18 RODO nie ma zastosowania.
Ponadto ustawa zmieniająca wprowadza inne szczegółowe regulacje dotyczące uprawnień wynikających z RODO. Przykładowo, w przypadku przetwarzania danych osobowych przez osoby wykonujące Zawody (patrz ust. 8.2. powyżej) Ustawa zmieniająca ograniczyła zastosowanie art. 18 i 19 RODO ze względu na nałożony na nie obowiązek zachowania tajemnicy.
9.1 Decyzje egzekucyjne
Dostęp do decyzji wydawanych przez UODO można uzyskać w trybie on-line. UODO przeprowadza audyty zgodnie z rocznymi planami audytów i poza zakresem swojego planu audytów. Plan audytów na rok 2022 przewiduje audyty w zakresie:
banki przetwarzające dane osobowe w zakresie profilowania danych swoich klientów i potencjalnych klientów oraz sposobów informowania kredytobiorców o ocenie kredytowej; oraz podmiotom przetwarzającym dane osobowe za pośrednictwem aplikacji mobilnych w zakresie sposobu zabezpieczenia i udostępniania danych w związku z korzystaniem z takich aplikacji.
Do chwili obecnej UODO wydał kilka decyzji nakładających kary administracyjne za różnego rodzaju niezgodności z RODO, takie jak:
nieudzielania informacji wymaganych na podstawie art. 14 RODO;
naruszenia danych, które spowodowały wyciek danych;
brak mechanizmu wycofania zgody;
brak współpracy z UODO;
brak umowy z podmiotem przetwarzającym dane oraz brak aktualizacji rejestru czynności przetwarzania; oraz inne związane z tym naruszenia zasad ochrony danych osobowych.
Poniższa tabela przedstawia szczegóły ważnych decyzji/orzecznictwa:
Data decyzji;
Wysokość grzywny;
Opis decyzji UODO
15 marca 2019 r.
ok. 1 mln zł (ok. 203 600 euro )
Grzywna została nałożona na brokera danych za nieprzekazanie informacji o prywatności około sześciu milionom jednoosobowych przedsiębiorców.
W dniu 11 grudnia 2019 r. Wojewódzki Sąd Administracyjny w Warszawie („Sąd Administracyjny”) uchylił karę. Sąd Administracyjny uznał, że UODO powinien ponownie rozpatrzyć sprawę. Ponieważ ta ponowna ocena może mieć wpływ na wysokość grzywny, grzywna została uchylona. Wyrok nie jest ostateczny.
10 września 2019
Kwota przekroczyła 2,8 mln zł (ok. 570 400 euro)
Kara została nałożona na Morele.net, dużą platformę handlu elektronicznego, za nie wprowadzenie odpowiednich zabezpieczeń przed nieuprawnionym dostępem do danych osobowych. Morele.net doznał poważnego ataku hakerów, w wyniku którego hakerzy przechwycili dane dotyczące 2,2 miliona jego klientów. Zebrane dane zostały następnie wykorzystane do przeprowadzenia spear phishingu i zostały opublikowane w Internecie.
3 września 2020 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Nie został sfinalizowany.
18 października 2019
40 000 zł (ok. 8150 euro)
Należy pamiętać, że maksymalna kara dla władz publicznych wynosi 100 000 zł
Kara została nałożona na burmistrza miasta m.in. za brak zgody na przetwarzanie danych, przetwarzanie danych osobowych przez okres dłuższy niż określony przepisami prawa, publikowanie posiedzeń rady miasta tylko na YouTube (bez tworzenia kopii zapasowych, co mogłoby skutkować ich niedostępność lub utrata), a także nie posiadanie informacji o wszystkich odbiorcach i okresach przechowywania wpisanych do rejestru czynności przetwarzania.
26 sierpnia 2020 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany.
16 października 2019
Kwota przekroczyła 201 000 zł (ok. 40 950 €)
Kara została nałożona na dostawcę marketingu bezpośredniego za nieułatwienie użytkownikom wypisania się z marketingu bezpośredniego (wycofanie zgody) oraz skorzystanie z prawa do usunięcia danych.
10 lutego 2021 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany
9 marca 2020
20 000 zł (ok. 4070 euro)
Kara została nałożona za uniemożliwienie przeprowadzenia kontroli. UODO zawiadomił spółkę o zamiarze przeprowadzenia kontroli w siedzibie spółki. W ogłoszonym czasie kontroli w urzędzie nie było ani jednego funkcjonariusza ani pracownika firmy. Kiedy UODO wyznaczył kolejny termin kontroli, firma kontynuowała tę ciekawą zabawę w chowanego. Ponadto spółka zrezygnowała z najmu lokalu biurowego, w którym miała być przeprowadzona kontrola, a wspólnicy spółki podjęli decyzję o likwidacji przedsiębiorstwa.
29 maja 2020
15.000 zł (ok. 3.050 €)
Kara została nałożona za nieudostępnienie UODO danych osobowych i innych informacji niezbędnych do wykonywania jego zadań. W następstwie skargi ze strony osoby fizycznej (początkowo wniesionej do organu ochrony danych Nadrenii-Palatynatu , a następnie skierowanej do UODO), UODO wielokrotnie zwracał się do firmy o wyjaśnienie i uzasadnienie stosowanych przez nią praktyk postępowania z danymi. Firma albo nie odpowiedziała, albo udzieliła niejasnych, wewnętrznie sprzecznych lub niezadowalających odpowiedzi.
26 stycznia 2021 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany.
3 czerwca 2020
5.000 zł (ok. 1.020 €)
Kara została nałożona za brak współpracy z UODO. Po zgłoszeniu naruszenia danych przez prywatnego właściciela żłobka, UODO wielokrotnie żądał kopii wiadomości, którą właściciel rzekomo przekazał zainteresowanym osobom. Prośby zostały przesłane listownie na podany przez właścicielkę adres do doręczeń korespondencji oraz adres jej głównego miejsca prowadzenia działalności. Właścicielowi nie udało się zebrać większości listów. Jednak jeden list, który zebrała, pozostał bez odpowiedzi.
21 sierpnia 2020
50 000 zł (ok. 10 200 euro)
Kara została nałożona na państwową uczelnię za niedopełnienie szeregu obowiązków wynikających z RODO, które wyszły na jaw po poważnym naruszeniu danych i późniejszej kontroli UODO. Pracownik uniwersytetu używał swojego prywatnego laptopa do celów związanych z pracą, nie będąc do tego upoważnionym zgodnie z regulaminem uczelni. Laptop zawierał kopię znacznej części bazy danych uniwersytetu, w tym dane osobowe dotyczące około 100 000 kandydatów, którzy aplikowali na uniwersytet w ciągu ostatnich pięciu lat. Laptop został skradziony, co doprowadziło do utraty poufności 81 624 rekordów. Po zgłoszeniu naruszenia UODO przeprowadził kontrolę pomieszczeń i baz danych uczelni. Stwierdził, że w tym przypadku wiele naruszeń nakładało się na siebie. Uczelnia nie zdołała: wdrożyć zabezpieczenia przed swoimi bazami danych; wdrożyć mechanizm śledzenia zdarzeń, w tym ekstrakcji, dotyczący jego baz danych; zapewnić przestrzeganie zasad dotyczących przynoszenia własnego urządzenia („BYOD”); oraz upewnić się, że dane osobowe kandydatów na studia zostały usunięte ze wszystkich lokalizacji po upływie obowiązujących okresów przechowywania.
13 maja 2021 r. Sąd Administracyjny utrzymał w mocy karę nałożoną przez UODO. Wyrok nie został sfinalizowany.
3 grudnia 2020
1,9 mln zł (ok. 387 080 euro)
Kara została nałożona za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Ujawniło się to po naruszeniu danych i późniejszej kontroli UODO. UODO ustalił, że spółka nie prowadziła regularnych i kompleksowych badań lub pomiarów i ocen zabezpieczeń technicznych i organizacyjnych. Firma testowała swoje środki bezpieczeństwa tylko wtedy, gdy pojawiły się podejrzenia o lukę lub w związku ze zmianami organizacyjnymi. W szczególności spółka nie prowadziła testów pod kątem podatności związanych z transferem danych pomiędzy aplikacjami służącymi do obsługi klientów kupujących usługi przedpłacone. W tych okolicznościach,
9 grudnia 2020
85 588 zł (ok. 17 440 euro)
Kara została nałożona na zakład ubezpieczeń i reasekuracji za niezgłoszenie do UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki. Naruszenie danych polegało na wysłaniu przez agenta ubezpieczeniowego działającego jako podmiot przetwarzający firmy wiadomości e-mail zawierającej polisę ubezpieczeniową do nieuprawnionego odbiorcy. Polisa zawierała różne dane, w tym m.in, nazwiska, adresy i krajowe numery identyfikacyjne. UODO otrzymał informację o naruszeniu danych od nieuprawnionego odbiorcy wiadomości e-mail. W konsekwencji UODO wezwał spółkę do wyjaśnienia, czy przeprowadziła ocenę ryzyka pozwalającą na podjęcie decyzji, czy naruszenie danych powinno zostać zgłoszone UODO oraz osobom, których dane dotyczą, których dotyczy naruszenie. Spółka potwierdziła, że dokonała takiej oceny i na jej podstawie stwierdziła, że naruszenie nie było wymagane do zgłaszania UODO i osobom, których dane dotyczą, ze względu na niskie ryzyko naruszenia praw i wolności osób, których dane dotyczą. UODO nie zgodził się z takim podejściem, ponieważ uznał, że zagrożenie dla takich praw i wolności jest wysokie, w związku z czym zarówno UODO, jak i osoby, których dane dotyczą, powinni byli zostać powiadomieni.
5 stycznia 2021
85 000 zł (ok. 17 320 euro)
Kara została nałożona na przedsiębiorcę działającego w branży medycznej za nieprzestrzeganie nakazu nałożonego na niego w decyzji UODO. UODO nakazał przedsiębiorcy poinformowanie osób, których dane dotyczą, o naruszeniu ochrony danych, które dotknęło ich dane oraz sformułowanie zaleceń, w jaki sposób zminimalizować potencjalne negatywne skutki naruszenia. Przedsiębiorca nie zastosował się do nakazu. Ujawniła to kontrola UODO mająca na celu sprawdzenie wykonania obowiązków nałożonych w decyzji.
11 stycznia 2021
136 000 zł
(ok. 27 720 €)
Kara została nałożona na spółkę z branży energetycznej za niezgłoszenie do UODO naruszenia ochrony danych osobowych. Naruszenie polegało na wysłaniu wiadomości e-mail do nieautoryzowanego odbiorcy z niezabezpieczonym załącznikiem zawierającym dane osobowe kilkuset osób. UODO dowiedział się o naruszeniu od nieuprawnionego odbiorcy wiadomości e-mail.
22 kwietnia 2021
1,1 mln zł (ok. 224 170 euro)
Kara została nałożona na platformę Direct-to-Home („DTH”) za niewdrożenie odpowiednich środków technicznych i organizacyjnych we współpracy z firmą kurierską. Platforma DTH często informowała UODO o naruszeniach ochrony danych polegających na utracie korespondencji zawierającej dane osobowe lub doręczeniu takiej korespondencji nieuprawnionym odbiorcom przez firmę kurierską. Okazało się, że platforma DTH zgłaszała takie naruszenia do UODO i osób, których dane dotyczą, z dużym opóźnieniem, po zgłoszeniu przez firmę kurierską. UODO stwierdził, że platforma DTH nie wdrożyła skutecznych środków, które zminimalizują liczbę takich naruszeń, pozwolą na ich szybszą identyfikację, a co za tym idzie szybsze powiadomienie UODO i osób, których dane dotyczą.
8 czerwca 2021
100 000 zł
Kara została nałożona na operatora telefonii komórkowej, który nie powiadomił w terminie UODO o naruszeniach ochrony danych osobowych. UODO wielokrotnie zwracał się do administratora o wyjaśnienia dotyczące składania przez niego zawiadomień po terminie. Gdy administrator nie wdrożył odpowiednich środków w celu wyeliminowania takich naruszeń w przyszłości, UODO postanowił nałożyć na administratora karę pieniężną.
14 października 2021
363 000 zł (ok. 73 970 €)
Kara została nałożona na bank za brak powiadomienia UODO i osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Naruszenie dotyczyło korespondencji zawierającej dane osobowe (m.in. nazwiska, krajowe numery identyfikacyjne, adresy, numery rachunków bankowych oraz numery identyfikacyjne klientów), które zostały utracone przez firmę kurierską. UODO dowiedział się o naruszeniu od osób, których dane dotyczą, których dotyczyło naruszenie. Okazało się, że bank poinformował osoby, których dane dotyczą, o naruszeniu. Podane informacje były jednak niewystarczające i niezgodne z wymogami RODO. Bank uznał, że ryzyko negatywnych konsekwencji dla zaangażowanych osób, których dane dotyczą, jest średnie, w związku z czym nie zgłosił naruszenia danych do UODO i nie przekazał osobom, których dane dotyczą, pełnych informacji wymaganych przez RODO.
https://www.dataguidance.com/notes/poland-data-protection-overview
Inspektor ochrony danych - Wikipedia
https://en.wikipedia.org/wiki/Data_protection_officer
