Brytyjski organ ochrony danych ukarał spółkę za nielegalne ujawnienie danych osobowych.

  

Brytyjski odpowiednik PUODO – Information Commissioner’s Office (ICO) – poinformował o nałożeniu kary pieniężnej w wysokości 400 000 £, czyli ok. 2 mln złotych.

Ukarana w ten sposób została spółka Bounty (UK) Ltd, która zajmuje się doradztwem z zakresu ciąży i rodzicielstwa. Powodem nałożenia kary było nielegalne ujawnienie danych osobowych ponad 14 mln osób, w tym nowo narodzonych dzieci.

Firma ta aż do 30 kwietnia 2018 r. prowadziła działalność brokera danych (tak jak pierwsza polska spółka ukarana przez PUODO) i dostarczała dane swoich klientów / członków klubu rodzica innym podmiotom dla celów prowadzenia marketingu bezpośredniego drogą elektroniczną. Potwierdziła, że udostępniła dane 39 innym podmiotom.

Czytaj dalej

RODO w działalności adwokatów i radców prawnych, cz. 2

  

Podpisana niedawno przez Prezydenta RP ustawa zapewniająca stosowanie RODO, wprowadzająca  zmiany do bliska 170 ustaw, nie ominęła Prawa o adwokaturze i ustawy o radcach prawnych. Znowelizowane przepisy będą mieć wpływ na zasady ochrony danych osobowych przez te zawody zaufania publicznego.

Od momentu wejścia w życie nowych przepisów, zacznie obowiązywać zasada, iż poniższe żądania:

  1. uzyskania potwierdzenia, że dane osobowe są przetwarzane,
  2. uzyskania dostępu do danych,
  3. wydania kopii danych,
  4. ograniczenia przetwarzania.

będą przysługiwać osobie, której dane dotyczą, wyłącznie w zakresie, w jakim nie naruszają one tajemnicy adwokackiej / radcy prawnego. Nie zostały one wyłączone w całości, lecz ograniczone z uwagi na konieczność ochrony tajemnicy zawodowej.

Czytaj dalej

Zadbaj o bezpieczeństwo służbowego pendrive’a.

  

Korzystanie z pamięci USB przez pracowników firmy jest wygodne, ale może generować potencjalne ryzyko. Nie tylko dla bezpieczeństwa danych osobowych, ale także innych dokumentów, które zapisywane są w plikach elektronicznych na popularnych pendrive’ach.

Jakie są główne ryzyka?

Poniżej wymieniam tylko kilka najważniejszych zagrożeń w związku z incydentami, jakie mogą się pojawić w związku z używaniem pamięci USB:

  1. utrata informacji,
  2. wyciek danych osobowych,
  3. kradzież własności intelektualnej,
  4. ujawnienie tajemnicy przedsiębiorstwa.

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) wyszczególniła trzy rodzaje potencjalnych zdarzeń, które są związane z korzystaniem z pamięci przenośnych. Są to: ujawnienie informacji w związku z utratą, kradzieżą lub niewłaściwym korzystaniem z urządzenia, nieautoryzowana ekstrakcja danych (np. nielegalne skopiowanie ich na inny nośnik) i wprowadzenie złośliwego kodu.

Czytaj dalej

Obowiązek informacyjny mikroprzedsiębiorców

  

Wchodząca niebawem w życie ustawa zapewniająca stosowanie RODO przewiduje pewne ułatwienia dla mikroprzedsiębiorców* w zakresie obowiązku informacyjnego.

Do ustawy o prawach konsumenta zostanie dodany przepis stanowiący, że w zakresie umów zawieranych z konsumentami:

  1. poza lokalem przedsiębiorstwa lub na odległość (czyli m.in. umowy zawierane za pośrednictwem Internetu w ramach e-handlu),
  2. innych niż te, o których mowa powyżej (np. sklepie stacjonarnym czy lokalu usługodawcy)

przedsiębiorca – administrator wykonuje obowiązek informacyjny z art. 13 RODO (pozyskanie danych osobowych bezpośrednio od klienta) przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub na swojej stronie internetowej stosownej informacji.

W przypadku umieszczenia informacji na stronie internetowej, powinna być ona łatwo dostępna, np. w osobnej zakładce o nazwie „RODO”.

Czytaj dalej

RODO w działalności adwokatów i radców prawnych, cz. 1

  

Dowiedziałem się niedawno, że pewien pozwany w procesie cywilnym złożył na adwokata – pełnomocnika powoda skargę do PUODO, w której zarzucił mu przetwarzanie swoich danych osobowych bez podstawy prawnej.

W związku z tym, dzisiejszy post na blogu poświęcam przetwarzaniu danych osobowych właśnie przez adwokatów (czyli również przeze mnie).

Oczywiście RODO znajduje zastosowanie do działalności kancelarii adwokackich, podobnie jak do kancelarii radcowskich i komorniczych. Adwokat prowadzący własną kancelarię jest administratorem danych osobowych. W pewnych szczególnych przypadkach może on występować w roli podmiotu przetwarzającego dane osobowe w imieniu klienta, który powierzył mu realizację zlecenia. Co do zasady adwokat przetwarza jednak dane osobowe w roli administratora.

Czytaj dalej

Szantaż „na RODO” wkrótce będzie karalny.

  

Dobre wieści dla przedsiębiorców!

W związku z wejściem w życie ustawy mającej na celu zapewnienie stosowania RODO, próby przymuszenia firmy do określonego działania pod groźbą uruchomienia postępowania w celu nałożenia kary pieniężnej z RODO, będą karalne.

Takie nieuczciwe praktyki pojawiły się jeszcze przed rozpoczęciem stosowania RODO w maju 2018 r. Najczęściej miały one formę wiadomości e-mail, w której nadawca informował o konieczności podjęcia określonych działań w związku z RODO. Jednocześnie sam proponował swoje usługi w tym zakresie, a w razie nieskorzystania z takiej oferty „nie do odrzucenia” zapowiadał zawiadomienie organu nadzorczego.

W celu ukrócenia takich prób szantażu „na RODO” w przyszłości nasz ustawodawca zdecydował się na wprowadzenie stosownych zmian w Kodeksie karnym.

Czytaj dalej

5 najczęstszych błędów w klauzulach informacyjnych RODO

  

Klauzule informacyjne administratora danych to bardzo ważny element systemu ochrony danych osobowych. Tak było również w czasach „przed RODO”.

Jednak dopiero w RODO przewidziano konkretną sankcję za brak właściwej realizacji obowiązku informacyjnego. Ma ona postać administracyjnej kary pieniężnej. O tym, że nakładanie kar nie jest uprawnieniem Prezesa Urzędu Ochrony Danych Osobowych tylko w teorii, ale także w praktyce, przekonała się ostatnio jedna ze spółek, która ma zapłacić blisko 1 mln złotych.

Poniżej zamieszczam listę 5 najczęściej spotykanych błędów / złych praktyk w klauzulach informacyjnych. Została ona sporządzona na podstawie analizy treści klauzul spotykanych w obrocie oraz stanowisk i wytycznych organów ochrony danych.

Mam nadzieję, że okaże się ona pomocna dla Twojej firmy.

Czytaj dalej

„Dana osobowa” to błąd językowy!

  

Dzisiaj po raz kolejny usłyszałem od osoby zawodowo zajmującej się prawem ochrony danych  osobowych określenie „dana osobowa”. Ponieważ ten zwrot mocno kaleczy moje uszy, w tym krótkim wpisie postaram wyjaśnić, dlaczego nie należy go używać.

Mój blog nie jest poświęcony kwestiom językowym, ale uważam, że poprawna polszczyzna to dobro wspólne, o które powinniśmy dbać. Tym bardziej, że w erze globalizacji oraz szybkiej i płytkiej komunikacji jest ona zagrożona jak nigdy przedtem.

Otóż słowo „dane” w języku polskim występuje tylko w liczbie mnogiej! Co za tym idzie, poprawny jest wyłącznie zwrot „dane osobowe”. W języku polskim nie ma żadnej pojedynczej „dany / danej osobowej”. Jak źle to brzmi, chyba każdy słyszy,

Czytaj dalej

Ustawa zapewniająca stosowanie RODO podpisana przez Prezydenta RP.

  

Dnia 3 kwietnia 2019 r. Prezydent RP, Andrzej Duda, podpisał ustawę wprowadzającą zmiany do szeregu ustaw w związku z zapewnieniem stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO).

Celem ustawy jest harmonizacja przepisów krajowych ustaw z przepisami rozporządzenia i usunięcie stwierdzonych niezgodności. Zmianie ulega blisko 170 ustaw, regulujących działalność podmiotów z sektora publicznego i prywatnego.

Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia.

Dlaczego milion złotych kary? Mój komentarz.

  

W dniu 26 marca 2019 r. Prezes UODO poinformowała o nałożeniu pierwszej kary pieniężnej z RODO. Wysokość kary (220 tys. euro, czyli blisko 1 mln złotych) wzbudziła duże emocje i rozpoczęła ożywioną dyskusję, nie tylko wśród prawników od ochrony danych osobowych.

Za co spółka została ukarana?

Spółka pozyskała dane osobowe ponad 6 mln osób fizycznych ze źródeł publicznie dostępnych, m.in. z CEiDG, w celu ich przetwarzania dla celów komercyjnych. Wiadomość e-mail z klauzulą informacyjną RODO została przesłana tylko do tych osób, które ujawniły swój adres poczty elektronicznej. W odniesieniu do pozostałych osób (zdecydowanej większości), spółka uznała, że wystarczające będzie umieszczenie informacji na swojej stronie internetowej.

Część ekspertów wskazała na surowość orzeczonej przez Prezes UODO kary i niejednoznaczność w zakresie wykładni pojęcia „niewspółmiernie dużego wysiłku”. W konkretnych okolicznościach może on uzasadniać brak bezpośredniego przekazania klauzuli informacyjnej z RODO. Spółka uznała, że koszty wysyłki kilku milionów listów poleconych byłyby nieadekwatnie wysokie do spodziewanych korzyści biznesowych.

Nie jest moim celem opowiadanie się po którejkolwiek ze stron, ale próba wyjaśnienia, jakie okoliczności wpłynęły na orzeczenie kary w tej, a nie innej wysokości.

Czytaj dalej