RODO w działalności adwokatów i radców prawnych, cz. 1

  

Dowiedziałem się niedawno, że pewien pozwany w procesie cywilnym złożył na adwokata – pełnomocnika powoda skargę do PUODO, w której zarzucił mu przetwarzanie swoich danych osobowych bez podstawy prawnej.

W związku z tym, dzisiejszy post na blogu poświęcam przetwarzaniu danych osobowych właśnie przez adwokatów (czyli również przeze mnie).

Oczywiście RODO znajduje zastosowanie do działalności kancelarii adwokackich, podobnie jak do kancelarii radcowskich i komorniczych. Adwokat prowadzący własną kancelarię jest administratorem danych osobowych. W pewnych szczególnych przypadkach może on występować w roli podmiotu przetwarzającego dane osobowe w imieniu klienta, który powierzył mu realizację zlecenia. Co do zasady adwokat przetwarza jednak dane osobowe w roli administratora.

Czytaj dalej

Szantaż „na RODO” wkrótce będzie karalny.

  

Dobre wieści dla przedsiębiorców!

W związku z wejściem w życie ustawy mającej na celu zapewnienie stosowania RODO, próby przymuszenia firmy do określonego działania pod groźbą uruchomienia postępowania w celu nałożenia kary pieniężnej z RODO, będą karalne.

Takie nieuczciwe praktyki pojawiły się jeszcze przed rozpoczęciem stosowania RODO w maju 2018 r. Najczęściej miały one formę wiadomości e-mail, w której nadawca informował o konieczności podjęcia określonych działań w związku z RODO. Jednocześnie sam proponował swoje usługi w tym zakresie, a w razie nieskorzystania z takiej oferty „nie do odrzucenia” zapowiadał zawiadomienie organu nadzorczego.

W celu ukrócenia takich prób szantażu „na RODO” w przyszłości nasz ustawodawca zdecydował się na wprowadzenie stosownych zmian w Kodeksie karnym.

Czytaj dalej

5 najczęstszych błędów w klauzulach informacyjnych RODO

  

Klauzule informacyjne administratora danych to bardzo ważny element systemu ochrony danych osobowych. Tak było również w czasach „przed RODO”.

Jednak dopiero w RODO przewidziano konkretną sankcję za brak właściwej realizacji obowiązku informacyjnego. Ma ona postać administracyjnej kary pieniężnej. O tym, że nakładanie kar nie jest uprawnieniem Prezesa Urzędu Ochrony Danych Osobowych tylko w teorii, ale także w praktyce, przekonała się ostatnio jedna ze spółek, która ma zapłacić blisko 1 mln złotych.

Poniżej zamieszczam listę 5 najczęściej spotykanych błędów / złych praktyk w klauzulach informacyjnych. Została ona sporządzona na podstawie analizy treści klauzul spotykanych w obrocie oraz stanowisk i wytycznych organów ochrony danych.

Mam nadzieję, że okaże się ona pomocna dla Twojej firmy.

Czytaj dalej

„Dana osobowa” to błąd językowy!

  

Dzisiaj po raz kolejny usłyszałem od osoby zawodowo zajmującej się prawem ochrony danych  osobowych określenie „dana osobowa”. Ponieważ ten zwrot mocno kaleczy moje uszy, w tym krótkim wpisie postaram wyjaśnić, dlaczego nie należy go używać.

Mój blog nie jest poświęcony kwestiom językowym, ale uważam, że poprawna polszczyzna to dobro wspólne, o które powinniśmy dbać. Tym bardziej, że w erze globalizacji oraz szybkiej i płytkiej komunikacji jest ona zagrożona jak nigdy przedtem.

Otóż słowo „dane” w języku polskim występuje tylko w liczbie mnogiej! Co za tym idzie, poprawny jest wyłącznie zwrot „dane osobowe”. W języku polskim nie ma żadnej pojedynczej „dany / danej osobowej”. Jak źle to brzmi, chyba każdy słyszy,

Czytaj dalej

Ustawa zapewniająca stosowanie RODO podpisana przez Prezydenta RP.

  

Dnia 3 kwietnia 2019 r. Prezydent RP, Andrzej Duda, podpisał ustawę wprowadzającą zmiany do szeregu ustaw w związku z zapewnieniem stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO).

Celem ustawy jest harmonizacja przepisów krajowych ustaw z przepisami rozporządzenia i usunięcie stwierdzonych niezgodności. Zmianie ulega blisko 170 ustaw, regulujących działalność podmiotów z sektora publicznego i prywatnego.

Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia.

Dlaczego milion złotych kary? Mój komentarz.

  

W dniu 26 marca 2019 r. Prezes UODO poinformowała o nałożeniu pierwszej kary pieniężnej z RODO. Wysokość kary (220 tys. euro, czyli blisko 1 mln złotych) wzbudziła duże emocje i rozpoczęła ożywioną dyskusję, nie tylko wśród prawników od ochrony danych osobowych.

Za co spółka została ukarana?

Spółka pozyskała dane osobowe ponad 6 mln osób fizycznych ze źródeł publicznie dostępnych, m.in. z CEiDG, w celu ich przetwarzania dla celów komercyjnych. Wiadomość e-mail z klauzulą informacyjną RODO została przesłana tylko do tych osób, które ujawniły swój adres poczty elektronicznej. W odniesieniu do pozostałych osób (zdecydowanej większości), spółka uznała, że wystarczające będzie umieszczenie informacji na swojej stronie internetowej.

Część ekspertów wskazała na surowość orzeczonej przez Prezes UODO kary i niejednoznaczność w zakresie wykładni pojęcia „niewspółmiernie dużego wysiłku”. W konkretnych okolicznościach może on uzasadniać brak bezpośredniego przekazania klauzuli informacyjnej z RODO. Spółka uznała, że koszty wysyłki kilku milionów listów poleconych byłyby nieadekwatnie wysokie do spodziewanych korzyści biznesowych.

Nie jest moim celem opowiadanie się po którejkolwiek ze stron, ale próba wyjaśnienia, jakie okoliczności wpłynęły na orzeczenie kary w tej, a nie innej wysokości.

Czytaj dalej

Jak długo firma farmaceutyczna może przetwarzać dane osobowe ze zgłoszeń działań niepożądanych kosmetyków?

  

W kontekście RODO branża farmaceutyczna staje w obliczu ustalenia właściwych okresów przechowywania poszczególnych kategorii danych osobowych.

Specyficzną kategorią są dane pochodzące ze zgłoszeń działań niepożądanych. Obowiązek przyjmowania i weryfikacji takich zgłoszeń nie dotyczy wyłącznie produktów leczniczych, ale także wyrobów medycznych i produktów kosmetycznych.

Wraz z początkiem roku weszła w życie nowa ustawa z dnia 4 października 2018 r. o produktach kosmetycznych, która bardziej szczegółowo uregulowała kwestie związane z wykonywaniem przez firmy farmaceutyczne, producentów i dystrybutorów kosmetyków, obowiązków dot. działań niepożądanych tej właśnie kategorii produktów.

Czytaj dalej

Pierwsze kary pieniężne za naruszenia RODO

  

Kary pieniężne za przetwarzanie danych osobowych niezgodnie z przepisami RODO to już nie tylko teoria. Niektóre unijne organy nadzorcze wydały pierwsze decyzje skierowane przeciwko podmiotom, które uchybiły nowym standardom. I nie są to wcale niskie kwoty.

Portugalski organ nadzorczy nałożył niedawno karę na szpital w wysokości 400.000 EUR, czyli około 1,7 mln złotych za brak właściwej ochrony danych pacjentów. Uchybienia polegały m.in. na niestosowaniu odpowiednich środków organizacyjnych i technicznych w celu ograniczenia dostępu do tych danych wśród personelu szpitala. W efekcie tych zaniedbań, dostęp do danych pacjentów mogły uzyskiwać osoby nieuprawnione.

Organ ustalił również, że szpital nie dokonywał weryfikacji, czy konta byłych pracowników zostały usunięte z systemu informatycznego. Argument w postaci ograniczeń funkcjonalnych stosowanego oprogramowania został przez kontrolerów odrzucony.

Czytaj dalej

Nie twórz niepotrzebnej dokumentacji

  

W dniu 25 listopada 2018 r. upływa pół roku od rozpoczęcia stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych. Z tej okazji na stronie internetowej Urzędu Ochrony Danych Osobowych, opublikowano oświadczenie Prezes Urzędu, dr Edyty Bielak-Jomaa.

Równolegle z oświadczeniem na stronie urzędu pojawiło się 10 wskazówek dla administratorów – jak stosować RODO, w oparciu o doświadczenia z pierwszego półrocza.

Z powyższymi komunikatami warto się zapoznać. Są one dostępne tutaj:

https://uodo.gov.pl/pl/171/576

https://uodo.gov.pl/pl/171/578

Jeden z punktów wykazu wskazówek dla administratorów nosi tytuł „Nie twórz niepotrzebnej dokumentacji”. Ponieważ w powyższym komunikacie został on omówiony głównie w kontekście zgód na przetwarzanie danych osobowych, warto rozwinąć ten temat.

Czytaj dalej

Zgoda w CV na przetwarzanie danych osobowych – potrzebna czy nie?

  

W dzisiejszym wpisie postaram się rozwiać wątpliwości pracodawców i kandydatów do pracy dotyczące umieszczania na dole CV formuły zgody na przetwarzanie danych osobowych w celu przeprowadzenia rekrutacji.

Osoby, które wysyłają swoje CV w związku z ogłoszeniami o pracę, z reguły zamieszczają pod swoim CV oświadczenie o zgodzie na przetwarzanie ich danych osobowych przez firmę, która prowadzi rekrutację na stanowisko, którym te osoby są zainteresowane.

Pojawia się pytanie, czy w świetle RODO jest to konieczne i jak powinien się zachować pracodawca, który otrzyma CV, w której takiej formułki nie ma. Czy jest on uprawniony przetwarzać dane osobowe kandydata i uwzględnić jego zgłoszenie na dalszych etapach procesu rekrutacji?

Czytaj dalej