Ochrona danych osobowych

5 stycznia 2023 r. parlament zakończył prace nad zmianami do Kodeksu pracy, które obejmowały m.in. kwestię badania trzeźwości pracowników przez pracodawców.

Na początku stycznia 2023 r. DPC poinformował o ukaraniu spółki Meta Platforms Ireland Limited administracyjną karą pieniężną o łącznej wartości 390 mln euro. Powodem nałożenia kary było naruszenie przez spółkę przepisów RODO dotyczących legalności i przejrzystości przetwarzania w związku z prowadzonymi działaniami z zakresu wyświetlania reklam behawioralnych użytkownikom Facebooka i Instagrama.

Nowe przepisy dotyczące pracy zdalnej nakazują opracowanie procedury ochrony danych osobowych w związku z wykonywaniem pracy zdalnej. Taki dokument powinien być dostosowany do potrzeb organizacji i do pozostałej dokumentacji dotyczącej ochrony danych osobowych.

Przedmiotem badań prowadzonych przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) są zagrożenia bezpieczeństwa informacji przetwarzanych w systemach informatycznych organizacji, instytucji państwowych, samorządowych, edukacji, służby zdrowia, a także firm, niezależnie od sektora, w jakim działają. Wyniki tych badań już od 10 lat publikowane są w corocznych raportach. Ostatni taki raport, który obejmuje okres od czerwca 2021 r. do lipca 2022 r., opublikowany został we wrześniu 2022 r. W raporcie wskazano główne trendy rozwoju, jakie zaobserwowano w ewolucji poszczególnych rodzajów zagrożeń, najbardziej spektakularne incydenty oraz wykorzystywane podatności. Przedstawiono również zalecenia dla administratorów i zarządzających systemami w zakresie działań, jakie należy podejmować, aby unikać ataków i – jeśli do nich dojdzie – ograniczać ich skutki.

Poniżej przedstawione zostało 10 najważniejszych inicjatyw organów do spraw ochrony danych, projektów legislacyjnych oraz trendów, które powinny mieć istotne znaczenie w 2023 r. dla stosowania RODO w sektorze nowych technologii.

W czerwcu 2021 r. Komisja Europejska przyjęła nowe SKU dla transferu danych do państw trzecich. Do 27 grudnia 2022 r. podmioty przekazujące dane osobowe poza EOG muszą zastąpić stosowane dotychczas klauzule oparte o stare zasady, nowymi aktualnymi wzorami wydanymi przez Komisję. Poprawne wdrożenie SKU wymaga od administratorów lub podmiotów przetwarzających podjęcia szeregu działań.

W lipcu 2022 r. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport zatytułowany „ENISA Threat Landscape for Ransomware Attacks”. Przedstawiono w nim statystyki z analizy 623 ataków przeprowadzonych w okresie od maja 2021 r. do czerwca 2022 r. oraz trendy w ich rozwoju.

Komisja opublikowała pytania i odpowiedzi dotyczące stosowania standardowych klauzul umownych – zarówno transferowych, jak i klauzul powierzenia przetwarzania. Ma to pomóc zainteresowanym podmiotom w prawidłowym korzystaniu z SKU.

W marcu 2022 r. Komisja Europejska i USA ogłosiły wspólne stanowisko w sprawie nowych Transatlantyckich Ram Ochrony Prywatności Danych. W kwietniu 2022 r. Europejska Rada Ochrony Danych wydała w tym zakresie oświadczenie.

Stosowanie plików cookie i innych trackerów przez operatorów stron internetowych jest przedmiotem zainteresowania organów nadzorczych. Ostatnio na ten temat wypowiedział się szczegółowo francuski organ nadzorczy – Commission Nationale Informatique et Libertés. W artykule przedstawiam stanowisko organu.

Obecnie trwa drugi etap kontroli organu nadzorczego, a w praktyce jego urzędu – Urzędu Ochrony Danych Osobowych (UODO) wobec administratorów i podmiotów przetwarzających w zakresie przestrzegania przepisów o inspektorze ochrony danych (IOD). W pierwszym etapie wysłano do wybranej grupy administratorów (podmiotów przetwarzających) wezwania do złożenia wyjaśnień i przedstawienia dowodów. W drugim etapie do części tych samych podmiotów skierowano wezwania o uzupełnienie wyjaśnień albo przeprowadzono ich inspekcje.

Kolejny, już drugi projekt ustawy o sygnalistach wprowadza zmiany o charakterze systemowym oraz zmiany w obszarze przetwarzania i ochrony danych osobowych. Wśród wprowadzonych rozwiązań znajdują się zarówno oczekiwane zmiany, takie jak wzmocnienie ochrony poufności tożsamości sygnalisty w związku z odsunięciem w czasie obowiązku z art. 15 ust. 1 lit. g RODO, jak i w pełni zaskakujące, tj. skrócenie okresu retencji danych w systemach zgłaszania naruszeń prawa.