Obowiązki związane z naruszeniami ochrony danych osobowych w świetle nowego poradnika UODO
Na stronie internetowej Urzędu Ochrony Danych Osobowych (dalej: „UODO”) kilka tygodni temu opublikowany został poradnik zatytułowany Obowiązki administratorów związane z naruszeniami ochrony danych osobowych[1] (dalej: „Poradnik UODO”). Z uwagi na ogólny charakter przepisów RODO[2] oraz bardzo krótkie terminy na zgłoszenie naruszeń do organu nadzorczego, po stronie podmiotów przetwarzających dane osobowe w dalszym ciągu pojawiają się […]
Prawo do bycia zapomnianym kolejny raz przed TSUE
Francuska Rada Stanu (Conseil d’Etat) zwróciła się do TSUE o wyjaśnienie kolejnych wątpliwości związanych ze stosowaniem prawa do żądania usunięcia z wyszukiwarki internetowej danych osobowych wnioskującego, czyli tzw. prawa do bycia zapomnianym. Trybunał będzie musiał rozważyć m.in. obowiązki spoczywające na operatorze wyszukiwarki internetowej, w przypadku gdy dane wrażliwe są zawarte w artykule prasowym lub gdy […]
Branżowe kodeksy postępowania w zakresie ochrony danych
Zawarte 16 grudnia 2016 r. i 7 marca 2017 r. porozumienia GIODO z organizacjami działającymi w branży teleinformatycznej i internetowej: z PIIT oraz z IAB Polska, w celu stworzenia branżowych kodeksów postępowania, mają zapewnić upowszechnienie i jednolite wdrażanie zasad ochrony danych osobowych, w szczególności wynikających z nowego ogólnego rozporządzenia o ochronie danych osobowych (RODO). Czym […]
Masowe przechowywanie danych przez operatorów niezgodne z prawem UE
TSUE w wyroku z dnia 21 grudnia 2016 r. przesądził, że nałożenie na operatorów telekomunikacyjnych obowiązku masowej i niekontrolowanej retencji danych przez państwa członkowskie jest niezgodne z prawem UE. Jednocześnie w wyroku Trybunał wyznaczył kryteria, zgodnie z którymi państwa członkowskie pod pewnymi warunkami mogą nakazać zatrzymywanie niektórych danych. Nie ulega wątpliwości, że przedmiotowy wyrok ma […]
Jak ustalić wiodący organ nadzorczy – wytyczne Grupy Roboczej Art. 29
W celu ustanowienia spójnego i zorganizowanego sposobu sprawowania nadzoru nad transgranicznym przetwarzaniem danych, zgodnie z postanowieniami Rozporządzenia ogólnego o ochronie danych (dalej “RODO”) jeden organ nadzorczy zostaje uznany za “wiodący organ nadzorczy”. Grupa Robocza art. 29 w swoich wytycznych z dnia 13 grudnia 2016 r. (WP 244, 16/EN, dostępne w języku angielskim tutaj, natomiast nieoficjalne […]
Wytyczne Grupy Roboczej Art. 29 dotyczące wdrożenia RODO
Podczas grudniowego spotkania kontynuowano prace związane z wdrożeniem ogólnego rozporządzenia o ochronie danych, w rezultacie których Grupa Robocza Art. 29 przyjęła następujące dokumenty zgodnie z przyjętym w lutym 2016 r. planem działania: – Wytyczne i najczęściej zadawane pytania dotyczące prawa do przenoszenia danych, – Wytyczne i najczęściej zadawane pytania dotyczące inspektorów ochrony danych oraz – Wytyczne i najczęściej zadawane pytania dotyczące […]
Luka w platformie internetowej ZUS – bezpieczeństwo danych osobowych
W połowie września serwisy internetowe poinformowały o poważnej luce w Platformie Usług Elektronicznych ZUS. Błąd w systemie ZUS pozwalał na założenie konta na internetowej platformie ZUS-u dowolnej osobie, jeśli tylko znane było jej imię, nazwisko i PESEL. Wśród informacji do których dostęp mogła mieć nieuprawniona osoba znajdowały się także dane wrażliwe. Taka luka w platformie […]
Możliwości wyłączenia wtórnego obowiązku informacyjnego w świetle przepisów RODO
Jedną z naczelnych zasad ogólnego rozporządzenia o ochronie danych (RODO)[1] jest tzw. zasada przejrzystości[2], o której mowa w art. 5 ust. 1 lit. a) RODO. Zgodnie z tym przepisem dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą[3]. Emanację tej zasady stanowią w szczególności normy zawarte […]
Ocena skutków dla ochrony danych – projekt wytycznych Grupy Roboczej art. 29
4 kwietnia 2017 r. Grupa Robocza przyjęła projekt wytycznych w zakresie oceny skutków dla ochrony danych osobowych (WP 248), która zostaje wprowadzona w art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich […]
Czy istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych figurujących w publicznym rejestrze spółek?
TSUE w wyroku z 9 marca 2017 r. uznał, że nie istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych zawartych w publicznych rejestrach spółek. Niemniej jednak, po upływie wystarczająco długiego czasu od rozwiązania danej spółki, państwa członkowskie mogą przewidzieć w wyjątkowych przypadkach ograniczenie dostępu osób trzecich do takich danych. **** Stan faktyczny sprawy […]
Obowiązkowe wyznaczenie inspektora ochrony danych oraz jego zadania – wytyczne Grupy Roboczej Art. 29
Grupa Robocza Art. 29 przygotowała wytyczne dotyczące obowiązkowego wyznaczania inspektora ochrony danych (IOD), a także jego statusu i zadań. Wytyczne mają na celu ułatwienie administratorom oraz podmiotom przetwarzającym określenie, czy po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych będą mieli obowiązek wyznaczenia inspektora. **** Wyznaczenie inspektora Zgodnie z art. 37 ust. 1 RODO, wyznaczenie inspektora […]
Prawo do przenoszenia danych w wytycznych Grupy Roboczej Art. 29
Art. 20 RODO ustanawia prawo do przenoszenia danych (przysługujące podmiotom danych uprawnienie do otrzymywania od administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo do przesłania tych danych innemu administratorowi). W swoich ostatnich wytycznych Grupa Robocza art. 29 wyjaśniła najważniejsze wątpliwości dotyczące implementacji tego nowego uprawnienia. **** Zgodnie z […]
Czy dynamiczny adres IP to dane osobowe?
Trybunał Sprawiedliwości UE dnia 19 października 2016 r. wydał wyrok, w którym uznał, że dynamiczny adres IP rejestrowany przez dostawcę danej usługi online w związku z przeglądaniem strony internetowej udostępnionej publicznie stanowi dane osobowe w rozumieniu przepisów o ochronie danych osobowych pod warunkiem, że dostawca ten dysponuje środkami prawnymi pozwalającymi na uzyskanie dodatkowych informacji umożliwiających […]
Tarcza Prywatności – co nowego w zasadach transferu danych do USA?
Decyzja Wykonawcza Komisji z dnia 12 lipca 2016 r. wprowadza Tarczę Prywatności – program oparty na samocertyfikacji umożliwiający transfer danych osobowych z UE do USA. Program ten zastąpił unieważnioną Bezpieczną Przystań. Od dnia 1 sierpnia 2016 r. przedsiębiorstwa mogą występować o certyfikat do Departamentu Handlu USA. Przedsiębiorcy prowadzący działalność polegającą na transferze danych do USA […]