Czy IOD może obsługiwać zgłoszenia sygnalistów?
Obecnie trwają prace nad projektem ustawy o ochronie osób zgłaszających naruszenia prawa. Nowe przepisy nałożą na pracodawców szereg obowiązków dotyczących organizacji procedury zgłaszania zewnętrznych oraz wewnętrznych zgłoszeń sygnalistów. Prezes Urzędu Ochrony Danych Osobowych niedawno wypowiedział się na temat tego, czy w świetle przepisów o ochronie danych osobowych pracodawca może zlecić osobie wykonujące funkcje IOD wykonywanie dodatkowych obowiązki dotyczących obsługi zgłoszeń naruszeń prawa.
Ustawa o ochronie danych osobowych Chińskiej Republiki Ludowej
Przed uchwaleniem Ustawy o ochronie danych osobowych Chińskiej Republiki Ludowej (Personal Information Protection Law of the People’s Republic of China, PIPL) w Chinach brakowało kompleksowych przepisów regulujące ochronę danych osobowych. Uchwalenie PIPL stanowi jedno z najważniejszych ogólnoświatowych wydarzeń w zakresie ochrony prywatności, które ma doniosłe znaczenie także dla podmiotów z UE. W artykule przyglądamy się wybranym przepisom PIPL.
Transfer danych osobowych do Wielkiej Brytanii bez dodatkowych wymagań
Dnia 28 czerwca 2021 r. Komisja Europejska potwierdziła w swoich decyzjach, że Wielka Brytania zapewnia odpowiedni poziom ochrony danych osobowych. W konsekwencji transfer danych osobowych przez podmioty z państw członkowskich w UE do Wielkiej Brytanii nie wymaga spełniania przez te podmioty żadnych dodatkowych wymagań.
Wystąpienie Federalnego Komisarza ds. Ochrony Danych i Wolności Informacji w sprawie prowadzenia fanpage’y na portalu Facebook przez federalne organy publiczne
Rozwój mediów społecznościowych spowodował, że część organów publicznych w Niemczech zdecydowała się założyć oficjalne profile na portalu Facebook. Takie działania spotkały się z krytyką Federalnego Komisarza ds. Ochrony Danych i Wolności Informacji. Przedstawiamy główne argumenty Komisarza.
Kara dla Amazona w rekordowej wysokości 746 mln euro
Luksemburski organ nadzorczy (CNPD) nałożył na Amazon Europe Core S.à.r.l. karę w wysokości 746 mln euro za naruszenia dotyczące braku podstawy prawnej do przetwarzania danych osobowych użytkowników platformy Amazon.
EROD przyjmuje wiążącą decyzję w sprawie WhatsApp Ireland Ltd. na podstawie art. 65 RODO
Dnia 13 kwietnia 2021 r. EROD przyjęła ostateczną wersję Wytycznych 8/2020 w sprawie targetowania użytkowników mediów społecznościowych. W artykule omawiamy najistotniejsze aspekty wytycznych.
WSA w Warszawie o zasadach wycofywania zgody na przetwarzanie danych osobowych
W wyroku z dnia 10 lutego 2021 r. (II SA/Wa 2378/20) WSA w Warszawie, rozpatrując skargę na decyzję Prezesa UODO, precyzyjnie przeanalizował prawo do wycofania zgody na przetwarzanie danych osobowych. W artykule omawiamy wnioski płynące z wyroku.
Belgijski organ nadzorczy odpowiada na pytania dotyczące zbierania danych o zaszczepieniu przeciwko COVID-19
Stanowisko belgijskiego organu nadzorczego dotyczy takich kwestii, jak klasyfikacja informacji o zaszczepieniu przeciwko COVID-19, możliwe podstawy prawne przetwarzania tych danych osobowych oraz dopuszczalność przetwarzania przez pracodawców danych o zaszczepieniu (lub braku zaszczepienia) pracowników. Dane o stanie zdrowia Belgijski organ nadzorczy wprost wskazał, że dane o zaszczepieniu przeciwko COVID-19 należy uznać za informacje dotyczące zdrowia, a […]
Projekt unijnego rozporządzenia w sprawie sztucznej inteligencji
Wstęp Dnia 21 kwietnia 2021 r. Komisja Europejska przedstawiła projekt unijnego rozporządzenia w sprawie sztucznej inteligencji (Artificial Intelligence Act). W artykule omawiamy najważniejsze postanowienia projektu. Kontekst i cel projektu Projekt rozporządzenia w sprawie sztucznej inteligencji wpisuje się w szerszą strategię Komisji Europejskiej – „Europa na miarę ery cyfrowej”[1]. W 2018 r. Komisja opublikowała europejską strategię […]
Wyrok w sprawie Schrems II i jego znaczenie dla transferu danych do Stanów Zjednoczonych i innych państw trzecich
W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (Trybunał, TSUE) wydał długo oczekiwane orzeczenie dotyczące dopuszczalności transferu danych osobowych do Stanów Zjednoczonych. Zapadło ono w tzw. sprawie Schrems II (C‑311/18), będącej kontynuacją wcześniej już rozstrzyganego przez TSUE sporu pomiędzy Maximilianem Schremsem, Facebook Ireland Ltd. oraz irlandzkim organem ds. ochrony danych osobowych (Schrems I, […]
Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych: wdrożenie RODO – znaczenie dla branż internetowej i reklamowej
W połowie września bieżącego roku Ministerstwo Cyfryzacji opublikowało nowy projekt ustawy o ochronie danych osobowych oraz projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych, które mają na celu ustanowienie odpowiednich regulacji wdrażających rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej jako „RODO”)[1]. Obydwa projekty znajdują się aktualnie w fazie konsultacji publicznych. Jak wynika z […]
Projekt nowej ustawy o ochronie danych osobowych – wdrożenie RODO
Dnia 28 marca 2017 r. Ministerstwo Cyfryzacji opublikowało na stronie internetowej projekt nowej ustawy o ochronie danych osobowych. Nowe przepisy mają zapewnić skuteczne stosowanie RODO w polskim porządku prawnym. Projekt przewiduje m.in. nową nazwę organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych oraz reguluje w odmienny sposób postępowanie przed organem nadzorczym. Kolejny projekt ustawy prawdopodobnie ukaże […]
Czy istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych figurujących w publicznym rejestrze spółek?
TSUE w wyroku z 9 marca 2017 r. uznał, że nie istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych zawartych w publicznych rejestrach spółek. Niemniej jednak, po upływie wystarczająco długiego czasu od rozwiązania danej spółki, państwa członkowskie mogą przewidzieć w wyjątkowych przypadkach ograniczenie dostępu osób trzecich do takich danych. **** Stan faktyczny sprawy […]
Jak ustalić wiodący organ nadzorczy – wytyczne Grupy Roboczej Art. 29
W celu ustanowienia spójnego i zorganizowanego sposobu sprawowania nadzoru nad transgranicznym przetwarzaniem danych, zgodnie z postanowieniami Rozporządzenia ogólnego o ochronie danych (dalej “RODO”) jeden organ nadzorczy zostaje uznany za “wiodący organ nadzorczy”. Grupa Robocza art. 29 w swoich wytycznych z dnia 13 grudnia 2016 r. (WP 244, 16/EN, dostępne w języku angielskim tutaj, natomiast nieoficjalne […]
Datatilsynet publikuje wytyczne dotyczące wykorzystania danych osobowych do testowania systemów informatycznych
Testowanie systemu informatycznego to proces, podczas którego oceniane jest, w jaki sposób różne komponenty systemu współdziałają ze sobą, tworząc całość. Zdarza się, że w związku z przeprowadzaniem testu systemu przetwarzane są dane osobowe. Duński organ nadzorczy opublikował zestaw wytycznych, które mogą pomóc administratorom wykorzystującym dane osobowe na potrzeby takich procesów.
Ochrona danych osobowych a otwieranie danych i ponowne wykorzystywanie informacji sektora publicznego
8 grudnia br. wejdzie w życie Ustawa z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego, w tym jej przepisy określające zasady ochrony danych osobowych. Przedstawiam wybrane zagadnienia wprowadzane przez przepisy tego nowego aktu prawnego.
Wytyczne DSK w sprawie przekazywania danych osobowych za pomocą wiadomości e-mail
W warunkach pracy zdalnej coraz więcej podmiotów rezygnuje z papierowego obrotu dokumentacją. Z tego względu coraz więcej informacji jest przekazywanych wewnętrznie lub zewnętrznie za pomocą wiadomości e-mail. Konferencja Niezależnych Organów Ochrony Danych Federacji i Krajów Związkowych (Datenschutzkonferenz, DSK) opublikowała wytyczne w sprawie przekazywania danych osobowych za pomocą wiadomości e-mail. Mają one pomóc administratorom i podmiotom przetwarzającym w zapewnieniu bezpieczeństwa przekazywanych danych. Przyglądamy się wybranym elementom wytycznych.
Sprawozdanie z działalności Prezesa UODO w 2020 r.
Prezes Urzędu Ochrony Danych Osobowych opublikował 26 sierpnia 2021 r. sprawozdanie ze swojej działalności w 2020 r. Dokument ten zawiera ważne informacje dotyczące czynności podejmowanych przez polski organ nadzorczy w zeszłym roku oraz problemów, które zwróciły jego uwagę.
Wyrok WSA w Warszawie z dnia 13 maja 2021 r. w sprawie SGGW vs. PUODO
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 13 maja 2021 r. oddalił skargę SGGW na decyzję PUODO. WSA podtrzymał decyzję Prezesa UODO nakładającą 50 tys. zł kary na uczelnię. Sąd potwierdził, że uczelnia nie wdrożyła wystarczających środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych kandydatów na studia.
Wspólna opinia EROD i EIOD nr 5/2021 dotycząca unijnego projektu rozporządzenia ws. sztucznej inteligencji
W czerwcowym wydaniu newslettera przedstawialiśmy ogólne założenia projektu unijnego rozporządzenia ws. sztucznej inteligencji. Jako że podejmowanie zautomatyzowanych decyzji na podstawie danych przez różnego rodzaju algorytmy tworzy zagrożenia dla praw i wolności jednostek, projekt rozporządzenia stał się niedawno przedmiotem zainteresowania dwóch najważniejszych unijnych organów nadzorczych z zakresu ochrony danych osobowych: EIOD oraz EROD. Przedstawiamy najważniejsze uwagi organów na temat projektowanego aktu prawnego.
Wytyczne EROD w sprawie targetowania użytkowników mediów społecznościowych
Wstęp Dnia 13 kwietnia 2021 r. Europejska Rada Ochrony Danych (EROD) przyjęła ostateczną wersję Wytycznych 8/2020 w sprawie targetowania użytkowników mediów społecznościowych po publicznych konsultacjach. W artykule omawiamy najistotniejsze aspekty wytycznych. Ich celem jest wyjaśnienie ról i obowiązków dostawców mediów społecznościowych i podmiotów korzystających z ich usług w zakresie targetowania. Podmioty zaangażowane w mechanizm targetowania […]
Nowe standardowe klauzule umowne
Dnia 4 czerwca 2021 r. Komisja Europejska przyjęła dwa zestawy standardowych klauzul umownych – jeden do stosowania między administratorami a podmiotami przetwarzającymi, a drugi do przekazywania danych osobowych do państw trzecich. Nowe standardowe klauzule umowne odzwierciedlają wymogi wynikające z RODO i uwzględniają wyrok TSUE w sprawie Schrems II.
Brexit a RODO – ochrona danych po wyjściu Wielkiej Brytanii z UE
W ramach Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej strony (Trade and Cooperation Agreement, dalej: „TCA” lub „umowa o handlu i współpracy”) wynegocjowanej pomiędzy UE a Wielką Brytanią 24 grudnia 2020 r. zdecydowano się na utrzymanie […]
Ustawa sektorowa zapewniająca stosowanie RODO a zmiany w Prawie bankowym
W dniu 4 maja 2019 r. weszła w życie długo oczekiwana ustawa zmieniająca szereg innych ustaw której celem jest dostosowanie polskiego porządku prawnego do uwarunkowań wynikających z wejścia do stosowania ogólnego rozporządzenia o ochronie danych. Najwięcej kontrowersji na etapie prac legislacyjnych wzbudziły m.in. projektowane zmiany Prawa bankowego w zakresie przepisów dotyczących przetwarzania danych osobowych do […]
Ocena skutków dla ochrony danych – projekt wytycznych Grupy Roboczej art. 29
4 kwietnia 2017 r. Grupa Robocza przyjęła projekt wytycznych w zakresie oceny skutków dla ochrony danych osobowych (WP 248), która zostaje wprowadzona w art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich […]
Branżowe kodeksy postępowania w zakresie ochrony danych
Zawarte 16 grudnia 2016 r. i 7 marca 2017 r. porozumienia GIODO z organizacjami działającymi w branży teleinformatycznej i internetowej: z PIIT oraz z IAB Polska, w celu stworzenia branżowych kodeksów postępowania, mają zapewnić upowszechnienie i jednolite wdrażanie zasad ochrony danych osobowych, w szczególności wynikających z nowego ogólnego rozporządzenia o ochronie danych osobowych (RODO). Czym […]
Obowiązkowe wyznaczenie inspektora ochrony danych oraz jego zadania – wytyczne Grupy Roboczej Art. 29
Grupa Robocza Art. 29 przygotowała wytyczne dotyczące obowiązkowego wyznaczania inspektora ochrony danych (IOD), a także jego statusu i zadań. Wytyczne mają na celu ułatwienie administratorom oraz podmiotom przetwarzającym określenie, czy po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych będą mieli obowiązek wyznaczenia inspektora. **** Wyznaczenie inspektora Zgodnie z art. 37 ust. 1 RODO, wyznaczenie inspektora […]
Prawo do przenoszenia danych w wytycznych Grupy Roboczej Art. 29
Art. 20 RODO ustanawia prawo do przenoszenia danych (przysługujące podmiotom danych uprawnienie do otrzymywania od administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo do przesłania tych danych innemu administratorowi). W swoich ostatnich wytycznych Grupa Robocza art. 29 wyjaśniła najważniejsze wątpliwości dotyczące implementacji tego nowego uprawnienia. **** Zgodnie z […]