menu trigger  menu trigger

WSA: pracownik nie może zastępować administratora w realizacji jego obowiązków

Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych. Tak stwierdził WSA w Warszawie, oddalając skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję organu ds. ochrony danych osobowych.

Wojewódzki Sąd Administracyjny (WSA), wyrokiem z 15 lutego 2022 r., utrzymał w mocy decyzję  organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł. Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.

W uzasadnieniu wyroku z 15 lutego 2022 r. WSA* uznał, że organ nadzorczy w prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy, nie popierając tym samym zarzutów skarżącego decyzję administratora. W przedmiotowej sprawie bezsporne było, że doszło do naruszenia ochrony danych osobowych na skutek zgubienia niezaszyfrowanego nośnika danych typu pendrive. Administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie.

Sąd podtrzymał stanowisko organu nadzorczego, że pracownik nie może zastępować administratora w realizacji jego obowiązków. Ponadto pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych.

Zdaniem UODO, na co również zwrócił uwagę WSA, administrator naruszył m.in. zasadę poufności i integralności danych osobowych, ponieważ nie wprowadził odpowiednich środków organizacyjnych i technicznych adekwatnych do sposób i celów przetwarzania danych, po które to Prezes Sądu sięgnął dopiero po utracie nośnika danych. W konsekwencji zaniechanie to umożliwiło osobom nieuprawnionym dostęp do danych osobowych.

Zdaniem sądu, tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne co do potencjalnych zagrożeń.

WSA przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.

* sygn. II SA/Wa 3309/21

CZYTAJ DALEJ

RODO: Wytyczne w sprawie mechanizmu kompleksowej współpracy przyjęte

EROD przyjęła wytyczne dotyczące art. 60 RODO, czyli współpracy między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy.  Ponadto Rada przyjęła wytyczne w sprawie tzw. dark patterns w interfejsach platform mediów społecznościowych oraz zestaw narzędzi dotyczących podstawowych zabezpieczeń ochrony danych na potrzeby współpracy w zakresie egzekwowania prawa między organami nadzorczymi EOG a państwami trzecimi.

Europejska Rada Ochrony Danych  (EROD) podczas 62 posiedzenia plenarnego przyjęła wytyczne dotyczące art. 60 RODO. Opracowanie takich wytycznych jest częścią strategii i programu prac EROD na lata 2021-2022 w celu wspierania skutecznego egzekwowania prawa i skutecznej współpracy między krajowymi organami nadzorczymi. Wytyczne zawierają szczegółowy opis współpracy między organami nadzorczymi w ramach RODO i mają na celu dalsze zwiększenie spójnego stosowania przepisów prawa dotyczących mechanizmu kompleksowej współpracy. Wytyczne pomagają organom nadzorczym w interpretacji i stosowaniu własnych procedur krajowych w taki sposób, aby były zgodne ze współpracą w ramach mechanizmu kompleksowej współpracy i pasowały do niej.

EROD przyjęła wytyczne dotyczące tzw. dark patterns w interfejsach platform mediów społecznościowych. „Dark patterns” to interfejsy i doświadczenia użytkowników wdrażane na platformach mediów społecznościowych, które powodują, że użytkownicy Ci podejmują niezamierzone, niechętne decyzje dotyczące przetwarzania ich danych osobowych. Decyzje te mogą wpływać na zachowania użytkowników i ich zdolność do skutecznej ochrony danych osobowych. Wytyczne zawierają konkretne przykłady rodzajów „dark patterns”, prezentują najlepsze praktyki w różnych przypadkach użycia i zawierają szczegółowe zalecenia dla projektantów interfejsów użytkownika, które ułatwiają skuteczne wdrożenie RODO.

Przygotowane wytyczne zawierają praktyczne zalecenia dla projektantów i użytkowników platform mediów społecznościowych dotyczące sposobu oceny, prezentują najlepsze praktyki, ale też wskazują jakie „dark patterns” w interfejsach mediów społecznościowych, naruszają wymogi RODO i należy ich unikać.

EROD przyjęła również zestaw narzędzi dotyczących podstawowych zabezpieczeń w zakresie ochrony danych na potrzeby współpracy w zakresie egzekwowania prawa między organami nadzorczymi EOG a państwami trzecimi. Zestaw narzędzi może być wykorzystywany zarówno do uzgodnień administracyjnych opracowanych w ramach EROD przez same organy nadzorcze, jak i do umów międzynarodowych negocjowanych przez Komisję Europejską. Publikacja ta obejmuje kluczowe tematy, takie jak egzekwowalne prawa osób, których dane dotyczą, zgodność z zasadami ochrony danych i sądowe środki zaskarżenia.

Ponadto EROD przyjęła wspólną opinię EROD i EIOD w sprawie wniosków dotyczących przedłużenia unijnego cyfrowego zaświadczenia COVID-19 . Odrębny komunikat prasowy na ten temat zostanie opublikowany w późniejszym terminie.

UODO

CZYTAJ DALEJ

Nie tylko negatywne konsekwencje, ale i ryzyko ich wystąpienia powodem zawiadomienia o naruszeniu

Organ nadzorczy nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł. Powodem tej decyzji było naruszenie przez Bank przepisów RODO polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu. UODO nakazało więc zawiadomienie tych osób o zaistniałej sytuacji i potencjalnych konsekwencjach z nim związanych.

Administrator zgłosił do UODO naruszenie ochrony danych osobowych po tym, gdy stwierdził, że były pracownik Banku mimo zakończenia pracy w tej instytucji, posiada nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W wyniku tego mógł on przeglądać znajdujące się na profilu płatnika Santander Bank Polska S.A. dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy.

Po dokonaniu analizy zgłoszenia naruszenia, UODO uznało, że doszło do naruszenia poufności danych, które wiąże się jednocześnie z zaistnieniem wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane dotyczą. Z tego też względu zdaniem organu nadzorczego konieczne jest zawiadomienie osób, których dane dotyczą, o zaistniałym incydencie.

Jednak w ocenie Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. Jak wyjaśnił administrator pierwotnie zgłoszenia naruszenia ochrony danych osobowych dokonał jedynie ze względów ostrożności. Po analizie sprawy uznał on, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu.

Bank umieścił jednak na platformie komunikacji wewnętrznej komunikat przypominający zasady przetwarzania danych osobowych.

W ocenie UODO tego typu komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, a jedynie zaprezentowano w nim przykładowe rodzaje naruszeń. Ponieważ zabrakło w komunikacie wskazania, że taka sytuacja de facto miała miejsce, to potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.

UODO wyraził także swoje zastrzeżenia co do wyboru adresatów komunikatu, do których został on skierowany, czyli jedynie do obecnych pracowników Banku, korzystających z platformy komunikacji wewnętrznej. Trzeba nadmienić, że zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

W ocenie UODO w prezentowanej sprawie zaszły wszelkie okoliczności, które potwierdzały konieczność zawiadomienia o naruszeniu osób, których dane dotyczą. Dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. Dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych.

W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Co równie ważne i wymaga zaakcentowania, administrator podjął świadomą decyzję   rezygnacji z powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.
W postępowaniu prowadzonym przed organem nadzorczym administrator konsekwentnie utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia o incydencie tych osób.

Zdaniem UODO takie zaniechanie powoduje brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw. Co więcej, może ono doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone.

Mając na uwadze powyższe, Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł, ale także nakazał spełnienie obowiązku wynikającego z RODO jakim jest zawiadomienie osób o zaistniałym incydencie.

UODO

CZYTAJ DALEJ

UODO: Brak realizacji obowiązków ciążących na administratorze może skutkować karą

Politechnika Warszawska otrzymała karę w wysokości 45 tys. zł m.in. za niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków. Uczelnia nie uwzględniła również ryzyka związanego z przetwarzaniem danych w aplikacji.

Postępowanie wobec tego administratora wszczęto po tym jak do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zgłoszenie naruszenia ochrony danych. Jak wskazano, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców (ponad 5 tys. osób).

Jak ustalono w czasie postępowania administracyjnego jednostka organizacyjna Politechniki wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat. Aplikacja ta była modyfikowana w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba  wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych.

Należy mieć na uwadze, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych.

W ocenie UODO, administrator nie przedstawił dowodów na spełnienie tych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Politechnika skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej. Nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji.

Zdaniem UODO, zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.

Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.

Biorąc pod uwagę niedopełnienie obowiązków przez administratora oraz wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób objętych incydentem, organ nadzorczy uznał za zasadne i konieczne nałożenie administracyjnej kary pieniężnej w wysokości 45 tys. zł.

UODO

CZYTAJ DALEJ

Wytyczne EROD w sprawie ograniczeń praw osób, których dane dotyczą

Europejska Rada Ochrony Danych (EROD) przyjęła ostateczną wersję Wytycznych 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą, na podstawie art. 23 RODO, po konsultacjach publicznych.

Wytyczne mają na celu przypomnienie warunków stosowania ograniczeń przez państwa członkowskie lub prawodawcę UE w świetle Karty Praw Podstawowych Unii Europejskiej i RODO. Zawierają one dokładną analizę kryteriów stosowania ograniczeń, ocen, których należy przestrzegać, sposobu, w jaki osoby, których dane dotyczą, mogą wykonywać swoje prawa po zniesieniu ograniczeń, oraz konsekwencji naruszeń art. 23 RODO. Ponadto w wytycznych przeanalizowano, w jaki sposób środki legislacyjne określające ograniczenia muszą spełniać wymóg przewidywalności, oraz omówiono podstawy ograniczeń wymienionych w art. 23 ust. 1 RODO, a także obowiązki i prawa, które mogą być ograniczone.

UODO

CZYTAJ DALEJ

Ostatni moment na wzięcie udziału w Narodowym Spisie Powszechnym

Dzisiaj 30 września jest ostatnia okazja, by wziąć udział w Narodowym Spisie Powszechnym. Przypomnijmy, że odmowa udzielenia odpowiedzi na pytania wiąże się z karą w wysokości do 5 tys. zł.
W spisie można wziąć udział na kilka sposobów:

Infolinia spisowa ma numer: 22 279 99 99. Internetowa aplikacja spisowa dostępna przez strony GUS działa normalnie.

Infolinia spisowa działa. Dzwoni na nią jednak bardzo dużo ludzi. W razie problemów z połączeniem GUS prosi telefonujących, którzy nie mogą się dodzwonić, aby rozłączyli się i po chwili ponownie spróbowali.

Zakres informacji zbieranych w spisie to m.in. charakterystyka demograficzna, aktywność ekonomiczna, poziom wykształcenia, migracje, charakterystyka etniczno-kulturowa czy zasoby mieszkaniowe.

W formularzu spisowym nie ma pytań dotyczących zarobków, dochodów czy stanu majątkowego.

Dokładna lista pytań spisowych również dostępna jest na stronie https://spis.gov.pl/ w dedykowanej zakładce.

gr.

CZYTAJ DALEJ
uodo-3.jpg

EROD żąda od irlandzkiego organu nadzorczego zmiany decyzji w sprawie WhatsApp

Europejska Rada Ochrony Danych (EROD) żąda od irlandzkiego organu nadzorczego zmiany decyzji w sprawie WhatsApp. Rada chce wyjaśnień dotyczących przejrzystości oraz obliczania wysokość kary pieniężnej w związku z wielokrotnymi naruszeniami.

EROD przyjęła 28 lipca 2021 r. decyzję w sprawie rozstrzygania sporów na podstawie art. 65 RODO. Ta wiążąca decyzja ma na celu rozstrzygnięcie sporu powstałego w wyniku projektu decyzji wydanej przez irlandzki organ nadzorczy jako wiodący organ nadzorczy w odniesieniu do WhatsApp Ireland Ltd. (WhatsApp) oraz późniejszych sprzeciwów wyrażonych przez szereg organów nadzorczych, których sprawa dotyczy. Zgodnie z RODO wiążąca decyzja EROD została obecnie opublikowana, po powiadomieniu spółki o ostatecznej decyzji irlandzkiego organu nadzorczego.

Po dokonaniu oceny EROD wyraziła opinię, że irlandzki organ nadzorczy powinien zmienić swój projekt decyzji w odniesieniu do naruszeń zasady przejrzystości, obliczania kary pieniężnej oraz okresu realizacji nakazu przestrzegania przepisów.

Jeśli chodzi o zasadę przejrzystości, w projekcie decyzji irlandzkiego organu już stwierdzono poważne naruszenie art. 12, 13 i 14 RODO. EROD zidentyfikowała dodatkowe braki w dostarczonych informacjach, które wpływają na zdolność użytkowników do zrozumienia, jakie prawnie uzasadnione interesy są realizowane. W związku z tym EROD zwróciła się do irlandzkiego organu nadzorczego o uwzględnienie w swojej decyzji stwierdzenia naruszenia art. 13 ust. 1 lit. d) RODO.

Ponadto EROD wyjaśniła, że doszło do naruszenia zasady przejrzystości zapisanej w art. 5 ust. 1 lit. a) RODO, chociaż podkreślono także, że nie każde naruszenie art. 12, 13 lub 14 RODO musi pociągać za sobą naruszenie wspomnianej zasady. art. 5 ust. 1 lit. a) RODO.

W odniesieniu do gromadzenia przez WhatsApp danych osób niebędących użytkownikami –gdy użytkownicy decydują się na korzystanie z funkcji kontaktu – EROD stwierdziła, że w omawianym przypadku procedura stosowana przez WhatsApp nie prowadzi do anonimizacji zgromadzonych danych osobowych.

W odniesieniu do nałożonej kary pieniężnej i jej obliczenia EROD zdecydowała, że obrót przedsiębiorstwa nie jest istotny wyłącznie dla określenia maksymalnej wysokości kary pieniężnej zgodnie z art. 83 ust. 4–6 RODO. Może być on również uwzględniony przy obliczaniu samej kary pieniężnej, w stosownych przypadkach, aby zapewnić jej skuteczność, proporcjonalność i odstraszający charakter zgodnie z art. 83 ust. 1 RODO. W tym przypadku EROD stwierdziła, że skonsolidowany obrót spółki dominującej (Facebook Inc.) należy uwzględnić przy obliczaniu obrotu.

Ponadto EROD po raz pierwszy przedstawiła wyjaśnienie dotyczące interpretacji art. 83 ust. 3 RODO. W przypadku wielu naruszeń dotyczących tych samych lub powiązanych operacji przetwarzania danych przy obliczaniu wysokości kary pieniężnej należy wziąć pod uwagę wszystkie naruszenia. Dzieje się tak niezależnie od spoczywającego na organach nadzorczych obowiązku uwzględniania proporcjonalności kary pieniężnej oraz przestrzegania maksymalnej wysokości kary pieniężnej określonej w RODO.

Projekt decyzji irlandzkiego organu nadzorczego zawierał ponadto nakaz dostosowania operacji przetwarzania do wymogów w terminie sześciu miesięcy. EROD stwierdziła, że najważniejsze jest zapewnienie zgodności z wymogami w zakresie przejrzystości w możliwie najkrótszym czasie. W związku z tym irlandzki organ nadzorczy został poproszony o zmianę sześciomiesięcznego terminu na dostosowanie się do wymogów na okres trzech miesięcy.

Wiążąca decyzja została skierowana do organów nadzorczych, których sprawa dotyczy, a irlandzki organ nadzorczy jako organ wiodący przyjął swoją krajową decyzję na podstawie decyzji EROD. Decyzja krajowa, wraz z załączoną do niej decyzją EROD, została doręczona WhatsApp.

źródło: UODO

CZYTAJ DALEJ

UODO: Nośniki z danymi osobowymi trzeba zabezpieczać

Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10  tys. zł.

Decyzja o nałożeniu kary związana jest ze zgłoszeniem przez Prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.

Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.

W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-lerningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.

Jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.

Warto dodać, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział. Ponadto w tej sprawie, administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Stosowane przez Prezesa Sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

Należy wskazać, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.

Ustalając wysokość administracyjnej kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

UODO

CZYTAJ DALEJ
uodo-1.jpg

UODO ze wsparciem Rzecznika Praw Dziecka ws. ochrony danych biometrycznych dzieci

Rzecznik Praw Dziecka popiera skargę kasacyjną Prezesa UODO skierowaną do Naczelnego Sądu Administracyjnego dotyczącą wyroku WSA w Warszawie, który dopuścił przetwarzanie danych biometrycznych uczniów przez Szkołę Podstawową w Gdańsku. Przetwarzanie tych danych miało miejsce podczas wydawania posiłków.

Stanowisko UODO wyrażone w decyzji z lutego 2020 r. nakładającej administracyjną karę pieniężną w wysokości 20 tys. zł na Szkołę Podstawową z Gdańska, która przetwarzała dane biometryczne dzieci, jest podzielane przez Rzecznika Praw Dziecka (RPD). Dlatego zgłosił on swój udział w postępowaniu kasacyjnym dotyczącym wyroku WSA w Warszawie (sygn. akt II SA/Wa 809/20), który uchylił decyzję Prezesa UODO.

W piśmie do NSA, w którym RPD zgłasza swój udział w postępowaniu kasacyjnym, zwraca on uwagę, że przetwarzanie danych biometrycznych dzieci ma szczególny charakter i wiąże się ze zwiększonym ryzykiem naruszenia praw i wolności podmiotu danych. W jego ocenie wyrok WSA powinien być w całości uchylony i zwrócony do ponownego rozpoznania.

Przypomnijmy, że ukarana Szkoła Podstawowa wprowadziła system identyfikacji biometrycznej przy wejściu do stołówki szkolnej, który pozwala dokonać weryfikacji wśród dzieci uiszczenia opłaty za posiłek. Zdaniem organu nadzorczego przepisy prawa powszechnie obowiązującego w Polsce nie zezwalają szkole na przetwarzanie danych biometrycznych. W omawianym przypadku szkoła przetwarzała dane biometryczne w postaci odcisków palców uczniów na podstawie pisemnej zgody rodziców lub opiekunów prawnych.

UODO uznał jednak, że w tej sytuacji udzielona przez rodziców zgoda nie może być uznana za dobrowolną, gdyż jej brak wywoływał negatywne skutki. Dzieci, których rodzice nie udzielili zgody, musiały przepuszczać w kolejce po posiłek pozostałych uczniów.

Tymczasem WSA stwierdził, że wyrażenie zgody przewidzianej w art. 9 ust. 1 lit. a RODO legalizuje przetwarzanie danych biometrycznych dzieci.

Skargę kasacyjną do Naczelnego Sądu Administracyjnego na wyrok WSA w Warszawie UODO złożyło 2 marca 2021 r.

CZYTAJ DALEJ

Older Posts