Comiesięczny Newsletter UODO i tym razem porusza bardzo ciekawe kwestie z dziedziny ochrony danych osobowych m.in. weryfikację przestrzegania przepisów o Inspektorze Ochrony Danych, ochrona danych przy naborze do szkół wyższych i doktorskich, sprawdzanie niekaralności przez pracodawców oraz przegląd decyzji europejskich organów nadzorczych.
Po prawie 4 latach stosowania RODO w polskim systemie prawnym, Urząd Ochrony Danych Osobowych postanowił przeprowadzić akcje sprawdzającą znajomość przepisów dotyczących Inspektorów Ochrony Danych wśród Administratorów. To właśnie na administratorze spoczywa wdrażanie i gwarantowanie przestrzegania przepisów dotyczących IOD, w szczególności ich wyznaczania oraz zapewnienie im niezależności, oraz odpowiednich warunków do działania. Rola administratora zatem wymaga ciągłych analiz i monitorowania procedur.
UODO niemal od początku przyglądał się działaniom administratorów, a zwłaszcza trudności i wątpliwości, jakie napotykają przy pełnieniu swoich zadań. Wychodząc im naprzeciw, urząd na bieżąco dawał wskazówki i wyjaśnienia na nadesłane problemy przez inspektorów oraz publikował na stronie UODO odpowiedzi na pytania nadesłane przez inspektorów i administratorów. UODO nie ogranicza się jednak tylko do dawania wskazówek jak prawidłowo realizować wymagania nakładane przez RODO, ale również aktywnie sprawdzali ich przestrzeganie poprzez czynności kontrolne. Na bazie doświadczenia zdobytego do tej pory, zwłaszcza na pytaniach od IOD i administratorów powstała lista pytań, mająca na celu wieloaspektową weryfikacje wiedzy administratorów w dziedzinie przepisów RODO o IOD.
Nasz zespół zapewnia kompleksową obsługę w zakresie przygotowania procedur i dokumentacji oraz świadczenia funkcji Inspektora Ochrony Danych
tel
Polskie przepisy jednoznacznie wskazują, że wyniki rekrutacji na studia wyższe oraz do szkoły doktorskiej są jawne (art. 72 ust. 5 i art. 200 ust. 6 ustawy z dnia 20 lipca 2018 r. – prawo o szkolnictwie wyższym i nauce). Nie oznacza to jednak, że są powszechnie dostępne i nie możemy w tej sytuacji stawiać znaku równości między jawnością, ponieważ ujawnia się wyniki w celu zapewnienia możliwości dostępu do danych osobowych w określonym zakresie, czasie i miejscu w sposób umożliwiający zapoznanie się z jej wynikami uczestnikami postępowania administracyjnego, czyli jest to niejako jawność wewnętrzna.
Nie ma prawnego wymogu udostępniania wyników rekrutacji w sposób umożliwiający nieograniczony dostęp odbiorców do niej np. na stronie internetowej. Taki sposób udostępniania nie jest również zakazany, natomiast wiąże się z nim konieczność przestrzegania RODO zwłaszcza zasad adekwatności i minimalizacji danych, ale oprócz nich stosuje się również zasady ograniczenia przechowywania i celowości, wiąże się to z tym, że okres ujawnienia danych powinien być uzależniony od celu w jakim były zbierane i po zakończeniu tego okresu, niezwłocznie usunięte.
UODO zauważyło sporo trudności jakich nastręcza kształt obecnych przepisów dotyczących jawności wyników rekrutacji na studia wyższe i do szkół doktorskich, co doprowadziło do różnych interpretacji przepisów i w związku z tym niejednolitej praktyki ochrony danych. Uwagi te zostały przekazane przez Urząd Ochrony Danych Osobowych do Ministra Edukacji i Nauki, w celu wzmocnienia ochrony tych danych w przyszłości.
W pewnych sytuacjach pracownik ubiegający się o prace w miejscach, które ustawowo wymagają niekaralności od swoich pracowników, musi liczyć się z weryfikacją swojej niekaralności przez pracodawcę. Podstawą prawną dla tego działania jest ustawa o Krajowym Rejestrze Karnym, która w art. 6 ust. 1 pkt 10 Ustawy daje prawo na uzyskanie informacji na temat pracownika z rejestru.
W sektorze finansowym weryfikacja niekaralności różni się od tej „zwyczajnej”. Głównym powodem jest inna podstawa prawna dla weryfikacji niekaralności, która zawiera się w art. 3 i 4 Ustawy o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i zatrudnionych w podmiotach sektora finansowego i wynika z niej, że na prośbę pracodawcy, pracownik musi przedłożyć oświadczenie o niekaralności i o ile wymaga tego pracodawca podeprzeć to wypisem z KRK na swój temat.
Włochy: włoski organ nadzorczy ukarał spółkę Clearview AI Inc. grzywną w wysokości 20 mln euro oraz zakazał dalszego przetwarzania danych biometrycznych wraz z usunięciem pozyskanych wcześniej. W toku dochodzenia spowodowanego licznymi skargami i doniesieniami prasowymi, organ ustalił brak odpowiedniej podstawy prawnej do przetwarzania danych osobowych, ponieważ interes prawny firmy z USA nie jest podstawą do przetwarzania danych na terenie UE. Ponadto wykryto liczne naruszenia przepisów RODO związanych głównie z przejrzystością, przechowywaniem danych czy informowaniu przechowywaniu danych.
Szwecja: region Uppsala został ukarany przez szwedzki organ nadzorczy grzywną w wysokości 1.9 mln koron szwedzkich za niedostosowanie środków technicznych i norm do bezpiecznego przetwarzania danych osobowych, nie przestrzegają przy okazji własnych wytycznych w tej kwestii.
Irlandia: Meta Platforms Ireland Limited (dawniej: Facebook Ireland
Limited) została ukarana grzywną w wysokości 17 mld euro przez Irlandzką Komisję Ochrony Danych, za naruszenie zasady rozliczalności z RODO oraz niewdrożenie odpowiednich środków technicznych.
Finlandia: przychodnia medyczna została ukarana grzywną w wysokości 5 tys. euro oraz nakazano dostosowanie procedur do wytycznych RODO. Powodem takiego działania fińskiego organu nadzorczego była skarga jednego pacjentów na niemożność uzyskania dostępu do swojej dokumentacji medycznej. Organ ustalił, że odmowa dostępu do własnej dokumentacji medycznej pacjenta bez podania uzasadnionej przyczyny jest naruszeniem przepisów RODO i niezgodna z prawem.
