Banki i aplikacje mobilne na celowniku UODO

  

Urząd Ochrony Danych Osobowych opublikował plan kontroli sektorowych na 2022 rok.

Kontroli mogą spodziewać się banki w zakresie profilowania danych osobowych klientów i potencjalnych klientów oraz sposobu informowania osób ubiegających się o kredyt o dokonanej ocenie kredytowej.

UODO zamierza również skontrolować podmioty, które przetwarzają dane osobowe przy użyciu aplikacji mobilnych. Badaniu ma podlegać sposób zabezpieczenia i udostępnienia danych przetwarzanych w związku z korzystaniem z tych aplikacji.

Oprócz tego, w planie kontroli sektorowych znalazły się organy przetwarzające dane osobowe w Systemie Informacyjnych Schengen i Wizowym Systemie Informacyjnych.

Międzynarodowe transfery danych po 27 września br.

  

27 września 2021 r. to ważna data dla firm przekazujących dane osobowe do państw trzecich.

Po tym dniu nie będzie już możliwe zawieranie umów w przedmiocie transferu danych osobowych w oparciu o „stare” standardowe klauzule umowne (SCC). Chodzi o klauzule, które wprowadziła Komisja Europejska w 2001 i 2010 roku (nr 2001/497/WE i 2010/87/UE). Nowe umowy mają być zawierane na bazie nowego zestawu klauzul SCC, przewidzianych w decyzji KE z czerwca br. Nowe SCC spełniają wymogi RODO. Jednak by sam transfer był w pełni legalny, eksporterzy i importerzy danych muszą spełnić dalsze obowiązki.

A co z umowami dotyczącymi transferu danych, które zostały zawarte przed 27 września br.? Czy przestaną one obowiązywać z mocy prawa?

Czytaj dalej

Nowe standardowe klauzule umowne już w mocy!

  

W dniu 27 czerwca br. weszła w życie decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, tj. krajów spoza Europejskiego Obszaru Gospodarczego.

Nowe klauzule mogą być stosowane w relacjach pomiędzy administratorami i podmiotami przetwarzającymi w różnych konfiguracjach, i regulować przekazywanie danych:

  1. przez administratora do podmiotu przetwarzającego w państwie trzecim,
  2. przez podmiot przetwarzający do administratora w państwie trzecim,
  3. przez administratora z UE do administratora w państwie trzecim,
  4. przez podmiot przetwarzający do podprzetwarzającego w państwie trzecim.

Czytaj dalej

Odpowiedzialność odszkodowawcza ubezpieczyciela za naruszenie ochrony danych osobowych

  

Udostępnienie danych osobowych w zbyt szerokim zakresie przez zakład ubezpieczeń, w związku ze zdarzeniem drogowym, jest naruszeniem ochrony danych osobowych, które może skutkować odpowiedzialnością odszkodowawczą względem osoby, której dane dotyczą.

Taki wniosek wynika z wyroku Sądu Okręgowego w Warszawie w sprawie o sygn. akt XXV C 2596/19. Podstawą dochodzenia roszczeń mogą być przepisy RODO dotyczące odpowiedzialności cywilnoprawnej administratora za naruszenia ochrony danych osobowych.

Czego dotyczyła sprawa?

Powódka wniosła do Sądu Okręgowego w Warszawie pozew o zasądzenie kwoty 10.000 zł w związku z naruszeniem jej danych osobowych. W pozwie zarzuciła, że zakład ubezpieczeń bezprawnie ujawnił jej dane osobowe uczestnikowi zdarzenia drogowego z udziałem pojazdu, który należał do powódki. Sama powódka w zdarzeniu tym nie uczestniczyła.

Czytaj dalej

Nowe prawo ochrony danych w Nowej Zelandii

  

Zgodnie z przewidywaniami, że kolejne kraje będą dążyć do zwiększenia ochrony danych osobowych, inspirując się przykładem RODO, 2020 rok przyniósł reformy ochrony danych m.in. w Brazylii i Nowej Zelandii. W dzisiejszym wpisie omówię kilka istotnych zagadnień dotyczących reformy w drugim z tych państw.

Nowa ustawa o ochronie prywatności („Privacy Act 2020”) weszła w życie w Nowej Zelandii 1 grudnia 2020 r. Nowe prawo zastąpiło obowiązującą dotychczas ustawę z 1993 r., a jego przyjęcie było wynikiem dyskusji, która toczyła się przez kilka lat.

Czytaj dalej

Transfer danych osobowych do Wielkiej Brytanii od 1 stycznia 2021 roku

  

Tegoroczny Sylwester to jednocześnie ostatni dzień okresu przejściowego po wyjściu Wielkiej Brytanii z Unii Europejskiej. Z wybiciem północy przeciągająca się saga związana z Brexitem, który jest pierwszym przypadkiem opuszczenia Unii Europejskiej przez państwo członkowskie, oficjalnie się zakończy.

Do ostatniej chwili nie było wiadomo, czy będziemy mieć do czynienia z tzw. twardym Brexitem, tj. wyjściem Wielkiej Brytanii z Unii bez umowy, która regulowałaby wzajemne stosunki między nimi w nowej rzeczywistości. Wiele osób taki scenariusz uznawało za najbardziej prawdopodobny. Jednakże wczoraj przedstawiciele Unii Europejskiej oraz premier Wielkiej Brytanii złożyli swoje podpisy pod nową umową o handlu i współpracy (dalej: „Umowa”).

Ten obszerny dokument, będący wynikiem wielomiesięcznych i trudnych negocjacji, które obejmowały wiele obszarów regulacji, zawiera także interesujące nas postanowienia dotyczące transferu danych osobowych do Wielkiej Brytanii po zakończeniu okresu przejściowego.

W dzisiejszym wpisie zwięźle opisuję przyjęte w Umowie rozwiązania i co one oznaczają w praktyce dla administratorów danych z Unii Europejskiej, którzy chcą w dalszym ciągu przekazywać dane osobowe do Wielkiej Brytanii po Nowym Roku.

Czytaj dalej

Podpowierzenie przetwarzania danych osobowych

  

W czasach, gdy tak wiele działań biznesowych firm przenosi się do Internetu, coraz częściej mamy do czynienia z powierzaniem przetwarzania danych osobowych przez inny podmiot.

Outsourcing jest dla administratorów szansą na optymalizację wybranych procesów lub zmniejszenie kosztów związanych z zatrudnieniem pracowników. W większości przypadków outsourcing jest nieodłącznie związany z ujawnieniem wykonawcy danych osobowych, które mają być następnie przetwarzane w imieniu i na rzecz administratora.

Szczególnym rodzajem powierzenia jest dalsze powierzenie przetwarzania danych osobowych. Jest to relacja pomiędzy podmiotem przetwarzającym a tzw. subprocessorem, zwana również podpowierzeniem przetwarzania danych.

Czytaj dalej

Przekazywanie danych osobowych do USA znowu pod znakiem zapytania

  

Trybunał Sprawiedliwości Unii Europejskiej unieważnił decyzję Komisji Europejskiej w sprawie Tarczy Prywatności UE-USA. Popularna Privacy Shield podzieliła w ten sposób los swojej poprzedniczki, czyli Bezpiecznej Przystani (ang. Safe Harbour). Przekazywanie danych osobowych z obszaru Unii Europejskiej do Stanów Zjednoczonych znów się komplikuje.

Wyrok został ogłoszony przez TSUE dnia 16 lipca 2020 r. i od tej pory przekazywanie danych osobowych do USA nie może odbywać się na podstawie Tarczy Prywatności.

W wydanym krótko po wyroku komunikacie Europejska Rada Ochrony Danych poinformowała, że w przeszłości zidentyfikowała niektóre z głównych wad Tarczy Prywatności, które Trybunał wziął teraz pod uwagę podejmując decyzję o jej unieważnieniu.

Po dniu 16 lipca 2020 r. dane osobowe mogą być co prawda przekazywane do USA, ale pod warunkiem spełnienia wymogów przewidzianych w RODO dla transferu danych do państwa trzeciego. USA straciły swoją uprzywilejowaną pozycję, jaka wynikała z uchylonej decyzji.

W tej sytuacji europejskie firmy działające do tej pory w ramach Privacy Shield muszą pilnie zrewidować zasady przekazywania danych osobowych do USA.

Trybunał nie podważył w omawianym wyroku decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich.

Nie znaczy to jednak, że transfery danych do USA w oparciu o standardowe klauzule będą automatycznie uznane za legalne. Problem polega na tym, że Stany Zjednoczone nie są obecnie uznawane za państwo, które zapewnia odpowiednio wysoki poziom ochrony danych osobowych. A to z uwagi na szerokie uprawnienia tamtejszych władz do uzyskiwania dostępu do danych przetwarzanych na terytorium USA.

Co może zatem zrobić firma, która nie chce rezygnować z usług dostawców technologii informatycznych ze Stanów Zjednoczonych?

Jednym z rozwiązań jest korzystanie z usługi w modelu, który gwarantuje, że dane będą przechowywane w centrach danych zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego. W takim wypadku musi to dotyczyć także wszystkich kopii danych, które nie mogą być transferowane do USA (ewentualnie do innych państw spoza EOG niegwarantujących odpowiedniej ochrony danych) w celu ich przechowywania w lokalnej infrastrukturze.

Drugim rozwiązaniem jest zapewnienie dodatkowych zabezpieczeń dla danych osobowych, które będą w dalszym ciągu transferowane do USA, np. w postaci szyfrowania.

Z punktu widzenia firmy kluczowe będzie wyważenie biznesowych korzyści z używania określonych rozwiązań technologicznych z potencjalnym ryzykiem dla ich bezpieczeństwa i poufności. Ocena ta powinna być dokonana indywidualnie, biorąc pod uwagę otoczenie regulacyjne danego podmiotu oraz specyfikację usługi informatycznej świadczonej przez dostawcę zza oceanu.

 

Nowe wytyczne EROD w sprawie plików cookies

  

W przyjętych 4 maja br. zaktualizowanych wytycznych dotyczących zgody na przetwarzanie danych osobowych Europejska Rada Ochrony Danych wypowiedziała się na temat stosowania plików cookies na stronach internetowych.

Za nieprawidłową uznała praktykę polegającą na blokowaniu widoczności treści strony z wyjątkiem wyskakującego okienka z prośbą o akceptację tzw. ciasteczek, uzupełnionego informacją o stosowaniu cookies i celach przetwarzania danych.

Czytaj dalej

E-learning w dobie epidemii – o czym trzeba pamiętać?

  

Kolejne obostrzenia wprowadzane przez władze w celu zwalczenia epidemii koronawirusa spowodowały, że miliony Polaków zostały w domach.

Wielu z nas przeznacza ten czas nie tylko na pracę zdalną, ale także na edukację. Kursy online są coraz popularniejszą metodą kształcenia, która w obliczu niespodziewanych problemów staje się ciekawą alternatywą dla szkoleń stacjonarnych.

Przeniesienie edukacji do sieci wymaga spełnienia kilku obowiązków prawnych.

Czytaj dalej

1 2 3 6