Proste to RODO ochrona danych w medycynie

Przestępstwo z art. 107 Ustawy o ochronie danych osobowych

Przestępstwo z art. 107 Ustawy o ochronie danych osobowych - Wyrok Sądu Rejonowego w Toruniu II K 1109/20 Proste to RODO

Przestępstwo z art. 107 Ustawy o ochronie danych osobowych

Przestępstwo z art. 107 Ustawy o ochronie danych osobowych – przed Sądem Rejonowym w Toruniu dnia 17 lutego 2021r. zapadł wyrok w sprawie II K 1109/20. Nie byłoby w tym nic zastanawiającego, gdyby rozstrzygnięcie nie dotyczyło wspomnianego w tytule art. 107 Ustawy o ochronie danych osobowych.

Niewinne zdjęcie i MMS ...

W szkole znajdowała się książka wejść i wyjść (co jest bardzo częstym sposobem zwiększania bezpieczeństwa fizycznego i p.poż. w szkołach), na których słuchacze uczęszczający na kurs realizowany w tej szkole wpisywali godziny swoich wejść i wyjść z budynku.

Oskarżona weszła w posiadanie zdjęcia kartki z tej książki na, której znajdowały się dane osobowe słuchaczy po czym przesłała to zdjęcie do partnera jednej ze słuchaczek wraz z komentarzem w którym sugerowano, że ta uczestniczka kursu wychodzi z kompanii z innymi mężczyznami.

Czytaj dalej

Kary RODO w Polsce

Kary RODO w Polsce w Europie

Statystyki kar RODO w Polsce i w Europie.

Kary RODO w Polsce. Wielu z nas w codziennej pracy stara się wszelkimi sposobami wzbudzać i docierać do świadomości pracowników oraz administratorów danych osobowych. Nie ukrywajmy tego, ale jedną z metod jest uświadamianie poprzez podawanie przykładów kar nałożonych przez właściwe organy. Często konkretna decyzja dotycząca kary RODO w Polsce, czy w Europie, staje się przedmiotem naszej głębszej analizy.

Kary RODO to jedno ale są jeszcze odszkodowania.

Artykuł 82
Prawo do odszkodowania i odpowiedzialność

  1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
  2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
  3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
  4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
  5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.
  6. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Ciekawe narzędzie do analityki danych w zbiorze Kary RODO

Skontaktowali się z nami twórcy serwisu PrivacyAffairs.com proponując nam współpracę, oraz przedstawiając swoje narzędzie – bezpłatne – do analizowania informacji związanych z decyzjami nakładającymi kary RODO w Europie. Dzięki ich rozwiązaniu w banalnie prosty i szybki sposób możemy wyszukać interesująca nas decyzję, posługując się odpowiednim filtrem. W naszej ocenie analiza tematu Kary RODO w Polsce stanie się teraz o wiele łatwiejsza i szybsza.

Dane pozyskane dzieki GDPR Fines Tracker & Statistics.

Możliwość wyszukiwania decyzji z użyciem filtrów.

Użytkownik ma możliwość, zupełnie bezpłatnie, wyszukania interesującej go decyzji, jak również przeanalizowania jej treści, z uwagi na to, iż prowadzi do niej bezpośredni link. Mamy także możliwość posługiwania się wyszukiwarką poprzez odpowiednie filtrowanie wiadomości po zadanej zmiennej np. kraj, wielkość kary.

Kary RODO w Polsce

Jak działa program RODO Sender

Program do automatycznego szyfrowania załączników email oraz wysyłania hasła odrębnym kanałem za pomocą SMS do odbiorcy wiadomości.

Kara RODO dla szkoły za odciski palca uczniów

Kara RODO dla szkoły

Kara RODO dla szkoły za odciski palca uczniów

W komunikacie UODO z dnia 05 marca 2020r., czytamy cyt.: “(…) Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 20 tys. zł w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki (…)”.

Decyzja Z 18.02.2020R. ZSZZS.440.768.2018

W treści decyzji czytamy cyt.: “(…) Prezes Urzędu Ochrony Danych Osobowych (…) stwierdzając naruszenie przez Szkołę Podstawową w Gdańsku (…) polegające na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie z usług stołówki szkolnej:

  1. nakazuje Szkole Podstawowej w Gdańsku usunięcie danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  2. nakazuje Szkole Podstawowej w Gdańsku zaprzestanie zbierania danych osobowych w zakresie przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci korzystających z usług stołówki szkolnej,
  3. nakłada na Szkołę Podstawową w Gdańsku, za naruszenie stwierdzone w niniejszej decyzji karę pieniężną w wysokości 20 000,00 zł (słownie: dwadzieścia tysięcy złotych) (…)”.

Brak podstawy prawnej do przetwarzania danych.

Szkoła przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów. Szkoła korzystała z czytnika biometrycznego przy wejściu do stołówki szkolnej, którego zadaniem było identyfikowanie dzieci w celu weryfikacji tego, czy uiszczona została opłaty za posiłek.

Pierwszeństwo dla zidentyfikowanych.

W komunikacie PUODO wskazuje, iż cyt.: “(…) w ukaranej Szkole Podstawowej, zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez Szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. Tego typu zasady zdaniem Prezesa UODO wprowadzają nierówne traktowanie uczniów i ich bezpodstawne zróżnicowanie, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną. Ponadto w ocenie organu wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne (…)”.

Wyciąg z treści Decyzji PUODO

Posługujemy się definicją z Rozporządzenia RODO

cyt.: “(…) zgodnie z art. 4 pkt 14 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (…)”.

Identyfikacja osoby w oparciu o dane biometryczne wg. definicji RODO

cyt.: “(…) w wyniku zestawienia wzorca biometrycznego zarejestrowanego na urządzeniu z palcem dziecka przyłożonym do czytnika biometrycznego, a także pozostałymi informacjami (m.in. numerem pozycji, imieniem, nazwiskiem, klasą oraz uprawnieniem do odebrania obiadu) możliwa jest bowiem jego identyfikacja.(…)”.

Wyścigi podstaw do przetwarzania wygrywa 6.1.e RODO

cyt.: “(…) Zgodnie z art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148) w celu zapewnienia prawidłowej realizacji zadań opiekuńczych, w szczególności wspierania prawidłowego rozwoju uczniów, szkoła może zorganizować stołówkę. W związku z tym stwierdzić należy, że podstawą przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły nie mogła być zgoda, ponieważ podstawą do przetwarzania danych osobowych dzieci w tym celu przez Szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznacza to, że Szkoła przetwarza dane osobowe ucznia na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Nie potrzebuje zatem odrębnej zgody rodziców bądź pełnoletniego ucznia na przetwarzanie danych osobowych w związku z realizacją tych zadań, tj. świadczeniem usług przez stołówkę szkolną. Realizując te usługę Szkoła może przetwarzać tylko te dane osobowe ucznia, które są niezbędne do świadczenia usług stołówki szkolnej. Wskazać należy, że przepisy prawa powszechnie obowiązującego wskazują rodzaj danych jakie Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala Szkole na przetwarzanie (pozyskiwanie i gromadzenie) danych biometrycznych (których przetwarzanie jest co do zasady zakazane w art. 9 ust. 1 RODO) uczniów w celu realizacji tego zadania.(…)”.

Dla zainteresowanych.

Zainteresowanych tematem daktyloskopii, odsyłam do interesującego opracowania pt. “Identyfikacja użytkownika na podstawie analizy linii papilarnych“. Autor opracowania podnosi, iż cyt.: “(…) system biometryczny popełnia dwa rodzaje błędów. Pierwszy polega na uznaniu za identyczne dwóch odcisków, które w rzeczywistości pochodzą z różnych palców. Jest to tzw. fałszywe dopasowanie. Drugi rodzaj błędu to uznanie dwóch identycznych odcisków palców za różne – tzw. fałszywe niedopasowanie (…)”.

Raz jeszcze o definicji na gruncie Rozporządzenia RODO

Uwaga pierwsza

Po lekturze ww opracowania, wskazuję raz jeszcze i podkreślam,  na gruncie analizowanej Decyzji PUODO pamiętać należy o autonomicznej definicji danych biometrycznych, jaką wprowadza art. 4 pkt 14) Rozporządzenia RODO, gdzie to „dane biometryczne” oznaczają

  • (1) dane osobowe, które wynikają ze specjalnego przetwarzania technicznego,
  • (2) dotyczą cech
    • fizycznych,
    • fizjologicznych
    • lub behawioralnych osoby fizycznej
  • (3) które
    • umożliwiają
    • lub potwierdzają jednoznaczną identyfikację tej osoby,
  • (np.) takie jak wizerunek twarzy lub dane daktyloskopijne (patrz Uwaga druga)

(1) + (2) + (3) = dane biometryczne.

Uwaga druga

Uwaga druga, aby uznać iż mamy do czynienia z danymi biometrycznymi, w rozumieniu ww. definicji na gruncie Rozporządzenia RODO, nie wystarczy, aby przetwarzać dane w postaci wizerunku twarzy (fotografia). Motyw 51 stanowi bowiem, iż cyt.: “(…) przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (…)”.

Definicja danych biometrycznych

Lorem ipsum dolor sit amet, consectetur adipisciZa sprawą Decyzji PUODO z dnia18 lutego 2020r., ZSZZS.440.768.2018, na mocy której PUODO nałożył na szkołę karę pieniężną w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki wywołana została dyskusja nt. definicji danych biometrycznych. Czym są dane biometryczne w rozumieniu RODO? Czy dane daktyloskopijne to to samo co dane biometryczne? Czytaj więcej >>>

Procedura wewnętrzna bezpieczeństwa na terenie placówki.<br>Procedura postępowania w przypadku podejrzenia zakażenia COVID-19.

5/5

99,00 pln

Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych.
30 marca 2020 r.
Częstochowa

5/5

499,00 pln

Materiały szkoleniowe z warsztatów – Praktyczne aspekty ochrony danych osobowych w placówkach oświatowych. Zestaw gotowych dokumentów do wykorzystania w pracy.

5/5

200,00 pln

Regulamin monitoringu wizyjnego dla szkoły. Kompletne opracowanie wraz z klauzulą i infografiką.

5/5

150,00 pln

Wzór oświadczenia woli o upoważnieniu do odbioru dziecka z przedszkola, ze świetlicy szkolnej.

5/5

29,00 pln

Kary RODO w Polsce

Kary RODO w Polsce

Kary RODO w Polsce

Usystematyzowane i ułożone według kolejności decyzje nakładające kary RODO w Polsce. Sygnatury akt spraw odwoławczych. Informacje i doniesienia prasowe w temacie. Wszystko zebrane w jednym miejscu. Dla zainteresowanych wszystkie decyzje Urzędu Ochrony Danych Osobowych.

Bisnode

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 15 marca 2019r. ZSPR.421.3.2018.
Informacja prasowa UODO.

 

Sąd przyznał rację Prezesowi UODO. Wysokość nałożonej kary administracyjnej do ponownej analizy. Informacja prasowa UODO.

Dolnośląski Związek Piłki Nożnej

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 25 kwietnia 2019r. ZSPR.440.43.2019. Informacja prasowa UODO.

 

WSA w Warszawie potwierdził zasadność kary nałożonej na Dolnośląski Związek Piłki Nożnej. Informacja prasowa UODO.

ClickQuickNow Sp. z o.o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.7.2019.
Informacja prasowa UODO.

Morele.net Sp. z o. o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.2.2019.
Informacja prasowa UODO.