Jesteś ciekaw, czy naprawdę aż tyle spraw wygrywamy?

Jeżeli dalej nie wierzysz, możesz sprawdzić autentyczne wyroki, które regularnie publikujemy w zakładce "AKTUALNOŚCI → WYROKI I UGODY"

Logo knif 7a0a1876f2dcf88e1a5704f7688b3a271342666fcb08c111464b3b4c6fe58ef0

RODO

17.10.2020

Rekord jesieni 2020

Wspaniała wiadomość -#REKORD jesieni 2020 😀😄 - W dniu 09.10.2020 r. sąd ogłosił kolejną #upadłość Panu Marcinowi z Łodzi 🙂, a 13.10.2020 Panu Damianowi ze Zgierza w ciągu 1,5 miesiąca od złożenia wniosku! 🙂🙂 Gratulację 🌹🌹🌹


Jeżeli chcesz, aby Twoja jesień była kolorowa tak jak naszych klientów, a masz problemy finansowe, to zgłoś się do nas i otrzymaj bezpłatna analizę sprawy 👩‍🏫👩‍🏫 Nie pozwól, aby #długi zmarnowały ci #życie...🤔


p.s. już wkrótce nagrania na naszym kanale YouTube https://www.youtube.com/watch?v=_2-GCOTHfko...


Kontakt: 733-778-096 Link do ankiety: https://knfteam.pl/oferta/oddluzanie


Powodzenia i wytrwałości Życzy Zespół KNF TEAM 👍


31.10.2019

Ogłosiliśmy upadłość dla Naszego klienta

Ogłosiliśmy Upadłość dla naszej Klientki, której problemy z zadłużeniem były konsekwencją uwikłania w pętlę kredytową. To dla nas ogromne wyróżnienie kiedy możemy stać się wyborem Naszych Klientów i towarzyszyć im w aktywnym dochodzeniu swoich praw.


16.04.2019

Pierwsza kara RODO rok i osiem miesięcy pozbawienia wolności


 RODO poskromi nieuczciwe praktyki wykorzystywania danych osobowych


Ostatnie doniesienia mediów i prasy ukazują nam patologie w administracji publicznej z jakimi mamy do czynienia już od wielu lat, ale teraz właśnie z uwagi na RODO coraz częściej będziemy informowani o wszelkich zaniedbaniach oraz naruszeniach w kwestiach wynikających z ochrony danych osobowych. Pierwsza kara pozbawienia wolności za nieuczciwe praktyki to 20 miesięcy więzienia dla Pani Kierownik Ośrodka Pomocy Społecznej za bezprawne wykorzystywanie baz danych swoich podopiecznych oraz pracowników tego ośrodka w celu osiągnięcia korzyści majątkowych poprzez podpisywanie w ich imieniu umów pożyczkowych, które własnoręcznie podpisywała fałszując w ten sposób podpisy pożyczkobiorcy. Dzięki owocnej współpracy z jednym z biur pożyczkowych miała możliwość otrzymania prowizji od każdej podpisanej umowy. Proceder ten wyszedł jednak na jaw, a Pani Kierownik trafiła przed Sąd Okręgowy w Świdnicy, który orzekł, iż bezsprzecznie zostały naruszone przepisy ochrony danych osobowych, w wyroku z 3 września 2018 r. skazał ją na rok i osiem miesięcy pozbawienia wolności, m.in. z art. 51 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 231 par. 1 kodeksu karnego (przekroczenie uprawnień przez funkcjonariusza publicznego).


Sprawa została skierowana do Sądu Apelacyjnego, a Obrona pozwanej starała się usilnie udowodnić, że doszło do obrazy przepisów prawa materialnego, jako że oskarżoną skazano za przestępstwo z przepisu, który utracił moc 25 maja 2018 r. (data wejścia w życie RODO oraz nowej ustawy o ochronie danych osobowych; Dz.U. z 2018 r. poz. 1000). A to oznacza, że czyn objęty wyrokiem nie był już zabroniony pod groźbą kary. Rozpoznający apelację sąd tego argumentu jednak nie podzielił. Stwierdził jedynie, że jakkolwiek rzeczywiście z podstawy skazania należy usunąć art. 51 ust. 1 starej ustawy, to dodać do niej należy tożsamy art. 107 ust. 1 nowej ustawy. Sąd apelacyjny nie zgodził się natomiast z wyrokiem I instancji co do kwestii dotyczących odpowiedzialności kobiety zgodnie z art. 231 par. 1 kodeksu karnego. Powód? Uznanie, że funkcjonariusz publiczny przekroczył swoje uprawnienia, wymaga nie tylko ustalenia, że dokonana przez niego czynność leży poza zakresem przyznanych mu uprawnień, ale dodatkowo stwierdzić należy, że pozostaje ona w formalnym lub merytorycznym związku z działalnością służbową tego funkcjonariusza. Reasumując powyższe jeżeli pozwana wykorzystywała dane osobowe jedynie do celów zawierania umowy pożyczki, robiła to poza zakresem zadań własnych, a zatem nie może ona być pociągnięta do odpowiedzialności za „nielegalne przekroczenie uprawnień funkcjonariusza publicznego.” Wyrok Sądu Apelacyjnego we Wrocławiu z 23 stycznia 2019 r., sygn. akt II AKa 405/18.


29.03.2019

W artykule tym postaram się wyłowić z dość obszernego opisu stanu faktycznego i uzasadnienia decyzji o nałożeniu kary to co jest istotne dla wszystkich administratorów, którzy w ramach swojej działalności przetwarzają dane osobowe. W dniu 26 marca 2019 roku na zapowiadanym wcześniej briefingu prasowym Prezes Urzędu Ochrony Danych Osobowych (UODO) pani dr Edyta Bielak-Jomaa poinformowała, iż decyzją ZSPR.421.3.2018 nałożyła na przedsiębiorcę (spółkę z ograniczoną odpowiedzialnością) z siedzibą w Warszawie administracyjną karę pieniężną w wysokości 943.470,00 zł z tytułu naruszenia postanowień art. 14 ust. 1-3 Ogólnego Rozporządzenia o Ochronie Danych (RODO) czyli niewypełnienia obowiązku informacyjnego wobec osób, których dane pozyskano z innego źródła niż one same. Decyzja nakazuje również ukaranemu podmiotowi wykonanie obowiązku wynikającego z naruszonego przepisu. Czyli sankcje wynikające z decyzji dotyczą naruszenia PRAWA nie zaś NARUSZENIA BEZPIECZEŃSTWA danych osobowych. Jakiego naruszenia, zdaniem Prezes UODO, dopuścił się administrator? Otóż kontrola prowadzona przez pracowników Urzędu we wrześniu 2018 roku w spółce wykazała, że spółka oferowała klientom raporty handlowe dotyczące przedsiębiorców, których dane pozyskiwała z elektronicznych, ogólnodostępnych i urzędowych baz KRS, CEiDG oraz REGON. W swojej bazie przedsiębiorca posiadał łącznie 7.594.636 rekordów danych dotyczących osób fizycznych (także przedsiębiorców) prowadzących jednoosobową działalność gospodarczą oraz osób będących wspólnikami lub członkami organów spółek, fundacji i stowarzyszeń. Jak wynika z uzasadnienia decyzji (cyt.): „Spółka spełniła indywidualny obowiązek informacyjny wobec 682 439 osób, w stosunku do których posiada w ramach rekordu bazy danych adresy poczty elektronicznej. W odniesieniu do 181 142 osób Spółka dysponuje wyłącznie numerami telefonów komórkowych, a w odniesieniu do 6.490.226 osób dysponuje wyłącznie adresami korespondencyjnymi, z czego 2.924.443 rekordy dotyczą nieaktywnych działalności gospodarczych”. W trakcie swojej kampanii informacyjnej Spółka wysłała 902 837 wiadomości elektronicznych – czyli tylko do tych podmiotów, których adres poczty elektronicznej posiadała. W pozostałych przypadkach Spółka posiadając adresy korespondencyjne oraz numery telefonów komórkowych do przedsiębiorców (część) zdecydowała, że ze względu na wysokie koszty takiej akcji (zarówno SMS-owej jak i wysłania korespondencji pocztą tradycyjną – wyliczono jej koszt na ok. 33 mln zł) obowiązek informacyjny na podstawie art. 14 ust. 1-3 RODO spełni poprzez opublikowanie stosownego komunikatu/klauzuli informacyjnej na swojej stronie internetowej. Administrator uznał, że „niewspółmierny wysiłek” finansowy oraz, w jego ocenie, niskie ryzyko naruszenia praw i wolności osób pozwalają mu na ograniczenie się do takiego komunikatu. Jak Prezes UODO uzasadniła nałożenie kary w oparciu o art. 83 ust. 2 lit. a-k RODO? - niespełnienie przez administratora obowiązku informacyjnego, - naruszenie ma charakter poważny – ze względu na profesjonalny charakter działalności spółki oraz liczbę podmiotów, których prawa naruszono, - świadoma decyzja spółki o nieinformowaniu podmiotów, których adresów poczty elektronicznej administrator nie posiadał, - brak wiedzy podmiotów danych o fakcie przetwarzania ich danych przez spółkę, - usprawiedliwianie się przez administratora wysokimi kosztami (mogącymi prowadzić do utraty konkurencyjności a nawet płynności finansowej) wykonania obowiązku informacyjnego jest niezasadne w kontekście wieloletniego doświadczenia spółki w zakresie takiej działalności i czerpania z niej dochodu oraz, co warto podkreślić (cyt):„…świadczy o obniżeniu wartości praw osób, których dane osobowe Spółka przetwarza, w stosunku do wartości finansów Spółki, której to argumentacji nie można uznać za zasadną w świetle wymogów rozporządzenia 2016/679.” Podzielam zdanie dr Pawła Litwińskiego (specjalista z zakresu ochrony danych osobowych, autor jednego z komentarzy do RODO), który komentując decyzje Prezes UODO słusznie podnosi kwestię, czy na pewno przedsiębiorcy zasługują na identyczną ochronę prawną jak konsumenci i czy wysokość kary (a może i sama kara pieniężna jako taka) jest współmierna do naruszenia (w tym wypadku prawa). Ja uważam, że nie i spodziewam się korekty tej decyzji w przypadku zaskarżenia jej do sądu. Póki co jednak jest ona (czy raczej jej uzasadnienie) znakomitym materiałem badawczym. Kolejna ważny aspekt sprawy – znowu powołajmy fragment decyzji Prezes Urzędu: „Spółka stosuje do przetwarzanych przez siebie danych osobowych wysokiej klasy zabezpieczenia techniczne, […]. Spółka posiada wdrożone szczegółowe procedury i instrukcje dla pracowników zapewniające bezpieczeństwo przetwarzania danych.” Możemy więc mieć świetne zabezpieczenia techniczne (informatyczne bazy danych), przyzwoite procedury i dokument (polityki, regulaminy) a potkniemy się na interpretacji przepisów. Przechodzimy więc do zagadnienia wykwalifikowanej kadry mającej wspomóc nas w procesie prawidłowego przetwarzaniu danych osobowych czyli Inspektora Ochrony Danych (IOD) lub innej osoby wskazanej przez administratora. Czy jest ktoś taki? Czy ma odpowiednie kwalifikacje? Czy (to chyba najważniejsze) bierzemy pod uwagę zdanie tej osoby?? Konkluzja: tworzenie masy zbędnych procedur, nabywanie gotowych dokumentów (w zasadzie ich wzorów) a nawet posiadanie prawidłowych procedur i zabezpieczeń nie chroni nas przed kłopotami jeśli nie będziemy posiadać w zasobie kadrowym kogoś, kto będzie w stanie właściwie zinterpretować przepisy o ochronie danych osobowych (RODO, ustawa o ochronie danych osobowych, przepisy dotyczące cyberbezpieczeństwa, Krajowych Ram Interoperacyjnych) także komplementarnie z przepisami sektorowymi, które dotyczą naszej działalności (prawo pracy, rachunkowość-podatki, telekomunikacja, medycyna, oświata, zamówienia publiczne czy transport). Kolejny wniosek jest taki, że przedsiębiorcy (czy w ogóle administratorzy bez znaczenia czy w sektorze publicznym czy prywatnym) powinni wspólnie z IOD-em przeanalizować swoje procedury postępowania w przypadku wystąpienia naruszeń oraz procedury realizacji praw osób fizycznych, w tym przede wszystkim sposób realizacji obowiązku informacyjnego. Niezbędna wydaje się także analiza umów z kontrahentami celem ustalenia czy wobec tych, którzy są przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą spełniliśmy obowiązek informacyjny. Przedsiębiorcy muszą więc zapewnić sobie profesjonalne wsparcie dotyczące ochrony przetwarzanych przez siebie danych, ponieważ każdy aspekt działalności (podpisanie umowy, przekazanie danych, akcja marketingowa, rekrutacja) będzie wymagał asysty merytorycznej specjalisty ds. ochrony danych osobowych lub IOD-a. To nie dokumenty zapewniają nam „zgodność z RODO” ale to jak realizujemy procedury i stosujemy przepisy. P.S. Specjalista ds. ochrony prywatności dr Łukasz Olejnik ze sporym prawdopodobieństwem ustalił kto jest adresatem kary pieniężnej w bardzo prosty sposób – uzasadnienie decyzji Prezes UODO opisywało przedmiot działalności ukaranej Spółki w identyczny sposób jak to miało miejsce na stronie internetowej tej spółki (BISNode). Czyli pseudonimizacja zastosowana przez Urząd okazała się mało skuteczna. Sama spółka także (już po fakcie) odnosi się do sprawy nałożenia kary na swojej stronie internetowej. https://www.bisnode.pl/wiedza/newsy-artykuly/decyzja-urzedu-ochrony-danych-osobowych-w-sprawie-bisnode/. Autor artykułu: Prawnik Tomasz Ptak - dział RODO Więcej ciekawych wpisów odnajdą Państwo śledząc Klub RODO na FB: www.facebook.com/KlubRODO/


13.03.2019

O ZBĘDNYCH ZGÓD ZBIERANIU

Czyli o tym jak niektórzy administratorzy (czy to administracja publiczna czy przedsiębiorcy) uznali, że niezależnie od tego w jakim celu przetwarzają nasze dane osobowe muszą odebrać od nas zgodę. My oczywiście takiej zgody udzielamy, często bez świadomości, że administrator (urząd, szkoła, szpital, dostawca internetu) może a nawet musi przetwarzać nasze dane i takiej zgody od nas nie potrzebuje.

Zacznijmy od przykładów znalezionych na stronach kilku organów publicznych, w dokumentach pracodawców czy podanych w sieci:

1.Przykładowy Załącznik do Regulaminu Zakładowego Funduszu Świadczeń Socjalnych (ZFŚS) u pracodawcy (urząd) w postaci wniosku a w nim: "Wyrażam zgodę na przetwarzanie danych osobowych do celów realizacji niniejszego wniosku”.

2. Formularz wniosku o dostęp do informacji na stronie Ministerstwa Sprawiedliwości a tam: "Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w niniejszym formularzu przez Ministra Sprawiedliwości z siedzibą w Warszawie, Al. Ujazdowskie 11 w związku z postępowaniem z zakresu dostępu do informacji publicznej**" potem pouczenie, że "W przypadku niewyrażenia zgody Ministerstwo Sprawiedliwości nie ma możliwości rozpatrzenia wniosku."
https://bip.ms.gov.pl/pl/kontakt/informacja-publiczna/

3. Wysyłanie deklaracji e-pit za pomocą formularza udostępnionego przez Ministerstwo Finansów
(przykład: pierwsza zgoda na załączonym obrazie)

4. Dokonywanie płatności za pomocą serwisu (a więc umowa) – stan na czerwiec 2018
(przykład: druga zgoda na załączonym obrazie)

5. Odbieranie przez pracodawcę od pracownika zgód na przetwarzanie danych osobowych do celów obsługi kadrowej czy przez szkołę od rodzica dziecka zgody na przetwarzanie danych do celów realizacji procesu dydaktyczno-wychowawczego.

W żadnym z powyższych przypadków ci administratorzy (ministerstwa a ściślej ministrowie, szkoły, pracodawcy, firmy) nie powinni odebrać od nas w tych sytuacjach zgód na przetwarzanie danych osobowych. Co więcej- w przypadku ministerstw mamy de facto do czynienia z wymuszeniem zgód, czyli z problemem którego by nie było gdyby z takim uporem wszędzie tych zgód nie odbierano.
Dlaczego to taka ważna sprawa i właściwie na czym polega różnica-ktoś zapyta.
Otóż zgoda na przetwarzanie danych osobowych (zgodnie z art. 6 RODO) to tylko jedna z 6 podstaw przetwarzania tych danych. Pozostałe podstawy to:

- przetwarzanie jest niezbędne do wykonania umowy- wyżej wskazany przykład serwisu płatności czy jakiejkolwiek innej umowy (usługi, media np. TV kablowa czy internet, sprzedaż towaru)

- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – prawny obowiązek administratora (pracodawcy, szkoły, ministerstwa) to np. zgłoszenie pracownika do ubezpieczenia w ZUS, to nauka, opieka nad dzieckiem w szkole, realizacja świadczeń z ZFŚS jeśli pracodawca miał obowiązek go stworzyć, rozliczenie podatku, udzielenie odpowiedzi na wniosek o udostępnienie informacji publicznej – na realizację tych obowiązków administratorzy nie potrzebują dodatkowo jeszcze naszej zgody i nie powinni jej żądać.

- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej – np. ratowanie czyjegoś życia czy zdrowia w trakcie wypadku czy zasłabnięcia (grupa krwi, dane kontaktowe)

- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – wywóz śmieci, dostarczanie mediów typu energia cieplna, woda.

- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora –konieczność zapewnienia bezpieczeństwa (rejestracja wjazdów na posesję, monitoring wizyjny, dochodzenie roszczeń).
Podstawy przetwarzania danych szczególnych kategorii (tzw. danych wrażliwych) zawiera z kolei art. 9 RODO.

Zgodę więc odbieramy tylko wówczas, gdy nie zachodzą wyżej wymienione przesłanki/podstawy do przetwarzania danych osobowych. Takich praktyk chciał również zakazać Parlament Europejski w pierwotnej wersji RODO gdy zgoda jest odbierana w sytuacji nierówności stron (administracja publiczna-osoba fizyczna czy podmiot, z którym zawarto umowę-osoba fizyczna). Pierwszy więc problem w przypadku kilku z w/w zgód to problem jej dobrowolności – jeśli jako podmiot danych jej nie wyrażę, nie muszę spodziewać się negatywnych skutków jej braku. Tymczasem Ministerstwo Sprawiedliwości oświadcza, że jeśli nie wyrazimy zgody nie odpowie na wniosek o udostępnienie informacji publicznej, co przecież jest jego obowiązkiem. Oczywiście przy okazji organ zobowiązany do udzielenia odpowiedzi na taki wniosek popada w bezczynność i naraża się na skargę do sądu administracyjnego ale widocznie komuś (gdzie jest IOD??!!) to umknęło.

Pojawia się i drugi problem tj. zagadnienie skutków odebrania takiej zgody (pomijając już to czy spełnia ona warunki jakim wg RODO powinna odpowiadać). Podstawowy skutek odebrania zgody jest taki, że osoba której dane dotyczą ma prawo w dowolnym momencie wycofać swoją zgodę. To jeszcze nic ponieważ cofnięcie zgody pozostaje bez wpływu na zgodność przetwarzania danych przed jego dokonaniem. Jednak wyobraźmy sobie, że wraz cofnięciem zgody osoba fizyczna zażąda usunięcia jej danych osobowych w oparciu o art. 17 ust 1.pkt b RODO („prawo do bycia zapomnianym”) –oczywiście w/w wymienionych sytuacjach administrator nie uczyni zadość takiemu żądaniu i nie usunie tych danych bo istnieją inne podstawy przetwarzania danych ale administrator wprowadza w błąd osobę, której dane dotyczą.

Dlatego tak ważnym jest posiadanie przez administratora wykwalifikowanego Inspektora Ochrony Danych (IOD), który potrafi krytycznie podejść do dotychczasowych procedur stosowanych przez administratora. Taki IOD może wspomóc administratora z korzyścią i dla tego ostatniego i dla praw osób, których dane są przetwarzane.

Autor artykułu: Prawnik Tomasz Ptak - dział RODO

Więcej ciekawych wpisów odnajdą Państwo śledząc Klub RODO na FB: www.facebook.com/KlubRODO/


Zainteresował Cię ten temat?
A może chciałbyś sprawdzić naszą ofertę z nim związaną?


Logo knif 7a0a1876f2dcf88e1a5704f7688b3a271342666fcb08c111464b3b4c6fe58ef0
Logo knif 7a0a1876f2dcf88e1a5704f7688b3a271342666fcb08c111464b3b4c6fe58ef0

Zapisz się, aby otrzymywać od nas najnowsze informacje:




Polityka prywatności

Wspierają nas:

AnulujPolise Bezprawie Bankowe Sklep z Prawem MK Evolution