W opinii Głównego Inspektora Pracy wyrażonej w piśmie z 21 grudnia 2021 r. (znak GIP-GBI.0701.134.2021.2) „(…) z punktu widzenia prawa pracy dopuszczalna jest wypłata wynagrodzenia w terminie poprzedzającym termin określony w regulaminie pracy lub w innych przepisach prawa pracy jako termin wypłaty wynagrodzenia za pracę (wykroczenie, o którym mowa w art. 282 § 1 pkt 1 K.p. popełnia m.in. ten, kto wypłaca wynagrodzenie po ustalonym terminie). (…)„. Jednakże w przepisach zakładowych, pracodawca powinien określić termin stały i jednolity.

• TSUE w wyroku z dnia 25 listopada 2021r. (C-233/20) uznał, że prawo unijne nie uzależnia prawa do ekwiwalentu za urlop od tego, w jaki sposób dochodzi do rozwiązania stosunku pracy (w rozważanej sprawie: rozwiązanie umowy przez pracodawcę bez wypowiedzenia). W opinii Trybunału bez znaczenia jest też, czy pracownik miał możliwość wykorzystania urlopu w naturze oraz czy to z jego inicjatywy doszło do rozwiązania umowy. Przesłankami nabycia prawa do ekwiwalentu jest jedynie to, że pracownik nie wykorzystał wszystkich nabytych dni urlopu wypoczynkowego, a umowa o pracę uległa rozwiązaniu.

Uwaga: w polskich okolicznościach omawiane orzeczenie może być potraktowane przede   wszystkim jako przypomnienie, jak mechanizm ekwiwalentu działa w naszym prawie. Nie ulega zatem wątpliwości, że jeśli pracownik nabył prawo do urlopu wypoczynkowego i nie wykorzystał go do momentu rozwiązania umowy, to należy mu wypłacić ekwiwalent w odpowiedniej wysokości. Nie ma na przykład  znaczenia, czy doszło do rozwiązania umowy o pracę w trybie natychmiastowym z inicjatywy pracownika lub pracodawcy i jaki był powód rozstania.

• W wyroku Trybunału Sprawiedliwości Unii Europejskiej z 13 stycznia 2022 r. w sprawie C-282/19 MIUR e Ufficio Scolastico Regionale per la Campania wskazano, że pracodawca może z obiektywnych powodów pominąć limity dotyczące zawierania umów na czas określony, ale tylko wtedy, gdy te obiektywne powody są związane z zaspokojeniem tymczasowych potrzeb kadrowych. Obiektywnych powodów nie można używać do systemowego zatrudniania (czyli stałych lub trwałych potrzeb kadrowych) przez wiele lat tych samych osób na czas określony.

• W wyroku Trybunału Sprawiedliwości Unii Europejskiej z 10 lutego 2022 r. w sprawie C-485/20 HR Rail czytamy, że pracownikowi – w tym zatrudnionemu na okres próbny – który ze względu na swoją niepełnosprawność został uznany za niezdolnego do wykonywania najważniejszych czynności na stanowisku pracy, pracodawca winien przydzielić inne, w odniesieniu do którego wykazuje on odpowiednie kompetencje, zdolności i dyspozycyjność. Warunkiem jest to, że taka zmiana nie nakłada na pracodawcę nieproporcjonalnie wysokich obciążeń. Trybunał uściślił, że możliwość przydzielenia innego stanowiska pracy pojawia się tylko wtedy, gdy istnieje co najmniej jedno wolne stanowisko, które pracownik może objąć.

• Sąd Rejonowy dla Szczecin-Centrum w Szczecinie w wyroku z dnia  20 grudnia 2021 r. (sygn. akt IX P 699/20) stwierdził, że jednym z obowiązków ciążących na pracodawcy, które wywieść należy z przepisów prawa pracy, jest zapewnienie pracownikom bezpiecznych i higienicznych warunków pracy. Jest on odpowiedzialny za stan bezpieczeństwa w zakładzie pracy. Jego zadaniem jest chronić zdrowie i życie pracowników poprzez wprowadzanie odpowiednich regulacji stosownie do rodzaju oraz warunków wykonywania pracy, a także występujących w zakładzie pracy zagrożeń, korzystając z aktualnych osiągnięć nauki i techniki.

Sąd podkreślił, że nakaz noszenia maseczki (tu: pracodawca nałożył karę porządkową na pracownika, który odmówił noszenia maseczki w miejscu pracy) związany był przede wszystkim z obowiązkiem pracodawcy zapewnienia wszystkim pracownikom bezpiecznych i higienicznych warunków pracy. Sąd wobec tego uznał, że skoro pracodawca starał się wprowadzić standardy obsługi klienta, uwzględniając stan epidemii, a pracownik ich nie stosował, to były podstawy do zastosowania kary porządkowej. Naruszenie przepisów z zakresu bezpieczeństwa i higieny pracy miało bowiem charakter naruszenia podstawowych obowiązków pracowniczych. Ponadto sąd uznał, że pracownik nie mógł się powoływać na argumenty podnoszone w orzeczeniach sądów karnych, które uchylały odpowiedzialność osób fizycznych za brak realizacji obowiązku zasłaniania ust i nosa. Źródłem obowiązku nałożonego na pracownika były bowiem normy prawa pracy, a nie regulacje przepisów wprowadzonych na czas epidemii, którego legalność była kwestionowana przez sądy karne.

Za dopuszczenie do skopiowania przez firmę współpracującą danych osobowych klientów na spółkę Fortum Marketing and Sales Polska S.A. została nałożona administracyjna kara pieniężna w wysokości ponad 4,9 mln zł. Podmiot przetwarzający, który skopiował te dane, został przez Prezesa Urzędu Ochrony Danych Osobowych ukarany grzywną w wysokości 250 tys. zł.

Co dokładnie znalazło się w decyzji Prezesa UODO nakładającej karę.

Jak poinformował UODO, naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym. W trakcie dokonywanych zmian utworzona została dodatkowa bazy danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator danych dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.

W toku przeprowadzonego postępowania Urząd ustalił, że spółka w postanowieniach umownych z podmiotem przetwarzającym określiła wymogi w zakresie bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Według kontrolerów, podmiot przetwarzający działał niezgodnie z powszechnie znanymi normami ISO, a jednocześnie wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje. Nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych.

Zdaniem ekspertów UODO, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną – czytamy w informacji o kontroli.

W postępowaniu ustalono, że administrator w toku dokonywania zmian nie wymagał od podmiotu przetwarzającego przedstawienia dokumentacji analizy ryzyka dla projektowanych zmian. Administrator zgłosił potrzebę usprawnienia działania systemu, a po otrzymaniu informacji o wprowadzeniu nowego rozwiązania przystąpił do pracy i testowania nowego rozwiązania.

Kontrolerzy UODO stwierdzili też, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami.

Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań – czytamy w informacji o kontroli.

Jak podkreśla UODO, na administratorze spoczywa także obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.

Źródło:

www.prawo.pl, z dn. 2.03.2022 r.

aktualności PUODO https://uodo.gov.pl/pl/138/2304

Prezes UODO nałożył na Santander Bank Polska S.A. administracyjną karę pieniężną w wysokości prawie 550 000 zł, co stanowi ok. 0,011 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Przyczyną nałożenia kary było niewłaściwe zawiadomienie 10 500 obecnych i byłych pracowników administratora o naruszeniu ochrony danych osobowych.

Organ nadzorczy wskazał administratorowi jakiej treści komunikatu do tych osób oczekuje, a mimo to administrator danych nie skorzystał z “podpowiedzi” i nie przekazała “odpowiednich” informacji.

Samo naruszenie ochrony danych polegało na dostępie byłego pracownika do danych przetwarzanych przez Zakład Ubezpieczeń Społecznych w ramach elektronicznej platformy PUE. Były pracownik kadr logował się “na konto” pracodawcy co najmniej 5 razy po zakończeniu stosunku pracy.  Osoba ta postanowiła powiadomić administratora o tym, że ma możliwość logowania się 8 miesięcy po pierwszym logowaniu.

źródło:

https://www.uodo.gov.pl/decyzje/DKN.5131.33.2021

W związku z trwającą wojną między Rosją a Ukrainą zachodzi istotna „zmiana sytuacji również w zakresie polityki bezpieczeństwa”.  Art. 24 RODO, stanowi, że wdrażane są odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych zgodnie z wymogami RODO oraz że takie środki są w razie potrzeby poddawane ponownemu przeglądowi i aktualizowane. Jeśli więc współpracują Państwo z podmiotami na Ukrainie, Rosji lub macie tam oddziały, niezbędnym jest z perspektywy obowiązków wynikających z RODO ponowna ocena podstaw prawnych wykorzystywanych do przekazywania danych do Rosji i na Ukrainę.

Cyberataki mogą zostać wykorzystane do zniechęcenia wspierania Ukrainy lub być celem samym w sobie (sprowadzającym się do wyłudzenia danych, środków finansowych lub przerwania ciągłości działania). Firmy powinny przygotować się m.in. na ataki typu DoS, DDoS, phishing, w tym spear phishing, ransomware i inne ataki z wykorzystaniem złośliwego oprogramowania. Ważne jest, aby w tym czasie nie popadać w zbędną panikę, zachować szczególną czujność, monitorować zagrożenia, a w razie ich wystąpienia podjąć szybkie działania naprawcze. Przede wszystkim jednak organizacje muszą przestrzegać podstawowych zasad bezpieczeństwa.

Wiele organizacji, w tym m.in. NASK rekomenduje konkretne zasady konieczne do wdrożenia w związku z rosnącymi zagrożeniami cybernetycznymi, Poniżej lista najważniejszych:

• zadbaj o to, aby wszyscy pracownicy znali podstawowe zasady ochrony infrastruktury IT oraz zapoznali się z firmową polityką bezpieczeństwa. W razie potrzeby zorganizuj szkolenie podnoszące świadomość dotyczącą cyberzagrożeń;
• dopilnuj, aby wszyscy pracownicy wiedzieli, jak w sytuacji cyberataku należy zareagować:
  • odłączyć komputer od sieci,
  • nie wyłączać komputera i nie odłączać od zasilania,
  • zgłosić incydent odpowiednim zespołom zgodnie z przyjętą w organizacji procedurą – w tym przypadku istotna jest wiedza komu i w jaki sposób zgłosić zdarzenie;
• stwórz plan odtwarzania awaryjnego, aby w razie ataku jak najszybciej wrócić do stanu sprzed incydentu;
• monitoruj zagrożenia oraz stan posiadanych zabezpieczeń;
• zaktualizuj wszystkie programy i aplikacje;
• regularnie sprawdzaj, czy nie doszło do wycieku firmowych danych i danych logowania (np. w bazie wycieków www.haveibeenpwned.com oraz w deep webie);
• zrób kopie zapasowe danych, plików, stron www i zadbaj o regularne backupy. Najważniejsze dane zgraj lokalnie;
• korzystaj ze sprawdzonego i legalnego programu antywirusowego, nie bagatelizuj pojawiających się komunikatów;
• stosuj bezpieczne i skomplikowane hasła, oparte na frazach, składające się z co najmniej 12 znaków, wielkich i małych liter, cyfr oraz znaków specjalnych;
• nie używaj tego samego hasła do różnych kont (zasada jedno konto = jedno hasło);
• włącz uwierzytelnianie dwuskładnikowe / wieloskładnikowe;
• korzystaj ze sprawdzonych managerów haseł;
• zrezygnuj z automatycznego zapamiętywania haseł i autouzupełniania formularzy;
• uważaj na działania typu phishing / spear phishing podczas otwierania załączników i klikania w linki z wiadomości e-mail oraz podczas pobierania plików z Internetu;
• nie używaj firmowego sprzętu i poczty do prywatnych celów;
• upewnij się, że odwiedzasz prawidłową stronę (czy nie ma błędu w adresie i czy z innych powodów nie wydaje się ona podejrzana). Sprawdź czy strona jest bezpieczna i czy posiada certyfikat SSL / TSL;
• wyłącz w przeglądarce niepotrzebne, budzące wątpliwości i nieznane wtyczki;
• nie loguj się do publicznych Wi-Fi i wyłącz w swoim sprzęcie automatyczne łączenie z dostępnymi sieciami;
• nie wierz we wszystko, co czytasz w Internecie i weryfikuj informacje i korzystaj z zaufanych źródeł.

Inwestycja w kompetentny, posiadający możliwość sprawnego działania zespół odpowiedzialny za bezpieczeństwo firmowej infrastruktury IT i przetwarzanych danych, stanowi obecnie nie tylko środek organizacyjny poważnie mitygujący ryzyko zmaterializowania się zagrożeń dla danych osobowych przetwarzanych w systemach ale dla infrastruktury IT w ogóle.

Przypominam tez Państwu, że każdą podejrzaną aktywnością w sieci, na urządzeniach elektronicznych w poczcie e-mail możecie zgłaszać przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl.

Podejrzane SMS-y można przesłać do CERT bezpośrednio na numer 799 448 084.

źródło:

strona internetowa Resilia [ https://resilia.pl]

strona internetowa NASK [https://cert.pl/posts/2022/02/rekomendacje-cyberprzestrzen-ukraina]

strona internetowa Datatilsynet [https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2022/overforing-av-data-til-russland-og-ukraina]

FRANCJA. Francja doczekała się ustawy o sygnalistach.

23 grudnia 2019 roku parlament Europejski i Rada UE przyjęli dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Przyjęta dyrektywy zobowiązywała kraje członkowskie do przyjęcia odpowiednich rozwiązań do połowy grudnia 2021 r. Francja podobnie jak wiele innych krajów, w tym Polska, nie zdążyła wdrożyć odpowiednich przepisów prawa, ale we Francji to właśnie się zmieniło.

Francja w swoich przepisach nie ograniczała się do wymagań minimalnych wskazanych w dyrektywie, ale w szerszym zakresie będzie ochraniać sygnalistów. Francuskie prawodawstwo przewiduje np. ochronę zgłaszającego nawet gdy nie dotyczy ono bezpośrednio naruszenia prawa krajowego czy unijnego o ile jednocześnie powoduje ono szkodę dla interesu publicznego.

Ustawa poszerza również krąg podmiotów, które mogą być chronione w związku z ich działaniami pomocowymi na rzecz sygnalistów m.in. o organizacje pozarządowe wspierające sygnalistów w dokonaniu przez nich zgłoszenia. Jak również, ustawa przewiduje faktyczne wsparcie sygnalisty np. w zakresie kosztów związanych z obsługą prawną czy wsparcie psychologiczne. Jednocześnie wobec osób, które dopuszczą się działań odwetowych wobec sygnalisty przewidywane są dotkliwe sankcje m.in. grzywna w wysokości do 60 tys. euro czy pozbawienie wolności do lat 3.

W związku z opóźnieniami w wdrożeniu przepisów dyrektywy do porządków krajowych Komisja Europejska formalnie wezwała kraj pozostające w opóźnieniu do jak najszybszego wdrożenia odpowiednich przepisów krajowych. Pierwsze wezwanie z końca stycznia 2022 r. było skierowane do 24 krajów unijnych, w tym Polski.

Oczekujemy na wspomnianą regulację, gdyż jej zapisy zdeterminują ocenę projektowanych i wdrażanych w firmach rozwiązań organizacyjnych w zakresie obsługi zgłoszeń sygnalistów i ich rozpatrywania.

źródło: strona internetowa GDPR.pl [https://gdpr.pl/artykuly/francja-doczekala-sie-ustawy-o-sygnalistach]

(na podstawie: Ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym  na terytorium tego państwa)

aktualizacja: 15.03.2022

KTO

Obywatel Ukrainy (UA) lub członek  najbliższej rodziny obywatela UA, który ma Kartę Polaka lub małżonek obywatela UA innego obywatelstwa, którzy przybyli w okresie od 24.02.2022 na terytorium RP bezpośrednio z terytorium UA.

        WNIOSEK O REJESTRACJĘ A WNIOSEK O PESEL

USTAWA przewiduje, że w przypadku gdy wjazd obywatela UA na terytorium RP nie został zarejestrowany przez komendanta placówki SG podczas kontroli granicznej, Komendant Główny SG rejestruje pobyt obywatela UA na terytorium RP, na jego wniosek.

Przepisy w zakresie wniosku O REJESTRACJĘ odwołują się do wniosku o PESEL. Tak więc obywatel UA składa tylko jeden wniosek, tj. wniosek o PESEL. Nie składa się osobnego wniosku o rejestrację, nawet jeśli wjazd nie został zarejestrowany w dokumencie przy przekraczaniu granicy. W takim przypadku obowiązkowo należy złożyć wniosek o PESEL nie później niż w 60 dni od dnia wjazdu.

        WNIOSEK O PESEL

Wszystkie potrzebne informacje na temat wniosku i potrzebnych danych znajdują się TUTAJ

https://www.gov.pl/web/gov/uzyskaj-numer-pesel-oraz-profil-zaufany–usluga-dla-obywateli-ukrainy

        WZÓR WNIOSKU

Znajduje się na powołanej stronie www w zakładce: „Co musisz przygotować”.

Jest od przygotowany w wersji dwujęzycznej. Wniosek w imieniu dziecka składa rodzic, opiekun, kurator lub osoba sprawująca faktyczną pieczę.

        KIEDY SKŁADAĆ

Najwcześniej 16.03.2022

Zgodnie z KOMUNIKATEM Ministra Cyfryzacji w sprawie określenia terminu wdrożenia rozwiązań (…): Termin powszechnego uruchomienia obsługi wniosków o nadanie nr PESEL ustanawia się na dzień 16 marca 2022 r. (od tego dnia można składać wnioski o PESEL).

        GDZIE SKŁADAĆ

W dowolnym urzędzie gminy na terytorium RP

Na stronie https://www.gov.pl/web/gov/uzyskaj-numer-pesel-oraz-profil-zaufany–usluga-dla-obywateli-ukrainy w zakładce „Gdzie składasz wniosek” można wpisać swoje miejsce pobytu i wskazany zostanie najbliższy Urząd wraz z danymi adresowymi i mapą dojazdu. Nie jest to jednak właściwość wyłączna, bo wniosek można złożyć w każdym urzędzie gminy.

        CO BĘDZIE POTRZEBNE

DO WNIOSKU O PESEL

Kolorowe zdjęcie na papierze fotograficznym w rozmiarach 35 x 45 mm (szerokość x wysokość).

Dokument tożsamości, który potwierdzi dane. Jeżeli nie ma takiego dokumentu, to podpisanie wniosku jest równoważne prawnie z oświadczeniem, że dane są prawdziwe.

GDY RÓWNOCZENIE WNIOSIMY O PROFIL ZAUFANY:

Działający telefon komórkowy z numerem od polskiego operatora, którego jest się wyłącznym użytkownikiem oraz adres e-mail

        INNE INFORMACJE

• wniosek jest bezpłatny
• potwierdzenie o numerze PESEL wydawane w urzędzie, gdzie wniosek jest składany
• jednocześnie z numerem PESEL można uzyskać profil zaufany (umożliwia załatwianie wielu spraw urzędowych przez Internet)
• przy wyrabianiu numeru PESEL pobierane są odciski palców (od dzieci, do 12 r.ż., nie pobiera się odcisków palców).