RODO aktualności – 09.06.2020

• przedsiębiorcy często wykorzystują wizerunek innych osób do prowadzenia działań marketingowych, czy relacjonowania konferencji, eventów, a również bardzo popularnych ostatnio webinariów i konferencji on-line oraz wydarzeń transmitowanych przez Internet
• wykorzystanie wizerunku regulują przepisy prawa autorskiego, na podstawie których rozpowszechnianie wizerunku wymaga zezwolenia (poza kilkoma sytuacjami) oraz – równolegle – przepisy RODO, które przewidują kilka podstaw przetwarzania danych osobowych
• zezwolenie z prawa autorskiego nie jest tożsame ze zgodą z RODO
• organizator, który chce zamieścić relację z wydarzenia, w której pojawi się wizerunek uczestników, powinien uzyskać od każdego uczestnika zezwolenie na rozpowszechnianie wizerunku na podstawie prawa autorskiego
• jeżeli uznamy, że korzystanie przez organizatora z wizerunku będzie wiązało się z przetwarzaniem danych osobowych należy dodatkowo znaleźć odpowiednią podstawę prawną
• oprócz przetwarzania na podstawie zgody w grę wchodzi także przetwarzanie niezbędne do wykonania umowy oraz przetwarzanie w ramach prawnie uzasadnionego interesu administratora

Źródło: https://www.prawo.pl/biznes/korzystanie-z-wizerunku-uczestnikow-konferencji-i-eventow,500627.html

• wszystkie podmioty zainteresowane stosowaniem RODO w jednostkach oświatowych mogą wziąć udział w konsultacjach projektu kodeksu postępowania w tym sektorze
• projekt kodeksu został skierowany przez autora do konsultacji, a te trwają od 1 czerwca do 30 września 2020 r.
• aktualna treść projektu kodeksu jest dostępna na stronie internetowej: http://rodo-w-oswiacie.pl/kodeks-postepowania-calosc/
• UODO zachęca wszystkie zainteresowane osoby oraz podmioty do przekazywania autorowi wszelkich uwag oraz sugestii do treści projektu kodeksu bezpośrednio na adres e-mail: lub za pośrednictwem formularza kontaktowego, znajdującego się na stronie internetowej autora projektu kodeksu: http://rodo-w-oswiacie.pl/kontakt/

Źródło: https://uodo.gov.pl/pl/138/1554

• podczas 30. posiedzenia plenarnego Europejska Rada Ochrony Danych przyjęła oświadczenie dotyczące praw osób, których dane dotyczą, w kontekście wprowadzenia stanu wyjątkowego w państwach członkowskich
• EROD przypomina, że nawet w tych wyjątkowych czasach, ochrona danych osobowych musi być przestrzegana we wszystkich środkach nadzwyczajnych, przyczyniając się do poszanowania nadrzędnych wartości takich jak demokracja, praworządność i prawa podstawowe, na których opiera się Unia Europejska
• w swoim oświadczeniu EROD wskazała, że RODO nadal ma zastosowanie, a także umożliwia skuteczną odpowiedź na pandemię, chroniąc jednocześnie podstawowe prawa i wolności
• prawo o ochronie danych umożliwia operacje przetwarzania danych niezbędnych do walki z pandemią COVID-19

Źródło: https://uodo.gov.pl/pl/138/1556

• Ministerstwo Kultury i Dziedzictwa Narodowego opublikowało na swojej stronie internetowej wytyczne dla kin i teatrów, które mogą wznawiać działanie w okresie epidemii
• resort zaleca zbieranie danych osobowych widzów, umożliwiających łatwy kontakt z uczestnikami wydarzenia po jego zakończeniu
• zbieranie ich nie jest obligatoryjne, ale rekomendowane w miarę możliwości, tak by ułatwić służbom sanitarnym dochodzenie epidemiologiczne na wypadek wykrycia, że osoba zakażona brała udział w danym wydarzeniu
• dane takie powinny być przechowywane przez organizatora przez 2 tygodnie

Źródło: https://polskieradio24.pl/5/1222/Artykul/2523922,Kina-i-teatry-moga-zbierac-dane-osobowe-Wytyczne-MKiDN-w-czasie-epidemii

• portal Niebezpiecznik.pl zajmujący się tematem cyberbezpieczeństwa poinformował o wycieku danych klientów sieci Decathlon
• wyciek nie dotyczy wszystkich klientów, gdyż dane logowania wskazują na pobranie raportu z okresu od lutego do kwietnia i to tylko i wyłącznie tych klientów, do których Decathlon wysyłał komunikaty marketingowe jako SMS-y
• nie wiadomo ilu jest poszkodowanych – portal pisze jednak o kilkunastu tysiącach czytelników, które otrzymały komunikat Decathlonu o wycieku
• Decathlon poinformował również, że po otrzymaniu w dniu 29 maja 2020 r. potwierdzenia wystąpienia zdarzenia firma zgłosiła incydent do Prezesa Urzędu Ochrony Danych Osobowych w celu podjęcia stosownych działań ochronnych

Źródło: https://niebezpiecznik.pl/post/wyciek-danych-klientow-decathlon/

• przepisy o ochronie danych osobowych oraz ich interpretacja przez UODO utrudniają pracodawcom przeciwdziałanie epidemii COVID-19, bowiem co do zasady pracodawca nie ma prawa legalnie pozyskiwać i wykorzystywać informacji o ewentualnym zakażeniu pracownika w celu podjęcia działań chroniących resztę załogi
• w ocenie UODO informacje o stanie zdrowia należą do danych, które są objęte szczególną ochroną i pomimo tego, że można je przetwarzać za zgodą osoby, której dotyczą, to jednak nie dotyczy to w sfery zatrudnienia (relację pracodawca – pracownik charakteryzuje nierówność stron, gdzie przewagę ma ten pierwszy, dlatego też wątpliwe jest, że zgoda zatrudnionego stanowi podstawę dla pracodawcy do zapoznania się z wynikiem testu)
• art. 22(1)b § 1 Kodeksu pracy wskazuje, że w przypadku sensytywnych danych, w tym o stanie zdrowia, zgoda pracownika może być podstawą przetwarzania wyłącznie w przypadku, gdy przekazanie informacji następuje z inicjatywy zatrudnionego
• gdy pracodawca organizuje i finansuje zakup oraz przeprowadzenie testów na obecność wirusa SARS-CoV-2, należy uznać, że następuje to z inicjatywy pracodawcy, a nie pracownika
• pracodawca może na tej podstawie przeprowadzać testy i zapoznawać się z ich wynikami, jeśli otrzyma decyzję GIS – w ocenie wielu ekspertów to jedyny sposób na pozyskiwanie takich informacji o stanie zdrowia pracownika

Źródło: https://www.prawo.pl/kadry/czy-pracodawca-moze-zadac-przedstawienia-przez-pracownika-wyniku,500746.html

• Europejska Rada Ochrony Danych Osobowych zaakceptowała pierwszy wzór umowy powierzenia przetwarzania
• zatwierdzone wzory stanowiły propozycję duńskiego organu ochrony danych osobowych (Duńskiej Agencji Ochrony Danych)
• wzory w polskiej wersji językowej można znaleźć pod linkiem: https://edpb.europa.eu/our-work-tools/our-documents/decision-sa/dk-sa-standard-contractual-clauses-purposes-compliance-art_pl

• UODO wskazuje, że numer karty miejskiej może stanowić dane osobowe
• numer karty miejskiej będzie stanowił dane osobowe wyłącznie dla osób, które na jego podstawie mogą ustalić tożsamość właściciela karty – takimi osobami będą np. pracownicy przewoźnika
• dla zwykłego obywatela, który ma dostęp do karty miejskiej jedynie z samym jej numerem, ustalenie tożsamości jej właściciela wymaga jednak pewnego czasu i działań, stąd też nie będzie stanowił danych osobowych

Źródło: https://twitter.com/UODOgov_pl/status/1268862311512580096/photo/1

• zgodnie z art. 11 ustawy o działalności leczniczej badania diagnostyczne zostały zaliczone do szczególnego rodzaju działalności leczniczej, jakim jest ambulatoryjne świadczenie zdrowotne
• bliższa charakterystyka tej działalności zawarta jest w ustawie o diagnostyce laboratoryjnej
• w celu wykonywania badań diagnostycznych podmioty świadczące takie usługi przetwarzają dane osobowe osób, od których pochodzi materiał do tych badań – dane te pozyskiwane są bezpośrednio od osób, których dotyczą lub też z innych źródeł, np. od szpitali, które zlecają tym podmiotom wykonywanie badań próbek pobranych od swoich pacjentów
• przetwarzając powyższe dane osobowe, laboratorium diagnostyczne realizuje swoje własne zadania
• powyższe pozwala zasadnie przyjąć, że w przypadku gdy np. szpital zleca przeprowadzenie badań podmiotowi świadczącemu usługi z zakresu diagnostyki laboratoryjnej, podmiot ten przetwarza pozyskane w tym celu dane osobowe dla realizacji własnych zadań
• w takiej sytuacji mamy zatem do czynienia z udostępnieniem danych osobowych na rzecz odrębnego administratora
• tym samym nie ma podstaw do zawarcia umowy powierzenia przetwarzania danych osobowych

Źródło: https://uodo.gov.pl/pl/225/1552

• ze względu na obowiązujący stan zagrożenia epidemiologicznego związany z pandemią COVID-19, wielu przedsiębiorców wprowadziło lub zamierza wprowadzić środki bezpieczeństwa w postaci mierzenia temperatury pracowników oraz ewentualnie innych osób pojawiających się w zakładzie pracy (klientów, dostawców, gości)
• analizując aktualnie obowiązujący stan prawny obserwujemy istotny problem praktyczny w tym zakresie
• wprowadzone dotychczas regulacje prawne oraz wydane wytyczne i stanowiska nie zawierają jednolitych, niebudzących wątpliwości zasad postępowania w omawianym zakresie
• wspólnie z innymi firmami zrzeszonymi w Związku Firm Ochrony Danych Osobowych wypracowaliśmy stanowisko dotyczące możliwości mierzenia temperatury w celu zapobiegania rozprzestrzeniania się COVID-19
• całe stanowisko dostępne jest pod linkiem: https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-mierzenia-temperatury-w-celu-zapobiegania-rozprzestrzenianiu-sie-covid-19/

• UODO wskazuje, że ponieważ pozyskiwanie danych członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego odbywa się na podstawie przepisów prawa, które zapewniają odpowiednią ochronę ich praw, pracodawca może skorzystać ze zwolnienia z dopełniania wobec nich obowiązku informacyjnego
• przepisy ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych przesądzają, które osoby podlegają obowiązkowi ubezpieczenia zdrowotnego oraz stanowią też w jakich terminach obowiązek ten powstaje i jak należy go dopełnić
• przetwarzanie danych członka rodziny w zgłoszeniu do ubezpieczenia jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli pracodawcy-płatniku (art. 6 ust. 1 lit. c RODO)
• pozyskiwanie danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą – spełniona jest zatem wskazana w art. 14 ust. 5 lit. c RODO przesłanka uprawniająca do odstąpienia od obowiązku dopełniania obowiązku informacyjnego wobec osób, których dane są pozyskiwane w sposób inny niż bezpośrednio od nich

Źródło: https://uodo.gov.pl/pl/138/1543

• procedury związane z wykorzystaniem monitoringu wizyjnego przez osoby sprawujące pieczę zastępczą tj. opiekę nad dziećmi w przypadku niemożności zapewnienia jej przez rodziców, nie są jednolite i budzą wiele wątpliwości – Prezes UODO skierował wystąpienie do Ministra Rodziny, Pracy i Polityki Społecznej w sprawie uregulowania tej kwestii
• przetwarzanie danych osobowych z wykorzystywaniem monitoringu wizyjnego, zdaniem UODO, powinno odbywać się z poszanowaniem zasad wynikających z RODO
• osoby sprawujące pieczę zastępczą nie są wyłączone ze stosowania RODO – w ich wypadku nie można zastosować wyłączenia, które dotyczy sytuacji gdy dane osobowe przetwarza osoba fizyczna w ramach czynności o osobistym lub domowym charakterze
• są one administratorami i, wykorzystując monitoring wizyjny, powinni dysponować przesłanką do przetwarzania danych osobowych
• wykorzystywanie monitoringu wizyjnego wewnątrz budynku, w którym sprawowana jest piecza np. w mieszkaniu rodziny sprawującej pieczę, może stanowić bezprawną ingerencję w życie dziecka
• organ nadzorczy dostrzega potrzebę stworzenia przepisów prawa, które określiłyby jednolite zasady wykorzystywania monitoringu wizyjnego w pieczy zastępczej, w tym m.in.: obszary w placówkach, które mogłyby zostać objęte monitoringiem, cel wykorzystywania monitoringu, okres przechowywania zgromadzonego z nagrań materiału

Źródło: https://uodo.gov.pl/pl/138/1544

• do UODO wpływają pytania dotyczące możliwości udostępniania rodzicom dzieci uczęszczających do żłobków i klubów dziecięcych danych osobowych zawartych na nagraniach z monitoringu wizyjnego działającego w tych placówkach
• ponieważ udostępnianie danych jest jedną z form ich przetwarzania, żeby było legalne również musi odbywać się po spełnieniu przynajmniej jednej przesłanki wymienionej we wskazanych art. 6 i 9 RODO
• istotne jest, by rodzice, chcąc uzyskać dostęp do danych zawartych w nagraniach z monitoringu, indywidualny wniosek składany do dyrektora placówki odpowiednio sformułowali i umotywowali, tj. przede wszystkim wskazali zakres danych, które chcą pozyskać, oraz cel ich pozyskania.
• dyrektor będzie mógł ocenić, czy ma podstawę uprawniającą go do udostępnienia danych zawartych w nagraniu

Źródło: https://uodo.gov.pl/pl/138/1547

• zabawki łączące się z Internetem stają się coraz bardziej popularne wśród dzieci w różnym wieku – UODO podpowiada rodzicom na co zwrócić uwagę przed zakupem zabawki i jak prawidłowo ją zabezpieczyć, aby nie zagrażała prywatności dziecka:

1. upewnij się, że zabawka nie pozwala nikomu się z nią połączyć
2. sprawdź, jakie dane pobiera producent zabawki
3. zmień ustawienia domyślne dostępu do zabawki i podaj
4. dokładnie przeczytaj regulamin dotyczący ochrony danych osobowych i warunki użytkowania
5. sprawdź, w jaki sposób można wyłączyć mikrofon czy kamerę
6. zweryfikuj, czy zabawka posiada zabezpieczenia uniemożliwiające osobom trzecim dostęp do mikrofonu lub kamery
7. poinformuj dziecko o wszystkich funkcjonalnościach zabawki
8. zwróć szczególną uwagę, gdzie dziecko bawi się zabawką
9. wyłączaj zabawkę, gdy nie jest używana
10. upewnij się, że zapisane dane mogą zostać usunięte

Źródło: https://uodo.gov.pl/pl/138/1548

• pandemia koronawirusa zainspirowała wiele pomysłów w obszarze nowych technologii, w tym mających na celu jak najdalej idącą ochronę osób fizycznych przed ryzykiem zakażenia COVID-19
• przedsiębiorcy rozważają m.in. coraz szersze wykorzystywanie kamer termowizyjnych, czyli specjalistycznych urządzeń umożliwiających pomiar temperatury ciała w miejscach odwiedzanych przez znaczną liczbę osób, w których istnieje wysokie ryzyko zakażenia, w tym w galeriach handlowych, w punktach komunikacyjnych (np. na dworcach) lub w szpitalach
• pojawiają się jednak wątpliwości co do zgodności podobnych praktyk z RODO
• Kamery termowizyjne w większości są wyposażone w funkcję zapisywania obrazu – oznacza to, że istnieje możliwość zapisywania w tych urządzeniach danych obejmujących wizerunek osoby fizycznej wraz z jej temperaturą ciała
• w takich przypadkach dojdzie do przetwarzania danych osób fizycznych, w tym danych o ich stanie zdrowia
• zanim przedsiębiorca zainstaluje urządzenia do pomiaru temperatury, np. w sklepach, musi wystąpić o wydanie decyzji lub zaleceń potwierdzających dopuszczalność ich użycia w konkretnym miejscu przez GIS

Źródło: https://biznes.gazetaprawna.pl/artykuly/1479209,kamery-termowizyjne-rodo-dane-osobowe-temperatura-przedsiebiorca.html

• Przez dwa lata obowiązywania RODO za naruszenie jego przepisów w EOG łącznie nałożono już 463 kary
• łączna suma kar wynosi €157.655.923,28 (ok. 674.672.758,09 zł)
• autorem wizualizacji jest Adam Klimowski

Źródło: https://twitter.com/adamklimowski/status/1264920446169989122/photo/1