RODO aktualności – 05.04.2022 r.

Czy Inspektorzy Ochrony Danych wywiązują się ze swoich obowiązków? Czy udostępnienie numerów ksiąg wieczystych narusza przepisy o ochronie danych osobowych? Jak brzmi opinia EROD i EIOD w sprawie wniosków dot. przedłużenia cyfrowego zaświadczenia o szczepieniu na C-19? Czego dowiemy się z marcowego newslettera UODO? Czego dowiesz się z najnowszych wytycznych EROD ws. „dark patterns”? Czy kontrolowanie sądów pod kątem zgodności z RODO leży w kompetencji UODO? Czego dotyczył incydent RODO w krakowskiej prokuraturze? Jak doszło do dużego naruszenia ochrony danych w Hiszpanii? Jaka kara dla holenderskiej firmy za żądanie kopii dokumentów tożsamości? Jakie naruszenie miało miejsce w Grecji?

MULTIMEDIA

#RODOA [28.03.2022]
#RODOA [04.04.2022]
Pobierz PDFPobierz PDF

Obejrzyj na YouTube

Odsłuchaj w formie podcastu

UODO sprawdza, jak pracują inspektorzy ochrony danych

  • w tym miesiącu Urząd Ochrony Danych Osobowych rozpoczął akcję wzywania wybranych administratorów do złożenia wyjaśnień i przedstawienia dowodów dotyczących stosowania przepisów o inspektorze ochrony danych
  • wezwania poświęcone są wyłącznie IOD, mają kompleksowy i szczegółowy charakter (to aż 27 pytań do administratora odnoszących się do wszystkich aspektów funkcjonowania IOD) i nie są związane z określoną branżą
  • UODO wymaga nie tylko wyjaśnienia określonych kwestii, ale także pyta o wykazanie dokumentacją stosowania przepisów o IOD, chce m.in. wiedzieć, jakie niezbędne zasoby administrator zapewnia IOD, w jaki sposób zagwarantowana jest niezależność wykonywania zadań przez IOD i jakie są przyjęte wewnętrzne regulacje w zakresie np. potencjalnego konfliktu interesu w związku z wykonywanie innych zadań niż IOD (wymiar czasu oraz podległość służbowa w zakresie tych innych zadań oraz wdrożenie polityki zarządzania konfliktem interesów)
  • informacje potwierdził Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych – jak poinformował Prawo.pl, urząd wielokrotnie zwracał uwagę, że wykonywanie obowiązków przez IOD jest bardzo istotne z punktu widzenia zapewnienia prawidłowego poziomu ochrony danych
  • UODO nie prowadzi kontroli inspektorów ochrony danych w rozumieniu przepisów prawa administracyjnego, ale zwrócił się z urzędu do 20 wybranych administratorów zarówno z sektora publicznego, jak i prywatnego, z pytaniami dotyczącymi inspektorów ochrony danych w tych podmiotach

Źródło: https://www.prawo.pl/kadry/iod-uodo-zaczyna-sprawdzac-jak-funkcjonuja,514232.html

Numer księgi wieczystej pozwala pozyskać dane osobowe – potwierdza RPO

  • RPO podczas spotkania z GGK przedstawił swoją ocenę, zgodnie z którą „powszechny dostęp do tak szczegółowych danych osób, którym te prawa przysługują, godził w autonomię informacyjną jednostki, istotnie ją ograniczając”
  • Ocena RPO potwierdza argumentację Prezesa UODO, który w decyzji administracyjnej z 24 sierpnia 2020 roku nakazał GGK zaprzestanie udostępniania na portalu GEOPORTAL2 danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków
  • UODO nałożył również karę pieniężną w wysokości 100 tys. zł za to, iż w związku z ujawnianiem numerów ksiąg wieczystych naruszono zasady zgodności z prawem przetwarzania danych osobowych. Udostępnianie tych danych było umyślne i bez podstawy prawnej
  • UODO od samego początku w sprawie z GGK zwracał uwagę na to, iż numery ksiąg wieczystych przetwarzane w serwisie www.geoportal.gov.pl stanowią dane osobowe
  • poprzez ujawnianie numeru księgi wieczystej każdy zainteresowany może w łatwy sposób zdobyć takie dane jak np. imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości – to zaś może prowadzić do szeregu niebezpieczeństw związanych z wykorzystywaniem tych danych, jak choćby tzw. kradzież tożsamości, czyli podszywanie się pod daną osobę w celach przestępczych
  • fakt, iż publikacja numeru księgi wieczystej pozwala w łatwy sposób pośrednio zidentyfikować właścicieli nieruchomości i dlatego jest on daną osobową, potwierdził także WSA w Warszawie, który 5 maja 2021 r. oddalił skargę GGK na decyzję Prezesa UODO

Źródło: https://uodo.gov.pl/pl/138/2328

Wspólna opinia EROD i EIOD o wnioskach dot. przedłużenia unijnego cyfrowego zaświadczenia COVID-19

  • podczas 62. posiedzenia plenarnego EROD przyjęta została wspólna opinia EROD i EIOD w sprawie wniosków Komisji Europejskiej dotyczących przedłużenia okresu obowiązywania obecnych regulacji dotyczących unijnego cyfrowego zaświadczenia COVID -19
  • w opinii przyjęto przedłużenie okresu obowiązywania o kolejnych 12 miesięcy oraz zmiany niektórych przepisów, takich jak rozszerzenie rodzajów testów na COVID – 19 akceptowanych w kontekście podróży na terenie UE – ponadto w dokumencie wyjaśniono, że zaświadczenia o szczepieniu powinny zawierać liczbę dawek podanych posiadaczowi zaświadczenia, niezależnie od państwa członkowskiego, w którym je podano
  • EROD i EIOD zwracają uwagę na to, że wniosek nie zmienia w sposób istotny istniejących przepisów rozporządzeń w odniesieniu do przetwarzania danych osobowych
  • autorzy dokumentu odnieśli się także do poprzedniej opinii, która została przyjęta podczas 47. posiedzenia plenarnego EROD – EROD i EIOD przypominają, że przestrzeganie zasad ochrony danych nie stanowi przeszkody w walce z pandemią COVID-19
  • biorąc pod uwagę nieprzewidywalność ewentualnego przedłużenia się pandemii, EROD i EIOD wyrażają zrozumienie dla potrzeby przedłużenia okresu stosowania rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID
  • należy regularnie oceniać odpowiednie dowody naukowe i stosowane środki dodatkowe, aby zapewnić przestrzeganie ogólnych zasad skuteczności, niezbędności i proporcjonalności

Źródło: https://uodo.gov.pl/pl/138/2326

Marcowy newsletter UODO

W marcowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

NIE WOLNO UPUBLICZNIAĆ DANYCH OSÓB SKŁADAJĄCYCH SKARGI

  • nie ma uzasadnienia, by podczas sesji rady gminy upubliczniać dane osobowe osób, które złożyły skargę na burmistrza. Takie stanowisko UODO – wyrażone w decyzji udzielającej upomnienia radzie miejskiej i burmistrzowi – potwierdził ostatnio Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II SA/1/Va 1855/21)

ZAWIADOMIENIE O WYZNACZENIU IOD LUB JEGO ZASTĘPCY TRZEBA PRZESŁAĆ NA WŁAŚCIWYM FORMULARZU

  • jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych lub jego zastępcy jest zawiadomienie w postaci elektronicznej. Jednocześnie musi ono zostać przesłane na właściwym formularzu

KARY

  • Finlandia: kara pieniężna za zbieranie niepotrzebnych informacji o pacjentach
  • Finlandia: obowiązkiem administratora jest właściwa ochrona danych i ich bezpieczne przetwarzanie
  • Hiszpania: kara pieniężna za brak konkretnej i świadomej zgody na profilowanie
  • Belgia: 250 tys. euro dla IAB Europe

Źródło: Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Nowe odpowiedzi na pytania IOD (1)

Na swojej stronie internetowej UODO odpowiada na nowe pytania IOD:

CZY CZŁONKOM WSPÓLNOTY MIESZKANIOWEJ MOŻNA UDOSTĘPNIĆ DANE INNYCH JEJ CZŁONKÓW?

  • przekazanie członkowi wspólnoty mieszkaniowej treści uchwały wspólnoty mieszkaniowej wraz z podpisami jej członków nie może być zatem traktowane jako naruszenie przepisów o ochronie danych osobowych
  • jednocześnie należy pamiętać, że udostępnianie danych osobowych członków wspólnoty w zakresie szerszym niż konieczny do sprawowania zarządu nieruchomością wspólną może stanowić naruszenie przepisów o ochronie danych osobowych

Źródło: https://uodo.gov.pl/pl/225/2323

CZY OPS MOŻE WERYFIKOWAĆ ŹRÓDŁA OGRZEWANIA Z CEEB PRZY ROZPATRZENIU WNIOSKU O DODATEK OSŁONOWY?

  • z przepisów prawa nie wynika uprawnienie dla podmiotu rozpatrującego wnioski o dodatek osłonowy (niezależnie od tego czy będzie to wójt, czy ośrodek pomocy społecznej) do weryfikowania faktu zgłoszenia źródła ogrzewania do CEEB
  • jednocześnie należy nadmienić, że w sytuacji, gdy podmioty stosujące w praktyce określone przepisy prawa dostrzegają, że przewidziane przez ustawodawcę unormowania są np. niewystarczające lub nieprecyzyjne, warto, aby sygnalizowały to właściwemu resortowi – takie działania mogą przyczynić się do szybszego wprowadzenia niezbędnych zmian

Źródło: https://uodo.gov.pl/pl/225/2321

Nowe odpowiedzi na pytania IOD (2)

CO ZROBIĆ W PRZYPADKU PROBLEMÓW TECHNICZNYCH ZWIĄZANYCH ZE ZŁOŻENIEM ZAWIADOMIENIA DOTYCZĄCEGO IOD?

  • w przypadku problemów technicznych związanych ze złożeniem zawiadomienia dotyczącego IOD lub jego zastępcy (np. złożeniem podpisu) bądź z uzyskaniem UPP należy kontaktować się odpowiednio z pomocą techniczną:
    • platformy biznes.gov.pl (https://www.biznes.gov.pl/pl/centrum-pomocy)
    • centrum pomocy użytkowników ePUAP (https://epuap.gov.pl/wps/wcm/connect/epuap2/PL/Strefa+Klienta_Pomoc/Kontakt/)
  • pod tymi linkami znajdą Państwo w szczególności numery telefonów do infolinii oraz informacje na temat innych form komunikacji z pomocą techniczną

Źródło: https://uodo.gov.pl/pl/224/2324

Rozpoczęto konsultacje wytycznych EROD ws. „dark patterns”

  • Europejska Rady Ochrony Danych do 2 maja 2022 r. przyjmuje uwagi do Wytycznych 03/2022 w sprawie tzw. „dark patterns” w interfejsach platform społecznościowych: Jak je rozpoznawać i jak ich unikać.
  • wytyczne, które przyjęto 14 marca 2022 r. (w wersji do konsultacji publicznych) podczas 62. posiedzenia plenarnego, zawierają praktyczne zalecenia dla projektantów i użytkowników platform mediów społecznościowych dotyczące sposobu oceny i unikania „dark patterns” w interfejsach mediów społecznościowych, które naruszają wymogi RODO
  • „dark patterns” to interfejsy i doświadczenia użytkowników wdrażane na platformach mediów społecznościowych, które powodują, że użytkownicy podejmują niezamierzone, niechętne i potencjalnie szkodliwe decyzje dotyczące przetwarzania ich danych osobowych – wpływa to na zachowanie użytkowników i zdolność do skutecznej ochrony ich danych osobowych
  • wytyczne zawierają konkretne przykłady rodzajów „dark patterns”, prezentują najlepsze praktyki w różnych przypadkach użycia i zawierają szczegółowe zalecenia dla projektantów interfejsów użytkownika, które ułatwiają skuteczne wdrożenie RODO
  • uwagi należy przesyłać najpóźniej do 2 maja 2022 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://uodo.gov.pl/pl/138/2335

Niezawisłość sądów nie pozwala na kontrolę UODO

  • organ ochrony danych nie może rozpoznać skargi na sąd, który udostępnił dziennikarzowi akta toczącej się sprawy
  • zgodnie z RODO tego typu sprawy są wyłączone spod jego kompetencji, gdyż dotyczą przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości – wynika z najnowszego wyroku Trybunału Sprawiedliwości Unii Europejskiej
  • RODO przewiduje autonomię sądów w zakresie przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości – tyle że nie zawsze jest oczywiste, które czynności podpadają pod ten przepis
  • problem ten pojawił się przy okazji skargi złożonej przez dwóch obywateli Niderlandów do tamtejszego organu ochrony danych – dotyczyła ona udostępnienia dziennikarzowi przez sąd administracyjny akt, w których były dane wspomnianych Holendrów
  • organ uznał, że nie jest uprawniony do rozpoznania tej skargi, z kolei sąd administracyjny w odpowiedzi na nią określił nową politykę dostępu do akt spraw sądowych – to jednak nie usatysfakcjonowało skarżących, którzy odwołali się od decyzji organu
  • sąd rozpoznający tę skargę nabrał zaś wątpliwości i skierował wniosek prejudycjalny do TSUE
  • TSUE doszedł do wniosku, że sprawowanie wymiaru sprawiedliwości nie jest ograniczone wyłącznie do przetwarzania danych w ramach konkretnych postępowań, ale szerzej – obejmuje wszystkie operacje dokonywane w ramach działalności orzeczniczej
  • dotyczy to również polityki informowania o toczących się przed sądami spraw, a więc także udostępniania akt dziennikarzowi

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8388116,rodo-tsue-udostepnienie-dziennikarzowi-akt-sprawy.html

Krakowska prokuratura ujawniła adresy swoich śledczych

  • z krakowskiej prokuratury wyciekły dane osobowe przynajmniej pięciu śledczych – o pojawieniu się w internecie oświadczeń majątkowych, bez zamazanych danych osobowych, zaalarmowali media sami prokuratorzy z Krakowa
  • Incydent dotyczył nie do końca zanonimizowanych danych adresowych: miejsca zamieszkania lub adresów dodatkowych nieruchomości. W pozostałym zakresie oświadczenia majątkowe były zanonimizowane i upublicznione zgodnie z prawem” – przekazał rzecznik prasowy, prokurator Janusz Hnatko
  • kierownictwo krakowskiej prokuratury o „incydencie” poinformowało 17 marca Urząd Ochrony Danych Osobowych
  • Zdyscyplinowano pracowników odpowiedzialnych za proces oświadczeń majątkowych. Wdrożono dodatkowy mechanizm kontrolny poprzez wprowadzenie weryfikacji zanonimizowanych oświadczeń majątkowych przez inspektora ochrony danych” – dodał prokurator Hnatko
  • obowiązek wypełniania jawnych oświadczeń majątkowych wprowadziła nowelizacja ustawy o prokuraturze z 2016 roku – wykładnia przepisów, którą przyjął ówczesny prokurator krajowy, spowodowała, że oświadczenia trafiają do internetu, bez niej byłyby udostępniane, ale dopiero po skierowaniu wniosku o dostęp do informacji publicznej w przypadku każdego oświadczenia majątkowego

Źródło: https://tvn24.pl/najnowsze/krakowska-prokuratura-ujawnila-adresy-swoich-sledczych-5653656

Hiszpania: kary za utratę poufności związaną z duplikatem karty SIM

  • Hiszpański organ ochrony danych nałożył kary na 5 podmiotów za utratę poufności związaną z duplikatem karty SIM telefonu komórkowego i brakiem odpowiedzialności
  • w wyniku wydawania duplikatów kart SIM podmiotom trzecim innym niż abonenci zgłaszane są różne roszczenia – posiadacze linii telefonicznej nie tylko pozostają bez obsługi, ale dostęp do ich kont bankowych mają osoby trzecie
  • organ zakłada stosowanie oszukańczych praktyk polegających na generowaniu duplikatów kart SIM bez zgody ich prawowitych posiadaczy w celu uzyskania dostępu do poufnych informacji w celach przestępczych (tzw. „SIM Swapping”)
  • dane przetwarzane w celu wydania duplikatu karty SIM oraz karty SIM, które jednoznacznie identyfikują abonenta w sieci, są danymi osobowymi, a ich przetwarzanie musi podlegać przepisom o ochronie danych
  • ukarane podmioty:
  1. XFERA MÓVILES – 200 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-xfera-moviles-loss-confidentiality-related-mobile_en)
  2. VODAFONE ESPAÑA – 3 940 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-vodafone-espana-loss-confidentiality-related-mobile_en)
  3. ORANGE ESPAÑA VIRTUAL – 70 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-orange-espana-virtual-loss-confidentiality-related_en)
  4. TELEFÓNICA MÓVILES ESPAÑA 900 000 EUR (https://edpb.europa.eu/news/news/2022/spanish-sa-imposes-fine-telefonica-moviles-espana-loss-confidentiality-related_en)
  5. ORANGE ESPAGNE 700 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-orange-espagne-loss-confidentiality-related-mobile_en)

Holandia: kara za niepotrzebne żądanie kopii dokumentów tożsamości

  • holenderski organ nadzorczy otrzymał różne skargi dotyczące sposobu, w jaki spółka Sanoma Media Netherlands BV ((przed przejęciem spółki Sanoma przez DPG Media w kwietniu 2020 r.) obsługiwała prośby osób o wgląd do ich danych lub ich usunięcie – skargi te składały osoby, które na przykład miały prenumeratę czasopisma lub otrzymywały reklamy z Sanomy
  • każdy, kto chciał się dowiedzieć, jakie dane osobowe przechowują firmy Sanoma i DPG Media lub chciał, aby ich dane zostały usunięte, musiał najpierw przesłać kopię swojego dokumentu tożsamości
  • dokumenty tożsamości zawierają wiele danych osobowych, nawet jeśli części zostaną zredagowane, często nieproporcjonalne będzie wymaganie kopii dokumentu tożsamości w celu potwierdzenia, że dana osoba naprawdę jest tym, za kogo się podaje.
  • w ten sposób firma nadmiernie utrudniła klientom dostęp do ich danych lub ich usunięcie
  • holenderski organ nadzorczy nałożył na DPG Media grzywnę w wysokości 525 000 euro

Źródło: https://edpb.europa.eu/news/national-news/2022/dutch-sa-fines-dpg-media-magazines-unnecessarily-requesting-copies-identity_en

Grecja: grzywna za brak realizacji prawa do sprzeciwu

  • nauczyciel (pracownik) skarżył się, że administrator – właściciel prywatnej szkoły języków obcych stale monitoruje jego kursy online, prowadzone przez platformę „Zoom”, pomimo jego sprzeciwu
  • grecki organ nadzorczy stwierdził, że prawo skarżącego do sprzeciwu nie zostało spełnione przez administratora, a przedmiotowe przetwarzanie zostało przeprowadzone z naruszeniem przepisów art. 5 ust. 1 lit. f) lit. a), 5 (2) i 13 RODO, a w każdym razie bez wyraźnego określenia podstawy prawnej, na której się opiera, zgodnie z art. 6 RODO
  • grecki organ nadzorczy nałożył grzywnę w wysokości 2 000 euro na administratora-pracodawcę za brak realizacji prawa do sprzeciwu skarżącego oraz naruszenie art. 5 ust. 1 lit. a), art. 5 ust. 2 i 13 RODO zgodnie z art. 58 ust. 2 lit. i) oraz 83 ust. 5 lit. a i b RODO

Źródło: https://edpb.europa.eu/news/national-news/2022/greek-sa-fine-imposed-employer-failure-satisfy-right-object-and-unlawful_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.
RODO aktualności
RODO aktualności – 22.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO