RODO aktualności – 06.12.2022 r.

Za co Play otrzymał karę RODO? Czy IPN jest objęty przepisami o ochronie danych osobowych? Jak UODO reaguje na naruszenia związane z nagraniami patostreamerów? Jakie są najnowsze zalecenia EROD w sprawie wiążących reguł korporacyjnych? Czy wgląd do rejestru beneficjentów rzeczywistych powinien być ograniczony? Czy nagranie z monitoringu może być podstawą do nałożenia na pracownika nagany? W jaki sposób właściciel Facebooka naruszył przepisy o ochronie danych? Jakiego ważnego obowiązku informacyjnego nie dopełniono w EDF? Czego dotyczyło kolejne naruszenie w Virgin Mobile? Jakie nowe decyzje przyjęła EROD? W jakich sytuacjach można domagać się usunięcia danych zapisanych w wyszukiwarkach internetowych?

MULTIMEDIA

#RODOA [28.11.2022]
#RODOA [05.12.2022]
#RODOA [12.12.2022]
Pobierz PDFPobierz PDFPobierz PDF

Obejrzyj materiał na YouTube…

… lub odsłuchaj w formie podcastu

Kolejna kara dla operatora telekomunikacyjnego

  • UODO, stwierdzając naruszenie przepisów Prawa telekomunikacyjnego, polegające na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia danych osobowych oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych abonenta, którego dotyczyło naruszenie, nałożył na P4 Sp. z o.o. karę pieniężną w wysokości 250 tys. złotych
  • do UODO wpłynęła informacja przekazana pocztą elektroniczną przez osobę trzecią, wskazująca, że jest ona nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy telekomunikacyjnej – UODO zwrócił się do spółki o udzielenie informacji na temat naruszenia
  • spółka udzieliła odpowiedzi, z której wynikało, że oprócz danych niezbędnych do zawarcia umowy, klient wskazał do kontaktu również numer telefonu oraz adres e-mail – podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta, klient wrócił do niego następnie z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosił o jego usunięcie
  • spółka przyznała, że można nie realizować wysyłki dokumentów za pośrednictwem poczty elektronicznej, oznaczając specjalne pole w systemie sprzedażowym, czego jednak pracownik administratora nie dokonał – nie odznaczył tego pola i dlatego e-mail z kopiami dokumentów został wysłany
  • w ocenie spółki nie było podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego nie zgłosiła ona ww. naruszenia do UODO oraz nie powiadomiła o nim klienta (abonenta)

Źródło: https://uodo.gov.pl/pl/138/2488

Ochrona danych nie dotyczy IPN, chociaż sądy to kwestionują

  • ustawa o IPN wyłącza stosowanie w jego działalności przepisów o ochronie danych osobowych – wątpliwości zgłasza RPO i wskazuje, że z orzecznictwa sądów wynika jednak, że można kwestionować poprawność i zgodność z prawem przetwarzania danych przez IPN
  • RPO kilkukrotnie prosił – najpierw GIODO, później Prezesa UODO – o informacje na temat działań dotyczących zakresu stosowania art. 71 ustawy o IPN, który wyłącza stosowanie w działalności Instytutu Pamięci przepisów ustawy o ochronie danych osobowych, z wyjątkiem prowadzenia Bazy Materiału Genetycznego
  • Prezes UODO odpowiedział RPO, że z dotychczasowych stanowisk organu nadzorczego zajmowanych wskutek rozpatrywania skarg dotyczących przetwarzania danych osobowych przez IPN wynika, że UODO nie posiada uprawnień do rozpatrywania skarg dotyczących przetwarzania przez IPN danych osobowych innych niż zgromadzone w Bazie Materiału Genetycznego
  • w przypadku spełniających wymogi formalne skarg dotyczących przetwarzania danych osobowych w ramach działalności IPN określonej w art. 1 ustawy o IPN, poza Bazą Materiału Genetycznego, organ nadzorczy odmawia wszczęcia postępowania
  • natomiast w przypadku spełniających wymogi formalne skarg, których treść nie wskazuje, że dotyczą one działalności IPN określonej w art. 1 ustawy o IPN, prowadzone jest postępowanie administracyjne
  • organ poinformował też, iż w sprawach, w których WSA w Warszawie nieprawomocnymi wyrokami uchylił postanowienia o odmowie wszczęcia postępowania organ nadzorczy wniósł skargi kasacyjne do NSA

Żródło: https://www.prawo.pl/prawo/ochrona-danych-osobowych-nie-dotyczy-ipn,518402.html

Ofiara patostreamera musi sama się poskarżyć - UODO sam nie rozpocznie postępowania

  • Prezes UODO odmówił wszczęcia postępowania administracyjnego z wniosku RPO w sprawie naruszenia przepisów o ochronie danych osobowych – chodziło o upublicznienie wizerunku pewnego mężczyzny w tzw. patostreamach
  • interwencję w sprawie transmitowania w internecie nagrań z udziałem pana K., w którego mieszkaniu i na posesji zainstalowano kamery filmujące jego życie, RPO podjął z urzędu po doniesieniach medialnych – zdaniem prof. Marcina Wiącka udostępniane materiały często mają charakter wulgarny, przemocowy i uwłaczający godności K
  • wyjaśniając rzecznikowi swoją odmowę, UODO przypomniał, że zgodnie z RODO postępowanie może być wszczęte wyłącznie na żądanie osoby, której dane dotyczą
  • tymczasem RPO, występując do prezesa UODO, nie wskazał adresu zamieszkania pana K. – prowadzenie postępowania bez zapewnienia stronie możliwości udziału w nim skutkowałoby wydaniem wadliwej decyzji

Źródło: https://www.prawo.pl/samorzad/rzadowe-aplikacje-na-prywatnych-telefonach-ustawa,518355.html

Prace EROD nad zaleceniami dotyczącymi wiążących reguł korporacyjnych

  • Europejska Rada Ochrony Danych przyjęła „Zalecenia w sprawie wniosku o zatwierdzenie i dotyczące elementów i zasad zawartych w wiążących regułach korporacyjnych dla administratorów” (ang. Controller Binding Corporate Rules, BCR-C)
  • zalecenia, które przyjęto podczas 71. posiedzenia plenarnego 14 listopada 2022 r., stanowią aktualizację listy kontrolnej wymogów BCR-C, która zawiera kryteria zatwierdzania wiążących reguł korporacyjnych (BCR), i łączą ją ze standardowym formularzem wniosku o zatwierdzenie BCR
  • zalecenia zawierają dodatkowe wskazówki dla administratorów i mają na celu zapewnienie równych zasad działania dla wszystkich podmiotów wnioskujących o zatwierdzenie BCR, dostosowują również istniejące wskazówki do wymogów zawartych w wyroku TSUE w sprawie Schrems II
  • celem zaleceń jest między innymi dostarczenie zaktualizowanego standardowego formularza wniosku o zatwierdzenie wiążących reguł korporacyjnych oraz doprecyzowanie niezbędnej treści wiążących reguł korporacyjnych i przedstawienie dalszych objaśnień

Źródło: https://uodo.gov.pl/pl/138/2498

Nie każdy łatwo sprawdzi dane udziałowców w firmie

  • Polska, jak i inne państwa UE, będzie musiała ograniczyć dostęp do Centralnego Rejestru Beneficjentów Rzeczywistych – jego pełna jawność zbyt ingeruje w prywatność uznał TSUE
  • już w 2015 r. przyjęto dyrektywę 2015/849 nakazującą państwom członkowskim tworzenie rejestrów beneficjentów rzeczywistych, czyli osób sprawujących kontrolę nad spółkami, w 2018 r. zmieniono ją dyrektywą 2018/843, która nakazała zapewnić pełną jawność informacji zawartych w tych bazach danych
  • TSUE w najnowszym orzeczeniu stwierdził nieważność przepisu, który przewiduje, że informacje o beneficjentach rzeczywistych są bez ograniczeń udostępniane każdej osobie – wniosek prejudycjalny został skierowany przez luksemburski sąd, który rozpoznaje skargę udziałowca i osoby zarządzającej kilkoma spółkami działającymi w sektorze nieruchomości – domagał się on ograniczenia dostępności informacji zawartych w rejestrze beneficjentów rzeczywistych
  • TSUE stwierdził nieważność art. 30 ust. 5 lit. c zmienionej dyrektywy 2015/849, czyli przepisu nakazującego udostępniać informacje o beneficjentach rzeczywistych każdej osobie – całkowicie zakwestionował regulacje przewidujące dostęp do informacji o beneficjentach rzeczywistych – przyznał wręcz wprost, że mogą one przyczynić się do realizacji celu, jakim jest walka z terroryzmem oraz praniem brudnych pieniędzy, tyle że dobierając środki do tych celów, należy kierować się zasadą proporcjonalności
  • po stwierdzeniu nieważności art. 30 ust. 5 lit. c dyrektywy 2015/849 na poziomie prawodawstwa unijnego powstała luka prawna w zakresie udostępniania danych beneficjentów rzeczywistych podmiotom innym niż właściwe organy państwa czy same podmioty zobowiązane

Źródło: https://edgp.gazetaprawna.pl/e-wydanie/58716,28-listopada-2022/75337,Gazeta-Prawna/792442,Nie-kazdy-latwo-sprawdzi-dane-udzialowcow-w-firmie.html

Monitoring może być podstawą nałożenia nagany na pracownika

  • utrwalone przez kamery zagadywanie współpracowników, pozwala na ukaranie związkowca i nie łamie to przepisów o RODO, tak uważa Urząd Ochrony Danych Osobowych – to bardzo ważna informacja dla pracodawców
  • przetwarzanie danych osobowych pracownika zebranych za pośrednictwem monitoringu wizyjnego na terenie zakładu pracy, które skończyło się ukaraniem go naganą, stanowi uzasadniony interes administratora w rozumieniu art. 6 ust. 1 lit. f RODO
  • sprawa dotyczyła związkowca, który został ukarany naganą za naruszenie porządku pracy – polegało to na tym, że w godzinach pracy pojawił się na hali produkcyjnej i odbył kilka rozmów z zatrudnionymi tam osobami, część z nich miała miejsce w świetle ciągów komunikacyjnych, po których poruszały się wózki widłowe – zdaniem spółki takie zachowanie zagrażało bezpieczeństwu pracowników, w tym także ukaranego
  • związkowiec nie zgodził się z karą – odwołał się od niej do sądu pracy, powiadomił UODO i wystąpił o nakazanie zaprzestania stosowania monitoringu prowadzonego niezgodnie z przepisami oraz usunięcia jego danych osobowych przetwarzanych bez podstawy prawnej
  • UODO stwierdził, że przetwarzanie danych z monitoringu było w tym przypadku zgodne zarówno z art. 6 ust 1 lit. f RODO, jak i art. 22(2) kodeksu pracy – urząd potwierdził, że monitoring został prawidłowo wprowadzony na terenie tego zakładu pracy, choć funkcjonuje tam od 1999 r., czyli został zainstalowany na długo przed wejściem w życie zmienionych przepisów o ochronie danych osobowych
  • pracownicy zostali prawidłowo poinformowani o wprowadzeniu monitoringu, wynikało to z obowiązującego w tej firmie regulaminu pracy, a miejsca monitorowane zostały prawidłowo oznakowane

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8598517,ochrona-danych-monitoring-nagana-pracownika-uodo-rodo.html

Irlandia: 265 mln euro kary dla Facebooka

  • właściciel Facebooka (Meta) został ukarany grzywną w wysokości 265 mln euro (230 mln funtów) przez irlandzki organ ochrony danych osobowych po naruszeniu, w wyniku którego opublikowano online dane ponad 500 milionów użytkowników
  • Komisja Ochrony Danych (DPC) stwierdziła, że Meta naruszyła dwa artykuły unijnych przepisów o ochronie danych po tym, jak dane użytkowników Facebooka z całego świata zostały ściągnięte z profili publicznych w 2018 i 2019 roku
  • dane pojawiły się na stronie hakerskiej w zeszłym roku, co skłoniło DPC do wszczęcia dochodzenia
  • oprócz grzywny organ zobowiązał Metę do „doprowadzenia przetwarzania do zgodności poprzez podjęcie szeregu określonych działań naprawczych w określonych ramach czasowych”
  • kara podnosi łączną kwotę grzywien nałożonych na Meta przez DPC do prawie 1 miliarda euro od września ubiegłego roku

Źródło: https://www.theguardian.com/technology/2022/nov/28/meta-fined-265m-over-data-breach-affecting-more-than-500m-users

Francja: EDF France ukarane grzywną w wysokości 600 000 euro

  • CNIL, francuski organ nadzoru, otrzymał wiele skarg dotyczących trudności napotykanych przez osoby fizyczne w rozpatrywaniu ich praw przez firmę
  • Ustalono, że: nie zebrano zgód osób fizycznych na otrzymywanie informacji handlowych pocztą elektroniczną, nie dopełniono obowiązku informacyjnego (art. 13 i 14 RODO), nie zapewniono bezpieczeństwa danych osobowych (art. 32 RODO)
  • organ odpowiedzialny za nakładanie sankcji uznał, że firma nie wywiązała się ze swoich obowiązków przewidzianych w ogólnym rozporządzeniu o ochronie danych (RODO) oraz francuskim kodeksie pocztowym i elektronicznym. Nałożył on na EDF grzywnę w wysokości 600 000 euro i podała ją do wiadomości publicznej

Źródło: https://edpb.europa.eu/news/national-news/2022/commercial-prospecting-and-rights-individuals-edf-france-fined-600-000_en

UODO po raz kolejny zbadał naruszenie ochrony danych osobowych przez Virgin Mobile

  • Organ nadzorczy ponownie zajmował się tą samą sprawą naruszenia przepisów RODO przez tę spółkę i po raz kolejny stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska Sp. z o.o., odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych (do rejestracji danych osobowych abonentów usług przedpłaconych)
  • Urząd Ochrony Danych Osobowych stwierdzając naruszenie przepisów RODO, zdecydował o nałożeniu administracyjnej kary pieniężnej w wysokości prawie 1,6 mln
  • do Urzędu Ochrony Danych Osobowych w grudniu 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, w którym administrator poinformował o naruszeniu ochrony danych osobowych abonentów, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe.
  • 3 grudnia 2020 r. organ wydał decyzję, nakładającą na spółkę Virgin Mobile Polska Sp. z o.o. administracyjną karę pieniężną w wysokości 1.968.524,00 zł. Administrator jednak w całości zaskarżył decyzję UODO
  • warto zaznaczyć, że przyjęte przez spółkę Virgin środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Żródło: https://www.uodo.gov.pl/pl/138/2512

EROD przyjęła wiążące decyzje w odniesieniu do Facebooka, Instagrama i WhatsApp

  • Bruksela, dnia 6 grudnia – EROD przyjęła trzy decyzje w sprawie rozstrzygania sporów na podstawie art. 65 RODO dotyczące Meta Platforms Ireland Limited
  • Irlandzki organ nadzorczy sporządził projekty decyzji w następstwie postępowań skargowych, dotyczących czynności przetwarzania dokonywanych przez platformy: Facebook, Instagram i WhatsApp
  • Kilka organów nadzorczych zgłosiło sprzeciw wobec projektów decyzji przygotowanych przez irlandzki organ nadzorczy, dotyczących m.in. podstawy prawnej przetwarzania (art. 6 RODO), zasad ochrony danych (art. 5 RODO) oraz stosowania środków naprawczych, w tym administracyjnych kar pieniężnych.
  • W związku, z tym, że nie osiągnięto porozumienia w sprawie tych sprzeciwów, EROD została wezwana do rozstrzygnięcia sporu między organami nadzorczymi. W wiążących decyzjach EROD rozstrzyga m.in. kwestię, czy przetwarzanie danych osobowych w celu wykonania umowy stanowi odpowiednią podstawę prawną dla reklamy behawioralnej w przypadku Facebooka i Instagrama, a także dla poprawy jakości usług w przypadku WhatsApp.

Źródło: https://edpb.europa.eu/news/news/2022/edpb-adopts-art-65-dispute-resolution-binding-decisions-regarding-facebook-instagram_en

TSUE: Usunięcie linków do nieprawdziwych treści nawet bez wyroku

  • Operator wyszukiwarki powinien usunąć linki do informacji zawartych w treści, do której odsyłają te linki w sytuacji, gdy osoba żądająca ich usunięcia udowodni, że informacje te są w oczywisty sposób nieprawdziwe i zastrzegł, że dowód taki nie musi wynikać ze skierowanego do wydawcy danej strony internetowej orzeczenia sądowego.
  • dwoje członków kierownictwa grupy spółek inwestycyjnych zwróciło się do Google o usunięcie z listy wyników wyszukiwania, mającego za punkt wyjścia ich imiona i nazwiska, linków do pewnych artykułów, w których krytycznie odniesiono się do wdrażanego przez tę grupę modelu inwestycyjnego. Podnosili oni, że te twierdzenia były nieprawdziwe. Domagali się także usunięcia z wyników wyszukiwania miniatur ich zdjęć, choć te wyświetlały się osobno. Google odmówił, wskazując, iż nie ma pewności, czy treści te rzeczywiście są fałszywe.
  • niemiecki federalny trybunał sprawiedliwości zwrócił się do TSUE o dokonanie wykładni RODO, w którym zostało uregulowane m. in. prawo do usunięcia danych (zwane „prawem do bycia zapomnianym”),
  • Zdaniem TSUE, przysługujące osobie, której dane dotyczą, prawo do poszanowania życia prywatnego i prawo do ochrony tych danych osobowych są co do zasady nadrzędne wobec uzasadnionego interesu istniejącego po stronie internautów potencjalnie zainteresowanych dostępem do danej informacji.
  • wyświetlanie, po przeprowadzeniu wyszukiwania mającego za punkt wyjścia imię i nazwisko danej osoby, przedstawiających tę osobę zdjęć w postaci miniatur może stanowić szczególnie poważną ingerencję w prawa do poszanowania życia prywatnego i do ochrony danych osobowych tej osoby.
  • Źródło: https://www.rp.pl/dane-osobowe/art37588251-tsue-wyszukiwarka-musi-wykasowac-nieprawde-nawet-bez-wyroku-sadu

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.
RODO aktualności
RODO aktualności – 22.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO