RODO aktualności – 23.07.2024 r.

• Ustawa o ochronie sygnalistów została przyjęta przez Sejm RP w dniu 14.06.2024. W toku prac legislacyjnych Prezes UODO podkreślał, że zasady przetwarzania danych osobowych sygnalistów, jak i danych osób, których zgłoszenie dotyczy, powinny być doprecyzowane.
• Prezes UODO w piśmie do Marszałka Senatu RP wskazał na wątpliwości dotyczące przyjętych przez Sejm przepisów. W szczególności podkreślił, że ustawa nie jest konsekwentna w kształtowaniu praw i obowiązków sygnalistów chcących dokonać zgłoszenia zarówno w trybie imiennym, jak i anonimowym. Ustawa z jednej strony dopuszcza zgłoszenia anonimowe, a z drugiej nie zawiera wystarczająco jasnych wymagań z tym związanych.
• W związku z powyższym, przewidując, że stosowanie ustawy zrodzić może poważne wątpliwości w praktyce, Prezes UODO wraz z ekspertami Urzędu Ochrony Danych Osobowych oraz powołanego przez PUODO Społecznego Zespołu Ekspertów podjęli inicjatywę pilnego zorganizowania spotkania w tej sprawie, którego celem będzie zidentyfikowanie i omówienie obszarów, które mogą generować największe wątpliwości interpretacyjne.
• Prawidłowa interpretacja przepisów ustawy zgodna z dyrektywą 2019/1937o ochronie sygnalistów przyczyni się do minimalizowania ryzyk dla praw lub wolności osób, których dane będą przetwarzane w procesie przyjmowania i obsługi zgłoszeń sygnalistów (które mogą wystąpić m.in. w związku z nieuwzględnieniem uwag Prezesa UODO).
• Spotkanie zostanie zorganizowane w ciągu najbliższych tygodni tak, aby przedstawić stanowisko Prezesa UODO jeszcze zanim przepisy wejdą w życie. Spotkanie poprzedzone zostanie zebraniem pytań i wątpliwości, poprzez formularz, który będzie dostępny na stronie internetowej urzędu. Spotkanie będzie transmitowane online.

Żródło: Aktualności – UODO; https://uodo.gov.pl/pl/file/4918

• Przepisy wdrażające od 1 lipca dyrektywę DAC7 wprowadzają limity graniczne, po przekroczeniu których platformy internetowe będą raportowały organom podatkowym dane wybranych sprzedawców. Nie wprowadzają nowych podatków, ale dostarczą dodatkowych informacji do jeszcze skuteczniejszego typowania do kontroli – mówi Magdalena Jaworska, doradczyni podatkowa.
• Raportowaniu nie podlegają użytkownicy, którzy w roku kalendarzowym (jest to okres sprawozdawczy) dokonali mniej jak 30 transakcji sprzedaży towarów, jeżeli łączne wynagrodzenie wypłacone lub uznane w tym okresie nie przekroczyło równowartości 2000 euro (wartości po uwzględnieniu zwrotów towarów).
• Obowiązki sprawozdawcze obejmą cztery kategorie czynności wykonywanych za wynagrodzeniem: udostępnianie nieruchomości lub ich części, świadczenie usług osobistych, sprzedaż towarów, udostępnianie środków transportu.
• Jeśli sprzedawca w odpowiednim terminie nie poda platformie żądanych informacji, platforma najpierw blokuje wypłatę środków. Dopiero gdy to jest niemożliwe, platforma zawiesza możliwość sprzedaży. Blokada nastąpi do czasu przekazania przez niego wymaganych informacji. Pomimo więc, że sprzedawcy internetowi nie są podmiotami, na których ciąży obowiązek raportowania do urzędu skarbowego, to nieprzekazanie danych do operatorów wiąże się z dla nich z sankcjami w postaci braku wypłaty należnego wynagrodzenia, bądź nawet wstrzymania możliwości handlu na platformie.
• Operatorzy platform cyfrowych będą zobowiązani do prowadzenia wykazu sprzedawców, w tym osób fizycznych oraz wykazu transakcji. Będą również musieli informować te osoby o zakresie gromadzonych na ich temat informacji. Tym samym zbieranie wymaganych przepisami informacji musi odbywać się zgodnie z obowiązującym reżimem RODO.

Źródło: Jakie dane o sprzedających w internecie pozna skarbówka – wywiad z M.Jaworską (prawo.pl)

• Naczelny Sąd Administracyjny kolejny raz interpretuje pojęcie danych osobowych. Tym razem NSA nie tylko uchylił wyrok WSA w Warszawie, ale także decyzję organu, którym był Komendant Straży Miejskiej.
• To właśnie do tego organu, pewien obywatel skierował wniosek o udostępnienie informacji publicznej składający się z kilku pytań. Na cześć z nich otrzymał odpowiedź. Jednak Komendant Straży Miejskiej odmówił udzielenia informacji o “sposobie ukarania właściciela lub użytkownika” konkretnego pojazdu.
• Organ ten wskazał, że udzielenie takiej informacji osobie, która dokonała zgłoszenia wykroczenia drogowego, podają wiele szczegółów auta, może doprowadzić „naruszenia prywatności i godności” właściciela auta.
• WSA w Warszawie zgodził się z taką argumentacją i oddalił skargę wnioskodawcy. Jednak NSA podjął całkowicie odmienną decyzję, wskazując, że:
• – wnioskodawca nie domagał się ujawnienia danych osobowych w zakresie imienia, nazwiska osoby ukaranej, a wyłącznie informacji o sposobie ukarania;
• – nie sposób wyprowadzić w drodze racjonalnych czynności myślowych innych wniosków poza tymi, które dotyczą znajomości samej marki samochodu;
• – nie może prowadzić do naruszenia jego prawa do prywatności, o którym mowa w art. 5 ust. 2 u.d.i.p., gdyż posiadane przez wnioskodawcę informacje o marce samochodu, jego numerze rejestracyjnym oraz o nieważnej karcie parkingowej nie pozwalają na ustalenie jego danych osobowych i w konsekwencji jego identyfikację.

Źródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7213398533373136897-0k7P?utm_source=share&utm_medium=member_desktop

• W tym orzeczeniu WSA w Warszawie dokłada kolejną cegłę do coraz większego muru oddzielającego administratorów danych od możliwości przetwarzania pewnych kategorii danych osobowych po zakończeniu świadczenia usługi.
• Administrator wynajmował auta na minuty i w związku z tym żądał, w trakcie rejestracji do serwisu podania takich danych jak imię, nazwisko, adres zamieszkania, numer PESEL, kraj wydania i numer prawa jazdy, numer telefonu oraz adres e-mail.
• Pewien z użytkowników tego serwisu skierował do Spółki żądanie usunięcia konta oraz jego danych osobowych.
• Spółka wskazała, że dane osobowe w zakresie imienia, nazwiska, adresu zamieszkania, numeru PESEL oraz danych telemetrycznych przejazdów nadal będą przetwarzane na podstawie art. 112 ustawy o podatku towarów i usług przez 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku za fakturę oraz art. 118 Kodeksu cywilnego przez 6 lat od ostatniej transakcji.
• Prezes Urzędu Ochrony Danych Osobowych decyzją z marca 2023 r. nakazał Spółce usunięcie danych osobowych w zakresie numeru PESEL.
• WSA w Warszawie oddalił skargę administratora i wskazał, że spółka nie była uprawniona do przetwarzania danych osobowych uczestnika postępowania w powyższym zakresie w oparciu o tego rodzaju podstawę;
• Spółka nie wystąpiła i nie zamierza wystąpić z jakimikolwiek roszczeniami względem uczestnika postępowania, ani też uczestnik postępowania nie wystąpił z roszczeniami względem Spółki, to trudno uznać, że przetwarzanie jej danych osobowych jest niezbędne do wskazywanych przez Spółkę celów. Tak określony cel przetwarzania danych osobowych jest bowiem celem ewentualnym. Ta jego cecha pozbawia zaś proces przetwarzania danych osobowych elementu niezbędności.

Źródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7211945149336080385-nv1N?utm_source=share&utm_medium=member_desktop

• W dniu 27 czerwca 2024 r. Agencia Española de Protección de Datos – AEPD i EIOD – Europejski Inspektor Ochrony Danych opublikowały sprawozdanie, w którym podkreśliły wyzwania, jakie przetwarzanie neurodanych stwarza dla praw i wolności jednostki.
• Neurodane odnoszą się do informacji zebranych z mózgu i układu nerwowego. Mózg i rdzeń kręgowy, część ośrodkowego układu nerwowego, regulują funkcje poznawcze. Neurodane są często danymi osobowymi, ponieważ wzorce fal mózgowych są unikalne dla poszczególnych osób, umożliwiając identyfikację i profilowanie.
• Międzynarodowe firmy wykorzystują już usługi neuromarketingowe do pomiaru reakcji mózgu na reklamy i produkty.
• Systemy oparte na sztucznej inteligencji mogą z kolei łączyć dane neuronowe z innymi informacjami kontekstowymi. To bezprecedensowe naruszenie zagraża prywatności, ochronie danych, godności ludzkiej i integralności psychicznej – na przykład wykorzystanie neurodanych do wykrywania kłamstw lub predykcyjnych działań policyjnych podważa domniemanie niewinności i prawo do rzetelnego procesu.
• Niedawno przyjęty AI Act zakazuje konkretnych zastosowań sztucznej inteligencji, takich jak systemy manipulacyjne i wykorzystujące luki w zabezpieczeniach. Ogranicza również systemy rozpoznawania emocji w szkołach i miejscach pracy.
• Neurodane często należą do szczególnych kategorii danych związanych ze zdrowiem. Przetwarzanie tych kategorii jest zasadniczo zabronione, z wyjątkami wymagającymi ścisłego przestrzegania zasad ochrony danych.

Żródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7210857986380988416-Nt9b?utm_source=share&utm_medium=member_desktop

• Postępowanie w sprawie Vinted zostało zainicjowane przez Państwowy Inspektorat Ochrony Danych (litewski organ nadzorczy) na skutek skarg przekazanych mu przez UODO w 2021 i 2022 r. Użytkownicy platformy sprzedażowej w skargach zarzucali, że spółka nie realizuje ich żądań związanych z prawem do bycia zapomnianym (art. 17 RODO) oraz prawem dostępu do danych (art. 15 RODO).
• Polscy użytkownicy serwisu wskazywali, że chociaż rejestracja w serwisie jest prosta, to już wypłacenie środków zgromadzonych za sprzedane tam rzeczy jest skomplikowane i wymaga podania wielu danych osobowych. Firma wymaga m. in. przesłania skanu dowodu osobistego. Jeżeli użytkownik nie przekazał tych danych, to środki zgromadzone przez niego ze sprzedaży ubrań były blokowane i ich wypłata była niemożliwa.
• Spółka Vinted informowała osoby, które wnioskowały o usunięcie ich danych, że nie podejmie w ich sprawie żadnych działań, gdyż we wniesionych przez nich żądaniach brak było wskazania „konkretnych podstaw” zgodnie z treścią art. 17 RODO.
• Badając sprawę, litewski organ ustalił również, że spółka, w celu zapewnienia bezpieczeństwa platformy i jej użytkowników, bezprawnie stosowała praktykę tzw. „shadow blocking”, tj. nie informowała użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, pomimo zamiaru usunięcia go z platformy. Zdaniem organu nadzorczego tego rodzaju praktyka stanowiła naruszenie zasad rzetelnego i przejrzystego przetwarzania danych, co negatywnie wpłynęło na inne prawa użytkowników platformy i możliwość ich dochodzenia.
• Spółka nie wdrożyła też odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi związane z realizacją zasady rozliczalności, by móc wykazać, że podjęła lub zasadnie odmówiła podjęcia działań w oparciu o żądanie prawa dostępu do danych.

Żródło: Aktualności – UODO

• Zgodnie ze znowelizowanymi przepisami kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń, w których są udzielane świadczenia zdrowotne, jeżeli jest to konieczne w procesie leczenia pacjentów lub do zapewnienia im bezpieczeństwa – w przypadku szpitali, zakładów opiekuńczo-leczniczych, zakładów pielęgnacyjno-opiekuńczych, zakładów rehabilitacji leczniczej i hospicjów – za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring), uwzględniając konieczność poszanowania intymności i godności pacjenta, w tym przekazywanie obrazu z monitoringu w sposób uniemożliwiający ukazywanie intymnych czynności fizjologicznych, potrzebę zastosowania monitoringu w danym pomieszczeniu oraz konieczność ochrony danych osobowych.
• Dotychczasowe regulacje ograniczały możliwość zastosowania monitoringu w pomieszczeniach, w których są udzielane świadczenia zdrowotne do określonych w odrębnych przepisach przypadków. Ponadto monitorowanie tych pomieszczeń rozumiane było jako możliwość bieżącego podglądu bez nagrywania, chyba że nagranie zgodnie ze wskazaniami wiedzy medycznej stanowić ma część dokumentacji medycznej.
• Zdaniem osób, które zwróciły się do RPO, art. 23a ust. 1 pkt 3 ustawy o działalności leczniczej daje zbyt dużą swobodę decyzyjną kierownikowi podmiotu leczniczego co do zastosowania monitoringu wizyjnego w pomieszczeniu, w którym udzielane są świadczenia zdrowotne. Jednocześnie ten przepis nie określa też przesłanek zastosowania monitoringu (np. przesłanki konieczności), a także nie pozostawia pacjentom możliwości odmowy wyrażenia zgody na udzielenie świadczenia zdrowotnego w pomieszczeniu monitorowanym.
• W odpowiedzi na pismo RPO wiceminister Wojciech Konieczny wskazuje, że przesłanką przepisów dotyczących monitoringu wizyjnego w podmiotach wykonujących działalność leczniczą, które rozszerzyły możliwość jego stosowania, było zwiększenie poziomu bezpieczeństwa pacjentów.

Źródło: Monitoring w gabinetach lekarskich – czy zgodny z konstytucją? (prawo.pl)

• W orzeczeniu WSA w Warszawie z marca 2014 r. znajdujemy – kolejny raz – argumenty za tym, że Bank oraz BIK nie uzasadniły przetwarzania danych osobowych w zakresie wynikającym z zapytana kredytowego, które nie doprowadziło do zawarcia umowy.
• Prezes UODO wydał w maju 2023 r. decyzję, w której nakazał:
• – Bankowi S.A. usunięcie danych osobowych K. B. w zakresie wynikającym z zapytań kredytowych z dnia […] maja 2022 r. oraz […] lutego 2023 r.;
• – Biurze Informacji Kredytowej S.A. usunięcie danych osobowych K. B. w zakresie wynikającym z zapytań kredytowych z dnia […] maja 2022 r. oraz […] lutego 2023 r., przekazanych przez […] Bank S.A.
• Według Sądu w rozpatrywanej sprawie spór sprowadza się natomiast do odpowiedzi na pytanie, czy w sytuacji, w której nie doszło do zawarcia umowy kredytu między skarżącą a Bankiem, istnieje podstawa do przetwarzania przez Bank oraz BIK jej danych osobowych.
• Sąd podzielił także stanowisko organu, wyrażone w zaskarżonej decyzji, że skoro nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącej.
• Sąd podniósł także, że powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a skarżąca po kolejnej odmownej decyzji kredytowej, wniosła o usunięcie swoich danych. Skarżąca złożyła żądanie usunięcia danych. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego, uprawniający Bank do przetwarzania danych osobowych skarżącej w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego.

Źródło: Judykatura.pl;

• W tej sprawie pewien pracownik Banku był zarówno jego klientem. Jako klient postanowił podzielić się w Internecie swoimi przemyśleniami na temat jakości obsługi Klienta. Pod pseudonimem opublikował wiele wpisów mało przychylnych swojemu pracodawcy, ale dotyczących wyłącznie relacji związanej z produktami banku, z których korzystał. Pracownik złożył też reklamację do Banku jako Klient wskazując na liczne – według siebie – nieprawidłowości dotyczące obsługi produktów.
• Pracodawca pozyskał informacje o treści wpisów swojego Pracownika/Klienta i dokonał wydrukowania tych wpisów. Druk ten był potrzebny do przeprowadzenia rozmowy dyscyplinującej. Pracownik/Klient złożył więc skargę do Prezesa UODO.
• Prezes UODO decyzją z marca 2023 r. udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a RODO polegające na wykorzystaniu danych klienta banku, w zakresie zawartej umowy kredytowej i obsługi reklamacji, w procesie przetwarzania danych dotyczącym celów związanych z zatrudnieniem i stosunkiem służbowym (pkt 1) oraz umorzył postępowanie w pozostałym zakresie. W ocenie organu, wykorzystanie w relacji służbowej przez Bank danych osobowych skarżącego dotyczących informacji o posiadaniu umowy kredytowej oraz procesu obsługi jego reklamacji dotyczącej tego produktu nie miało oparcia w przepisach dotyczących podstaw prawnych przetwarzania tych danych.
• Sąd uchylił decyzję wskazując, że ocena czy wpisy internetowe naruszają dobre imię i wizerunek Banku pozostać powinna poza rozstrzygnięciem Prezesa UODO. Nie jest rolą Prezesa UODO rozstrzyganie kwestii pracowniczych, a ocena sprawy z punktu widzenia ochrony przetwarzania danych osobowych. Organ powinien się skupić jedynie na ocenie czy w okolicznościach tej sprawy doszło do naruszenia przepisów obowiązujących w zakresie ochrony danych osobowych, tj. czy Bank posiadał prawnie uzasadniony interes w przetwarzaniu danych (art. 6 ust. 1 lit. f RODO),

Żródło: Judykatura.pl