RODO aktualności – 11.10.2024 r.

• Marek A. złożył skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO) na swojego byłego pracodawcę za bezpodstawne przetwarzanie jego adresu e-mail po zakończeniu zatrudnienia.
• Były pracodawca wyjaśnił, że adres e-mail został zdezaktywowany, ale pozostawiony w celach archiwalnych, argumentując, że jego usunięcie mogłoby negatywnie wpłynąć na relacje handlowe..
• Prezes UODO nakazał usunięcie tego adresu e-mail, wskazując, że przetwarzanie go nie jest już konieczne po zakończeniu zatrudnienia Marka A., a wszelkie możliwe dalsze działania mogłyby spowodować mylne wrażenie u kontrahentów.
• Pracodawca nie zgodził się z decyzją UODO i złożył skargę do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie.
• WSA zgodził się z decyzją UODO, uznając, że dalsze przetwarzanie spornego adresu e-mail jest niezgodne z zasadami RODO, w szczególności z zasadą minimalizacji danych oraz ograniczenia przechowywania.
• W uzasadnieniu sąd podkreślił, że imienny adres e-mail byłego pracownika powinien zostać usunięty lub zmodyfikowany po zakończeniu współpracy, aby uniknąć nieporozumień oraz że jego przechowywanie nie było niezbędne dla celów handlowych.
• Ostatecznie sąd oddalił skargę pracodawcy, uznając działania Prezesa UODO jako właściwe i zgodne z przepisami prawa.

Źródło: https://www.prawo.pl/biznes/adres-mailowy-bylego-pracownika-musi-zostac-usuniety,528315.html

• Kontekst: Rząd przyjął projekt ustawy umożliwiającej usuwanie treści o charakterze terrorystycznym z internetu bez konieczności uzyskania wyroku sądowego. Nowe przepisy dostosowują polskie prawo do wymogów Unii Europejskiej.
• Główne zmiany: Zgodnie z ustawą, szef Agencji Bezpieczeństwa Wewnętrznego (ABW) będzie decydował o tym, które treści należy usunąć jako terrorystyczne.
• Mechanizm działania: Nakazy usunięcia treści będą wydawane przez szefa ABW, a ich egzekwowanie spoczywa na dostawcach usług hostingowych. Jeśli autorzy treści uważają decyzję za niesłuszną, mogą odwołać się do sądu.
• Dotychczasowe prawo: Do tej pory usuwanie treści wymagało wyroku sądowego, co teraz zostanie uproszczone i przyspieszone.
• Podobne przepisy w Europie: Zmiany te są zgodne z regulacjami wprowadzonymi już w większości krajów europejskich, z wyjątkiem Portugalii i Słowenii.
• Odpowiedzialność ABW: ABW będzie nie tylko wydawać nakazy, ale również weryfikować decyzje organów innych krajów Unii Europejskiej, monitorować treści, na które usługodawcy mogą być narażeni, oraz nadzorować przestrzeganie przepisów przez dostawców usług.
• Kary i sankcje: W przypadku naruszania przepisów, ABW będzie mogła nakładać kary administracyjne na dostawców usług.
• Wyjątki: Treści edukacyjne, dziennikarskie, artystyczne, badawcze oraz mające na celu podnoszenie świadomości na temat przeciwdziałania terroryzmowi nie będą uznawane za terrorystyczne.
• Zakres przepisów: Nowe przepisy będą dotyczyć dostawców usług mediów społecznościowych oraz usług związanych z wymianą materiałów wideo, obrazów, plików audio, oraz innych treści udostępnianych w chmurze.

Źródło: https://www.bankier.pl/wiadomosc/Antyterrorysci-w-sieci-ABW-bedzie-usuwac-tresci-z-internetu-8806070.html

• Sprawę rozpoczął wniosek lokalnego dziennikarza do burmistrza miasta o udostępnienie listy wszystkich osób (z imieniem i nazwiskiem), które otrzymały mieszkania komunalne w tej gminie.
• Burmistrz odmówił jej udostępnienia, powołując się na prywatność tych osób, poza danymi osobowymi jednej osoby, która sama zgodziła się na udostępnienie swoich danych.
• Jego decyzję utrzymało w mocy samorządowe kolegium odwoławcze, a właściwy wojewódzki sąd administracyjny oddalił skargę na decyzję. Inne stanowisko zajął Naczelny Sąd Administracyjny, który przyjął, że lista osób, którym przyznano lokale komunalne, nie powinna być chroniona prawem do prywatności.

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/9596398,nowe-podejscie-do-ochrony-danych-przelomowy-wyrok-sadu-administracyjn.html

• Prezes UODO Mirosław Wróblewski nałożył karę pieniężną w wysokości 85 tys. zł na Prokuraturę Krajową.
• Chodzi o jedną z konferencji poprzedniego prokuratora generalnego Zbigniewa Ziobry podczas której – według UODO – ujawniono dane osobowe pokrzywdzonego.
• Prokuratura tłumaczyła się, że nie doszło do naruszenia danych, bo informacje te były przetwarzane w związku z realizacją ustawowych zadań prokuratury.

Źródło: https://www.prawo.pl/prawnicy-sady/85-tys-kary-dla-prokuratury-krajowej,528841.html

• Kontekst: Ministerstwo Cyfryzacji zaprezentowało projekt ustawy wdrażającej unijne przepisy wynikające z Data Governance Act (DGA), który reguluje udostępnianie i ponowne wykorzystanie danych chronionych z sektora publicznego.
• DGA dotyczy danych objętych ochroną z powodu tajemnicy handlowej, zawodowej, własności intelektualnej lub innych ograniczeń.
• Choć DGA obowiązuje od września 2023 roku, poszczególne przepisy krajowe muszą jeszcze wyznaczyć odpowiednie organy oraz ustalić procedury działania.
• Główny Urząd Statystyczny (GUS):
• GUS będzie jednym z organów odpowiedzialnych za realizację zadań związanych z zapytaniami o dostęp do danych chronionych.
• Podmioty chcące skorzystać z tych danych będą musiały składać wnioski do GUS, co wiąże się z opłatą odpowiadającą kosztom administracyjnym.
• Urząd Ochrony Danych Osobowych (UODO):
• UODO otrzyma nowe kompetencje związane z zarządzaniem danymi nieosobowymi, w tym przekazywanie takich danych do państw trzecich, rejestrowanie organizacji altruizmu danych oraz kontrola usług pośrednictwa danych.
• Nowe obowiązki wiążą się z koniecznością reorganizacji urzędu i rozszerzenia kompetencji jego pracowników.
• UODO będzie nadzorować realizację przepisów, rozpatrywać skargi oraz nakładać kary związane z naruszeniami wynikającymi z DGA.

• Opłaty:
• Opłaty z tytułu udostępnienia danych mają pokrywać jedynie koszty administracyjne, a nie wartość samych danych.
• Jest to związane z koniecznością przeprowadzenia odpowiednich operacji przygotowawczych i administracyjnych.
• Wyzwania:
• Reorganizacja i poszerzenie kompetencji UODO może być dużym wyzwaniem organizacyjnym i operacyjnym.
• Zapewnienie sprawności funkcjonowania urzędu, w tym rozpatrywania indywidualnych spraw administracyjnych, jest kluczowe, zwłaszcza wobec obecnych problemów z terminowością rozpatrywania skarg związanych z ochroną danych osobowych.

Żródło: https://www.rp.pl/urzednicy/art41122211-jest-projekt-ustawy-wdrazajacej-akt-o-zarzadzaniu-danymi-nowe-kompetencje-dla-uodo-i-gus

• Sąd rozpatrywał odwołanie od decyzji Prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK).
• Decyzja dotyczyła praktyk pewnej spółki, które naruszały zbiorowe interesy konsumentów przez żądanie danych osobowych na wczesnym etapie procedury kredytowej.
• Spółka wymagała podania numeru telefonu, adresu korespondencyjnego, skanów dowodu osobistego oraz wykonania zdjęcia twarzy przed udostępnieniem formularza informacyjnego o kredycie.
• Prezes UOKiK uznał, że te działania były sprzeczne z prawem, w szczególności z przepisami dotyczącymi ochrony danych osobowych, a także ustawą o kredycie konsumenckim.
• Chociaż Prezes UOKiK w decyzji nie nałożył kary pieniężnej, spółka odwołała się do Sądu Ochrony Konkurencji i Konsumentów.
• Sąd oddalił odwołanie, wskazując, że działania Prezesa UOKiK były uzasadnione, ponieważ spółka wymagała danych osobowych, które nie były niezbędne na etapie przedkontraktowym.
• Zwrócono uwagę, że to Generalny Inspektor Ochrony Danych Osobowych (GIODO) lub obecnie Prezes Urzędu Ochrony Danych Osobowych (PUODO) jest uprawniony do oceny zgodności przetwarzania danych osobowych, ale UOKiK działał w oparciu o inne kompetencje.
• Sąd podkreślił, że zbierane dane były nieadekwatne do celu, co było sprzeczne z wymogami ochrony danych osobowych, zgodnie z ustawą z dnia 29 sierpnia 1997 r.
• Przedmiotowe przepisy nakładają na administratora danych szczególny obowiązek dbania o to, by dane były poprawne i adekwatne w stosunku do celu przetwarzania.

• Spółka zmuszała konsumentów do wyboru: udostępnić niepotrzebne dane osobowe lub zrezygnować z dalszej procedury kredytowej. To działanie zostało uznane za bezprawne.
• Decyzja Prezesa UOKiK o uznaniu działań spółki za naruszające interesy konsumentów jest uzasadniona, mimo postawionych przez spółkę zarzutów o brak kompetencji tego organu.
• Wymóg przekazywania zbędnych danych osobowych na tak wczesnym etapie był niezgodny z przepisami dotyczącymi ochrony danych osobowych.
• Sąd podkreślił wagę ochrony danych osobowych i wskazał na konieczność proporcjonalności oraz adekwatności przetwarzanych danych.
• Przedmiotowe przepisy nakładają na administratora danych szczególny obowiązek dbania o to, by dane były poprawne i adekwatne w stosunku do celu przetwarzania.
• Spółka zmuszała konsumentów do wyboru: udostępnić niepotrzebne dane osobowe lub zrezygnować z dalszej procedury kredytowej. To działanie zostało uznane za bezprawne.
• Decyzja Prezesa UOKiK o uznaniu działań spółki za naruszające interesy konsumentów jest uzasadniona, mimo postawionych przez spółkę zarzutów o brak kompetencji tego organu.
• Wymóg przekazywania zbędnych danych osobowych na tak wczesnym etapie był niezgodny z przepisami dotyczącymi ochrony danych osobowych.
• Sąd podkreślił wagę ochrony danych osobowych i wskazał na konieczność proporcjonalności oraz adekwatności przetwarzanych danych.

Źródło: https://judykatura.pl/sokik-bledny-proces-przetwarzania-danych-osobowych-moze-naruszac-zbiorowe-interesy-konsumentow/

• Kontekst sprawy: Postępowanie dyscyplinarne przeprowadzone zostało wobec nauczyciela pełniącego funkcję Dyrektora Szkoły, z uwzględnieniem odczytania jej danych osobowych na jawnej rozprawie dyscyplinarnej.
• Zarzuty skarżącej: Nauczycielka złożyła skargę do Prezesa UODO, twierdząc, że podczas rozprawy dyscyplinarnej jej dane osobowe (takie jak imię, nazwisko, PESEL, daty urodzenia, miejsce zamieszkania) zostały udostępnione publicznie, co stanowiło naruszenie przepisów o ochronie danych osobowych.
• Stanowisko Prezesa UODO: Prezes UODO uznał, że udostępnienie danych nauczyciela było uzasadnione i legalne, ponieważ rozprawa miała charakter jawny, co wynika z przepisów dotyczących postępowania dyscyplinarnego, a skarżąca sama wyraziła zgodę na obecność publiczności.
• Orzeczenie WSA i NSA: Wojewódzki Sąd Administracyjny oddalił skargę nauczycielki, a Naczelny Sąd Administracyjny (NSA) podtrzymał to stanowisko. Sąd stwierdził, że prawo do ochrony danych osobowych musi być zestawione z zasadą jawności postępowania dyscyplinarnego wobec funkcjonariuszy publicznych.
• Podstawa prawna: Zgodnie z art. 85e ust. 1 Karty Nauczyciela oraz przepisami rozporządzenia MEN, postępowania dyscyplinarne wobec nauczycieli są jawne, co uzasadniało ujawnienie danych osobowych obwinionej.
• Wnioski NSA: Ujawnienie danych osobowych nauczycielki na rozprawie dyscyplinarnej było zgodne z prawem (art. 6 ust. 1 lit. e RODO), ponieważ było to niezbędne do realizacji zadania w interesie publicznym, jakim jest jawność postępowania dyscyplinarnego.
• Kwestie trudne do pogodzenia: Istnieje antynomia między zasadą jawności rozprawy dyscyplinarnej a ochroną danych osobowych, jednak w tej sytuacji przepisy wskazywały na konieczność ujawnienia danych.

Źródło: https://judykatura.pl/nsa-o-przetwarzaniu-danych-osobowych-w-postepowaniu-dyscyplinarnym/

• Kontekst: Artykuł omawia procedurę wdrażania systemu zgłoszeń wewnętrznych dla sygnalistów, która wynika z ustawy o ochronie sygnalistów, wchodzącej w życie 25 września.
• Procedura zgłoszeń ma zacząć działać w wielu przedsiębiorstwach dopiero od początku przyszłego roku, ponieważ pracodawcy najpierw muszą zweryfikować, czy zatrudniają minimum 50 osób.
• Wbrew oczekiwaniom niektórych firm, które przygotowywały się na wdrożenie procedury już od wejścia w życie ustawy, ministerialne stanowisko wskazuje na późniejszy termin rozpoczęcia obowiązków.
• Zakres ochrony sygnalistów: Sygnalistami mogą być nie tylko pracownicy, ale także osoby świadczące pracę na innych umowach (np. umowy cywilnoprawne), wolontariusze, stażyści, a nawet osoby pracujące pod nadzorem wykonawców i dostawców.
• Ustawa zakłada ochronę przed działaniami odwetowymi wobec sygnalistów; przewidziane są rekompensaty finansowe, jeśli takie działania zostaną podjęte.
• Sygnalista będzie mógł zgłosić naruszenia prawa przez wewnętrzne kanały zgłoszeń w firmach oraz zewnętrzne kanały prowadzone przez organy państwa, a w szczególnych przypadkach będzie mógł dokonać ujawnienia publicznego.
• Wsparcie oraz przyjmowanie zgłoszeń dotyczących konstytucyjnych praw i wolności będą należeć do kompetencji Rzecznika Praw Obywatelskich (RPO).
• Wniosek końcowy: Chociaż ustawa wkrótce wejdzie w życie, przedsiębiorstwa nie muszą wdrażać procedur natychmiast po 25 września – najpierw muszą zweryfikować swoją wielkość zatrudnienia, co może przesunąć obowiązek na późniejszy etap.

Źródło: https://www.money.pl/gospodarka/sygnalisci-pod-specjalna-ochrona-ida-zmiany-ale-nie-tak-szybko-7057069117872672a.html

• Rosyjska grupa hakerska włamała się do Polskiej Agencji Dopingowej (POLADA) i wykradła dane osobowe oraz medyczne sportowców, w tym wyniki testów antydopingowych.
• Wyciek danych obejmował m.in. wyniki testów wybitnych sportowców jak Robert Lewandowski i Iga Świątek, sugerując nieprawdziwe wyniki antydopingowe mające podważyć zaufanie do sportowców.
• Potwierdzono, że wyniki testów Lewandowskiego oraz Świątek są fałszywe, a POLADA zapewniła brak wykrycia dopingu u wspomnianych sportowców.
• Dane zostały opublikowane publicznie na platformie Telegram przez grupę powiązaną z Rosją.
• Na konferencji prasowej wicepremiera i MSWiA podkreślono, że atak na POLADA był częścią szerszej operacji, mającej wykorzystać włamanie do ataków na inne instytucje publiczne i firmy państwowe w Polsce.
• Jako cel operacji wskazywano wykradanie danych oraz potencjalne szantaże w kontekście działań politycznych, gospodarczych i militarnych w Polsce.
• Choć grupa dywersantów odpowiedzialna za ataki miała być „rozbita”, nie poinformowano o zatrzymaniu żadnych osób ani szczegółach technicznych dotyczących samego ataku.
• Grupa „Beregini”, odpowiedzialna za atak, przedstawia się jako „kobiecy ruch hakerski z Ukrainy”, lecz według analizy eksperckiej może działać wspólnie z rosyjskimi służbami specjalnymi, takimi jak GRU.
• Podobne ataki na instytucje antydopingowe miały miejsce już wcześniej – np. w 2016 roku Światowa Agencja Antydopingowa (WADA) padła ofiarą cyberprzestępców w trakcie Igrzysk Olimpijskich w Rio de Janeiro.
• POLADA współpracuje obecnie z kilkoma instytucjami, w tym UODO, Ministerstwem Sportu oraz Centralnym Biurem Zwalczania Cyberprzestępczości, aby zminimalizować skutki wycieku i wesprzeć osoby, których dane zostały naruszone.
• W ramach postępowania wszyscy poszkodowani otrzymali stosowne powiadomienie o skradzionych danych wraz z informacjami, jak zmniejszyć ryzyka związane z wyciekiem.

Źródło: https://niebezpiecznik.pl/post/polska-agencja-dopingowa-polada-zhackowana-kazdy-mogl-pobrac-dane-medyczne-sportowcow-to-szersza-gra-operacyjna-sluzb/

• Kontekst: Artykuł dotyczy nowych obowiązków wynikających z ustawy o ochronie sygnalistów, która wchodzi w życie 14 czerwca 2024 r.
• Ustawa wymaga od przedsiębiorców nie tylko stworzenia procedur zgłoszeń dotyczących naruszeń, ale także przestrzegania przepisów związanych z ochroną danych osobowych.
• Kluczowym obowiązkiem w tym zakresie jest realizacja obowiązku informacyjnego o przetwarzaniu danych osobowych zarówno sygnalistów, jak i osób trzecich, w tym potencjalnych naruszycieli.
• Ustawa nie wyklucza obowiązku informacyjnego wobec nikogo, co oznacza, że każda osoba, której dane będą przetwarzane w toku rozpatrywania zgłoszeń, powinna zostać poinformowana o tym przetwarzaniu.
• Realizacja obowiązku informacyjnego wobec sygnalisty powinna odbyć się zgodnie z art. 13 ust. 1 RODO, czyli przed dokonaniem zgłoszenia. Można to zrobić, umieszczając klauzulę informacyjną bezpośrednio w procedurze zgłoszeń.
• W przypadku innych osób, obowiązek informacyjny powinien być spełniony zgodnie z art. 14 ust. 3 RODO w ciągu miesiąca od pozyskania ich danych albo przy pierwszej komunikacji z nimi.
• Jeśli organizacja ujawnia dane innemu odbiorcy, obowiązek informacyjny musi być spełniony w momencie pierwszego ujawnienia danych.
• Osoby, których dane pochodzą od sygnalisty, co do zasady nie powinny być informowane o źródle tych danych, chyba że sygnalista wyrazi na to zgodę lub działał w złej wierze.
• Nakłada się również obowiązek stosowania wyjątków od obowiązku informacyjnego, określonych w przepisach RODO, w sytuacjach, gdy np. informowanie mogłoby utrudnić realizację celu przetwarzania danych.
• Organizacje, które umożliwiają dokonywanie anonimowych zgłoszeń, nie będą musiały realizować obowiązku informacyjnego wobec sygnalistów, pod warunkiem, że ich tożsamość pozostanie nieznana.
• Ujawnienie danych sygnalisty może nastąpić m.in. jeśli zgłoszenie było niezgodne z prawdą lub zostało dokonane w złej wierze.
• Brak realizacji obowiązku informacyjnego może prowadzić do nałożenia wysokich kar administracyjnych. Ustawa może przewidywać grzywny do 5 tys. zł za brak procedur wewnętrznych, ale kary za naruszenie przepisów RODO sięgają nawet 20 mln euro lub 4% rocznego obrotu przedsiębiorstwa.
• Urząd Ochrony Danych Osobowych (UODO) na 2024 rok planuje kontrole w zakresie realizacji obowiązków informacyjnych szczególnie w sektorze prywatnym.

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/9600687,potencjalnego-naruszyciela-tez-trzeba-bedzie-poinformowac-o-przetwarza.html