Jaką karę finansową nałożył Prezes UODO na SGGW? Czego dotyczą najnowsze wytyczne EROD? W jaki sposób YouTube naruszał prywatność dzieci? Jak UODO komentuje karę nałożoną na GGK? Czy RODO obowiązuje w… IPN? Czego interesującego dowiesz się z najnowszego newslettera UODO? Co ma Karta Lokalizacji Pasażera do RODO? Czy Facebook będzie musiał wstrzymać transfer danych do USA?
MULTIMEDIA | |
---|---|
#RODOA [14.09.2020] | #RODOA [21.09.2020] |
Obejrzyj na: YouTube | |
Odsłuchaj na: Spotify, Google Podcasts, RSS | |
Pobierz PDF | Pobierz PDF |
SGGW z karą za naruszenie ochrony danych osobowych
- Prezes UODO, stwierdzając naruszenie ochrony danych osobowych przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie, nałożył na ten podmiot administracyjną karę pieniężną w wysokości 50 tys. zł
- w listopadzie 2019 r. Prezes UODO otrzymał zgłoszenie naruszenia ochrony danych osobowych kandydatów na studia w SGGW – zgłoszenie było związane z kradzieżą przenośnego prywatnego komputera pracownika tej uczelni, który używał tego urządzenia także do celów służbowych
- na podstawie zebranego materiału dowodowego Prezes UODO nałożył na uczelnię administracyjną karę pieniężną – decydując o wysokości kary, organ wziął pod uwagę, że naruszenie dotyczyło kandydatów na studia w SGGW za okres ostatnich pięciu lat, obejmowało szeroki zakres danych, a liczba osób dotkniętych naruszeniem może wynosić do 100 tys. (górna granica)
- administrator nie miał wiedzy o przetwarzaniu danych osobowych na prywatnym komputerze pracownika, a także nie kontrolował procesu przetwarzania danych poprzez brak weryfikacji na jakich nośnikach są przetwarzane dane osobowe
- dodatkowo Prezes UODO stwierdził, że w przedmiotowej sprawie inspektor ochrony danych wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania – IOD nie był angażowany przez uczelnię w proces rekrutacji na studia obejmujący funkcjonowanie systemu informatycznego przeznaczonego do tego działania
Źródło: https://uodo.gov.pl/pl/138/1711
Wytyczne ws. targetowania użytkowników
- do 19 października 2020 r. Europejska Rada Ochrony Danych prowadzi konsultacje publiczne dotyczące Wytycznych 8/2020 w sprawie targetowania użytkowników mediów społecznościowych
- EROD przyjęła wytyczne 2 września 2020 r. podczas 37. posiedzenia plenarnego
- wytyczne mają na celu dostarczenie zainteresowanym stronom praktycznych wskazówek i zawierają przykłady różnych sytuacji, ułatwiające zidentyfikowanie „scenariusza” najbardziej zbliżonego do praktyki targetowania, którą zainteresowani będą mieli zamiar zastosować
- głównym założeniem wytycznych jest wyjaśnienie roli i obowiązków dostawców mediów społecznościowych i ich odbiorców
- wytyczne wskazują m.in. na potencjalne zagrożenia dla wolności osób, główne podmioty i ich role, stosowanie kluczowych zasad i wymogów dotyczących przetwarzania danych osobowych, tj. zgodności z prawem, przejrzystości i dokonywania oceny skutków dla ochrony danych
- wytyczne przedstawiają również kluczowe elementy ustaleń pomiędzy dostawcami
- uwagi należy przesłać za pomocą formularza dostępnego na stronie EROD
Źródło: https://uodo.gov.pl/pl/138/1717
Sąd administracyjny za słaby na RODO
- Prezes UODO regularnie wygrywa przed warszawskim Wojewódzkim Sądem Administracyjnym
- zdaniem wielu prawników, gdyby sędzia – tak jak przy decyzjach prezesa UOKiK – mógł oceniać zasadność decyzji dotyczących naruszenia RODO czy korzystać z biegłych, byłoby mniej przegranych
- jeszcze przed wejściem RODO, decyzje wówczas GIODO, były rzadko podważane – ze sprawozdania za 2019 rok wynika, że WSA, uwzględnił tylko 12% skarg
- spełnienie wymagań RODO to w dużej mierze kwestia ocenna, a rolą sądu powinno być sprawdzenie, czy organ wziął pod uwagę wszystko to, czego RODO w tym zakresie wymaga – a na to procedura sądowo-administracyjna nie pozwala wskazują eksperci
- prawnicy zgodnie twierdzą, że zmiany są konieczne, i jako przykład wskazują Niemcy – tam odwołania od decyzji w sprawie kar są rozpatrywane przez sądy cywilne, odwołania od postanowień nakazowych – przez sądy administracyjne
- eksperci zauważają, że obecne postępowanie odwoławcze od decyzji o nałożeniu kary może nie spełniać standardów przewidzianych w RODO i któraś ze spraw może w końcu trafić do TSUE, a jego wyrok może zmusić ustawodawcę do zmian – w sprawie morele.net złożono wniosek o zadanie pytania prejudycjalnego, ale sąd go nie uwzględnił
Norwegia: kara za przetwarzanie danych niezgodne z pierwotnymi celami
- norweski organ ochrony danych nałożył na Norweski Zarząd Dróg Publicznych grzywnę w wysokości 37 400 EUR (400 000 NOK) za przetwarzanie danych osobowych do celów niezgodnych z pierwotnie określonymi celami oraz za nieusuwanie nagrań wideo po 7 dniach
- tłem grzywny jest szeroko zakrojone przetwarzanie danych osobowych przy użyciu stałych kamer drogowych do monitorowania kontrahentów, pracowników, poddostawców i pracowników poddostawców
- wykorzystanie nagrań do udokumentowania naruszeń zawartych umów, kilka miesięcy po zaistnieniu tych naruszeń, jest niezgodne z pierwotnym celem, jakim było umożliwienie wdrożenia natychmiastowych środków zapobiegawczych
- oceniając, czy takie wykorzystanie nagrań wideo było zgodne z pierwotnie określonym celem, norweski organ ochrony danych podkreślił, że takie wykorzystanie nagrań jest sprzeczne ze sposobem, w jaki strony umowy mogą oczekiwać wykorzystywania ich danych osobowych
Administrator danych w bibliotece uniwersyteckiej
- UODO na swoim Twitterze odpowiedział na pytanie – kto jest administratorem danych osobowych w przypadku biblioteki uniwersyteckiej?
- organ wskazuje, że w takim wypadku administratorem danych osobowych przetwarzanych w związku z działalnością biblioteczną pozostaje uniwersytet, w ramach którego działa biblioteka
- biblioteka nie jest osobnym administratorem, gdyż stanowi integralną część uniwersytetu, przy którym działa
- pozostaje to w związku z przepisami Ustawy Prawo o szkolnictwie wyższym i nauce
Źródło: https://twitter.com/UODOgov_pl/status/1306910846333808640/photo/1
YouTube naruszył prywatność dzieci
- YouTube świadomie złamał brytyjskie prawo, chroniące prywatność dzieci – sprawa jest w Sądzie Najwyższym Wielkiej Brytanii, a oskarżyciele chcą, by Google zapłacił 2,5 miliarda funtów odszkodowania
- Google został oskarżony o ignorowanie prawa, które chroni prywatność najmłodszych użytkowników internetu – chodzi o to, że zarządzający platformą YouTube doskonale wiedzą, że filmy oglądają miliony dzieci i zarabiają na gromadzeniu danych o nich
- informacje te są wykorzystywane do emitowania kierowanych reklam, zaprojektowanych specjalnie po to, by wpływały na młode umysły
- Google tłumaczy się tym, że YouTube nie jest przeznaczony dla użytkowników poniżej 13 roku życia, a dla najmłodszych powstała aplikacja YouTube Kids, która ma nieco inne mechanizmy działania i zupełnie inne treści – argument ten nie zadziałał w USA, Brytyjczyków też nie przekonuje
- większość materiałów na YouTubie można obejrzeć bez logowania, nie ma więc żadnego zabezpieczenia dla dzieci poniżej 13 roku życia
- pozew złożył analityk Duncan McCann, a popiera go grupa Foxglove – sprawa jest prowadzona w imieniu 5 milionów dzieci w Anglii i Walii
Źródło: https://www.telepolis.pl/wiadomosci/wydarzenia/youtube-dzieci-prywatnosc-pozew-wielka-brytania
Podmioty prowadzące rejestry akcjonariuszy to osobni administratorzy
- spółki zobowiązane do udostępnienia informacji o posiadaczach walorów domom maklerskim lub bankom powierniczym nie powinny zawierać z nimi umowy powierzenia
- do organu wpływały wątpliwości co do tego, jaki powinien być charakter umowy dotyczącej przekazania przez spółkę danych osobowych do podmiotu mającego prowadzić rejestr akcjonariuszy – spółki mają dokonać dematerializacji akcji, czyli zamiany papierowych walorów na zapisy w odpowiednich elektronicznych rejestrach, a 30 września mija termin wyboru i zawarcia umowy z podmiotem dokonującym dematerializacji akcji i prowadzącym następnie rejestr akcjonariuszy spółki
- jak prawidłowo przekazać im dane akcjonariuszy? – na rynku pojawiały się pomysły, aby odbyło się to w formie umowy powierzenia, w efekcie spółka wciąż pozostawałaby jedynym administratorem danych osobowych, zaś podmiot prowadzący rejestr – odpowiadałby wyłącznie w zakresie wskazanym w umowie powierzenia
- Prezes UODO stwierdził jednak, że podmioty prowadzące rejestr akcjonariuszy są osobnymi administratorami danych osobowych w związku z tym niewłaściwą praktyką byłoby zawieranie przez spółki oraz podmioty prowadzące rejestr akcjonariuszy umów powierzenia przetwarzania danych osobowych
UODO o karze dla GGK
- Prezes UODO, poza nałożeniem w drodze decyzji administracyjnej kary pieniężnej, zobowiązał Głównego Geodetę Kraju do trwałego zaprzestania udostępniania numerów ksiąg wieczystych
- zdaniem organu tak szeroki dostęp do danych osób fizycznych zawartych w portalu GEOPORTAL2 niesie za sobą ryzyko kradzieży tożsamości
- jak wynika z postępowania przeprowadzonego przez Prezesa UODO, GGK miał świadomość braku podstawy do przetwarzania danych zgodnie z prawem
- w przygotowanym materiale video, organ wyjaśnia jaka jest istota kary nałożonej na GGK, czy numer księgi wieczystej jest daną osobową, a także co dla setek tysięcy obywatelki oznacza decyzja Prezesa UODO w sprawie ksiąg wieczystych
- link do materiału video: https://www.youtube.com/watch?v=iAhFft8N2QI
Źródło: https://uodo.gov.pl/pl/138/1707
W IPN także obowiązuje RODO
- dotychczas uznawano, że RODO nie ma zastosowania do przetwarzania danych osobowych przez Instytut Pamięci Narodowej – jego działalność nie jest bowiem regulowana przepisami unijnymi
- NSA doszedł jednak do innych wniosków – wyrok dotyczy skargi wniesionej do Prezesa UODO, w której pewien mężczyzna widniejący w bazie IPN domagał się usunięcia lub sprostowania informacji z Biuletynu Informacji Publicznej IPN na swój temat (uznawał je za nieprawdziwe)
- organ odmówił wszczęcia postępowania, uznając, że RODO nie znajduje zastosowania
- WSA w Warszawie zgodził się z tą argumentacją wskazując, że działalność związana z ochroną dziedzictwa narodowego, historycznego oraz tożsamością polskiego narodu z oczywistych względów nie może być regulowana prawem UE
- NSA uznał jednak, że takie założenie oznaczałoby, że dane znajdujące się w rejestrach IPN pozostają poza jakąkolwiek kontrolą organów powołanych do przetwarzania i ochrony danych osobowych, nawet jeżeli nie odpowiadają rzeczywistości
- wyrok NSA otwiera możliwość kierowania do IPN żądań realizujących uprawnienia określone w RODO, w tym kwestionowania poprawności i zgodności z prawem przetwarzania danych osobowych – nie oznacza to, że każde z tych żądań będzie skuteczne, ale będzie wymagało indywidualnego rozpatrzenia w IPN zgodnie z przepisami RODO
Źródło: https://prawo.gazetaprawna.pl/artykuly/1490777,rodo-katalog-ipn-prawo-do-bycia-zapomnianym.html
McDonald’s grozi kara za naruszenie RODO
- w publicznie dostępnym katalogu znalazły się dane osobowe pracowników sieci McDonald’s umieszczone w narzędziu do wyświetlania grafików pracy
- UODO wszczął w tej sprawie dochodzenie i jeśli udowodni spółce zaniedbania, może jej grozić kara za naruszenie przepisów o ochronie danych osobowych
- UODO na razie stara się ustalić dokładne okoliczności całego zdarzeni – organ zwrócił się już do McDonald’s o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych
- urzędników najbardziej interesuje to, czy sieć fastfoodowa dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych jej klientów i pracowników
- niezależnie od tego, czy spółka dochowała właściwej staranności, wyjaśnione musi zostać także to, dlaczego w publicznie dostępnym katalogu zamieszczono plik zawierający dane osobowe
- „Ewentualne dalsze kroki organ nadzorczy podejmie po ustaleniu wszelkich okoliczności w tej sprawie” – deklaruje UODO
Oracle i Salesforce pozwani ws. RODO
- Oracle i Salesforce zostali pozwani w Holandii, w drodze jest pozew w Wielkiej Brytanii – zarzucono im naruszenie RODO przy przetwarzaniu i udostępnianiu danych wykorzystywanych w celach reklamowych
- organizacja pozarządowa Privacy Collective w pozwie zbiorowym twierdzi, że koncerny naruszyły obowiązek informacyjny RODO używając plików cookie (Blukai i Krux)
- według zarzutów dane osobowe bez zgody i wiedzy zainteresowanych miały być przekazywane przez Oracle’a i Salesforce’a innym firmom
- pozew złożony w Amsterdamie jest największy w tym kraju ws. RODO
- kolejny trafi do angielskiego Sądu Najwyższego
- przegrana może kosztować koncerny nawet 10 mld euro
- Oracle i Salesforce odrzucają zarzuty jako bezpodstawne
Źródło: https://crn.pl/aktualnosci/oracle-i-salesforce-pozwani-za-rodo/
Irlandia: Facebook musi wstrzymać transfer danych do USA
- Irlandzki urząd ds. ochrony danych skierował do Facebooka wstępny nakaz zaprzestania przesyłania danych osobowych na temat europejskich użytkowników platformy do Stanów Zjednoczonych – podstawowym argumentem urzędu jest niewystarczający poziom ochrony prywatności unijnych internautów.
- decyzja irlandzkiego urzędu ds. ochrony danych to pokłosie wyroku Trybunału Sprawiedliwości Unii Europejskiej, który jeszcze w połowie lipca orzekł, że wbrew zapewnieniom Komisji Europejskiej, tzw. Tarcza Prywatności UE-USA, która miała zapewnić ochronę danych osobowych mieszkańców Unii Europejskiej, w rzeczywistości nie spełnia swojej roli
- rzecznik Facebooka, Matt Sanders, powiedział, że firma planowała przekazywać dane z UE do USA w oparciu o dotychczasowe zasady, wprowadzając jednak szyfrowanie danych, żeby spełnić unijne standardy bezpieczeństwa
- eksperci oceniają jednak, że takie rozwiązanie może być niewystarczające dla unijnych urzędów ochrony danych
- ostateczna decyzja ws. transferu danych Europejczyków przez FB może zapaść już w październiku.
Źródło: https://cyberdefence24.pl/irlandia-facebook-musi-wstrzymac-transfer-danych-do-usa
Newsletter UODO (1)
W najnowszym, wrześniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:
1. KOMORNIK NIE JEST ODBIORCĄ DANYCH
- przedsiębiorca nie musi informować dłużnika o udostępnieniu jego danych komornikowi mającemu przeprowadzić egzekucję długów – komornik nie jest bowiem odbiorcą danych w rozumieniu przepisów RODO
2. WYKAZANIE ISTNIENIA INTERESU PRAWNEGO LEGALIZUJE UDOSTĘPNIENIE DANYCH PRZEZ USC
- zobowiązanie sądu oraz wypis testamentu i oświadczenie, że określone dokumenty są niezbędne do przeprowadzenia postępowania spadkowego są wystarczające do uznania istnienia interesu prawnego i udostępnienia danych osobowych
3. PRÓBY DYSCYPLINOWANIA WŁAŚCICIELI DO PODAWANIA FAKTYCZNEJ LICZBY OSÓB MIESZKAJĄCYCH W DANYM LOKALU
- nieuprawnione jest umieszczenie na poszczególnych klatkach schodowych zbiorczej informacji o liczbie osób mieszkających w danym lokalu, która jest m.in. podstawą do obliczenia zaliczki na poczet opłaty za wywóz nieczystości
Newsletter UODO (2)
4) PASZPORT DOZYMETRYCZNY BEZ MIEJSCA URODZENIA
- Państwowa Agencja Atomistyki – na skutek uwag Prezesa UODO – rezygnuje z przetwarzania w paszporcie dozymetrycznym, czyli w dokumencie pracowników delegowanych wykonujących zadania na rzecz pracodawcy zewnętrznego w warunkach narażenia na promieniowanie jonizujące, danych w postaci miejsca urodzenia
5) JAK POSTĘPOWAĆ Z KORESPONDENCJĄ SKAZANYCH
- skazany funkcyjny nie powinien mieć dostępu do korespondencji innych skazanych przebywających w zakładzie karnym – korespondencję adresowaną do skazanego doręcza mu wyznaczony funkcjonariusz lub pracownik, a jeżeli korespondencja podlega cenzurze lub nadzorowi, doręcza się ją po dokonaniu tych czynności
6) REALIZACJA AUTONOMICZNYCH UPRAWNIEŃ KONTROLNYCH RADNEGO
- radny, realizując swoje szczególne uprawnienia kontrolne może uzyskać dostęp do danych osobowych jedynie w zakresie niezbędnym do realizacji celu określonego w tych przepisach
Karta Lokalizacji Pasażera a RODO
- pasażerowie samolotów, wypełniając formularz zwany Kartą Lokalizacji Pasażera, nie wiedzą, gdzie trafiają ich dane oraz kto nimi administruje – sam formularz jest niezgodny z przepisami RODO, a załogi samolotów często źle informują pasażerów bądź nie informują wcale, komu przekazują karty
- w marcu DGP pisał, że Lotnisko Chopina w Warszawie poinformowało, iż administratorem danych z kart jest Państwowy Graniczny Inspektor Sanitarny w Warszawie – w tekście zarzuty wobec wyglądu druków wysuwali prawnicy, a Adam Sanocki, rzecznik prasowy UODO stwierdził, że nie ma „podstawy do wyłączenia obowiązku wskazania tak podstawowej informacji jak to, kto jest administratorem danych podawanych przez pasażerów na formularzu„
- Rzecznik GIS Jan Bondar potwierdził, że wprowadzenie kart lokalizacyjnych w samolotach wynika z załącznika nr 9 konwencji chicagowskiej – wzór formularza został ogłoszony w Dz.U. Lotnictwa Cywilnego, ale różni się on jednak wstępem u góry oraz układem rubryk od rozdawanej pasażerom karty
- eskperci wskazują, że formularze powinny być objęte RODO i nie spełniają wymogów rozporządzenia o ochronie danych osobowych
- rzecznik UODO wskazuje dodatkowo, że „wątpliwości budzi uznanie zadań pełnionych przez granicznego inspektora sanitarnego (…) jako zadań mających na celu zapewnienia bezpieczeństwa narodowego„
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.