RODO aktualności – 22.09.2020

• do 19 października 2020 r. Europejska Rada Ochrony Danych prowadzi konsultacje publiczne dotyczące Wytycznych 8/2020 w sprawie targetowania użytkowników mediów społecznościowych
• EROD przyjęła wytyczne 2 września 2020 r. podczas 37. posiedzenia plenarnego
• wytyczne mają na celu dostarczenie zainteresowanym stronom praktycznych wskazówek i zawierają przykłady różnych sytuacji, ułatwiające zidentyfikowanie „scenariusza” najbardziej zbliżonego do praktyki targetowania, którą zainteresowani będą mieli zamiar zastosować
• głównym założeniem wytycznych jest wyjaśnienie roli i obowiązków dostawców mediów społecznościowych i ich odbiorców
• wytyczne wskazują m.in. na potencjalne zagrożenia dla wolności osób, główne podmioty i ich role, stosowanie kluczowych zasad i wymogów dotyczących przetwarzania danych osobowych, tj. zgodności z prawem, przejrzystości i dokonywania oceny skutków dla ochrony danych
• wytyczne przedstawiają również kluczowe elementy ustaleń pomiędzy dostawcami
• uwagi należy przesłać za pomocą formularza dostępnego na stronie EROD

Źródło: https://uodo.gov.pl/pl/138/1717

• Prezes UODO regularnie wygrywa przed warszawskim Wojewódzkim Sądem Administracyjnym
• zdaniem wielu prawników, gdyby sędzia – tak jak przy decyzjach prezesa UOKiK – mógł oceniać zasadność decyzji dotyczących naruszenia RODO czy korzystać z biegłych, byłoby mniej przegranych
• jeszcze przed wejściem RODO, decyzje wówczas GIODO, były rzadko podważane – ze sprawozdania za 2019 rok wynika, że WSA, uwzględnił tylko 12% skarg
• spełnienie wymagań RODO to w dużej mierze kwestia ocenna, a rolą sądu powinno być sprawdzenie, czy organ wziął pod uwagę wszystko to, czego RODO w tym zakresie wymaga – a na to procedura sądowo-administracyjna nie pozwala wskazują eksperci
• prawnicy zgodnie twierdzą, że zmiany są konieczne, i jako przykład wskazują Niemcy – tam odwołania od decyzji w sprawie kar są rozpatrywane przez sądy cywilne, odwołania od postanowień nakazowych – przez sądy administracyjne
• eksperci zauważają, że obecne postępowanie odwoławcze od decyzji o nałożeniu kary może nie spełniać standardów przewidzianych w RODO i któraś ze spraw może w końcu trafić do TSUE, a jego wyrok może zmusić ustawodawcę do zmian – w sprawie morele.net złożono wniosek o zadanie pytania prejudycjalnego, ale sąd go nie uwzględnił

Źródło: https://www.prawo.pl/biznes/jaki-sad-powinnien-rozpatrywac-skargi-na-decyzje-prezesa-uodo,503138.html?fbclid=IwAR3xQ5r2fVA2e9IdAiG6ZUGN3Q9ztQ9UZ36Uh11SfoOgT3NcGDBAqZ1E2Sw

• norweski organ ochrony danych nałożył na Norweski Zarząd Dróg Publicznych grzywnę w wysokości 37 400 EUR (400 000 NOK) za przetwarzanie danych osobowych do celów niezgodnych z pierwotnie określonymi celami oraz za nieusuwanie nagrań wideo po 7 dniach
• tłem grzywny jest szeroko zakrojone przetwarzanie danych osobowych przy użyciu stałych kamer drogowych do monitorowania kontrahentów, pracowników, poddostawców i pracowników poddostawców
• wykorzystanie nagrań do udokumentowania naruszeń zawartych umów, kilka miesięcy po zaistnieniu tych naruszeń, jest niezgodne z pierwotnym celem, jakim było umożliwienie wdrożenia natychmiastowych środków zapobiegawczych
• oceniając, czy takie wykorzystanie nagrań wideo było zgodne z pierwotnie określonym celem, norweski organ ochrony danych podkreślił, że takie wykorzystanie nagrań jest sprzeczne ze sposobem, w jaki strony umowy mogą oczekiwać wykorzystywania ich danych osobowych

Źródło: https://edpb.europa.eu/news/national-news/2020/norwegian-dpa-decision-fine-norwegian-public-roads-administration_en

• UODO na swoim Twitterze odpowiedział na pytanie – kto jest administratorem danych osobowych w przypadku biblioteki uniwersyteckiej?
• organ wskazuje, że w takim wypadku administratorem danych osobowych przetwarzanych w związku z działalnością biblioteczną pozostaje uniwersytet, w ramach którego działa biblioteka
• biblioteka nie jest osobnym administratorem, gdyż stanowi integralną część uniwersytetu, przy którym działa
• pozostaje to w związku z przepisami Ustawy Prawo o szkolnictwie wyższym i nauce

Źródło: https://twitter.com/UODOgov_pl/status/1306910846333808640/photo/1

• YouTube świadomie złamał brytyjskie prawo, chroniące prywatność dzieci – sprawa jest w Sądzie Najwyższym Wielkiej Brytanii, a oskarżyciele chcą, by Google zapłacił 2,5 miliarda funtów odszkodowania
• Google został oskarżony o ignorowanie prawa, które chroni prywatność najmłodszych użytkowników internetu – chodzi o to, że zarządzający platformą YouTube doskonale wiedzą, że filmy oglądają miliony dzieci i zarabiają na gromadzeniu danych o nich
• informacje te są wykorzystywane do emitowania kierowanych reklam, zaprojektowanych specjalnie po to, by wpływały na młode umysły
• Google tłumaczy się tym, że YouTube nie jest przeznaczony dla użytkowników poniżej 13 roku życia, a dla najmłodszych powstała aplikacja YouTube Kids, która ma nieco inne mechanizmy działania i zupełnie inne treści – argument ten nie zadziałał w USA, Brytyjczyków też nie przekonuje
• większość materiałów na YouTubie można obejrzeć bez logowania, nie ma więc żadnego zabezpieczenia dla dzieci poniżej 13 roku życia
• pozew złożył analityk Duncan McCann, a popiera go grupa Foxglove – sprawa jest prowadzona w imieniu 5 milionów dzieci w Anglii i Walii

Źródło: https://www.telepolis.pl/wiadomosci/wydarzenia/youtube-dzieci-prywatnosc-pozew-wielka-brytania

• spółki zobowiązane do udostępnienia informacji o posiadaczach walorów domom maklerskim lub bankom powierniczym nie powinny zawierać z nimi umowy powierzenia
• do organu wpływały wątpliwości co do tego, jaki powinien być charakter umowy dotyczącej przekazania przez spółkę danych osobowych do podmiotu mającego prowadzić rejestr akcjonariuszy – spółki mają dokonać dematerializacji akcji, czyli zamiany papierowych walorów na zapisy w odpowiednich elektronicznych rejestrach, a 30 września mija termin wyboru i zawarcia umowy z podmiotem dokonującym dematerializacji akcji i prowadzącym następnie rejestr akcjonariuszy spółki
• jak prawidłowo przekazać im dane akcjonariuszy? – na rynku pojawiały się pomysły, aby odbyło się to w formie umowy powierzenia, w efekcie spółka wciąż pozostawałaby jedynym administratorem danych osobowych, zaś podmiot prowadzący rejestr – odpowiadałby wyłącznie w zakresie wskazanym w umowie powierzenia
• Prezes UODO stwierdził jednak, że podmioty prowadzące rejestr akcjonariuszy są osobnymi administratorami danych osobowych w związku z tym niewłaściwą praktyką byłoby zawieranie przez spółki oraz podmioty prowadzące rejestr akcjonariuszy umów powierzenia przetwarzania danych osobowych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1489775,uodo-podmioty-prowadzace-rejestr-akcjonariuszy-administratorzy-dane-osobowe.html

• Prezes UODO, poza nałożeniem w drodze decyzji administracyjnej kary pieniężnej, zobowiązał Głównego Geodetę Kraju do trwałego zaprzestania udostępniania numerów ksiąg wieczystych
• zdaniem organu tak szeroki dostęp do danych osób fizycznych zawartych w portalu GEOPORTAL2 niesie za sobą ryzyko kradzieży tożsamości
• jak wynika z postępowania przeprowadzonego przez Prezesa UODO, GGK miał świadomość braku podstawy do przetwarzania danych zgodnie z prawem
• w przygotowanym materiale video, organ wyjaśnia jaka jest istota kary nałożonej na GGK, czy numer księgi wieczystej jest daną osobową, a także co dla setek tysięcy obywatelki oznacza decyzja Prezesa UODO w sprawie ksiąg wieczystych
• link do materiału video: https://www.youtube.com/watch?v=iAhFft8N2QI

Źródło: https://uodo.gov.pl/pl/138/1707

• dotychczas uznawano, że RODO nie ma zastosowania do przetwarzania danych osobowych przez Instytut Pamięci Narodowej – jego działalność nie jest bowiem regulowana przepisami unijnymi
• NSA doszedł jednak do innych wniosków – wyrok dotyczy skargi wniesionej do Prezesa UODO, w której pewien mężczyzna widniejący w bazie IPN domagał się usunięcia lub sprostowania informacji z Biuletynu Informacji Publicznej IPN na swój temat (uznawał je za nieprawdziwe)
• organ odmówił wszczęcia postępowania, uznając, że RODO nie znajduje zastosowania
• WSA w Warszawie zgodził się z tą argumentacją wskazując, że działalność związana z ochroną dziedzictwa narodowego, historycznego oraz tożsamością polskiego narodu z oczywistych względów nie może być regulowana prawem UE
• NSA uznał jednak, że takie założenie oznaczałoby, że dane znajdujące się w rejestrach IPN pozostają poza jakąkolwiek kontrolą organów powołanych do przetwarzania i ochrony danych osobowych, nawet jeżeli nie odpowiadają rzeczywistości
• wyrok NSA otwiera możliwość kierowania do IPN żądań realizujących uprawnienia określone w RODO, w tym kwestionowania poprawności i zgodności z prawem przetwarzania danych osobowych – nie oznacza to, że każde z tych żądań będzie skuteczne, ale będzie wymagało indywidualnego rozpatrzenia w IPN zgodnie z przepisami RODO

Źródło: https://prawo.gazetaprawna.pl/artykuly/1490777,rodo-katalog-ipn-prawo-do-bycia-zapomnianym.html

• w publicznie dostępnym katalogu znalazły się dane osobowe pracowników sieci McDonald’s umieszczone w narzędziu do wyświetlania grafików pracy
• UODO wszczął w tej sprawie dochodzenie i jeśli udowodni spółce zaniedbania, może jej grozić kara za naruszenie przepisów o ochronie danych osobowych
• UODO na razie stara się ustalić dokładne okoliczności całego zdarzeni – organ zwrócił się już do McDonald’s o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych
• urzędników najbardziej interesuje to, czy sieć fastfoodowa dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych jej klientów i pracowników
• niezależnie od tego, czy spółka dochowała właściwej staranności, wyjaśnione musi zostać także to, dlaczego w publicznie dostępnym katalogu zamieszczono plik zawierający dane osobowe
• „Ewentualne dalsze kroki organ nadzorczy podejmie po ustaleniu wszelkich okoliczności w tej sprawie” – deklaruje UODO

Źródło: https://spidersweb.pl/bizblog/mcdonalds-uodo-rodo/

• Oracle i Salesforce zostali pozwani w Holandii, w drodze jest pozew w Wielkiej Brytanii – zarzucono im naruszenie RODO przy przetwarzaniu i udostępnianiu danych wykorzystywanych w celach reklamowych
• organizacja pozarządowa Privacy Collective w pozwie zbiorowym twierdzi, że koncerny naruszyły obowiązek informacyjny RODO używając plików cookie (Blukai i Krux)
• według zarzutów dane osobowe bez zgody i wiedzy zainteresowanych miały być przekazywane przez Oracle’a i Salesforce’a innym firmom
• pozew złożony w Amsterdamie jest największy w tym kraju ws. RODO
• kolejny trafi do angielskiego Sądu Najwyższego
• przegrana może kosztować koncerny nawet 10 mld euro
• Oracle i Salesforce odrzucają zarzuty jako bezpodstawne

Źródło: https://crn.pl/aktualnosci/oracle-i-salesforce-pozwani-za-rodo/

• Irlandzki urząd ds. ochrony danych skierował do Facebooka wstępny nakaz zaprzestania przesyłania danych osobowych na temat europejskich użytkowników platformy do Stanów Zjednoczonych – podstawowym argumentem urzędu jest niewystarczający poziom ochrony prywatności unijnych internautów.
• decyzja irlandzkiego urzędu ds. ochrony danych to pokłosie wyroku Trybunału Sprawiedliwości Unii Europejskiej, który jeszcze w połowie lipca orzekł, że wbrew zapewnieniom Komisji Europejskiej, tzw. Tarcza Prywatności UE-USA, która miała zapewnić ochronę danych osobowych mieszkańców Unii Europejskiej, w rzeczywistości nie spełnia swojej roli
• rzecznik Facebooka, Matt Sanders, powiedział, że firma planowała przekazywać dane z UE do USA w oparciu o dotychczasowe zasady, wprowadzając jednak szyfrowanie danych, żeby spełnić unijne standardy bezpieczeństwa
• eksperci oceniają jednak, że takie rozwiązanie może być niewystarczające dla unijnych urzędów ochrony danych
• ostateczna decyzja ws. transferu danych Europejczyków przez FB może zapaść już w październiku.

Źródło: https://cyberdefence24.pl/irlandia-facebook-musi-wstrzymac-transfer-danych-do-usa

W najnowszym, wrześniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

1. KOMORNIK NIE JEST ODBIORCĄ DANYCH

• przedsiębiorca nie musi informować dłużnika o udostępnieniu jego danych komornikowi mającemu przeprowadzić egzekucję długów – komornik nie jest bowiem odbiorcą danych w rozumieniu przepisów RODO

2. WYKAZANIE ISTNIENIA INTERESU PRAWNEGO LEGALIZUJE UDOSTĘPNIENIE DANYCH PRZEZ USC

• zobowiązanie sądu oraz wypis testamentu i oświadczenie, że określone dokumenty są niezbędne do przeprowadzenia postępowania spadkowego są wystarczające do uznania istnienia interesu prawnego i udostępnienia danych osobowych

3. PRÓBY DYSCYPLINOWANIA WŁAŚCICIELI DO PODAWANIA FAKTYCZNEJ LICZBY OSÓB MIESZKAJĄCYCH W DANYM LOKALU

• nieuprawnione jest umieszczenie na poszczególnych klatkach schodowych zbiorczej informacji o liczbie osób mieszkających w danym lokalu, która jest m.in. podstawą do obliczenia zaliczki na poczet opłaty za wywóz nieczystości

4) PASZPORT DOZYMETRYCZNY BEZ MIEJSCA URODZENIA

• Państwowa Agencja Atomistyki – na skutek uwag Prezesa UODO – rezygnuje z przetwarzania w paszporcie dozymetrycznym, czyli w dokumencie pracowników delegowanych wykonujących zadania na rzecz pracodawcy zewnętrznego w warunkach narażenia na promieniowanie jonizujące, danych w postaci miejsca urodzenia

5) JAK POSTĘPOWAĆ Z KORESPONDENCJĄ SKAZANYCH

• skazany funkcyjny nie powinien mieć dostępu do korespondencji innych skazanych przebywających w zakładzie karnym – korespondencję adresowaną do skazanego doręcza mu wyznaczony funkcjonariusz lub pracownik, a jeżeli korespondencja podlega cenzurze lub nadzorowi, doręcza się ją po dokonaniu tych czynności

6) REALIZACJA AUTONOMICZNYCH UPRAWNIEŃ KONTROLNYCH RADNEGO

• radny, realizując swoje szczególne uprawnienia kontrolne może uzyskać dostęp do danych osobowych jedynie w zakresie niezbędnym do realizacji celu określonego w tych przepisach

Źródło: https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• pasażerowie samolotów, wypełniając formularz zwany Kartą Lokalizacji Pasażera, nie wiedzą, gdzie trafiają ich dane oraz kto nimi administruje – sam formularz jest niezgodny z przepisami RODO, a załogi samolotów często źle informują pasażerów bądź nie informują wcale, komu przekazują karty
• w marcu DGP pisał, że Lotnisko Chopina w Warszawie poinformowało, iż administratorem danych z kart jest Państwowy Graniczny Inspektor Sanitarny w Warszawie – w tekście zarzuty wobec wyglądu druków wysuwali prawnicy, a Adam Sanocki, rzecznik prasowy UODO stwierdził, że nie ma „podstawy do wyłączenia obowiązku wskazania tak podstawowej informacji jak to, kto jest administratorem danych podawanych przez pasażerów na formularzu„
• Rzecznik GIS Jan Bondar potwierdził, że wprowadzenie kart lokalizacyjnych w samolotach wynika z załącznika nr 9 konwencji chicagowskiej – wzór formularza został ogłoszony w Dz.U. Lotnictwa Cywilnego, ale różni się on jednak wstępem u góry oraz układem rubryk od rozdawanej pasażerom karty
• eskperci wskazują, że formularze powinny być objęte RODO i nie spełniają wymogów rozporządzenia o ochronie danych osobowych
• rzecznik UODO wskazuje dodatkowo, że „wątpliwości budzi uznanie zadań pełnionych przez granicznego inspektora sanitarnego (…) jako zadań mających na celu zapewnienia bezpieczeństwa narodowego„

Źródło: https://konkret24.tvn24.pl/polska,108/karta-lokalizacji-pasazera-dane-osobowe-zbierane-niezgodnie-z-procedurami,1028719.html