RODO aktualności – 25.01.2021 r.

• opinia rzecznika generalnego TSUE, to konsekwencja postępowania sądowego, jakie wytoczyły belgijskie organy ochrony danych we wrześniu 2015 roku przeciwko spółkom należącym do Facebooka zarejestrowanym w Irlandii, które stanowią centrum operacyjne dla użytkowników portalu w Unii Europejskiej
• belgowie chcieli, by portal zaprzestał umieszczania na urządzeniach użytkowników internetu, bez ich zgody, plików cookie oraz nadmiernego gromadzenia danych za pomocą wtyczek społecznościowych i pikseli w witrynach osób trzecich
• jak wynika z opinii rzecznika generalnego Trybunału Sprawiedliwości Unii Europejskiej Michela Bobeka, organom ochrony danych w państwach Unii Europejskiej przysługuje uprawnienie do wszczynania postępowań sądowych w sprawie naruszeń przepisów RODO w związku z transgranicznym przetwarzaniem danych
• opinia rzecznika nie jest w żaden sposób wiążąca dla TSUE, ale bardzo często pokrywa się z ostatecznym wyrokiem unijnych sędziów

Źródło: https://polskatimes.pl/jest-opinia-rzecznika-generalnego-tsue-ws-facebooka-przekazywanie-danych-uzytkownikow-z-ue-do-usa-moze-naruszac-przepisy-rodo/ar/c1-15387679

• Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na decyzję prezesa Urzędu Ochrony Danych Osobowych, który nałożył karę administracyjną 8 tys. zł na spółkę administrującą wspólnotą mieszkaniową
• przeprowadzona z upoważnienia prezesa UODO kontrola monitoringu wizyjnego zainstalowanego na terenie wspólnoty wykazała, że spółka działała niezgodnie z przepisami o ochronie danych osobowych
• przetwarzała dane osobowe bez zawartej w tym celu umowy i nie wdrożyła odpowiednich środków organizacyjnych i technicznych do kontroli udostępniania nagrań – choć spółka uwzględniła zarzuty i zawarła umowy, nie uniknęła kary 8 tys. zł
• w odwołaniu do WSA spółka broniła się, że UODO nie wykazał, że w związku z wejściem w posiadanie nowych haseł do monitoringu dokonywała jakichkolwiek operacji – nieuprawniony jest więc pogląd, że jest administratorem danych z monitoringu
• w zleceniu wykonania audytu monitoringu odgrywała jedynie rolę techniczną i usługową, pośrednicząc między wspólnotą mieszkaniową a wykonawcą w nawiązaniu współpracy
• WSA oddalił skargę – uznał, że spółka miała dostęp do danych osobowych przetwarzanych w ramach monitoringu wizyjnego w związku z bieżącym administrowaniem nieruchomością i decydowała o celach i sposobach przetwarzania danych

Źródło: https://www.rp.pl/Nieruchomosci/301139974-8-tys-zl-kary-dla-administratora-wspolnoty-mieszkaniowej-za-naruszenie-RODO.html

• podczas 40. posiedzenia plenarnego Komitetu Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych, delegacje Państw-Stron Konwencji zdecydowały o przyjęciu Wytycznych dotyczących ochrony danych dzieci w środowisku edukacyjnym
• wytyczne wyjaśniają kwestie związane z realizacją podstawowych zasad praw dziecka w placówkach edukacyjnych w kontekście ochrony danych osobowych
• dokument zawiera szereg wskazówek, które mają pomóc ustawodawcom i decydentom, administratorom danych, a także branży w przestrzeganiu tych praw – podkreśla się m.in. potrzebę regularnego przeglądu prawodawstwa, polityk i praktyki, uwzględniając w tym również konieczność zapewnienia środków skutecznego wsparcia dla praw dzieci
• wśród zaleceń wskazano kluczowe obszary, na które należy zwrócić szczególną uwagę, w szczególności zasady legalności, rzetelności, zapewnienia oceny ryzyka, zatrzymywania danych, zabezpieczenia danych w środowisku edukacyjnym, zautomatyzowanych decyzji i profilowania oraz przetwarzania danych biometrycznych
• w dokumencie wskazano również zalecenia dla branży, tak by w tej dziedzinie również zadbano o dzieci i ich prawa w kontekście m.in. norm, przejrzystości oraz projektowania funkcji z uwzględnieniem ochrony danych i prywatności

Źródło: https://uodo.gov.pl/pl/138/1824

• do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych od Telmedicin sp. z o.o. odpowiedzialnej za platformę telemedyczną oraz zdalne konsultacje z lekarzami różnych specjalności
• administrator otrzymał informację od osoby postronnej, o błędzie bezpieczeństwa w jednym z podsystemów, odpowiedzialnym za obsługę rozmów głosowych
• z powodu luki w systemie osoba nieuprawniona przez krótki czas mogła mieć nieuprawniony dostęp do numeru telefonu użytkownika, a jeśli konsultacja zawierała nagranie audio – możliwość jego pobrania
• spółka niezwłocznie po uzyskaniu tej informacji usunęła błąd, blokując działanie podsystemu, bez innych konsekwencji dla zachowania ciągłości obsługi klientów – ponadto administrator zabezpieczył dane przed nieuprawnionym dostępem
• zaistniały incydent może skutkować utratą poufności danych osobowych pacjentów, które są chronione tajemnicą zawodową

Źródło: https://uodo.gov.pl/pl/138/1821

• EROD i EIOD przyjęły wspólne opinie w sprawie projektów dwóch zestawów standardowych klauzul umownych (SKU)
• EROD i EIOD z zadowoleniem przyjęli SKU jako narzędzie rozliczalności, które ułatwi przestrzeganie przepisów RODO
• zażądano kilku poprawek w celu nadania tekstowi większej jasności i zapewnienia jego praktycznej użyteczności
• poprawki obejmują wzajemne oddziaływanie tych dwóch dokumentów, tak zwaną „klauzulę dokowania”, która umożliwia dodatkowym podmiotom przystąpienie do SKU, oraz inne aspekty związane z obowiązkami podmiotów przetwarzających
• ponadto EROD i EIOD sugerują, aby załączniki do SKU wyjaśniały w jak największym stopniu role i obowiązki każdej ze stron w odniesieniu do każdej czynności przetwarzania
• projekt SKU dotyczących przekazywania danych osobowych do państw trzecich zgodnie z art. 46 ust. 2 lit. c) RODO zastąpi dotychczasowe SKU dla międzynarodowych transferów, które zostały przyjęte na podstawie dyrektywy 95/46 i wymagały aktualizacji w celu dostosowania ich do wymogów RODO, a także z uwzględnieniem wyroku w sprawie Schrems II

Źródło: https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_en

• organ ochrony danych w Dolnej Saksonii nałożył grzywnę w wysokości 10,4 miliona euro za utrzymywanie pracowników pod stałym nadzorem wideo bez podstawy prawnej
• ukarana została spółka prowadząca internetowy portal e-commerce i sieć sklepów zajmująca się sprzedażą laptopów i innych materiałów informatycznych – firma zainstalowała dwa lata temu system monitoringu wideo w swoich magazynach, salonach sprzedaży i wspólnych obszarach roboczych w celu zapobiegania kradzieżom i śledzenia przemieszczania się produktów
• urzędnicy powiedzieli, że system monitoringu wideo był cały czas aktywny, a nagrania były przechowywane w bazie danych aż przez 60 dni
• niemiecki organ stwierdził, że nadzór wideo nie powinien być używany jako „środek odstraszający” w celu zapobiegania przestępstwom, ale tylko wtedy, gdy pracodawca miał uzasadnione podejrzenia wobec niektórych pracowników – w takich przypadkach pracownicy mogli być monitorowani przez ograniczony czas do potwierdzenia podejrzenia
• zdaniem niemieckiego organu monitoring wideo jest szczególnie intensywnym naruszeniem dóbr osobistych, ponieważ teoretycznie całe zachowanie danej osoby można obserwować i analizować

• z powodu ciągłego monitoringu wideo pracownicy są pod ciągłym stresem i presją, aby zachowywać się tak dyskretnie, jak to tylko możliwe, aby uniknąć krytyki za swoje zachowanie
• spółka rejestrowała również klientów podczas testowania urządzeń w swoich salonach bez ich wiedzy lub zgody, co stanowi kolejne poważne naruszenie prywatności
• spółka nie zgadza się z decyzją i wskazuje, że w żadnym momencie system wideo nie został zaprojektowany do monitorowania zachowania lub wydajności pracowników – nie był nawet do tego przystosowany technicznie

Źródło: https://www.zdnet.com/article/gdpr-german-laptop-retailer-fined-eur10-4m-for-video-monitoring-employees/

• do 2 marca 2021 r. Europejska Rada Ochrony Danych przyjmuje uwagi dotyczące Wytycznych 1/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych
• wytyczne te uzupełniają wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych, wprowadzając bardziej praktyczne wskazówki i zalecenia – dokument ma na celu pomoc administratorom danych w podjęciu decyzji, jak postępować w przypadku naruszenia ochrony danych i jakie czynniki wziąć pod uwagę podczas oceny ryzyka
• wytyczne zawierają spis najczęściej występujących przypadków naruszeń ochrony danych , takich jak: ataki ransomware, ataki polegające na eksfiltracji danych oraz przypadki zgubionych lub skradzionych urządzeń i dokumentów w formie papierowej ‒ opracowane w oparciu o doświadczenia organów nadzorczych
• w poszczególnych kategoriach wytyczne przedstawiają najbardziej typowe dobre lub złe praktyki, porady dotyczące identyfikacji i oceny ryzyka, podkreślają czynniki, na które należy zwrócić szczególną uwagę, a także informują, w jakich przypadkach administrator powinien powiadomić o naruszeniu organ nadzorczy i/lub powiadomić o nim osoby, których dane dotyczą
• uwagi należy przesłać najpóźniej do 2 marca 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://uodo.gov.pl/pl/138/1857

• UODO wskazuje, że choć do zatwierdzenia pierwszych kodeksów postępowania jest już coraz bliżej, to wciąż nie mamy w Polsce takiego dokumentu, który byłby już stosowany – powodów tej sytuacji ma być kilka
• do UODO wpłynęło dotąd osiem wniosków o zatwierdzenie kodeksów postępowania
• wśród części przedłożonych projektów kodeksów można zauważyć duże zrozumienie projektodawców dla zasad tworzenia oraz zatwierdzania kodeksów postępowania – inicjatorzy są też mocno zaangażowani w konstruowanie przejrzystych rozwiązań
• są jednak i takie projekty kodeksów, które pobieżnie regulują poszczególne kwestie ochrony danych osobowych w danym sektorze lub stanowią bezrefleksyjne powtórzenie przepisów RODO
• w innych projektodawcy przedstawiali rozwiązania, które nie prowadziły do uszczegółowienia przepisów z zakresu ochrony danych osobowych, nie służyły zapewnieniu przejrzystości oraz rzetelności procesu przetwarzania danych osobowych
• również mechanizmy monitorowania przestrzegania kodeksów niekiedy nie były dostosowane do wymogów wynikających z Wytycznych EROD
• w przypadku niektórych projektów kodeksów UODO już kilka miesięcy temu przedstawił ich autorom swoje uwagi

Źródło: https://uodo.gov.pl/pl/138/1858 https://www.prawo.pl/biznes/kodeksy-rodo-osiem-projektow-ale-zaden-jeszcze-nie-zatwierdzony,505991.html

• DLA Piper po raz trzeci przygotowała raport o zgłaszanych naruszeniach RODO i upublicznionych przez organy krajowe karach
• w okresie od 28 stycznia 2020 roku do 19 stycznia 2021 roku europejskie organy nałożyły kary o łącznej wartości 272,5 mln euro
• w ostatnim roku zgłoszono 121 165 naruszeń
• UODO odnotował 8 635 przypadków zgłoszeń naruszeń – tym samym zajął 6. pozycję wśród 27 krajów UE
• w tej klasyfikacji pierwsze miejsce zajmują Niemcy – 77,7 tysiąca zgłoszeń
• całkowita kwota nałożonych kar wyniosła w Polsce 1 705 683 euro, plasując nasz kraj na 9. miejscu w zestawieniu krajów z największymi karami.
• w tej klasyfikacji wygrywają Włochy – 69,3 mln euro kar
• nadal najwyższą jak dotąd karą pieniężną jest ta nałożona przez francuski organ nadzoru na Google – gigant ma zapłacić 50 mln euro za naruszenia zasady transparentności i braku ważnej zgody

Źródło https://www.prawo.pl/biznes/naruszenia-rodo-ile-zgloszen-jakie-kary-raport-dla-piper-2021,505883.html

• komunikator WhatsApp zaktualizował Politykę prywatności – zmiany zakładają m.in. możliwość przesyłania danych do Facebook’a, takich jak np. numery telefonów użytkowników, zaktualizowane przepisy wywołały powszechne poruszenie dotyczące ochrony prywatności osób korzystających z popularnego komunikatora
• sprawę postanowił zająć się włoski urząd ochrony danych osobowych – jego zdaniem nowy regulamin, a w szczególności punkt odnoszący się do udostępniania danych innym firmom, jest niejasny i w związku z tym należy dokładnie go przeanalizować
• UODO wskazuje, że również zajęło się sprawą zaktualizowanej Polityki komunikatora, który budzi powszechne kontrowersje – podjęte działania są efektem współpracy z podobnymi instytucjami zrzeszonymi w ramach EROD
• dodatkowo UODO podkreśliło, że na tym etapie trudno jest rozstrzygnąć jakie konsekwencje niosą za sobą dla użytkowników z UE wprowadzone przez WhatsAppa zmiany
• ciężko jest również wyrokować, jak prowadzona przez krajowe instytucje ochrony danych analiza zakończy się.
• WhatsApp twierdzi, że aktualizacja przepisów „nie wpływa w żaden sposób na prywatność wiadomości wymienianych z rodziną i znajomymi”, a wprowadzone zmiany dotyczą wysyłania wiadomości do firm za pomocą komunikatora, co jest „opcjonalne i zwiększa przejrzystość” w zakresie gromadzenia i przetwarzania danych

Źródło: https://www.cyberdefence24.pl/nowa-polityka-whatsappa-narusza-prywatnosc-uodo-bada-sprawe

• w odpowiedzi na skierowane zapytanie, Prezes UODO poinformował, że z powodu stanu epidemii COVID-19 nie opracował planów kontroli sektorowych na rok 2021
• plany mają być sporządzone wtedy, gdy sytuacja epidemiczna pozwoli na bezpieczne przeprowadzenie kontroli

Źródło: https://www.linkedin.com/feed/update/urn:li:activity:6757265040610537472/