RODO aktualności – 09.03.2021 r.

• Wojewódzki Sąd Administracyjny w Warszawie przyznał rację Prezesowi UODO, który umorzył postępowanie dotyczące obowiązku składania przez sędziów i prokuratorów oświadczeń o członkostwie w zrzeszeniu lub w stowarzyszeniu oraz ich upubliczniania w Biuletynie Informacji Publicznej – oddalił tym samym skargę RPO na tę decyzję organu nadzorczego
• zdaniem sądu Prezes UODO słusznie więc uznał, że wspomniany obowiązek nałożony na sędziów i prokuratorów nie narusza RODO, gdyż wynika on z przepisów prawa
• UODO badając sprawę na wniosek RPO przeanalizował przepisy ustawy o zmianie ustaw – Prawo o ustroju sądów powszechnych, ustawy o Sądzie Najwyższym oraz niektórych innych ustaw, które zobowiązały sędziów i prokuratorów do składania wspomnianych oświadczeń, które następnie są publikowane w BIP
• postępowanie UODO wykazało, że przetwarzanie danych osobowych sędziów i prokuratorów jest zatem wynikiem wykonania przez ww. osoby obowiązku jednoznacznie określonego w przepisie prawa i ma oparcie w art. 6 ust. 1 lit. c) RODO

Źródło: https://uodo.gov.pl/pl/138/1922 https://www.rp.pl/Sedziowie-i-sady/302229941-WSA-oddalil-skarge-RPO-na-decyzje-Prezesa-UODO-ws-oswiadczen-sedziow-i-prokuratorow-o-przynaleznosci-do-zrzeszen.html

• Prezes UODO pozytywnie zaopiniował projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali
• podmioty medyczne, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projektach mogą rozpocząć dostosowywanie do ich postanowień
• po ewentualnej akredytacji do konkretnego kodeksu podmiot monitorujący będzie mógł rozpocząć procedurę oceny wstępnej kandydatów na członków tego kodeksu
• do tego czasu powoływanie się na postanowienia opiniowanych kodeksów w relacjach z osobami, których dane dotyczą, uczestnikami procesów przetwarzania i organem ds. ochrony danych jest bezskuteczne – dopiero zatwierdzenie kodeksu i umieszczenie go w publicznym rejestrze prowadzonym przez Prezesa UODO da taką możliwość
• w celu uzyskania akredytacji podmioty, które chcą zostać podmiotami monitorującymi muszą wystąpić do Prezesa UODO – wymogi akredytacji są dostępne na stronie internetowej pod adresem: https://uodo.gov.pl/pl/138/1861

Źródło: https://uodo.gov.pl/pl/138/1923

• Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Głównego Geodety Kraju na decyzję UODO w sprawie nałożenia administracyjnej kary pieniężnej w kwocie 100 tys. zł za udaremnienie przeprowadzenia kontroli
• przez brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie kontrolerzy UODO nie mogli ustalić następujących kwestii: w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków, za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych oraz czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych
• UODO, biorąc pod uwagę celowe działanie GGK, które uniemożliwiło przeprowadzenie kontroli w pełnym zakresie, stwierdził naruszenie przez niego przepisów RODO, polegające na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań
• ponadto GGK nie współpracował z UODO w trakcie tej kontroli

Źródło: https://uodo.gov.pl/pl/138/1926

• Prezes UODO nałożył karę w wysokości ponad 21 tys. złotych na spółkę Anwara Sp. z o.o., która, będąc administratorem danych osobowych, nie wywiązała się z obowiązku współpracy z organem nadzorczym i nie dostarczyła mu wszelkich informacji potrzebnych do realizacji jego zadań w toku postępowania
• spółka w związku z postępowaniem administracyjnym, prowadzonym w celu rozpoznania skargi osoby fizycznej, dwukrotnie zignorowała wystosowane do niej pisemne wezwania do złożenia wyjaśnień
• pomimo prawidłowego doręczenia pism spółka nie przedstawiła żadnych przyczyn uzasadniających zaniechanie po jej stronie
• w związku z nieudzieleniem przez spółkę informacji niezbędnych do rozstrzygnięcia sprawy, organ nadzorczy wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na nią administracyjnej kary pieniężnej
• ukarany podmiot także w tej sprawie nie ustosunkował się w żaden sposób do ww. korespondencji i nie złożył wyjaśnień

Źródło https://uodo.gov.pl/pl/138/1897

• prokuratura i policja w Częstochowie sprawdzą, czy w Miejskim Ośrodku Pomocy Społecznej w Częstochowie nie doszło do kradzieży danych osobowych pracowników
• dane miały zostać wykorzystane do głosowania w ramach ostatniej edycji budżetu obywatelskiego w Częstochowie
• sprawa dotyczy danych kilkudziesięciu pracowników
• istnieje również podejrzenie, że tak samo postąpiono w przypadku podopiecznych MOPS
• o incydencie powiadomiony został również Prezes UODO

Źródło: https://czestochowa.naszemiasto.pl/kradziez-danych-osobowych-pracownikow-czestochowskiego-mops/ar/c1-8150221

• w grudniu 2020 roku Straż Miejska w Toruniu otrzymała informację o wycieku danych 220 osób
• dane znalazły się w brudnopisie jednej z funkcjonariuszek w jej miejscu zamieszkania – miała do nich dostęp ona oraz osoba zgłaszająca ten fakt, która również jest funkcjonariuszem publicznym
• straż miejska poinformowała o zdarzeniu Urząd Ochrony Danych Osobowych
• Prezes UODO polecił podjęcie działań, które zminimalizują ryzyko takich incydentów
• strażnicy miejscy mają zostać przeszkoleni w zakresie prawidłowego dokumentowania czynności służbowych – zostanie im też wydane polecenie prowadzenia wyłącznie jednego notatnika służbowego
• o wycieku – ze względu na rodzaj danych zawartych w brudnopisie, m.in. numer PESEL – straż miejska musiała poinformować 62 z 220 osób
• sprawa badana jest też pod kątem karnym – w tej sprawie czynności prowadzi też prokuratura w Elblągu

Źródło: https://torun.wyborcza.pl/torun/7,48723,26827155,ze-strazy-miejskiej-w-toruniu-wyciekly-dane-220-osob.html

• zgoda na marketing powinna być zebrana na każdy kanał komunikacji – tak wynika z uzasadnienia do projektu nowego prawa komunikacji elektronicznej
• w ubiegłym tygodniu najnowsza wersja projektu nowego prawa komunikacji elektronicznej trafiła do Komitetu do Spraw Europejskich i wkrótce ma być przyjęty przez rząd
• zgodnie z projektowanym art. 39(3) PKE tak jak dotychczas zakazane będzie wysyłanie informacji handlowych, w tym marketing bezpośredni, bez zgody abonenta lub użytkownika końcowego i choć z przepisu to nie wynika wprost, to w uzasadnieniu doprecyzowano, że zgoda na marketing musi być wyrażona na każdy kanał komunikacji
• nie wynika to z przepisu ustawy, ale skoro taką interpretację wskazał w uzasadnieniu ustawodawca, to trudno będzie dowieść w sądzie, że prawidłowa jest inna interpretacja – twierdzą jedni eksperci
• inni eksperci podkreślają jednak, że zdanie z uzasadnienia nie tylko nie wynika z przepisu, ale także przedstawia jedynie jedną z możliwych interpretacji przepisów, i to nie dominującą
• zgodnie z art. 91 ustawy wprowadzającej PKE dotychczasowe zgody zachowują swoją moc, jeżeli ich „pierwotny” sposób wyrażenia odpowiada wymogom nowych przepisów

Źródło: https://www.prawo.pl/biznes/zgoda-marketingowa-na-kazdy-kanal-komunikacji-projekt-pke,506641.html

• Komisja Europejska wszczęła procedurę w sprawie przyjęcia dwóch decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do przekazywania danych osobowych do Zjednoczonego Królestwa
• jedna z decyzji ma zostać przyjęta na podstawie RODO, a druga na podstawie dyrektywy o ochronie danych w sprawach karnych (tzw. dyrektywie policyjnej)
• zgodnie z art. 45 ust. 3 RODO, Komisja Europejska może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony
• swobodny przepływ danych między EOG a Zjednoczonym Królestwem został utrzymany maksymalnie do 1 lipca 2021 r. – tzw. klauzulę pomostową przewidziano w postanowieniach końcowych zawartej Umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej

Źródło: https://uodo.gov.pl/pl/138/1928

• RODO co do zasady zabrania przetwarzania danych biometrycznych, poza pewnymi wyjątkami
• holenderski organ wskazał, że o ile biometria może być wykorzystywana do kontroli wstępu z uwagi na bardzo wysoką potrzebę zapewnienia bezpieczeństwa, to jej zastosowanie nie jest zasadne przy wejściu do innych pomieszczeń, jak np. warsztat
• szwedzki organ nadzoru badał przetwarzanie danych biometrycznych przez jedną ze szkół – wprowadziła ona możliwość przetwarzania danych biometrycznych w postaci rysów twarzy uczniów w celu automatycznego potwierdzania ich obecności
• szkoła ta wskazywała zgodę, jako podstawę przetwarzania danych – szwedzki organ nałożył w tej sprawie karę na szkołę, gdyż uznał, że przetwarzanie szczególnych kategorii danych musi mieć oparcie zarówno w przesłankach legalizujących, a także jednocześnie musi być zgodne z zasadami przetwarzania danych
• Sąd Administracyjny w Marsylii zakwestionował zgodę jako podstawę przetwarzania danych biometrycznych przez dwie szkoły, które wykorzystywały technologie rozpoznawania twarzy do kontrolowania wejścia i wyjścia uczniów do budynku – sąd uznał, że uczniowie nie mogli wyrazić zgody na zbieranie danych osobowych w sposób swobodny i świadomy, ze względu na stosunek zwierzchnictwa wiążący uczniów z administracją szkoły

• UODO w swojej decyzji dotyczącej szkoły, która pozyskiwała dane biometryczne od uczniów, stwierdził, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu
• zdaniem polskiego organu szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka – Prezes UODO nałożył więc na szkołę karę w wysokości 20 tys. zł za to, że przetwarzała dane biometryczne dzieci i nakazał jej usunąć te dane
• decyzja ta została zaskarżona do Wojewódzkiego Sądu Administracyjnego, który ją uchylił – WSA uznał w tej sprawie, że wyrażenie zgody legalizuje pobieranie i przetwarzanie danych biometrycznych dzieci
• UODO jednak z tym się nie zgadza i jego zdaniem udzielona przez rodziców zgoda na przetwarzanie danych biometrycznych ich dzieci nie może być uznana za dobrowolną
• organ podkreśla, że sądy administracyjne w Polsce zajmowały się już przetwarzaniem danych biometrycznych – Naczelny Sąd Administracyjny uznał, że wykorzystywanie danych biometrycznych pracowników do kontroli czasu pracy narusza zasadę adekwatności i wskazał, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania

• Prezes UODO wskazuje, że wyrok WSA, który uchylił decyzję Prezesa UODO nakładającą karę na szkołę, przetwarzającą dane biometryczne uczniów jest w opozycji do wcześniejszego orzecznictwa NSA
• WSA uznał, że UODO zbyt rygorystycznie podszedł do zasady minimalizacji danych. Sąd ten stwierdził, że wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.
• UODO nie zgadza się też ze stwierdzeniem WSA, że w decyzji zbyt rygorystycznie zinterpretowano zasadę minimalizacji danych
• organ poinformował, że biorąc pod uwagę ryzyka związane z przetwarzaniem danych, zasady określone w RODO, Prezes UODO złożył do Naczelnego Sądu Administracyjnego kasację od wspomnianego wyroku WSA

Źródło: https://uodo.gov.pl/pl/138/1943

• Prezes UODO nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych
• do organu wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych
• naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób – nadawcą maila był współpracownik ukaranego przedsiębiorstwa
• UODO zwróciło się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy w związku z zaistniałą sytuacją nie zachodzi potrzeba zawiadomienia organu nadzorczego o naruszeniu oraz osób, których ono dotyczyło
• ukarany podmiot wskazał, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych, na podstawie której spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia UODO
• organ wskazał, że w przedmiotowej sprawie doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych skutkujące obowiązkiem jego zgłoszenia do organu

Źródło: https://uodo.gov.pl/pl/138/1944

• objaśnienie przepisów prawa dot. kodeksów postępowania i podmiotów monitorujących, a także etapów prac Prezesa UODO nad projektem wymogów akredytacji oraz przegląd treści wymogów to główne tematy webinarium zorganizowanego przez Urząd Ochrony Danych Osobowych, które odbyło się 15 lutego 2021 r.
• przedstawiciele organu omówili m.in. status podmiotu monitorującego i podstawy prawne jego funkcjonowania, wymogi formalne wniosku oraz procedury i struktury, które wnioskodawca musi przygotować
• eksperci UODO podkreślali, że kodeksy postępowania są jednym z narzędzi, które mają ułatwić administratorom lub podmiotom przetwarzającym działającym w poszczególnych branżach zapewnienie zgodności z RODO
• UODO zaprasza do zgłaszania pytań w zakresie wątpliwości dotyczących treści wymogów akredytacji na adres z dopiskiem „Pytanie – Wymogi akredytacji”
• w najbliższym czasie organ opublikuje listę pytań i odpowiedzi, które pojawiły się podczas webinarium
• zapis webinarium dostępny jest na stronie internetowej urzędu

Źródło https://uodo.gov.pl/pl/138/1897

• Axel Voss, niemiecki polityk i prawnik, a także jeden z największych orędowników RODO, jest przekonany, że nadszedł czas, aby je zaktualizować
• RODO zostało uchwalone w 2016 r. (weszło w życie 25 maja 2018) i okrzyknięte jednym z najważniejszych aktów prawnych związanych z prywatnością, z równie głośnymi zwolennikami i przeciwnikami z różnych stron
• Voss przyznaje, że RODO nie jest jednak gotowe, aby stawić czoła wyzwaniom obecnego środowiska
• Voss jest przekonany, że rozporządzenie wymaga zmian i „pewnego rodzaju operacji”, które uwzględnią przejście do nowego środowiska pracy w trybie zdalnym
• home office wprowadziło bowiem nowy zestaw wyzwań dotyczących zgodności i przestrzegania zasad RODO, który nie istniał przed pandemią wywołaną przez Covid-19
• prawnik twierdzi, że RODO jest obecnie „polem minowym” dla organizacji, które chcą przestrzegać wszystkich zasad, a jednocześnie dopuszczają pracę zdalną

Źródło: https://www.computerworld.pl/news/RODO-jest-juz-nieaktualne-Czas-je-zmienic,425915.html

• spadkobiercy, również dalsi, mogą dostać z banku całą historię rachunku bankowego z kilku lat – wraz z danymi innych osób, z którymi transakcje odnotowano
• tak stało się po śmierci pewnego mężczyzny – jego siostry, sprawdzając stan finansów zmarłego w związku z postępowaniem spadkowym, otrzymały od banku wyciąg wszystkich operacji z kilku lat
• zdaniem wdowy przepisy, na które przywołał bank, nie uprawniają do udostępnienia całej historii rachunku wraz z danymi innych osób – o ile zgadzają się, że można było przekazać informacje o zmianach stanu rachunku, to już nie dane osób, których dotyczyły transakcje i zaskarżyli oni decyzję do ówczesnego generalnego inspektora ochrony danych osobowych (dane przekazano spadkobierczyni w 2012 r.)
• pod koniec grudnia 2020 r. prezes Urzędu Ochrony Danych Osobowych (następca GIODO) odmówił uwzględnienia skargi i w uzasadnieniu zwrócił uwagę, że rozpoznawał ją w oparciu na przepisach uchylonej już ustawy o ochronie danych osobowych – jego zdaniem na podstawie art. 23 ust. 1 tejże ustawy bank miał prawo przekazać spadkobiercom całą historię rachunku (przepis ten mówi o przetwarzaniu danych niezbędnych do zrealizowania uprawnienia lub spełnienia obowiązku prawnego)

• „W sytuacji śmierci posiadacza rachunku bankowego spadkobiercom przysługują wszelkie prawa po zmarłym (…), w tym prawo do pełnej informacji nie tylko o stanie środków na tym rachunku w chwili śmierci posiadacza, lecz także prawo do pełnej historii rachunku bankowego, obejmującej obroty na tym rachunku, dane osób i podmiotów, które dysponowały wpłaty na ten rachunek” – napisano w uzasadnieniu decyzji.
• trudno przesądzać, czy pod rządami RODO decyzja byłaby taka sama czy inna – jeśli taka sama, to w praktyce po śmierci posiadacza rachunku bankowego nie tylko przestają być chronione informacje o nim samym, lecz także o osobach, z którymi przeprowadzał jakiekolwiek transakcje, a przynajmniej jeśli chodzi o spadkobierców
• w RODO również trudno odnaleźć jednoznaczne przepisy na ten temat – można odwołać się do art. 15 ust. 4 RODO, z którego wynika, że prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych
• jest też zasada minimalizacji danych – stosując ją, bank powinien ujawnić dane niezbędne z punktu widzenia prawa spadkowego, a jednocześnie zachować poufność tych, które są zbędne
• co do zasady, RODO nie ma zastosowania do danych osobowych osób zmarłych – nie oznacza to jednak, że przepisy krajowe nie mogą chronić prywatności po śmierci

Źródło: https://biznes.interia.pl/finanse/news-zmarly-bez-prawa-do-prywatnosci,nId,5086492