RODO aktualności – 18.05.2021 r.

• Prezes Urzędu Ochrony Danych Osobowych wystąpił z pismem do władz Facebook Poland
• to efekt licznych doniesień na temat wycieku danych osobowych polskich obywateli, użytkowników portalu społecznościowego Facebook.com, jakie miało miejsce na początku kwietnia 2021 roku
• w liście Prezes UODO zwrócił się o podjęcie działań w celu ograniczenia ryzyka wykorzystania danych osobowych objętych naruszeniem poprzez zaoferowanie usługi umożliwiającej wszystkim polskim użytkownikom sprawdzenia, czy naruszenie to ich dotyczy
• zdaniem Prezesa UODO wyciek danych z portalu Facebook.com ma ogromne zagrożenie dla prywatności wielu osób – udostępnione dane osobowe mogą zostać wykorzystywane nie tylko w celu rozsyłania spamu czy nieuczciwego prowadzenia telemarketingu, ale także w celach przestępczych
• jak wskazuje Prezes UODO, istotne jest wszechstronne wyjaśnienie okoliczności przedmiotowej sprawy

Źródło: https://uodo.gov.pl/pl/138/2022

• fińska skarbówka przekaże mediom, zgodnie z wieloletnim zwyczajem, nazwiska osób zarabiających co najmniej 100 tys. euro, które wcześniej zastrzegły dane o swoich rocznych zarobkach
• w ten sposób zakończy się trwająca od dwóch lat, budząca kontrowersje praktyka (stosowana na podstawie RODO) ukrywania przed społeczeństwem przez niektórych zamożnych podatników informacji o swoich dochodach
• władze administracji podatkowej poinformowały, że zgadzają się z ostatnim postanowieniem sądu administracyjnego w Helsinkach z końca kwietnia i nie będą go zaskarżać
• sąd, który rozpoznawał skargę mediów na przyjętą w ostatnich latach praktykę, orzekł, że podatnik ma prawo zażądać usunięcia swojego nazwiska z tradycyjnego wykazu osób zarabiających min. 100 tys. euro – jednocześnie jednak władze podatkowe, na żądanie mediów, muszą ujawnić te nazwiska
• w Finlandii, zgodnie z przyjętym pod koniec lat 90. prawem, dane podatkowe są informacją publiczną – podając nazwisko podatnika, można uzyskać w urzędzie skarbowym dane o jego zarobkach i kwocie uiszczonego podatku

Źródło: https://www.wirtualnemedia.pl/artykul/zamozni-podatnicy-w-finlandii-nie-ukryja-juz-danych-o-zarobkach-przed-mediami

• norweski organ ochrony danych (NRK) poinformował Disqus Inc., że zamierza nałożyć karę administracyjną w wysokości 25 000 000 NOK za nieprzestrzeganie przepisów RODO dotyczących odpowiedzialności, legalności i przejrzystości
• Disqus Inc. to amerykańska firma należąca do Zeta Global – firma oferuje publiczną platformę do udostępniania komentarzy online, z której wcześniej korzystało wiele norweskich gazet internetowych, a także zajmuje się reklamą zautomatyzowaną
• według NRK Disqus prowadził nielegalne śledzenie odwiedzających norweskie strony internetowe za pomocą wtyczki Disqus – ich dane zostały następnie ujawnione zewnętrznym partnerom reklamowym
• NRK wskazał, że stało się tak, ponieważ Disqus nie wiedział, że RODO ma zastosowanie w Norwegii, co potwierdziła w wywiadzie spółka matka Disqus, Zeta Global
• według dostępnych informacji incydent ten był głównie problemem w Norwegii
• Disqus Inc. otrzymało od NRK projekt decyzji – firma ma możliwość skomentowania ustaleń organu w terminie do 31 maja 2021 r.
• ostateczną decyzja zostanie podjęta po dokonaniu oceny ewentualnych uwag firmy

Źródło https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-intent-issue-eu-25-million-fine-disqus-inc_en

• Unia Europejska planuje znieść cyfrową prywatność korespondencji, i aby automatycznie wykrywać nielegalne treści, wszystkie prywatne wiadomości w komunikatorach mają być w przyszłości sprawdzane
• powinno to również dotyczyć treści, które do tej pory były chronione szyfrowaniem typu end-to-end
• kilka firm (Boxcryptor, Cryptomator, Mailbox.org, mail.de, Mailfence, Praxonomy, Tresorit i Tutanota) świadczących usługi z użyciem szyfrowania wystosowało list otwarty do przewodniczącego Komisji Europejskiej Ursuli von der Leyen oraz komisarzy Ylva Johanssona i Thierry’ego Bretona – w liście wyjaśniają, że jakikolwiek obowiązek sprawdzania wszystkich prywatnych wiadomości jest sprzeczny z europejskimi zasadami ochrony danych
• Komisja Europejska jeszcze w roku 2020 opublikowała komunikat w sprawie strategii UE na rzecz skuteczniejszej walki z materiałami przedstawiającymi wykorzystywanie seksualne dzieci (CSAM) – komunikat wskazuje, że oprogramowanie takie jak WhatsApp, Facebook Messenger i inne są szczególnym zagrożeniem dla nowych przepisów
• autorzy listu są przekonani, że umożliwienie dostępu do zaszyfrowanej komunikacji przez organizacje prywatne i władze publiczne jest niezgodne z przesłaniem Unii Europejską jako silnej organizacji, przyjaznej firmom technologicznym – ogromnie zaszkodziłoby to europejskim ideałom i fundamentom demokracji, tj. wolności słowa i ochronie prywatności

Źródło: https://avlab.pl/unia-europejska-planuje-zniesc-cyfrowa-prywatnosc-korespondencji/

• Prezes UODO wystąpił do resortu o doprecyzowanie przepisów dotyczących monitoringu wizyjnego na składowiskach odpadów
• organ nadzoru wskazał, że podmioty zajmujące się magazynowaniem odpadów sygnalizują mu swoje wątpliwości związane ze stosowaniem powołanych regulacji
• wątpliwości dotyczą one trzech grup zagadnień:

1)określenia ról podmiotów w procesie/-ach przetwarzania danych osobowych z wykorzystaniem monitoringu wizyjnego na składowiskach odpadów

2)zasad dostępu do zarejestrowanego obrazu

3)bezpieczeństwa danych osobowych przekazywanych za pomocą systemu teleinformatycznego

• po analizie obowiązujących przepisów ustawy o odpadach organ nadzorczy uznał, że zasadne jest ich doprecyzowanie w celu osiągnięcia zgodności z RODO
• w odpowiedzi na wystąpienie Prezesa UODO resort klimatu i środowiska zadeklarował, że prace w powyższym zakresie zostaną podjęte w ramach jednej z planowanych nowelizacji ustawy o odpadach

Źródło: https://uodo.gov.pl/pl/138/2034

• w najnowszym, majowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

ROLA I ZADANIA PODMIOTU PRZETWARZAJĄCEGO W SYTUACJI WYSTĄPIENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

• podmiot przetwarzający musi jedynie ustalić, czy doszło do naruszenia ochrony danych osobowych, a następnie niezwłocznie zgłosić to naruszenie administratorowi
• to Istotne, by administrator mógł należycie wywiązać się z ciążących na nim obowiązków, m.in. takich jak dokonanie oceny ryzyka naruszenia praw lub wolności osób fizycznych, które wynika z naruszenia, a w stosownych przypadkach poinformowanie o naruszeniu Prezesa UODO i osób, których ono dotyczy

KIEDY MOŻNA POZYSKAĆ ADRES ZAMIESZKANIA ZATRUDNIANEGO PRACOWNIKA?

• pracodawca ma prawo pozyskiwać adres zamieszkania od osoby, co do której została podjęta decyzja o zatrudnieniu, gdyż jest to niezbędne do skierowania jej na obowiązkowe, wstępne badania lekarskie

ZAWIERANIE UMOWY O ZAOPATRZENIE W WODĘ LUB ODPROWADZANIE ŚCIEKÓW BEZ KOPII AKTU NOTARIALNEGO

• przedsiębiorstwo wodociągowo-kanalizacyjne nie ma podstaw prawnych, by na potrzeby zawarcia umowy o zaopatrzenie w wodę lub odprowadzanie ścieków przechowywać kopie aktów notarialnych potwierdzających własność nieruchomości

ZAKUPY W WIĘZIENNEJ KANTYNIE

• to osadzeni muszą realizować swoje prawo do dokonywania zakupów w więziennej kantynie na warunkach określonych przez podmiot, który ją prowadzi
• natomiast podmiot ten jest zobowiązany do przetwarzania ich danych osobowych w zakresie niezbędnym dla zapewnienia prawidłowego przeprowadzenia i rozliczenia tych zakupów

EDUKACJA

• w ostatnim czasie Urząd Ochrony Danych Osobowych podjął szereg inicjatyw edukacyjnych, które wpisują się misję organu nadzorczego
• poprzez edukację i informację upowszechnia w społeczeństwie wiedzę o ochronie danych osobowych i ryzyku, a także o przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych oraz rozumienia tych zjawisk

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• Facebook przegrał walkę z niemieckim urzędem ochrony danych osobowych – serwis dostał tymczasowy zakaz przetwarzania danych użytkowników aplikacji WhatsApp.
• dlaczego Facebook usłyszał zakaz przetwarzania danych użytkowników aplikacji WhatsApp? Stało się tak, ponieważ serwis społecznościowy wprowadził zmiany warunków korzystania z usług komunikatora
• zakaz ma na celu ochronę praw i wolności milionów niemieckich użytkowników tej aplikacji, którzy wyrażają zgodę na warunki korzystania z serwisu
• Johannes Caspar, szef urzędu ochrony danych osobowych w Hamburgu dodał, że nowe regulacje są nieprzejrzyste, a użytkownicy muszą się na nie zgodzić, by dalej korzystać z komunikatora
• sprawa została skierowana do unijnych organów, zajmujących się ochroną danych osobowych
• WhatsApp zaprzeczył, by aktualizacja warunków korzystania z usługi wiązała się z rozszerzeniem wymiany danych między komunikatorem a Facebookiem

Źródło: https://biznes.radiozet.pl/News/Facebook-z-zakazem-uzywania-danych-osobowych-uzytkownikow-WhatsApp

• pracodawca będzie miał prawo do wyrywkowej kontroli pracowników na obecność alkoholu lub narkotyków – takich zmian w prawie domagał się od dwóch lat Rzecznik Małych i Średnich Przedsiębiorstw
• projekt zmian w przepisach trafił już do oficjalnego wykazu prac rządowych
• nowe przepisy dają pracodawcom podstawę do wprowadzenia i przeprowadzania prewencyjnej, wyrywkowej kontroli pracowników na obecność alkoholu lub środków działających podobnie do alkoholu
• projektowana regulacja ma również na celu rozwiązanie problemu wynikającego z braku podstaw prawnych do przeprowadzania przez uprawniony organ badań pracowników na obecność tzw. narkotyków w ich organizmach
• w Polsce nie ma bowiem przepisów, które określałyby procedurę takiego badania
• prace nad nowymi przepisami rozpoczęto prawie dwa lata temu

Źródło https://www.money.pl/gospodarka/kodeks-pracy-pracodawca-sam-sprawdzi-trzezwosc-pracownika-6638187205335648a.html

• łączenie w jednym oświadczeniu zgód na marketing własny i innych podmiotów jest niezgodne z prawem – uznał Naczelny Sąd Administracyjny
• opublikowany właśnie wyrok dotyczy decyzji wydanej przez generalnego inspektora ochrony danych osobowych jeszcze w 2017 r., a więc przed wejściem w życie RODO – w pełni jednak, co wynika zresztą z jego uzasadnienia, można go odnieść do obecnego stanu prawnego
• „Na gruncie przepisów o ochronie danych osobowych istnieje wymóg zapewnienia, aby decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych w określonym celu była podjęta swobodnie i miała charakter samodzielny, musi ona być przejawem wolnej i nieskrępowanej woli danej osoby, to znaczy nie może być wymuszona przez konieczność złożenia innych oświadczeń woli” – podkreślił NSA (wyrok z 20 kwietnia 2021 r., sygn. akt III OSK 161/21)
• zgoda w rozumieniu Prawa telekomunikacyjnego nie może być dorozumiana ze zgody na przetwarzanie danych osobowych i odwrotnie – te dwie zgody dotyczą różnych kwestii i wynikają z różnych aktów prawnych

Źródło https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8162359,nie-mozna-laczyc-roznych-zgod-marketingowych.html https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/iii-osk-161-21-wyrok-naczelnego-sadu-administracyjnego-523263082