RODO aktualności – 17.12.2019

• Wojciech Wiewiórowski otrzymał poparcie unijnych krajów na stanowisko Europejskiego Inspektora Danych Ochrony Danych
• o zgodzie państw członkowskich poinformowała Finlandia, kierująca pracami Wspólnoty
• teraz potrzebna jest jeszcze akceptacja Parlamentu Europejskiego – do 5 grudnia powinniśmy wiedzieć, czy europosłowie zaakceptowali Polaka
• od końca sierpnia br. Polak pełni obowiązki EIOD, które przejął po śmierci Giovanniego Buttarelliego, natomiast od 2014 roku był zastępcą Włocha
• na ostatniej prostej, czyli na krótkiej liście, były trzy kandydatury – oprócz Polaka jeszcze Węgra i Francuza, ostatecznie kraje członkowskie postawiły na naszego rodaka
• Wojciech Wiewiórowski, pytany przez brukselską korespondentkę Polskiego Radia o wizję 5-letniej kadencji odpowiedział, że reforma ochrony danych osobowych została w Unii przeprowadzona i trzeba dopilnować, czy jest skutecznie wdrażana

Źródło: https://polskieradio24.pl/5/1223/Artykul/2408784,Polak-z-poparciem-krajow-UE-na-stanowisko-Europejskiego-Inspektora-Ochrony-Danych

• dziecko, tak jak dorosły, ma prawo do prywatności i prawo ochrony dóbr osobistych – fakt, że samo nie umie ono jeszcze nimi zarządzać, tym bardziej powinien skłaniać rodziców do tego, by robili to w jego imieniu rozważnie
• rozpowszechnianie wizerunku dziecka powinno mieścić się w granicach zdrowego rozsądku
• zgodnie z Ustawą o prawie autorskim i prawach pokrewnych rozpowszechnianie wizerunku co do zasady wymaga zezwolenia osoby na nim przedstawionej – nie wymaga zezwolenia rozpowszechnianie wizerunku osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych oraz jeśli wizerunek stanowi jedynie element przedstawionej całości, tzn. w razie usunięcia wizerunku nie zmieniłby się przedmiot i charakter zdjęcia
• na gruncie ochrony danych osobowych podstawą przetwarzania wizerunku może być każda z przesłanek wskazana w ustępie pierwszym art. 6 RODO – najczęściej tą podstawą jest zgoda.
• przetwarzanie danych osobowych dziecka w wielu do 16 lat, czyli np. publikowanie zdjęć dziecka w internecie, wymaga wyrażenia zgody osoby sprawującej władzę rodzicielską

Źródło: https://uodo.gov.pl/pl/138/1262

• rok 2019 się jeszcze nie skończył, a do UODO wpłynęło już blisko 7 tys. skarg
• dla porównania w całym 2017 r., kiedy RODO nie było jeszcze stosowane, było ich 2,9 tys.
• tak duży wzrost liczby zgłoszeń wpłynął na decyzję o zmianie struktury urzędu
• dotychczas skargi trafiały do różnych zespołów tematycznych, które poza ich rozpatrywaniem zajmowały się też innymi zadaniami – teraz trafią one do osobnych departamentów
• przykładowo, kontrolą zajmie się departament kontroli i naruszeń, opiniowaniem aktów prawnych czy kodeksów branżowych – departament orzecznictwa i legislacji. Skargi zgłaszane przez obywateli będzie zaś rozpoznawał odrębny, wzmocniony pion
• poproszeni przez nas o opinię eksperci chwalą reorganizację

Źródło: https://biznes.gazetaprawna.pl/artykuly/1442456,rodo-uodo-ochrona-danych-osobowych-skargi-kontrola-i-naruszenia.html https://uodo.gov.pl/pl/138/1274

• przetwarzanie danych przez Instytut Pamięci Narodowej nie podlega pod RODO – uznał WSA w Warszawie
• wyrok dotyczył skargi wniesionej do Prezesa Urzędu Ochrony Danych Osobowych, w której pewien mężczyzna widniejący w bazie IPN domagał się usunięcia lub sprostowania informacji na swój temat, które uznawał za nieprawdziwe.
• Prezes UODO odmówił wszczęcia postępowania, uznając, że RODO nie znajduje zastosowania, a sąd zgodził się z tą argumentacją
• wyjątkiem jest baza materiału genetycznego, którą polski ustawodawca potraktował odrębnie i podporządkował pod przepisy o ochronie danych osobowych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1441724,rodo-dzialalnosc-ipn-dane-osobowe-uodo-wsa.html

• przesyłanie życzeń świątecznych do klientów i kontrahentów praktykowane jest przez wiele firm – wysyłane pocztą lub drogą elektroniczną służą budowaniu wzajemnych relacji, a przez to stanowią formę reklamy
• organ ochrony danych Nadrenii-Palatynatu wyjaśnia, że wysyłanie kartek świątecznych pozostaje w zgodzie z RODO – świąteczna poczta jako forma reklamy leży w uzasadnionym interesie administratora i może opierać się na art. 6 ust. 1 lit. f RODO
• organ wskazuje jednak, że tak jak w przypadku każdej innej formy reklamy, odbiorcy muszą zostać poinformowani, że służy im sprzeciw wobec takiego przetwarzania danych
• zdaniem organu, informacja o ww. sprzeciwie powinna być przesłana razem z życzeniami
• jeżeli natomiast klienci lub partnerzy biznesowi sprzeciwiają się wykorzystywaniu ich danych w celach reklamowych – nie można im przesyłać świątecznych wiadomości

Źródło: https://www.datenschutz.rlp.de/de/themenfelder-themen/adventskalender/tuerchen-2/

• ZUS, Prokuratoria Generalna i Urząd Ochrony Danych Osobowych mają wiele zastrzeżeń do projektu ustawy o Centralnej Informacji Emerytalnej (CIE)
• CIE ma gromadzić i udostępniać informacje m.in. o składkach pochodzących z ZUS, KRUS, instytucji finansowych prowadzących IKE lub IKZE i zarządzających PPK, a także innych organów emerytalnych – system ma zbudować Polski Fundusz Rozwoju
• Prokuratoria Generalna RP wskazuje na przepis umożliwiający ustanowienie pełnomocnika do dostępu do danych – uważa, że każde sięgnięcie po konkretne dane powinno wymagać odrębnej zgody zainteresowanego
• Prezes UODO wskazuje na przepis dotyczący udostępniania informacji o funkcjonowaniu CIE innym podmiotom – organ zastanawia się, jaki ma być zakres tych informacji w tym m.in. czy znajdą się wśród nich np. dane osobowe

Źródło: https://businessinsider.com.pl/wiadomosci/centralna-informacja-emerytalna-watpliwosci-dot-utraty-kontroli-nad-wrazliwymi-danymi/mwpp67c

• Berliński komisarz ds. ochrony danych i wolności informacji nałożył 14,5 mln EUR kary na niemiecką firmę z branży nieruchomości (Deutsche Wohnen SE)
• po przeprowadzeniu kontroli w czerwcu 2017 r. organ zauważył, że Deutsche Wohnen SE przechowuje dane osobowe najemców przez czas nieograniczony, w ogóle nie analizując czy i w jakim zakresie jest to uzasadnione
• po inspekcji w 2017 r. Deutsche Wohnen SE ulepszyła system archiwizacji, jednak w 2019 r. organ zauważył, że środki przyjęte w celu złagodzenia naruszenia nie były wystarczające i nadal nie były zgodne ze wskazanymi w RODO zasadami ograniczania przechowywania i minimalizacji
• niemiecki organ przy ustalaniu wysokości kary po raz pierwszy posłużył się opracowanym taryfikatorem
• jest to najwyższa kara jaka do tej pory została nałożona w Niemczech

Źródło: http://www.mondaq.com/germany/x/867712/data+protection/Property+Company+Hit+with+Millions+in+Fines+The+Deutsche+Wohnen+Case

• mija pół roku, odkąd Jan Nowak stanął na czele Urzędu Ochrony Danych Osobowych
• w tym czasie dokonano przeglądu funkcjonowania Urzędu i sprawdzono, jak dotychczasowa struktura sprawdza się w praktyce pod kątem wymagań stawianych nam przez RODO, a od 1 grudnia zmieni się funkcjonowanie Urzędu
• Prezes UODO wskazuje, że najczęściej zgłaszane naruszenia to: ujawnienie niewłaściwemu odbiorcy (np. wysyłka e-maila do złego adresata), utrata korespondencji papierowej przez operatora pocztowego bądź otwarcie przed zwróceniem jej do nadawcy, zagubienie bądź kradzież nośnika/urządzenia (np. pamięci pendrive, przenośnego dysku twardego lub laptopa)
• jeśli chodzi o liczbę skarg, to Polska jest w czołówce państw UE: w 2017 r. było ich ok. 2,9 tys., w 2018 r. ponad 5,5 tys., ale po 25 maja 2018 r. wpłynęło ich prawie 4,5 tys., a w tym roku, według stanu na 14 października skarg jest już 6822
• większość z obecnie wpływających skarg ma braki formalne, jak. np. brak podpisu czy nieokreślenie żądania, tj. niewskazanie, podjęcia jakich działań skarżący oczekuje od organu ds. ochrony danych osobowych

Źródło: https://www.rp.pl/Dane-osobowe/312029992-Jan-Nowak-prezes-Urzedu-Ochrony-Danych-Osobowych-Polacy-skarza-sie-czesciej-niz-inni.html

Raport „RODO – rok obowiązywania. Interpretacje i dobre praktyki branży reklamy cyfrowej” to publikacja Grupy Roboczej RODO działającego w strukturach IAB Polska, w której przedstawiono listę 10 najważniejszych skutków obowiązywania RODO z punktu widzenia branży reklamy internetowej, tj.:

1. Przedmiotowy zakres zastosowania przepisów RODO jest szerszy niż miało to miejsce w poprzednim stanie prawnym

2. Terytorialny zakres obowiązywania RODO jest szerszy niż poprzednio

3. W RODO wprowadzono nowe kategorie podmiotów przetwarzających dane osobowe

4. Istotnemu poszerzeniu uległ zakres informacji, które powinny zostać przekazane podmiotowi danych

5. Częściowo inaczej – niż dotychczas – określono przesłanki legalności przetwarzania danych osobowych

6. W RODO wprowadzono szczególną regulację dotycząca jednej z operacji na danych, tj. profilowania

• w RODO istotnie zmodyfikowano dotychczasowe lub ustanowiono zupełnie nowe prawa podmiotów danych
• z uwagi na przyjęcie podejścia opartego na zasadzie ryzyka, istotnej zmianie uległy wymogi dotyczące środków bezpieczeństwa danych

7. W RODO ustanowiono nowe instrumenty wykazywania zgodności z przepisami o ochronie danych osobowych

8. W RODO przewidziano nowe sankcje administracyjne, w tym wysokie kary pieniężne za naruszenie przepisów o ochronie danych

Źródło: https://iab.org.pl/aktualnosci/raport-rodo-10-najwazniejszych-skutkow-dla-branzy-internetowej/

• przepisy zobowiązują lekarzy i dentystów do umieszczenia nazwy wykonanej usługi na paragonie fiskalnym w sposób pozwalający na jego identyfikację
• Prezydium Naczelnej Izby Lekarskiej podkreśla, że szczegółowe opisywanie na paragonie usług wykonanych przez lekarzy rodzi poważne zastrzeżenia z uwagi na obowiązek zachowania tajemnicy lekarskiej oraz zapewnienia ochrony danych osobowych pacjenta
• zamieszczenie na paragonie szczegółowego wyliczenia wykonanych procedur mogłoby narazić pacjenta na ujawnienie tajemnicy lekarskiej i jego danych osobowych osobom nieuprawnionym
• w związku z powyższym w przypadku usług medycznych zasadne jest, aby na paragonie fiskalnym wystarczające było wpisanie nazwy: „usługa medyczna” z dodatkowym oznaczeniem czy jest to usługa zwolniona od podatku VAT

Źródło: https://www.prawo.pl/zdrowie/usluga-wpisana-na-paragonie-fiskalnym-moze-naruszyc-tajemnice,496328.html?utm_source=facebook.com&utm_medium=social&fbclid=IwAR2PBmoYnvJ9uEhijyhpij4fftileAmkQM7pCC5mF0lkcnQaRcIycnhN49A

• węgierski Urząd Ochrony Konkurencji (GVH) nałożył na Facebooka 3,6 mln EUR kary za reklamowanie swoich usług jako bezpłatne
• informacje o bezpłatności usług pojawiły się na stronie głównej Facebooka od stycznia 2010 r. do sierpnia 2019 r. oraz w Centrum pomocy do 23 października 2019 r.
• według GVH hasła „To nic nie kosztuje i każdy może się przyłączyć” oraz „Bezpłatne i zawsze będą” używane przez Facebook odwracają uwagę użytkowników od faktu, że pośrednio płacą za korzystanie z jego usług w formie udostępniania danych
• wiceprzewodnicząca Komisji Europejskiej na konferencji w Kopenhadze wskazała, że wiele usług w Internecie określa się jako darmowe, podczas gdy tak naprawdę płacimy za nie swoimi danymi osobowymi, a chcąc trochę zaoszczędzić bierzemy na siebie całe ryzyko w tym zakresie

Źródło: https://www.gvh.hu/en/press_room/press_releases/press_releases_2019/gvh-imposed-a-fine-of-eur-3.6-m-on-facebook

• Szymon Hołownia, który zadeklarował start w wyborach prezydenckich 2020 zbiera dane osobowe swoich fanów i deklaruje, że sam będzie nimi zarządzał, a miejscem przechowywania informacji jest biuro prowadzonej przez niego działalności gospodarczej
• przy okazji wypełniania formularza zaproszenia na konwencję w Gdańsku podczas której Szymon Hołownia ogłosił swój start w wyborach prezydenckich należało kliknąć w okienko o zgodzie na przetwarzanie swoich danych osobowych
• przy okazji wymagane było wyrażenie dodatkowej zgody na przekazanie danych osobowych podmiotom powiązanym z Szymonem Hołownią tj. fundacjom, stowarzyszeniom, organizacjom społecznym
• na taką praktykę krzywym okiem patrzy UODO – już podczas wyborów parlamentarnych urzędnicy ostrzegali, że dane osobowe o poparciu i sympatiach politycznych są wrażliwe i podlegają szczególnej ochronie
• na razie UODO tylko przygląda się trikowi z RODO – formalnie Hołownia stanie się kandydatem w momencie zarejestrowania komitetu wyborczego w Państwowej Komisji Wyborczej

Źródło: https://wiadomosci.wp.pl/szymon-holownia-i-chytra-sztuczka-rodo-zbiera-dane-osobowe-swoich-sympatykow-i-trzyma-je-we-wlasnym-biurze-6455264560653953a

• od 4 maja 2019 r. w ustawie o zakładowym funduszu świadczeń socjalnych wprowadzono obowiązek dokonywania corocznych przeglądów danych osobowych osób uprawnionych do korzystania z funduszu socjalnego
• art. 8 ust. 1d ustawy o ZFŚS przewiduje, że taki przegląd powinien mieć miejsce nie rzadziej niż raz w roku, a jego celem ma być ustalenie niezbędności dalszego przechowywania zgromadzonych danych osobowych osób uprawnionych do świadczeń
• to ostatni moment, by z jej weryfikacją zdążyć do końca roku
• nie jest to obowiązek jednorazowy, powinien być cyklicznie powtarzany w kolejnych latach

Źródło: https://prawo.gazetaprawna.pl/artykuly/1444210,uodo-przeglad-danych-osobowych-dokumentacja-funduszu-socjalnego.html

• rząd Indii przekazał 11 grudnia do parlamentu długo oczekiwany projekt nowego prawa o ochronie danych osobowych (Personal Data Protection Bill)
• projekt porządkuje kwestie związane z ochroną prywatności i danych osobowych zarówno w obrocie gospodarczym, jak i w kontaktach z administracją państwową
• w ustawie przewidziano niektóre rozwiązania podobne do RODO
• może to sprawić, że zasady działania firm cyfrowych i innych instytucji na rynku europejskim i indyjskim się do siebie upodobnią
• podobnie jak w innych państwach, w Indiach wprowadzenie prawa o ochronie danych osobowych wiąże się ze wzrastającą cyfryzacją procesów gospodarczych i społecznych – szczególnie po debiucie telefonii 4G, od 2016 roku liczba użytkowników sieci prawie się podwoiła, osiągając ponad pół miliarda ludzi, co czyni Indie drugim po Chinach rynkiem cyfrowym pod względem użytkowników

Źródło: https://www.wnp.pl/rynki-zagraniczne/tydzienwazji-uwaga-przedsiebiorcy-indie-beda-miec-swoje-rodo,361841.html