RODO aktualności – 20.10.2020

• kolejną kwestią, której dotyczy opracowanie jest przechowywanie danych w chmurze – radcowie prawni powinni uważnie dobierać rozwiązania chmurowe, z których korzystają, chmura zapewnia dużo większą niezawodność lecz mamy mniejszą kontrolę nad danymi, co może niekiedy prowadzić do naruszenia przepisów o ochronie danych i tajemnicy zawodowej
• prawnik musi wiedzieć na początek co najmniej tyle, że z dostawcą chmury musi zawrzeć umowę powierzenia przetwarzania danych osobowych
• jeśli chodzi o zasady etyki i tajemnicę zawodową, to od lat dyskutuje się na temat bezpieczeństwa i poufności przechowywanych w chmurze plików – wybierając chmurę należy zwrócić uwagę na gwarancje dotyczące bezpieczeństwa przechowywanych plików i ograniczenia dostępu do nich
• warto również sprawdzić oświadczenia dotyczące tego, czy pliki w chmurze są szyfrowane w celu zwiększenia poziomu ochrony
• każda firma powinna mieć wewnętrzne zasady korzystania z chmury i umieszczania w niej danych

Źródło: https://www.prawo.pl/prawnicy-sady/jak-sobie-radzic-z-poczta-elektroniczna-i-danymi-w-chmurze,503702.html

• brytyjski urząd do spraw ochrony danych osobowych (ICO), nałożył na linie lotnicze British Airways grzywnę w wysokości 20 milionów funtów (to ponad 100 milionów złotych) za wyciek danych klientów z 2018 roku
• jeszcze w zeszłym roku przedstawiciele ICO twierdzili, że kara dla przewoźnika może wynieść nawet 183 miliony funtów, ale przy ustalaniu ostatecznej kwoty kary pod uwagę wzięto ekonomiczny wpływ pandemii Covid-19
• pomimo znacznego zmniejszenia kary wciąż jest to najwyższa grzywna jaką do tej pory nałożył brytyjski odpowiednik UODO
• dane pasażerów British Airways korzystających ze strony internetowej lub aplikacji przewoźnika na przełomie sierpnia i września 2018 roku wyciekły do sieci – ofiarami cyberataku mogło paść nawet 400 tysięcy klientów
• najważniejsze dane, jakie mogły znaleźć się w rękach złodziei to dane kart kredytowych osób kupujących bilety online – Wraz z tymi danymi przestępcy dostali także dostęp do danych personalnych klientów, ich adresów zamieszkania i adresów email
• dochodzenie ICO ujawniło, że British Airways nie dopełniło wystarczająco procedur bezpieczeństwa, aby uniknąć wycieku, między innymi, nie stosując wielostopniowej weryfikacji

Źródło: https://www.geekweb.pl/inne/wydarzenia/item/1435-british-airways-wyciek-danych-kara-rodo https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

• europejskie urzędy ochrony danych osobowych i firmy nadal poszukują wyjścia z sytuacji po wyroku TSUE w tzw. sprawie Schrems II
• w lipcu 2020 r. TSUE uznał, że dotychczasowe warunki transferu danych osobowych, zebranych w UE, a więc chronionych przez RODO są niewystarczające – wyrok przewiduje m.in. nałożenie na eksporterów danych obowiązku sprawdzenia sprawdzania, jakie prawa dotyczące danych osobowych przysługują w kraju, do którego się transferuje dane
• problem dotyczy np. używania chmur obliczeniowych, leżących poza UE
• literalne stosowanie wyroku sparaliżowałoby np. zdalne nauczanie -większość popularnych aplikacji, stosowanych w szkołach i na uczelniach do zdalnego nauczania jest amerykańska i korzysta z chmur w USA
• zgodnie z wyrokiem każdy eksporter danych powinien przeanalizować, czy państwo trzecie daje podobną ochronę jak RODO
• Europejska Rada Ochrony Danych na posiedzeniu plenarnym 2 września 2020 r. powołała grupę zadaniową, która będzie koordynowała działania w tym zakresie
• Na obecnym etapie postępowania trudno jest rozstrzygnąć jak i kiedy się ono zakończy. W opinii Prezesa UODO bardzo ważne jest zapewnienie jednolitego podejścia wszystkich organów nadzorczych w państwach członkowskich UE w tych sprawach, czemu służą działania podejmowane w ramach EROD – powiedział rzecznik UODO Adam Sanocki

Źródło: https://www.gazetaprawna.pl/artykuly/1493760,po-wyroku-tsue-nadal-brak-rozwiazan-ws-transferu-danych-osobowych-poza-ue.html

• Nie był Pan stroną postępowania prowadzonego przed Prezesem Urzędu Ochrony Danych Osobowych, więc wydane rozstrzygnięcie nie dotyczy Pana interesu prawnego, ani obowiązku – czytamy w odpowiedzi na petycję w sprawie wycofania kar nałożonych przez Prezesa UODO na Głównego Geodetę Kraju
• autorem petycji jest geodeta z Polic Paweł Myłka, który jak podkreśla, nie chce rozstrzygać meritum sporu między prezesem UODO a GGK, ale w jego ocenie nie powinien być on rozwiązywany w ten sposób
• na wstępie swojej odpowiedzi organ wyjaśnia, że pismo zostało rozpatrzone jako wniosek, gdyż nie spełnia wymogów petycji określonych w przepisach
• dalej tłumaczy, że decyzje, o których mowa w piśmie, zostały wydane na podstawie ustalonego stanu faktycznego i w oparciu o obowiązujące przepisy prawa, a Prezes Urzędu Ochrony Danych Osobowych nie ma prawa kierować się pozaprawnymi przesłankami przy wydawaniu decyzji
• na koniec informuje, że zgodność decyzji z prawem będzie podlegała ocenie w toku postępowania sądowo-administracyjnego, gdyż zostały one zaskarżone przez GGK do WSA w Warszawie

Źródło: https://geoforum.pl/news/29819/uodo-odpowiada-na-petycje-ws-kar-dla-ggk

• Alarm 112 to aplikacja mobilna, za udostępnienie której odpowiada Ministerstwo Spraw Wewnętrznych i Administracji – ma stanowić alternatywny sposób kontaktu z operatorem numeru alarmowego w sytuacjach kryzysowych
• jednak zastrzeżenia budzi konieczność podania numeru PESEL w momencie rejestracji
• uwagę na ten problem zwróciła jedna z organizacji reprezentujących osoby niepełnosprawne – wskazywała ona, że podczas wykonywania standardowej rozmowy alarmowej nie jest wymagane podawanie takich danych jak PESEL
• MSWiA twierdzi, że identyfikacja za pomocą PESEL jest podyktowana koniecznością walki z fałszywymi zgłoszeniami – PESEL zniechęca zgłaszającego do korzystania z aplikacji niezgodnie z przeznaczeniem, ponieważ użytkownik nie ma poczucia anonimowości
• eksperci mają wątpliwości, czy podanie numeru PESEL rzeczywiście pomoże w walce z tym zjawiskiem –w przypadku wielu osób i tak jest on dostępny organom administracji w publicznych rejestrach (np. KRS)
• w razie fałszywego alarmu odpowiednie organy i tak mogą ustalić dane właściciela telefonu, korzystając m.in. z jego lokalizacji
• zastrzeżenia do wykorzystywania numeru PESEL ma także Urząd Ochrony Danych Osobowych – wyraźnie wskazuje na szczególny charakter numeru PESEL i podkreśla, że stanowi on krajowy numer identyfikacyjny w rozumieniu art. 87 RODO, który musi być poddany szczególnej ochronie

Źródło: https://prawo.gazetaprawna.pl/artykuly/1493563,aplikacja-alarmowa-112-zgloszenia-pesel-ochrona-danych-osobowych.html

• francuski organ ochrony danych (CNIL) wydał rekomendacje dla ośrodków gromadzących informacje zdrowotne – urząd chce przeniesienia danych pacjentów do europejskiej infrastruktury chmurowej, żeby uniknąć ich transferu pomiędzy Unią a USA
• zgodnie z rekomendacjami urzędu, firmy gromadzące dane medyczne francuskich pacjentów powinny unikać korzystania z amerykańskich usług chmurowych, w tym: Microsoft Azure, Amazon Web Services i Google Cloud
• zamiast tego informacje tego rodzaju miałyby być przechowywane w europejskiej infrastrukturze chmurowej
• ma to zapobiec konieczności przesyłania danych Europejczyków na serwery w USA, gdzie nie podlegają one takiej same ochronie prywatności, jak w UE, i gdzie mogą mieć do nich dostęp amerykańskie służby
• wytyczne CNIL pojawiły się krótko po tym, jak Francja ogłosiła, że buduje krajową platformę danych zdrowotnych – serwis ma m.in. ułatwić badanie rzadkich chorób
• według CNIL amerykańskie firmy, takie jak Microsoft, nawet jeśli przetwarzają dane użytkowników w Europie, to nadal podlegają pod regulacje prawne USA – to oznacza, że dane Europejczyków wciąż mogą wpaść w ręce amerykańskich służb

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/dane-medyczne-francuzow-nie-trafia-do-usa-paryz-stawia-na-chmure-w-ue

• w najnowszym, październikowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

1. IOD MOŻE MIEĆ DWÓCH ZASTĘPCÓW

• administrator może wyznaczyć dwie osoby zastępujące inspektora ochrony danych – należy jednak zadbać o to, by przejrzyście określić nie tylko system zastępstw IOD, ale również podział obowiązków wszystkich osób, tak by wówczas, gdy jednocześnie będą one obecne w pracy, nie było wątpliwości, kto za jakie zadania jest odpowiedzialny

2. JAKIE DANE PRACOWNIKÓW SZKOŁY DYREKTOR MOŻE UDOSTĘPNIĆ ORGANOWI PROWADZĄCEMU

• organ prowadzący szkołę nie ma podstaw, by żądać szczegółowych danych dotyczących pracowników takiej placówki

3. ZAŚWIADCZENIE O PRZEKSZTAŁCENIU PRAWA UŻYTKOWANIA WIECZYSTEGO W PRAWO WŁASNOŚCI BEZ DANYCH OSOBOWYCH BENEFICJENTA PRZEKSZTAŁCENIA

• burmistrzowi, który postąpił wbrew tej regule, Prezes UODO udzielił upomnienia

4. PRZEDŁOŻENIE EROD PROJEKTU WYMOGÓW AKREDYTACJI PODMIOTÓW MONITORUJĄCYCH KODEKSY POSTĘPOWANIA

• Prezes UODO, po wnikliwej analizie wszystkich uwag nadesłanych w czasie konsultacji społecznych, dokonał stosownych zmian w projekcie Wymogów akredytacji podmiotów monitorujących kodeksy postępowania

5. DOKUMENTACJA DOTYCZĄCA NIEODPŁATNEJ PRACY SKAZANYCH NA CELE SPOŁECZNE. WYSTĄPIENIE O DOPRECYZOWANIE PRZEPISÓW

• Prezes UODO zwrócił się do Ministra Sprawiedliwości o podjęcie prac legislacyjnych mających na celu doprecyzowanie zasad postępowania z dokumentacją dotyczącą wykonywania nieodpłatnej, kontrolowanej pracy na cele społeczne

Źródło: https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• Rada Unii Europejskiej opublikowała sprostowanie do oficjalnych tłumaczeń RODO na języki krajowe – poprawki dotyczą również tłumaczenia treści rozporządzenia na język polski
• sprostowanie dotyczące polskiego tłumaczenia RODO dotyczy treści art. 82 ust. 2 RODO

zamiast:

„2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.”

powinno być:

„2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.”

Źródło: https://data.consilium.europa.eu/doc/document/ST-11744-2020-INIT/en/pdf

• zgodnie z RODO państwa członkowskie powinny przyjąć krajowe przepisy, które pozwolą pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji, w tym pracą dziennikarzy – Polska zrobiła to w art. 2 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym przy przygotowaniu materiałów prasowych nie stosuje się wielu z regulacji RODO
• ustawodawca nie wyłączył natomiast art. 17, który przewiduje tzw. prawo do bycia zapomnianym, czyli możliwość żądania usunięcia danych
• właśnie na ten przepis powołał się prawnik, którego dane osobowe, w tym zdjęcie, znalazły się w artykule opublikowanym w jednej z gazet oraz na jej stronie internetowej – uznał to za naruszenie swej prywatności i złożył skargę do Prezesa UODO
• Prezes UODO umorzył postępowanie – Uznał, że co prawda art. 17 RODO nie został wyłączony przy działalności prasowej, ale jednocześnie nie stosuje się innych przepisów, a tylko one mogłyby wskazywać na bezprawność przetwarzania danych
• sprawa trafiła do WSA – sąd oddalił skargę, wskazał też że polska ustawa nie wyłącza art. 17 RODO, co oznacza, że teoretycznie można domagać się usunięcia informacji lecz nie oznacza to jednak, że prasa ma obowiązek spełnienia tych żądań
• Prezes UODO nie może nakazać usunięcia danych osobowych z artykułu prasowego, prasę obejmuje bowiem wyjątek dziennikarski – uznał sąd

Źródło: https://prawo.gazetaprawna.pl/artykuly/1492652,sad-gazety-nie-musza-usuwac-danych-osobowych-z-artykulu-prasowego.html

• na chwilę obecną brak jednak podstaw do badania pracowników pod kątem COVID-19 – nakazywanie przez pracodawcę wykonania testu przez pracownika może być zbyt daleko idącą ingerencję w prawa pracownika
• pracodawca, który ma wątpliwości co do stanu zdrowia danego pracownika, może skierować go na badanie do lekarza medycyny pracy i dopiero ten lekarz powinien – jeżeli uzna to za zasadne – zainicjować postępowanie
• pracodawca może zawiadomić Państwowego Inspektora Sanitarnego o potencjalnym ryzyku choroby u danego pracownika, co może doprowadzić do zainicjowania weryfikacji stanu zdrowia takiej osoby, przy czym w takim przypadku pracodawca może narażać się na ryzyko nierównego traktowania pracownika w zatrudnieniu
• pracodawca ma prawo skierować pracownika na badania, jeżeli ma podejrzenia co do jego stanu zdrowia, ale jedyne co powinno go interesować to wynik końcowy, czyli to, czy pracownik jest zdolny lub niezdolny do wykonywania pracy – pracodawca nie powinien mieć natomiast dostępu do samych wyników

• w sytuacji, kiedy to pracodawca organizuje i finansuje zakup oraz przeprowadzenie testów na obecność koronawirusa należy uznać, że następuje to z inicjatywy pracodawcy, a nie pracownika
• w takiej sytuacji pracodawca może również wywierać nacisk na pracowników, ponieważ poniósł koszty związane z zakupem i przeprowadzeniem testów, dlatego też podstawa legalizująca przetwarzanie przez pracodawcę danych o stanie zdrowia pracownika oparta jedynie na przesłance zgody budzi wątpliwości organu nadzorczego z punktu widzenia przepisów nie tylko RODO, ale także przepisów prawa pracy – wskazuje UODO
• to służby sanitarne, a nie pracodawcy, powinny wskazywać kierunki podejmowanych działań – przypomina organ

Źródło: https://www.prawo.pl/kadry/testy-czy-pracodawca-moze-przebadac-pracownika-na-covid-19-tylko,503667.html

• nieznany sprawca pozyskał dane na temat klientów sieci Play – incydent dotyczy osób, które korzystały z usługi Forum Play
• 7 września br. do Play trafiła informacja o możliwości wystąpienia incydentu, polegającego na nieuprawnionym przetwarzaniu danych użytkowników Forum Play
• analiza wykazała, że nieznany sprawca pozyskał dane takie jak: adres e-mail, hash (skrót) hasła, adres IP czy data urodzenia
• o incydencie władze Play poinformowały Prezesa Urzędu Ochrony Danych Osobowych, CERT Polska oraz CSIRT GOV
• złożono również zawiadomienie o możliwości popełnienia przestępstwa do Prokuratury Rejonowej Warszawa-Mokotów w Warszawie
• konsekwencją pozyskania danych przez nieuprawnione osoby może być próba logowania się do kont w serwisach internetowych, w których loginem był adres e-mail podany na Forum, a hasło było takie samo jak do konta w usłudze świadczonej przez operatora
• to także ryzyko przetwarzania danych w celach marketingowych bez uprzednio wyrażonej zgody oraz możliwość wykorzystania pozyskanych informacji do uwierzytelnienia/weryfikacji tożsamości lub skorzystania z przysługujących praw

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/kradziez-danych-uzytkownikow-forum-play

• trzech powodów złożyło skargę do belgijskiego organu ochrony danych przeciwko regionalnej publicznej instytucji ochrony środowiska – instytucja ta ma kompetencje do podejmowania działań w przypadku naruszenia przepisów dotyczących ochrony środowiska, na przykład w przypadku zaśmiecania
• instytucja ta ukarała pierwszego powoda grzywną za zaśmiecanie
• w postanowieniu nakładającym grzywnę instytucja odniosła się również do partnera pierwszego powoda oraz teścia pierwszego powoda – instytucja znalazła nazwisko i link do partnera (drugiego powoda) w krajowym rejestrze pierwszego powoda, teść (trzeci powód) komunikował się z instytucją w celu obrony pierwszego powoda w postępowaniu środowiskowym
• instytucja stwierdziła w swojej decyzji, opierając się na nazwisku drugiego i trzeciego powoda, że istniał między nimi związek rodzinny
• belgijski organ stwierdził, że pozyskanie danych z krajowego rejestru stanowi przetwarzanie niezgodne z prawem, a przetwarzanie to in concreto nie było konieczne do wykonania zadania, dodatkowo wzmianka o powiązaniu rodzinnym między drugim a trzecim powodem może być błędna i opiera się na założeniach, o których nie trzeba wspominać w decyzji instytucji w tym kontekście
• belgijski organ ochrony danych nie może nałożyć grzywny administracyjnej na belgijską instytucję publiczną ani na żaden inny organ rządowy, ponieważ zostało to wykluczone przez belgijskiego ustawodawcę – dlatego też instytucja została jedynie upomniana

Źródło: https://edpb.europa.eu/news/national-news/2020/belgian-data-protection-authority-has-issued-warning-and-reprimand-regional_en

• niemiecki Datenschutzkonferenz (DSK)- wspólny organ niemieckich organów ochrony danych, opublikował swoje stanowisko w sprawie stosowania kamer termowizyjnych i elektronicznych kontroli temperatury w kontekście pandemii COVID-19
• Pomimo wyrażenia ogólnej krytyki kontroli temperatury ciała w kontekście COVID-19, DSK stwierdziła że uznaje stosowanie kamer termowizyjnych w miejscu pracy za dopuszczalne, pod warunkiem, że są przestrzegane wymogi ochrony danych już w fazie projektowania określone w art. 25 RODO i bezpieczeństwo przetwarzania danych zgodnie z art. 32 RODO
• niemieckie organy ochrony danych uważają, że elektroniczne kontrole temperatury, a następnie dokumentacja lub rejestracja podlegają RODO – wskazują jednak, że kontrole temperatury ciała, które są obsługiwane ręcznie i nie są poprzedzone rejestracją, dokumentacją lub innym przetwarzaniem danych osobowych, mogą nie podlegać RODO.
• w miejscach publicznych, takich jak centra handlowe i lotniska, kontrole temperatury ciała nie są uważane za dopuszczalne – organy podkreślają, że nie uważają automatycznych kontroli temperatury ciała za odpowiednie i konieczne, ponieważ podwyższona temperatura ciała nie musi być koniecznie traktowana jako objaw koronawirusa
• kontrole temperatury ciała nie mogą opierać się na zgodzie w ramach RODO, ponieważ zwykle trudno jest dobrowolnie wyrazić zgodę (w szczególności w przypadku zatrudnienia) i świadomie

• w odniesieniu do badania temperatury w miejscu pracy można by uznać to za konieczne jako miara bezpieczeństwa i higieny pracy – byłoby to oparte na art. 9 ust. 2 h, 88 i art. 26 niemieckiej federalnej ustawy o ochronie danych, ale tylko wtedy, gdy pomiar jest wykonywany przez pracowników służby zdrowia, którzy podlegają obowiązkowi zachowania tajemnicy zawodowej
• korzystając z kamery termowizyjnej, administratorzy powinni zadbać o spełnienie wymagań określonych w art. 25 i 32 RODO, w szczególności organy zalecają wprowadzenie następujących ustawień:
  • odpowiednie ustawienie kamery – należy uchwycić tylko niektóre części ciała, takie jak czoło i wewnętrzne kąty, ponieważ uchwycenie całego ciała nie jest konieczne
  • wysoka dokładność pomiaru – określenie wartości progowej wyzwalającej przechwytywanie przez kamerę, tj. producent lub użytkownik kamery powinien skonfigurować ją w taki sposób, aby kamera dokonywała nagrań lub wyzwalała alarm tylko wtedy, gdy wykryje podwyższoną temperaturę ciała
  • korzystanie z personelu ochrony nadzorującego kamery termowizyjne i wykrywającego osoby o podwyższonej temperaturze ciała

Źródło: https://www.dataprotectionreport.com/2020/10/thermal-cameras-and-covid-19-the-german-dpas-have-spoken/