RODO aktualności – 30.12.2020

• podczas 43. posiedzenia plenarnego Europejska Rada Ochrony Danych wydała oświadczenie, w którym administratorzy i podmioty przetwarzające dane znajdą informacje na temat konsekwencji zakończenia 31 grudnia 2020 r. okresu przejściowego w związku z opuszczeniem przez Zjednoczone Królestwo struktur Unii Europejskiej
• od 1 stycznia 2021 r. Zjednoczone Królestwo nie będzie już stosować RODO do przetwarzania danych osobowych, a będą w nim obowiązywać odrębne ramy prawne dotyczące ochrony danych
• w oświadczeniu EROD w szczególności podkreśliła kwestię przekazywania danych do państwa trzeciego, jak również konsekwencje dotyczące nadzoru regulacyjnego i mechanizmu kompleksowej współpracy
• okres przejściowy, podczas którego organ Zjednoczonego Królestwa nadal uczestniczy we współpracy administracyjnej EROD, upływa z końcem 2020 r.
• od 1 stycznia 2021 r. każde przekazywanie danych osobowych między zainteresowanymi stronami objętymi RODO a podmiotami Zjednoczonego Królestwa będzie stanowić przekazanie danych osobowych do państwa trzeciego i w związku z tym będzie podlegać przepisom rozdziału V RODO

Źródło: https://uodo.gov.pl/pl/138/1793

• Komisja Ochrony Danych (DPC) ogłosiła zakończenie dochodzenia dotyczącego RODO, które przeprowadziła w firmie Twitter International Company
• dochodzenie irlandzkiego organu ochrony danych osobowych rozpoczęło się w styczniu 2019 r.
• po otrzymaniu od Twittera powiadomienia o naruszeniu, DPC stwierdziła, że Twitter naruszył art. 33 ust. 1 i art. 33 ust. 5 RODO w zakresie braku powiadomienia DPC i braku odpowiedniego udokumentowania naruszenia
• DPC nałożyła na Twitter karę administracyjną w wysokości 450 000 euro jako skuteczny, proporcjonalny i odstraszający środek.
• projekt decyzji w tym zapytaniu, który został przekazany innym zainteresowanym organom nadzorczym na podstawie art. 60 RODO w maju tego roku, był pierwszym, który przeszedł przez proces art. 65 („rozstrzyganie sporów”) od wprowadzenia RODO, w którym wszystkie organy nadzorcze UE były konsultowane jako zainteresowane organy nadzoru

Źródło: https://edpb.europa.eu/news/national-news/2020/irish-data-protection-commission-announces-decision-twitter-inquiry_en

• podmioty przetwarzające dane osobowe na zlecenie są najczęściej zobowiązane do ich usunięcia po wykonaniu swoich zadań
• w toku postępowań organ nadzorczy pyta jednak niektórych przedsiębiorców o dokładny moment pozbycia się konkretnych informacji – z takiej sytuacji nie jest łatwo wybrnąć
• przedsiębiorcy zastanawiają się, czy UODO ma podstawy do żądania tego typu informacji
• Prezes UODO może prosić o informacje na temat daty usunięcia konkretnych danych, o ile jest to istotne z punktu widzenia prowadzonego postępowania – może się bowiem zdarzyć naruszenie w konkretnej dacie i urząd musi zbadać, kto dokładnie dokonał tego naruszenia – administrator, procesor czy może ktoś inny
• informacja o tym, kiedy np. procesor usunął dane, może go wykluczyć jako potencjalnego sprawcę naruszenia
• zdaniem ekspertów procesor, który nie jest w stanie wskazać dokładnego momentu usunięcia danych, bo już ich nie posiada w swojej bazie, powinien przedstawić UODO procedurę, jaką ma w tym zakresie, oraz stosowną dokumentację

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8044765,procesor-dane-osobowe-kontrakt-kara-prezes-uodo.html

• serwis społecznościowy świata zamierza stosować wobec użytkowników w Wielkiej Brytanii te same zasady co wobec użytkowników w USA, ale już nie te co wobec użytkowników z UE – wszystko wiąże się z wyjściem Wielkiej Brytanii z Unii Europejskiej
• użytkownicy Facebooka z UE są formalnie „klientami” spółki Facebooka założonej w Irlandii, która stanowi centrum operacyjne tego serwisu w Europie
• od przyszłego roku brytyjscy użytkownicy Facebooka będą jednak „klientami” spółki Facebooka zarejestrowanej w Kalifornii – tym samym przestaną być chronieni restrykcyjnymi unijnymi przepisami dotyczącymi np. ochrony ich danych osobowych
• brytyjski organ nadzoru – Biuro Komisarza ds. Informacji (ICO) poinformowało, że jest już w kontakcie z amerykańskimi spółkami internetowymi, które mają wielu użytkowników w Wielkiej Brytanii, ale zamierzają ich po upływie okresu przejściowego po brexicie „przenieść” z europejskich spółek do amerykańskiej
• biuro prasowe Facebooka poinformowało, że w ciągu najbliższych sześciu miesięcy przygotuje dla swoich brytyjskich użytkowników konkretne rozwiązania, a potem przedstawi im je do akceptacji, jeśli chcą nadal korzystać z aplikacji tej spółki – oprócz serwisu Facebook to także takie aplikacje jak WhatsApp czy Instagram

Źródło: https://www.euractiv.pl/section/gospodarka/news/facebook-usa-wielka-brytania-unia-europejska-dane-brexit/

• do 12 lutego 2021 r. Europejska Rada Ochrony Danych (EROD) przyjmuje uwagi dotyczące Wytycznych 10/2020 w sprawie ograniczeń na podstawie art. 23 RODO
• celem wytycznych jest wskazanie warunków stosowania ograniczeń z art. 23 RODO w świetle Karty praw podstawowych UE i RODO
• dokument zawiera dokładną analizę kryteriów stosowania ograniczeń, ocen, których należy dokonywać, dotyczących tego, jak osoby, których dane dotyczą, mogą wykonywać swoje prawa po zniesieniu ograniczeń oraz konsekwencji naruszeń art. 23 RODO
• ponadto wytyczne analizują, w jaki sposób środki prawne określające ograniczenia muszą spełniać wymóg przewidywalności i analizują podstawy ograniczeń wymienionych w art. 23 ust. 1 RODO oraz obowiązki i prawa, które mogą zostać ograniczone
• przedstawiono również wyjaśnienie testu „niezbędności i proporcjonalności”, któremu ograniczenia muszą zostać poddane i go spełnić w oparciu o art. 23 ust. 1 RODO
• uwagi do wytycznych należy przesłać najpóźniej do 12 lutego 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://uodo.gov.pl/pl/138/1797

• czy obywatele Polski i innych krajów europejskich mają zaufanie do władz i wierzą, że ich dane są bezpiecznie przechowywane i będą wykorzystywane zgodnie z przeznaczeniem?
• odpowiedzi na to pytanie zaprezentowała brytyjska agencja Reboot Online analizując najnowsze dane udostępniane przez Komisję Europejską
• badania ankietowe objęły ponad 27 tys. osób z wszystkich 27 krajów UE i Wielkiej Brytanii
• z analizy Reboot wynika, że zaufanie do instytucji rządowych i administracyjnych pod względem ochrony danych jest słabe – w całej Unii Europejskiej, nie ma go średnio aż 61% obywateli
• Polska plasuje się w środku stawki krajów objętych badaniami z wynikiem 59% i wraz z Holandią, Cyprem i Litwą zajmuje 15. pozycję w rankingu
• tylko w siedmiu krajach ponad połowa obywateli jest przekonana, że ich dane osobowe są bezpiecznie przechowywane i odpowiednio zarządzane

Źródło: https://www.computerworld.pl/news/Czy-uwazamy-ze-dane-osobowe-sa-dobrze-chronione-przez-urzedy-i-instytucje,424529.html

• brakuje regulacji prawnych określających, kto jest administratorem danych osobowych w samorządach
• problem określenia administratora w samorządach pozostaje nierozwiązany od lat, Prezes UODO nie przyjął do tej pory jednolitego stanowiska w tym zakresie, uznając na przestrzeni lat za administratora różnie – odpowiednio gminę, urząd gminy lub burmistrza (wójta, prezydenta)
• w sektorze publicznym współistnieje wiele organów, podmiotów, jednostek organizacyjnych, realizujących różnego rodzaju zadania publiczne, w pewnym stopniu decydujących o celach i sposobach przetwarzania – urząd jest pracodawcą w rozumieniu przepisów Kodeksu pracy i ustawy o pracownikach samorządowych, więc w tym ujęciu także może występować jako administrator względem danych pracowniczych
• problemem jest fakt, że w urzędzie gminy w jednym budynku może być od kilku nawet do kilkunastu administratorów – mogą to być gminne komisje, straż miejska stacjonująca w budynku gminy, kierownik urzędu stanu cywilnego, kasy zapomogowo-pożyczkowe, itp.
• często dane różnych administratorów są przetwarzane w tych samych pomieszczeniach, są przechowywane w tych samych szafach i ci sami pracownicy urzędu gminy mogą jednocześnie działać na rzecz różnych administratorów danych

Źródło: https://www.prawo.pl/samorzad/administrator-danych-osobowych-w-samorzadzie-kazda-gmina-czy,505363.html

• promowania szczepień w firmach nie ułatwiają też przepisy o ochronie danych osobowych
• zgodnie z RODO i Kodeksem Pracy informacje o stanie zdrowia zatrudnionych można pozyskiwać tylko za ich zgodą i z ich inicjatywy
• jeśli pracodawca deklaruje dodatkowe uprawnienia dla osób, które się zaszczepią, to trudno uznać, że przekazywanie informacji następuje tu z inicjatywy pracownika – budzi to co najmniej wątpliwości
• firmy zawsze mogą podnosić, że pozyskane informacje o zaszczepieniu nie będą rejestrowane (nie powstanie zbiór), więc nie dojdzie do naruszenia przepisów o ochronie danych – nie wszystkich jednak przekonuje taka interpretacja, a Urząd Ochrony Danych Osobowych uznał, że pracodawcy nie mogą samodzielnie badać, czy zatrudnieni nie mają gorączki (choć wówczas informacje też nie są formalnie rejestrowane)

Źródło: https://praca.gazetaprawna.pl/artykuly/8054094,zachety-do-szczepien-moga-dyskryminowac-pracownikow.html

• szwedzki urząd ochrony danych nałożył grzywnę administracyjną w wysokości 300 000 SEK (ok. 30 000 EUR) na spółkę mieszkaniową za niezgodny z prawem nadzór wideo w budynku mieszkalnym
• DPA otrzymał skargę dotyczącą monitoringu wideo w budynku mieszkalnym – skarżący twierdził, że w kamienicy znajdowała się kamera monitorująca skierowana na drzwi wejściowe skarżącego
• kontrola wykazała, że kamera monitorowała piętro, na którym mieszka skarżący – obszar monitorowania obejmował dwoje drzwi do mieszkań, z których jedno należy do skarżącego, a drugie do mieszkańca, który był obiektem nękania
• firma mieszkaniowa twierdziła, że celem monitoringu wideo było usunięcie z upływem czasu zakłóceń na klatce schodowej
• szwedzki organ stwierdził, że sposób instalacji monitoringu na parterze posesji spowodował, że wszyscy mieszkańcy domu podlegali monitorowaniu w drodze do i z domu, dotyczyło to szczególnie skarżącego i najbliższego sąsiada, ponieważ ich drzwi wejściowe są wyraźnie objęte monitorowanym obszarem nadzoru wideo
• nawet jeśli firma miała uzasadniony interes w monitorowaniu, przeważało nad tym prawo mieszkańców do prywatności
• przedsiębiorstwo mieszkaniowe zaprzestało monitoringu

Źródło: https://edpb.europa.eu/news/national-news_en