RODO aktualności – 11.26.2018

• Prezes Fundacji Panoptykon udzieliła wywiadu dotyczącego wpływu RODO na stosowaną przez banki praktykę scoringu – oceny czynników osobowych w celu weryfikacji np. przy wnioskowaniu o udzielenie kredytu hipotecznego.
• W projektowanych przepisach dostosowujących 168 ustaw do RODO znajduje się m. in. zmiana Prawa bankowego, która zezwoli bankom na tzw. profilowanie kwalifikowane. Wprowadzone zostanie jednak prawo do tzw. interwencji ludzkiej.
• Podnoszony jest również postulat, aby osoba poddana profilowaniu w banku mogła poznać mechanizmy, na podstawie których została oceniona np. jakie czynniki zostały wzięte pod uwagę i z jaką wagą.

Źródło: https://www.rp.pl/Opinie/311229978-Jak-ocenia-nas-bank-i-co-RODO-do-tego.html

• Pracodawcy mają prawo podejmowania działań zmierzających do ustalenia ewentualnych naruszeń (korupcja, kradzież, oszustwa, wyciek tajemnicy przedsiębiorstwa czy mobbing) i osób odpowiedzialnych.
• Podstawą prawną wg autora jest prawnie uzasadniony interes.
• W artykule poruszone również są kwestie ewentualnej niezgodności z art. 10 RODO oraz spełniania wtórnego obowiązku informacyjnego z art. 14 RODO.
• Przestrzega się także przed zbyt szybki usuwaniem danych po zakończeniu wewnętrznych śledztw.

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1354927,rodo-zatrudniajacy-nadal-moze-zbierac-informacje-o-naduzyciach.html

• Funkcjonowanie rozpoczęła wyszukiwarka Startpage.com, jak twierdzą jej autorzy – najbardziej prywatna wyszukiwarka na świecie.
• Wyszukiwarka korzysta z Google’a, jednak usuwane są wszystkie trackery i logi.
• Twórcy wskazują również, że nie gromadzą i nie przetwarzają żadnych danych osobowych.
• Startpage.com oferuje również funkcję „Tryb Anonimowy”.

Źródło: https://www.startpage.com/pl/

• Pod skrótem RDNO kryje się rozporządzenie ogólne o danych nieosobowych, które zostało przyjęte przez Radę UE 9 listopada 2018 r. w kształcie zaproponowanym wcześniej przez Parlament Europejski.
• Dane nieosobowe zdefiniowano w sposób negatywny – są to wszelkie dane niebędące danymi osobowymi w rozumieniu RODO.
• Przepisy regulują m. in. swobodę przepływu tego typu danych, reguły przechowywania danych na serwerach czy reguły lokalizacji samych serwerów.
• Vacatio legis tego aktu prawnego wynosi 6 miesięcy.

Źródło: http://lswipblog.pl/pl/2018/11/rodo-szalenstwo-za-nami-czy-czeka-nas-rodn-szalenstwo/

• Adw. Łukasz Pociecha wskazał problemy, z jakimi w związku z wdrożeniem RODO zmaga się branża medyczna.
• Poruszona została m. in. kwestia wywoływania pacjentów do gabinetu – autor proponuje stosowanie imienia i godziny wizyty lub nadawanie pacjentom numerów w kolejce.
• Z kolei w przypadku udzielania informacji przez telefon powinno się udzielać, zdaniem autora, podstawowych informacji (np. tego, czy dana osoba znajduje się w placówce medycznej), natomiast szersze informacje przedstawić już osobiście po zweryfikowaniu osoby pytającej o stan zdrowia chorego/poszkodowanego.

Źródło: https://polskatimes.pl/sluzba-zdrowia-pod-presja-rodo-przepisy-sa-czesto-zle-rozumiane/ar/13676032

Portal Cyberdefence24.pl, we współpracy z jedną kancelarii prawnych, przygotowali poradnik dotyczący stosowania RODO w bankowości.

Źródła: https://www.cyberdefence24.pl/bezpieczenstwo-informacyjne/wszystko-co-trzeba-wiedziec-o-rodo-w-bankowosci-raport-cyberdefence24pl

• Prezes UOKiK wszczął postępowanie wobec ACS Medica.
• Call center dzwoniło pod numery z książki telefonicznej z zaproszeniami na pokazy handlowe mat i urządzeń do magnetoterapii.
• Postępowanie toczy się w ramach potencjalnego naruszenia art. 172 Prawa telekomunikacyjnego, co może godzić w zbiorowe interesy konsumentów.

Źródło: https://uokik.gov.pl/aktualnosci.php?news_id=14949

• Prezes Sądu Okręgowego w Przemyślu udzielił wywiadu, w którym podzielił się doświadczeniami z wdrożenia i stosowania RODO w sądzie.
• Problemy, na które w szczególności zwraca uwagę to: swoisty dualizm w statusie administratora danych (prezes sądu i dyrektor sądu), udzielanie informacji o sprawach przez telefon, współpraca organów państwa lub samorządu (Policja/ośrodki pomocy społecznej) z kuratorami oraz umowy powierzenia.

Źródło: https://www.prawo.pl/prawnicy-sady/rodo-w-sadach-opinia-prezesa-sadu-okregowego-w-przemyslu,332159.html

• Sąd Okręgowy w Warszawie zasądził od banku (pozwanego) na rzecz ofiary wyłudzenia (powoda) kwotę ponad 76 tysięcy złotych.
• Oszuści wykorzystali oprogramowanie szpiegowskie zainstalowane na komputerze poszkodowanego.
• Sąd odrzucił zarzut banku o przyczynieniu się poszkodowanego do szkody, bankowi zarzucono m. in. niewystarczająco wyraźne ostrzeganie klientów przed atakami hakerskimi i złośliwym oprogramowaniem.
• Sąd stwierdził również, iż działanie poszkodowanego miało co prawda charakter niedbalstwa, ale nie w stopniu rażącym.

Źródła: Wyrok Sądu Okręgowego w Warszawie z dnia 28 października 2018 r. (I C 1208/16)

             https://www.saos.org.pl/judgments/content/359478.html

• WSA w Olsztynie nakazał Dyrektorowi Oddziału Wojewódzkiego NFZ udostępnienie imion i nazwisk lekarzy w trybie dostępu do informacji publicznej.
• Wcześniej Dyrektor odmówił ujawnienia imion i nazwisk lekarzy przyjmujących w placówce zasłaniając się przepisami RODO oraz potencjalnym naruszeniem ich dóbr osobistych.
• Sąd stwierdził m. in., że przepisy RODO dotyczą przetwarzania danych osób fizycznych, nie zaś dostępu do informacji publicznej, a informacja o imionach i nazwiskach lekarzy onkologów w przytoczonym stanie faktycznym stanowi informację publiczną.

Źródło: Wyrok WSA w Olsztynie z dnia 19 października 2018 r. (II SA/Ol 542/18), http://www.orzeczenia-nsa.pl/wyrok/ii-sa-ol-542-18/1850c36.html

• WSA w Warszawie oddalił skargę spółki P-4 złożonej wskutek wydania w styczniu 2018 r. decyzji przez GIODO nakazującej spółce przywrócić stan zgodny z prawem poprzez zaprzestanie przetwarzania danych osoby, która złożyła do GIODO skargę.
• Pracownicy operatora telekomunikacyjnego telefonowali do klientów proponując im ubezpieczenie oferowane przez Amplico Life, nie pobierając wcześniej zgody na rzecz Amplico Life. Spółka twierdziła, że realizuje swój prawnie usprawiedliwiony cel.
• Sąd stwierdził, że usługi ubezpieczenia nie da się podciągnąć pod usprawiedliwiony cel przetwarzania danych spółki telekomunikacyjnej, a oferowanie umowy ubezpieczenia abonentowi nie było marketingiem dla celów własnych lecz realizacją celu biznesowego i aby go osiągnąć spółka powinna była uzyskać zgodę swego klienta na przetwarzanie danych przez podmiot trzeci.

Źródło: Wyrok WSA w Warszawie z dnia 23 listopada 2018 r. (II SA/Wa 511/18), https://www.prawo.pl/prawo/klient-pokrzywdzony-przez-laczenie-ofert-telekomunikayjnych-z,334966.html

• WSA w Gdańsku w dwóch różnych sprawach odmówił przyznania wnioskodawcy prawa pomocy w postaci pełnomocnika z urzędu.
• Odmowa w obu przypadkach wynikała z braku przedłożenia przez wnioskodawców dokumentów potwierdzających trudną sytuację majątkową, którą wcześniej wnioskodawcy oświadczyli.
• Wnioskodawcy w obu przypadkach twierdzili, iż nie przekażą dokumentów ze względu na przepisy RODO.
• Sąd stwierdził, regulacje ustawy Prawo o postępowaniu przed sądami administracyjnymi., w tym art. 255 PPSA są regulacjami szczególnymi, które wyprzedzają zastosowanie rozporządzenia unijnego w zakresie rozpoznawania spraw sądowych, w tym także postępowań wpadkowych, a zatem chybione jest nawiązanie wnioskodawcy do RODO.

Źródła: Postanowienie WSA w Gdańsku z dnia 13 listopada 2018 r. (II SA/Gd 541/18)

            Postanowienie WSA w Gdańsku z dnia 3 października 2018 r. (I SA/Gd 1117/17)

• Tuż przed tzw. „czarnym piątkiem” doszło do wycieku danych klientów.
• Klienci otrzymali bardzo enigmatyczną informację od Amazonu, że ich adresy e-mail zostały przypadkowo ujawnione. Nie podano jednak przyczyny, ani żadnych działań naprawczych.

Źródło: https://antyweb.pl/amazon-email-wyciek/

• R. pr. Katarzyna Kamińska udzieliła wypowiedzi dotyczącej relacji przekazywania sobie danych osobowych na linii wynajmujący – najemca w przypadków centrów handlowych.
• Mec. Kamińska stwierdziła, iż co do zasady mamy do czynienia z relacją administrator-administrator i udostępnieniem danych osobowych.
• Autorka zwraca uwagę, że nieprawidłową jest praktyka podpisywania umów powierzenia z każdym kontrahentem.
• Artykuł porusza również inne obowiązki administratora danych: wyznaczenie IOD-a czy ocenę skutków.

Źródło: http://www.propertynews.pl/prawo/okiem-eksperta-rodo-goraczka-w-centrum-handlowym,68927_2.html

• Niemiecki organ ochrony danych osobowych nałożył 20 tysięcy euro kary na właściciela portalu randkowego Knuddels.
• Firma została ukarana za naruszenie art. 32 RODO – brak odpowiednich zabezpieczeń, wskutek czego doszło we wrześniu 2018 r. do wycieku danych (adresy e-mail oraz hasła) około 2 milionów użytkowników. O wycieku poinformowano użytkowników bardzo szybko.
• Organ uzasadnił wysokość kary wzorową współpracą ze strony ukaranego podmiotu oraz zapewnieniem i wdrożeniem dodatkowych zabezpieczeń danych.

Źródła: https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

           https://bezprawnik.pl/kara-rodo/

• Europejska Rada Ochrony Danych wydała 16 listopada 2018 r. wytyczne 3/2018 dotyczące zasięgu terytorialnego Ogólnego rozporządzenia o ochronie danych (art. 3 RODO).
• Wytyczne zajmują się w szczególności sytuacjami, gdy administrator danych lub podmiot przetwarzający nie mają siedziby w UE, proponując instytucję przedstawiciela.
• W wytycznych wyjaśnione jest również pojęcie „jednostki organizacyjnej”, które występuje w art. 3 ust. 1 RODO.
• EROD wskazuje również zalecenia dotyczące stosowania art. 3 ust. 2 RODO.

Źródło: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_en.pdf (tekst EN). 

• Irlandzki organ ochrony danych, na skutek skargi osoby fizycznej, wszczął postępowanie i przeprowadził audyt w LinkedIn Ireland.
• Audyt wykazał, że LinkedIn Corp w USA, który przetwarza dane w imieniu LinkedIn Ireland, przetwarzał adresy e-mail około 18 milionów osób, które nie są użytkownikami LinkedIn i wyświetlał tym osobom reklamy na Facebooku.
• Sprawa skargi została rozwiązana polubownie.

Źródło: https://www.irishtimes.com/news/ireland/irish-news/linkedin-processed-18-million-email-addresses-of-non-users-for-targeted-advertising-1.3708284?mode=amp

• Do ujawnienia numeru PESEL Jarosława Kaczyńskiego doszło podczas rozprawy z jego udziałem w procesie o naruszenie jego dóbr osobistych przez Lecha Wałęsę.
• Operator kamery TVN wykonał zbliżenie, w którym wyraźnie widać było dowód osobisty Jarosława Kaczyńskiego, w tym jego numer PESEL.
• Na zdarzenie zareagowała natychmiast Prezes UODO, która wystosowała pismo do Krajowej Rady Radiofonii i Telewizji.

Źródło: https://www.rp.pl/Dane-osobowe/311239916-PESEL-Kaczynskiego-Sala-sadowa-nie-jest-od-szykanowania.html

• Raport o powyższym tytule został opublikowany po przeprowadzeniu badań przez IAB Polska.
• Według deklaracji użytkowników Internetu – zdecydowana większość z nich posiada wiedzę na temat RODO, niektórzy (41 %) twierdzą nawet, że znają szczegóły RODO.
• Niemal idealny podział na 3 części wprowadziło pytanie, czy RODO pomaga lepiej chronić dane osobowe internautów – 33 % odpowiedziało, że tak, 34 % – nie, a 34 % nie miało zdania.
• Zdecydowana większość uczestników badania nie skorzystała z żadnego z przysługujących im na mocy RODO praw.
• Raport można pobrać stąd.

Źródło: https://iab.org.pl/badania-i-publikacje/raport-rodo-w-opinii-internautow-2/

• Prezes UODO wystosowała list otwarty z okazji półrocza stosowania RODO.
• Na stronie Urzędu opublikowane zostało również podsumowanie ostatnich pół roku działalności, w tym dostosowywania się do RODO.
• Opublikowano również krótkie (10 punktów) poradniki dla administratorów danych oraz dla osób, których dane dotyczą.

Źródło: https://uodo.gov.pl/pl/171/576

• Do absurdalnej i przykrej sytuacji doszło w poznańskim szpitalu. Zaniepokojona rodzina zgłosiła się do szpitala z zapytaniem, czy został do niego przewieziony 70-letni mężczyzna.
• Pracownicy szpitala odmówili udzielenia informacji, zasłaniając się RODO.
• O tym, że mężczyzna trafił do szpitala i w nim zmarł, rodzina dowiedziała się przypadkiem od sprzątaczki, która usłyszała rozmowę rodziny zmarłego z personelem.

Źródło: https://epoznan.pl/news-news-90549-O_smierci_ojca_dowiedzieli_sie_od_szpitalnej_sprzataczki,_ktora_ich_przypadkiem_podsluchala._Szpital_nie_udzielal_informacji_z_powodu_RODO

• 22 listopada 2018 r. miało miejsce pierwsze czytanie rządowego projektu ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która stanowi wdrożenie do polskich przepisów tzw. dyrektywy policyjnej (dyrektywa 2016/680).
• MSZ wskazuje, iż art. 3 ust. 2 projektowanej ustawy mogą być niezgodne z prawem unijnym. Spod zakresu ustawy wyłączone mają być służby związane z bezpieczeństwem narodowym tj. ABW, Agencja Wywiadu, CBA, Służba Wywiadu Wojskowego oraz Służba Kontrwywiadu Wojskowego.
• Nadzór nad przetwarzaniem danych osobowych w ramach implementacji dyrektywy policyjnej ma sprawować Prezes UODO.

Źródła: https://prawo.gazetaprawna.pl/artykuly/1359549,dyrektywa-policyjna-nie-obejmie-abw-i-cba.html

            http://www.sejm.gov.pl/Sejm8.nsf/druk.xsp?nr=2989