RODO aktualności – 03.01.2023 r.

• Komisja Europejska rozpoczęła dziś proces zmierzający do przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do ram ochrony danych osobowych UE USA, która będzie sprzyjać bezpiecznemu transatlantyckiemu przepływowi danych i rozwiewać obawy wyrażone przez Trybunał Sprawiedliwości Unii Europejskiej w decyzji Schrems II z lipca 2020 r
• Projekt decyzji jest następstwem podpisania przez prezydenta Bidena 7 października 2022 r amerykańskiego rozporządzenia wykonawczego wraz z przepisami wydanymi przez prokuratora generalnego USA Merricka Garlanda Te dwa instrumenty wdrożyły do prawa USA porozumienie co do zasady ogłoszone przez przewodniczącą Ursulę von der Leyen i prezydenta Bidena w marcu 2022 r
• Przedsiębiorstwa amerykańskie będą mogły przystąpić do ram prywatności danych UE USA, zobowiązując się do przestrzegania szczegółowego zestawu zobowiązań w zakresie prywatności, na przykład wymogu usuwania danych osobowych, gdy nie są już potrzebne do celów, dla których zostały zebrane, oraz do zapewnienia ciągłości ochrony w przypadku udostępniania danych osobowych stronom trzecim
• Ponadto ramy prawne USA przewidują szereg ograniczeń i zabezpieczeń dotyczących dostępu amerykańskich organów publicznych do danych, w szczególności do celów egzekwowania prawa karnego i bezpieczeństwa narodowego
• Osoby fizyczne z UE będą miały możliwość uzyskania środków odwoławczych dotyczących gromadzenia i wykorzystywania ich danych przez amerykańskie agencje wywiadowcze przed niezależnym i bezstronnym mechanizmem dochodzenia roszczeń, który obejmuje nowo utworzony sąd ds kontroli ochrony danych Trybunał będzie niezależnie badał i rozstrzygał skargi Europejczyków,

Źródło: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631

• Wprowadzenie rozwiązań zapobiegających zaciągnięciu, na skradzione dane identyfikujące osobę, zobowiązań w postaci m in kredytów i pożyczek czy otwierania rachunków bankowych zakłada projekt ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości Projekt został opublikowany we wtorek na stronie Rządowego Centrum Legislacji
• Jak podkreślają autorzy projektu, skorzystanie z rządowej usługi będzie miało charakter informacyjny, wywoła również konsekwencje prawne Instytucje finansowe będą miały obowiązek weryfikować, czy osoba zaciągająca zobowiązanie finansowe, nie dokonała zastrzeżenia w rządowej bazie
• Zgodnie z propozycją powstanie nowy rejestr zawierający informacje o zastrzeżonych numerach PESEL Firmy udzielające pożyczek (Banki/ firmy pożyczkowe), ale też notariusze i sądy, będą miały obowiązek sprawdzić, czy dane wnioskującego nie widnieją w tym mrejestrze Jeśli tego nie dopilnują, nie będą mogły dochodzić roszczeń od osoby, która padła ofiarą kradzieży tożsamości i zgłosiła ten fakt, a mimo tego złodziejowi udało się wyłudzić pieniądze czy zawrzeć jakąś umowę, wykorzystując skradziony dowód.

Źródło: https://www.prawo.pl/prawo/zastrzezenie-tozsamosci-w-aplikacji-mobywatel-ochroni-przed,518816.html

• Bez niczyjej zgody można handlować bazami zawierającymi numery komórkowe i wykorzystywać je do dowolnych celów Zdaniem sądu bez dodatkowych informacji nie są to bowiem dane osobowe
• Najnowsze orzeczenie dotyczy właśnie takiej bazy Utworzyła ją firma zajmująca się telemarketingiem, która pozyskuje numery telefoniczne z Internetu Jej pracownicy dzwonili pod te numery i pytali, czy abonent jest zainteresowany uzyskaniem informacji o kursach angielskiego Jeśli był, to prosili o podanie danych takich jak imię i nazwisko oraz wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych Jeśli nie, to wpisywali numer by już więcej na niego nie dzwonić Jeden z mężczyzn złożył skargę do prezesa UODO Ten zaś uznał, że spółka przetwarza dane bezprawnie i nakazał ich usunięcie
• O tym, czy jakaś informacja jest daną osobową, nierzadko decyduje kontekst Nie mając żadnych innych informacji poza numerem telefonu, mój klient nie mógł go powiązać z żadną konkretną osobą Prezes UODO przyjął, że przesądzająca jest sama możliwość kontaktu z właścicielem numeru W mojej ocenie jednak wciąż nie umożliwia to identyfikacji przekonuje dr Mirosław Gumularz
• Wojewódzki Sąd Administracyjny w Warszawie podzielił tę argumentację Jego zdaniem prezes UODO nie wykazał, by spółka przetwarzała dane osobowe Same numery telefonów nie są takimi danymi, a przynajmniej być nie muszą
• UODO podejmie decyzje o ewentualnym zaskarżeniu wyroku po zapoznaniu się z jego uzasadnieniem Wcześniej skierował natomiast skargę kasacyjną w innej sprawie, w której sąd uznał, że numer telefoniczny nie stanowi danych osobowych (sygn akt II SA/ Wa 1898 20

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8610606,telemarketing-rodo-numer-telefonu-dane-osobowe.html

• Trybunał Sprawiedliwości Unii Europejskiej odrzucił 7 grudnia 2022 r skargę o stwierdzenie nieważności wniesioną przez WhatsApp Ireland Ltd (WhatsApp IE) na wiążącą decyzję Europejskiej Rady Ochrony Danych
• Orzeczenie Sądu działającego w ramach TSUE dotyczy wiążącej decyzji EROD z 28 lipca 2021 r Wówczas Rada rozstrzygnęła spór dotyczący projektu decyzji irlandzkiego organu nadzorczego w sprawie obowiązków WhatsApp IE w zakresie przejrzystości zarówno wobec użytkowników, jak i osób niebędących użytkownikami usługi EROD poinstruowała irlandzki organ nadzorczy, aby zmienił projekt decyzji w zakresie naruszeń przejrzystości i podwyższył wysokość proponowanej administracyjnej kary pieniężnej W związku z tym irlandzki organ nałożył na WhatsApp IE administracyjną karę pieniężną w wysokości 225 mln euro
• Zdaniem TSUE w niniejszej sprawie nie są spełnione dwie przesłanki, na podstawie których można by stwierdzić, że dany środek dotyczył bezpośrednio osób innych niż adresaci:
  • Po pierwsze, decyzja EROD sama w sobie nie zmieniła sytuacji prawnej WhatsApp IE Stanowi jedynie akt przygotowawczy lub pośredni w stosunku do decyzji irlandzkiego organu nadzorczego
  • Po drugie, nawet gdyby decyzja EROD była wiążąca dla irlandzkiego organu nadzorczego, pozostawiła ona temu organowi zakres uznania co do treści ostatecznej decyzji

Źródło: https://www.uodo.gov.pl/pl/138/2521

• W grudniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi

USPRAWIEDLIWIANIE NIEOBECNOŚCI UCZNIA

• Nie ma podstaw, by szkoła, na potrzeby usprawiedliwienia nieobecności ucznia, żądała podania przyczyny absencji

RUSZYŁY PRACE NAD STWORZENIEM KODEKSU POSTĘPOWANIA DLA JEDNOSTEK SAMORZĄDU TERYTORIALNEGO

• Zawiązała się inicjatywa mająca na celu przygotowanie kodeksu postępowania dla jednostek samorządu terytorialnego O rozpoczęciu prac w tym zakresie UODO został poinformowany przez Związek Województw RP

PRZECHOWYWANIE NAGRANIA ROZMOWY TELEFONICZNEJ Z KLIENTEM OZNACZA PRZETWARZANIE DANYCH TEJ OSOBY

• Jeśli administrator w czasie rozmowy telefonicznej z klientem rejestruje dźwięk tej rozmowy, to przechowując nagranie, przetwarza jego dane osobowe W związku z tym, już podczas realizacji wobec klienta obowiązku informacyjnego powinien wskazać na taki zakres przetwarzania danych, jak rejestracja głosu Ponadto gdy klient zażąda udostępnienia kopii danych osobowych, administrator powinien je wydać

MNIEJ DANYCH W PUBLICZNYCH OBWIESZCZENIACH KOMORNICZYCH

• Sprawiedliwości podzieliło opinię UODO i zapowiada ograniczenie zakresu danych osobowych ujawnianych w obwieszczeniach komorniczych o terminie opisu i oszacowania nieruchomości w rozumieniu art 945 § 2 Kodeksu postępowania cywilnego kpc

Źródło: https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• Wojewódzki Sąd Administracyjny w Warszawie 28 października 2022 r. oddalił skargę Miasta Stołecznego Warszawy złożoną na decyzję UODO nakładającą administracyjną karę pieniężną na Stołeczny Ośrodek dla Osób Nietrzeźwych.
• Urząd Ochrony Danych Osobowych stwierdził naruszenie przepisów RODO przez Stołeczny Ośrodek dla Osób Nietrzeźwych, które polegało na nagrywaniu i utrwalaniu dźwięku (głosu) w zainstalowanym w ośrodku systemie monitoringu. W rezultacie na administratora nałożono karę pieniężną w wysokości 10 tys. złotych.
• Sąd podzielił opinię organu nadzorczego, że przepisy nie przewidują możliwości zapisu dźwięku w tym konkretnym przypadku, a instalacja monitoringu stosowana w pomieszczeniach przeznaczonych do izolacji oraz w pomieszczeniach izby wytrzeźwień w ogólności powinna umożliwiać wyłącznie zapis obrazu.
• W ocenie Sądu UODO prawidłowo podniósł, że nie można uznać, iż spełniona została w tym przypadku którakolwiek z przesłanek legalizujących przetwarzanie danych osobowych przewidziana w art. 6 ust. 1 lub art. 9 ust. 2 lit b) i c) RODO. WSA w uzasadnieniu wskazał/wyjaśnił, że brak jest racjonalnych powodów, aby uznać nagrywanie dźwięku we wskazanych pomieszczeniach ogólnych, jako uzasadnione troską o życie, zdrowie i bezpieczeństwo osób przebywających w ośrodku (WSA potwierdził, że utrwalanie dźwięku przez system monitoringu to daleko ingerujący w strefę prywatności środek, którego ustawodawca nie przewidział nawet w przypadku podmiotów wykonujących działalność leczniczą).

Żródło: https://www.uodo.gov.pl/pl/138/2590

• Rzecznik wnioskował do Prezesa UODO wszczęcia postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych, w związku z publicznym udostępnieniem wizerunku osoby w tzw. patostreamach, ale spotkał się z odmową.
• Prezes UODO swoje postanowienie uzasadnił tym, że co do zasady takie postępowanie może być wszczęte wyłącznie na żądanie tej osoby, której dane dotyczą. Tymczasem Rzecznik Praw Obywatelskich uważa, że to błędna interpretacja przepisów i stwierdza, że prowadzenie postępowania na wniosek RPO jest dopuszczalne.
• Działając w interesie publicznym Rzecznik zwrócił się do PUODO. RPO działał jednocześnie w celu ochrony interesu indywidualnego – osoby wykorzystywanej przez patostreamerów. Skierowane do organu administracji publicznej żądanie RPO wszczęcia postępowania jest dla niego wiążące, a adresat żądania wszczyna postępowanie administracyjne z urzędu – czytamy w uzasadnieniu skargi do Wojewódzkiego Sądu Administracyjnego.
• W skardze Rzecznik przytacza orzecznictwo sądów administracyjnych, które wskazywały, że zadaniem RPO jest ochrona całokształtu praw i wolności człowieka i obywatela. Dlatego Rzecznik nigdy nie działa we własnym interesie, lecz realizuje swe kompetencje w celu ochrony praw i interesów obywateli. Jak stwierdza Rzecznik, w tej sprawie tryb działania RPO oznacza obowiązek podjęcia działań przez PUODO w celu zbadania, czy nie doszło do naruszenia przepisów o ochronie danych. Dopuszczenie do sytuacji, w której PUODO odmawia wszczęcia postępowania stanowiłoby znaczne ograniczenie kompetencji RPO, jako konstytucyjnego organu ochrony praw i wolności człowieka i obywatela, w postępowaniu administracyjnym.

Źródło: https://www.prawo.pl/prawo/patostreaming-updo-odrzucil-wniosek-rpo-o-sciganie,519003.html

• W 2021 r. portugalski organ nadzoru (CNPD) otrzymał kilka skarg dotyczących krajowego badania spisowego, które było jeszcze w tym momencie w toku. Wprowadzono możliwość wypełnienia ankiety online przez respondentów za pomocą hasła dostarczonego pocztą do każdego miejsca zamieszkania rodziny.
• Skargi dotyczyły głównie: zgodności z prawem przetwarzania danych osobowych do celów statystycznych, ponieważ badanie wyraźnie wymagało pełnej identyfikacji wszystkich członków rodziny mieszkających w tym samym miejscu zamieszkania; zgodności z prawem przetwarzania szczególnych kategorii danych, takich jak dane dotyczące religii i zdrowia; przekazywania danych do państw trzecich bez odpowiedniego poziomu ochrony. Należy podkreślić, że w celu przeprowadzenia spisu powszechnego INE korzystało z usług CDN amerykańskiej firmy Cloudflare, Inc., posiadającej ponad 200 centrów danych rozmieszczonych w 100 krajach.
• W swoim dochodzeniu CNPD zidentyfikowała pięć naruszeń RODO w kontekście przetwarzania danych, w odniesieniu do następujących kwestii: brak zgodności z prawem przetwarzania szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO), nieprzestrzeganie obowiązków w zakresie przejrzystości (art. 12 i 13 RODO), brak DPIA (art. 35 ust. 1, 2 i 3 lit. b) RODO), brak należytej staranności w odniesieniu do wyboru podmiotu przetwarzającego (art. 28 ust. 1, 6 i 7), a mianowicie poprzez przyjęcie standardowej umowy, który nie został oceniony merytorycznie w odniesieniu do wymogów art. 28 ust. 3 RODO, brak zgodności z wymogami prawnymi dotyczącymi międzynarodowego przekazywania danych (art. 44 i art. 46 ust. 2), zgodnie z wykładnią TSUE zawartą w wyroku Schrems II.

Źródło: https://edpb.europa.eu/news/national-news/2022/portuguese-supervisory-authority-fines-portuguese-national-statistics_en

• Brak współpracy z organem nadzorczym oraz niezapewnienie Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań to wciąż występujące po stronie administratorów uchybienia, które stają się także przyczyną nakładania administracyjnych kar pieniężnych.
• Jedną z najczęściej spotykanych jest przypadek, gdy administrator utrudnia dostęp do informacji niezbędnych do realizacji zadań Prezesa UODO, unikając odbierania kierowanej do niego korespondencji.
• Innym przykładem problemów jest nieudzielanie pisemnych odpowiedzi na wezwania UODO.
• Źródłem problemów jest również nie odpowiadanie na wezwanie czy problemy z odbiorem pism na skutek posługiwania się przez administratora różnymi adresami. Jako ilustracja problemu posłuży decyzja UODO o nałożeniu administracyjnej kary pieniężnej w kwocie blisko 32 tys. zł na spółkę TIMSHEL, która zgłosiła organowi nadzorczemu naruszenie ochrony danych osobowych drogą elektroniczną. Zgłoszenie o treści „zgłoszenie naruszenia ochrony danych osobowych w załączniku” nie zawierało jednak wspomnianego załącznika w postaci dedykowanego do tego typu spraw formularza. W związku z brakiem informacji niezbędnych do oceny naruszenia, UODO wszczął postępowanie i zwrócił się do administratora z wezwaniem do „przedstawienia treści zgłoszenia naruszenia ochrony danych osobowych”. Pismo to skierowano do spółki za pośrednictwem operatora pocztowego na ujawniony w KRS adres siedziby tego podmiotu. Mimo dwukrotnego awizowania tego pisma nie zostało ono jednak przez spółkę odebrane. Spółka nie udzieliła odpowiedzi również na kolejne, drugie wezwanie UODO, które wróciło do organu z adnotacją „ZWROT nie podjęto w terminie”.

Żródło: https://www.uodo.gov.pl/pl/138/2593

• Trybunał Sprawiedliwości Unii Europejskiej rozstrzygnie, czy w postępowaniu egzekucyjnym można sprzedać bazę danych po to, by z uzyskanej kwoty zaspokoić wierzyciela. Haczykiem jest to, że sprzedaż ma się odbyć bez uzyskiwania zgody osób wpisanych do tej bazy.
• To pierwsze opublikowane pytanie prejudycjalne zadane przez polski sąd, dotyczące interpretacji przepisów RODO. Zwrócił się z nim Sąd Rejonowy dla m.st. Warszawy.
• Wierzyciel wytoczył proces wobec członka zarządu na podstawie art. 299 par. 1 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych, który statuuje odpowiedzialność odszkodowawczą członka zarządu spółki-dłużnika za brak możliwości zaspokojenia się z majątku tej spółki.
• Pozwany wniósł o oddalenie powództwa, podnosząc, że spółka majątek posiada – należą do niego m.in. dwie ogromne bazy danych, w których zgromadzono informacje o setkach tysięcy użytkowników. W orzecznictwie przyjmuje się natomiast, że bezskuteczność egzekucji wobec spółki oznacza stan, w którym z okoliczności sprawy wynika niezbicie, że spółka nie ma majątku, z którego wierzyciel mógłby uzyskać zaspokojenie swojej należności.  I tu sąd powziął wątpliwości, a mianowicie, czy przepisy RODO pozwalają na to, by takie bazy sprzedać bez zgody osób, których dane się w nich znajdują.
• Wątpliwości sądu rodzi kwestia celu samego postępowania egzekucyjnego. Z RODO wynika, że „prawo państwa członkowskiego musi służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu”. Natomiast postępowanie egzekucyjne służy interesowi wierzyciela.

Źródło: https://www.prawo.pl/prawnicy-sady/sprzedaz-bazy-danych-w-postepowaniu-egzekucyjnym,519060.html

• Najnowszy wyrok Naczelnego Sądu Administracyjnego ugruntowuje linię orzeczniczą, zgodnie z którą apostaci nie mogą liczyć na pomoc UODO w sporach z Kościołem katolickim o usunięcie swoich danych.
• To już trzeci wyrok, w którym NSA potwierdził autonomię Kościoła katolickiego w sprawach dotyczących ochrony danych osobowych.
• Kościół jest wyłączony spod kontroli prezesa Urzędy Ochrony Danych Osobowych. Osoby niezadowolone z decyzji proboszcza mogą jedynie zaskarżyć ją do kościelnego inspektora ochrony danych. Ten zaś, z powodów teologicznych, skarg takich nie uwzględnia. Prawo odwołania do świeckiej instancji, zgodnie z orzecznictwem NSA, nie przysługuje.
• Zarówno sąd I instancji, jak i niedawno NSA uznały, że prezes UODO nie ma kompetencji, aby rozstrzygać skargi dotyczące przetwarzania danych osobowych przez Kościół katolicki. Odwołały się do art. 91 RODO, zgodnie z którym, jeśli w momencie wejścia w życie unijnego rozporządzenia Kościół stosował szczegółowe zasady ochrony osób, może je nadal stosować – pod warunkiem ich dostosowania do unijnego rozporządzenia. Zdaniem sądów wszystkie warunki wskazane w tym przepisie zostały spełnione. Przed wejściem w życie RODO istniały szczegółowe zasady związane z ochroną danych przez Kościół.
• NSA odwołuje się do polskiej konstytucji i konkordatu, w których Kościołowi katolickiemu zagwarantowano autonomię. Mówiąc wprost – państwo nie może się mieszać w kwestie związane z teologią.

Źródło: https://prawo.gazetaprawna.pl/artykuly/8617922,dane-osobowe-wpis-w-ksiedze-parafialnej-wyrok-nsa.html

• Państwa członkowskie powinny dostosować swoje prawo do wyroku Trybunału Sprawiedliwości UE, który znacznie zawęża sposoby przetwarzania danych dotyczących przelotu pasażera przez państwa członkowskie Unii Europejskiej – uważa Europejska Rada Ochrony Danych (EROD)
• TSUE 21 czerwca 2022 r., na wniosek belgijskiego Trybunału Konstytucyjnego, wydał wyrok w sprawie dyrektywy (UE) 2016/681 z 27 kwietnia 2016 r. TSUE stwierdził, że ważność dyrektywy (UE) 2016/681 w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania nie została naruszona, to orzekł on jednocześnie, że w celu zapewnienia zgodności z Kartą praw podstawowych Unii Europejskiej (Kartą) dyrektywę (UE) 2016/681 należy interpretować w ten sposób, że obejmuje ona istotne ograniczenia przetwarzania danych osobowych. Niektóre z tych ograniczeń obejmują stosowanie systemu PNR wyłącznie do przestępstw terrorystycznych i poważnej przestępczości, które mają obiektywny związek z przewozem pasażerów drogą powietrzną, oraz brak masowego stosowania ogólnego pięcioletniego okresu przechowywania danych osobowych wszystkich pasażerów.
• EROD uważa za prawdopodobne, że obecne przetwarzanie danych PNR w wielu, jeśli nie większości państw członkowskich, nie jest całkowicie zgodne z dyrektywą (UE) 2016/681 zgodnie z wykładnią TSUE. Systemy PNR w całej UE mogą zatem na co dzień nieproporcjonalnie ingerować w prawa podstawowe osób, których dane dotyczą.

Źródło: https://www.prawo.pl/prawo/dane-pasazerow-po-wyroku-tsue-musza-byc-dostosowane-do-dyrektywy,519021.html