RODO aktualności – 04.05.2022 r.

Zgoda na marketing jest dobrowolna tylko kiedy klient ma alternatywę? Czy klauzula prasowa obejmuje prawo do bycia zapomnianym? Jak doszło do naruszenia danych na lotnisku w Belgii? Czego dowiemy się z kwietniowego newslettera UODO? Jak RODO odnosi się do sprzeciwu powództwa przedstawicielskiego w razie naruszenia praw konsumenckich? Czy akt o usługach cyfrowych jest już w pełni gotowy? W jakich sytuacjach lekarze psychiatrzy mogą udostępniać dane o swoich pacjentach Agencji Bezpieczeństwa Wewnętrznego? Jakie uzgodnienia padły na spotkaniu EROD w Wiedniu?

MULTIMEDIA

#RODOA [25.04.2022]
#RODOA [02.05.2022]
Pobierz PDFPobierz PDF

To co? Zaczynamy!

Zgoda na marketing jest dobrowolna, gdy klient ma alternatywę?

  • operatorzy telekomunikacyjni mogą oferować zniżkę do abonamentu, jeśli konsument zgodzi się na otrzymywanie informacji marketingowych
  • nie wszystkim się to jednak podoba – do Sejmu wpłynęła petycja w sprawie zakazania takiej praktyki, jej autor nazywa takie działania operatorów pobieraniem „opłaty za spokój” (od komunikatów marketingowych) – jego zdaniem jest to obejście przepisów, które miały chronić obywateli przed niechcianymi reklamami
  • eksperci zauważają, że przy odpowiednim ukształtowaniu taka konstrukcja jest zgodna z prawem – chodzi o sytuacje, gdy klient ma alternatywę – może korzystać z usługi za niższą cenę, pod warunkiem wyrażenia określonych zgód, albo korzystać z tej samej usługi za wyższą kwotę, gdy ich nie wyrazi
  • z przepisami, w tym z RODO, nie byłaby zgodna „opłata za spokój” skonstruowana w inny sposób – chodzi o to, że korzystanie z określonych uprawnień przysługujących osobom fizycznym (konsumentom) nie może być uzależnione od wnoszenia opłat
  • oznacza to, że nie można jako stan domyślny przyjąć, że klient zgadza się na otrzymywanie takich informacji, a jeśli nie chce ich dostawać, musi dodatkowo zapłacić
  • w opisywanym przypadku mechanizm jest odwrotny – konsument godzi się na otrzymywanie informacji marketingowych, by płacić mniej, ale nie musi tego robić

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8406840,oplata-za-spokoj-zgoda-informacje-marketingowe-znizka-do-abonamentu-operatorzy-telekomunikacyjni.html

WSA: Klauzula prasowa nie obejmuje prawa do bycia zapomnianym

  • redaktor naczelny odmówił usunięcia danych osoby, której imię i nazwisko pojawiło się w artykułach na stronie internetowej tygodnika
  • X złożył skargę do Prezesa UODO – zarzucił w niej niezgodne z prawem przetwarzanie danych osobowych (imię i nazwisko) w dwóch artykułach na stronie internetowej tygodnika oraz nieuzasadnioną odmowę ich usunięcia przez redaktora naczelnego – organ umorzył jednak postępowanie, co uzasadnił brakiem zastosowania przepisów o ochronie danych osobowych do prasowej działalności dziennikarskiej
  • sprawą zajął się WSA, który wskazał, że zgodnie z art. 85 ust. 1 RODO, państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji, ponadto w sytuacjach, gdy jest to konieczne, państwa członkowskiej określają odstępstwa od stosowania wybranych rozdziałów RODO
  • polski prawodawca skorzystał z tego uprawnienia i wyłączył stosowanie części przepisów RODO do określonych działalności
  • zgodnie z art. 2 ust. 1 ustawy o ochronie danych osobowych, do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu Ustawy- Prawo prasowe, nie stosuje się przepisów art. 5-9, art. 11, art. 13-16, art. 18-22, art. 27, art. 28 ust. 2-10 oraz art. 30 RODO (tzw. klauzula prasowa) – katalog ten nie obejmuje jednak art. 17 RODO, który przewiduje prawo do usunięcia danych (prawo do bycia zapomnianym
  • WSA uznał, że postępowanie dotyczące usunięcia danych osobowych z artykułów znajdujących się w Internecie nie było bezprzedmiotowe – tym samym Prezes UODO powinien odnieść się merytorycznie do skargi i rozstrzygnąć sprawę co do istoty

Źródło: https://www.prawo.pl/prawo/media-musza-respektowac-prawo-do-bycia-zapomnianym-wyrok,514808.html 

Belgia: kary za pomiar temperatury na lotniskach (1)

  • belgijski organ ochrony danych nałożył kary za pomiary temperatur, które miały miejsce na lotniskach podczas pandemii COVID-19

Brussels Airport Company & Ambuce Rescue Team

  • kamery termowizyjne były wykorzystywane do sprawdzenia, czy pasażerowie na lotnisku w Brukseli mają temperaturę ciała 38°C lub wyższą, w którym to przypadku byli poddawani drugiej kontroli (przeprowadzanej przez Ambuce Rescue Team), podczas której musieli wypełnić ankietę dotyczącą możliwych objawów koronawirusa i inne dane dotyczące zdrowia
  • organ ustalił, że administratorzy nie mieli podstawy prawnej – przetwarzanie opierało się głównie na Protokole, który zdaniem organu nie spełniał wymogów RODO oraz orzecznictwa TSUE („Privacy International”) – Protokół nie był wiążący w świetle prawa krajowego oraz nie wykazano konieczności przetwarzania danych w celu wypełnienia obowiązku prawnego lub zadania realizowanego w interesie publicznym
  • jeden z administratorów naruszył art. 12-14 RODO z powodu braku przejrzystości w stosunku do osób, których dane dotyczą – w polityce prywatności administratora nie wymieniono podstawy prawnej przetwarzania
  • administratorzy nie przeprowadzali DPIA w odniesieniu do drugiej części przetwarzania, czyli zbierania danych dotyczących zdrowia za pomocą pisemnej ankiety i przechowywania tych danych przez okres pięciu lat
  • organ nałożył grzywny administracyjne w wysokości odpowiednio 200 000 EUR i 20 000 EUR na brukselskie lotnisko i zespół ratownictwa pogotowia ratunkowego

Źródło: https://edpb.europa.eu/news/national-news/2022/temperature-checks-brussels-airport-belgium-part-fight-against-covid-19_en

Belgia: kary za pomiar temperatury na lotniskach (2)

Brussels South Charleroi Airport

  • kamery termowizyjne były wykorzystywane do sprawdzenia, czy pasażerowie na lotnisku Brussels South Charleroi mają temperaturę ciała 38 stopni Celsjusza lub wyższą – celem było uniemożliwienie chorym podróżnym wejścia do hali odlotów
  • ponadto pasażerowie przylatujący z czerwonych stref otrzymywali informację o COVID, jeśli ich temperatura przekraczała 38°C
  • organ stwierdził, że lotnisko nie ma ważnej podstawy prawnej do przetwarzania danych związanych z temperaturą podróżnych – kontrole temperatury opierały się głównie na protokole przyjętym przez Ministerstwo Mobilności, który nie spełnia kryteriów RODO
  • organ stwierdził również niedociągnięcia w zakresie celowości, przejrzystości i informacji przekazywanych podróżnym, a także jakości oceny skutków dla ochrony danych (DPIA) oraz rejestru czynności przetwarzania
  • organ nałożył grzywnę w wysokości 100 000 EUR

Źródło: https://edpb.europa.eu/news/national-news/2022/temperature-checks-brussels-south-charleroi-airport-belgium-part-fight_en

Kwietniowy newsletter UODO (1)

  • w kwietniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

OCENA PRZESTRZEGANIA PRZEPISÓW DOTYCZĄCYCH FUNKCJONOWANIA IOD

  • RODO nakłada na administratora bardzo konkretne obowiązki dotyczące zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania przez inspektora zadań
  • obecnie – w związku z rozpoczętą przez UODO akcją weryfikacji przestrzegania obowiązujących w tym zakresie przepisów – wezwane podmioty będą musiały wykazać się podjętymi w tym celu działaniami, przedstawiając odpowiednie dowody na ich poparcie

JAK INFORMOWAĆ O WYNIKACH NABORU NA STUDIA WYŻSZE I DO SZKÓŁ DOKTORSKICH

  • wskazanie przez ustawodawcę, że wyniki postępowania w sprawie przyjęcia na studia wyższe i do szkół doktorskich są jawne nie oznacza szerokiego i niekontrolowanego publikowania danych osobowych uczestników tych postępowań rekrutacyjnych np. w Internecie

Kwietniowy newsletter UODO (2)

SPOSÓB SPRAWDZANIA NIEKARALNOŚCI OSOBY UBIEGAJĄCEJ SIĘ O ZATRUDNIENIE LUB ZATRUDNIONEJ W BANKU

  • podmiot sektora finansowego, chcąc sprawdzić niekaralność osoby, którą zamierza przyjąć do pracy lub już zatrudnia, ma prawo żądać jedynie złożenia przez nią stosownego oświadczenia
  • ma też prawo żądać udokumentowania przedstawionych informacji, ale może ono nastąpić wyłącznie przez przedłożenie stosownej informacji z Krajowego Rejestru Karnego, wydawanej osobie, której dane dotyczą

KARY

  • Włochy: kara 20 mln euro za użycie systemu rozpoznawania twarzy
  • Szwecja: region Uppsala z karą 1,9 mln koron szwedzkich za naruszenia bezpieczeństwa
  • Irlandia: 17 mln euro za naruszenia ochrony danych przez Meta
  • Finlandia: klinika medyczna ukarana, bo uniemożliwiała skorzystanie z prawa dostępu do danych

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod 

TSUE: RODO nie sprzeciwia się powództwu przedstawicielskiemu w razie naruszenia praw konsumentów

  • w czwartek, 28 kwietnia 2022 r., Trybunał Sprawiedliwości wydał wyrok w sprawie C-319/20 Meta Platforms Ireland – spółka Meta Platforms Ireland, dawniej Facebook Ireland, jest administratorem danych osobowych użytkowników serwisu społecznościowego Facebook w Unii
  • federalny związek organizacji i stowarzyszeń konsumenckich (Niemcy) wniósł przeciwko Meta Platforms Ireland powództwo o zaniechanie, zarzucając tej spółce naruszenie, przy udostępnianiu użytkownikom bezpłatnych gier dostawców będących osobami trzecimi, przepisów dotyczących ochrony danych osobowych, zwalczania nieuczciwej konkurencji i ochrony konsumentów
  • federalny trybunał sprawiedliwości (Niemcy) zauważył, że powództwo związku organizacji konsumenckich jest zasadne, aczkolwiek zastanawiał się, czy stowarzyszeniu uprawnienie do występowania przed sądami cywilnymi z powództwem dotyczącym naruszenia RODO niezależnie od konkretnych naruszeń praw poszczególnych osób, których dane dotyczą, i bez otrzymanego od nich upoważnienia
  • TSUE podkreślił przede wszystkim, że stowarzyszenie ochrony interesów konsumentów, jest objęte zakresem pojęcia podmiotu posiadającego legitymację procesową czynną w rozumieniu RODO, ponieważ realizuje ono leżący w interesie publicznym cel polegający na zapewnieniu praw konsumentów – naruszenie przepisów dotyczących ochrony konsumentów lub zwalczania nieuczciwych praktyk handlowych może być bowiem powiązane z naruszeniem przepisu w dziedzinie ochrony danych osobowych
  • ponadto, zdaniem Trybunału RODO nie sprzeciwia się uregulowaniom krajowym, które przewidują możliwość wnoszenia powództw przedstawicielskich w razie naruszeń przyznanych przez to rozporządzenie praw na podstawie, stosownie do okoliczności, przepisów mających na celu ochronę konsumentów lub zwalczanie nieuczciwych praktyk handlowych

Źródło: https://www.prawo.pl/prawo/konsumenci-rodo-czy-stowarzyszenie-moze-wniesc-powodztwo,514944.html

Akt o usługach cyfrowych na ostatniej prostej (1)

  • 22 kwietnia Parlament UE i Rada osiągnęły wstępne porozumienie polityczne w sprawie aktu o usługach cyfrowych
  • akt o usługach cyfrowych (Digital Services Act – DSA) ma zwiększyć bezpieczeństwo środowiska cyfrowego, jednocześnie chroniąc wolność wypowiedzi i utrzymując możliwości prowadzenia działalności przez przedsiębiorstwa cyfrowe
  • akt wprowadza w życie zasadę, zgodnie z którą to, co jest nielegalne poza internetem, powinno być również nielegalne w Internecie – im większa platforma internetowa, tym większa jej odpowiedzialność
  • procedowana regulacja będzie mieć charakter rozporządzenia UE – DSA dotyczyć będzie:
    1. Usług pośrednictwa oferujące infrastrukturę sieciową: dostawcy dostępu do Internetu, rejestratorzy nazw domen
    2. Usługi hostingowe, takie jak usługi przetwarzania w chmurze i hostingu internetowego
    3. Bardzo dużych wyszukiwarek internetowych
    4. Platform internetowych skupiających sprzedawców i konsumentów, takie jak internetowe platformy handlowe, sklepy z aplikacjami, platformy gospodarki dzielenia się i platformy mediów społecznościowych
    5. Bardzo dużych platform internetowych, które mogą stwarzać szczególne ryzyko rozpowszechniania nielegalnych treści i szkody społeczne

Akt o usługach cyfrowych na ostatniej prostej (2)

  • obowiązki usługodawców w ramach aktu o usługach cyfrowych zależą od ich roli, wielkości i ryzyk jakie mogą być źródłem ich działalności
  • DSA zawiera wiele mechanizmów, które wpłyną na funkcjonowanie platform – część z nich będzie działało „w tle” i wpłynie na użytkowników w sposób pośredni (np. ocena ryzyka)
  • nowe mechanizmy dotyczą m.in.:
    1. Możliwości kwestionowania działań platform internetowych w zakresie blokowania treści czy moderowania
    2. Sformalizowanego trybu sygnalizowania naruszeń
  • jak wskazano w komunikacie KE, porozumienie polityczne osiągnięte przez Parlament Europejski i Radę wymaga obecnie formalnego zatwierdzenia przez obu współprawodawców
  • DSA zacznie obowiązywać 15 miesięcy po jego wejściu w życie lub od 1 stycznia 2024 r., w zależności od tego, który z tych terminów będzie późniejszy
  • w odniesieniu do bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych akt o usługach cyfrowych będzie miał zastosowanie wcześniej, tj. cztery miesiące po ich wyznaczeniu

Źródło: https://www.prawo.pl/biznes/akt-o-uslugach-cyfrowych,514831.html

Pytanie do UODO o zainteresowanie służb dokumentacją psychiatryczną

  • w ramach postępowań dotyczących dostępu do informacji niejawnych Agencja Bezpieczeństwa Wewnętrznego żąda od lekarzy psychiatrów kopii całości dokumentacji pacjentów leczonych psychiatrycznie
  • zdaniem Rzecznika Praw Obywatelskich wykracza to poza granice zakreślone przez prawo – prosi więc Prezesa UODO o informacje co do prowadzonego przez postępowania w takiej sprawie
  • RPO poinformował, że prowadzi działania w związku ze skargami lekarzy psychiatrów na żądania udostępnienia dokumentacji lekarskiej
  • swoje żądania Agencja uzasadnia prowadzeniem postępowań sprawdzających w trybie art. 24 ust. 3 pkt. 2 i 3 ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych – przepis ten pozwala ABW na weryfikację czy dana osoba jest wystarczająco wiarygodna, by udzielić jej dostępu do informacji niejawnych – w tym celu sprawdza się je pod kątem chorób i zaburzeń psychicznych, a także uzależnień, które mogłyby wpłynąć na zdolność tej osoby do dochowania tajemnicy
  • psychiatrzy są zobowiązani przepisami ustawy o ochronie zdrowia psychicznego (art. 50 ust. 2 pkt 4) do udzielenia takich informacji służbom, ale tylko w zakresie niezbędnym do przeprowadzenia postępowania sprawdzającego – mimo to ABW żąda od lekarzy dostępu do pełnej dokumentacji medycznej sprawdzanych osób
  • RPO zgadza się z opinią lekarzy, że w zakresie tym nie mieszczą się m.in. informacje dotyczące przebiegu procesu leczenia oraz jego metod – kompletna dokumentacja zawiera szereg danych, do uzyskania których ABW nie jest uprawniona, w tym np. informacje o osobach trzecich

Źródło: https://www.prawo.pl/prawo/leczenie-psychiatryczne-co-sluzby-moga-sprawdzac,514778.html

Organy ochrony danych decydują o ściślejszej współpracy w sprawach strategicznych

  • na dwudniowym spotkaniu na wysokim szczeblu w Wiedniu członkowie EROD uzgodnili dalsze zacieśnianie współpracy w sprawach strategicznych oraz dywersyfikację zakresu stosowanych metod współpracy
  • Andrea Jelinek, przewodnicząca EROD, powiedziała: „W ciągu ostatnich czterech lat zainwestowaliśmy wiele zasobów w interpretację i spójne stosowanie RODO, zatwierdzając i przyjmując nie mniej niż 57 Wytycznych i 6 Zaleceń. Egzekwowanie przepisów przez organy ochrony danych wzrosło, a łącznie nałożono grzywny w wysokości 1,55 mld EUR na koniec 2021 r. Bardziej niż kiedykolwiek, silne i szybkie egzekwowanie ma kluczowe znaczenie dla zapewnienia spójnej interpretacji RODO.”
  • grupy organów ochrony danych mogą podjąć decyzję o połączeniu sił w działaniach dochodzeniowych i egzekucyjnych, a organy ochrony danych mogą dzielić się pracą w ramach tych grup
  • w razie potrzeby można utworzyć grupę zadaniową EROD
  • ponadto organy ochrony danych zobowiązują się do wymiany informacji na temat krajowych strategii egzekwowania prawa w celu uzgodnienia rocznych priorytetów egzekwowania na poziomie EROD, które mogą znaleźć odzwierciedlenie w krajowych programach egzekwowania prawa
  • organy ochrony danych mogą przygotować wspólne ramy egzekwowania, w tym wspólne instrumenty dotyczące inspekcji
  • wreszcie EROD podkreśliła znaczenie dalszej harmonizacji krajowych przepisów proceduralnych

Źródło: https://edpb.europa.eu/news/news/2022/dpas-decide-closer-cooperation-strategic-files_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 24.12.2024 r.
RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO