RODO aktualności – 04.05.2022 r.

• redaktor naczelny odmówił usunięcia danych osoby, której imię i nazwisko pojawiło się w artykułach na stronie internetowej tygodnika
• X złożył skargę do Prezesa UODO – zarzucił w niej niezgodne z prawem przetwarzanie danych osobowych (imię i nazwisko) w dwóch artykułach na stronie internetowej tygodnika oraz nieuzasadnioną odmowę ich usunięcia przez redaktora naczelnego – organ umorzył jednak postępowanie, co uzasadnił brakiem zastosowania przepisów o ochronie danych osobowych do prasowej działalności dziennikarskiej
• sprawą zajął się WSA, który wskazał, że zgodnie z art. 85 ust. 1 RODO, państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji, ponadto w sytuacjach, gdy jest to konieczne, państwa członkowskiej określają odstępstwa od stosowania wybranych rozdziałów RODO
• polski prawodawca skorzystał z tego uprawnienia i wyłączył stosowanie części przepisów RODO do określonych działalności
• zgodnie z art. 2 ust. 1 ustawy o ochronie danych osobowych, do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu Ustawy- Prawo prasowe, nie stosuje się przepisów art. 5-9, art. 11, art. 13-16, art. 18-22, art. 27, art. 28 ust. 2-10 oraz art. 30 RODO (tzw. klauzula prasowa) – katalog ten nie obejmuje jednak art. 17 RODO, który przewiduje prawo do usunięcia danych (prawo do bycia zapomnianym
• WSA uznał, że postępowanie dotyczące usunięcia danych osobowych z artykułów znajdujących się w Internecie nie było bezprzedmiotowe – tym samym Prezes UODO powinien odnieść się merytorycznie do skargi i rozstrzygnąć sprawę co do istoty

Źródło: https://www.prawo.pl/prawo/media-musza-respektowac-prawo-do-bycia-zapomnianym-wyrok,514808.html 

• belgijski organ ochrony danych nałożył kary za pomiary temperatur, które miały miejsce na lotniskach podczas pandemii COVID-19

Brussels Airport Company & Ambuce Rescue Team

• kamery termowizyjne były wykorzystywane do sprawdzenia, czy pasażerowie na lotnisku w Brukseli mają temperaturę ciała 38°C lub wyższą, w którym to przypadku byli poddawani drugiej kontroli (przeprowadzanej przez Ambuce Rescue Team), podczas której musieli wypełnić ankietę dotyczącą możliwych objawów koronawirusa i inne dane dotyczące zdrowia
• organ ustalił, że administratorzy nie mieli podstawy prawnej – przetwarzanie opierało się głównie na Protokole, który zdaniem organu nie spełniał wymogów RODO oraz orzecznictwa TSUE („Privacy International”) – Protokół nie był wiążący w świetle prawa krajowego oraz nie wykazano konieczności przetwarzania danych w celu wypełnienia obowiązku prawnego lub zadania realizowanego w interesie publicznym
• jeden z administratorów naruszył art. 12-14 RODO z powodu braku przejrzystości w stosunku do osób, których dane dotyczą – w polityce prywatności administratora nie wymieniono podstawy prawnej przetwarzania
• administratorzy nie przeprowadzali DPIA w odniesieniu do drugiej części przetwarzania, czyli zbierania danych dotyczących zdrowia za pomocą pisemnej ankiety i przechowywania tych danych przez okres pięciu lat
• organ nałożył grzywny administracyjne w wysokości odpowiednio 200 000 EUR i 20 000 EUR na brukselskie lotnisko i zespół ratownictwa pogotowia ratunkowego

Źródło: https://edpb.europa.eu/news/national-news/2022/temperature-checks-brussels-airport-belgium-part-fight-against-covid-19_en

Brussels South Charleroi Airport

• kamery termowizyjne były wykorzystywane do sprawdzenia, czy pasażerowie na lotnisku Brussels South Charleroi mają temperaturę ciała 38 stopni Celsjusza lub wyższą – celem było uniemożliwienie chorym podróżnym wejścia do hali odlotów
• ponadto pasażerowie przylatujący z czerwonych stref otrzymywali informację o COVID, jeśli ich temperatura przekraczała 38°C
• organ stwierdził, że lotnisko nie ma ważnej podstawy prawnej do przetwarzania danych związanych z temperaturą podróżnych – kontrole temperatury opierały się głównie na protokole przyjętym przez Ministerstwo Mobilności, który nie spełnia kryteriów RODO
• organ stwierdził również niedociągnięcia w zakresie celowości, przejrzystości i informacji przekazywanych podróżnym, a także jakości oceny skutków dla ochrony danych (DPIA) oraz rejestru czynności przetwarzania
• organ nałożył grzywnę w wysokości 100 000 EUR

Źródło: https://edpb.europa.eu/news/national-news/2022/temperature-checks-brussels-south-charleroi-airport-belgium-part-fight_en

• w kwietniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

OCENA PRZESTRZEGANIA PRZEPISÓW DOTYCZĄCYCH FUNKCJONOWANIA IOD

• RODO nakłada na administratora bardzo konkretne obowiązki dotyczące zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania przez inspektora zadań
• obecnie – w związku z rozpoczętą przez UODO akcją weryfikacji przestrzegania obowiązujących w tym zakresie przepisów – wezwane podmioty będą musiały wykazać się podjętymi w tym celu działaniami, przedstawiając odpowiednie dowody na ich poparcie

JAK INFORMOWAĆ O WYNIKACH NABORU NA STUDIA WYŻSZE I DO SZKÓŁ DOKTORSKICH

• wskazanie przez ustawodawcę, że wyniki postępowania w sprawie przyjęcia na studia wyższe i do szkół doktorskich są jawne nie oznacza szerokiego i niekontrolowanego publikowania danych osobowych uczestników tych postępowań rekrutacyjnych np. w Internecie

SPOSÓB SPRAWDZANIA NIEKARALNOŚCI OSOBY UBIEGAJĄCEJ SIĘ O ZATRUDNIENIE LUB ZATRUDNIONEJ W BANKU

• podmiot sektora finansowego, chcąc sprawdzić niekaralność osoby, którą zamierza przyjąć do pracy lub już zatrudnia, ma prawo żądać jedynie złożenia przez nią stosownego oświadczenia
• ma też prawo żądać udokumentowania przedstawionych informacji, ale może ono nastąpić wyłącznie przez przedłożenie stosownej informacji z Krajowego Rejestru Karnego, wydawanej osobie, której dane dotyczą

KARY

• Włochy: kara 20 mln euro za użycie systemu rozpoznawania twarzy
• Szwecja: region Uppsala z karą 1,9 mln koron szwedzkich za naruszenia bezpieczeństwa
• Irlandia: 17 mln euro za naruszenia ochrony danych przez Meta
• Finlandia: klinika medyczna ukarana, bo uniemożliwiała skorzystanie z prawa dostępu do danych

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod 

• w czwartek, 28 kwietnia 2022 r., Trybunał Sprawiedliwości wydał wyrok w sprawie C-319/20 Meta Platforms Ireland – spółka Meta Platforms Ireland, dawniej Facebook Ireland, jest administratorem danych osobowych użytkowników serwisu społecznościowego Facebook w Unii
• federalny związek organizacji i stowarzyszeń konsumenckich (Niemcy) wniósł przeciwko Meta Platforms Ireland powództwo o zaniechanie, zarzucając tej spółce naruszenie, przy udostępnianiu użytkownikom bezpłatnych gier dostawców będących osobami trzecimi, przepisów dotyczących ochrony danych osobowych, zwalczania nieuczciwej konkurencji i ochrony konsumentów
• federalny trybunał sprawiedliwości (Niemcy) zauważył, że powództwo związku organizacji konsumenckich jest zasadne, aczkolwiek zastanawiał się, czy stowarzyszeniu uprawnienie do występowania przed sądami cywilnymi z powództwem dotyczącym naruszenia RODO niezależnie od konkretnych naruszeń praw poszczególnych osób, których dane dotyczą, i bez otrzymanego od nich upoważnienia
• TSUE podkreślił przede wszystkim, że stowarzyszenie ochrony interesów konsumentów, jest objęte zakresem pojęcia podmiotu posiadającego legitymację procesową czynną w rozumieniu RODO, ponieważ realizuje ono leżący w interesie publicznym cel polegający na zapewnieniu praw konsumentów – naruszenie przepisów dotyczących ochrony konsumentów lub zwalczania nieuczciwych praktyk handlowych może być bowiem powiązane z naruszeniem przepisu w dziedzinie ochrony danych osobowych
• ponadto, zdaniem Trybunału RODO nie sprzeciwia się uregulowaniom krajowym, które przewidują możliwość wnoszenia powództw przedstawicielskich w razie naruszeń przyznanych przez to rozporządzenie praw na podstawie, stosownie do okoliczności, przepisów mających na celu ochronę konsumentów lub zwalczanie nieuczciwych praktyk handlowych

Źródło: https://www.prawo.pl/prawo/konsumenci-rodo-czy-stowarzyszenie-moze-wniesc-powodztwo,514944.html

• 22 kwietnia Parlament UE i Rada osiągnęły wstępne porozumienie polityczne w sprawie aktu o usługach cyfrowych
• akt o usługach cyfrowych (Digital Services Act – DSA) ma zwiększyć bezpieczeństwo środowiska cyfrowego, jednocześnie chroniąc wolność wypowiedzi i utrzymując możliwości prowadzenia działalności przez przedsiębiorstwa cyfrowe
• akt wprowadza w życie zasadę, zgodnie z którą to, co jest nielegalne poza internetem, powinno być również nielegalne w Internecie – im większa platforma internetowa, tym większa jej odpowiedzialność
• procedowana regulacja będzie mieć charakter rozporządzenia UE – DSA dotyczyć będzie:

1. 1. Usług pośrednictwa oferujące infrastrukturę sieciową: dostawcy dostępu do Internetu, rejestratorzy nazw domen
   2. Usługi hostingowe, takie jak usługi przetwarzania w chmurze i hostingu internetowego
   3. Bardzo dużych wyszukiwarek internetowych
   4. Platform internetowych skupiających sprzedawców i konsumentów, takie jak internetowe platformy handlowe, sklepy z aplikacjami, platformy gospodarki dzielenia się i platformy mediów społecznościowych
   5. Bardzo dużych platform internetowych, które mogą stwarzać szczególne ryzyko rozpowszechniania nielegalnych treści i szkody społeczne

• obowiązki usługodawców w ramach aktu o usługach cyfrowych zależą od ich roli, wielkości i ryzyk jakie mogą być źródłem ich działalności
• DSA zawiera wiele mechanizmów, które wpłyną na funkcjonowanie platform – część z nich będzie działało „w tle” i wpłynie na użytkowników w sposób pośredni (np. ocena ryzyka)
• nowe mechanizmy dotyczą m.in.:

1. 1. Możliwości kwestionowania działań platform internetowych w zakresie blokowania treści czy moderowania
   2. Sformalizowanego trybu sygnalizowania naruszeń

• jak wskazano w komunikacie KE, porozumienie polityczne osiągnięte przez Parlament Europejski i Radę wymaga obecnie formalnego zatwierdzenia przez obu współprawodawców
• DSA zacznie obowiązywać 15 miesięcy po jego wejściu w życie lub od 1 stycznia 2024 r., w zależności od tego, który z tych terminów będzie późniejszy
• w odniesieniu do bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych akt o usługach cyfrowych będzie miał zastosowanie wcześniej, tj. cztery miesiące po ich wyznaczeniu

Źródło: https://www.prawo.pl/biznes/akt-o-uslugach-cyfrowych,514831.html

• w ramach postępowań dotyczących dostępu do informacji niejawnych Agencja Bezpieczeństwa Wewnętrznego żąda od lekarzy psychiatrów kopii całości dokumentacji pacjentów leczonych psychiatrycznie
• zdaniem Rzecznika Praw Obywatelskich wykracza to poza granice zakreślone przez prawo – prosi więc Prezesa UODO o informacje co do prowadzonego przez postępowania w takiej sprawie
• RPO poinformował, że prowadzi działania w związku ze skargami lekarzy psychiatrów na żądania udostępnienia dokumentacji lekarskiej
• swoje żądania Agencja uzasadnia prowadzeniem postępowań sprawdzających w trybie art. 24 ust. 3 pkt. 2 i 3 ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych – przepis ten pozwala ABW na weryfikację czy dana osoba jest wystarczająco wiarygodna, by udzielić jej dostępu do informacji niejawnych – w tym celu sprawdza się je pod kątem chorób i zaburzeń psychicznych, a także uzależnień, które mogłyby wpłynąć na zdolność tej osoby do dochowania tajemnicy
• psychiatrzy są zobowiązani przepisami ustawy o ochronie zdrowia psychicznego (art. 50 ust. 2 pkt 4) do udzielenia takich informacji służbom, ale tylko w zakresie niezbędnym do przeprowadzenia postępowania sprawdzającego – mimo to ABW żąda od lekarzy dostępu do pełnej dokumentacji medycznej sprawdzanych osób
• RPO zgadza się z opinią lekarzy, że w zakresie tym nie mieszczą się m.in. informacje dotyczące przebiegu procesu leczenia oraz jego metod – kompletna dokumentacja zawiera szereg danych, do uzyskania których ABW nie jest uprawniona, w tym np. informacje o osobach trzecich

Źródło: https://www.prawo.pl/prawo/leczenie-psychiatryczne-co-sluzby-moga-sprawdzac,514778.html

• na dwudniowym spotkaniu na wysokim szczeblu w Wiedniu członkowie EROD uzgodnili dalsze zacieśnianie współpracy w sprawach strategicznych oraz dywersyfikację zakresu stosowanych metod współpracy
• Andrea Jelinek, przewodnicząca EROD, powiedziała: „W ciągu ostatnich czterech lat zainwestowaliśmy wiele zasobów w interpretację i spójne stosowanie RODO, zatwierdzając i przyjmując nie mniej niż 57 Wytycznych i 6 Zaleceń. Egzekwowanie przepisów przez organy ochrony danych wzrosło, a łącznie nałożono grzywny w wysokości 1,55 mld EUR na koniec 2021 r. Bardziej niż kiedykolwiek, silne i szybkie egzekwowanie ma kluczowe znaczenie dla zapewnienia spójnej interpretacji RODO.”
• grupy organów ochrony danych mogą podjąć decyzję o połączeniu sił w działaniach dochodzeniowych i egzekucyjnych, a organy ochrony danych mogą dzielić się pracą w ramach tych grup
• w razie potrzeby można utworzyć grupę zadaniową EROD
• ponadto organy ochrony danych zobowiązują się do wymiany informacji na temat krajowych strategii egzekwowania prawa w celu uzgodnienia rocznych priorytetów egzekwowania na poziomie EROD, które mogą znaleźć odzwierciedlenie w krajowych programach egzekwowania prawa
• organy ochrony danych mogą przygotować wspólne ramy egzekwowania, w tym wspólne instrumenty dotyczące inspekcji
• wreszcie EROD podkreśliła znaczenie dalszej harmonizacji krajowych przepisów proceduralnych

Źródło: https://edpb.europa.eu/news/news/2022/dpas-decide-closer-cooperation-strategic-files_en