RODO aktualności – 05.04.2022 r.

• RPO podczas spotkania z GGK przedstawił swoją ocenę, zgodnie z którą „powszechny dostęp do tak szczegółowych danych osób, którym te prawa przysługują, godził w autonomię informacyjną jednostki, istotnie ją ograniczając”
• Ocena RPO potwierdza argumentację Prezesa UODO, który w decyzji administracyjnej z 24 sierpnia 2020 roku nakazał GGK zaprzestanie udostępniania na portalu GEOPORTAL2 danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków
• UODO nałożył również karę pieniężną w wysokości 100 tys. zł za to, iż w związku z ujawnianiem numerów ksiąg wieczystych naruszono zasady zgodności z prawem przetwarzania danych osobowych. Udostępnianie tych danych było umyślne i bez podstawy prawnej
• UODO od samego początku w sprawie z GGK zwracał uwagę na to, iż numery ksiąg wieczystych przetwarzane w serwisie www.geoportal.gov.pl stanowią dane osobowe
• poprzez ujawnianie numeru księgi wieczystej każdy zainteresowany może w łatwy sposób zdobyć takie dane jak np. imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości – to zaś może prowadzić do szeregu niebezpieczeństw związanych z wykorzystywaniem tych danych, jak choćby tzw. kradzież tożsamości, czyli podszywanie się pod daną osobę w celach przestępczych
• fakt, iż publikacja numeru księgi wieczystej pozwala w łatwy sposób pośrednio zidentyfikować właścicieli nieruchomości i dlatego jest on daną osobową, potwierdził także WSA w Warszawie, który 5 maja 2021 r. oddalił skargę GGK na decyzję Prezesa UODO

Źródło: https://uodo.gov.pl/pl/138/2328

• podczas 62. posiedzenia plenarnego EROD przyjęta została wspólna opinia EROD i EIOD w sprawie wniosków Komisji Europejskiej dotyczących przedłużenia okresu obowiązywania obecnych regulacji dotyczących unijnego cyfrowego zaświadczenia COVID -19
• w opinii przyjęto przedłużenie okresu obowiązywania o kolejnych 12 miesięcy oraz zmiany niektórych przepisów, takich jak rozszerzenie rodzajów testów na COVID – 19 akceptowanych w kontekście podróży na terenie UE – ponadto w dokumencie wyjaśniono, że zaświadczenia o szczepieniu powinny zawierać liczbę dawek podanych posiadaczowi zaświadczenia, niezależnie od państwa członkowskiego, w którym je podano
• EROD i EIOD zwracają uwagę na to, że wniosek nie zmienia w sposób istotny istniejących przepisów rozporządzeń w odniesieniu do przetwarzania danych osobowych
• autorzy dokumentu odnieśli się także do poprzedniej opinii, która została przyjęta podczas 47. posiedzenia plenarnego EROD – EROD i EIOD przypominają, że przestrzeganie zasad ochrony danych nie stanowi przeszkody w walce z pandemią COVID-19
• biorąc pod uwagę nieprzewidywalność ewentualnego przedłużenia się pandemii, EROD i EIOD wyrażają zrozumienie dla potrzeby przedłużenia okresu stosowania rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID
• należy regularnie oceniać odpowiednie dowody naukowe i stosowane środki dodatkowe, aby zapewnić przestrzeganie ogólnych zasad skuteczności, niezbędności i proporcjonalności

Źródło: https://uodo.gov.pl/pl/138/2326

W marcowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

NIE WOLNO UPUBLICZNIAĆ DANYCH OSÓB SKŁADAJĄCYCH SKARGI

• nie ma uzasadnienia, by podczas sesji rady gminy upubliczniać dane osobowe osób, które złożyły skargę na burmistrza. Takie stanowisko UODO – wyrażone w decyzji udzielającej upomnienia radzie miejskiej i burmistrzowi – potwierdził ostatnio Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt II SA/1/Va 1855/21)

ZAWIADOMIENIE O WYZNACZENIU IOD LUB JEGO ZASTĘPCY TRZEBA PRZESŁAĆ NA WŁAŚCIWYM FORMULARZU

• jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych lub jego zastępcy jest zawiadomienie w postaci elektronicznej. Jednocześnie musi ono zostać przesłane na właściwym formularzu

KARY

• Finlandia: kara pieniężna za zbieranie niepotrzebnych informacji o pacjentach
• Finlandia: obowiązkiem administratora jest właściwa ochrona danych i ich bezpieczne przetwarzanie
• Hiszpania: kara pieniężna za brak konkretnej i świadomej zgody na profilowanie
• Belgia: 250 tys. euro dla IAB Europe

Źródło: Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Na swojej stronie internetowej UODO odpowiada na nowe pytania IOD:

CZY CZŁONKOM WSPÓLNOTY MIESZKANIOWEJ MOŻNA UDOSTĘPNIĆ DANE INNYCH JEJ CZŁONKÓW?

• przekazanie członkowi wspólnoty mieszkaniowej treści uchwały wspólnoty mieszkaniowej wraz z podpisami jej członków nie może być zatem traktowane jako naruszenie przepisów o ochronie danych osobowych
• jednocześnie należy pamiętać, że udostępnianie danych osobowych członków wspólnoty w zakresie szerszym niż konieczny do sprawowania zarządu nieruchomością wspólną może stanowić naruszenie przepisów o ochronie danych osobowych

Źródło: https://uodo.gov.pl/pl/225/2323

CZY OPS MOŻE WERYFIKOWAĆ ŹRÓDŁA OGRZEWANIA Z CEEB PRZY ROZPATRZENIU WNIOSKU O DODATEK OSŁONOWY?

• z przepisów prawa nie wynika uprawnienie dla podmiotu rozpatrującego wnioski o dodatek osłonowy (niezależnie od tego czy będzie to wójt, czy ośrodek pomocy społecznej) do weryfikowania faktu zgłoszenia źródła ogrzewania do CEEB
• jednocześnie należy nadmienić, że w sytuacji, gdy podmioty stosujące w praktyce określone przepisy prawa dostrzegają, że przewidziane przez ustawodawcę unormowania są np. niewystarczające lub nieprecyzyjne, warto, aby sygnalizowały to właściwemu resortowi – takie działania mogą przyczynić się do szybszego wprowadzenia niezbędnych zmian

Źródło: https://uodo.gov.pl/pl/225/2321

CO ZROBIĆ W PRZYPADKU PROBLEMÓW TECHNICZNYCH ZWIĄZANYCH ZE ZŁOŻENIEM ZAWIADOMIENIA DOTYCZĄCEGO IOD?

• w przypadku problemów technicznych związanych ze złożeniem zawiadomienia dotyczącego IOD lub jego zastępcy (np. złożeniem podpisu) bądź z uzyskaniem UPP należy kontaktować się odpowiednio z pomocą techniczną:
  • platformy biznes.gov.pl (https://www.biznes.gov.pl/pl/centrum-pomocy)
  • centrum pomocy użytkowników ePUAP (https://epuap.gov.pl/wps/wcm/connect/epuap2/PL/Strefa+Klienta_Pomoc/Kontakt/)
• pod tymi linkami znajdą Państwo w szczególności numery telefonów do infolinii oraz informacje na temat innych form komunikacji z pomocą techniczną

Źródło: https://uodo.gov.pl/pl/224/2324

• Europejska Rady Ochrony Danych do 2 maja 2022 r. przyjmuje uwagi do Wytycznych 03/2022 w sprawie tzw. „dark patterns” w interfejsach platform społecznościowych: Jak je rozpoznawać i jak ich unikać.
• wytyczne, które przyjęto 14 marca 2022 r. (w wersji do konsultacji publicznych) podczas 62. posiedzenia plenarnego, zawierają praktyczne zalecenia dla projektantów i użytkowników platform mediów społecznościowych dotyczące sposobu oceny i unikania „dark patterns” w interfejsach mediów społecznościowych, które naruszają wymogi RODO
• „dark patterns” to interfejsy i doświadczenia użytkowników wdrażane na platformach mediów społecznościowych, które powodują, że użytkownicy podejmują niezamierzone, niechętne i potencjalnie szkodliwe decyzje dotyczące przetwarzania ich danych osobowych – wpływa to na zachowanie użytkowników i zdolność do skutecznej ochrony ich danych osobowych
• wytyczne zawierają konkretne przykłady rodzajów „dark patterns”, prezentują najlepsze praktyki w różnych przypadkach użycia i zawierają szczegółowe zalecenia dla projektantów interfejsów użytkownika, które ułatwiają skuteczne wdrożenie RODO
• uwagi należy przesyłać najpóźniej do 2 maja 2022 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://uodo.gov.pl/pl/138/2335

• organ ochrony danych nie może rozpoznać skargi na sąd, który udostępnił dziennikarzowi akta toczącej się sprawy
• zgodnie z RODO tego typu sprawy są wyłączone spod jego kompetencji, gdyż dotyczą przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości – wynika z najnowszego wyroku Trybunału Sprawiedliwości Unii Europejskiej
• RODO przewiduje autonomię sądów w zakresie przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości – tyle że nie zawsze jest oczywiste, które czynności podpadają pod ten przepis
• problem ten pojawił się przy okazji skargi złożonej przez dwóch obywateli Niderlandów do tamtejszego organu ochrony danych – dotyczyła ona udostępnienia dziennikarzowi przez sąd administracyjny akt, w których były dane wspomnianych Holendrów
• organ uznał, że nie jest uprawniony do rozpoznania tej skargi, z kolei sąd administracyjny w odpowiedzi na nią określił nową politykę dostępu do akt spraw sądowych – to jednak nie usatysfakcjonowało skarżących, którzy odwołali się od decyzji organu
• sąd rozpoznający tę skargę nabrał zaś wątpliwości i skierował wniosek prejudycjalny do TSUE
• TSUE doszedł do wniosku, że sprawowanie wymiaru sprawiedliwości nie jest ograniczone wyłącznie do przetwarzania danych w ramach konkretnych postępowań, ale szerzej – obejmuje wszystkie operacje dokonywane w ramach działalności orzeczniczej
• dotyczy to również polityki informowania o toczących się przed sądami spraw, a więc także udostępniania akt dziennikarzowi

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8388116,rodo-tsue-udostepnienie-dziennikarzowi-akt-sprawy.html

• z krakowskiej prokuratury wyciekły dane osobowe przynajmniej pięciu śledczych – o pojawieniu się w internecie oświadczeń majątkowych, bez zamazanych danych osobowych, zaalarmowali media sami prokuratorzy z Krakowa
• „Incydent dotyczył nie do końca zanonimizowanych danych adresowych: miejsca zamieszkania lub adresów dodatkowych nieruchomości. W pozostałym zakresie oświadczenia majątkowe były zanonimizowane i upublicznione zgodnie z prawem” – przekazał rzecznik prasowy, prokurator Janusz Hnatko
• kierownictwo krakowskiej prokuratury o „incydencie” poinformowało 17 marca Urząd Ochrony Danych Osobowych
• „Zdyscyplinowano pracowników odpowiedzialnych za proces oświadczeń majątkowych. Wdrożono dodatkowy mechanizm kontrolny poprzez wprowadzenie weryfikacji zanonimizowanych oświadczeń majątkowych przez inspektora ochrony danych” – dodał prokurator Hnatko
• obowiązek wypełniania jawnych oświadczeń majątkowych wprowadziła nowelizacja ustawy o prokuraturze z 2016 roku – wykładnia przepisów, którą przyjął ówczesny prokurator krajowy, spowodowała, że oświadczenia trafiają do internetu, bez niej byłyby udostępniane, ale dopiero po skierowaniu wniosku o dostęp do informacji publicznej w przypadku każdego oświadczenia majątkowego

Źródło: https://tvn24.pl/najnowsze/krakowska-prokuratura-ujawnila-adresy-swoich-sledczych-5653656

• Hiszpański organ ochrony danych nałożył kary na 5 podmiotów za utratę poufności związaną z duplikatem karty SIM telefonu komórkowego i brakiem odpowiedzialności
• w wyniku wydawania duplikatów kart SIM podmiotom trzecim innym niż abonenci zgłaszane są różne roszczenia – posiadacze linii telefonicznej nie tylko pozostają bez obsługi, ale dostęp do ich kont bankowych mają osoby trzecie
• organ zakłada stosowanie oszukańczych praktyk polegających na generowaniu duplikatów kart SIM bez zgody ich prawowitych posiadaczy w celu uzyskania dostępu do poufnych informacji w celach przestępczych (tzw. „SIM Swapping”)
• dane przetwarzane w celu wydania duplikatu karty SIM oraz karty SIM, które jednoznacznie identyfikują abonenta w sieci, są danymi osobowymi, a ich przetwarzanie musi podlegać przepisom o ochronie danych
• ukarane podmioty:

1. XFERA MÓVILES – 200 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-xfera-moviles-loss-confidentiality-related-mobile_en)
2. VODAFONE ESPAÑA – 3 940 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-vodafone-espana-loss-confidentiality-related-mobile_en)
3. ORANGE ESPAÑA VIRTUAL – 70 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-orange-espana-virtual-loss-confidentiality-related_en)
4. TELEFÓNICA MÓVILES ESPAÑA 900 000 EUR (https://edpb.europa.eu/news/news/2022/spanish-sa-imposes-fine-telefonica-moviles-espana-loss-confidentiality-related_en)
5. ORANGE ESPAGNE 700 000 EUR (https://edpb.europa.eu/news/national-news/2022/spanish-sa-imposes-fine-orange-espagne-loss-confidentiality-related-mobile_en)

• holenderski organ nadzorczy otrzymał różne skargi dotyczące sposobu, w jaki spółka Sanoma Media Netherlands BV ((przed przejęciem spółki Sanoma przez DPG Media w kwietniu 2020 r.) obsługiwała prośby osób o wgląd do ich danych lub ich usunięcie – skargi te składały osoby, które na przykład miały prenumeratę czasopisma lub otrzymywały reklamy z Sanomy
• każdy, kto chciał się dowiedzieć, jakie dane osobowe przechowują firmy Sanoma i DPG Media lub chciał, aby ich dane zostały usunięte, musiał najpierw przesłać kopię swojego dokumentu tożsamości
• dokumenty tożsamości zawierają wiele danych osobowych, nawet jeśli części zostaną zredagowane, często nieproporcjonalne będzie wymaganie kopii dokumentu tożsamości w celu potwierdzenia, że dana osoba naprawdę jest tym, za kogo się podaje.
• w ten sposób firma nadmiernie utrudniła klientom dostęp do ich danych lub ich usunięcie
• holenderski organ nadzorczy nałożył na DPG Media grzywnę w wysokości 525 000 euro

Źródło: https://edpb.europa.eu/news/national-news/2022/dutch-sa-fines-dpg-media-magazines-unnecessarily-requesting-copies-identity_en

• nauczyciel (pracownik) skarżył się, że administrator – właściciel prywatnej szkoły języków obcych stale monitoruje jego kursy online, prowadzone przez platformę „Zoom”, pomimo jego sprzeciwu
• grecki organ nadzorczy stwierdził, że prawo skarżącego do sprzeciwu nie zostało spełnione przez administratora, a przedmiotowe przetwarzanie zostało przeprowadzone z naruszeniem przepisów art. 5 ust. 1 lit. f) lit. a), 5 (2) i 13 RODO, a w każdym razie bez wyraźnego określenia podstawy prawnej, na której się opiera, zgodnie z art. 6 RODO
• grecki organ nadzorczy nałożył grzywnę w wysokości 2 000 euro na administratora-pracodawcę za brak realizacji prawa do sprzeciwu skarżącego oraz naruszenie art. 5 ust. 1 lit. a), art. 5 ust. 2 i 13 RODO zgodnie z art. 58 ust. 2 lit. i) oraz 83 ust. 5 lit. a i b RODO

Źródło: https://edpb.europa.eu/news/national-news/2022/greek-sa-fine-imposed-employer-failure-satisfy-right-object-and-unlawful_en