RODO aktualności – 06.12.2022 r.

• ustawa o IPN wyłącza stosowanie w jego działalności przepisów o ochronie danych osobowych – wątpliwości zgłasza RPO i wskazuje, że z orzecznictwa sądów wynika jednak, że można kwestionować poprawność i zgodność z prawem przetwarzania danych przez IPN
• RPO kilkukrotnie prosił – najpierw GIODO, później Prezesa UODO – o informacje na temat działań dotyczących zakresu stosowania art. 71 ustawy o IPN, który wyłącza stosowanie w działalności Instytutu Pamięci przepisów ustawy o ochronie danych osobowych, z wyjątkiem prowadzenia Bazy Materiału Genetycznego
• Prezes UODO odpowiedział RPO, że z dotychczasowych stanowisk organu nadzorczego zajmowanych wskutek rozpatrywania skarg dotyczących przetwarzania danych osobowych przez IPN wynika, że UODO nie posiada uprawnień do rozpatrywania skarg dotyczących przetwarzania przez IPN danych osobowych innych niż zgromadzone w Bazie Materiału Genetycznego
• w przypadku spełniających wymogi formalne skarg dotyczących przetwarzania danych osobowych w ramach działalności IPN określonej w art. 1 ustawy o IPN, poza Bazą Materiału Genetycznego, organ nadzorczy odmawia wszczęcia postępowania
• natomiast w przypadku spełniających wymogi formalne skarg, których treść nie wskazuje, że dotyczą one działalności IPN określonej w art. 1 ustawy o IPN, prowadzone jest postępowanie administracyjne
• organ poinformował też, iż w sprawach, w których WSA w Warszawie nieprawomocnymi wyrokami uchylił postanowienia o odmowie wszczęcia postępowania organ nadzorczy wniósł skargi kasacyjne do NSA

Żródło: https://www.prawo.pl/prawo/ochrona-danych-osobowych-nie-dotyczy-ipn,518402.html

• Prezes UODO odmówił wszczęcia postępowania administracyjnego z wniosku RPO w sprawie naruszenia przepisów o ochronie danych osobowych – chodziło o upublicznienie wizerunku pewnego mężczyzny w tzw. patostreamach
• interwencję w sprawie transmitowania w internecie nagrań z udziałem pana K., w którego mieszkaniu i na posesji zainstalowano kamery filmujące jego życie, RPO podjął z urzędu po doniesieniach medialnych – zdaniem prof. Marcina Wiącka udostępniane materiały często mają charakter wulgarny, przemocowy i uwłaczający godności K
• wyjaśniając rzecznikowi swoją odmowę, UODO przypomniał, że zgodnie z RODO postępowanie może być wszczęte wyłącznie na żądanie osoby, której dane dotyczą
• tymczasem RPO, występując do prezesa UODO, nie wskazał adresu zamieszkania pana K. – prowadzenie postępowania bez zapewnienia stronie możliwości udziału w nim skutkowałoby wydaniem wadliwej decyzji

Źródło: https://www.prawo.pl/samorzad/rzadowe-aplikacje-na-prywatnych-telefonach-ustawa,518355.html

• Europejska Rada Ochrony Danych przyjęła „Zalecenia w sprawie wniosku o zatwierdzenie i dotyczące elementów i zasad zawartych w wiążących regułach korporacyjnych dla administratorów” (ang. Controller Binding Corporate Rules, BCR-C)
• zalecenia, które przyjęto podczas 71. posiedzenia plenarnego 14 listopada 2022 r., stanowią aktualizację listy kontrolnej wymogów BCR-C, która zawiera kryteria zatwierdzania wiążących reguł korporacyjnych (BCR), i łączą ją ze standardowym formularzem wniosku o zatwierdzenie BCR
• zalecenia zawierają dodatkowe wskazówki dla administratorów i mają na celu zapewnienie równych zasad działania dla wszystkich podmiotów wnioskujących o zatwierdzenie BCR, dostosowują również istniejące wskazówki do wymogów zawartych w wyroku TSUE w sprawie Schrems II
• celem zaleceń jest między innymi dostarczenie zaktualizowanego standardowego formularza wniosku o zatwierdzenie wiążących reguł korporacyjnych oraz doprecyzowanie niezbędnej treści wiążących reguł korporacyjnych i przedstawienie dalszych objaśnień

Źródło: https://uodo.gov.pl/pl/138/2498

• Polska, jak i inne państwa UE, będzie musiała ograniczyć dostęp do Centralnego Rejestru Beneficjentów Rzeczywistych – jego pełna jawność zbyt ingeruje w prywatność uznał TSUE
• już w 2015 r. przyjęto dyrektywę 2015/849 nakazującą państwom członkowskim tworzenie rejestrów beneficjentów rzeczywistych, czyli osób sprawujących kontrolę nad spółkami, w 2018 r. zmieniono ją dyrektywą 2018/843, która nakazała zapewnić pełną jawność informacji zawartych w tych bazach danych
• TSUE w najnowszym orzeczeniu stwierdził nieważność przepisu, który przewiduje, że informacje o beneficjentach rzeczywistych są bez ograniczeń udostępniane każdej osobie – wniosek prejudycjalny został skierowany przez luksemburski sąd, który rozpoznaje skargę udziałowca i osoby zarządzającej kilkoma spółkami działającymi w sektorze nieruchomości – domagał się on ograniczenia dostępności informacji zawartych w rejestrze beneficjentów rzeczywistych
• TSUE stwierdził nieważność art. 30 ust. 5 lit. c zmienionej dyrektywy 2015/849, czyli przepisu nakazującego udostępniać informacje o beneficjentach rzeczywistych każdej osobie – całkowicie zakwestionował regulacje przewidujące dostęp do informacji o beneficjentach rzeczywistych – przyznał wręcz wprost, że mogą one przyczynić się do realizacji celu, jakim jest walka z terroryzmem oraz praniem brudnych pieniędzy, tyle że dobierając środki do tych celów, należy kierować się zasadą proporcjonalności
• po stwierdzeniu nieważności art. 30 ust. 5 lit. c dyrektywy 2015/849 na poziomie prawodawstwa unijnego powstała luka prawna w zakresie udostępniania danych beneficjentów rzeczywistych podmiotom innym niż właściwe organy państwa czy same podmioty zobowiązane

Źródło: https://edgp.gazetaprawna.pl/e-wydanie/58716,28-listopada-2022/75337,Gazeta-Prawna/792442,Nie-kazdy-latwo-sprawdzi-dane-udzialowcow-w-firmie.html

• utrwalone przez kamery zagadywanie współpracowników, pozwala na ukaranie związkowca i nie łamie to przepisów o RODO, tak uważa Urząd Ochrony Danych Osobowych – to bardzo ważna informacja dla pracodawców
• przetwarzanie danych osobowych pracownika zebranych za pośrednictwem monitoringu wizyjnego na terenie zakładu pracy, które skończyło się ukaraniem go naganą, stanowi uzasadniony interes administratora w rozumieniu art. 6 ust. 1 lit. f RODO
• sprawa dotyczyła związkowca, który został ukarany naganą za naruszenie porządku pracy – polegało to na tym, że w godzinach pracy pojawił się na hali produkcyjnej i odbył kilka rozmów z zatrudnionymi tam osobami, część z nich miała miejsce w świetle ciągów komunikacyjnych, po których poruszały się wózki widłowe – zdaniem spółki takie zachowanie zagrażało bezpieczeństwu pracowników, w tym także ukaranego
• związkowiec nie zgodził się z karą – odwołał się od niej do sądu pracy, powiadomił UODO i wystąpił o nakazanie zaprzestania stosowania monitoringu prowadzonego niezgodnie z przepisami oraz usunięcia jego danych osobowych przetwarzanych bez podstawy prawnej
• UODO stwierdził, że przetwarzanie danych z monitoringu było w tym przypadku zgodne zarówno z art. 6 ust 1 lit. f RODO, jak i art. 22(2) kodeksu pracy – urząd potwierdził, że monitoring został prawidłowo wprowadzony na terenie tego zakładu pracy, choć funkcjonuje tam od 1999 r., czyli został zainstalowany na długo przed wejściem w życie zmienionych przepisów o ochronie danych osobowych
• pracownicy zostali prawidłowo poinformowani o wprowadzeniu monitoringu, wynikało to z obowiązującego w tej firmie regulaminu pracy, a miejsca monitorowane zostały prawidłowo oznakowane

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8598517,ochrona-danych-monitoring-nagana-pracownika-uodo-rodo.html

• właściciel Facebooka (Meta) został ukarany grzywną w wysokości 265 mln euro (230 mln funtów) przez irlandzki organ ochrony danych osobowych po naruszeniu, w wyniku którego opublikowano online dane ponad 500 milionów użytkowników
• Komisja Ochrony Danych (DPC) stwierdziła, że Meta naruszyła dwa artykuły unijnych przepisów o ochronie danych po tym, jak dane użytkowników Facebooka z całego świata zostały ściągnięte z profili publicznych w 2018 i 2019 roku
• dane pojawiły się na stronie hakerskiej w zeszłym roku, co skłoniło DPC do wszczęcia dochodzenia
• oprócz grzywny organ zobowiązał Metę do „doprowadzenia przetwarzania do zgodności poprzez podjęcie szeregu określonych działań naprawczych w określonych ramach czasowych”
• kara podnosi łączną kwotę grzywien nałożonych na Meta przez DPC do prawie 1 miliarda euro od września ubiegłego roku

Źródło: https://www.theguardian.com/technology/2022/nov/28/meta-fined-265m-over-data-breach-affecting-more-than-500m-users

• CNIL, francuski organ nadzoru, otrzymał wiele skarg dotyczących trudności napotykanych przez osoby fizyczne w rozpatrywaniu ich praw przez firmę
• Ustalono, że: nie zebrano zgód osób fizycznych na otrzymywanie informacji handlowych pocztą elektroniczną, nie dopełniono obowiązku informacyjnego (art. 13 i 14 RODO), nie zapewniono bezpieczeństwa danych osobowych (art. 32 RODO)
• organ odpowiedzialny za nakładanie sankcji uznał, że firma nie wywiązała się ze swoich obowiązków przewidzianych w ogólnym rozporządzeniu o ochronie danych (RODO) oraz francuskim kodeksie pocztowym i elektronicznym. Nałożył on na EDF grzywnę w wysokości 600 000 euro i podała ją do wiadomości publicznej

Źródło: https://edpb.europa.eu/news/national-news/2022/commercial-prospecting-and-rights-individuals-edf-france-fined-600-000_en

• Organ nadzorczy ponownie zajmował się tą samą sprawą naruszenia przepisów RODO przez tę spółkę i po raz kolejny stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez Virgin Mobile Polska Sp. z o.o., odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych (do rejestracji danych osobowych abonentów usług przedpłaconych)
• Urząd Ochrony Danych Osobowych stwierdzając naruszenie przepisów RODO, zdecydował o nałożeniu administracyjnej kary pieniężnej w wysokości prawie 1,6 mln
• do Urzędu Ochrony Danych Osobowych w grudniu 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, w którym administrator poinformował o naruszeniu ochrony danych osobowych abonentów, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu potwierdzeń rejestracji, zawierających dane osobowe.
• 3 grudnia 2020 r. organ wydał decyzję, nakładającą na spółkę Virgin Mobile Polska Sp. z o.o. administracyjną karę pieniężną w wysokości 1.968.524,00 zł. Administrator jednak w całości zaskarżył decyzję UODO
• warto zaznaczyć, że przyjęte przez spółkę Virgin środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Żródło: https://www.uodo.gov.pl/pl/138/2512

• Bruksela, dnia 6 grudnia – EROD przyjęła trzy decyzje w sprawie rozstrzygania sporów na podstawie art. 65 RODO dotyczące Meta Platforms Ireland Limited
• Irlandzki organ nadzorczy sporządził projekty decyzji w następstwie postępowań skargowych, dotyczących czynności przetwarzania dokonywanych przez platformy: Facebook, Instagram i WhatsApp
• Kilka organów nadzorczych zgłosiło sprzeciw wobec projektów decyzji przygotowanych przez irlandzki organ nadzorczy, dotyczących m.in. podstawy prawnej przetwarzania (art. 6 RODO), zasad ochrony danych (art. 5 RODO) oraz stosowania środków naprawczych, w tym administracyjnych kar pieniężnych.
• W związku, z tym, że nie osiągnięto porozumienia w sprawie tych sprzeciwów, EROD została wezwana do rozstrzygnięcia sporu między organami nadzorczymi. W wiążących decyzjach EROD rozstrzyga m.in. kwestię, czy przetwarzanie danych osobowych w celu wykonania umowy stanowi odpowiednią podstawę prawną dla reklamy behawioralnej w przypadku Facebooka i Instagrama, a także dla poprawy jakości usług w przypadku WhatsApp.

Źródło: https://edpb.europa.eu/news/news/2022/edpb-adopts-art-65-dispute-resolution-binding-decisions-regarding-facebook-instagram_en

• Operator wyszukiwarki powinien usunąć linki do informacji zawartych w treści, do której odsyłają te linki w sytuacji, gdy osoba żądająca ich usunięcia udowodni, że informacje te są w oczywisty sposób nieprawdziwe i zastrzegł, że dowód taki nie musi wynikać ze skierowanego do wydawcy danej strony internetowej orzeczenia sądowego.
• dwoje członków kierownictwa grupy spółek inwestycyjnych zwróciło się do Google o usunięcie z listy wyników wyszukiwania, mającego za punkt wyjścia ich imiona i nazwiska, linków do pewnych artykułów, w których krytycznie odniesiono się do wdrażanego przez tę grupę modelu inwestycyjnego. Podnosili oni, że te twierdzenia były nieprawdziwe. Domagali się także usunięcia z wyników wyszukiwania miniatur ich zdjęć, choć te wyświetlały się osobno. Google odmówił, wskazując, iż nie ma pewności, czy treści te rzeczywiście są fałszywe.
• niemiecki federalny trybunał sprawiedliwości zwrócił się do TSUE o dokonanie wykładni RODO, w którym zostało uregulowane m. in. prawo do usunięcia danych (zwane „prawem do bycia zapomnianym”),
• Zdaniem TSUE, przysługujące osobie, której dane dotyczą, prawo do poszanowania życia prywatnego i prawo do ochrony tych danych osobowych są co do zasady nadrzędne wobec uzasadnionego interesu istniejącego po stronie internautów potencjalnie zainteresowanych dostępem do danej informacji.
• wyświetlanie, po przeprowadzeniu wyszukiwania mającego za punkt wyjścia imię i nazwisko danej osoby, przedstawiających tę osobę zdjęć w postaci miniatur może stanowić szczególnie poważną ingerencję w prawa do poszanowania życia prywatnego i do ochrony danych osobowych tej osoby.
• Źródło: https://www.rp.pl/dane-osobowe/art37588251-tsue-wyszukiwarka-musi-wykasowac-nieprawde-nawet-bez-wyroku-sadu