RODO aktualności – 08.03.2023 r.

• Urząd Ochrony Danych Osobowych nałożył na Sąd Rejonowy Szczecin-Centrum w Szczecinie administracyjną karę pieniężną w wysokości 30 tys. zł. W decyzji zostało stwierdzone naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.
• Do Urzędu Ochrony Danych Osobowych 20 września 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Do naruszenia doszło na skutek zagubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.).
• Podczas prowadzonego postępowania ustalono wieloletnie korzystanie na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu. Okazało się również, że administrator pomimo istniejących procedur dotyczących zakazu użytkowania prywatnych nośników danych nie prowadził nadzoru nad tym, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
• Organ w toku postępowania stwierdził, że administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa pozwoliłaby administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna. W ocenie organu, gdyby administrator zweryfikował sposób realizacji środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, to wówczas znacząco obniżyłby ryzyko wystąpienia naruszenia albo nawet doprowadziłby do całkowitego jego wyeliminowania. Żródło:  https://www.uodo.gov.pl/pl/138/2639

Po przeprowadzeniu konsultacji publicznych EROD przyjęła w ostatecznej wersji trzy zestawy wytycznych:

• Wytyczne dotyczące zależności między stosowaniem art. 3 a przepisami dotyczącymi międzynarodowego przekazywania danych zgodnie z rozdziałem V RODO: Wytyczne wyjaśniają wzajemne zależności między terytorialnym zakresem stosowania RODO (art. 3) a przepisami dotyczącymi międzynarodowego przekazywania danych w rozdziale V. Mają one pomóc administratorom i podmiotom przetwarzającym w ustaleniu, czy operacja przetwarzania stanowi międzynarodowy transfer danych, oraz zapewnić wspólne rozumienie pojęcia międzynarodowego przekazywania danych.
• Wytyczne dotyczące certyfikacji jako narzędzia przekazywania danych: Głównym celem niniejszych wytycznych jest dalsze wyjaśnienie praktycznego zastosowania tego narzędzia transferu. Wytyczne składają się z czterech części, z których każda koncentruje się na konkretnych aspektach dotyczących certyfikacji jako narzędzia do transferów.
• Wytyczne dotyczące zwodniczych wzorców projektowych w interfejsach platform mediów społecznościowych: Wytyczne zawierają praktyczne zalecenia dla projektantów i użytkowników platform mediów społecznościowych dotyczące sposobu oceny i unikania wprowadzających w błąd wzorców projektowych w interfejsach mediów społecznościowych, które naruszają wymogi RODO.

Żródło:  https://edpb.europa.eu/news/news/2023/edpb-publishes-three-guidelines-following-public-consultation_en

• Tylko za ubiegły rok sumaryczna wysokość wszystkich nałożonych kar przekroczyła 2 mld euro, z czego 1,3 mld w Irlandii. Polska pod tym względem znajduje się w środku rankingu z ponad 3,3 mln euro nałożonych grzywien. W całej Unii Europejskiej liczba zgłoszeń naruszenia ochrony danych przekroczyła 100 tys. W Polsce – 13 tys.
• Wiele wskazuje na to, że wysokość kar wzrośnie, podobnie jak dotkliwość ich egzekwowania. Zaostrzeniem bardzo zainteresowana jest Komisja Europejska. Niektórzy politycy uznali działanie systemu ochrony danych za punkt honoru, choćby nasz czołowy reprezentant w UE, europejski inspektor ochrony danych Wojciech Wiewiórowski. W KE i okolicach krążą pogłoski o nieuniknionym zaostrzeniu egzekwowania przepisów poprzez wdrożenie systemu umożliwiającego duże śledztwa i nakładanie naprawdę wysokich grzywien na dużych graczy.

Żródło:  https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8664379,cala-wladza-w-rece-uodo-rodo-rozporzadzenie-o-ochronie-danych-osobowych.html

• Lekarz nie powinien się domyślać zgody pacjenta na przekazanie informacji o stanie zdrowia innym osobom – konieczne jest złożenia przez pacjenta jasnego oświadczenia w tym zakresie. Sama obecność innej osoby podczas rozmowy z pacjentem, nie oznacza automatycznie, że pacjent chce, aby w obecności tej osoby „opowiadać” o jego stanie zdrowia.
• Zasadą jest to, że lekarz może udzielić informacji o stanie zdrowia pacjenta innym osobom za zgodą pacjenta (lub jego przedstawiciela ustawowego). Lekarz jest zwolniony z obowiązku zachowania tajemnicy zawodowej, gdy przepisy konkretnych ustawy przewidują możliwość udzielenia informacji o stanie zdrowia pacjenta innym osobom lub instytucjom. Jednym z takich wyjątków jest upoważnienie pacjenta do udzielania informacji innej osobie.
• Pacjent może dokonać upoważnienia w dowolnej formie, zatem także ustnie, pisemnie, czy elektronicznie poprzez Internetowe Konto Pacjenta. Obecne przepisy nakazują, aby poinformować pacjenta przed złożeniem przez niego m.in. oświadczenia o upoważnieniu o możliwości złożenia go za pośrednictwem IKP, zaś oświadczenie złożone w inny sposób niż za pośrednictwem IKP należy zamieścić się w dokumentacji indywidualnej wewnętrznej. Powyższe oznacza, że w przypadku upoważnienia w drodze rozmowy należy sporządzić odpowiednią notatkę z przebiegu rozmowy, warto także poczynić stosowną adnotację w dokumentacji medycznej.

Żródło:  https://www.prawo.pl/kadry/ochrona-niezaleznosci-inspektora-ochrony-danych-wyroki-tsue,519828.html

W Newsletterze:

• Podstawa pozyskiwania szczególnych kategorii danych osobowych obywateli Ukrainy
• Pojazdy komunikacji miejskiej bez monitoringu fonicznego
• Pracodawca w celu zapewnienia bezpieczeństwa pracowników lub ochrony mienia może zainstalować  monitoring, ale powinien on umożliwiać jedynie rejestrację obrazu, a nie dźwięku.
• Nie ma więc podstaw prawnych, by w kabinie kierowcy w pojazdach komunikacji miejskiej montowane były kamery umożliwiające rejestrację dźwięku.
• Lepsza ochrona danych osobowych przy zgłaszaniu zdarzeń niepożądanych
• Finlandia: kara 230 tys. euro za naruszenie ochrony danych osobowych pracowników
• Hiszpańska branża reklamowa ma swój kodeks postępowania

• Podczas 76. posiedzenia plenarnego, 28 lutego 2023 roku Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie projektu decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do ram ochrony danych UE-USA (dalej: „ramy ochrony danych UE-USA”)
• EROD pozytywnie zaopiniowała a takie usprawnienia, jak wprowadzenie wymogów obejmujących zasady konieczności i proporcjonalności gromadzenia danych przez służby wywiadowcze USA oraz nowy mechanizm dotyczący sądowych środków zaskarżenia dla osób w UE, których dane dotyczą. Jednocześnie EROD zgłosiła pewne zastrzeżenia zwróciła się o wyjaśnienia w kilku kwestiach. Dotyczą one w szczególności niektórych praw osób, których dane dotyczą, dalszego przekazywania, zakresu wyłączeń, tymczasowego zbiorczego gromadzenia danych oraz praktycznego funkcjonowania mechanizmu sądowego zaskarżenia. EROD zaproponowała, aby nie tylko wejście w życie, ale także przyjęcie decyzji było uzależnione od wdrożenia zaktualizowanych polityk i procedur w celu implementacji rozporządzenia wykonawczego nr 14086 przez wszystkie amerykańskie agencje wywiadowcze. EROD zarekomendowała Komisji dokonanie oceny zaktualizowanych polityk i procedur oraz przedstawienie tej oceny EROD.
• Jeśli chodzi o aspekty handlowe, EROD z zadowoleniem przyjęła szereg aktualizacji zasad ram ochrony danych. Zauważyła również, że niektóre zasady pozostają zasadniczo takie same jak w Tarczy Prywatności. W związku z tym nadal istnieją pewne obawy dotyczące na przykład niektórych odstępstw od prawa dostępu, braku kluczowych definicji, braku jasności, co do stosowania zasad tych ram do podmiotów przetwarzających, szerokiego odstępstwa od prawa dostępu do informacji publicznie dostępnych oraz braku szczegółowych przepisów dotyczących zautomatyzowanego podejmowania decyzji i profilowania.

Żródło:  https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en, https://www.uodo.gov.pl/pl/138/2644

• Podczas posiedzenia plenarnego 14 lutego 2023 r. EROD przyjęła procedurę przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.
• Dokument ten jest skierowany do wszystkich wnioskodawców ubiegających się o zatwierdzenie kryteriów certyfikacji i ma na celu usprawnienie oraz ułatwienie przyjmowania opinii EROD w sprawie kryteriów certyfikacji poprzez wyjaśnienie procesu zatwierdzania krajowych i unijnych kryteriów certyfikacji, a także kryteriów certyfikacji, które mają być narzędziami do międzynarodowego przekazywania danych.
• Przyjęty dokument zastąpi dokument wewnętrzny 04/2019 w sprawie procedury przyjmowania opinii EROD w sprawie projektu kryteriów akredytacji organu ochrony danych dla podmiotów certyfikujących oraz projektów decyzji organu ochrony danych w sprawie kryteriów certyfikacji (części związane z procedurą przyjmowania opinii w sprawie kryteriów akredytacji pozostaną w mocy), jak również dokument EROD dotyczący procedury zatwierdzania kryteriów certyfikacji przez EROD, skutkujący wspólną certyfikacją – europejskim znakiem jakości ochrony danych.
• EROD przyjęła także trzy zestawy wytycznych po konsultacjach publicznych: Wytyczne w sprawie wzajemnych relacji pomiędzy stosowaniem art. 3 i przepisami dotyczącymi międzynarodowego przekazywania danych zawartymi w rozdziale V RODO, Wytyczne w sprawie certyfikacji jako narzędzia przekazywania danych, Wytyczne w sprawie tzw. deceptive design patterns w interfejsach platform społecznościowych.

Żródło: https://www.uodo.gov.pl/pl/138/2642

• Zgodnie z najnowszym orzeczeniem NSA skorumpowany polityk lub biznesmen może się domagać od wydawcy prasy usunięcia swoich danych z nieprzychylnych dla niego artykułów. Przynajmniej w tekstach archiwalnych.
• Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego „pierwszeństwo wolności prasy nad ochroną prawa do prywatności możliwe jest tylko do chwili, gdy są realizowane cele działalności prasowej”. Chodzi o takie wartości jak prawo obywateli do rzetelnej informacji, jawności życia publicznego oraz kontroli i krytyki społecznej. Zdaniem sądu dotyczy to jednak wyłącznie artykułów, które mają „przymiot aktualności”. Archiwalne materiały prasowe już go nie mają, a to oznacza, że każdy może się domagać usunięcia z nich swych danych na podstawie prawa do bycia zapomnianym.
• Wyrok może mieć daleko idące negatywne konsekwencje dla jawności i integralności życia publicznego. Istnieje ryzyko powoływania się na brak aktualności jakiegoś artykułu w celu ukrycia prawdy niewygodnej dla byłego polityka. Polityka, który miesiąc później może do czynnej polityki wrócić, a opinia publiczna będzie miała ograniczoną wiedzę na temat jego przeszłości – zauważa Krzysztof Izdebski, ekspert forumIdei Fundacji im. Stefana Batorego.
• Jakie konsekwencje może mieć to orzeczenie? Można sobie wyobrazić przypadek radnego, który znęcał się nad żoną. Po opisaniu tego przez lokalną prasę nie został wybrany na kolejną kadencję. Powołując się na to, że nie pełni już funkcji publicznych, może on się domagać usunięcia nazwiska z archiwalnych tekstów. A za jakiś czas znów wystartować w wyborach.

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8668488,wyok-nsa-dane-osobowe-prasa.html