Czy pracodawca ma prawo żądać od pracownika informacji o statusie szczepienia przeciwko COVID-19? Jakie są najnowsze wytyczne EROD? Czy użytkownik ma prawo dostępu do swojego profilu marketingowego? W jaki sposób Polacy padli ofiarą wycieku danych podczas e-zakupów? Czy użytkownicy darmowych skrzynek mailowych mogą bez zgody otrzymywać reklamy „wkomponowane” w standardową korespondencję? Jakie organizacje mogą wnosić pozwy o naruszenia przepisów o ochronie danych osobowych? Czy FBI może pozyskać dane z WhatsAppa? Czy islandzki projekt dotyczący wzmocnienia sektora turystycznego jest zgodny z RODO?
MULTIMEDIA | |
---|---|
#RODOA [29.11.2021] | #RODOA [06.12.2021] |
Pobierz PDF | Pobierz PDF |
Pułapki weryfikowania szczepień pracowników. Czy firmom coś za to grozi?
- firmy już zobowiązują pracowników do informowania o zaszczepieniu – nie muszą obawiać się mandatu ze strony inspekcji pracy, ale nie mogą wykluczyć sankcji za naruszenie przepisów o ochronie danych osobowych
- część pracodawców, w tym m.in. z sektora oświaty i usług (gastronomia), domaga się od zatrudnionych informacji, czy przyjęli preparat przeciwko COVID-19 – niektórzy ograniczają niezaszczepionym wstęp na teren siedziby, inni domagają się testów lub wyznaczają termin na przyjęcie szczepionki
- w odpowiedzi na pytania DGP UODO podtrzymał swoje wcześniejsze stanowisko w sprawie przetwarzania informacji o szczepieniach – organ przypomniał, że nie ma podstawy do żądania takich danych od pracownika
- W sytuacji gdy dana osoba uważa, że jej dane są przetwarzane np. bez podstawy prawnej bądź z naruszaniem przepisów o ochronie danych osobowych, ma prawo do złożenia skargi do prezesa UODO, jak i do skierowania sprawy na drogę sądową – wskazał Adam Sanocki, rzecznik prasowy UODO
- Z perspektywy firm pozytywna jest interpretacja przyjęta przez PIP – podkreśla ona, że w aktualnym stanie prawnym nie ma przepisu, który zabraniałby – pod groźbą kary – kierowania żądań wobec pracowników, aby poddali się szczepieniu
EROD przyjęła wytyczne w sprawie wzajemnych relacji pomiędzy art. 3 i rozdziałem V RODO
- przyjęcie wytycznych w sprawie wzajemnych relacji pomiędzy art. 3 i rozdziałem V RODO – to jedna z głównych decyzji podjęta przez Europejską Radę Ochrony Danych podczas 57. posiedzenia plenarnego, które odbyło się 18 listopada 2021 r. w Brukseli
- wytyczne zawierają wyjaśnienie zależności pomiędzy terytorialnym zakresem stosowania RODO (art. 3) a przepisami dotyczącymi międzynarodowego przekazywania danych zawartymi w rozdziale V
- wytyczne mają na celu pomoc administratorom i podmiotom przetwarzającym w UE w ustaleniu, czy operacja przetwarzania stanowi międzynarodowe przekazywanie danych.
- wytyczne określają łącznie trzy kryteria, które kwalifikują przetwarzanie jako przekazywanie:
1) podmiot przekazujący dane (administrator lub podmiot przetwarzający) podlega RODO w odniesieniu do danego przetwarzania
2) podmiot przekazujący dane przesyła lub udostępnia dane osobowe podmiotowi odbierającemu dane (innemu administratorowi, współadministratorowi lub podmiotowi przetwarzającemu)
3) podmiot odbierający dane znajduje się w państwie trzecim lub jest organizacją międzynarodową
- wytyczne zostaną skierowane do konsultacji publicznych, które potrwają do końca stycznia 2022 r.
Źródło: https://uodo.gov.pl/pl/138/2220
Czy cookies to dane osobowe?
- cookie, czyli inaczej ciasteczko, to niewielki plik tekstowy zapisywany w pamięci komputera przez przeglądarkę, otwierany przy kolejnych wejściach na stronę
- rośnie grono prawników, którzy uważają, że stosuje się do nich RODO – nie wszyscy jednak z tym zgadzają
- argumenty za: ciasteczka mają zidentyfikować co najmniej urządzenie, z którego się korzysta, a więc laptop czy telefon, a tak naprawdę jego użytkownika o ile jest to możliwe, dzięki nim można dowiedzieć się o danej osobie praktycznie wszystko, nie trzeba znać ani nazwiska ani dokładnego adresu a więc: w jakim mieście mieszka, ile ma lat, jakie są jej zainteresowania, poglądy polityczne etc. – z tego powodu stosuje się RODO do cookies
- argumenty przeciw: oczywiście czasem podstawową funkcją cookies może być także śledzenie użytkowników na różnych portalach, sam plik nie jest daną osobową, tylko może być nośnikiem pewnych informacji, istotniejszym pytaniem będzie wówczas, kto ma dostęp do pliku i co te informacje dla niego znaczą
- w 2020 r. rozpoczęły się prace nad polskim projektem ustawy – Prawo komunikacji elektronicznej, ma ono zastąpić obowiązujące prawo telekomunikacyjne oraz wdrożyć do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 z 11 grudnia 2018 r., ustanawiającej Europejski kodeks łączności elektronicznej
Źródło: https://www.prawo.pl/biznes/czy-stosuje-sie-rodo-do-cookies,511936.html
UODO: Użytkownik ma prawo zobaczyć swój profil marketingowy
- tworzony przez firmy reklamowe profil marketingowy stanowi zbiór danych osobowych, z którymi może się zapoznać każdy użytkownik, którego ten profil dotyczy – zdecydował Urząd Ochrony Danych Osobowych
- decyzja jest konsekwencją skargi na Onet i Interię złożonej przez Fundację Panoptykon
- decyzja jest efektem skargi, którą w styczniu 2019 r. złożyła do UODO Fundacja Panoptykon
- według organizacji decyzja urzędu jest przełomowa – przede wszystkim urząd przyznał rację aktywistom, którzy od początku stosowania RODO twierdzą, że danymi osobowymi są nie tylko informacje podane wprost (jak adres e-mail), ale też te „wywnioskowane” przez firmy na podstawie zachowania użytkowników i użytkowniczek w sieci
- według podanych informacji Interia, której dotyczyła skarga, nie zakwestionowała decyzji UODO – przyznała jednak, że nie może Panoptykonowi udostępnić profilu marketingowego, bo… sama nie ma do niego dostępu
- takie profile z danych uzyskanych przez strony Interii tworzą podmioty trzecie – firmy z branży reklamowej i to właśnie im użytkownicy i użytkowniczki udzielają „zgody” na śledzenie w celach reklamowych (czyli tworzenie takich profili marketingowych), kiedy zamykają baner witający ich na danej stronie internetowej
Źródło: https://www.wirtualnemedia.pl/artykul/uodo-panoptykon-rodo-dane-decyzja https://panoptykon.org/uodo-mamy-prawo-poznac-swoj-profil-marketingowy
1,3 mln Polaków robiąc e-zakupy padało ofiarą wycieku danych
- ofiarą wycieku danych padło blisko 1,3 mln Polaków podczas e-zakupów – wynika z badania dot. rzetelności sklepów internetowych
- ok. 760 tys. konsumentów zapytano podczas składania zamówienia w e-sklepie o PESEL, który nie jest niezbędny przy tego typu transakcjach
- zgodnie z badaniem „Rzetelność sklepów internetowych” na zlecenie ChronPESEL.pl i Rzetelnej Firmy, współpracujących z Krajowym Rejestrem Długów najczęściej z prośbą o PESEL robiący zakupy online spotykali się podczas dokonywania płatności (43 proc. wskazań) oraz w trakcie rejestracji w serwisie sklepu (29 proc.), w przypadku 17 proc. badanych sprzedający poprosił o niego podczas wystawiania faktury
- e-sklepy nie powinny wymagać od kupującego danych, które nie są niezbędne do transakcji
- z badania wynika też, że co czwarty ankietowany słyszał o wycieku danych osobowych klientów ze sklepu, z którego korzystał, a w przypadku 6 proc. osób robiących zakupy w internecie, do udostępnienia ich danych niepowołanym osobom rzeczywiście doszło
Spam wypadnie ze skrzynki - reklama udająca e-mail tylko na życzenie
- użytkownicy darmowych skrzynek pocztowych nie mogą bez zgody dostawać reklam ukrytych między korespondencją – uznał TSUE
- darmowe skrzynki e-mail są darmowe tylko z nazwy – korzystanie z nich co prawda nie uszczupla portfela, ale użytkownicy płacą w inny sposób – swoimi danymi osobowymi, prywatnością i czasem poświęcanym na oglądanie reklam
- przekaz marketingowy jest często również skrywany między właściwymi e-mailami – tak też się dzieje na niemieckim portalu T-Online, którego klientom wyświetlano także ofertę jednego z dostawców energii elektrycznej
- konkurencyjna firma uznała to za zabronioną praktykę rynkową i wystąpiła do sądu o jej zakazanie
- spór trafił ostatecznie do Federalnego Trybunału Sprawiedliwości, a ten postanowił zasięgnąć opinii Trybunału Sprawiedliwości UE
- TSUE zgodził się z rzecznikiem generalnym, który w przedstawionej wcześniej opinii podkreślił, że tego typu komunikaty reklamowe mają wiele cech klasycznego spamu – pojawiając się na tej samej liście co prywatne e-maile, wymagają tej samej uwagi i tej samej czynności dla ich usunięcia, co e-maile niezamówione (spam), stopień ich uciążliwości wydaje się podobny
- użytkownik może stosunkowo łatwo pomylić taką wiadomość, a klikając na nią, może zostać przekierowany na stronę reklamodawcy, choć jego zamiarem było przeczytanie korespondencji
- wyrok niesie ze sobą bardzo daleko idące konsekwencje dla dostawców darmowej poczty
Brak przepisów o zaszczepionych stawia firmy pod ścianą
- mimo kolejnej nowelizacji rozporządzenia rząd wciąż nie pokusił się o wprowadzenie przepisu, który pozwalałby na weryfikację certyfikatów covidowych – przedsiębiorcy boją się je kontrolować, bo za naruszenie RODO grozi im kara
- UODO, już w czerwcu ostrzegał, że nie ma podstawy prawnej do przetwarzania danych w postaci paszportów covidowych
- rząd uważa, że nie potrzeba specjalnej podstawy prawnej, jak tłumaczył ostatnio minister zdrowia, rozporządzenie daje przedsiębiorcom możliwość określania własnych regulaminów – Wewnętrznie mogą one oznaczać, że jeżeli jest jakiś limit, to do tego limitu się wpuszcza. Jeżeli limit zostaje przekroczony, to zgoda osoby okazującej paszport (covidowy) na to, żeby wejść, jest domyślna
- eksperci wskazują, że przedsiębiorcy mają prawo poinformować swoich klientów o możliwości dobrowolnego okazania przez nich paszportu, co pozwoli na skorzystanie z oferowanych usług – w przypadku braku takiej zgody przedsiębiorca jest obowiązany odmówić dokonania sprzedaży usługi, jeżeli miałoby to doprowadzić do przekroczenia dopuszczalnego limitu osobowego
- przy tym podejściu zostaje odwrócona sytuacja – przedsiębiorca nie wymaga okazania certyfikatu, ale może wpuścić tylko tych, którzy to zrobią – klienci sami wyrażają zgodę na przetwarzanie danych i można ją uznać za dobrowolną, pod jednym jednak warunkiem – gdy osiągnięto już limit obłożenia
Organizacje konsumenckie też mogą bronić przestrzegania RODO
- RODO w art. 80 przewiduje, że organizacje społeczne mogą wnosić pozwy za naruszenie przepisów o ochronie danych osobowych, ale tylko po umocowaniu ich przez osobę poszkodowaną – nie przyznaje więc stowarzyszeniom, w szczególności prokonsumenckim, samodzielnego, autonomicznego prawa do kierowania takich pozwów
- problem ten został dostrzeżony przy okazji pozwu wytoczonego przez niemiecki związek organizacji konsumenckich Facebookowi – dotyczył on udostępniania przez globalny serwis społecznościowy gier pochodzących od zewnętrznych dostawców
- klikając „zagraj teraz”, użytkownik Facebooka godził się nie tylko na przekazywanie dostawcom gier swych danych osobowych, lecz w przypadku jednej z aplikacji także na publikowanie swojego zdjęcia czy statusu
- sądy nie miały wątpliwości, że działanie Facebooka jest niezgodne z prawem – na etapie rozpoznawania skargi rewizyjnej pojawił się jednak problem, czy związek organizacji konsumenckich w ogóle miał prawo do wniesienia samodzielnego pozwu
- rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej w przedstawionej w minionym tygodniu opinii proponuje TSUE, by ten uznał wspomnianą regulację niemiecką za zgodną z RODO – jego zdaniem nic nie stoi na przeszkodzie ani temu, aby przepisy krajowe pozwalały na samodzielne wnoszenie pozwów przez stowarzyszenia, ani też temu, by uprawnienie takie dotyczyło konkretnie organizacji konsumenckich
Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8306763,tsue-rodo-organizacje-konsumenckie.html https://www.rp.pl/internet-i-prawo-autorskie/art19159641-facebook-moze-byc-pozwany-przez-grupy-konsumentow-wazna-opinia-z-tsue
FBI ma dostęp do WhatsAppa i iMessage
- Federalne Biuro Śledcze może w czasie rzeczywistym pozyskiwać dane z WhatsAppa należącego do Facebooka (obecnie Meta) i iMessage wbudowanego w iPhone’y – wynika z dokumentu pozyskanego przez magazyn „Rolling Stone”
- z dokumentu FBI wynika, że WhatsApp jest najlepszym źródłem pozyskiwania prywatnych danych o użytkownikach – na podstawie upoważnienia bazującego na nakazie wydanym przez sąd można wyodrębnić z tego komunikatora najbardziej podstawowe informacje – to m.in. książka kontaktów użytkownika i informacje o osobach, które mają zapisany jego numer telefonu w swoich listach kontaktowych.
- z dokumentów, do których dotarła redakcja „Rolling Stone” wynika, że w szczególnych przypadkach żądań dostępu do danych WhatsApp udostępnia je FBI w ciągu zaledwie 15 minut od przekazania zlecenia – chodzi tu o metadane wiadomości
- rzeczniczka WhatsAppa potwierdziła doniesienia, dodając jedynie, że informacje przez niego publikowane nie uwzględniają faktu, że w przypadku natychmiastowego przekazywania danych do rąk FBI nie trafia treść wiadomości, nie mogą również być w ten sposób sprawdzane wiadomości już wysłane, a jedynie te, które dopiero zostaną nadane
- w przypadku iMessage Apple’a, dostęp do danych na potrzeby FBI realizowany jest w oparciu o dane dotyczące treści wyszukiwanych przez użytkowników w komunikatorze z okresu 25 dni
Źródło: https://cyberdefence24.pl/fbi-ma-dostep-do-whatsappa-i-imessage-komunikatory-obiecywaly-prywatnosc
Islandzki organ ochrony danych nakłada grzywnę na Ministerstwo Przemysłu i Innowacji oraz YAY ehf.
- rząd Islandii postanowił na początku 2020 r. wzmocnić sektor turystyczny i małe firmy, wydając cyfrowy bon upominkowy o wartości 5000 IKR (około 34 euro) dla wszystkich Islandczyków powyżej 18 roku życia
- rząd zakontraktował firmę, która wydała aplikację do obsługi cyfrowych kart podarunkowych
- islandzki organ ochrony danych postanowił następnie z własnej inicjatywy zbadać, czy projekt jest zgodny z RODO
- organ zauważył, że ze względu na sytuację gospodarczą duży nacisk położono na szybkość zarówno programowania, jak i publikacji aplikacji, co skutkowało nieodpowiednim dostosowaniem ustawień – doprowadziło to do niezgodnego z prawem i niepotrzebnego gromadzenia znacznych ilości danych osobowych oraz gromadzenia praw dostępu do urządzeń mobilnych użytkownika
- ponadto nie spełniono wymagań dotyczących zgody na przetwarzanie, a informacje, które osoby, których dane dotyczą, otrzymały podczas logowania do aplikacji, były niewystarczające
- administrator i podmiot przetwarzający nie zapewnili odpowiedniego bezpieczeństwa danych osobowych – brak umowy powierzenia,, brak wdrożenia ochrony danych w fazie projektowania i domyślnie, co powinno zapewnić minimalizację danych
- Ministerstwo Przemysłu i Innowacji zostało ukarane grzywną w wysokości 7,5 mln ISK (ok. 50 800 euro), a firma YAY ehf. grzywną w wysokości 4 mln ISK (ok. 27 100 euro)
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.