RODO aktualności – 08.12.2021 r.

• przyjęcie wytycznych w sprawie wzajemnych relacji pomiędzy art. 3 i rozdziałem V RODO – to jedna z głównych decyzji podjęta przez Europejską Radę Ochrony Danych podczas 57. posiedzenia plenarnego, które odbyło się 18 listopada 2021 r. w Brukseli
• wytyczne zawierają wyjaśnienie zależności pomiędzy terytorialnym zakresem stosowania RODO (art. 3) a przepisami dotyczącymi międzynarodowego przekazywania danych zawartymi w rozdziale V
• wytyczne mają na celu pomoc administratorom i podmiotom przetwarzającym w UE w ustaleniu, czy operacja przetwarzania stanowi międzynarodowe przekazywanie danych.
• wytyczne określają łącznie trzy kryteria, które kwalifikują przetwarzanie jako przekazywanie:

1) podmiot przekazujący dane (administrator lub podmiot przetwarzający) podlega RODO w odniesieniu do danego przetwarzania

2) podmiot przekazujący dane przesyła lub udostępnia dane osobowe podmiotowi odbierającemu dane (innemu administratorowi, współadministratorowi lub podmiotowi przetwarzającemu)

3) podmiot odbierający dane znajduje się w państwie trzecim lub jest organizacją międzynarodową

• wytyczne zostaną skierowane do konsultacji publicznych, które potrwają do końca stycznia 2022 r.

Źródło: https://uodo.gov.pl/pl/138/2220

• cookie, czyli inaczej ciasteczko, to niewielki plik tekstowy zapisywany w pamięci komputera przez przeglądarkę, otwierany przy kolejnych wejściach na stronę
• rośnie grono prawników, którzy uważają, że stosuje się do nich RODO – nie wszyscy jednak z tym zgadzają
• argumenty za: ciasteczka mają zidentyfikować co najmniej urządzenie, z którego się korzysta, a więc laptop czy telefon, a tak naprawdę jego użytkownika o ile jest to możliwe, dzięki nim można dowiedzieć się o danej osobie praktycznie wszystko, nie trzeba znać ani nazwiska ani dokładnego adresu a więc: w jakim mieście mieszka, ile ma lat, jakie są jej zainteresowania, poglądy polityczne etc. – z tego powodu stosuje się RODO do cookies
• argumenty przeciw: oczywiście czasem podstawową funkcją cookies może być także śledzenie użytkowników na różnych portalach, sam plik nie jest daną osobową, tylko może być nośnikiem pewnych informacji, istotniejszym pytaniem będzie wówczas, kto ma dostęp do pliku i co te informacje dla niego znaczą
• w 2020 r. rozpoczęły się prace nad polskim projektem ustawy – Prawo komunikacji elektronicznej, ma ono zastąpić obowiązujące prawo telekomunikacyjne oraz wdrożyć do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2018/1972 z 11 grudnia 2018 r., ustanawiającej Europejski kodeks łączności elektronicznej

Źródło: https://www.prawo.pl/biznes/czy-stosuje-sie-rodo-do-cookies,511936.html

• tworzony przez firmy reklamowe profil marketingowy stanowi zbiór danych osobowych, z którymi może się zapoznać każdy użytkownik, którego ten profil dotyczy – zdecydował Urząd Ochrony Danych Osobowych
• decyzja jest konsekwencją skargi na Onet i Interię złożonej przez Fundację Panoptykon
• decyzja jest efektem skargi, którą w styczniu 2019 r. złożyła do UODO Fundacja Panoptykon
• według organizacji decyzja urzędu jest przełomowa – przede wszystkim urząd przyznał rację aktywistom, którzy od początku stosowania RODO twierdzą, że danymi osobowymi są nie tylko informacje podane wprost (jak adres e-mail), ale też te „wywnioskowane” przez firmy na podstawie zachowania użytkowników i użytkowniczek w sieci
• według podanych informacji Interia, której dotyczyła skarga, nie zakwestionowała decyzji UODO – przyznała jednak, że nie może Panoptykonowi udostępnić profilu marketingowego, bo… sama nie ma do niego dostępu
• takie profile z danych uzyskanych przez strony Interii tworzą podmioty trzecie – firmy z branży reklamowej i to właśnie im użytkownicy i użytkowniczki udzielają „zgody” na śledzenie w celach reklamowych (czyli tworzenie takich profili marketingowych), kiedy zamykają baner witający ich na danej stronie internetowej

Źródło: https://www.wirtualnemedia.pl/artykul/uodo-panoptykon-rodo-dane-decyzja https://panoptykon.org/uodo-mamy-prawo-poznac-swoj-profil-marketingowy

• ofiarą wycieku danych padło blisko 1,3 mln Polaków podczas e-zakupów – wynika z badania dot. rzetelności sklepów internetowych
• ok. 760 tys. konsumentów zapytano podczas składania zamówienia w e-sklepie o PESEL, który nie jest niezbędny przy tego typu transakcjach
• zgodnie z badaniem „Rzetelność sklepów internetowych” na zlecenie ChronPESEL.pl i Rzetelnej Firmy, współpracujących z Krajowym Rejestrem Długów najczęściej z prośbą o PESEL robiący zakupy online spotykali się podczas dokonywania płatności (43 proc. wskazań) oraz w trakcie rejestracji w serwisie sklepu (29 proc.), w przypadku 17 proc. badanych sprzedający poprosił o niego podczas wystawiania faktury
• e-sklepy nie powinny wymagać od kupującego danych, które nie są niezbędne do transakcji
• z badania wynika też, że co czwarty ankietowany słyszał o wycieku danych osobowych klientów ze sklepu, z którego korzystał, a w przypadku 6 proc. osób robiących zakupy w internecie, do udostępnienia ich danych niepowołanym osobom rzeczywiście doszło

Źródło: https://www.dlahandlu.pl/e-commerce/wiadomosci/1-3-mln-polakow-robiac-e-zakupy-podalo-ofiara-wycieku-danych,103699.html

• użytkownicy darmowych skrzynek pocztowych nie mogą bez zgody dostawać reklam ukrytych między korespondencją – uznał TSUE
• darmowe skrzynki e-mail są darmowe tylko z nazwy – korzystanie z nich co prawda nie uszczupla portfela, ale użytkownicy płacą w inny sposób – swoimi danymi osobowymi, prywatnością i czasem poświęcanym na oglądanie reklam
• przekaz marketingowy jest często również skrywany między właściwymi e-mailami – tak też się dzieje na niemieckim portalu T-Online, którego klientom wyświetlano także ofertę jednego z dostawców energii elektrycznej
• konkurencyjna firma uznała to za zabronioną praktykę rynkową i wystąpiła do sądu o jej zakazanie
• spór trafił ostatecznie do Federalnego Trybunału Sprawiedliwości, a ten postanowił zasięgnąć opinii Trybunału Sprawiedliwości UE
• TSUE zgodził się z rzecznikiem generalnym, który w przedstawionej wcześniej opinii podkreślił, że tego typu komunikaty reklamowe mają wiele cech klasycznego spamu – pojawiając się na tej samej liście co prywatne e-maile, wymagają tej samej uwagi i tej samej czynności dla ich usunięcia, co e-maile niezamówione (spam), stopień ich uciążliwości wydaje się podobny
• użytkownik może stosunkowo łatwo pomylić taką wiadomość, a klikając na nią, może zostać przekierowany na stronę reklamodawcy, choć jego zamiarem było przeczytanie korespondencji
• wyrok niesie ze sobą bardzo daleko idące konsekwencje dla dostawców darmowej poczty

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8301907,dodaje-ze-nowe-przepisy-moga-byc-w-podobnych-sytuacjach-obchodzone-tak-jak-obecnie.html

• mimo kolejnej nowelizacji rozporządzenia rząd wciąż nie pokusił się o wprowadzenie przepisu, który pozwalałby na weryfikację certyfikatów covidowych – przedsiębiorcy boją się je kontrolować, bo za naruszenie RODO grozi im kara
• UODO, już w czerwcu ostrzegał, że nie ma podstawy prawnej do przetwarzania danych w postaci paszportów covidowych
• rząd uważa, że nie potrzeba specjalnej podstawy prawnej, jak tłumaczył ostatnio minister zdrowia, rozporządzenie daje przedsiębiorcom możliwość określania własnych regulaminów – Wewnętrznie mogą one oznaczać, że jeżeli jest jakiś limit, to do tego limitu się wpuszcza. Jeżeli limit zostaje przekroczony, to zgoda osoby okazującej paszport (covidowy) na to, żeby wejść, jest domyślna
• eksperci wskazują, że przedsiębiorcy mają prawo poinformować swoich klientów o możliwości dobrowolnego okazania przez nich paszportu, co pozwoli na skorzystanie z oferowanych usług – w przypadku braku takiej zgody przedsiębiorca jest obowiązany odmówić dokonania sprzedaży usługi, jeżeli miałoby to doprowadzić do przekroczenia dopuszczalnego limitu osobowego
• przy tym podejściu zostaje odwrócona sytuacja – przedsiębiorca nie wymaga okazania certyfikatu, ale może wpuścić tylko tych, którzy to zrobią – klienci sami wyrażają zgodę na przetwarzanie danych i można ją uznać za dobrowolną, pod jednym jednak warunkiem – gdy osiągnięto już limit obłożenia

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8304780,limity-klientow-firmy-certyfikaty-covidowe-weryfikacja.html

• RODO w art. 80 przewiduje, że organizacje społeczne mogą wnosić pozwy za naruszenie przepisów o ochronie danych osobowych, ale tylko po umocowaniu ich przez osobę poszkodowaną – nie przyznaje więc stowarzyszeniom, w szczególności prokonsumenckim, samodzielnego, autonomicznego prawa do kierowania takich pozwów
• problem ten został dostrzeżony przy okazji pozwu wytoczonego przez niemiecki związek organizacji konsumenckich Facebookowi – dotyczył on udostępniania przez globalny serwis społecznościowy gier pochodzących od zewnętrznych dostawców
• klikając „zagraj teraz”, użytkownik Facebooka godził się nie tylko na przekazywanie dostawcom gier swych danych osobowych, lecz w przypadku jednej z aplikacji także na publikowanie swojego zdjęcia czy statusu
• sądy nie miały wątpliwości, że działanie Facebooka jest niezgodne z prawem – na etapie rozpoznawania skargi rewizyjnej pojawił się jednak problem, czy związek organizacji konsumenckich w ogóle miał prawo do wniesienia samodzielnego pozwu
• rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej w przedstawionej w minionym tygodniu opinii proponuje TSUE, by ten uznał wspomnianą regulację niemiecką za zgodną z RODO – jego zdaniem nic nie stoi na przeszkodzie ani temu, aby przepisy krajowe pozwalały na samodzielne wnoszenie pozwów przez stowarzyszenia, ani też temu, by uprawnienie takie dotyczyło konkretnie organizacji konsumenckich

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8306763,tsue-rodo-organizacje-konsumenckie.html https://www.rp.pl/internet-i-prawo-autorskie/art19159641-facebook-moze-byc-pozwany-przez-grupy-konsumentow-wazna-opinia-z-tsue

• Federalne Biuro Śledcze może w czasie rzeczywistym pozyskiwać dane z WhatsAppa należącego do Facebooka (obecnie Meta) i iMessage wbudowanego w iPhone’y – wynika z dokumentu pozyskanego przez magazyn „Rolling Stone”
• z dokumentu FBI wynika, że WhatsApp jest najlepszym źródłem pozyskiwania prywatnych danych o użytkownikach – na podstawie upoważnienia bazującego na nakazie wydanym przez sąd można wyodrębnić z tego komunikatora najbardziej podstawowe informacje – to m.in. książka kontaktów użytkownika i informacje o osobach, które mają zapisany jego numer telefonu w swoich listach kontaktowych.
• z dokumentów, do których dotarła redakcja „Rolling Stone” wynika, że w szczególnych przypadkach żądań dostępu do danych WhatsApp udostępnia je FBI w ciągu zaledwie 15 minut od przekazania zlecenia – chodzi tu o metadane wiadomości
• rzeczniczka WhatsAppa potwierdziła doniesienia, dodając jedynie, że informacje przez niego publikowane nie uwzględniają faktu, że w przypadku natychmiastowego przekazywania danych do rąk FBI nie trafia treść wiadomości, nie mogą również być w ten sposób sprawdzane wiadomości już wysłane, a jedynie te, które dopiero zostaną nadane
• w przypadku iMessage Apple’a, dostęp do danych na potrzeby FBI realizowany jest w oparciu o dane dotyczące treści wyszukiwanych przez użytkowników w komunikatorze z okresu 25 dni

Źródło: https://cyberdefence24.pl/fbi-ma-dostep-do-whatsappa-i-imessage-komunikatory-obiecywaly-prywatnosc

• rząd Islandii postanowił na początku 2020 r. wzmocnić sektor turystyczny i małe firmy, wydając cyfrowy bon upominkowy o wartości 5000 IKR (około 34 euro) dla wszystkich Islandczyków powyżej 18 roku życia
• rząd zakontraktował firmę, która wydała aplikację do obsługi cyfrowych kart podarunkowych
• islandzki organ ochrony danych postanowił następnie z własnej inicjatywy zbadać, czy projekt jest zgodny z RODO
• organ zauważył, że ze względu na sytuację gospodarczą duży nacisk położono na szybkość zarówno programowania, jak i publikacji aplikacji, co skutkowało nieodpowiednim dostosowaniem ustawień – doprowadziło to do niezgodnego z prawem i niepotrzebnego gromadzenia znacznych ilości danych osobowych oraz gromadzenia praw dostępu do urządzeń mobilnych użytkownika
• ponadto nie spełniono wymagań dotyczących zgody na przetwarzanie, a informacje, które osoby, których dane dotyczą, otrzymały podczas logowania do aplikacji, były niewystarczające
• administrator i podmiot przetwarzający nie zapewnili odpowiedniego bezpieczeństwa danych osobowych – brak umowy powierzenia,, brak wdrożenia ochrony danych w fazie projektowania i domyślnie, co powinno zapewnić minimalizację danych
• Ministerstwo Przemysłu i Innowacji zostało ukarane grzywną w wysokości 7,5 mln ISK (ok. 50 800 euro), a firma YAY ehf. grzywną w wysokości 4 mln ISK (ok. 27 100 euro)

Źródło: https://edpb.europa.eu/news/national-news/2021/icelandic-dpa-issues-fine-ministry-industries-and-innovation-and-yay-ehf_en