Dlaczego Uniwersyteckie Centrum Kliniczne nie zgłosiło wycieku danych? Czy informacje pozyskiwane z plików cookies są zawsze danymi osobowymi? Jakie rezultaty przyniosła kontrola organu nadzorczego w firmie Ubeequ? Czy firmy zajmujące się wynajmem pojazdów, przestrzegają przepisów RODO? Jak brzmi opinia EROD i EIOD w sprawie zapobiegania niegodziwego traktowania dzieci w celach seksualnych? Czy prawo do poszanowania życia prywatnego oraz ochrony danych są prawami absolutnymi? Dlaczego sms-y urzędników powinny być traktowane jako dokumenty? W jaki sposób radca prawny może wykorzystywać dane swoich klientów?
MULTIMEDIA | |
---|---|
#RODOA [01.08.2022] | #RODOA [08.08.2022] |
Pobierz PDF | Pobierz PDF |
Omówienie RODO aktualności na YouTube
Wyciekły dane pacjenta - prezes UODO nałożył karę
- pacjent otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane innej osoby, m.in. o stanie jej zdrowia – to naruszenie ochrony danych osobowych, które Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego powinno zgłosić i powiadomić pacjenta, którego dane omyłkowo ujawniło – nie zrobiło tego i teraz ma zapłacić karę w wysokości 10 tys. zł.
- mimo że administrator zakwalifikował zaistniałe zdarzenie jako incydent bezpieczeństwa, to jednak uznał, iż nie wywiera ono znaczących skutków dla praw i obowiązków osoby, której dane dotyczą – z tego względu administrator zaniechał zgłoszenia organowi nadzorczemu tego zdarzenia, jak również nie zawiadomił o nim osoby, której dane dotyczą
- w ocenie UODO doszło do naruszenia ochrony danych osobowych polegającego na ujawnieniu, w wyniku błędu lekarza wystawiającego skierowanie do poradni specjalistycznej, danych osobowych osobie nieuprawnionej (innemu pacjentowi administratora)
- wydany przez lekarza dokument zawierał jedynie omyłkę w imieniu pacjenta, pozostałe dane zawarte na ww. skierowaniu, tj. nazwisko, adres zamieszkania oraz nr PESEL, dotyczyły już tego konkretnego pacjenta – stąd też nie można uznać, że zdarzanie dotyczyło nieistniejącej osoby
- UODO stwierdził, że dane osobowe udostępnione osobie nieuprawnionej, oprócz tzw. danych zwykłych, obejmują także dane należące do szczególnych kategorii danych osobowych – ich szeroki zakres wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych
- w opinii UODO, administrator świadomie nie zawiadomił o naruszeniu zarówno organu nadzorczego, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od Rzecznika Praw Pacjenta oraz kierowanych do niego pism przez UODO
Żródło: https://www.prawo.pl/zdrowie/10-tys-zl-kary-za-ujawnienie-danych-pacjenta,516515.html
Informacje z ciasteczek nie zawsze są danymi osobowymi
- kwestia ciasteczek od dawna budzi kontrowersje – prawnicy spierają się, czy informacje pozyskiwane z tych ciasteczek są danymi osobowymi, czy nie i jak pogodzić unijne regulacje z zakresu danych osobowych z przepisami rodzimego prawa telekomunikacyjnego?
- dyskusja na ten temat rozgorzała na nowo po wyroku WSA w Warszawie uchylającym decyzję UODO, w której organ nałożył upomnienie m.in. za udostępnienie podmiotom trzecim danych osobowych użytkownika (pozyskanych przez ciasteczka) bez podstawy prawnej
- spółka nie zgodziła się z oceną UODO i złożyła skargę do WSA – ten w wyroku uchylającym decyzję organu nadzorczego nie zgodził się z prostym podejściem, że w świecie cyfrowym każda informacja o użytkowniku jest daną osobową
- sąd krytycznie odniósł się do analizy wykonanej przez UODO na temat tego, czy informacje zbierane w ramach ciasteczek (zapisane w tych plikach), a dotyczące bezpośrednio urządzenia (a nie osoby), są faktycznie danym osobowymi, i czy w związku z tym podlegają RODO
- WSA w ustnych motywach wskazał, że organ – zanim przejdzie do oceny prawnej legalności pozyskiwanych danych – musi wyczerpująco wskazać, jak ustalił, że w danej sprawie informacje mają charakter danych osobowych
- WSA krytycznie odniósł się także do przytaczanego przez UODO orzecznictwa – wiele z cytowanych wyroków i stanowisk Grupy Roboczej Art. 29 poprzedza wejście w życie RODO prawie o dekadę
- WSA nie podjął też rozważań nad kwestią sposobu wyrażania zgody – sąd powiedział, że to przedwczesne, żeby odnosić się do kwestii legalności (np. kwestia zgody), skoro UODO nie przedstawił wyczerpującej argumentacji co do charakteru przetwarzanych informacji
(Francja: 175 000 EUR za niezgodne z prawem przetwarzanie danych geolokalizacyjnych
- w ramach swojego priorytetowego tematu kontrolnego w 2020 r. dotyczącego nowych zastosowań danych geolokalizacyjnych w kontekście mobilności, CNIL, francuski organ nadzorczy (SA) kontrolował firmę UBEEQO International, której działalność polega na wynajmie pojazdów na krótki okres
- dochodzenia koncentrowały się w szczególności na zebranych danych, określonych okresach przechowywania, informacjach przekazywanych osobom fizycznym oraz wdrożonych środkach bezpieczeństwa
- kluczowe wnioski
- niedopełnienie obowiązku zapewnienia minimalizacji danych (art. 5 ust. 1 lit. c RODO).
- brak określenia i przestrzegania proporcjonalnego okresu przechowywania danych (art. 5.1.e RODO).
- brak informowania osób fizycznych (art. 12 RODO).
- na podstawie tych ustaleń ograniczona komisja – organ CNIL odpowiedzialny za nakładanie sankcji – we współpracy z innymi zainteresowanymi organami europejskimi (w Belgii, Danii, Hiszpanii, Włoszech i Niemczech) nałożyła na UBEEQO International grzywnę w wysokości 175 000 EUR
Skoordynowana kontrola zgodności przetwarzania danych osobowych w zakresie wynajmu krótkoterminowego pojazdów
- organy nadzorcze państw bałtyckich uruchomiły skoordynowany nadzór prewencyjny nad zgodnością przetwarzania danych osobowych w zakresie krótkoterminowego wynajmu pojazdów
- wdrożenie skoordynowanego nadzoru, mającego na celu wypracowanie zaleceń dotyczących poprawy przetwarzania i ochrony danych osobowych, jest konsekwencją spotkania organów nadzoru państw bałtyckich w 2021 r., podczas którego władze uzgodniły, że monitoring sektorowy zostanie zorganizowany w Estonii na Łotwie i Litwie w 2022 roku
- organy uzgodniły, że będzie prowadzony nadzór nad przedsiębiorstwami oferującymi wynajem pojazdów krótkoterminowych, w tym skuterów elektrycznych, których głównymi odbiorcami usług są osoby fizyczne
- celem tych działań jest monitorowanie zgodności stosowania RODO, a tym samym proaktywne reagowanie na potencjalne zagrożenia dla danych osobowych obywateli w sektorze, którego znaczenie gwałtownie wzrosło w codziennym życiu wielu obywateli w ciągu ostatnich trzech lat
- informacje uzyskane w wyniku nadzoru będą analizowane w sposób skoordynowany, a organy nadzoru będą decydować o ewentualnych dalszych środkach nadzorczych poprzez opracowanie rekomendacji dobrych praktyk dla przedsiębiorstw świadczących takie i podobne usługi na rzecz osób fizycznych
EROD i EIOD o Wniosku dot. zwalczania wykorzystywania seksualnego dzieci w Internecie, Instagramie i Tik Toku
- EROD i EIOD podczas 68 posiedzenia plenarnego przyjęli wspólną opinię w sprawie Wniosku Komisji Europejskiej dotyczącego rozporządzenia w sprawie zapobiegania niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczaniu
- EROD i EIOD popierając cele i zamiary leżące u podstaw wniosku, wyrażają obawy co do wpływu planowanych środków na prywatność i bezpieczeństwo danych osobowych – ich zdaniem Wniosek Komisji Europejskiej w obecnej formie może stwarzać większe ryzyko dla osób fizycznych, a co za tym idzie niż dla przestępców ściganych na gruncie przepisów o CSAM
- podczas posiedzenia przyjęto także wiążącą decyzję w trybie procedury rozstrzygania sporów z art. 65 dotyczącą Instagrama
- decyzja która ma na celu rozwiązanie problemu braku konsensusu dot. niektórych aspektów projektu decyzji przyjętej przez irlandzki organ nadzorczy, jako wiodący organ nadzorczy, w odniesieniu do Instagrama (Meta Platforms Ireland Limited (dalej: Meta IE)) oraz późniejszych sprzeciwów organów nadzorczych, których sprawa dotyczy
- sprawa dotyczy przestrzegania przez Meta IE przepisów RODO w odniesieniu do niektórych przypadków przetwarzania danych osobowych dzieci w usłudze Instagram. W szczególności dotyczy to publicznego ujawnienia adresów e-mail i numerów telefonów dzieci korzystających z funkcji konta biznesowego oraz domyślnie publicznego ustawienia dla kont osobistych dzieci na Instagramie
- kilka z organów, których sprawa dotyczy zgłosiło sprzeciwy wobec projektu decyzji, dotyczące m.in. podstawy prawnej przetwarzania i ustalenia administracyjnej kary pieniężnej
EROD i EIOD o Wniosku dot. zwalczania wykorzystywania seksualnego dzieci w Internecie, Instagramie i Tik Toku
- w związku z nieosiągnięciem przez organy konsensusu w sprawie niektórych sprzeciwów, projekt decyzji został skierowany do EROD w celu rozstrzygnięcia sporu, w rezultacie czego EROD przyjęła przedmiotową decyzję na podstawie art. 65 – wiodący organ nadzorczy przyjmie ostateczną decyzję skierowaną do administratora na podstawie decyzji EROD bez zbędnej zwłoki i najpóźniej w ciągu miesiąca od notyfikowania przez EROD jej decyzji.
- EROD przyjęła także dwa pisma w odpowiedzi na pisma organizacji non-profit Access Now i BEUC dotyczące TikToka
- EROD podkreśla szybkie działania podjęte przez organy nadzorcze Hiszpanii, Irlandii i Włoch, po ogłoszeniu przez TikTok, że nie będzie on już pozyskiwać zgody użytkowników na wysyłanie spersonalizowanych reklam, ale że podstawą prawną będzie uzasadniony interes TikToka i jego partnerów – w wyniku działań organów nadzorczych TikTok powiadomił, że wstrzyma zmianę podstawy prawnej stosowanej do spersonalizowanych reklam
Żródło: https://uodo.gov.pl/pl/138/2432
Oświadczenia majątkowe z danymi osób bliskich? Tak, ale nie w internecie
- najnowszy wyrok to kolejna próba wyważenia dwóch sprzecznych ze sobą wartości – prawa do prywatności i jawności życia publicznego
- uznano w nim, że o ile składanie przez osoby publiczne oświadczeń zawierających nawet dość szczegółowe informacje na temat bliskich może być uzasadnione walką z korupcją, o tyle zamieszczanie ich w internecie godzi już nadto w prywatność
- sprawa dotyczy dyrektora litewskiej instytucji zajmującej się ochroną środowiska, który podlega tamtejszej ustawie o godzeniu interesów nakazującej składanie oświadczeń o interesach prywatnych obejmujących również małżonków, konkubentów i dzieci – chodzi m.in. o informacje na temat spółek, w jakich mają udziały czy którymi zarządzają, prowadzonej działalności, etc.
- dyrektor odmówił złożenia oświadczenia, gdyż przepisy przewidują jego publikację w internecie, a to godziłoby w prywatność jego bliskich
- sąd rozstrzygający ten spór nabrał wątpliwości i postanowił skierować wniosek prejudycjalny do TSUE – pytał w nim przede wszystkim o zgodność przepisu nakazującego publikację oświadczeń w sieci z prawem unijnym
- TSUE przypomniał, że gwarantowane prawo do poszanowania życia prywatnego oraz ochrony danych osobowych nie są prawami absolutnymi i należy je ważyć względem innych praw podstawowych – ograniczenia są więc możliwe, ale tylko wówczas, gdy są niezbędne i bez nich nie można spełnić celów interesu ogólnego
- w tej sprawie celem wprowadzenia ograniczeń jest walka z korupcją – zdaniem TSUE, o ile jednak uzasadnia ona wprowadzenie samego obowiązku składania oświadczeń, o tyle nie można nią tłumaczyć publikowania ich w internecie
SMS-y urzędników unijnych to dokumenty jawne
- Europejska Rzeczniczka Praw Obywatelskich (ERPO) rekomenduje rejestrowanie i zapisywanie w systemach zarządzania dokumentami SMS-y i maile – są one coraz częściej wykorzystywane w celu komunikacji przez urzędników unijnych
- gdy zawarte w nich informacje wpływają na procesy decyzyjne, powinny być traktowane jak inne dokumenty
- chodzi przede wszystkim o informacje, które znajdują się w smsach lub na czatach różnych komunikatorów pracowników organów i agencji UE – ważne jest też, czy informacje zawarte w wiadomościach mają wpływ na procesy decyzyjne.
- szczegółowe rekomendacje zostały opublikowane w połowie lipca – są one pokłosiem sprawy dotyczącej nieujawnienia wiadomości w sprawie zakupu szczepionek, które Przewodnicząca KE Ursula von der Leyen wymieniała z prezesem jednej z firm farmaceutycznych
- do wydania rekomendacji przyczyniły się również zmiany technologiczne – w ostatnich latach, głównie za sprawą pandemii, więcej osób zaczęło korzystać z różnych komunikatorów także w pracy
- zdaniem ERPO postęp technologiczny powinien znaleźć odzwierciedlenie w zasadach zarządzania dokumentami poszczególnych instytucji i agencji
Źródło: https://www.prawo.pl/samorzad/sms-y-urzednikow-unijnych-sa-jawne,516506.html
WSA: Radca prawny może wykorzystać dane, które pozyskał w innej sprawie
- przepisy umożliwiają przetwarzanie danych osobowych przez pełnomocnika strony przeciwnej w postępowaniach sądowych – tym samym radca prawny mógł wykorzystać dokumenty, które zostały zgromadzone w ramach innego sporu między tymi samymi stronami
- Marek A. zgłosił nieprawidłowości w procesie przetwarzania jego danych osobowych przez radcę prawnego – miały one polegać na udostępnieniu tych danych osobom nieupoważnionym, w szczególności chodziło o numer PESEL oraz numer dowodu osobistego
- sprawą zajął się prezes UODO, który ustalił, że radca prawny był przedstawicielem swojego klienta, będącego przeciwnikiem procesowym Marka A. w kilku postępowaniach przed sądami powszechnymi – natomiast sporne dane osobowe pozyskał m.in. od pełnomocnika skarżącego oraz od swojego mandanta, otrzymując dokumentację akt innej sprawy
- Prezes UODO uznał, że przesłanką legalizującą przetwarzanie danych osobowych przez radcę prawnego był art. 6 ust. 1 lit. f RODO – Pozyskał on bowiem sporne dane osobowe w związku z prowadzonymi postępowaniami, w których Marek A. był przeciwnikiem procesowym jego klienta
- WSA wskazał, że zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie danych osobowych jest zgodne z prawem, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
- tym samym organ prawidłowo uznał, że przepisy dopuszczają przetwarzanie danych osobowych przez pełnomocnika strony przeciwnej w postępowaniach sądowych – wykonuje on bowiem swoją rolę procesową, która polega na należytym reprezentowaniu swojego mandanta
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.