RODO aktualności – 09.08.2022 r.

• kwestia ciasteczek od dawna budzi kontrowersje – prawnicy spierają się, czy informacje pozyskiwane z tych ciasteczek są danymi osobowymi, czy nie i jak pogodzić unijne regulacje z zakresu danych osobowych z przepisami rodzimego prawa telekomunikacyjnego?
• dyskusja na ten temat rozgorzała na nowo po wyroku WSA w Warszawie uchylającym decyzję UODO, w której organ nałożył upomnienie m.in. za udostępnienie podmiotom trzecim danych osobowych użytkownika (pozyskanych przez ciasteczka) bez podstawy prawnej
• spółka nie zgodziła się z oceną UODO i złożyła skargę do WSA – ten w wyroku uchylającym decyzję organu nadzorczego nie zgodził się z prostym podejściem, że w świecie cyfrowym każda informacja o użytkowniku jest daną osobową
• sąd krytycznie odniósł się do analizy wykonanej przez UODO na temat tego, czy informacje zbierane w ramach ciasteczek (zapisane w tych plikach), a dotyczące bezpośrednio urządzenia (a nie osoby), są faktycznie danym osobowymi, i czy w związku z tym podlegają RODO
• WSA w ustnych motywach wskazał, że organ – zanim przejdzie do oceny prawnej legalności pozyskiwanych danych – musi wyczerpująco wskazać, jak ustalił, że w danej sprawie informacje mają charakter danych osobowych
• WSA krytycznie odniósł się także do przytaczanego przez UODO orzecznictwa – wiele z cytowanych wyroków i stanowisk Grupy Roboczej Art. 29 poprzedza wejście w życie RODO prawie o dekadę
• WSA nie podjął też rozważań nad kwestią sposobu wyrażania zgody – sąd powiedział, że to przedwczesne, żeby odnosić się do kwestii legalności (np. kwestia zgody), skoro UODO nie przedstawił wyczerpującej argumentacji co do charakteru przetwarzanych informacji

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8498104,informacje-z-ciasteczek-cookies-dane-osobowe.html

• w ramach swojego priorytetowego tematu kontrolnego w 2020 r. dotyczącego nowych zastosowań danych geolokalizacyjnych w kontekście mobilności, CNIL, francuski organ nadzorczy (SA) kontrolował firmę UBEEQO International, której działalność polega na wynajmie pojazdów na krótki okres
• dochodzenia koncentrowały się w szczególności na zebranych danych, określonych okresach przechowywania, informacjach przekazywanych osobom fizycznym oraz wdrożonych środkach bezpieczeństwa
• kluczowe wnioski

1. niedopełnienie obowiązku zapewnienia minimalizacji danych (art. 5 ust. 1 lit. c RODO).
2. brak określenia i przestrzegania proporcjonalnego okresu przechowywania danych (art. 5.1.e RODO).
3. brak informowania osób fizycznych (art. 12 RODO).

• na podstawie tych ustaleń ograniczona komisja – organ CNIL odpowiedzialny za nakładanie sankcji – we współpracy z innymi zainteresowanymi organami europejskimi (w Belgii, Danii, Hiszpanii, Włoszech i Niemczech) nałożyła na UBEEQO International grzywnę w wysokości 175 000 EUR

Źródło: https://edpb.europa.eu/news/national-news/2022/geolocalisation-data-french-sa-fines-ubeeqo-international-eu175-000_en

• organy nadzorcze państw bałtyckich uruchomiły skoordynowany nadzór prewencyjny nad zgodnością przetwarzania danych osobowych w zakresie krótkoterminowego wynajmu pojazdów
• wdrożenie skoordynowanego nadzoru, mającego na celu wypracowanie zaleceń dotyczących poprawy przetwarzania i ochrony danych osobowych, jest konsekwencją spotkania organów nadzoru państw bałtyckich w 2021 r., podczas którego władze uzgodniły, że monitoring sektorowy zostanie zorganizowany w Estonii na Łotwie i Litwie w 2022 roku
• organy uzgodniły, że będzie prowadzony nadzór nad przedsiębiorstwami oferującymi wynajem pojazdów krótkoterminowych, w tym skuterów elektrycznych, których głównymi odbiorcami usług są osoby fizyczne
• celem tych działań jest monitorowanie zgodności stosowania RODO, a tym samym proaktywne reagowanie na potencjalne zagrożenia dla danych osobowych obywateli w sektorze, którego znaczenie gwałtownie wzrosło w codziennym życiu wielu obywateli w ciągu ostatnich trzech lat
• informacje uzyskane w wyniku nadzoru będą analizowane w sposób skoordynowany, a organy nadzoru będą decydować o ewentualnych dalszych środkach nadzorczych poprzez opracowanie rekomendacji dobrych praktyk dla przedsiębiorstw świadczących takie i podobne usługi na rzecz osób fizycznych

Źródło: https://edpb.europa.eu/news/national-news/2022/supervisory-authorities-baltic-states-launch-coordinated-inspection_en

• EROD i EIOD podczas 68 posiedzenia plenarnego przyjęli wspólną opinię w sprawie Wniosku Komisji Europejskiej dotyczącego rozporządzenia w sprawie zapobiegania niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczaniu
• EROD i EIOD popierając cele i zamiary leżące u podstaw wniosku, wyrażają obawy co do wpływu planowanych środków na prywatność i bezpieczeństwo danych osobowych – ich zdaniem Wniosek Komisji Europejskiej w obecnej formie może stwarzać większe ryzyko dla osób fizycznych, a co za tym idzie niż dla przestępców ściganych na gruncie przepisów o CSAM
• podczas posiedzenia przyjęto także wiążącą decyzję w trybie procedury rozstrzygania sporów z art. 65 dotyczącą Instagrama
• decyzja która ma na celu rozwiązanie problemu braku konsensusu dot. niektórych aspektów projektu decyzji przyjętej przez irlandzki organ nadzorczy, jako wiodący organ nadzorczy, w odniesieniu do Instagrama (Meta Platforms Ireland Limited (dalej: Meta IE)) oraz późniejszych sprzeciwów organów nadzorczych, których sprawa dotyczy
• sprawa dotyczy przestrzegania przez Meta IE przepisów RODO w odniesieniu do niektórych przypadków przetwarzania danych osobowych dzieci w usłudze Instagram. W szczególności dotyczy to publicznego ujawnienia adresów e-mail i numerów telefonów dzieci korzystających z funkcji konta biznesowego oraz domyślnie publicznego ustawienia dla kont osobistych dzieci na Instagramie
• kilka z organów, których sprawa dotyczy zgłosiło sprzeciwy wobec projektu decyzji, dotyczące m.in. podstawy prawnej przetwarzania i ustalenia administracyjnej kary pieniężnej

• w związku z nieosiągnięciem przez organy konsensusu w sprawie niektórych sprzeciwów, projekt decyzji został skierowany do EROD w celu rozstrzygnięcia sporu, w rezultacie czego EROD przyjęła przedmiotową decyzję na podstawie art. 65 – wiodący organ nadzorczy przyjmie ostateczną decyzję skierowaną do administratora na podstawie decyzji EROD bez zbędnej zwłoki i najpóźniej w ciągu miesiąca od notyfikowania przez EROD jej decyzji.
• EROD przyjęła także dwa pisma w odpowiedzi na pisma organizacji non-profit Access Now i BEUC dotyczące TikToka
• EROD podkreśla szybkie działania podjęte przez organy nadzorcze Hiszpanii, Irlandii i Włoch, po ogłoszeniu przez TikTok, że nie będzie on już pozyskiwać zgody użytkowników na wysyłanie spersonalizowanych reklam, ale że podstawą prawną będzie uzasadniony interes TikToka i jego partnerów – w wyniku działań organów nadzorczych TikTok powiadomił, że wstrzyma zmianę podstawy prawnej stosowanej do spersonalizowanych reklam

Żródło: https://uodo.gov.pl/pl/138/2432

• najnowszy wyrok to kolejna próba wyważenia dwóch sprzecznych ze sobą wartości – prawa do prywatności i jawności życia publicznego
• uznano w nim, że o ile składanie przez osoby publiczne oświadczeń zawierających nawet dość szczegółowe informacje na temat bliskich może być uzasadnione walką z korupcją, o tyle zamieszczanie ich w internecie godzi już nadto w prywatność
• sprawa dotyczy dyrektora litewskiej instytucji zajmującej się ochroną środowiska, który podlega tamtejszej ustawie o godzeniu interesów nakazującej składanie oświadczeń o interesach prywatnych obejmujących również małżonków, konkubentów i dzieci – chodzi m.in. o informacje na temat spółek, w jakich mają udziały czy którymi zarządzają, prowadzonej działalności, etc.
• dyrektor odmówił złożenia oświadczenia, gdyż przepisy przewidują jego publikację w internecie, a to godziłoby w prywatność jego bliskich
• sąd rozstrzygający ten spór nabrał wątpliwości i postanowił skierować wniosek prejudycjalny do TSUE – pytał w nim przede wszystkim o zgodność przepisu nakazującego publikację oświadczeń w sieci z prawem unijnym
• TSUE przypomniał, że gwarantowane prawo do poszanowania życia prywatnego oraz ochrony danych osobowych nie są prawami absolutnymi i należy je ważyć względem innych praw podstawowych – ograniczenia są więc możliwe, ale tylko wówczas, gdy są niezbędne i bez nich nie można spełnić celów interesu ogólnego
• w tej sprawie celem wprowadzenia ograniczeń jest walka z korupcją – zdaniem TSUE, o ile jednak uzasadnia ona wprowadzenie samego obowiązku składania oświadczeń, o tyle nie można nią tłumaczyć publikowania ich w internecie

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8506095,oswiadczenia-majatkowe-rodzina-bliscy-zona-tsue.html

• Europejska Rzeczniczka Praw Obywatelskich (ERPO) rekomenduje rejestrowanie i zapisywanie w systemach zarządzania dokumentami SMS-y i maile – są one coraz częściej wykorzystywane w celu komunikacji przez urzędników unijnych
• gdy zawarte w nich informacje wpływają na procesy decyzyjne, powinny być traktowane jak inne dokumenty
• chodzi przede wszystkim o informacje, które znajdują się w smsach lub na czatach różnych komunikatorów pracowników organów i agencji UE – ważne jest też, czy informacje zawarte w wiadomościach mają wpływ na procesy decyzyjne.
• szczegółowe rekomendacje zostały opublikowane w połowie lipca – są one pokłosiem sprawy dotyczącej nieujawnienia wiadomości w sprawie zakupu szczepionek, które Przewodnicząca KE Ursula von der Leyen wymieniała z prezesem jednej z firm farmaceutycznych
• do wydania rekomendacji przyczyniły się również zmiany technologiczne – w ostatnich latach, głównie za sprawą pandemii, więcej osób zaczęło korzystać z różnych komunikatorów także w pracy
• zdaniem ERPO postęp technologiczny powinien znaleźć odzwierciedlenie w zasadach zarządzania dokumentami poszczególnych instytucji i agencji

Źródło: https://www.prawo.pl/samorzad/sms-y-urzednikow-unijnych-sa-jawne,516506.html

• przepisy umożliwiają przetwarzanie danych osobowych przez pełnomocnika strony przeciwnej w postępowaniach sądowych – tym samym radca prawny mógł wykorzystać dokumenty, które zostały zgromadzone w ramach innego sporu między tymi samymi stronami
• Marek A. zgłosił nieprawidłowości w procesie przetwarzania jego danych osobowych przez radcę prawnego – miały one polegać na udostępnieniu tych danych osobom nieupoważnionym, w szczególności chodziło o numer PESEL oraz numer dowodu osobistego
• sprawą zajął się prezes UODO, który ustalił, że radca prawny był przedstawicielem swojego klienta, będącego przeciwnikiem procesowym Marka A. w kilku postępowaniach przed sądami powszechnymi – natomiast sporne dane osobowe pozyskał m.in. od pełnomocnika skarżącego oraz od swojego mandanta, otrzymując dokumentację akt innej sprawy
• Prezes UODO uznał, że przesłanką legalizującą przetwarzanie danych osobowych przez radcę prawnego był art. 6 ust. 1 lit. f RODO – Pozyskał on bowiem sporne dane osobowe w związku z prowadzonymi postępowaniami, w których Marek A. był przeciwnikiem procesowym jego klienta
• WSA wskazał, że zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie danych osobowych jest zgodne z prawem, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią
• tym samym organ prawidłowo uznał, że przepisy dopuszczają przetwarzanie danych osobowych przez pełnomocnika strony przeciwnej w postępowaniach sądowych – wykonuje on bowiem swoją rolę procesową, która polega na należytym reprezentowaniu swojego mandanta

Źródło: https://www.prawo.pl/prawnicy-sady/wykorzystanie-danych-osobowych-z-innego-postepowania-nie-naruszylo-rodo,516373.html