RODO aktualności – 11.01.2022 r.

Czy istnieje obowiązek ujawniania danych osobowych anonimowych komentatorów pod ich artykułami? Czy udostępnianie danych osobowych stronom trzecim w celach marketingowych jest zgodne z prawem? W jaki sposób doszło do wycieku danych w oddziale Policji w Tokio? Na czym polega projekt „Rada Wolności Słowa”? Czego się dowiesz ze statystyk na temat cyberprzestępczości? Czy sanepid będzie miał wgląd do danych osób niezaszczepionych? W jaki sposób Chiny zadbały o prywatność w cyberprzestrzeni? Czego dowiemy się z grudniowego newslettera UODO? Czy pliki cookies są danymi osobowymi? Co stanie się z sygnalistą, który zgłosi się do mediów? Jakie konsekwencje niesie za sobą zaniedbanie niezwłocznego zgłoszenia naruszenia danych?

MULTIMEDIA

#RODOA [03.01.2022]
#RODOA [10.01.2022]
Pobierz PDFPobierz PDF

Czy istnieje obowiązek ujawniania danych komentatorów pod artykułami? (1)

  • zmuszenie wydawcy gazety do ujawnienia danych osoby, która skomentowała artykuł prasowy opublikowany na stronie internetowej tejże gazety, stanowiło naruszenie prawa do wolności wyrażania opinii i rozpowszechniania informacji – uznał Europejski Trybunał Praw Człowieka
  • w 2013 r. gazeta opublikowała wywiad z szefem Wolnościowej Partii Austrii (nacjonalistyczno-konserwatywnej, eurosceptycznej partii politycznej), pod którym pojawiło się dużo ostrych komentarzy internetowych – członkowie partii wystąpili do sądu austriackiego z żądaniem ustalenia danych użytkownika, który pozostawił wskazane komentarze, a sąd austriacki przychylił się do tego żądania
  • przed Trybunałem skarżące wydawnictwo zarzuciło, iż zmuszenie go do ujawnienia danych internauty stanowiło naruszenie dziennikarskiej wolności wypowiedzi, ochrony danych osobowych dziennikarskich źródeł informacji oraz prawa do rozpowszechniania informacji i idei, chronionych w art. 10 Konwencji o prawach człowieka
  • Trybunał zgodził się ze skarżącym i potwierdził naruszenie wolności wyrażania opinii i rozpowszechniania informacji z art. 10 Konwencji – Trybunał uznał, iż autor komentarza kierował go do szerokiej publiczności, a nie do dziennikarza, tym samym nie może zostać on uznany za dziennikarskie źródło informacji, którego danych osobowych dziennikarz nie może ujawniać

Czy istnieje obowiązek ujawniania danych komentatorów pod artykułami? (2)

  • nie można jednak zaprzeczyć istnieniu związku pomiędzy artykułami publikowanymi online a komentarzami internautów pod tymi artykułami
  • Trybunał stanął na stanowisku, iż celem skarżącej spółki było stworzenie miejsca pozwalającego na prowadzenie dyskusji na tematy ważne dla opinii publicznej oraz na rozpowszechnianie informacji, zgodnie z zadaniami i zasadami wolnej prasy
  • obowiązek ujawniania danych osobowych anonimowych komentatorów miałby z tej perspektywy mrożący wpływ na wolność słowa w internecie

Źródło: https://www.prawo.pl/prawo/komentarze-w-internecie-wg-etpc-nie-mozna-zmuszac-wydawcy-do,512575.html

Norwegia: 6,5 miliona euro za nieprzestrzeganie przepisów dotyczących zgody

  • w 2020 roku Norweska Rada Konsumentów złożyła skargę przeciwko Grindr, twierdząc, że udostępnianie danych osobowych stronom trzecim w celach marketingowych jest niezgodne z prawem – udostępniane dane to lokalizacja GPS, adres IP, identyfikator reklamowy, wiek, płeć oraz fakt, że dany użytkownik był na Grindr
  • norweski urząd ochrony danych stwierdził, że Grindr ujawnił dane użytkownika stronom trzecim w celu reklamy behawioralnej bez podstawy prawnej
  • ponadto urząd stwierdził, że zgoda była właściwą podstawą prawną w tym przypadku, ale rzekome zgody zebrane przez Grindr w celu udostępniania danych osobowych partnerom reklamowym były nieważne.
  • dodatkowo, informacje o udostępnianiu danych osobowych nie zostały prawidłowo przekazane użytkownikom – urząd uważa, że było to sprzeczne z wymogami RODO dotyczącymi ważnej zgody
  • urząd uważa, że dane ujawniające fakt, że ktoś jest użytkownikiem Grindr wskazują, że należy on do mniejszości seksualnej
  • norweski organ ochrony danych nałożył karę administracyjną w wysokości około 6,5 miliona euro za nieprzestrzeganie przepisów RODO

Źródło: https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-imposes-fine-against-grindr-llc_en

Japonia: wyciek danych osobowych z Policji

  • do zdarzenia doszło w oddziale Policji metropolitalnej w Tokio, o czym lokalne media dowiedziały się 27 grudnia
  • na komisariacie zaginęły dwie dyskietki, zawierające dane osobowe 38 osób
  • na dyskietkach znajdowały się nazwiska, płeć i daty urodzenia osób w wieku od 20 do 80 lat
  • policja informuje, że nie ma dowodów na wykorzystanie zaginionych danych osobowych przez osoby trzecie i przeprasza 38 poszkodowanych
  • funkcjonariusze obiecują pomoc w zarządzaniu danymi osobowymi, a także podjęcie środków zapobiegawczych, by taka sytuacja nie miała miejsca w przyszłości
  • co się mogło stać z dyskietkami? prawdopodobnie ktoś je wyrzucił przez przypadek
  • dyskietki trafiły do Policji w grudniu 2019 i lutym 2021 roku – funkcjonariusze mieli sprawdzić, czy osoby starające się o mieszkania komunalne miały powiązania z przestępczością zorganizowaną (nie miały), a nośniki miały być zabezpieczone w zamkniętym archiwum
  • sprawa wyszła na światło dzienne, gdy zarządca lokali znów zgłosił się z pytaniem na komisariat – po nośnikach nie było śladu

Źródło: https://www.telepolis.pl/tech/bezpieczenstwo/policja-wyciek-danych-japonia-dyskietki

Rada Wolności Słowa a RODO

  • projekt ustawy o ochronie wolności słowa w internetowych serwisach społecznościowych ma z jednej strony zapobiegać bezpodstawnemu zawieszaniu kont czy konkretnych treści, a z drugiej zaś gwarantować usuwanie wpisów naruszających dobra osobiste, dobre obyczaje czy też dezinformujących – mają się tym zajmować same portale społecznościowe, ale od ich decyzji będzie można się odwołać do specjalnie utworzonego ciała, jakim ma być Rada Wolności Słowa
  • Prezes UODO zgłosił zastrzeżenia co do zakresu danych osobowych użytkowników, jakie ma przetwarzać Rada Wolności Słowa
  • zgodnie z projektem będzie ona miała dostęp do wszelkich informacji niezbędnych do realizacji jej ustawowych zadań, w tym do danych szczególnych (art. 9 ust. 1 RODO) – tymczasem nie sprecyzowano, co mieści się w zakresie wspomnianych zadań ustawowych rady
  • przepisy muszą w sposób konkretny wskazywać cele przetwarzania danych, tym bardziej szczególnych – równie ważne jest też ustalenie okresu retencji danych, który powinien być uzależniony od celu, w jakim dane osobowe zostały zebrane i mają być przetwarzane
  • obsługą merytoryczną i administracyjną rady ma się zajmować Urząd Komunikacji Elektronicznej – według UODO nie wiadomo, na jakich zasadach UKE będzie mógł przetwarzać dane, do których dostęp ma mieć Rada

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8326636,media-spolecznosciowe-portale-internetowe-uodo.html

Co trzeci Polak doświadczył zagrożeń związanych z cyberprzestępczością

  • według cyklicznego badania realizowanego na zlecenie BIK pt. „Cyberbezpieczeństwo Polaków”, w ciągu ostatniego półrocza udział osób dostrzegających zwiększone ryzyko wyłudzenia danych osobowych wzrósł do 71 proc.
  • wzrosła także liczba Polaków, którzy mieli kontakt z cyberprzestępczością
  • 38 proc. respondentów doświadczyło phishingu, czyli metody, w której oszust podszywa się pod legalne firmy, stosując przy tym nazwy stron internetowych i adresy e-mail łudząco przypominające autentyczne
  • 33 proc. badanych przyznało, że uległo wyłudzeniu pieniędzy w wyniku skorzystania z tzw. super okazji, a dane 30 proc. ankietowanych osób znalazły się w niebezpieczeństwie w wyniku ich wycieku z różnych instytucji
  • 88 proc. respondentów uważa wyciek danych za powód do niepokoju o własne finanse.
  • z badania wynika, że 87 proc. internautów nie ma pełnego zaufania co do ochrony ich danych osobowych
  • 22 proc. ankietowanych uważa, że nie ma kontroli nad tym, do jakich danych na ich temat mają dostęp inni
  • badanie zostało zrealizowane 27 września 2021 r. przez Quality Watch metodą CAWI – objęło grupę 1038 osób

Źródło: https://www.gazetaprawna.pl/wiadomosci/kraj/artykuly/8326940,co-trzeci-polak-doswiadczyl-cyberprzestepczosci-wyludzenie-danych-osobowych.html

Dane niezaszczepionych będą przekazywane sanepidom

  • będzie ustawowa podstawa do przekazywania danych niezaszczepionych do inspekcji sanitarnej
  • kończą się konsultacje społeczne projektu ustawy o zmianie ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz niektórych innych ustaw
  • jedną z ważniejszych zmian jest wprowadzenie obowiązku dla lekarzy prowadzących profilaktykę dzieci ustalenia terminów badań kwalifikacyjnych oraz wykonania poszczególnych szczepień, zgodnie z wytycznymi Programu Szczepień Ochronnych
  • lekarze będą zobowiązani do tworzenia raportów zawierających listę dzieci, które nie zostały poddane badaniom kwalifikacyjnym bądź zostały zakwalifikowane do szczepienia, ale nie zostały zaszczepione
  • dokumenty te będą przekazywane do powiatowych inspektorów sanitarnych
  • obowiązek sprawozdawania informacji o niezaszczepionych dzieciach już istnieje, jest jednak często podważany – dotąd powoływano się na brak podstawy prawnej przetwarzania danych osobowych, bo szczegóły dotyczące m.in. zakresu przekazywanych informacji były uregulowane w rozporządzeniu, przeniesienie przepisów do ustawy rozwieje te wątpliwości

Źródło: https://serwisy.gazetaprawna.pl/zdrowie/artykuly/8327481,dane-niezaszczepionych-beda-przekazywane-sanepidom.html

Chiny: zniknęło 1,5 miliona aplikacji – wystarczyło nakazać dbać o prywatność

  • prawdziwie darmowych aplikacji prawie nie ma – jeśli nie płacimy za aplikację pieniędzmi, to najpewniej opłatą są nasze dane
  • Chiny jeszcze do niedawna były prawdziwym Dzikim Zachodem, jeśli chodzi o podejście do tego typu kwestii – niedawno jednak władze w Pekinie całkowicie zmieniły swoje podejście
  • Chiny wprowadziły regulacje dotyczące prywatności i mocno ograniczyły zbieranie danych przez firmy, efekt ten bardzo dobrze widać w liczbie aplikacji dostępnych w chińskich sklepach
  • z 4,52 miliona aplikacji ostało się 2,78 miliona

Źródło: https://www.telepolis.pl/wiadomosci/wydarzenia/zniknelo-1-5-miliona-aplikacji-wystarczylo-nakazac-dbac-o-prywatnosc

Grudniowy newsletter UODO

  • w grudniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

PESEL ZNIKNIE Z LEGITYMACJI SZKOLNEJ

  • MEN przychyliło się do opinii Prezesa UODO i zapowiada, że przy najbliższej nowelizacji rozporządzenia w sprawie świadectw, dyplomów państwowych i innych druków ze wzoru legitymacji szkolnej usunie pole przeznaczone na wpisanie numeru PESEL ucznia

DYREKTOR ZAKŁADU KARNEGO I PODMIOT ZATRUDNIAJĄCY SKAZANEGO TO ODRĘBNI ADMINISTRATORZY

  • dyrektor zakładu karnego i podmiot zatrudniający więźnia przetwarzają jego dane osobowe w innych celach, każdy z nich wypełnia odmienne, przewidziane przepisami prawa zadania, a także niezależnie ustala środki przetwarzania danych i sposoby ich zabezpieczania
  • w związku z tym uznać ich należy za odrębnych administratorów

POSTĘPOWANIE Z DOKUMENTACJĄ MEDYCZNĄ UCZNIA KIEROWANEGO DO MŁODZIEŻOWEGO OŚRODKA WYCHOWAWCZEGO

  • dokumentację medyczną ucznia prowadzą podmioty sprawujące opiekę zdrowotną nad uczniami i to one, a nie dyrektor szkoły, mogą ją udostępniać, o ile spełnione są warunki wskazane w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Cookies ważnym narzędziem marketingowym, ale uwaga na RODO (1)

  • przedsiębiorcy działający w internecie korzystają z narzędzi analitycznych czy marketingowych dostarczanych przez podmioty, które zdominowały ten obszar rynku, np. Google, czy Facebooka
  • równolegle toczy się dyskusja nad kwestiami prywatności użytkowników internetu – ma ona kilka płaszczyzn:
  1. RODO – czy dochodzi do przetwarzania danych osobowych i które informacja i dla kogo są danymi osobowymi?
  2. e-privacy –przedłużają się prace nad rozporządzeniem, które kompleksowo ureguluje kwestie m.in. pozyskiwania danych z urządzeń użytkowników (np. poprzez mechanizm cookies) i zastąpi obecne rozwiązania
  3. sporów pomiędzy użytkownikami i przedsiębiorcami (właścicielami stron internetowych), którzy korzystają z narzędzi dostarczanych przez Bigtech (największe spółki technologiczne m.in. Google, czy Facebook)
  • przyjęcie, że w każdej sytuacji i dla każdego z aktorów korzystających z tych technologii informacje z cookies są danymi osobowymi nie jest uzasadnione – inna jest pozycja (i do innych informacji ma dostęp) właściciela strony www, a inna dostawcy danego narzędzia technologicznego

Cookies ważnym narzędziem marketingowym, ale uwaga na RODO (2)

  • przegląd polityk prywatności instytucji publicznych wskazuje, że nawet one nie traktują informacji z cookies jako danych osobowych (przy najmniej nie dla siebie) – dotyczy to m.in. stron EIOD, EROD, KE czy ICO
  • w niedawnej decyzji Prezes UODO oparł swoje rozstrzygnięcie dotyczące konieczności pozyskania zgody i konsekwencji jej braku poprzez odwołanie do regulacji art. 173 oraz 174 prawa telekomunikacyjnego – należy zwrócić uwagę, że na gruncie prawa polskiego brak przepisów, które przyznałyby Prezesowi UODO kompetencje nadzorcze w zakresie stosowania art. 173-174 prawa telekomunikacyjnego,
  • natomiast Prezes UODO w swojej decyzji odwoływał się do tych przepisów jako istotnych dla rozstrzygnięcia sprawy

Źródło: https://www.prawo.pl/biznes/cookies-a-rodo,512672.html

Sygnalista, który pójdzie do mediów, straci ochronę wbrew unijnej dyrektywie

  • unijna dyrektywa nie daje podstaw, by z ochrony przysługującej sygnalistom wyłączyć osoby ujawniające nieprawidłowości bezpośrednio mediom – tymczasem projekt polskiej ustawy wyłącza stosowanie przepisów o ujawnieniu publicznym, jeżeli przekazanie informacji o naruszeniu prawa następuje bezpośrednio do prasy
  • projektowany art. 55 stanowi, że przepisów ustawy o ujawnieniu publicznym nie stosuje się, jeżeli przekazanie informacji o naruszeniu prawa następuje bezpośrednio do prasy i gdy stosuje się przepis art. 15 ust. 2 pkt 1 Prawa prasowego – wskazany przepis stanowi, że dziennikarz ma obowiązek zachowania w tajemnicy danych umożliwiających identyfikację autora materiału prasowego, listu do redakcji lub innego materiału o tym charakterze, jak również innych osób udzielających informacji opublikowanych albo przekazanych do opublikowania, jeżeli osoby te zastrzegły nieujawnianie powyższych danych
  • takie brzmienie przepisu może prowadzić do wniosku, że w przypadku ujawnienia naruszeń prawa bezpośrednio do prasy, sygnalista nie będzie mógł skorzystać z ochrony przewidzianej w projekcie, jeżeli zastrzegł dziennikarzowi nieujawnianie swoich danych i w związku z tym aktualizuje się obowiązek ochrony tajemnicy dziennikarskiej

Źródło: https://www.prawo.pl/kadry/pojscie-do-mediow-pozbawi-sygnaliste-ochrony-wbrew-dyrektywie-ue,512351.html

Finlandia: kara dla ośrodka psychoterapii Vastaamo

  • ośrodek psychoterapii Vastaamo powiadomił fiński organ nadzorczy o ataku na jego bazę danych pacjentów we wrześniu 2020 r. – w październiku 2020 r. organ wszczął dochodzenie w sprawie legalności działań firmy Vastaamo
  • Vastaamo zaniedbało swoje obowiązki związane z bezpiecznym przetwarzaniem danych osobowych, a także zgłaszaniem naruszenia danych osobowych – na podstawie dochodzenia technicznego przeprowadzonego przez firmę Nixu zajmującą się ochroną danych w październiku 2020 r., Zastępca Rzecznika Ochrony Danych stwierdził, że Vastaamo musiał zdać sobie sprawę, że dane pacjentów zniknęły i mogły znaleźć się w posiadaniu zewnętrznego atakującego już w marcu 2019
  • Vastaamo powinien był niezwłocznie zgłosić naruszenie zarówno organowi nadzorczemu, jak i jego klientom
  • Zastępca Rzecznika Ochrony Danych stwierdził, że dane osobowe nie były odpowiednio chronione przed nieuprawnionym i nielegalnym przetwarzaniem lub przypadkowym zaginięciem, a firma Vastaamo nie wdrożyła podstawowych środków zapewniających bezpieczne przetwarzanie danych osobowych – ze względu na niewystarczającą dokumentację, Vastaamo również nie był w stanie udowodnić, że spełniałby odpowiednie wymogi bezpieczeństwa
  • Rada ds. Sankcji przy Biurze Rzecznika Ochrony Danych nałożyła na Vastaamo administracyjną sankcję finansową w wysokości 608 000 EUR

Źródło: https://edpb.europa.eu/news/national-news/2022/administrative-fine-imposed-psychotherapy-centre-vastaamo-data-protection_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.

2 Odpowiedzi

  1. Witam! Czy na tą chwilę na blogu wystarczy informacja o ciasteczkach „Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.”?
    Czy może trzeba ją rozszerzyć dostosowując do międzynarodowych regulacji jak sugeruje wtyczka WordPress? Takie rozszerzenia widzę już na innych stronach, ale nie wiem czy są konieczne.

    1. Lex Artist

      Dzień dobry!
      Informacje o plikach cookies nie są wymagane w momencie gdy strona internetowa nie wykorzystuje lub wykorzystuje je np. do zapisywania przy rejestracji konta, logowaniu. Takie działanie jest zgodne z przepisami Prawa Telekomunikacyjnego – art. 173 ust. 3. W momencie gdy administrator strony internetowej korzysta z bardziej zaawansowanych narzędzi np z Google Analytics czy też wyświetla reklamy konieczne jest pozyskanie zgody. Zgoda powinna być uzyskana po poinformowaniu bezpośrednio Użytkownika w sposób łatwy i zrozumiały o celu przechowywania i uzyskiwania dostępu do tej informacji, możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego komputerze lub telefonie – art. 173 ust. 1 Prawa Telekomunikacyjnego.
      W przypadku polskich przepisów zgodę można odbierać przez ustawienia przeglądarki-jeśli przeglądarka wchodzącego na stronę nie blokuje plików cookies, uznajemy, że wyraził na nie zgodę. Odmiennie sprawa wygląda w świetle standardów europejskich – zgoda nie może być pozyskiwana automatycznie. W naszej opinii to kwestia czasu jak europejskie wytyczne będą obowiązywać w Polsce.
      Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO