RODO aktualności – 11.01.2022 r.

• nie można jednak zaprzeczyć istnieniu związku pomiędzy artykułami publikowanymi online a komentarzami internautów pod tymi artykułami
• Trybunał stanął na stanowisku, iż celem skarżącej spółki było stworzenie miejsca pozwalającego na prowadzenie dyskusji na tematy ważne dla opinii publicznej oraz na rozpowszechnianie informacji, zgodnie z zadaniami i zasadami wolnej prasy
• obowiązek ujawniania danych osobowych anonimowych komentatorów miałby z tej perspektywy mrożący wpływ na wolność słowa w internecie

Źródło: https://www.prawo.pl/prawo/komentarze-w-internecie-wg-etpc-nie-mozna-zmuszac-wydawcy-do,512575.html

• w 2020 roku Norweska Rada Konsumentów złożyła skargę przeciwko Grindr, twierdząc, że udostępnianie danych osobowych stronom trzecim w celach marketingowych jest niezgodne z prawem – udostępniane dane to lokalizacja GPS, adres IP, identyfikator reklamowy, wiek, płeć oraz fakt, że dany użytkownik był na Grindr
• norweski urząd ochrony danych stwierdził, że Grindr ujawnił dane użytkownika stronom trzecim w celu reklamy behawioralnej bez podstawy prawnej
• ponadto urząd stwierdził, że zgoda była właściwą podstawą prawną w tym przypadku, ale rzekome zgody zebrane przez Grindr w celu udostępniania danych osobowych partnerom reklamowym były nieważne.
• dodatkowo, informacje o udostępnianiu danych osobowych nie zostały prawidłowo przekazane użytkownikom – urząd uważa, że było to sprzeczne z wymogami RODO dotyczącymi ważnej zgody
• urząd uważa, że dane ujawniające fakt, że ktoś jest użytkownikiem Grindr wskazują, że należy on do mniejszości seksualnej
• norweski organ ochrony danych nałożył karę administracyjną w wysokości około 6,5 miliona euro za nieprzestrzeganie przepisów RODO

Źródło: https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-imposes-fine-against-grindr-llc_en

• do zdarzenia doszło w oddziale Policji metropolitalnej w Tokio, o czym lokalne media dowiedziały się 27 grudnia
• na komisariacie zaginęły dwie dyskietki, zawierające dane osobowe 38 osób
• na dyskietkach znajdowały się nazwiska, płeć i daty urodzenia osób w wieku od 20 do 80 lat
• policja informuje, że nie ma dowodów na wykorzystanie zaginionych danych osobowych przez osoby trzecie i przeprasza 38 poszkodowanych
• funkcjonariusze obiecują pomoc w zarządzaniu danymi osobowymi, a także podjęcie środków zapobiegawczych, by taka sytuacja nie miała miejsca w przyszłości
• co się mogło stać z dyskietkami? prawdopodobnie ktoś je wyrzucił przez przypadek
• dyskietki trafiły do Policji w grudniu 2019 i lutym 2021 roku – funkcjonariusze mieli sprawdzić, czy osoby starające się o mieszkania komunalne miały powiązania z przestępczością zorganizowaną (nie miały), a nośniki miały być zabezpieczone w zamkniętym archiwum
• sprawa wyszła na światło dzienne, gdy zarządca lokali znów zgłosił się z pytaniem na komisariat – po nośnikach nie było śladu

Źródło: https://www.telepolis.pl/tech/bezpieczenstwo/policja-wyciek-danych-japonia-dyskietki

• projekt ustawy o ochronie wolności słowa w internetowych serwisach społecznościowych ma z jednej strony zapobiegać bezpodstawnemu zawieszaniu kont czy konkretnych treści, a z drugiej zaś gwarantować usuwanie wpisów naruszających dobra osobiste, dobre obyczaje czy też dezinformujących – mają się tym zajmować same portale społecznościowe, ale od ich decyzji będzie można się odwołać do specjalnie utworzonego ciała, jakim ma być Rada Wolności Słowa
• Prezes UODO zgłosił zastrzeżenia co do zakresu danych osobowych użytkowników, jakie ma przetwarzać Rada Wolności Słowa
• zgodnie z projektem będzie ona miała dostęp do wszelkich informacji niezbędnych do realizacji jej ustawowych zadań, w tym do danych szczególnych (art. 9 ust. 1 RODO) – tymczasem nie sprecyzowano, co mieści się w zakresie wspomnianych zadań ustawowych rady
• przepisy muszą w sposób konkretny wskazywać cele przetwarzania danych, tym bardziej szczególnych – równie ważne jest też ustalenie okresu retencji danych, który powinien być uzależniony od celu, w jakim dane osobowe zostały zebrane i mają być przetwarzane
• obsługą merytoryczną i administracyjną rady ma się zajmować Urząd Komunikacji Elektronicznej – według UODO nie wiadomo, na jakich zasadach UKE będzie mógł przetwarzać dane, do których dostęp ma mieć Rada

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8326636,media-spolecznosciowe-portale-internetowe-uodo.html

• według cyklicznego badania realizowanego na zlecenie BIK pt. „Cyberbezpieczeństwo Polaków”, w ciągu ostatniego półrocza udział osób dostrzegających zwiększone ryzyko wyłudzenia danych osobowych wzrósł do 71 proc.
• wzrosła także liczba Polaków, którzy mieli kontakt z cyberprzestępczością
• 38 proc. respondentów doświadczyło phishingu, czyli metody, w której oszust podszywa się pod legalne firmy, stosując przy tym nazwy stron internetowych i adresy e-mail łudząco przypominające autentyczne
• 33 proc. badanych przyznało, że uległo wyłudzeniu pieniędzy w wyniku skorzystania z tzw. super okazji, a dane 30 proc. ankietowanych osób znalazły się w niebezpieczeństwie w wyniku ich wycieku z różnych instytucji
• 88 proc. respondentów uważa wyciek danych za powód do niepokoju o własne finanse.
• z badania wynika, że 87 proc. internautów nie ma pełnego zaufania co do ochrony ich danych osobowych
• 22 proc. ankietowanych uważa, że nie ma kontroli nad tym, do jakich danych na ich temat mają dostęp inni
• badanie zostało zrealizowane 27 września 2021 r. przez Quality Watch metodą CAWI – objęło grupę 1038 osób

Źródło: https://www.gazetaprawna.pl/wiadomosci/kraj/artykuly/8326940,co-trzeci-polak-doswiadczyl-cyberprzestepczosci-wyludzenie-danych-osobowych.html

• będzie ustawowa podstawa do przekazywania danych niezaszczepionych do inspekcji sanitarnej
• kończą się konsultacje społeczne projektu ustawy o zmianie ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz niektórych innych ustaw
• jedną z ważniejszych zmian jest wprowadzenie obowiązku dla lekarzy prowadzących profilaktykę dzieci ustalenia terminów badań kwalifikacyjnych oraz wykonania poszczególnych szczepień, zgodnie z wytycznymi Programu Szczepień Ochronnych
• lekarze będą zobowiązani do tworzenia raportów zawierających listę dzieci, które nie zostały poddane badaniom kwalifikacyjnym bądź zostały zakwalifikowane do szczepienia, ale nie zostały zaszczepione
• dokumenty te będą przekazywane do powiatowych inspektorów sanitarnych
• obowiązek sprawozdawania informacji o niezaszczepionych dzieciach już istnieje, jest jednak często podważany – dotąd powoływano się na brak podstawy prawnej przetwarzania danych osobowych, bo szczegóły dotyczące m.in. zakresu przekazywanych informacji były uregulowane w rozporządzeniu, przeniesienie przepisów do ustawy rozwieje te wątpliwości

Źródło: https://serwisy.gazetaprawna.pl/zdrowie/artykuly/8327481,dane-niezaszczepionych-beda-przekazywane-sanepidom.html

• prawdziwie darmowych aplikacji prawie nie ma – jeśli nie płacimy za aplikację pieniędzmi, to najpewniej opłatą są nasze dane
• Chiny jeszcze do niedawna były prawdziwym Dzikim Zachodem, jeśli chodzi o podejście do tego typu kwestii – niedawno jednak władze w Pekinie całkowicie zmieniły swoje podejście
• Chiny wprowadziły regulacje dotyczące prywatności i mocno ograniczyły zbieranie danych przez firmy, efekt ten bardzo dobrze widać w liczbie aplikacji dostępnych w chińskich sklepach
• z 4,52 miliona aplikacji ostało się 2,78 miliona

Źródło: https://www.telepolis.pl/wiadomosci/wydarzenia/zniknelo-1-5-miliona-aplikacji-wystarczylo-nakazac-dbac-o-prywatnosc

• w grudniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

PESEL ZNIKNIE Z LEGITYMACJI SZKOLNEJ

• MEN przychyliło się do opinii Prezesa UODO i zapowiada, że przy najbliższej nowelizacji rozporządzenia w sprawie świadectw, dyplomów państwowych i innych druków ze wzoru legitymacji szkolnej usunie pole przeznaczone na wpisanie numeru PESEL ucznia

DYREKTOR ZAKŁADU KARNEGO I PODMIOT ZATRUDNIAJĄCY SKAZANEGO TO ODRĘBNI ADMINISTRATORZY

• dyrektor zakładu karnego i podmiot zatrudniający więźnia przetwarzają jego dane osobowe w innych celach, każdy z nich wypełnia odmienne, przewidziane przepisami prawa zadania, a także niezależnie ustala środki przetwarzania danych i sposoby ich zabezpieczania
• w związku z tym uznać ich należy za odrębnych administratorów

POSTĘPOWANIE Z DOKUMENTACJĄ MEDYCZNĄ UCZNIA KIEROWANEGO DO MŁODZIEŻOWEGO OŚRODKA WYCHOWAWCZEGO

• dokumentację medyczną ucznia prowadzą podmioty sprawujące opiekę zdrowotną nad uczniami i to one, a nie dyrektor szkoły, mogą ją udostępniać, o ile spełnione są warunki wskazane w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• przedsiębiorcy działający w internecie korzystają z narzędzi analitycznych czy marketingowych dostarczanych przez podmioty, które zdominowały ten obszar rynku, np. Google, czy Facebooka
• równolegle toczy się dyskusja nad kwestiami prywatności użytkowników internetu – ma ona kilka płaszczyzn:

1. RODO – czy dochodzi do przetwarzania danych osobowych i które informacja i dla kogo są danymi osobowymi?
2. e-privacy –przedłużają się prace nad rozporządzeniem, które kompleksowo ureguluje kwestie m.in. pozyskiwania danych z urządzeń użytkowników (np. poprzez mechanizm cookies) i zastąpi obecne rozwiązania
3. sporów pomiędzy użytkownikami i przedsiębiorcami (właścicielami stron internetowych), którzy korzystają z narzędzi dostarczanych przez Bigtech (największe spółki technologiczne m.in. Google, czy Facebook)

• przyjęcie, że w każdej sytuacji i dla każdego z aktorów korzystających z tych technologii informacje z cookies są danymi osobowymi nie jest uzasadnione – inna jest pozycja (i do innych informacji ma dostęp) właściciela strony www, a inna dostawcy danego narzędzia technologicznego

• przegląd polityk prywatności instytucji publicznych wskazuje, że nawet one nie traktują informacji z cookies jako danych osobowych (przy najmniej nie dla siebie) – dotyczy to m.in. stron EIOD, EROD, KE czy ICO
• w niedawnej decyzji Prezes UODO oparł swoje rozstrzygnięcie dotyczące konieczności pozyskania zgody i konsekwencji jej braku poprzez odwołanie do regulacji art. 173 oraz 174 prawa telekomunikacyjnego – należy zwrócić uwagę, że na gruncie prawa polskiego brak przepisów, które przyznałyby Prezesowi UODO kompetencje nadzorcze w zakresie stosowania art. 173-174 prawa telekomunikacyjnego,
• natomiast Prezes UODO w swojej decyzji odwoływał się do tych przepisów jako istotnych dla rozstrzygnięcia sprawy

Źródło: https://www.prawo.pl/biznes/cookies-a-rodo,512672.html

• unijna dyrektywa nie daje podstaw, by z ochrony przysługującej sygnalistom wyłączyć osoby ujawniające nieprawidłowości bezpośrednio mediom – tymczasem projekt polskiej ustawy wyłącza stosowanie przepisów o ujawnieniu publicznym, jeżeli przekazanie informacji o naruszeniu prawa następuje bezpośrednio do prasy
• projektowany art. 55 stanowi, że przepisów ustawy o ujawnieniu publicznym nie stosuje się, jeżeli przekazanie informacji o naruszeniu prawa następuje bezpośrednio do prasy i gdy stosuje się przepis art. 15 ust. 2 pkt 1 Prawa prasowego – wskazany przepis stanowi, że dziennikarz ma obowiązek zachowania w tajemnicy danych umożliwiających identyfikację autora materiału prasowego, listu do redakcji lub innego materiału o tym charakterze, jak również innych osób udzielających informacji opublikowanych albo przekazanych do opublikowania, jeżeli osoby te zastrzegły nieujawnianie powyższych danych
• takie brzmienie przepisu może prowadzić do wniosku, że w przypadku ujawnienia naruszeń prawa bezpośrednio do prasy, sygnalista nie będzie mógł skorzystać z ochrony przewidzianej w projekcie, jeżeli zastrzegł dziennikarzowi nieujawnianie swoich danych i w związku z tym aktualizuje się obowiązek ochrony tajemnicy dziennikarskiej

Źródło: https://www.prawo.pl/kadry/pojscie-do-mediow-pozbawi-sygnaliste-ochrony-wbrew-dyrektywie-ue,512351.html

• ośrodek psychoterapii Vastaamo powiadomił fiński organ nadzorczy o ataku na jego bazę danych pacjentów we wrześniu 2020 r. – w październiku 2020 r. organ wszczął dochodzenie w sprawie legalności działań firmy Vastaamo
• Vastaamo zaniedbało swoje obowiązki związane z bezpiecznym przetwarzaniem danych osobowych, a także zgłaszaniem naruszenia danych osobowych – na podstawie dochodzenia technicznego przeprowadzonego przez firmę Nixu zajmującą się ochroną danych w październiku 2020 r., Zastępca Rzecznika Ochrony Danych stwierdził, że Vastaamo musiał zdać sobie sprawę, że dane pacjentów zniknęły i mogły znaleźć się w posiadaniu zewnętrznego atakującego już w marcu 2019
• Vastaamo powinien był niezwłocznie zgłosić naruszenie zarówno organowi nadzorczemu, jak i jego klientom
• Zastępca Rzecznika Ochrony Danych stwierdził, że dane osobowe nie były odpowiednio chronione przed nieuprawnionym i nielegalnym przetwarzaniem lub przypadkowym zaginięciem, a firma Vastaamo nie wdrożyła podstawowych środków zapewniających bezpieczne przetwarzanie danych osobowych – ze względu na niewystarczającą dokumentację, Vastaamo również nie był w stanie udowodnić, że spełniałby odpowiednie wymogi bezpieczeństwa
• Rada ds. Sankcji przy Biurze Rzecznika Ochrony Danych nałożyła na Vastaamo administracyjną sankcję finansową w wysokości 608 000 EUR

Źródło: https://edpb.europa.eu/news/national-news/2022/administrative-fine-imposed-psychotherapy-centre-vastaamo-data-protection_en