RODO aktualności – 12.10.2021 r.

• w krakowskich szkołach monitoring zamontowano w przebieralni i toalecie – monitoring w przebieralniach miał chronić uczniów przed kradzieżami, a ten zamontowany w łazienkach szkołę przed zniszczeniami
• stanowisko krakowskiego magistratu jest jasne – mienie można chronić w inny sposób, a kamery nie mogą być montowane w pomieszczeniach sanitarnohigienicznych
• Bezpieczeństwo można zapewnić poprzez dyżury pracowników szkoły lub doraźne kontrole takich pomieszczeń. Nie do przyjęcia jest sytuacja, w której nastoletni uczniowie nagrywani są w trakcie czynności higienicznych, przebierania się po zajęciach sportowych lub korzystania ze szkolnych toalet, nawet gdy jednoznacznie nie można potwierdzić tożsamości ucznia – mówi Małgorzata Tabaszewska z urzędu miasta
• przypadki montowania monitoringu w przebieralniach czy toaletach nie są odosobnione – w raporcie NIK sprzed kilku lat ujawniono np., że kamery w szkole w Puławach były montowane nad pisuarami
• w opinii Ministerstwa Edukacji i Nauki kamery w szkolnej toalecie i przebieralni są niezgodne z prawem

Źródło: https://www.rp.pl/dobra-osobiste/art18955151-kamera-w-szkolnej-toalecie-narusza-godnosc-ucznia

• Europejska Rada Ochrony Danych przyjęła 24 września 2021 r. opinię w sprawie projektu decyzji dotyczącej odpowiedniego stopnia ochrony danych osobowych w Korei Południowej
• EROD zauważyła, że istnieją obszary zgodności między unijnymi i południowokoreańskimi ramami ochrony danych w odniesieniu do podstawowych przepisów, takich jak np. pojęcia ochrony danych, podstawy zgodnego z prawem przetwarzania w uzasadnionych celach, ograniczenie celu, zatrzymywanie danych, bezpieczeństwo i poufność oraz przejrzystość
• EROD z zadowoleniem przyjęła wysiłki podejmowane przez KE i władze koreańskie w celu zagwarantowania, że Republika Korei zapewnia stopień ochrony danych merytorycznie równoważny temu zagwarantowanemu w RODO, chodzi o wysiłki takie, jak np. przyjęcie notyfikacji przez południowokoreański organ ochrony danych osobowych
• w sprawie dostępu organów publicznych do danych przekazywanych do Republiki Korei, EROD zauważyła, że przepisy ustawy o ochronie danych osobowych mają nieograniczone zastosowanie w dziedzinie egzekwowania prawa
• w odniesieniu do skutecznych środków ochrony prawnej i prawa do środka zaskarżenia, EROD zwraca się do Komisji o wyjaśnienie wymogów materialnych i/lub proceduralnych, takich jak ciężar dowodu, którym podlega skarga do organu lub jakiekolwiek działanie przed sądem, oraz czy osoby fizyczne z UE będą w stanie spełnić taki warunek wstępny

Źródło: https://uodo.gov.pl/pl/138/2167

• Prezes UODO wystąpił do Ministra Edukacji i Nauki o rozważenie kompleksowego uregulowania w przepisach prawa kwestii związanych z prowadzeniem dokumentacji przez poradnie psychologiczno-pedagogiczne
• obecnie Prawo oświatowe oraz akty wykonawcze do tej ustawy zapewniają jedynie fragmentaryczną ochronę danych osobowych zawartych w dokumentacji prowadzonej przez poradnie
• obecne przepisy nie zapewniają kompleksowego uregulowania zasad działania tego typu poradni
• ponadto nie regulują procesów związanych z przetwarzaniem danych zawartych w dokumentacji, a są to m.in.: kwestie związane ze źródłami pozyskania danych osobowych, prowadzenia dokumentacji, zakresem informacji, jaki jest w niej gromadzony
• dodatkowo nie są uregulowane kwestie związane z dostępem podmiotów do danych zawartych w tych dokumentach
• kluczowym problemem jest brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom

Źródło: https://uodo.gov.pl/pl/138/2165

• do oceny wykorzystywania danych z CEIDG-u w celu marketingowym stosuje się dwa różne reżimy prawne, a mianowicie: prawo ochrony danych osobowych, czyli RODO oraz prawo telekomunikacyjne
• fakt wpisania działalności gospodarczej do bazy CEIDG i upublicznienia jej nie jest podstawą prawną dla innych podmiotów gospodarczych do przetwarzania tych danych we własnych celach np. w celu prowadzenia marketingu swoich produktów i usług
• art. 6 ust. 1 lit f RODO pozwala wykorzystywać do własnych celów marketingowych dane pozyskane z CEIDG
• Prezes UODO coraz częściej staje po stronie przedsiębiorców, przykładem może być decyzja, gdzie potwierdzono legalność wykorzystania, na gruncie RODO, adresu email do celów marketingowych, pozyskanego właśnie z CEIDG
• podobnie jest w wypadku, gdy pozyskuje się dane do stworzenia bazy danych w celu jej sprzedaży
• niemniej jednak, w momencie gromadzenia danych, firma ma obowiązek informacyjny wobec osoby bez znaczenia z jakiej podstawy prawnej korzysta
• o ile na gruncie RODO można pozyskać dane osobowe z CEIDG i je wykorzystać w celu marketingowym, o tyle na gruncie Prawa telekomunikacyjnego nie można tego zrobić wykorzystując do tego telefon, czy e-mail, pozostaje tradycyjny, papierowy list

Źródło: https://www.prawo.pl/biznes/rodo-nie-kazde-dane-firm-sa-na-sprzedaz,510883.html

• od 1 lipca m.in. fryzjerzy, kosmetyczki, lekarze i prawnicy muszą mieć kasy fiskalne pracujące online, wcześniej ten obowiązek wprowadzono m.in. w gastronomii i stacjach paliw – takie kasy przesyłają informacje do Centralnego Repozytorium Kas
• od 2022 r. będą zaś one musiały być zintegrowane z terminalami płatniczymi
• przyjęte przez Sejm przepisy nie wykluczają możliwości, że do skarbówki popłyną dane dokumentów sprzedaży połączone z informacjami z instrumentów płatniczych, czyli np. numerami kart
• Ministerstwo Finansów wyjaśnia, że Polski Ład nie wprowadza obowiązku przyjmowania płatności kartą, ale dopuszcza też każdą inną bezgotówkową formę płatności, np. BLIK i uspokaja, że w integracji terminalu z kasą nie kryje się ryzyko inwigilacji
• „Przepisy regulujące zasady komunikacji kasa fiskalna–terminal płatniczy to rozwiązanie, które funkcjonuje w obrocie prawnym od lipca 2018 r., kiedy zaczęły obowiązywać w Polsce przepisy wykonawcze, regulujące wymagania dla sprzętowych kas rejestrujących online” – wyjaśnia ministerstwo
• zakres danych przekazywanych do Centralnego Repozytorium Kas nie powinien być określony rozporządzeniem, lecz ustawą – wynika to z Konstytucji, która w art. 31 ust. 3 przewiduje, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie, nadto w art. 51 ust. 5 wskazuje ona, że to z ustawy właśnie wynikać muszą zasady i tryb gromadzenia oraz udostępniania informacji należących do kategorii, o jakich tu mowa

Źródło: https://www.rp.pl/polityka/art18979011-nowe-przepisy-czy-dane-o-platnosciach-kartami-beda-sledzone-przez-rzad

• sądy administracyjne uznają, że po wykonaniu umowy konsumenci mogą domagać się usunięcia swych danych, a przedsiębiorcy nie mogą ich zachowywać na wypadek ewentualnych roszczeń

WYROK z 13 STYCZNIA 2021 r. (sygn. akt II SA/Wa 607/20)

• sprawa dotyczyła przetwarzania danych pewnego małżeństwa przez bank w związku z prowadzeniem rachunku – spór dotyczył informacji marketingowej przesłanej tym klientom
• bank uważał, że miał do tego prawo, gdyż była ona przedstawiona na wyciągu z rachunku – małżeństwo zażądało usunięcia wszystkich swych danych
• bank odmówił, powołując się na art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes „w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami wnioskodawców”
• Prezes UODO, do którego wpłynęła skarga w tej sprawie, uznał, że przepis ten nie uprawnia do przetwarzania danych na wypadek ewentualnych, niepewnych roszczeń – WSA w Warszawie w pełni podzielił tę argumentację

WYROK z 11 MARCA 2021 r. (sygn. akt II SA/Wa 1340/20).

• wyrok dotyczy firmy wynajmującej samochody – jeden z jej klientów był przekonany, że przekazała ona skan prawa jazdy osobie postronnej, po przeprowadzeniu postępowania prezes UODO nie znalazł na to dowodów, ale zgodnie z żądaniem wydał decyzję nakazującą usunięcie imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy
• WSA w Warszawie uznał ją za prawidłową – Jego zdaniem firma nie wykazała, żeby przetwarzanie danych było niezbędne do celów wynikających z prawnie usprawiedliwionych interesów
• sąd wskazał, że z ustaleń faktycznych nie wynika, aby wymieniony wystąpił z roszczeniem wobec spółki bądź też, by spółka dochodziła jakichkolwiek roszczeń od niego na drodze sądowej, które uzasadniałyby uprawnienie spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem roszczeń

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8263840,prywatnosc-dane-osobowe-firmy.html

• rozpatrując kwestię danych osoby zmarłej pozostawionych przez nią na profilach społecznościowych, należy odnieść się do treści tzw. motywu 27 RODO, zgodnie z którym RODO nie ma zastosowania do danych osobowych osób zmarłych
• wprawdzie państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych, jednak polski ustawodawca się na to nie zdecydował
• zdarzyć się może, że nieżyjący użytkownik portalu społecznościowego udostępniał materiały zawierające dane osobowe również innych osób – w takich sytuacjach mają one prawo do wniesienia skargi do Prezesa UODO, jeśli uznają, że w związku z udostępnieniem tych materiałów naruszone zostały ich prawa i wolności
• Prezes UODO dokona oceny, kto w indywidualnym przypadku będzie administratorem danych tych osób i podejmie przewidziane prawem środki, jeśli uzna, że doszło do naruszenia przepisów o ochronie danych osobowych
• UODO przypomina, że w zakresie dostępu do konta/profilu osoby zmarłej i ochrony danych w nim zawartych, jeśli tylko znajdują się na nim dane osobowe, administrator konta nadal zobowiązany jest przestrzegać zasad wymienionych w RODO
• każdy użytkownik Internetu ma prawo do bycia zapomnianym, co też wynika z RODO

Źródło: https://serwisy.gazetaprawna.pl/prawo-autorskie/artykuly/8263646,profil-na-facebooku-blokada-co-stanie-sie-z-kontem-po-smierci-zdjecia-artysta.html

• MEiN opublikowało wytyczne dotyczące bezpiecznego funkcjonowania uczelni i innych podmiotów systemu szkolnictwa wyższego i nauki w czasie epidemii koronawirusa
• dyrektor departamentu szkolnictwa wyższego w MEiN Marcin Czaja zaznaczył, że kwestia weryfikacji zaszczepienia czy testu na obecność COVID-19 nie są narzędziem specyficznym dla szkolnictwa wyższego, ale rozwiązaniem systemowym dla całego kraju
• „Jeśli pracodawca nie ma możliwości weryfikacji szczepienia, to rektor też nie będzie miał takiej możliwości. Wyłącznie przepisy ustawowe by na to pozwalały. Z kolei kwestia zachęcania do szczepień i jego propagowanie jest na poziomie ministerstwa podejmowane” – podkreślił Czaja.

Źródło: https://uodo.gov.pl/pl/138/2165

• dane skradzione z serwerów Facebooka hakerzy udostępnili na jednym z forów internetowych
• na sprzedaż nie są loginy i hasła do zalogowania, ale dane osobowe – imię, nazwisko, nazwa użytkownika, adres e-mail, miejsce zamieszkania, płeć, numer telefonu
• na forum cyberprzestępcy oferują pakiet z bazą danych miliona użytkowników za pięć tysięcy dolarów
• na sprzedaż jest łącznie baza danych 1,5 miliarda użytkowników Facebooka
• hakerzy pozyskali je metodą scrapowania (pobieranie ze stron internetowych wybranych informacji)
• według informacji podanych przez serwis privacyaffairs.com, informacje o kradzieży danych 1,5 miliarda użytkowników Facebooka pojawiły się już pod koniec września na jednej z hakerskich platform

Źródło: https://www.wirtualnemedia.pl/artykul/wyciek-danych-facebook-1-5-mld-uzytkownikow https://wiadomosci.wp.pl/awaria-facebooka-dane-1-5-miliarda-uzytkownikow-wystawione-na-sprzedaz-w-darknecie-6690470308321920a