RODO aktualności – 13.07.2021 r.

• spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie
• ponadto spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości, z którego wynika, że nie jest w posiadaniu wysłanych dokumentów, oraz że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości
• zdaniem UODO w tej sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych – to skutkuje powstaniem po stronie spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu
• dodatkowo organ wskazał, że zebrane od odbiorcy oświadczenie nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, jak i nie wyklucza możliwości wystąpienia negatywnych konsekwencji w przyszłości

Źródło: https://uodo.gov.pl/pl/138/2096

• WSA w Warszawie w uzasadnieniu do wyroku z 5 maja 2021 r., którym oddalił skargę Głównego Geodety Kraju na decyzję Prezesa UODO, potwierdził, że numery ksiąg wieczystych są danymi osobowymi
• sąd stwierdził również, że GGK nie miał podstaw prawnych do ujawniania tych numerów w serwisie Geoportal2 i umyślnie naruszał przepisy o ochronie danych osobowych, dlatego kara pieniężna jaką Prezes UODO nałożył na GGK jest uzasadniona
• w uzasadnieniu do wyroku WSA uznał, że publikacja numerów ksiąg wieczystych pozwala w łatwy sposób pośrednio zidentyfikować właścicieli nieruchomości a GGK swoim działaniem umożliwił użytkownikom serwisu Geoportal2 bezpośredni dostęp do zawartości ksiąg wieczystych
• umieszczone w nim numery ksiąg wieczystych były jednocześnie odnośnikami przekierowującymi użytkowników bezpośrednio na stronę Ministerstwa Sprawiedliwości do elektronicznych ksiąg wieczystych – w ocenie sądu ta funkcjonalność spowodowała, że użytkownicy nie musieli nawet podawać numeru księgi wieczystej, by uzyskać wgląd do informacji w niej zawartych, w tym do danych osobowych właściciela danej nieruchomości
• klikając w link użytkownik miał wgląd w księgę wieczystą, w której są m.in. imiona, nazwiska właściciela nieruchomości, imiona rodziców, numer PESEL, adres nieruchomości – nie potrzebował do tego żadnych dodatkowych uprawnień

Źródło: https://uodo.gov.pl/pl/138/2095

• portale oferujące darmowe skrzynki e-mail mają poważny problem – oferty, z których wyświetlania się utrzymują, mogą łamać prawo
• użytkownicy płacą za darmowe skrzynki e-mail swoimi danymi osobowymi, prywatnością i czasem poświęcanym na wyświetlane reklamy – te ostatnie często udają wiadomości
• tak też się dzieje na niemieckim portalu T-Online, którego klientom wyświetlano ofertę jednego z dostawców energii elektrycznej – konkurencyjna firma uznała to za zabronioną praktykę rynkową i wystąpiła do sądu o jej zakazanie
• spór trafił ostatecznie do Federalnego Trybunału Sprawiedliwości, a ten postanowił zasięgnąć opinii Trybunału Sprawiedliwości Unii Europejskiej – opinię w sprawie wydał rzecznik generalny TSUE Jean Richara de la Tour
• w swej opinii rzecznik generalny TSUE przekonuje, że skoro komunikaty reklamowe, pojawiając się na tej samej liście co prywatne e-maile, wymagają tej samej uwagi i tej samej czynności dla ich usunięcia, co e-maile niezamówione (spam), stopień ich uciążliwości wydaje się podobny
• z racji tego, że reklamy te nie posiadają tych samych funkcji co e-maile, stanowi to dodatkowy czynnik uciążliwości – specyficzne traktowanie, którego reklamy te wymagają, może spowodować pomyłki w czasie ich usuwania lub przypadkowe kliknięcia na reklamę
• rodzi to daleko idące konsekwencje – bez zgody użytkowników darmowych skrzynek nie można im przesyłać jakiejkolwiek informacji handlowej

• jednym z kluczowych elementów stanowiska jest interpretacja sformułowania „przechowywana w sieci lub terminalu odbiorcy” – tylko wówczas komunikat może być uznany jako przesłany pocztą elektroniczną
• zdaniem rzecznika dla spełnienia tego wymogu nie jest potrzebne, aby wiadomość poczty elektronicznej została odebrana przez serwer pocztowy odbiorcy i umieszczona w jego skrzynce pocztowej – wystarczy, że będzie przechowywana na serwerze reklamowym, a więc w jakimkolwiek miejscu w sieci, i może być wywołana przy otwarciu określonej strony internetowej, w tym przypadku interfejsu poczty elektronicznej

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8200098,reklamy-w-sieci-wiadomosci-firmy.html

• pracodawcy potrzebują informacji, który z pracowników jest zaszczepiony – nie ma wątpliwości Konfederacja Lewiatan
• na ten moment szefowie jednak nie mogą żądać od podwładnych, by ci złożyli deklaracje na temat szczepienia przeciwko koronawirusowi
• pracodawcy chcą wiedzieć, którzy z ich pracowników zdecydowali się zaszczepić przeciwko COVID-19 – dotyczy to przede wszystkim pracy w fabrykach, gdzie nie ma możliwości wysłać zatrudnionych na pracę zdalną
• pracodawcy coraz usilniej naciskają na rządzących, by ci umożliwili im weryfikację osób zaszczepionych
• na dziś jednak nikt nie może zażądać certyfikatu szczepienie przeciwko SARS-CoV-2 – nadal nie ma bowiem odpowiedniej podstawy prawnej
• zaszczepieni mogą poinformować o szczepieniu dobrowolnie – ale tutaj i tak pojawiają się problemy z przetwarzaniem takich danych, gdyż informacja o przyjęciu szczepionki to dane medyczne, czyli są traktowane w sposób szczególny, co narzuca RODO
• swoje stanowisko w tej kwestii wydał już Urząd Ochrony Danych Osobowych. UODO stwierdził, że jedyną możliwością uzyskania informacji o zaszczepieniu jest samodzielnie i nieprzymuszone pokazanie certyfikatu covidowego

Źródło https://www.money.pl/gospodarka/pracodawca-dowie-sie-kto-jest-zaszczepiony-to-potrzebna-im-informacja-6655841263274560a.html

• 1 października w życie ma wejść Ustawa z 18 listopada 2020 r. o doręczeniach elektronicznych, która nowelizuje kodeks postępowania administracyjnego, w tym m.in. wprowadza nowy art. 14 § 1b zgodnie z którym sprawy mogą być załatwiane z wykorzystaniem pism generowanych automatycznie (tj. bez udziału człowieka)
• eksperci zauważają, że wykorzystanie art. 14 § 1b k.p.a. do automatycznego rozstrzygania spraw osób fizycznych naruszy RODO – RODO przyznaje bowiem osobie, której dane dotyczą, prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu i która wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa
• gwarancja ta nie ma zastosowania, gdy automatyczna decyzja jest dozwolona prawem państwa członkowskiego Unii, które dodatkowo przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą
• w RODO wskazane są cztery przykłady takich środków, wśród których kluczowe znaczenie zdaje się mieć prawo do uzyskania interwencji ludzkiej w sprawie – skorzystanie z tego prawa powoduje po stronie administratora (tutaj organu administracji publicznej) obowiązek ponownego rozpatrzenia sprawy przez człowieka
• zarówno w art 14 § 1b, jak i w innych przepisach kodeksu nie przewiduje się jakichkolwiek środków przeznaczonych dla osób, których dotyczą zautomatyzowane decyzje

Źródło: https://www.rp.pl/Opinie/307019986-Grzegorz-Sibiga-o-doreczeniach-elektronicznych-Czy-algorytm-moze-zastapic-czlowieka-w-administracji.html

• „Prezydent m. st. Warszawy informuje, że omyłkowo przesłaliśmy w wiadomości elektronicznej do osób nieuprawnionych numery ksiąg wieczystych, które są zawarte w rejestrach cen nieruchomości” – przekazał w komunikacie opublikowanym w Biuletynie Informacji Publicznej stołeczny ratusz
• incydent bezpieczeństwa polegał na tym, że system informatyczny działał nieprawidłowo i wygenerował zestawienie, w którym znalazły się niepotrzebne, nadmiarowe informacje – numery ksiąg wieczystych
• sytuacja miała miejsce 27 maja oraz 2, 7 i 9 czerwca 2021 roku
• rejestry z danymi osobowymi zostały wysłane do czterech odbiorców – w załączniku widnieje ponad tysiąc adresów ze wszystkich warszawskich dzielnic, których dotyczy zdarzenie
• ratusz poinformował, że natychmiast po odkryciu błędu, wysłano do nieuprawnionych odbiorców prośbę, by usunęli wykazy
• odbiorcy zostali również zobowiązani do zachowania poufności danych, które do nich dotarły oaz zostali pouczeni o konsekwencjach prawnych związanych z nieuprawnionym przetwarzaniem i wykorzystywaniem danych osobowych
• jak informują urzędnicy, na razie nie trafiły do nich żadne informacje o wykorzystaniu lub upublicznieniu przesłanych danych

Źródło: https://www.gazetaprawna.pl/wiadomosci/kraj/artykuly/8201773,wyciek-danych-osobowych-warszawa.html

• LinkedIn padł ofiarą wycieku danych, w wyniku którego informacje o ponad 700 milionach użytkowników trafiły na sprzedaż
• sieć społecznościowa dla pracowników, której właścicielem jest Microsoft, używany jest w sumie przez około 756 milionów osób, co oznacza, że dane aż 92% użytkowników serwisu zostały przejęte
• dane pozyskane przez włamywaczy najprawdopodobniej zawierają numery telefonów, adresy zamieszkania, dane geolokalizacyjne i wnioskowane wynagrodzenia
• jeszcze w kwietniu LinkedIn informował o wycieku danych dotyczących 500 mln użytkowników
• jak podaje wydawca portalu, dane po raz drugi zostały pozyskane metodą o nazwie scraping, która oznacza wyskrobywanie danych ze stron internetowych – od ręcznego pozyskiwania tych danych różni ją to, że wyodrębnia dane w sposób zautomatyzowany i zwykle na masową skalę, a także fakt, iż jest wbrew regulaminowi większości serwisów
• z tego, co wiadomo, dane 700 milionów użytkowników zostały wystawione na sprzedaż w darknecie – przestępcy udostępnili zestaw aż miliona danych jako próbkę dla tych, którzy chcą sprawdzić autentyczność „produktu”

Źródło: https://www.centrumxp.pl/Publikacja/Dane-osobowe-700-milionow-uzytkownikow-LinkedIn-wystawione-na-sprzedaz

• GUS, biorąc pod uwagę zastrzeżenia Prezesa UODO, w 2022 roku podczas badań statystycznych nie będzie pozyskiwał takich danych odbiorców usług wodociągowo-kanalizacyjnych, jak: ich imiona i nazwiska, numery PESEL, adresy zamieszkania, adresy do korespondencji, adresy poczty elektronicznej czy numery telefonów
• deklaracja taka została przedstawiona podczas konferencji uzgodnieniowej dotyczącej projektu rozporządzenia Rady Ministrów w sprawie programu badań statystycznych statystyki publicznej na rok 2022
• wcześniej Prezes UODO, opiniując projekt tego rozporządzenia, podnosił, że z przepisów Ustawy o zbiorowym zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków nie wynika, by w ramach umowy o dostarczanie wody lub odprowadzanie ścieków przedsiębiorstwo wodociągowo-kanalizacyjne było uprawnione do pozyskiwania od swoich klientów ich numerów PESEL, numerów telefonów i adresów poczty elektronicznej
• Prezes UODO podkreślił, że nie może dochodzić do sytuacji, w której dla potrzeb realizacji zadań innego administratora (w tym przypadku GUS), administrator udostępniający dane (w tym przypadku przedsiębiorstwo wodociągowo-kanalizacyjne) byłby zobowiązany do gromadzenia danych osobowych nieadekwatnych do realizacji własnych celów i przekazywania ich innemu, nowemu administratorowi

Źródło: https://uodo.gov.pl/pl/138/2082 https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020

• w najnowszym, lipcowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

PODSTAWY PRAWNE PRZETWARZANIA DANYCH OSOBOWYCH W ZWIĄZKU Z ORGANIZACJĄ, NAGRYWANIEM I UDOSTĘPNIANIEM NAGRAŃ Z TELEKONFERENCJI

• żeby pracodawcy mogli przetwarzać wizerunek pracowników, muszą spełnić przynajmniej jedną z przesłanek, o których mowa w art. 6 RODO, a także muszą być spełnione wszystkie zasady wskazane w jego art. 5 RODO
• administrator powinien też stworzyć procedury, z których będzie wynikał termin i sposób usuwania informacji zawierających dane osobowe oraz zasady dokonywania przeglądów przetwarzanych danych

WERYFIKACJA TOŻSAMOŚCI OSOBY WNIOSKUJĄCEJ O PRAWO DOSTĘPU DO DANYCH

• w opinii UODO, imię, nazwisko, adres, nazwa zboru Świadków Jehowy, do którego należała dana osoba, oraz własnoręczny podpis to dane wystarczające do zidentyfikowania osoby wnioskującej o dostęp do dotyczących jej danych osobowych.
• żądanie przesłania kserokopii urzędowego dokumentu stwierdzającego tożsamość zawierającego podpis oraz zdjęcie prowadziłoby do pozyskania danych nadmiarowych i byłoby niezgodne z zasadą minimalizacji danych

ODSTĘPSTWA OD DOPEŁNIANIA OBOWIĄZKU INFORMACYJNEGO

• organ publiczny, pozyskując podczas prowadzonego postępowania administracyjnego lub skargowego dane osobowe nie od osoby, której one dotyczą, nie musi spełniać obowiązku informacyjnego określonego w art. 14 ust. 1 i 2 RODO, gdy podstawą przetwarzania danych osobowych jest obowiązek ciążący na administratorze wynikający z przepisów prawa

CZY Z TŁUMACZEM PRZYSIĘGŁYM NALEŻY ZAWRZEĆ UMOWĘ POWIERZENIA?

• organ administracji publicznej, przekazując w związku z prowadzonym postępowaniem, dokumenty do tłumaczenia przez tłumacza przysięgłego, nie musi zawierać z nim umowy powierzania przetwarzania danych osobowych
• w tej sytuacji mamy bowiem do czynienia z udostępnieniem danych innemu administratorowi na podstawie przepisów prawa

KARY

• Francja: CNIL nakłada karę pieniężną w wysokości 500 tys. euro na BRICO PRIVÉ
• Hiszpania: 1,5 mln euro kary za dwa naruszenia
• Holandia: 525 tys. euro kary dla firmy, która m.in. publikowała dane klientów, nie pytając ich, czy tego chcą

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Czy z zewnętrznym IOD wykonującym zadania dla banku należy zawrzeć umowę powierzenia?

• wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora, powinno następować na podstawie umowy o świadczenie usług niebędącej umową powierzenia danych
• umowa o świadczenie usług, której przedmiotem jest wykonywanie zadań IOD nie będzie umową powierzenia przetwarzania
• konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator w celu realizacji swoich celów (zadań) związanych z przetwarzaniem danych posługuje się innym, zewnętrznym podmiotem

Źródło: https://uodo.gov.pl/pl/223/2091

Czy uczelnia może udostępnić dane studentów wyłącznie w oparciu o ustawę o Straży Granicznej?

• każdy wniosek o udostępnienie danych wymaga indywidualnej analizy
• jeżeli przesłany przez Straż Graniczną wniosek o udostępnienie danych osobowych budzi wątpliwości pod względem jego podstaw prawnych, dobrym rozwiązaniem jest zwrócenie się do wnioskodawcy o wyjaśnienie tych wątpliwości
• Straż Graniczna bowiem ma prawo przetwarzać dane osobowe w związku z prowadzonymi czynnościami, jednak w każdym przypadku musi legitymować się podstawą prawą swoich działań

Źródło: https://uodo.gov.pl/pl/225/2093

Czy obowiązek z art. 38 ust. 2 RODO dotyczy administratora korzystającego z usług zewnętrznego IOD?

• w sytuacji, gdy inspektor wykonuje zadania na podstawie umowy o świadczenie usług, kwestie związane z zapewnianiem zasobów na utrzymanie wiedzy fachowej IOD powinny być starannie ustalane przez strony umowy przy zawieraniu (lub ewentualnie renegocjonowaniu umowy), tak aby zapewnić zgodność z przywołanym wyżej art. 38 ust. 2 RODO i zasadą rozliczalności (administrator powinien móc wykazać, że prawidłowo zrealizował ciążący na nim obowiązek)
• ustalenia te powinny odnosić się do tego, jakiego rodzaju będą to środki, w jaki sposób zostaną zapewnione
• takie staranne ukształtowanie postanowień umowy dotyczących obowiązków jej stron przyczynia się do osiągniecia celów umowy i jej realnego wykonania

Źródło: https://uodo.gov.pl/pl/223/2092

• Urząd Ochrony Danych Osobowych przypomina, że okres wakacyjny nie zwalnia nas z dbania o bezpieczeństwo naszych danych osobowych
• dlatego, aby uniknąć negatywnych konsekwencji nadmiernym i niefrasobliwym udostępnianiem danych, warto zastosować przedstawione przez organ wskazówki – pozwolą nam one uchronić się przed potencjalnymi problemami:

1. Nie zostawiaj dokumentu tożsamości w zastaw
2. Nie pozwól robić kserokopii dokumentu tożsamości
3. Zastanów się, kiedy opublikować zdjęcia z wakacji. Nie warto informować, że nie ma cię w domu
4. Rozważ, czy chcesz publikować zdjęcia, nagrania wideo ze wszystkich wakacyjnych przygód swoich dzieci
5. Nie dziel się danymi o swojej lokalizacji w mediach społecznościowych
6. Na urządzeniu korzystaj ze swojego połączenia z Internetem
7. Zainstaluj na swoim urządzeniu oprogramowanie antywirusowe
8. Ostrożnie udostępniaj nieznajomemu swój telefon
9. Zabezpiecz się na wypadek kradzieży lub zgubienia telefonu

Źródło: https://uodo.gov.pl/pl/138/2101