RODO aktualności – 13.09.2022 r

• imiona, nazwiska, adresy e-mail, dokładne adresy zamieszkania, czy numery telefonów – takie dane osób, które dokonały zgłoszeń, przekazały swoje podejrzenia w sprawie związanej z zatruciem rzeki Odry, ale także innych rzek wyciekły z Głównego Inspektoratu Ochrony Środowiska
• dane te były dołączone do pisma skierowanego przez Departament Zwalczania Przestępczości Środowiskowej GIOŚ do Mariusza Wojewódki Dolnośląskiego Wojewódzkiego Inspektora Ochrony Środowiska we Wrocławiu
• jednak mail trafił także do innych – całkiem nieuprawnionych do otrzymania takich informacji osób
• sprawa ta jest obecnie przez UODO analizowana i wyjaśniane są okoliczności związane z zaistniałym naruszeniem
• GIOŚ poinformował osoby, które dokonywały zgłoszeń w sprawie trucia rzek o tym, iż ich dane wyciekły

Żródło: https://lwowecki.info/gios-nabral-wody-w-usta-ale-konsekwencji-nie-uniknie/

• grupa zajmująca się ochroną prywatności, NOYB, złożyła skargę do francuskiego organu nadzoru ochrony danych, CNIL, twierdząc, że Google naruszył zasady unijnej dyrektywy o prywatności i łączności elektronicznej dotyczące marketingu bezpośredniego, nie uzyskując zgody użytkowników gmaila na reklamy wyświetlane w ich skrzynkach odbiorczych, wraz z promocyjnymi e-mailami, na które faktycznie się zarejestrowali
• skarga NOYB powołuje się na orzeczenie TSUE z zeszłego roku, w odrębnej sprawie dotyczącej wykorzystania poczty elektronicznej do marketingu bezpośredniego, w którym trybunał wyjaśnia, że reklamy wyświetlane w skrzynce odbiorczej użytkownika stanowią „korzystanie z poczty elektronicznej do celów marketingu bezpośredniego” — który, zgodnie z zasadami ePrivacy, wymaga zgody użytkownika
• e-maile reklamowe w gmailu różnią się od prawdziwych e-maili, tylko tym, że zawierają etykietę „reklama” i brak datownika
• w skardze stwierdzono, że użytkownicy gmaila nie wyrazili zgody na spamowanie reklamami Google
• francuski CNIL był aktywnym regulatorem Google w kwestiach prywatności, wykorzystując kompetencje, jakie może mieć w ramach ePrivacy – które, w przeciwieństwie do ogólnego rozporządzenia o ochronie danych, nie wymaga, aby skargi transgraniczne były kierowane do wiodącego organu ochrony danych (w przypadku Google – Irlandzkiej Komisji Ochrony Danych) — unikanie wąskiego gardła RODO, które spowolniło egzekwowanie prywatności w stosunku do Big Tech

Źródło: https://techcrunch.com/2022/08/24/gmail-spam-ads-eprivacy-complaint/

• Centralna Informacja Emerytalna to nowa platforma, której utworzenie planuje rząd, ma zapewnić Polakom dostęp do informacji o wszystkich posiadanych produktach emerytalnych – po zalogowaniu będzie można dowiedzieć się nie tylko, jaka będzie emerytura z ZUS czy KRUS, lecz także poznać stan wszystkich oszczędności emerytalnych zgromadzonych w IKE, IKZE, PPE, PPK, OFE
• to jednak wymaga pobrania danych z ponad 150 źródeł
• zagregowanie tak wielu informacji w sposób naturalny powoduje pytania z jednej strony o bezpieczeństwo tej megabazy, a z drugiej o to, czy nie zostanie ona wykorzystana do szczegółowego profilowania obywateli – wątpliwości te miał również rzecznik praw obywatelskich
• projekt ustawy o CIE został zmieniony, aby uwzględnić szereg uwag zgłoszonych podczas konsultacji
• zmiany te mają zwiększyć bezpieczeństwo danych
• Centralna Informacja Emerytalna sama nie pobierze danych, dopóki obywatel nie założy profilu na tej platformie – same dane zostaną zaś podzielone na dwie odrębne grupy
• jednoznacznie stwierdzono również, że ustawa nie będzie umożliwiała profilowania posiadaczy produktów emerytalnych w rozumieniu RODO

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8521986,rodo-dane-emerytalne-osobowe-ochrona.html

• podczas analizy kandydatów na sędziów badane są m.in. akta spraw, które prowadzili – nie jest natomiast jasne, jak mają być chronione dane osobowe i informacje objęte choćby tajemnicami zawodowymi, które są w nich zawarte
• Rzecznik Praw Obywatelskich, bazując na wnioskach obywateli, zapytał o to Ministra Sprawiedliwości i Krajową Radą Sądownictwa
• po pierwsze: dane przedkładane przez kandydatów będących adwokatami, radcami prawnymi i notariuszami objęte są tajemnicą zawodową, od której ustawa nie przewiduje wyjątku w przypadku postępowania nominacyjnego na sędziego
• akta mogą też zawierać dokumenty objęte tajemnicą przedsiębiorstwa lub stanowiące informacje niejawne
• RPO pyta m.in. o to, czy istnieją przepisy wewnętrzne wydane przez Ministra Sprawiedliwości regulujące sposób zabezpieczenia danych zawartych w aktach spraw badanych w ramach postępowania w przedmiocie wyłonienia kandydatów na sędziów, w szczególnych danych objętych tajemnicą zawodową, tajemnicą przedsiębiorstwa lub stanowiących informacje niejawne?
• kolejna istotna kwestia, to w ocenie RPO – to czy przed przedstawieniem przez prezesa sądu sędziom-wizytatorom dokonującym oceny kwalifikacyjnej kandydata akt sprawy (sądowej, prokuratorskiej, notarialnej czy związanej ze sporządzeniem opinii prawnej), sprawdzane jest czy zawierają one informacje objęte tajemnicą przedsiębiorstwa lub przepisami o ochronie informacji niejawnych
• RPO pyta również, czy zdarzają się przypadki udostępniania akt spraw prowadzonych przez danego kandydata innym osobom niż sędziowie-wizytatorzy np. członkom Krajowej Rady Sądownictwa

Żródło: https://www.prawo.pl/prawnicy-sady/ochrona-danych-kandydatow-na-sedziow-pismo-rpo,517096.html

• w pandemii wiele mówiło się o potrzebie uregulowania w prawie zasad mierzenia temperatury w zakładach pracy i urzędach, testowaniu i szczepieniach przeciwko COVID-19 – mimo postulatów pracodawców rząd nie zdecydował się na uregulowanie tych kwestii
• na pracodawcy ciąży obowiązek zapewnienia na zasadach ogólnych bezpiecznych i higienicznych warunków pracy – to, jak będzie wyglądała organizacja pracy w poszczególnych zakładach pracy, będzie zależało od pracodawcy
• jakiekolwiek działania podejmowane przez pracodawców i środki przez nich wdrażane, już na etapie ich projektowania, muszą uwzględniać RODO – mają być oceniane pod kątem celu, czyli rzeczywistej potrzeby wdrożenia, adekwatne do tego celu, a także zdolne do zapewnienia odpowiedniego bezpieczeństwa i poufności danych
• pracodawcy mogą tak działać, aby albo wdrażać rozwiązania, z którymi nie jest związane przetwarzania danych osobowych, by w konsekwencji nie musieć stosować RODO, a jeżeli będą – to powinni to robić tak, aby wdrażane przez nich środki były zgodne z RODO
• przykład – można próbować kierować się interpretacją, że badanie temperatury jest dopuszczalne , jeżeli pomiar nie będzie utrwalany

Źródło: https://www.prawo.pl/kadry/jak-pracodawcy-moga-zabezpieczyc-pracownikow-przed-covidem,517000.html

• firmy zapominają, że muszą wskazywać inspektorów ochrony danych z imienia i nazwiska oraz umożliwiać kontakt z nimi – UODO analizuje wyniki pierwszej akcji kontrolnej
• nie wiadomo, ilu IOD powołano w Polsce – choć trzeba ich zgłaszać do Urzędu Ochrony Danych Osobowych, to ten nie prowadzi związanych z tym statystyk
• wiosną UODO wysłał do 20 administratorów zestaw pytań, w których poruszono również kwestię wypełniania tych obowiązków
• wyniki akcji nie są jeszcze znane – trwają analizy odpowiedzi – zaniepokojenie może jednak budzić już sama reakcja niektórych zapytanych
• Niestety, część z administratorów podeszła w sposób bardzo lekceważący do zadanych pytań, udzielając bardzo lakonicznych odpowiedzi i nie popierając ich żadnym dokumentem pomimo wyraźnego wezwania do przedstawienia dowodów potwierdzających składane wyjaśnienia. W tych przypadkach ponownie zostali oni wezwani w tym zakresie do złożenia wyjaśnień wraz z dowodami, ale są też przypadki, w których UODO podjęło decyzję o przeprowadzeniu kontroli u takiego administratora, oczywiście w zakresie objętym treścią pytań – mówi Ewelina Janczylik-Foryś, zastępca rzecznika prasowego UODO
• nie wszystkie firmy ułatwiają kontakt z IOD – na stronach internetowych części z nich nie sposób odnaleźć adresu e-mail, numeru telefonu, imienia i nazwiska

• należałoby przyjąć zasadę, że dostęp do tej informacji powinien być możliwy za pomocą maksymalnie dwóch kliknięć, np. poprzez link „Kontakt” czy wyraźnie oznaczony link „Ochrona danych osobowych
• UODO we wskazówkach przestrzega przed umieszczaniem danych w miejscu wymagającym długiego przeszukiwania, np. w „Aktualnościach” czy „Polityce prywatności” – z sygnałów, które do niego docierają, wynika, że dla wielu osób nie jest jasne, gdzie mogą znaleźć dane kontaktowe.
• równie ważna jest dostępność IOD wewnątrz struktury samej firmy – z tym też są problemy, bo wiele firm zatrudnia zewnętrznych inspektorów, którzy potrafią obsługiwać nawet po kilkadziesiąt różnych podmiotów
• utrudniony kontakt z IOD bywa również w międzynarodowych korporacjach, gdzie jedna osoba w teorii obsługuje wiele spółek lub oddziałów
• w wydanej w 2021 r. decyzji luksemburski organ (CNPD) uznał, że w przypadku działającej w tym kraju córki zależnej kontakt z umiejscowionym za granicą IOD nie był wystarczający – lokalnie sprawami z zakresu ochrony danych zajmowała się bowiem inna osoba, która jedynie raportowała zagranicznemu IOD

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8526957,dane-osobowe-rodo-naruszenie-ochrona-danych.html

• Amazon kupił producenta samobieżnych odkurzaczy Roomba – firmę iRobot
• kupując iRobota, Amazon może zyskać coś, czym nigdy jeszcze nie dysponował – wstęp do domu każdego z posiadaczy samobieżnego odkurzacza Roomba
• który jest właścicielem największego na świecie sklepu internetowego, zyska wiedzę nie tylko o tym, jak wygląda mapa mieszkania osób korzystających z tego sprzętu, co już samo w sobie bardzo wiele zdradza np. na temat jego statusu materialnego
• Amazon dowie się, na co Roomba wpada podczas pracy na podłodze; czy są to zabawki dziecięce? Czy może akcesoria dla psa? A może w mieszkaniu, po którym się porusza, nie ma w ogóle mebli? Jeśli tak – dlaczego nie zaproponować użytkownikowi ich zakupu, a przy okazji – nie przyswoić wszystkich dodatkowych informacji, nie złożyć ich razem z innymi danymi w spójny profil i nie wykorzystać do celów marketingowych?
• w chwili, gdy iRobot stanie się własnością Amazona, możemy mieć pewność, że odkurzacze te będą nie tylko komunikować się z innymi urządzeniami w sieci domowej użytkownika, ale że wraz z nimi będą przekazywać zgromadzone na jego temat dane jednej firmie –Amazonowi

Źródło: https://cyberdefence24.pl/cybermagazyn/cybermagazyn-samobiezne-odkurzacze-a-nasza-prywatnosc-ile-kosztuje-nas-wygoda

• holenderski rząd automatycznie przekazywał kościołom dane osobowe zarejestrowanych w nich wiernych, w tym informacje o zawarciu przez nich związków małżeńskich, rozwodach, zgonach, narodzinach dzieci i przeprowadzkach
• holenderski organ ochrony danych (Autoriteit Persoonsgegevens) uznał udostępnianie informacji o wiernych za sprzeczne z RODO
• w Holandii wszystkie dane mieszkańców gromadzone są obowiązkowo przez gminy i przechowywane w podstawowym rejestrze osób – w gminach dokonuje się wpisu np. o zawarciu małżeństwa, narodzinach dziecka czy zameldowaniu; w przypadku przeprowadzki informacje przenoszone są z jednego urzędu gminy do drugiego.
• od lat dane 5,1 mln wierzących Holendrów trafiają automatycznie z rejestru do kościelnej bazy danych tzw. SILA
• organ ochrony danych wskazał rządowi, żeby ten przestał przekazywać kościołom dane wiernych – o dostęp do danych osobowych z rejestru mogą wnioskować instytucje rządowe, które potrzebują tego typu informacji do wykonywania swoich działań statutowych lub jeśli służy to ważnemu interesowi społecznemu, a przekazywanie danych kościołom nie służy interesowi społecznemu, więc nie jest konieczne
• holenderski rząd przygotował już odpowiednie regulacje zakładające, że wierni będą musieli wyrazić zgodę na to, żeby ich dane były przekazywane instytucjom kościelnym – rzecz w tym, że w obecnym kształcie przepisy te dotyczą jedynie nowych członków kościoła, pomijają zaś dotychczas zarejestrowanych wiernych, których nigdy nikt o zgodę nie zapytał
• na takie rozwiązanie organ ochrony danych nie zamierza się zgodzić

Żródło: https://www.dw.com/pl/holandia-ko%C5%9Bci%C3%B3%C5%82-straci-dost%C4%99p-do-danych-osobowych-obywateli/a-63075125

• irlandzki urząd ochrony danych osobowych nałożył na Meta karę w wysokości 405 mln euro
• kara dotyczy przetwarzania przez Instagram danych nieletnich użytkowników
• rzecznik prasowy Meta powiedział, że firma zamierza odwołać się od kary
• podstawą nałożenia kary był częściowo fakt, że Instagram pozwolił dzieciom na prowadzenie kont biznesowych na swojej platformie – na kontach biznesowych na Instagramie podawany jest numer telefonu i adres e-mail posiadacza konta, co oznacza, że dane te były widoczne
• organ ustalił również, że konta osób w wieku od 13 do 17 lat miały domyślnie ustawioną opcję „publiczne”
• pełne szczegóły orzeczenia zostaną opublikowane w przyszłym tygodniu
• To dochodzenie dotyczyło starych ustawień, które zaktualizowaliśmy ponad rok temu, a od tego czasu udostępniliśmy wiele nowych funkcji, które pomagają zapewnić nastolatkom bezpieczeństwo i prywatność ich informacji — powiedział rzecznik Meta
• grzywna jest drugą co do wielkości karą nałożoną na firmę technologiczną na mocy RODO – największą była kara w wysokości 887 mln dol. nałożona na firmę Amazon w lipcu 2021 r.

Źródło: https://businessinsider.com.pl/media/internet/meta-z-kara-405-mln-euro-przez-lekcewazenie-prywatnosci-dzieci-na-instagramie/cyzltk5

• śledztwo zostało wszczęte w wyniku zawiadomień przekazanych przez osobę fizyczną, która poinformowała, że po telefonicznym wniosku skierowanym do Enel Energie Muntenia SA otrzymała z adresu odpowiedź skierowaną do innego klienta wraz z kilkoma dokumentami
• Enel Energie Muntenia SA nie przedstawił jednoznacznych informacji dotyczących powodów, dla których jeden z jego pracowników przesłał błędnie odpowiedź powoda
• administrator nie przedstawił również dowodów, z których wynika, że podjął działania naprawcze w celu zmniejszenia ryzyka, któremu podlegały dane osobowe oraz w celu dalszego zapobiegania ujawnieniu lub bezprawnemu dostępowi do danych osobowych
• administrator nie przedstawił dowodów dotyczących zgłoszenia tego incydentu rumuńskiemu organowi nadzorczemu
• w wyniku dochodzenia na Enel Energie Muntenia SA nałożono karę grzywny i naganę w następujący sposób:

grzywna w wysokości 49 337 lei (równowartość 10 000 euro) za naruszenie przepisów art. 32 RODO – brak odpowiednich środków bezpieczeństwa

nagana za naruszenie przepisów art. 33 RODO – niezawiadomienie organu o naruszeniu

Źródło: https://edpb.europa.eu/news/national-news/2022/romanian-supervisory-authority-fines-enel-energie-muntenia-sa-breaching_en

• w sierpniowo-wrześniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

NIEKTÓRE Z PRZEPISÓW USTAWY IMPLEMENTUJĄCEJ DYREKTYWĘ POLICYJNĄ DOTYCZĄCE IOD WYMAGAJĄ ZMIAN

• z wnioskiem w tej sprawie Prezes UODO zwrócił się do Ministra Spraw Wewnętrznych i Administracji, wskazując, że jest to istotne dla zapewnienia odpowiedniego statusu inspektora ochrony danych

JAK STAROSTOWIE POWINNI POSTĘPOWAĆ ZE ZNALEZIONYMI NOŚNIKAMI DANYCH OSOBOWYCH?

• starostowie, realizując zadania określone w ustawie o rzeczach znalezionych, muszą pamiętać, że w sytuacji, w której mają do czynienia z nośnikami mogącymi zawierać dane osobowe, muszą przestrzegać przepisów RODO

ZALECENIA DOTYCZĄCE PRACY Z UCZNIEM NIE DO DZIENNIKA LEKCYJNEGO

• w obecnym stanie prawnym brak jest podstaw, by w dzienniku lekcyjnym zamieszczać informacje o zaleceniu pracy z uczniem wynikającym z orzeczenia lub opinii poradni psychologiczno-pedagogicznej. Informacje o uczniu dotyczące kształcenia specjalnego, zajęć rewalidacyjno wychowawczych lub pomocy psychologiczno-pedagogicznej powinny być zamieszczane w indywidualnej teczce ucznia

UDOSTĘPNIANE DANYCH OSOBOWYCH PRZEDSTAWICIELOWI PORADNI PSYCHOLOGICZNO-PEDAGOGICZNEJ UCZESTNICZĄCEMU W PRACACH

ZESPOŁU DS. OPRACOWANIA IPET

• nie ma potrzeby uzyskiwania zgody rodziców na udostępnienie danych osobowych ucznia pracownikowi poradni psychologiczno-pedagogicznej biorącemu udziału w pracach zespołu ds. opracowania indywidualnego programu edukacyjno-terapeutycznego (IPET), gdyż podstawą tego udostępnienia są przepisy prawa

MNIEJ DANYCH O KANDYDATACH NA ŁAWNIKÓW

• projektodawca uwzględnił uwagi UODO i zweryfikował zakres danych, jaki ma być pozyskiwany o kandydatach na ławników

UPOMNIENIE ZA BRAK PRAWIDŁOWEGO ZAWIADOMIENIA O NARUSZENIU OSÓB, KTÓRYCH DANE DOTYCZĄ

• gdy dochodzi do naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powinien zawiadomić osobę, której dane dotyczą, o takim naruszeniu
• zawiadomienie należy sporządzić jasnym i prostym językiem, z podaniem wszystkich informacji wymaganych przepisami prawa art. 34. ust.2 RODO

Źródło: Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod