Jaka kara finansowa została nałożona na WhatsApp? W jakim kierunku pójdą przepisy o ochronie danych osobowych w Wielkiej Brytanii? Czego dowiesz się z najnowszego sprawozdania Prezesa UODO? Jak wygląda chińskie RODO? Czy będzie zmiana decyzji irlandzkiego organu w sprawie WhatsApp? Czy paszport covidowy spełnia wymogi RODO? W jaki sposób rozliczyć podatek za zadośćuczynienie na skutek naruszenia RODO? Jakich nowych informacji dowiemy się od UODO?
MULTIMEDIA | |
---|---|
#RODOA [06.09.2021] | #RODOA [13.09.2021] |
Pobierz PDF | Pobierz PDF |
WhatsApp musi zapłacić 225 mln euro
- kara została nałożona przez Irlandzką Komisję Ochrony Danych (DPC) i zatwierdzona przez Europejską Radę Ochrony Danych (EROD) – jest kilkakrotnie wyższa niż grzywna w wysokości 50 mln euro, wydana przez irlandzki organ nadzoru danych w grudniu ub.r.
- po dwuletnim dochodzeniu okazało się, że WhatsApp nie ma jasności co do sposobu, w jaki przetwarza i udostępnia dane Facebookowi – to samo dotyczy udostępniania danych między WhatsApp a innymi firmami należącymi do Facebooka
- dochodzenie wykazało, że WhatsApp naruszył art. 14 RODO, który stanowi, że administratorzy danych muszą zapewnić osobom, których dane dotyczą, wystarczające informacje o sposobie gromadzenia i ich przetwarzania
- początkowo kara miała być niższa, jednak po wielu konsultacjach regulator kilkakrotnie podniósł jej wysokość – wskazał też odpowiednie wymagania, aby WhatsApp podjął kroki w celu poprawy zgodności z RODO
- w podsumowaniu opublikowanym przez EROD stwierdzono, że naruszenia art. 14 RODO mają „bardzo poważny charakter” i „dużą wagę”, a same naruszenia stanowią „wysoki stopień zaniedbania”
- WhatsApp określił grzywnę jako „całkowicie nieproporcjonalną” i twierdzi, że odwoła się od kary
Wielka Brytania rezygnuje z RODO
- po opuszczeniu Unii Europejskiej, Wielka Brytania rezygnuje z RODO – jak wskazał brytyjski minister kultury Oliver Dowden – „koniec z irytującymi komunikatami o ciasteczkach i pytaniami o zgodę na przetwarzanie danych”
- nowe regulacje ochrony danych i prywatności oparte mają być „na zdrowym rozsądku”, a nie na „odhaczaniu okienek”
- wszelkie nowe ramy prawne RODO, na jakie zdecyduje się Wielka Brytania, będą ograniczone przez regułę adekwatności ustanowioną przez Unię Europejską, która – jeśli uchwalone przez Zjednoczone Królestwo prawo nie będzie spełniało określonych wymogów – może zamrozić transfer danych pomiędzy krajami UE a Wyspami
- celem wprowadzenia zmian nastąpi zmiana na stanowisku komisarza ds. informacji (ICO)
- „Reforma oznacza zmiany w naszym własnym prawie, które będzie oparte na zdrowym rozsądku, nie odhaczaniu okienek. Oznacza to, że w ICO będziemy mieli lidera, który będzie prowadził nas w nową erę wzrostu i innowacji opartych na danych” – powiedział Dowden
- nowe reguły mają być ukłonem w stronę biznesu
- „Rząd chce priorytetowo traktować wzrost, szczególnie startupów i małych firm, a także przyspieszenie odkryć naukowych i pracę nad ulepszeniem usług publicznych” – dodał Dowden
Źródło: https://www.cyberdefence24.pl/wlk-brytania-rezygnuje-z-rodo-to-duze-zmiany-w-ochronie-prywatnosci
Sprawozdanie Prezesa UODO za rok 2020
- na stronie Urzędu Ochrony Danych Osobowych opublikowano sprawozdanie Prezesa #UODO za rok 2020, ze sprawozdania wynika m.in., że organ w 2020:
- dokonał analizy 7507 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych
- wydał 13 decyzji administracyjnych w związku ze stwierdzeniem naruszenia ochrony danych osobowych
- wszczął z urzędu 28 postępowań administracyjnych w sprawie naruszenia przepisów o ochronie danych osobowych w związku z przypadkami naruszenia ochrony danych osobowych
- w sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały do niego : jednostki samorządu terytorialnego – 382, służby mundurowe – 163, administracja rządowa – 133
- został poinformowany w 224 przypadkach o zdarzeniach naruszających bezpieczeństwo danych przez podmioty inne niż administratorzy danych np. przez przypadkowych odbiorców
Źródło: https://uodo.gov.pl/437
Chińskie RODO
- Chiny uchwaliły swoją pierwszą kompleksową ustawę regulującą ochronę danych osobowych – Ustawę o ochronie danych osobowych w Chińskiej Republice Ludowej (Personal Information Protection Law of the People’s Republic of China, PIPL)
- PIPL wejdzie w życie 1 listopada 2021 r.
- część rozwiązań PIPL w pewnym zakresie przypomina rozwiązania znane z RODO – np. oba akty mają zasięg eksterytorialny, zapewniają różne prawa podmiotom danych osobowych, nakładają wysokie kary administracyjne (PIPL ustala karę do 50 mln RMB lub 5% rocznego przychodu ) za naruszenia oraz nakładają solidarną odpowiedzialność na podmioty, które wspólnie prowadzą czynności przetwarzania danych
- PIPL zachowuje jednak unikalne cechy chińskie, odzwierciedlające podejście regulacyjne rządu do danych osobowych, zwłaszcza z perspektywy transgranicznego przekazywania danych osobowych i systemu rozstrzygania sporów w interesie publicznym
- oprócz ochrony praw i interesów podmiotów danych osobowych, PIPL ma również na celu ochronę bezpieczeństwa narodowego i interesów publicznych
EROD żąda od irlandzkiego organu zmiany decyzji w sprawie WhatsApp
- po dokonaniu oceny EROD wyraziła opinię, że irlandzki organ nadzorczy powinien zmienić swój projekt decyzji w odniesieniu do naruszeń zasady przejrzystości, obliczania kary pieniężnej oraz okresu realizacji nakazu przestrzegania przepisów
- jeśli chodzi o zasadę przejrzystości, EROD zidentyfikowała dodatkowe braki w dostarczonych informacjach, które wpływają na zdolność użytkowników do zrozumienia, jakie prawnie uzasadnione interesy są realizowane
- w odniesieniu do nałożonej kary pieniężnej i jej obliczenia EROD zdecydowała, że obrót przedsiębiorstwa nie jest istotny wyłącznie dla określenia maksymalnej wysokości kary pieniężnej – może być on również uwzględniony przy obliczaniu samej kary, w stosownych przypadkach, aby zapewnić jej skuteczność, proporcjonalność i odstraszający charakter
- w tym przypadku EROD stwierdziła, że skonsolidowany obrót spółki dominującej należy uwzględnić przy obliczaniu obrotu
- ponadto EROD po raz pierwszy przedstawiła wyjaśnienie dotyczące interpretacji art. 83 ust. 3 RODO. W przypadku wielu naruszeń dotyczących tych samych lub powiązanych operacji przetwarzania danych przy obliczaniu wysokości kary pieniężnej należy wziąć pod uwagę wszystkie naruszenia
- projekt decyzji irlandzkiego organu zawierał ponadto nakaz dostosowania operacji przetwarzania do wymogów w terminie sześciu miesięcy – organ został poproszony o zmianę terminu na dostosowanie się do wymogów na okres trzech miesięcy
Źródło: https://uodo.gov.pl/pl/138/2136
Znikający paszport covidowy
- do biura RPO zgłosiła się kobieta, która zaszczepiła się, dzięki czemu uzyskała Unijny Certyfikat COVIDC – następnie doszło u niej do zmiany numeru PESEL
- okazało się, że nowy numer identyfikacyjny zaktualizował się w prawie wszystkich publicznych systemach – prawie, bowiem z Internetowego Konta Pacjenta zniknął certyfikat szczepienia, zaś Centrum e-Zdrowia odmówiło „przepisania” go na nowe dane
- Centrum e-Zdrowia wskazało, że obecnie nie ma możliwości przepisania dokumentacji medycznej dotyczącej szczepień na nowo nadany numer PESEL
- z punktu widzenia przepisów RODO certyfikat COVID powinien zawierać prawidłowe dane osoby, dla której został wystawiony, co wynika z art. 16. RODO – stąd jeśli doszło do zmiany numeru PESEL, w certyfikacie powinna nastąpić modyfikacja danych na prawidłowe
- z opisu sprawy wynika, że Centrum e-Zdrowia miało taką informację, ale z jakichś powodów nie ma możliwości ich zmiany w odpowiednim systemie. Jeżeli tak jest, wówczas dochodziłoby do naruszenia nie tylko art. 16 RODO – bo system nie umożliwia korekty danych na te prawidłowe – lecz także art. 25 ust. 1 RODO, czyli zasady privacy by design
- wygląda na to, że projektując system, nie zapewniono przestrzegania zasad ochrony danych i możliwości ich korekty
Źródło: https://praca.gazetaprawna.pl/artykuly/8242531,paszport-certyfikat-covid-19-zmiana-pesel-rpo.html
Zadośćuczynienie za złamanie RODO bez podatku
- zadośćuczynienie otrzymane w związku z publikacją danych niepublicznej osoby fizycznej przez osobę publiczną są zwolnione z PIT – wyjaśniło Ministerstwo Finansów w odpowiedzi na petycję
- takie zadośćuczynienia otrzymuje się zwykle w drodze sądowej – sąd ocenia, czy faktycznie doszło do ujawnienia danych osobowych, w jakim zakresie, jakie przepisy zostały naruszone, czy przysługuje zadośćuczynienie i w jakiej wysokości
- zgodnie z art. 21 ust. 1 pkt 3b ustawy o PIT wolne od podatku są odszkodowania lub zadośćuczynienia otrzymane na podstawie wyroku lub ugody sądowej do określonej w nich wysokości, z wyjątkiem odszkodowań lub zadośćuczynień otrzymanych w związku z prowadzoną działalnością gospodarczą dotyczących korzyści, które podatnik mógłby osiągnąć, gdyby mu szkody nie wyrządzono
- w związku z tym już teraz od zadośćuczynień za złamanie przepisów RODO nie trzeba płacić podatku
- resort zastrzegł jednak, że ostateczne stanowisko zależy od indywidualnego stanu faktycznego
Źródło: https://podatki.gazetaprawna.pl/artykuly/8238177,zadoscuczynienie-za-zlamanie-rodo-bez-podatku.html
UODO odpowiada na kolejne pytania (1)
Jakie rozwiązania są wystarczające w przypadku wykazu podmiotów podpowierzających?
- przypadku ogólnego upoważnienia podmiot przetwarzający musi poinformować administratora o każdej zmianie podmiotów podprzetwarzających na podstawie pisemnej zgody i umożliwić administratorowi zgłoszenie sprzeciwu
- zaleca się, aby w umowie określono procedurę w tym zakresie
- należy zauważyć, że obowiązek podmiotu przetwarzającego polegający na informowaniu administratora o każdej zmianie podprzetwarzającego oznacza, że podmiot przetwarzający aktywnie wskazuje lub sygnalizuje takie zmiany administratorowi
- nie wystarczy, aby podmiot przetwarzający jedynie zapewnił administratorowi ogólny dostęp do wykazu podprzetwarzających, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego
Źródło: https://uodo.gov.pl/pl/225/2137
Czy broker ubezpieczeniowy ma status administratora?
- zgodnie z art. 27 ust. 1 i 2 ustawy o dystrybucji ubezpieczeń klient udziela brokerowi ubezpieczeniowemu, w formie pisemnej, pełnomocnictwa do wykonywania czynności brokerskich w zakresie ubezpieczeń w imieniu klienta, broker natomiast udostępnia zakładowi ubezpieczeń przy pierwszej czynności należącej do czynności brokerskich w zakresie ubezpieczeń ten dokument pełnomocnictwa
UODO odpowiada na kolejne pytania (2)
- zatem broker działa w imieniu i na rzecz swojego klienta na podstawie udzielonego pełnomocnictwa, ale – na co warto zwrócić uwagę – mandat ten nie jest nakierowany na przetwarzanie danych osobowych
- wykonywanie czynności, które objęte są katalogiem zadań wskazanych w art. 4 ust. 1 pkt 3 ustawy o dystrybucji ubezpieczeń przemawiałoby za traktowaniem brokera – w zakresie przetwarzania danych osobowych w opisanym celu – jako administratora tych danych
Źródło: https://uodo.gov.pl/pl/225/2137
Jaka jest podstawa przetwarzania danych w przypadku monitoringu karier zawodowych studentów?
- zgodnie z brzmieniem art. 352 ust. 14 ustawy z dnia z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce „w celu dostosowania programu studiów do potrzeb rynku pracy uczelnia może prowadzić własny monitoring karier zawodowych swoich absolwentów” – przepis ten nie nakłada na uczelnię obowiązku prowadzenia monitoringu karier, a jedynie daje jej taką możliwość
- wobec powyższego zasadne jest przyjęcie, że podstawą przetwarzania danych absolwentów uczelni wyższej w związku z monitorowaniem karier zawodowych absolwentów w celu dostosowania programu studiów do potrzeb rynku pracy będzie art. 6 ust. 1 lit. e RODO, tj. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
Źródło: https://uodo.gov.pl/pl/225/2138
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.