RODO aktualności – 14.09.2021 r.

• po opuszczeniu Unii Europejskiej, Wielka Brytania rezygnuje z RODO – jak wskazał brytyjski minister kultury Oliver Dowden – „koniec z irytującymi komunikatami o ciasteczkach i pytaniami o zgodę na przetwarzanie danych”
• nowe regulacje ochrony danych i prywatności oparte mają być „na zdrowym rozsądku”, a nie na „odhaczaniu okienek”
• wszelkie nowe ramy prawne RODO, na jakie zdecyduje się Wielka Brytania, będą ograniczone przez regułę adekwatności ustanowioną przez Unię Europejską, która – jeśli uchwalone przez Zjednoczone Królestwo prawo nie będzie spełniało określonych wymogów – może zamrozić transfer danych pomiędzy krajami UE a Wyspami
• celem wprowadzenia zmian nastąpi zmiana na stanowisku komisarza ds. informacji (ICO)
• „Reforma oznacza zmiany w naszym własnym prawie, które będzie oparte na zdrowym rozsądku, nie odhaczaniu okienek. Oznacza to, że w ICO będziemy mieli lidera, który będzie prowadził nas w nową erę wzrostu i innowacji opartych na danych” – powiedział Dowden
• nowe reguły mają być ukłonem w stronę biznesu
• „Rząd chce priorytetowo traktować wzrost, szczególnie startupów i małych firm, a także przyspieszenie odkryć naukowych i pracę nad ulepszeniem usług publicznych” – dodał Dowden

Źródło: https://www.cyberdefence24.pl/wlk-brytania-rezygnuje-z-rodo-to-duze-zmiany-w-ochronie-prywatnosci

• na stronie Urzędu Ochrony Danych Osobowych opublikowano sprawozdanie Prezesa #UODO za rok 2020, ze sprawozdania wynika m.in., że organ w 2020:
• dokonał analizy 7507 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych
• wydał 13 decyzji administracyjnych w związku ze stwierdzeniem naruszenia ochrony danych osobowych
• wszczął z urzędu 28 postępowań administracyjnych w sprawie naruszenia przepisów o ochronie danych osobowych w związku z przypadkami naruszenia ochrony danych osobowych
• w sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały do niego : jednostki samorządu terytorialnego – 382, służby mundurowe – 163, administracja rządowa – 133
• został poinformowany w 224 przypadkach o zdarzeniach naruszających bezpieczeństwo danych przez podmioty inne niż administratorzy danych np. przez przypadkowych odbiorców

Źródło: https://uodo.gov.pl/437

• Chiny uchwaliły swoją pierwszą kompleksową ustawę regulującą ochronę danych osobowych – Ustawę o ochronie danych osobowych w Chińskiej Republice Ludowej (Personal Information Protection Law of the People’s Republic of China, PIPL)
• PIPL wejdzie w życie 1 listopada 2021 r.
• część rozwiązań PIPL w pewnym zakresie przypomina rozwiązania znane z RODO – np. oba akty mają zasięg eksterytorialny, zapewniają różne prawa podmiotom danych osobowych, nakładają wysokie kary administracyjne (PIPL ustala karę do 50 mln RMB lub 5% rocznego przychodu ) za naruszenia oraz nakładają solidarną odpowiedzialność na podmioty, które wspólnie prowadzą czynności przetwarzania danych
• PIPL zachowuje jednak unikalne cechy chińskie, odzwierciedlające podejście regulacyjne rządu do danych osobowych, zwłaszcza z perspektywy transgranicznego przekazywania danych osobowych i systemu rozstrzygania sporów w interesie publicznym
• oprócz ochrony praw i interesów podmiotów danych osobowych, PIPL ma również na celu ochronę bezpieczeństwa narodowego i interesów publicznych

Źródło: www.mondaq.com/china/data-protection/1107816/china-passed-personal-information-protection-law-how-should-we-view-this-chinese-gdpr

• po dokonaniu oceny EROD wyraziła opinię, że irlandzki organ nadzorczy powinien zmienić swój projekt decyzji w odniesieniu do naruszeń zasady przejrzystości, obliczania kary pieniężnej oraz okresu realizacji nakazu przestrzegania przepisów
• jeśli chodzi o zasadę przejrzystości, EROD zidentyfikowała dodatkowe braki w dostarczonych informacjach, które wpływają na zdolność użytkowników do zrozumienia, jakie prawnie uzasadnione interesy są realizowane
• w odniesieniu do nałożonej kary pieniężnej i jej obliczenia EROD zdecydowała, że obrót przedsiębiorstwa nie jest istotny wyłącznie dla określenia maksymalnej wysokości kary pieniężnej – może być on również uwzględniony przy obliczaniu samej kary, w stosownych przypadkach, aby zapewnić jej skuteczność, proporcjonalność i odstraszający charakter
• w tym przypadku EROD stwierdziła, że skonsolidowany obrót spółki dominującej należy uwzględnić przy obliczaniu obrotu
• ponadto EROD po raz pierwszy przedstawiła wyjaśnienie dotyczące interpretacji art. 83 ust. 3 RODO. W przypadku wielu naruszeń dotyczących tych samych lub powiązanych operacji przetwarzania danych przy obliczaniu wysokości kary pieniężnej należy wziąć pod uwagę wszystkie naruszenia
• projekt decyzji irlandzkiego organu zawierał ponadto nakaz dostosowania operacji przetwarzania do wymogów w terminie sześciu miesięcy – organ został poproszony o zmianę terminu na dostosowanie się do wymogów na okres trzech miesięcy

Źródło: https://uodo.gov.pl/pl/138/2136

• do biura RPO zgłosiła się kobieta, która zaszczepiła się, dzięki czemu uzyskała Unijny Certyfikat COVIDC – następnie doszło u niej do zmiany numeru PESEL
• okazało się, że nowy numer identyfikacyjny zaktualizował się w prawie wszystkich publicznych systemach – prawie, bowiem z Internetowego Konta Pacjenta zniknął certyfikat szczepienia, zaś Centrum e-Zdrowia odmówiło „przepisania” go na nowe dane
• Centrum e-Zdrowia wskazało, że obecnie nie ma możliwości przepisania dokumentacji medycznej dotyczącej szczepień na nowo nadany numer PESEL
• z punktu widzenia przepisów RODO certyfikat COVID powinien zawierać prawidłowe dane osoby, dla której został wystawiony, co wynika z art. 16. RODO – stąd jeśli doszło do zmiany numeru PESEL, w certyfikacie powinna nastąpić modyfikacja danych na prawidłowe
• z opisu sprawy wynika, że Centrum e-Zdrowia miało taką informację, ale z jakichś powodów nie ma możliwości ich zmiany w odpowiednim systemie. Jeżeli tak jest, wówczas dochodziłoby do naruszenia nie tylko art. 16 RODO – bo system nie umożliwia korekty danych na te prawidłowe – lecz także art. 25 ust. 1 RODO, czyli zasady privacy by design
• wygląda na to, że projektując system, nie zapewniono przestrzegania zasad ochrony danych i możliwości ich korekty

Źródło: https://praca.gazetaprawna.pl/artykuly/8242531,paszport-certyfikat-covid-19-zmiana-pesel-rpo.html

• zadośćuczynienie otrzymane w związku z publikacją danych niepublicznej osoby fizycznej przez osobę publiczną są zwolnione z PIT – wyjaśniło Ministerstwo Finansów w odpowiedzi na petycję
• takie zadośćuczynienia otrzymuje się zwykle w drodze sądowej – sąd ocenia, czy faktycznie doszło do ujawnienia danych osobowych, w jakim zakresie, jakie przepisy zostały naruszone, czy przysługuje zadośćuczynienie i w jakiej wysokości
• zgodnie z art. 21 ust. 1 pkt 3b ustawy o PIT wolne od podatku są odszkodowania lub zadośćuczynienia otrzymane na podstawie wyroku lub ugody sądowej do określonej w nich wysokości, z wyjątkiem odszkodowań lub zadośćuczynień otrzymanych w związku z prowadzoną działalnością gospodarczą dotyczących korzyści, które podatnik mógłby osiągnąć, gdyby mu szkody nie wyrządzono
• w związku z tym już teraz od zadośćuczynień za złamanie przepisów RODO nie trzeba płacić podatku
• resort zastrzegł jednak, że ostateczne stanowisko zależy od indywidualnego stanu faktycznego

Źródło: https://podatki.gazetaprawna.pl/artykuly/8238177,zadoscuczynienie-za-zlamanie-rodo-bez-podatku.html

Jakie rozwiązania są wystarczające w przypadku wykazu podmiotów podpowierzających?

• przypadku ogólnego upoważnienia podmiot przetwarzający musi poinformować administratora o każdej zmianie podmiotów podprzetwarzających na podstawie pisemnej zgody i umożliwić administratorowi zgłoszenie sprzeciwu
• zaleca się, aby w umowie określono procedurę w tym zakresie
• należy zauważyć, że obowiązek podmiotu przetwarzającego polegający na informowaniu administratora o każdej zmianie podprzetwarzającego oznacza, że podmiot przetwarzający aktywnie wskazuje lub sygnalizuje takie zmiany administratorowi
• nie wystarczy, aby podmiot przetwarzający jedynie zapewnił administratorowi ogólny dostęp do wykazu podprzetwarzających, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego

Źródło: https://uodo.gov.pl/pl/225/2137

Czy broker ubezpieczeniowy ma status administratora?

• zgodnie z art. 27 ust. 1 i 2 ustawy o dystrybucji ubezpieczeń klient udziela brokerowi ubezpieczeniowemu, w formie pisemnej, pełnomocnictwa do wykonywania czynności brokerskich w zakresie ubezpieczeń w imieniu klienta, broker natomiast udostępnia zakładowi ubezpieczeń przy pierwszej czynności należącej do czynności brokerskich w zakresie ubezpieczeń ten dokument pełnomocnictwa

• zatem broker działa w imieniu i na rzecz swojego klienta na podstawie udzielonego pełnomocnictwa, ale – na co warto zwrócić uwagę – mandat ten nie jest nakierowany na przetwarzanie danych osobowych
• wykonywanie czynności, które objęte są katalogiem zadań wskazanych w art. 4 ust. 1 pkt 3 ustawy o dystrybucji ubezpieczeń przemawiałoby za traktowaniem brokera – w zakresie przetwarzania danych osobowych w opisanym celu – jako administratora tych danych

Źródło: https://uodo.gov.pl/pl/225/2137

Jaka jest podstawa przetwarzania danych w przypadku monitoringu karier zawodowych studentów?

• zgodnie z brzmieniem art. 352 ust. 14 ustawy z dnia z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce „w celu dostosowania programu studiów do potrzeb rynku pracy uczelnia może prowadzić własny monitoring karier zawodowych swoich absolwentów” – przepis ten nie nakłada na uczelnię obowiązku prowadzenia monitoringu karier, a jedynie daje jej taką możliwość
• wobec powyższego zasadne jest przyjęcie, że podstawą przetwarzania danych absolwentów uczelni wyższej w związku z monitorowaniem karier zawodowych absolwentów w celu dostosowania programu studiów do potrzeb rynku pracy będzie art. 6 ust. 1 lit. e RODO, tj. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

Źródło: https://uodo.gov.pl/pl/225/2138