RODO aktualności – 19.07.2023 r.

KE przyjmuje nową decyzję stwierdzającą adekwatność ochrony transferu danych między UE a USA! NOYB wygrywa: pierwsza duża grzywna (1 mln euro) za korzystanie z Google Analytics (Szwecja). NSA: Dostęp do dokumentacji Wspólnoty nie obejmuje danych jej członków. Meta Platforms przegrywa w TSUE przez wymuszanie zgód (Niemcy). Kara 30 tysięcy złotych dla burmistrza miasta za naruszenie RODO i niewłaściwe zabezpieczenie infrastruktury. Rząd tworzy Krajowe Centrum Przetwarzania Danych. TSUE w swoich ostatnich wyrokach podkreśla znaczenie realizacji prawa dostępu do danych.

WERSJA PDF

#RODOA [04.07.2023]
#RODOA [11.07.2023]
Pobierz PDFPobierz PDF

 

KE przyjmuje nową decyzję stwierdzającą adekwatność ochrony transferu danych między UE a USA!

  • Komisja Europejska przyjęła decyzję stwierdzającą adekwatność ochrony w odniesieniu do ram ochrony danych UE–USA.
  • W decyzji stwierdza się, że Stany Zjednoczone zapewniają odpowiedni poziom ochrony – porównywalny z poziomem Unii Europejskiej – w odniesieniu do danych osobowych przekazywanych z UE amerykańskim firmom na podstawie nowych ram.
  • Na podstawie nowej decyzji stwierdzającej adekwatność ochrony dane osobowe mogą bezpiecznie przepływać z UE do amerykańskich firm, które uczestniczą w tych ramach, i nie jest konieczne wprowadzanie dodatkowych zabezpieczeń w zakresie ochrony danych.
  • Ramy ochrony danych UE–USA wprowadzają nowe wiążące zabezpieczenia, które umożliwiają rozwiązanie wszystkich problemów zgłoszonych przez Trybunał Sprawiedliwości Unii Europejskiej. Chodzi m.in. o ograniczenie dostępu amerykańskich służb wywiadowczych do danych z UE do tego, co jest niezbędne i proporcjonalne, oraz ustanowienie sądu odwoławczego zajmującego się kwestiami ochrony danych (DPRC), do którego osoby fizyczne z UE będą miały dostęp.
  • Nowe ramy wprowadzają znaczne usprawnienia w porównaniu z mechanizmem istniejącym w ramach Tarczy Prywatności. Na przykład jeżeli DPRC stwierdzi, że dane zostały zgromadzone z naruszeniem nowych zabezpieczeń, będzie mógł nakazać usunięcie danych.
  • Amerykańskie firmy mogą uczestniczyć w ramach ochrony danych UE–USA, zobowiązując się do przestrzegania szczegółowego zestawu obowiązków w zakresie ochrony danych. Chodzi tu na przykład o obowiązek usunięcia danych osobowych, gdy nie jest są one już konieczne do celu, w jakim zostały zgromadzone, oraz obowiązek zapewnienia ciągłości ochrony, gdy dane osobowe są udostępniane stronom trzecim.

Żródło: Adekwatność ochrony w odniesieniu do bezpiecznego przepływu danych między UE a USA (europa.eu)

Noyb wygrywa: Pierwsza duża grzywna (1 mln euro) za korzystanie z Google Analytics (Szwecja)

  • W następstwie 101 skarg Noyb na niezgodne z prawem przekazywanie danych między UE a USA, szwedzki organ ochrony danych (IMY) wydał decyzje przeciwko czterem przedsiębiorstwom i nałożył grzywnę w wysokości 12 mln SEK (1 mln euro) na dostawcę usług telekomunikacyjnych Tele2 oraz 300.000 SEK na sprzedawcę internetowego CDON za korzystanie z Google Analytics na swojej stronie internetowej.
  • Chociaż wiele innych europejskich organów (np. Austria, Francja i Włochy) stwierdziło już, że korzystanie z Google Analytics narusza RODO, jest to pierwsza kara finansowa nałożona na firmy za korzystanie z Google Analytics, pomimo orzeczeń TSUE w sprawie przekazywania danych między UE a USA.
  • „Środki uzupełniające” Google niewystarczające. IMY podkreśla, że tak zwane „środki uzupełniające„ w tym stosowane standardowe klauzule umowne nie były wystarczające. Google do tej pory w dużej mierze wskazywał użytkownikom biznesowym w UE na te środki, aby rzekomo przezwyciężyć niedociągnięcia w prawie amerykańskim. Zostało to teraz (ponownie) odrzucone przez organ regulacyjny UE.
  • UE i USA ogłosiły zawarcie nowego porozumienia wiosną 2022 roku. Jak dotąd nie została ona sfinalizowana, ale mówi się, że zostanie wydana w tym miesiącu. Biorąc pod uwagę, że nowa umowa jest strukturalnie taka sama jak dwie poprzednie, jest bardzo prawdopodobne, że TSUE ponownie ją unieważni.

Żródło: noyb wygrywa: Pierwsza poważna grzywna (1 mln euro) za korzystanie z Google Analytics

NSA: Dostęp do dokumentacji wspólnoty nie obejmuje danych jej członków

  • Każdemu współwłaścicielowi przysługuje prawo dostępu do dokumentacji związanej z zarządem nieruchomością wspólną. Nie rodzi to jednak uprawnienia do żądania udostępnienia danych osobowych wszystkich członków wspólnoty. Uzasadnieniem dla ich przekazania nie może być też chęć osobistego kontaktu z sąsiadami, w celu omówienia bieżących spraw wspólnoty. Tak orzekł Naczelny Sąd Administracyjny.
  • Wnioskodawczyni zwróciła się o udostępnienie danych osobowych członków wspólnoty mieszkaniowej w zakresie ich imion, nazwisk oraz adresów zamieszkania. Argumentowała, że informacje te są niezbędne do skorzystania przez nią z uprawnień do kontroli sposobu zarządzania nieruchomością wspólnoty na podstawie art. 29 ust. 3 ustawy o własności lokali, który stanowi, że prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu.
  • Przedsiębiorca, któremu powierzono zarząd tą nieruchomością, nie zgodził się z tą argumentacją i odmówił udostępnienia danych. Sprawą zajęły się kolejno PUODO, WSA i NSA oddalając skargi.
  • Naczelny Sąd Administracyjny wskazał, że art. 6 ust. 1 RODO upoważnia administratora danych do ich przetwarzania, w czym mieści się też ich udostępnianie, jeżeli jest to niezbędne z uwagi na obowiązek wynikający z przepisu prawa. Niemniej takim przepisem nie może być art. 29 ust. 3 ustawy o własności lokali. Nie można wywieść z tego przepisu uprawnienia do żądania podania danych osobowych wszystkich członków wspólnoty. Sąd podkreślił, że uzyskanie takich informacji nie stanowi elementu kontroli nad wykonywaniem zarządu, ponieważ członkowie wspólnoty uczestniczą w jej zarządzie wyłącznie w formie określonej przepisami ustawy o własności lokali, podejmując stosowne uchwały.

Żródło: Nie można udostępnić danych członków wspólnoty mieszkaniowej – wyrok (prawo.pl)

Meta Platforms przegrywa w TSUE przez wymuszanie zgód (Niemcy)

  • Meta Platforms Inc. Facebook przegrała w Trybunale Sprawiedliwości Unii Europejskiej sprawę o uchylenie przełomowej decyzji niemieckiego urzędu antymonopolowego, która narzuciła gigantowi konieczność przeglądu jego modelu biznesowego.
  • Facebook zbiera dane o działaniach użytkowników w ramach sieci społecznościowej i poza nią, a także łączy je z kontami użytkowników na FB. W przypadku tych ostatnich danych, zwanych również „danymi off-Facebook”, chodzi o informacje, jakie strony internetowe przeglądała i z jakich aplikacji korzystała dana osoba oraz o dane dotyczące korzystania z innych należących do grupy Meta usług internetowych (takich jak Instagram czy WhatsApp). Zebrane w ten sposób informacje o użytkownikach FB umożliwiają w szczególności personalizowanie kierowanych do nich komunikatów reklamowych.
  • TSUE orzekł, że niemieckie Federalne Biuro Antymonopolowe nie przekroczyło swoich uprawnień, nakładając w 2019 roku na Meta Platforms Ireland zakaz używania w umowach z użytkownikami prywatnymi w Niemczech klauzul uzależniających możliwość korzystania z Facebooka od zgody na przetwarzanie ich danych off-Facebook. Urząd uzasadnił swoją decyzję faktem, że takie przetwarzanie danych, z powodu niezgodności z ogólnym rozporządzeniem o ochronie danych (RODO), stanowi nadużycie pozycji dominującej zajmowanej przez Meta Platforms Ireland na rynku internetowych sieci społecznościowych,.
  • Zdaniem TSUE może mieć wpływ na istniejącą po stronie użytkowników swobodę wyboru i skutkować brakiem równowagi między osobą, której dane dotyczą a administratorem, stanowi ono element istotny dla ustalenia tego, czy zgoda ta została rzeczywiście udzielona skutecznie i – w szczególności – dobrowolnie.

Żródło: Ile może Facebook w UE? Meta Platforms przegrała w TSUE – rp.pl

Kara 30 tysięcy złotych dla burmistrza miasta za naruszenie RODO i niewłaściwe zabezpieczenie infrastruktury

  • 30 tys. zł kary ma zapłacić burmistrz miasta Z. za dobór nieskutecznych zabezpieczeń dla wykorzystywanego w urzędzie systemu informatycznego oraz za ich nieprzetestowanie. To efekt ataku typu ransomware z czerwca ubiegłego roku, w wyniku którego doszło do wycieku danych 9400 mieszkańców.
  • Główną przyczyną ataku była niezaktualizowana baza wirusów.
  • Co więcej, administrator danych przeprowadził w sposób nierzetelny analizę ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), a także wdrożył niepełne środki techniczne i organizacyjne, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych – informuje UODO. Efektem tego było przełamanie zabezpieczeń wykorzystywanego przez administratora systemu informatycznego, a następnie zaszyfrowanie przetwarzanych w nim danych z użyciem złośliwego oprogramowania.
  • W trakcie postępowania ustalono, że system operacyjny, zainstalowany przez administratora na serwerze, w czasie wystąpienia naruszenia ochrony danych osobowych, nie miał wsparcia producenta. Co więcej – administrator jeszcze przed wystąpieniem naruszenia ochrony danych osobowych zidentyfikował ryzyko związane z wykorzystywaniem przestarzałego oprogramowania, jednak i tak go nie aktualizował.
  • Ponadto, serwer, na którym miała być wykonana dodatkowa kopia danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych. Administrator odzyskał dane dopiero po prawie trzech miesiącach.
  • „Testowanie, mierzenie i ocenianie zastosowanych zabezpieczeń, musi być dokonywane w sposób regularny, nie może mieć charakteru jednorazowego” – przypomina UODO.
  • Żródło: RODO: nieaktualna baza wirusów uderzy burmistrza po kieszeni – rp.pl

Rząd tworzy Krajowe Centrum Przetwarzania Danych

  • Krajowe Centrum Przetwarzania Danych ma wzmocnić bezpieczeństwo cybernetyczne zasobów administracji rządowej, nawet podczas prób cyberataków czy przerw w dostawach prądu.
  • Koszt inwestycji to prawie 1 mld zł. Nowa instytucja ma zapewnić bezpieczną lokalizację dla rejestrów państwowych i chmury rządowej.
  • Przepisy umożliwiające budowę państwowych data center są coraz bliżej wprowadzenia. Sejm odrzucił część poprawek Senatu do ustawy przewidującej budowę Krajowego Centrum Przetwarzania Danych.
  • Celem jest poprawa bezpieczeństwa infrastruktury krytycznej i dostępności e-usług administracji. Na początek mają powstać trzy data center o powierzchni 2 tys. mkw, połączone światłowodami z dwiema niezależnymi drogami komunikacji. Mają umożliwić kolokację i rozbudowę dotychczasowych systemów państwowych, a także zabezpieczenie przestrzeni serwerowej na potrzeby nowych systemów.
  • Krajowe Centrum Przetwarzania Danych miałoby odpowiadać m.in. za bezpieczne i stabilne zwiększenie dostępności e-usług świadczonych przez podmioty publiczne, podniesienie bezpieczeństwa systemów informatycznych w administracji publicznej, standaryzację bezpieczeństwa przetwarzania, składowania i przesyłania danych znajdujących się w posiadaniu administracji rządowej, zapewnienie bezpiecznej lokalizacji dla rejestrów państwowych i chmury rządowej.

Żródło: Krajowe Centrum Przetwarzania Danych przepisy (prawo.pl)

TSUE w swoich ostatnich wyrokach podkreśla znaczenie realizacji prawa dostępu do danych

Berliński organ ochrony danych przygotował kilka słów wyjaśnień na ten temat. W ocenie organu:

  • Jeśli pewne elementy prawa dostępu nie mają zastosowania, np. dane nie są przekazywane do państw trzecich, należy to wyraźnie stwierdzić w odpowiedzi na wniosek, a nie tylko pominąć milczeniem.
  • Samo odniesienie do polityki prywatności jako odpowiedź na wniosek o realizacje prawa dostępu do danych jest niewystarczające,- poszczególne fragmenty polityki prywatności mogą być cytowane w odpowiedzi administratora tylko przy omawianiu ogólnych informacji, takich jak prawo do złożenia skargi do organu nadzorczego.
  • W przypadkach, w których przetwarzane są duże ilości danych, administratorzy mogą realizować prawo dostępu w sposób stopniowy – początkowo przekazując informacje lub dane dotyczące każdego podmiotu danych, których dane przetwarzają, jednocześnie pytając wnioskodawcę o pożądany poziom szczegółowości.
  • Jeśli ujawnienie danych obejmuje wewnętrzne kody lub skróty, które mogą być trudne do rozszyfrowania, administrator danych powinien zapewnić dodatkowe wyjaśnienia. Nie może to jednak zmuszać wnioskodawcy do zaangażowania się w żmudne zadania tłumaczeniowe, aby zrozumieć i zweryfikować szczegóły odpowiedzi administratora. Czytelność obejmuje również wizualną reprezentację ujawnianych danych.

Żródło: https://www.linkedin.com/posts/mateusz-kupiec-cipp-e-289700121_gdpr-dataprotection-privacy-activity-7084070332747137025-ktL1?utm_source=share&utm_medium=member_desktop

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.
RODO aktualności
RODO aktualności – 18.01.2024

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO