RODO aktualności – 19.07.2023 r.

• W następstwie 101 skarg Noyb na niezgodne z prawem przekazywanie danych między UE a USA, szwedzki organ ochrony danych (IMY) wydał decyzje przeciwko czterem przedsiębiorstwom i nałożył grzywnę w wysokości 12 mln SEK (1 mln euro) na dostawcę usług telekomunikacyjnych Tele2 oraz 300.000 SEK na sprzedawcę internetowego CDON za korzystanie z Google Analytics na swojej stronie internetowej.
• Chociaż wiele innych europejskich organów (np. Austria, Francja i Włochy) stwierdziło już, że korzystanie z Google Analytics narusza RODO, jest to pierwsza kara finansowa nałożona na firmy za korzystanie z Google Analytics, pomimo orzeczeń TSUE w sprawie przekazywania danych między UE a USA.
• „Środki uzupełniające” Google niewystarczające. IMY podkreśla, że tak zwane „środki uzupełniające„ w tym stosowane standardowe klauzule umowne nie były wystarczające. Google do tej pory w dużej mierze wskazywał użytkownikom biznesowym w UE na te środki, aby rzekomo przezwyciężyć niedociągnięcia w prawie amerykańskim. Zostało to teraz (ponownie) odrzucone przez organ regulacyjny UE.
• UE i USA ogłosiły zawarcie nowego porozumienia wiosną 2022 roku. Jak dotąd nie została ona sfinalizowana, ale mówi się, że zostanie wydana w tym miesiącu. Biorąc pod uwagę, że nowa umowa jest strukturalnie taka sama jak dwie poprzednie, jest bardzo prawdopodobne, że TSUE ponownie ją unieważni.

Żródło: noyb wygrywa: Pierwsza poważna grzywna (1 mln euro) za korzystanie z Google Analytics

• Każdemu współwłaścicielowi przysługuje prawo dostępu do dokumentacji związanej z zarządem nieruchomością wspólną. Nie rodzi to jednak uprawnienia do żądania udostępnienia danych osobowych wszystkich członków wspólnoty. Uzasadnieniem dla ich przekazania nie może być też chęć osobistego kontaktu z sąsiadami, w celu omówienia bieżących spraw wspólnoty. Tak orzekł Naczelny Sąd Administracyjny.
• Wnioskodawczyni zwróciła się o udostępnienie danych osobowych członków wspólnoty mieszkaniowej w zakresie ich imion, nazwisk oraz adresów zamieszkania. Argumentowała, że informacje te są niezbędne do skorzystania przez nią z uprawnień do kontroli sposobu zarządzania nieruchomością wspólnoty na podstawie art. 29 ust. 3 ustawy o własności lokali, który stanowi, że prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu.
• Przedsiębiorca, któremu powierzono zarząd tą nieruchomością, nie zgodził się z tą argumentacją i odmówił udostępnienia danych. Sprawą zajęły się kolejno PUODO, WSA i NSA oddalając skargi.
• Naczelny Sąd Administracyjny wskazał, że art. 6 ust. 1 RODO upoważnia administratora danych do ich przetwarzania, w czym mieści się też ich udostępnianie, jeżeli jest to niezbędne z uwagi na obowiązek wynikający z przepisu prawa. Niemniej takim przepisem nie może być art. 29 ust. 3 ustawy o własności lokali. Nie można wywieść z tego przepisu uprawnienia do żądania podania danych osobowych wszystkich członków wspólnoty. Sąd podkreślił, że uzyskanie takich informacji nie stanowi elementu kontroli nad wykonywaniem zarządu, ponieważ członkowie wspólnoty uczestniczą w jej zarządzie wyłącznie w formie określonej przepisami ustawy o własności lokali, podejmując stosowne uchwały.

Żródło: Nie można udostępnić danych członków wspólnoty mieszkaniowej – wyrok (prawo.pl)

• Meta Platforms Inc. Facebook przegrała w Trybunale Sprawiedliwości Unii Europejskiej sprawę o uchylenie przełomowej decyzji niemieckiego urzędu antymonopolowego, która narzuciła gigantowi konieczność przeglądu jego modelu biznesowego.
• Facebook zbiera dane o działaniach użytkowników w ramach sieci społecznościowej i poza nią, a także łączy je z kontami użytkowników na FB. W przypadku tych ostatnich danych, zwanych również „danymi off-Facebook”, chodzi o informacje, jakie strony internetowe przeglądała i z jakich aplikacji korzystała dana osoba oraz o dane dotyczące korzystania z innych należących do grupy Meta usług internetowych (takich jak Instagram czy WhatsApp). Zebrane w ten sposób informacje o użytkownikach FB umożliwiają w szczególności personalizowanie kierowanych do nich komunikatów reklamowych.
• TSUE orzekł, że niemieckie Federalne Biuro Antymonopolowe nie przekroczyło swoich uprawnień, nakładając w 2019 roku na Meta Platforms Ireland zakaz używania w umowach z użytkownikami prywatnymi w Niemczech klauzul uzależniających możliwość korzystania z Facebooka od zgody na przetwarzanie ich danych off-Facebook. Urząd uzasadnił swoją decyzję faktem, że takie przetwarzanie danych, z powodu niezgodności z ogólnym rozporządzeniem o ochronie danych (RODO), stanowi nadużycie pozycji dominującej zajmowanej przez Meta Platforms Ireland na rynku internetowych sieci społecznościowych,.
• Zdaniem TSUE może mieć wpływ na istniejącą po stronie użytkowników swobodę wyboru i skutkować brakiem równowagi między osobą, której dane dotyczą a administratorem, stanowi ono element istotny dla ustalenia tego, czy zgoda ta została rzeczywiście udzielona skutecznie i – w szczególności – dobrowolnie.

Żródło: Ile może Facebook w UE? Meta Platforms przegrała w TSUE – rp.pl

• 30 tys. zł kary ma zapłacić burmistrz miasta Z. za dobór nieskutecznych zabezpieczeń dla wykorzystywanego w urzędzie systemu informatycznego oraz za ich nieprzetestowanie. To efekt ataku typu ransomware z czerwca ubiegłego roku, w wyniku którego doszło do wycieku danych 9400 mieszkańców.
• Główną przyczyną ataku była niezaktualizowana baza wirusów.
• Co więcej, administrator danych przeprowadził w sposób nierzetelny analizę ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), a także wdrożył niepełne środki techniczne i organizacyjne, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych – informuje UODO. Efektem tego było przełamanie zabezpieczeń wykorzystywanego przez administratora systemu informatycznego, a następnie zaszyfrowanie przetwarzanych w nim danych z użyciem złośliwego oprogramowania.
• W trakcie postępowania ustalono, że system operacyjny, zainstalowany przez administratora na serwerze, w czasie wystąpienia naruszenia ochrony danych osobowych, nie miał wsparcia producenta. Co więcej – administrator jeszcze przed wystąpieniem naruszenia ochrony danych osobowych zidentyfikował ryzyko związane z wykorzystywaniem przestarzałego oprogramowania, jednak i tak go nie aktualizował.
• Ponadto, serwer, na którym miała być wykonana dodatkowa kopia danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych. Administrator odzyskał dane dopiero po prawie trzech miesiącach.
• „Testowanie, mierzenie i ocenianie zastosowanych zabezpieczeń, musi być dokonywane w sposób regularny, nie może mieć charakteru jednorazowego” – przypomina UODO.
• Żródło: RODO: nieaktualna baza wirusów uderzy burmistrza po kieszeni – rp.pl

• Krajowe Centrum Przetwarzania Danych ma wzmocnić bezpieczeństwo cybernetyczne zasobów administracji rządowej, nawet podczas prób cyberataków czy przerw w dostawach prądu.
• Koszt inwestycji to prawie 1 mld zł. Nowa instytucja ma zapewnić bezpieczną lokalizację dla rejestrów państwowych i chmury rządowej.
• Przepisy umożliwiające budowę państwowych data center są coraz bliżej wprowadzenia. Sejm odrzucił część poprawek Senatu do ustawy przewidującej budowę Krajowego Centrum Przetwarzania Danych.
• Celem jest poprawa bezpieczeństwa infrastruktury krytycznej i dostępności e-usług administracji. Na początek mają powstać trzy data center o powierzchni 2 tys. mkw, połączone światłowodami z dwiema niezależnymi drogami komunikacji. Mają umożliwić kolokację i rozbudowę dotychczasowych systemów państwowych, a także zabezpieczenie przestrzeni serwerowej na potrzeby nowych systemów.
• Krajowe Centrum Przetwarzania Danych miałoby odpowiadać m.in. za bezpieczne i stabilne zwiększenie dostępności e-usług świadczonych przez podmioty publiczne, podniesienie bezpieczeństwa systemów informatycznych w administracji publicznej, standaryzację bezpieczeństwa przetwarzania, składowania i przesyłania danych znajdujących się w posiadaniu administracji rządowej, zapewnienie bezpiecznej lokalizacji dla rejestrów państwowych i chmury rządowej.

Żródło: Krajowe Centrum Przetwarzania Danych przepisy (prawo.pl)

Berliński organ ochrony danych przygotował kilka słów wyjaśnień na ten temat. W ocenie organu:

• Jeśli pewne elementy prawa dostępu nie mają zastosowania, np. dane nie są przekazywane do państw trzecich, należy to wyraźnie stwierdzić w odpowiedzi na wniosek, a nie tylko pominąć milczeniem.
• Samo odniesienie do polityki prywatności jako odpowiedź na wniosek o realizacje prawa dostępu do danych jest niewystarczające,- poszczególne fragmenty polityki prywatności mogą być cytowane w odpowiedzi administratora tylko przy omawianiu ogólnych informacji, takich jak prawo do złożenia skargi do organu nadzorczego.
• W przypadkach, w których przetwarzane są duże ilości danych, administratorzy mogą realizować prawo dostępu w sposób stopniowy – początkowo przekazując informacje lub dane dotyczące każdego podmiotu danych, których dane przetwarzają, jednocześnie pytając wnioskodawcę o pożądany poziom szczegółowości.
• Jeśli ujawnienie danych obejmuje wewnętrzne kody lub skróty, które mogą być trudne do rozszyfrowania, administrator danych powinien zapewnić dodatkowe wyjaśnienia. Nie może to jednak zmuszać wnioskodawcy do zaangażowania się w żmudne zadania tłumaczeniowe, aby zrozumieć i zweryfikować szczegóły odpowiedzi administratora. Czytelność obejmuje również wizualną reprezentację ujawnianych danych.

Żródło: https://www.linkedin.com/posts/mateusz-kupiec-cipp-e-289700121_gdpr-dataprotection-privacy-activity-7084070332747137025-ktL1?utm_source=share&utm_medium=member_desktop