RODO aktualności – 20.04.2022 r.

• WSA w wyroku z 26 stycznia 2022 r. zgodził się z całą argumentacją, jaką przedstawił organ nadzorczy w decyzji nakładającej administracyjną karę pieniężną w wysokości 100 tys. zł na KSSIP w związku z naruszeniem ochrony danych
• w sprawie tej doszło do ujawnienia danych osobowych związanych z domeną kssip.gov.pl. – w wyniku nieupoważnionego dostępu do pliku z kopią bazy danych nieznane osoby ujawniły te dane w Internecie
• kopia powstała w związku z testową migracją do nowej platformy szkoleniowej – KSSIP starała się udowodnić, że odpowiedzialność za wskazany incydent spoczywa na podmiocie przetwarzającym
• WSA podkreślił jednak, że UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana – nawet jak pracownik podmiotu przetwarzającego nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji czy wskazana lokalizacja zapewnia bezpieczeństwo
• to administrator jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania
• zarzuty UODO dotyczące braków kompleksowych postanowień w umowie powierzenia przetwarzania danych również zostały podzielone
• WSA nie zgodził się z zarzutem skarżącego, że postępowanie przed UODO powinno być zawieszone do czasu zakończenia postępowania karnego wszczętego w związku z naruszeniem

Źródło: https://uodo.gov.pl/pl/138/2342

• podczas 63. posiedzenia plenarnego w dniu 6 kwietnia br. EROD przyjęła oświadczenie 01/2022 w sprawie ogłoszenia porozumienia zasadniczego w sprawie nowych Transatlantyckich Ram Ochrony Prywatności Danych
• EROD z zadowoleniem przyjęła zobowiązanie USA do podjęcia „bezprecedensowych” środków ochrony prywatności i danych osobowych osób z EOG, podczas przekazywania ich danych do USA, uznając je za pozytywny pierwszy krok we właściwym kierunku
• ogłoszenie to nie stanowi ram prawnych, na podstawie których podmioty przekazujące dane osobowe poza EOG mogą przekazywać dane do USA – podmioty przekazujące dane muszą nadal podejmować działania niezbędne do zachowania zgodności z orzecznictwem TSUE, a w szczególności z decyzją w sprawie Schrems II z 16 lipca 2020 r.
• RODO wymaga, aby Komisja zasięgnęła opinii EROD przed przyjęciem ewentualnej nowej decyzji stwierdzającej odpowiedni stopień ochrony danych, uznającej stopień ochrony danych gwarantowany przez władze USA za zadowalający
• Rada zapowiedziała, że zbada, jak to porozumienie polityczne przekłada się na konkretne propozycje prawne, by zapewnić pewność prawną osobom fizycznym z EOG i podmiotom przekazującym dane
• ponadto Rada podczas 63. posiedzenia przyjęła pismo w sprawie niezależności belgijskiego organu nadzorczego, w którym wyraziła zaniepokojenie ostatnimi zmianami legislacyjnymi w Belgii, mającymi na celu reformę prawa ustanawiającego belgijski organ nadzorczy – daniem EROD, zmiany te mogą negatywnie wpłynąć na stabilność i niezależne funkcjonowanie tego organu

Źródło: https://uodo.gov.pl/pl/138/2360

• RPO interweniuje u premiera w sprawie zintegrowanej platformy analitycznej – uważa, że rozporządzenie, którego projekt przygotował rząd, będzie niekonstytucyjne.
• zintegrowana platforma analityczna ma pozwolić na łączenie i analizę danych zebranych z większości państwowych baz – wskazano je w projekcie rozporządzenia przygotowanego przez ministra cyfryzacji – chodzi m.in. o bazy: ZUS, NFZ, PESEL czy Krajową Ewidencję Podatników
• pierwotnie miały to być również dane GUS, ale usunięto je z projektu.
• „Przetwarzanie przez organy państwa nakładanych na siebie olbrzymich zestawów danych może przywoływać skojarzenia z systemem kontroli społecznej, który obecnie jest domeną Chińskiej Republiki Ludowej” – napisał w piśmie do premiera i zarazem ministra cyfryzacji Marcin Wiącek, rzecznik praw obywatelskich
• RPO zwraca uwagę na niekonstytucyjność projektowanych przepisów, tego rodzaju materii, jego zdaniem, nie można określać rozporządzeniem – chodzi bowiem o wskazanie szerokiego zakresu danych, co można uczynić wyłącznie w ustawie, ten sam argument wskazał wcześniej w swej opinii zarówno prezes Urzędu Ochrony Danych Osobowych, jak i inni eksperci
• autorzy projektu nie zgadzają się z tym zarzutem – zwracają uwagę, że ZPA jest tworzone na podstawie przepisów rozdziału 3b ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8398884,dane-laczenie-danych-obywatele-obawy-rpo.html

• wyszukiwarka ma obowiązek sprawdzić, czy link prowadzi do nieprawdziwych informacji – żądając jego usunięcia, trzeba to jednak uprawdopodobnić, wskazując wszystkie okoliczności
• już w 2014 r. w głośnej sprawie Google Spain TSUE potwierdził, że użytkownicy mają prawo do bycia zapomnianym, w ramach którego mogą się domagać od wyszukiwarki usunięcia linków prowadzących do informacji na ich temat
• sprawa, którą teraz ma rozstrzygnąć, idzie jednak dalej – jak wyważyć dwie sprzeczne wartości: z jednej strony prawo ludzi do informacji, z drugiej zaś prawo do prywatności
• pytania prejudycjalne dotyczą menedżera, który zajmuje odpowiedzialne stanowiska w różnych spółkach oferujących usługi finansowe – pewien serwis internetowy opublikował trzy artykuły, w których wyrażono zastrzeżenia co do modelu inwestycyjnego tych spółek, tekstom towarzyszyły zdjęcia za kierownicą luksusowych samochodów czy przed samolotem czarterowym, co mogło wywoływać wrażenie, jakoby menedżer żyje na koszt spółek
• menedżer powiadomił o tym Google’a, domagając się, by z wyników wyszukiwania z użyciem jego nazwiska usunięto linki odsyłające do artykułów o nim
• Google odmówił, wskazując na kontekst zawodowy, w jaki wpisują się sporne artykuły i zdjęcia, oraz powołując się na swoją niewiedzę co do nieprawdziwości zawartych w nich informacji

• Rzecznik generalny TSUE uznał, że wyszukiwarka jest zobowiązana do zweryfikowania twierdzeń osoby domagającej się usunięcia linków – przy czym samo wysunięcie przez nią żądań to za mało
• otrzymawszy taki wniosek, operator wyszukiwarki, ze względu na rolę, jaką odgrywa w rozpowszechnianiu informacji, musi zweryfikować jego zasadność – można tego dokonać czy to na podstawie danych dostępnych dla Google’a, czy też wykorzystując dostępne narzędzia technologiczne
• ponadto konieczne jest skonfrontowanie stanowisk spornych stron i skontaktowanie się z wydawcą strony, która rozpowszechniła kwestionowane treści. Wreszcie operator wyszukiwarki musi podjąć decyzję, czy usuwa link, czy też tego nie robi, i poinformować o tym wnioskodawcę, podając zwięzłe uzasadnienie swej decyzji
• w tej samej sprawie TSUE ma rozstrzygnąć problem dotyczący wniosków o usunięcie miniaturek zdjęć, które wyświetlają się po wpisaniu imienia i nazwiska – tu chodziło o wspomniane fotografie, sugerujące nadmierne bogactwo menedżera

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8398363,prawo-do-bycia-zapomnianym-google-weryfikacja-stron.html

• Klarna to firma finansowa, która przetwarza dane osobowe wielu osób i na wiele różnych sposobów – ważne jest, aby informacje, które przekazuje o tym, jak firma przetwarza dane osobowe, były poprawne i jak najbardziej kompletne
• w trakcie dochodzenia Klarna stale zmieniała przekazywane informacje o tym, jak firma przetwarza dane osobowe
• decyzja Szwedzkiego Urzędu Ochrony Prywatności (IMY) dotyczy informacji przekazanych wiosną 2020 roku
• Klarna nie podała informacji w jakim celu i podstawie prawnej przetwarzano dane osobowe w jednym z serwisów firmy – firma dostarczyła również niepełne i wprowadzające w błąd informacje o tym, kto był odbiorcą różnych kategorii danych osobowych, gdy dane były udostępniane szwedzkim i zagranicznym firmom zajmującym się informacjami kredytowymi
• Klarna nie dostarczyła również informacji o tym, do jakich krajów spoza UE/EOG zostały przekazane dane osobowe ani o tym, gdzie i jak osoby fizyczne mogą uzyskać informacje o zabezpieczeniach stosowanych w przypadku przekazywania do państw trzecich
• IMY zwraca również uwagę, że firma przekazała niepełne informacje o prawach osób, których dane dotyczą, w tym o prawie do usunięcia danych, prawie do przenoszenia danych oraz prawie do sprzeciwu wobec sposobu przetwarzania danych osobowych
• Klarna nie spełniła podstawowej zasady przejrzystości i prawa osób, których dane dotyczą, do informacji –IMY nałożył grzywnę administracyjną w wysokości około 724 000 EUR za uchybienia wykryte podczas dochodzenia

Źródło: https://edpb.europa.eu/news/national-news/2022/swedish-authority-privacy-protection-imy-issues-administrative-fine-against_en

• dochodzenie zostało wszczęte w związku z 22 zawiadomieniami o naruszeniu danych osobowych, które Bank of Ireland Group plc (BOI) skierował do Komisji Ochrony Danych (DPC) w okresie od 9 listopada 2018 r. do 27 czerwca 2019 r.
• zawiadomienia związane były z uszkodzeniem informacji w przesyłanie danych do Centralnego Rejestru Kredytów (CCR), scentralizowanego systemu, który gromadzi i bezpiecznie przechowuje informacje o pożyczkach
• incydenty obejmowały nieuprawnione ujawnienie danych osobowych klientów do CCR oraz przypadkowe zmiany danych osobowych klientów w CCR
• BOI naruszył m.in.: artykuł 33 RODO poprzez przez niezgłoszenie naruszenia danych osobowych bez zbędnej zwłoki oraz przez nieprzekazanie przez wystarczających szczegółów w odniesieniu do niektórych naruszeń ochrony danych osobowych
• naruszony został również, art. 34 RODO w zakresie niepodejmowania przez BOI komunikacji z osobami, których dane dotyczą, bez zbędnej zwłoki w okolicznościach, w których naruszenia mogłyby skutkować wysokim ryzykiem naruszenia praw i wolności tych osób
• BOI naruszył również art. 32 ust. 1 RODO gdyż nie wdrożył odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa adekwatny do ryzyka, jakie stwarza przetwarzanie danych klientów w przekazywaniu informacji do CCR
• organ nadzorczy nałożył kary administracyjne o całkowitej kwocie 463 000 euro

Źródło: https://edpb.europa.eu/news/national-news/2022/irish-sa-inquiry-bank-ireland-group_en