W jaki sposób należy wyrażać zgodę na pliki cookies? Czy przedsiębiorca może żądać usunięcia historycznych danych swojej spółki z bazy danych? Czy IOD może być specjalistą ds. zgodności? Czy sztuczna inteligencja może pomóc chronić dane medyczne? Dlaczego Apple zmieniło swoją politykę prywatności i przetwarzania danych? Jak potoczyła się sprawa kradzieży danych osobowych z holenderskiego resortu zdrowia? Jak wygląda projekt ustawy w sprawie weryfikacji szczepień przeciwko COVID-19? Co zawierają wytyczne EROD w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych? Czy nagrywanie i udostępnianie rozmów rodzica z nauczycielem jest zgodne z prawem? Czy dyżury „pod telefonem” ingerują w życie prywatne pracownika? Na jakie ryzyko narażone są osoby, które kandydują na sędziów pokoju?
MULTIMEDIA | |
---|---|
#RODOA [13.12.2021] | #RODOA [20.12.2021] |
Obejrzyj na YouTube | |
Pobierz PDF | Pobierz PDF |
Prezes UODO: internauta musi wyrazić zgodę na cookies w sposób aktywny (1)
- Prezes UODO udzielił firmie upomnienia, a także nakazał usunięcie danych osobowych dotyczących adresu IP oraz sztucznie nadanego ID z cookies – spółka ma również poinformować podmioty którym udostępniła dane osobowe o ich usunięciu
- według Prezesa UODO, odwiedzający stronę nie zmienił ustawień swojej przeglądarki internetowej – zgoda miała więc charakter bierny i milczący – nie spełnia więc warunków wynikających z art. 4 pkt 11 RODO, tj. wymogu dobrowolności świadomości, jednoznaczności oraz konkretności
- Prezes powołał się również na wyrok TSUE w sprawie Planet49 – mówi on o wymogu aktywnego i wyraźnego działania ze strony użytkownika, którego dane będą podlegać przetwarzaniu
- Prezes UODO miał również zastrzeżenia dotyczące obowiązków informacyjnych wynikających z instalowania i udostępniania plików cookies na urządzeniach użytkowników witryny internetowej
- spółka nie zgadza się rozstrzygnięciem urzędu i wniosła skargę do WSA – ma wątpliwości, czy aby na pewno UODO jest właściwy w zakresie oceny zgodności jej działania z wymogami określonymi w Prawie telekomunikacyjnym, czy właściwe jest nakazanie poinformowania odbiorców danych, gdy wskazane podmioty samodzielnie pozyskały informacje o IP i ID cookies i nie dochodzi do operacji ich „ujawnienia” (np. Google) oraz czy nakazanie ich usunięcia (żeby było to możliwe, konieczna byłaby ingerencja w urządzenie końcowe użytkownika, czyli skarżącego), wymagają interwencji na poziomie wyższej instancji
Prezes UODO: internauta musi wyrazić zgodę na cookies w sposób aktywny (2)
- z jednej strony w Europie Zachodniej od kilku już lat wymagano tzw. zgody aktywnej na instalowanie plików cookies, czyli nie wystarczyło takie ustawienie przeglądarki internetowej, by ta dopuszczała ciasteczka, trzeba było kliknąć „zgadzam się” – z drugiej strony, w Polsce obowiązuje art. 173 ust. 2 Prawa telekomunikacyjnego, który dopuszcza wyrażenie zgody na instalowanie plików cookies przez ustawienia przeglądarki – czyli zgoda jest wyrażana jednorazowo przy konfigurowaniu oprogramowania, a nie aktywnie w stosunku do każdego dostawcy, który korzysta z technologii cookies
- eksperci wskazują, że mogło dojść do pomieszania dwóch kwestii: zgody na instalowanie plików cookies ze zgodą na przetwarzanie danych osobowych – o ile ta pierwsza może być wyrażona przez ustawienia przeglądarki, a prezes UODO nie może ignorować obowiązujących przepisów (a jeżeli to robi, to powinien jednak to wyjaśnić, dlaczego odmawia mocy obowiązującej art. 173 ust. 2 Prawa telekomunikacyjnego), o tyle ta druga musi być aktywna i spełniać pozostałe wymagania stawiane przez RODO
Źródło: https://www.prawo.pl/biznes/cookies-czy-samo-ustawienie-przegladarki-wystarczy,512328.html
Historyczne dane nie znikną z baz przedsiębiorców - precedensowy wyrok NSA (1)
- członek zarządu spółki nie ma prawa domagać się usunięcia swych danych z bazy przedsiębiorców – uznał NSA, nawet gdy chodzi o historyczne informacje.
- precedensowy wyrok NSA powinien raz na zawsze uciąć spekulacje dotyczące danych pozyskiwanych z publicznie dostępnych rejestrów, takich jak Krajowy Rejestr Sądowy
- po pierwsze, w wyroku przesądza się, że pozyskanie danych osobowych z rejestru publicznego i następnie wykorzystywanie tych danych w prowadzonej przez siebie i zgodnej z prawem działalności mieści się w granicach przesłanki prawnie uzasadnionego interesu
- po drugie, sąd podkreślił, że dla oceny istnienia uzasadnionego interesu nie ma znaczenia, czy dane są wykorzystywane do działalności odpłatnej czy nie
- NSA w swym wyroku zważył dwie wartości – z jednej strony prawo do prywatności członka zarządu spółki, z drugiej zaś prawo obywateli do informacji publicznej oraz pewność obrotu gospodarczego – szala przechyliła się na rzecz tych ostatnich wartości
Historyczne dane nie znikną z baz przedsiębiorców - precedensowy wyrok NSA (2)
- dlatego też skład orzekający uznał, że Fundacja Moje Państwo, która udostępnia rejestr spółek, stowarzyszeń i fundacji, ma uzasadniony interes w przetwarzaniu danych osób zasiadających dziś czy też w przeszłości w ich władzach
- spór o prawo do przetwarzania tych danych rozpoczął się w 2019 r., kiedy to członek zarządu jednej ze spółek handlowych zażądał od Fundacji Moje Państwo, by ta przestała przetwarzać jego dane (w tym numer PESEL) i wykasowała je z prowadzonego przez siebie serwisu internetowego Rejestr.io
- administrator odmówił uwzględnienia wniosku o wykasowanie danych – Prezes Urzędu Ochrony Danych Osobowych, do którego trafiła skarga mężczyzny, również uznał, że fundacja posiada uzasadniony interes w przetwarzaniu tych danych
- sądy, najpierw Wojewódzki Sąd Administracyjny w Warszawie, a teraz NSA w pełni zgodziły się z tą decyzją
IOD może też być specjalistą ds. zgodności
- jeśli nie ma konfliktu interesów i przeciążenia pracą, to IOD może też być specjalistą ds. zgodności
- UODO podkreśla, że przepisy dyrektywy ws. sygnalistów nie regulują kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami – dlatego każda jednostka będzie musiała sama ocenić, czy w przypadku jej inspektora jest to możliwe
- nie jest to jednak wykluczone, bo z art. 38 ust. 6 RODO wynika, że IOD może wykonywać inne zadania i obowiązki – o ile administrator lub podmiot przetwarzający zapewnią, że nie spowodują one konfliktu interesów
- konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację
- konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu na ich wykonanie
- dodatkowo, przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania
Sztuczna inteligencja pomaga chronić dane medyczne
- w opiece zdrowotnej informacje muszą być odpowiednio zabezpieczone i chronione, a jednocześnie powinna być możliwość wykorzystania ich do celów statystycznych i naukowych
- dane medyczne podlegają regulacjom RODO, które mają na celu zapewnienie prywatności pacjentów – pierwszym ważnym krokiem do przestrzegania tych przepisów, a także do uwzględnienia obaw związanych z prywatnością, jest rozwój anonimizacji danych
- w rozwoju procesu anonimizacji danych medycznych może pomóc sztuczna inteligencja, która ma potencjał zrewolucjonizować opiekę zdrowotną
- nadmierna anonimizacja sprawia, że dane tracą swoją użyteczność – głównym problemem w szpitalach jest obawa przed cyberatakami, placówki medyczne są przestraszone, że może dojść do wycieku danych i identyfikacji, więc starają się zabezpieczyć dane tak bardzo, jak tylko jest to możliwe i często przyczynia się to do tego, że dane są pozbawione wartości, która mogłaby przydać się w analizach i badaniach
- sztuczna inteligencja może pomóc w szyfrowaniu danych, aby nie traciły swojej wartości i były odpowiednio zabezpieczone przed hakerami
Prezes UOKiK wszczyna postępowanie ws. urządzeń Apple
- w czasie korzystania z urządzeń mobilnych bardzo często udostępniamy informacje o swojej aktywności w Internecie, w tym swoje dane osobowe, które są następnie wykorzystywane do przedstawiania nam spersonalizowanych reklam. Informacje o nas mogą zbierać – i przekazywać innym podmiotom – zarówno twórcy aplikacji, jak i autorzy systemów operacyjnych
- Prezes UOKiK wszczął postępowanie wyjaśniające w związku ze zmianą zasad polityki prywatności i przetwarzania danych osobowych na urządzeniach marki Apple
- dotyczy to wszystkich produktów z systemami operacyjnymi: iOS 14.5, iPadOS 14.5, tvOS 14.5 oraz ich późniejszych wersji
- na podstawie analizowanej zmiany rozszerzone zostały obowiązki w zakresie konieczności uzyskania przez aplikacje zgody na śledzenie aktywności użytkowników – w praktyce oznacza to, że na systemach operacyjnych iOS znacząco ograniczona została możliwość pozyskiwania danych osobowych celem wysyłania spersonalizowanych reklam przez aplikacje zewnętrznych firm
- nie oznacza to jednak, że informacje o użytkownikach przestały być zbierane i nie otrzymują oni zindywidualizowanych reklam – pojawiły się jednocześnie wątpliwości czy ustanowione przez Apple zasady nie miały na celu promocji własnej usługi reklamowej Apple Search Ads, co mogłoby naruszać reguły konkurencji
- postępowanie wyjaśniające prowadzone jest w sprawie, a nie przeciwko konkretnym przedsiębiorcom
Zbiorowy pozew przeciwko holenderskiemu resortowi zdrowia - chodzi o kradzież danych
- około 25 tys. osób przystąpiło do zbiorowego pozwu przeciwko holenderskiemu resortowi zdrowia w związku z kradzieżą danych osobowych pacjentów – do incydentu doszło na początku roku
- pracownicy call center przychodni GGD pobierali z systemów prywatne dane osób, które poddały się testowi na obecność Covid-19 i sprzedawali je na czarnym rynku – informował wówczas portal RTL Nieuws
- teraz fundacja ICAM wystąpiła w imieniu tysięcy poszkodowanych do sądu i domaga się odszkodowania w wysokości 1,5 tys. euro dla osób, których dane zostały skradzione oraz 500 euro dla tych, których dane znajdowały się w systemach GGD i „były narażone na kradzież”
- pozew jest skierowany przeciwko ministerstwu zdrowia, ponieważ resort jest „odpowiedzialny za projektowanie systemów informatycznych wykorzystywanych przez GGD” – twierdzą przedstawiciele fundacji
Projekt ustawy w sprawie weryfikacji szczepień
- projekt ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19 trafił do Sejmu
- na jego podstawie firmy zyskają podstawę do pozyskiwania takich wrażliwych danych, w tym również od klientów (na potrzeby przestrzegania ograniczeń w działalności wprowadzonych w związku z pandemią)
- zgodnie z projektowanymi regulacjami firma będzie mogła żądać od pracownika (lub zatrudnionego na umowie cywilnoprawnej) okazania negatywnego wyniku testu wykonanego nie wcześniej niż 48 godzin przed udostępnieniem pracodawcy – z obowiązku tego będą zwolnieni zaszczepieni i ozdrowieńcy
- plusem jest możliwość weryfikacji szczepień przez aplikację, a nie okazywanie wydruku, który jest mało wiarygodny
- minusem może być jest na pewno zbyt krótki termin przechowywania danych, czyli nie dłużej niż do upływu okresu obowiązywania stanu zagrożenia epidemicznego lub epidemii – pracownicy mogą przedstawiać roszczenia np. z tytułu mobbingu, które będą się przedawniały już po upływie obowiązywania wspomnianych stanów
Źródło: https://praca.gazetaprawna.pl/artykuly/8315567,szczepienia-pracodawcy-weryfikacja-przeniesienie-na-inne-stanowisko-uprawnienia.html https://www.prawo.pl/biznes/jak-liczyc-zaszczepionych-do-limitow,512345.html
Wytyczne EROD ws. przykładów dotyczących zgłaszania naruszeń ochrony danych przyjęte
- po konsultacjach publicznych EROD przyjęła ostateczną wersję Wytycznych w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych
- dokument uzupełnia wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych poprzez wprowadzenie bardziej ukierunkowanych na praktyki wytycznych i zaleceń
- najnowsze wytyczne mają pomóc administratorom w podejmowaniu decyzji o tym, jak postępować w przypadku naruszeń ochrony danych i jakie czynniki należy wziąć pod uwagę podczas oceny ryzyka
Źródło: https://uodo.gov.pl/pl/138/2235
Rodzic może nagrać rozmowę z nauczycielem, ale jej udostępnianie zabronione
- nie ma prawnego zakazu nagrywania rozmów – nawet gdy nagrywana strona o tym nie wie
- takich nagrań nie można jednak udostępniać publicznie, a to, czy ewentualnie można użyć ich jako dowodu w sprawie, rozstrzygnie każdorazowo sąd – oczywiście, w sytuacjach spornych może z tego skorzystać i rodzic, i nauczyciel
- bywa, że nie da się przedstawić innego dowodu, jeżeli w grę wchodzą sprawy w rodzaju „słowo przeciwko słowu„ – w takich sytuacjach sądy łagodniej podchodzą do dopuszczenia dowodu z nagrania
- w polskim systemie prawnym nie występuje aspekt tzw. owoców zatrutego drzewa, czyli brak możliwości wykorzystania w sprawie nielegalnie zdobytych dowodów – taki dowód może być więc brany pod uwagę przed sąd, natomiast wszystko zależy od tego, czego dotyczy sprawa i oczywiście samo nagranie
- w grę wchodzić może również złamanie RODO, bo takie upublicznienie w sieci przekracza zakres osobistego użytku – rodzi to pytanie o podstawę prawną, a w takim wypadku raczej nie da się jej wykazać, nie będzie nią to, że chcemy pokazać w internecie czyjeś zachowanie
- w przypadku nauczyciela nie będzie zasadny argument o tym, że pełni on funkcję publiczną
Źródło: https://www.prawo.pl/oswiata/prawo-nie-zakazuje-rodzicowi-nagrac-rozmowy-z-nauczycielem,131269.html
Dyżur pod telefonem to ingerencja w prywatne życie pracownika
- chodzi o art. 1515 Kodeksu pracy dotyczący dyżuru pracowniczego – zgodnie z tym przepisem pracodawca może zobowiązać pracownika do pozostawania poza normalnymi godzinami pracy w gotowości do wykonywania pracy wynikającej z umowy o pracę w zakładzie pracy lub w innym miejscu wyznaczonym przez pracodawcę (dyżur)
- ustawodawca, w ten sposób normując ten rodzaj dyżuru uznał, że pracownik ma dużą swobodę w dysponowaniu swoim czasem i może go spędzać niemal dowolnie
- na pracowniku spoczywa bowiem wiele obowiązków – musi on umożliwić pracodawcy wezwanie go do pracy (np. przez posiadanie przy sobie włączonego telefonu komórkowego), ponadto w przypadku wezwania musi stawić się do pracy w stanie psychofizycznym umożliwiającym jej podjęcie
- należy zatem przyjąć, że dyżur domowy ingeruje w swobodę i prywatne życie pracownika – brak jakiejkolwiek kompensaty za świadczenie takiego dyżuru nie wydaje się sprawiedliwym rozwiązaniem
Źródło: https://www.prawo.pl/kadry/dyzur-domowy-przepis-do-zmiany,512364.html
Projekt o sądach pokoju – każdy będzie mógł poznać numer PESEL kandydata
- prace nad skierowanymi przez prezydenta do Sejmu projektami dotyczącymi wprowadzenia sądów pokoju nabierają tempa – pojawiła się m.in. opinia Prezesa Urzędu Ochrony Danych Osobowych
- w opinii przesłanej do Sejmu organ zwraca uwagę na ryzyko poważnego naruszenia praw osób, które zdecydują się kandydować na sędziów pokoju
- chodzi o przepisy dotyczące postępowania z listami kandydatów na ten urząd – zgodnie z nimi wpis na listę obejmować ma nie tylko imię i nazwisko startującego w wyborach, ale także jego numer PESEL
- z kolei inny przepis mówi o tym, że lista taka będzie dostępna w Biuletynie Informacji Publicznej na stronie Krajowej Rady Sądownictwa, a to oznacza, że będą one de facto jawne i publicznie dostępne
- „Sytuacja taka rodziłaby poważne zagrożenia dla prywatności tych osób, związane z ryzykiem utraty tożsamości, jak również nieuprawnionym (bez ich wiedzy i zgody) profilowaniem, czemu sprzyja unikalność numeru PESEL i szereg dodatkowych informacji, jaką ta dana niesie, tj. wiek czy płeć osoby” – pisze Jan Nowak
- Prezes UODO dodaje, że ustawa o ewidencji ludności nie przewiduje jawności i powszechnej dostępności numeru PESEL, a wręcz przeciwnie, zawiera wiele warunków co do jego udostępnienia
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.