RODO aktualności – 21.12.2021 r.

• z jednej strony w Europie Zachodniej od kilku już lat wymagano tzw. zgody aktywnej na instalowanie plików cookies, czyli nie wystarczyło takie ustawienie przeglądarki internetowej, by ta dopuszczała ciasteczka, trzeba było kliknąć „zgadzam się” – z drugiej strony, w Polsce obowiązuje art. 173 ust. 2 Prawa telekomunikacyjnego, który dopuszcza wyrażenie zgody na instalowanie plików cookies przez ustawienia przeglądarki – czyli zgoda jest wyrażana jednorazowo przy konfigurowaniu oprogramowania, a nie aktywnie w stosunku do każdego dostawcy, który korzysta z technologii cookies
• eksperci wskazują, że mogło dojść do pomieszania dwóch kwestii: zgody na instalowanie plików cookies ze zgodą na przetwarzanie danych osobowych – o ile ta pierwsza może być wyrażona przez ustawienia przeglądarki, a prezes UODO nie może ignorować obowiązujących przepisów (a jeżeli to robi, to powinien jednak to wyjaśnić, dlaczego odmawia mocy obowiązującej art. 173 ust. 2 Prawa telekomunikacyjnego), o tyle ta druga musi być aktywna i spełniać pozostałe wymagania stawiane przez RODO

Źródło: https://www.prawo.pl/biznes/cookies-czy-samo-ustawienie-przegladarki-wystarczy,512328.html

• członek zarządu spółki nie ma prawa domagać się usunięcia swych danych z bazy przedsiębiorców – uznał NSA, nawet gdy chodzi o historyczne informacje.
• precedensowy wyrok NSA powinien raz na zawsze uciąć spekulacje dotyczące danych pozyskiwanych z publicznie dostępnych rejestrów, takich jak Krajowy Rejestr Sądowy
• po pierwsze, w wyroku przesądza się, że pozyskanie danych osobowych z rejestru publicznego i następnie wykorzystywanie tych danych w prowadzonej przez siebie i zgodnej z prawem działalności mieści się w granicach przesłanki prawnie uzasadnionego interesu
• po drugie, sąd podkreślił, że dla oceny istnienia uzasadnionego interesu nie ma znaczenia, czy dane są wykorzystywane do działalności odpłatnej czy nie
• NSA w swym wyroku zważył dwie wartości – z jednej strony prawo do prywatności członka zarządu spółki, z drugiej zaś prawo obywateli do informacji publicznej oraz pewność obrotu gospodarczego – szala przechyliła się na rzecz tych ostatnich wartości

• dlatego też skład orzekający uznał, że Fundacja Moje Państwo, która udostępnia rejestr spółek, stowarzyszeń i fundacji, ma uzasadniony interes w przetwarzaniu danych osób zasiadających dziś czy też w przeszłości w ich władzach
• spór o prawo do przetwarzania tych danych rozpoczął się w 2019 r., kiedy to członek zarządu jednej ze spółek handlowych zażądał od Fundacji Moje Państwo, by ta przestała przetwarzać jego dane (w tym numer PESEL) i wykasowała je z prowadzonego przez siebie serwisu internetowego Rejestr.io
• administrator odmówił uwzględnienia wniosku o wykasowanie danych – Prezes Urzędu Ochrony Danych Osobowych, do którego trafiła skarga mężczyzny, również uznał, że fundacja posiada uzasadniony interes w przetwarzaniu tych danych
• sądy, najpierw Wojewódzki Sąd Administracyjny w Warszawie, a teraz NSA w pełni zgodziły się z tą decyzją

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8308177,nsa-fundacji-moje-panstwo-rejestr-io-dane-osobowe.html

• jeśli nie ma konfliktu interesów i przeciążenia pracą, to IOD może też być specjalistą ds. zgodności
• UODO podkreśla, że przepisy dyrektywy ws. sygnalistów nie regulują kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami – dlatego każda jednostka będzie musiała sama ocenić, czy w przypadku jej inspektora jest to możliwe
• nie jest to jednak wykluczone, bo z art. 38 ust. 6 RODO wynika, że IOD może wykonywać inne zadania i obowiązki – o ile administrator lub podmiot przetwarzający zapewnią, że nie spowodują one konfliktu interesów
• konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację
• konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu na ich wykonanie
• dodatkowo, przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/8309734,jesli-nie-ma-konfliktu-interesow-i-przeciazenia-praca-to-iod-moze-tez-byc-specjalista-ds-zgodnosci.html

• w opiece zdrowotnej informacje muszą być odpowiednio zabezpieczone i chronione, a jednocześnie powinna być możliwość wykorzystania ich do celów statystycznych i naukowych
• dane medyczne podlegają regulacjom RODO, które mają na celu zapewnienie prywatności pacjentów – pierwszym ważnym krokiem do przestrzegania tych przepisów, a także do uwzględnienia obaw związanych z prywatnością, jest rozwój anonimizacji danych
• w rozwoju procesu anonimizacji danych medycznych może pomóc sztuczna inteligencja, która ma potencjał zrewolucjonizować opiekę zdrowotną
• nadmierna anonimizacja sprawia, że dane tracą swoją użyteczność – głównym problemem w szpitalach jest obawa przed cyberatakami, placówki medyczne są przestraszone, że może dojść do wycieku danych i identyfikacji, więc starają się zabezpieczyć dane tak bardzo, jak tylko jest to możliwe i często przyczynia się to do tego, że dane są pozbawione wartości, która mogłaby przydać się w analizach i badaniach
• sztuczna inteligencja może pomóc w szyfrowaniu danych, aby nie traciły swojej wartości i były odpowiednio zabezpieczone przed hakerami

Źródło: https://serwisy.gazetaprawna.pl/zdrowie/artykuly/8310264,sztuczna-inteligencja-pomaga-chronic-dane-medyczne.html

• w czasie korzystania z urządzeń mobilnych bardzo często udostępniamy informacje o swojej aktywności w Internecie, w tym swoje dane osobowe, które są następnie wykorzystywane do przedstawiania nam spersonalizowanych reklam. Informacje o nas mogą zbierać – i przekazywać innym podmiotom – zarówno twórcy aplikacji, jak i autorzy systemów operacyjnych
• Prezes UOKiK wszczął postępowanie wyjaśniające w związku ze zmianą zasad polityki prywatności i przetwarzania danych osobowych na urządzeniach marki Apple
• dotyczy to wszystkich produktów z systemami operacyjnymi: iOS 14.5, iPadOS 14.5, tvOS 14.5 oraz ich późniejszych wersji
• na podstawie analizowanej zmiany rozszerzone zostały obowiązki w zakresie konieczności uzyskania przez aplikacje zgody na śledzenie aktywności użytkowników – w praktyce oznacza to, że na systemach operacyjnych iOS znacząco ograniczona została możliwość pozyskiwania danych osobowych celem wysyłania spersonalizowanych reklam przez aplikacje zewnętrznych firm
• nie oznacza to jednak, że informacje o użytkownikach przestały być zbierane i nie otrzymują oni zindywidualizowanych reklam – pojawiły się jednocześnie wątpliwości czy ustanowione przez Apple zasady nie miały na celu promocji własnej usługi reklamowej Apple Search Ads, co mogłoby naruszać reguły konkurencji
• postępowanie wyjaśniające prowadzone jest w sprawie, a nie przeciwko konkretnym przedsiębiorcom

Źródło: https://www.dlahandlu.pl/detal-hurt/wiadomosci/prezes-uokik-wszczyna-postepowanie-ws-urzadzen-apple,104168.html

• około 25 tys. osób przystąpiło do zbiorowego pozwu przeciwko holenderskiemu resortowi zdrowia w związku z kradzieżą danych osobowych pacjentów – do incydentu doszło na początku roku
• pracownicy call center przychodni GGD pobierali z systemów prywatne dane osób, które poddały się testowi na obecność Covid-19 i sprzedawali je na czarnym rynku – informował wówczas portal RTL Nieuws
• teraz fundacja ICAM wystąpiła w imieniu tysięcy poszkodowanych do sądu i domaga się odszkodowania w wysokości 1,5 tys. euro dla osób, których dane zostały skradzione oraz 500 euro dla tych, których dane znajdowały się w systemach GGD i „były narażone na kradzież”
• pozew jest skierowany przeciwko ministerstwu zdrowia, ponieważ resort jest „odpowiedzialny za projektowanie systemów informatycznych wykorzystywanych przez GGD” – twierdzą przedstawiciele fundacji

Źródło: https://cyberdefence24.pl/polityka-i-prawo/zbiorowy-pozew-przeciwko-holenderskiemu-resortowi-zdrowia-chodzi-o-kradziez-danych

• projekt ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19 trafił do Sejmu
• na jego podstawie firmy zyskają podstawę do pozyskiwania takich wrażliwych danych, w tym również od klientów (na potrzeby przestrzegania ograniczeń w działalności wprowadzonych w związku z pandemią)
• zgodnie z projektowanymi regulacjami firma będzie mogła żądać od pracownika (lub zatrudnionego na umowie cywilnoprawnej) okazania negatywnego wyniku testu wykonanego nie wcześniej niż 48 godzin przed udostępnieniem pracodawcy – z obowiązku tego będą zwolnieni zaszczepieni i ozdrowieńcy
• plusem jest możliwość weryfikacji szczepień przez aplikację, a nie okazywanie wydruku, który jest mało wiarygodny
• minusem może być jest na pewno zbyt krótki termin przechowywania danych, czyli nie dłużej niż do upływu okresu obowiązywania stanu zagrożenia epidemicznego lub epidemii – pracownicy mogą przedstawiać roszczenia np. z tytułu mobbingu, które będą się przedawniały już po upływie obowiązywania wspomnianych stanów

Źródło: https://praca.gazetaprawna.pl/artykuly/8315567,szczepienia-pracodawcy-weryfikacja-przeniesienie-na-inne-stanowisko-uprawnienia.html https://www.prawo.pl/biznes/jak-liczyc-zaszczepionych-do-limitow,512345.html

• po konsultacjach publicznych EROD przyjęła ostateczną wersję Wytycznych w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych
• dokument uzupełnia wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych poprzez wprowadzenie bardziej ukierunkowanych na praktyki wytycznych i zaleceń
• najnowsze wytyczne mają pomóc administratorom w podejmowaniu decyzji o tym, jak postępować w przypadku naruszeń ochrony danych i jakie czynniki należy wziąć pod uwagę podczas oceny ryzyka

Źródło: https://uodo.gov.pl/pl/138/2235

• nie ma prawnego zakazu nagrywania rozmów – nawet gdy nagrywana strona o tym nie wie
• takich nagrań nie można jednak udostępniać publicznie, a to, czy ewentualnie można użyć ich jako dowodu w sprawie, rozstrzygnie każdorazowo sąd – oczywiście, w sytuacjach spornych może z tego skorzystać i rodzic, i nauczyciel
• bywa, że nie da się przedstawić innego dowodu, jeżeli w grę wchodzą sprawy w rodzaju „słowo przeciwko słowu„ – w takich sytuacjach sądy łagodniej podchodzą do dopuszczenia dowodu z nagrania
• w polskim systemie prawnym nie występuje aspekt tzw. owoców zatrutego drzewa, czyli brak możliwości wykorzystania w sprawie nielegalnie zdobytych dowodów – taki dowód może być więc brany pod uwagę przed sąd, natomiast wszystko zależy od tego, czego dotyczy sprawa i oczywiście samo nagranie
• w grę wchodzić może również złamanie RODO, bo takie upublicznienie w sieci przekracza zakres osobistego użytku – rodzi to pytanie o podstawę prawną, a w takim wypadku raczej nie da się jej wykazać, nie będzie nią to, że chcemy pokazać w internecie czyjeś zachowanie
• w przypadku nauczyciela nie będzie zasadny argument o tym, że pełni on funkcję publiczną

Źródło: https://www.prawo.pl/oswiata/prawo-nie-zakazuje-rodzicowi-nagrac-rozmowy-z-nauczycielem,131269.html

• chodzi o art. 1515 Kodeksu pracy dotyczący dyżuru pracowniczego – zgodnie z tym przepisem pracodawca może zobowiązać pracownika do pozostawania poza normalnymi godzinami pracy w gotowości do wykonywania pracy wynikającej z umowy o pracę w zakładzie pracy lub w innym miejscu wyznaczonym przez pracodawcę (dyżur)
• ustawodawca, w ten sposób normując ten rodzaj dyżuru uznał, że pracownik ma dużą swobodę w dysponowaniu swoim czasem i może go spędzać niemal dowolnie
• na pracowniku spoczywa bowiem wiele obowiązków – musi on umożliwić pracodawcy wezwanie go do pracy (np. przez posiadanie przy sobie włączonego telefonu komórkowego), ponadto w przypadku wezwania musi stawić się do pracy w stanie psychofizycznym umożliwiającym jej podjęcie
• należy zatem przyjąć, że dyżur domowy ingeruje w swobodę i prywatne życie pracownika – brak jakiejkolwiek kompensaty za świadczenie takiego dyżuru nie wydaje się sprawiedliwym rozwiązaniem

Źródło: https://www.prawo.pl/kadry/dyzur-domowy-przepis-do-zmiany,512364.html

• prace nad skierowanymi przez prezydenta do Sejmu projektami dotyczącymi wprowadzenia sądów pokoju nabierają tempa – pojawiła się m.in. opinia Prezesa Urzędu Ochrony Danych Osobowych
• w opinii przesłanej do Sejmu organ zwraca uwagę na ryzyko poważnego naruszenia praw osób, które zdecydują się kandydować na sędziów pokoju
• chodzi o przepisy dotyczące postępowania z listami kandydatów na ten urząd – zgodnie z nimi wpis na listę obejmować ma nie tylko imię i nazwisko startującego w wyborach, ale także jego numer PESEL
• z kolei inny przepis mówi o tym, że lista taka będzie dostępna w Biuletynie Informacji Publicznej na stronie Krajowej Rady Sądownictwa, a to oznacza, że będą one de facto jawne i publicznie dostępne
• „Sytuacja taka rodziłaby poważne zagrożenia dla prywatności tych osób, związane z ryzykiem utraty tożsamości, jak również nieuprawnionym (bez ich wiedzy i zgody) profilowaniem, czemu sprzyja unikalność numeru PESEL i szereg dodatkowych informacji, jaką ta dana niesie, tj. wiek czy płeć osoby” – pisze Jan Nowak
• Prezes UODO dodaje, że ustawa o ewidencji ludności nie przewiduje jawności i powszechnej dostępności numeru PESEL, a wręcz przeciwnie, zawiera wiele warunków co do jego udostępnienia

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8317424,sady-pokoju-rodo-kandydaci-na-sedziow-pokoju-numer-pesel.html