RODO aktualności – 22.02.2022 r.

Jakie konsekwencje niesie za sobą brak współpracy z UODO? Co zawiera nowa wersja kodeksu ochrony danych osobowych? Dlaczego korzystanie z Google Analytics może naruszać RODO? Czy odciski palców na dowodach osobistych są zgodne z RODO? Jak wyglądają statystyki płatności kar UODO? Jakie zmiany niesie za sobą unijne prawo dotyczące transferu danych między UE a USA? Czy RODO chroni dane zwierząt? Czego dotyczy pierwsze skoordynowane dochodzenie EROD? Jaka kara i za co została nałożona przez UODO na Enel Energię? Czego dowiemy się z najnowszego newslettera UODO?

MULTIMEDIA

#RODOA [14.02.2022]
#RODOA [21.02.2022]
Pobierz PDFPobierz PDF

#RODOA do odsłuchania / obejrzenia


#RODOA do przeczytania

Niepodejmowanie korespondencji z UODO, też świadczy o braku współpracy

  • brak współpracy z organem nadzorczym polegający na niezapewnieniu dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań doprowadził do nałożenia na Pactum Poland Sp. z o.o. administracyjnej kary pieniężnej
  • kwota ponad 18 tys. zł została już zapłacona
  • UODO, aby ustalić stan faktyczny sprawy zainicjowanej skargą, zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy
  • z czterech wysłanych Spółce wezwań, ta odebrała tylko jedno, na które jednak nie odpowiedziała
  • zdaniem UODO nieudzielenie odpowiedzi na zawarte w odebranym przez Spółkę piśmie pytania, a także nieodbieranie pozostałych wezwań, wskazują na brak woli do współpracy w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu
  • zachowanie Spółki w postaci nieudzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy stanowi naruszenie obowiązku zapewnienia organowi nadzorczemu dostępu do informacji – takie działanie nie tylko stoi na przeszkodzie wnikliwemu rozpatrzeniu sprawy, ale skutkuje również nadmiernym i nieuzasadnionym przedłużaniem postępowania

Źródło: https://uodo.gov.pl/pl/138/2302 https://www.uodo.gov.pl/decyzje/DKE.561.16.2021

Druga wersja kodeksu ochrony danych osobowych w marketingu bezpośrednim

  • w styczniu opublikowano drugą wersję kodeksu ochrony danych osobowych w marketingu bezpośrednim, którego autorem jest Polskie Stowarzyszenie Marketingu SMB
  • nowa wersja uwzględnia uwagi Fundacji Panoptykon
  • autorzy poważnie potraktowali zgłoszone uwagi i przygotowali bardzo konkretny i przydatny materiał, w którym znalazła się bogata lista trafnie dobranych przykładów dobrych i złych praktyk
  • mniej powodów do zadowolenia będą mieć osoby prowadzące działalność, których kodeks nie chroni przed niechcianymi działaniami marketingowymi
  • różnica między pierwszą a drugą wersją jest jednak kolosalna – Fundacja Panoptykon prezentuje tabelkę z porównaniem
  • kodeks otwiera drzwi do innego traktowania podmiotów profesjonalnych (np. osób prowadzących jednoosobowe działalności gospodarcze) i konsumentów – autorzy kodeksu uznają na przykład z góry, że dane profesjonalistów można przekazywać innym podmiotom bez ich zgody, opierając się na uzasadnionym interesie

Źródło: https://panoptykon.org/kodo-druga-wersja

Francja: korzystanie z Google Analytics narusza RODO

  • zaledwie kilka tygodni po orzeczeniu austriackiego organu ochrony danych, że korzystanie z Google Analytics narusza RODO, francuski organ ochrony danych podjął podobną decyzję
  • orzeczenia są pierwszymi wynikającymi ze 101 skarg wniesionych przez grupę NOYB w państwach członkowskich UE po wyroku „Schrems II”, który unieważnił Tarczę Prywatności UE-USA w lipcu 2020 r.
  • w swojej decyzji CNIL stwierdził, że gromadzenie i przesyłanie danych do USA za pomocą Google Analytics „są nielegalne”, naruszając art. 44 RODO
  • CNIL nakazał niezidentyfikowanemu francuskiemu menedżerowi strony internetowej doprowadzenie przetwarzania do zgodności z RODO w ciągu jednego miesiąca i zaprzestanie korzystania z usługi na obecnych warunkach, jeśli to konieczne
  • CNIL powiedział, że transfery do Stanów Zjednoczonych „obecnie nie są wystarczająco uregulowane”, a brak decyzji UE-USA w sprawie adekwatności stanowi „ryzyko dla francuskich użytkowników witryn internetowych, którzy korzystają z tej usługi i których dane są eksportowane”
  • organ zauważył, że dodatkowe środki podjęte przez Google w celu uregulowania przesyłania danych Google Analytics „nie są wystarczające, aby wykluczyć dostęp do tych danych dla amerykańskich służb wywiadowczych”

Źródło: https://iapp.org/news/a/cnil-is-latest-authority-to-rule-google-analytics-violates-gdpr/

Odciski palców w dowodach osobistych mogą być niezgodne z RODO (1)

  • Trybunał w Luksemburgu zbada, czy umieszczanie w dowodach osobistych odcisków palców jest uzasadnione i zgodne z RODO – wątpliwości co do tego nabrał niemiecki sąd
  • od listopada 2021 r. dowody osobiste wydawane w Polsce zawierają zapisane cyfrowo odciski palców posiadacza, tak samo wygląda to w innych krajach UE, gdyż taki obowiązek wynika z unijnego rozporządzenia 2019/1157
  • celem wprowadzenia dodatkowych danych biometrycznych (poza zdjęciem twarzy) miało być większe bezpieczeństwo dokumentów
  • żaden z tych motywów nie przekonuje Digitalcourage, niemieckiej organizacji zajmującej się ochroną prywatności i prawami cyfrowymi – od dłuższego czasu prowadzi ona kampanię przeciwko umieszczaniu odcisków palców w dowodach osobistych, twierdzi, że przechowywane odciski palców mogą jedynie dostarczyć informacji o tym, czy dowód osobisty należy do osoby, która trzyma go w ręku – ale nie o tym, czy dowód osobisty jako taki jest w ogóle autentyczny, czy sfałszowany
  • na potrzebę wprowadzenia tego rozwiązania nie wskazuje też skala fałszerstw dowodów – według Europejskiego Inspektora Ochrony Danych w latach 2013-2017 ujawniono ok. 38 tys. podrobionych dokumentów, co przy 370 mln obywateli UE nie wydaje się dużą liczbą

Odciski palców w dowodach osobistych mogą być niezgodne z RODO (2)

  • Digitalcourage przekonuje, że w przyszłości dane zawarte w dowodach osobistych mogą wymknąć się spod kontroli ze względu na dostęp do nich organów krajowych i zagranicznych, służb specjalnych i usługodawców komercyjnych
  • argumentacja ta została przedstawiona w skardze złożonej przez Digitalcourage do Sądu Administracyjnego w Wiesbaden – ten zaś, przynajmniej częściowo, zgodził się z tymi obawami i postanowił skierować wniosek prejudycjalny do Trybunału Sprawiedliwości Unii Europejskiej
  • ma wątpliwości co do zgodności unijnego wymogu z art. 7 i 8 Karty praw podstawowych UE dotyczącymi ochrony prywatności
  • w swym wniosku odwołuje się również do RODO – zebrane cechy biometryczne są bowiem danymi osobowymi, które – jak podkreśla sąd – „zawierają obiektywnie niepowtarzalne informacje o osobach fizycznych i umożliwiają ich dokładną identyfikację”
  • zgodnie z zasadą proporcjonalności prawa podstawowe zainteresowanych osób mogą być ograniczane tylko wtedy, gdy służy to dobru wspólnemu lub spełnia wymogi ochrony praw i wolności innych osób

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8351785,odciski-palcow-w-dowodach-osobistych-rodo.html

Ściągalność kar RODO

  • prawie cztery lata obowiązywania RODO i tylko 150 780 zł wpłaconych z nałożonych kar przez Prezesa UODO
  • od początku obowiązywania regulacji (czyli od maja 2018 roku) według danych międzynarodowej kancelarii prawnej DLA Piper polski regulator nałożył kary wysokości 2,2 mln EUR
  • Do tej pory Prezes Urzędu Ochrony Danych Osobowych nałożył 40 administracyjnych kar pieniężnych (stan na 28 stycznia 2022 r.). Cztery z nich zostały zapłacone. W przypadku 27 kar nie ma jeszcze obowiązku zapłaty tych kar, gdyż decyzje je nakładające nie są prawomocne. Wynika to z tego, że ukarani złożyli do sądu administracyjnego skargi na te decyzje. W momencie złożenia skargi nie ma obowiązku zapłaty kary. W przypadku kilku skarg nie upłynął jeszcze termin na złożenie skargi. Natomiast jedna kara jest niemożliwa do wyegzekwowania z uwagi na to, że ukarana spółka została zlikwidowana i wykreślona z KRS”– wskazuje organ
  • w przypadku ośmiu nałożonych niezapłaconych i prawomocnych decyzji skierowano je do egzekucji administracyjnej
  • urząd zwraca uwagę na to, że nałożenie kary jest ostatecznością
  • UODO w pierwszej kolejności – jeśli w ogóle jest taka potrzeba – korzysta z takich uprawnień, jak: upomnienia, ostrzeżenia czy wezwania do przywrócenia stanu, w którym przetwarzanie danych odbywa się zgodnie z prawem

Źródło: https://www.money.pl/gospodarka/mialy-byc-gigantyczne-kary-jest-kapiszon-rodo-po-polsku-6736281656224544a.html

Facebook i Instagram mogą zniknąć z Europy - wojna o dane osobowe

  • Meta, spółka matka Facebooka ostrzegła, że nie ma pewności, czy będzie mogła dalej świadczyć usługi na terenie Unii Europejskiej – wszystko przez unijne prawo dotyczące transferu danych osobowych między UE a USA
  • dotychczas przekazywaniem ich z Europy do USA zajmowały się serwery Facebooka w Irlandii, m.in. na podstawie tzw. Tarczy Prywatności
  • regulacje te jednak – w konsekwencji wyroku unijnego trybunału TSUE – straciły w lipcu 2020 r. swoją moc
  • Mark Zuckerberg grozi, że jeśli Meta nie otrzyma możliwości przesyłania, przechowywania i przetwarzania danych europejskich użytkowników na serwerach za oceanem, dostęp do takich platform jak Facebook i Instagram będzie w tej części świata wyłączony
  • koncern o problemie napisał w rocznym raporcie dla amerykańskiej Komisji Papierów Wartościowych i Giełd – firma Zuckerberga przekonuje, iż udostępnianie danych między krajami ma kluczowe znaczenie dla świadczenia jej usług oraz tzw. reklamy ukierunkowanej
  • być może Meta w ten sposób chce jednak wywrzeć presję na Komisję Europejską – ta do połowy br. ma bowiem orzec, czy stosowane przez giganta klauzule umowne są zgodne z RODO

Źródło: https://cyfrowa.rp.pl/globalne-interesy/art35654641-facebook-i-instagram-moga-zniknac-z-europy-wojna-o-dane-osobowe

RODO nie chroni danych psa

  • RODO chroni wyłącznie dane osobowe ludzi, dlatego na jego podstawie nie można żądać nagrania z kamer rejestrujących, co działo się z psem
  • właścicielka psa oddała go na zabieg do gabinetu weterynaryjnego – kobieta zamierza wytoczyć sprawę o odszkodowanie
  • w tym celu zażądała nagrań z monitoringu, na których zarejestrowano pobyt jej zwierzęcia – otrzymała je, ale na fragmentach z sali operacyjnej usunięto dźwięk
  • właścicielka psa zwróciła się o uzupełnienie nagrań, jednak klinika weterynaryjna odmówiła – uzasadniła to tym, że na nagraniach zarejestrowano prywatne rozmowy pracowników
  • kobieta skierowała skargę do UODO – wskazała w niej na naruszenie art. 6 ust. 1 lit. f RODO, które dopuszcza przetwarzanie danych osobowych, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów, takim interesem miał być jej zamiar sformułowania roszczeń odszkodowawczych wobec kliniki
  • Prezes UODO odmówił wszczęcia postępowania, uznając, że właścicielka psa nie może być traktowana jako strona w takim postępowaniu – to nie ona, tylko jej pies został zarejestrowany na nagraniu, zwierzę zaś nie jest chronione przez przepisy RODO
  • sąd, do którego kobieta zaskarżyła decyzję o odmowie wszczęcia postępowania podzielił argumentację UODO

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8359647,rodo-dane-osobowe-nie-chroni-psa-osoby-fizyczne.html

Dochodzenia w sprawie korzystania przez sektor publiczny z usług opartych na chmurze

  • 15 lutego rozpoczęło się pierwsze skoordynowane działanie egzekucyjne Europejskiej Rady Ochrony Danych – w nadchodzących miesiącach 22 krajowe organy nadzoru w EOG (w tym EIOD) rozpoczną dochodzenia w sprawie korzystania z usług opartych na chmurze przez sektor publiczny
  • ta seria działań jest następstwem decyzji EROD o ustanowieniu skoordynowanych ram egzekwowania (CEF) w październiku 2020 r.
  • CEF jest kluczowym działaniem EROD w ramach jej strategii na lata 2021–2023, wraz z utworzeniem grupy wsparcia ekspertów – te dwie inicjatywy mają na celu usprawnienie egzekwowania przepisów i współpracy między organami nadzoru
  • łącznie w całym EOG działania obejmą ponad 80 organów publicznych, w tym instytucji UE, obejmujących szeroki zakres sektorów (takich jak zdrowie, finanse, podatki, edukacja, centralni nabywcy lub dostawcy usług IT)
  • opierając się na wspólnych pracach przygotowawczych wszystkich uczestniczących organów, CEF zostanie wdrożony na szczeblu krajowym na jeden lub kilka z następujących sposobów: badanie faktów; kwestionariusz w celu określenia, czy uzasadnione jest formalne dochodzenie; wszczęcie formalnego dochodzenia; monitorowanie toczących się formalnych dochodzeń
  • w szczególności organy nadzorcze zbadają wyzwania organów publicznych w zakresie zgodności z RODO podczas korzystania z usług opartych na chmurze, w tym proces i zabezpieczenia wdrożone podczas nabywania usług w chmurze, wyzwania związane z transferami międzynarodowymi oraz przepisy regulujące relacje między administratorem a podmiotem przetwarzającym

Źródło: https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_en

Agresywny telemarketing: 26,5 mln EUR kary dla Enel Energia

  • włoski organ nadzorczy (SA) nałożył grzywnę w wysokości 25 513 977 EUR na Enel Energian SpA
  • decyzja została wydana po skomplikowanych dochodzeniach, jakie SA wszczął w związku z setkami skarg użytkowników, którzy otrzymali niezamówione połączenia wykonane w imieniu Enel Energia
  • postępowanie SA ujawniło wszechobecne i coraz bardziej inwazyjne działanie ukaranego podmiotu polegające na niezamówionych połączeniach promocyjnych bez wymaganej zgody, skierowanych do użytkowników spoza katalogu lub do użytkowników wymienionych w rejestrze rezygnacji
  • dodatkowo odpowiedź na prośby użytkowników o dostęp do ich danych osobowych lub sprzeciw wobec przetwarzania w celach marketingowych była opóźniona lub całkowicie jej brakowało
  • oprócz kary finansowej, Enel Energia otrzymała dodatkowo polecenie dostosowania przetwarzania danych przez jej sieć sprzedaży do odpowiednich ustaleń i środków w celu wykazania, że programy promocyjne i usługi lub umowy są aktywowane dopiero po promocyjnych połączeniach kierowanych na numery wymienione w Rejestrze Operatorów Komunikacyjnych (RCO)
  • Enel Energia będzie również musiała wdrożyć dalsze środki techniczne i organizacyjne w celu obsługi żądań osób, których dane dotyczą, w celu realizacji przysługujących im praw, w tym w szczególności prawa sprzeciwu wobec przetwarzania w celach promocyjnych

Źródło: https://edpb.europa.eu/news/national-news/2022/aggressive-telemarketing-italian-sa-fines-enel-energia-eur-265-million_en

Lutowy newsletter UODO (1)

w lutowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

POTRZEBNE ZMIANY W USTAWIE O KASACH ZAPOMOGOWO-POŻYCZKOWYCH

  • UODO, podzielając sygnalizowane mu problemy ze stosowaniem przepisów ustawy z dnia 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych, zwrócił się do Minister Rodziny i Polityki Społecznej o ich analizę i dokonanie zmian, tak aby przesłanki przetwarzania danych osobowych członków kas zapomogowo-pożyczkowych były jasne i wyczerpujące, a jednocześnie nie nadmiarowe i zgodne z przepisami RODO

ZAPOZNAWANIE PRACOWNIKÓW Z PLANEM URLOPÓW

  • pracodawca, udostępniając plan urlopów, musi przestrzegać wynikającej z RODO zasady minimalizacji danych

ZWOLNIENIE OSÓB O ZNACZNYM STOPNIU NIEPEŁNOSPRAWNOŚCI Z OPŁATY OD POSIADANIA PSA

  • do zwolnienia osoby o znacznym stopniu niepełnosprawności z opłaty od posiadania psa wystarczy jej oświadczenie – żądanie kserokopii orzeczenia o niepełnosprawności, nawet uwzględniającego anonimizację części zawartych w nim danych, jest nieuzasadnione

Lutowy newsletter UODO (2)

OSOBOM Z NIEPEŁNOSPRAWNOŚCIĄ INTELEKTUALNĄ TRZEBA POMÓC ZROZUMIEĆ, CZYM JEST OCHRONA DANYCH OSOBOWYCH

  • o potrzebach edukacyjnych osób z niepełnosprawnością intelektualną w zakresie ochrony danych osobowych i prywatności z Barbarą Gądkowską, dyrektor Specjalnego Ośrodka Szkolno-Wychowawczego w Zamościu rozmawia Ewelina Janczylik-Foryś, zastępca Rzecznika Prasowego UODO

KARY

  • Norwegia: brak ważnej zgody uniemożliwia udostępnianie danych, norweski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości około 6,5 mln euro za nieprzestrzeganie przepisów RODO dotyczących zgody
  • Finlandia: nie wywiązywanie się z obowiązków administratora skutkuje grzywną, administracyjną karę pieniężną w kwocie 608 000 euro nałożono na centrum psychoterapeutyczne Vastaamo za zaniedbanie obowiązków związanych z bezpiecznym przetwarzaniem danych osobowych, a także zgłaszaniem naruszenia danych osobowych

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO