RODO aktualności – 22.02.2022 r.

• w styczniu opublikowano drugą wersję kodeksu ochrony danych osobowych w marketingu bezpośrednim, którego autorem jest Polskie Stowarzyszenie Marketingu SMB
• nowa wersja uwzględnia uwagi Fundacji Panoptykon
• autorzy poważnie potraktowali zgłoszone uwagi i przygotowali bardzo konkretny i przydatny materiał, w którym znalazła się bogata lista trafnie dobranych przykładów dobrych i złych praktyk
• mniej powodów do zadowolenia będą mieć osoby prowadzące działalność, których kodeks nie chroni przed niechcianymi działaniami marketingowymi
• różnica między pierwszą a drugą wersją jest jednak kolosalna – Fundacja Panoptykon prezentuje tabelkę z porównaniem
• kodeks otwiera drzwi do innego traktowania podmiotów profesjonalnych (np. osób prowadzących jednoosobowe działalności gospodarcze) i konsumentów – autorzy kodeksu uznają na przykład z góry, że dane profesjonalistów można przekazywać innym podmiotom bez ich zgody, opierając się na uzasadnionym interesie

Źródło: https://panoptykon.org/kodo-druga-wersja

• zaledwie kilka tygodni po orzeczeniu austriackiego organu ochrony danych, że korzystanie z Google Analytics narusza RODO, francuski organ ochrony danych podjął podobną decyzję
• orzeczenia są pierwszymi wynikającymi ze 101 skarg wniesionych przez grupę NOYB w państwach członkowskich UE po wyroku „Schrems II”, który unieważnił Tarczę Prywatności UE-USA w lipcu 2020 r.
• w swojej decyzji CNIL stwierdził, że gromadzenie i przesyłanie danych do USA za pomocą Google Analytics „są nielegalne”, naruszając art. 44 RODO
• CNIL nakazał niezidentyfikowanemu francuskiemu menedżerowi strony internetowej doprowadzenie przetwarzania do zgodności z RODO w ciągu jednego miesiąca i zaprzestanie korzystania z usługi na obecnych warunkach, jeśli to konieczne
• CNIL powiedział, że transfery do Stanów Zjednoczonych „obecnie nie są wystarczająco uregulowane”, a brak decyzji UE-USA w sprawie adekwatności stanowi „ryzyko dla francuskich użytkowników witryn internetowych, którzy korzystają z tej usługi i których dane są eksportowane”
• organ zauważył, że dodatkowe środki podjęte przez Google w celu uregulowania przesyłania danych Google Analytics „nie są wystarczające, aby wykluczyć dostęp do tych danych dla amerykańskich służb wywiadowczych”

Źródło: https://iapp.org/news/a/cnil-is-latest-authority-to-rule-google-analytics-violates-gdpr/

• Trybunał w Luksemburgu zbada, czy umieszczanie w dowodach osobistych odcisków palców jest uzasadnione i zgodne z RODO – wątpliwości co do tego nabrał niemiecki sąd
• od listopada 2021 r. dowody osobiste wydawane w Polsce zawierają zapisane cyfrowo odciski palców posiadacza, tak samo wygląda to w innych krajach UE, gdyż taki obowiązek wynika z unijnego rozporządzenia 2019/1157
• celem wprowadzenia dodatkowych danych biometrycznych (poza zdjęciem twarzy) miało być większe bezpieczeństwo dokumentów
• żaden z tych motywów nie przekonuje Digitalcourage, niemieckiej organizacji zajmującej się ochroną prywatności i prawami cyfrowymi – od dłuższego czasu prowadzi ona kampanię przeciwko umieszczaniu odcisków palców w dowodach osobistych, twierdzi, że przechowywane odciski palców mogą jedynie dostarczyć informacji o tym, czy dowód osobisty należy do osoby, która trzyma go w ręku – ale nie o tym, czy dowód osobisty jako taki jest w ogóle autentyczny, czy sfałszowany
• na potrzebę wprowadzenia tego rozwiązania nie wskazuje też skala fałszerstw dowodów – według Europejskiego Inspektora Ochrony Danych w latach 2013-2017 ujawniono ok. 38 tys. podrobionych dokumentów, co przy 370 mln obywateli UE nie wydaje się dużą liczbą

• Digitalcourage przekonuje, że w przyszłości dane zawarte w dowodach osobistych mogą wymknąć się spod kontroli ze względu na dostęp do nich organów krajowych i zagranicznych, służb specjalnych i usługodawców komercyjnych
• argumentacja ta została przedstawiona w skardze złożonej przez Digitalcourage do Sądu Administracyjnego w Wiesbaden – ten zaś, przynajmniej częściowo, zgodził się z tymi obawami i postanowił skierować wniosek prejudycjalny do Trybunału Sprawiedliwości Unii Europejskiej
• ma wątpliwości co do zgodności unijnego wymogu z art. 7 i 8 Karty praw podstawowych UE dotyczącymi ochrony prywatności
• w swym wniosku odwołuje się również do RODO – zebrane cechy biometryczne są bowiem danymi osobowymi, które – jak podkreśla sąd – „zawierają obiektywnie niepowtarzalne informacje o osobach fizycznych i umożliwiają ich dokładną identyfikację”
• zgodnie z zasadą proporcjonalności prawa podstawowe zainteresowanych osób mogą być ograniczane tylko wtedy, gdy służy to dobru wspólnemu lub spełnia wymogi ochrony praw i wolności innych osób

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8351785,odciski-palcow-w-dowodach-osobistych-rodo.html

• prawie cztery lata obowiązywania RODO i tylko 150 780 zł wpłaconych z nałożonych kar przez Prezesa UODO
• od początku obowiązywania regulacji (czyli od maja 2018 roku) według danych międzynarodowej kancelarii prawnej DLA Piper polski regulator nałożył kary wysokości 2,2 mln EUR
• „Do tej pory Prezes Urzędu Ochrony Danych Osobowych nałożył 40 administracyjnych kar pieniężnych (stan na 28 stycznia 2022 r.). Cztery z nich zostały zapłacone. W przypadku 27 kar nie ma jeszcze obowiązku zapłaty tych kar, gdyż decyzje je nakładające nie są prawomocne. Wynika to z tego, że ukarani złożyli do sądu administracyjnego skargi na te decyzje. W momencie złożenia skargi nie ma obowiązku zapłaty kary. W przypadku kilku skarg nie upłynął jeszcze termin na złożenie skargi. Natomiast jedna kara jest niemożliwa do wyegzekwowania z uwagi na to, że ukarana spółka została zlikwidowana i wykreślona z KRS”– wskazuje organ
• w przypadku ośmiu nałożonych niezapłaconych i prawomocnych decyzji skierowano je do egzekucji administracyjnej
• urząd zwraca uwagę na to, że nałożenie kary jest ostatecznością
• UODO w pierwszej kolejności – jeśli w ogóle jest taka potrzeba – korzysta z takich uprawnień, jak: upomnienia, ostrzeżenia czy wezwania do przywrócenia stanu, w którym przetwarzanie danych odbywa się zgodnie z prawem

Źródło: https://www.money.pl/gospodarka/mialy-byc-gigantyczne-kary-jest-kapiszon-rodo-po-polsku-6736281656224544a.html

• Meta, spółka matka Facebooka ostrzegła, że nie ma pewności, czy będzie mogła dalej świadczyć usługi na terenie Unii Europejskiej – wszystko przez unijne prawo dotyczące transferu danych osobowych między UE a USA
• dotychczas przekazywaniem ich z Europy do USA zajmowały się serwery Facebooka w Irlandii, m.in. na podstawie tzw. Tarczy Prywatności
• regulacje te jednak – w konsekwencji wyroku unijnego trybunału TSUE – straciły w lipcu 2020 r. swoją moc
• Mark Zuckerberg grozi, że jeśli Meta nie otrzyma możliwości przesyłania, przechowywania i przetwarzania danych europejskich użytkowników na serwerach za oceanem, dostęp do takich platform jak Facebook i Instagram będzie w tej części świata wyłączony
• koncern o problemie napisał w rocznym raporcie dla amerykańskiej Komisji Papierów Wartościowych i Giełd – firma Zuckerberga przekonuje, iż udostępnianie danych między krajami ma kluczowe znaczenie dla świadczenia jej usług oraz tzw. reklamy ukierunkowanej
• być może Meta w ten sposób chce jednak wywrzeć presję na Komisję Europejską – ta do połowy br. ma bowiem orzec, czy stosowane przez giganta klauzule umowne są zgodne z RODO

Źródło: https://cyfrowa.rp.pl/globalne-interesy/art35654641-facebook-i-instagram-moga-zniknac-z-europy-wojna-o-dane-osobowe

• RODO chroni wyłącznie dane osobowe ludzi, dlatego na jego podstawie nie można żądać nagrania z kamer rejestrujących, co działo się z psem
• właścicielka psa oddała go na zabieg do gabinetu weterynaryjnego – kobieta zamierza wytoczyć sprawę o odszkodowanie
• w tym celu zażądała nagrań z monitoringu, na których zarejestrowano pobyt jej zwierzęcia – otrzymała je, ale na fragmentach z sali operacyjnej usunięto dźwięk
• właścicielka psa zwróciła się o uzupełnienie nagrań, jednak klinika weterynaryjna odmówiła – uzasadniła to tym, że na nagraniach zarejestrowano prywatne rozmowy pracowników
• kobieta skierowała skargę do UODO – wskazała w niej na naruszenie art. 6 ust. 1 lit. f RODO, które dopuszcza przetwarzanie danych osobowych, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów, takim interesem miał być jej zamiar sformułowania roszczeń odszkodowawczych wobec kliniki
• Prezes UODO odmówił wszczęcia postępowania, uznając, że właścicielka psa nie może być traktowana jako strona w takim postępowaniu – to nie ona, tylko jej pies został zarejestrowany na nagraniu, zwierzę zaś nie jest chronione przez przepisy RODO
• sąd, do którego kobieta zaskarżyła decyzję o odmowie wszczęcia postępowania podzielił argumentację UODO

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8359647,rodo-dane-osobowe-nie-chroni-psa-osoby-fizyczne.html

• 15 lutego rozpoczęło się pierwsze skoordynowane działanie egzekucyjne Europejskiej Rady Ochrony Danych – w nadchodzących miesiącach 22 krajowe organy nadzoru w EOG (w tym EIOD) rozpoczną dochodzenia w sprawie korzystania z usług opartych na chmurze przez sektor publiczny
• ta seria działań jest następstwem decyzji EROD o ustanowieniu skoordynowanych ram egzekwowania (CEF) w październiku 2020 r.
• CEF jest kluczowym działaniem EROD w ramach jej strategii na lata 2021–2023, wraz z utworzeniem grupy wsparcia ekspertów – te dwie inicjatywy mają na celu usprawnienie egzekwowania przepisów i współpracy między organami nadzoru
• łącznie w całym EOG działania obejmą ponad 80 organów publicznych, w tym instytucji UE, obejmujących szeroki zakres sektorów (takich jak zdrowie, finanse, podatki, edukacja, centralni nabywcy lub dostawcy usług IT)
• opierając się na wspólnych pracach przygotowawczych wszystkich uczestniczących organów, CEF zostanie wdrożony na szczeblu krajowym na jeden lub kilka z następujących sposobów: badanie faktów; kwestionariusz w celu określenia, czy uzasadnione jest formalne dochodzenie; wszczęcie formalnego dochodzenia; monitorowanie toczących się formalnych dochodzeń
• w szczególności organy nadzorcze zbadają wyzwania organów publicznych w zakresie zgodności z RODO podczas korzystania z usług opartych na chmurze, w tym proces i zabezpieczenia wdrożone podczas nabywania usług w chmurze, wyzwania związane z transferami międzynarodowymi oraz przepisy regulujące relacje między administratorem a podmiotem przetwarzającym

Źródło: https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_en

• włoski organ nadzorczy (SA) nałożył grzywnę w wysokości 25 513 977 EUR na Enel Energian SpA
• decyzja została wydana po skomplikowanych dochodzeniach, jakie SA wszczął w związku z setkami skarg użytkowników, którzy otrzymali niezamówione połączenia wykonane w imieniu Enel Energia
• postępowanie SA ujawniło wszechobecne i coraz bardziej inwazyjne działanie ukaranego podmiotu polegające na niezamówionych połączeniach promocyjnych bez wymaganej zgody, skierowanych do użytkowników spoza katalogu lub do użytkowników wymienionych w rejestrze rezygnacji
• dodatkowo odpowiedź na prośby użytkowników o dostęp do ich danych osobowych lub sprzeciw wobec przetwarzania w celach marketingowych była opóźniona lub całkowicie jej brakowało
• oprócz kary finansowej, Enel Energia otrzymała dodatkowo polecenie dostosowania przetwarzania danych przez jej sieć sprzedaży do odpowiednich ustaleń i środków w celu wykazania, że programy promocyjne i usługi lub umowy są aktywowane dopiero po promocyjnych połączeniach kierowanych na numery wymienione w Rejestrze Operatorów Komunikacyjnych (RCO)
• Enel Energia będzie również musiała wdrożyć dalsze środki techniczne i organizacyjne w celu obsługi żądań osób, których dane dotyczą, w celu realizacji przysługujących im praw, w tym w szczególności prawa sprzeciwu wobec przetwarzania w celach promocyjnych

Źródło: https://edpb.europa.eu/news/national-news/2022/aggressive-telemarketing-italian-sa-fines-enel-energia-eur-265-million_en

w lutowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

POTRZEBNE ZMIANY W USTAWIE O KASACH ZAPOMOGOWO-POŻYCZKOWYCH

• UODO, podzielając sygnalizowane mu problemy ze stosowaniem przepisów ustawy z dnia 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych, zwrócił się do Minister Rodziny i Polityki Społecznej o ich analizę i dokonanie zmian, tak aby przesłanki przetwarzania danych osobowych członków kas zapomogowo-pożyczkowych były jasne i wyczerpujące, a jednocześnie nie nadmiarowe i zgodne z przepisami RODO

ZAPOZNAWANIE PRACOWNIKÓW Z PLANEM URLOPÓW

• pracodawca, udostępniając plan urlopów, musi przestrzegać wynikającej z RODO zasady minimalizacji danych

ZWOLNIENIE OSÓB O ZNACZNYM STOPNIU NIEPEŁNOSPRAWNOŚCI Z OPŁATY OD POSIADANIA PSA

• do zwolnienia osoby o znacznym stopniu niepełnosprawności z opłaty od posiadania psa wystarczy jej oświadczenie – żądanie kserokopii orzeczenia o niepełnosprawności, nawet uwzględniającego anonimizację części zawartych w nim danych, jest nieuzasadnione

OSOBOM Z NIEPEŁNOSPRAWNOŚCIĄ INTELEKTUALNĄ TRZEBA POMÓC ZROZUMIEĆ, CZYM JEST OCHRONA DANYCH OSOBOWYCH

• o potrzebach edukacyjnych osób z niepełnosprawnością intelektualną w zakresie ochrony danych osobowych i prywatności z Barbarą Gądkowską, dyrektor Specjalnego Ośrodka Szkolno-Wychowawczego w Zamościu rozmawia Ewelina Janczylik-Foryś, zastępca Rzecznika Prasowego UODO

KARY

• Norwegia: brak ważnej zgody uniemożliwia udostępnianie danych, norweski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości około 6,5 mln euro za nieprzestrzeganie przepisów RODO dotyczących zgody
• Finlandia: nie wywiązywanie się z obowiązków administratora skutkuje grzywną, administracyjną karę pieniężną w kwocie 608 000 euro nałożono na centrum psychoterapeutyczne Vastaamo za zaniedbanie obowiązków związanych z bezpiecznym przetwarzaniem danych osobowych, a także zgłaszaniem naruszenia danych osobowych

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod