RODO aktualności – 24.01.2023 r.

• Sejm przeprowadził właśnie pierwsze czytanie projektów prawa komunikacji elektronicznej i przepisów wprowadzających tę ustawę. To część implementacji do prawa polskiego dyrektywy Parlamentu Europejskiego i Rady z 2011 r. o Europejskim kodeksie łączności elektronicznej.
• Ustawa ma zastąpić obecne prawo telekomunikacyjne i kompleksowo uregulować nie tylko zagadnienia komunikacji z użyciem telefonów, lecz także innych środków porozumiewania się – więc także internetowe komunikatory.
• Dużo emocji budzi dodane na ostatniej prostej procesu legislacyjnego rozszerzenie obowiązku przechowywania danych na dostawców „usług komunikacji interpersonalnej niewykorzystujących numerów” – czyli operatorów poczty e-mail lub komunikatorów tekstowych. Mają przechowywać dane z aplikacji przez rok, a co za tym idzie, służby przez ten czas będą mogły uzyskać do nich dostęp.
• Projekt zawiera jednak również propozycje korzystne dla konsumentów. Jedna z nich nakłada na operatorów telefonii obowiązek zwrotu środków z telefonicznego konta przedpłaconego (prepaid), gdy wygasa jego ważność lub przenosimy numer do innego usługodawcy.
• Eksperci Fundacji Panoptykon zwracają uwagę, że rząd chce nałożyć obowiązek przechowywania danych na nową grupę przedsiębiorców – tych, którzy świadczą usługi „komunikacji interpersonalnej niewykorzystującej numerów”. – Chodzi między innymi o komunikatory internetowe czy pocztę elektroniczną – wyjaśnia Klicki. I zauważa, że nie wiadomo jednak, jakie dokładnie dane mają być przechowywane. Na pewno będzie wśród nich czas korzystania z usługi (zalogowanie i wylogowanie się z poczty) czy adres IP. Ale dostawcy usług mają też przechowywać wszystkie inne dane „jednoznacznie identyfikujące użytkownika w sieci”.

Żródło:  https://www.rp.pl/prawo/art37771031-rzad-chce-chronic-klientow-telekomow-ale-i-miec-dostep-do-ich-komunikatorow, https://www.prawo.pl/prawo/sluzby-zbiora-wiecej-danych-o-obywatelach,519216.html

• Jeden z łomżyńskich policjantów zgubił służbowe notatniki zawierające wrażliwe informacje o kilkudziesięciu osobach legitymowanych w okresie od 9 sierpnia 2021 r. do 1 stycznia 2022 r. Do zdarzenia miało dojść 18 listopada ubiegłego roku.
• W utraconych notatnikach znajdowały się bowiem dane osobowe legitymowanych (m.in. imię i nazwisko, PESEL, adres zamieszkania, numer dowodu osobistego i prawa jazdy, informacje o sposobie zakończenia interwencji, w tym ewentualne informacje o mandatach karnych i punktach karnych). Utrata takich informacji grozi poważnymi konsekwencjami, co potwierdza treść specjalnego komunikatu opublikowanego na stronie lokalnej komendy policji.
• Policjanci przestrzegają w nim, że znalazca notatnika może przedstawić cudze dane w instytucjach poza bankowych, aby zaciągnąć kredyt. Policja doradza założenie konta w Biurze Informacji Kredytowej oraz aktywowanie alertu BIK
• O wycieku danych osobowych poinformowani zostali Prezes Urzędu Ochrony Danych Osobowych oraz Prokuratura Rejonowa w Łomży, a w Komendzie Miejskiej Policji w Łomży trwają postępowania wyjaśniające i dyscyplinarne mające na celu wyciągnięcie konsekwencji służbowych wobec osób, które dopuściły się do naruszenia.

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8633750,policja-zaginiecie-notatek-sluzbowych-dane-osobowe-lomza.html

• Wyrok dotyczył sprawy z Austrii, gdzie do Oesterreichische Post, będącej głównym operatorem usług pocztowych i logistycznych w tym kraju, wpłynął wniosek obywatela o przekazanie mu informacji o tożsamości odbiorców, którym OeP przekazała jego dane osobowe. Podstawą tego wniosku było ogólne rozporządzenie o ochronie danych osobowych (RODO).
• W odpowiedzi Oesterreichische Post ograniczyła się do poinformowania, że wykorzystuje dane osobowe w zakresie zgodnym z prawem jako wydawca książek adresowych i że oferuje te dane swym partnerom handlowym do celów marketingowych. Niezadowolony Austriak pozwał Oesterreichische Post do sądu.
• W toku postępowania sądowego okazało się, że dane osobowe były przekazywane klientom OeP, w tym reklamodawcom w sektorze sprzedaży wysyłkowej i handlu stacjonarnego, przedsiębiorstwom informatycznym, wydawcom książek adresowych oraz organizacjom pozarządowym.
• W wydanym w czwartek wyroku Trybunał orzekł, że jeżeli dane osobowe zostały lub zostaną ujawnione odbiorcom, administrator danych jest zobowiązany podać osobie, której dane dotyczą, na jej wniosek, dokładną tożsamość tych odbiorców. Tylko gdy nie jest (jeszcze) możliwe zidentyfikowanie tych odbiorców, administrator może ograniczyć się do podania wyłącznie kategorii, do których odbiorcy należą. Trybunał podkreślił, że prawo dostępu osoby, której dane dotyczą jest niezbędne, aby umożliwić jej skorzystanie z innych praw przyznanych jej na podstawie RODO.

 Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8633746,dane-osobowe-uprawnienia-administratorow-tsue.html, https://www.prawo.pl/prawo/poczta-ma-podac-komu-przekazala-dane-osobowe-tsue,519256.html

• Od 1 stycznia 2023 r. we wszystkich nowych zanonimizowanych sprawach dotyczących sporów między osobami fizycznymi, których imiona i nazwiska zastępuje się od 1 lipca 2018 r. inicjałami ze względu na ochronę danych osobowych, lub między osobami fizycznymi a osobami prawnymi, których nazwy nie mają charakteru odróżniającego, w Trybunale Sprawiedliwości UE nadawane będą fikcyjne nazwy za pomocą komputerowego automatycznego generatora.
• Rozwiązanie to przyjęto w celu ułatwienia identyfikacji zanonimizowanych spraw. Dzięki temu łatwiej będzie je zapamiętać i cytować zarówno w orzecznictwie, jak i w innych kontekstach. Rozwiązanie to ma ułatwić oznaczanie i identyfikację spraw zanonimizowanych ze względu na ochronę danych osobowych.
• Jak podkreśla Trybunał, fikcyjne nazwy nie pokrywają się z rzeczywistymi nazwiskami żadnej ze stron postępowania ani, co do zasady, z istniejącymi nazwiskami. Będą umieszczone w części wstępnej wyroku i na pierwszej stronie, po numerze sprawy. Generator fikcyjnych nazw działa na zasadzie podziału słów na sylaby, które są następnie przypadkowo łączone, tworząc fikcyjne wyrazy. Generator działa we wszystkich językach urzędowych Unii, a w razie potrzeby zostanie opracowywany dla języków państw trzecich.

Źródło: https://www.prawo.pl/prawnicy-sady/tsue-zanonimizowanym-sprawom-prejudycjalnym-nada-fikcyjne-nazwy,519210.html

• Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na 2023 rok. Z kontrolą muszą się liczyć przetwarzający dane przy użyciu internetowych czy mobilnych aplikacji oraz organy przetwarzające dane osobowe w systemach SIS i VIS.
• Szczegółowy plan kontroli sektorowych UODO na rok 2023 obejmuje:

1. Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2021 r. poz. 1041), aktów wykonawczych oraz przepisów Unii Europejskiej.
2. Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
3. Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Żródło:  https://uodo.gov.pl/pl/138/2614

• „Przyszłość ochrony danych osobowych w świetle rozwoju technologii” to temat ogólnopolskiej konferencji naukowej organizowanej w ramach obchodów XVII Dnia Ochrony Danych Osobowych. Urząd Ochrony Danych Osobowych organizuje to wydarzenie 31 stycznia 2023 r. we współpracy z Prezydentem Miasta Ełku oraz ełcką filią Uniwersytetu Warmińsko-Mazurskiego w Olsztynie.
• Celem konferencji będzie przedstawienie administratorom najważniejszych wyzwań w obszarze ochrony danych osobowych, z jakimi w 2023 roku będą musieli się zmierzyć, biorąc pod uwagę gwałtowny rozwój nowych technologii. W gronie ekspertów zajmujących się prawem ochrony danych osobowych w czasie pięciu sesji tematycznych zostaną poruszone zagadnienia związane z zapewnieniem skutecznej ochrony danych osobowych w różnych obszarach funkcjonowania człowieka, przede wszystkim w tych, w których obserwujemy coraz większą tendencję do wykorzystywania najnowszych osiągnięć technologii także do kształtowania procesów przetwarzania tych danych.
• Ważnym punktem konferencji będzie wręczenie nagród im. Michała Serzyckiego, Generalnego Inspektora Ochrony Danych Osobowych III kadencji, który przywiązywał dużą wagę do edukacji społeczeństwa w kwestii ochrony danych osobowych. Wyróżnienie to jest corocznie przyznawane osobom i organizacjom za działania na rzecz promocji i edukacji o ochronie danych osobowych, a także prawa do prywatności
• Osoby chcące uczestniczyć zdalnie w tej konferencji naukowej będą mogły skorzystać z transmisji internetowej, do których dostęp będzie możliwy za pośrednictwem strony WWW UODO poprzez linki aktywny w dniu wydarzenia.
• Agenda dostępna na stronie internetowej.

Źródło: https://uodo.gov.pl/pl/545/2609

• Dwie odrębne drogi odwoławcze, jakie przewiduje RODO, mogą być od siebie niezależne. Prawo krajowe powinno jednak zapewniać jakieś zasady powiązania tych różnych środków ochrony prawnej, tak aby w tej samej sprawie nie zapadały dwa sprzeczne ze sobą rozstrzygnięcia – uznał Trybunał Sprawiedliwości Unii Europejskiej.
• Na Węgrzech, możliwe jest wydanie dwóch różnych rozstrzygnięć. Skargę zainaugurował akcjonariusz spółki, który domagał się od niej nagrań z walnego zgromadzenia. Otrzymał tylko te fragmenty, na których sam występował. Spółka odmówiła przekazania nagrań z wypowiedziami pozostałych uczestników zgromadzenia. Akcjonariusz złożył skargę do węgierskiego organu ochrony danych osobowych, a jednocześnie pozew do sądu cywilnego. Organ odrzucił skargę, nie dopatrując się naruszenia prawa. Akcjonariusz odwołał się od decyzji do sądu administracyjnego, a jednocześnie złożył pozew do sądu cywilnego. W czasie trwania postępowania odwoławczego sąd cywilny wydał wyrok uwzględniający pozew i uznał, że spółka bezprawnie odmówiła akcjonariuszowi dostępu do jej danych osobowych. Sąd administracyjny zastanawia się nad wzajemnymi relacjami dwóch postępowań.
• „Po pierwsze, istnienie dwóch sprzecznych ze sobą orzeczeń podważałoby cel, o którym mowa w motywie 10 rozporządzenia, polegający na zapewnieniu spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. (…) Skutkowałoby to, po drugie, osłabieniem ochrony osób fizycznych w zakresie przetwarzania dotyczących ich danych osobowych, ponieważ taka niespójność stworzyłaby sytuację niepewności prawnej”– podkreślił TSUE w uzasadnieniu wyroku. Jak zapewnić spójność rozstrzygnięć? TSUE sam tego nie wskazał w wyroku, pozostawiając swobodę regulacyjną państwom członkowskim.

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8639424,rodo-rozstrzygniecia-sadowe-i-administracyjne-orzeczenie-tsue.html

• Klientka kupiła towar, a następnie otrzymała od sprzedawcy e-mail z prośbą o wyrażenie opinii o produkcie. Uznała to za marketing, na który nie wyrażała zgody. Zgłosiła skargę do prezesa Urzędu Ochrony Danych Osobowych. Ten uznał, że jest to marketing, ale pod względem RODO nie ma problemu, gdyż zgoda nie jest wymagana. Organ uznał, że ma tutaj zastosowanie prawnie uzasadniony interes administratora.
• Klientka była innego zdania i złożyła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wskazała, że administrator nie miał prawnie uzasadnionego interesu, bo brakowało zgody z ustawy o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2020 r. poz. 344). WSA przyznał jej rację i uznał, że organ niewystarczająco rozważył kwestię braku zgody z prawa o świadczeniu usług drogą elektroniczną do istnienia prawnie uzasadnionego interesu z RODO (sygn. akt II SA/Wa 715/22).
• Autor tekstu wyraża wątpliwość co do orzeczenia oraz zaznacza, że przy ocenie zasadnicze znaczenie będą tutaj miały jego cel i treść. Czym innym jest bowiem zbadanie, czy umowa została należycie wykonana, a czym innym próba namówienia klienta do powrotu do sklepu pod płaszczykiem chęci zbadania satysfakcji.
• Warto wspomnieć, że mnogość aktów prawnych wiąże się też z mnogością organów mających kompetencje w zakresie zwalczania niechcianego marketingu e-mail – UODO, UKE i UOKiK. Każdy z tych organów przyjmuje własną perspektywę. Przykładowo UOKiK w jednej z decyzji (DOZIK-3/2019) stwierdził, że nawiązywanie kontaktu ze swoim klientem w celu zbadania jego potrzeb lub oczekiwań co do oferowanych przez przedsiębiorcę towarów lub usług mieści się w pojęciu marketingu bezpośredniego. Znowu jednak wracamy do różnicy pomiędzy badaniem satysfakcji a badaniem potrzeb.

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8637829,marketing-rodo-informacja-handlowa-badanie-satysfakcji-klienta-spam.html

• W grudniowym numerze newsletterze Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi

KODEKS POSTĘPOWANIA DOTYCZĄCY OCHRONY DANYCH OSOBOWYCH W MAŁYCH PODMIOTACH LECZNICZYCH

• Szereg wypowiedzi ekspertów: Rzecznik Praw Pacjenta, prezesem Federacji Porozumienie Zielonogórskie, przedstawiciel RS Jamano

PROJEKT DECYZJI W SPRAWIE ADEKWATNOŚCI TRANSATLANTYCKICH RAM OCHRONY DANYCH UE-USA

• Komisja Europejska 13 grudnia 2022 r. opublikowała projekt decyzji, zgodnie z którą Stany Zjednoczone zobowiązują się do zapewnienia odpowiedniego stopnia ochrony danych osobowych przekazywanych z UE do USA.

KARY

• Portugalski organ nadzorczy nałożył administracyjną karę pieniężną na Narodowy Instytut Statystyczny w wysokości 4,3 mln euro.
• Francja: Organ nadzorczy nałożył karę pieniężną na FREE w wysokości 300 tys. euro. Decyzja jest następstwem postępowania, które zapoczątkowało kilka skarg dotyczących trudności napotykanych przez osoby fizyczne w uwzględnieniu ich wniosków o dostęp do danych osobowych i o ich usunięcie przez francuskiego operatora telefonicznego FREE.
• Pozyskiwanie nowych klientów a prawa osób, których dane dotyczą – przedsiębiorstwo ukarane karą pieniężną w wysokości 600 000 euro Na skutek wpłynięcia licznych skarg dotyczących trudności napotykanych w realizacji ich praw przez przedsiębiorstwo EDF,.

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8637829,marketing-rodo-informacja-handlowa-badanie-satysfakcji-klienta-spam.html

• Bruksela, dnia 18 stycznia – Komisarz ds. sprawiedliwości Didier Reynders wziął udział w posiedzeniu plenarnym. Przedstawił Radzie projekt decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do ram ochrony danych osobowych UE-USA i przeprowadził wymianę poglądów z jej członkami. Rada pracuje obecnie nad swoją opinią na temat projektu decyzji, która zostanie sfinalizowana w najbliższych tygodniach.
• Projekt decyzji jest następstwem podpisania przez prezydenta Bidena 7 października 2022 r. amerykańskiego rozporządzenia wykonawczego wraz z przepisami wydanymi przez prokuratora generalnego USA Merricka Garlanda.
• Przedsiębiorstwa amerykańskie będą mogły przystąpić do ram prywatności danych UE-USA, zobowiązując się do przestrzegania szczegółowego zestawu zobowiązań w zakresie prywatności, na przykład wymogu usuwania danych osobowych, gdy nie są już potrzebne do celów, dla których zostały zebrane, oraz do zapewnienia ciągłości ochrony w przypadku udostępniania danych osobowych stronom trzecim. Obywatele UE skorzystają z kilku możliwości dochodzenia roszczeń, jeżeli ich dane osobowe będą przetwarzane z naruszeniem ram, w tym bezpłatnych przed niezależnymi mechanizmami rozstrzygania sporów i organem arbitrażowym.
• Ponadto ramy prawne USA przewidują szereg ograniczeń i zabezpieczeń dotyczących dostępu amerykańskich organów publicznych do danych, w szczególności do celów egzekwowania prawa karnego i bezpieczeństwa narodowego. Obejmuje to nowe przepisy wprowadzone amerykańskim rozporządzeniem wykonawczym, które dotyczyły kwestii podniesionych przez Trybunał Sprawiedliwości UE.

Źródło: https://uodo.gov.pl/pl/138/2610, https://www.prawo.pl/samorzad/przetwarzenie-danych-osobowych-bez-podstawy-prawnej,519261.html