RODO aktualności – 25.01.2022 r.

• jak wynika z zatwierdzonego przez Prezesa UODO rocznego planu kontroli jednym z punktów jest sprawdzenie procesów zabezpieczenia i udostępniania danych osobowych przetwarzanych przez podmioty przetwarzające w związku z użytkowaniem aplikacji mobilnych
• ponadto UODO przyjrzy się przetwarzaniu danych osobowych klientów i potencjalnych klientów banków w zakresie profilowania – sprawdzi też sposoby informowania osób ubiegających się o kredyt o dokonanej ocenie zdolności kredytowej w związku z art. 70a ustawy Prawo bankowe
• dodatkowo UODO zweryfikuje przetwarzanie danych osobowych przez organy przetwarzające w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym
• zaplanowane kontrole podyktowane są licznymi sygnałami (w tym skargami, pytaniami i zgłoszeniami naruszeń ochrony danych osobowych) wskazującymi na zagrożenia naruszenia przepisów o ochronie danych osobowych oraz duże społeczne zainteresowanie tego typu problemami – dlatego też Prezes Urzędu Ochrony Danych Osobowych uznał je za istotne z punktu widzenia zadań realizowanych przez organ nadzorczy

Źródło: https://uodo.gov.pl/pl/138/2250

• w jednej ze spraw prowadzonych w UODO, klient banku wystąpił do urzędu ze skargą o nakazanie usunięcia jego danych osobowych przetwarzanych przez bank i instytucję finansową utworzoną na podstawie Prawa bankowego, tj. Biuro Informacji Kredytowej w związku ze złożonymi przez niego zapytaniami kredytowymi
• klient banku wskazywał, że przetwarzanie jego danych jest nieuprawnione, gdyż nie doszło do zawarcia żadnej umowy z bankiem
• Prezes UODO po przeprowadzeniu postępowania administracyjnego, przyznał rację klientowi banku stwierdzając brak podstaw prawnych do przetwarzania jego danych osobowych przez ww. podmioty i wydał decyzję administracyjną nakazującą usunięcie danych
• tymczasem WSA w wyroku z dnia 28 września 2021 r., sygn. akt II SA/Wa 474/21, uchylając wskazaną decyzję uznał, że w sprawie zaniechano zwrócenia się do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych (metoda oceny wiarygodności kredytowej), co w jego ocenie było bezwzględnie konieczne

• UODO jest zaniepokojony niebezpiecznym kierunkiem w jakim zmierza dokonana przez sąd administracyjny ocena stosowania przepisów Kodeksu postępowania administracyjnego w kontekście rozstrzygania przez organ nadzorczy spraw z zakresu ochrony danych osobowych, niezgodna z treścią i celem przepisów prawa Unii Europejskiej, jakie stanowią przepisy RODO
• zdaniem UODO stanowisko zawarte w wyroku WSA w Warszawie w sprawie przetwarzania danych osobowych klienta banku godzi w niezależność i autonomię organu nadzorczego – dlatego też od tego wyroku złożona została skarga kasacyjna do Naczelnego Sądu Administracyjnego

Źródło: https://uodo.gov.pl/pl/138/2251

• PW otrzymała karę w wysokości 45 tys. zł m.in. za niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków – uczelnia nie uwzględniła również ryzyka związanego z przetwarzaniem danych w aplikacji
• postępowanie wszczęto po tym jak do UODO wpłynęło zgłoszenie naruszenia ochrony danych – nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców
• jak ustalono w czasie postępowania administracyjnego jednostka organizacyjna Politechniki wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat – aplikacja ta była modyfikowana w zależności od potrzeb administratora
• na początku stycznia 2020 roku nieuprawniona osoba wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi – z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych
• w ocenie UODO, administrator nie przedstawił dowodów na spełnienie tych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni
• ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka – PW skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej, nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej aplikacji

Źródło: https://uodo.gov.pl/pl/138/2248

Na swojej stronie internetowej UODO odpowiada na nowe pytania IOD.

CZY NALEŻY PODPISAĆ UMOWĘ POWIERZENIA Z FIRMĄ SPRZĄTAJĄCĄ?

• same usługi sprzątania powierzchni danego obiektu (np. uczelni, biura) trudno zaliczyć do usług związanych z przetwarzaniem danych osobowych – należy zatem przyjąć, że co do zasady usługi takie nie wymagają powierzenia przetwarzania danych osobowych
• niemniej w przypadku korzystania przez administratora z takich usług (jak i innych usług wymagających dostępu do pomieszczeń administratora, w których przetwarzane są dane osobowe) – konieczne może się okazać zastosowanie odpowiednich środków technicznych i organizacyjnych, których celem będzie zapewnienie odpowiedniej ochrony danych osobowych, w tym przed nieuprawnionym ujawnieniem danych osobowych

Źródło: https://uodo.gov.pl/pl/225/2245

W JAKIM ZAKRESIE NALEŻY UJAWNIAĆ DANE PRZEDSIĘBIORCÓW PROWADZĄCYCH OŚRODKI SZKOLENIA KIEROWCÓW?

• dane osobowe osób fizycznych prowadzących jednoosobową działalność gospodarczą podlegają ochronie na mocy RODO, a podmioty, które chcą je przetwarzać, muszą spełnić wszystkie obowiązki wynikające z przepisów o ochronie danych osobowych, w tym legitymować się podstawą prawną do ich przetwarzania
• przedstawione w pytaniu wątpliwości dotyczą tego, czy w celu realizacji obowiązku określonego w art. 43 ust. 1 pkt 6 lit. a ustawy o kierujących pojazdami starosta może udostępnić informacje o firmie przedsiębiorcy zawierającej imię i nazwisko osoby prowadzącej jednoosobową działalność
• przywołany przepis nakłada na starostę obowiązek podania do publicznej wiadomości wyników analizy statystycznej dotyczących danego ośrodka szkolenia kierowców – zatem podstawę do przetwarzania danych osobowych w tym celu stanowi ww. przepis ustawy o kierujących pojazdami, nie zaś zgoda osoby, której dane dotyczą
• aby zrealizować powyższy obowiązek starosta może zatem podać do wiadomości publicznej takie informacje dotyczące ośrodka, które go jednoznacznie identyfikują, łącznie z oznaczeniem i adresem ośrodka szkolenia kierowców nawet w przypadku, gdy oznaczenie to obejmuje firmę przedsiębiorcy

Źródło: https://uodo.gov.pl/pl/225/2245

JAK POSTĘPOWAĆ W PRZYPADKU OTRZYMYWANIA TZW. NIECHCIANYCH DANYCH?

• RODO wymaga, aby pozyskiwane (przetwarzane) dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane – tzw. zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO)
• ponadto dane osobowe powinny być zbierane w wyraźnie określonym i prawnie uzasadnionym celu (art. 5 ust. 1 lit. c RODO)
• mając na uwadze wskazane zasady RODO oraz m.in. przepisy prawa regulujące realizację określonych zadań / obowiązków, administrator powinien dokonywać analizy, czy określony dokument zawierający dane osobowe istotnie został przesłany nadmiarowo lub pomyłkowo i w zależności od wyników takiej analizy np. pozostawić dokument, zwrócić lub przekazać do innego podmiotu / organu
• Źródło: https://uodo.gov.pl/pl/225/2247

• CERT Polska stworzył dokument skierowany do administratorów, twórców i projektantów systemów informatycznych wymagających kontroli dostępu użytkowników i pozwalających na uwierzytelnienie z użyciem hasła
• CERT Polska wskazuje, że system uwierzytelniający, m.in. :

1. POWINIEN stosować bezpieczny algorytm hashujący do przechowywania haseł
2. NIE POWINIEN wymuszać okresowej zmiany haseł użytkowników
3. NIE POWINIEN pozwalać na ustawienie hasła znajdującego się na liście słabych/często używanych haseł3
4. NIE POWINIEN pozwalać na ustawienie hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
5. POWINIEN ustalać minimalną długość hasła na co najmniej 12 znaków
6. POWINIEN pozwalać na ustawienie hasła o długości co najmniej do 64 znaków
7. NIE POWINIEN wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter
8. POWINIEN wymuszać zmianę hasła jeśli potwierdzono, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione

• hasła jeśli potwierdzono, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione

1. POWINIEN podawać dokładny powód w przypadku odrzucenia nowego hasła
2. NIE POWINIEN blokować wykorzystania funkcji “wklej” na polu hasła
3. ZALECA SIĘ wsparcie dla uwierzytelniania dwuskładnikowego
4. ZALECA SIĘ wyświetlanie użytkownikowi wskaźnika szacującego siłę nowego hasła

Źródło: https://cert.pl/posts/2022/01/rekomendacje-techniczne-systemow-uwierzytelniania/

• przepisy o ochronie danych osobowych nie dają Prezesowi UODO prawa do nakazywania administratorowi strony internetowej ujawnienia danych osobom trzecim, np. w celu wytoczenia powództwa – taka jest konkluzja wyroku WSA w Warszawie (sygn. II SA/Wa 989/20)
• bardzo trudno jest uzyskać dane osobowe pomawiającego kogoś w internecie – na pewno podstawą prawną nie jest RODO, o czym przekonała się spółka, która wystąpiła do Prezesa UODO o nakazanie administratorowi strony internetowej udostępnienia danych osobowych: imienia, nazwiska, adresu IP komputera osoby, która wysłała maila do Wojewódzkiej Stacji Sanitarno-Epidemiologicznej, że skarżąca spółka produkuje szkodliwe produkty kosmetyczne i lecznicze
• Prezes UODO umorzył postępowanie, a swoją decyzję tłumaczył tym, że nie ma uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu ujawnienia danych osobowych osobie trzeciej, bo nie ma aktualnie żadnego przepisu, który dawałby mu takie kompetencje
• WSA oddalił skargę i wyjaśnił, że prezes UODO będąc podmiotem publicznym może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa – a tak w tym wypadku tak nie jest
• art. 15 RODO przyznaje prawo dostępu do danych osobowych wyłącznie tej osobie, której dane dotyczą

• jedynym celem RODO jest zagwarantowanie osobie fizycznej odpowiedniej ochrony jej danych osobowych a nie przyznawanie uprawnień informacyjnych innym podmiotom
• WSA tłumaczył, że w szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną
• przepisy analizowanej regulacji nie dają takich uprawnień także organowi nadzoru
• Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego
• w obecnym stanie prawnym nie ma narzędzia – bez odwołania się do organów państwa – aby zażądać ujawnienia danych innej osoby, np. w związku z naruszeniem dóbr osobistych
• jest to nie problem RODO, ale polskiego państwa, które powinno stworzyć możliwość ochrony naruszonych praw, a tego nie robi, mimo że od lat wie o problemie – tym samym Polska narusza w ten sposób art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, co przesądził ETPCz w sprawie K.U. przeciwko Finlandii – wyrok ETPC z 2 grudnia 2008 r., skarga nr 2872/02, gdzie występował ten sam problem

Źródło: https://www.prawo.pl/biznes/dane-osobowe-rodo-nie-pozwala-na-ujawnienie-danych-hejtera,512901.html

• Europejska Rada Ochrony Danych, podczas 59. posiedzenia plenarnego, przyjęła Wytyczne w sprawie prawa dostępu do danych oraz pismo w sprawie zgody stosowania plików cookie
• Wytyczne przedstawiają różne aspekty prawa dostępu do danych i dostarczają bardziej precyzyjnych wskazówek co do tego, jak prawo dostępu powinno być realizowane w różnych sytuacjach
• dokument zawiera m.in. wyjaśnienia dotyczące zakresu prawa dostępu, informacji, które administrator musi przekazać osobie, której dane dotyczą, formatu wniosku o dostęp, głównych sposobów zapewnienia dostępu oraz pojęcia żądań ewidentnie nieuzasadnionych lub nadmiernych. Warto zauważyć, że stanowiska i opinie przedstawione podczas spotkania interesariuszy w listopadzie 2019, zostały uwzględnione w trakcie prac nad dokumentem
• EROD przyjęła pismo w odpowiedzi na pisma wzywające do jednolitej interpretacji zgody na stosowanie plików cookie
• w piśmie tym Rada podkreśla, że zależy jej na zapewnieniu zharmonizowanego stosowania zasad ochrony danych w całym Europejskim Obszarze Gospodarczym
• również w tym celu EROD powołała niedawno grupę zadaniową ds. banerów cookie, której rolą jest koordynowanie odpowiedzi na skargi dotyczące banerów cookie

Źródło: https://uodo.gov.pl/pl/138/2260

• środowisko akademickie jest jedną z najlepiej zaszczepionych przeciwko COVID-19 grup w Polsce – wynika z danych publikowanych przez resort edukacji i nauki – problemem może być natomiast to, skąd takie dane w ogóle pozyskano.
• zestawienie opracowano w oparciu o identyfikator, jakim jest numer PESEL – a precyzyjnie, numery PESEL wszystkich osób, których dane znajdują się w bazie POL-on
• tworząc zestawienie, powołano się na art. 342 ust. 4 PWSN – według prawników nie jest on podstawą do stworzenia takiego zestawienia – po pierwsze dla tego, że bazy nie powstały we wskazanych w przepisie celach, po drugie dlatego, że statystyk nie dało się stworzyć bez przetworzenia danych jednostkowych
• zgodnie z RODO podmioty sektora publicznego, w tym organy władzy publicznej powinny zawsze posiadać wyraźnie określony przepisem prawa cel przetwarzania danych osobowych oraz podstawę prawną do jego realizacji – w ich przypadku ani cel przetwarzania, ani jego podstawa nie mogą być określane dowolnie przez te podmioty
• jeśli przedmiotem analizy miałyby być dane o charakterze statystycznym, już na etapie udostępniania drugiemu podmiotowi należałoby zadbać o ich odpowiednie przygotowanie w taki sposób, aby nie było możliwe ustalenie tożsamości osób, których dotyczą
• tylko pod takim warunkiem informacje miałyby cechy danych statystycznych – w tym przypadku, jeżeli faktycznie oparto się na numerach PESEL – tak nie było

Źródło: https://www.prawo.pl/student/baza-danych-pol-on-a-dane-o-szczepieniach-rodo,512915.html

• w styczniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

OGRANICZENIA W MONITORINGU WIZYJNYM PROWADZONYM PRZEZ GMINĘ

• gmina nie ma podstaw prawnych do prowadzenia monitoringu wizyjnego umożliwiającego dokonywanie pomiarów biometrycznych i identyfikowanie osób fizycznych oraz tablic rejestracyjnych pojazdów

ROLA OFERENTA PODCZAS WYCENY PORTFELA WIERZYTELNOŚCI

• oferent (przyszły cesjonariusz) jest samodzielnym administratorem, przetwarzającym udostępnione mu dane osobowe we własnym imieniu, we własnym interesie i na własne ryzyko

POZYSKIWANIE INFORMACJI O SYTUACJI OSOBY SKIEROWANEJ DO DPS

• dom pomocy społecznej informacje o sytuacji osoby skierowanej do umieszczenia w tej placówce w pierwszej kolejności powinien pozyskiwać, przeprowadzając wizytę domową oraz indywidualną rozmowę z osobą, której dane dotyczą i jej przedstawicielem ustawowym

BĘDZIE WŁAŚCIWA PODSTAWA PRZETWARZANIA DANYCH OSOBOWYCH W PORADNIACH PSYCHOLOGICZNO-PEDAGOGICZNYCH

• zgoda nie będzie już podstawą przetwarzania danych osobowych na potrzeby orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologicznopedagogicznych

KARY

• Islandia: kara za niedostosowanie rządowej aplikacji do wymogów RODO

MIĘDZYNARODOWE

• Wytyczne w sprawie ochrony osób w związku z przetwarzaniem danych osobowych przez i na potrzeby kampanii politycznych

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod