RODO aktualności – 25.10.2022 r.

• UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku sądów – i w jakim ewentualnie zakresie
• organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania, dokonywanych przez sądy, w ramach sprawowania przez nie wymiaru sprawiedliwości – RODO dopuszcza jednak możliwość doprecyzowania przez prawo państwa członkowskiego operacji i procedur przetwarzania danych osobowych przez sądy i inne organy wymiaru sprawiedliwości
• polski ustawodawca skorzystał z takiej możliwości w ustawie Prawo ustroju sądów powszechnych i określił, że administratorami danych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy
• w przepisach Prawa o ustroju sądów powszechnych nie zostało jednak wprost wskazane, że organy te są również uprawnione do przyjmowania zgłoszeń naruszeń ochrony danych osobowych
• w takiej sytuacji należy przyjąć, że co do zasady RODO ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości w zakresie zgłaszania naruszeń ochrony danych, o których mowa w art. 33 RODO – dlatego też administrator (np. sąd) w każdym przypadku wystąpienia jakiegokolwiek incydentu jest zobowiązany do dokonania oceny, czy konkretny incydent stanowi naruszenie ochrony danych, a jeżeli tak, to czy naruszenie dotyczyło przetwarzania danych przez sądy w ramach sprawowania wymiaru sprawiedliwości, czy też nie

Żródło: https://uodo.gov.pl/pl/138/2454

• EROD podczas 70. posiedzenia plenarnego przyjęła wykaz aspektów krajowego prawa proceduralnego, które chciałaby zharmonizować na szczeblu UE w celu ułatwienia egzekwowania RODO
• ta „lista życzeń” jest jednym z kluczowych działań określonych w deklaracji wiedeńskiej EROD w sprawie współpracy w zakresie egzekwowania prawa – wykaz aspektów krajowego prawa proceduralnego, który dotyczy m.in. statusu i praw stron postępowania administracyjnego, terminów proceduralnych, a także wymogów dotyczących dopuszczalności lub oddalenia skarg został przesłany do rozpatrzenia Komisji Europejskiej
• EROD przyjęła także opinię w sprawie zatwierdzenia przez Radę kryteriów certyfikacji Europrivacy przedłożonych przez luksemburski organ ochrony danych – opinia oznacza zatwierdzenie przez EROD pierwszego europejskiego znaku jakości ochrony danych zgodnie z art. 42 ust. 5 RODO
• na koniec EROD przyjęła oświadczenie w sprawie cyfrowego euro – w swoim oświadczeniu EROD ponownie podkreśla znaczenie zapewnienia w tym projekcie uwzględnienia ochrony prywatności i ochrony danych w fazie projektowania oraz domyślnej ochrony danych, a także ostrzega przed stosowaniem systematycznej walidacji i śledzenia wszystkich transakcji dokonywanych przy użyciu cyfrowego euro

Źródło: https://uodo.gov.pl/pl/138/2456

• w październikowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

OCHRONA STABILNOŚCI PEŁNIENIA FUNKCJI IOD POWINNA ZOSTAĆ WZMOCNIONA

• w ocenie organu nadzorczego celowe jest rozważenie zmiany przepisów prawa krajowego pod kątem doprecyzowania w polskim porządku prawnym regulacji art. 38 ust. 3 zdanie drugie RODO, a tym samym wzmocnienia pozycji inspektora ochrony danych.

BĘDĄ CZĘŚCIOWE ZMIANY ODNOSZĄCYCH SIĘ DO IOD PRZEPISÓW USTAWY IMPLEMENTUJĄCEJ DYREKTYWĘ POLICYJNĄ

• taką deklarację Ministerstwo Spraw Wewnętrznych i Administracji złożyło w odpowiedzi na wystąpienie Prezesa UODO w sprawie konieczności dokonania zmiany niektórych dotyczących IOD przepisów ustawy implementującej dyrektywę policyjną.

OCHRONA DANYCH OSOBOWYCH W PROGRAMIE STUDIÓW

• w programie studiów podyplomowych w zakresie wyceny nieruchomości uwzględnione mają być kwestie dotyczące ochrony danych

KARY

• Francja: brak przemyślanego posługiwania się danymi doprowadził do nałożenia kary – dane geolokalizacyjne stały się przyczyną nałożenia na UBEEQO International przez francuski organ nadzorczy administracyjnej kary pieniężnej w wysokości 175 tys. euro.

Źródło: Źródło: Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• nie można skarżyć do sądu administracyjnego przewlekłości postępowania w sprawie ochrony danych osobowych prowadzonego przez administratora – skargę należy kierować do Urzędu Ochrony Danych Osobowych
• skargę do sądu administracyjnego złożył mężczyzna oburzony tym, że NFZ wysłał skierowanie do sanatorium na niewłaściwy adres – w ten sposób nieuprawnione osoby miały dostęp do jego danych osobowych, a to ewidentne naruszenie przepisów RODO
• mężczyzna złożył do dyrektora oddziału pismo, w którym wniósł o „podjęcie procedur w związku z podejrzeniem naruszenia RODO i ujawnienia jego danych wrażliwych” – pismo to pozostało bez jakiejkolwiek odpowiedzi
• po trzech miesiącach mężczyzna wniósł do sądu skargę na przewlekłość postępowania
• Wojewódzki Sąd Administracyjny w Gdańsku odrzucił skargę wskazując, że w sprawach dotyczących ochrony danych osobowych dyrektor oddziału wojewódzkiego NFZ nie występuje w roli organu administracji, na którym według przepisów prawa ciąży obowiązek wszczęcia postępowania i wydania aktu administracyjnego lub podjęcia czynności z zakresu administracji publicznej dotyczącej uprawnień lub obowiązków skarżącego
• choć RODO pozwala wysuwać pewne żądania względem administratora danych (np. żądać dostępu do informacji o celach czy kategoriach przetwarzania na podstawie art. 15 RODO), to w razie braku reakcji należy kierować skargę do prezesa Urzędu Ochrony Danych Osobowych – dopiero jego decyzje mogą być skarżone do sądu

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8569824,ochrona-danych-osobowych-przewleklosc-postepowania.html

• Krajowa Rada Notarialna otrzymała od Kancelarii Prezesa Rady Ministrów warunki techniczne, których spełnienie umożliwiłoby dostęp do rejestru PESEL oraz Rejestru Dowodów Osobistych przez notariuszy
• zgodnie z art. 85 par. 1 i 2 prawa o notariacie rejenci muszą skutecznie potwierdzać tożsamość osób biorących udział w czynności notarialnej, przede wszystkim na podstawie dokumentów – najczęściej dowodu osobistego lub paszportu
• Janusz Cieszyński wskazuje, że notariusze mogliby sprawdzić poprawność danych osobowych znajdujących się w dokumencie tożsamości i porównać je z widniejącymi w bazie PESEL
• wprowadzenie takiej możliwości wiązałoby się z koniecznością zmiany art. 46 ust. 1 ustawy o ewidencji ludności – wymienia on katalog podmiotów, którym dane z rejestru PESEL mogą być udostępniane
• KRN wskazała, że teraz najpilniejszą potrzebą dla notariuszy jest otrzymanie możliwości pobierania odpisów skróconych aktów stanu cywilnego (urodzenia, małżeństwa, zgonu) – i rząd postanowił tę potrzebę zaspokoić
• w projekcie ustawy – Przepisy wprowadzające ustawę o cmentarzach i chowaniu zmarłych, który został przekazany do opiniowania w ramach Stałego Komitetu Rady Ministrów, zaproponowano nowelizację art. 45 ust. 3 ustawy – Prawo o aktach stanu cywilnego – notariusze oraz zastępcy notarialni mieliby zostać dodani do tamtejszego katalogu podmiotów uprawnionych do pobrania za pośrednictwem usług sieciowych odpisów skróconych aktów stanu cywilnego w zakresie niezbędnym do dokonywania czynności notarialnych

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8571181,pesel-dostep-baza-notariusze.html

• w kontekście zwiększonych zagrożeń dla bezpieczeństwa danych CNIL zaktualizował swoje zalecenie dotyczące haseł z 2017 r., aby zapewnić profesjonalistom i osobom fizycznym praktyczne narzędzia i najnowocześniejsze rozwiązania w tym zakresie
• zdaniem organu, aby sprawdzić solidność hasła, w obecnym stanie techniki konieczne jest poleganie na definicji kryteriów złożoności i długości – dla każdego systemu informatycznego, czyli każdego przetwarzania danych osobowych , ustalana jest polityka haseł, która określa kryteria, które muszą zostać spełnione, aby hasło było „akceptowalne” w tym systemie
• rekomendacja CNIL z 2017 r. określiła progi pod względem liczby znaków i złożoności każdego hasła – Jednak definicji tej brakowało elastyczności, stąd wprowadzenie pojęcia „entropii” w celu umożliwienia porównania odporności różnych polityk haseł
• CNIL zidentyfikował 3 różne, najnowocześniejsze przypadki użycia haseł, które są powiązane z różnymi minimalnymi poziomami entropii:

1.  „proste” uwierzytelnianie hasłem
2. przypadek, w którym wdrażane są środki ograniczające ryzyko ataków online
3. i wreszcie przypadek kodu odblokowującego sprzęt

podmioty mogą również wdrożyć inne środki bezpieczeństwa niż te opisane w zaleceniu – w takim przypadku muszą być w stanie wykazać, że gwarantują co najmniej równoważny poziom bezpieczeństwa

Źródło: https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

• władze Holandii bez wiedzy obywateli zbierają i analizują posty zamieszczane przez nich na Twitterze – informuje dziennik „Trouw”
• zdaniem gazety robi to m.in. administracja podatkowa i celna
• rząd korzysta z narzędzi firm komercyjnych, takich jak Coosto, Obi4wan i Twittertap, aby zbierać i analizować „krytyczne” tweety
• w ostatnich latach Biuro Planowania Społecznego i Kulturalnego (SCP) zebrało tysiące tweetów na temat zmian klimatycznych i „tożsamości narodowej” na potrzeby swoich badań
• dane osobowe użytkowników Twittera, takie jak przekonania religijne, pochodzenie etniczne, zachowania seksualne lub poglądy polityczne, były również gromadzone
• zdaniem ekspertów jest to kontrowersyjna praktyka, albowiem użytkownicy Twittera nie są o tym informowani
• według SCP nie trzeba prosić o zgodę użytkowników, albowiem dane są wykorzystywane do celów statystycznych

Źródło: https://technologia.dziennik.pl/aktualnosci/artykuly/8569518,holandia-tweeter-obywatele-dane.html

• od maja 2020 r. CNIL otrzymywał skargi od osób fizycznych dotyczące oprogramowania do rozpoznawania twarzy Clearview AI i wszczął dochodzenie w maju 2021 r.
• 26 listopada 2021 r. CNIL podjął decyzję o wezwaniu Clearview AI do formalnego do zaprzestania gromadzenia i wykorzystywania danych osób przebywających na terytorium Francji w przypadku braku podstawy prawnej oraz rozpatrywania wniosków o usunięcie danych
• Clearview AI miała dwa miesiące na zastosowanie się do nakazów sformułowanych w formalnym zawiadomieniu i uzasadnienie ich w CNIL – nie udzieliła jednak żadnej odpowiedzi
• sprawa została zatem skierowana do komisji, która jest odpowiedzialna za nakładanie sankcji
• komisja postanowiła nałożyć maksymalną karę finansową w wysokości 20 mln euro, zgodnie z art. 83 RODO
• w odniesieniu do bardzo poważnych zagrożeń dla praw podstawowych osób, których dane dotyczą, wynikających z przetwarzania prowadzonego przez spółkę, komisja postanowiła nakazać Clearview AI zaprzestanie gromadzenia i przetwarzania danych osób mieszkających we Francji bez podstawy prawnej oraz usunięcie dane tych osób, które już zebrał, w okresie dwóch miesięcy
• komisja dodała do tego nakazu karę w wysokości 100 000 euro za każdy dzień zwłoki

Źródło: https://edpb.europa.eu/news/national-news/2022/french-sa-fines-clearview-ai-eur-20-million_en

• sprawa rozpoczęła się od wysyłki– w ramach akcji informacyjnej – wiadomości e-mail z adresami odbiorców w polu „DW” zamiast w polu „UDW” co spowodowało, że każdy odbiorca mógł przeglądać adresy e-mail innych odbiorców, które w tym przypadku również zawierały dane ujawniające dane o stanie zdrowia
• włoski organ stwierdził, że administrator (firma amerykańska) bezprawnie ujawnił konta e-mail i dane dotyczące zdrowia około 2000 włoskich pacjentów z cukrzycą i dopuścił się dodatkowych naruszeń przepisów o ochronie danych
• w szczególności, po pobraniu aplikacji, użytkownicy oczekiwali, że jednym kliknięciem zaakceptują warunki korzystania z serwisu wraz z treścią polityki prywatności – uniemożliwiło im to wyrażenie zgody odrębnie na poszczególne operacje przetwarzania, w tym przetwarzanie danych dotyczących zdrowia
• naruszono również zasady rzetelności i przejrzystości, ponieważ informacje przekazywane użytkownikom były niejasne i niekompletne, a firma nie wyznaczyła na piśmie swojego przedstawiciela w UE do wszystkich kwestii związanych z prywatnością zgodnie z RODO
• mając na uwadze niezamierzony charakter działalności e-mailingowej oraz współpracę wykazaną przez spółkę w toku działań informacyjnych oraz profil organizacyjny spółki, włoski organ nałożył karę administracyjną w wysokości 45 000 EUR oraz nakazał przywrócenie przetwarzania do zgodność z RODO

Źródło: https://edpb.europa.eu/news/national-news/2022/italian-sa-fines-us-company-offering-diabetes-app_en

• nie tylko lekarz rodzinny seniora, ale każdy uprawniony do wystawiania recept dla pacjentów 75+, ma otrzymać automatyczny dostęp do informacji o przepisanych starszej osobie lekach
• prawo ma się zmienić w trosce o seniorów, którzy są wykluczeni cyfrowo i nie korzystają z Internetowego Konta Pacjenta (IKP)
• jednocześnie, będzie to kolejna otwarta furtka do danych wrażliwych pacjenta
• o pilną nowelizację ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych apelowała Koalicja Izb Handlowych dla Zdrowia – obecnie, jak podkreśla Koalicja, pacjenci 75+ mają utrudnioną możliwość korzystania z przysługujących im praw – chodzi o dostęp do bezpłatnych leków. Seniorzy, którzy leczą się u specjalistów, a nie obsługują IKP, napotykają na problemy
• lekarz POZ automatycznie uzyskuje dostęp do historii wystawionych recept i uprawnień pacjenta, natomiast według przepisów, aby lekarz specjalista AOS przepisał receptę seniorowi, ten musi wcześniej aktywować swoje Internetowe Konto Pacjenta i upoważnić w nim lekarza do wglądu w historię choroby i weryfikację uprawnień – niestety dla wielu seniorów, ze względu na ograniczenia techniczne, ten wymóg jest niewykonalny
• Wiceminister zdrowia Maciej Miłkowski odpowiada, że prawo zostanie zmienione – przygotowana propozycja zmian dotyczy ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych

Źródło: https://www.prawo.pl/zdrowie/recepty-dla-pacjentow-75-zgoda-na-dostep,517865.html

• organy podatkowe mają prawo wystąpić z żądaniem uzyskania informacji pozwalających na zidentyfikowanie użytkowników portalu internetowego, a organ nie musi prowadzić żadnego postępowania, aby żądać takich informacji – może to zrobić przed wszczęciem postępowania podatkowego – wynika z czwartkowego wyroku Naczelnego Sądu Administracyjnego
• eksperci twierdzą, że to ingerencja w sferę prywatności podatników
• chociaż Naczelny Sąd Administracyjny uzasadniając wyrok zauważył, że w orzecznictwie prezentowane są również inne, bardziej restrykcyjne poglądy w stosunku do uprawnień organów skarbowych, to dzisiejszy skład orzekający stanął po ich stronie
• o co chodziło w sprawie – Naczelnik Małopolskiego Urzędu Celno-Skarbowego zwrócił się do spółki o udostępnienie i przekazanie informacji dotyczących transakcji zawieranych w okresie całego 2017 r. za pośrednictwem serwisu internetowego, będącego własnością spółki, zażądał przekazania wszelkich danych pozwalających na zidentyfikowanie użytkowników serwisu, w tym danych osobowych, adresów poczty elektronicznej, numerów rachunków bankowych, historii uznań i obciążeń kont prowadzonych dla użytkowników serwisu, zestawienie dokonanych transakcji, z uwzględnieniem adresów kryptowalutowych stron transakcji
• Naczelnik powołując art. 45 ustawy o Krajowej Administracji Skarbowej wyjaśnił, że organy skarbowe są uprawnione do zbierania i wykorzystywania informacji o zdarzeniach, które mają bezpośredni wpływ na powstanie lub wysokość zobowiązania podatkowego – spółka odmówiła udostępniania informacji, a sprawa ostatecznie trafiła przed NSA

Źródło: https://www.prawo.pl/podatki/fiskus-moze-zadac-informacji-o-podatnikach-od-administratorow,517806.html