RODO aktualności – 26.07.2022 r.

• Prezes Urzędu Ochrony Danych Osobowych nakazał, by SKOK i BIK usunęły dane osobowe, które zostały uzyskane w celu oceny zdolności kredytowej i analizy ryzyka.
• Spółdzielcza Kasa odmówiła, skarżącej usunięcia danych uzasadniając, że przetwarza jej dane w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 3-letniego terminu przedawnienia. UODO wskazało, że zebrany materiał dowodowy nie wykazał, by Anna M. wystąpiła z jakimkolwiek roszczeniem. BIK i SKOK nie zgodziły się z rozstrzygnięciem organu, co zaowocowało wniesieniem skarg.
• Sprawą zajął się Wojewódzki Sąd Administracyjny w Warszawie, który wskazał, że na podstawie przepisów ustawy Prawo bankowe, przetwarzanie spornych danych osobowych jest możliwe w dwóch sytuacjach: kiedy dokonywana jest analiz ryzyka i ocena zdolności kredytowej (przed zawarciem umowy kredytu), w trakcie trwania umowy kredytu i po jej wygaśnięciu (przez określony w ustawie czas).
• Przepisy nie zezwalają natomiast na przetwarzanie danych osobowych po zakończeniu dokonywania oceny zdolności kredytowej i analizy ryzyka, w sytuacji, gdy nie doszło do powstania stosunku zobowiązaniowego wynikającego z zawarcia umowy kredytu.
• Sąd nie zgodził się także z argumentem, że BIK będzie przetwarzał dane osobowe Anny M. w celu budowy modeli scoringowych. Wyjaśnienia wymaga, że scoring kredytowy jest metodą oceny wiarygodności podmiotu ubiegającego się o kredyt bankowy. Polega on na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają.

 https://www.prawo.pl/biznes/czy-bank-moze-przetwarzac-dane-osobowe-niedoszlego-kredytobiorcy,515830.html 

• Podczas wydarzenia zostaną zaprezentowane wnioski z badania pt. „Ochrona danych osobowych w 2022 roku”, które zostały przedstawione w dwuczęściowym raporcie: „Wiedza na temat bezpieczeństwa danych osobowych w Polsce” oraz „Cyberzagrożenia – czego boją się Polacy?”. Badanie przeprowadził serwis ChronPESEL.pl oraz Krajowy Rejestr Długów BIG SA, pod patronatem UODO.
• Pierwsza część raportu pt. „Wiedza na temat bezpieczeństwa danych osobowych w Polsce” zawiera analizę wyników badania oraz komentarze i wskazówki ekspertów na co dzień zajmujących się ochroną danych osobowych na temat wniosków wynikających ze sprawdzenia stanu wiedzy Polaków.
• Druga część raportu pt. „Cyberzagrożenia – czego boją się Polacy?” odnosi się do zagadnień związanych z bezpieczeństwem Polaków w sieci. Wyniki badania dostarczają wiedzy o największych obawach związanym z naruszeniem ich poufności danych osobowych czy prawa do prywatności.
• Webinarium organizowane przez UODO odbędzie się 12 lipca 2022 r., o godz. 10.00.

Żródło: https://uodo.gov.pl/pl/138/2409

• Za coraz więcej usług płacimy nie pieniędzmi, ale naszymi danymi i zgodą na ich wykorzystanie do różnych celów. Trend ten będzie narastał, dlatego tak ważna jest z jednej strony świadomość klientów, z drugiej zaś umożliwienie im wyboru.
• Skargę, którą zajął się 7 lipca Wojewódzki Sąd Administracyjny w Warszawie, złożyła Fundacja Panoptykon. Dotyczy ona kampanii reklamowej PZU Pomoc S.A. z 2019 r., w której reklamowano możliwość bezpłatnego ubezpieczenia dzieci na wakacje. Warunek był jeden – rodzic musiał wyrazić zgodę na przetwarzanie jego danych osobowych w celach marketingowych przez spółki z grupy kapitałowej PZU. Ani w reklamach zachęcających do skorzystania z tej oferty, ani na stronie internetowej, na której za pośrednictwem specjalnego formularza można było zawrzeć umowę bezpłatnego ubezpieczenia w zamian za zaznaczenie zgody marketingowej, nie informowano o możliwości skorzystania z równoważnej usługi bez konieczności godzenia się na wykorzystanie danych osobowych.
• Sprawę zbadał Urząd Ochrony Danych Osobowych, ale nie stwierdził naruszenia przepisów. Przekonały go wyjaśnienia PZU, zgodnie z którymi każdy klient mógł wykupić odpłatne ubezpieczenie u agenta ubezpieczeniowego. Panoptykon przekonuje natomiast, że w chwili rozpoczęcia akcji nie było o tym najmniejszej wzmianki.
• Zdaniem UODO dobrowolności nie można rozpatrywać z perspektywy sposobu prezentowania oferty za pośrednictwem strony internetowej, „albowiem nie jest to w zakresie kompetencji organu ochrony danych”. Zdaniem autora skargi sposób i miejsce zaprezentowania alternatywnej możliwości zawarcia umowy ma kluczowe znaczenie dla oceny ważności zgody na przetwarzanie danych.

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8486659,rodo-usluga-za-udostepnienie-danych-zgoda-na-marketing.html

• Francuski organ nadzorczy CNIL otrzymał szereg skarg dotyczących trudności napotykanych przez osoby fizyczne przy uwzględnianiu ich wniosków o dostęp do ich danych i sprzeciwu wobec otrzymywania wezwań do celów marketingu bezpośredniego przez francuskiego producenta i dostawcę energii, TotalEnergies Électricité et Gaz France
• Spółce zarzucono:

– niewywiązanie się z obowiązku informacyjnego (art. 14 RODO).

– nieprzestrzeganie prawa dostępu do danych (art. 15 RODO) oraz prawa do sprzeciwu osób, których dane dotyczą (art. 21 RODO).

– niewywiązanie się z obowiązków związanych z trybem wykonywania praw (art. 12 RODO).

• Na podstawie ustaleń poczynionych w trakcie dochodzeń CNIL – nałożył grzywnę w wysokości 1 mln euro na Total nergies Électricité et Gaz France i postanowił ją upublicznić.
• Wysokość tej grzywny została ustalona w świetle stwierdzonych naruszeń, a także wszystkich środków podjętych przez przedsiębiorstwo w trakcie postępowania w celu doprowadzenia do zgodności.

Żródło: https://edpb.europa.eu/news/national-news/2022/commercial-prospection-french-sa-fines-totalenergies-electricite-et-gaz_en

• Prezes UODO nałożył kolejną administracyjną karę pieniężną na Głównego Geodetę Kraju – jej wysokość to 60 tys. zł, a powodem tej sankcji było niezgłoszenie naruszenia ochrony danych osobowych organowi oraz niepowiadomienie o nim osób, których dane dotyczą
• decyzja nakazuje też powiadomić o naruszeniu osoby, których ono dotyczyło
• na początku kwietnia 2022 roku przez ponad 48 godzin w serwisie prowadzonym przez Głównego Geodetę Kraju, czyli www.geoportal.gov.pl widoczne były numery ksiąg wieczystych – posiadając numer księgi wieczystej w łatwy sposób można ustalić szereg danych właścicieli nieruchomości w tym ich m.in. ich numery PESEL, imiona, nazwiska, imiona rodziców, adres nieruchomości
• UODO o naruszeniu dowiedział się jednak nie od administratora, który powinien to zgłosić organowi nadzorczemu, ale z mediów
• ponieważ w dalszym ciągu nie wpłynęło zgłoszenie naruszenie ochrony danych osobowych od GGK, to organ nadzorczy wszczął postępowanie administracyjne – w toku tego postępowania GGK utrzymywał, że numery ksiąg wieczystych nie są danymi osobowymi oraz że numery ksiąg są też widoczne w innych serwisach i krótkotrwałe pojawienie się numerów w serwisie www.geoportal.gov.pl nie spowodowało jakiegokolwiek ryzyka naruszenia praw i wolności osób, których dane dotyczą
• wydając decyzję organ nadzorczy wziął pod uwagę m.in. to iż w jego ocenie naruszenie miało dużą wagę i poważny charakter, a niezgłoszenie tego incydentu do UODO, jak i niepowiadomienie osób było umyślne – znaczenie dla kary miało również, to że UODO o naruszeniu dowiedział się z mediów, a nie od samego administratora danych

Żródło: https://uodo.gov.pl/pl/138/2411 https://www.prawo.pl/samorzad/dane-osobowe-kara-dla-glownego-geodety-kraju,516201.html

• administracja samorządowa nie może wymagać od mieszkańców podawania numeru PESEL bez podstawy prawnej – uzależnienie wypłaty dodatku energetycznego od złożenia wniosku ze wskazaniem tego numeru jest bezprawne – uznał Wojewódzki Sąd Administracyjny w Kielcach
• Rada Miejska w Stąporkowie uchwaliła wzór wniosku o wypłatę zryczałtowanego dodatku energetycznego, w którym wymagała podania numeru PESEL, dodając do tego specjalną klauzulę o odpowiedzialności za składanie fałszywych zeznań
• Wojewoda świętokrzyski zaskarżył tę uchwałę do sądu, uznając, że samorząd nie może wymagać od swych mieszkańców podania tego numeru, bo dane te nie są niezbędne do wypłaty dodatku energetycznego – umieszczenie takiej rubryki we wzorze wniosku jest więc nadmiarowe i kłóci się z wynikającą z RODO zasadą minimalizacji.
• Rada Miejska w odpowiedzi na skargę podkreśliła, że żaden przepis prawa nie reguluje, co powinno się znajdować we wniosku o wypłatę zryczałtowanego dodatku energetycznego – dlatego też, jej zdaniem, uchwała nie naruszała prawa
• nie przekonało to sądu, który przypomniał, że za istotne naruszenie prawa uznaje się uchybienie, prowadzące do skutków, które nie mogą być tolerowane w demokratycznym państwie prawnym – tak też jego zdaniem stało się w przypadku spornej uchwały

Żródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8490464,aby-zadac-numeru-pesel-trzeba-miec-podstawe.html

• organ ochrony danych osobowych dopuszcza skanowanie nawet przy zawieraniu najprostszych umów, np. zakładaniu konta – oznacza to zmianę stanowiska organu
• UODO w decyzji z 10 czerwca 2022 r. jednoznacznie stwierdził, że na podstawie przepisów ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa AML) instytucje finansowe są uprawnione do wykonywania i zbierania kopii dokumentów tożsamości swoich klientów przy zawieraniu najprostszych nawet umów
• w praktyce oznacza to, że zarówno klient będący konsumentem, jak i przedsiębiorca udający się do banku w celu założenia konta firmowego nie mogą odmówić zeskanowania swojego dowodu osobistego, jeśli chcą, żeby taki produkt bankowy został im udostępniony
• ta decyzja, wydana w sporze między bankiem a klientem kwestionującym prawo banku do zeskanowania jego dowodu przy otwieraniu kona bankowego, oznacza, że Prezes UODO znacząco zmienił swoje stanowisko w tej kwestii
• w opisywanej najnowszej decyzji z 2022 r. organ podzielił stanowisko banku, że rachunek bankowy już w swojej istocie stanowi produkt rodzący ryzyko prania pieniędzy lub finansowania terroryzmu – nie mają znaczenia inne okoliczności, jak np. saldo rachunku czy dokonywane na koncie transakcje
• w konsekwencji już samo otwieranie rachunku klientowi uzasadnia konieczność zastosowania środków bezpieczeństwa finansowego opisanych w ustawie AML

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8489919,czy-mozna-kopiowac-dowody-osobiste.html

• sąd nie rozstrzygnął, czy klient, któremu proponuje się darmową usługę za przekazanie danych, musi w tym miejscu i czasie otrzymać alternatywną ofertę – uznał bowiem, że na to za wcześnie, bo Prezes Urzędu Ochrony Danych Osobowych niewystarczająco zbadał akcję promocyjną PZU Pomoc
• sprawa dotyczy kampanii reklamowej PZU Pomoc SA z 2019 r., w której reklamowano możliwość bezpłatnego ubezpieczenia dzieci na wakacje – warunek był jeden – rodzic musiał wyrazić zgodę na przetwarzanie jego danych osobowych w celach marketingowych przez spółki z grupy kapitałowej PZU
• ani w reklamach zachęcających do skorzystania z tej oferty, ani na stronie internetowej, na której za pośrednictwem specjalnego formularza można było zawrzeć umowę bezpłatnego ubezpieczenia w zamian za zaznaczenie zgody marketingowej, nie informowano o możliwości skorzystania z równoważnej usługi, bez konieczności godzenia się na wykorzystanie danych osobowych
• RODO nie zabrania oferowania zniżek czy też nawet darmowych usług w zamian za zgodę na przetwarzanie danych osobowych, ale wymaga, by równocześnie dostępna była alternatywna oferta, która takiej zgody nie wymaga
• klasycznym przykładem są usługi telekomunikacyjne, przy których klient często może dostać zniżkę, jeśli zgodzi się na otrzymywanie reklam – tyle że wówczas sytuacja jest klarowna – jeśli nie chce dostawać reklam, to po prostu płaci nieco więcej
• tu zaś klient, który chciał skorzystać z tej akcji, nie miał takiego wyboru – albo wypełnił formularz, zaznaczając wymagane zgody na profilowanie i marketing, albo też musiał poszukać innej oferty

• zdaniem Fundacji Panoptykon, która zawiadomiła UODO, oznacza to, że klient musi mieć w tym samym miejscu i czasie możliwość zawarcia alternatywnej umowy, w której nie zgodzi się na przetwarzanie danych do celów marketingowych
• PZU przekonuje z kolei, że nie ma takiego obowiązku – wystarczyło, że oferował inne ubezpieczenie, które można było zawrzeć za pośrednictwem agenta bądź też w jego oddziale
• Prezes UODO zaakceptował te wyjaśnienia i uznał, że nie doszło do naruszenia przepisów
• Panoptykon zaskarżył tę decyzję do sądu administracyjnego
• sąd uchylił decyzję UODO, ale nie wypowiedział się co do meritum sporu – uznał bowiem, że na to za wcześnie, bo UODO musi dogłębniej zbadać sprawę, a to dlatego, że jego decyzja dotyczyła stanu po zmianie regulaminu promocji, która nastąpiła już po wystąpieniu do PZU, pomija natomiast sytuację sprzed tej zmiany

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8488838,pzu-pomoc-promocja-dane-osobowe-uodo.html

• powstanie centralna baza, w której każdy będzie mógł za darmo zastrzec swój numer PESEL, tak aby uniemożliwić wzięcie na niego pożyczki
• Polacy, którzy padli ofiarą wycieku lub kradzieży danych, byli dotychczas pozostawieni samym sobie – jedyne, co mogli zrobić, to szukać pomocy w jednym z komercyjnych serwisów pozwalających monitorować, czy ktoś nie próbuje wziąć kredytu lub pożyczki na ich nazwisko
• rząd rozpoczął prace koncepcyjne nad stworzeniem państwowej bazy, w której każdy będzie mógł za darmo zastrzec swe dane
• na razie nie wiadomo, jak konkretnie ma działać nowy serwis – trwają prace koncepcyjne nad jego stworzeniem
• z nieoficjalnych informacji wynika, że będzie to strona internetowa w domenie gov.pl, za pośrednictwem której każdy będzie mógł zastrzec swoje dane – takie zastrzeżenie zostanie odnotowane w bazie, w której instytucje finansowe i firmy telekomunikacyjne będą miały obowiązek sprawdzić informacje przed zawarciem każdej umowy
• jeśli okaże się, że numer PESEL jest zastrzeżony, to firma nie będzie mogła udzielić kredytu lub pożyczki ani zawrzeć umowy telekomunikacyjnej

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8488900,wyciek-danych-baza-danych-zastrzezenie-pesel.html

• Po uwagach UODO z projektu ustawy o szczególnych rozwiązaniach służących ochronie odbiorców niektórych paliw stałych w związku z sytuacją na rynku tych paliw usunięto przepisy przewidujące utworzenie bazy danych pełnoletnich osób fizycznych zainteresowanych zakupem paliwa stałego na potrzeby własnego gospodarstwa domowego.
• UODO postawił pytanie o cel utworzenia i prowadzenia przez ministra bazy danych pełnoletnich osób fizycznych zainteresowanych zakupem paliwa stałego na potrzeby własnego gospodarstwa domowego. Cel ten był tym bardziej niejasny, że zgodnie z projektowanymi przepisami wskazany minister miałby na bliżej niesprecyzowanych zasadach udostępniać dane z tej bazy przedsiębiorcom wykonującym działalność gospodarczą w zakresie wprowadzania do obrotu paliw stałych, a więc niekoniecznie przedsiębiorcom ubiegającym się o rekompensaty.
• Organ nadzorczy wskazał, że wątpliwe jest, by stworzenie takiej bazy spełniało wymogi RODO w zakresie zgodności z prawem, rzetelności i przejrzystości, a przetwarzanie zamieszczanych w niej danych osobowych nie naruszało zasady ograniczenia celu. W jego opinii, wzgląd na zasady minimalizacji danych oraz zgodności z prawem przemawia przeciwko przyjętemu w projekcie otwartemu katalogowi danych osobowych zawartych we wniosku o wypłatę rekompensaty.

Żródło: https://www.uodo.gov.pl/pl/138/2419

• Urząd rozpatrzył skargę przeciwko Clearview AI Inc, złożoną przez cywilną organizację non-profit „Homo Digitalis” w imieniu skarżącego, który twierdził, że nie był usatysfakcjonowany w związku z prawem dostępu, z którego skorzystał przed wyżej wymienioną firmą. W skardze wniesiono również o zbadanie praktyk pozwanej spółki w całości z punktu widzenia ochrony danych osobowych.
• Grecka organ ochrony danych nałożyła karę w wysokości dwudziestu milionów euro (20 000 000) na Clearview AI Inc za naruszenie zasad legalności i przejrzystości.
• Ponadto Urząd nakazał przedsiębiorstwu zastosowanie się do tego, aby spełniło wniosek skarżącego o dostęp do danych osobowych, nakładając jednocześnie (na to samo przedsiębiorstwo) zakaz gromadzenia i przetwarzania danych osobowych osób znajdujących się na terytorium Grecji, przy użyciu metod zawartych w usłudze rozpoznawania twarzy.
• Na mocy niniejszej decyzji Urząd nakazał Clearview AI Inc. usunięcie danych osobowych podmiotów znajdujących się w Grecji, które spółka gromadzi i przetwarza przy użyciu wyżej wymienionych metod.

Żródło: https://edpb.europa.eu/news/national-news/2022/hellenic-dpa-fines-clearview-ai-20-million-euros_pl

• Duńska organ ochrony danych podjął decyzję we wrześniu 2021 r., w której gmina Elsinore została zobowiązana do przeprowadzenia oceny ryzyka przetwarzania danych osobowych przez gminę w szkole podstawowej przy użyciu Google Chromebooks i Workspace.
• Na podstawie dokumentacji i oceny ryzyka dla osób, których dane dotyczą, przygotowanej przez gminę Elsinore, duński organ ochrony danych stwierdził obecnie, że przetwarzanie nie spełnia wymogów RODO w kilku punktach.
• Duński organ ochrony danych stwierdził, że gmina jako administrator danych nie oceniła pewnych szczególnych zagrożeń związanych z konstrukcją podmiotu przetwarzającego dane w odniesieniu do czynności przetwarzania, które administrator może wykonywać jako organ publiczny. Ponadto umowa o przetwarzaniu danych (DPA) stanowi, że informacje mogą być przekazywane do państw trzecich w sytuacjach wsparcia technicznego bez wymaganego poziomu bezpieczeństwa i ochrony.
• Organ zauważył, że wiele konkretnych wniosków zawartych w tej decyzji prawdopodobnie będzie miało zastosowanie do innych duńskich gmin, które stosują te model procesora.

Żródło: https://edpb.europa.eu/news/national-news/2022/danish-dpa-imposes-ban-use-google-workspace-elsinore-municipality_pl

• Start-up Discoperi ma plan, aby technologia sztucznej inteligencji (AI), dzięki analityce obrazu z kamer, ograniczyła liczbę niebezpiecznych zdarzeń na ulicach. Wojna za naszą wschodnią granicą mocno pokrzyżowała firmie szyki, ale jej twórca chce rozwijać swój innowacyjny projekt za granicą. Na celowniku jest Polska.
• Discoperi ma system, który nie musi wcale ograniczać się wyłącznie do ruchu drogowego. Wykorzystywana przez start-up technologia AI jest w stanie śledzić i analizować również przepływ ludzi czy towarów. – Zbudowaliśmy sieć neuronową do liczenia osób. Nie jest to technika typu face-ID
• Ukraińskie rozwiązanie pozwala użytkownikom lepiej diagnozować ludzi w tłumie: poznać ich wiek, płeć, określić liczbę osób poruszających się w różnych kierunkach. Co ważne, zachowując zasady RODO. – Nasza sztuczna inteligencja może być stosowana w przypadku klientów B2B, jak np. sklepów czy lotnisk, jak też B2G. W tym wypadku system jest w stanie analizować np. grupy migrantów

Żródło: https://cyfrowa.rp.pl/technologie/art36721841-sztuczna-inteligencja-zapobiegnie-wypadkom-ukrainski-pomysl

• W połowie urzędów pracujących zdalnie w czasie pandemii nie wprowadzono systemu zarządzania bezpieczeństwem informacji – wynika z kontroli Najwyższej Izby Kontroli. Dbano głównie o dane osobowe, choć należało zatroszczyć się o poufność każdego rodzaju przetwarzanych informacji.
• Kontrolerzy sprawdzali to w Kancelarii Prezesa Rady Ministrów, Izbie Administracji Skarbowej w Olsztynie, dwóch jednostkach wojewódzkiej administracji zespolonej, dwóch jednostkach samorządu powiatowego i pięciu jednostkach samorządu gminnego.
• Kontrola NIK pokazała, że Kancelaria Prezesa Rady Ministrów (KPRM), która pełni obowiązki Ministerstwa Cyfryzacji, nie monitorowała tego, jak podczas pracy na odległość chroniono przetwarzane mobilnie dane.
• Część instytucji nie przestrzegała własnych zasad związanych z pracą na indywidualnych kontach systemu operacyjnego, szyfrowaniem twardych dysków służbowych komputerów czy postępowaniem z zewnętrznymi nośnikami danych.
• Z danych Departamentu Cyberbezpieczeństwa KPRM wynika, że w 2020 r. doszło do 388 incydentów bezpieczeństwa w administracji publicznej, a tylko do sierpnia 2021 r. do kolejnych 287.

Żródło: https://www.rp.pl/urzednicy/art36722251-nik-urzednicy-na-home-office-a-dane-w-niebezpieczenstwie

https://serwisy.gazetaprawna.pl/samorzad/artykuly/8495329,praca-zdalna-w-urzedach-kontrola-nik-bezpieczenstwo-danych.html