RODO aktualności – 26.10.2021 r.

• amerykański Sąd Najwyższy uznał, że nie wolno nakazać polskiemu serwisowi internetowemu ujawnienia danych użytkowników – w co najmniej dziewięciu stanach jest to już obowiązująca reguła, ale i inne sądy zaczęły ją stosować
• w praktyce oznacza to, że polskie, a także europejskie firmy nie mogą być zobowiązywane do przekazywania informacji o swych klientach na potrzeby toczących się w USA postępowań
• sądy amerykańskie kolejnych instancji uznały, że na potrzeby toczącego się w USA postępowania nie mogą zobowiązać polskiej firmy prowadzącej portal internetowy do ujawnienia danych osobowych użytkowników
• zgodnie z naszymi regulacjami mogłoby to bowiem narazić administratora nawet na odpowiedzialność karną (przepisy przewidują karę więzienia za bezpodstawne przetwarzanie danych)
• rozstrzygnięcie jest precedensowe i już sprawia, że kolejne sądy odrzucają podobne wnioski w innych sprawach

• sprawa, w której zapadły rozstrzygnięcia, dotyczy portalu internetowego z treściami pornograficznymi ePorner – należy on do polskiej spółki cywilnej
• w 2015 r. pozew przeciwko niej złożyła amerykańska firma AMA Multimedia – zarzuciła m.in. naruszenie praw autorskich
• spółka złożyła wniosek o oddalenie powództwa ze względu na brak jurysdykcji sądów amerykańskich
• AMA Multimedia sprzeciwiła się, twierdząc, że strona ePorner nie tylko została zarejestrowana w Arizonie, ale także jest adresowana w znaczącej części do amerykańskiego odbiorcy
• aby to udowodnić, wystąpiła z wnioskiem o udostępnienie danych osobowych użytkowników – gdyby okazało się, że znaczna ich część to Amerykanie, łatwiej byłoby przekonać sąd, że sprawa podlega pod tamtejszą jurysdykcję
• ponieważ RODO jeszcze wówczas nie obowiązywało, polska spółka się na ówczesną ustawę o ochronie danych osobowych
• sąd okręgowy w Arizonie przyznał rację spółce, odmawiając nakazania udostępnienia danych
• w sierpniu 2020 r. Sąd Apelacyjny dla Dziewiątego Okręgu oddalił apelację w tej sprawie
• AMA Multimedia próbowała jeszcze podważyć to rozstrzygnięcie przed Sądem Najwyższym, ale również bezskutecznie

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8273902,dane-polakow-nie-dla-amerykanow-rodo.html

• według raportu “Digital Consumer Trends 2021″ Deloitte 73 proc. ankietowanych Polaków uważa, że firmy, z którymi wchodzą w interakcję przez internet, wykorzystują ich dane osobowe
• najwięcej – 81 proc. respondentów z grupy wiekowej 25-34 lata potwierdza, że ma taką świadomość
• 32 proc. pytanych w wieku 55-65 lat nie wie, że ich dane osobowe są wykorzystywane przez różne podmioty
• większość badanych akceptuje wszelkie pliki cookies i przekazuje dane do aplikacji – niespełna 30 proc. zawsze tak robi, a 62 proc. czasami
• 23 proc. ankietowanych zawsze odmawia udzielenia dostępu do treści czy zdjęć przez aplikacje, a 64 proc. robi to czasami
• generalnie, 25 proc. w ogóle nie zastanawia się nad tymi kwestiami lub nie wie, że istnieją możliwości akceptacji wybranych zgód na zbieranie danych o aktywności w sieci
• z kolei 9 proc. jest świadomych możliwości korzystania z przeglądarki, która nie pozwala na takie udostępnianie, a 38 proc. udzieliło odpowiedzi „nigdy nie korzystałem”

Źródło: https://forsal.pl/lifestyle/technologie/artykuly/8273319,73-proc-konsumentow-w-polsce-ma-swiadomosc-ze-ich-dane-sa-wykorzystywane-w-sieci.html

• kolejny poważny wyciek danych Polaków – tym razem winowajcą okazała się sieć Plus, która za pośrednictwem jednej z podstron swojej witryny internetowej umożliwiała nieuprawniony dostęp do danych klientów swojej sieci
• w niepowołane ręce mogły wpaść numery PESEL, adresy zamieszkania i wiele innych wrażliwych danych
• dostęp do informacji był ponoć możliwy co najmniej od połowy czerwca bieżącego roku
• Plus w wyniku błędu udostępnił swoje api pod adresami api.plus.pl/api oraz api.plushbezlimitu.pl/api
• masowe pozyskiwanie danych na temat użytkowników sieci utrudniały dwie kwestie – pierwszą był to, że nie dla każdego numeru API zwracał pełne dane, drugą fakt, że internetowe konto abonenta Plusa działa na tyle kiepsko, że dane były każdorazowo zwracane w ślimaczym tempie
• Plus szybko zareagował na zgłoszenie problemu, informował na bieżąco o podejmowanych działaniach i wystosował oświadczenie w sprawie niefortunnej wpadki
• okazało się, że winną zamieszania była aktualizacja
• skala wycieku danych nie jest znana – Plus podaje tylko, że większy ruch do API odnotowano 5 października i wtedy właśnie ktoś mógł z luki skorzystać

Źródło: https://niebezpiecznik.pl/post/fatalna-wpadka-plusa-kazdy-mogl-pobrac-dane-klientow/ https://www.instalki.pl/aktualnosci/bezpieczenstwo/50318-wyciek-danych-plus.html

• na październikowym posiedzeniu plenarnym EROD przyjęła ostateczną wersję Wytycznych w sprawie ograniczeń praw osób, których dane dotyczą, zgodnie z art. 23 RODO po konsultacjach społecznych
• wytyczne mają na celu przypomnienie warunków związanych ze stosowaniem takich ograniczeń przez państwa członkowskie lub prawodawcę UE w świetle Karty praw podstawowych i RODO
• zapewniają dogłębną analizę kryteriów stosowania ograniczeń, ocen, których należy przestrzegać, sposobu, w jaki osoby, których dane dotyczą, mogą korzystać ze swoich praw po zniesieniu ograniczeń oraz konsekwencji naruszeń art. 23 RODO
• ponadto w wytycznych analizuje się, w jaki sposób środki legislacyjne określające ograniczenia muszą spełniać wymóg przewidywalności, oraz badają podstawy ograniczeń wymienionych w art. 23 ust. 1 RODO oraz obowiązki i prawa, które mogą zostać ograniczone

Źródło: https://edpb.europa.eu/news/news/2021/edpb-adopts-guidelines-restrictions-data-subject-rights-under-article-23-gdpr_en

• Parafia Kościoła rzymskokatolickiego na Słowenii rozpatrywała wniosek osoby o prawo do usunięcia danych
• osoba ta zażądała usunięcia swoich danych osobowych z księgi chrztów, ponieważ nie była już członkiem Kościoła
• parafia twierdziła, że podstawą prawną przetwarzania danych w ewidencji jest przede wszystkim ustawa o ochronie dokumentów i archiwów oraz placówkach archiwalnych, która klasyfikuje ewidencję jako materiał archiwalny o wybitnym znaczeniu państwowym, w związku z czym nie wolno usuwać żadnych danych
• słoweński organ ochrony danych podkreślił, że sama ww. ustawa przewiduje, że dokumentalny materiał kościelny ma cechy materiału archiwalnego, podlega również zasadom trwałości i integralności oraz zapewnia środki, które można uznać za odpowiednie zabezpieczenia zgodnie z 89 ust. 1 RODO
• organ uznał, że Rejestr Batism jest dokumentem archiwalnym zgodnie z ustawą krajową i że osoba fizyczna nie może domagać się prawa do usunięcia danych, gdy przetwarzanie jest potrzebne do celów archiwalnych w interesie publicznym, a usunięcie danych poważnie utrudniłoby osiągnięcie tych celów
• decyzja została zaskarżona do sądu – Sąd Administracyjny utrzymał w mocy decyzję SA i dodał, że jednostka nie ma do czynienia z elementami religijnymi przez sam fakt, że parafia przechowuje jego dane w rejestrze

Źródło: https://edpb.europa.eu/news/national-news/2021/slovenian-administrative-court-upholds-decision-slovenian-sa-right-erasure_en

• przy wdrażaniu wewnętrznego systemu sygnalizowania o nieprawidłowościach niezwykle ważne jest zapewnienie, aby dane osobowe wszystkich uczestników postępowania – sygnalisty, sprawców lub ewentualnych świadków opisanego w zgłoszeniu naruszenia ‒ były należycie chronione, a ich prawa przestrzegane
• dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii wskazuje wprost na wymóg stosowania RODO przy korzystaniu z mechanizmów whistleblowingowych
• zgodnie z motywem 82 dyrektywy ochrona poufności tożsamości osoby dokonującej zgłoszenia podczas trwania procesu dokonywania zgłoszenia i w toku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia jest jednym z zasadniczych środków ex ante zapobiegających działaniom odwetowym
• zgodnie z art. 53 ust. 4 i 7 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu procedura anonimowego zgłaszania naruszeń powinna określać sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych, a także termin usunięcia danych osobowych zawartych w zgłoszeniu

• na uwagę w odniesieniu do wewnętrznych procedur whistleblowingowych zasługuje m.in. zasada minimalizacji danych, co będzie sprowadzać się do tego, że danych osobowych, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie należy zbierać, a w przypadku ich przypadkowego zebrania należy je niezwłocznie usunąć
• Rządowe Centrum Legislacji 18 października 2021 r. opublikowało projekt ustawy o ochronie osób zgłaszających naruszenia prawa, wdrażającej dyrektywę 2019/1937 do polskiego porządku prawnego.
• implementacja przepisów dyrektywy AML (tj. dotyczącej zapobiegania praniu pieniędzy) wchodzi w życie 31 października 2021 r., zaś przepisy dyrektywy o ochronie sygnalistów muszą być zaimplementowane do 17 grudnia 2021 r.

Źródło: https://praca.gazetaprawna.pl/artykuly/8276358,sygnalista-w-procedurze-informowania-o-nieprawidlowosciach-trzeba-pamietac-o-rodo.html

• Zakres stosowania RODO jest zbyt szeroki i przekształca je „w jedne z najbardziej de facto lekceważonych ram prawnych w prawie Unii” – uważa rzecznik generalny TSUE
• TSUE ma rozstrzygnąć, czy organ ochrony danych jest uprawniony do rozpoznawania skargi na sąd, który udostępnił dziennikarzowi akta toczącej się sprawy – skargę taką złożył obywatel Niderlandów, a Urząd do Spraw Ochrony Danych Osobowych uznał, że nie jest właściwy do jej zbadania, gdyż dane były przetwarzane przez sąd „w ramach sprawowania przez niego wymiaru sprawiedliwości”
• pytanie prejudycjalne złożone do TSUE wzbudziło spore zainteresowanie i skłoniło rzecznika generalnego Michala Bobeka do bardziej ogólnego spojrzenia na RODO, które jego zdaniem wymaga reformy
• Jest to właśnie to pytanie, które w niniejszej sprawie ponownie wysuwa się na pierwszy plan: czy zakres RODO nie powinien zostać ograniczony pod względem materialnym? Czy każda forma interakcji międzyludzkiej, w której ujawniane są informacje o innych osobach, niezależnie od sposobu ich ujawniania, ma podlegać jego dość uciążliwym przepisom? – zauważył w swej opinii rzecznik generalny

• Michal Bobek uważa, że wynikający z art. 2 RODO zakres stosowania RODO jest na tyle szeroki, że można pod niego podciągnąć niemal wszystko – zwraca bowiem uwagę, że ograniczenie dotyczące automatyzacji w czasach powszechnej informatyzacji straciło na swym znaczeniu
• zdania ekspertów są podzielone, jak wskazują, z pewnością niestety wiele osób i podmiotów nie stosuje RODO, ale mają wątpliwości, czy rzeczywiście ze względu na zbyt szeroki zakres działania
• w 2020 r. KE przeprowadziła przegląd RODO po dwóch latach jego stosowania – choć w raporcie wskazała na pewne problemy, to uznała, że za wcześnie jest, by mówić o ewentualnych zmianach

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8268802,rodo-jednym-z-najbardziej-lekcewazonych-aktow-prawnych-ue.html

• szkoły mogą wykorzystywać dane biometryczne uczniów, np. jak w głośnym swego czasu przypadku, do kontroli wchodzących do stołówki, ale tylko za zgodą rodziców lub opiekunów prawnych – taka zgoda w świetle RODO będzie ważna jedynie wtedy, gdy będzie dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli podmiotu danych
• szkoły korzystające z różnych systemów biometrycznych często opierają legalność przetwarzania danych biometrycznych uczniów o udzielone przez nich wyraźne zgody (art. 9 ust. 2 lit. a RODO) lub o wyraźne zgody udzielone przez ich opiekunów prawnych
• Prezes UODO nakładając w 2020 r. administracyjną karę pieniężną na Szkołę Podstawową nr 2 w Gdańsku w związku z przetwarzaniem przez nią danych biometrycznych uczniów na potrzeby organizacji dostępu do szkolnej stołówki, zauważył, że uczniowie, którzy nie posiadali identyfikacji biometrycznej, musieli przepuszczać w kolejce uczniów zarejestrowanych w systemie
• tym samym w ocenie organu sposób organizacji dostępu do szkolnej stołówki prowadził do nierównego traktowania uczniów
• decyzja organu została uchylona WSA w Warszawie – w uzasadnieniu wyroku sąd jednak lakonicznie odniósł się do ustaleń organu dotyczących dobrowolności zgody, ograniczając się jedynie do stwierdzenia, że „pisemne oświadczenia rodziców, […] w sposób jednoznaczny i niebudzący wątpliwości […] świadczą o spełnieniu przesłanki, o której mowa w art. 9 ust. 2 lit. a RODO”
• Prezes UODO nie zgodził się ze stanowiskiem WSA w Warszawie i poinformował o wniesieniu skargi kasacyjnej od NSA

Źródło: https://www.prawo.pl/oswiata/dane-biometryczne-uczniow-wykorzystywanie-tylko-za-dobrowolna,511304.html

• zbyt wąski zakres konsultacji społecznych, brak propozycji mechanizmów umożliwiających monitorowanie przestrzegania kodeksu, zbyt ogólne podchodzenie do zagadnień przetwarzania danych albo powtarzanie przepisów RODO – to częste błędy popełniane przez środowiska pracujące nad projektami kodeksów postępowania
• powodują one wydłużanie prac nad tymi dokumentami lub ich zawieszanie, a niekiedy prowadzą do zaniechania inicjatyw
• UODO przygotował trzyczęściowy cykl publikacji na temat tworzenia branżowych kodeksów postępowania
• pierwsza z nich jest poświęcona kluczowym organizacyjnym aspektom pracy nad przyjęciem kodeksu i korzyściom z jego przyjęcia
• organ wskazuje m.in. gdzie szukać wskazówek na temat kodeksów – w tym zakresie powołuje przyjęte na początku czerwca 2019 r. Wytyczne Europejskiej Rady Ochrony Danych (EROD) dotyczące kodeksów postępowania i podmiotów monitorujących
• kodeks postępowania, który zostanie przygotowany zgodnie z przepisami o ochronie danych osobowych, będzie spełniał stawiane mu wymagania i nie będzie jedynie powtórzeniem RODO, a przede wszystkim doprecyzuje wiele kwestii z uwzględnieniem specyfiki danej branży, przyniesie wiele korzyści
• administratorom i podmiotom przetwarzającym będącym członkami kodeksu ułatwi stosowanie przepisów i wypełnianie szeregu obowiązków, wskaże właściwe rozwiązania, tam gdzie dziś istnieją dylematy

Źródło: https://uodo.gov.pl/pl/138/2179