Co grozi za nieudokumentowanie powierzenia przetwarzania danych? Czy system IAB Europe narusza przepisy RODO? Jak długo przechowywać dane byłych klientów? Czego dotyczyły kary nałożone na Grecję i Francję? Jak doszło do włamania do Revoluta? Jakie dane osobowe wyciekły z SGH? Czy UOKiK może skontrolować czy firma przestrzega przepisów RODO? Czy RODO zapewnia aż DWIE, niezależne drogi dochodzenia praw w przypadku naruszenia? Czy Polacy są świadomi jak radzić sobie z naruszeniami RODO?
MULTIMEDIA | |
---|---|
#RODOA [19.09.2022] | #RODOA [26.09.2022] |
Pobierz PDF | Pobierz PDF |
Obejrzyj omówienie na YouTube…
… albo odsłuchaj w formie podcastu
Powierzenie przetwarzania danych trzeba udokumentować – kara UODO
- UODO nałożył administracyjną karę pieniężną w kwocie 2,5 tys. zł na Sułkowicki Ośrodek Kultury
- powodem decyzji było powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych
- do UODO zgłoszono naruszenie ochrony danych osobowych w Sułkowickim Ośrodku Kultury – w toku postępowania wyjaśniającego ustalono, że administrator powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi przetwarzającemu, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji
- ponadto administrator nie przeprowadził weryfikacji podmiotu przetwarzającego, nie sprawdził, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO
Żródło: https://uodo.gov.pl/pl/138/2450
Sprawa przeciwko IAB Europe trafi do TSUE
- Trybunał Sprawiedliwości UE zajmie się sprawą skarg na IAB Europe i jego system śledzącej reklamy, który może być niezgodny z RODO
- belgijski organ ochrony danych osobowych (APD) uznał na początku lutego br., że stworzony przez związek firm branży reklamowej IAB Europe system śledzącej reklamy, z którego korzysta 80 proc. stron internetowych, narusza podstawowe zasady RODO
- stwierdził, że zapis preferencji użytkownika co do śledzenia w sieci to dane osobowe oraz uznał związek za administratora tych danych – nakazał IAB i korzystającym z niego firmom usunięcie zebranych za pośrednictwem systemu danych
- organizacja zapowiedziała wtedy, że zaskarży decyzję organu – związek skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej
- jak zaznacza Fundacja Panoptykon, jeśli TSUE podzieli interpretację belgijskiego organu, branżę reklamową czekają zmiany – jeśli TSUE wyda wyrok zgodny z interpretacją RODO dokonaną przez belgijski urząd ochrony danych, IAB Europe będzie musiał pogodzić się z tym, że jest administratorem danych osobowych i spełnić wymogi RODO, czyli określić cel i podstawę prawną przetwarzania danych, informować osoby, których dane dotyczą, co się z ich danymi dzieje, i realizować przysługujące użytkownikom prawa
- niektórzy twierdzą że nie będzie to możliwe bez gruntownej reformy samego modelu funkcjonowania giełd reklamowych, której to reformie branża opiera się od wielu lat
- do czasu wydania wyroku przez TSUE postępowanie w Belgii zostaje zawieszone – po decyzji sprawa wróci przed belgijski sąd apelacyjny – wyroku możemy się spodziewać prawdopodobnie w 2023 roku
Niejasne przepisy ws. przetrzymywania informacji o klientach
- byli lub niedoszli klienci coraz częściej domagają się od firm wykasowania ich danych – Prezes UODO konsekwentnie uważa, że mają prawo
- w pierwszym półroczu 2022 r. wydał siedem decyzji nakazujących usunięcie danych – spora część z nich jest jednak zaskarżana do sądu, a rozstrzygnięcie zależy od tego, na jaki skład orzekający się trafi
- jedne sądy uznają bowiem, że nie można przetwarzać danych tylko z tego powodu, że w przyszłości mogłyby być niezbędne w ewentualnym sporze prawnym, inne dochodzą do dokładnie odwrotnych wniosków
- istota problemu sprowadza się do różnic w interpretacji art. 6 ust. 1 lit. c i f RODO – przepis ten pozwala przetwarzać dane, jeśli jest to niezbędne do wypełnienia obowiązku prawnego lub do celów wynikających z jego prawnie uzasadnionych interesów
- przedsiębiorcy uważają, że także po realizacji czy rozwiązaniu umowy mają prawo przechowywać dane na wypadek ewentualnego sporu prawnego – zdaniem UODO nie można przechowywać danych na wszelki wypadek
- argumenty UODO sąd podzielił m.in. w wyrokach z 11 marca 2021 r. (II SA/Wa 1340/20), 13 stycznia 2021 r. (II SA/Wa 607/20) czy 23 lutego 2022 r. (II SA/Wa 1128/21), w których stwierdził, że firmy przetwarzały dane osobowe „na zapas”, a przesłanka z art. 6 ust. 1 lit. f RODO dotyczy wyłącznie sytuacji już istniejących
- argumenty przedsiębiorców sądy uwzględniły m.in. w orzeczeniach z: 28 września 2021 r. (II SA/Wa 474/21), 10 listopada 2021 r. (II SA/Wa 868/21), 13 grudnia 2021 r. (II SA/Wa 1528/21), 31 marca 2022 r. (II SA/Wa 3561/21) oraz 4 sierpnia 2022 r. (sygn. akt II SA/Wa 542/22)
RODO kary we Francji i Grecji (1)
Francja
- 250 tys. EUR dla INFOGREFFE
- w następstwie skargi, francuski organ nadzorczy, przeprowadził dochodzenie online dotyczące strony internetowej infogreffe.fr, która umożliwia użytkownikom zapoznanie się z informacjami prawnymi dotyczącymi firm i zamawianie dokumentów poświadczonych przez rejestry sądów gospodarczych
- dochodzenia koncentrowały się w szczególności na określonych okresach przechowywania danych oraz środkach bezpieczeństwa
- kluczowe wnioski: niedopełnienie obowiązku przechowywania danych przez czas proporcjonalny do celu przetwarzania (art. 5 ust. 1 lit. e RODO), niedopełnienie obowiązku zapewnienia bezpieczeństwa danych osobowych (art. 32 RODO)
RODO kary we Francji i Grecji (2)
Grecja
1) 20 tys. EUR dla doValue Greece
- złożono skargę do greckiego organu nadzorczego przeciwko firmie zarządzającej roszczeniami z tytułu pożyczek i kredytów
- skarga dotyczyła niezgodnego z prawem przetwarzania danych osobowych polegającego na ciągłych rozmowach telefonicznych z dłużnikiem, który miał sądowe zwolnienie z salda zadłużenia, o którym wiedziała skarżąca spółka oraz nierozpatrzenia praw przysługujących skarżącej, jako osobie, której dane dotyczą, twierdząc, że nie można jej zidentyfikować
- SA uznał, że w tym konkretnym przypadku skarżąca spółka nadmiernie utrudniła realizację uprawnień skarżącego, z naruszeniem przepisu art. 12 ust. 2 RODO, a dane przetwarzanie odbywało się bez podstawy prawnej, biorąc pod uwagę, że istniało już sądowe zwolnienie z długów skarżącego, z naruszeniem przepisów art. 5 ust. 1 lit. a), art. 5 ust. 2 i 6 RODO
2) kary dla IDIKA SA, Ministerstwa Pracy i Spraw Socjalnych, Ministerstwa Spraw Wewnętrznych, Ministerstwa Edukacji i Spraw Religijnych oraz Greckiego Funduszu Marynarzy (NAT)
- organ zbadał przetwarzanie danych osobowych zgodnie z siedmioma Wspólnymi Decyzjami Ministerialnymi dotyczącymi bezpłatnego rozpowszechniania autotestów COVID-19 wśród uprawnionych osób, zadeklarowanie wyników testów w aplikacji elektronicznej „self-testing.gov.gr” oraz dalsze przetwarzanie danych, które następuje po zadeklarowaniu wyników
- organ zbadał zgodność pięciu kontrolerów wymienionych we właściwych Wspólnych Decyzjach Ministerialnych: IDIKA SA, Ministerstwa Pracy i Spraw Socjalnych, Ministerstwa Spraw Wewnętrznych, Ministerstwa Edukacji i Wyznań oraz NAT, z RODO i krajowymi przepisami
RODO kary we Francji i Grecji (3)
- stwierdzono, że Ministerstwo Edukacji i Spraw Religijnych zostało błędnie zidentyfikowane jako administrator danych, IDIKA SA, Ministerstwo Pracy i Spraw Socjalnych, Ministerstwo Spraw Wewnętrznych i NAT jako administratorzy nie w pełni przestrzegali przepisów art. 13 RODO w zakresie informacji przekazywanych osobom, których dane dotyczą, i udzielił im nagany za to naruszenie.
- ponadto uznano, że IDIKA SA naruszyła zasadę ograniczenia okresu przechowywania danych
- organ nałożył na IDIKA SA karę administracyjną w wysokości 5000 EUR za brak odpowiednich zabezpieczeń organizacyjnych i technicznych.
- ponadto organ upomniał IDIKA SA oraz Ministerstwo Pracy i Spraw Socjalnych za zaległe i niekompletne sporządzenie przedłożonej przez nich oceny skutków oraz nałożył na Ministerstwo Spraw Wewnętrznych i NAT karę administracyjną w wysokości 5000 euro każdy za nie spełnienie obowiązku przeprowadzenia oceny
Revolut zhackowany
- jak informuje The Times doszło do włamania do Revoluta – zawinił pracownik, który dał się złapać na atak phishingowy
- dziennikarz Times informuje, że o ataku dowiedział się z oświadczenia litewskiego organu ochrony danych osobowych – atak dotknął 50,144 osób z czego 20,687 ofiar to Europejczycy a 379 to Litwini
- włamywacz pozyskał dostęp do: imion i nazwisk, adresów e-mail, adresów zamieszkania, informacji o transakcjach
- hasła oraz dane kart nie zostały pozyskane
- Revolut twierdzi też, że szybko zidentyfikował i wyizolował atak i że nie skradziono żadnych pieniędzy
- przedstawiciel Revoluta na Polskę, potwierdził nam że firma została zhackowana – nie wskazał jednak ilu Polaków znajduje się w 50 tys. poszkodowanych osób
Źródło: https://niebezpiecznik.pl/post/revolut-zhackowany-pozyskano-dane-50-000-uzytkownikow/
Wyciekły dane osobowe studentów SGH
- SGH poinformowało studentów, że na skutek błędu programistycznego nieuprawnione osoby miały dostęp do ich danych osobowych, w tym danych z dokumentów tożsamości a nawet nazwiska panieńskiego matki
- wyciek dotyczył systemu obsługującego studentów zainteresowanych wyjazdami zagranicznymi
- wyciekły dane nie tylko tych studentów, którzy wyjechali na wymiany — także tych, którzy aplikowali
- zakres danych, które zostały ujawnione:
- login, numer albumu, imię i drugie imię, nazwisko, pesel, pleć, imię matki, imię ojca, panieńskie nazwisko matki, data urodzenia, adres korespondencyjny, nr telefonu, email prywatny, obywatelstwo/narodowość, posiadanie Karty Polaka (tak, nie),seria i numer dowodu lub paszportu i data wydania tryb i poziom oraz kierunek studiów, numer konta, poziom znajomości języka, średnia ocen, liczba punktów
- wg SGH tylko 5 studentów uzyskało nieautoryzowany dostęp do tych danych i każdy z nich potwierdził, że je usunął
- niestety, dane były też przez prawie miesiąc zindeksowane w wyszukiwarce Bing – w mniejszym zakresie (imię i nazwisko oraz numer studenta)
Źródło: https://niebezpiecznik.pl/post/wyciekly-dane-osobowe-studentow-sgh/
UOKiK może sprawdzać przestrzeganie RODO
- organ ochrony konkurencji może sprawdzać także to, czy firma przestrzega przepisów RODO – uznał rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej
- właściciel Facebooka, firma Meta Platforms, przekonywała, że te kompetencje ma jedynie organ ochrony danych
- przekładając wnioski płynące z wydanej opinii na polskie warunki, okazuje się, że zgodność przetwarzania danych z RODO może skontrolować nie tylko Urząd Ochrony Danych Osobowych, lecz także Urząd Ochrony Konkurencji i Konsumentów
- co więcej, ma prawo stwierdzić, że naruszenia związane z przetwarzaniem stanowią niedozwoloną praktykę, np. wykorzystywanie pozycji dominującej przedsiębiorstwa – to zaś może oznaczać odrębną podstawę do wydania decyzji administracyjnej, w tym nałożenia kary
- tak właśnie zrobił niemiecki federalny organ ochrony konkurencji, który zakazał Mecie przetwarzania danych na podstawie akceptacji warunków świadczenia usług przez użytkowników – jego zdaniem dane gromadzone z Facebooka, ale i innych serwisów Mety, takich jak Instagram czy WhatsApp, a także innych portali, po połączeniu ze sobą do celów reklamowych stanowią zbyt dużą ingerencję w prywatność
- niezgodność z RODO stanowi zaś nadużycie pozycji dominującej zajmowanej przez Meta Platforms na rynku sieci społecznościowych dla prywatnych użytkowników w Niemczech
- Meta zaskarżyła tę decyzję do sądu niemieckiego, a ten postanowił skierować wniosek prejudycjalny do TSUE – jeśli TSUE wyda wyrok zbieżny z opinią rzecznika, to konsekwencje dla rynku będą poważne
RODO gwarantuje dwie niezależne drogi dochodzenia praw (1)
- dwie drogi, jakie gwarantuje RODO w przypadku naruszenia ochrony danych osobowych – cywilna i administracyjna – muszą być od siebie niezależne
- z drugiej jednak strony powinny istnieć mechanizmy pozwalające zachować spójność orzecznictwa – uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej
- po raz pierwszy unijny trybunał będzie miał okazję wypowiedzieć się w sprawie wzajemnych relacji między wspomnianymi dwiema niezależnymi drogami gwarantowanymi przez RODO – cywilną i administracyjną
- sprawa dotyczy skargi zainaugurowanej przez akcjonariusza spółki, który domagał się od niej nagrań z walnego zgromadzenia – otrzymał tylko te fragmenty, na których sam występował, gdyż Spółka odmówiła zaś przekazania nagrań z wypowiedziami pozostałych uczestników zgromadzenia
- akcjonariusz złożył skargę do węgierskiego organu ochrony danych osobowych, a jednocześnie pozew do sądu cywilnego
- organ odrzucił skargę, nie dopatrując się naruszenia prawa – akcjonariusz odwołał się od decyzji do sądu administracyjnego, a jednocześnie złożył pozew do sądu cywilnego
- w czasie trwania postępowania odwoławczego sąd cywilny wydał wyrok uwzględniający pozew i uznał, że spółka bezprawnie odmówiła akcjonariuszowi dostępu do jej danych osobowych
RODO gwarantuje dwie niezależne drogi dochodzenia praw (2)
- sąd administracyjny zastanawia się nad wzajemnymi relacjami dwóch postępowań – zwraca przy tym uwagę, że prawo węgierskie nie ustanawia reguły, która wiązałaby sąd cywilny decyzjami organu ochrony danych, a to zaś może prowadzić do wydawania sprzecznych rozstrzygnięć, a tym samym powodować niepewność prawną
- rzecznik generalny zwrócił uwagę, że RODO nie daje pierwszeństwa ani drodze zainaugurowanej przed organem ochrony danych, ani cywilnej
- polska ustawa o ochronie danych nakazuje zawieszanie postępowania cywilnego, jeśli sprawa dotycząca tego samego naruszenia została już wszczęta przez prezesa Urzędu Ochrony Danych Osobowych – co więcej, zgodnie z art. 97 ustalenia prezesa UODO wiążą sąd, co do stwierdzenia naruszenia tych przepisów
- w opinii rzecznika żaden system odwoławczy nie powinien być traktowany priorytetowo – przyjęta w Polsce zasada przeczy temu stanowisku, jednak nie wydaje się, by można mówić o niezgodności z opinią rzecznika
- potwierdza to również rzecznik generalny w dalszej części swej opinii – z jednej strony uważa on, że żaden ze środków odwoławczych nie ma pierwszeństwa nad drugim i mogą zapadać odmienne rozstrzygnięcia, z drugiej jednak zaznacza, że państwa członkowskie w prawie krajowym powinny wprowadzać mechanizmy zapewniające spójność orzecznictwa
Ofiary wycieków danych osobowych chcą wiedzieć, jak poradzić sobie z ich skutkami
- aż 70 proc. Polaków deklaruje, że nie wie, kto powinien zająć się negatywnymi konsekwencjami wycieku danych osobowych, a 1/3 z tych, którzy mają świadomość na ten temat uważa, że musi to zrobić sam poszkodowany
- pozostali wskazują m.in. na policję, UODO oraz inspektorów ochrony danych oraz oczekują od nich przede wszystkim szczegółowej informacji na temat zdarzenia oraz rekomendacji dalszych działań
- osoby, które padły ofiarą wycieku oczekują przede wszystkim jak najszybszej informacji, że doszło do naruszenia ochrony danych osobowych oraz jego zakresu (ok. 60 proc. wskazań) – dodatkowo chętnie usłyszeliby lub przeczytali, co administrator zrobił, że uniknąć w przyszłości podobnych sytuacji (blisko 57 proc.), a także do kogo mogły trafić dane, które wyciekły (ponad 53 proc.)
- większość pracujących uczestników badania (prawie 69 proc.) odpowiedziała twierdząco na pytania o to, czy znają procedury dotyczące ochrony danych osobowych w ich miejscu zatrudnienia – to, że odsetek tych, którzy tego nie wiedzą przekracza 30 proc. uznać jednak należy za niepokojący sygnał
- jeszcze gorzej wygląda to, jeśli zapytamy pracowników o to, czy wiedzą, w jaki sposób pracodawca zabezpiecza ich dane osobowe – twierdząco odpowiedziała bowiem zaledwie niewiele ponad połowa z nich (51 proc.)
- badanie na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych zostało przeprowadzone w I połowie 2022 roku metodą CAWI na reprezentatywnej grupie 1010 respondentów przez IMAS International
Źródło: https://uodo.gov.pl/pl/138/2449
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.