RODO aktualności – 27.09.2022

• Trybunał Sprawiedliwości UE zajmie się sprawą skarg na IAB Europe i jego system śledzącej reklamy, który może być niezgodny z RODO
• belgijski organ ochrony danych osobowych (APD) uznał na początku lutego br., że stworzony przez związek firm branży reklamowej IAB Europe system śledzącej reklamy, z którego korzysta 80 proc. stron internetowych, narusza podstawowe zasady RODO
• stwierdził, że zapis preferencji użytkownika co do śledzenia w sieci to dane osobowe oraz uznał związek za administratora tych danych – nakazał IAB i korzystającym z niego firmom usunięcie zebranych za pośrednictwem systemu danych
• organizacja zapowiedziała wtedy, że zaskarży decyzję organu – związek skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej
• jak zaznacza Fundacja Panoptykon, jeśli TSUE podzieli interpretację belgijskiego organu, branżę reklamową czekają zmiany – jeśli TSUE wyda wyrok zgodny z interpretacją RODO dokonaną przez belgijski urząd ochrony danych, IAB Europe będzie musiał pogodzić się z tym, że jest administratorem danych osobowych i spełnić wymogi RODO, czyli określić cel i podstawę prawną przetwarzania danych, informować osoby, których dane dotyczą, co się z ich danymi dzieje, i realizować przysługujące użytkownikom prawa
• niektórzy twierdzą że nie będzie to możliwe bez gruntownej reformy samego modelu funkcjonowania giełd reklamowych, której to reformie branża opiera się od wielu lat
• do czasu wydania wyroku przez TSUE postępowanie w Belgii zostaje zawieszone – po decyzji sprawa wróci przed belgijski sąd apelacyjny – wyroku możemy się spodziewać prawdopodobnie w 2023 roku

Żródło: https://www.wirtualnemedia.pl/artykul/sprawa-przeciwko-iab-europe-trafi-do-trybunalu-sprawiedliwosci-unii-europejskiej

• byli lub niedoszli klienci coraz częściej domagają się od firm wykasowania ich danych – Prezes UODO konsekwentnie uważa, że mają prawo
• w pierwszym półroczu 2022 r. wydał siedem decyzji nakazujących usunięcie danych – spora część z nich jest jednak zaskarżana do sądu, a rozstrzygnięcie zależy od tego, na jaki skład orzekający się trafi
• jedne sądy uznają bowiem, że nie można przetwarzać danych tylko z tego powodu, że w przyszłości mogłyby być niezbędne w ewentualnym sporze prawnym, inne dochodzą do dokładnie odwrotnych wniosków
• istota problemu sprowadza się do różnic w interpretacji art. 6 ust. 1 lit. c i f RODO – przepis ten pozwala przetwarzać dane, jeśli jest to niezbędne do wypełnienia obowiązku prawnego lub do celów wynikających z jego prawnie uzasadnionych interesów
• przedsiębiorcy uważają, że także po realizacji czy rozwiązaniu umowy mają prawo przechowywać dane na wypadek ewentualnego sporu prawnego – zdaniem UODO nie można przechowywać danych na wszelki wypadek
• argumenty UODO sąd podzielił m.in. w wyrokach z 11 marca 2021 r. (II SA/Wa 1340/20), 13 stycznia 2021 r. (II SA/Wa 607/20) czy 23 lutego 2022 r. (II SA/Wa 1128/21), w których stwierdził, że firmy przetwarzały dane osobowe „na zapas”, a przesłanka z art. 6 ust. 1 lit. f RODO dotyczy wyłącznie sytuacji już istniejących
• argumenty przedsiębiorców sądy uwzględniły m.in. w orzeczeniach z: 28 września 2021 r. (II SA/Wa 474/21), 10 listopada 2021 r. (II SA/Wa 868/21), 13 grudnia 2021 r. (II SA/Wa 1528/21), 31 marca 2022 r. (II SA/Wa 3561/21) oraz 4 sierpnia 2022 r. (sygn. akt II SA/Wa 542/22)

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8535477,rodo-uodo-dane-przetrzymywanie-danych.html

Francja

• 250 tys. EUR dla INFOGREFFE
• w następstwie skargi, francuski organ nadzorczy, przeprowadził dochodzenie online dotyczące strony internetowej infogreffe.fr, która umożliwia użytkownikom zapoznanie się z informacjami prawnymi dotyczącymi firm i zamawianie dokumentów poświadczonych przez rejestry sądów gospodarczych
• dochodzenia koncentrowały się w szczególności na określonych okresach przechowywania danych oraz środkach bezpieczeństwa
• kluczowe wnioski: niedopełnienie obowiązku przechowywania danych przez czas proporcjonalny do celu przetwarzania (art. 5 ust. 1 lit. e RODO), niedopełnienie obowiązku zapewnienia bezpieczeństwa danych osobowych (art. 32 RODO)

Źródło: https://edpb.europa.eu/news/national-news/2022/french-sa-fines-economic-interest-group-infogreffe-eur-250000_en

Grecja

1) 20 tys. EUR dla doValue Greece

• złożono skargę do greckiego organu nadzorczego przeciwko firmie zarządzającej roszczeniami z tytułu pożyczek i kredytów
• skarga dotyczyła niezgodnego z prawem przetwarzania danych osobowych polegającego na ciągłych rozmowach telefonicznych z dłużnikiem, który miał sądowe zwolnienie z salda zadłużenia, o którym wiedziała skarżąca spółka oraz nierozpatrzenia praw przysługujących skarżącej, jako osobie, której dane dotyczą, twierdząc, że nie można jej zidentyfikować
• SA uznał, że w tym konkretnym przypadku skarżąca spółka nadmiernie utrudniła realizację uprawnień skarżącego, z naruszeniem przepisu art. 12 ust. 2 RODO, a dane przetwarzanie odbywało się bez podstawy prawnej, biorąc pod uwagę, że istniało już sądowe zwolnienie z długów skarżącego, z naruszeniem przepisów art. 5 ust. 1 lit. a), art. 5 ust. 2 i 6 RODO

Źródło: https://edpb.europa.eu/news/national-news/2022/hellenic-sa-fines-debt-management-company-unlawful-processing-personal-data_en

2) kary dla IDIKA SA, Ministerstwa Pracy i Spraw Socjalnych, Ministerstwa Spraw Wewnętrznych, Ministerstwa Edukacji i Spraw Religijnych oraz Greckiego Funduszu Marynarzy (NAT)

• organ zbadał przetwarzanie danych osobowych zgodnie z siedmioma Wspólnymi Decyzjami Ministerialnymi dotyczącymi bezpłatnego rozpowszechniania autotestów COVID-19 wśród uprawnionych osób, zadeklarowanie wyników testów w aplikacji elektronicznej „self-testing.gov.gr” oraz dalsze przetwarzanie danych, które następuje po zadeklarowaniu wyników
• organ zbadał zgodność pięciu kontrolerów wymienionych we właściwych Wspólnych Decyzjach Ministerialnych: IDIKA SA, Ministerstwa Pracy i Spraw Socjalnych, Ministerstwa Spraw Wewnętrznych, Ministerstwa Edukacji i Wyznań oraz NAT, z RODO i krajowymi przepisami

• stwierdzono, że Ministerstwo Edukacji i Spraw Religijnych zostało błędnie zidentyfikowane jako administrator danych, IDIKA SA, Ministerstwo Pracy i Spraw Socjalnych, Ministerstwo Spraw Wewnętrznych i NAT jako administratorzy nie w pełni przestrzegali przepisów art. 13 RODO w zakresie informacji przekazywanych osobom, których dane dotyczą, i udzielił im nagany za to naruszenie.
• ponadto uznano, że IDIKA SA naruszyła zasadę ograniczenia okresu przechowywania danych
• organ nałożył na IDIKA SA karę administracyjną w wysokości 5000 EUR za brak odpowiednich zabezpieczeń organizacyjnych i technicznych.
• ponadto organ upomniał IDIKA SA oraz Ministerstwo Pracy i Spraw Socjalnych za zaległe i niekompletne sporządzenie przedłożonej przez nich oceny skutków oraz nałożył na Ministerstwo Spraw Wewnętrznych i NAT karę administracyjną w wysokości 5000 euro każdy za nie spełnienie obowiązku przeprowadzenia oceny

Źródło: https://edpb.europa.eu/news/national-news/2022/hellenic-sa-ex-officio-audit-processing-personal-data-context-covid-19-self_en

• jak informuje The Times doszło do włamania do Revoluta – zawinił pracownik, który dał się złapać na atak phishingowy
• dziennikarz Times informuje, że o ataku dowiedział się z oświadczenia litewskiego organu ochrony danych osobowych – atak dotknął 50,144 osób z czego 20,687 ofiar to Europejczycy a 379 to Litwini
• włamywacz pozyskał dostęp do: imion i nazwisk, adresów e-mail, adresów zamieszkania, informacji o transakcjach
• hasła oraz dane kart nie zostały pozyskane
• Revolut twierdzi też, że szybko zidentyfikował i wyizolował atak i że nie skradziono żadnych pieniędzy
• przedstawiciel Revoluta na Polskę, potwierdził nam że firma została zhackowana – nie wskazał jednak ilu Polaków znajduje się w 50 tys. poszkodowanych osób

Źródło: https://niebezpiecznik.pl/post/revolut-zhackowany-pozyskano-dane-50-000-uzytkownikow/

• SGH poinformowało studentów, że na skutek błędu programistycznego nieuprawnione osoby miały dostęp do ich danych osobowych, w tym danych z dokumentów tożsamości a nawet nazwiska panieńskiego matki
• wyciek dotyczył systemu obsługującego studentów zainteresowanych wyjazdami zagranicznymi
• wyciekły dane nie tylko tych studentów, którzy wyjechali na wymiany — także tych, którzy aplikowali
• zakres danych, które zostały ujawnione:
• login, numer albumu, imię i drugie imię, nazwisko, pesel, pleć, imię matki, imię ojca, panieńskie nazwisko matki, data urodzenia, adres korespondencyjny, nr telefonu, email prywatny, obywatelstwo/narodowość, posiadanie Karty Polaka (tak, nie),seria i numer dowodu lub paszportu i data wydania tryb i poziom oraz kierunek studiów, numer konta, poziom znajomości języka, średnia ocen, liczba punktów
• wg SGH tylko 5 studentów uzyskało nieautoryzowany dostęp do tych danych i każdy z nich potwierdził, że je usunął
• niestety, dane były też przez prawie miesiąc zindeksowane w wyszukiwarce Bing – w mniejszym zakresie (imię i nazwisko oraz numer studenta)

Źródło: https://niebezpiecznik.pl/post/wyciekly-dane-osobowe-studentow-sgh/

• organ ochrony konkurencji może sprawdzać także to, czy firma przestrzega przepisów RODO – uznał rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej
• właściciel Facebooka, firma Meta Platforms, przekonywała, że te kompetencje ma jedynie organ ochrony danych
• przekładając wnioski płynące z wydanej opinii na polskie warunki, okazuje się, że zgodność przetwarzania danych z RODO może skontrolować nie tylko Urząd Ochrony Danych Osobowych, lecz także Urząd Ochrony Konkurencji i Konsumentów
• co więcej, ma prawo stwierdzić, że naruszenia związane z przetwarzaniem stanowią niedozwoloną praktykę, np. wykorzystywanie pozycji dominującej przedsiębiorstwa – to zaś może oznaczać odrębną podstawę do wydania decyzji administracyjnej, w tym nałożenia kary
• tak właśnie zrobił niemiecki federalny organ ochrony konkurencji, który zakazał Mecie przetwarzania danych na podstawie akceptacji warunków świadczenia usług przez użytkowników – jego zdaniem dane gromadzone z Facebooka, ale i innych serwisów Mety, takich jak Instagram czy WhatsApp, a także innych portali, po połączeniu ze sobą do celów reklamowych stanowią zbyt dużą ingerencję w prywatność
• niezgodność z RODO stanowi zaś nadużycie pozycji dominującej zajmowanej przez Meta Platforms na rynku sieci społecznościowych dla prywatnych użytkowników w Niemczech
• Meta zaskarżyła tę decyzję do sądu niemieckiego, a ten postanowił skierować wniosek prejudycjalny do TSUE – jeśli TSUE wyda wyrok zbieżny z opinią rzecznika, to konsekwencje dla rynku będą poważne

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8551855,uokik-kontrola-przestrzegania-rodo-tsue.html

• dwie drogi, jakie gwarantuje RODO w przypadku naruszenia ochrony danych osobowych – cywilna i administracyjna – muszą być od siebie niezależne
• z drugiej jednak strony powinny istnieć mechanizmy pozwalające zachować spójność orzecznictwa – uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej
• po raz pierwszy unijny trybunał będzie miał okazję wypowiedzieć się w sprawie wzajemnych relacji między wspomnianymi dwiema niezależnymi drogami gwarantowanymi przez RODO – cywilną i administracyjną
• sprawa dotyczy skargi zainaugurowanej przez akcjonariusza spółki, który domagał się od niej nagrań z walnego zgromadzenia – otrzymał tylko te fragmenty, na których sam występował, gdyż Spółka odmówiła zaś przekazania nagrań z wypowiedziami pozostałych uczestników zgromadzenia
• akcjonariusz złożył skargę do węgierskiego organu ochrony danych osobowych, a jednocześnie pozew do sądu cywilnego
• organ odrzucił skargę, nie dopatrując się naruszenia prawa – akcjonariusz odwołał się od decyzji do sądu administracyjnego, a jednocześnie złożył pozew do sądu cywilnego
• w czasie trwania postępowania odwoławczego sąd cywilny wydał wyrok uwzględniający pozew i uznał, że spółka bezprawnie odmówiła akcjonariuszowi dostępu do jej danych osobowych

• sąd administracyjny zastanawia się nad wzajemnymi relacjami dwóch postępowań – zwraca przy tym uwagę, że prawo węgierskie nie ustanawia reguły, która wiązałaby sąd cywilny decyzjami organu ochrony danych, a to zaś może prowadzić do wydawania sprzecznych rozstrzygnięć, a tym samym powodować niepewność prawną
• rzecznik generalny zwrócił uwagę, że RODO nie daje pierwszeństwa ani drodze zainaugurowanej przed organem ochrony danych, ani cywilnej
• polska ustawa o ochronie danych nakazuje zawieszanie postępowania cywilnego, jeśli sprawa dotycząca tego samego naruszenia została już wszczęta przez prezesa Urzędu Ochrony Danych Osobowych – co więcej, zgodnie z art. 97 ustalenia prezesa UODO wiążą sąd, co do stwierdzenia naruszenia tych przepisów
• w opinii rzecznika żaden system odwoławczy nie powinien być traktowany priorytetowo – przyjęta w Polsce zasada przeczy temu stanowisku, jednak nie wydaje się, by można mówić o niezgodności z opinią rzecznika
• potwierdza to również rzecznik generalny w dalszej części swej opinii – z jednej strony uważa on, że żaden ze środków odwoławczych nie ma pierwszeństwa nad drugim i mogą zapadać odmienne rozstrzygnięcia, z drugiej jednak zaznacza, że państwa członkowskie w prawie krajowym powinny wprowadzać mechanizmy zapewniające spójność orzecznictwa

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8550559,rodo-dwie-niezalezne-drogi-dochodzenia-praw-cywilna-administracyjna.html

• aż 70 proc. Polaków deklaruje, że nie wie, kto powinien zająć się negatywnymi konsekwencjami wycieku danych osobowych, a 1/3 z tych, którzy mają świadomość na ten temat uważa, że musi to zrobić sam poszkodowany
• pozostali wskazują m.in. na policję, UODO oraz inspektorów ochrony danych oraz oczekują od nich przede wszystkim szczegółowej informacji na temat zdarzenia oraz rekomendacji dalszych działań
• osoby, które padły ofiarą wycieku oczekują przede wszystkim jak najszybszej informacji, że doszło do naruszenia ochrony danych osobowych oraz jego zakresu (ok. 60 proc. wskazań) – dodatkowo chętnie usłyszeliby lub przeczytali, co administrator zrobił, że uniknąć w przyszłości podobnych sytuacji (blisko 57 proc.), a także do kogo mogły trafić dane, które wyciekły (ponad 53 proc.)
• większość pracujących uczestników badania (prawie 69 proc.) odpowiedziała twierdząco na pytania o to, czy znają procedury dotyczące ochrony danych osobowych w ich miejscu zatrudnienia – to, że odsetek tych, którzy tego nie wiedzą przekracza 30 proc. uznać jednak należy za niepokojący sygnał
• jeszcze gorzej wygląda to, jeśli zapytamy pracowników o to, czy wiedzą, w jaki sposób pracodawca zabezpiecza ich dane osobowe – twierdząco odpowiedziała bowiem zaledwie niewiele ponad połowa z nich (51 proc.)
• badanie na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych zostało przeprowadzone w I połowie 2022 roku metodą CAWI na reprezentatywnej grupie 1010 respondentów przez IMAS International

Źródło: https://uodo.gov.pl/pl/138/2449