RODO aktualności – 28.11.2024 r.

• Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył kary na dwie instytucje miejskie w Kutnie:
  • 15 tys. zł dla Miejskiego Ośrodka Pomocy Społecznej (MOPS);
  • 20 tys. zł dla Miejskiego Ośrodka Sportu i Rekreacji (MOSiR).
• Kary te były związane z niewdrożeniem odpowiednich środków technicznych i organizacyjnych, co doprowadziło do naruszenia ochrony danych osobowych.
• Sprawa dotyczy zgubionego, nieszyfrowanego pendrive’a z danymi osobowymi około 1.500 osób.
• DataDrive – spółka obsługująca instytucje, otrzymała również karę w wysokości ponad 24 tys. zł za nieprawidłowości przy zmianie systemu kadrowo-płacowego.
• Instytucje miały procedury zabezpieczania danych, ale podczas przenoszenia danych do nowego systemu kadrowo-płacowego dane nie były skutecznie chronione.
• Brak analizy ryzyka, wymaganej w sytuacji zmiany systemu, był jednym z kluczowych błędów. Nikt nie kontrolował tego procesu ani nie sprawdził adekwatności zastosowanych procedur.
• Dane przekazano pracownikowi spółki na nieszyfrowanym pendrive, który później został zgubiony w innym mieście.
• Pendrive zawierał dane wrażliwe, takie jak: imiona, nazwiska, daty urodzenia, PESEL, numery rachunków bankowych, adresy zamieszkania, zarobki, informacje o posiadanym majątku, dane dotyczące zdrowia oraz szczegóły z dokumentów tożsamości.
• Osoba, która znalazła pendrive, skontaktowała się z instytucjami po próbie odnalezienia właściciela za pośrednictwem mediów lokalnych.
• PUODO stwierdził, że przeprowadzenie analizy ryzyka mogłoby zapobiec naruszeniu ochrony danych, a brak tej analizy doprowadził do utraty kontroli nad procesem i niedostatecznego zabezpieczenia danych.
• Podmioty odpowiedzialne za przetwarzanie danych powinny dokładać większych starań w zabezpieczaniu danych przed ich utratą lub dostępem osób nieuprawnionych, np. poprzez stosowanie haseł oraz szyfrowania danych na nośnikach.

Żródło: https://uodo.gov.pl/pl/138/3407

• 10 listopada 2024 roku wchodzi w życie Prawo Komunikacji Elektronicznej (PKE), zastępując obowiązujące dotychczas Prawo Telekomunikacyjne (PT).
• Obecne przepisy dotyczące marketingu bezpośredniego (art. 172 PT) zostaną zastąpione przez nowy artykuł PKE (art. 398), jednak zasady kontaktu marketingowego w istocie pozostają niezmienione.
• Zarówno teraz, jak i po zmianach, używanie telekomunikacyjnych urządzeń końcowych oraz automatycznych systemów wywołujących do celów marketingowych będzie wymagać uprzedniej zgody abonenta lub użytkownika końcowego.
• Zmianą w nowych przepisach jest uchylenie art. 10 ustawy o świadczeniu usług drogą elektroniczną (UŚUDE), co oznacza, że od 10 listopada będzie potrzeba tylko jednej zgody – tej wynikającej z przepisów PKE.
• Zgoda na kontakt marketingowy będzie musiała spełniać wymagania RODO – musi być dobrowolna, jednoznaczna, świadoma i konkretna, a także odpowiednio granularna (udzielona osobno dla różnych kanałów komunikacji, np. SMS, telefon, e-mail).
• Stare zgody, zebrane przed wejściem w życie PKE, zachowają ważność, o ile spełniają wymogi zgodne z nowymi przepisami.
• Stanowisko dotyczące tego, że zapytanie o zgodę na kontakt marketingowy samo w sobie jest formą marketingu nadal pozostaje aktualne – co oznacza, że cold calling jest i będzie sprzeczny z prawem.
• RODO w ramach nowych regulacji nie zmienia swoich zasad – ocena zgodności z prawem przetwarzania danych osobowych na potrzeby marketingu nie ulegnie zmianie.

Źródło: https://www.linkedin.com/pulse/prawo-komunikacji-elektronicznej-jakie-zmiany-w-pawe%25C5%2582-litwi%25C5%2584ski-mruaf/?trackingId=gVJ9FhtexeYfZI38e609pg%3D%3D

• Wyciek danych: Pod koniec marca 2024 roku doszło do wycieku danych polskich klientów platformy Pandabuy.com (imiona, nazwiska, adresy dostaw itp.), które następnie opublikowano na interaktywnej mapie Polski na różnych stronach internetowych.
• Reakcja Prezesa UODO: Prezes Urzędu Ochrony Danych Osobowych zgłosił sprawę Prokuraturze Rejonowej Warszawa Śródmieście-Północ, wskazując na podejrzenie popełnienia przestępstwa przez osoby odpowiedzialne za publikację danych klientów sklepu na stronach „lista-drillowcow.pl”, „lista drillowcow.club” i „lista-drillowcow.xyz”.
• Zażalenie Prezesa UODO: Prezes UODO uznał, że publikacja danych odbyła się bez podstawy prawnej, co narusza art. 107 ust. 1 ustawy o ochronie danych osobowych. Przepis ten stanowi, że nieuprawnione przetwarzanie danych osobowych podlega karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch.
• Odmowa prokuratury: Prokuratura Rejonowa Warszawa Śródmieście-Północ odmówiła wszczęcia dochodzenia w sprawie zgłoszonej przez Prezesa UODO.
• Decyzja sądu: Po złożeniu zażalenia przez Prezesa UODO, Sąd Rejonowy dla Warszawy-Śródmieścia 15 października 2024 roku uchylił decyzję prokuratury, uznając, że przedstawione dowody świadczą o uzasadnionym podejrzeniu popełnienia przestępstwa.
• Wnioski sądu: Sąd uznał, że informacje zgłoszone przez Prezesa UODO zostały potwierdzone w toku policyjnych działań, a odmowa wszczęcia postępowania przez prokuraturę była nieuzasadniona
• W efekcie sprawa zostanie ponownie rozpatrzona, a Prokuratura Rejonowa Warszawa Śródmieście-Północ musi podjąć działania wyjaśniające.

Źródło: https://uodo.gov.pl/pl/138/3404

• Sprawa dotyczy biometrycznej identyfikacji dzieci korzystających ze stołówki szkolnej na podstawie linii papilarnych w jednej z polskich szkół podstawowych.
• System został wprowadzony za zgodą rodziców, którzy wyrazili pisemne zgody na przetwarzanie danych biometrycznych swoich dzieci.
• Prezes Urzędu Ochrony Danych Osobowych (UODO) w lutym 2020 r. nakazał szkole:
  • usunięcie przetworzonych danych biometrycznych (linie papilarne dzieci),
  • zaprzestanie ich dalszego zbierania,
  • oraz nałożył karę w wysokości 20 000 zł za naruszenie przepisów RODO.
• Szkoła złożyła skargę na tę decyzję do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, który wyrokiem z sierpnia 2020 r. uchylił decyzję Prezesa UODO.
• WSA uznał, że zgody rodziców były właściwie wyrażone, zgodnie z art. 9 ust. 2 lit. a RODO, a przetwarzanie danych było adekwatne do celu, co oznacza, że działanie szkoły nie naruszało przepisów o ochronie danych.
• Prezes UODO złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA), który w październiku 2024 r. oddalił skargę kasacyjną, zgadzając się z WSA.
• NSA potwierdził, że przetwarzanie danych biometrycznych było zgodne z zasadą adekwatności oraz minimalizacji danych, ponieważ dane były przetwarzane wyłącznie w zakresie niezbędnym do realizacji celu (weryfikacja opłaty za posiłki).
• Sąd uznał, że organ nadzorczy nie ma prawa kwestionować zgody, jeśli została ona prawidłowo udzielona i spełnia wymogi RODO.
• Zgoda na przetwarzanie danych biometrycznych nie naruszała również zasady proporcjonalności, a wszelkie zgromadzone dane były przetwarzane w zgodzie z regulacjami prawnymi dotyczącymi ograniczenia ilości przetwarzanych danych.
• NSA uznał również, że szkoła nie wywierała presji na rodziców, aby wyrazili zgodę na biometryczną identyfikację, gdyż alternatywna metoda (identyfikacja manualna) również była dostępna.

Źródło: https://judykatura.pl/nsa-wskazuje-na-wazna-zgode-na-przetwarzanie-danych-biometrycznych/

• Kontekst sprawy:
  • Prezes UODO otrzymał skargę od obywatela, który kwestionował legalność przekazania jego danych osobowych podmiotowi windykacyjnemu.
  • Skarżący domagał się dwóch działań: nakazania administratorowi spełnienia obowiązku informacyjnego oraz usunięcia jego danych.
• Decyzja Prezesa UODO:
  • Prezes UODO odmówił wszczęcia postępowania, argumentując, że żądania obywatela są sprzeczne (wykluczają się nawzajem) oraz wykraczają poza kompetencje organu.
  • Odmowa oparto na przesłance “innych uzasadnionych przyczyn” zgodnie z art. 61a § 1 Kodeksu Postępowania Administracyjnego (K.p.a).
• Reakcja skarżącego: Obywatel nie zgodził się z odmową i wniósł skargę na postanowienie Prezesa UODO do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie.
• Wyrok WSA:
  • WSA uchylił postanowienie Prezesa UODO, wskazując, że sprzeczność żądań nie powinna być powodem odmowy wszczęcia postępowania.
  • Sąd podkreślił, że organ powinien przeprowadzić postępowanie w celu zbadania, czy żądania obywatela są zasadne.
  • Jeżeli nawet jeden z wniosków okaże się sprzeczny z prawem, możliwe jest zrealizowanie tylko tego, który jest uzasadniony.
• Wnioski: Prezes UODO przedwcześnie odmówił wszczęcia postępowania, co WSA uznał za naruszenie art. 61a § 1 K.p.a. Sąd uchylił decyzję UODO, oczekując przeprowadzenia właściwego postępowania i rozstrzygnięcia sprawy na etapie merytorycznym.

Źródło: https://judykatura.pl/wsa-uchyla-odmowe-wszczecia-postepowania/

• Zamknięcie GoldenLine.pl: Serwis społecznościowo-rekrutacyjny GoldenLine.pl po prawie 20 latach działalności zakończy swoją działalność. Użytkownicy zostali poinformowani o likwidacji, a ich konta oraz treści zostaną usunięte. Termin na pobranie danych: Użytkownicy mogą zarchiwizować swoje dane do 30 listopada 2024 roku, po tym terminie dane zostaną usunięte.
• Obowiązki administratora danych: Mimo likwidacji spółki, administrator nadal ma obowiązek przestrzegać przepisów o ochronie danych osobowych (RODO) – użytkownicy mają prawo do ochrony swoich danych, a ich przetwarzanie musi być zgodne z prawem.
• Zaprzestanie przetwarzania danych: Po zakończeniu działalności, GoldenLine.pl musi zaprzestać przetwarzania danych, a podstawy prawne przetwarzania danych, takie jak umowy z użytkownikami, przestaną obowiązywać.
• Potencjalne przetwarzanie po zamknięciu: W wyjątkowych sytuacjach administrator może nadal przetwarzać dane, np. w przypadku trwającego sporu prawnego lub obowiązków podatkowych.
• Brak następcy prawnego: Po likwidacji GoldenLine Sp. z o.o. nie będzie następcy prawnego, co oznacza, że użytkownicy nie będą mieli możliwości kontaktu z dawnym administratorem danych.
• Zasady usunięcia danych: Użytkownicy mogą korzystać z prawa do bycia zapomnianym, a dane osobowe muszą zostać usunięte zgodnie z przepisami. Proces trwałego usunięcia danych powinien odbyć się w czasie uzasadnionego procesu technologicznego po rozwiązaniu umów z użytkownikami.
• Ewentualna sprzedaż bazy danych: Eksperci wskazują, że baza danych osobowych może zostać uznana za składnik majątku likwidowanej spółki, co oznacza możliwość jej sprzedaży, choć proces ten niesie za sobą określone prawne komplikacje. W razie sprzedaży, użytkownicy muszą zostać poinformowani o nowym administratorze danych. Wartość bazy danych: Dane osobowe użytkowników mogą mieć dużą wartość dla potencjalnych nabywców, ale ich wykorzystanie jest ograniczone przeznaczeniem, określonym w pierwotnych zgodach na przetwarzanie.

Źródło: https://www.prawo.pl/biznes/likwidacja-goldenline-co-z-danymi-osobowymi-uzytkownikow,529811.html

• Firma sprzedająca m.in. drzwi antywłamaniowe została ukarana przez UODO na kwotę ponad 350 tys. zł za niewłaściwe zabezpieczenie danych osobowych w wyniku ataku ransomware. Wspólnicy spółki, której firma powierzyła przetwarzanie danych, zostali ukarani karą 9,8 tys. zł za niedostarczenie odpowiednich środków technicznych i organizacyjnych, co przyczyniło się do naruszenia.
• Firma utraciła dostęp do danych osobowych pracowników i klientów, w tym numery PESEL, dowody osobiste, imiona, nazwiska, daty urodzenia oraz inne wrażliwe informacje. Według firmy dane te nie były celem ataku, a głównym celem był szantaż.
• Pracownik firmy, który wyłączył oprogramowanie antywirusowe, umożliwił ransomware dostęp do systemu, jednak firma odzyskała dostęp do danych i zgłosiła incydent odpowiednim organom.
• Pomimo argumentacji firmy, że zagrożenie nie było wysokie, UODO uznało, że zastosowane zabezpieczenia były niewystarczające, a administrator danych nie przeprowadził odpowiedniej analizy ryzyka. Kary nałożono również za złe powiadomienie osób, których dane zostały utracone, co stanowiło naruszenie przepisów RODO.
• Firma nie zidentyfikowała wszystkich ryzyk ani nie wdrożyła aktualnych środków technicznych, w tym aktualizacji oprogramowania, co jest niezbędne w celu ochrony przed cyberatakami.
• UODO zwrócił także uwagę na zbyt rzadkie szkolenia z zakresu bezpieczeństwa danych – tylko jedno szkolenie przed incydentem, co było niewystarczające w obliczu zagrożenia „czynnikiem ludzkim”.
• Wspólnicy spółki, której powierzono przetwarzanie danych, nie poinformowali firmy o nieaktualnych zabezpieczeniach serwera, co również przyczyniło się do powstania podatności na atak.

Źródło: https://www.prawo.pl/biznes/wylaczenie-antywirusa-skutkuje-kara-uddo,529962.html

• Prezes UOKiK postawił zarzuty firmie Zrzutka.pl dotyczące naruszenia zbiorowych interesów konsumentów oraz wszczął postępowania wyjaśniające wobec operatorów serwisów crowdfundingowych: Pomagam.pl i Siepomaga.pl.
• Wątpliwości UOKiK dotyczą praktyk związanych z transparentnością i strukturą opłat, które mogą wprowadzać konsumentów w błąd, szczególnie podczas realizacji darowizn za pośrednictwem tych serwisów.
• UOKiK podkreśla, że nie kwestionuje prawa serwisów crowdfundingowych do pobierania opłat za ich działalność. Jednak mechanizmy pobierania opłat muszą być przejrzyste i uczciwe, bez stosowania tzw. „dark patterns” – praktyk, które mogą manipulować użytkownikami.
• Najwięcej zarzutów dotyczy serwisu Zrzutka.pl, gdzie proces dokonywania wpłat na darowizny mógł sprawiać wrażenie, że dokonywanie dodatkowych opłat na rzecz platformy było obowiązkowe, co w rzeczywistości jest dobrowolne.
• Konsumenci, którzy nie chcą wpłacać dodatkowych środków na rzecz serwisu Zrzutka.pl, musieli kilkukrotnie odmawiać, co mogło wywierać presję emocjonalną, szczególnie przy użyciu komunikatów z grafiką małego kotka, sugerujących, że odmowa wsparcia serwisu jest niewłaściwa.
• Użycie terminu „darowizna” w systemie Zrzutka.pl było uznane za potencjalnie mylące, ponieważ odnosiło się zarówno do wpłaty na określoną zbiórkę, jak i dobrowolnej opłaty na rzecz serwisu, co mogło dezorientować darczyńców.
• Podobne problemy z transparentnością UOKiK odnotował także w innych serwisach, takich jak Pomagam.pl i Siepomaga.pl, które również proszą użytkowników o dodatkowe wsparcie dla ich działalności podczas przekazywania darowizn charytatywnych.
• UOKiK może nakazać zmianę kwestionowanych praktyk w serwisach crowdfundingowych. W przypadkach naruszenia przepisów urząd może nałożyć kary, które wynoszą nawet do 10% obrotu danego przedsiębiorcy.

Źródło: https://lex.media.pl/uokik-zrzutka-pl-z-zarzutami-jest-tez-postepowanie-wobec-pomagam-pl-i-siepomaga-pl-23992431.html

• Sprawa dotyczy decyzji Wojewódzkiego Sądu Administracyjnego w Warszawie, który oddalił skargę Naczelnej Rady Adwokackiej (NRA) od decyzji Prezesa UODO z maja 2023 r. Decyzja Prezesa UODO dotyczyła konieczności usunięcia danych osobowych wnioskodawcy przez NRA, ponieważ nie było w tym przypadku podstaw prawnych do dalszego przetwarzania danych.
• Wnioskodawca wskazywał, że przesłał NRA szeroki zakres swoich danych osobowych, w tym dane personalne, adresowe, medyczne oraz dokumenty z postępowań dyscyplinarnych.
• Izba adwokacka broniła swojego podejścia, tłumacząc, że umieszczała informacje o przetwarzaniu danych osobowych w stopce e-maili, z odnośnikiem do strony internetowej.
• Prezes UODO uznał jednak, że ten proces nie spełnił wymogów RODO, między innymi w zakresie przekazywania pełnych treści danych wnioskodawcy oraz obowiązku informacyjnego.
• WSA w Warszawie orzekł, że działania NRA i Izby adwokackiej były uzasadnione, a ich wyjaśnienia dotyczące przetwarzania danych osobowych były wiarygodne.
• Sąd stwierdził, że procesy związane z przesyłaniem dokumentów zawierających dane osobowe nie wiążą się automatycznie z ich formalnym przetwarzaniem w rozumieniu RODO.
• Skarga NRA dotycząca naruszenia prawa materialnego i stosowania sankcji administracyjnych została uznana za bezzasadną.
• Sąd podkreślił, że stosowanie sankcji w ramach RODO (np. kary pieniężne) jest w gestii uznania organu nadzorczego i nie podlega ocenie sądów administracyjnych w zakresie celowości ich zastosowania.

Źródło: https://judykatura.pl/wsa-oddalil-skarge-naczelnej-rady-adwokackiej-od-czterech-upomnien/

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 20 czerwca 2024 r. w połączonych sprawach C-182/22 i C-189/22 (Scalable Capital i in.) dotyczył kwestii roszczeń odszkodowawczych z tytułu szkody niemajątkowej w związku z naruszeniem przepisów o ochronie danych osobowych. Poniżej przedstawiono najważniejsze wnioski z tego wyroku:

• TSUE wskazał, że prawo do odszkodowania wynikającego z art. 82 RODO ma charakter wyłącznie kompensacyjny. Oznacza to, że jego celem jest wyłącznie naprawianie szkody, a nie pełnienie funkcji odstraszającej lub represyjnej.
• Obowiązek naprawienia szkody niemajątkowej powstaje niezależnie od rozmiaru szkody, a także tego, czy naruszenie przepisów o ochronie danych osobowych miało charakter umyślny lub nieumyślny.
• W odniesieniu do „kradzieży tożsamości” TSUE stwierdził, że musi ona zostać rzeczywiście dokonana, tj. tożsamość osoby, której dane zostały skradzione, musi zostać przywłaszczona i wykorzystana przez inną osobę.
• Jednakże, zgodnie z art. 82 ust. 1 RODO, odszkodowanie za szkodę niemajątkową wynikającą z kradzieży danych osobowych nie jest ograniczone wyłącznie do przypadków, w których nastąpiła następnie kradzież tożsamości lub oszustwo dotyczące tożsamości w rozumieniu prawa karnego.
• TSUE zasugerował ścisłe rozumienie pojęcia „kradzieży tożsamości”, ograniczając je do przypadków, gdzie tożsamość poszkodowanej osoby została rzeczywiście przywłaszczona przez osobę trzecią w wyniku kradzieży danych osobowych.
• Zdaniem Prezesa UODO Mirosława Wróblewskiego, wyrok TSUE nie wymaga bezpośrednich zmian w polskich przepisach prawa, jednak może wpłynąć na ich interpretację, szczególnie w zakresie roszczeń odszkodowawczych za szkody niemajątkowe związane z naruszeniami przepisów dotyczących ochrony danych osobowych.

Źródło: https://uodo.gov.pl/pl/138/3412