RODO aktualności – 17.11.2020

• zalecenia w sprawie środków uzupełniających zostaną przedłożone do konsultacji publicznych – będą one stosowane niezwłocznie po ich opublikowaniu.
• ponadto EROD przyjęła zalecenia w sprawie niezbędnych gwarancji europejskich dla środków nadzoru, które uzupełniają zalecenia w sprawie środków uzupełniających
• zapewniają one podmiotom przekazującym dane elementy pozwalające ustalić, czy ramy prawne regulujące dostęp organów publicznych do danych w celach nadzoru w państwach trzecich, można uznać za uzasadnioną ingerencję w prawa do prywatności i ochrony danych osobowych
• zalecenia w sprawie środków uzupełniających dostępne są pod linkiem: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf#xd_co_f=MmVkMmQwNTYtZWEzOC00YzBiLTk4MmMtMGU0YjY5ZjZmZWMz~
• zalecenia w sprawie niezbędnych gwarancji dostępne są pod linkiem: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf

Źródło: https://uodo.gov.pl/pl/138/1768 https://edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-session-edpb-adopts-recommendations_en https://www.prawo.pl/biznes/wytyczne-erod-w-sprawie-przekazywania-danych-do-panstw-trzecich,504456.html

• podczas 41. posiedzenia plenarnego EROD większością 2/3 głosów swoich członków przyjęła pierwszą decyzję rozstrzygającą spór na podstawie art. 65 RODO, dotyczącą spółki Twitter International Company
• wiążąca decyzja ma na celu rozwiązanie sporu powstałego w następstwie projektu decyzji irlandzkiego organu nadzorczego, będącego wiodącym organem nadzorczym w sprawie, dotyczącego spółki Twitter International Company, a następnie mających znaczenie dla sprawy i uzasadnionych sprzeciwów zgłoszonych przez szereg organów, których sprawa dotyczy
• irlandzki organ nadzorczy sporządził projekt decyzji w następstwie przeprowadzonego z własnej inicjatywy postępowania w sprawie Twitter International Company, po tym jak spółka zgłosiła mu naruszenie ochrony danych osobowych
• organy nadzorcze, których sprawa dotyczy, zgłosiły sprzeciwy, między innymi, co do naruszeń RODO zidentyfikowanych przez wiodący organ nadzorczy, roli spółki Twitter International Company jako administratora danych oraz kwantyfikacji kary
• w związku z tym, że wiodący organ nadzorczy odrzucił sprzeciwy i/lub uznał je za niemające znaczenia dla sprawy lub nieuzasadnione, zgodnie z art. 60 ust. 4 RODO przekazał sprawę EROD, inicjując tym samym procedurę rozstrzygania sporów
• w dniu 9 listopada 2020 r. EROD przyjęła wiążącą decyzję i wkrótce notyfikuje ją irlandzkiemu organowi nadzorczemu – irlandzki organ nadzorczy przyjmie ostateczną decyzję na podstawie decyzji EROD

Źródło: https://uodo.gov.pl/pl/138/1762 https://edpb.europa.eu/news/news/2020/edpb-adopts-first-art-65-decision_en

• Biuro Komisarza ds. Informacji (ICO) nałożyło na Ticketmaster UK Limited grzywnę w wysokości 1,25 miliona funtów za niezachowanie bezpieczeństwa danych osobowych klientów
• ICO stwierdziło, że firma nie wdrożyła odpowiednich środków bezpieczeństwa, aby zapobiec cyberatakowi na chatbota zainstalowanego na stronie płatności online
• naruszenie danych, które obejmowało nazwiska, numery kart płatniczych, daty ważności i numery CVV, potencjalnie dotknęło 9,4 miliona klientów Ticketmaster w całej Europie, w tym 1,5 miliona w Wielkiej Brytanii
• śledczy ustalili, że w wyniku naruszenia 60 000 kart płatniczych należących do klientów Barclays Bank padło ofiarą oszustwa, a kolejne 6 000 kart zostało zablokowanych przez Monzo Bank po podejrzeniu nieuczciwego użycia
• ICO stwierdziło, że Ticketmaster nie:
  • nie ocenił ryzyka związane z używaniem chatbota na jego stronie płatności
  • nie zidentyfikował i zastosował odpowiednich środków bezpieczeństwa, aby wyeliminować ryzyko
  • nie zidentyfikował źródła sugerowanych nieuczciwych działań

• naruszenie zaczęło się w lutym 2018 roku, kiedy klienci Monzo Bank zgłosili podejrzane transakcje
• w sumie Ticketmaster potrzebował dziewięciu tygodni od powiadomienia o możliwym oszustwie do monitorowania ruchu sieciowego za pośrednictwem strony płatności online
• dochodzenie ICO wykazało, że decyzja Ticketmaster o umieszczeniu bota czatowego, hostowanego przez stronę trzecią, na swojej stronie płatności online umożliwiła atakującemu dostęp do danych finansowych klientów
• chociaż naruszenie rozpoczęło się w lutym 2018 r. kara dotyczy tylko naruszenia od 25 maja 2018 r. kiedy rozpoczęto stosowanie przepisów RODO
• chat-bot został całkowicie usunięty ze strony internetowej Ticketmaster UK Limited w dniu 23 czerwca 2018 r.
• naruszenie miało miejsce, zanim Wielka Brytania opuściła UE, dlatego ICO przeprowadziło dochodzenie w imieniu wszystkich organów UE jako wiodący organ nadzorczy na mocy RODO

Źródło: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/11/ico-fines-ticketmaster-uk-limited-125million-for-failing-to-protect-customers-payment-details/ /

• żaden przedsiębiorca nie przeprowadził dotąd w Polsce obowiązkowych konsultacji przed wdrożeniem produktów czy usług, które mogą zagrażać ochronie danych
• obowiązek przeprowadzania uprzednich konsultacji został wprowadzony przez RODO – są one powiązane z oceną skutków dla ochrony danych osobowych (DPIA)
• Wpływają do nas nieliczne pisma zatytułowane jako „wniosek o uprzednie konsultacje”, jednak po ich analizie okazuje się, że dotyczą one wątpliwości związanych z przetwarzaniem danych osobowych w konkretnych opisanych sytuacjach – mówi Adam Sanocki, rzecznik prasowy UODO
• portal GDPR.pl zapytał europejskie organy ochrony danych o uprzednie konsultacje i choć nie uzyskał odpowiedzi od wszystkich, to już te, które zebrał, pokazują olbrzymie dysproporcje pomiędzy poszczególnymi państwami
• np. w mającej 5,5 mln mieszkańców Finlandii złożono 90 wniosków o uprzednie konsultacje, a w 60-milionowej Wielkiej Brytanii już tylko 10, w Chorwacji było 35 takich wniosków, w Szwecji 30, Norwegii i Słowacji po siedem, a na Łotwie i Islandii po pięć
• dane te nie do końca muszą być miarodajne, bo liczba wniosków nie zawsze przekłada się na rzeczywiste konsultacje, gdyż podobnie jak to jest w Polsce, sam tytuł może być mylący – w Finlandii na 90 wniosków tylko 20 zakończyło się zaleceniami

Źródło: https://biznes.gazetaprawna.pl/artykuly/1495932,ochrona-danych-konsultacje-przed-wdrozeniem-produktow-czy-uslug.html

• firma nie może zaznaczać za klientów zgody na przechowywanie kopii ich dokumentów i wymagać, aby ewentualny sprzeciw wyrażali w dodatkowym oświadczeniu – uznał Trybunał Sprawiedliwości Unii Europejskiej
• sprawa dotyczyła rumuńskiego operatora telekomunikacyjnego Orange România
• zawierając umowy z klientami, prosił on o wyrażenie zgody na przechowywanie kopii dokumentu tożsamości – stosowna klauzula widniała w treści umowy
• jednocześnie okienko wyboru było zaznaczane już przez sprzedawcę – co więcej, jeśli klient nie wyrażał zgody na przetwarzanie swych danych, to musiał to odnotować odręcznie na umowie
• istotne jest przy tym również to, że bez wyrażenia zgody na zeskanowanie dokumentu i przechowywanie jego kopii umowa mogła być zawarta, a więc przetwarzanie danych nie było niezbędne do jej realizacji

Źródło: https://biznes.gazetaprawna.pl/artykuly/1496237,tsue-rodo-dane-osobowe-zgoda.html http://curia.europa.eu/juris/document/document.jsf?text=&docid=233544&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=12687107

• przewodnicząca Europejskiej Rady Ochrony Danych (EROD) wydała oświadczenie odnoszące się do pandemii COVID-19 i jak wskazała, że pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne
• w przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem
• kwestia ujawniania zakażeń przez pracodawcę budzi wiele pytań, dlatego na stronie RPO ten temat kilkukrotnie spotykał się z komentarzem
• w informacji opublikowanej na stronie w październiku podkreślono, że wiadomość, o dodatnim wyniku przekazywana jest do powiatowej stacji sanitarno-epidemiologicznej – wówczas rozpoczyna się procedura dochodzeniowa i przeprowadzany jest wywiad, a zakażony wskazuje między innymi, z kim ostatnio miał kontakt, by takie osoby można było objąć kwarantanną lub nadzorem epidemiologicznym
• to sprawia, że już na tym etapie wielu pracowników może się dowiedzieć o zakażeniu, otrzymując tę informację od pracownika sanepidu

• jeśli zaś chodzi o samego pracodawcę, to zdaniem RPO ujawnienie danych osobowych zakażonego pracownika jest możliwe zgodnie z art. 209(2) Kodeksu pracy – w przypadku wystąpienia zagrożenia dla zdrowia lub życia pracodawca ma bowiem obowiązek między innymi poinformować pracowników o tym zagrożeniu
• UODO w odpowiedzi na pytanie zadane przez Prawo.pl wskazał z kolei, że Kodeks pracy dopuszcza przetwarzanie danych pracowników, natomiast nie reguluje kwestii ich przetwarzania (w tym ujawnienia danych zakażonego pracownika) w celu zwalczania epidemii
• zdaniem UODO to służby sanitarne powinny wskazywać kierunki podejmowanych działań, nie pracodawcy
• zdaniem UODO pracodawca powinien przedstawić kluczowe informacje służbom sanitarnym, a te na podstawie informacji i wiedzy epidemiologicznej podjąć właściwe decyzje i wprowadzić odpowiednie rozwiązania

Źródło: https://bezprawnik.pl/ujawnienie-danych-osobowych-zakazonego-pracownika/ https://www.prawo.pl/kadry/czy-pracodawca-moze-ujawnic-informacje-o-chorobie-covid-19,504414.html

W najnowszym, październikowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

MIASTO NIE MOŻE MIEĆ STAŁEGO DOSTĘPU DO BAZY DANYCH MPWIK

• obowiązujące przepisy prawa nie dają podstaw do tego, by organy podatkowe miały stały dostęp do danych o zużyciu wody przez wszystkich klientów firmy wodociągowej

DO ORGANIZACJI PANELU OBYWATELSKIEGO NIE MOŻNA WYKORZYSTYWAĆ DANYCH Z REJESTRU WYBORCÓW

• w opinii Prezesa UODO, gmina na potrzeby organizacji panelu obywatelskiego nie może wykorzystywać danych osobowych swoich mieszkańców, które są zawarte w rejestrze wyborców

UDZIELANIE INFORMACJI PRZEZ OŚRODEK POMOCY SPOŁECZNEJ INNYM PODMIOTOM PUBLICZNYM

• podstawa prawna do przetwarzania, w tym udostępniania, danych osobowych przez podmioty publiczne powinna wynikać z przepisów prawa i być związana z realizowanymi przez nie zadaniami

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

• UODO odpowiedział na pytanie czy działania podejmowane przez IOD w związku z wykonywaniem przez niego jego zadań mogą podlegać kontroli przeprowadzanej przez administratora
• UODO wskazuje, że niezależność IOD jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania jego zadań, a tym samym realnego zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa
• jednocześnie to administrator ponosi pełną odpowiedzialność za zgodne z przepisami ochrony danych osobowych przetwarzanie danych
• inspektor ochrony danych podlega bezpośrednio administratorowi i w związku z tym sposób wykonywania funkcji przez IOD musi podlegać jego kontroli, przy czym może to być kontrola wewnętrzna lub zlecona przez administratora podmiotowi zewnętrznemu – w jednym i drugim przypadku taka kontrola (audyt) musi uwzględniać niezależne funkcjonowanie (gwarancje niezależności) IOD, tak wyraźnie podkreślane w RODO
• dotyczy to również wdrożonych w danej organizacji systemów wewnętrznej kontroli (systemy oceny zgodności) – systemy te nie mogą w jakikolwiek sposób ograniczać możliwości wykonywania przez IOD jego zadań, w tym dokonywania kompleksowej, bieżącej oceny zgodności przetwarzania danych osobowych z przepisami prawa

Źródło: https://uodo.gov.pl/pl/223/1765

• szpitale i policja odmawiają podawania danych kontaktowych do rodzin osób zmarłych – twierdzą, że nie ma ku temu podstaw
• przepisy transplantacyjne pozwalają pobrać do przeszczepu tkanki i narządy od osoby zmarłej, jeśli nie wyraziła ona sprzeciwu – w praktyce oznacza to konieczność skontaktowania się z jej bliskimi, żeby sprawdzić, czy sprzeciw taki nie został wyrażony
• instytucje zajmujące się pozyskiwaniem tkanek i narządów zaczęły mieć kłopot z uzyskaniem namiarów na członków rodziny osób zmarłych – powodem ma być RODO
• Szpitale, z którymi mamy od lat zawarte umowy, nie robią nam problemów z podawaniem tych danych. Natomiast te, z którymi próbujemy podpisać nowe umowy, odmawiają, zasłaniając się właśnie RODO – mówi dyrektor Banku Tkanek Oka
• UODO uznał jednak, że istnieje podstawa prawna do przekazania BTO danych rodzin potencjalnych dawców
• (…) przetwarzanie danych kontaktowych rodzin osób zmarłych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, czyli w oparciu o przesłankę z art. 6 ust. 1 lit. e RODO, ponieważ wiąże się z wykonywaniem czynności autoryzacji pobrania, który wymaga potwierdzenia braku sprzeciwu osoby zmarłej na pobranie komórek, tkanek i narządów (…) – napisał UODO w przekazanej redakcji DGP opinii

Źródło: https://forsal.pl/lifestyle/technologie/artykuly/7994481,czesc-szpitali-i-policja-odmawia-podawania-kontaktow-do-rodzin-zmarlych.html

• sprawa zaczęła się od wniesionej przez mężczyznę skargi do PUODO na sąsiadkę, która zamontowała na klatce schodowej i przed blokiem kamery rejestrujące obraz
• zdaniem skarżącego samowolny, bez zgodny wspólnoty prywatny monitoring oznaczał bezprawne przetwarzanie jego danych osobowych (imienia i nazwiska, adresu zamieszkania oraz wizerunku)
• w toku postępowania sąsiadka wyjaśniła, że w budynku posiada 22 lokale, natomiast 6 mieszkań należy do innych osób – monitoring ma charakter prywatny, nie ma związku z prowadzoną działalnością gospodarczą lub zawodową, został zamontowany za aprobatą współwłaścicieli dysponujących większością udziałów w nieruchomości, a jego celem jest zwiększenie bezpieczeństwa i zabezpieczenie materiału dowodowego w przypadku bezprawnych działań
• Prezes UODO stwierdził, że monitoring nie ma charakteru czysto osobistego, zatem jego legalność wymaga wykazania jednej z przesłanek pozwalających na legalne przetwarzanie danych osobowych
• organ ocenił, że sąsiadka nie wykazała zajścia żadnej z przesłanek przetwarzania danych osobowych
• w wydanej decyzji nakazano usunięcie uchybień, tj. zaprzestanie pozyskiwania danych osobowych poprzez monitoring zamontowany na części wspólnej nieruchomości

• w skardze na tę decyzję sąsiadka zarzuciła, że urząd nie wziął pod uwagę bezpieczeństwa mieszkańców, licznych przypadków niszczenia drzwi, próśb o montaż kamer
• Prezes UODO miał też pominąć argument, że przetwarzanie danych osobowych jest niezbędne ze względu na ochronę żywotnych interesów wszystkich osób mieszkających w bloku (art. 6 ust. 1 lit. d) RODO)
• WSA oddalił skargę na decyzję – zdaniem sądu w sprawie nie budzi wątpliwości, że mężczyzna nie wyraził zgody na nagrywanie jego wizerunku poprzez kamery zamontowane przez sąsiadkę, która nie wykazała także innej przesłanki
• jako nietrafne WSA uznał powołanie się na ochronę żywotnego interesu w postaci bezpieczeństwa mieszkańców budynku — żywotny interes jako przesłanka przetwarzania może być wskazany tylko wówczas, gdy nie jest możliwe oparcie przetwarzania na innej przesłance
• żywotny interes odnosi się bowiem do nadzwyczajnej sytuacji (klęsk żywiołowych, epidemii, katastrofy), kiedy zagrożone jest życie osoby
• wyrok jest nieprawomocny

Źródło: https://czasopismo.legeartis.org/2020/11/prywatny-monitoring/

• Folksam, jedna z największych firm ubezpieczeniowych w Szwecji, ujawniła naruszenie danych, które dotknęło około 1 miliona Szwedów po udostępnieniu danych osobowych klientów wielu gigantom technologicznym
• ubezpieczyciel odkrył naruszenie danych po audycie wewnętrznym i zgłosił incydent do szwedzkiego organu ochrony danych (Datainspektionen).
• firmy, które otrzymały dane osobowe od Folksam, to na przykład Facebook, Google, Microsoft, Linkedin i Adobe
• dane osobowe udostępniane przez Folksam obejmują różnego rodzaju informacje, takie jak numery ubezpieczenia społecznego lub informacje, że dana osoba wykupiła ubezpieczenie związkowe lub ciążowe
• wyniki analizy udostępnionych danych były wykorzystywane przez gigantów do dostarczania klientom niestandardowych ofert za pośrednictwem kanałów komunikacji firmy Folksam i innych firm
• Folksam twierdzi, że w tej chwili nie ma dowodów na to, że udostępnione dane zostały niewłaściwie wykorzystane przez osoby trzecie

Źródło: https://www.bleepingcomputer.com/news/security/folksam-data-breach-leaks-info-of-1m-swedes-to-google-facebook-more/

• irlandzka Komisja Ochrony Danych (DPC) nałożyła grzywnę w wysokości 65 000 euro na szpital Uniwersytetu Cork po tym jak dane osobowe 78 pacjentów zostały znalezione w publicznym zakładzie recyklingu
• naruszenie obejmowało wrażliwe dane pacjentów, w tym historie medyczne i przyszłe planowane programy opieki
• DPC stwierdził, że HSE naruszyło art. 5 i 32 RODO, nie wdrażając odpowiednich środków w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego usuwaniem papierowych dokumentów zawierających dane osobowe
• nie wiadomo, czy jakakolwiek osoba fizyczna lub osoby zostały pociągnięte do odpowiedzialności za naruszenie lub w jaki sposób dokumenty zostały usunięte w sposób, w jaki zostały
• niezależnie od tego, kto pozbył się dokumentów, szpital jako administrator danych został uznany za odpowiedzialny naruszeniu
• Cork University Maternity Hospital w pełni akceptuje wyniki raportu Komisji Ochrony Danych i pracuje nad wdrożeniem wszystkich zaleceń zawartych w decyzji – powiedział rzecznik szpitala
• pacjenci, których dotyczy naruszenie, zostali o nim powiadomieni
• decyzja to dopiero piąta grzywna nałożona przez DPC od maja 2018 r. – pozostałe cztery trafiły do agencji rodzinnej Tusla

Źródło: https://www.irishexaminer.com/news/arid-40075673.html?type=amp&__twitter_impression=true

• Singapur zaktualizował ustawę o ochronie danych osobowych (PDPA), aby umożliwić lokalnym firmom wykorzystywanie danych konsumentów bez uprzedniej zgody
• PDPA weszła w życie w Singapurze w 2012 r.
• zgodnie z „wyjątkami od wymogu wyrażenia zgody” dane osobowe mogą być wykorzystywane, gromadzone lub ujawniane bez zgody przedsiębiorców w celu wykrywania anomalii w systemach płatniczych w celu zapobiegania oszustwom lub praniu pieniędzy; ulepszanie produktów lub prowadzenie badań rynkowych
• zmieniona PDPA umożliwi organizacji udostępnianie danych różnym wykonawcom w celu realizacji umów w ramach „domniemanej zgody”, w tym zgody w drodze powiadomienia
• firmy odpowiedzialne za naruszenia danych będą narażone na surowsze kary – firmy, których roczne obroty w Singapurze przekraczają 10 milionów dolarów australijskich, mogą teraz zostać ukarane grzywną w wysokości do 10% ich obrotów
• maksymalna grzywna wynosiła wcześniej 1 milion S $, która nadal jest zatrzymywana dla firm, których roczny obrót w Singapurze nie przekracza 10 milionów S $

Źródło: https://www.pinsentmasons.com/out-law/news/singapore-updates-personal-data-protection-law

• Google reCAPTCHA ma za zadanie sprawdzić, czy osoba wypełniająca jakiś formularz nie jest robotem
• w polityce prywatności Google obiecuje, że nie używa danych z systemu reCAPTCHA do wysyłania kierowanych reklam – nie gwarantuje jednak, że reCAPTCHA jest odizolowana od innych usług Google
• według specjalistów zabezpieczenie może jednak być używane do śledzenia użytkowników
• kod JavaScript zawarty reCAPTCHA umożliwia przeprowadzenie trójstronnej synchronizacji – dwie odizolowane domeny mogą skojarzyć ciasteczka ustawione dla tej samej przeglądarki
• w tej sytuacji, gdy internauta odwiedzi stronę z reklamami z jednej z tych stron, druga też może mu zaproponować kierowane reklamy
• wszystko wskazuje na to, że reCAPTCHA (gstatic.com) pośredniczy w trójstronnej synchronizacji z domeną google.com
• Ashkan Soltani, pracujący w Federalnej Komisji Handlu USA zwrócił uwagę, że to wygląda identycznie jak obejścia Google’a z 2012 roku – Google został wtedy ukarany grzywną

Źródło: https://www.telepolis.pl/tech/bezpieczenstwo/google-recaptcha-prywatnosc

• UODO wskazuje, że jeżeli zainstalowany monitoring skierowany jest wyłącznie na przestrzeń prywatną i nie obejmuje miejsc publicznych czy też miejsc prowadzenia działalności gospodarczej, to wówczas zastosowanie znajdzie wyjątek przewidziany w art. 2 ust. 2 lit. c RODO – przetwarzanie danych w ramach czynności o czysto osobistym lub domowym charakterze
• dyby jednak zasięg monitoringu obejmował, choćby częściowo, przestrzeń publiczną przetwarzanie w nim danych nie powinno być rozumiane jako czynności o czysto osobistym lub domowym charakterze
• w powyższej sytuacji prowadzenie monitoringu będzie się wiązać z koniecznością spełnienia szeregu warunków dot. przetwarzania danych osobowych
• podmiot prowadzący monitoring stanie się tym samym administratorem danych

Źródło: https://twitter.com/UODOgov_pl/status/1324652890930221057/photo/1