Prezes Urzędu Ochrony Danych Osobowych wystąpił do resortu edukacji z postulatem kompleksowego uregulowania kwestii związanych z prowadzeniem dokumentacji przez poradnie psychologiczno-pedagogiczne. UODO dostrzegł, że obecne regulacje dotyczące działalności poradni nie są dostosowane do przepisów RODO.
Udzielając pomocy psychologiczno-pedagogicznej, poradnie przetwarzają dane osobowe zarówno uczniów i ich rodziców, jak i nauczycieli i psychologów. Ich dokumentacja zawiera dane …
Dnia 08.09.2021 r. weszło w życie rozporządzenie MEiN z dn. 22.07.2021 r. zmieniające rozporządzenie MEN w sprawie wypoczynku dzieci i młodzieży (Dz.U. z 2021 r. poz. 1548), w którym ustalono nowe …
Nie od dziś wiadomo, że Unia Europejska dąży do statusu lidera na globalnym rynku cyfrowym, zarówno w wymiarze ekonomicznym, jak i prawnym, co realizuje poprzez proponowanie i wdrażanie nowatorskich regulacji.
Do tej kategorii bez dwóch zdań zalicza się projekt aktu o usługach cyfrowych (ang. Digital Services Act; DSA), nazywany przez niektórych „nowym RODO” lub „RODO dla Internetu”. Choć DSA jest jeszcze w fazie prac i przepisy te nie zostały jeszcze przyjęte, bez wątpienia będą one niosły za sobą znaczące reperkusje zarówno dla dostawców usług cyfrowych z siedzibą w Unii Europejskiej, jak i dla firm zlokalizowanych poza unijnymi granicami, których użytkownikami są obywatele Unii.
Należy do nich zakwalifikować przede wszystkim dużych graczy ze świata ‘big tech’, takich jak Facebook, Twitter czy Snapchat. Jednocześnie należy zaznaczyć, że nowe przepisy zmieniają zasady gry dla wszystkich przedsiębiorstw działających na rynku usług cyfrowych. Niniejszy artykuł wyjaśnia, dlaczego projekt DSA budzi tak silne emocje w branży technologicznej, a także na co zwrócić uwagę, przygotowując się do wejścia przepisów w życie.
Akt o usługach cyfrowych stanowi efekt wysiłków podejmowanych przez Komisję Europejską celem uregulowania działalności branży technologicznej, w tym w szczególności działających w jej ramach firm-gigantów. Regulacja ta stanowi część unijnej strategii cyfrowej „Shaping Europe’s Digital Future”, której celem jest stworzenie nowych ram regulacyjnych dla działalności firm technologicznych. Powyższe sygnalizuje, że Unia Europejska (UE) chce w większym stopniu regulować przemysł technologiczny, co spotyka się z obawami zarówno ze strony konsumentów, jak i przedsiębiorców. W niniejszym artykule wyjaśniamy, jakie zmiany czekają nas w sektorze usług pośrednictwa internetowego, o jakich nowych obowiązkach muszą pamiętać właściciele firm, a także, co akt o usługach cyfrowych oznacza dla swobody wypowiedzi i usuwania nielegalnych treści z platform internetowych.
DSA koncentruje się na moderacji treści i reklamie internetowej. Ma na celu uregulowanie „pośredników i platform internetowych”. Należą do nich „rynki internetowe, sieci społecznościowe, platformy do udostępniania treści, sklepy z aplikacjami, a także internetowe platformy turystyczne i noclegowe”. DSA docelowo ma zastąpić dyrektywę o handlu elektronicznym pierwotnie uchwaloną w 2000 r. Zdaniem Komisji, obecna dyrektywa ma ograniczone możliwości tworzenia „spójnego, transgranicznego nadzoru nad pośrednikami internetowymi”, z uwagi na jej otwarty charakter, prowadzący do niekonsekwentnego stosowania przez państwa członkowskie.
Aby rozwiązać ten problem, Parlament Europejski zaproponował pakiet dodatkowych przepisów dotyczących polityki regulowania działalności branży technologicznej w postaci dodatkowych regulacji, takich jak wymóg ujawniania algorytmów, raportowania i demonstrowania przejrzystości prowadzonych działań przez pośredników i administratorów platform internetowych. Akt o usługach cyfrowych ma na celu uregulować zróżnicowane obszary gospodarki cyfrowej, takie jak definiowanie różnych dostawców usług w Internecie, moderację treści, reklamę cyfrową, wewnętrzne systemy reklamacyjne czy audyty zewnętrzne.
Nowe przepisy wprowadzane przez DSA regulują obowiązki dostawców usług cyfrowych i zapewniają większą ochronę konsumentów oraz praw podstawowych w Internecie. Celem omawianej regulacji jest zapewnienie, aby platformy internetowe prowadziły działalność w sieci w sposób bardziej odpowiedzialny, bez konieczności obarczania ich odpowiedzialnością prawną za wszystkie treści przesyłane przez użytkowników korzystających z ich usług. Główne modyfikacje wprowadzane przez DSA to obowiązek dochowania należytej staranności w zakresie świadczenia usług cyfrowych, przy czym jednolity obowiązek usuwania nielegalnych treści odnosić się będzie do wszystkich podmiotów prowadzących działalność na rynku cyfrowym, a inne obowiązki – takie jak zapewnienie przejrzystości reklamy oraz obowiązek weryfikacji tożsamości klientów biznesowych – dotyczyć będą jedynie platform internetowych.
Ponadto, akt o usługach cyfrowych wyróżnia szczególną kategorię podmiotów, „bardzo duże platformy internetowe”, oraz nakłada na nie szczególne zobowiązania w zakresie ryzyka systemowego oraz surowsze środki nadzoru. Podobnie jak w przypadku RODO, akt o usługach cyfrowych ma za zadanie wyposażyć organy unijne w odpowiednie instrumenty prawne umożliwiające ściślejszą kontrolę działalności pośredników i platform internetowych. Skuteczne egzekwowanie przepisów przedstawionych w projekcie aktu o usługach cyfrowych to największe wyzwanie stojące przed Komisją, która zaproponowała w nim dość złożoną strukturę nadzoru i egzekwowania. Wedle obecnych założeń, odpowiednie organy państw członkowskich będą mogły przeprowadzać kontrole w siedzibie podmiotów przedmiotowo objętych zakresem DSA, nakładać na nie środki tymczasowe lub naprawcze oraz kary pieniężne, a także zwracać się do organów sądowych o czasowe ograniczenie dostępu do danej usługi cyfrowej. W przypadku naruszenia szczególnych obowiązków przez podmiot wpisujący się do kategorii „bardzo dużej platformy internetowej”, Komisja dysponować będzie uprawnieniami wykonawczymi zbliżonymi do tych przyznanych państwom członkowskim. Będzie ona legitymować się również prawem do nakazania takim platformom udostępnienia odpowiednich informacji i składania wyjaśnień w przedmiocie baz danych i algorytmów.
DSA wprowadza rozróżnienie między pośrednikami internetowymi, tworząc kategorię „bardzo dużych platform”. Będą do nich zaliczane te, które mają ponad 45 milionów użytkowników lub 10% populacji Unii Europejskiej. Taka kategoria obejmuje nie tylko tradycyjnych gigantów mediów społecznościowych, takich jak Facebook, Twitter czy Instagram, lecz także bardziej nowatorskie platformy, takie jak TikTok oraz Snapchat. Logika stojąca za takim podziałem wskazuje, iż ze względu na swój znaczny rozmiar, platformy te mogą stwarzać większe ryzyko społeczne, w tym przede wszystkim podwyższone ryzyko rozprzestrzeniania się nielegalnych treści, naruszenia praw podstawowych użytkowników, manipulacji zautomatyzowanym systemem i dominującej pozycji na rynku reklamy cyfrowej. Wymienione wyżej, niepożądane skutki działalności platform-gigantów mogą mieć negatywny wpływ na zdrowie publiczne, dyskurs obywatelski, procesy wyborcze, a w skrajnych przypadkach także na bezpieczeństwo narodowe. Przedsiębiorstwa technologiczne podlegające temu rozróżnieniu będą musiały zmierzyć się z dodatkowymi regulacjami dotyczącymi moderacji treści i reklam targetowanych. Do postulowanych, nowych wymogów zalicza się coroczne audyty zewnętrzne przeprowadzane na koszt danego podmiotu kwalifikującego się do kategorii „bardzo dużych platform internetowych”, ściślejszy monitoring i nadzór ze strony władz europejskich oraz stosowanie się do podwyższonych standardów raportowania praktyk reklamowych i moderacji treści.
DSA nakłada na podlegających mu pośredników internetowych obowiązek udostępniania na żądanie Komisji parametrów algorytmów wykorzystywanych do moderowania treści i reklamy targetowanej. Ponadto akt ten upoważnia Komisję do przeprowadzania kontroli na miejscu w celu dokonania przeglądu algorytmów oraz żądania udzielenia dodatkowych informacji bądź wyjaśnień. Jeśli administratorzy platform nie udostępnią takich informacji bądź nie zezwolą na przeprowadzenie kontroli, zostaną ukarani grzywną w wysokości do 10% ich całkowitego przychodu w danym roku podatkowym.
Na gruncie projektu aktu o usługach cyfrowych, platformy są również zobowiązane do publikowania sprawozdań dotyczących przejrzystości – corocznie oraz na każdorazowy wniosek Komisji Europejskiej. Przedsiębiorcy objęci zakresem DSA są zobowiązani do udostępniania raportów na temat podejmowanych przez nich działań w zakresie moderacji treści, które są jasne, łatwo zrozumiałe i szczegółowe. Raporty te muszą zawierać:
Jednym z ważniejszych obowiązków nakładanych przez DSA na pośredników i administratorów platform jest ustanowienie skutecznego, wewnętrznego systemu rozpatrywania skarg, który umożliwiał będzie odbiorcom usługi – to jest konsumentom – składanie wspomnianych skarg drogą elektroniczną w trybie nieodpłatnym. System ten musi umożliwiać konsumentom sprzeciwianie się wybranym praktykom moderowania treści, przy czym platformy muszą zapewniać dostęp do systemu skarg przez co najmniej sześć miesięcy od momentu usunięcia treści opublikowanych przez danego użytkownika. W ramach swoich funkcjonalności, system musi umożliwiać przedkładanie skarg na:
Ponadto przedsiębiorcy będący administratorami platform internetowych muszą upewnić się, że udostępniane przez nich systemy skarg są łatwe w obsłudze i przyjazne użytkownikowi, a także ułatwiające składanie wystarczająco precyzyjnych i odpowiednio uzasadnionych skarg. Samo rozpatrywanie zgłoszeń przedkładanych przez użytkowników powinno odbywać się w terminowy, rzetelny i obiektywny sposób. Ponadto, jeśli administrator platformy uzna, że usunięta zawartość nie jest niezgodna z prawem ani z warunkami świadczenia usług, jest on zobowiązany do cofnięcia swojej decyzji bez nieuzasadnionej zwłoki, to jest w najszybszym możliwym terminie.
Zgodnie z treścią projektu aktu o usługach cyfrowych, jeśli platformy nie będą przestrzegać przepisów w nim określonych, mogą podlegać karze grzywny w wysokości do 10% globalnych przychodów. Niektóre z wymienionych w DSA kar pieniężnych są zarezerwowane dla firm, które kwalifikują się do kategorii „bardzo duże platformy internetowe”, oraz mogą sięgnąć wysokości 6% globalnych przychodów za pierwsze naruszenia aktu – to więcej, niż analogiczne kary wynikające z RODO, które ustanowiono na poziomie 4% oraz 1% za błędy w raportowaniu. Tak wysokie grzywny mają za zadanie już nie tyle zachęcać do stosowania się do nowych przepisów, co odstraszać gigantów technologicznych dotychczas balansujących na granicy nielegalnych praktyk biznesowych i cyfrowych.
Nie ulega wątpliwości, że akt o usługach cyfrowych nakładać będzie obowiązki o obciążającym charakterze na firmy działające w branży technologicznej, w tym w szczególności reklamy internetowej. W środowisku pojawiają się również wątpliwości co do potencjalnych skutków ubocznych wejścia w życie aktu o usługach cyfrowych dla działalności przedsiębiorstw w tym obszarze. Przykładowo, obowiązek udostępniania algorytmów ich platform może prowadzić do ich kopiowania przez konkurencję, co w efekcie prowadzić będzie do obniżenia zwrotu z inwestycji w skuteczne rozwiązania informatyczne. Podobne zastrzeżenia budzi interpretacja wymogu udostępnienia łatwego w dostępie i przyjaznego użytkownikom wirtualnego systemu reklamacyjnego. Należy spodziewać się, że za wytyczne posłużą w tym przypadku pierwsze wyroki oraz stanowiska publikowane przez organy regulacyjne, niemniej jednak nie będą one wynikać wprost z treści DSA.
Obowiązki nakładane na mocy aktu o usługach cyfrowych w praktyce wiązać się będą z koniecznością poniesienia dodatkowych kosztów przez pośredników oraz właścicieli platform internetowych. Zarówno stworzenie i wdrożenie wirtualnych systemów reklamacji, jak i tworzenie raportów dotyczących moderacji treści wiąże się z koniecznością eksploatacji dodatkowych zasobów, zarówno finansowych, jak i pracowniczych. Powyższe będzie miało szczególne znaczenie dla właścicieli start-upów i małych firm, które często mają do dyspozycji niewielu pracowników oraz dysponują ograniczonymi środkami, docelowo przeznaczonymi na maksymalny rozwój działalności w początkowym okresie jej prowadzenia. W najgorszym przypadku, implikacje finansowe związane z wejściem w życie nowych obowiązków ciążących na przedsiębiorcach z branży cyfrowej może ograniczać konkurencję, obciążając mniejsze podmioty dodatkowymi kosztami, które w przeciwnym razie zostałyby zainwestowane w rozwój oraz udostępnianie nowych funkcjonalności. Nie jest to, rzecz jasna, kwestia przesądzona ani zamierzony efekt DSA, przy czym podobną dynamikę dało się zaobserwować na etapie wejścia w życie RODO. Wedle założeń, miało ono „temperować” dotychczas dość swobodną działalność dużych graczy na rynku technologicznym, a ostatecznie dotknęło w większym stopniu mniejsze podmioty, które nie dysponowały tak obszernymi zasobami finansowo-ludzkimi.
Jak podkreślono w niniejszym artykule, akt o usługach cyfrowych (DSA) wprowadza bardziej rygorystyczne przepisy dla pośredników internetowych i platform cyfrowych, wymagając od nich wdrożenia wirtualnego systemu skarg oraz ustanowienia rocznych wymogów sprawozdawczych, pod groźbą nałożenia na nich kar pieniężnych. Co więcej, DSA przewiduje również znaczne różnice w obowiązkach nakładanych na platformy z aktywną bazą użytkowników wynoszącą ponad 10 procent populacji europejskiej w postaci bardziej rygorystycznych standardów raportowania i monitorowania, corocznych audytów zewnętrznych i wyższymi kar. Omawiany akt wpłynie na funkcjonowanie nie tylko firm zlokalizowanych w Unii Europejskiej, ale również na amerykańskich gigantów technologicznych, kwalifikujących się do grupy obarczonej największą liczbą obowiązków o dojmującym skutku dla formy prowadzenia działalności w sieci.
Dla polskich przedsiębiorców działających na rynku cyfrowym oznacza to przede wszystkim przygotowanie się na konieczność podjęcia dodatkowych działań, celem spełnienia wskazanych w tym artykule nowych obowiązków nakładanych na pośredników i platformy internetowe. Powyższe wymagać będzie dodatkowych prac informatycznych oraz konsultacji prawnych, co w sposób nieunikniony wiązać się będzie z eksploatacją większej ilości zasobów finansowych i ludzkich w ramach prowadzonej działalności. Jednocześnie należy mieć na uwadze, że unijna strategia dla cyfrowej przyszłości wiązać się będzie z rosnącą ilością wymogów techniczno-prawnych stawianych biznesom z branży technologicznej. Internet, uznawany do tej pory za strefę, zaczyna podlegać coraz bardziej precyzyjnym regulacjom, które obejmują swoim zakresem nowe technologie i innowacje.
Pozostaje mieć nadzieję, że stosowanie nowych przepisów będzie odbywać się w sposób zdroworozsądkowy, a główny nacisk zostanie położony na gigantów technologicznych, którzy w największym stopniu zagrażają tak uczciwej konkurencji na rynku właściwym, jak i chociażby wolności słowa w sieci.
Źródło: parp.gov.pl
Wojewódzki Sąd Administracyjny w Warszawie wydał wyrok z dn. 07.08.2020 r., (sygn. akt: II SA/Wa 809/20) i uznał, że przetwarzanie danych biometrycznych uczniów przez szkołę podstawową w Gdańsku, które miało miejsce podczas wydawania posiłków, nie stanowi naruszenia prawa. W konsekwencji uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą na szkołę karę pieniężną w wysokości 20 tys. zł. W odpowiedzi UODO wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego.
Spór dotyczy wprowadzenia przez gdańską podstawówkę systemu identyfikacji biometrycznej przy wejściu do stołówki szkolnej, który pozwala dokonać weryfikacji, czy dzieci uiściły opłatę za posiłek. Szkoła przetwarzała dane biometryczne w postaci odcisków palców uczniów na podstawie pisemnej zgody rodziców lub opiekunów prawnych.
Jednak zdaniem UODO przepisy prawa powszechnie obowiązującego w Polsce nie zezwalają szkole na przetwarzanie danych biometrycznych. Udzielona przez rodziców zgoda nie może być uznana za dobrowolną, ponieważ jej brak wywoływał negatywne skutki – dzieci, których rodzice nie udzielili zgody, musiały przepuszczać w kolejce po posiłek pozostałych uczniów. Także Rzecznik Praw Dziecka stanął na stanowisku, że przetwarzanie danych biometrycznych dzieci ma szczególny charakter i wiąże się ze zwiększonym ryzykiem naruszenia praw i wolności podmiotu danych.
Innego zdania był WSA, który stwierdził, że wyrażenie zgody przewidzianej w art. 9 ust. 2 lit.a RODO legalizuje przetwarzanie danych biometrycznych dzieci.
Małgorzata Tabaszewska – specjalistka prawa oświatowego
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane RODO) – Dz.Urz. UE z 2016 r. L 119/1.
Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. w wysokości prawie 160 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto spółkę ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy.
UODO o zaistniałej sytuacji poinformowała firma zajmująca się pośrednictwem ubezpieczeniowym. W procesie przetwarzania danych pełniła ona podwójną rolę. Z jednej strony była administratorem danych, a z drugiej podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeniowych. Naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika pośrednictwa finansami do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach. Uznał on, że połączenie tych danych w powiązaniu z danymi zawartymi w załączonych dokumentach może spowodować, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych. Podmiot, który dokonał naruszenia, występował jednocześnie w roli podmiotu przetwarzającego towarzystw ubezpieczeniowych, dlatego też zawiadomił je o naruszeniu. Przeprowadzona przez UODO weryfikacja wykazała, że w związku z tym incydentem kilka towarzystw ubezpieczeniowych jako administratorzy danych, dokonało zgłoszenia naruszenia ochrony danych. Zgłoszenia takiego nie odnotowano od Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A..
UODO zwrócił się do spółki o wyjaśnienia. Spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie. Odnotować należy, że oceny dokonano, posługując się formularzem opracowanym przez Spółkę. Co więcej, przeprowadzona przez Spółkę analiza ryzyka, budziła wątpliwości organu nadzorczego i nie została dokonana w sposób prawidłowy. Błędy, jak również nieprawidłowości w przeprowadzonej ocenie polegające w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania, wskazują, że analiza została przeprowadzona w sposób dowolny i nie została wykorzystana jako narzędzie służące pomocą Spółce w ocenie, czy należy dokonać zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, ale raczej na potrzeby wykazania braku podlegania takim obowiązkom.
Ponadto spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości, z którego wynika, że nie jest w posiadaniu wysłanych dokumentów, oraz że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości. Jednak oświadczenie takie nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, jak i nie wyklucza możliwości wystąpienia negatywnych konsekwencji w przyszłości.
Zdaniem UODO w tej sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To skutkuje powstaniem po stronie spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.
W ocenie UODO zastosowana kara pieniężna będzie skuteczna i spełni swoją funkcję.
źródło: UODO
Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęli wspólną opinię dotyczącą rozporządzenia w sprawie zarządzania danymi. Rozporządzenie ma na celu zwiększenie dostępności danych poprzez podniesienie poziomu zaufania do pośredników w zakresie danych oraz wzmocnienie mechanizmów udostępniania danych w całej Unii Europejskiej.
EROD i EIOD uznają za uzasadniony cel rozporządzenia poprawę warunków udostępniania danych na rynku wewnętrznym. Jednocześnie ochrona danych osobowych jest zasadniczym i integralnym elementem zaufania w gospodarce cyfrowej. W szczególności celem rozporządzenia jest promowanie udostępniania danych sektora publicznego do ponownego wykorzystania. Ma ono także służyć udostępnianiu danych między przedsiębiorstwami oraz wykorzystywaniu danych osobowych z pomocą „pośrednika w udostępnianiu danych osobowych”. Rozporządzenie ma również umożliwić wykorzystywanie danych z pobudek altruistycznych.
W tej wspólnej opinii EROD i EIOD wzywają współustawodawców do zapewnienia pełnej zgodności przyszłego rozporządzenia w sprawie zarządzania danymi z prawodawstwem UE w zakresie ochrony danych osobowych, co zwiększy zaufanie do gospodarki cyfrowej i utrzyma stopień ochrony przewidziany w prawie Unii pod nadzorem organów nadzorczych państw członkowskich.
EROD i EIOD uważają, że unijny prawodawca powinien dopilnować, aby w treści rozporządzenia w sprawie zarządzania danymi wyraźnie i jednoznacznie stwierdzono, że rozporządzenie to nie wpłynie na stopień ochrony danych osobowych osób fizycznych, ani nie zmieni żadnych praw i obowiązków określonych w prawodawstwie dotyczącym ochrony danych.
Ponowne wykorzystywanie danych w sektorze publicznym
Jeśli chodzi o ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego, EROD i EIOD zalecają dostosowanie rozporządzenia w sprawie zarządzania danymi do istniejących przepisów dotyczących ochrony danych osobowych. Chodzi zarówno o ogólne rozporządzenie o ochronie danych (RODO), jak i o dyrektywę w sprawie otwartych danych (dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego).
Ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego może być dozwolone wyłącznie wtedy, jeśli jest osadzone w prawie UE lub prawie państwa członkowskiego. Takie przepisy powinny zawierać wykaz wyraźnych zgodnych celów, dla których dalsze przetwarzanie może być dozwolone prawem lub stanowi niezbędny i proporcjonalny środek w demokratycznym społeczeństwie służącym celom, o których mowa w art. 23 RODO.
Dostawco usług, informuj
Odnosząc się do dostawców usług udostępniania danych, we wspólnej opinii podkreślono potrzebę zapewnienia osobom fizycznym uprzedniej informacji i kontroli, biorąc pod uwagę zasady ochrony danych w fazie projektowania i domyślnej ochrony danych, przejrzystości i ograniczenia celu. Ponadto powinien być wyjaśniony tryb korzystania z praw, na podstawie którego tacy dostawcy usług mogliby skutecznie wspierać osoby fizyczne w wykonywaniu ich praw jako osób, których dane dotyczą.
Czym jest altruistyczne podejście do danych?
Jeśli chodzi o altruistyczne podejście do danych, EROD i EIOD zalecają, że rozporządzenie w sprawie zarządzania danymi powinno lepiej zdefiniować cele leżące w interesie ogólnym takiego „altruistycznego podejścia do danych”. Podejście to należy zorganizować w taki sposób, aby umożliwiało osobom fizycznym łatwe wyrażenie, ale również wycofanie zgody.
W świetle potencjalnych zagrożeń dla osób, których dane dotyczą, kiedy ich dane osobowe mogą być przetwarzane przez dostawców usług udostępniania danych lub organizacje o altruistycznym podejściu do danych, EROD i EIOD uważają, że systemy dobrowolnej rejestracji tych podmiotów, ustanowione w rozporządzeniu w sprawie zarządzania danymi, nie przewidują wystarczająco rygorystycznej procedury sprawdzającej stosowanej do takich usług. Dlatego też EROD i EIOD zalecają poszukiwanie alternatywnych procedur, które przewidują bardziej systematyczne uwzględnianie narzędzi rozliczalności, w szczególności przestrzegania kodeksu postępowania lub mechanizmu certyfikacji.
Ponadto wspólna opinia zawiera zalecenia dotyczące wyznaczenia organów nadzorczych jako głównych organów właściwych do spraw kontroli przestrzegania przepisów rozporządzenia w sprawie zarządzania danymi, w porozumieniu z innymi odpowiednimi organami sektorowymi.
źródło: UODO
Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych.
Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.
UODO zwróciło się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy w związku z zaistniałą sytuacją nie zachodzi potrzeba zawiadomienia organu nadzorczego o naruszeniu oraz osób, których ono dotyczyło.
Ukarany podmiot wskazał, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych, na podstawie której spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia UODO. Ponadto przedsiębiorstwo uznało, że ze względu na szybko podjęte działania, jak oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, do którego otrzymania nie był upoważniony, wyeliminowano możliwość zaistnienia w przyszłości negatywnych skutków tego zdarzenia dla osób, których dane dotyczą.
Z uwagi na brak zgłoszenia naruszenia ochrony danych osobowych, organ nadzorczy wszczął wobec spółki postępowanie administracyjne, która w jego trakcie podtrzymała dotychczasowe stanowiska przedstawione w korespondencji prowadzonej z Urzędem od czerwca 2020 roku i w dalszym ciągu nie zgłosiła naruszenia organowi nadzorczemu.
W przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.
Do dnia wydania niniejszej decyzji, spółka nie wykonała obowiązku wynikającego z art. 33 RODO. Ustalając wysokość administracyjnej kary pieniężnej, Urząd uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
UODO przypomina, że zgodnie z art. 33 ust. 1 i 3 RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Decyzja dostępna jest pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5131.7.2020
„Prowadzę kilka działalności gospodarczych o podobnym profilu, w których przetwarzane są dane osobowe. Są sytuacje, że zatrudniam w swoich firmach tą samą osobę. Osoba ta ma adres e-mail w domenach internetowych obu firm. Czy jeśli wyśle ona informacje wrażliwe, o których mowa w ustawie o ochronie danych osobowych, z domeny firmy, która nie ma uprawnień do przetwarzania tych danych, to czy naruszam przepisy prawa?”
Co do zasady adres e-mail to dana osobowa. Nie ma ustawowego katalogu danych osobowych, jednakże wskazuje się, że danymi osobowymi są w szczególności numer PESEL, numer paszportu, dowodu osobistego i innych numerów (danych) przypisanych indywidualnie. Należy jednak pamiętać, że ten …
Rzecznik Małych i Średnich Przedsiębiorców zwrócił się dn. 29.01.2021 r. do Prezesa Urzędu Ochrony Danych Osobowych o zajęcie stanowiska w odniesieniu do art. 15r ust. 1 ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (dalej: „ustawa o COVID-19”).
W odpowiedzi z dn. 08.02.2021 r. Prezes Urzędu Ochrony Danych Osobowych poinformował, że wskazany w piśmie art. 15r ust. 1 ustawy o COVID-19 nie stanowi podstawy prawnej dla pracodawcy do pozyskiwania danych o stanie zdrowia pracownika celem ich przekazywania zamawiającemu w ramach realizacji zmówienia publicznego – bez znaczenia również pozostaje, czy kontrahent ten jest podmiotem publicznym czy prywatnym. Przepis ten nie daje także ww. zamawiającemu podstaw do pozyskiwania i przetwarzania tego rodzaju danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych wyjaśnił także, że pracodawca chcąc przetwarzać dane pracownika o stanie jego zdrowia musi wykazać się jedną z przesłanek określonych w art. 9 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane RODO), dopuszczających przetwarzanie tej kategorii danych w ściśle określonych okolicznościach. Odwołując się do art. 221b § 1, § 2 i § 3 ustawy – Kodeks pracy regulującego przetwarzanie danych szczególnych kategorii (dotyczących zdrowia), Prezes UODO stwierdził, że pracodawca zgodnie z zasadą rozliczalności nie byłby w stanie wykazać, dlaczego pozyskuje i przekazuje innym podmiotom (kontrahentom) dane o stanie zdrowia pracownika dla celów związanych z realizacją zamówienia publicznego.
Regulacja art. 15r ust. 1 ustawy o COVID-19 nie może stanowić podstawy prawnej do przetwarzania przez pracodawcę innych danych o pracowniku (danych o stanie zdrowia) i w warunkach innych niż wynikające wprost z przepisów prawa pracy.
Otrzymane z UODO wyjaśnienie jest niezwykle ważne zarówno dla przedsiębiorców (pracodawców), jak i pracowników. Wiemy, że wszelkie działania podejmowane przez przedsiębiorców muszą mieć oparcie w obowiązujących przepisach prawa. Natomiast przepis art. 15r ust. 1 ustawy o COVID-19 według Prezesa UODO nie stanowi podstawy prawnej dla przetwarzania przez pracodawcę innych danych o pracowniku i warunkach innych niż wynikające wprost w przepisów prawa pracy. Oceniam, że stanowisko Prezesa UODO powinno także zapoczątkować debatę publiczną, która dotyczyć będzie przetwarzania informacji o stanie zdrowia pracownika, w tym również dokumentacji potwierdzającej jego przebywanie na zwolnieniach lekarskich lub kwarantannie, gdyż Prezesa UODO wskazuje, że „ze względu na swój sensytywny charakter – powinny zostać objęte szczególną ochroną oraz, że jest związane z przetwarzaniem szczególnej kategorii danych (dotyczących zdrowia)” – wskazuje dr n. pr. Marek Woch, Dyrektor Generalny w Biurze Rzecznika MŚP.
Doskonale zdaję sobie sprawę z wyzwań, jakie są stawiane przed przedsiębiorcami. Jesteśmy zdeterminowani i w pełnej gotowości do niesienia pomocy w uzyskiwaniu objaśnień meandrów nieustannie zmieniającego się prawa. Dziękujemy Prezesowi UODO za wsparcie merytoryczne i szybką odpowiedź – podkreśla Adam Abramowicz, Rzecznik Małych i Średnich Przedsiębiorców.
Podstawa prawna:
Źródło: Rzecznik Małych i Średnich Przedsiębiorców
oprac. \m/ \mos/
Szczególnej ostrożności wymagają dane osobowe dotyczące zdrowia, pozyskiwane m.in. w gabinecie profilaktyki zdrowotnej czy przy udzielaniu pomocy psychologiczno-pedagogicznej. Warto wiedzieć, kto jest ich administratorem i jakie ma w tym zakresie obowiązki.
Zgodnie z przepisami prawa uczniowie są …
