EROD przyjęła wytyczne dotyczące art. 60 RODO, czyli współpracy między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy.  Ponadto Rada przyjęła wytyczne w sprawie tzw. dark patterns w interfejsach platform mediów społecznościowych oraz zestaw narzędzi dotyczących podstawowych zabezpieczeń ochrony danych na potrzeby współpracy w zakresie egzekwowania prawa między organami nadzorczymi EOG a państwami trzecimi.

Europejska Rada Ochrony Danych  (EROD) podczas 62 posiedzenia plenarnego przyjęła wytyczne dotyczące art. 60 RODO. Opracowanie takich wytycznych jest częścią strategii i programu prac EROD na lata 2021-2022 w celu wspierania skutecznego egzekwowania prawa i skutecznej współpracy między krajowymi organami nadzorczymi. Wytyczne zawierają szczegółowy opis współpracy między organami nadzorczymi w ramach RODO i mają na celu dalsze zwiększenie spójnego stosowania przepisów prawa dotyczących mechanizmu kompleksowej współpracy. Wytyczne pomagają organom nadzorczym w interpretacji i stosowaniu własnych procedur krajowych w taki sposób, aby były zgodne ze współpracą w ramach mechanizmu kompleksowej współpracy i pasowały do niej.

EROD przyjęła wytyczne dotyczące tzw. dark patterns w interfejsach platform mediów społecznościowych. „Dark patterns” to interfejsy i doświadczenia użytkowników wdrażane na platformach mediów społecznościowych, które powodują, że użytkownicy Ci podejmują niezamierzone, niechętne decyzje dotyczące przetwarzania ich danych osobowych. Decyzje te mogą wpływać na zachowania użytkowników i ich zdolność do skutecznej ochrony danych osobowych. Wytyczne zawierają konkretne przykłady rodzajów „dark patterns”, prezentują najlepsze praktyki w różnych przypadkach użycia i zawierają szczegółowe zalecenia dla projektantów interfejsów użytkownika, które ułatwiają skuteczne wdrożenie RODO.

Przygotowane wytyczne zawierają praktyczne zalecenia dla projektantów i użytkowników platform mediów społecznościowych dotyczące sposobu oceny, prezentują najlepsze praktyki, ale też wskazują jakie „dark patterns” w interfejsach mediów społecznościowych, naruszają wymogi RODO i należy ich unikać.

EROD przyjęła również zestaw narzędzi dotyczących podstawowych zabezpieczeń w zakresie ochrony danych na potrzeby współpracy w zakresie egzekwowania prawa między organami nadzorczymi EOG a państwami trzecimi. Zestaw narzędzi może być wykorzystywany zarówno do uzgodnień administracyjnych opracowanych w ramach EROD przez same organy nadzorcze, jak i do umów międzynarodowych negocjowanych przez Komisję Europejską. Publikacja ta obejmuje kluczowe tematy, takie jak egzekwowalne prawa osób, których dane dotyczą, zgodność z zasadami ochrony danych i sądowe środki zaskarżenia.

Ponadto EROD przyjęła wspólną opinię EROD i EIOD w sprawie wniosków dotyczących przedłużenia unijnego cyfrowego zaświadczenia COVID-19 . Odrębny komunikat prasowy na ten temat zostanie opublikowany w późniejszym terminie.

UODO



Organ nadzorczy nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł. Powodem tej decyzji było naruszenie przez Bank przepisów RODO polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu. UODO nakazało więc zawiadomienie tych osób o zaistniałej sytuacji i potencjalnych konsekwencjach z nim związanych.

Administrator zgłosił do UODO naruszenie ochrony danych osobowych po tym, gdy stwierdził, że były pracownik Banku mimo zakończenia pracy w tej instytucji, posiada nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W wyniku tego mógł on przeglądać znajdujące się na profilu płatnika Santander Bank Polska S.A. dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy.

Po dokonaniu analizy zgłoszenia naruszenia, UODO uznało, że doszło do naruszenia poufności danych, które wiąże się jednocześnie z zaistnieniem wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane dotyczą. Z tego też względu zdaniem organu nadzorczego konieczne jest zawiadomienie osób, których dane dotyczą, o zaistniałym incydencie.

Jednak w ocenie Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. Jak wyjaśnił administrator pierwotnie zgłoszenia naruszenia ochrony danych osobowych dokonał jedynie ze względów ostrożności. Po analizie sprawy uznał on, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu.

Bank umieścił jednak na platformie komunikacji wewnętrznej komunikat przypominający zasady przetwarzania danych osobowych.

W ocenie UODO tego typu komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, a jedynie zaprezentowano w nim przykładowe rodzaje naruszeń. Ponieważ zabrakło w komunikacie wskazania, że taka sytuacja de facto miała miejsce, to potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.

UODO wyraził także swoje zastrzeżenia co do wyboru adresatów komunikatu, do których został on skierowany, czyli jedynie do obecnych pracowników Banku, korzystających z platformy komunikacji wewnętrznej. Trzeba nadmienić, że zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

W ocenie UODO w prezentowanej sprawie zaszły wszelkie okoliczności, które potwierdzały konieczność zawiadomienia o naruszeniu osób, których dane dotyczą. Dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. Dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych.

W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Co równie ważne i wymaga zaakcentowania, administrator podjął świadomą decyzję   rezygnacji z powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.
W postępowaniu prowadzonym przed organem nadzorczym administrator konsekwentnie utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia o incydencie tych osób.

Zdaniem UODO takie zaniechanie powoduje brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw. Co więcej, może ono doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone.

Mając na uwadze powyższe, Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł, ale także nakazał spełnienie obowiązku wynikającego z RODO jakim jest zawiadomienie osób o zaistniałym incydencie.

UODO



Europejska Rada Ochrony Danych (EROD) przyjęła ostateczną wersję Wytycznych 10/2020 w sprawie ograniczeń praw osób, których dane dotyczą, na podstawie art. 23 RODO, po konsultacjach publicznych.

Wytyczne mają na celu przypomnienie warunków stosowania ograniczeń przez państwa członkowskie lub prawodawcę UE w świetle Karty Praw Podstawowych Unii Europejskiej i RODO. Zawierają one dokładną analizę kryteriów stosowania ograniczeń, ocen, których należy przestrzegać, sposobu, w jaki osoby, których dane dotyczą, mogą wykonywać swoje prawa po zniesieniu ograniczeń, oraz konsekwencji naruszeń art. 23 RODO. Ponadto w wytycznych przeanalizowano, w jaki sposób środki legislacyjne określające ograniczenia muszą spełniać wymóg przewidywalności, oraz omówiono podstawy ograniczeń wymienionych w art. 23 ust. 1 RODO, a także obowiązki i prawa, które mogą być ograniczone.

UODO



Nie od dziś wiadomo, że Unia Europejska dąży do statusu lidera na globalnym rynku cyfrowym, zarówno w wymiarze ekonomicznym, jak i prawnym, co realizuje poprzez proponowanie i wdrażanie nowatorskich regulacji.

Do tej kategorii bez dwóch zdań zalicza się projekt aktu o usługach cyfrowych (ang. Digital Services Act; DSA), nazywany przez niektórych „nowym RODO” lub „RODO dla Internetu”. Choć DSA jest jeszcze w fazie prac i przepisy te nie zostały jeszcze przyjęte, bez wątpienia będą one niosły za sobą znaczące reperkusje zarówno dla dostawców usług cyfrowych z siedzibą w Unii Europejskiej, jak i dla firm zlokalizowanych poza unijnymi granicami, których użytkownikami są obywatele Unii.

Należy do nich zakwalifikować przede wszystkim dużych graczy ze świata ‘big tech’, takich jak Facebook, Twitter czy Snapchat. Jednocześnie należy zaznaczyć, że nowe przepisy zmieniają zasady gry dla wszystkich przedsiębiorstw działających na rynku usług cyfrowych. Niniejszy artykuł wyjaśnia, dlaczego projekt DSA budzi tak silne emocje w branży technologicznej, a także na co zwrócić uwagę, przygotowując się do wejścia przepisów w życie.

Akt o usługach cyfrowych

Akt o usługach cyfrowych stanowi efekt wysiłków podejmowanych przez Komisję Europejską celem uregulowania działalności branży technologicznej, w tym w szczególności działających w jej ramach firm-gigantów. Regulacja ta stanowi część unijnej strategii cyfrowej „Shaping Europe’s Digital Future”, której celem jest stworzenie nowych ram regulacyjnych dla działalności firm technologicznych. Powyższe sygnalizuje, że Unia Europejska (UE) chce w większym stopniu regulować przemysł technologiczny, co spotyka się z obawami zarówno ze strony konsumentów, jak i przedsiębiorców. W niniejszym artykule wyjaśniamy, jakie zmiany czekają nas w sektorze usług pośrednictwa internetowego, o jakich nowych obowiązkach muszą pamiętać właściciele firm, a także, co akt o usługach cyfrowych oznacza dla swobody wypowiedzi i usuwania nielegalnych treści z platform internetowych.

DSA koncentruje się na moderacji treści i reklamie internetowej. Ma na celu uregulowanie „pośredników i platform internetowych”. Należą do nich „rynki internetowe, sieci społecznościowe, platformy do udostępniania treści, sklepy z aplikacjami, a także internetowe platformy turystyczne i noclegowe”. DSA docelowo ma zastąpić dyrektywę o handlu elektronicznym pierwotnie uchwaloną w 2000 r. Zdaniem Komisji, obecna dyrektywa ma ograniczone możliwości tworzenia „spójnego, transgranicznego nadzoru nad pośrednikami internetowymi”, z uwagi na jej otwarty charakter, prowadzący do niekonsekwentnego stosowania przez państwa członkowskie.

Aby rozwiązać ten problem, Parlament Europejski zaproponował pakiet dodatkowych przepisów dotyczących polityki regulowania działalności branży technologicznej w postaci dodatkowych regulacji, takich jak wymóg ujawniania algorytmów, raportowania i demonstrowania przejrzystości prowadzonych działań przez pośredników i administratorów platform internetowych. Akt o usługach cyfrowych ma na celu uregulować zróżnicowane obszary gospodarki cyfrowej, takie jak definiowanie różnych dostawców usług w Internecie, moderację treści, reklamę cyfrową, wewnętrzne systemy reklamacyjne czy audyty zewnętrzne.

„Nowe RODO”

Nowe przepisy wprowadzane przez DSA regulują obowiązki dostawców usług cyfrowych i zapewniają większą ochronę konsumentów oraz praw podstawowych w Internecie. Celem omawianej regulacji jest zapewnienie, aby platformy internetowe prowadziły działalność w sieci w sposób bardziej odpowiedzialny, bez konieczności obarczania ich odpowiedzialnością prawną za wszystkie treści przesyłane przez użytkowników korzystających z ich usług. Główne modyfikacje wprowadzane przez DSA to obowiązek dochowania należytej staranności w zakresie świadczenia usług cyfrowych, przy czym jednolity obowiązek usuwania nielegalnych treści odnosić się będzie do wszystkich podmiotów prowadzących działalność na rynku cyfrowym, a inne obowiązki – takie jak zapewnienie przejrzystości reklamy oraz obowiązek weryfikacji tożsamości klientów biznesowych – dotyczyć będą jedynie platform internetowych.

Ponadto, akt o usługach cyfrowych wyróżnia szczególną kategorię podmiotów, „bardzo duże platformy internetowe”, oraz nakłada na nie szczególne zobowiązania w zakresie ryzyka systemowego oraz surowsze środki nadzoru. Podobnie jak w przypadku RODO, akt o usługach cyfrowych ma za zadanie wyposażyć organy unijne w odpowiednie instrumenty prawne umożliwiające ściślejszą kontrolę działalności pośredników i platform internetowych. Skuteczne egzekwowanie przepisów przedstawionych w projekcie aktu o usługach cyfrowych to największe wyzwanie stojące przed Komisją, która zaproponowała w nim dość złożoną strukturę nadzoru i egzekwowania. Wedle obecnych założeń, odpowiednie organy państw członkowskich będą mogły przeprowadzać kontrole w siedzibie podmiotów przedmiotowo objętych zakresem DSA, nakładać na nie środki tymczasowe lub naprawcze oraz kary pieniężne, a także zwracać się do organów sądowych o czasowe ograniczenie dostępu do danej usługi cyfrowej. W przypadku naruszenia szczególnych obowiązków przez podmiot wpisujący się do kategorii „bardzo dużej platformy internetowej”, Komisja dysponować będzie uprawnieniami wykonawczymi zbliżonymi do tych przyznanych państwom członkowskim. Będzie ona legitymować się również prawem do nakazania takim platformom udostępnienia odpowiednich informacji i składania wyjaśnień w przedmiocie baz danych i algorytmów.

Bardzo duże platformy internetowe

DSA wprowadza rozróżnienie między pośrednikami internetowymi, tworząc kategorię „bardzo dużych platform”. Będą do nich zaliczane te, które mają ponad 45 milionów użytkowników lub 10% populacji Unii Europejskiej. Taka kategoria obejmuje nie tylko tradycyjnych gigantów mediów społecznościowych, takich jak Facebook, Twitter czy Instagram, lecz także bardziej nowatorskie platformy, takie jak TikTok oraz Snapchat. Logika stojąca za takim podziałem wskazuje, iż ze względu na swój znaczny rozmiar, platformy te mogą stwarzać większe ryzyko społeczne, w tym przede wszystkim podwyższone ryzyko rozprzestrzeniania się nielegalnych treści, naruszenia praw podstawowych użytkowników, manipulacji zautomatyzowanym systemem i dominującej pozycji na rynku reklamy cyfrowej. Wymienione wyżej, niepożądane skutki działalności platform-gigantów mogą mieć negatywny wpływ na zdrowie publiczne, dyskurs obywatelski, procesy wyborcze, a w skrajnych przypadkach także na bezpieczeństwo narodowe. Przedsiębiorstwa technologiczne podlegające temu rozróżnieniu będą musiały zmierzyć się z dodatkowymi regulacjami dotyczącymi moderacji treści i reklam targetowanych. Do postulowanych, nowych wymogów zalicza się coroczne audyty zewnętrzne przeprowadzane na koszt danego podmiotu kwalifikującego się do kategorii „bardzo dużych platform internetowych”, ściślejszy monitoring i nadzór ze strony władz europejskich oraz stosowanie się do podwyższonych standardów raportowania praktyk reklamowych i moderacji treści.

Ujawnianie algorytmu

DSA nakłada na podlegających mu pośredników internetowych obowiązek udostępniania na żądanie Komisji parametrów algorytmów wykorzystywanych do moderowania treści i reklamy targetowanej. Ponadto akt ten upoważnia Komisję do przeprowadzania kontroli na miejscu w celu dokonania przeglądu algorytmów oraz żądania udzielenia dodatkowych informacji bądź wyjaśnień. Jeśli administratorzy platform nie udostępnią takich informacji bądź nie zezwolą na przeprowadzenie kontroli, zostaną ukarani grzywną w wysokości do 10% ich całkowitego przychodu w danym roku podatkowym.

Raporty z zakresu moderacji treści

Na gruncie projektu aktu o usługach cyfrowych, platformy są również zobowiązane do publikowania sprawozdań dotyczących przejrzystości – corocznie oraz na każdorazowy wniosek Komisji Europejskiej. Przedsiębiorcy objęci zakresem DSA są zobowiązani do udostępniania raportów na temat podejmowanych przez nich działań w zakresie moderacji treści, które są jasne, łatwo zrozumiałe i szczegółowe. Raporty te muszą zawierać:

  1. wszelkie informacje na temat moderowania treści niezgodnych z prawem, dokonywanego na wniosek państw członkowskich;
  2. treści usuwane w wyniku zgłoszeń użytkowników;
  3. treści usuwane według kryteriów i polityki danej platformy; a także
  4. liczbę skarg zarejestrowanych za pośrednictwem obowiązkowego, wewnętrznego systemu skarg.

Wirtualny system reklamacyjny

Jednym z ważniejszych obowiązków nakładanych przez DSA na pośredników i administratorów platform jest ustanowienie skutecznego, wewnętrznego systemu rozpatrywania skarg, który umożliwiał będzie odbiorcom usługi – to jest konsumentom – składanie wspomnianych skarg drogą elektroniczną w trybie nieodpłatnym. System ten musi umożliwiać konsumentom sprzeciwianie się wybranym praktykom moderowania treści, przy czym platformy muszą zapewniać dostęp do systemu skarg przez co najmniej sześć miesięcy od momentu usunięcia treści opublikowanych przez danego użytkownika. W ramach swoich funkcjonalności, system musi umożliwiać przedkładanie skarg na:

  • decyzje o usunięciu lub zablokowaniu dostępu do informacji;
  • decyzje o zawieszeniu lub zakończeniu świadczenia usług, w całości lub w części, na rzecz odbiorców;
  • decyzje o zawieszeniu bądź zamknięciu konta użytkownik.

Ponadto przedsiębiorcy będący administratorami platform internetowych muszą upewnić się, że udostępniane przez nich systemy skarg są łatwe w obsłudze i przyjazne użytkownikowi, a także ułatwiające składanie wystarczająco precyzyjnych i odpowiednio uzasadnionych skarg. Samo rozpatrywanie zgłoszeń przedkładanych przez użytkowników powinno odbywać się w terminowy, rzetelny i obiektywny sposób. Ponadto, jeśli administrator platformy uzna, że ​​usunięta zawartość nie jest niezgodna z prawem ani z warunkami świadczenia usług, jest on zobowiązany do cofnięcia swojej decyzji bez nieuzasadnionej zwłoki, to jest w najszybszym możliwym terminie.

Jakie kary?

Zgodnie z treścią projektu aktu o usługach cyfrowych, jeśli platformy nie będą przestrzegać przepisów w nim określonych, mogą podlegać karze grzywny w wysokości do 10% globalnych przychodów. Niektóre z wymienionych w DSA kar pieniężnych są zarezerwowane dla firm, które kwalifikują się do kategorii „bardzo duże platformy internetowe”, oraz mogą sięgnąć wysokości 6% globalnych przychodów za pierwsze naruszenia aktu – to więcej, niż analogiczne kary wynikające z RODO, które ustanowiono na poziomie 4% oraz 1% za błędy w raportowaniu. Tak wysokie grzywny mają za zadanie już nie tyle zachęcać do stosowania się do nowych przepisów, co odstraszać gigantów technologicznych dotychczas balansujących na granicy nielegalnych praktyk biznesowych i cyfrowych.

Biznesowe implikacje

Nie ulega wątpliwości, że akt o usługach cyfrowych nakładać będzie obowiązki o obciążającym charakterze na firmy działające w branży technologicznej, w tym w szczególności reklamy internetowej. W środowisku pojawiają się również wątpliwości co do potencjalnych skutków ubocznych wejścia w życie aktu o usługach cyfrowych dla działalności przedsiębiorstw w tym obszarze. Przykładowo, obowiązek udostępniania algorytmów ich platform może prowadzić do ich kopiowania przez konkurencję, co w efekcie prowadzić będzie do obniżenia zwrotu z inwestycji w skuteczne rozwiązania informatyczne. Podobne zastrzeżenia budzi interpretacja wymogu udostępnienia łatwego w dostępie i przyjaznego użytkownikom wirtualnego systemu reklamacyjnego. Należy spodziewać się, że za wytyczne posłużą w tym przypadku pierwsze wyroki oraz stanowiska publikowane przez organy regulacyjne, niemniej jednak nie będą one wynikać wprost z treści DSA.

Nowe obowiązki przedsiębiorców

Obowiązki nakładane na mocy aktu o usługach cyfrowych w praktyce wiązać się będą z koniecznością poniesienia dodatkowych kosztów przez pośredników oraz właścicieli platform internetowych. Zarówno stworzenie i wdrożenie wirtualnych systemów reklamacji, jak i tworzenie raportów dotyczących moderacji treści wiąże się z koniecznością eksploatacji dodatkowych zasobów, zarówno finansowych, jak i pracowniczych. Powyższe będzie miało szczególne znaczenie dla właścicieli start-upów i małych firm, które często mają do dyspozycji niewielu pracowników  oraz dysponują ograniczonymi środkami, docelowo przeznaczonymi na maksymalny rozwój działalności w początkowym okresie jej prowadzenia. W najgorszym przypadku, implikacje finansowe związane z wejściem w życie nowych obowiązków ciążących na przedsiębiorcach z branży cyfrowej może ograniczać konkurencję, obciążając mniejsze podmioty dodatkowymi kosztami, które w przeciwnym razie zostałyby zainwestowane w rozwój oraz udostępnianie nowych funkcjonalności. Nie jest to, rzecz jasna, kwestia przesądzona ani zamierzony efekt DSA, przy czym podobną dynamikę dało się zaobserwować na etapie wejścia w życie RODO. Wedle założeń, miało ono „temperować” dotychczas dość swobodną działalność dużych graczy na rynku technologicznym, a ostatecznie dotknęło w większym stopniu mniejsze podmioty, które nie dysponowały tak obszernymi zasobami finansowo-ludzkimi.

Cyfrowa przyszłość

Jak podkreślono w niniejszym artykule, akt o usługach cyfrowych (DSA) wprowadza bardziej rygorystyczne przepisy dla pośredników internetowych i platform cyfrowych, wymagając od nich wdrożenia wirtualnego systemu skarg oraz ustanowienia rocznych wymogów sprawozdawczych, pod groźbą nałożenia na nich kar pieniężnych. Co więcej, DSA przewiduje również znaczne różnice w obowiązkach nakładanych na platformy z aktywną bazą użytkowników wynoszącą ponad 10 procent populacji europejskiej w postaci bardziej rygorystycznych standardów raportowania i monitorowania, corocznych audytów zewnętrznych i wyższymi kar. Omawiany akt wpłynie na funkcjonowanie nie tylko firm zlokalizowanych w Unii Europejskiej, ale również na amerykańskich gigantów technologicznych, kwalifikujących się do grupy obarczonej największą liczbą obowiązków o dojmującym skutku dla formy prowadzenia działalności w sieci.

Dla polskich przedsiębiorców działających na rynku cyfrowym oznacza to przede wszystkim przygotowanie się na konieczność podjęcia dodatkowych działań, celem spełnienia wskazanych w tym artykule nowych obowiązków nakładanych na pośredników i platformy internetowe. Powyższe wymagać będzie dodatkowych prac informatycznych oraz konsultacji prawnych, co w sposób nieunikniony wiązać się będzie z eksploatacją większej ilości zasobów finansowych i ludzkich w ramach prowadzonej działalności. Jednocześnie należy mieć na uwadze, że unijna strategia dla cyfrowej przyszłości wiązać się będzie z rosnącą ilością wymogów techniczno-prawnych stawianych biznesom z branży technologicznej. Internet, uznawany do tej pory za strefę, zaczyna podlegać coraz bardziej precyzyjnym regulacjom, które obejmują swoim zakresem nowe technologie i innowacje.

Pozostaje mieć nadzieję, że stosowanie nowych przepisów będzie odbywać się w sposób zdroworozsądkowy, a główny nacisk zostanie położony na gigantów technologicznych, którzy w największym stopniu zagrażają tak uczciwej konkurencji na rynku właściwym, jak i chociażby wolności słowa w sieci.

Źródło: parp.gov.pl


uodo-3.jpg

Europejska Rada Ochrony Danych (EROD) żąda od irlandzkiego organu nadzorczego zmiany decyzji w sprawie WhatsApp. Rada chce wyjaśnień dotyczących przejrzystości oraz obliczania wysokość kary pieniężnej w związku z wielokrotnymi naruszeniami.

EROD przyjęła 28 lipca 2021 r. decyzję w sprawie rozstrzygania sporów na podstawie art. 65 RODO. Ta wiążąca decyzja ma na celu rozstrzygnięcie sporu powstałego w wyniku projektu decyzji wydanej przez irlandzki organ nadzorczy jako wiodący organ nadzorczy w odniesieniu do WhatsApp Ireland Ltd. (WhatsApp) oraz późniejszych sprzeciwów wyrażonych przez szereg organów nadzorczych, których sprawa dotyczy. Zgodnie z RODO wiążąca decyzja EROD została obecnie opublikowana, po powiadomieniu spółki o ostatecznej decyzji irlandzkiego organu nadzorczego.

Po dokonaniu oceny EROD wyraziła opinię, że irlandzki organ nadzorczy powinien zmienić swój projekt decyzji w odniesieniu do naruszeń zasady przejrzystości, obliczania kary pieniężnej oraz okresu realizacji nakazu przestrzegania przepisów.

Jeśli chodzi o zasadę przejrzystości, w projekcie decyzji irlandzkiego organu już stwierdzono poważne naruszenie art. 12, 13 i 14 RODO. EROD zidentyfikowała dodatkowe braki w dostarczonych informacjach, które wpływają na zdolność użytkowników do zrozumienia, jakie prawnie uzasadnione interesy są realizowane. W związku z tym EROD zwróciła się do irlandzkiego organu nadzorczego o uwzględnienie w swojej decyzji stwierdzenia naruszenia art. 13 ust. 1 lit. d) RODO.

Ponadto EROD wyjaśniła, że doszło do naruszenia zasady przejrzystości zapisanej w art. 5 ust. 1 lit. a) RODO, chociaż podkreślono także, że nie każde naruszenie art. 12, 13 lub 14 RODO musi pociągać za sobą naruszenie wspomnianej zasady. art. 5 ust. 1 lit. a) RODO.

W odniesieniu do gromadzenia przez WhatsApp danych osób niebędących użytkownikami –gdy użytkownicy decydują się na korzystanie z funkcji kontaktu – EROD stwierdziła, że w omawianym przypadku procedura stosowana przez WhatsApp nie prowadzi do anonimizacji zgromadzonych danych osobowych.

W odniesieniu do nałożonej kary pieniężnej i jej obliczenia EROD zdecydowała, że obrót przedsiębiorstwa nie jest istotny wyłącznie dla określenia maksymalnej wysokości kary pieniężnej zgodnie z art. 83 ust. 4–6 RODO. Może być on również uwzględniony przy obliczaniu samej kary pieniężnej, w stosownych przypadkach, aby zapewnić jej skuteczność, proporcjonalność i odstraszający charakter zgodnie z art. 83 ust. 1 RODO. W tym przypadku EROD stwierdziła, że skonsolidowany obrót spółki dominującej (Facebook Inc.) należy uwzględnić przy obliczaniu obrotu.

Ponadto EROD po raz pierwszy przedstawiła wyjaśnienie dotyczące interpretacji art. 83 ust. 3 RODO. W przypadku wielu naruszeń dotyczących tych samych lub powiązanych operacji przetwarzania danych przy obliczaniu wysokości kary pieniężnej należy wziąć pod uwagę wszystkie naruszenia. Dzieje się tak niezależnie od spoczywającego na organach nadzorczych obowiązku uwzględniania proporcjonalności kary pieniężnej oraz przestrzegania maksymalnej wysokości kary pieniężnej określonej w RODO.

Projekt decyzji irlandzkiego organu nadzorczego zawierał ponadto nakaz dostosowania operacji przetwarzania do wymogów w terminie sześciu miesięcy. EROD stwierdziła, że najważniejsze jest zapewnienie zgodności z wymogami w zakresie przejrzystości w możliwie najkrótszym czasie. W związku z tym irlandzki organ nadzorczy został poproszony o zmianę sześciomiesięcznego terminu na dostosowanie się do wymogów na okres trzech miesięcy.

Wiążąca decyzja została skierowana do organów nadzorczych, których sprawa dotyczy, a irlandzki organ nadzorczy jako organ wiodący przyjął swoją krajową decyzję na podstawie decyzji EROD. Decyzja krajowa, wraz z załączoną do niej decyzją EROD, została doręczona WhatsApp.

źródło: UODO



Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10  tys. zł.

Decyzja o nałożeniu kary związana jest ze zgłoszeniem przez Prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.

Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.

W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-lerningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.

Jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.

Warto dodać, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział. Ponadto w tej sprawie, administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Stosowane przez Prezesa Sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

Należy wskazać, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.

Ustalając wysokość administracyjnej kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

UODO


uodo-1.jpg

Rzecznik Praw Dziecka popiera skargę kasacyjną Prezesa UODO skierowaną do Naczelnego Sądu Administracyjnego dotyczącą wyroku WSA w Warszawie, który dopuścił przetwarzanie danych biometrycznych uczniów przez Szkołę Podstawową w Gdańsku. Przetwarzanie tych danych miało miejsce podczas wydawania posiłków.

Stanowisko UODO wyrażone w decyzji z lutego 2020 r. nakładającej administracyjną karę pieniężną w wysokości 20 tys. zł na Szkołę Podstawową z Gdańska, która przetwarzała dane biometryczne dzieci, jest podzielane przez Rzecznika Praw Dziecka (RPD). Dlatego zgłosił on swój udział w postępowaniu kasacyjnym dotyczącym wyroku WSA w Warszawie (sygn. akt II SA/Wa 809/20), który uchylił decyzję Prezesa UODO.

W piśmie do NSA, w którym RPD zgłasza swój udział w postępowaniu kasacyjnym, zwraca on uwagę, że przetwarzanie danych biometrycznych dzieci ma szczególny charakter i wiąże się ze zwiększonym ryzykiem naruszenia praw i wolności podmiotu danych. W jego ocenie wyrok WSA powinien być w całości uchylony i zwrócony do ponownego rozpoznania.

Przypomnijmy, że ukarana Szkoła Podstawowa wprowadziła system identyfikacji biometrycznej przy wejściu do stołówki szkolnej, który pozwala dokonać weryfikacji wśród dzieci uiszczenia opłaty za posiłek. Zdaniem organu nadzorczego przepisy prawa powszechnie obowiązującego w Polsce nie zezwalają szkole na przetwarzanie danych biometrycznych. W omawianym przypadku szkoła przetwarzała dane biometryczne w postaci odcisków palców uczniów na podstawie pisemnej zgody rodziców lub opiekunów prawnych.

UODO uznał jednak, że w tej sytuacji udzielona przez rodziców zgoda nie może być uznana za dobrowolną, gdyż jej brak wywoływał negatywne skutki. Dzieci, których rodzice nie udzielili zgody, musiały przepuszczać w kolejce po posiłek pozostałych uczniów.

Tymczasem WSA stwierdził, że wyrażenie zgody przewidzianej w art. 9 ust. 1 lit. a RODO legalizuje przetwarzanie danych biometrycznych dzieci.

Skargę kasacyjną do Naczelnego Sądu Administracyjnego na wyrok WSA w Warszawie UODO złożyło 2 marca 2021 r.


laptop-09-4.jpg

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana administracyjną karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, oraz niezawiadomieniu o incydencie osób, których dane dotyczą.

Dodatkowo UODO nakazało Fundacji zawiadomienie osób, których dane dotyczą o zaistniałym naruszeniu w terminie 3 dni od doręczenia decyzji.

Jesienią 2020 r. do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA polegające na utracie danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów. W związku z tym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami wynikającymi z RODO.

UODO zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu. W odpowiedzi na pismo Urząd otrzymał odpowiedź, iż Fundacja tego incydentu nie zgłosiła, a dokonana przez nią analiza naruszenia dała ocenę jego wagi na poziomie niskim. Na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia organu nadzorczego. W toku dalszych czynności ustalono, że naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała następujące kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu. Co ważne w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL. Natomiast należy zaznaczyć, że  szczególne kategorie danych osobowych nie były przetwarzane.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych do UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, organ nadzorczy wszczął wobec Fundacji postępowanie administracyjne.

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.

Podkreślić należy, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Możliwe konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób. Nie bez znaczenia jest fakt, iż Fundacja nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem.

Fundacja, podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. W toku postępowania ustalono, iż utracona dokumentacja nie podlegała odtworzeniu. Zatem jeżeli Fundacja nie posiada kopii skradzionych dokumentów, nie jest w stanie ich odtworzyć lub nie przetwarza tych danych przy użyciu systemu informatycznego, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to powinna dokonać zawiadomienia tych osób w sposób ogólny np. poprzez wydanie publicznego komunikatu.

W ocenie UODO, zastosowana administracyjna kara pieniężna spełnia w swoje funkcje, a zatem jest – w tym indywidualnym przypadku – skuteczna, proporcjonalna i odstraszająca.

UODO, decyzja: DKN.5131.11.2020


uodo-1.jpg

Podczas 51. posiedzenia plenarnego, które odbyło się 7 lipca 2021 r., EROD przyjęła, po konsultacjach publicznych, ostateczną wersję Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO.

Dokument składa się z dwóch głównych części: pierwsza ma na celu wyjaśnienie pojęć „administratora”, „współadministratora”, „podmiotu przetwarzającego”, „strony trzeciej”, druga zaś zawiera opis i wyjaśnienie konsekwencji przypisania różnych ról w operacji przetwarzania danych osobowych. Wytyczne zawierają także diagram, który dostarcza dalszych praktycznych wskazówek i ułatwia podmiotom dokładne zrozumienie ww. pojęć.

W wyniku zakończonych w październiku 2020 r. konsultacji publicznych EROD uwzględniła część zgłoszonych uwag i opracowała nową wersję dokumentu, wprowadzając dodatkowe wyjaśnienia w zakresie zagadnień takich jak: rozróżnienie między sposobami przetwarzania kluczowymi/niekluczowymi (tzw. „essential/non-essential means”), wyznaczanie współadministratorów przez prawo, sytuacja w grupie przedsiębiorstw, współadministrowanie a „wspólne korzyści”, usługi w chmurze i brak równowagi sił, koszty audytów, rola podmiotów przetwarzających w odniesieniu do naruszeń ochrony danych.

źródło: UODO


uodo-3.jpg

Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. w wysokości prawie 160 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto spółkę ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy.  

UODO o zaistniałej sytuacji poinformowała firma zajmująca się pośrednictwem ubezpieczeniowym. W procesie przetwarzania danych pełniła ona podwójną rolę. Z jednej strony była administratorem danych, a z drugiej podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeniowych. Naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika pośrednictwa finansami do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska,  zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach. Uznał on, że połączenie tych danych w powiązaniu z danymi zawartymi w załączonych dokumentach może spowodować, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych. Podmiot, który dokonał naruszenia, występował jednocześnie w roli podmiotu przetwarzającego towarzystw ubezpieczeniowych, dlatego też zawiadomił je o naruszeniu. Przeprowadzona przez UODO weryfikacja wykazała, że w związku z tym incydentem kilka towarzystw ubezpieczeniowych jako administratorzy danych, dokonało zgłoszenia naruszenia ochrony danych. Zgłoszenia takiego nie odnotowano od Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A..

UODO zwrócił się do spółki o wyjaśnienia. Spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie. Odnotować należy, że oceny dokonano, posługując się formularzem opracowanym przez Spółkę.  Co więcej, przeprowadzona przez Spółkę analiza ryzyka, budziła wątpliwości organu nadzorczego i nie została dokonana w sposób prawidłowy. Błędy, jak również nieprawidłowości w przeprowadzonej ocenie polegające w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania, wskazują, że analiza została przeprowadzona w sposób dowolny i nie została wykorzystana jako narzędzie służące pomocą Spółce w ocenie, czy należy dokonać zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, ale raczej na potrzeby wykazania braku podlegania takim obowiązkom.

Ponadto spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości, z którego wynika, że nie jest w posiadaniu wysłanych dokumentów, oraz że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości. Jednak oświadczenie takie nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, jak i nie wyklucza możliwości wystąpienia negatywnych konsekwencji w przyszłości.

Zdaniem UODO w tej sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To skutkuje powstaniem po stronie spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

W ocenie UODO zastosowana kara pieniężna będzie skuteczna i spełni swoją funkcję.

źródło: UODO