Kategoria: Uncategorized

Zniesienie limitów dla osób zaszczepionych na koronowirusa. Co z tego wynika dla przedsiębiorców i ich klientów?

Data dodania:

Obowiązujące przepisy przewidują zniesienie różnych obostrzeń w stosunku do osób, które przyjmą szczepionkę na COVID-19. Czy przedsiębiorcy muszą sprawdzić, kto jest zaszczepiony na koronawirusa?

Zniesienie limitów dla osób, który przyjęły szczepienie na COVID-19.

Zgodnie z §3 ust. 2 pkt 14 rozporządzenia Rady Ministrów, z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U.2021.861 ze zm. – dalej rozporządzenie RM z dnia 6 maja 2021 r.), pod pojęciem „osoby zaszczepionej” należy rozumieć osobę, której wystawiono zaświadczenie o wykonaniu szczepienia ochronnego przeciwko COVID-19 szczepionką dopuszczoną do obrotu w Unii Europejskiej. Zaświadczenie o wykonaniu szczepienia wystawia się po przyjęciu obu dawek szczepionki w punkcie szczepień. Znajdziemy je także na Internetowym Koncie Pacjenta.

W stosunku do osób zaszczepionych znosi się następujące ograniczenia związane z epidemią koronawirusa:

• nie podlegają one obowiązkowi kwarantanny, dotyczy to również kwarantanny nakładanej przy przekraczaniu granicy RP oraz odbywanej wspólnie z domownikiem chorym na COVID-19,
• mogą korzystać ze świadczeń służby zdrowotnej bez konieczności posiadania negatywnego wyniku testu na COVID-19, np. pobyt w zakładzie opiekuńczo-leczniczym, sanatorium,
• nie są wliczane do limitów osób, które mogą uczestniczyć w spotkaniach, imprezach oraz wydarzeniach kulturalnych i sportowych.

Wspomniany przepis rozporządzenia budzi jednak wiele problemów praktycznych dotyczących weryfikacji statusu osoby zaszczepionej. Czy przedsiębiorca ma prawo pytać o szczepienia, a klient, chcący wziąć udział w imprezie, ma obowiązek udowodnić fakt przyjęcia szczepienia na COVID – 19? Zagadnienie jest bardzo istotne dla dotkniętej pandemią branży rozrywkowej, podmiotów świadczących usługi gastronomiczne, czy kulturalne. Osoby zaszczepione nie są wliczane do limitów obowiązujących na imprezach rozrywkowych, czy sportowych, w kinach lub w hotelach. Goście ponad limitem także mogą wziąć udział w organizowanej np. imprezie weselnej czy sportowej, jeżeli udowodnią, że są zaszczepieni. Nie wiadomo tylko, kiedy mają to zrobić i jak.

„Zgodnie z § 26 ust. 16 rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, do liczby osób mogących uczestniczyć w imprezie i spotkaniu do 25 osób, które odbywają się w lokalu lub budynku wskazanym jako adres miejsca zamieszkania lub pobytu osoby, która organizuje imprezę lub spotkanie, a także w imprezie i spotkaniu do 150 osób, które odbywają się na otwartym powietrzu albo w lokalu lub w wydzielonej strefie gastronomicznej sali sprzedaży, o których mowa w §9 ust. 15 pkt 2 tego rozporządzenia, nie wlicza się m.in. osób zaszczepionych przeciwko COVID-19.”

Czy organizator imprezy może ustalić, ile gości imprezy przyjęło szczepienie przeciw COVID – 19? Czy klient ma obowiązek udowodnić, że faktycznie poddał się szczepieniu?

Na tak postawione pytania postanowił odpowiedzieć Urząd Ochrony Danych Osobowych, zamieszczając oficjalne stanowisko na oficjalnej stronie internetowej urzędu. Organ nadzorczy wyjaśnił, że „przepisy rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii” nie uprawniają podmiotów zobowiązanych do przestrzegania, określonego tymi przepisami limitu osób, do żądania od nich udostępnienia informacji o zaszczepieniu przeciwko COVID-19. Ewentualne okazywanie dowodów, potwierdzających fakt zaszczepienia, może się odbywać z inicjatywy samej osoby zainteresowanej skorzystaniem z usług takiego podmiotu.”

Co z tego wynika dla przedsiębiorców i ich klientów?

Pamiętajmy, że informacje o zaszczepieniu są danymi dotyczącymi zdrowia, stanowiącymi szczególną kategorię danych osobowych, a ich przetwarzanie jest objęte ścisłą ochroną (art. 9 RODO).
Prezes UODO wyraźnie wskazał, że w tekście rozporządzenia nie ma przepisu, który jasno regulowałby kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. Dlatego też, przedsiębiorcy, zobowiązani do przestrzegania, określonych tymi przepisami, limitów osób, nie mogą legalnie pozyskiwać od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego, a ich klienci nie mają obowiązku ich podania.

Czy przedsiębiorcy zobowiązani do przestrzegania limitów osób mogą legalnie otrzymać od gościa informację o zaszczepieniu?

Według Prezesa RODO weryfikacja statusu osoby zaszczepionej może się odbywać tylko za zgodą tej osoby. Klient może dobrowolne okazać certyfikat szczepienia organizatorowi imprezy. Dla zachowania wymogów z RODO wystarczające będzie, gdy przedsiębiorca, po zapoznaniu się z dowodem zaszczepienia, wpuści tę osobę poza limitem. Nie może tej informacji dalej przechowywać, bo dotyczy ona danych wrażliwych.

Więcej:
Oficjalne stanowisko Prezesa UODO dostępne na stronie www urzędu https://uodo.gov.pl/pl/138/2088

Milionowa kara dla Cyfrowego Polsatu za naruszenie RODO

Data dodania:
KARA UODO ZA SŁABY NADZÓR NAD FIRMĄ KURIERSKĄ
KARA UODO ZA SŁABY NADZÓR NAD FIRMĄ KURIERSKĄ
KARA ZA NARUSZENIE RODO

Telewizja Polsat została ukarana za słaby nadzór nad firmą kurierską doręczającą w jej imieniu przesyłki.

Sprawa trafiła do UODO, ponieważ medialna spółka regularnie zgłaszała do organu nadzorczego naruszenia polegające na zagubieniu korespondencji zawierającej dane osobowe lub dostarczaniu przesyłek do niewłaściwych adresatów. Cyfrowy Polsat niezwłocznie po otrzymaniu informacji o incydentach od firmy kurierskiej, zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o nich osoby, których dotyczyły.

Co ustalił w trakcie postępowania Prezes UODO?

Przeprowadzona przez UODO analiza wykazała, że medialna spółka zgłaszała naruszenia dopiero po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia. Tymczasem, to Cyfrowy Polsat jako administrator danych, powinien podjąć skuteczne działania, które po pierwsze zminimalizują skalę naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i tym samym szybsze powiadamianie osób, których dotyczy dane zdarzenie.

Zauważmy, że opisane powyżej naruszenia związane były z nieprawidłowościami przy wykonywaniu usług doręczenia występującymi po stronie firmy kurierskiej działającej na rzecz ukaranej Spółki. Mimo, że zawiniła firma kurierska, organ nadzorczy ukarał wysoką karą pieniężną Polsat, wskazując, że zebrany w trakcie postępowania materiał dowodowy wykazał niewystarczający nadzór nad egzekwowaniem postanowień umownych, co doprowadziło do opóźnień w identyfikacji naruszeń.

„W ocenie Prezesa UODO Spółka w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.”

Jakie znaczenie w omawianej sprawie miała umowa powierzenia przetwarzania danych osobowych oraz dokumentacja ochrony danych osobowych związana z notyfikacją naruszeń organowi nadzorczemu?

Ukarana Spółka składając Prezesowi UODO wyjaśnienia wskazała, że kwestie dotyczące powierzenia przetwarzania danych osobowych klientów Spółki, w tym odpowiedzialność firmy kurierskiej wobec Spółki, uregulowała w umowie z podmiotem świadczącym usługi kurierskie oraz przygotowano odpowiednie instrukcje dla kurierów.

W ocenie UODO „Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań.” (vide: uzasadnienie decyzji o nałożeniu kary pieniężnej).

Według UODO, ukarana Spółka z chwilą otrzymania pierwszych komunikatach od firmy kurierskiej
o nieprawidłowościach powinna podjąć skuteczniejsze działania w celu zmniejszenia skali naruszeń, co pozwoliłoby na szybszą identyfikację samych incydentów i terminowe powiadamianie o nich uprawnionych podmiotów oraz organu nadzorczego. Jak wynika z komunikatu dostępnego na stronie organu, dopiero w toku postępowania przed organem nadzorczym prowadziła mechanizmy, które pozwoliły znacznie ograniczyć przypadki wydawania korespondencji nieuprawnionej osobie. Wdrożyła też rozwiązania pozwalające śledzić przesyłki, co umożliwiło szybsze identyfikowanie i zgłaszanie utraty korespondencji z danymi osobowymi. Dzięki temu proces identyfikacji naruszeń ochrony danych przez spółkę uległ znacznemu skróceniu. Zdaniem UODO szybsze identyfikowanie naruszeń, a co za tym idzie, zawiadamianie osób, których dane dotyczą, umożliwiłoby tym osobom podjęcie odpowiednich działań mających na celu zminimalizowanie negatywnych skutków tych naruszeń. Tymczasem, osoby, których dane dotyczą, przez długi czas nie wiedziały o ryzyku wykorzystania ich danych osobowych przez osoby nieuprawnione, np. do tzw. kradzieży ich tożsamości. Nie mogły też przez ten czas podjąć działań zabezpieczających, które ograniczyłyby takie niebezpieczeństwo. Z ustaleń UODO wynika, że zakres danych osobowych w zgubionej bądź dostarczonej niewłaściwemu odbiorcy korespondencji był szeroki. Ponadto w przesyłkach były też inne dane, jak ID kontraktu, numer umowy, numery faktur.

Jakie cenne wskazówki płyną z treści uzasadnienia decyzji, w szczególności w zakresie identyfikacji naruszeń popełnionych przez firmę świadczącą, na rzecz naszego przedsiębiorstwa, usługi kurierskie:

CHECKLISTA ZGŁOSZENIE INCYDENTU DO URZĘDU OCHRONY DANYCH OSOBOWYCH ZGODNIE Z RODO

  • Zgłaszamy każde naruszenie, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności osób fizycznych,
  • Zgłaszamy incydent do UODO,
  • Zgłoszenie powinno zawierać: a) opis naruszenia ochrony danych osobowych, w tym w miarę możliwości podaj informacje dotyczące kategorii i orientacyjną liczbę osób, których dane osobowe mogły zostać bezprawnie ujawnione, b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub pełnomocnika, c) opis prawdopodobnych konsekwencji naruszenia ochrony danych osobowych, d) opis środków, które administrator danych zastosuje lub planuje zastosować przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym zminimalizowania jego negatywnych skutków.
  • Termin dokonania zgłoszenia: a) bez zbędnej zwłoki od stwierdzenia naruszenia, b) 72 godziny od stwierdzenia naruszenia, c) 72 godziny po stwierdzeniu naruszenia wraz z wyjaśnieniem przyczyn opóźnienia.
  • Sposób dokonania zgłoszenia: a) elektroniczny formularz dostępny na stronie UODO, b) samodzielnie sporządzone zawiadomienie.
  • Zawiadamiamy osoby fizyczne o naruszeniu ich danych osobowych bez zbędnej zwłoki.
  • Pamiętaj, że obowiązkiem administratora danych jest korzystanie z usług takich podmiotów przetwarzających (np. biuro rachunkowo-księgowe, firma świadcząca usługi IT), którzy gwarantują fachową wiedzę, profesjonalizm, ale także wdrożą środki techniczne i organizacyjne odpowiadające wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania: a) podmiot przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO, b) podmiot przetwarzający zgłasza naruszenie administratorowi danych, bez zbędnej zwłoki.

Prezes UODO zdecydował się nałożyć na spółkę karę za naruszenia RODO powstałe w związku ze „zbyt późnym identyfikowaniem naruszeń narażających klientów na niebezpieczeństwo związane z utratą ochrony danych osobowych” (vide: uzasadnienie decyzji o nałożeniu kary pieniężnej). Nałożona przez Prezesa Urzędu Ochrony Danych Osobowych kara pieniężna wynosiła 1 136 975 zł.

Więcej:

Pełna treść decyzji: https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020




TRZY LATA OBOWIĄZYWANIA RODO!

Data dodania:
3 lata obowiązywania RODO

25 maja br. minęły trzy lata, odkąd obowiązuje ogólne rozporządzenie o ochronie danych osobowych (RODO) , które zostało wprowadzone bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej. RODO określa zarówno podstawowe prawa osób, których dane są przetwarzane, jak i obowiązki ciążące na administratorach danych.

Rozporządzenie zmieniło zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach, instytucjach publicznych i prywatnych znacząco zwiększając ochronę danych osobowych, również danych o charakterze wrażliwym, a także nałożyło wiele nowych obowiązków na podmioty administrujące danymi osobowymi.

Dla przedsiębiorców oznacza to konieczność projektowania procesów biznesowych zgodnie z unijnym rozporządzeniem. Wymaga to zastosowania odpowiednich narzędzi, ponieważ utrzymanie zgodności z RODO jest procesem wymagającym stałego monitorowania.

Warto pamiętać, że obowiązek zastosowania się do RODO mają wszystkie firmy, które gromadzą,
a później wykorzystują dane pochodzące od osób fizycznych. Najczęściej dotyczy to danych osobowych pracowników, dostawców oraz klientów i użytkowników strony WWW. Przepisy rozporządzenia dotyczyć więc będą zarówno dużych firm, jak i osób prowadzących jednoosobową działalność gospodarczą.

Zastanówmy się, co RODO zmieniło w życiu każdego z nas?

  • POSZANOWANIE PRYWATNOŚCI np. RODO wymusiła m.in. na globalnych korporacjach większą ochronę danych użytkowników korzystających z tworzonych przez nich serwisów czy aplikacji.
  • ELASTYCZNE PODEJŚCIE np. to administrator samodzielnie określa zakres np. tworzonych zabezpieczeń, inne potrzeby dotyczące ochrony danych osobowych ma duża międzynarodowa firma, a inne podmiot prowadzący jednoosobową działalność gospodarczą np. szewc. Uwaga, każdy z wymienionych podmiotów jest przedsiębiorcą i w związku z tym ma obowiązek chronić dane osobowe klientów, pracowników czy dostawców.
  • KONIEC Z WYMUSZANIEM ZGÓD O CHARAKTERZE MARKETINGOWYM np. całkiem niedawno, bez wyrażenia zgody – często w formie z góry zaznaczonego checkboxa – na wykorzystanie naszych danych osobowych (np. imię, nazwisko, płeć, data urodzenia, adres emailowy czy numer telefonu kontaktowego) bardzo trudno było podpisać umowę odpłatną w sprawach dotyczących życia codziennego np. umowę z operatorem telewizji kablowej, założyć konto w banku, czy zrobić zakupy online. Na szczęście to już za nami!

Mimo, że w Polsce regulacje dotyczące ochrony danych osobowych obowiązują od 20 lat, to przez ostatnie trzy lata nastąpił zauważalny wzrost świadomości społeczeństwa odnośnie ochrony danych osobowych i bezpieczeństwa informacji. RODO wprowadziło nowe rozwiązania, które przyczyniły się do podniesienia poziomu ochrony danych osobowych i ochrony prywatności osób fizycznych.

Źródło:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 20216/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych osobowych).

KOGO DOTYCZY RODO?

Data dodania:
RODO OBOWIĄZUJE PRZEDSIĘBIORCÓW

Ochrona danych jest obowiązkiem każdego przedsiębiorcy

Od prawie trzech lat obowiązuje Rozporządzenie o Ochronie Danych, w skrócie RODO , którego zadaniem jest ochrona danych obywateli Unii Europejskiej. Rozporządzenie zmieniło zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach, znacząco zwiększając ochronę danych osobowych, w tym danych o charakterze wrażliwym, a także nałożyło wiele nowych obowiązków na administratorów tych danych.

Przepisom RODO podlega przedsiębiorca, który:

• prowadzi działalność gospodarczą na terenie Unii Europejskiej,
• ma siedzibę na terenie Unii Europejskiej,
• w firmie wykorzystuje systemy informatyczne np. program do umawiania klientów,
• tworzy firmowe bazy danych osobowych np. zgody marketingowe czy zapisy na newsletter.

Mimo to wielu przedsiębiorców, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą, nadal ma wątpliwości, jak bezpiecznie wykonywać operacje związane z przetwarzaniem danych osobowych swoich klientów, kontrahentów czy pracowników. Duża część firm ma świadomość ryzyka płynącego z braku dostosowania działalności gospodarczej do wymogów RODO, ale nie ma wystarczających środków finansowych na skorzystanie z pomocy specjalistycznych usług doradczych związanych z wdrożeniem systemu ochrony danych. Jednak spora grupa przedsiębiorców sądzi, że przepisy RODO w ogóle ich nie dotyczą lub pozostają w błędnym przekonaniu, że dane osobowe przetwarzają wyłącznie duże korporacje. Tymczasem prowadząc nawet jednoosobową działalność gospodarczą gromadzi się i przetwarza ogromną ilość danych osobowych, a taka działalność podlega kontroli ze strony Urzędu Ochrony Danych Osobowych.

Przykład:

Wyobraź sobie, że działasz w branży beauty, oferując w swoim salonie usługi fryzjerskie i kosmetyczne. Zatrudniasz trzech pracowników i masz stałą sieć dostawców. Prężnie działasz w mediach społecznościowych, a do umawiania klientów wykorzystujesz aplikację, która umożliwia klientkom i klientom umawiać się na wizyty online. W takiej sytuacji – w salonie piękności przetwarzasz dane osobowe: pracowników, dostawców i klientów.

Nowe regulacje mają zastosowanie zawsze wtedy, gdy dochodzi do przetwarzania danych osobowych w rozumieniu RODO. W świetle art. 4 ust. 2 rozporządzenia ogólnego o ochronie danych przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, m.in.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W dzisiejszych czasach trudno wyobrazić sobie prowadzenie jakiejkolwiek działalności gospodarczej bez gromadzenia danych osobowych. Śmiało można postawić wniosek, że przetwarzanie danych osobowych towarzyszy każdemu przejawowi działalności gospodarczej – od danych osobowych klientów poczynając, poprzez dane osobowe pracowników, a na danych osobowych kontrahentów kończąc. Nie ma znaczenia czy dane osobowe przetwarza przedsiębiorca prowadzący jednoosobową działalność gospodarczą czy przez duże przedsiębiorstwo. Nie ma też znaczenia, czy przedsiębiorca zatrudnia pracowników oraz w jakiej branży działa. Przedsiębiorcy, zarówno mikroprzedsięborcy jak i duże podmioty prowadzące działalność gospodarczą, mają obowiązek dodatkowo zadbać o bezpieczne przetwarzanie danych osobowych oraz dostosować dotychczasowe procedury i dokumentację w zakresie bezpieczeństwa danych do wymogów RODO.

Przykład:
Nawet jednoosobowi przedsiębiorcy budują listy mailingowe, listy dostawców, czy osób zainteresowanych przyszłą rekrutacją. Takie zbiory danych mogą być przechowywane w segregatorze, na pliku komputerowym lub w aplikacji online.

Pamiętaj!
Każda działalność gospodarcza, która wiąże się z przetwarzaniem danych osobowych osób fizycznych, podlega przepisom RODO oraz przepisom krajowych ustaw dotyczących ochrony danych osobowych. Ignorowanie ochrony danych może wiązać się z negatywnymi konsekwencjami, które przedsiębiorca powinien wziąć pod uwagę oceniając ryzyko oraz koszty prowadzonej działalności gospodarczej.

Jak bezpiecznie korzystać z technologii cookies w Internecie?

Data dodania:

Czym są pliki cookies? Jak do wdrożenia technologii cookies powinni podejść właściciele serwisów internetowych?

Dla każdego użytkownika Internetu komunikaty informujące, że odwiedzana przez nich strona www wykorzystuje technologię plików cookies, nie są żadnym zaskoczeniem. Początkowo komunikaty dotyczące „ciasteczek” miały bardzo prostą budowę. Krótki komunikat informował o możliwości wyrażenia zgody na wykorzystywanie plików cookies za pomocą programu zainstalowanego na urządzeniu użytkownika. Jednak orzecznictwo sądowe i praktyka z każdym rokiem stawiają plikom cookies coraz wyższe wymagania. Dlatego od pewnego czasu widać więcej skomplikowanych i rozbudowanych komunikatów, zarówno w formie bannerów czy checkboxów, jak i list zaufanych partnerów serwisów. Dobrze jest więc prześledzić, jak prawidłowo informować o stosowaniu technologii cookies na swojej witrynie internetowej.

Czym są pliki cookies?

Warto przypomnieć, czym właściwie są cookies, czyli tzw. ciasteczka. Są to niewielkie informacje wysyłane przez serwis internetowy, który odwiedzamy. Małe pliki zapisują się na komputerze lub smartfonie, z których korzystamy podczas przeglądania stron www. Ciasteczka używane są najczęściej w celu: optymalizacji procesu korzystania ze stron www, gromadzenia danych statystycznych, ulepszania struktury i zawartości strony www. Ciasteczka umożliwiają także zapamiętanie naszych preferencji i personalizowanie stron internetowych w zakresie wyświetlanych treści oraz dopasowania reklam.

Stanowisko TSUE

Wątpliwości związane ze stosowaniem technologii cookies nasiliły się pod koniec 2019 r. w związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie Planet 49 C – 637/17, który w dniu 1 października 2019 r. orzekł, że do wyrażenia zgody na instalację plików cookies konieczna jest zgoda użytkownika. Rynek musiał odejść od powszechnie stosowanej praktyki domyślnie zaakceptowanego okienka wyboru na stronie.

Stanowisko francuskiego organu nadzorczego

Jak istotna jest prawidłowa instalacja plików cookies świadczą niedawno zakończone postępowania przeprowadzone przez francuski organ do spraw ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés dalej: CNIL). W grudniu 2020 r. francuski organ nadzorczy nałożył pięć kar finansowych o wartości prawie 140 mln €. Sankcjami zostali ukarani internetowi giganci. Karę w wysokości 100 mln € otrzymało Google, a 35 mln € Amazon za naruszenie krajowych przepisów dotyczących instalacji plików cookies.

Przeprowadzony przez francuski organ nadzorczy test funkcjonalności stron internetowych google.fr oraz amazon.fr wykazał, że:

• na komputerach użytkowników automatycznie instalowały się pliki cookies (w tym także także cookies reklamowe),
• pliki cookies instalowały się bez zgody i wiedzy użytkownika,
• bannery i checkboxy nie zawierały wyraźnej informacji dotyczącej zasad instalacji plików cookies na stronie internetowej,
• użytkownicy nie mieli zagwarantowanej możliwości skutecznego wniesienia sprzeciwu wobec procedury instalacji plików cookies na ich urządzeniach.

Z ustaleń poczynionych przez CNIL wynika, że po wejściu na wyżej wskazane strony internetowe banery, które wyświetlały treści o charakterze reklamowym, nie zawierały żadnych informacji pozwalających użytkownikowi na zapoznanie się z procedurą instalacji plików cookies na stronie internetowej.
Zarówno u Amazona jak i Google CNIL stwierdził naruszenia przepisów dotyczących instalowania plików cookies. Kontrola spółki ujawniła, że witryna internetowa amazon.fr, bez uprzedniej zgody użytkowników, instalowała pliki cookies, w tym te o charakterze reklamowym. Do tego przekazywane użytkownikom informacje dotyczące plików cookies były formułowane w sposób niejasny i niekompletny.
CNIL ustalił, że zamieszczone na stronie informacje nie dawały użytkownikowi możliwości zrozumienia, że pliki cookies instalowane na jego urządzeniu są wykorzystywane głównie do wyświetlania spersonalizowanych reklam.
Francuski regulator nakazał ukaranym firmom udzielenie użytkownikom odpowiedniego zakresu informacji dotyczących zasad instalacji plików cookies. Natomiast za brak realizacji tych zobowiązań ukaranym spółkom grozi grzywna w wysokości 100 tys. € (ok. 444 tys. złotych) za każdy dzień opóźnienia!

Wnioski dla serwisów internetowych posługujących się technologią cookies

Najwyższe w historii kary za nieprawidłowe stosowanie technologii cookies, które zostały nałożone na internetowych gigantów we Francji, dobitnie pokazują, że wspólnotowe organy nadzorcze opowiadają się po stronie prywatności użytkowników Internetu. Wysokość kar ma być przestrogą dla innych administratorów danych zbierających pliki cookie.

Postępowanie francuskiego organu nadzorczego dobitnie pokazuje, że ukarane spółki:

• nie mogą przechowywać reklamowych plików cookies bez uzyskania wcześniejszej zgody użytkowników serwisu,
• powinny w momencie wejścia na stronę google.fr czy amazon.fr przekazywać użytkownikom informacje dotyczące użycia plików cookies i ich instalacji na komputerach czy smartfonach użytkowników,
• respektować wniesione prawo sprzeciwu np. wobec instalacji reklamowych cookies.

Jak do wdrożenia technologii cookies powinni podejść właściciele serwisów internetowych?

Checklista kontrolna:

  1. określ zakres zbieranych danych oraz do czego są wykorzystywane pliki cookies w polityce prywatności,
  2. odbierz wyraźną zgodę użytkowników na instalację plików cookies, które służą do personalizacji treści np. w celach reklamowych,
  3. jasno i wyraźnie informuj swoich użytkowników do czego wykorzystujesz pliki cookies np. w celach statystycznych, reklamowych czy funkcjonalnych,
  4. zagwarantuj użytkownikowi prawo do wniesienia sprzeciwu wobec instalacji plików cookies.

Źródła:

• https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635706
• https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635729
• https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core
• https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland

• http://curia.europa.eu/juris/liste.jsf?language=pl&td=ALL&num=C-673/17
• https://panoptykon.org/wiadomosc/cookies-informacje-sledzace-rodo
• https://wszystkoociasteczkach.pl/po-co-sa-ciasteczka/

Wytyczne EROD dotyczące transferu danych osobowych do państwa trzeciego

Data dodania:

Europejska Rada Ochrony Danych opublikowała długo oczekiwane zalecenia dotyczące transferu danych osobowych do państwa trzeciego po wyroku TSUE w sprawie Schrems II

W dniu 10 listopada 2020 r. Komisja Europejska opublikowała zalecenia dla administratorów i podmiotów przetwarzających dane (dalej również jako podmioty przekazujące dane) w sprawie środków, jakie należy podjąć transferując dane osobowe poza Europejski Obszar Gospodarczy (dalej także jako transfer do państwa trzeciego).

Od czasu wydania przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyroku w sprawie Schrems II (C-311/18) transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy zmuszeni są szukać nowych podstaw prawnych legalizujących przekazywanie danych.

Wytyczne Europejskiej Rady Ochrony Danych (EROD) mają więc pomóc administratorom w zapewnieniu legalnego transferu danych do państw trzecich (w tym do USA) po obaleniu tzw. Tarczy Prywatności i pomóc usunąć powstały stan niepewności.

Wytyczne EROD zostały sformułowane w dwóch dokumentach, które przedłożono do konsultacji do dnia 30 listopada 2020 r.

  • Rekomendacja nr 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności.
  • Rekomendacja nr 2/2020 w sprawie niezbędnych europejskich gwarancji (EEG) dla środków nadzoru.

Rekomendacje nr 01/2020 zostały sformułowane w formie planu sześciu kroków, jakie powinien wykonać podmiot przekazujący dane osobowe poza Europejski Obszar Gospodarczy. W Rekomendacjach 02/2020 zawarto listę przykładowych mechanizmów, które mogą pomocniczo służyć podmiotom przekazującym dane do państwa trzeciego.

Krok1. Ustal jakie procesy przetwarzania danych osobowych występują w firmie

  • W pierwszej kolejności podmioty przekazujące dane powinny zidentyfikować wszystkie procesy związane z przetwarzaniem danych osobowych, w tym te związane z przekazywaniem danych osobowych do państw trzecich.
  • Najprościej to zrobić wykonując proces tzw. mapowania wszystkich czynności przetwarzania danych w firmie.
  • Następnie podmioty przekazujące dane do państw trzecich muszą określić jurysdykcję krajową, czyli właściwość sądu danego państwa do rozstrzygania sporów dotyczących transferowanych danych osobowych.


  • Krok 2. Określ mechanizm, na którym możesz oprzeć transfer danych do państwa trzeciego
  • Znajdź mechanizm przekazywania danych osobowych do państwa trzeciego. Potrzebne przepisy znajdziesz w rozdziale V RODO.
  • Wykonaj ocenę skuteczności przyjętego mechanizmu przekazywania danych osobowych do państwa trzeciego, czy gwarantuje ochronę na poziomie zapewnianym przez RODO.
  • EROD wskazała następujące możliwości przekazania danych do państwa trzeciego:
  • a) za pomocą decyzji Komisji Europejskiej w sprawie nadania państwu z poza Europejskiego Obszaru Gospodarczego statusu zapewniającego odpowiedni poziom ochrony danych osobowych (art. 45 RODO),
  • b) zgodnie z art. 46 RODO (standardowe klauzule umowne ochrony danych, wiążące reguły korporacyjne, kodeksy postępowania, mechanizmy certyfikacji, klauzule umowne ad hoc),
  • c) poprzez zastosowanie wyjątku w szczególnych sytuacjach z art. 49 RODO (należy wykonać ocenę czy zostały spełnione kryteria pozwalające na zastosowanie wymienionego powyżej przepisu).
  • Sprawdź, czy Komisja Europejska uznała, że państwo trzecie, do którego chcesz transferować dane osobowe, zapewnia odpowiedni poziom ochrony danych osobowych. Uznanie Komisji Europejskiej następuje w formie decyzji (art. 45 RODO). Odpowiedź pozytywna oznacza, że nie trzeba podejmować żadnych dodatkowych działań.
  • Jeżeli Komisja Europejska nie uznaje kraju odbiorcy za zapewniający odpowiedni stopień ochrony to podmiot przekazujący dane zobowiązany jest zastosować środki legalizujące transfer do kraju trzeciego wskazane w art. 46 RODO, a w drodze wyjątku także na podstawie art. 49 RODO – gdy transfer dokonywany jest okazjonalnie i w sposób niepowtarzający się.

Krok 3. Oceń system prawny kraju odbiorcy

  • Podmiot transferujący zobowiązany jest zbadać, czy w państwie, do którego transferowane są dane, prawo zezwala na ujawnianie danych osobowych europejskich, w szczególności aparatowi władzy w państwie odbiorcy.
  • Zwróć szczególną uwagę, czy w kraju odbiorcy obowiązują przepisy pozwalające europejskim użytkownikom skutecznie dochodzić swoich praw przed niezależnym organem.
  • W ocenie EROD, gdy środki uzupełniające nie zapewnią odpowiedniego poziomu ochrony danych osobowych podmioty przekazujące dane zobowiązane są do uniknięcia, zawieszenia lub zakończenia przekazywania danych, a dane już przekazane powinny ulec zwrotowi lub usunięciu przez odbierającego dane.

Krok 4. Przyjmij dodatkowe środki

  • Jeżeli mechanizmy legalizujące transfer wymienione w art. 46 RODO nie zapewniają odpowiedniego poziomu ochrony danych osobowych to w ocenie EROD podmioty przekazujące dane powinny zastosować dodatkowe środki uzupełniające, aby wzmocnić ochronę danych.
  • W Rekomendacjach zalecono następujące środki dodatkowe, z podziałem na:
  • a) techniczne (np. szyfrowanie czy pseudonimizacja),
  • b) dodatkowe środki umowne (np. kontraktowe zobowiązanie do wdrożenia odpowiednich środków bezpieczeństwa),
  • c) organizacyjne (np. opracowanie odpowiednich polityk i procedur w zakresie przekazywania danych).

Krok 5. Wprowadź konkretne mechanizmy zabezpieczające transfer danych do państwa trzeciego w danej organizacji

  • Wdróż wybrany mechanizm przekazywania danych do państwa trzeciego.
  • Określ dodatkowe procedury zabezpieczające, np. dodatkowe klauzule ochronne.

Krok 6. Spełnij wymóg rozliczalności przy transferze danych do państwa trzeciego

  • EROD podkreślił znaczenie wyrażonej w art. 5 ust. 2 RODO zasady rozliczalności.
  • Obowiązek stałego monitorowania zmian w przepisach dotyczących ochrony danych osobowych w państwie odbiorcy.
  • Obowiązek wykonywania regularnej oceny poziomu ochrony danych osobowych przekazywanych do państw trzecich.

Wnioski:

Wytyczne EROD mają pomóc eksporterom danych w legalnym wykonywaniu transferów, np. do USA, przy jednoczesnym zagwarantowaniu standardów ochrony zapewnianych na terenie Europejskiego Obszaru Gospodarczego. Wydaje się jednak, że wytyczne, opublikowane pięć miesięcy po ogłoszeniu przez TSUE wyroku w sprawie Schrems II, nie rozwiążą problemów, z którymi aktualnie zmagają się podmioty przekazujące dane. Zastosowanie się do zaleceń EROD wymaga sporego wysiłku organizacyjnego i będzie generowało dodatkowe koszty po stronie administratorów danych. Jak na przykład zalecenie dotyczące znajomości i systematycznego monitorowania systemu prawnego kraju trzeciego, do którego chcemy przesyłać dane. Ponadto EROD wyraźnie wskazuje, że transferowanie danych do państw trzecich powinno się odbywać z wykorzystaniem dodatkowych środków o charakterze technicznym. Chodzi tu o szyfrowaniem danych. Wykonanie tego typu działań, przy relatywnie niskim prawdopodobieństwie naruszenia praw podmiotów danych, będzie sporym utrudnieniem dla małych i średnich przedsiębiorców.

Tutaj można się zapoznać z pełną treścią zaleceń EROD.

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdfhttps://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf

Czego nie warto robić w trakcie postępowania przed Prezesem Urzędu Ochrony Danych Osobowych?

Data dodania:

O tym, że w postępowaniu przed Prezesem UODO, milczenie nie jest złotem świadczą wymierzone w ostatnim czasie kary pieniężne.

W ostatnim czasie obserwujemy wzrost kar nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych (dalej Prezes UODO, PUODO) za brak współpracy z organem nadzorczym. W trakcie prowadzonych postępowań kontrolerzy UODO stawiali zarzuty związane z niezapewnieniem przez kontrolowanych administratorów lub podmiotów przetwarzających dostępu do informacji niezbędnych organowi nadzorczemu do realizacji jego zadań lub utrudniania postępowania. Sam urząd przyznaje, że to poważny i częsty problem, z którym zmaga się w trakcie prowadzonych postępowań.

Obowiązek współpracy z Prezesem UODO

RODO przewiduje obowiązek współpracy z Prezesem UODO w trakcie prowadzonego postępowania, tj. zapewnienia dostępu:

  • do wszelkich danych osobowych i informacji,
  • do pomieszczeń, sprzętu i środków.

Prezes UODO, pod pojęciem braku współpracy, rozumie nie udzielanie odpowiedzi na pisma urzędowe lub utrudnienie wykonywania jego zadań w inny sposób. W ocenie organu nadzorczego takie postępowanie administratorów lub podmiotów przetwarzających, utrudnia kontrolerom z ramienia UODO wykonywanie obowiązków ustawowych oraz może się przyczyniać do nadmiernego wydłużania postępowań, a w efekcie naruszać prawa obywateli do rozpatrzenia spraw związanych z ochroną danych osobowych w rozsądnym terminie.

Jakie kary zostały nałożone przez Prezesa UODO za brak współpracy?

  • Kara nałożona na spółkę z Jeleniej Góry w wysokości 15 tys. zł. Kara została nałożona za brak współpracy z organem nadzorczym w transgranicznym postępowaniu dotyczącym naruszenia jego praw do ochrony danych osobowych. Ukarana spółka dwukrotnie nie udzieliła UODO wyjaśnień. Na jedno z wezwań spółka udzieliła odpowiedzi, jednakże wyjaśnienia w niej zawarte były niepełne i wewnętrznie sprzeczne.
  • Kara w wysokości 5 tys. zł nałożona na przedsiębiorcę prowadzącego jednoosobową działalność gospodarczą w formie niepublicznego żłobka i przedszkola. Organ nadzorczy trzykrotnie skierował do przedsiębiorcy wezwania do złożenia wyjaśnień w sprawie wniesionego przez niego zgłoszenia dotyczącego naruszenia ochrony danych osobowych.
  • Kara dla Głównego Geodety Kraju w wysokości 100 tys. złotych. Kara została nałożona w związku ze stwierdzonym naruszeniem zasady zgodności z prawem przetwarzania danych osobowych oraz udostępnianiem bez podstawy prawnej na portalu GEOPORTAL2 danych osobowych w postaci numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków. GGK udaremnił możliwość zbadania legalności publikowania na GEOPORTAL2 informacji o numerach ksiąg wieczystych. W toku kontroli udostępnił jedynie dokumentację określającą środki organizacyjne zastosowane w celu zapewnienia bezpieczeństwa danych oraz dowody potwierdzające wyznaczenie inspektora ochrony danych.
  • Kara dla Burmistrza Aleksandrowa Kujawskiego w wysokości 40 tys. Jednym z powodów nałożenia kary na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W trakcie postępowania postawiono również zarzut braku współpracy administratora. PUODO uznał, że administrator w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego nie odniósł się do wskazanych w nim naruszeń poza kwestią związaną z terminem retencji danych udostępnionych na stronie internetowej BIP.

Cel nałożenia kary za brak współpracy z Prezesem UODO:

  • dyscyplinowanie administratorów i podmiotów przetwarzających,
  • zapobieganie utrudnianiu lub uniemożliwianiu kontroli, które są traktowane, jako naruszenia o dużej wadze skutkujące wymierzeniem kary,
  • zapobieganie lekceważeniu obowiązków związanych ze współpracą z organem, które są traktowane jako naruszenia o dużej wadze skutkujące wymierzeniem kary,
  • przeciwdziałanie nadmiernemu wydłużeniu się toczącego postępowania.

Co rzuca się w oczy?

Dla UODO duże znaczenie ma aspekt dobrej współpracy ze strony kontrolowanych podmiotów. Prześledzone powyżej decyzje – dotyczące zarówno podmiotów prywatnych jak i publicznych – wyraźnie wskazują, że lekceważenie, utrudnienie lub uniemożliwianie postępowania jest traktowane bardzo poważnie. Prezes UODO wszczyna wtedy odrębne postępowanie dotyczące ukarania kontrolowanego administratora lub podmiotu przetwarzającego. PUODO w pisemnych motywach rozstrzygnięć wskazuje, że kara ta powinna zdyscyplinować stronę do prawidłowej współpracy z Prezesem UODO, zarówno w dalszym toku trwającego postępowania w sprawie zgłoszenia naruszenia ochrony danych osobowych, jak i w ewentualnych innych postępowaniach prowadzonych w przyszłości z jego udziałem przed Prezesem UODO. Kara jest jasnym sygnałem, że lekceważenie obowiązków związanych ze współpracą z organem nadzorczym – w szczególności utrudnianie dostępu do informacji niezbędnych do realizacji jego zadań – stanowi naruszenie o dużej wadze i jako takie podlega sankcjom finansowym.

Jak tłumaczy karanie PUODO?

Kary pieniężne wymierzane za brak współpracy służą dyscyplinowaniu administratorów i podmiotów przetwarzających. Lekceważenie przez kontrolowane podmioty obowiązków związanych ze współpracą z Prezesem UODO prowadzi bowiem do przedłużania prowadzonych przez niego postępowań. W ten sposób utrudniona jest realizacja praw osób, których ochrona danych osobowych jest naruszana.

Co nam pozostaje?

Wbrew obiegowym teoriom warto postawić na dobrą współpracę z organem nadzorczym. Możemy to najłatwiej osiągnąć, gdy terminowo udzielamy wyjaśnień i udzielamy odpowiedzi Prezesowi UODO. Pamiętajmy, że administracyjna kara pieniężna nakładana przez organ nadzorczy, ma charakter zindywidualizowany i zależy od oceny okoliczności konkretnej sprawy. Przy wymierzaniu kary, organ zawsze bierze pod uwagę „stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków” oraz „sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).” Dlatego też dobra współpraca z administratorem i np. jednorazowy charakter naruszenia mogą pozwolić uniknąć kary pieniężnej lub zostanie nam udzielone jedynie upomnienie. Nasza pełna współpraca z organem nadzorczym może zostać również potraktowana jako okoliczność łagodząca przy wymiarze kary (por. decyzja w sprawie spółki Morele.net).

Źródła:

Komunikat PUODO z dnia 29.07.2020 r. dostępny na oficjalnej stronie organu pt. „Współpraca z Prezesem UODO i trzy ostatnie kary”. Pełna treść dostępna: https://uodo.gov.pl/pl/138/1622

Art. 31 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

Decyzja w sprawie East Power sp. z o.o. z siedzibą w Jeleniej Góry z dnia 10 lipca 2020 r., znak: DKE.561.1.2020. Pełna treść decyzji dostępna: https://uodo.gov.pl/decyzje/DKE.561.1.2020

Decyzja w sprawie przedsiębiorcy prowadzącego przedszkole z dnia 3 czerwca 2020 r., nr DKE.561.2.2020. Pełna treść decyzji dostępna: https://www.uodo.gov.pl/decyzje/DKE.561.2.2020

Decyzja w sprawie Głównego Geodety Kraju z dnia 28 sierpnia 2020 r., nr DKN.5112.13.2020. Pełna treść decyzji dostępna jest tutaj: https://uodo.gov.pl/decyzje/DKN.5112.13.2020

Decyzja w sprawie Aleksandrowa Kujawskiego z dnia 18 października 2019 r., nr ZSPU.421.3.2019. https://uodo.gov.pl/decyzje/ZSPU.421.3.2019

Komunikat PUODO z dnia 4.11.2019 r. dostępny na oficjalnej stronie organu pt. Jak Prezes UODO nakłada administracyjne kary pieniężne?. Pełna treść dostępna: https://uodo.gov.pl/pl/138/1244

Decyzja w sprawie Morele.net sp. z o.o. z siedzibą w Krakowie z dnia 10 września 2019 r., nr ZSPR.421.2.2019
Pełna treść decyzji dostępna: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019

Kara nałożona przez PUODO na burmistrza Aleksandrowa Kujawskiego utrzymana

Data dodania:

Wojewódzki Sąd Administracyjny w Warszawie utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary pieniężnej w wysokości 40 tys. zł na Burmistrza Aleksandrowa Kujawskiego za brak umowy powierzenia z firmą zajmującą się obsługą Biuletynu Informacji Publicznej.

Wojewódzki Sąd Administracyjny w Warszawie w dniu 26 sierpnia 2020 r. oddalił skargę Burmistrza Aleksandrowa Kujawskiego na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia z 18 października 2019 r. nr ZSPU.421.3.2019 w sprawie przetwarzania danych osobowych.
To drugi wyrok sądu administracyjnego w sprawie nałożenia na podmiot publiczny przez PUODO kary pieniężnej za naruszenie RODO.
Wyrok sądu pierwszej instancji jest nieprawomocny i przysługuje od niego możliwość wniesienia skargi kasacyjnej.

WSA oddalił skargę

Jak wynika z relacji zamieszczonej w dzienniku Gazecie Prawnej Sąd w ustnych motywach rozstrzygnięcia podtrzymał stanowisko Prezesa UODO odnośnie obowiązku zawarcia przez podmiot publiczny umowy powierzenia przetwarzania danych osobowych z firmami obsługującymi miejski Biuletyn Informacji Publicznej (BIP). Ponadto Sąd podzielił pogląd Urzędu Ochrony Danych Osobowych, że w sprawie publikacji danych w Biuletynie Informacji Publicznej (BIP) zastosowanie znajdują przepisy RODO.

Pierwsza kara pieniężna Prezesa UODO nałożona na podmiot publiczny

Na początku 2019 r. Urząd Ochrony Danych Osobowych przeprowadził u Burmistrza Aleksandrowa Kujawskiego kontrolę zgodności przetwarzania danych osobowych wykonywaną w ramach procesu wysyłki korespondencji i prowadzenia Biuletynu Informacji Publicznej (BIP), a także sposób prowadzenia rejestru czynności przetwarzania oraz dokumentowania naruszeń ochrony danych osobowych. Po przeprowadzeniu postępowania kontrolnego, Prezes UODO nałożył na Burmistrza Aleksandrowa Kujawskiego karę o wartości 40 000 zł. Powodem nałożenia pierwszej w Polsce kary na organ publiczny było, przede wszystkim, stwierdzenie przez kontrolujących z ramienia UODO szeregu naruszeń przepisów RODO m.in. art. 5 i 28. Najpoważniejsze z nich dotyczyło braku umowy powierzenia przetwarzania danych osobowych z firmami obsługującymi miejski Biuletyn Informacji Publicznej od strony technicznej. W konsekwencji dane osobowe zostały udostępnione podmiotom zewnętrznym bez podstawy prawnej.

Kontrolujący z ramienia UODO ustalili również, że instytucja publiczna nie posiadała procedur wewnętrznych dotyczących retencji danych przechowywanych w Biuletynie. Organ nadzorczy zarzucił, że w efekcie, w miejskim Biuletynie Informacji Publicznej, wciąż były dostępne oświadczenia majątkowe z 2010 r. podczas, gdy okres ich przechowywania wynosi 6 lat.

W trakcie kontroli dostrzeżono również, że zarejestrowane nagrania pochodzące z posiedzeń rady miejskiej, przechowywano jedynie na dedykowanym kanale Serwisu YouTube. W urzędzie nie pozostawały żadne kopie zapasowe. W przypadku utraty danych, administrator nie dysponowałby więc kopiami nagrań. Ponadto, stwierdzono także braki w zakresie prowadzenia rejestru czynności przetwarzania danych osobowych.

W ocenie PUODO zastosowana kara pieniężna w wysokości 40 tys. zł , co stanowi 40% maksymalnej dopuszczalnej kary – była proporcjonalna do stwierdzonego naruszenia. Złożyły się na nią takie czynniki, jak: waga naruszenia, kategorie danych osobowych, których dotyczyło naruszenie, brak realizacji obowiązków administratora wynikających z ogólnego rozporządzenia o ochronie danych i czas trwania naruszenia (naruszenia objęte nakazem nie zostały usunięte w toku kontroli).

Jakie kroki powinny podjąć podmioty publiczne prowadzące Biuletyn Informacji Publicznej?

Burmistrz Aleksandrowa Kujawskiego jest pierwszym, ale na pewno nie ostatnim, podmiotem publicznym, który niekorzystną decyzję UODO podda kontroli sądowoadministracyjnej. Pierwsza kara nałożona na podmiot publiczny jest wysoka i została podtrzymana przez Wojewódzki Sąd Administracyjny w Warszawie. Pozostało czekać na pisemne uzasadnienie wyroku, gdzie znajdzie się cała argumentacja prawna sądu i decyzja stron postępowania o kontynuowaniu sporu już przed Naczelnym Sądem Administracyjnym.

Jeżeli wyrok WSA w Warszawie uprawomocni się lub zostanie podtrzymany przez Naczelny Sąd Administracyjny, to, w naszej opinii, instytucje publiczne (np. urzędy, uczelnie czy instytucje kulturalne) korzystające z usług zewnętrznych firm powinny:

• sprawdzić, czy współpracują z zewnętrznymi podmiotami oferującymi usługi dla BIP,
• zadbać o przekazywanie danych osobowych podmiotom zewnętrznym na podstawie umowy powierzenia zgodnej z wymogami RODO.

Sławomir Wikariak „Dostęp do informacji publicznej podlega pod RODO” artykuł prasowy dostępny w: internetowym wydaniu Gazety Prawnej z dnia 27.08.2020 r. dostępny pod linkiem: https://serwisy.gazetaprawna.pl/samorzad/artykuly/1489386,rodo-bip-dostep-do-informacji-publicznej.html

Więcej o wyroku WSA w Warszawie z dnia 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 w Centralnej Bazie Orzeczeń Sądów Administracyjnych pod linkiem: http://orzeczenia.nsa.gov.pl/doc/1156394101

Więcej o komunikacie Prezesa UODO w sprawie wyroku WSA w Warszawie z dnia 26 sierpnia 2020 r. pod linkiem: https://uodo.gov.pl/pl/138/1644

Więcej o decyzji Prezesa UODO o nałożeniu kary w komunikacie dostępnym pod linkiem: https://uodo.gov.pl/pl/138/1240

Nowa rzeczywistość przetwarzania danych po wyroku Schrems II

Data dodania:

Od dnia wydania przez TSUE wyroku w sprawie C-311/18 transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy danych powinni znaleźć inną podstawę prawną przetwarzania danych. Jakie kroki powinni podjąć przedsiębiorcy unijni po wyroku w sprawie Schrems II?

Wyrokiem z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (dalej: TSUE) w sprawie C-311/18 (Data Protection Commissioner/Maximilian Schrems i Facebook Ireland – dalej Schrems II), stwierdził nieważność decyzji Komisji Unii Europejskiej (dalej: Komisja EU) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE – USA (eng. Privacy Shield). Jednocześnie Trybunał utrzymał w mocy decyzję Komisji EU nr 2010/87 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich. Sprawa jest kontynuacją sporu toczącego się pomiędzy Maximilianem Schremsem, Facebook Ireland Ltd. i irlandzkim organem ds. ochrony danych osobowych, uprzednio rozstrzyganego przez TSUE (C 362/14 – tzw. Schrems I).

Najważniejsze postanowienia wyroku Trybunału w sprawie Schrems II:


• Stwierdzenie nieważności decyzji w sprawie Tarczy Prywatności,
• Klauzule modelowe zostały utrzymane w mocy (warunek: administratorzy danych powinni dokonać oceny obejmującej postanowienia uzgodnione między eksporterami i importerami danych, ale również przepisy prawa w państwie trzecim, w szczególności odnoszące się do ewentualnego dostępu organów władzy publicznej tego państwa do przekazywanych danych osobowych,
• Natychmiastowy skutek wyroku.

Skutki wyroku TSUE w sprawie Schrems II

Wyrok TSUE z dnia 16 lipca 2020 r. przekreślił dotychczasowe zasady transferu danych osobowych z terenu Unii Europejskiej do Stanów Zjednoczonych, wykonywanych na podstawie decyzji Komisji Europejskiej (UE) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. „Tarczę Prywatności” (eng. Privacy Shield). Przyczyną stwierdzenia nieważności Tarczy Prywatności były przepisy prawa obowiązujące w Stanach Zjednoczonych. System prawny i praktyka uprawniają agencje wywiadowcze, w tym FBI, do niemal hurtowego gromadzenia danych osobowych w ramach programów szpiegujących PRISM i Upstream. Trybunał, uzasadniając swoje stanowisko, wskazał, że w procesie przekazywania danych osobowych do USA nie zapewniono użytkownikom pochodzącym z Unii Europejskiej ochrony na poziomie odpowiadającym wymogom RODO i Karty Praw Podstawowych. Obywatele UE nie mają też możliwości skutecznego dochodzenia swoich praw przed organami w USA.

Orzeczenie ma kluczowe znaczenie dla podmiotów działających w sektorze publicznym i prywatnym, które wykorzystują do codziennej działalności nowoczesne narzędzia IT. Trudno wyobrazić sobie prowadzenie większego lub mniejszego biznesu, czy działalności instytucji publicznej bez wsparcia usług chmurowych świadczonych za pośrednictwem: poczty elektronicznej, aplikacji do komunikacji, czy narzędzi do analizy statystyk serwisów www. Nie wspominając już o kontakcie z klientem za pośrednictwem mediów społecznościowych

Inna podstawa prawna czy wstrzymanie transferu danych?

Wszystkie podmioty, które dotychczas przekazywały dane osobowe w ramach współpracy transatlantyckiej (np. procesorom, spółce matce) powinny szybko znaleźć inną podstawę prawną przetwarzania danych. Co prawda, przepisy rozdziału V RODO przewidują inne możliwości legalizacji transferu danych, jednak w praktyce nie jest już takie proste zalegalizowanie transgranicznego przetwarzania na innej podstawie niż decyzja Komisji Europejskiej lub modelowe klauzule umowne. Dużo trudniej jest uzyskać wyraźną zgodę na transfer lub oczekiwać na zatwierdzenie ze strony organu nadzorczego. Jeżeli nie jest możliwe zastąpienie postanowień obalonej Tarczy Prywatności to administratorzy danych użytkowników z terenu Unii Europejskiej powinni czasowo wstrzymać wykonywanie transferu danych do USA.

Standardowe klauzule umowne

Legalizacji transferu można dokonać poprzez zastosowanie modelowych klauzul umownych określonych w decyzji Komisji nr 2010/87/UE, a których ważność potwierdził Trybunał w wydanym orzeczeniu.

Czym są standardowe klauzule modelowe (eng. Standard Contractual Clauses)? Standardowe klauzule modelowe to wzór umowy ustalony przez Komisję Europejską, w drodze decyzji, w celu zapewnienia poziomu ochrony danych osobowych zgodnych z RODO. Europejski Trybunał, w swoim orzeczeniu, nie podważył legalności standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym mającym siedzibę w krajach trzecich. Uzależnił natomiast ich stosowanie od oceny każdej transakcji pod kątem bezpieczeństwa. Należy sprawdzić, czy po zastosowaniu standardowych klauzul, zostanie zagwarantowany odpowiedni stopień ochrony danych osobowych oraz czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie ochrony na poziomie wymaganym przez RODO i Karty Praw Podstawowych. A także jak wygląda ewentualny dostęp organów władzy publicznej tego państwa do danych na podstawie odpowiednich przepisów prawa krajowego.

Najważniejsze postanowienia wyroku Trybunału w sprawie Schrems II:

  • Wymagana analiza systemu państwa trzeciego,
  • Udzielenie w razie potrzeby dodatkowych zabezpieczeń w stosunku do tych zapewnionych w klauzulach,
  • Konieczność zawieszenia lub zakończenia transferu danych, w przypadku, gdy prawo państwa trzeciego nakłada na podmioty pochodzące z Unii zobowiązania, które pozostają w sprzeczności z klauzulami i, co za tym idzie, mogą mieć negatywny wpływ na udzielone umownie zabezpieczenie.

Transfery danych do USA po wyroku TSUE z dnia 16 lipca 2020 r.

Wyrok w sprawie Schrems II, wprowadził istotny element ryzyka związany z wykonywaniem transferów danych osobowych do Stanów Zjednoczonych. Już uzasadnienie wyroku TSUE z dnia 16 lipca 2020 r. zawiera krytyczną ocenę amerykańskiego systemu prawnego, pozwalającego na hurtowe gromadzenie danych osobowych przez amerykańskie agencje wywiadowcze bez względu na cel ich przetwarzania. Jakie są konsekwencje takiej oceny prawnej wyrażonej przez Trybunał? Wydaje się, że należy rozważyć wstrzymanie pewnych rodzajów transferów wykonywanych na podstawie klauzul umownych np. związanych z działalnością firm telekomunikacyjnych, jako podmiotów najbardziej narażonych na inwigilację ze strony amerykańskich służb. W określonych przypadkach umowne klauzule nie zapewnią optymalnego poziomu ochrony danych, bo przepisy prawa obowiązujące na terenie Stanów Zjednoczonych zezwalają na ingerowanie w prawa podmiotów danych, co stanowi naruszenie RODO.

Jakie kroki powinni podjąć administratorzy danych?

Od dnia wydania wyroku przez TSUE transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy danych powinni znaleźć inną podstawę prawną legalizującą transfer danych przez Atlantyk. Jednocześnie przedsiębiorcy unijni powinni poczekać systemowe rozwiązania w sprawie przekazywania danych między Unią Europejską, a Stanami Zjednoczonymi. Należy również uważnie śledzić interpretacje urzędowe krajowych i wspólnotowych organów nadzoru, które pojawią się po obaleniu Tarczy Prywatności.
W pierwszej kolejności należy sprawdzić, które z używanych w firmie rozwiązań wiążą się z transferem danych do Stanów Zjednoczonych. Podejmujemy działania tylko w przypadku występowania transgranicznych transferów za Atlantyk. Następnie należy ustalić z podmiotami z jakich krajów zawarto standardowe klauzule umowne. Jeżeli dane osobowe były przetwarzane w ramach Tarczy Prywatności, to niezbędna będzie aktualizacja klauzul informacyjnych w części dotyczącej „informacji o transferach” i zmiana podstawy prawnej np. zastosowanie standardowych klauzul umownych. W innym przypadku należy poszukać takich usług lub nawiązać taką współpracę z kontrahentami oferującymi przetwarzanie danych osobowych na terenie Unii Europejskiej.

Więcej: nieoficjalne tłumaczenie dokumentu EROD w sprawie wyroku Schrems II https://uodo.gov.pl/pl/138/1614

Transfer danych osobowych do USA po przełomowym wyroku TSUE w sprawie Schrems II

Data dodania:

Od 16 lipca 2020 r. Facebook nie może przekazywać do USA danych osobowych europejskich użytkowników na podstawie Tarczy Prywatności. Co dalej z transferem danych osobowych obywateli europejskich do USA?

16 lipca 2020 r. przed Europejskim Trybunałem Sprawiedliwości w Luksemburgu (dalej TSUE), zapadło przełomowe orzeczenie sądowe ważne dla globalnych korporacji transferujących na ogromną skalę dane osobowe z Europy do USA na podstawie programu Tarcza Prywatności UE-USA. Tarcza miała zapewnić odpowiednią ochronę danych osobowych obywateli UE, przekazywanych do Stanów Zjednoczonych. Warto wspomnieć, że na dzień wydania wyroku C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (dalej sprawa Schrems II) z Tarczy Prywatności korzystało ponad 5000 podmiotów z sektora publicznego i prywatnego. (vide: https://www.privacyshield.gov/list).

Skargi Schremsa

Maximilian Schrems, austriacki prawnik i aktywista, po raz pierwszy złożył skargę przeciwko firmie Facebook Ireland Ltd. do irlandzkiego komisarza ds. Ochrony danych (dalej: DPC), w 2013 roku. Pan Schrems, jako użytkownik portalu społecznościowego Facebook, sprzeciwił się udostępnianiu jego danych osobowych do USA, które uprawniają agencje wywiadu (np. FBI) do gromadzenia na ogromną skalę danych bez względu na cel ich przetwarzania.

Irlandzki urząd ochrony danych osobowych odrzucił skargę argumentując, że jest związany decyzją Komisji Europejskiej nr 2000/520 w sprawie adekwatności zasad ochrony danych osobowych w USA zwaną „Bezpieczną przystanią (eng. „Safe Harbour”).

Na zakończenie sprawy „Schrems I” irlandzki Sąd Najwyższy, do którego odwołał się M.Schrems, zwrócił się do TSUE z pytaniem prejudycjalnym. Trybunał po rozpoznaniu sprawy wyrokiem z dnia 6 października 2015 r. sygn. akt C-362/14 stwierdził nieważność decyzji Komisji Europejskiej nr 2000/520, dotyczącej tzw. „Bezpiecznej Przystani”, co w praktyce przekreślało możliwość transferu danych osobowych z UE do USA na tej podstawie prawnej.

Po wydaniu przez Trybunał wyroku w sprawie Schrems I, sprawa została zwrócona do ponownego rozpatrzenia irlandzkiemu komisarzowi ds. Ochrony danych. Maximilian Shrems podtrzymał żądanie skargi dotyczące zakazu transferu danych dowodząc, że wewnętrzne prawo Stanów Zjednoczonych nakazuje Facebook Inc. udostępnienie danych osobowych obywateli innych państw amerykańskim agencjom wywiadowczym w ramach programów PRISM i Upstream. W ocenie irlandzkiego organu nadzorczego, kwestią najistotniejszą była ocena ważności decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych, dlatego też w maju 2016 r. zwrócił się on do irlandzkiego sądu o wystąpienie do TSUE w tym zakresie w trybie prejudycjalnym.

Irlandzki Sąd Najwyższy ponownie zwrócił się do TSUE z pytaniem prejudycjalnym w sprawie zgodności z prawem wspólnotowym decyzji Komisji Europejskiej nr 2010/87 w sprawie standardowych klauzul ochrony. W międzyczasie, Komisja wydała też nową decyzję nr 2016/1250 w sprawie adekwatności zasad ochrony danych osobowych w USA zwaną Tarczą Prywatności (Privacy Shield), a więc porozumienia pomiędzy UE i USA, zastępującego Bezpieczną Przystań. Sąd Najwyższy w Irlandii wniósł o zbadanie przez TSUE obu tych decyzji.
I tu dochodzimy do podstaw wydania drugiego wyroku (Schrems II).

TSUE stwierdza nieważność Tarczy Prywatności

16 lipca 2020 r. w ogłoszonym wyroku TSUE stwierdza brak skutecznych mechanizmów ochronnych dla europejskich użytkowników Facebook w prawie USA i na tej podstawie orzekł o nieważności mechanizmu Tarczy Prywatności. W rozpatrywanym wyroku zasadnicze znaczenie mają dwie kwestie: legalność tzw. Tarczy Prywatności oraz utrzymanie ważności standardowych klauzul umownych.

TSUE uznał, że decyzja Komisji Europejskiej (UE) nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez tzw. „Tarczę Prywatności” (eng. Privacy Shield) jest nieważna, bo w procesie przekazywania danych osobowych do USA nie zapewniono użytkownikom pochodzącym z Europy ochrony na poziomie odpowiadającym wymogom RODO. W konsekwencji należało wstrzymać te transfery danych osobowych do USA, które jako podstawę prawną wskazywały Tarczę. Warto jednak podkreślić, że samo uznanie przez Trybunał nieważności Tarczy Prywatności nie sprawia, że dane osobowe przestaną być transferowane na terenie USA. W efekcie luki prawnej powstałej po orzeczeniu TSUE podmioty przekazujące dane osobowe do USA są zmuszone do znalezienia innej podstawy prawnej legalizującej tę operację w oparciu o RODO.

Standardowe klauzule umowne

TSUE wypowiedział się także w sprawie standardowych klauzul umownych (eng. Standard Contractual Clauses) które można zawrzeć w umowie z odbiorcą danych ze Stanów Zjednoczonych. Europejski Trybunał w swoim orzeczeniu nie podważył legalności standardowych klauzul umownych dotyczących przekazywana danych osobowych podmiotom przetwarzającym mającym siedzibę w krajach trzecich. Uzależnił natomiast ich stosowanie od oceny każdej transakcji pod kątem bezpieczeństwa. Należy sprawdzić, czy po zastosowaniu standardowych klauzul, zostanie zagwarantowany odpowiedni stopień ochrony danych osobowych oraz czy prawo państwa trzeciego, do którego odbywa się transfer, umożliwi podmiotowi odbierającemu zapewnienie ochrony na poziomie wymaganym przez RODO. A także jak wygląda ewentualny dostęp organów władzy publicznej tego państwa na podstawie odpowiednich przepisów prawa krajowego.

Konsekwencją wydanego w sprawie Schrems II wyroku jest obowiązek dokonywania przy operacji przekazywania danych osobowych przez importera i eksportera danych osobowych każdorazowej analizy okoliczności związanych z transferem zarówno już w obowiązujących umowach, jak i przy nowo zawieranych transakcjach.

Bezprecedensowe skutki

W związku z wydaniem przez TSUE precedensowego orzeczenia należy oczekiwać wytycznych ze strony Europejskiego Inspektora Ochrony Danych, Europejskiej Rady Ochrony Danych i organów nadzoru w zakresie transferu danych UE-USA oraz prób oparcia transferu danych osobowych użytkowników z Europy do Stanów Zjednoczonych na innej podstawie prawnej. Do chwili, kiedy Komisja Europejska zajmie oficjalne stanowisko niezbędne jest zadbanie o zawarcie z odbiorcami danych Standardowych Klauzul Umownych w celu zapewnienia zgodnego z prawem transferu danych.

Więcej: Wyrok TSUE z 16 lipca 2020 r. w sprawie C-311/18 (Schrems II).
http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=pl&mode=lst&dir=&occ=first&part=1&cid=10397632
Więcej: Odpowiedź Europejskiej Rady Ochrony Danych na pytania związane z konsekwencjami wyroku TSUE w sprawie C-311/18 (Schrems II).
https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en