UNIA EUROPEJSKA

 

Aktualizacja wytycznych dotyczących zgody na przetwarzanie danych

Europejska Rada Ochrony Danych zaktualizowała wytyczne w sprawie zgód m.in. w zakresie tzw. cookie walls. W ocenie EROD, nie można uznać, że zgoda jest dobrowolna, jeśli w przypadku jej nieudzielenia blokowany jest dostęp do treści znajdujących się na stronie internetowej.

Źródło: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

 

Orzeczenie niemieckiego Federalnego Trybunału Sprawiedliwości potwierdza wzajemne oddziaływanie między gromadzeniem danych osobowych a prawem konkurencji

23 czerwca 2020 r. niemiecki Federalny Trybunał Sprawiedliwości wydał orzeczenie potwierdzające wykonalność, w postępowaniu przygotowawczym, postanowienia niemieckiego Federalnego Biura Kartelowego (Bundeskartellamt) przeciwko praktykom związanym z danymi osobowymi na Facebooku.

W 2019 r. Bundeskartellamt wydał względem Facebooka zakaz łączenia danych użytkowników z różnych źródeł. Urząd uznał, że postanowienia regulaminu, które umożliwiały Facebookowi gromadzenie danych użytkowników z różnych źródeł (w tym usług należących do Facebooka, takich jak WhatsApp, Instagram i strony internetowe osób trzecich) i przypisywanie tych danych do konta użytkownika na Facebooku stanowią nadużycie pozycji dominującej na rynku mediów społecznościowych. W ocenie Urzędu, taka kombinacja danych powinna być uzależniona od wyrażenia dobrowolnej zgody przez użytkownika.

Źródło: https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020080.html

 

Belgijski urząd ochrony danych osobowych nałożył grzywnę na kandydata
w wyborach lokalnych za korzystanie z rejestru pracowników gminy w celu wysyłki pism o charakterze wyborczym

Izba procesowa organu ustaliła m.in.:

  • Naruszona została zasada ograniczenia celu – rejestr pracowników gminy nie jest przeznaczony do innych celów niż wewnętrzne zarządzanie gminą;
  • Izba nie znalazła żadnej podstawy prawnej dla przetwarzania rejestru pracowników gminy przez ukaranego kandydata.

Grzywna wyniosła 5000 euro.

Źródła:  https://edpb.europa.eu/news/national-news/2020/belgian-data-protection-authority-imposed-fine-5000-eur-local-election_pl, https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/Decision_CC_30-2020_FR.pdf – Decyzja w języku francuskim

 

Europejska Rada Ochrony Danych wypowiedziała się na temat aplikacji służących do ustalania kontaktów zakaźnych oraz przetwarzania w kontekście ponownego otwarcia granic Schengen

Oświadczenie przedstawia pogłębioną analizę dotyczącą tworzenia interoperacyjnej sieci aplikacji służących do ustalania kontaktów. EROD wskazuje kluczowe aspekty, które muszą być wzięte pod uwagę przy projektowaniu rozwiązań m.in. dot. przejrzystości przetwarzania, podstawy prawnej, administrowania, praw osób, których dane dotyczą, zatrzymywania i minimalizacji danych, bezpieczeństwa informacji oraz prawidłowości danych.

Źródła: https://uodo.gov.pl/pl/138/1570, https://edpb.europa.eu/news/news/2020/thirty-second-plenary-session-statement-interoperability-contact-tracing-applications_en

 

Wspólne oświadczenie w sprawie cyfrowego śledzenia kontaktów przewodniczącej Komitetu Konsultacyjnego Konwencji 108 oraz komisarza ds. ochrony danych Rady Europy w sprawie cyfrowego śledzenia kontaktów

W swoim oświadczeniu przedstawiciele tych organów wskazują, że w walce z COVID-19 wykorzystuje się dane i technologie mobilne, które obejmują: wykorzystanie danych o lokalizacji mobilnej do oceny przemieszczania się ludności lub egzekwowania środków ograniczających, wykorzystanie urządzeń jako cyfrowego dowodu odporności, wykrywanie objawów, samokontrola lub wreszcie cyfrowe śledzenie kontaktów osoby zarażonej. Z tych względów autorzy podkreślili, że zanim państwa przystąpią do systemowego wdrażania technologii, powinny zastanowić się, czy są one jedynym możliwym rozwiązaniem. Warto odpowiedzieć na pytania:

  • Czy przewidywany efekt jest warty ryzyka społecznego i prawnego, biorąc pod uwagę brak dowodów na skuteczność zastosowanych rozwiązań?
  • Jakie prawne i techniczne zabezpieczenia należy wprowadzić, aby zmniejszyć ryzyko w przypadku, gdy rządy decydują się na cyfrowe śledzenie kontaktów w zarządzaniu pandemią COVID-19?

Źródło: https://rm.coe.int/covid19-joint-statement-28-april/16809e3fd7

 

Czerwcowe posiedzenie Europejskiej Rady Ochrony Danych: TikTok i rozpoznawanie twarzy

Podczas 31. posiedzenia plenarnego, Europejska Rada Ochrony Danych powołała grupę zadaniową w celu koordynowania potencjalnych działań i uzyskania bardziej kompleksowego przeglądu przetwarzania danych i praktyk stosowanych przez aplikację TikTok w całej UE. Niderlandzki Urząd Ochrony Danych również prowadzi postępowanie dla skontrolowania, czy aplikacja ma „przyjazną dla prywatności konstrukcję”, w szczególności z uwagi na masowe wykorzystywanie jej przez dzieci.

Podczas posiedzenia EROD przyjęto także pismo w sprawie wykorzystania sztucznej inteligencji Clearview AI przez organy ścigania. EROD wyraziła obawy co do nowych możliwości technologii rozpoznawania twarzy. EROD przypomina, że zgodnie z dyrektywą policyjną (UE) 2016/680, organy ścigania mogą przetwarzać dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej wyłącznie zgodnie ze ścisłymi warunkami określonymi a art. 8 i 10 Dyrektywy.

Źródła: https://uodo.gov.pl/pl/138/1564, https://autoriteitpersoonsgegevens.nl/en/news/dutch-data-protection-authority-investigate-tiktok

 

POLSKA

 

Trwają konsultacje projektu kodeksu postępowania dla oświaty

Wszystkie podmioty zainteresowane stosowaniem ogólnego rozporządzenia o ochronie danych (RODO) w jednostkach oświatowych mogą wziąć udział w konsultacjach projektu kodeksu postępowania w tym sektorze. Projekt kodeksu został skierowany do konsultacji, a te trwają od 1 czerwca do 30 września 2020 r.

Źródło: https://uodo.gov.pl/pl/138/1554

 

Powiat nie powinien zawierać umowy powierzenia przetwarzania danych osobowych z PUP i PCPR

W swoim najnowszym newsletterze z czerwca UODO tłumaczy, dlaczego powiaty nie powinny zawierać umów powierzenia z Powiatowymi Urzędami Pracy oraz Powiatowymi Centrami Pomocy Rodzinie. Choć to powiaty mają realizować zadania określone w ustawie o promocji zatrudnienia i instytucjach rynku pracy oraz w ustawie o rehabilitacji zawodowej i społecznej oraz o zatrudnianiu osób niepełnosprawnych, to jednak robią to za pośrednictwem swoich jednostek organizacyjnych mających status administratora. Niezasadne byłoby zatem zawieranie z nimi umów powierzenia przetwarzania danych osobowych.

Źródło: https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

 

UODO odpowiada na pytanie „Czy z laboratorium należy zawrzeć umowę powierzenia”?

Samodzielny Publiczny Zespół Zakładów Zdrowotnych (SPZZOZ) zawarł umowę na wykonywanie badań przez laboratorium. Badania obejmują próbki pobrane i dostarczone przez szpital i przychodnie SPZZOZ od osób przebywających na oddziałach szpitalnych oraz od osób kierowanych na badanie przez poradnie/przychodnie wchodzące w skład SPZZOZ (objęte ww. umową). UODO doszło do wniosku, że w takim przypadku nie zachodzi relacja administrator – podmiot przetwarzający, a tym samym nie ma podstaw do zawarcie umowy powierzenia.

Źródło: https://uodo.gov.pl/pl/225/1552?fbclid=IwAR09YjrkCI-RCfNla1BtytY7XYQqQHAbmC7pBJTJQUKQaUdBYTa1FM_YFCc

 

E-recepta w służbie sieci aptek. Korporacje poznają najwrażliwsze informacje

Jedna z największych sieci aptecznych zaczęła masowo profilować pacjentów. Sieć Gemini, mająca prawie 200 placówek w całej Polsce, stworzyła aplikację przetwarzającą dane medyczne uzyskane z e-recept. Aplikacja umożliwia spółce uzyskanie wrażliwych danych na temat klientów np. czy ktoś leczy się na depresję, ma demencję, problemy z potencją, niedawno poronił albo jest śmiertelnie chory. Na podstawie danych z wielu recept tworzy zaś wirtualną kopię profilu pacjenta, która na rynku jest bezcenna dla firm ubezpieczeniowych czy banków. Zdaniem Ministerstwa Zdrowia w związku z powyższym procederem mogło dojść do popełnienia przestępstwa. Sprawą zajmie się prokuratura oraz specjalna jednostka ds. walki z cyberprzestępczością w Komendzie Głównej Policji. Niezależni eksperci uważają, że mamy właśnie do czynienia z największym skandalem na polskim rynku farmaceutycznym od lat.

Źródła: https://serwisy.gazetaprawna.pl/zdrowie/artykuly/1484157,profilowanie-pacjentow-gemini-e-recepta-dane-osobowe.html?fbclid=IwAR2LPQE4CrjCsRDTeRPhJIsd5mDcQLT8a_mgqyGpD_WCQ81H5uFeTkipzVw, https://serwisy.gazetaprawna.pl/zdrowie/artykuly/1484775,apteki-gemini-e-recepty-dane-osobowe.html