Browsing Tag

rodo

ochrona danych osobowych

Czy trzeba zbierać zgody na publikację zdjęć w mediach społecznościowych?

22 czerwca 2020

Sąd I instancji w Geldrii (Holandia) orzekł, że przetwarzanie danych osobowych w postaci zdjęć nieletnich dzieci Powódki przez ich babcię jest niezgodne z prawem i powinno opierać się na zgodzie. Sąd uznał, że nie można jednoznacznie stwierdzić czy publikacja zdjęć w social mediach realizuje wyjątek „prywatnego użytku” wyłączający stosowanie RODO.

Stan faktyczny

 Sprawa prowadzona przed holenderskim sądem dotyczyła sporu o usunięcie zdjęć dzieci Powódki opublikowanych na portalach społecznościowych przez ich babcię (Pozwana). Zdjęcia zostały upublicznione bez zgody Powódki, mimo że holenderskie prawo wymaga uzyskania zgody na publikację od opiekuna prawnego dziecka. W postępowaniu sądowym Pozwana przyznała, że w przeszłości publikowała zdjęcia wnucząt w social mediach, zostały one jednak usunięte. Pozwana zachowała jednak fotografię jednego z dzieci, z którym łączy ją szczególna więź emocjonalna. Ponadto w toku procesu okazało się, że Pozwana opublikowała również zdjęcie, na którym została sfotografowana wraz z Powódką, na co nie uzyskała jej zgody.

Sąd uznał, że warunkiem legalnej publikacji zdjęć na portalach społecznościowych było uzyskanie zgody Powódki. Z tego względu nakazał Pozwanej usunąć opublikowane fotografie pod groźbą zapłaty kary grzywny za każdy dzień zwłoki w wykonaniu tego obowiązku.

Czy publikacja zdjęć w mediach społecznościowych jest aktywnością o charakterze osobistym?

Omawiany wyrok może odegrać pewne znaczenie w stosowaniu prawa w naszym kraju, gdyż sąd powołał się na art. 2 ust. 2 lit c RODO. Zgodnie z tym przepisem, RODO nie znajduje zastosowania gdy dane osobowe przetwarza osoba fizyczna w ramach czynności o czysto osobistym lub domowym charakterze. Z tego względu dozwolone jest np. prowadzenie monitoringu prywatnej posesji czy utrzymywanie prywatnych książek adresowych. RODO w takich przypadkach nie stosuje się.

Za użytek prywatny uznawano dotychczas prowadzenie kont w mediach społecznościowych. W omawianym orzeczeniu Sąd stwierdził jednak, że nie jest możliwe jednoznaczne stwierdzenie czy publikowanie zdjęć w social mediach to działalność o charakterze prywatnym lub domowym. Po pierwsze nie w każdym wypadku możliwe jest ustalenie stosowanych zabezpieczeń konta (tak było w omawianej sprawie). Ponadto istnieje zagrożenie, że opublikowane zdjęcia będą dostępne za pośrednictwem wyszukiwarek np. Google. Nie można także wykluczyć, że opublikowane zdjęcia trafią w ręce osób trzecich. Z powyższych względów, według holenderskiego sądu, uzasadnione jest stosowanie RODO w takich przypadkach.

Komentarz:Jak legalnie publikować zdjęcia?

Grupa Robocza Art. 29 w opinii na temat portali społecznościowych uznała, że przetwarzanie danych osobowych w ramach takich portali zasadniczo mieści się w ramach czynności o charakterze czysto osobistym, chyba że dostęp do tych danych maja inne osoby niż wybrane przez użytkownika. Omawiany wyrok wydaje się zaostrzać tę regułę.

Mimo że orzeczenie holenderskiego sądu nie ma bezpośredniego zastosowania na terenie Polski, jednak może służyć jako precedens w przypadku rozpoznawania podobnych spraw przez sądy krajowe. Jak w związku z tym publikować zdjęcia by obyło się bez problemów? – Warto pytać sfotografowane osoby o zgodę na publikację. To nic nie kosztuje, a może zaoszczędzić wiele nerwów i stresu.

Bez kategorii ochrona danych osobowych

Czy rejestracja czasu pracy za pomocą danych biometrycznych jest zgodna z RODO?

18 czerwca 2020

Dane biometryczne są jedną z kategorii danych wrażliwych, wskazanych w art. 9 ust. 1 RODO. Wykorzystanie tego rodzaju danych osobowych jest możliwe tylko w szczególnych przypadkach. RODO oraz przepisy prawa krajowego nie dają podstaw do wykorzystywania tych danych w celach rejestracji czasu pracy.


Czym są dane biometryczne?

Dane biometryczne to dane pozyskane wskutek specjalnego przetwarzania technicznego. Dotyczą one cech fizycznych, fizjologicznych lub behawioralnych człowieka, a także umożliwiają identyfikację lub potwierdzenie tożsamości danej osoby. Obok m.in. danych dotyczących zdrowia czy światopoglądu są zaliczane do tak zwanych danych wrażliwych, których przykłady zostały wymienione w art. 9 ust. 1 RODO.

Przetwarzanie danych wrażliwych będzie możliwe, pod warunkiem że zostanie wykazana jedna z podstaw przetwarzania wymienionych w art. 9 ust. 2 RODO, np. zgoda podmiotu danych. Jednak wykorzystanie danych wrażliwych w sektorze zatrudnienia jest dodatkowo ograniczone przez RODO. Zgodnie z art. 9 ust 2 lit b RODO przetwarzanie takich danych jest możliwe, gdy  jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora w dziedzinie prawa pracy, o ile pozwalają na to przepisy prawa. To oznacza, że pracodawca chcąc przetwarzać dane wrażliwe pracownika musi wskazać przepis prawa dający mu do tego uprawnienie.

Kiedy pracodawca może legalnie przetwarzać dane biometryczne pracownika?

Warunki wykorzystania danych wrażliwych przez pracodawcę uregulowano w art. 221b Kodeksu pracy, zgodnie z którym tego rodzaju dane osobowe mogą być przetwarzane, gdy:

  • następuje to za zgodą pracownika, a pracownik wystąpił z inicjatywą przekazania takich danych;
  • wykorzystywane będą dane biometryczne niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub w celu dostępu do pomieszczeń wymagających szczególnej ochrony.

W pierwszej sytuacji  zgoda pracownika musi spełniać wymagania RODO, tj. świadom, dobrowolna i możliwa do odwołania bez wywoływania negatywnych skutków dla pracownika. Co istotne, w takim przypadku dane osobowe powinny być przekazane z inicjatywy samego pracownika. Z uwagi na specyficzny charakter danych biometrycznych, w literaturze wskazuje się, że omawiana regulacja w odniesieniu do tych danych prawdopodobnie nie będzie miała szerszego zastosowania w praktyce[1].

Jeśli chodzi o drugi przypadek, nie można mieć wątpliwości, że pracodawca może wykorzystać dane biometryczne tylko w ściśle określonych przypadkach.

W związku z tym należy uznać, że przepisy prawa krajowego nie dają podstaw do przetwarzania danych biometrycznych w celu rejestracji czasu pracy.

Taki sposób wykorzystania danych biometrycznych stanowiłby także naruszenie podstawowych zasad przetwarzania wskazanych w art. 5 RODO, w szczególności zasady legalizmu  i minimalizacji danych. Pierwsza z zasad nakłada na administratora obowiązek przetwarzania danych osobowych zgodnie z prawem, w tym również wskazanie podstawy przetwarzania. Natomiast zasada minimalizacji danych zobowiązuje administratora do przetwarzania jedynie danych niezbędnych do osiągnięcia wyznaczonego celu.

Aspekt minimalizacji danych w odniesieniu do danych biometrycznych szczególnie podkreślił Prezes Urzędu Ochrony Danych Osobowych w decyzji z 18 lutego 2020 r. W uzasadnieniu decyzji wskazano, że wykorzystanie danych biometrycznych musi być niezbędne do osiągnięcia wyznaczonego celu przetwarzania. Jeśli osiągnięcie celu przetwarzania jest możliwe przy zastosowaniu innych środków – mniej ingerujących w prywatność jednostki, należy z nich skorzystać. Jako alternatywy Prezes Urzędu Ochrony Danych Osobowych wskazał np. karty identyfikacyjne.


[1] D. Dörre-Kolasa, Ochrona danych osobowych pracowników, (w:) D. Lubasz (red.), Meritum. Ochrona danych osobowych, Warszawa 2020.

ochrona danych osobowych

Zgoda na instalowanie plików cookies musi być wyraźna

15 listopada 2019
cookies

Zgoda na instalowanie ciasteczek (plików cookies) musi być wyrażona przez użytkownika w sposób wyraźny – stwierdził Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 1.10.2019 r. (C-673/17).

W omawianym wyroku Trybunał odniósł się do zasad uzyskiwania zgody użytkownika na instalowanie i udostępnianie mu tak zwanych ciasteczek. Osią rozważań objęte były przede wszystkim przepisy dyrektywy 2002/58/WE[1] oraz RODO[2].

Okoliczności sprawy

Sprawa dotyczyła zasad zbierania zgód na przetwarzanie danych osobowych w ramach organizowanej przez niemiecką spółkę – Planet49 loterii promocyjnej.  Użytkownik, chcący wziąć udział w loterii, był przekierowywany na stronę, na które winien był uzupełnić swoje dane w odpowiednich polach. Poniżej tych pól umieszczono teksty dwóch oświadczeń, w ramach których użytkownik udzielał zgody na przetwarzanie jego danych. Pierwsze z nich, które nie było domyślnie zaznaczone, dotyczyło udzielenia tzw. zgody marketingowej. Natomiast drugie oświadczenie, którego okienko zgody było domyślnie zaznaczone, dotyczyło instalowania na komputerze użytkownika plików cookies.

Tak zainstalowane pliki cookies zawierały numer przypisany do danych rejestracyjnych użytkownika chcącego wziąć udział w loterii. Umożliwiało to jego identyfikację. Informacje zbierane za pomocą ciasteczek umożliwiały analizowanie preferencji konkretnego użytkownika, a dzięki temu wyświetlanie spersonalizowanych reklam. Tym samym zbieranie informacji za pośrednictwem plików cookies jest przetwarzaniem danych osobowych.

Zgoda na instalowanie ciasteczek

W omawianym wyroku Trybunał uznał, że zgoda nie jest ważna, jeśli do zainstalowania plików cookies doszło przez akceptację domyślnie zaznaczonego okienka wyboru. TSUE wskazał, że zgoda, jeśli ma być uznana za ważną, musi być wyrażona w sposób konkretny. Oznacza to, że musi być ona udzielona  przez czynne zachowanie. Akceptacja domyślnie zaznaczonego oświadczenia nie spełnia tego wymogu.

Trybunał zaznaczył, że w przypadku domyślnie zaznaczonego okienka zgody, nie można wykluczyć, że użytkownik po prostu nie przeczytał informacji dotyczącej instalowania plików cookies lub też nie zwrócił na nią uwagi.

Czas przechowywania informacji

TSUE wskazał również, że w ramach klauzuli informacyjnej usługodawca jest zobowiązany poinformować użytkownika, że jego dane mogą być przechowywane w plikach cookies potencjalnie bardzo długo. Jak podkreślił Trybunał, w celu zapewnienia rzetelności i przejrzystości przetwarzania, konieczne jest przekazanie użytkownikowi informacji przez jaki okres dane będą przechowywane, ewentualnie kryteria wyznaczania tego okresu. W przypadku plików cookie będzie to wskazanie okresu ich funkcjonowania.

Przypisy:

[1] Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).

ochrona danych osobowych

Kolejna kara finansowa za naruszenie RODO

24 czerwca 2019
naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) decyzją z dnia 25.04.2019 r. nałożył na Dolnośląski Związek Piłki Nożnej („DZPN”) administracyjną karę pieniężną w wysokości 55.750,50 zł za naruszenie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1] (ogólne rozporządzenie o ochronie danych) („RODO”). Jest to druga kara finansowa, jaką w Polsce nałożono na polskich przedsiębiorców od początku obowiązywania RODO. Pierwsza kara w wysokości blisko 1.000.000,00 zł została nałożona w marcu tego roku, o czym informowaliśmy w poprzednim wpisie.

Stan faktyczny

W lipcu 2018 r. DZPN poinformował Prezesa UODO o naruszeniu ochrony danych osobowych. Naruszenie to polegało na niezamierzonej publikacji na stronie internetowej związku danych osobowych 585 sędziów piłkarskich. Ujawnione dane obejmowały imię, nazwisko, numer PESEL oraz adres zamieszkania sędziego. W zawiadomieniu wskazano, że osoby, których dane przypadkowo opublikowano na stronie, zostały o tym fakcie powiadomione.

DZPN poinformował UODO, że podjął niezbędne kroki w celu usunięcia negatywnych skutków naruszenia.  W szczególności DZPN usunął wszelkie pliki z danymi ze strony internetowej związku oraz z wyniki wyszukiwania przeglądarek internetowych. Stosownie do wyjaśnień DZPN, dane osobowe zostały usunięte przez firmę sprawującą nadzór informatyczny nad stroną internetową związku piłkarskiego.

Na skutek skargi jednej z osób dotkniętej naruszeniem Prezes UODO podjął czynności sprawdzające. Organ zamierzał ustalić, czy dane osobowe sędziów zostały rzeczywiście usunięte ze strony internetowej DZPN. W ramach postępowania kontrolnego stwierdzono, iż dane osobowe sędziów, pomimo ich usunięcia ze strony internetowej związku piłkarskiego, są nadal dostępne za pośrednictwem wyszukiwarki internetowej po wpisaniu adresu URL „usuniętej” strony, gdzie dane zostały opublikowane lub „po podejrzeniu treści serwera DZPN”. Dopiero w toku postępowania kontrolnego udało się trwale usunąć przedmiotowe dane z wyników wyszukiwania przeglądarki internetowej.

Rozstrzygnięcie Prezesa UODO

Podstawą prawną nałożenia przez Prezesa UODO administracyjnej kary pieniężnej była przede wszystkim nieskuteczność działań DZPN zmierzających do usunięcia danych osobowych, tj. naruszenia z art. 32 ust. 1 RODO. Stosownie do treści przywołanego przepisu każdy administrator danych zobowiązany jest do wdrożenia środków technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa danych osobowych. Administrator, oceniając czy stopień bezpieczeństwa jest odpowiedni, powinien uwzględnić potencjalne ryzyko związane z przetwarzaniem danych osobowych, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b RODO). Przywołany przepis stanowi konkretyzację jednej z podstawowych zasad przetwarzania danych osobowych, tj. zasady integralności i poufności danych wyrażonej w art. 5 ust. 1 lit. f RODO.

Wysokość kary uzależniona była od szeregu czynników, tj. czasu trwania naruszenia, skali naruszenia, charakteru danych osobowych objętych incydentem. Mowa tu w szczególności o numerach PESEL, które stwarzało zagrożenie „kradzieży tożsamości” podmiotów danych. W ocenie Prezesa UODO okolicznościami przemawiającymi za złagodzeniem wymiaru kary był nieumyślny charakter incydentu, a także brak powstania szkody po stronie osób, których dane ujawniono.

Podsumowanie

W kontekście analizowanego rozstrzygnięcia Prezesa UODO należy podkreślić, iż jednym z fundamentalnych obowiązków administratora jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Bezpieczeństwo danych można osiągnąć wyłącznie za pomocą efektywnych środków ochrony zarówno technicznych, organizacyjnych, jak i prawnych. Działania podejmowane w celu usunięcia niepożądanych skutków naruszenia ochrony danych osobowych nie mogą ograniczać się jedynie do sfery deklaracji. Obowiązkiem każdego administratora jest urzeczywistnienie wymogu bezpieczeństwa danych. Ma to szczególne znaczenie w ramach outsourcingu czynności przetwarzania danych osobowych, gdzie administrator powinien się upewnić czy podmiot, za pomocą którego dokonuje przetwarzania, faktycznie usunął dane osobowe.

Przypisy:

[1] Dz. U. UE L 119 z 04.05.2016, s. 1 ze zmianą ogłoszoną w Dz. U. UE L 127 z 23.05.2018, s. 2.

ochrona danych osobowych

Pierwsza kara za naruszenie RODO w Polsce

24 kwietnia 2019
RODO

Decyzją z dnia 15 marca 2019 r. (dalej – Decyzja) Prezes Urzędu Ochrony Danych Osobowych (dalej – Prezes UODO) nałożył na Spółkę naruszającą zasady wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE 119 z 04.05.2016 r. ze zm., dalej – RODO) pierwszą karę administracyjną w wysokości blisko miliona złotych.

Podstawa prawna naruszenia

RODO, w art. 14 ust. 1-3, nakłada na administratora danych osobowych obowiązek przekazywania osobie, której dane dotyczą, wyszczególnionych w przepisie informacji (takich jak m.in. informacje o podmiocie przetwarzającym dane, celu ich przetwarzania i okresie ich przechowywania), określając jednocześnie termin w jakim czynności informacyjne powinny zostać zrealizowane. To właśnie za naruszenie obowiązku informacyjnego Prezes UODO nałożył karę administracyjną w wysokości 943 470 złotych.

Stan faktyczny

Ukarana przez Prezesa UODO Spółka oferuje  w ramach swojej działalności m.in. sporządzanie raportów handlowych na rzecz podmiotów trzecich, wydawanie wykazów oraz list (np. adresowych, telefonicznych), zarządzanie stronami internetowymi. Spółka przetwarzała dane osobowe w celach zarobkowych, w sposób profesjonalny.  Dane te dotyczyły osób fizycznych prowadzących działalność gospodarczą (zarówno obecnie, jak i w przeszłości) i były pozyskiwane ze źródeł ogólnodostępnych – w tym z rejestrów publicznych (m.in. Centralna Ewidencja i Informacja o Działalności Gospodarczej, Monitor Sądowy i Gospodarczy, Baza REGON Głównego Urzędu Statystycznego).

Jednak nie wszystkie osoby, których dane Spółka przetwarzała, zostały o tym fakcie poinformowane. W sytuacji, w której dana osoba podawała w CEIDG swój adres e-mail, dostawała ona stosowną informację od Spółki odnośnie faktu przetwarzania swoich danych. W stosunku do pozostałych osób, Spółka zrezygnowała z przesyłania informacji o przetwarzaniu danych osobowych i poprzestała na zamieszczeniu stosownego komunikatu na swojej stronie internetowej.  Spółka zrezygnowała z osobistego kontaktu, celem spełnienia obowiązku informacyjnego, powołując się na art. 14 ust. 5 lit b) RODO.

Zgodnie z dyspozycją ww. przepisu, administrator nie musi realizować obowiązku informacyjnego, w sytuacji gdy wymagałoby to z jego strony niewspółmiernie dużego wysiłku. Zdaniem Spółki wysłanie tradycyjnej korespondencji listowej do wszystkich osób, których adresów e-mail Spółka nie posiadała (czyli ponad sześć i pół miliona osób), wiązałoby się ze znacznymi kosztami finansowymi, które mogłyby doprowadzić nawet do utraty płynności finansowej przez Spółkę.

Decyzja Prezesa UODO

Zdaniem Prezesa UODO, w tym przypadku, samo umieszczenie informacji związanych z obowiązkiem informacyjnym na stronie internetowej spółki, nie może być uznane za wystarczające spełnienie obowiązku informacyjnego.

Prezes UODO stwierdził także, że w tej sprawie nie wystąpiła przesłanka wyłączająca obowiązek informacyjny w postaci „niewspółmiernie dużego wysiłku”. Uznano, że spółka posiadała już w bazie dane adresowe, więc nie musiała podejmować wysiłku celem ich odnalezienia. Zgodnie z uzasadnieniem Decyzji, konieczność poniesienia kosztów związanych z wypełnieniem obowiązku informacyjnego nie stanowi „niewspółmiernie dużego wysiłku”.

Prezes UODO odczytał wyjaśniania ukaranej spółki o wysokich kosztach korespondencji listowej, jako chęć uniknięcia dodatkowych kosztów związanych z obowiązkiem informacyjnym. Jego zdaniem, takie podejście nie współgra z koniecznością zapewnienia gwarancji odpowiedniego poziomu zabezpieczenia praw i wolności podmiotów, których dane są przetwarzane. Motywacja spółki została potraktowana jako okoliczność dodatkowo obciążająca w tym postępowaniu. Jak wskazano w uzasadnieniu Decyzji „Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa”.

Prezes UODO uznał ponadto, że naruszenie miało charakter umyślny. Z kolei blisko milionowa kara została uzasadniona tym, że „wysokość kary powinna być na tyle duża, żeby Spółka, jako ukarany podmiot nie wkalkulowała jej w koszty swojej działalności”. Poza administracyjną kara pieniężną, spółka została zobowiązana do wykonania ciążącego na niej obowiązku informacyjnego w terminie trzech miesięcy od dnia doręczenia jej Decyzji.

Podsumowanie

Komentowana Decyzja jest ostateczna, jednak Spółce przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w terminie 30 dni od dnia jej doręczenia. Wniesienie skargi jest wysoce prawdopodobne. Spółka, w oświadczeniu zamieszczonym na swojej stronie internetowej, stwierdziła, że nie zgadza się z Decyzją. W ewentualnym postępowaniu odwoławczym powinno zostać wyjaśnione pojęcie „nadmiernie wysokiego wysiłku”, gdyż nałożona kara wynika właśnie z odmiennego zrozumienia tego pojęcia przez organ i administratora danych. Wydaje się, że dobrym rozwiązaniem byłoby zwrócenie się w kwestii interpretacji tego pojęcia do Trybunału Sprawiedliwości Unii Europejskiej.