1. Program prac EROD na lata 2021-2022 – 11 marca 2021 r.

Podczas 46. posiedzenia plenarnego EROD, które odbyło się 9 marca 2021 r., przyjęte zostały takie dokumenty jak: program prac Europejskiej Rady Ochrony Danych na lata 2021-2022, oświadczenie dotyczące rozporządzenia ws. prywatności i łączności elektronicznej, wytyczne ws. wirtualnych asystentów głosowych, a także wytyczne ws. pojazdów połączonych.

Oświadczenie dotyczące rozporządzenia ws. prywatności i łączności elektronicznej (rozporządzenia e-Privacy)

EROD za pozytywny krok na drodze do finalizacji rozporządzenia w sprawie prywatności i łączności elektronicznej uznała przyjęcie porozumienia w sprawie mandatu negocjacyjnego Rady UE.

Wytyczne ws. wirtualnych asystentów głosowych

Przyjęte wytyczne mają na celu ustalenie najistotniejszych wyzwań związanych z przestrzeganiem przepisów przez wirtualnych asystentów głosowych oraz przedstawienie zainteresowanym stronom zaleceń, jak sobie z nimi radzić. Wytyczne zostaną przekazane do publicznych konsultacji.

Wytyczne ws. pojazdów połączonych po konsultacjach publicznych

Ostateczna wersja wytycznych koncentruje się na przetwarzaniu danych osobowych w związku z nieprofesjonalnym użytkowaniem pojazdów połączonych przez osoby, których dane dotyczą.

https://uodo.gov.pl/pl/138/1959

2. Opinia EROD i EIOD dotycząca rozporządzenia w sprawie zarządzania danymi – 17 marca 2021 r.

Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęli wspólną opinię dotyczącą rozporządzenia w sprawie zarządzania danymi. Rozporządzenie ma na celu zwiększenie dostępności danych poprzez podniesienie poziomu zaufania do pośredników w zakresie danych oraz wzmocnienie mechanizmów udostępniania danych w całej Unii Europejskiej.

EROD i EIOD uznają za uzasadniony cel rozporządzenia poprawę warunków udostępniania danych na rynku wewnętrznym. Jednocześnie ochrona danych osobowych jest zasadniczym i integralnym elementem zaufania w gospodarce cyfrowej. W szczególności celem rozporządzenia jest promowanie udostępniania danych sektora publicznego do ponownego wykorzystania. Ma ono także służyć udostępnianiu danych między przedsiębiorstwami oraz wykorzystywaniu danych osobowych z pomocą „pośrednika w udostępnianiu danych osobowych”. Rozporządzenie ma również umożliwić wykorzystywanie danych z pobudek altruistycznych.

W tej wspólnej opinii EROD i EIOD wzywają współustawodawców do zapewnienia pełnej zgodności przyszłego rozporządzenia w sprawie zarządzania danymi z prawodawstwem UE w zakresie ochrony danych osobowych, co zwiększy zaufanie do gospodarki cyfrowej i utrzyma stopień ochrony przewidziany w prawie Unii pod nadzorem organów nadzorczych państw członkowskich.

https://uodo.gov.pl/pl/138/1962

3. Wniosek UODO o pomoc ws. Vinted – 30 marca 2021 r.

Powodem skierowania wniosku UODO do litewskiego organu nadzorczego są liczne sygnały, jakie wpływają do UODO, m.in. za pośrednictwem infolinii, dotyczące żądania przedstawienia kopii dowodów osobistych przez ten portal.

Operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie. Z tego powodu UODO – w ramach mechanizmu wzajemnej współpracy – wystąpił z wnioskiem w trybie art. 61 RODO do Państwowego Inspektoratu Ochrony Danych (litewskiego organu nadzorczego) o wszczęcie postępowania z urzędu lub przeprowadzenie kontroli w firmie Vinted UAB w celu dostosowania operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO).

We wniosku o wzajemną pomoc z dnia 24 marca 2021 r. UODO wskazał m.in. na konieczność: ustalenia podstawy prawnej przetwarzania danych osobowych przez operatora platformy Vinted.pl (w szczególności danych zawartych w polskich dowodach osobistych), zbadania zakresu i rodzaju przetwarzanych danych osobowych, a także sposobu oraz celu zbierania i udostępniania danych osobowych. We wniosku UODO zwróciło także uwagę na konieczność zweryfikowania, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień ochrony danych.

Organ litewski powinien udzielić odpowiedzi na wniosek UODO bez zbędnej zwłoki i nie później niż w terminie miesiąca od otrzymania wniosku.

https://uodo.gov.pl/pl/138/1978 

4. Opinia EROD i EIOD w sprawie zielonego zaświadczenia cyfrowego – 7 kwietnia 2021 r.

Podczas 47. posiedzenia plenarnego, które odbyło się w dniach 30-31 marca 2021 r., Europejska Rady Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęli wspólną opinię dotyczącą Wniosków w sprawie zielonego zaświadczenia cyfrowego.

Celem zielonego zaświadczenia cyfrowego jest ułatwienie korzystania z prawa do swobodnego przemieszczania się w Unii Europejskiej w czasie pandemii COVID-19 poprzez ustanowienie wspólnych ram dla wydawania, weryfikowania i uznawania zaświadczeń o szczepieniu, wyniku testu i o powrocie do zdrowia.

We wspólnej opinii EROD i EIOD wezwały współprawodawców do zapewnienia, że zielone zaświadczenie cyfrowe jest w pełni zgodne z unijnymi przepisami o ochronie danych osobowych. Komisarze ochrony danych z całej UE i Europejskiego Obszaru Gospodarczego podkreślają potrzebę zmniejszenia zagrożeń dla podstawowych praw obywateli i mieszkańców UE, które mogą wynikać z wydania zielonego zaświadczenia cyfrowego, w tym jego ewentualnych niezamierzonych wtórnych zastosowań.

Zdaniem EROD i EIOD użycie zielonego zaświadczenia cyfrowego nie może w żaden sposób prowadzić do bezpośredniej lub pośredniej dyskryminacji osób fizycznych i musi być w pełni zgodne z podstawowymi zasadami niezbędności, proporcjonalności i skuteczności. Biorąc pod uwagę charakter środków zaproponowanych we wniosku, EROD i EIOD uważają, że wprowadzeniu zielonego zaświadczenia cyfrowego powinny towarzyszyć kompleksowe ramy prawne.

Co więcej, EROD i EIOD wyraźnie zaznaczają także, że stosowanie zielonego zaświadczenia cyfrowego musi być ściśle ograniczone na czas trwania kryzysu związanego z COVID-19, a wszelki dostęp do danych osób fizycznych zebranych w związku z tym zaświadczeniem oraz ich późniejsze wykorzystanie przez państwa członkowskie po zakończeniu pandemii jest niedozwolone.

https://uodo.gov.pl/pl/138/1995

5. Wzrost naruszeń dotyczących ochrony danych w Wielkiej Brytanii w czasie pandemii

Według Security Magazine, naruszenia bezpieczeństwa w korporacjach w Wielkiej Brytanii wzrosły o ok. 20% od momentu, gdy firmy przestawiły się na pracę zdalną z powodu pandemii. Ponadto wykazało że 44% firm zanotowało sytuację, w których byli pracownicy próbowali uzyskać dostęp do ich baz danych. Najwięcej firm (aż 56%) przyznało, iż próby uzyskania dostępu do prywatnych czatów są najbardziej powszechne.  

6. Kara pieniężna za naruszenia przepisów RODO w Wielkiej Brytanii

Organ nadzorczy ds. ochrony danych osobowych w Wielkiej Brytanii nałożył karę w łącznej wysokości  £ 330 000 na dwie niezwiązane ze sobą firmy (Leads Works Ltd oraz Valca Vehicle Ltd) za wysłanie ponad 2,7 miliona wiadomości tekstowych (spam) podczas pandemii.

W wyniku przesłanych w sposób nieuprawniony komunikatów marketingowych, organ odnotował aż ponad 10.000 skarg od podmiotów danych. W związku z powyższym organ wszczął postępowanie kontrolne, które zakończyło się wydaniem decyzji o nałożeniu kary pieniężnej.