Ochrona danych osobowych w firmie i szkolenia ABI
Grudniowy Newsletter UODO

Grudniowy Newsletter UODO

Zrzut ekranu 2021-11-23 o 17.20.58

Dlaczego rodzic nie musi podawać powodu nieobecności dziecka, gdy go usprawiedliwia, jak zmienią się obwieszczenia komornicze o terminie i oszacowaniu nieruchomości czy zapis audio rozmowy z klientem to przetwarzanie danych klienta? Na te i inne pytania znajdzie odpowiedź w grudniowym newsletterze UODO.

Mniej danych w obwieszczenia komorniczych

Minister Sprawiedliwości podziela opinię Urzędu Ochrony Danych Osobowych w sprawie ujawniania nadmiarowego zakresu danych w obwieszczenia komorniczych o terminie opisu i oszacowania nieruchomości w rozumieniu art. 945 § 2 Kodeksu postępowania cywilnego.
Komornik wzywa ponadto przez obwieszczenie publiczne w budynku sądowym i lokalu wójta (burmistrza, prezydenta miasta) oraz na stronie internetowej Krajowej Rady Komorniczej uczestników, o których nie ma wiadomości, oraz inne osoby, które roszczą sobie prawa do nieruchomości i przedmiotów razem z nią zajętych, aby przed ukończeniem opisu i oszacowania zgłosiły swoje prawa.
Organ nadzorczy zalecił w swojej opinii określenie niezbędnego zakresu informacji zamieszczanych w obwieszczenia, okresu publikacji obwieszczeń oraz podmiotu odpowiedzialnego za ich usunięcie. Obecne brzmienie przepisu według UODO jest zbyt ogólne, co prowadzi do upubliczniania przez komorników nadmiarowych danych, przy czym często to ma miejsce przez nieokreślony czas, co jest niezgodne z art. 5 ust. 1 RODO.
Wraz ze zmianą art. 945 § 2 KPC, Minister Sprawiedliwości zapowiedział pracę nad art. 953 § 1 KPC, aby zachować spójność w regulacji.

Nie ma podstaw do żądania podania przyczyny nieobecności

Forma i termin usprawiedliwiania nieobecności ucznia w szkole jest na podstawie art. 99 ustawy Prawo Oświatowe regulowane przez statut szkoły. Uprawnienia wynikające z ustawy nie dają jednak pełnej swobody przy ustalaniu zasad usprawiedliwiania nieobecności, w tym zakresu danych potrzebnego do usprawiedliwienia nieobecności, ponieważ zasady przetwarzania danych są regulowane przez zasady RODO.

Narzucanie obowiązku podania przyczyny nieobecności, może prowadzić do pozyskania przez szkołę danych szczególnych kategorii, które muszą być przetwarzane na szczególnych zasadach, w związku z czym statut szkoły w regulacjach dotyczących usprawiedliwiania nieobecności musi wziąć zasady przetwarzania danych osobowych wynikających z RODO np. minimalizacji danych, czyli że dane muszą być stosowane, adekwatne i ograniczone do tego, co niezbędne, do celów, w którym są przetwarzane. Podanie przyczyny nieobecności przez rodzica bądź opiekuna prawnego jest całkowicie dobrowolne i nie może być podważane przez szkołę, ponieważ nie ma podstawy prawnej do takiego żądania. Szkoła, zauważając systematyczną usprawiedliwioną nieobecność ucznia, może skontaktować się z rodzicem i poinformować o swoich spostrzeżeniach, bądź może zgłosić podejrzenie braku realizacji obowiązku szkolnego do sądu rodzinnego.

Ruszyły prace nad stworzeniem kodeksu postępowania dla jednostek samorządu administracyjnego

O zawiązaniu prac nad tą inicjatywą poinformował Związek Województw RP. W pierwszej kolejności środowisko tworzące kodeks musi określić swoje potrzeby i skonsultować je wewnętrznie, aby następnie przygotować projekt kodeksu, który musi przejść publiczne konsultacje oraz musi mieć określony sposób monitorowania.

UODO nie bierze udziału w tworzeniu kodeksu, ale istnieje możliwość konsultacji w celu omówienia zasad i procedur z tym związanych. Dopiero w następnym etapie prac zajmuje się oceną projektu kodeksu. Najpierw bada się czy projekt spełnia wymogi formalne i kryteria dopuszczalności z Wytycznych nr 1/2019 Europejskiej Rady Ochrony Danych dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/6792. Następnie przechodzi się do oceny merytorycznej.

Czas na aktualizację standardowych klauzul umownych dotyczących przekazywanych danych do państw trzecich

Do 27 grudnia 2022 roku podmioty przekazujące dane do krajów spoza Europejskiego Okręgu Gospodarczego lub organizacji międzynarodowych powinny zawrzeć umowy z aktualnymi klauzulami, które obowiązują od czerwca 2021 roku.
Nowe klauzule odnoszą się scenariuszy przekazywania danych takich jak:

  • Przekazywania danych między administratorami
  • Przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
  • Przekazywania między podmiotami przetwarzającymi
  • Przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim

UODO przypomina, że nowe klauzule nie wyłączają konieczności oceny planowego transferu danych zgodnie z wyrokiem TSUE w sprawie Schrems II i jeżeli to konieczne środków uzupełniających do standardowych klauzul.

Przechowywanie nagrania rozmowy telefonicznej z klientem oznacza przetwarzanie danych tej osoby

Takie stwierdzenie wynika z decyzji Prezesa UODO w której nakazał spełnienie obowiązku informacyjnego wynikającego z RODO poprzez dostarczenie kopii jego danych osobowych utrwalonych w nagraniu rozmowy audio z konsultantem.
Przed wydaniem decyzji skarżący kilkukrotnie zwracał się do administratora o udostępnienie kopii zapisu rozmowy audio z konsultantem, co spotykał się wciąż z odmową ze strony administratora, który uzasadniał, że pozyskał te dane wprost od klienta w związku z korzystaniem produktów i jedyna możliwość udostępnienia jest w formie zapisu tekstowego.

Jak wskazują przepisy:

Art. 15 ust. 3 RODO
Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.
Art. 12 ust. 3 RODO
Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Kary

Francja: Clearview AI zostało ukarane karą w wysokości 20 mln euro. Powodem nałożenia najwyższej możliwej kary było niezastawanie się wezwania francuskiego organu nadzorczego do zaprzestania zbierania i wykorzystywania danych osobowych bez podstawy prawnej na terenie Francji oraz zastosowania się do wniosków osób fizycznych o usuniecie ich danych.
Słowenia: organ nadzorczy nakazał zaprzestanie przetwarzania przez podmiot danych pracowników zbieranych przez GPS. Powodem tej decyzji był brak prawnie uzasadnionego interesu oraz złamanie zasady minimalizacji danych.

Jan Podlasiewski

Młodszy prawnik