W lipcowym przeglądzie wiadomości od Urzędu Ochrony Danych Osobowych zostają poruszone takie kwestie jak zgodna na przetwarzanie danych dla strażaków OSP, prace nad kodeksem postępowania dotyczącego ochrony danych osobowych, prawidłowym sposobie zawiadamiania prezesa UODO w kwestiach IOD i kary nałożone w państwach UE.
Deklarację takiej zmiany w przepisach złożyli przedstawiciele MSWiA. Powodem takiego działania jest niedostosowanie przepisów z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 2 lutego 2022 roku w sprawie wniosku o przyznanie świadczenia ratowniczego, będącego aktem wykonawczym do ustawy z dnia 17 grudnia 2021 r. o ochotniczych strażach pożarnych; do przepisów RODO. Problemem jest załącznik, który zawiera wniosek o przyznanie świadczenia ratowniczego, a dokładnie klauzula zgody na przetwarzanie danych osobowych. Są dwa podstawowe powody niezgodności tej klauzuli z RODO. Po pierwsze, gdy podstawą przetwarzania danych jest przepis prawa, zgodna nie może legalizować takiego przetwarzania, ponieważ taka sytuacja, gdzie naraz istnieją dwie podstawy przetwarzania, uderza nie tylko w zasadę przejrzystości prawa, ale również w zasadę legalizmu i rzetelności. Po drugie zgoda nie może zostać uznana za dobrowolną, jeżeli osoba, której dane dotyczą, nie ma wolnego lub rzeczywistego wyboru oraz nie może odmówić zgody bez niekorzystnych konsekwencji.
Inicjatorem tego przedsięwzięcia jest grupa Inspektorów Ochrony Danych z sądów apelacyjnych i rejonowych, która przy pomocy UODO podjęła się stworzenia ujednoliconego, a zarazem zgodnego z RODO wzorca postępowania. Jak sami zainteresowani wskazują, przez to, że działa wielu administratorów i niezależnych jednostek, często spotykali się z różnym podejściem do takich samych lub podobnych spraw, co spowodowało, że wyszli z inicjatywą kodeksu. Jego zakresem chcą objąć jak najwięcej zagadnień, więc jako podstawa mają posłużyć prowadzone w sądach rejestry czynności przetwarzania danych osobowych. Inicjatorzy wspomnieli również, że zależy im, aby treści zawarte w kodeksie były zrozumiałe dla osób, których dane są przetwarzane przez sądy.
Mimo że przepisy jasno wskazują, że wszelkie powiadomienia o powoływaniu i odwoływaniu Inspektora Ochrony Danych lub jego zastępcy powinny być kierowane do Prezesa UODO w postaci elektronicznej, to wciąż UODO spotyka się z zawiadomieniami w innej postaci, które ex lege są nieskuteczne. Dotyczy to nie tylko powoływania, odwoływania, zmiany zgłaszanych danych IOD lub jego zastępcy na podstawie art. 10 i art. 11a ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ale również wyznaczania IOD lub jego zastępcy na podstawie art. 46 ust. 9 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Dla obu przypadków jednym prawidłowym sposobem powiadomienia jest przesłanie zawiadomienia w formie elektronicznej opatrzone elektronicznym podpisem kwalifikowanym lub profilem zaufanym ePUAP. W przypadku gdy zawiadomienie jest składane przez pełnomocnika, konieczne jest załączenie jego pełnomocnictwa w postaci elektronicznej do pisma.
Więcej informacji znajdziecie TUTAJ.
Włochy: w wyniku kontroli przeprowadzanych przez włoski organ nadzorczy wykryto przewinienie związane z systemem zgłaszania naruszeń, polegających między innymi na śledzeniu przez system połączeń z aplikacją i przechowywaniu w dziennikach zapory sieciowej, przez co można było śledzić potencjalnych sygnalistów. Ponadto nie przeprowadzono oceny skutków dla ochrony danych oraz przy zmianie osobowej na pozycji kierownika ds. korupcji doszło do nieuprawnionego dostępu do systemu naruszeń. Również wiele zastrzeżeń organu wzbudził dostawca usługi informatycznej, zwłaszcza nieustanowienie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego bezpieczeństwa przetwarzania danych. Szpital i dostawca usług informatycznych ukarano grzywną 40 tys. euro.
Węgry: organ nadzorczy nałożył karę w wysokości 650 tys. euro na firmę świadczącą elektroniczną obsługę klienta, za poważne i długotrwałe łamanie przepisów RODO. Naruszenie polegało na rejestrowaniu rozmów oraz przetwarzaniu ich przez sztuczną inteligencję, która na podstawie słów kluczy odgadywała stan emocjonalny klienta w trakcie rozmowy, a następnie ocena tego stanu wraz z rozmową była przechowywana przez 45 dni w systemie. Analizę tworzono w celu tworzenia listy niezadowolonych klientów, z którymi kontaktował się później dział obsługi klienta w celu ocenienia powodów niezadowolenia, przy czym osoby, które nie zakwalifikowały się do tej listy, nie były informowane o przetwarzaniu ich danych. W ocenie organu przetwarzanie danych przez sztuczną inteligencję wiąże się z dużym zagrożeniem dla praw i wolności osób, których te prawa dotyczą i wymaga wyjątkowych zabezpieczeń, których w tym przypadku nie było.
Islandia: spółka HEI ehf została ukarana za pozyskanie adresów email z wewnętrznej strony Islandzkiego Stowarzyszenia Medycznego i wykorzystania jej do stworzenia listy mailingowej oraz za nierozpatrzenie zgodnie z prawem wniosku o dostęp skarżącego.