Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Obowiązki ADO

22-09-2020 Autor: Mateusz Kupiec

Mimo że rodo jest już stosowane od ponad 2 lat, ADO wciąż mają problem ze spełnieniem wszystkich wymogów nałożonych na nich przez unijnego prawodawcę. W związku z tym przyjrzymy się decyzjom europejskich organów nadzorczych, które poruszają ten problem.

 

Decyzja Izby Sądowej Gegevensbeschermingsautoriteit z 14 maja 2020 r., nr DOS-2019-01156
Belgijski organ nadzorczy po przeprowadzeniu kontroli nałożył na platformę społecznościową grzywnę w wysokości 50 000 euro za przetwarzanie danych osobowych w ramach programu poleceń bez odpowiedniej podstawy prawnej. Decyzja ta została podjęta w ramach mechanizmu one-stop-shop, polegającego na współpracy organów nadzorczych, których sprawa dotyczy, z organem wiodącym (art. 60 rodo). Głównym przedmiotem rozstrzygnięcia było zagadnienie istnienia podstawy prawnej dla przetwarzania danych osobowych użytkowników platformy oraz osób, które jeszcze z niej nie korzystają w związku z funkcjonowaniem mechanizmu „zaproś znajomych” (invite a friend). Mechanizm ten pozwala na wysyłanie zarówno obecnym członkom platformy, jak i osobom niebędącym jej członkami (nieużytkownikom) zaproszeń do nawiązania kontaktu. Ukarany podmiot uznał, że wystarczającą przesłanką legitymizującą oba działania jest wyłącznie udzielona zgoda obecnych użytkowników platformy.


Odnośnie do dopuszczalności przetwarzania danych osobowych nieużytkowników organ zwrócił uwagę, że zgoda musi być, co do zasady, wyrażona przez tę osobę, której dane dotyczą (wyjątkiem jest sytuacja przewidziana w art. 8 rodo). Tym samym ukarany podmiot nie mógł polegać na zgodzie uzyskanej od swoich użytkowników jako podstawie przetwarzania danych osobowych tych osób, które nie były członkami platformy i nigdy nie wyraziły zgody na przetwarzanie przez nią swoich danych kontaktowych.

 

W rozstrzygnięciu zbadano, czy prawnie uzasadniony interes administratora mógł stanowić potencjalną przesłankę dopuszczającą przetwarzanie danych osobowych nieużytkowników w analizowanej sprawie. Belgijski organ nadzorczy ostatecznie odrzucił tę możliwość, ponieważ w jego ocenie zakres przetwarzanych danych osobowych nieużytkowników przez platformę wykraczał poza informacje niezbędne do wysłania im zaproszeń. Zdaniem organu prawnie uzasadniony interes mógłby być podstawą do przetwarzania danych osobowych nieużytkowników w ramach podejścia compare and forget, które polega na wyselekcjonowaniu spośród danych kontaktowych użytkownika korzystającego z funkcji invite a friend wyłącznie innych osób korzystających z platformy i następnie wysłania do nich zaproszeń. Po przeprowadzeniu takiej procedury dane osobowe nieużytkowników powinny być automatycznie usuwane, gdy tylko okaże się, że użytkownik nie wybrał danej osoby w celu wysłania jej wiadomości z zaproszeniem.

 

Izba Sądowa Gegevensbeschermingsautoriteit uznała, że zgoda nie stanowi właściwej przesłanki przetwarzania danych osobowych użytkowników w tej sprawie. Zamiast tego ukarany podmiot mógł uzasadnić swoje działania na podstawie art. 6 ust. 1 lit. f rodo lub (potencjalnie) art. 6 ust. 1 lit. b rodo pod warunkiem, że użytkownicy platformy, do których miało zostać wysłane zaproszenie, nie byli domyślnie zaznaczeni (pre-ticked). W związku z tym jeśli usługodawca nadal nie chce przestać oferować mechanizmu invite a friend, powinien umożliwić użytkownikom wysyłanie zaproszeń tylko do wybranych osób, które również korzystają z danej platformy, i wyraźnie zaznaczyć, że to użytkownik jest odpowiedzialny za wybór odbiorców.

 

Ta decyzja sprawia, że działanie większości systemów powiadamiania znajomych w social mediach zgodnie z europejskim modelem ochrony danych staje się prawie niemożliwe. Jednym z głównych celów tej funkcji jest umożliwienie użytkownikowi zapraszania do kontaktu tych osób, które nie korzystają jeszcze z danej platformy społecznościowej.

 

[...]

 

Autor zajmuje się ochroną danych osobowych; współpracował m.in. z kancelarią Traple Konarski Podrecki i Wspólnicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.