22 listopada 2021 r. było dużo o funkcji i roli Inspektorów Ochrony Danych, dlaczego jest to nie łatwa funkcja i z iloma wyzwaniami się to wiąże.
Link do odcinka #7
Przebieg naszej rozmowy:
00:04:57 – Start, no i nie ma licznika „dislike” na YT
00:08:19 – kto to jest Inspektor Ochrony Danych, po co one jest i dlaczego i co takiego robi
00:14:03 – o kwalifikacjach, rekrutacjach i trudnościach w wykonywaniu funkcji IOD
00:23:51 – 3 sprawy przez TSUE w/s RODO
00:24:59 1) Sprawa C-340/21 https://tiny.pl/9ldnn 0
0:47:09 2) Sprawa C-252/21 https://tiny.pl/9ldn2
01:24:11 3) Sprawa C-453/21 https://tiny.pl/9ldn6 01:32:05 – Pytania dla IOD w newslettera UODO – PESEL jako login do systemu informatycznego
01:37:04 – Pytania dla IOD – Jakie dokumenty i przez jaki okres powinny być publikowane w BIP? Czy można łączyć funkcję IOD z zadani i związanymi z obsługą wniosków od sygnalistów?
01:50:27 – podsumowujemy i kończymy, czyli o tym jak fajnie jest być IOD’em 🙂
1. Czy art. 24 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że wystarczające jest zrealizowanie nieuprawnionego ujawnienia lub dostępu do danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 przez osoby, które nie są urzędnikami w administracji administratora danych osobowych i nie są pod jego kontrolą, aby przyjąć, że zastosowane środki techniczne i organizacyjne nie są odpowiednie?
2. Na wypadek udzielenia odpowiedzi przeczącej na pytanie pierwsze, jaki powinien być przedmiot i zakres sądowej kontroli zgodności z prawem przy weryfikacji, czy zastosowane przez administratora danych osobowych środki techniczne i organizacyjne, o których mowa w art. 32 rozporządzenia 2016/679, są odpowiednie?
4. Czy art. 82 ust. 3 rozporządzenia 2016/679 należy interpretować w ten sposób, że nieuprawnione ujawnienie lub dostęp do danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 – w niniejszym wypadku poprzez „atak hakerski” osób, które nie są urzędnikami w administracji administratora danych osobowych i nie są pod jego kontrolą – jest zdarzeniem, w odniesieniu do którego administrator danych osobowych w żaden sposób nie ponosi winy, i jest podstawą zwolnienia z odpowiedzialności?
1. Czy w sytuacji, gdy internauta korzysta ze stron internetowych lub aplikacji, które wiążą się z kryteriami z art. 9 ust. 1 RODO, takich jak aplikacje do flirtowania, portale randkowe dla gejów, strony internetowe partii politycznych, strony internetowe związane ze zdrowiem, w ten sposób, że albo tylko je wywołuje, albo również dokonuje tam wpisów, na przykład podczas rejestracji lub składania zamówienia, a inne przedsiębiorstwo, takie jak Facebook Ireland, za pośrednictwem interfejsów zintegrowanych ze stronami internetowymi i aplikacjami, takich jak „Facebook Business Tools”, lub za pośrednictwem plików cookie lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, gromadzi dane o wywołaniach stron internetowych i aplikacji przez użytkownika oraz o wpisach dokonanych tam przez użytkownika, łączy je z danymi konta Facebooka.com użytkownika i wykorzystuje, to gromadzenie i/lub łączenie i/lub wykorzystywanie stanowi przetwarzaniem danych wrażliwych w rozumieniu tego przepisu?
2. W przypadku udzielenia odpowiedzi twierdzącej: Czy wywołanie tych stron internetowych i aplikacji i/lub dokonywanie wpisów i/lub obsługa przycisków („wtyczek społecznościowych”, takich jak „Lubię to”, „Udostępnij”, „Facebook Login” lub „Account Kit”) zintegrowanych na tych stronach internetowych lub aplikacjach przez dostawcę takiego, jak Facebook Ireland, stanowi upublicznienie w sposób oczywisty danych dotyczących wywołania jako takiego i/lub wpisów dokonanych przez użytkownika w rozumieniu art. 9 ust. 2 lit. e) RODO?
3. Czy przedsiębiorstwo takie jak Facebook Ireland, które prowadzi finansowany z reklam cyfrowy portal społecznościowy i oferuje w swoich warunkach użytkowania personalizację treści i reklam, bezpieczeństwo sieci, ulepszanie produktów oraz ciągłe i niezakłócone korzystanie ze wszystkich produktów własnych grupy, może powołać się na uzasadnienie w postaci konieczności wykonania umowy zgodnie z art. 6 ust. 1 lit. b) RODO lub realizacji uzasadnionych interesów zgodnie z art. 6 ust. 1 lit. f) RODO, jeżeli w tym celu gromadzi dane z innych serwisów należących do koncernu oraz ze stron internetowych i [Or. 4] aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak „Facebook Business Tools”, lub za pośrednictwem plików cookie lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, łączy je z kontem użytkownika w serwisie Facebook.com i wykorzystuje?
4. Czy w takim przypadku również – niepełnoletniość użytkowników w celu personalizacji treści i reklam, ulepszania produktów, bezpieczeństwa sieci i komunikacji o charakterze niehandlowym z użytkownikiem, – świadczenie usług pomiarowych, analitycznych i innych usług biznesowych reklamodawcom, deweloperom i innym partnerom, aby umożliwić im ocenę i poprawę swoich usług, – przekazywania komunikacji marketingowej z użytkownikiem, aby przedsiębiorstwo mogło ulepszać swoje produkty i prowadzić marketing bezpośredni, – badania i innowacje na rzecz celów społecznych, aby wspierać rozwój stanu wiedzy lub zrozumienia naukowego w odniesieniu do ważnych kwestii społecznych oraz wywierać pozytywny wpływ na społeczeństwo i świat, – informowanie organów ścigania i organów wykonawczych oraz reagowanie na wnioski prawne w celu zapobiegania, wykrywania i ścigania przestępstw, niedozwolonego użytkowania, naruszeń warunków użytkowania i zasad oraz innych szkodliwych zachowań, mogą stanowić uzasadnione interesy w rozumieniu art. 6 ust. 1 lit. f) RODO, jeżeli przedsiębiorstwo w tym celu gromadzi dane z innych serwisów należących do holdingu oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak „Facebook Business Tools”, lub za pośrednictwem plików cookie lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty łączy je z kontem użytkownika w serwisie Facebook.com i wykorzystuje?
5. Czy w takim przypadku gromadzenie danych z innych serwisów należących do grupy oraz ze stron internetowych i aplikacji osób trzecich za pośrednictwem zintegrowanych z nimi interfejsów, takich jak „Facebook Business Tools”, lub za pośrednictwem plików cookie lub podobnych technologii przechowywania danych stosowanych na komputerze lub mobilnym urządzeniu końcowym internauty, połączenie z kontem użytkownika w serwisie Facebook.com i wykorzystanie lub wykorzystanie [Or. 5] już w inny sposób legalnie zgromadzonych i powiązanych danych w poszczególnych przypadkach może być również uzasadnione na podstawie art. 6 ust. 1 lit. c), d) i e) RODO, na przykład w celu odpowiedzi na zgodny z prawem wniosek o określone dane[lit. c)], w celu zwalczania szkodliwych zachowań i wspierania bezpieczeństwa (lit. d)), w celu prowadzenia badań na rzecz społeczeństwa oraz wspierania ochrony, integralności i bezpieczeństwa [lit. e)]?
6. Czy można wyrazić wobec przedsiębiorstwa, zajmującego pozycję dominującą na rynku, jakim jest Facebook Ireland, skuteczną, w szczególności zgodnie z art. 4 pkt 11 RODO dobrowolną zgodę w rozumieniu art. 6 ust. 1 lit. a), 9 ust. 2 lit. a) RODO? Jeżeli na pytanie 1 należy udzielić odpowiedzi przeczącej
Przedmiot postępowania głównego
Odwołanie powoda z funkcji inspektora ochrony danych, ze względu na to, że był on jednocześnie przewodniczącym rady zakładowej i inspektorem ochrony danych w pozwanym przedsiębiorstwie. Kwestia ewentualnej niepołączalności tych funkcji, a tym samym istnienia „ważnego” powodu uzasadniającego odwołanie. Kwestia, czy bardziej rygorystyczne wymogi dla odwołania na gruncie prawa krajowego są zgodne z prawem Unii.
Pytania prejudycjalne
1. Czy art. 38 ust. 3 zdanie drugie rozporządzenia (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, zwanego dalej „RODO”) należy interpretować w ten sposób, że sprzeciwia się on przepisowi prawa krajowego, takiemu jak w niniejszej sprawie § 38 ust. 1 i 2 w związku z § 6 ust. 4 zdanie pierwsze Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych, zwanej dalej „BDSG”), który uzależnia możliwość odwołania inspektora ochrony danych przez administratora danych, będącego jego pracodawcą, od spełnienia określonych w tym przepisie przesłanek, niezależnie od tego, czy odwołanie to następuje z powodu wypełniania jego zadań?
2. W przypadku odpowiedzi twierdzącej na pytanie pierwsze: 2. Czy art. 38 ust. 3 zdanie drugie RODO sprzeciwi się takiemu przepisowi prawa krajowego również wtedy, gdy wyznaczenie inspektora ochrony danych nie jest obowiązkowe na podstawie art. 37 ust. 1 RODO, lecz wyłącznie na podstawie prawa państwa członkowskiego?
3. W przypadku odpowiedzi twierdzącej na pytanie pierwsze: 3. Czy art. 38 ust. 3 zdanie drugie RODO jest oparty na wystarczającej podstawie prawnej, w szczególności w zakresie, w jakim obejmuje inspektorów ochrony danych pozostających w stosunku pracy z administratorem?
4. W przypadku odpowiedzi przeczącej na pytanie pierwsze: 4. Czy istnieje konflikt interesów w rozumieniu art. 38 ust. 6 zdanie drugie RODO, jeśli inspektor ochrony danych zajmuje również stanowisko przewodniczącego rady zakładowej utworzonej w przedsiębiorstwie administratora? Czy dla przyjęcia, że taki konflikt interesów istnieje, wymagany jest szczególny podział zadań w radzie zakładowej?
1. Czy art. 38 ust. 3 zdanie drugie rozporządzenia (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych; zwanego dalej „RODO”) należy interpretować w ten sposób, że stoi on na przeszkodzie przepisowi prawa krajowego, takiemu jak sporny w niniejszej sprawie § 38 ust. 1 i ust. 2 w zw. z § 6 ust. 4 zdanie drugie Bundesdatenschutzgesetz (BDSG), na mocy którego niedozwolone jest wypowiedzenie w zwyczajnym trybie stosunku pracy inspektora ochrony danych przez administratora będącego jego pracodawcą, niezależnie od tego, czy następuje ono z powodu wykonywania jego zadań?
2. Czy art. 38 ust. 3 zdanie drugie RODO stoi na przeszkodzie przepisowi prawa krajowego również w wypadku, gdy wyznaczenie inspektora ochrony danych nie jest obligatoryjne na podstawie art. 37 ust. 1 RODO, lecz jedynie na podstawie prawa państwa członkowskiego?
3. W razie udzielenie odpowiedzi twierdzącej na pytanie pierwsze: 3. Czy art. 38 ust. 3 zdanie drugie RODO jest oparty na wystarczającej podstawie upoważniającej, w szczególności w zakresie, w jakim obejmuje inspektorów ochrony danych pozostających w stosunku pracy z administratorem?