RODO aktualności – 29.06.2021 r.

• Prezes UODO nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych
• powodem nałożenia kary pieniężnej jest naruszenie przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji (UE) w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej
• w świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone
• na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin
• decyzja dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO – postępowaniem objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia

• spółka w postępowaniu wyjaśniła, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji
• organ wskazał jednak, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego – zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia, a UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu

Źródło: https://uodo.gov.pl/pl/138/2082 https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020

• Funeda Sp. z o.o. naruszyła przepisy RODO poprzez brak współpracy z Urzędem Ochrony Danych Osobowych – na spółkę została nałożona administracyjna kara pieniężna w wysokości ponad 22 tysięcy złotych
• brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego
• UODO dwukrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy – spółka pomimo odbioru korespondencji do chwili obecnej nie udzieliła żadnej odpowiedzi na pisma skierowane do nie
• w związku z nieudzielaniem informacji w sprawie, UODO wszczęło postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej
• spółka pomimo prawidłowego zawiadomienia przez organ nadzorczy, wraz z pouczeniem o przysługującym jej prawie do wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań, także i w tym przypadku nie podjęła żadnych czynności zmierzających do wyjaśnienia sprawy
• UODO wielokrotnie podejmował próby kontaktu telefonicznego i mailowego ze spółką w oparciu o dane zawarte na stronie internetowej – do dnia wydania decyzji spółka nie skontaktowała się z organem

Źródło: https://uodo.gov.pl/pl/138/2080

• UODO zwrócił się do Prezesa GUS, aby GUS jako administrator danych osobowych, zapewnił respondentom przejrzystość dedykowanego spisowi internetowemu formularza w zakresie wskazania podstaw prawnych przetwarzania danych osobowych
• UODO nie kwestionuje istnienia podstaw prawnych do pozyskiwania danych osobowych, w tym numeru PESEL przez GUS w celu prowadzenia spisu powszechnego ludności – o ile następuje to dla realizacji obowiązków wyznaczonych przepisami prawa i w granicach obowiązujących przepisów
• przyznaje zaś że konstrukcja przepisów prawa stanowiących podstawę do gromadzenia tych danych, może budzić wątpliwości respondentów dokonujących samospisu
• organ nadzorczy podkreślił, że ważne jest, aby przy „pracach spisowych” działać z poszanowaniem zasad wynikających z RODO a więc dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
• Prezes GUS w odpowiedzi na wystąpienie wskazał, że w celu zapewnienia większej przejrzystości dotyczącej podstaw prawnych przetwarzania danych osobowych, w tym numerów PESEL, w klauzulach informacyjnych zostały uzupełnione zapisy określające podstawy prawne przetwarzania danych osobowych

Źródło: https://uodo.gov.pl/pl/138/2071

• w 2015 r. belgijska Komisja ds. Ochrony Prywatności (KOP) wystąpiła do sądu w Brukseli przeciwko Facebook Ireland, Facebook Inc. i Facebook Belgium z powództwem o zaniechanie mającym na celu położenie kresu naruszeniom przepisów dotyczących ochrony danych, których miał dopuszczać się Facebook
• naruszenia te polegały na gromadzeniu i wykorzystywaniu informacji o internautach belgijskich, niezależnie od tego, czy posiadali oni konto na Facebooku, przy użyciu różnego rodzaju technologii (pliki cookie, wtyczki społecznościowe, piksele monitorujące, etc.)
• w 2018 r. sąd uznał, że sieć społecznościowa Facebook nie informowała dostatecznie belgijskich internautów o gromadzeniu i wykorzystaniu danych na ich temat – ponadto uznał on za nieważną udzielaną przez internautów zgodę na gromadzenie i przetwarzanie informacji
• Facebook Ireland, Facebook Inc. i Facebook Belgium zaskarżyły to rozstrzygnięcie do sądu apelacyjnego, podważając kompetencje belgijskiego regulatora do wnoszenia skargi w tej sprawie
• wprawa trafiła do TSUE, który uznał, że RODO pod określonymi warunkami zezwala na wykonywanie przez krajowy organ nadzorczy danego państwa członkowskiego przysługujących mu uprawnień do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami tego państwa członkowskiego i do wszczęcia postępowania sądowego w przedmiocie transgranicznego przetwarzania danych

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8191368,tsue-facebook-dane-osobowe-belgia.html https://www.prawo.pl/prawo/kontrola-ochrony-danych-osobowych-w-facebooku-przez-belgijski,508861.html

• sprawy dotyczące transgranicznego transferu danych RODO przekazało w gestię wiodących organów ochrony, czyli w tych państwach, w których dana firma ma swoją główną siedzibę
• giganci tacy jak Google, Microsoft czy Apple siedziby mają w Irlandii, co oznacza, że to tamtejszy organ powinien rozstrzygać problemy związane z przekazywaniem danych do USA
• Czy jednak oznacza to, że inne organy nie mają w tym zakresie żadnych uprawnień? Przyjęcie takiej wykładni oznaczałoby w praktyce, że krajowe instytucje, w tym polski Urząd Ochrony Danych Osobowych, pełnią, co do zasady, funkcję pomocniczą
• Trybunał Sprawiedliwości Unii Europejskiej przyznał, że główne kompetencje rzeczywiście ma organ irlandzki – pozostałe mogą jednak interweniować w drodze wyjątku
• TSUE wskazał jednocześnie, że wiodący organ nadzorczy nie może zignorować opinii innych organów nadzorczych, których sprawa dotyczy, zaś wszelkie mające znaczenie dla sprawy i uzasadnione sprzeciwy ze strony któregokolwiek z tych organów skutkują zablokowaniem, przynajmniej czasowo, możliwości przyjęcia projektu decyzji przez wiodący organ nadzorczy

Źródło https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8191697,transgraniczny-transfer-danych-rodo.html

• CD Projekt powiadomił, że podczas lutowego ataku hakerów na firmowe serwery mogły zostać wykradzione nie tylko kody źródłowe gier, takich jak Cyberpunk 2077 i Wiedźmin 3, ale też dane osobowe pracowników
• „W tym momencie nie jesteśmy w stanie potwierdzić dokładnej treści skradzionych danych, ale mamy podstawy sądzić, że poza danymi gier CD Projekt RED mogą to być również dane osobowe naszych obecnych oraz byłych pracowników lub współpracowników” – powiadomiła firma w komunikacie prasowym
• firma wyjaśniła, że współpracuje ze służbami i organami ścigania, a także skontaktowała się z Interpolem i Europolem oraz zaktualizowała informacje przekazywane Prezesowi UODO w lutym tego roku
• Cyberatak na CD Projekt miał miejsce w lutym 2021 r. – hakerzy włamali się na serwery firmy i uzyskali dostęp do kodów źródłowych m.in. gier Cyberpunk 2077 i Wiedźmin 3, a w wiadomości przesłanej firmie hakerzy powiadomili, że wykradli również wszystkie dokumenty powiązane z księgowością, administracją, działem prawnym i HR oraz dotyczące relacji inwestorskich

Źródło: https://next.gazeta.pl/next/7,151003,27187316,cyberatak-na-cd-projekt-hakerzy-mogli-wykrasc-dane-pracownikow.html

• w najnowszym, czerwcowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

ŚWIADECTWO PRACY DLA CUDZOZIEMCA

• gdy przekazanie danych osobowych do państwa trzeciego jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń, możliwe jest skorzystanie z wyjątku, o którym mowa w art. 49 ust. 1 lit. e RODO

GDY ORGAN PODATKOWY ŻĄDA UDOSTĘPNIENIA INDYWIDUALNEGO PROGRAMU REHABILITACJI PRACOWNIKA NIEPEŁNOSPRAWNEGO

• organy podatkowe są uprawnione do żądania udostępnienia określonych dokumentów i informacji, ale powinny przetwarzać dane adekwatne do określonego celu
• w każdym przypadku należy analizować, czy żądany zakres informacji, w tym danych osobowych, jest niezbędny w celu wyjaśnienia danej sprawy

UPOMNIENIE ZA NARUSZENIE ZASADY MINIMALIZACJI DANYCH W POSTĘPOWANIU PODATKOWYM

• za umieszczenie w wezwaniach świadków w postępowaniu podatkowym adresu nieruchomości, której sprawa dotyczyła, Prezes UODO udzielił zarządowi związku międzygminnego upomnienia
• Prezes UODO uznał, że w ten sposób naruszona została zasada minimalizacji danych

BĘDZIE ANONIMIZACJA DECYZJI W POSTĘPOWANIU W SPRAWIE ZAWARCIA UMOWY O UDZIELANIE ŚWIADCZEŃ OPIEKI ZDROWOTNEJ

• trwają prace nad nowelizacją ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz ustawy Prawo farmaceutyczne. Jedna z projektowanych zmian dotyczy dokonywania anonimizacji decyzji dotyczących rozpatrzenia odwołania od rozstrzygnięcia postępowania w sprawie zawarcia umowy o udzielanie świadczeń opieki zdrowotnej

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Czy administrator jest zobowiązany na podstawie RODO do zapewnienia inspektorowi zespołu IOD?

• RODO nakłada na administratora (kierownictwo podmiotu będącego administratorem) określone, bardzo konkretne obowiązki wobec funkcjonującego w jego organizacji inspektora ochrony danych
• takim konkretnym obowiązkiem nałożonym na administratora, jest udzielanie IOD wsparcia w wypełnianiu przez niego zadań (o których mowa w art. 39 RODO), zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej zgodnie z art. 38 ust. 2 RODO
• administrator wyznaczając na inspektora daną osobę powinien wspólnie z nią określić zasady dotyczące zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomocy w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów

Jaka powinna być podstawa prawna przetwarzania danych osobowych osób wystawiających referencje?

• podstawą przetwarzania danych osoby trzeciej udzielającej rekomendacji jest (przy spełnieniu warunków określonych w tym przepisie) art. 6 ust. 1 lit. f RODO
• prawnie uzasadniony interes pracodawcy związany będzie z możliwością wykorzystania informacji zawartych w treści referencji

Źródło: https://uodo.gov.pl/pl/223/2049 https://uodo.gov.pl/pl/225/2051

• nowe standardowe klauzule umowne dotyczące przekazywania danych poza Europejski Obszar Gospodarczy dostosowane do RODO i do bardziej złożonego transferu danych, w którym często uczestniczą nie dwa, a kilka różnych podmiotów
• 27 czerwca 2021 r. wejdzie życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich
• standardowe klauzule umowne stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO, które umożliwiają przekazywanie danych poza Europejski Obszar Gospodarczy
• standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych, tj. do:

1. przekazywania danych między administratorami
2. przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
3. przekazywania między podmiotami przetwarzającymi
4. przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim

• wcześniejsze decyzje Komisji Europejskiej, tj. decyzja 2001/497/WE i decyzja 2010/87/UE tracą moc od 27 września 2021 r.
• jednocześnie umowy zawarte przed 27 września 2021 r. na podstawie wcześniejszych decyzji KE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 RODO do 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń
• zastosowanie nowych standardowych klauzul umownych nie wyłącza konieczności oceny planowanego transferu pod kątem zapewnienia zgodności z wyrokiem TSUE w sprawie Schrems II i ewentualnego wdrożenia środków uzupełniających standardowe klauzule umowne

Źródło: https://uodo.gov.pl/pl/138/2085

• osoby wchodzące na koncert, do sklepu czy hotelu nie mogą być zmuszane do okazywania dowodów zaszczepienia uważa Prezes Urzędu Ochrony Danych Osobowych – trudno więc będzie wykroczyć poza limity pandemiczne, chyba że widzowie czy klienci sami, z własnej woli, będą chcieli udowodnić, że są zaszczepieni
• „Ponieważ informacje o zaszczepieniu są danymi dotyczącymi zdrowia, to stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Ich przetwarzanie jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w ustępie 2 powołanego przepisu” – czytamy w komunikacje UODO
• przetwarzanie tych danych jest dopuszczalne „ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi”, ale musi wynikać z prawa unijnego lub krajowego, które zawiera „odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą”
• w Polsce zasady dotyczące limitów wynikają z Rozporządzenia RM w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii – przepisy jednak nie przewidują możliwości żądania dowodu zaszczepienia ani wspomnianych konkretnych środków ochrony praw.
• „W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione.” – poucza UODO

Źródło: https://uodo.gov.pl/pl/138/2088 https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8199185,paszporty-covidowe-brak-podstawy-prawnej-do-sprawdzania-rodo.html

• EROD przyjęła ostateczną wersję Zaleceń 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE, po przeprowadzeniu konsultacji publicznych
• zalecenia te zostały po raz pierwszy przyjęte w listopadzie 2020 r. w następstwie orzeczenia TSUE w sprawie Schrems II – mają one na celu pomóc administratorom i podmiotom przetwarzającym działającym jako podmioty przekazujące dane w ich obowiązku określenia i wdrożenia odpowiednich środków uzupełniających, jeżeli są one niezbędne do zapewnienia merytorycznie równoważnego stopnia ochrony danych przekazywanych do państw trzecich
• przyjęta wersja dokumentu zawiera kilka istotnych zmian uwzględniających uwagi otrzymane w wyniku konsultacji publicznych, m. in. kładzie nacisk na znaczenie badania praktyk organów publicznych państwa trzeciego w ramach oceny prawnej podmiotu przekazującego dane w celu ustalenia czy ustawodawstwo lub praktyki państwa trzeciego wpływają
• równie ważne są wyjaśnienia, że ustawodawstwo państwa trzeciego przeznaczenia umożliwiające jego organom dostęp do przekazywanych danych, nawet bez interwencji podmiotu odbierającego dane, może również wpływać na skuteczność narzędzia przekazywania

Źródło https://uodo.gov.pl/pl/138/2089 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_pl  

• RODO nie pozwala, aby państwo udzielało każdemu zainteresowanemu informacji o tym, ile punktów karnych za wykroczenia drogowe ma na swym koncie kierowca – uznał Trybunał Sprawiedliwości Unii Europejskiej
• łotewskie przepisy pozwalają w zasadzie każdemu zażądać informacji, ile punktów karnych zgromadził dany kierowca – wystarczy wystąpić o to do tamtejszej Dyrekcji Bezpieczeństwa Ruchu Drogowego i nie trzeba nawet niczym motywować tego wniosku
• regulacje te z jednej strony mają wpływać na poprawę bezpieczeństwa na drogach – z drugiej zaś są też tłumaczone prawem publicznego dostępu do dokumentów urzędowych i wolności informacji
• jeden z łotewskich obywateli złożył skargę konstytucyjną po tym, gdy dowiedział się, że pięć firm otrzymało na swój wniosek informacje o jego liczbie punktów karnych – Trybunał Konstytucyjny Łotwy nabrał wątpliwości, czy łotewskiego przepisy są zgodne z RODO, dlatego też wystąpił z wnioskiem prejudycjalnym do trybunału w Luksemburgu
• wyrok nie pozostawia wątpliwości – przepisy RODO sprzeciwiają się przepisom krajowym, które każdemu zainteresowanemu gwarantują możliwość poznania liczby punktów karnych zgromadzonych przez dowolnego kierowcę
• udostępnianie informacji o punktach karnych mogłoby być uzasadnione chęcią poprawy bezpieczeństwa na drogach, co stanowi cel interesu ogólnego uznawany przez UE – tyle że Łotwa nie udowodniła, by takie działanie było rzeczywiście konieczne

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8196260,tsue-punkty-karne-wykroczenia-drogowe-rodo.html

• NSA uznał, że numery rejestracyjne aut czasem jednak mogą być danymi osobowymi –dlatego też policja, udostępniając nagrania z wideorejestratorów, powinna je zamazywać
• Polska jest jednym z nielicznych państw UE, w których sądy uznają, że numery rejestracyjne samochodów nie stanowią danych osobowych – taka wykładnia wynika z głośnego wyroku Naczelnego Sądu Administracyjnego w sprawie warszawskich parkomatów, którego pogląd podzielił później także sąd powszechny
• najnowsze orzeczenie NSA nieco jednak zmienia optykę – tym razem sędziowie uznali, że tablice przykręcane na zderzakach czasem mogą być uznane za dane osobowe, a tym samym podlegać pod RODO, a to oznaczałoby to m.in., że jednak nie wolno zdjęć z nimi zamieszczać w internecie
• NSA rozpoznawał skargę na wyrok w sprawie dostępu do nagrań z wideorejestratora zamontowanego w nieoznakowanym radiowozie policyjnym – stowarzyszenie, które o nie wystąpiło, chciało sprawdzić, czy jadący nim funkcjonariusze nie przekraczali dozwolonej prędkości, Policja odmówiła, uznając, że co prawda nagrania te rzeczywiście stanowią informację publiczną, ale przetworzoną bo ich udostępnienie wiązałoby się bowiem ze żmudną anonimizacją, przede wszystkim z koniecznością zamazywania tablic rejestracyjnych

• NSA nie miał wątpliwości, że nagrania z policyjnego wideorejestratora stanowią informację publiczną, której udostępnienia może domagać się każdy obywatel
• konieczność anonimizacji danych może jednak oznaczać, że będzie to informacja przetworzona, a więc taka, którą nie zawsze trzeba udostępniać
• dostrzegając konieczność anonimizacji, NSA siłą rzeczy musiał się odnieść do wcześniejszego orzeczenia, w którym stwierdził, że tablice rejestracyjne nie stanowią danych osobowych – skład orzekający uznał, że nie ma sprzeczności
• „Teza, że numer rejestracyjny samochodu nie podlega ochronie wynikającej z prawa do prywatności, gdyż identyfikuje samochód, a nie osobę, odnoszona winna być do przypadków standardowych numerów rejestracyjnych składających się z liter i cyfr, niepozwalających na powiązanie samochodu z właścicielem oraz do przypadków, w których samochód z tablicą rejestracyjną znajduje się lub jest prezentowany bez połączenia z innymi informacjami odnoszącymi się do czasoprzestrzeni lub w powiązaniu z innymi danymi osobowymi, w tym wizerunku osób nim podróżujących” – napisał NSA w opublikowanym niedawno uzasadnieniu wyroku
• „W innych przypadkach numer rejestracyjny w połączeniu z innymi danymi osobowymi (lub nawet w określonej czasoprzestrzeni) pozwala na identyfikację osoby właściciela” – spointował

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8199174,prywatnosc-tablice-rejestracyjne-samochody-nsa-dane-osobowe.html

• Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych przyjęli wspólną opinię w sprawie wniosku Komisji Europejskiej na temat rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji
• EROD i EIOD z dużym zadowoleniem przyjmują cel, jakim jest zajęcie się wykorzystaniem systemów sztucznej inteligencji w Unii Europejskiej, w tym wykorzystaniem tych systemów przez unijne instytucje, organy lub agencje
• EROD i EIOD podkreślają potrzebę wyraźnego wyjaśnienia, że istniejące prawodawstwo UE w zakresie ochrony danych ma zastosowanie do każdego przetwarzania danych objętego zakresem projektu rozporządzenia dotyczącego sztucznej inteligencji
• EROD i EIOD wzywają do ogólnego zakazu wszelkiego wykorzystywania sztucznej inteligencji do automatycznego rozpoznawania cech ludzkich w przestrzeni publicznej, takich jak: rozpoznawanie twarzy, chodu, odcisków palców, DNA, głosu, naciśnięć klawiszy i innych sygnałów biometrycznych lub behawioralnych, w jakimkolwiek kontekście
• podobnie EROD i EIOD zalecają zakaz stosowania systemów sztucznej inteligencji wykorzystujących dane biometryczne do podziału osób na grupy ze względu na pochodzenie etniczne, płeć, poglądy polityczne lub orientację seksualną, czy z innych względów, wobec których dyskryminacja jest zakazana na mocy art. 21 Karty praw podstawowych Unii Europejskiej
• w ocenie obu instytucji wykorzystywanie sztucznej inteligencji do odgadywania emocji osoby fizycznej jest wysoce niepożądane i powinno być zabronione, z wyjątkiem bardzo szczególnych przypadków,

Źródło: https://uodo.gov.pl/pl/138/2090