Czy Wielka Brytania została bezpiecznym państwem trzecim? Za co PUODO nałożył kary na PLAY i spółkę Funeda? Czy GUS przestrzega przepisów o ochronie danych osobowych? Czy TSUE słusznie karci Facebooka w sprawie przepisów RODO? Jakie dane wyciekły w CD Projekt? Czego dowiemy się z najnowszego newslettera? Co UODO mówi o zakresie obowiązków zespołu IOD? Jakie zastosowanie będą miały nowe klauzule umowne dotyczące przekazywania danych do państw trzecich? Czy będziemy zmuszeni do okazywania paszportów covidowych w Polsce? Czy punkty karne za wykroczenia drogowe podlegają pod ochronę RODO? Czy numery rejestracyjne to dane osobowe? Jakie zdanie w sprawie sztucznej inteligencji ma EROD i EIOD?
MULTIMEDIA | |
---|---|
#RODOA [21.06.2021] | #RODOA [28.06.2021] |
Obejrzyj na YouTube | |
Odsłuchaj na:, Spotify, Google Podcasts, RSS | |
Pobierz PDF | Pobierz PDF |
Jest decyzja o transferze danych do Wielkiej Brytanii
- Komisja Europejska przyjęła 28 czerwca 2021 r. decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo
- Wielka Brytania opuściła struktury Unii Europejskiej 31 stycznia 2020 r.
- Komisja Europejska skorzystała z uprawnienia określonego w art. 45 ust. 3 RODO, zgodnie z którym może – w drodze aktu wykonawczego – przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony
- przyjęcie takiej decyzji pozwala na transfer danych do tego państwa bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia
- decyzja o adekwatności dla Zjednoczonego Królestwa zawiera niestosowany dotąd w tego typu narzędziach prawnych mechanizm zwany „sunset clause” (klauzula zachodzącego słońca) – została bowiem przyjęta na określony czas – traci moc 27 czerwca 2025 r., istnieje możliwość, aby okres jej stosowania został przedłużony
- to rozwiązanie ma umożliwić bieżące monitorowanie przez Komisję Europejską faktycznych i prawnych ram, na których opiera się decyzja o adekwatności
Źródło: https://www.gov.pl/web/cyfryzacja/w-sama-pore-jest-decyzja-o-transferze-danych-do-wielkiej-brytanii https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
P4 z karą w wysokości 100 tys. złotych (1)
- Prezes UODO nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych
- powodem nałożenia kary pieniężnej jest naruszenie przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji (UE) w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej
- w świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone
- na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin
- decyzja dotyczy uchybień w odniesieniu do zgłoszenia naruszenia danych z października 2020 roku oraz w odniesieniu do czterech zgłoszeń naruszeń danych z grudnia 2020 roku, które zostały wysłane jako jedna przesyłka do UODO – postępowaniem objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia
P4 z karą w wysokości 100 tys. złotych (2)
- spółka w postępowaniu wyjaśniła, że dokonanie zawiadomień o naruszeniu danych osobowych po upływie 24 godzin związane było z nieumyślnym błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji
- organ wskazał jednak, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego – zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia, a UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu
Źródło: https://uodo.gov.pl/pl/138/2082 https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020
Kolejna kara za brak współpracy z UODO
- Funeda Sp. z o.o. naruszyła przepisy RODO poprzez brak współpracy z Urzędem Ochrony Danych Osobowych – na spółkę została nałożona administracyjna kara pieniężna w wysokości ponad 22 tysięcy złotych
- brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego
- UODO dwukrotnie wezwał spółkę do udzielenia wyjaśnień niezbędnych do rozpatrzenia sprawy – spółka pomimo odbioru korespondencji do chwili obecnej nie udzieliła żadnej odpowiedzi na pisma skierowane do nie
- w związku z nieudzielaniem informacji w sprawie, UODO wszczęło postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej
- spółka pomimo prawidłowego zawiadomienia przez organ nadzorczy, wraz z pouczeniem o przysługującym jej prawie do wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań, także i w tym przypadku nie podjęła żadnych czynności zmierzających do wyjaśnienia sprawy
- UODO wielokrotnie podejmował próby kontaktu telefonicznego i mailowego ze spółką w oparciu o dane zawarte na stronie internetowej – do dnia wydania decyzji spółka nie skontaktowała się z organem
Źródło: https://uodo.gov.pl/pl/138/2080
Wystąpienie UODO w sprawie narodowego spisu powszechnego
- UODO zwrócił się do Prezesa GUS, aby GUS jako administrator danych osobowych, zapewnił respondentom przejrzystość dedykowanego spisowi internetowemu formularza w zakresie wskazania podstaw prawnych przetwarzania danych osobowych
- UODO nie kwestionuje istnienia podstaw prawnych do pozyskiwania danych osobowych, w tym numeru PESEL przez GUS w celu prowadzenia spisu powszechnego ludności – o ile następuje to dla realizacji obowiązków wyznaczonych przepisami prawa i w granicach obowiązujących przepisów
- przyznaje zaś że konstrukcja przepisów prawa stanowiących podstawę do gromadzenia tych danych, może budzić wątpliwości respondentów dokonujących samospisu
- organ nadzorczy podkreślił, że ważne jest, aby przy „pracach spisowych” działać z poszanowaniem zasad wynikających z RODO a więc dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
- Prezes GUS w odpowiedzi na wystąpienie wskazał, że w celu zapewnienia większej przejrzystości dotyczącej podstaw prawnych przetwarzania danych osobowych, w tym numerów PESEL, w klauzulach informacyjnych zostały uzupełnione zapisy określające podstawy prawne przetwarzania danych osobowych
Źródło: https://uodo.gov.pl/pl/138/2071
TSUE karci Facebooka w sprawie dotyczącej ochrony danych osobowych
- w 2015 r. belgijska Komisja ds. Ochrony Prywatności (KOP) wystąpiła do sądu w Brukseli przeciwko Facebook Ireland, Facebook Inc. i Facebook Belgium z powództwem o zaniechanie mającym na celu położenie kresu naruszeniom przepisów dotyczących ochrony danych, których miał dopuszczać się Facebook
- naruszenia te polegały na gromadzeniu i wykorzystywaniu informacji o internautach belgijskich, niezależnie od tego, czy posiadali oni konto na Facebooku, przy użyciu różnego rodzaju technologii (pliki cookie, wtyczki społecznościowe, piksele monitorujące, etc.)
- w 2018 r. sąd uznał, że sieć społecznościowa Facebook nie informowała dostatecznie belgijskich internautów o gromadzeniu i wykorzystaniu danych na ich temat – ponadto uznał on za nieważną udzielaną przez internautów zgodę na gromadzenie i przetwarzanie informacji
- Facebook Ireland, Facebook Inc. i Facebook Belgium zaskarżyły to rozstrzygnięcie do sądu apelacyjnego, podważając kompetencje belgijskiego regulatora do wnoszenia skargi w tej sprawie
- wprawa trafiła do TSUE, który uznał, że RODO pod określonymi warunkami zezwala na wykonywanie przez krajowy organ nadzorczy danego państwa członkowskiego przysługujących mu uprawnień do podnoszenia wszelkich zarzucanych naruszeń RODO przed sądami tego państwa członkowskiego i do wszczęcia postępowania sądowego w przedmiocie transgranicznego przetwarzania danych
Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8191368,tsue-facebook-dane-osobowe-belgia.html https://www.prawo.pl/prawo/kontrola-ochrony-danych-osobowych-w-facebooku-przez-belgijski,508861.html
Niełatwy podział kompetencji przy transgranicznym transferze
- sprawy dotyczące transgranicznego transferu danych RODO przekazało w gestię wiodących organów ochrony, czyli w tych państwach, w których dana firma ma swoją główną siedzibę
- giganci tacy jak Google, Microsoft czy Apple siedziby mają w Irlandii, co oznacza, że to tamtejszy organ powinien rozstrzygać problemy związane z przekazywaniem danych do USA
- Czy jednak oznacza to, że inne organy nie mają w tym zakresie żadnych uprawnień? Przyjęcie takiej wykładni oznaczałoby w praktyce, że krajowe instytucje, w tym polski Urząd Ochrony Danych Osobowych, pełnią, co do zasady, funkcję pomocniczą
- Trybunał Sprawiedliwości Unii Europejskiej przyznał, że główne kompetencje rzeczywiście ma organ irlandzki – pozostałe mogą jednak interweniować w drodze wyjątku
- TSUE wskazał jednocześnie, że wiodący organ nadzorczy nie może zignorować opinii innych organów nadzorczych, których sprawa dotyczy, zaś wszelkie mające znaczenie dla sprawy i uzasadnione sprzeciwy ze strony któregokolwiek z tych organów skutkują zablokowaniem, przynajmniej czasowo, możliwości przyjęcia projektu decyzji przez wiodący organ nadzorczy
Źródło https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8191697,transgraniczny-transfer-danych-rodo.html
Cyberatak na CD Projekt
- CD Projekt powiadomił, że podczas lutowego ataku hakerów na firmowe serwery mogły zostać wykradzione nie tylko kody źródłowe gier, takich jak Cyberpunk 2077 i Wiedźmin 3, ale też dane osobowe pracowników
- „W tym momencie nie jesteśmy w stanie potwierdzić dokładnej treści skradzionych danych, ale mamy podstawy sądzić, że poza danymi gier CD Projekt RED mogą to być również dane osobowe naszych obecnych oraz byłych pracowników lub współpracowników” – powiadomiła firma w komunikacie prasowym
- firma wyjaśniła, że współpracuje ze służbami i organami ścigania, a także skontaktowała się z Interpolem i Europolem oraz zaktualizowała informacje przekazywane Prezesowi UODO w lutym tego roku
- Cyberatak na CD Projekt miał miejsce w lutym 2021 r. – hakerzy włamali się na serwery firmy i uzyskali dostęp do kodów źródłowych m.in. gier Cyberpunk 2077 i Wiedźmin 3, a w wiadomości przesłanej firmie hakerzy powiadomili, że wykradli również wszystkie dokumenty powiązane z księgowością, administracją, działem prawnym i HR oraz dotyczące relacji inwestorskich
Czerwcowy numer newslettera UODO dla IOD (1)
- w najnowszym, czerwcowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:
ŚWIADECTWO PRACY DLA CUDZOZIEMCA
- gdy przekazanie danych osobowych do państwa trzeciego jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń, możliwe jest skorzystanie z wyjątku, o którym mowa w art. 49 ust. 1 lit. e RODO
GDY ORGAN PODATKOWY ŻĄDA UDOSTĘPNIENIA INDYWIDUALNEGO PROGRAMU REHABILITACJI PRACOWNIKA NIEPEŁNOSPRAWNEGO
- organy podatkowe są uprawnione do żądania udostępnienia określonych dokumentów i informacji, ale powinny przetwarzać dane adekwatne do określonego celu
- w każdym przypadku należy analizować, czy żądany zakres informacji, w tym danych osobowych, jest niezbędny w celu wyjaśnienia danej sprawy
UPOMNIENIE ZA NARUSZENIE ZASADY MINIMALIZACJI DANYCH W POSTĘPOWANIU PODATKOWYM
- za umieszczenie w wezwaniach świadków w postępowaniu podatkowym adresu nieruchomości, której sprawa dotyczyła, Prezes UODO udzielił zarządowi związku międzygminnego upomnienia
- Prezes UODO uznał, że w ten sposób naruszona została zasada minimalizacji danych
Czerwcowy numer newslettera UODO dla IOD (2)
BĘDZIE ANONIMIZACJA DECYZJI W POSTĘPOWANIU W SPRAWIE ZAWARCIA UMOWY O UDZIELANIE ŚWIADCZEŃ OPIEKI ZDROWOTNEJ
- trwają prace nad nowelizacją ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz ustawy Prawo farmaceutyczne. Jedna z projektowanych zmian dotyczy dokonywania anonimizacji decyzji dotyczących rozpatrzenia odwołania od rozstrzygnięcia postępowania w sprawie zawarcia umowy o udzielanie świadczeń opieki zdrowotnej
Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod
UODO o zespole IOD i podstawie przetwarzania danych osób wystawiających referencje
Czy administrator jest zobowiązany na podstawie RODO do zapewnienia inspektorowi zespołu IOD?
- RODO nakłada na administratora (kierownictwo podmiotu będącego administratorem) określone, bardzo konkretne obowiązki wobec funkcjonującego w jego organizacji inspektora ochrony danych
- takim konkretnym obowiązkiem nałożonym na administratora, jest udzielanie IOD wsparcia w wypełnianiu przez niego zadań (o których mowa w art. 39 RODO), zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej zgodnie z art. 38 ust. 2 RODO
- administrator wyznaczając na inspektora daną osobę powinien wspólnie z nią określić zasady dotyczące zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomocy w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów
Jaka powinna być podstawa prawna przetwarzania danych osobowych osób wystawiających referencje?
- podstawą przetwarzania danych osoby trzeciej udzielającej rekomendacji jest (przy spełnieniu warunków określonych w tym przepisie) art. 6 ust. 1 lit. f RODO
- prawnie uzasadniony interes pracodawcy związany będzie z możliwością wykorzystania informacji zawartych w treści referencji
Źródło: https://uodo.gov.pl/pl/223/2049 https://uodo.gov.pl/pl/225/2051
Transfer danych do państw trzecich zgodny z RODO (1)
- nowe standardowe klauzule umowne dotyczące przekazywania danych poza Europejski Obszar Gospodarczy dostosowane do RODO i do bardziej złożonego transferu danych, w którym często uczestniczą nie dwa, a kilka różnych podmiotów
- 27 czerwca 2021 r. wejdzie życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich
- standardowe klauzule umowne stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO, które umożliwiają przekazywanie danych poza Europejski Obszar Gospodarczy
- standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych, tj. do:
- przekazywania danych między administratorami
- przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
- przekazywania między podmiotami przetwarzającymi
- przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim
Transfer danych do państw trzecich zgodny z RODO (2)
- wcześniejsze decyzje Komisji Europejskiej, tj. decyzja 2001/497/WE i decyzja 2010/87/UE tracą moc od 27 września 2021 r.
- jednocześnie umowy zawarte przed 27 września 2021 r. na podstawie wcześniejszych decyzji KE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 RODO do 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń
- zastosowanie nowych standardowych klauzul umownych nie wyłącza konieczności oceny planowanego transferu pod kątem zapewnienia zgodności z wyrokiem TSUE w sprawie Schrems II i ewentualnego wdrożenia środków uzupełniających standardowe klauzule umowne
Źródło: https://uodo.gov.pl/pl/138/2085
Nie ma podstawy prawnej do sprawdzania paszportów covidowych
- osoby wchodzące na koncert, do sklepu czy hotelu nie mogą być zmuszane do okazywania dowodów zaszczepienia uważa Prezes Urzędu Ochrony Danych Osobowych – trudno więc będzie wykroczyć poza limity pandemiczne, chyba że widzowie czy klienci sami, z własnej woli, będą chcieli udowodnić, że są zaszczepieni
- „Ponieważ informacje o zaszczepieniu są danymi dotyczącymi zdrowia, to stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Ich przetwarzanie jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w ustępie 2 powołanego przepisu” – czytamy w komunikacje UODO
- przetwarzanie tych danych jest dopuszczalne „ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi”, ale musi wynikać z prawa unijnego lub krajowego, które zawiera „odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą”
- w Polsce zasady dotyczące limitów wynikają z Rozporządzenia RM w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii – przepisy jednak nie przewidują możliwości żądania dowodu zaszczepienia ani wspomnianych konkretnych środków ochrony praw.
- „W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione.” – poucza UODO
Źródło: https://uodo.gov.pl/pl/138/2088 https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8199185,paszporty-covidowe-brak-podstawy-prawnej-do-sprawdzania-rodo.html
EROD o zaleceniach w sprawie środków uzupełniających
- EROD przyjęła ostateczną wersję Zaleceń 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE, po przeprowadzeniu konsultacji publicznych
- zalecenia te zostały po raz pierwszy przyjęte w listopadzie 2020 r. w następstwie orzeczenia TSUE w sprawie Schrems II – mają one na celu pomóc administratorom i podmiotom przetwarzającym działającym jako podmioty przekazujące dane w ich obowiązku określenia i wdrożenia odpowiednich środków uzupełniających, jeżeli są one niezbędne do zapewnienia merytorycznie równoważnego stopnia ochrony danych przekazywanych do państw trzecich
- przyjęta wersja dokumentu zawiera kilka istotnych zmian uwzględniających uwagi otrzymane w wyniku konsultacji publicznych, m. in. kładzie nacisk na znaczenie badania praktyk organów publicznych państwa trzeciego w ramach oceny prawnej podmiotu przekazującego dane w celu ustalenia czy ustawodawstwo lub praktyki państwa trzeciego wpływają
- równie ważne są wyjaśnienia, że ustawodawstwo państwa trzeciego przeznaczenia umożliwiające jego organom dostęp do przekazywanych danych, nawet bez interwencji podmiotu odbierającego dane, może również wpływać na skuteczność narzędzia przekazywania
Źródło https://uodo.gov.pl/pl/138/2089 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_pl
Punkty karne za wykroczenia drogowe podlegają pod RODO
- RODO nie pozwala, aby państwo udzielało każdemu zainteresowanemu informacji o tym, ile punktów karnych za wykroczenia drogowe ma na swym koncie kierowca – uznał Trybunał Sprawiedliwości Unii Europejskiej
- łotewskie przepisy pozwalają w zasadzie każdemu zażądać informacji, ile punktów karnych zgromadził dany kierowca – wystarczy wystąpić o to do tamtejszej Dyrekcji Bezpieczeństwa Ruchu Drogowego i nie trzeba nawet niczym motywować tego wniosku
- regulacje te z jednej strony mają wpływać na poprawę bezpieczeństwa na drogach – z drugiej zaś są też tłumaczone prawem publicznego dostępu do dokumentów urzędowych i wolności informacji
- jeden z łotewskich obywateli złożył skargę konstytucyjną po tym, gdy dowiedział się, że pięć firm otrzymało na swój wniosek informacje o jego liczbie punktów karnych – Trybunał Konstytucyjny Łotwy nabrał wątpliwości, czy łotewskiego przepisy są zgodne z RODO, dlatego też wystąpił z wnioskiem prejudycjalnym do trybunału w Luksemburgu
- wyrok nie pozostawia wątpliwości – przepisy RODO sprzeciwiają się przepisom krajowym, które każdemu zainteresowanemu gwarantują możliwość poznania liczby punktów karnych zgromadzonych przez dowolnego kierowcę
- udostępnianie informacji o punktach karnych mogłoby być uzasadnione chęcią poprawy bezpieczeństwa na drogach, co stanowi cel interesu ogólnego uznawany przez UE – tyle że Łotwa nie udowodniła, by takie działanie było rzeczywiście konieczne
NSA: numery tablic samochodowych czasem jednak mogą być danymi osobowymi (1)
- NSA uznał, że numery rejestracyjne aut czasem jednak mogą być danymi osobowymi –dlatego też policja, udostępniając nagrania z wideorejestratorów, powinna je zamazywać
- Polska jest jednym z nielicznych państw UE, w których sądy uznają, że numery rejestracyjne samochodów nie stanowią danych osobowych – taka wykładnia wynika z głośnego wyroku Naczelnego Sądu Administracyjnego w sprawie warszawskich parkomatów, którego pogląd podzielił później także sąd powszechny
- najnowsze orzeczenie NSA nieco jednak zmienia optykę – tym razem sędziowie uznali, że tablice przykręcane na zderzakach czasem mogą być uznane za dane osobowe, a tym samym podlegać pod RODO, a to oznaczałoby to m.in., że jednak nie wolno zdjęć z nimi zamieszczać w internecie
- NSA rozpoznawał skargę na wyrok w sprawie dostępu do nagrań z wideorejestratora zamontowanego w nieoznakowanym radiowozie policyjnym – stowarzyszenie, które o nie wystąpiło, chciało sprawdzić, czy jadący nim funkcjonariusze nie przekraczali dozwolonej prędkości, Policja odmówiła, uznając, że co prawda nagrania te rzeczywiście stanowią informację publiczną, ale przetworzoną bo ich udostępnienie wiązałoby się bowiem ze żmudną anonimizacją, przede wszystkim z koniecznością zamazywania tablic rejestracyjnych
NSA: numery tablic samochodowych czasem jednak mogą być danymi osobowymi (2)
- NSA nie miał wątpliwości, że nagrania z policyjnego wideorejestratora stanowią informację publiczną, której udostępnienia może domagać się każdy obywatel
- konieczność anonimizacji danych może jednak oznaczać, że będzie to informacja przetworzona, a więc taka, którą nie zawsze trzeba udostępniać
- dostrzegając konieczność anonimizacji, NSA siłą rzeczy musiał się odnieść do wcześniejszego orzeczenia, w którym stwierdził, że tablice rejestracyjne nie stanowią danych osobowych – skład orzekający uznał, że nie ma sprzeczności
- „Teza, że numer rejestracyjny samochodu nie podlega ochronie wynikającej z prawa do prywatności, gdyż identyfikuje samochód, a nie osobę, odnoszona winna być do przypadków standardowych numerów rejestracyjnych składających się z liter i cyfr, niepozwalających na powiązanie samochodu z właścicielem oraz do przypadków, w których samochód z tablicą rejestracyjną znajduje się lub jest prezentowany bez połączenia z innymi informacjami odnoszącymi się do czasoprzestrzeni lub w powiązaniu z innymi danymi osobowymi, w tym wizerunku osób nim podróżujących” – napisał NSA w opublikowanym niedawno uzasadnieniu wyroku
- „W innych przypadkach numer rejestracyjny w połączeniu z innymi danymi osobowymi (lub nawet w określonej czasoprzestrzeni) pozwala na identyfikację osoby właściciela” – spointował
EROD i EIOD o projekcie aktu w sprawie sztucznej inteligencji
- Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych przyjęli wspólną opinię w sprawie wniosku Komisji Europejskiej na temat rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji
- EROD i EIOD z dużym zadowoleniem przyjmują cel, jakim jest zajęcie się wykorzystaniem systemów sztucznej inteligencji w Unii Europejskiej, w tym wykorzystaniem tych systemów przez unijne instytucje, organy lub agencje
- EROD i EIOD podkreślają potrzebę wyraźnego wyjaśnienia, że istniejące prawodawstwo UE w zakresie ochrony danych ma zastosowanie do każdego przetwarzania danych objętego zakresem projektu rozporządzenia dotyczącego sztucznej inteligencji
- EROD i EIOD wzywają do ogólnego zakazu wszelkiego wykorzystywania sztucznej inteligencji do automatycznego rozpoznawania cech ludzkich w przestrzeni publicznej, takich jak: rozpoznawanie twarzy, chodu, odcisków palców, DNA, głosu, naciśnięć klawiszy i innych sygnałów biometrycznych lub behawioralnych, w jakimkolwiek kontekście
- podobnie EROD i EIOD zalecają zakaz stosowania systemów sztucznej inteligencji wykorzystujących dane biometryczne do podziału osób na grupy ze względu na pochodzenie etniczne, płeć, poglądy polityczne lub orientację seksualną, czy z innych względów, wobec których dyskryminacja jest zakazana na mocy art. 21 Karty praw podstawowych Unii Europejskiej
- w ocenie obu instytucji wykorzystywanie sztucznej inteligencji do odgadywania emocji osoby fizycznej jest wysoce niepożądane i powinno być zabronione, z wyjątkiem bardzo szczególnych przypadków,
Źródło: https://uodo.gov.pl/pl/138/2090
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.