RODO aktualności – 21.11.2023 r.

• Właściciel Facebooka i Instagrama, koncern Meta, nie może już wyświetlać spersonalizowanych reklam w krajach europejskich – zdecydowała Europejska Rada Ochrony Danych (EROD).
• Wcześniejszy zakaz, wprowadzony przez Norwegię, państwo niebędące członkiem UE, obecnie będzie obowiązywać w 30 krajach.
• Decyzja, która była następstwem wniosku norweskiego urzędu ochrony danych, zapadła 27 października, ale ogłoszono ją wczoraj, 1 listopada. Meta ma zaprzestać wyświetlania reklam opartych na wynikach śledzenia zachowań użytkowników w internecie, ponieważ zabraniają tego unijne przepisy dotyczące ochrony prawa do prywatności.
• EROD poinformowała, że decyzja jest „pilnie wiążąca”, a jej wykonawcą ma być irlandzki organ ochrony danych, gdyż europejską siedzibą Meta jest Dublin. W ciągu dwóch tygodni ma on podjąć „ostateczne środki” dotyczące Meta Ireland Limited  i nałożyć zakaz przetwarzania danych osobowych na potrzeby reklamy behawioralnej na podstawie umowy i uzasadnionego interesu na terenie całego Europejskiego Obszaru Gospodarczego (EOG).
• EROD poinformował, że Meta zaproponowała, aby „ostateczne środki” uwzględniały podejście oparte na zgodzie użytkownika FB i Instagrama jako podstawie prawnej. Irlandzki UODO ocenia obecnie propozycję wspólnie z innymi zainteresowanymi organami nadzorczymi.
• Już w grudniu 2022 r. w wiążących decyzjach EROD wyjaśniono, że umowa nie stanowi odpowiedniej podstawy prawnej przetwarzania danych osobowych przez Meta na potrzeby reklamy behawioralnej.
• W przypadku nieprzestrzegania zakazu, Meta grozi kara w wysokości nawet 4% globalnego obrotu, co podkreślił norweski regulator danych.

Żródło: Facebook i Instagram dostały zakaz spersonalizowanych reklam w Europie – rp.pl;

• RODO zapewnia ochronę prywatności osób żyjących – nie ma jednak zastosowania do danych osobowych osób zmarłych. Dane te podlegają ochronie na podstawie innych przepisów prawa jako tzw. dobra osobiste.
• W art. 23 kodeksu cywilnego wymienione są liczne dobra osobiste, które zostały już solidnie opisane przez doktrynę prawa i orzecznictwo.
• Jednym z nich jest kult pamięci po osobie zmarłej, które z czasem zostało rozszerzone na prawo do kultywowania pamięci po zmarłej osobie, nie tylko w tej formie fizycznej, namacalnej, ale również poprzez prawo do zachowania dobrej pamięci po zmarłym.
• Warto jednak zwrócić uwagę, że orzecznictwo jednoznacznie definiuje je jako dobro przysługujące nie zmarłemu, ale osobie żyjącej, bliskiej zmarłego. To komu przynależy zależy przede wszystkim od jakości i istotności relacji jaka wiązała uprawnionego z osobą zmarłą.
• Swoje roszczenia w oparciu o to dobro mogą zatem budować również osoby zupełnie niespokrewnione ze zmarłym, byleby tylko były w stanie wykazać istnienie i intensywność swoich związków ze zmarłym. Z drugiej strony, nie jest też wykluczona sytuacja, że najbliżsi zmarłego, którzy jednak nie kultywują po nim pamięci, takiej ochrony będą pozbawieni.
• Po wykazaniu swojej legitymacji czynnej w sprawie, czyli po wykazaniu istnienia wystarczająco silnych i żywych więzi jakie łączą powoda z osobą zmarłą, powód powinien wykazać, że doszło do obiektywnego naruszenia wspomnianego dobra.
• Osoba bliska może np. domagać się zaniechania publikacji informacji dotyczących zmarłego. Prawo to nie ma jednak charakteru absolutnego i jego egzekwowanie nie powinno prowadzić do tzw. „cenzury pośmiertnej”.

Żródło: Prywatność po śmierci – dla kogo ochrona (prawo.pl)

• Audyt zgodności RODO to ocena zgodności z prawem, w tym przypadku z RODO oraz innymi przepisami dotyczącymi przetwarzania danych osobowych (np. prawem telekomunikacyjnym, kodeksem pracy, prawem bankowym), procedurami czy umowami (np. umowami przetwarzania danych osobowych).
• Obejmuje kilka etapów, tj. ustalenie stanu faktycznego, porównanie ze stanem pożądanym oraz wskazanie wniosków wynikających z porównania wraz z rekomendacjami.
• Administrator jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Jednak nie może to mieć charakteru jednorazowego charakteru. Zabezpieczenia powinny być poddawane przeglądom. W ramach audytu należy zatem zweryfikować, czy przyjęte w danym podmiocie procedury są rzeczywiście stosowane.
• Na Administratorze ciąży także obowiązek wykazania, że czynności przetwarzania są zgodne z RODO oraz że są skuteczne. Jest to tzw. zasada rozliczalności. Audyt zgodności RODO oraz powstała na jego bazie dokumentacja (np. raport) stanowią adekwatne narzędzia do potwierdzenia stosowania tej zasady.
• Ponadto, przeprowadzanie cyklicznych audytów zgodności RODO stanowi często wymóg wprowadzany przez samych kontrahentów na etapie negocjacji umowy powierzenia oraz przy uzupełnianiu ankiet weryfikacji podmiotu przetwarzającego,

Żródło: Dlaczego warto przeprowadzić audyty zgodności RODO – GazetaPrawna.pl

• Lokalne Stowarzyszenie „Głos Kociewia” pozyskało ze szkół publicznych w Starogardzie Gdańskim informacje o wynagrodzeniach nauczycieli wraz z imionami, nazwiskami i stanowiskami. „Głos Kociewia” najpierw opublikował same wynagrodzenia – bez przypisywania ich do konkretnych osób z imienia i nazwiska, ponieważ odmawiający przekazania tak dokładnych danych dyrektorzy szkół twierdzili, że naruszyłoby to prywatność nauczycieli. Już niedługo później do Prezesa Urzędu Ochrony Danych Osobowym wpłynęły skargi ze strony kilku nauczycieli jednej ze szkół, którzy przekonywali, że doszło do naruszenia przepisów o ochronie danych osobowych.
• WSA uznał, że informacja o wynagrodzeniu nauczycieli szkoły stanowi tzw. informację publiczną, ponieważ nauczyciele są osobami pełniącymi funkcje publiczne, a informacja o ich wynagrodzeniu ma związek z pełnionymi przez nich funkcjami, zatem nie przysługuje im ochrona prywatności (poza składnikami wynagrodzenia wynikającymi ze statusu rodzinnego lub socjalnego).
• Ponadto sąd stwierdził, że przepisy o ochronie danych osobowych (RODO) nie wyłączają stosowania przepisów o dostępie do informacji publicznej, dotyczą zbierania i przetwarzania danych osób fizycznych, a nie ich udostępniania w ramach dostępu do informacji, co regulują przepisy o dostępie do informacji publicznej.
• Zdaniem PUODO, Dyrektor miał prawny obowiązek przekazać te informacje, dotyczące gospodarowania środkami publicznymi. Prezes powołał się tu na art. 6 ust. 1 lit. c i e RODO powiązany z przepisem Ustawy o dostępie do informacji publicznej. Zadaniem statutowym stowarzyszenia jest m.in. społeczna kontrola władz publicznych oraz działanie na rzecz jawności w powiecie starogardzkim. W tym kontekście „Głos Kociewia” miał prawo do przetwarzania danych, natomiast prywatność nauczyciela nie mogła mieć w tej sytuacji nadrzędnego charakteru.

Żródło: Wynagrodzenie nauczyciela to informacja publiczna. Jego prywatność to drugorzędna sprawa (portalsamorzadowy.pl)

• Europosłowie przyjęli 9 listopada br. tzw. Akt w sprawie danych, który ma dostosować ochronę danych do nowych technologii i uregulować zasady korzystania z usług chmurowych. To odpowiedź na coraz szybciej rozwijające się nowe technologie i coraz szersze wykorzystywanie sztucznej inteligencji, do którego potrzebne jest przetwarzanie ogromnej ilości danych.
• Nowe unijne prawo to korzystne zmiany dotyczące prostszej zmiany dostawców usług chmurowych (czyli firm oferujących usługi sieciowe, infrastrukturę lub aplikacje biznesowe w chmurze). Wprowadza zabezpieczenia przed nielegalnym międzynarodowym przesyłaniem danych przez te firmy. Na etapie prac zapewniono, że nowy akt umożliwi klientom usług w chmurze możliwość negocjowania umów i unikania „uwiązania” z konkretnym dostawcą, a dodatkowo zapewni sprawną i szybką procedurę zmian.
• Istotne będą również przepisy i środki zapobiegające nadużywaniu nierównowagi umownej, które utrudniają sprawiedliwą wymianę danych. Małe i średnie firmy mają być chronione przed narzucaniem niekorzystnych warunków umownych przez silniejszych graczy – mają w tym pomóc m.in. wzorcowe klauzule umowne, które opracuje Komisja Europejska. Z drugiej strony, szersze uprawnienia w niektórych sytuacjach ma zyskać sektor publiczny (czyli organy państwowe i unijne).
• Jeżeli do zapewnienia bezpieczeństwa konieczne będzie skorzystanie z prywatnych danych przedsiębiorstw, organy wyjątkowo będą mogły z nich skorzystać. Posiadacz danych będzie musiał udostępnić je bez zbędnej zwłoki, co do zasady nieodpłatnie. Przepisy są jednak tak skonstruowane, żeby ograniczyć takie sytuacje do wyjątkowych, niezbędnych przypadków.

Żródło: Firmie łatwiej będzie zmienić dostawcę chmury. UE przyjęła akt w sprawie danych (prawo.pl)

• Państwo członkowskie nie może nałożyć na dostawcę platformy komunikacyjnej mającego siedzibę w innym państwie członkowskim generalnych i abstrakcyjnych obowiązków. Takie podejście krajowe jest sprzeczne z prawem Unii Europejskiej, które gwarantuje swobodny przepływ usług – uznał Trybunał Sprawiedliwości Unii Europejskiej w sprawie, która dotyczyła m.in. Google i Facebooka.
• w 2021 r. Austria wprowadziła ustawę zobowiązującą krajowych i zagranicznych dostawców platform komunikacyjnych do ustanowienia mechanizmów zgłaszania i weryfikacji potencjalnie nielegalnych treści. Przewiduje ona m.in. regularną i przejrzystą publikację zgłoszeń. dotyczących nielegalnych treści. Organ administracyjny zapewnia przestrzeganie przepisów ustawy i może nakładać grzywny w wysokości nawet do 10 mln euro.
• Google Ireland, Meta Platforms Ireland i TikTok, trzy platformy mające siedzibę w Irlandii, stwierdziły, że austriacka ustawa jest sprzeczna z prawem Unii, a mianowicie z dyrektywą o usługach społeczeństwa informacyjnego.
• TSUE zauważył, że państwa członkowskie inne niż państwo pochodzenia danej usługi nie mogą przyjmować środków o charakterze generalnym i abstrakcyjnym, mających zastosowanie, bez rozróżnienia, do każdego podmiotu świadczącego usługi społeczeństwa informacyjnego należące do danej kategorii. Możliwość przyjęcia generalnych i abstrakcyjnych obowiązków podważałaby zasadę kontroli w państwie pochodzenia danej usługi, na której opiera się dyrektywa.
• Gdyby państwo członkowskie przeznaczenia (w tym wypadku Austria) było uprawnione do przyjęcia takich środków, stanowiłoby to ingerencję w kompetencje regulacyjne państwa, z którego pochodzi usługa (w tym wypadku Irlandii).

Żródło: TSUE: Regulacje danego państwa nie mogą naruszać swobodnego przepływu usług (prawo.pl)

• Facebook i Instagram zaczęły stawiać swoich użytkowników w Europejskim Obszarze Gospodarczym (EOG – państwa Unii Europejskiej oraz Norwegia, Islandia i Liechtenstein) przed wyborem: albo zapłacą za dostęp do serwisu, albo nadal będą korzystać za darmo – godząc się, by śledzono ich aktywność pod kątem doboru reklam.
• Dotychczas obie platformy wszystkim wyświetlały reklamy, przy czym przetwarzanie danych w celu targetowania reklamy behawioralnej (tj. dopasowanej do zainteresowań) opierały na tzw. uzasadnionym interesie, o którym mówi RODO. Jednak w lipcu br. Trybunał Sprawiedliwości Unii Europejskiej orzekł, że narusza to przepisy i Meta musi wprost pytać internautów o zgodę na śledzenie (sprawa C-252/21). W sierpniu zbierania danych w celach reklamowych bez uzyskania zgody użytkownika zakazał koncernowi organ ochrony danych w Norwegii (Datatilsynet), a w końcu października na jego wniosek Europejska Rada Ochrony Danych (EROD) zleciła organowi w Irlandii rozszerzenie zakazu na cały obszar EOG.
• Wyrok TSUE dopuszcza wprowadzenie świadczenia usług za opłatą jako alternatywy dla zgody na zbieranie danych. Kluczowe w takiej sytuacji jest jednak zapewnienie, aby była to alternatywa równoważna. Część ekspertów ma co do tego wątpliwości – wskazując na wysoką cenę subskrypcji. Za miesięczny dostęp do konta (lub połączonych kont danego użytkownika) przez stronę internetową trzeba bowiem zapłacić 9,99 euro, a za korzystanie z aplikacji – 12,99 euro.
• „Wiele osób wyraziło sceptycyzm co do tego, czy nowe rozwiązanie Meta spełnia te wymagania” – stwierdza norweski organ, dodając, że jest zaniepokojony rozwojem sytuacji. Facebookową wersję modelu „pay or okay” analizuje też organ ochrony danych w Hamburgu.

Żródło: Subskrypcje na Facebooku pod lupą organów ochrony danych – GazetaPrawna.pl

• Spółka zależna Industrial and Commercial Bank of China został zaatakowany przez hakerów na tyle poważnie, że zakłócono działanie niektórych systemów, rzekomo ograniczając płynność amerykańskich obligacji skarbowych. Trwa dochodzenie w sprawie incydentu.
• Industrial and Commercial Bank of China jest jednym z największych chińskich banków. Według S&P należy do wielkiej czwórki. Co więcej, jest też największym na świecie pożyczkodawcą pod względem aktywów.
• Atak polegał na zablokowaniu systemów i żądania okupu za ich odblokowanie. Co za tym idzie, mógł on mieć wpływ na zdolność banku do rozliczania transakcji lub prowadzić do przekierowań, co z kolei miały wpływ na płynność rynku skarbowym lub zdolności do szybkiego handlu aktywami.
• Co najmniej jeden bank BNY Mellon z powodu cyberataku ręcznie rozliczał transakcje z ICBC.
• Nie jest jasne, czy incydent przyczynił się do słabej aukcji 30-letnich obligacji, która została w czwartek przeprowadzona przez Departament Skarbu USA. Doszło bowiem do „ostrej przeceny”. – Aukcja amerykańskich obligacji niosła ze sobą wiele zmienności, pytań i niepewności – opisała starsza analityk Swissquote Banku Ipek Ozkardeskaya.
• Do ataku przyznała się grupa znana jako LockBit, składająca się m.in. z rosyjskojęzycznych członków. Jeden z podmiotów, wchodzących w jej skład, ma z kolei siedzibę w Chinach. Zakłócono nim handel amerykańskimi obligacjami, którymi żywo zainteresowany jest rząd Chin. Stąd też zdaniem ekspertów można wysnuć wniosek, że hakerzy „nadepnęli Pekinowi na odcisk”, który będzie chciał ukarać odpowiedzialnych.

Żródło: Cyberatak na największy chiński bank uderzył w amerykańskie obligacje – Bankier.pl

• Wersja rozporządzenia o sztucznej inteligencji (AI Act) przyjęta przez Parlament Europejski zakłada całkowity zakaz systemów zdalnego rozpoznawania twarzy. Organizacje pozarządowe biją na alarm, że może on zostać zniesiony w czasie tzw. trilogu (trójstronne negocjacje między Parlamentem, Komisją a Radą UE).
• Jednym z kluczowych założeń AI Act był całkowity zakaz m.in. systemów AI do zdalnej identyfikacji biometrycznej. W maju Parlament Europejski odrzucił poprawki mające wprowadzić możliwość stosowania takich technologii np. w celu odnajdywania zaginionych osób i zwalczania terroryzmu lub innych poważnych przestępstw. Teraz jednak pomysł poluzowania zakazu wrócił w trilogu, podnoszony przez niektóre państwa członkowskie.
• Jak informuje portal Euroactive, miałoby to być dopuszczalne w ściganiu przestępstw z zamkniętej listy, zagrożonych karą powyżej pięciu lat więzienia. System musiałby przejść ocenę wpływu na prawa podstawowe, a jego użycie byłoby zatwierdzane przez sąd (czasem ex post w ciągu 48 godz.).
• Eksperci wskazują na fakt, że międzynarodowe standardy praw człowieka wymagają, żeby każda ingerencja w nie była niezbędna i proporcjonalna. Wspomniane systemy zaś jej zdaniem nie spełniają tych wymogów, ponieważ istnieją bardziej skuteczne i mniej ingerujące w prawo do prywatności metody utrzymywania bezpieczeństwa. Naruszają one istotę prawa do prywatności, a przez to i innych praw obywatelskich, np. wolności słowa i zgromadzeń.
• Potwierdził to europejski inspektor ochrony danych osobowych, który podniósł, że to zastosowanie sztucznej inteligencji pozbawia ludzi anonimowości w przestrzeni publicznej, niezbędnej do tego, żeby bezpiecznie protestować i wyrażać obywatelskie niezadowolenie bez obawy o potencjalne reperkusje.

Żródło: Rozporządzenie o sztucznej inteligencji przyjęte przez PE. Organizacje biją na alarm – rp.pl

• 63% konsumentów na całym świecie uważa, że firmy nie są uczciwe w kwestii tego, jak wykorzystują ich dane osobowe, a prawie 48% przestało korzystać z usług firm z powodu obaw o prywatność.
• 33% użytkowników zerwało więzi z firmami z powodu obaw o prywatność. Przestali korzystać z mediów społecznościowych, dostawców usług internetowych, sklepów, firm obsługujących karty kredytowe i instytucji finansowych.
• Wielu konsumentów uważa, że nie otrzymuje wystarczających informacji o tym, jak firmy wykorzystują ich dane. 43% konsumentów zgłosiło brak bezpieczeństwa danych, a 79% uważa, że śledzenie, w jaki sposób różne firmy wykorzystują ich dane osobowe, jest zbyt skomplikowane.
• 71% krajów na całym świecie posiada przepisy dotyczące ochrony danych osobowych, a tylko 15% ich nie ma.
• Firmy odnotowują średni zwrot z inwestycji (ROI) w wysokości 1,8% z wydatków związanych z prywatnością, a 92% przyznaje, że ma moralny obowiązek uczciwego i przejrzystego wykorzystywania danych konsumentów.
• 60% konsumentów twierdzi, że wydałoby więcej pieniędzy na markę, której ufają, aby odpowiedzialnie obchodzić się z ich danymi osobowymi.
• 11% firm potrzebowało do 6 miesięcy lub roku (5%) na poinformowanie konsumenta o naruszeniu ochrony danych osobowych.
• 33% konsumentów na całym świecie doświadczyło naruszenia bezpieczeństwa danych.
• 54% konsumentów uważa, że firmy powinny być zmuszone do wprowadzenia obowiązkowych środków zabezpieczających dane osobowe, takich jak szyfrowanie i uwierzytelnianie dwuskładnikowe po naruszeniu ochrony danych osobowych.

Żródło: 30 most important privacy statistics and facts for 2023 (dataguard.co.uk)