RODO aktualności – 23.05.2024 r.

• W związku z trwającą w środowisku finansistów dyskusją i wpływającymi pytaniami, UODO zajmował się w ostatnim czasie kwestią wykorzystywania analiz behawioralnych w celu ograniczania transakcji oszukańczych w płatnościach bezgotówkowych.
• Stosowanie przez instytucje finansowe analizy behawioralnej (np. sposobu pisania na klawiaturze czy sposobu poruszania myszą komputera) i tworzenie na podstawie cech charakterystycznych dla danego użytkownika jego unikalnego profilu oraz późniejsze wykorzystywanie tych danych w celu uwierzytelniania klientów usług płatniczych wiąże się z przetwarzaniem danych biometrycznych w rozumieniu art. 4 pkt 14 RODO, które należą do danych szczególnych kategorii i których wykorzystywanie – stosownie do art. 9 RODO – podlega wzmocnionej ochronie.
• Jednocześnie, zdaniem UODO, w dobie szybkiego rozwoju nowoczesnych technologii przetwarzania danych, zwłaszcza takich jak te oparte na algorytmach sztucznej inteligencji, można zakładać, że unikalne profile klientów dostawców usług płatniczych pozwolą na uzyskanie dodatkowych jeszcze informacji, których ostateczny zakres trudno obecnie przewidzieć.
• W tej sytuacji w ocenie organu nadzorczego jedyną przesłanką, która mogłaby być brana pod uwagę jako podstawa legalizacji przetwarzania danych biometrycznych przez instytucje finansowe, jest świadoma i wyraźna zgoda osoby, której dane dotyczą, a zatem przesłanka wskazana w art. 9 ust. 2 lit. a RODO. Żeby można było mówić o wyrażeniu zgody wyraźnej, konieczne jest, by administrator poinformował ją o ryzykach związanych z przetwarzaniem takich danych, zasadach ich przetwarzania, stosowanych zabezpieczeniach i przysługujących jej uprawnieniach. Zgoda powinna także wyraźnie precyzować cel przetwarzania w momencie jej odbierania. Powinna istnieć również alternatywna metoda, z której podmiot danych mógłby skorzystać w przypadku braku zgody tak, aby nie zostać pozbawionym możliwości skorzystania z konkretnej usługi.

Żródło: Biuletyn UODO 04/2024

• Jeśli chcielibyśmy mieć możliwość pełnego oglądu naszej sytuacji finansowej, na bieżąco aktualizowanej, obejmującej wszystkie aktywa i zobowiązania, to na przeszkodzie stanie problem, który potocznie nazwijmy „kiszeniem danych”. Dostawcy usług finansowych nie muszą umożliwiać dostępu do zgromadzonych danych, historii transakcji, sald itp. Jeśli już to robią, to raczej na poziomie serwisów transakcyjnych, gdzie sami możemy pobrać plik, np. z historią spłaty kredytu.
• Otwarcie dostępu do danych finansowych – taki cel stawia regulacja, która przedstawiona została we wstępnej wersji w połowie 2023 r. Nosi ona skrótową nazwę FIDAR lub FIDA (od ang. Regulation on a Framework for Financial Data Access). W kwietniu 2024 r. projekt zaakceptowała Komisja Gospodarcza i Monetarna Parlamentu Europejskiego.
• Główną ideę FIDAR streścić można w uproszczeniu jako „PSD2 dla wszystkich dostawców usług finansowych”. W regulacji wyróżniono:
• Posiadaczy danych, czyli podmioty, które świadczą usługi finansowe. Posiadacze będą mieli obowiązek w zestandaryzowanej formie udostępnić, za zgodą klienta, dane finansowe bez zbędnej zwłoki, w czasie rzeczywistym. Dodatkowym obowiązkiem wobec klienta będzie zbudowanie „pulpitu sterowania”, czyli panelu, w którym będzie można zarządzać udzielonymi zezwoleniami na dzielenie się danymi.
• Użytkowników danych, czyli podmioty, które po uzyskaniu zgody klienta uzyskują dostęp do jego danych finansowych (pobieranych od posiadaczy danych).
• Lista instytucji objętych obowiązkami narzucanymi przez FIDAR jest bardzo rozbudowana. Obejmuje on m.in. banki, instytucje płatnicze, firmy inwestycyjne, zakłady ubezpieczeń, dostawców finansowania społecznościowego, dostawców OIPE, TFI, ale także np. emitentów tokenów powiązanych z aktywami czy dostawców usług w zakresie kryptoaktywów.

Żródło: FIDAR, otwarte finanse – najważniejsze informacje – Bankier.pl

• Jeszcze w tym roku Ministerstwo Sprawiedliwości planuje nowelizację ustawy Prawo o ustroju sądów powszechnych, która umożliwi prowadzenie nie tylko papierowych, ale i elektronicznych list biegłych sądowych. Cel to usprawnienie aktualizacji, ale i pozyskiwanie informacji o nich na potrzeby postępowań sądowych. Rozszerzony zostanie m.in. zakres udostępnianych – uprawnionym organom – danych osobowych biegłych m.in. o ich PESEL.
• Resort wyjaśnia, że przedmiotowy projekt będzie miał na celu – przy pomocy Rejestru Osób Biorących Udział w Postępowaniu Sądowym (dalej ROBUS) – prowadzenie list biegłych nie jak dotychczas – wyłącznie w postaci papierowej, ale w postaci elektronicznej. To ma z kolei pomóc w usprawnieniu procesu aktualizacji i pozyskiwania, a następnie udostępniania uprawnionym informacji o biegłych sądowych na potrzeby postępowań sądowych.
• Zgodnie z założeniami, projektowane przepisy mają określić rolę prezesów sądów okręgowych i ministra sprawiedliwości oraz zakres i cele przetwarzania danych osobowych. Zaproponowany zostanie art. 157 par. 1b, na mocy którego minister sprawiedliwości będzie podmiotem udostępniającym i administrującym system teleinformatyczny, w którym prowadzona jest lista biegłych, jak również – obok prezesów sądów okręgowych – będzie pełnił funkcję administratora danych osobowych, każdy w zakresie wykonywanych zadań.
• Projektowana regulacja przewiduje również dodanie przepisów stanowiących podstawę przetwarzania danych osobowych biegłych w zakresie: imienia i nazwiska biegłego, numeru PESEL, specjalizacji, terminu, do którego biegły został ustanowiony, adresu do korespondencji, numeru telefonu i adresu poczty elektronicznej, jak również okręgu sądowego, w którym biegły został ustanowiony. Dodano także, że uzupełnienie danych o numer PESEL osób figurujących w systemie ROBUS jest niezbędne dla dalszego rozwoju systemu i jego integracji z Portalem Informacyjnym, który w przyszłości będzie również wykorzystywany w celu przekazywania biegłym sądowym informacji o postępowaniu sądowym, zapewnianiu dostępu do akt sądowych drogą elektroniczną, czy też komunikacji dwukierunkowej pomiędzy biegłym a sądem.

Źródło: Listy biegłych sądowych w wersji elektronicznej, więcej danych (prawo.pl)

• Jak poinformował urząd w opublikowanym komunikacie, w Internecie udostępniono dane 1,3 mln klientów platformy z całego świata, w tym z Polski, pochodzące z platformy pandabuy.com.
• Zakres danych objętych wyciekiem był szeroki i obejmował: imiona i nazwiska, adresy e-mail, numery telefonów, identyfikatory użytkowników, adresy IP, hasła, adresy dostaw, dane dotyczące zamówień i płatności. Dane te posłużyły autorom strony „lista-drillowcow.pl”, utworzonej 7 kwietnia, do stworzenia interaktywnej mapy Polski, na której zamieścili informacje odnoszące się do polskich klientów tego serwisu, tj. m. in. ich imiona i nazwiska oraz adresy dostawy.
• W ocenie prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na ww. stronach internetowych, przez osoby administrujące tymi stronami odbywała się bez podstawy prawnej. Tym samym naruszony został przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.”
• Jak poinformowano, prezes UODO podejmie również inne właściwe działania w ramach zadań i uprawnień, przysługujących mu na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.

Żródło: Wyciek danych klientów sklepu internetowego – interwencja UODO (prawo.pl)

• Prezes UODO wszczął postępowanie administracyjne w związku z ujawnieniem danych przez krakowską policję.
• Mirosław Wróblewski przeanalizował naruszenie ochrony danych osobowych, polegające na ujawnieniu w komunikacie prasowym Komendy Miejskiej Policji w Krakowie wrażliwych informacji dotyczących osoby fizycznej. W toku czynności wyjaśniających poczyniono ustalenia, które przesądziły o wszczęciu przez Prezesa UODO postępowania administracyjnego wobec Komendanta Miejskiego Policji w Krakowie, będącego administratorem ujawnionych danych.
• Sprawa dotyczy pacjentki, która trafiła na oddział ratunkowy jednej z krakowskich lecznic po tym, kiedy źle poczuła się po zażyciu tabletki poronnej. Środek przyjęła, ponieważ ciąża zagrażała jej życiu i zdrowiu. W szpitalu czekała na nią policja zaalarmowana zawiadomieniem lekarki, która poinformowała o sytuacji dyżurnego ratunkowego numeru 112. Zamiast pomocy, spotkało ją przesłuchanie i rewizja. Funkcjonariusze zabrali jej także laptop i telefon. Następnie w komunikacie prasowym policja ujawniła dane wrażliwe pacjentki dot. jej zdrowia.
• Postępowanie dotyczy kwestii naruszenia przez Komendanta m.in.: zasady przetwarzania danych zgodnie z prawem; zasady zapewnienia danym odpowiedniego bezpieczeństwa oraz przetwarzania i ujawnienia danych bez podstawy prawnej.
• Jednocześnie prezes UODO poinformował o wszczęciu postępowania Rzecznika Praw Obywatelskich, który w pismach do organu nadzorczego wykazywał zainteresowanie działaniami UODO w tej sprawie.

Żródło: Aktualności – UODO; Sprawa Joanny z Krakowa: nie tylko złamano prawa pacjentki. Naruszono też jej dane osobowe (rynekzdrowia.pl)

• Parlament Europejski 24 kwietnia opowiedział się za przyjęciem rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia (European Health Data Space, czyli EHDS). To kolejna po niedawno przegłosowanym AI Act duża reforma, która kształtować będzie ramy systemu e-zdrowia w całej Europie.
• Dane medyczne trafią automatycznie do chmury, a jej operator będzie decydował o tym, komu te informacje – na potrzeby badań czy budowy modelu sztucznej inteligencji – udostępnić. To od kraju członkowskiego Unii Europejskiej będzie zależało, czy będzie nim podmiot publiczny czy prywatny. Każdy kraj ustali także opłaty za dostęp do tych danych, a także to, ile z tych pieniędzy trafi do szpitali i innych podmiotów, które je udostępnią.
• EHDS tworzy ramy prawne dla transgranicznego dostępu personelu medycznego do danych pacjentów przetwarzanych w postaci elektronicznej. Dzięki temu lekarz powinien mieć możliwość uzyskania dokumentacji medycznej przetwarzanej w podmiotach leczniczych w innych państwach UE. Będzie to zatem ułatwienie przy leczeniu zarówno obcokrajowców, jak i Polaków, którzy leczyli się wcześniej za granicą. Podstawowym dokumentem w tym zakresie będzie skrócona karta zdrowia pacjenta (Patient Summary), zawierające kluczowe informacje o stanie zdrowia pacjenta.
• Barierą w polskim systemie ochrony zdrowia będzie jednak poziom cyfryzacji podmiotów leczniczych i cyberbezpieczeństwo. Z ostatniego badania stopnia informatyzacji podmiotów wykonujących działalność leczniczą prowadzonego przez Centrum e-Zdrowia we współpracy z Ministerstwem Zdrowia wynika, że wymianę EDM z innymi podmiotami z uwzględnieniem Systemu e-Zdrowie (P1) wdrożyło zaledwie 18 proc. badanych placówek. W konsekwencji dane medyczne gromadzone w systemie ochrony zdrowia są niepełne.

Żródło: EHDS, czyli dane medyczne w chmurze (prawo.pl)

• W wyniku pozwu zbiorowego koncern Stellantis zgodził się zapłacić 8,95 miliona dolarów odszkodowania za naruszenie ustawy o ochronie konsumentów przed niechcianymi połączeniami telefonicznymi (Telephone Consumer Protection Act – TCPA).
• Sprawa dotyczyła tzw. „cichych” wiadomości głosowych, które w 2018 roku zostały wysłane przez FCA U.S., obecnie część koncernu Stellantis. Wiadomości wysłane do 89 tys. osób zawierały ofertę dotyczącą modelu Chrysler Pacifica Hybrid, co Grigorian (powódka) uznała za naruszenie TCPA. Studentka prawa twierdziła, że wiadomości te nie mogły być zablokowane ani odrzucone przez odbiorców, co było podstawą jej pozwu.
• Początkowo sprawa została odrzucona przez sąd, jednak później apelacja zakończyła się na korzyść Grigorian. Główna argumentacja studentki opierała się na fakcie, że wiadomości te były naruszeniem TCPA, ponieważ odbiorcy nie wyrazili zgody na ich otrzymanie.
• Sąd nie był pewny, jakie szkody te połączenia wyrządziły odbiorcom, jednak Grigorian argumentowała, że czas spędzony na słuchaniu tych wiadomości zamiast na nauce do egzaminu adwokackiego na Florydzie, stanowił dla niej znaczne obciążenie.
• FCA U.S. zgodziło się na ugodę, aby zakończyć spór i zobowiązało się dostarczyć sądowi listę wszystkich potencjalnych członków grupy, którzy zostaną powiadomieni listownie o możliwości otrzymania odszkodowania oraz o sposobie jego uzyskania.
• Mimo że FCA U.S. utrzymywało, że nie zrobiło nic złego, zgodziło się zapłacić osobom, które otrzymały te wiadomości – około 60 dolarów każdej (lub 25 dolarów, jeśli były częścią innego pozwu zbiorowego dotyczącego pojazdów Ram, który również został rozstrzygnięty w ramach tego porozumienia). Łączna kwota odszkodowań, jakie będzie musiał wypłacić koncern, oscyluje w granicach 8,95 miliona dolarów.

Źródło: Studentka pozwała Stellantis. Koncern zapłaci 9 mln dol. odszkodowania (moto.pl)

• Akt o sztucznej inteligencji (AI Act) najprawdopodobniej zacznie obowiązywać w połowie czerwca. W Polsce zakończyły się właśnie prekonsultacje koncepcji projektu ustawy. Jednym z istotniejszych postulatów, który zgłoszono w ich trakcie, jest stworzenie nowego urzędu.
• Włochy nie czekając nawet na unijnego prawodawcę, jako pierwsze w Europie przyjęły projekt ustawy w sprawie sztucznej inteligencji. Przewidziano w nim również surowe kary, zwłaszcza za wykorzystywanie wizerunku fałszywie zmienionego przez sztuczną inteligencję. Włoski projekt przewiduje również stworzenie osobnego urzędu, który będzie kompleksowo zajmował się wszelkimi sprawami dotyczącymi sztucznej inteligencji.
• Jak przekazał PAP, włoski minister sprawiedliwości Carlo Nordio, przedstawiając projekt przepisów wyjaśnił, że więzieniem karane będzie tworzenie i rozpowszechnianie (bez uzyskania zgody) filmów i wizerunków zmienionych przy użyciu systemów sztucznej inteligencji i wywołujących szkody (np. deepfake). Jak wskazał, takie posługiwanie się tą technologią może mieć „niszczące” konsekwencje, doprowadzając do stworzenia realistycznego, choć wirtualnego, wizerunku osoby.
• Do wdrożenia AI Actu przygotowuje się również Polska. W ubiegłym tygodniu zakończyły się prekonsultacje, w ramach których do resortu trafiły uwagi 50 podmiotów. Jedną z kwestii, o którą pytano, było to, czy potrzebny jest nowy organ nadzoru rynku, który zająłby się sprawami dotyczącymi sztucznej inteligencji. Zdecydowana większość wypowiedziała się za takim samym rozwiązaniem, jakie będzie wdrażane we Włoszech, a więc za stworzeniem całkowicie nowego urzędu.
• Jak wskazuje resort, organ ten ma m.in: być pojedynczym punktem kontaktowym dla ogółu społeczeństwa, rozpatrywać wnioski dot. zezwolenia na wprowadzenie do obrotu lub oddanie do użytku systemów AI wysokiego ryzyka oraz skargi osób poddanych działaniom systemów AI, przyjmować zgłoszenia dot. poważnych incydentów oraz współpracować z Komisją, forum doradczym oraz Radą ds. AI.

Żródło: W Polsce potrzebny urząd ds. sztucznej inteligencji (prawo.pl)

• Digital Services Act (DSA) to akt o usługach cyfrowych obowiązujący w Unii Europejskiej od 16 listopada 2022 roku. Przedsiębiorcy otrzymali czas na dostosowanie się do nowych wymogów do 17 lutego 2024 roku.
• Nowe wymogi oznaczają, że od platform technologicznych wymaga się usuwania nielegalnych i szkodliwych treści. W przypadku niezastosowania się tzw. dostawców usług pośrednich (np. usługi hostingu) do DSA będzie nakładana grzywna.
• Przepisy DSA odnoszą się m.in. do nielegalnych treści – a te mogą być powiązane z danymi osobowymi. Może to być np. czyjś wizerunek – będący daną osobową w rozumieniu RODO – opublikowany bez zgody tej osoby, a zatem stanowiący nielegalną treść w rozumieniu DSA.
• Teoretycznie jest możliwe, by wobec jednej firmy toczyły się 2 postępowania – przed UKE i przed RODO, natomiast można się spodziewać, że postępowanie na gruncie DSA będzie dla obywatela łatwiejsze. Jeśli zgłosi pani nielegalną treść platformie, na której została ona umieszczona, to platforma – chcąc skorzystać z wyłączenia swojej odpowiedzialności – tę treść od razu usunie. A na tym przede wszystkim zależy osobie, której wizerunek bezprawnie wykorzystano.
• Natomiast firma, która opublikowała zdjęcie, może ponieść odpowiedzialność dopiero na gruncie RODO. W uproszczeniu: DSA pozwala karać i dyscyplinować platformy (niestosujące się do wymogów rozporządzenia), natomiast w odniesieniu do przedsiębiorców korzystających z tych platform nadal będziemy stosować RODO.

Żródło: Dochodzenie swoich praw będzie łatwiejsze na podstawie DSA niż RODO [WYWIAD] – GazetaPrawna.pl; DSA – akt o usługach cyfrowych. O co chodzi i kogo dotyczy? – Tu Dział Prawny (tudzialprawny.pl)