RODO aktualności – 30.07.2024 r.

• Prezes UOKiK zakwestionował postanowienia w „Umowie z użytkownikiem PayPal”. Wątpliwości wzbudziły klauzule zawierające 34 działania zabronione użytkownikom oraz katalog przykładowych sankcji.
• Wśród nich były m.in. zapisy mówiące o ukaraniu użytkownika choćby za samą próbę skorzystania z zablokowanego konta. PayPal zakładał też, że nie wolno „naruszać żadnych przepisów prawa, ustaw, zarządzeń lub regulacji (np. dotyczących usług finansowych, ochrony konsumentów, nieuczciwej konkurencji, zakazu dyskryminacji i nieuczciwej reklamy)”, bo może się to skończyć nałożeniem niedookreślonych sankcji.
• W praktyce naruszenie dowolnego przepisu w jakimkolwiek państwie upoważniało PayPal do zastosowania sankcji. Naruszenie mogłoby nawet nie mieć związku z korzystaniem z konta PayPal, przez co konsumenci mogliby nie wiedzieć, że zrobili coś niezgodnego z postanowieniami umownymi.
• Otwarty katalog przewidzianych w umowie sankcji, które dodatkowo nie były powiązane z poszczególnymi naruszeniami, oznaczał arbitralność decyzji spółki. Przykładowo, mogła ona „w dowolnej chwili” i „według własnego uznania” zablokować pieniądze użytkownika „w wysokości oraz przez okres tak długi, jak będzie to konieczne”. Co więcej, PayPal mógł jednocześnie nałożyć na konsumenta nawet kilka sankcji: zapłatę kwoty 2500 USD lub większej, zamknięcie konta bez uprzedzenia i odmowę świadczenia usług w przyszłości.
• Zdaniem Prezesa UOKiK zastosowanie kwestionowanych warunków mogło prowadzić do sytuacji, w której konsument był z jednej strony nieświadomy tego jakie działanie może zostać uznane przez spółkę za zabronione. Z drugiej strony nie był w stanie przewidzieć sankcji, które mogą zostać wobec niego zastosowane. Skutkiem mogło być nawet pozbawienie dostępu do pieniędzy zgromadzonych na koncie PayPal na nieokreślony czas.

Żródło: Ponad 106 mln zł kary dla PayPal (uokik.gov.pl)

• Dostęp do danych innych wierzycieli, zawartych w Krajowym Rejestrze Zadłużonych (KRZ), został w końcu zmodyfikowany – wynika z pisma przekazanego rzecznikowi praw obywatelskich (RPO) przez prezesa Urzędu Ochrony Danych Osobowych (UODO).
• Sprawa niekontrolowanego dostępu do danych wierzycieli Getin Noble Bank została ujawniona w sierpniu ub.r. przez DGP. Chodziło o to, że każda z 27 tys. osób, które miały roszczenia względem upadającego banku, mogła zupełnie swobodnie podejrzeć dane należące do pozostałych wierzycieli. Wśród ujawnionych w ten sposób danych znajdowały się nr PESEL, dowodu osobistego lub treść umów kredytowych zawartych z Getin Bankiem.
• Do zbadania tej sprawy prawie natychmiast włączyli się RPO oraz prezes UODO, którzy zażądali od MS wyjaśnień i uszczelnienia systemu. Resort początkowo bagatelizował problem i wskazywał, że przyjęte rozwiązanie jest odzwierciedleniem mechanizmów występujących w przypadku akt papierowych dotyczących uczestników jednego postępowania. Wówczas również, odwiedzając sąd, można otrzymać dane dotyczące innych uczestników.
• „Obecnie po wysłaniu zgłoszenia wierzytelności użytkownik systemu KRZ uzyskuje dostęp ograniczony wyłącznie do podglądu dokumentów złożonych przez siebie (dostęp do własnej teczki wierzyciela). Pełen dostęp do całościowych akt postępowania oraz szczegółów postępowania, w tym danych pozostałych wierzycieli, jest możliwy dopiero po weryfikacji uczestnika przez doradcę restrukturyzacyjnego lub sąd” – czytamy w odpowiedzi nadesłanej przez prezesa UODO. Decyzję o zmianach podjął minister sprawiedliwości (MS).

Źródło: Dane wierzycieli w KRZ bezpieczniejsze – GazetaPrawna.pl

• Prezes UODO, uważa, że trzeba zmienić prawo telekomunikacyjne tak, by przy okazji ścigania naruszeń prawa autorskiego, nie pobierać informacji dotyczących innych aspektów życia danej osoby w zakresie dostępu organów ścigania do danych objętych tajemnicą telekomunikacyjną. Takie są konsekwencje wyroku TSUE w sprawie C-470/21.
• TSUE wskazał, że dostęp do takich danych jest możliwy. Jednak muszą one być przechowywane tak, by niemożliwe było wyciągnięcie precyzyjnych wniosków na temat życia prywatnego konkretnych osób. Chodzi o to, by nie było możliwe powiązanie identyfikatora jakim jest np. adres IP z innymi informacjami (np. dotyczącymi płatności kartą kredytową). Bo to już pozwalałoby na tworzenie profilu użytkownika.
• Zdaniem prezesa UODO takie doprecyzowanie należałoby wprowadzić do polskiego prawa telekomunikacyjnego. Jego zdaniem dziś nie mamy gwarancji, że przechowywane dane służyć będą wyłącznie zidentyfikowaniu osoby podejrzewanej o dopuszczenie się czynu zabronionego, i niemożliwe będzie „by, poza sytuacjami nietypowymi, dostęp ten mógł pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego posiadaczy adresów IP”.
• W kontekście kontroli sądowej Prezes UODO przypomina także o niedawnym wyroku Europejskiego Trybunału Praw Człowieka z 28 maja 2024 r. w sprawie Pietrzak, Bychawska-Siniarska i inni przeciwko Polsce (skargi nr 72038/17 i 25237/18). Sprawa dotyczyła ustawodawstwa polskiego, pozwalającego służbom na zbieranie informacji o obywatelach pod pretekstem walki z przestępczością i zagrożeniami dla bezpieczeństwa publicznego. ETPCz stwierdził, że w wyniku braku realnej kontroli nad prowadzeniem kontroli operacyjnej w ramach czynności operacyjno-rozpoznawczych oraz zbyt ogólnie sformułowanych przesłanek umożliwiających prowadzenie tej kontroli, doszło do naruszeń prawa do poszanowania życia prywatnego, rodzinnego oraz korespondencji – w odniesieniu do skarg dotyczących m.in. zatrzymywania danych komunikacyjnych do potencjalnego wykorzystania przez właściwe organy lub władze krajowe.

Źródło: Aktualności – UODO

• „Niniejsze rozporządzenie należy stosować zgodnie z wartościami Unii zapisanymi w Karcie, ułatwiając ochronę osób fizycznych, przedsiębiorstw, demokracji, praworządności oraz ochronę środowiska, a jednocześnie pobudzając innowacje i zatrudnienie oraz czyniąc Unię liderem w upowszechnianiu godnej zaufania AI” – czytamy w dokumencie.
• AI Act wejdzie w życie 1 sierpnia br., ale zacznie być stosowane w kilku transzach: od 2025 do 2027 roku. Jako pierwsze zaczną być stosowane przepisy dotyczące zabronionych systemów AI. Pełny kalendarz:
• W lutym 2025 r. zaczną być stosowane rozdziały I (przepisy ogólne) i II (zabronione systemy AI);
• W sierpniu 2025 r. będą miały zastosowanie: rozdział III, sekcja 4 (organy powiadamiające), rozdział V (modele AI ogólnego przeznaczenia), rozdział VII (zarządzanie), rozdział XII (poufność i kary), artykuł 78 (poufność), z wyjątkiem artykułu 101 (grzywny dla dostawców AI ogólnego przeznaczenia);
• W sierpniu 2026 r. zastosowanie będzie mieć cały Akt o sztucznej inteligencji, z wyjątkiem artykułu 6(1) i odpowiadających mu obowiązków (jedna z kategorii systemów AI wysokiego ryzyka);
• W sierpniu 2027 r. – zastosowanie będzie mieć też artykuł 6 (1).

Źródło: Akt o sztucznej inteligencji opublikowany w Dzienniku Urzędowym UE | CyberDefence24

• Nowe Prawo Komunikacji Elektronicznej (PKE) wprowadza regulacje, które mają poprawić sytuację konsumentów w relacjach z firmami telekomunikacyjnymi. Zmiany te obejmują kilka kluczowych obszarów, które podniosą jakość i transparentność usług telekomunikacyjnych. To fundamentalny akt prawny dla tego sektora gospodarki. Nowa regulacja zastąpi obecną ustawę – Prawo telekomunikacyjne.
• Nowe prawo wprowadza usługę Advanced Mobile Location (AML), dzięki której będzie można przekazywać precyzyjne informacje o lokalizacji osoby dzwoniącej na numer alarmowy 112 oraz inne trzycyfrowe numery alarmowe.
• Prawo zobowiązuje operatorów do tego, aby dostarczali konsumentom prostych i jasnych informacji o warunkach umowy, zanim ją podpiszą. Dzięki temu każdy użytkownik będzie mógł świadomie zdecydować, która oferta jest dla niego najlepsza. Przepisy mają też chronić konsumentów przed nieuczciwymi sprzedawcami usług telekomunikacyjnych, którzy odwiedzają klientów w domach bez wcześniejszego umówienia.
• Ustawa reguluje ponadto kwestię pieniędzy, które pozostają na kartach przedpłaconych (prepaid) po wygaśnięciu ważności konta. Operatorzy będą je zwracać właścicielom prepaidów.
• Nowa regulacja powtarza znany z p.t. model bezwarunkowego gromadzenia przez operatorów danych o wszystkich użytkownikach usług telekomunikacyjnych i ich udostępniania policji i innym uprawnionym podmiotom. Przeciwko tym rozwiązaniom występowali m.in. Urząd Ochrony Danych Osobowych i minister ds. UE. Są one bowiem niezgodne z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, a także – jak wskazywał UODO – z konstytucją, europejską konwencją praw człowieka i Kartą praw podstawowych Unii Europejskiej.

Żródło: Nowe Prawo Komunikacji Elektronicznej – co zmieni? – Ministerstwo Cyfryzacji – Portal Gov.pl (www.gov.pl); Prawo komunikacji elektronicznej. Jest ustawa, skończą się kary – GazetaPrawna.pl

• W związku z ujawnioną globalną awarią usług chmurowych UODO przypomina, że nie każda przerwa w dostępie do danych osobowych stanowi naruszenie ochrony danych.
• Awarie powodują duże zamieszanie i kłopoty w wielu branżach, również tych strategicznych, jak transport czy ochrona zdrowia. Wicepremier, minister cyfryzacji Krzysztof Gawkowski poinformował, że zgłaszane są przypadki awarii związanych z przerwą w dostępie do usług chmurowych, lecz nie dotyczą one infrastruktury krytycznej.
• Przerwa w dostępie do usług chmurowych i wynikający z tego brak dostępu do danych, w pewnych sytuacjach może skutkować naruszeniem praw i wolności osób. Jednak nie każde tego typu naruszenie wymaga zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych.
• Administrator każdorazowo powinien przeprowadzić analizę ryzyka i w przypadku stwierdzenia wystąpienia takiego naruszenia skutkującego ryzykiem dla naruszenia praw lub wolności osób zgłosić taki incydent organowi nadzorczemu. Warto podkreślić, że ryzyko będzie występowało w sytuacji prawdopodobieństwa wpływu tej sytuacji na prawa lub wolności jednostki, np. bezpośrednie zagrożenie dla zdrowia czy życia.
• Awaria ta potwierdza, fakt wynikający ze standardów RODO, że inwentaryzowanie zasobów w organizacjach jest bardzo ważne. Istotna jest też konieczność oceny ryzyka w kontekście dostępu do danych i wpływu możliwej awarii na ochronę osób, których dane są przetwarzane.

Żródło: Aktualności – UODO

• Prezes Urzędu Ochrony Danych Osobowych udzielił spółce upomnienia za naruszenie polegające na przetwarzaniu, bez podstawy prawnej, danych osobowych klienta (imienia i nazwiska, adresu poczty elektronicznej oraz NIP) w celu przesyłania drogą elektroniczną informacji o nieistniejących zaległościach w płatnościach za karty. Spółka nie zgodziła się z wydaną decyzją, więc wniosła skargę.
• Sprawą zajął się WSA w Warszawie, który wskazał, że klient i spółka byli stronami umowy o wydanie i używanie kart. Nie było też sporne, że klient otrzymywał informacje dotyczące niezaksięgowania płatności pomimo ich regulowania za pomocą złożonego w banku polecenia zapłaty.
• Sąd nie zgodził się z organem i uznał, że przetwarzanie danych osobowych miało podstawę prawną, ponieważ służyło wykonaniu łączącej strony umowy. Zgodnie bowiem z art. 6 ust. 1 lit. b RODO przetwarzanie jest zgodne z prawem, gdy – i w takim zakresie, w jakim – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
• Sąd wskazał, że jednym z elementów łączącej strony umowy było zobowiązanie do terminowego regulowania należności. Natomiast działania podejmowane w celu wyegzekwowania zobowiązań umownych, niezależnie od ich racjonalności, mieszczą się w zakresie pojęcia wykonania umowy, o którym mowa w art. 6 ust. 1 lit. b RODO. WSA podkreślił, że przesyłanie klientowi korespondencji dotyczącej ewentualnie nieuregulowanych płatności miało bezpośredni związek z wykonywaniem umowy.
• WSA stwierdził, że w gestii Prezesa UODO nie leży wypowiadanie się w kwestii istnienia albo nieistnienia należności wynikających z umowy cywilnoprawnej. Tymczasem w uzasadnieniu zaskarżonej decyzji organ przesądził, że klient nie zalegał z opłatami za korzystanie z usług spółki. WSA uchylił zaskarżoną decyzję.

Źródło: Informowanie o konsekwencjach nieterminowej płatności nie narusza RODO (prawo.pl)

• Polska powinna zmienić Prawo telekomunikacyjne w zakresie zasad dostępu „uprawnionych podmiotów” do danych objętych tajemnicą telekomunikacyjną. Obecnie uprawnienia wymiaru sprawiedliwości są zbyt szerokie.
• TSUE orzekł w sprawie C-178/22 Procura della Repubblica presso il Tribunale di Bolzano, że artykuł 15 ust. 1 dyrektywy o prywatności i łączności elektronicznej (2002/58/WE) pozwala sądom krajowym na wydawanie zgody na dostęp do danych telekomunikacyjnych. W tej konkretnej sprawie, uwzględniając włoskie prawodawstwo, zastrzegł jednak, że muszą być tu spełnione następujące warunki: musi chodzić o postępowanie w sprawie przestępstwa zagrożonego karą nie mniejszą niż 3 lata pozbawienia wolności; muszą istnieć wystarczające przesłanki popełnienia takich przestępstw; dane muszą być istotne dla ustalenia okoliczności faktycznych.
• Prawo krajowe nie może pozwalać na dostęp do danych telekomunikacyjnych na zasadach generalnej prewencji. Taki dostęp jest uzasadniony wyłącznie w przypadku zwalczania poważnej przestępczości lub zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego.
• W polskim prawie zasady możliwości pozyskania danych telekomunikacyjnych na potrzeby postępowania karnego zostały uregulowane w art. 218 § 1 Kodeksu postępowania karnego i w art. 180c i art. 180d Prawa telekomunikacyjnego. Dane te mogą być ujawniane, jeżeli mają znaczenie dla toczącego się postępowania. Przepisy nie mówią jednak wprost i precyzyjnie, że dostęp do danych uwarunkowany jest wagą przestępstwa i jego rodzajem. Nie zakładają też, że wniosek organu ścigania o dane osobowe jest poddawany weryfikacji.
• Prezes UODO przypomina jednocześnie, że parlament proceduje już projekt ustawy Prawo komunikacji elektronicznej (druk sejmowy nr 423), w którym zawarte są rozwiązania takie same jak dotychczas , niezgodne z orzecznictwem TSUE.

Źródło: Aktualności – UODO

• BiocertiX to system do składania podpisu własnoręcznego na tablecie Samsung za pomocą rysika. Wykorzystywane w tym celu jest oprogramowanie Xtension – rejestrujące i szyfrujące dane biometryczne. Rozwiązanie to łączy tradycyjny podpis z nowoczesną technologią.
• Natomiast wiarygodność całego procesu zapewniają kwalifikowane usługi Asseco: pieczęć elektroniczna i znacznik czasu oraz sprzętowy moduł depozytu klucza chroniącego dane biometryczne. Dane te są zaszyfrowane i powiązane z konkretnym podpisem. Mogą być ujawnione jedynie biegłemu z zakresu grafologii na podstawie decyzji sądu.
• Artur Miękina, dyrektor sprzedaży Projektowej i Rozwoju e-Biznesu w Asseco Data Systems objaśnia, że rozwiązanie jest na tyle intuicyjne, że nie wymaga znajomości technologii. „biocertiX wpisuje się w ekosystem rozwiązań paperless i uzupełnia paletę narzędzi cyfrowych w procesach on-site. Z perspektywy użytkownika wykorzystanie podpisu biometrycznego jest tożsame z podpisywaniem dokumentów zwykłym długopisem, ale o wiele bezpieczniejsze. Ponadto zachowuje pełną moc prawną i dowodową w przypadku sporów sądowych” – tłumaczy.
• BiocertiX zbiera unikalne dane biometryczne osoby, która składa podpis, takie jak: charakterystyka pisma odręcznego, siła nacisku rysika na ekran czy szybkość pisma. Następnie – poprzez odpowiednie algorytmy kryptograficzne – wiąże te informacje z podpisywaną treścią. Tym samym użytkownik zyskuje pewność, że jego podpis nie będzie przez nikogo podrobiony. Dodatkowo, w podpisanym dokumencie, system umieszcza informacje, które w przyszłości pozwolą potwierdzić tożsamość podpisującego, ale także czas złożenia podpisu i poprawność przeprowadzonego procesu.
• W sytuacjach spornych, organizacja może udostępnić biegłemu grafologowi informacje pozwalające potwierdzić prawdziwość złożonego podpisu.

Żródło: Rewolucja na rynku. Wspólny certyfikowany podpis biometryczny od Asseco, Samsung i Xtension | CyberDefence24