RODO aktualności – 04.06.2024 r.

• Do poparcia danej inicjatywy trzeba zebrać – oprócz podpisów – takie dane jak: imię, nazwisko, nr PESEL oraz adres. Dodatkowo każda strona listy poparcia musi zawierać nazwę komitetu i samej inicjatywy. Jest to więc zestaw danych dotyczących obywateli, które mogą ujawniać także ich poglądy polityczne lub przekonania światopoglądowe.
• Administratorem danych jest komitet inicjatywy ustawodawczej i na niego spadają obowiązki wynikające z RODO.
• Jak wynika z informacji, która wpłynęła do UODO, Komitet Inicjatywy Ustawodawczej „Stop LGBT”, który zbierał podpisy, robił to tak, że listy poparcia nie były chronione.
• Jak wskazano, w jednym z kościołów listy „leżały sobie spokojnie na ołtarzach bocznych, a w tygodniu na stoliku z prasą katolicką pod chórem. (…) Każdy może je sfotografować, a nawet bez najmniejszego problemu wynieść z kościoła. A tam są dane wrażliwe, bo przecież ujawniają także konkretny światopogląd i wyznanie. Dane wrażliwe osób wystawione są na niczym nieograniczoną dostępność (…)”.
• Administrator potwierdził, że opisana sytuacja miała miejsce, ale w jego ocenie do naruszenia przepisów RODO nie doszło. Postępowanie przeprowadzone przez Prezesa UODO wykazało jednak naruszenie wielu przepisów RODO, w tym tych, które odnoszą się do kwestii bezpieczeństwa danych osobowych.

Żródło: Kara Prezesa UODO dla autorów inicjatywy Stop LGBT. Za co? – GazetaPrawna.pl

• Stowarzyszenie sportowe „Maraton” z Gorlic organizowało zawody i na Facebooku opublikowało listę uczestników. Zawodnicy wyrazili zgodę na przetwarzanie swoich danych. Problem polegał jednak na tym, że choć w samym wpisie w arkuszu kalkulacyjnym widać było tylko imię, nazwisko, płeć, klub i miejscowość, to po pobraniu pliku okazywało się, że są tam jeszcze ukryte informacje. Po edycji pliku, widać było informacje o adresie e-mail i dacie urodzenia. Pozwalało to na zidentyfikowanie lub nawiązanie kontaktu w tymi osobami.
• Prezes UODO otrzymał, od osoby trzeciej, sygnał dotyczący incydentu i poprosił administratora o wyjaśnienia. Stowarzyszenie przyznało, że doszło do pomyłki. Winą za ten błąd władze stowarzyszenia obarczyły wolontariusza pracującego przy zawodach. Prezes UODO wyjaśnił wtedy procedurę wynikającą z RODO. W przypadku takiego incydentu należy ocenić ryzyko, na jakie narażone zostały osoby, których dane ujawniono. Ta analiza powinna dać odpowiedź na pytanie, czy o incydencie należy zawiadamiać organ nadzorczy.
• Prezes UODO kilkakrotnie prosił o udzielenie informacji, ale ich nie otrzymał. W końcu wszczął postępowanie administracyjne. Poprosił o wskazanie liczby osób, których dane osobowe zostały udostępnione na portalu społecznościowym w formie listy uczestników zawodów sportowych. Odpowiedzi nie otrzymał. Wobec tego przyjął, na podstawie materiału dowodowego zebranego w sprawie, że naruszenie mogło dotyczyć około stu osób oraz, że Stowarzyszenie nie przeprowadziło oceny ryzyka jakie dla tych osób wynika z ujawnienia ich danych.
• To, że na listach zawodników nie było numeru PESEL, nie znaczy że osób tych nie można zidentyfikować. Ryzyko nie było wysokie, ale nie można go ignorować. Zdaniem PUODO, gdyby Stowarzyszenie przeprowadziło to rozumowanie, wiedziałoby, że ma prawny obowiązek – jako administrator tych danych – zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO.

Żródło: Aktualności – UODO

• W AI Act wyraźnie zaznaczono, że przepisy w nim zawarte nie naruszają przepisów RODO. Nie jest to jednak prosta relacja oparta na zasadzie: przepis ogólny – przepis szczególny, bo oba akty prawne dotyczą tak naprawdę innych kwestii. W AI Act zawarto klasyfikację systemów opartych na sztucznej inteligencji bez względu na to, czy z ich wykorzystaniem przetwarzane są dane osobowe, czy też nie.
• Duże znaczenie będzie mieć w tym kontekście to, o jakiego rodzaju systemie AI mówimy, największe problemy będą bowiem sprawiać te, które funkcjonują na zasadach otwartych – a więc korzystają z zasobów dostępnych w Internecie. Wówczas trudno jest sprecyzować, jakie konkretnie dane są przetwarzane, a więc wzrasta również ryzyko potencjalnych naruszeń bezpieczeństwa ochrony danych osobowych.
• W przyjętej wersji AI Act – art. 27 ust. 4 – wskazano, że na przykład przy wykonywaniu oceny skutków dla ochrony danych osobowych i oceny wpływu na prawa podstawowe (które są obowiązkiem na podstawie Aktu o sztucznej inteligencji) tych obowiązków nie trzeba będzie powtarzać, przynajmniej w tym zakresie, w jakim się pokrywają. Zasadniczo jednak pierwszym krokiem jest dokonanie kwalifikacji tego, kim jesteśmy – czy jesteśmy dostawcą, podmiotem stosującym, czyli wdrażającym system oparty na sztucznej inteligencji itp. Są wówczas konkretne przepisy, które będą nas dotyczyć.
• Nie możemy przy tym zapominać, że jeżeli w przypadku konkretnych systemów AI będziemy również kwalifikowani jako administratorami lub podmioty przetwarzające dane osobowe, to nadal będą nas także obowiązywały przepisy RODO. Mec. Piechocki wskazuje też, że z perspektywy RODO warto, aby przedsiębiorca zastanowił się na przykład, czy uzyskał zgodę na przetwarzanie danych osobowych, a jeśli nie – czy może powołać się np. na uzasadniony interes. Jest też duże prawdopodobieństwo, że konieczna będzie aktualizacja obowiązku informacyjnego wobec podmiotów danych.

Źródło: Relacja AI Act i RODO – problemy dla firm (prawo.pl)

• Europejska Rada Ochrony Danych udostępniła pierwszy raport z badań swojej grupy zadaniowej GPT. Wnioski z nich płynące nie są jednak korzystne dla popularnego chatbota.
• Podmiot ten zauważył wysiłki firmy OpenAI, mające na celu dostosowanie swojego flagowego modelu sztucznej inteligencji ChatGPT do przepisów Unii Europejskiej, w tym kompleksowego ogólnego rozporządzenia o ochronie danych (RODO). Ostatecznie jednak uznano je za niewystarczające.
• OpenAI spędziło większą część 2024 r. na zajmowaniu się tymczasowymi poleceniami kilku europejskich państw członkowskich. Na początku obecnego r. włoska agencja ochrony danych stwierdziła, że ChatGPT i OpenAI nadal naruszają włoskie i unijne przepisy dotyczące ochrony danych, mimo że otrzymały ostrzeżenie, a następnie zostały zakazane w marcu 2023 r.
• Według najnowszego raportu od EROD, OpenAI nie zrobiło od tamtego czasu wystarczająco dużo, aby dostosować ChatGPT do prawa obowiązującego na terenie UE.
• Głównym zarzutem kierowanym w stronę ChatGPT jest to, iż często podaje on niedokładne informacje. Co więcej, może przedstawiać stronnicze bądź zmyślone wyniki. W raporcie wyrażono również obawy o to, że dane wyjściowe dostarczone przez ChatGPT prawdopodobnie zostaną uznane przez użytkowników końcowych za zgodne z faktami, niezależnie od tego, czy są dokładne, czy nie.
• Obecnie nie jest jasne, w jaki sposób OpenAI mogłoby zapewnić zgodność ChatGPT z przepisami. Dla przykładu model GPT-4 zawiera miliardy punktów danych i około biliona parametrów. Stąd też przeczesanie zbioru danych w celu sprawdzenia jego dokładności w stopniu pozwalającym na stwierdzenie, że jest on w miarę dokładny w świetle standardów RODO, byłoby wręcz niemożliwe dla człowieka. Europejski organ argumentuje jednak, iż nie można powołać się na niemożność techniczną w celu usprawiedliwienia nieprzestrzegania wspomnianych wymogów.

Źródło: ChatGPT generuje zbyt dużo fałszu, aby być zgodnym z przepisami, twierdzi UE – Comparic

• Z najnowszego badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów wynika, że co czwarty Polak zgodziłoby się udostępnić swoje dane osobowe w zamian za dodatkowe korzyści.
• Badanie ujawnia, że 94 proc. respondentów uważa dane osobowe za rzecz cenną, jednak społeczeństwo nie jest jednomyślne w kwestii ich ochrony. Większość, bo 53 proc., jest zdania, że należy je chronić za wszelką cenę, ale jest też znacząca grupa, 41 proc., która uważa, że w pewnych sytuacjach można je udostępnić.
• Różnice w podejściu do ochrony danych osobowych widoczne są również w zależności od płci, wieku oraz miejsca zamieszkania. Kobiety (59 proc.) częściej niż mężczyźni (47,1 proc.) deklarują chęć ochrony danych za wszelką cenę. Największą ostrożność wykazują osoby w wieku 45-54 lata oraz mieszkańcy mniejszych miast i wsi.

Żródło: Nie dbamy o bezpieczeństwo danych osobowych. Eksperci alarmują: co czwarty Polak udostępni wrażliwe dane za dodatkowe korzyści (msn.com)

• O tym, jak obecnie wygląda wdrażanie przepisów unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO) oraz o nadciągającym tsunami aktów prawnych dotykających świata cyfrowego i sztucznej inteligencji dyskutowali uczestnicy konferencji „Ochrona danych osobowych 2018-2024. Wyzwania w cyfrowej rzeczywistości”, która odbyła się w środę, 22 maja.
• – Jeżeli chodzi o ocenę RODO,  to nie ma aktu prawnego, który byłby idealny, najczęściej jego jakość poznaje się „w boju”, w trakcie funkcjonowania – tłumaczył Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych (UODO). Jego zdaniem, mimo upływu sześciu lat od daty wejścia w życie tego rozporządzenia, jego stosowanie wciąż przysparza problemów. Zarzewiem konfliktów jest m.in. art. 32 RODO, czyli bezpieczeństwo przetwarzania danych. Z jego stosowaniem mają kłopoty m.in. administratorzy. Wciąż nie wszyscy wiedzą, jakie mają spełniać wymagania.
• W opinii prezesa UODO, największym jednak problemem są wyzwania o charakterze technicznym i ochrona danych osobowych w świecie cyfrowym i nadchodząca fala aktów prawnych dotyczących cyfryzacji. Mirosław Wróblewski zwracał uwagę, że nadal niezbędna jest edukacja.
• Bardzo ważne jest również podejście systemowe od ochrony danych. – Pomału biznes zmienia podejście do sposobu zapewnienia zgodności z RODO i przygotowuje kodeksy zapewniające zgodność z RODO – chwalił prezes UODO.
• W wielu przypadkach administratorzy nie zbudowali systemu ochrony danych osobowych i całą odpowiedzialności przesunęli na inspektorów ochrony danych osobowych – wyjaśniała dr Edyta Bielak-Jomaa. Według niej, wielu administratorów wciąż nie do końca wie, o co chodzi w ochronie danych osobowych. Ale administrator administratorowi nierówny. Ci działający w biznesie mają inne możliwości i zasoby finansowe, aniżeli administratorzy działający w sferze publicznej, np. szkoły wyższe.

Żródło: Mija sześć lat obowiązywania RODO, jakie są problemy? (prawo.pl)

• 23 maja br., podczas 93. posiedzenia plenarnego Europejska Rada Ochrony Danych (EROD) przyjęła Opinię w sprawie wykorzystania technologii rozpoznawania twarzy przez operatorów portów lotniczych i przez linie lotnicze w celu usprawnienia przepływu pasażerów na lotniskach. Opinia ta została wydana na podstawie art. 64 ust. 2 RODO na wniosek francuskiego organu ochrony danych.
• Przewodnicząca EROD Anu Talus powiedziała: „Coraz więcej operatorów portów lotniczych i linii lotniczych na całym świecie pilotuje systemy rozpoznawania twarzy, które umożliwiają pasażerom łatwiejsze przechodzenie przez różne punkty kontrolne. Ważne jest, aby mieć świadomość, że dane biometryczne są szczególnie chronione i że ich przetwarzanie może stwarzać znaczne ryzyko dla osób fizycznych. Technologia rozpoznawania twarzy może prowadzić do fałszywych wyników, uprzedzeń i dyskryminacji. Niewłaściwe wykorzystanie danych biometrycznych może mieć również poważne konsekwencje, takie jak kradzież tożsamości lub podszywanie się pod inne osoby.
• W swojej opinii EROD rozważyła zgodność przetwarzania danych biometrycznych pasażerów z czterema różnymi rodzajami rozwiązań w zakresie przechowywania, począwszy od takich, w których dane biometryczne są przechowywane wyłącznie w rękach osoby fizycznej, a skończywszy na rozwiązaniach, które opierają się na scentralizowanej architekturze przechowywania danych w różnych wariantach. We wszystkich przypadkach należy przetwarzać wyłącznie dane biometryczne pasażerów, którzy aktywnie się rejestrują i wyrażają zgodę na uczestnictwo.
• Ponadto, rozwiązania oparte na przechowywaniu danych w scentralizowanej bazie danych w porcie lotniczym lub w chmurze, bez kluczy szyfrujących znajdujących się w rękach danej osoby, nie mogą być zgodne z wymogami ochrony danych już w fazie projektowania i domyślnej ochrony danych, a jeżeli administrator ograniczy się do środków opisanych w przeanalizowanych scenariuszach, nie spełniałyby wymogów bezpieczeństwa przetwarzania.

Źródło: Aktualności – UODO

• D.D. złożył skargę do UODO, wskazując, że w marcu 2021 roku złożył wniosek o kartę kredytową, który został odrzucony przez Bank. Bank podał ogólne powody odmowy, takie jak wiek i zatrudnienie, co D.D. uznał za odpowiedź szablonową, nieodnoszącą się do jego sytuacji. W marcu 2021 roku D.D. zwrócił się do Banku, powołując się na art. 15 ust. 1 i 3 RODO, z prośbą o przesłanie kopii jego danych osobowych, szczególnie dotyczących historii i zdolności kredytowej, udzielenie informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, które miało wpływ na odmowę wydania karty kredytowej, oraz wskazanie konkretnych czynników wpływających na ocenę jego wniosku.
• Bank odmówił przekazania kopii danych, sugerując, że wniosek musi być złożony osobiście w oddziale.
• D.D. złożył skargę do Prezesa UODO, żądając wszczęcia postępowania, kontroli Banku oraz nałożenia sankcji w przypadku stwierdzenia naruszeń prawa. Zażądał również zobowiązania Banku do udzielenia jednoznacznych informacji o przyczynach odmowy wydania karty kredytowej oraz przekazania kopii jego danych osobowych.
• Zdaniem WSA w Warszawie działanie Banku stanowiło prawidłową realizację przez Bank art. 12 ust. 6 RODO. Wbrew zatem twierdzeniom Prezesa UODO zawartym w uzasadnieniu zaskarżonej decyzji – Bank zwrócił się do Uczestnika o wskazanie dodatkowych informacji niezbędnych do potwierdzenia jego tożsamości – okazanie dowodu osobistego w placówce Banku.
• Warto też wskazać, że Bank w toku postępowania administracyjnego wskazywał w pismach procesowych kierowanych do organu i do Uczestnika, że “przyjęty przez Bank sposób identyfikacji osób wynika ze szczególnego traktowania ochrony danych osobowych, w szczególności w zakresie ich nieuprawnionego ich ujawnienia.”

Źródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7201435907088871424-9lkZ?utm_source=share&utm_medium=member_desktop

• Firma Open AI zaprezentowała w zeszłym tygodniu odświeżoną wersję Chatu GPT, w której znalazł się syntezator mowy zwany „Sky”. Przez wielu jest on kojarzony z głosem Scarlett Johansson, która przed laty w filmie „Ona” udzieliła głosu Samanthcie – humanoidalnemu systemowi operacyjnemu, w którym zakochał się główny bohater filmu Spike’a Jonze’a.
• Amerykańska aktorka w poniedziałek oskarżyła korporację o stworzenie głosu dla systemu ChatGPT, który brzmiał „niesamowicie podobnie” do jej głosu. Johansson wspomniała również o tym, jak we wrześniu ubiegłego roku szef firmy Sam Altman złożył jej propozycję udźwiękowienia systemu ChatGPT 4.0. Miał stwierdzić, że głos Johansson byłby dla ludzi pocieszający. Aktorka jednak odrzuciła ją z „powodów osobistych”.
• Dyrektor generalny OpenAI Sam Altman przekazał w oświadczeniu przesłanym w poniedziałek do Reutersa, że głos Sky nie był imitacją Johansson, ale należy do innej zawodowej aktorki. Firma przyznała również, że „zabrakło wystarczająco dobrej komunikacji” i przeprosiła za wszelkie nieporozumienia.
• Scarlett Johansson zatrudniła prawnika, który wysłał Altmanowi dwa pozwy w tej sprawie, w których poproszono o szczegółowe opisanie procesu, w ramach którego stworzono głos 'Sky’. „W rezultacie OpenAI niechętnie zgodziło się na usunięcie głosu 'Sky'” – czytamy w oświadczeniu aktorki.

Żródło: Scarlett Johansson „zszokowana i zła” przez działania OpenAI. Zareagował jej prawnik (gazeta.pl); Scarlett Johansson pozywa sztuczną inteligencję. Spółka OpenAI ukradła jej głos? – Bankier.pl