RODO aktualności – 06.05.2024 r.

• Cyberprzestępcy atakują firmy, a ich bronią jest kampania spamowa. W drugim półroczu zeszłego roku Polska była narażona na zagrożenia hakerskie bardziej niż jakikolwiek inny kraj na świecie. Analitycy wskazują, że blisko co czwarty ze wszystkich przeprowadzonych ataków wykrywany był właśnie w Polsce (23,5%).
• Firma ESET opublikowała dane, według których polskie firmy były najczęstszym na świecie obiektem cyberataków w drugiej połowie 2023 roku. Powstrzymano wówczas aż 26 000 naruszeń cyberbezpieczeństwa. Przestępcy mieli wykorzystywać przejęte konta do wysyłania wyjątkowo wiarygodnie wyglądającego spamu. Celem kampanii przy wykorzystaniu spamu miało być uzyskanie danych uwierzytelniających przechowywanych w przeglądarkach lub przez klientów poczty e-mail, co otwierało możliwości dalszych ataków.
• Hakerzy mieli bardzo obszernie sprawdzać informacje, wykorzystując nazwy polskich firm i dodając wiarygodnie wyglądające stopki, nazwiska pracowników czy właścicieli oraz ich dane kontaktowe. W ten sposób, kiedy osoba do której doszła fałszywa wiadomość mogła wpisać nadawcę wiadomości w wyszukiwarce internetowej, odnajdując prawdziwą osobę i być bardziej skłonna do otwarcia załącznika, zawierającego złośliwe oprogramowanie.
• Cyberataki odnotowane zostały także w innych krajach, lecz znacznie mniej intensywnie – w Ukrainie stanowiło to 8,6 proc. ogółu nielegalnej działalności, w Hiszpanii 6,9%., Serbii 5,7%, Turcji 5,3%, Włoszech 3,8%, Peru 3,7%, Brazylii 3,1%,, Bułgarii 2,3% oraz Meksyku 2,3%.

Żródło: Firmy na celowniku cyberprzestępców. Najwięcej ataków na Polskę – Polsat News

• Zarówno w Polsce, jak i w innych krajach UE dowody osobiste zawierają odwzorowanie linii papilarnych właściciela dowodu. Wymóg ten wynika z unijnego rozporządzenia 2019/1157 w sprawie poprawy zabezpieczeń dowodów osobistych obywateli Unii. Uzasadnieniem dla jego wprowadzenia były chęć lepszego zabezpieczenia dokumentów przed fałszowaniem i ułatwienie weryfikacji ich autentyczności.
• Argumenty te nie przekonały Digitalcourage – niemieckiej organizacji zajmującej się ochroną prywatności i prawami cyfrowymi. Jej zdaniem odciski palców mogą jedynie potwierdzać, czy dowód osobisty należy do osoby, która się nim posługuje, ale w żaden sposób nie ułatwiają weryfikacji jego autentyczności. Istnieje też ryzyko przejęcia danych zawierających cyfrowy odcisk palców przez przestępców. To zaś zwiększy radykalnie ryzyko kradzieży cyfrowej tożsamości. Argumentacja ta zasiała ziarno wątpliwości w niemieckim sądzie, który skierował do TSUE wniosek prejudycjalny.
• Trybunał nie dopatrzył się niezgodności z RODO. Przede wszystkim uznał, że przed przyjęciem rozporządzenia organy UE nie były zobowiązane do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. A to dlatego, że samo rozporządzenie nie wiąże się jeszcze z przetwarzaniem danych – jego dokonują dopiero państwa członkowskie.
• Unijny akt nie narusza też Karty praw podstawowych UE. Owszem prawo do prywatności jest ograniczone poprzez obowiązek zamieszczania odcisków dwóch palców w dowodach, ale ograniczenie to jest uzasadnione. Przede wszystkim dlatego, że przyczynia się do ułatwienia obywatelom UE korzystania z prawa do swobodnego przemieszczania się między państwami członkowskimi.
• TSUE uznał jednak, że rozporządzenie jest nieważne, gdyż przyjęto je w zwykłej procedurze na podstawie art. 21 Traktatu o funkcjonowaniu UE. Ze względu na regulowaną materię powinno zaś zostać przyjęte w specjalnym reżimie regulowanym art. 77 ust. 3 traktatu. Akt ma być jednak stosowany do wydania nowego rozporządzenia, co ma nastąpić nie później niż do końca 2026 r.

Żródło: Odcisk palca w dowodzie osobistym zgodny z prawem UE – GazetaPrawna.pl

• Austriacki NSA wydał wyrok dotyczący zastosowania art. 22 RODO do algorytmu stosowanego przez Publiczną Służbę Zatrudnienia. Algorytm został zaprojektowany, aby pomóc doradcom zawodowym w ocenie potencjału osób poszukujących pracy w oparciu o różne kryteria, z wyłączeniem czynników osobistych, takich jak motywacja czy status finansowy.
• NSA uznał, że algorytm ten stanowi zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO, pomimo jego doradczego charakteru i podejmowania ostatecznych decyzji przez doradców.
• Główną osią sporu było to, czy korzystanie z algorytmu (AMAS) bez wyraźnej podstawy prawnej wynikającej z prawa austriackiego narusza RODO. Federalny Sąd Administracyjny początkowo orzekł na korzyść administratora danych, stwierdzając, że ostateczna decyzja należy do ludzkich doradców, a zatem nie opiera się wyłącznie na zautomatyzowanym przetwarzaniu. Interpretacja ta sugerowała zgodność AMAS z RODO, podkreślając rolę doradców w krytycznej ocenie zaleceń algorytmu. Austriacki organ ochrony danych zakwestionował jednak takie podejście.
• NSA wyjaśnił, że wyniki algorytmu mieszczą się w zakresie zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 ust. 1 RODO. Ustalenie to opierało się na założeniu, że wyniki algorytmu – kategoryzowanie osób poszukujących pracy w grupy na podstawie prawdopodobieństwa ich integracji na rynku pracy – znacząco wpływają na decyzje doradców.
• Zdaniem NSA czysto formalne rozdzielenie decyzji, na którą istotny wpływ miało zautomatyzowane przetwarzanie danych, od samego przetwarzania danych, nie stoi na przeszkodzie zakwalifikowaniu tej decyzji jako zautomatyzowanej w rozumieniu art. 22 RODO. Sąd podkreślił, że interwencja człowieka wyłącza przetwarzanie danych z zakresu art. 22 RODO tylko wtedy, gdy taka interwencja stanowi coś więcej niż tylko przypieczętowanie zaleceń algorytmu.

Źródło: https://www.linkedin.com/posts/mateusz-kupiec-cipp-e-289700121_gdpr-rodo-profiling-activity-7178294972624846848-R9-4?utm_source=share&utm_medium=member_desktop

• Przedstawiciel koncernu, do którego należą Facebook i Instagram, zapowiedział obniżenie opłat za korzystanie z tych serwisów społecznościowych w wersji bez udostępniania danych osobowych.
• Obniżka ma wynieść 40 proc.: z obecnej ceny subskrypcji wynoszącej 9,99 euro miesięcznie do 5,99 euro. Dopłata za każde połączone konto spadnie zaś z 6 euro do 4 euro miesięcznie. Takie zmiany prawnik Mety Tim Lamb zadeklarował we wtorek podczas zorganizowanego przez Komisję Europejską spotkania roboczego poświęconego unijnemu aktowi o rynkach cyfrowych (DMA, obowiązuje od 7 marca). Firma nie podała dotychczas, od kiedy nowe warunki będą obowiązywać.
• Jak cytuje Reuters, Tim Lamb powiedział Komisji, że to najniższa rozsądna cena za korzystanie z usług tej jakości co Facebook i Instagram. „W tej chwili panuje niepewność regulacyjna i należy ją szybko opanować” – dodał.
• Płatny dostęp do swoich największych platform Meta wprowadziła na teranie Europejskiego Obszaru Gospodarczego (EOG) w listopadzie ub.r. Od tego czasu użytkownik może albo zapłacić za używanie Facebooka i Instagrama bez reklam, albo zgodzić się na przetwarzanie swoich danych osobowych na potrzeby reklamowe (tzw. system „pay or okay”).
• Wysoka cena płatnych subskrypcji od początku budzi duże kontrowersje. Obrońcy prywatności kwestionują jej zgodność z RODO – cena przekracza bowiem raportowane przez koncern przychody osiągane z jednego użytkownika w Europie. W tej sytuacji dobrowolność zgody na zbieranie danych osobowych wydaje się wątpliwa. Dlatego austriacka organizacja NOYB, założona przez Maxa Schremsa, w listopadzie ub.r. złożyła do austriackiego organu ochrony danych skargę na subskrypcje Mety.

Żródło: Facebook i Instagram będą tańsze. Ile będą kosztować? – GazetaPrawna.pl

• RODO nie nakłada obowiązków administratora danych na osobę fizyczną, która przetwarza dane osobowe w trakcie czynności o czysto osobistym lub domowym charakterze, co stanowi tak zwane wyłączenie do celów domowych. Działalność osobista lub domowa może między innymi polegać na: korespondencji, przechowywaniu adresów, czy podtrzymywaniu więzi społecznych.
• Jednak niektórych przypadkach wyłączenie do celów domowych może nie obejmować czynności użytkownika i można uznać, że użytkownik przejmuje część obowiązków administratora danych. Zdaniem Grupy Roboczej art. 29 niektóre działania w ramach social mediów mogą wykraczać poza działania o czysto osobistym lub domowym charakterze, na przykład gdy social media są stosowane jako platforma współpracy w ramach stowarzyszenia lub przedsiębiorstwa.
• W myśl opinii Grupy Roboczej, gdy dostęp do informacji na social mediach mają osoby spoza grona samodzielnie wybranych kontaktów lub dane są indeksowane przez wyszukiwarki, dostęp wykracza poza sferę osobistą lub domową.
• W przypadku, gdy użytkownik zostanie uznany za administratora danych, obowiązywać go będą wymogi wynikające z RODO. W takim wypadku dane osobowe muszą być m.in. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).
• Ponadto, jeżeli na profilu zbierane są dane osobowe jego użytkowników, na Administratorze danych ciąży obowiązek informacyjny, który musi spełniać wymogi art. 13 i art. 14 RODO.

Żródło: Ujawnienie danych osobowych w mediach społecznościowych (poradnikprzedsiebiorcy.pl)

• Najnowsze dane SAS wskazują, że co dziesiąta firma nie ma żadnego planu w zakresie dostosowania swoich technologii AI do przepisów. Chodzi m.in. zarówno o rozporządzenia o ochronie danych osobowych (RODO), jak i unijny AI Act. Analitycy twierdzą, iż w 44 proc. przypadków to brak zrozumienia zapowiadanych rozwiązań prawnych.
• Możliwości tej technologii w kontekście strategicznych decyzji dostrzega już 42% polskich menedżerów – wynika z najnowszych badań SAS. Kłopot stanowią jednak liczne wyzwania. Choć dominują te związane z obawami pracowników (40%) i brakami kompetencyjnymi w firmach (34%), to lekceważone nie mogą być też bariery natury regulacyjnej. Co trzeci badany zdaje sobie sprawę, że sytuacja prawna w kontekście AI jest niepewna.
• Na poziomie Unii Europejskiej sztuczną inteligencję w ramy prawne wziął AI Act, przyjęty w marcu przez Parlament Europejski. Prace legislacyjne nad jego osadzeniem na polskim gruncie dopiero ruszają. W ramach pierwszego etapu konsultacji Ministerstwo Cyfryzacji (MC) zapyta m.in., czy powinien powstać nowy, przeznaczony temu obszarowi organ nadzoru rynku. Regulacja bazuje na podejściu opartym na ryzyku, „uzależniając obowiązki dostawców i podmiotów wdrażających modele i systemy AI od potencjalnego ryzyka wyrządzenia szkód obywatelom, społeczeństwom i gospodarkom”.
• Niestety podejście firm stosujących systemy AI nie napawa optymizmem. Eksperci SAS podkreślają, że ankietowani przedsiębiorcy wykazują się dużą dozą pewności w zakresie zgodności swoich rozwiązań z nowymi lub zapowiadanymi przepisami. Prawie połowa respondentów wyraziła daleko idące przekonanie, że ich oprogramowanie wykorzystujące AI spełni wymogi prawa, a kolejne 36 proc. była o tym przekonana „do pewnego stopnia”. Dzieje się tak, gdyż firmy w dużej mierze oczekują, że zadba o to zewnętrzny dostawca technologii.
• Firmy i instytucje bardziej niż kiedykolwiek muszą więc zachować należytą staranność przy wyborze dostawcy.

Żródło: Firmy nie mają planu na AI. Kto weźmie odpowiedzialność za algorytmy – rp.pl

• Z ZUS wyciekły dane ok. 300 osób fizycznych w postaci imion, nazwisk, dat i miejsc urodzenia, adresu zamieszkania, numeru PESEL, numeru dowodu osobistego oraz numeru rachunku bankowego.
• Za wyciek odpowiada pracownik ZUS będący członkiem jednego ze związków zawodowych działających w Zakładzie, który drogą mailową wysłał je na prywatny adres mailowy wiceprzewodniczącego związku zawodowego, który już nie jest pracownikiem ZUS (a wcześniej, gdy pracował jeszcze w ZUS, był przewodniczącym związku na poziomie zakładowym).
• Fakt, że doszło do takiej sytuacji potwierdził serwisowi Prawo.pl Paweł Żebrowski, rzecznik prasowy ZUS. – System bezpieczeństwa w Zakładzie Ubezpieczeń Społecznych wykrył incydent związany z naruszeniem danych osobowych przez pracownika. Sprawa została zgłoszona m.in. do Prezesa Urzędu Ochrony Danych Osobowych. ZUS złożył również zawiadomienia do prokuratury. Zgodnie z przepisami Zakład poinformuje o incydencie osoby, których ta sprawa dotyczy. Wobec pracownika ZUS zostały wyciągnięte konsekwencje służbowe.
• Jak podkreśla jeden z ekspertów, w tego rodzaju sytuacjach odróżnia się, czy w posiadanie danych osoba weszła przy pełnieniu funkcji związkowej, czy przy okazji wykonywania pracy. Zgodnie bowiem z art. 28 ustawy o związkach zawodowych związki mogą żądać informacji niezbędnej do działalności związkowej. Ta informacja nie spełnia tego wymogu, ponieważ to jest informacja poufna dotycząca klientów ZUS.
• Wyciek będzie poddany zbadaniu. UODO może, ale nie musi nałożyć na ZUS karę finansową w związku z ewentualnym naruszeniem przepisów. Nawet wtedy, gdy doszło do tego nieświadomie, co nie jest okolicznością łagodzącą. Osoby, których dotyczy wyciek danych, powinny zweryfikować informacje otrzymane z ZUS-u i ewentualnie podjąć środki zaradcze, w tym związane z zastrzeżeniem numeru PESEL, gdyż może to grozić jego wykorzystaniem.

Żródło: Wyciek danych ZUS (prawo.pl); Wyciek danych z ZUS-u. Imiona, nazwiska, numery PESEL i adresy – Geekweek w INTERIA.PL

• Z raportu KPMG pt. „European Privacy Market Research 2023” wynika, że 62% polskich respondentów obecnie obawia się o bezpieczeństwo swoich danych osobowych bardziej niż pięć lat temu, a obawy te są nieco większe niż w pozostałych europejskich krajach (59%), zaś 60% respondentów z Polski uważa, że ochrona prywatności ich danych w kraju nie jest nadmierna, podczas gdy przeciętnie w Europie takie zdanie ma 48% społeczeństwa.
• W publikacji KPMG zebrano opinie mieszkańców osiemnastu krajów UE, w tym Polski.
• Niepokój wywołują m.in. algorytmy uczące się preferencji osób przeglądających treści w serwisach społecznościowych. Takie mechanizmy budzą obawy u 59% ankietowanych z Polski i 66% z Europy. Dodatkowo, treści typu deepfake zostały uznane za niepokojące przez 76% badanych Polaków oraz przez 80% pozostałych Europejczyków. Ponadto, 71% respondentów badania KPMG czuje dyskomfort związany z podsłuchiwaniem przez asystentów głosowych, podano.
• Raport wskazuje też, że w opinii respondentów z UE właściwe przetwarzanie danych osobowych powinno być głównie zadaniem banków (23%), instytucji państwowych (19%) oraz policji i sądów (19%). Jednak 13% respondentów wykazuje, że obdarza instytucje państwowe największym zaufaniem w tym zakresie. Europejczycy wykazują największe zaufanie do banków oraz policji i sądownictwa (po 24% wskazań). Dostawcy usług opieki zdrowotnej zostali wymienieni przez 15% respondentów jako godni zaufania, podczas gdy sprzedawcy detaliczni (2%) i media społecznościowe (3%) zajmują najniższe pozycje w rankingu.
• Według KPMG niewiele ponad połowa uczestników badania KPMG twierdzi, że zachowuje ostrożność przy wprowadzaniu danych do chatbotów, takich jak ChatGPT, z obawy, że ich dane mogą być przechowywane i wykorzystywane do nieznanych celów. 80% respondentów obawia się dyskryminacji i nadużywania danych osobowych przez AI.

Żródło: 62% Polaków obawia się o bezpieczeństwo danych bardziej niż przed RODO – Inwestycje.pl

• Włoski organ ochrony danych osobowych (Garante) skierował do Fundacji Worldcoin ostrzeżenie, że jej projekt obejmujący weryfikację tożsamości użytkowników na podstawie skanowania tęczówki oka najprawdopodobniej narusza RODO.
• Włoski urząd zajął się sprawą, mimo że kryptowaluta przydzielana uczestnikom programu w zamian za ich dane biometryczne nie jest jeszcze w tym kraju oficjalnie dostępna. „Obywatele Włoch mogą już pobrać aplikację World App ze sklepów z aplikacjami, podać swoje dane osobowe i zarezerwować bezpłatne tokeny WLD” – uzasadnia organ ochrony danych.
• Kryptowaluta worldcoin (WLD) została stworzona przez start-up technologiczny Tools for Humanity, którego współzałożycielem jest Sam Altman, dyrektor generalny OpenAI (spółki stojącej za ChatGPT). Projekt obejmuje narzędzie do skanowania tęczówek Orb, elektroniczną tożsamość World ID oraz aplikację World App. Całością zarządza Fundacja Worldcoin, która na swojej stronie internetowej zapewnia o pełnej zgodności z RODO, która zapewnia, że dane użytkowników zbierane są tylko za ich zgodą.
• Garante uważa jednak, że przetwarzanie danych biometrycznych w oparciu o zgodę uczestników projektu wydaną na podstawie niewystarczających informacji nie może być uznane za ważną podstawę prawną – stosownie do wymogów RODO.
• Pod koniec marca także portugalski organ (CNPD) nakazał tymczasowo projektowi Worldcoin zaprzestanie gromadzenia danych biometrycznych na 90 dni. Na początku marca podobny zakaz wydał organ w Hiszpanii.

Źródło: Czerwone światło dla biometrycznej kryptowaluty – GazetaPrawna.pl

• Sklep internetowy DeeZee poinformował klientów o wycieku danych. Zaleca im zmianę hasła do swojego konta oraz zachowanie ostrożności w przypadku podejrzanych wiadomości.
• Do wycieku miało dojść w połowie marca. AtomStore, platforma e-commerce współpracująca z DeeZee, poinformowała o możliwym wycieku adresów mailowych, hash haseł (zakodowanych, zabezpieczonych haseł) oraz informacji o ilości i wartości zamówień. Sklep twierdzi, że baza objęta atakiem nie zawierała danych adresowych.
• Sklep internetowy DeeZee poinformował o natychmiastowo podjętych krokach: zablokowaniu dostępu osobom trzecim do sklepie, zabezpieczeniu infrastruktury IT, zgłoszeniu incydentu do odpowiednich organów, w tym Urzędu Ochrony Danych Osobowych, wszczęciu wewnętrznej procedury ws. naruszenia danych, przeprowadzeniu audytu zabezpieczeń danych osobowych.
• Atak hakerski na sklep DeeZee to kolejny alarmujący incydent, który podkreśla znaczenie bezpieczeństwa danych osobowych w świecie internetowym. Apel o zmianę haseł stanowi ważne ostrzeżenie dla klientów, aby podjąć środki ostrożnościowe w celu ochrony swoich danych.

Żródło: Wyciek danych klientów e-sklepu DeeZee. Lepiej zmienić hasło – rp.pl

• Powód otrzymywał od pozwanego na swój adres e-mail niechcianą korespondencję mailową w łącznej liczbie 41 w okresie od 6 lutego 2020 r. do dnia 15 lutego 2020 r. Korespondencja ta dotyczyła możliwości uzyskania pożyczki czy kredytu tzw. informacje handlowe dotyczące marketingu i reklamy. Korespondencja przychodziła do powoda o różnych porach dnia, nierzadko kilka razy dziennie. Głównie poranne godziny przesyłanych maili były dotkliwe dla powoda, ponieważ wybudzały go one ze snu.
• Pozwany podniósł, iż wszedł legalnie w posiadanie adresu e-mail powoda od innego podmiotu, który z kolei otrzymał zgodę na jego wykorzystanie przez powoda. Zdaniem pozwanego powód miał możliwość zapoznania się z klauzulą informacyjną zamieszczoną na stronie internetowej pozwanego, gdzie opisane są cele przetwarzania danych osobowych, czas ich przetwarzania, dane kontaktowe pozwanej spółki oraz uprawnienia osób których dane osobowe są przetwarzane. Z uprawnień tych powód skorzystał i wiadomości mailowe nie zostały do niego wysyłane.
• Jak stwierdził SO w Warszawie, powód nigdy nie współpracował z pozwaną spółką i nie udzielał jej zgody na przetwarzanie swoich danych osobowych. Z zebranego w sprawie materiału dowodowego wynika, że pozwany dysponował adresem e-mail powoda, na który przesyłał treści reklamowe i marketingowe, bez zgody powoda.
• Pozwany próbował się bronić i wskazał, że nie mają zastosowania przepisy prawa telekomunikacyjnego ponieważ pomiędzy stronami nie doszło do żadnej rozmowy telefonicznej, a spółka nie prowadziła żadnych działań telemarketingowych w stosunku do powoda.
• Sąd jednak wskazał, że naruszone zostało prawo telekomunikacyjne, UŚUDE i RODO, niewątpliwie doszło do naruszenia dóbr osobistych i przyznał powodowi 2 tyś. zł za otrzymanie niechcianego spamu dot. pożyczek i kredytów.

Żródło: Zadośćuczynienie za niechciany spam pożyczkowy (wyrok) | LinkedIn

• Organ nadzorczy jest zobowiązany interweniować, gdy stwierdzi naruszenie w ramach rozpatrywania skargi. Jednakże decyzja w sprawie środka naprawczego, który należy przyjąć, zależy od konkretnych okoliczności. Do takiego wniosku doszedł właśnie Rzecznik Generalny Trybunału Sprawiedliwości.
• Problem dotyczył klienta kasy oszczędnościowej, który zwrócił się do inspektora ochrony danych i wolności informacji kraju związkowego Hesja (Niemcy) o podjęcie działań przeciwko tej kasie z powodu naruszenia jego danych osobowych. Jedna z pracownic kasy oszczędnościowej wielokrotnie konsultowała jego dane, nie mając do tego upoważnienia.
• Inspektor ochrony danych stwierdził naruszenie ogólnego rozporządzenia o ochronie danych (RODO). Doszedł jednak do wniosku, że nie ma potrzeby interweniowania wobec kasy oszczędnościowej, która podjęła już środki dyscyplinarne wobec pracownicy. Klient zakwestionował tę odmowę przed sądem niemieckim, wnosząc o nakazanie inspektorowi ochrony danych podjęcia działań przeciwko kasie oszczędnościowej. Sąd niemiecki zwrócił się do Trybunału Sprawiedliwości z pytaniem o uprawnienia i obowiązki inspektora ochrony danych jako „organu nadzorczego” w rozumieniu RODO.
• Rzecznik generalny TSUE Priit Pikamäe stwierdził, że organ nadzorczy ma obowiązek interweniować w przypadku stwierdzenia naruszenia ochrony danych osobowych w ramach rozpatrywania skargi. W szczególności jest zobowiązany do określenia środków naprawczych najodpowiedniejszych dla zaradzenia naruszeniu i zapewnienia przestrzegania praw osoby, której dane dotyczą. Organ nadzorczy może pod pewnymi warunkami zrezygnować ze środków wymienionych w RODO, jeżeli jest to uzasadnione szczególnymi okolicznościami danej sprawy. Może tak być w szczególności w sytuacji, gdy administrator podjął pewne działania z własnej inicjatywy. W każdym razie zainteresowana osoba nie ma prawa żądania przyjęcia określonego środka. Zasady te mają również zastosowanie do systemu administracyjnych kar pieniężnych.

Żródło: Naruszenie przepisów w sprawie RODO wymaga interwencji – TSUE (prawo.pl)

• Sąd (sygn. akt sygn. akt. II SA/Wa 1861/23) oddalił skargę kancelarii Pionier na decyzję Prezesa Urzędu Ochrony Danych Osobowych, nakładającą karę w wysokości ponad 45 tys. zł za to, że przetwarzała dane osobowe bez podstawy prawnej.
• Spółka ta w swojej działalności docierała do osób poszkodowanych głównie w wypadkach komunikacyjnych, by nawiązać z nimi współpracę w zakresie reprezentowania ich m.in. przed towarzystwami ubezpieczeniowymi, w sprawach sądowych w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Informacje o potencjalnych klientach uzyskiwała na podstawie m.in. wiadomości prasowych, publikacji internetowych, w tym treści dostępnych w mediach społecznościowych, a także informacji przekazywanych lub rozpowszechnianych przez organizacje zajmujące się działalnością dobroczynną.
• Podczas spotkania przedstawiciel kancelarii odbierał ustną zgodę na przetwarzanie danych osobowych do czasu ewentualnego zawarcia umowy z tymi osobami o świadczenie usług.
• Zarówno zdaniem WSA, jak i organu nadzorczego tak odebrana zgoda nie była zgodna z RODO i nie mogła być podstawą przetwarzania danych osobowych. Administrator pozyskując dane o stanie zdrowia powinien uzyskać wyraźną zgodę na przetwarzanie danych osobowych. WSA zwrócił uwagę, że spółka pozyskiwała zaś wyłącznie ustne zgody i nie odnotowywała tego w żaden sposób ani nie rejestrowała np. w formie nagrań dźwiękowych wyrażonych zgód od osób, które je wyraziły.
• Sąd orzekł więc, że organ nadzorczy prawidłowo uznał, że w sprawie tej brakuje jednoznacznego dowodu na wyrażenie przez te osoby zgody na przetwarzanie ich danych.

Żródło: Sąd: kancelaria odszkodowawcza musi zapłacić karę. Naruszyła RODO (msn.com)

• Zdaniem prezesa UODO  część propozycji zmian przepisów – w kontekście przetwarzania danych osobowych – nie jest w wystarczający sposób uzasadniona i nie wiadomo w jakim celu wprowadzone jest określone rozwiązanie. Przykładowo, projektodawca nie uzasadnia wprowadzenia 12-letniego okresu retencji danych cudzoziemców w systemie teleinformatycznym Moduł Obsługi Spraw, za pośrednictwem którego mają być składane wnioski, np. o udzielenie zezwolenia na pobyt czasowy lub pobyt stały.
• Również przewidziany w projekcie wymóg podawania przez cudzoziemców informacji o dokumencie podroży lub dokumencie tożsamości wymaga uzasadnienia i doprecyzowania. Prezes UODO zwraca uwagę, że różne dokumenty mogą mieć inny zakres danych. Ponadto do tej pory wystarczyło podanie jedynie numeru takiego dokumentu. Nie wiadomo więc czym motywowane jest rozszerzenie wymagań w tym zakresie.
• Prezes UODO zaznacza, że propozycja wprowadzenia systemu teleinformatycznego Moduł Obsługi Spraw, wymaga przeprowadzenia przez projektodawcę testu prywatności w procesie tworzenia prawa, w tym oceny skutków dla ochrony danych wynikającej z art. 35 ust. 1 i ust. 10 RODO. Taki test pozwala na ocenę ryzyk i dobranie odpowiednich środków prawnych, celem eliminowania naruszenia praw lub wolności osób fizycznych.
• Mirosław Wróblewski wskazuje także, że nieprecyzyjny jest wprowadzany wymóg przedstawienia „dodatkowo dowodu, że wjazd i pobyt na terytorium Rzeczypospolitej Polskiej ma na celu prowadzenie działalności zawodowej”. Wątpliwości budzi brak sprecyzowania jaki „dodatkowy dowód” ma zostać przedstawiony, a w konsekwencji jakie dane osobowe pochodzące z jego treści i kontekstu użycia służyć mają potwierdzeniu prowadzenia działalności zawodowej. Prezes UODO zaleca wskazanie przykładowych dokumentów, które w takich przypadkach mają stanowić dowód.

Źródło: Uwagi prezesa UODO do ustawy o cudzoziemcach (prawo.pl)

• NSA wydał orzeczenie dotyczące przetwarzania danych osobowych pozyskanych z publicznie dostępnych baz danych. W tym przypadku NSA rozstrzygał kwestię dotyczącą funkcjonowania komercyjnej bazy danych prowadzonej przez pewną Fundację.
• Baza ta zawierała historyczne i aktualne dane osobowe pozyskane z KRS. W ogólnodostępnych wynikach wyszukiwania bazy danych można było uzyskać wgląd do pewnych kategorii danych osobowych. Osoba, której dane osobowe znajdowały się, w takiej bazie, skierowała skargę, do PUODO.
• Prezes UODO, w decyzji ze stycznia 2019 r., nakazał administratorowi usunięcie danych osobowych udostępnionych w prowadzonym przez administratora serwisu internetowego.
• Wojewódzki Sąd Administracyjny w Warszawie uchylił taką decyzję wskazując m. in., że: konsekwencją jawności KRS jest możliwość wykorzystywania zawartych w nim danych przez inne podmioty- a w sprawie niniejszej- przez skarżącą Fundację, a każda osoba, pełniąca funkcje w podmiotach, podlegających wpisowi do KRS, musi liczyć się z ich wykorzystywaniem przez użytkowników/odbiorców KRS. Ponadto, do upublicznienia danych osobowych doszło nie przez działanie Fundacji, ale przez działanie osoby, której dane dotyczą. J. K., wyrażając zgodę na pełnienie funkcji w ramach w.w. organizacji, zgodził się na upublicznienie swych danych w KRS.
• NSA zgodził się z taką argumentacją WSA w Warszawie i wskazał m. in., że: dane osobowe Skarżącego przetwarzane przez Fundację zostały pozyskane z KRS, w ramach ustawowo gwarantowanej jawności i dostępności ujawnionych w nim informacji. Natomiast pozyskanie danych osobowych z publicznie dostępnych rejestrów z założenia nie może skutkować wyłączeniem możliwości ich przetwarzania na podstawie art. 21 ust. 1 RODO, z uwagi na “szczególną sytuację” osoby, której te dane dotyczą.

Żródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7183678884557594624-agBF?utm_source=share&utm_medium=member_desktop

• Ministerstwo Cyfryzacji prowadzi prekonsultacje dotyczące wdrożenia unijnego rozporządzenia – Akt o sztucznej inteligencji (dalej: AI Act). Opiera się on na ocenie ryzyka: najbardziej niebezpieczne systemy będą zakazane (np. klasyfikacja punktowa obywateli, tzw. social scoring), a systemy wysokiego ryzyka będą musiały spełnić wymagania ograniczające zagrożenia dla praw obywatelskich.
• AI Act został już przyjęty przez europarlament i czeka tylko na akceptację Rady UE. Będzie stosowany w państwach członkowskich bezpośrednio, choć pozostawia im pewną swobodę – przede wszystkim w wyborze organów, które będą nadzorować sztuczną inteligencję.
• Podstawowym urzędem ds. sztucznej inteligencji będzie organ nadzoru rynku. Ma też powstać organ notyfikujący. Resort cyfryzacji zbiera opinie, czy te zadania należy powierzyć nowym instytucjom, czy też powinny je wykonywać już istniejące podmioty – a jeśli tak, to które. Do rozstrzygnięcia pozostaje ponadto, czy będą to dwa niezależne urzędy, czy też jeden.
• Organ notyfikujący będzie certyfikował podmioty, które potem z kolei będą badały systemy AI przed wprowadzeniem do obrotu i wydawały im certyfikaty. Jest to więc działanie ex ante. Natomiast organ nadzoru rynku będzie działał, kontrolował ex post – oceniając systemy AI już wprowadzone do obrotu. Z powodu konfliktu interesów pracownicy tych organów nie powinni się więc codziennie spotykać na korytarzu – wyjaśnia dr Flisak.
• Niezależnie od tego, które organy zostaną wskazane jako odpowiedzialne, najważniejsze będą odpowiednio wykwalifikowane kadry. Dr Flisak podkreśla, że w art. 70 AI Act określono wymagania wobec pracowników organów krajowych. Jest to wiedza z zakresu technologii AI, danych i metod przetwarzania danych, ochrony danych osobowych, cyberbezpieczeństwa, praw podstawowych, zagrożeń dla zdrowia i bezpieczeństwa oraz znajomość norm i wymogów prawnych.

Żródło: Urzędy od sztucznej inteligencji. Ministerstwo Cyfryzacji wdraża AI Act – GazetaPrawna.pl