RODO aktualności – 10.10.2023 r.

Pierwsza polska (i milionowa) kara “za RODO” była zasadna – najnowszy wyrok NSA. Rekordowe zadośćuczynienia za naruszenie przepisów RODO. UODO rozpatruje skargę dotyczącą ChatGPT. Pracodawca, a przetwarzanie danych osobowych pracowników pozyskanych z mediów społecznościowych. EROD i EIOD o propozycji KE dotyczącej egzekwowania RODO. Czy użytkownicy Reddita będą zmuszeni do oglądania spersonalizowanych reklam – RODO na ratunek. Rzecznik generalny TSUE: przechowywanie adresów IP powinno być dozwolone, jeśli to jedyny środek identyfikacji przestępców. SN: Pracodawca odpowiada za nielegalne wykorzystanie przez pracownika danych osobowych klienta.

RODO aktualności z dnia 25.09.2023 r.

RODO aktualności z dnia 02.10.2023 r.
Pobierz PDF

Pobierz PDF

Pierwsza polska (i milionowa) kara “za RODO” była zasadna – wyrok NSA

  • UODO miał rację nakładając 4 lata temu pierwszą, milionową karę “za RODO”, co potwierdził wyrokiem Naczelny Sąd Administracyjny. Sprawa będzie ponownie rozpatrzona i być może zmieni się wysokość kary, ale sąd najwyższej instancji potwierdził najważniejsze – nie można łatwo uniknąć obowiązku informacyjnego RODO powołując się na “nadmierny wysiłek”.
  • Zdaniem UODO spółka pozyskując dane osobowe z ogólnodostępnych rejestrów publicznych (np. KRS, CEIDG, REGON) musi spełnić obowiązek informacyjny wobec tych osób określony w art. 14 RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych poprzez bezpośrednie przekazanie informacji osobie, której dane dotyczą.
  • Spółka zaskarżyła tę decyzję do WSA w Warszawie, który częściowo przyznał rację organowi (sygn. II SA/Wa 1030/19). Sąd uznał, że spółka była zobligowana do spełnienia obowiązku informacyjnego wynikającego z art. 14 RODO, ale tylko wobec osób, które w momencie jej wydania aktywnie prowadziły działalność gospodarczą lub ją zawiesiły. Decyzja UODO odnosiła się jednak nie tylko do tych osób, ale także osób, które prowadziły w przeszłości taką działalność i WSA uchylił decyzję w zakresie nakazu spełnienia obowiązku informacyjnego wobec tej grupy osób.
  • Obecnie Prezes UODO zobowiązany jest ponownie rozpatrzyć sprawę w zakresie w jakim sąd uchylił decyzję administracyjną, tj. w zakresie dotyczącym przetwarzania danych osób prowadzących w przeszłości działalność gospodarczą oraz w zakresie wysokości nałożonej kary administracyjnej.
  • NSA podkreślił, że na gruncie RODO zasadą jest transparentność przetwarzania, a wszelkie wyjątki od tej zasady, w tym wyjątek dotyczący zwolnienia z obowiązku poinformowania osób z uwagi na „niewspółmiernie duży wysiłek” należy interpretować zawężająco i co do zasady powinien być stosowany przy przetwarzaniu danych dla celów publicznych, w szczególności statystycznych, badawczych, archiwalnych czy historycznych.

Żródło: Aktualności – UODO; » Pierwsza polska (i milionowa) kara “za RODO” była zasadna – wyrok NSA — Niebezpiecznik.pl —

Rekordowe zadośćuczynienia za naruszenie przepisów RODO

  • Deweloper dostał pismo z magistratu, że jego dane osobowe, w tym dane szczególnie wrażliwe, zostały opublikowane bez jego zgody na stronie Biuletynu Informacji Publicznej Urzędu Miejskiego w Białymstoku. Udostępnione w Internecie zostały m.in. dane dotyczącego jego adresu zamieszkania, numer księgi wieczystej oraz nr telefonu. Urząd wyjaśnił także, że każdy kto wszedł w posiadanie tych danych może bez trudu poznać jego nr PESEL, imiona rodziców itd.
  • Urząd w Białymstoku wyjaśnił, że ujawnienie danych nastąpiło przez „zbyt dosłowne” stosowanie przepisów prawa, które nakazują publikację wniosku o ustalenie lokalizacji inwestycji mieszkaniowej wraz załącznikami.
  • Przedsiębiorca złożył pozew cywilny o zapłatę odszkodowania za naruszenie ochrony jego danych osobowych. Wartość zadośćuczynienia opiewała na ponad 18 mln (wyliczonej jako iloraz liczby pobrać z serwera danych osobowych oraz dotychczas zasądzonych najwyższych kwot odszkodowania na terenie Rzeczypospolitej), ale pozew opierał się na tzw. instytucji roszczenia częściowego. W tym wypadku 200 tys. zł.
  • Powództwo zasługiwało na uwzględnienie, aczkolwiek w mniejszym, aniżeli dochodzonym pozwem zakresie – orzekł Wojewódzki Sąd Okręgowy w Białymstoku. W uzasadnieniu wyroku sąd wskazał, że żądanie kwoty 200.000 zł jest wygórowane, a odpowiednią sumą będzie kwota 20 tys. zł.
  • Zdaniem powoda kwota odszkodowania nie jest jednak satysfakcjonująca, dlatego też zapowiedział on apelację od wyroku argumentując, że jego dane osobowe zostały pobrane ze strony internetowej ponad tysiąc razy, nie wiadomo ile osób jest obecnie w ich posiadaniu, a także nieznane są inne potencjalne negatywne konsekwencje bezprawnego opublikowania danych dewelopera, które mogą wystąpić w przyszłości.

Żródło: Deweloper wygrał z Miastem Białystok sprawę o naruszenie RODO. Ale zapowiada apelację. Chodzi o wysokość odszkodowania (msn.com) ; Rekordowe zadośćuczynienia za naruszenie przepisów RODO – GazetaPrawna.pl

UODO rozpatruje skargę dotyczącą ChatGPT

  • Urząd Ochrony Danych Osobowych (UODO) rozpatruje skargę dotyczącą ChatGPT, w której skarżący zarzuca firmie Open AI, twórcy tego narzędzia, że m.in. przetwarza ona dane w sposób niezgodny z prawem, a zasady, na jakich się to odbywa, są nieprzejrzyste.
  • Według Urzędu Ochrony Danych Osobowych sprawa „będzie należała do trudnych”. Jak wskazał urząd, dotyczy ona firmy zlokalizowanej poza granicami Unii Europejskiej, a sam ChatGPT jest – zdaniem UODO – „nowym i tak naprawdę jeszcze nieodkrytym, także dla badaczy nowych technologii, narzędziem wykorzystującym generatywną sztuczną inteligencję”.
  • „Sprawa dotyczy naruszenia wielu przepisów o ochronie danych osobowych, dlatego zwrócimy się do Open AI o odpowiedź na szereg pytań, by móc wnikliwie przeprowadzić postępowanie administracyjne. Czekamy teraz na to, jak odniesie się do nich twórca ChatGPT” – przekazał prezes UODO Jan Nowak.
  • Urząd poinformował, że w rozpatrywanej sprawie dotyczącej ChatGPT skarżący zwrócił się do UODO po tym, jak jego żądania związane z realizacją praw, jakie przysługują mu na gruncie RODO, nie zostały zrealizowane przez firmę Open AI.
  • „ChatGPT w odpowiedzi na jego zapytanie wygenerował nieprawdziwe informacje na temat osoby skarżącego. Prośba o ich sprostowanie nie została zaś zrealizowana przez Open AI, mimo że każdy administrator ma obowiązek przetwarzać prawidłowe dane. Nie udało się też dowiedzieć skarżącemu, jakie w ogóle dane na jego temat przetwarza ChatGPT” – wyjaśnił Urząd Ochrony Danych Osobowych.

Żródło: Polski urząd rozpatruje skargę dotyczącą ChatGPT. Poszło o RODO – Bankier.pl; Postępowanie UODO w sprawie ChatGTP (prawo.pl)

Czy pracodawca może przetwarzać dane osobowe pracowników z mediów społecznościowych?

  • WSA w Warszawie wskazał w wyroku (sygn. akt II SA/Wa 190/22) na budzące uzasadnione wątpliwości stanowisko Prezesa UODO, że niedopuszczalność gromadzenia przez pracodawcę informacji zamieszczanych przez pracownika wynika z samego faktu zamieszczenia informacji w mediach społecznościowych. Sąd uchylił ze względów formalnych decyzję prezesa Urzędu Ochrony Danych Osobowych i nie tylko wypowiedział się na temat możliwości weryfikowania przez pracodawcę aktywności pracowników w social mediach, lecz także określił obowiązki, jakie musi wypełnić pracodawca w tym zakresie.
  • Zgodnie ze stanowiskiem WSA, przetwarzanie przez pracodawcę danych osobowych pracowników, tj. informacji publikowanych w mediach społecznościowych, jest dopuszczalne, jeżeli ma wpływ na realizację podstawowych obowiązków pracownika. Do tych zgodnie z kodeksem pracy należy zaliczyć np. obowiązek ochrony dobrego imienia pracodawcy, obowiązek dbania o dobro zakładu, ochronę mienia zakładu, zachowanie tajemnicy przedsiębiorstwa. Co istotne, obowiązki te mają charakter uniwersalny, a pracownik musi się do nich stosować również po godzinach pracy.
  • Pracodawca musi jednak pamiętać o spełnieniu podstawowych obowiązków, jakim będzie zawarcie informacji o przetwarzaniu danych osobowych pracowników pozyskiwanych z portali społecznościowych w tzw. klauzuli informacyjnej, jak również o przeprowadzeniu tzw. testu proporcjonalności.
  • WSA w omawianym wyroku uznał ponadto, że weryfikacja aktywności pracowników nie będzie stanowiła monitoringu pracowniczego w rozumieniu przepisów kodeksu pracy. Pracodawca musi natomiast pamiętać, że weryfikacja wpisów pracowników w mediach społecznościowych nie może prowadzić do dyskryminacji pracownika ani naruszenia zasad równego traktowania.

Żródło: Czy pracodawca może przetwarzać dane osobowe pracowników z mediów społecznościowych? – GazetaPrawna.pl

EROD i EIOD o propozycji KE dotyczącej egzekwowania RODO

  • Europejska Rada Ochrony Danych (EROD) wraz z Europejskim Inspektorem Ochrony Danych (EIOD) przyjęli wspólną opinię w sprawie wniosku Komisji Europejskiej dotyczącego rozporządzenia w sprawie dodatkowych przepisów proceduralnych dotyczących egzekwowania RODO.
  • Wniosek Komisji ma na celu zapewnienie terminowego prowadzenia postępowań i dostarczania szybkich środków ochrony prawnej dla osób fizycznych w sprawach transgranicznych, poprzez harmonizację szeregu różnic proceduralnych w całej UE, a także usprawnienie procedury współpracy transgranicznej. Wniosek ten jest następstwem listy życzeń przesłanej przez EROD do Komisji Europejskiej w październiku 2022 r.
  • EROD z zadowoleniem przyjęła szybką reakcję Komisji na wezwanie do działania i to, że lista życzeń EROD została przekształcona w konkretny wniosek prawodawczy, który uzupełni RODO. Dzięki tej wspólnej opinii EROD chce zapewnić, aby nowe rozporządzenie było korzystne dla wszystkich zaangażowanych stron. Biorąc pod uwagę jego duże znaczenie, organy wezwały współprawodawców do szybkiego przyjęcia nowego rozporządzenia.
  • Organy odnotowały również pozytywnie wyjaśnienia dotyczące prawa dostępu do akt w postępowaniach administracyjnych. Ponadto propozycja Komisji, aby wzmocnić wypracowywanie porozumienia na wczesnym etapie procedury współpracy, jest – zdaniem EROD i EIOD – kluczem do bardziej skutecznej i wzmocnionej współpracy w zakresie egzekwowania prawa. „Wstępne ustalenia” skierowane do stron objętych postępowaniem wyjaśniającym oraz „wstępna opinia” o odrzuceniu skargi powinny być udostępniane organom nadzorczym, których sprawa dotyczy, przed ich przekazaniem stronom objętym postępowaniem wyjaśniającym lub skarżącemu.
  • EROD podczas posiedzenia plenarnego przyjęła także Wytyczne dotyczące art. 37 dyrektywy 2016/680 (tzw. „dyrektywy policyjnej”), których celem jest zapewnienie jasności w zakresie standardu prawnego dotyczącego odpowiednich zabezpieczeń, które właściwe organy muszą stosować.

Żródło: https://uodo.gov.pl/pl/138/2849

Użytkownicy Reddita będą zmuszeni do oglądania spersonalizowanych reklam. RODO na ratunek

  • Reddit ogłosił mnóstwo zmian w ustawieniach preferencji użytkownika, z których najbardziej godną uwagi jest to, że użytkownicy nie będą już mieli wpływu na to, czy będą widzieć spersonalizowane reklamy na podstawie ich aktywności w witrynie.
  • Szefowa ds. prywatności w Reddit, Jutta Williams, w środę wieczorem w poście na r/reddit podzieliła się zestawieniem nadchodzących aktualizacji, pisząc, że tylko użytkownicy „w wybranych [nieokreślonych] krajach” będą zwolnieni z nowych zasad dotyczących reklam. Co do reszty, reklamodawcy będą mogli kierować reklamy do użytkowników na podstawie tego „do jakich społeczności dołączasz, jakie opuszczasz, głosów pozytywnych i negatywnych oraz innych sygnałów”.
  • Chociaż użytkownicy stracą kontrolę nad personalizacją reklam opartą na aktywności w szerszym ujęciu, będą mogli ograniczyć wyświetlanie niektórych typów reklam. Reddit dodaje przyciski rezygnacji dla „wrażliwych kategorii reklam”, w tym alkoholu, randek, hazardu, ciąży i rodzicielstwa oraz odchudzania.
  • Chociaż Reddit nie wymienił krajów, które nadal będą miały możliwość rezygnacji, zwolnienie to prawdopodobnie ma na celu zapewnienie zgodności platformy z RODO.
  • Oprócz zmiany preferencji reklam Reddit zreorganizował także ustawienia dostosowywania lokalizacji i wprowadził pewne poprawki w opisach ustawień prywatności, aby zapewnić przejrzystość. Użytkownicy powinni zobaczyć zmiany w swoich ustawieniach w ciągu nadchodzących tygodni.

Żródło: Użytkownicy Reddita będą zmuszeni do oglądania spersonalizowanych reklam. RODO na ratunek | ITHardware

Rzecznik generalny TSUE: przechowywanie adresów IP powinno być dozwolone, jeśli to jedyny środek identyfikacji przestępców

  • Orzeczenie w sprawie (C-470/21) dotyczyło skargi na przepisy francuskiego prawa przewidujące zautomatyzowane i masowe przetwarzanie danych osobowych użytkowników internetu (powiązanych z przydzielonym adresem IP) w celu ochrony własności intelektualnej twórców.
  • Aby to umożliwić, dekret przyjęty w 2010 r. zezwala Hadopi na zwrócenie się do operatorów łączności elektronicznej o dostarczenie mu danych dotyczących tożsamości cywilnej użytkownika, któremu jest przypisany adres IP użyty do popełnienia przestępstwa.
  • Zdaniem kilku organizacji społecznych uogólnione i niezróżnicowane, a także prowadzone bez kontroli sądowej, przetwarzanie danych użytkowników na potrzeby wysyłanych zaleceń jest środkiem nieproporcjonalnym do naruszeń, a przez to narusza przepisy dyrektywy o prywatności i łączności elektronicznej.
  • W wydanej opinii rzecznik generalny stwierdził, że adres IP, tożsamość cywilna posiadacza dostępu do Internetu oraz informacje dotyczące danego utworu nie pozwalają na wyciągnięcie bardzo szczegółowych wniosków na temat życia prywatnego osoby, co do której domniemywa się, że naruszyła prawo autorskie. Chodzi wyłącznie o incydentalne ujawnienie przeglądanych treści, które ujmowane z osobna nie mogą umożliwić ustalenia szczegółowego profilu osoby, która dokonywała tych czynności.
  • Ponadto nie jest konieczne, aby ten dostęp był poddany uprzedniej kontroli sądu lub niezależnego organu administracyjnego. Dane te stanowią bowiem jedyny środek dochodzeniowy pozwalający na identyfikację osoby, której dany adres był przypisany w chwili popełnienia przestępstwa.

Żródło: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-09/cp230151pl.pdf; Przetwarzanie adresów IP sprawców naruszeń praw autorskich (legeartis.org)

SN: Pracodawca odpowiada za nielegalne wykorzystanie przez pracownika danych osobowych klienta

  • Sprawa zaczęła się od wykradania, przez pracownika SKOK danych klientów i przekazywania ich do punktów sprzedaży komórek, gdzie w oparciu o te dane były podpisywane fikcyjne umowy abonenckie i kupowane telefony komórkowe. Sprawcy oszustwa zostali uznani winnymi przestępstwa, zaś jedna z pokrzywdzonych nielegalnym procederem pozwała SKOK i operatora telekomunikacyjnego o zadośćuczynienie za naruszenie dóbr osobistych.
  • Sąd oddalił całość roszczeń: pozwanym firmom nie można przypisać odpowiedzialności za bezprawne wykorzystanie danych osobowych klienta przez pracownika, albowiem nie doszło do błędów w zabezpieczeniu danych klientów. Ponadto, każdy z pracowników-sprawców był upoważniony do dostępu i przetwarzania danych, zaś do oszustwa doszło przy okazji wykonywania obowiązków pracowniczych.
  • Odmiennie rzecz ocenił Sąd Najwyższy: owszem, konstytucyjne prawo do ochrony danych osobowych nie może być utożsamiane z dobrem osobistym — każda z tych wartości ma charakter autonomiczny i jest uregulowana w inny sposób — nieprawidłowości w przetwarzaniu danych osobowych mogą prowadzić do naruszenia dóbr osobistych człowieka (np. prywatności).
  • SN wskazał na fakt, że w orzecznictwie istnieje pogląd, że instytucja finansowa może ponosić odpowiedzialność za zawinione działania i zaniechania pracownika wykonującego w jego imieniu umowę — i nie może się uwolnić od tej odpowiedzialności powołując się na przeprowadzenie szkoleń i zobowiązanie pracowników do zachowania tajemnicy.
  • SN zdecydował się uchylić wyrok i zwrócić sprawę do ponownego rozpoznania (wyrok Sądu Najwyższego z 31 maja 2023 r., II CSKP 1251/22).

Żródło: Wykorzystanie danych osobowych klienta przez pracownika (SN) (legeartis.org)

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO