RODO aktualności – 13.12.2024 r.

• Polska wdraża unijny Akt o Sztucznej Inteligencji (AI Act), który zakazuje wykorzystywania systemów zdalnej identyfikacji biometrycznej, w tym rozpoznawania twarzy w czasie rzeczywistym do celów ścigania przestępstw.
• Polska nie skorzystała z możliwości wprowadzenia wyjątków od tego zakazu, więc systemy biometryczne pozostają zakazane także dla policji.
• Służby specjalne nie są objęte restrykcjami wynikającymi z AI Act, jeżeli podejmują działania w zakresie „bezpieczeństwa wewnętrznego państwa” lub porządku konstytucyjnego, co pozwala im na stosowanie tych technologii w takich sytuacjach.
• Fundacja Panoptykon docenia brak wyjątków dla systemów rozpoznawania twarzy w czasie rzeczywistym, choć wyraża obawy o potencjalne nadużycia ze strony służb specjalnych.
• Podkreślono ryzyko niesłusznych aresztowań i błędów AI w kontekście błędnych identyfikacji, co może prowadzić do nieodwracalnych konsekwencji dla niewinnych osób.
• Projekt ustawy reguluje skład i funkcje Komisji ds. Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, postulując większą przejrzystość w jej działaniu i większą reprezentację organizacji społecznych.
• W opinii Fundacji Panoptykon, konieczne jest wprowadzenie prawa do uzyskania informacji o wyniku skargi dla osób zgłaszających naruszenia przez systemy AI.
• Brakuje w projekcie miejsca dla Rzecznika Praw Obywatelskich wśród instytucji mających prawo kontroli systemów AI, co budzi obawy o przejrzystość i ochronę praw obywateli.
• Fundacja Panoptykon apeluje o większe zasoby dla RPO, aby mógł skutecznie monitorować wykorzystanie sztucznej inteligencji w instytucjach publicznych.
• Dyskusje nad ustawą nadal trwają, a rząd ma czas na wdrożenie przepisów do 2 sierpnia 2025 r.

Źródło: https://panoptykon.org/akt-o-sztucznej-inteligencji-wdrozenie-polska

• Obywatel złożył skargę dotyczącą przetwarzania jego danych osobowych przez Bank S.A., zarzucając brak podstawy prawnej do skanowania dowodu osobistego w maju 2022 r. oraz niewykonanie żądania usunięcia przetworzonych danych.
• W dniach […] maja 2022 r., przy wizycie w oddziale Banku, obywatelowi odmówiono realizacji transakcji gotówkowej bez wyrażenia zgody na skanowanie dowodu osobistego.
• Bank tłumaczył, że dane obywatela były pozyskane w związku z zawarciem umowy z poprzednikiem prawnym (Bankiem) w 2005 roku, a aktualizacja danych odbyła się w maju 2021 r. przy pomocy bankowości internetowej.
• Podstawą do skanowania dokumentu, według Banku, było stosowanie procedur wynikających z ustawy AML (ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu). Bank argumentował, że zabezpieczenie w formie skanu miało na celu ochronę środków klienta i zapobieganie oszustwom.
• Prezes UODO wskazał, że Bank nie przedstawił dowodów na przeprowadzenie analizy niezbędności skanu dowodu według zasad minimalizacji i celowości z art. 5 RODO.
• Organ nie potwierdził również, że zastosowane przez Bank środki były zgodne z przepisami ustawy AML.
• Prezes UODO nakazał zaprzestanie przetwarzania danych obywatela w formie skanu dowodu osobistego, co zostało zakwestionowane przez Bank i skierowane do sądu.
• Sąd uchylił decyzję Prezesa UODO, wskazując na niedostateczne wyjaśnienie przez organ stanu faktycznego oraz nieuwzględnienie wszystkich istotnych okoliczności.
• Ostateczna ocena zgodności z prawem przetwarzania danych osobowych zostanie ponownie oceniona przez organ ochrony danych.
• Kluczowym zagadnieniem sporu pozostaje zasadność przetwarzania danych w postaci skanu dowodu osobistego w kontekście przepisów ustawy AML i RODO.

Źródło: https://judykatura.pl/wsa-uchyla-decyzje-wobec-banku-nakazujaca-usuniecie-skanu-dowodu-osobistego/

• Sprawa dotyczy naruszeń przepisów RODO przez spółkę ClickQuickNow, która została ukarana za niewłaściwe przetwarzanie danych osobowych.
• Naczelny Sąd Administracyjny (NSA) oddalił skargę spółki, potwierdzając, że ClickQuickNow nie przestrzegała prawa do żądania usunięcia danych osobowych.
• Urząd Ochrony Danych Osobowych (UODO) przypomina, że proces wycofania zgody na przetwarzanie danych powinien być tak samo łatwy, jak jej wyrażenie.
• Spółka utrudniała użytkownikom możliwość odwołania zgody, stosując skomplikowane techniczne i organizacyjne procedury.
• Kara dla ClickQuickNow wynosi 201 559,50 zł, co zostało przyznane w wyniku decyzji z 2019 roku wydanej przez prezesa UODO.
• Według NSA spółka wprowadzała w błąd użytkowników, którzy chcieli cofnąć zgodę, m.in. za pomocą linków w wiadomościach handlowych, które zawierały mylące informacje.
• Kiedy osoby próbowały wycofać zgodę, napotykały na trudności, takie jak wymaganie podania przyczyny odwołania, co przerywało proces.
• Na dzień 31 stycznia 2019 r. spółka ClickQuickNow przetwarzała dane ponad 2,1 miliona osób.

Źródło: https://www.prawo.pl/biznes/spolka-clickquicknow-ukarana-za-rodo-jest-wyrok-nsa,530025.html

• 15 listopada odbyło się spotkanie Prezesa UODO Mirosława Wróblewskiego oraz Zastępczyni Prezesa UODO prof. Agnieszki Grzelak z przedstawicielami firmy Microsoft, w tym z Julie Brill, Dyrektorką ds. prywatności w Microsoft.
• Głównym tematem rozmowy były kwestie związane z ochroną danych osobowych w kontekście wykorzystywania danych do trenowania sztucznej inteligencji (AI).
• Omówiono ryzyka dla prywatności użytkowników związane z wykorzystaniem modeli sztucznej inteligencji oraz sposoby zapewnienia zgodności z przepisami o ochronie danych.
• Kolejnym poruszonym tematem były wyzwania związane z transferem danych osobowych poza Unię Europejską, szczególnie w kontekście wykorzystywania usług chmurowych.
• Ważnym aspektem dyskusji była konieczność zapewnienia przejrzystości w zarządzaniu danymi użytkowników oraz zagwarantowania skutecznego nadzoru.
• Spotkanie było krokiem w kierunku wzmacniania współpracy między firmami technologicznymi a organami ochrony danych w celu rozwoju technologii z poszanowaniem prawa do prywatności.
• Podczas rozmów omówiono także możliwości wdrożenia nowych technologii wspomagających ochronę danych osobowych.

Źródło: https://uodo.gov.pl/pl/138/3422

• Prezes UODO nałożył karę administracyjną w wysokości 25 tys. zł na Powiatowego Inspektora Nadzoru Budowlanego (PINB) w Częstochowie.
• Kara została nałożona za niedopełnienie obowiązku wyznaczenia Inspektora Ochrony Danych (IOD), brak publikacji jego danych kontaktowych oraz brak zawiadomienia organu nadzorczego o wyznaczeniu tej osoby.
• Zgodnie z przepisami RODO (art. 37 ust. 1 lit. a oraz art. 37 ust. 7), organy publiczne mają obowiązek wyznaczenia IOD, poinformowania organu nadzorczego oraz publikacji jego danych kontaktowych, co zapewnia ochronę danych osobowych.
• PINB przedłożył dokumenty, które pośrednio sugerowały, że funkcję IOD pełniły wyznaczone osoby, jednak nie wykazano wyznaczenia ich na to stanowisko w sposób skuteczny i zgodny z prawem (m.in. brak pisemnej umowy).
• Ustne polecenie administratora na pełnienie funkcji IOD nie spełnia wymogów formalnych zgodnych z RODO – konieczne jest formalne, pisemne powierzenie tej funkcji.
• Powiatowy Inspektorat Nadzoru Budowlanego skutecznie wyznaczył IOD dopiero 4 marca 2024 roku, czyli po rozpoczęciu postępowania UODO, a o wyznaczeniu zawiadomił Prezesa UODO kolejnego dnia.
• Pomimo wyznaczenia IOD, organ nadzorczy stwierdził, że PINB nie opublikował kontaktu do inspektora ochrony danych do momentu wydania decyzji (18 października 2024 r.).
• Obecnie dane kontaktowe IOD są opublikowane na stronie internetowej PINB w Częstochowie. Skuteczne wyznaczenie oraz publikacja danych IOD to kluczowy element ochrony danych osobowych, który umożliwia realizację zadań określonych w art. 38 i 39 RODO.

Źródło: https://uodo.gov.pl/pl/138/3421

• Kontekst: Rada Legislacyjna przy Prezesie Rady Ministrów przeanalizowała rządowy projekt ustawy o systemach sztucznej inteligencji, mającej wdrożyć unijne przepisy AI Act w Polsce. Projekt ma na celu regulację rynku AI oraz wprowadzenie mechanizmów nadzoru i sankcji za naruszenia.
• Ogólna ocena: Projekt został oceniony pozytywnie, jednak wskazano liczne niedociągnięcia, które wymagają poprawy.
• Kluczowe problemy:
  • Brak odpowiedniego dopasowania terminów wejścia w życie przepisów ustawy do harmonogramu wdrożenia AI Act (art. 88 vs art. 113 AI Act), co może skutkować niezgodnością z prawem unijnym.
  • Nieprawidłowe wyłączenie podstawowych badań naukowych spod regulacji ustawy, co jest sprzeczne z AI Act.
  • Brak określenia skutków prawnych interpretacji wydawanych przez Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji – postulowano, aby miały one charakter wiążący i zapewniały ochronę prawną podmiotom stosującym się do nich.
  • Niewystarczające wskazanie właściwych organów do rozstrzygania sporów, m.in. w kwestii zażaleń na postanowienia Komisji. Rada postuluje przekazanie właściwości Sądowi Ochrony Konkurencji i Konsumentów w Warszawie.
  • Nieprawidłowości w przepisach o notyfikacji jednostek oceniających zgodność. Wymóg akredytacji jest sprzeczny z AI Act, który dopuszcza alternatywne sposoby wykazania zgodności.
  • Nadmierne rozszerzenie możliwości nadawania decyzjom rygoru natychmiastowej wykonalności, co wymaga ograniczenia do przypadków szczególnych, np. ważnego interesu publicznego.
• Szczegółowe rekomendacje Rady:
  • Dostosowanie harmonogramu wdrożenia przepisów ustawy do harmonogramu AI Act.
  • Poprawa zapisów dotyczących wyłączeń badań naukowych, zgodnie z precyzyjnymi regulacjami AI Act.
  • Jednoznaczne uregulowanie prawnych skutków interpretacji Komisji oraz formy rozstrzygnięć w sprawie sprzeciwów.
  • Wyznaczenie właściwego organu (SOKiK) do rozpatrywania zażaleń i rozstrzygania sprzeciwów.
  • Dostosowanie przepisów o notyfikacji do regulacji unijnych, eliminując wymóg akredytacji jako jedynej formy wykazania zgodności.
  • Ograniczenie decyzji o natychmiastowej wykonalności do przypadków o szczególnym znaczeniu publicznym.

Źródło: https://www.linkedin.com/posts/mateusz-kupiec-fip-cipp-e-cipm-289700121_aiact-privacy-ai-activity-7267140034292502530-SInb?utm_source=share&utm_medium=member_desktop

• Kontekst: Ministerstwo Sprawiedliwości planuje stworzenie nowego systemu do gromadzenia danych związanych z przemocą domową. Celem jest lepsza koordynacja działań oraz wymiana informacji między instytucjami odpowiedzialnymi za reagowanie na przemoc.
• Zakres danych: System ma zawierać wrażliwe dane obywateli, w szczególności dotyczące dzieci będących ofiarami przemocy.
• Wątpliwości ekspertów:
  • Wojciech Klicki z Fundacji Panoptykon podkreśla konieczność ostrożności przy tworzeniu systemów przetwarzających wrażliwe dane.
  • Eksperci zaznaczają, że dane w jednej bazie narażone są na ryzyko nieuprawnionego dostępu, co może skutkować wyciekiem danych lub wtórną wiktymizacją.
• Zagrożenia: Incydenty, takie jak ewentualne nadużycia, wyciek informacji lub nieautoryzowany dostęp, mogą mieć poważne konsekwencje dla ofiar przemocy.
• Propozycje zabezpieczeń: Wprowadzenie funkcji umożliwiającej obywatelom sprawdzenie, kto uzyskiwał dostęp do ich danych, np. za pomocą aplikacji mObywatel. Rozwiązanie to mogłoby zmniejszyć ryzyko nieautoryzowanych działań.
• Oczekiwania: Eksperci apelują o transparentność działań związanych z projektem oraz przedstawienie konkretnych argumentów uzasadniających konieczność stworzenia systemu.
• Podsumowanie: Inicjatywa Ministerstwa Sprawiedliwości może przyczynić się do skuteczniejszej walki z przemocą domową, jednak wymaga ona odpowiednich zabezpieczeń, transparentności działań oraz przemyślanego podejścia do gromadzenia i przetwarzania wrażliwych danych obywateli.

Źródło: https://cyberdefence24.pl/prywatnosc/wrazliwe-dane-polakow-trafia-do-nowego-systemu?fbclid=IwY2xjawGpV-RleHRuA2FlbQIxMQABHQau0_3mmyl7D1yYNnLZy6dIg_ByBnrLwY85muhQNdDjziqf4LcUOUIvFQ_aem_KSXzvnP96bw3PMT8NeCoHg

• Kontekst sprawy: Wojewódzki Sąd Administracyjny (WSA) w Warszawie rozpatrzył sprawę dotyczącą decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) nakładającej upomnienie na adwokata za nieprawidłowości w przetwarzaniu danych osobowych klientki.
• Główne zarzuty wobec adwokata:
  • Udostępnienie danych osobowych skarżącej (imienia i nazwiska) osobie nieuprawnionej za pomocą wiadomości SMS z października 2022 r.
  • Brak odpowiedzi na żądanie klientki dotyczące usunięcia jej danych osobowych z bazy danych kancelarii.
• Stanowisko Prezesa UODO:
  • Stwierdzono naruszenie przepisów art. 6 ust. 1 RODO, uznając za zasadne nałożenie na adwokata upomnienia.
  • Prezes UODO powołał się na to, że adwokat przyznał się do pomyłkowego wysłania wiadomości SMS zawierającej dane klientki.
  • W kwestii żądania usunięcia danych ustalono, że kancelaria spełniła obowiązki informacyjne wymagane przez RODO, a adwokat odpowiedział klientce ustnie podczas wizyty w kancelarii.
• Zarzuty sądu wobec decyzji Prezesa UODO:
  • Sąd uchylił decyzję Prezesa UODO, uznając, że nie doszło do wyczerpującego zebrania i oceny materiału dowodowego w sprawie.
  • Podkreślono, że ustalenia opierały się tylko na twierdzeniach stron, bez logicznej analizy i dowodów potwierdzających, że SMS dotarł do osoby nieuprawnionej.
• Zakwestionowano sposób wyjaśnienia rzekomego naruszenia przepisów.
• Podsumowanie: Decyzja o udzieleniu upomnienia adwokatowi została uchylona przez WSA w Warszawie z uwagi na błędy proceduralne i brak dostatecznego wyjaśnienia wszystkich aspektów sprawy.

Źródło: https://judykatura.pl/wsa-uchyla-upomnienie-dla-adwokata-za-udostepnienie-danych-osobowych/

• Kontekst: W liście skierowanym do ministra cyfryzacji Krzysztofa Gawkowskiego, Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych (UODO), zwrócił uwagę na kwestie związane z wykazem organów i instytucji publicznych, o którym mowa w unijnym akcie w sprawie sztucznej inteligencji.
• Problem: W wykazie pominięto organ nadzorczy właściwy ds. ochrony danych osobowych, co wzbudziło zastrzeżenia prezesa UODO.
• Argumenty: Mirosław Wróblewski podkreślił:
  • Konieczność uwzględnienia Prezesa UODO w wykazie, aby zapewnić skuteczne stosowanie norm prawa unijnego.
  • Ochrona danych osobowych jest podstawowym prawem, które powinno być reprezentowane w unijnych dokumentach dotyczących sztucznej inteligencji.
• Rekomendacje: Prezes UODO zasugerował uzupełnienie wykazu, zgodnie z art. 77 ust. 2 aktu w sprawie sztucznej inteligencji, o Prezesa Urzędu Ochrony Danych Osobowych jako organ pełniący kluczową rolę w tej dziedzinie.
• Znaczenie: Wprowadzenie proponowanej zmiany jest kluczowe dla ochrony praw podstawowych obywateli w kontekście rozwoju i wdrażania rozwiązań opartych na sztucznej inteligencji.

Źródło: https://uodo.gov.pl/pl/138/3435

• Kontekst sprawy: Marek A. (dane zmienione) wniósł skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO) dotyczącą nieprawidłowości w procesie przetwarzania jego danych osobowych. Zarzucał m.in. nielegalne pozyskanie adresu zamieszkania, nękanie telefoniczne oraz naruszenie prywatności.
• Żądania skarżącego:
  • Wszczęcie postępowania i stwierdzenie naruszenia danych osobowych.
  • Nałożenie kar i zobowiązanie winnych do ustosunkowania się do zarzutów.
  • Usunięcie przetwarzanych danych oraz spełnienie obowiązku informacyjnego.
• Decyzja Prezesa UODO:
  • Odmowa wszczęcia postępowania z powodu wzajemnie wykluczających się żądań (np. jednoczesne usunięcie danych i spełnienie obowiązku informacyjnego).
  • Niektóre żądania wykraczały poza kompetencje Prezesa UODO, np. dotyczące ochrony dóbr osobistych czy wierzytelności.
• Rozpoznanie przez Wojewódzki Sąd Administracyjny (WSA):
  • WSA uznał, że odmowa wszczęcia postępowania była przedwczesna.
  • Organ powinien najpierw ustalić zasadność żądań skarżącego. W przypadku ich uzasadnienia Prezes UODO mógł zastosować jedno z uprawnień naprawczych, odmawiając jednocześnie spełnienia drugiego żądania.
  • WSA podkreślił, że skarżący wskazał konkretne podmioty i zdarzenia, co umożliwiłoby identyfikację potencjalnych naruszeń.
• Wyrok sądu: Wojewódzki Sąd Administracyjny uchylił decyzję Prezesa UODO, uznając odmowę wszczęcia postępowania za błędną.

Źródło: https://www.prawo.pl/biznes/niezasadna-odmowa-wszczecia-przez-wykluczajace-sie-zadania,530080.html