RODO aktualności – 19.04.2023 r.

• Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 33 tys. zł na administratora, który utracił poufność danych osobowych. Ponadto organ nadzorczy nakazał mu zaprzestać powierzania przetwarzania danych podmiotowi, z którym współpracował na podstawie umowy zawierającej braki. Jak wykazało postępowanie, zarówno administrator, jak i podmiot przetwarzający naruszyli przepisy RODO, bo nie wdrożyli odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.
• Do UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych, polegające na utracie poufności danych. Administrator w zgłoszeniu podał również dane podmiotu przetwarzającego zajmującego się kompleksową obsługą informatyczną. Niezależnie od powyższego, UODO pozyskał też informację z przekazów medialnych o naruszeniu ochrony danych osobowych, znajdujących się m.in. w polisach ubezpieczeniowych potwierdzających zawarcie z różnymi towarzystwami ubezpieczeniowymi umów ubezpieczenia w okresie od maja 2015 r. do listopada 2020 r., które były publicznie dostępne w zasobach informatycznych należących do administratora. Administrator potwierdził, że zgłoszenie naruszenia ochrony danych osobowych przekazane UODO dotyczy tego samego zdarzenia, które zostało opisane przez media. Jak ustalono, do naruszenia doszło podczas wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom w sieci lokalnej oraz zdalnie.
• Ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej fazie należy określić poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych, a w drugiej należy ustalić, jakie środki techniczne i organizacyjne będą właściwe, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
• Zdaniem Prezesa UODO, NSA w sposób niezaprzeczalny i precedensowy kwestionuje niezależność organu nadzorczego, jak i podważa jego kompetencje oraz kwalifikacje merytoryczne zatrudnionych w nim osób, niezbędne do wykonywania zadań, do których organ ten został powołany. Brak takiej weryfikacji, wobec niewdrożenia odpowiednich środków technicznych i organizacyjnych skutkował w tej sprawie wystąpieniem przedmiotowego naruszenia. Pewne działania weryfikacyjne zostały przeprowadzone dopiero po wystąpieniu naruszenia.
• Administrator korzystający z usług podmiotów przetwarzających powinien upewnić się, czy podmioty te zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W niniejszej sprawie zmiany w systemie informatycznym nie zostały wprowadzone na podstawie określonych procedur, a prawidłowość ich przebiegu nie została zweryfikowana po ich dokonaniu. Ze względu na niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, również na podmiot przetwarzający została nałożona administracyjna kara pieniężna. Administrator nie zweryfikował sposobu realizacji przez podmiot przetwarzający zmian w systemie informatycznym, w którym przetwarzane były dane osobowe. Zdaniem UODO takie działanie znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych.

Źródło: https://uodo.gov.pl/pl/138/2684

• Sztuczna inteligencja, taka jak Chat GPT, świetnie radzi sobie z analizą danych i podrzuca kreatywne rozwiązania problemów, również tych, z którymi spotykamy się w codziennej pracy. Tyle że w praktyce prowadzi to do rozpowszechnienia informacji, którymi nie podzielilibyśmy się na forum publicznym – np. tych, objętych tajemnicą przedsiębiorstwa. A to niesie za sobą konsekwencje – również prawne.
• Chat GPT jest zaprogramowany w ten sposób, że uczy się na podstawie dostarczanych mu danych. Tym samym w nadchodzących latach powinien on być coraz bardziej precyzyjny i dostosowany do potrzeb użytkowników. Wadą tego rozwiązania jest jednak to, że wprowadzane do Chata GPT dane są przesyłane i przechowywane na zewnętrznych serwerach. Dodatkowo, dane takie mogą zostać ujawnione także innym użytkownikom, w tym konkurencji. Ujawnianie poufnych informacji na zewnątrz będzie zatem w tym wypadku stanowiło naruszenie podstawowych obowiązków pracowniczych. Uważamy, że w niektórych okolicznościach może mieć ono nawet charakter ciężki, a tym samym skutkować dyscyplinarnym rozwiązaniem umowy.
• Pracownicy jednego z gigantów technologicznych prosili AI o wygenerowanie odpowiedzi na swoje pytania dotyczące ich codziennej pracy programistycznej i projektowej – skutkiem ubocznym tego procesu było ujawnienie szerokiemu gronu ludzi informacji na temat rozwiązań, nad którymi ta firma pracuje. A to może wiązać się z konkretną szkodą dla pracodawcy.

Żródło: https://www.prawo.pl/biznes/zwolnienie-z-pracy-za-rozmowe-z-chat-gpt-odpowiedzialnosc,520711.html

• EROD po raz kolejny przyjęła wiążącą decyzję dotyczącą rozstrzygnięcia sporu na podstawie art. 65 RODO, w sprawie projektu decyzji irlandzkiego organu nadzorczego odnoszącej się do Meta IE. Sprawa dotyczy zgodności z prawem przekazywania danych do Stanów Zjednoczonych przez Meta IE na potrzeby jej usługi Facebook.
• Decyzja wiążąca odnosi się do istotnych kwestii prawnych wynikających z projektu decyzji irlandzkiego organu jako wiodącego organu nadzorczego w sprawie Meta IE. Wiążąca decyzja EROD odgrywa kluczową rolę w zapewnieniu prawidłowego i spójnego stosowania RODO przez krajowe organy nadzorcze. A ponieważ nie osiągnięto porozumienia w sprawie sprzeciwów złożonych przez kilka organów nadzorczych, wezwano EROD do rozstrzygnięcia sporu między organami w terminie dwóch miesięcy.
• W szczególności, w swojej wiążącej decyzji, Europejska Rada Ochrony Danych rozstrzygnęła spór dotyczący tego, czy w ostatecznej decyzji irlandzkiego organu nadzorczego musi zostać uwzględniona administracyjna kara pieniężna i/lub dodatkowy nakaz egzekwowania przepisów o ochronie danych osobowych.
• Wiodący organ nadzorczy przyjmuje ostateczną decyzję skierowaną do administratora na podstawie wiążącej decyzji Europejskiej Rady Ochrony Danych, biorąc pod uwagę jej ocenę prawną, najpóźniej miesiąc po tym, jak EROD notyfikuje swoja decyzję. EROD opublikuje decyzję na swojej stronie internetowej po tym, jak wiodący organ nadzorczy poinformuje o swojej decyzji krajowej administratora.
• Europejska Rada Ochrony Danych postanowiła utworzyć specjalną grupę zadaniową w celu wspierania współpracy i wymiany informacji na temat ewentualnych działań w zakresie egzekwowania prawa prowadzonych przez organy nadzorcze

Żródło: https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en

• Dzieci sprawców przestępstw ujawnionych w publicznym tzw. „rejestrze pedofilów”, które obawiają się traumy i wykluczenia, gdy otoczenie odkryje, kim był ich rodzic, nie mogą one wystąpić o usunięcie jego danych z rejestru. Są w nim też zamieszczane dane sprawców skazanych przed wejściem w życie ustawy z 2016 r. o utworzeniu rejestru, co budzi wątpliwości Rzecznika Praw Obywatelskich.
• RPO przypomina, że na jej mocy w publicznie dostępnym rejestrze znajdują się dane osobowe, fotografie i miejsca pobytu najgroźniejszych skazanych przestępców seksualnych. Druga część rejestru jest dostępna tylko dla przedstawicieli organów ścigania i wymiaru sprawiedliwości, a także instytucji zajmujących się opieką nad dziećmi. W tej części są ponadto numery PESEL skazanych i ich adresy zameldowania.
• W ostatniej opinii Rzecznik zwracał uwagę, że propozycja zmian w funkcjonowaniu rejestru – w tym działania organu kompetentnego do postanowień o wpisie do rejestru – powinna być połączona z refleksją nad rozwiązaniem takich problemów, jak ponowna wiktymizacja ofiar, zapewnienie ochrony członkom rodziny sprawcy, umieszczanie w rejestrze danych osobowych osób nieletnich.
• RPO podkreśla, że wtórna wiktymizacja ofiar przestępstw seksualnych i stygmatyzacja ich rodzin jest zjawiskiem, którego nie da się rozwiązać bez zmian prawa.  – Takie zagrożenie –  jako uboczny rezultat wpisu do publicznego rejestru – jest zjawiskiem niepożądanym, sprzecznym z celem postępowania karnego (także po wydaniu prawomocnego wyroku), jakim jest uwzględnienie prawnie chronionych interesów pokrzywdzonego i poszanowanie jego godności. Sama możliwość wtórnej wiktymizacji wystarczająco uzasadnia odstąpienie od dokonania wpisu do rejestru publicznego przez wzgląd na dobro małoletnich pokrzywdzonych.

Żródło: https://www.prawo.pl/prawo/rejestr-pedofilow-wymaga-zmian,520775.html