Transfer danych z państw UE do USA na razie bezpieczny. Przy zaświadczeniu o prawie do głosowania nie można wymuszać podpisania klauzul RODO. Abonament na Facebooka i Instagrama w zamian brak reklam. Dane o wadze i wyniku testów sprawnościowych w publicznej bazie – interwencja Rzecznika Praw Obywatelskich. Prezes UODO nakazuje udostępnienie nagrania z infolinii. Stosowanie AI w pracy a obowiązek informowania zatrudnionych. UODO: Prowadzenie statystyki nie jest przesłanką wystarczającą do przetwarzania danych o miejscu pracy i zawodzie. CNIL opublikował pierwsze wytyczne dotyczące przestrzegania RODO w fazie rozwoju systemów AI. Belgia: Umowa powierzenia przetwarzania danych nie może być stosowana z mocą wsteczną.
RODO aktualności z dnia 09.10.2023 r. | RODO aktualności z dnia 17.10.2023 r. |
Pobierz PDF |
Transfer danych z państw UE do USA na razie bezpieczny
- Trybunał Sprawiedliwości Unii Europejskiej (TSUE) nie znalazł podstaw do zawieszenia wykonalności decyzji Komisji Europejskiej legalizującej przekazywanie danych osobowych z państw UE do Stanów Zjednoczonych. Chodzi o porozumienie znane jako umowa ramowa – DPF (od angielskiej nazwy Data Privacy Framework), obowiązujące od lipca tego roku.
- Umowę ramową zakwestionował Philippe Latombe, deputowany francuskiego Zgromadzenia Narodowego, który 6 września złożył do TSUE wniosek o unieważnienie decyzji KE.
- Deputowany uważa, że DPF narusza jego prawa, gdyż nie jest zgodne z RODO ani z Kartą praw podstawowych UE. Wskazał m.in., że choć w USA powstał organ mający rozpatrywać m.in. skargi na udostępnianie danych osobowych amerykańskim służbom wywiadowczym, to wbrew nazwie (Sąd Kontroli Ochrony Danych Osobowych) nie jest on sądem, a prezydent USA może anulować jego decyzje.
- Francuski poseł złożył też wniosek o zastosowanie środka tymczasowego w postaci nakazu zawieszenia wykonania zaskarżonej decyzji. Uzasadnił to poważną i nieodwracalną szkodą, jaką wyrządza mu stosowanie DPF. Jak stwierdził, korzysta m.in. z usług Microsoftu i Google’a, więc jego dane osobowe mogą być przekazywane do USA, a tam wykorzystywane przez agencje wywiadowcze bez odpowiedniej kontroli.
- Rozpatrując ten ostatni wniosek, TSUE zaznaczył, że akty przyjęte przez instytucje UE korzystają z domniemania legalności. Philippe Latombe nie wykazał jednak poniesionej szkody. Zdaniem sądu skarżący ograniczył się „do ogólnego opisu skutków i negatywnych aspektów zaskarżonej decyzji”. Wniosek o zawieszenie stosowania DPF został więc odrzucony.
Żródło: Transfer danych z państw UE do USA na razie bezpieczny – GazetaPrawna.pl
Przy zaświadczeniu o prawie do głosowania nie można wymuszać podpisania klauzul RODO
- Do 12 października wyborcy mogą zmienić miejsce głosowania albo pobrać zaświadczenie o prawie do głosowania w miejscu pobytu w dniu wyborów. Co ważne, zaświadczenia można pobrać w każdym, dowolnym urzędzie gminy. W wielu z nich urzędnicy, wydając zaświadczenie, wymagają podpisania klauzuli RODO. A to bezprawne.
- Zasadą jest, że wyborca głosuje w tej komisji obwodowej, w której jest ujęty w spisie, czyli w komisji właściwej według miejsca zamieszkania. Ale może też oddać głos w innym miejscu pobytu w dniu wyborów. Potrzebuje w tym celu specjalnego zaświadczenia. Takie zaświadczenia miało już pobrać, na potrzeby październikowych wyborów, blisko 160 tys. osób.
- Wniosek, co warto podkreślić, można złożyć w dowolnie wybranym urzędzie gminy, a urzędnik nie ma prawa pytać nas dlaczego udaliśmy się akurat do urzędu, w którym on wykonuje czynności. Nie ma też prawa odmówić nam wydania takiego zaświadczenia na przykład z uwagi na rejonizację, bo takiej rejonizacji nie ma – mówi dr. hab. Marlena Sakowska-Baryła.
- Ekspertka zwraca uwagę, na praktykę, którą stosują różne urzędy. Mianowicie wymuszania podpisania klauzuli informacyjnej o tym, że wnioskodawca zapoznał się z zasadami przetwarzania danych zgodnie z RODO. Niektórzy nawet warunkują wydanie zaświadczenia od podpisania tej klauzuli.
- Należy podkreślić, że w żadnym z przepisów RODO nie ma mowy o tym, że administrator, spełniając wynikający z art. 13 RODO obowiązek poinformowania osoby, której dane dotyczą, o przetwarzaniu jej danych – może lub powinien żądać, by osoba ta poświadczyła wykonanie tego obowiązku własnoręcznym podpisem. Z tego też względu żądanie od osoby, która składa wniosek o wydanie zaświadczenia o prawie do głosowania, by złożyła ona podpis pod klauzulą informacyjną jest niezgodne z prawem.
Abonament na Facebooka i Instagrama? W zamian brak reklam
- Miesięczny abonament, ale za to brak reklam (choć nie wszystkich) – już niedługo użytkownicy Facebooka i Instagrama w Unii Europejskiej będą mieli wybór. To pokłosie szarpaniny, z jaką Meta wprowadza w życie unijne przepisy odnośnie do spersonalizowanych reklam.
- Meta przedstawiła organom regulacyjnym swój plan na nałożony na social media obowiązek umożliwienia wycofania się ze spersonalizowanych reklam, jaki Bruksela nałożyła na amerykańskie firmy technologiczne.
- Zgodnie z ogólnym rozporządzeniem UE o ochronie danych (to słynne RODO) firmy mogą gromadzić i wykorzystywać dane osobowe obywateli UE, o ile ich wykorzystanie mieści się w ściśle określonych kategoriach. Wcześniej Meta argumentowała, że ich zbieranie jest konieczne do wypełnienia umów między platformą a jej użytkownikami w celu świadczenia zindywidualizowanych usług.
- Nic dziwnego, że Meta broni profilowania swoich użytkowniku i podsyłanie im reklam, skoro aż 98 proc. przychodów Mety jest właśnie przez nie generowane. Jednak zdaniem Brukseli cele marketingowe do takich „zindywidualizowanych usług” nie należą.
- Irlandzka Komisja Ochrony Danych, orzekła, że Big Tech może wykorzystywać różne modele subskrypcji, by zgodę lub i nie na spersonalizowane reklamy uzyskać. Jak na razie żaden organ ani nie zaakceptował tej propozycji, ani jej nie odrzucił. Na osiągnięcie kompromisu strony dają sobie kilka miesięcy.
Żródło: Abonament na Facebooka i Instagrama. Meta przedstawiła progi cenowe – Bankier.pl
Dane o wadze i wyniku testów sprawnościowych w publicznej bazie. Interwencja Rzecznika Praw Obywatelskich
- Rzecznik Praw Obywatelskich zwrócił się do Ministra Sportu i Turystyki Kamila Bortniczuka oraz Ministra Edukacji i Nauki Przemysława Czarnka z prośbą o wyjaśnienia co do wątpliwości dotyczących nowego rejestru „Sportowe talenty”. RPO poprosił także o wskazanie, jak będzie egzekwowany obowiązek przekazania informacji dotyczących masy ciała i wzrostu od rodziców i młodzieży.
- Do RPO wpływają skargi w sprawie ewidencji „Sportowe talenty”, wprowadzonej ustawą z 17 sierpnia 2023 r. o zmianie ustawy o zdrowiu publicznym oraz niektórych innych ustaw.
- Wątpliwości dotyczą: właściwej ochrony danych osobowych przetwarzanych w tej ewidencji oraz celowości i proporcjonalności niektórych przepisów z punktu widzenia poszanowania prawa do prywatności i ochrony danych osobowych gwarantowanych w Konstytucji RP oraz w rozporządzeniu unijnym RODO.
- Ustawa przewiduje utworzenie publicznej bazy danych gromadzącej dane osobowe wszystkich uczniów. Chodzi o: imię, nazwisko, nr PESEL, rok urodzenia, wiek, płeć, masę ciała, wzrost, wynik testów sprawnościowych i ich datę; klasę, oddział, typ szkoły i jej nazwę i adres, gminę, powiat i województwo, gdzie uczeń uzyskał wynik z testów sprawnościowych. Według uzasadnienia ustawy celem ewidencji jest monitorowanie sprawności fizycznej dzieci i młodzieży oraz możliwość identyfikacji talentów sportowych.
- Zdaniem Rzecznika Praw Obywatelskich, jest to naruszenie konstytucyjnego prawa do ochrony prywatności, tym bardziej, że na podstawie ustawy, do zebrania danych nie jest potrzebna zgoda rodziców, czy samego ucznia.
Żródło: Program „Sportowe talenty” zagraża bezpieczeństwu danych uczniów (portalsamorzadowy.pl); RPO interweniuje w sprawie rejestru Sportowe Talenty – ePedagogika
Prezes UODO nakazuje udostępnienie nagrania z infolinii
- W jednej z ostatnich decyzji Prezes UODO nakazał pewnej spółce akcyjnej spełnienie obowiązku informacyjnego określonego w art. 15 ust. 3 rozporządzenia 2016/679 poprzez dostarczenie kopii danych osobowych utrwalonych w nagraniach rozmów telefonicznych z konsultantem, uwzględniającej głos Pani M. G.
- Skarżąca wskazała, że zwróciła się do Spółki z żądaniem udostępnienia jej kopii danych osobowych w postaci nagrań rozmów telefonicznych z konsultantami Spółki. Ponieważ odmówiono jej realizacji ww. żądania, zwróciła się z prośbą o interwencję do Prezesa UODO. Spółka oświadczyła, że pozyskała dane Skarżącej bezpośrednio od niej w związku zawarciem w dniu […] marca 2018 r. umowy w sprawie współpracy dotyczącej obsługi i rozliczania transakcji opłacanych kartami płatniczymi.
- Tymczasem Spółka w realizacji powyższego obowiązku nie uwzględniła wśród danych osobowych Skarżącej przetwarzanych w związku z rozmowami telefonicznymi z października 2019 r. oraz ze stycznia 2020 r. jej głosu. Spółka zarówno w toku korespondencji ze Skarżącą, jak i w treści wyjaśnień jako przyczynę odmowy podnosiła, że ujawnienie wnioskowanych nagrań wpłynęłoby niekorzystnie na prawa innych osób (zgodnie z art. 15 ust. 4 rozporządzenia 2016/679).
- Według Prezesa UODO stwierdzenie, że udostępnienie kopii danych może powodować naruszenie praw i wolności osób trzecich skutkuje natomiast obowiązkiem administratora do wyeliminowania tych informacji, których udostępnienie w związku z ich przekazaniem wnioskodawcy mogłoby naruszać prawa osób postronnych – w przypadku nagrania z rozmowy telefonicznej na przykład poprzez anonimizację głosu tych osób, utrwalonego na nagraniu. Dodatkowo podkreślić należy istnienie darmowych rozwiązań (programów) dających możliwość usunięcia (wyciszenia) dźwięku z nagrań audio.
Żródło:Judykatura.pl; Opublikuj | LinkedIn
Stosowanie AI w pracy a obowiązek informowania zatrudnionych
- Użycie sztucznej inteligencji do rekrutacji lub oceny pracy trzeba będzie skonsultować z przedstawicielami załogi i powiadomić o tym zatrudnionych. Taki nowy wymóg już wkrótce może przyjąć Unia Europejska.
- Zaplanowane na dziś posiedzenie Rady UE ds. Zatrudnienia (EPSCO) ma w swojej agendzie debatę nt. wpływu nowych technologii na pracę.
- Nowe regulacje dotyczące wpływu sztucznej inteligencji na stosunki pracy i warunki zatrudnienia może zawierać akt w sprawie sztucznej inteligencji (AI Act). Jedna z poprawek Parlamentu Europejskiego do projektu aktu przewiduje, że przed oddaniem do użytku lub użyciem systemu sztucznej inteligencji wysokiego ryzyka w miejscu pracy operatorzy AI muszą przeprowadzić konsultacje z przedstawicielami pracowników w celu osiągnięcia porozumienia oraz poinformować zatrudnionych, których to dotyczy, że będą objęci działaniem systemu.
- Projekt AI Act za systemy wysokiego ryzyka uznaje m.in. systemy sztucznej inteligencji przeznaczone do rekrutacji lub wyboru osób fizycznych, m.in. w przypadku umieszczania ukierunkowanych ogłoszeń o pracę, selekcji lub filtrowania podań o pracę, a także oceny kandydatów w trakcie rozmów kwalifikacyjnych lub testów.
- Ponadto, z dużym prawdopodobieństwem nowe regulacje dotyczące zautomatyzowanych systemów podejmowania decyzji znajdą się też w unijnym prawie dotyczącym pracy platformowej, czyli pracy osób zarobkujących poprzez aplikacje typu Uber czy Glovo. Dyrektywa ma więc zwiększyć przejrzystość stosowania algorytmów przez platformy i dać zarówno pracownikom, jak i osobom samozatrudnionym prawo do kwestionowania zautomatyzowanych decyzji.
Źródło:Związek zawodowy dowie się o stosowaniu AI w pracy – GazetaPrawna.pl
UODO: Prowadzenie statystyki nie jest przesłanką wystarczającą przetwarzania danych o miejscu pracy i zawodzie
- Myśliwy złożył do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) skargę na niezgodne z prawem przetwarzanie danych osobowych przez Polski Związek Łowiectwa (PZŁ). Zarzucił on PZŁ nielegalne przetwarzanie części danych osobowych pozyskanych przez związek w deklaracji członkowskiej, której wypełnienie jest warunkiem przyjęcia do związku.
- Myśliwy uznał, że nie ma uzasadnienia dla przetwarzania przez PZŁ takich danych jak imię ojca, miejsce pracy, wykształcenie oraz zawód.
- W toku postępowania przed PUODO związek bronił się, twierdząc, że imię ojca myśliwego służy weryfikacji podmiotu i statusu członka związku, do kontaktu z nim oraz ustalenia od kiedy przysługuje mu status członka związku. W odniesieniu do danych dotyczących wykształcenia, zawodu oraz miejsca pracy myśliwego PZŁ podniósł, iż ich przetwarzanie ma na celu zweryfikowanie, w jakich branżach, zawodach i miejscach pracy rozwija się kultura łowiectwa, do którego wspierania Związek jest zobowiązany na mocy art. 34 ustawy Prawo łowieckie.
- PUODO nie zgodził się z żadnym elementem argumentacji przedstawionej przez związek. PZŁ nie jest bowiem dobrowolnym zrzeszeniem, a brak przynależności do niego wiąże się z negatywnymi konsekwencjami dla jednostek w postaci niemożności wykonywania określonych praw.
- PUODO w wydanej decyzji administracyjnej zakazał PZŁ przetwarzania danych osobowych myśliwego w zakresie imienia ojca, miejsca pracy, wykształcenia oraz zawodu, jak również udzielił związkowi upomnienia.
- WSA potwierdził brak przesłanek dla przetwarzania danych osobowych przez PZŁ. W ocenie WSA przetwarzanie danej osobowej w postaci imienia ojca myśliwego po zdanym egzaminie łowieckim jest nielegalne. Podobnie cele statystyczne według WSA nie mogą legalizować przetwarzania danych takich jak miejsce pracy czy wykonywany lub wyuczony przez myśliwego zawód.
CNIL opublikował pierwsze wytyczne dotyczące przestrzegania RODO w fazie rozwoju systemów AI
- 12 października 2023 r. francuski organ ochrony danych („CNIL”) opublikował oficjalne wytyczne dotyczące przestrzegania RODO w fazie rozwoju systemów sztucznej inteligencji („system AI”).
- Wytyczne obejmują w szczególności:
- Ograniczenie celu przetwarzania: organizacje muszą dokładnie rozważyć cel swojego systemu sztucznej inteligencji przed gromadzeniem lub wykorzystywaniem danych osobowych. Zbyt ogólny cel, taki jak „rozwój i doskonalenie systemu sztucznej inteligencji”, nie jest uznawany za ważny.
- Minimalizację danych – CNIL przedstawia trzy scenariusze: szkolenie AI bez danych osobowych, szkolenie AI z danymi osobowymi oraz szkolenie z wykorzystaniem danych osobowych. W przypadku rekordów mieszanych danych (zarówno osobowych, jak i nieosobowych) zastosowanie ma RODO. Organizacje powinny unikać gromadzenia lub wykorzystywania większej ilości danych, niż jest to konieczne do prawidłowego funkcjonowania systemu sztucznej inteligencji.
- Ponowne wykorzystanie danych: CNIL podkreśla, że ponowne wykorzystanie baz danych, w tym danych publicznie dostępnych, jest możliwe w przypadku szkolenia systemów sztucznej inteligencji, pod warunkiem że (i) dane nie zostały zebrane w sposób ewidentnie niezgodny z prawem oraz że (ii) cel ponownego wykorzystania jest zgodny z pierwotnym celem gromadzenia danych osobowych.
Żródło: CNIL potwierdza zgodność AI z RODO | Hogan Lovells – JDSupra
Belgia: Umowa powierzenia przetwarzania danych nie może być stosowana z mocą wsteczną
- W dniu 20 maja 2020 r. osoba, której dane dotyczą, otrzymała od gminy mandat za parkowanie. Na żądanie przedstawienia szczegółowej informacji dotyczącej przetwarzania danych jej danych osobowych, nie dostała potwierdzenia zawarcia porozumienia/umowy powierzenia między gminą a służbą zewnętrzną odpowiedzialną za nałożenie mandatu.
- Osoba, której dane dotyczą złożyła więc skargę do belgijskiego organu ochrony danych osobowych powołując się na naruszenie art. 28 RODO, zgodnie z którym „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego (…)”.
- Zaskarżone podmioty próbowały „załagodzić” konflikt i podpisały ze sobą umowę powierzenia w trakcie trwania postępowania wyjaśniającego.
- Organ ochrony danych podkreślił, że zarówno gmina, jak i służby zewnętrzne mają obowiązek chronić dane osobowe.
- Umowa zawarta z mocą wsteczną, mająca na celu uwzględnienie zdarzeń poprzedzających, nie podlega przepisom RODO.
- Ostatecznie uznano, że gmina oraz służba zewnętrzna odpowiedzialna za nałożenie mandatu i świadcząca usługi na rzecz gminy, nie spełniały wymogów RODO ze względu na brak odpowiedniej umowy o przetwarzaniu danych. Ponadto uznano, że gmina nie dopełniła swojego obowiązku odpowiedniego poinformowania osoby, której dane dotyczą, zgodnie z wymogami RODO.
Żródło:https://www.linkedin.com/posts/mateusz-kupiec-cipp-e-289700121_gdpr-inppan-iod-activity-7119598971362144257 4BGW?utm_source=share&utm_medium=member_desktop
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.