RODO aktualności – 20.12.2023 r.

• Już na 6 grudnia b.r. zaplanowana jest następna sesja trilogu, czyli trójstronnych negocjacji między Parlamentem, Komisją a Radą UE, w toku których powstaje ostateczna wersja unijnego rozporządzenia w sprawie sztucznej inteligencji („AI Act”).
• Zgodnie z projektem AI Act, w każdym państwie członkowskim UE powinien zostać ustanowiony właściwy, bezstronny organ, którego zadaniem będzie zapewnienie stosowania i wykonania AI Act. Pojawiają się sygnały, że regulatorem stojącym na straży zgodności z AI Act może stać się w Polsce Prezes Urzędu Ochrony Danych Osobowych. Mimo tego, RODO pozostanie w pełni niezależną od AI Act regulacją w zakresie ochrony danych osobowych. Oznacza to, że firmy budujące lub wdrażające systemy oparte na AI będą musiały przestrzegać nakazów i zakazów wynikających zarówno z AI Act, jak i RODO.
• Przetwarzanie danych przez system AI musi być zgodne z ogólnymi zasadami przetwarzania danych zapisanymi w RODO, w szczególności zasadami zgodności z prawem, rzetelności i przejrzystości, zaś dane powinny być zbierane w konkretnych celach i ograniczone do tego, co niezbędne do realizacji tych celów (tzw. minimalizacja danych).
• Ponadto, przetwarzanie danych osobowych przez system oparty na AI musi opierać się na jednej z podstaw określonych w art. 6 RODO – w szczególności taką podstawą może być zgoda, umowa lub uzasadniony interes. Przykładowo, włoski organ ochrony danych dopuścił dalsze przetwarzanie danych osobowych użytkowników systemu Chat GPT dla celów szkolenia algorytmu pod warunkiem, że oparte będzie ono na zgodzie użytkownika lub prawnie uzasadnionym interesie jako podstawie prawnej przetwarzania tych danych.
• Oprócz tego, Firma oferująca usługi z wykorzystaniem sztucznej inteligencji musi spełnić obowiązek informacyjny wynikający z RODO zarówno wobec osób, których dane zostały zebrane i przetworzone na potrzeby uczenia algorytmów, jak i wobec osób fizycznych będących użytkownikami systemu. Osobom, których dane zostały wykorzystane w celu uczenia algorytmów, jak i użytkownikom usługi należy również zapewnić możliwość skorzystania z tzw. praw jednostki przewidzianych w RODO.

Żródło: Czy PUODO może zajmować się Chatem GPT? (prawo.pl)

• Od początku listopada europejscy użytkownicy dwóch największych serwisów Mety mają do wyboru: albo nadal będą korzystać ze swoich kont na Facebooku i Instagramie za darmo, godząc się, by śledzono ich aktywność internetową w celu personalizacji reklam, albo wykupią subskrypcję.
• Za miesięczny dostęp do konta (lub połączonych kont danego użytkownika) przez stronę internetową trzeba zapłacić 9,99 euro, a za korzystanie z nich w aplikacji – 12,99 euro. Dodatkowo od marca 2024 r. ma obowiązywać dopłata za każde połączone konto: odpowiednio 6 euro lub 8 euro miesięcznie.
• Założona przez prawnika i aktywistę Maxa Schremsa organizacja NOYB (jej nazwa to akronim wyrażenia: „none of your business” – nie twój interes) uważa, że przy opłacie, która przy kontach w obu serwisach może sięgnąć ponad 251 euro rocznie, wybór użytkowników jest pozorny. Co za tym idzie, wyrażona w ten sposób zgoda na zbieranie danych nie spełnia warunku dobrowolności, a to stanowi naruszenie przepisów RODO.
• „Meta wdrożyła dokładne przeciwieństwo prawdziwie wolnego wyboru” – stwierdza NOYB. Z raportu finansowego spółki wynika, że w III kw. tego roku średni kwartalny przychód Facebooka w Europie w przeliczeniu na użytkownika wyniósł 19 dol., podczas gdy dostęp do aplikacji jest dwukrotnie droższy.
• Big tech zmienił podstawę zbierania danych internautów w EOG, bo metody, jakie stosował poprzednio, zostały zakwestionowane przez organy ochrony danych oraz Trybunał Sprawiedliwości Unii Europejskiej – m.in. w efekcie skarg NOYB.
• – Ile osób nadal korzystałoby z prawa do głosowania, gdyby trzeba było za to zapłacić 250 euro? Były czasy, gdy prawa podstawowe przysługiwały tylko bogatym. Wygląda na to, że Meta chce nas cofnąć o ponad 100 lat – uważa Max Schrems.

Żródło: Skarga na Facebooka. „Meta nie daje prawdziwie wolnego wyboru” – GazetaPrawna.pl

• Rada Unii Europejskiej przyjęła w listopadzie br. Rozporządzenie w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (dalej „Data Act”). Regulacja wejdzie w życie jeszcze w grudniu tego roku, a nowe przepisy zaczną obowiązywać po upływie 20 miesięcy, tj. w drugiej połowie 2025 roku.
• Celem Data Act jest m.in. uregulowanie zasad wykorzystania danych wytwarzanych przez urządzenia skomunikowane (takie jak sprzęty użytku domowego, samochody, w tym pojazdy autonomiczne, maszyny rolnicze, inteligentne gadżety, itp.) tak, aby były one przekazywane szerszej grupie podmiotów, co ma zapewnić bardziej sprawiedliwy dostęp do informacji i wspomóc rozwój technologii.
• Dane, które potencjalnie mogą podlegać obowiązkowi przekazania, to przykładowo lokalizacja GPS samochodów, dane dotyczące ilości prądu pobieranego przez sprzęty użytku domowego czy warunków atmosferycznych, zbierane przez urządzenia rolnicze.
• Data Act ma znieść bariery w przepływie danych, w związku z czym zobowiązuje posiadaczy danych (tj. podmioty które uzyskują dostęp do danych, np. producent urządzenia bądź dostawca usług) do ich udostępniania zarówno użytkownikom, odbiorcom danych (czyli innym przedsiębiorcom, w tym konkurentom posiadaczy urządzeń) jak i w niektórych przypadkach organom publicznym. Udostępnienie generowanych przez urządzenie danych osobowych może natomiast nastąpić wyłącznie na wniosek użytkownika.
• Celem Data Act jest także ułatwienie dostępu do danych, a zatem również do danych osobowych. W związku z powyższym, w projekcie przesądzono, że do przepływu w zakresie danych osobowych zastosowanie nadal znajdują w pierwszej kolejności przepisy RODO, a w przypadku kolizji zastosować należy przepisy unijne bądź krajowe regulujące kwestie przetwarzania danych osobowych.
• W przypadku nieprzestrzegania obowiązków wynikających z Data Act grozić będą kary pieniężne, których wysokość ma zostać ustanowiona przez Państwa członkowskie

Żródło: Legal Alert: Data Act – nowe zasady dostępu do danych – KPMG Poland

• Wytyczne Komisji Ochrony Danych mają na celu pomóc właścicielom i najemcom lokali, w szczególności tych, które są miejscami pracy lub są w inny sposób publicznie dostępne, w zrozumieniu ich odpowiedzialności i obowiązków w zakresie ochrony danych podczas korzystania z CCTV.
• Przed zainstalowaniem systemu CCTV potencjalni administratorzy danych powinni rozważyć następujące kwestie:

1. Cel: Czy istnieje jasno określony cel instalacji CCTV
2. Zgodność z prawem: Jaka jest podstawa prawna korzystania z CCTV
3. Konieczność: Czy możesz wykazać, że CCTV jest niezbędne do osiągnięcia Twojego celu?
4. Proporcjonalność: Jeśli system CCTV ma być wykorzystywany do celów innych niż bezpieczeństwa, czy jesteś w stanie wykazać, że te inne zastosowania są proporcjonalne?
5. Bezpieczeństwo: Jakie środki zostaną wprowadzone w celu zapewnienia, że nagrania CCTV są bezpieczne;
6. Retencja: Jak długo będą przechowywane nagrania, biorąc pod uwagę, że powinny być przechowywane nie dłużej niż jest to konieczne
7. Przejrzystość: W jaki sposób osoby zostaną poinformowane o monitoringu

Żródło: Guidance on the Use of CCTV – For Data Controllers | Data Protection Commissioner

• Sąd litewski i sąd niemiecki zwróciły się do Trybunału Sprawiedliwości o dokonanie wykładni przepisów RODO w odniesieniu do możliwości nakładania administracyjnej kary pieniężnej przez krajowe organy nadzorcze na administratora danych.
• W sprawie niemieckiej, spółka nieruchomościowa Deutsche Wohnen, która pośrednio posiada około 163 000 lokali mieszkalnych i 3 000 lokali użytkowych lokali mieszkalnych i 3 000 lokali użytkowych, kwestionuje, między innymi, grzywnę w wysokości ponad 14 milionów euro, która została na nią nałożona na nią w wyniku przechowywania danych osobowych najemców przez okres dłuższy niż to konieczne.
• Trybunał orzekł, że administrator danych nie może zostać obciążony administracyjną karą pieniężną za naruszenie RODO, chyba że naruszenie to zostało popełnione bezprawnie, tj. umyślnie lub przez zaniedbanie.
• W przypadku gdy administrator jest osobą prawną, nie jest konieczne, aby naruszenie zostało popełnione przez jego organ zarządzający. Nie jest też konieczne, aby organ ten wiedział o tym naruszeniu. Wręcz przeciwnie, osoba prawna ponosi odpowiedzialność zarówno za naruszenia popełnione przez jej przedstawicieli, dyrektorów lub kierowników, jak i za naruszenia popełnione przez jakąkolwiek inną osobę działającą w ramach działalności tej osoby prawnej i w jej imieniu.
• Oprócz tego, nałożenie administracyjnej kary pieniężnej na osobę prawną jako administratora danych nie może być uzależnione od wcześniejszego ustalenia, że naruszenie zostało popełnione przez zidentyfikowaną osobę fizyczną.
• Ponadto na administratora może zostać nałożona kara w związku z operacjami wykonywanymi przez podmiot przetwarzający, w zakresie, w jakim administrator może zostać pociągnięty do odpowiedzialności za takie operacje.
• Ponadto, w przypadku gdy adresat grzywny należy do grupy spółek, obliczenie tej grzywny powinno opierać się na obrotach całej grupy.

Żródło: Only a wrongful infringement of the General Data Protection Regulation may result in an administrative fine being imposed (europa.eu)

• Wojewódzki Sąd Administracyjny podtrzymał decyzję prezesa UODO, w której nałożono karę upomnienia na Rzecznika Finansowego za brak odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.
• Do naruszenia ochrony danych osobowych doszło w związku z kradzieżą prywatnego komputera byłego pracownika Rzecznika Finansowego. W komputerze tym przechowywane były dane osobowe przetwarzane podczas pracy zdalnej świadczonej dla administratora danych. Fakt nieprzeprowadzenia przez administratora analizy ryzyka sprawił, że dane te nie zostały odpowiednio zabezpieczone.
• Ponadto administrator nie upewnił się, czy pracownik po zakończeniu świadczenia pracy skutecznie i trwale usunął dane z komputera. Brak odpowiednich zabezpieczeń technicznych i organizacyjnych doprowadził do nałożenia przez prezesa UODO kary upomnienia na administratora.
• Skarżąc decyzję organu nadzorczego, Rzecznik Finansowy twierdził, iż skradziony komputer należał do byłego już pracownika, a Prezes UODO nie udowodnił, że na jego dysku twardym faktycznie znajdowały się dane osobowe.
• Żaden z powyższych argumentów nie został podzielony przez WSA w Warszawie. Wojewódzki Sąd Administracyjny nie miał wątpliwości, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik. Sąd, rozstrzygając tę kwestię, przywołał definicję administratora zawartą w RODO, zgodnie z którą jest nim ten, kto decyduje o celach i sposobach przetwarzania danych osobowych.
• WSA w Warszawie zgodził się z prezesem UODO, że administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. Odpowiadając na zarzut skarżącego, że organ nadzorczy nie udowodnił w postępowaniu, iż komputer nie był odpowiednio chroniony, sąd wskazał, iż ciężar dowodowy w tym przypadku spoczywa po stronie administratora.
• W swoim orzeczeniu WSA zwrócił też uwagę, że administrator nie zweryfikował również, czy pracownik skutecznie usunął dane z komputera.

Żródło: Dane osobowe w prywatnym komputerze pracownika też pod ochroną. Wyrok WSA (prawo.pl)

• Trybunał Sprawiedliwości Unii Europejskiej (dalej: Trybunał, TSUE) wydał wyrok w sprawie C-634/21 | SCHUFA Holding (Scoring) oraz w sprawach połączonych C-26/22 i C-64/22 | SCHUFA Holding (Zwolnienie z pozostałej części długu). Orzeczenie zapadło w czwartek, 7 grudnia 2023 r.
• Wiele osób zaskarżyło przed sądem administracyjnym w Wiesbaden (Niemcy) na odmowę podjęcia działań przez właściwego komisarza ds. ochrony danych przeciwko niektórym rodzajom działalności SCHUFA, będącego prywatnym biurem informacji kredytowej, którego klientami są w szczególności banki. Sprzeciwiają się scoringowi oraz przechowywaniu informacji dotyczących zwolnienia z pozostałej części długu przejętej z rejestrów publicznych.
• Scoring jest matematyczną metodą statystyczną umożliwiającą, oparte na prawdopodobieństwie, ustalenie przyszłego zachowania, takiego jak spłata kredytu. Informacje dotyczące zwolnienia z pozostałej części długu są przechowywane w niemieckim publicznym rejestrze upadłości przez sześć miesięcy, podczas gdy kodeks postępowania niemieckich biur informacji kredytowej przewiduje dla ich własnych baz danych okres przechowywania wynoszący trzy lata.
• W odniesieniu do scoringu Trybunał orzekł, że należy go uznać za „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach”, co do zasady zakazane przez RODO, o ile klienci SCHUFA, tacy jak banki, przypisują mu decydującą rolę przy udzielaniu kredytów. Według sądu administracyjnego w Wiesbaden sytuacja taka ma miejsce.
• Odnosząc się zaś do informacji dotyczących zwolnienia z pozostałej części długu Trybunał uznał za sprzeczne z RODO to, że prywatne biura przechowują takie dane dłużej niż publiczny rejestr upadłości. Zwolnienie z pozostałej części długu ma bowiem na celu umożliwienie zainteresowanej osobie ponownego uczestnictwa w życiu gospodarczym, a zatem ma dla niej egzystencjalne znaczenie. Tymczasem informacje te są zawsze wykorzystywane jako czynnik negatywny przy ocenie zdolności kredytowej danej osoby.
• W zakresie, w jakim przechowywanie danych jest niezgodne z prawem, jak ma to miejsce po upływie sześciu miesięcy, osoba, której dane dotyczą, ma prawo do usunięcia tych danych, a biuro jest zobowiązane do ich usunięcia bez zbędnej zwłoki.

Żródło: RODO a praktyki przetwarzania danych przez biura informacji kredytowej – wyrok TSUE (prawo.pl)

• EDPS – European Data Protection Supervisor opublikował kolejną edycję raportu TechSonar. W edycji 2023-2024 wskazano pięć technologicznych kierunków, które z dużym prawdopodobieństwem będą wpływać na prawa osób fizycznych do ochrony danych i prywatności. Są to: modele językowe (Large Language Models-LLM), wykrywanie deepfake (Deepfake detection), portfel tożsamości cyfrowej (Digital Identity Wallet-DIW), wirtualna rzeczywistość (Extended Reality-XR) oraz Internet of Behaviours (IoB).
• Jako rodzaj generatywnego systemu AI, LLM tworzy nowe treści w odpowiedzi na pytania użytkownika na podstawie danych z różnych źródeł, w tym ze źródeł publicznych. LLM mogłyby pomóc w wykrywaniu i lepszym zarządzaniu danymi osobowymi dotyczącymi informacji nieustrukturyzowanych (np. pola tekstowego zawierającego historię rodziny). LLM mogłyby również pomóc w identyfikacji, redagowaniu lub anonimizowaniu danych osobowych. Jeśli jednak nie są odpowiednio zabezpieczone, LLM mogą ujawnić poufne lub prywatne informacje zawarte w ich zbiorach danych, co prowadzi do potencjalnych lub rzeczywistych naruszeń danych.
• DIW to aplikacja, która umożliwia bezpieczne przechowywanie, zarządzanie i udostępnianie danych osobowych, danych uwierzytelniających i innych informacji, odnoszących się do właściciela tego wirtualnego portfela. DIW mają duży potencjał w celu umożliwienia profilowania osób fizycznych, jeśli cechy i sposób korzystania z DIW nie są spójne z podejściem uwzględniającym ochronę prywatności w fazie projektowania.
• Rozszerzona rzeczywistość (XR) to z kolei termin obejmujący wszystkie technologie immersyjne, w tym rzeczywistość wirtualną, rzeczywistość rozszerzoną i rzeczywistość mieszaną. Systemy VR mogą rejestrować zachowania, takie jak ruchy części różnych części ciała (np. głowa, dłoń, stopy, klatka piersiowa, łokieć lub kolana). Według niektórych autorów, pozycja głowy i ruch mogą być wykorzystywane do wnioskowania o schorzeniach, takich jak zespół nadpobudliwości psychoruchowej, autyzm lub demencja. Tak dużą ilość przetwarzanych danych jest trudno pogodzić z zasadami minimalizacji danych i ograniczenia celu.

Żródło: 23-12-04_techsonar_23-24_en.pdf (europa.eu)

• Sąd Okręgowy w Warszawie zasądził na rzecz pewnej Obywatelki kwotę 20 000 zł zadośćuczynienia za błąd popełniony przez Naczelny Sąd Administracyjny dotyczący braku anonimizacji danych osobowych.
• Sąd Apelacyjny zmienił to orzeczenie, zmniejszając kwotę 20 000 zł do 10 000 zł.
• Co istotne, Sąd Apelacyjny podzielił i przyjął jako własne ustalenia faktyczne Sądu Okręgowego z niewielkimi korektami, które nie dotyczą meritum postępowania.
• Sąd Apelacyjny dostrzega, że RODO ma zastosowanie dopiero od dnia 25 maja 2018 r. (art. 99 ust. 1 RODO), podczas gdy do opublikowania orzeczenia w wersji niezanonimizowanej doszło w 2016 roku.
• Niemniej jednak należy przyjąć, że stan nieuprawnionego przetwarzania danych osobowych powódki trwał do chwili ich usunięcia, co nastąpiło w 2021 roku, dlatego zasadne jest również dokonanie oceny prawnej na podstawie przepisów RODO;
• Ponadto nie można pomijać tego, że opublikowanie pełnych danych osobowych powódki w Centralnej Bazie Orzeczeń Sądów Administracyjnych było czynem bezprawnym również w roku 2016, gdyż pozostawało w sprzeczności z art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.).

Żródło: Judykatura.pl; Opublikuj | LinkedIn

• Prezes Urzędu Ochrony Danych Osobowych zatwierdził „Kodeks postępowania dla sektora ochrony zdrowia” przygotowany przez Polską Federację Szpitali. Podpisany dokument to pierwszy w Europie kodeks obejmujący podmioty publiczne i prywatne z sektora medycznego.
• Dokument przewiduje odrębne mechanizmy monitorowania przestrzegania jego postanowień dla publicznych placówek medycznych. Przystąpienie do kodeksu nie wiąże się z członkostwem w żadnej organizacji.
• W ocenie organu nadzorczego przedstawiony przez Polską Federację Szpitali kodeks postępowania jest zgodny z przepisami ogólnego rozporządzenia o ochronie danych (RODO) oraz stanowi odpowiednie zabezpieczenie w zakresie ochrony danych przewidzianych przepisami tego rozporządzenia. Ważnym aspektem było wypracowanie rozwiązań monitorowania podmiotów publicznych. Jest to pierwszy taki kodeks dla sektora medycznego umożliwiający szpitalom publicznym potwierdzanie zgodności procesu przetwarzania danych z RODO.
• Decyzja Prezesa UODO kończy okres pracy nad treścią kodeksu i daje placówkom medycznym możliwość rozpoczęcia przygotowań do jego wdrożenia.
• Przystąpienie do stosowania kodeksu postępowania wiąże się z licznymi korzyściami. Przede wszystkim podmioty, które będą go stosowały mogą mieć gwarancję prawidłowości używania określonych rozwiązań zatwierdzonych przez organ nadzoru. Mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych w oparciu o mechanizmy monitorowania opisane w kodeksie. Nie bez znaczenia jest również fakt, iż zgodnie z RODO organ nadzorczy, gdy rozważa nałożenie kary na dany podmiot musi brać pod uwagę w każdym przypadku, czy podmiot ten prawidłowo stosuje zatwierdzony kodeks postępowania.
• Organ nadzorczy udzielił akredytacji KPMG Advisory sp. z o.o. sp. k., który będzie pełnił funkcję podmiotu monitorującego stosowanie kodeksu wśród jego członków z sektora prywatnego.

Żródło: Aktualności – UODO