10 najważniejszych orzeczeń Naczelnego Sądu Administracyjnego i Trybunału Sprawiedliwości Unii Europejskiej 

Z przyjemnością prezentujemy doroczne opracowanie „Nowe technologie (2026) – legislacja i regulacja w Polsce i Unii Europejskiej (od A do Z)”, przygotowane przez mec. Xawery Konarskiego.

Inspektor ochrony danych musi podlegać najwyższemu kierownictwu i nie może jednocześnie pełnić funkcji związanych z audytem IT czy bezpieczeństwem, aby uniknąć konfliktu interesów. Czy Twoja organizacja przestrzega tych zasad? 

W grudniu 2024 r. Europejska Rada Ochrony Danych (EROD) przedstawiła Opinię 28/2024 dotyczącą niektórych aspektów ochrony danych związanych z przetwarzaniem danych osobowych w kontekście modeli AI (dalej: „Opinia”). Przedmiotem opinii są zasady wykorzystywania danych osobowych przy tworzeniu i wdrażaniu modeli sztucznej inteligencji.

Zapraszamy do lektury najnowszej publikacji autorstwa mec. Xawerego Konarskiego pt.: „Nowe technologie (2025) – legislacja i regulacja w Polsce i Unii Europejskiej od A do Z”.

Wojewódzki Sąd Administracyjny w Warszawie wypowiedział się w niedawno opublikowanym wyroku z dnia 21 lutego 2024 r., sygn. akt II SA/Wa 1007/23 na temat  dopuszczalność dalszego przechowywania adresu mailowego byłego pracownika. Wyrok dotyczył skargi spółki na decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w sprawie przetwarzania danych osobowych byłego pracownika. Spółka zakwestionowała decyzję organu nakazującą usunięcie służbowego adresu e-mail pracownika wskazując, że jego dalsze przechowywanie jest konieczne dla zachowania relacji handlowych. 

Zbieranie tytułów grzecznościowe od klientów jest jedną powszechnych praktyk biznesowych, w szczególności w branży e-commerce. Informacje te, zbierane zazwyczaj w momencie zakupu towaru lub zamówienia usługi, są wykorzystywane do personalizacji komunikacji posprzedażowej z klientem. Zbieranie i utrwalanie informacji o tym, w jaki sposób konkretna osoba chce być tytułowana, stanowi przetwarzanie jej danych osobowych. W konsekwencji konieczne jest zapewnienie zgodności takich praktyk z przepisami o ochronie danych osobowych. Niedawna opinia rzecznika generalnego TSUE w sprawie C394/23 zawiera ważne wnioski dla administratorów, którzy chcą zwracać się do klientów z wykorzystaniem podanego przez nich tytułu grzecznościowego. W artykule przedstawiamy najważniejsze punkty opinii oraz przedstawiamy płynące z niej wnioski dla administratorów danych.

Pod koniec kwietnia bieżącego roku Rzecznicy Generalni Trybunału Sprawiedliwości UE: Maciej Szpunar i Athanasios Rantos wydali opinie w dwóch sprawach przed Trybunałem (sprawy o sygnaturach C-21/23 oraz C-446/21), których rozstrzygnięcia będą mieć istotny wpływ na praktykę przetwarzania szczególnych kategorii danych osobowych w Internecie. Przedmiotem pierwszej ze spraw (C-21/23) jest to, czy dane klientów farmaceuty przekazane podczas zamawiania poprzez platformę sprzedaży internetowej leków bez recepty stanowią dane dotyczące zdrowia w rozumieniu RODO. Druga ze spraw (C-446/21) dotyczy dopuszczalności wykorzystywania przez dostawcę platformy internetowej informacji o orientacji seksualnej, publicznie ujawnionej przez użytkownika, na potrzeby wyświetlania mu spersonalizowanych reklam.

17 kwietnia 2024 r. EROD opublikowała długo wyczekiwaną opinię na temat dopuszczalności wykorzystywania mechanizmów „Consent or Pay” przez dostawców dużych platform internetowych. W artykule przedstawiam stanowisko EROD dotyczące zgodności takich rozwiązań z RODO oraz związane z nim kontrowersje.

W wyroku w sprawie SCHUFA Trybunał Sprawiedliwości przyjął szeroką wykładnię całkowicie zautomatyzowanej decyzji, o której mowa w artykule 22 RODO. Wyrok dotyczy scoringu, czyli prawdopodobieństwa spłaty zobowiązania.

Model “pay or ok” to rozwiązanie coraz częściej stosowane przez wydawców serwisów internetowych, w tym dostawców platform, dla pozyskania zgód na wykorzystywanie lub zapisywanie na urządzeniu końcowym użytkownika kodów śledzących w celach reklamowych. Model ten wzbudza jednak kontrowersje z perspektywy przepisów o ochronie danych osobowych.