Ochrona danych osobowych

W wyroku w sprawie SCHUFA Trybunał Sprawiedliwości przyjął szeroką wykładnię całkowicie zautomatyzowanej decyzji, o której mowa w artykule 22 RODO. Wyrok dotyczy scoringu, czyli prawdopodobieństwa spłaty zobowiązania.

Model “pay or ok” to rozwiązanie coraz częściej stosowane przez wydawców serwisów internetowych, w tym dostawców platform, dla pozyskania zgód na wykorzystywanie lub zapisywanie na urządzeniu końcowym użytkownika kodów śledzących w celach reklamowych. Model ten wzbudza jednak kontrowersje z perspektywy przepisów o ochronie danych osobowych. 

W dniu 13 marca 2024 r. Parlament Europejski zatwierdził Rozporządzenie pt. Akt w sprawie sztucznej inteligencji („AI Act”, „AIA”, „Rozporządzenie”)[1]. Obecnie trwają prace nad ostateczną wersją językową AIA (tzw. procedura sprostowania), która ma jeszcze zostać zatwierdzona przez Radę UE. Rozporządzenie wejdzie w życie dwadzieścia dni po publikacji w Dzienniku Urzędowym Unii Europejskiej, a zacznie obowiązywać – w zależności od tego, których przepisów to dotyczy – od 6 do 36 miesięcy od wejścia w życie.

Cookie pledge to inicjatywa Komisji Europejskiej mająca na celu wypracowanie dobrowolnego rozwiązania, które ustandaryzuje i uprości zasady stosowania plików cookies i reklamy targetowanej. Została ona ogłoszona w marca 2023 r. W kwietniu 2023 r. odbyła się dyskusja przy okrągłym stole.

W kwietniu 2023 r. Europejska Rada Ochrony Danych przyjęła ostateczną wersję Wytycznych dotyczących realizacji prawa dostępu 01/2022 (dalej: Wytyczne). Podjęto w nich próbę sformułowania generalnych zasad i wskazówek oraz przykładów mających wyjaśnić, czym jest prawo dostępu do danych oraz w jaki sposób administrator powinien reagować w przypadku zetknięcia się z wnioskiem osoby, której dane dotyczą, w obszarze prawa dostępu do danych, opisanego w art. 15 ust. 1 i 3 RODO.

Prezes Urzędu Ochrony Danych Osobowych opublikował co roczny plan kontroli sektorowych na 2024 r. Na kontrolę powinny się przygotować podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) oraz podmioty prywatne w zakresie spełniania obowiązków informacyjnych z art. 13-14 RODO.

W chwili obecnej, w ramach tzw. trilogu prowadzonego pomiędzy Komisją Europejską, Parlamentem Europejskim i Radą Unii Europejskiej wypracowywana jest ostateczna wersja Rozporządzenia UE pt. Akt w sprawie sztucznej inteligencji („AI Act”). Jego uchwalenie przewidywane jest na początek 2024 r.

Decyzja Komisji z 10 lipca 2023 r. o zapewnieniu odpowiedniego poziomu ochrony danych osobowych na podstawie Ram Ochrony Danych UE-USA przywraca pewność prawa dla przedsiębiorców, którzy w ramach prowadzonej działalności przekazują dane osobowe do podmiotów z siedzibą na terenie USA.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała raport dotyczący zapotrzebowania Operatorów Usług Kluczowych (OUK) w UE na ubezpieczenia cybernetyczne. W raporcie tym, opublikowanym w lutym 2023 r., przedstawiono informacje dotyczące wyboru, zakupu, utrzymywania i wykorzystania usług ubezpieczeniowych, jako narzędzia łagodzącego niekorzystne skutki zdarzeń, jakie mogą wystąpić w ich działalności. Raport dotyczy wyłącznie strony popytu (zapotrzebowania) na usługi ubezpieczenia przez OUK.
W raporcie przedstawiono różne etapy kontraktowania ubezpieczeń cybernetycznych, a mianowicie proces zarządzania ryzykiem, określenie zakresu ubezpieczenia, definiowanie procesu roszczeniowego (likwidacja szkody) oraz wymagania dotyczące umiejętności zarządzania ryzykiem. Przedstawiono również oczekiwania wobec ubezpieczycieli oraz inne wnioski jakie wynikały z przeprowadzonych badań ankietowych i wywiadów, przeprowadzonych przez autorów raportu. W podsumowaniu przedstawiono zalecenia, które podzielono na te adresowane dla decydentów w UE oraz państwach członkowskich oraz te adresowane do OUK.

TSUE w maju oraz w czerwcu 2023 r. wydał dwa orzeczenia dotyczące dokonujące wykładni pojęcia „kopii do danych” oraz doprecyzowujących zakres prawa podmiotu danych do otrzymania informacji o tożsamości odbiorców jej danych. W tekście krótko podsumowuję stanowiska Trybunału w obu sprawach oraz przedstawiam ich praktyczne znaczenie dla realizacji praw przewidzianych w art. 15 RODO.