Poniżej przedstawione zostało 10 najważniejszych inicjatyw organów do spraw ochrony danych, projektów legislacyjnych oraz trendów, które powinny mieć istotne znaczenie w 2023 r. dla stosowania RODO w sektorze nowych technologii.

I. Wysokość kar pieniężnych nakładanych przez organy do spraw ochrony danych osobowych.

W 2022 r. organy do spraw ochrony danych w Europie (państwa UE, państwa EFTA, oraz Wielka Brytania) nałożyły kary pieniężne w wysokości 2,92 mld EUR (źródło: raport DLA Piper). W stosunku do 2021 r. łączna wysokość kar wzrosła ponad dwukrotnie. Najwięcej kar nałożono na podmioty z sektora nowych technologii, w tym przede wszystkim reklamy internetowej.

Również w Polsce, w 2022 r. Prezes Urzędu Ochrony Danych Osobowych nałożył najwyższą, jak do tej pory, karę pieniężną w wysokości ponad 4,9 mln PLN (sprawa Fortum Marketing and Sale Poland S.A.).

II. Plan kontroli sektorowych Prezesa Urzędu Ochrony Danych Osobowych (PUODO) na 2023 r.

W dniu 18 stycznia 2023 r. PUODO podał informację o przyjęciu planu kontroli sektorowych na 2023 rok. Zgodnie z ogłoszoną przez Urząd listą priorytetów w kontrolach sektorowych, aż dwa (z trzech obszarów) mają dotyczyć nowych technologii (źródło: https://uodo.gov.pl/pl/138/2614):

  • sposoby zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z korzystaniem aplikacji internetowych,
  • sposoby zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z korzystaniem aplikacji mobilnych.

III. Uchwalenie Prawa komunikacji elektronicznej (PKE) – nowe zasady marketingu elektronicznego, objęcie nową regulacją dostawców usług OTT.

Dla przetwarzania danych w sieciach komunikacji elektronicznej kluczowe znaczenie będzie miało uchwalenie w Polsce Prawa komunikacji elektronicznej (PKE). Przepisy te, których obowiązywanie spodziewane jest od IV kwartału 2023 r., zastąpią dotychczasowe przepisy prawa telekomunikacyjnego, wprowadzając równocześnie pewne modyfikacje w stosunku do dotychczasowego stanu prawnego.

Z punktu widzenia przepisów o ochronie danych w sieciach komunikacji elektronicznej, projekt PKE reguluję trzy istotne obszary.

  • Po pierwsze, modyfikacji ulegają zasady dopuszczalnego marketingu elektronicznego. W dotychczasowym stanie prawnym zagadnienia marketingu bezpośredniego były uregulowane w dwóch aktach prawnych – art.10 ustawy o świadczeniu usług drogą elektroniczną (uśude) oraz art.172 prawa telekomunikacyjnego (PT). Po wejściu w życie PKE, regulacja ta zawarta zostanie w jednym przepisie – art. 393 projektu PKE. Równocześnie dojdzie do uchylenia art. 10 uśude. Bezpośrednią konsekwencją tych zmian będzie objęcie ochroną prawną, w przypadku prowadzonych kampanii e-mailingowych, również osób prawnych. Wyraża się to między obowiązkiem pozyskiwania ich zgody. W dotychczasowym stanie prawnym, wymóg ten dotyczył tylko przesyłania informacji handlowych osobom fizycznym.
  • Po drugie, do projektu PKE przejęto dotychczas obowiązujące zasady w Prawie telekomunikacyjnym zasady instalowania i wykorzystywania różnego rodzaju identyfikatorów internetowych (np. cookies).  Ustawodawca zdecydował, że poza instalowaniem cookies niezbędnych do świadczenia usługi, konieczne będzie pozyskiwanie zgody użytkowników. Dotyczy to np. cookies analitycznych, czy reklamowych. Warto przy tym podkreślić, że istotnie wzrośnie ryzyko prawne wykorzystywania tego rodzaju identyfikatorów, ponieważ zgodnie z projektem PKE, Prezes Urzędu Komunikacji Elektronicznej będzie mógł nakładać istotnie wyższe – niż dotychczas – kary pieniężne.
  • Po trzecie, zgodnie z projektem PKE, jego przepisami objęte zostaną – poza tradycyjnymi przedsiębiorcami telekomunikacyjnymi – również podmioty nie świadczące usług telekomunikacyjnych. Chodzi w szczególności o podmioty świadczące tzw. usługi komunikacji interpersonalnej niewykorzystującej numerów,  określane zbiorczo jako usługi OTT (Over-the-top). Przykładami usług tego rodzaju są: poczta elektronicznej, komunikatory internetowe, czy czaty internetowe. Po wejściu w życie Prawa komunikacji elektronicznej, dostawcy tych usług będą musieli stosować się nie tylko do wymogów RODO, ale również PKE w zakresie przepisów o tajemnicy komunikacji elektronicznej. Będzie miało to kluczowe znaczenie np. przy ocenie dopuszczalności przetwarzania metadanych wygenerowanych w związku ze świadczeniu usług poczty elektronicznej, czy komunikatorów elektronicznych.

IV. Regulacja prawna „płacenia” danymi osobowymi w znowelizowanym prawie konsumenckim.

Od dnia 1 stycznia 2023 r. obowiązuję znowelizowana ustawa o prawach konsumentów, implementująca dyrektywę UE nr 2019/2161 (tzw. dyrektywa Omnibus) . Zmiany odnoszą się między innymi do umów o dostarczanie treści cyfrowej (np. e-booki) lub usługi cyfrowej (np. usługa dostępu do gry przechowywanej w chmurze obliczeniowej).

Nowe przepisy między innymi reguluję sytuację, w których konsument nie płaci konkretnej kwoty za towar czy usługę, ale w zamian za nią przekazuje podmiotowi swoje dane osobowe, aby ten mógł je przetwarzać w innych celach niż tylko realizacja umowy. Przykładem jest sytuacja, gdy w zamian za możliwość korzystania z usługi dostawca będzie przetwarzał dane nie tylko do świadczenia treści/usługi cyfrowej, ale też w dodatkowych celach, np. marketingowych (np. zgoda na otrzymywanie mailingów z ofertami innych firm w zamian za możliwość korzystania z darmowej skrzynki poczty elektronicznej).

Należy podkreślić, że celem nowelizacji ustawy o prawach konsumenta nie jest zmiana przepisów RODO, ale wskazanie konsekwencji cywilnoprawnych mechanizmu „zapłaty” danymi osobowymi, w szczególności w zakresie przysługiwania konsumentowi takich praw jak w przypadku umów odpłatnych (np. prawo odstąpienia od umowy).

V. Wdrożenie Aktu o Usługach Cyfrowych – zakaz dark patterns, ochrona małoletnich, ograniczenie profilowania.

W dniu 19 października 2022 r. został uchwalone Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/2065 w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Akt o Usługach Cyfrowych, AUC). Zdecydowana część jego przepisów będzie natomiast obowiązywała od dnia 17 lutego 2024 r.

Z punktu widzenia przepisów o ochronie danych osobowych, największe znaczenie mają następujące postanowienia AUC:

  • zakaz stosowania dark patterns („zwodniczych interfejsów”), które mogą być wykorzystywane w celu nakłonienia użytkowników do niepożądanego zachowania lub do podejmowania niepożądanych decyzji, które mają dla nich negatywne skutki (np. nieświadomego wyrażenia zgody na przetwarzanie danych osobowych)
  • zakaz prowadzenia targetowanej reklamy opartej na profilowaniu w rozumieniu art. 4 pkt 4 RODO, z wykorzystaniem danych osobowych małoletnich
  • zakaz prowadzenia reklamy targetowanej opartej na profilowaniu danych wrażliwych w rozumieniu art.9 RODO.

VI. Kodeksy, certyfikacje jako mechanizmy zgodności z RODO.

W 2022 r. nastąpił istotny wzrost stosowania mechanizmów compliance określonych w RODO (art. 40 i n.).  Zatwierdzone zostały kolejne narodowe kodeksy postępowania (m.in. Austria, Hiszpania, Holandia), a także pierwszy kodeks w Polsce (Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych – Porozumienie Zielonogórskie). Przyjęto również dwa paneuropejskie kodeksy (Data Protection Code of Conduct for Cloud Infrastructure Service Providers oraz EU Cloud Code of Conduct).

Warto również podkreślić, że pierwszy organ nadzorczy w UE uzyskał zatwierdzenie stosowanych przez niego mechanizmów certyfikacji (Luxemburg). Umożliwia to dokonywanie przez organ certyfikacji administratorów lub procesorów (jest to odrębny od kodeksów postępowań mechanizm compliance w RODO).

VII. Transfery danych osobowych z UE do Stanów Zjednoczonych.

Aktualnie trwają prace nad nowym porozumieniem UE-Stany Zjednoczone w sprawie transferu danych osobowych z terytorium UE do USA.

W  dniu 25 marca 2022 r. zostały ogłoszone przez Przewodniczącą Komisji Europejskiej Ursulą von der Leyen oraz Prezydenta Stanów Zjednoczonych Joe Bidena porozumienie w sprawie Transatlantyckich Ram Ochrony Danych Osobowych (the European Union-U.S. Data Privacy Framework).

Ramy Ochrony Danych Osobowych składają się z trzech elementów:

  • azasad ochrony danych handlowych, zgodnie z którymi organizacje amerykańskie mogą dokonywać samocertyfikacji,
  • zarządzenia prezydenckiego (tzw. Executive Order) oraz
  • dodatkowych regulacji prawnych wydanych przez Departament Sprawiedliwości Stanów Zjednoczonych.

Rozporządzenie wykonawcze i regulacje Departamentu Sprawiedliwości mają na celu zaradzenie dwóm uchybieniom, które TSUE wskazał w związku z unieważnieniem Tarczy Prywatności:

  • ograniczeniu prawa do prywatności muszą być zawężone do przypadków bezwzględnie koniecznych i pozostawać proporcjonalne oraz
  • zapewnieniu prawa do zadośćuczynienia z powodu bezprawnego nadzoru państwa

W dniu 7 października 2022 r. prezydent Joe Biden wydał Executive Order, ograniczający dostęp służb amerykańskich do danych osobowych. Równolegle Departamentu Sprawiedliwości prowadzi prace w celu stworzenia dwuinstancyjnego systemu dochodzenia roszczeń (m.in. powołany zostaje nowy Sąd ds. Ochrony Danych, w celu rozpatrywania skarg dotyczących legalności działań służb

Wyżej wymienione mechanizmy są obecnie oceniane przez Komisję Europejską pod kątem stwierdzenia odpowiedniego poziomu ochrony danych osobowych. Prognozuję się, że decyzja taka zostanie wydana w 2023 r. i w konsekwencji stanie się – podobnie jak to było w przeszłości w przypadku mechanizmów Safe Harbour oraz Privacy Shield – podstawą transferów danych osobowych do Stanów Zjednoczonych.

Do czasu wydania decyzji o adekwatności mechanizmu wypracowanego w ramach Ram Ochrony Danych Osobowych, zdecydowana większość transferów pomiędzy UE i USA odbywać się będzie na podstawie standardowych klauzul umownych, zatwierdzonych przez Komisję Europejską.

W kontekście oceny adekwatności ochrony danych osobowych na terytorium Stanów Zjednoczonych, warto jeszcze wspomnieć, że warto jeszcze wspomnieć, że kolejne – po Kalifornii – stany uchwaliły ustawodawstwo chroniące prywatność, a które to przepisy wejdą w życie w 2023 r. Są to w szczególności: Connecticut, Kolorado, Utah oraz Wirginia.

VIII. Wpływ aktów prawnych dotyczących innowacji na stosowanie RODO.

W 2023 r. w Unii Europejskiej zaczną obowiązywać lub mają być prowadzone prace legislacyjne nad szeregiem nowych aktów prawnych, które będą miały kluczowe znaczenie dla ram prawnych wdrażania różnych innowacji. Dotyczy to przede wszystkim chmury obliczeniowej, Internetu Rzeczy oraz sztucznej inteligencji.

Nowe regulacje dotyczące innowacji regulują zarówno działalność z którą związane jest przetwarzanie danych osobowych, jak danych nieosobowych. Zasadą jest przy tym, że akty prawne dotyczące innowacji pozostają bez uszczerbku dla RODO, co oznacza, że nie naruszają, ani nie zmieniają postanowień RODO. W szczególności przepisy tych aktów prawnych nie powinny być rozumiane jako tworzące nową podstawę prawną dla przetwarzania danych osobowych w ramach regulowanych działań lub jako zmieniający wymogi informacyjne określone w RODO.

Do najważniejszych aktów prawnych z zakresu innowacji, który mają zacząć obowiązywać w 2023 r. zaliczyć należy:

  • nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (rząd planuję uchwalenie  nowelizacji w Q2 2023 r.)
  • Akt w sprawie zarządzania danymi (Rozporządzenie UE zacznie obowiązywać od dnia 24 września 2023 r.)
  • Do najważniejszych aktów prawnych, nad którymi trwają jeszcze prace zaliczyć natomiast należy:
  • projekt Aktu w sprawie danych,
  • projekt Rozporządzenia w sprawie sztucznej inteligencji.

IX. Ochrona danych osobowych w metaversum.

Problematyka prawna ochrony danych osobowych i prywatności w metaversum nabiera coraz większego znaczenia.

W chwili obecnej nie ma i nie jest planowane wydanie aktów prawnych regulujących ochronę danych osobowych i prywatności w metaversum. Brak jest również w tym zakresie wytycznych Europejskiej Rady Ochrony Danych lub organów krajowych.

Szczególne problemy stosowania przepisów RODO do metaversum:

  • przetwarzanie szczególnych (wrażliwych) kategorii danych osobowych. Wbudowane w zestawy VR sensory, by umożliwić współdziałanie użytkownika z metaverse, korzystają z rozbudowanej sieci czujników pozwalających na zbieranie informacji o reakcjach fizycznego ciała ze światem zaprojektowanym. Należą do nich np. systemy rozpoznawania twarzy (jej mimiki, geometrii), śledzenia ruchów gałki ocznej, siatkówki oka, całego ciała (pozycji głowy oraz rąk, odcisków palców, itd.), innych fizjologicznych reakcji organizmu (temperatury, reakcji skóry, tętna, wysycenia krwi, aktywności elektrycznej mięśni – a wkrótce może – fal mózgowych. Są to dane biometryczne w rozumieniu art.4 pkt 14 RODO, podlegające szczególnej ochronie.
  • status poszczególnych podmiotów przetwarzających dane osobowe w wirtualnych światach (administrator, współadministrator, procesor)
  • sposób spełnienia obowiązku informacyjnego oraz określenie podstawy prawnej przetwarzania danych osobowych
  • zasady profilowania osób fizycznych reprezentowanych w metaversum poprzez awatary,
  • transfer danych osobowych poza Europejski Obszar Gospodarczy.

X. „Koniec świata” third party cookies.

Google ogłosił, że do końca 2024 roku oficjalnie przestanie obsługiwać pliki cookies stron trzecich w Google Chrome, będącej najpopularniejszą obecnie przeglądarką (inicjatywa Privacy Sandbox).

Celem zmian związanych z wykluczeniem ciasteczek jest dążenie do zapewnienia użytkownikom większej swobody w zakresie decydowania o tym, czy chcą być śledzeni celem dokładniejszego dopasowania reklam. Personalizacja wyświetlanych reklam ma być w przy tym możliwa, bez jednoczesnej konieczności wykorzystywania szczegółowych, „historycznych” danych o użytkowniku. Przykładem może być przetwarzania informacji o jego zainteresowaniach, ale tylko przez krótki okres czasu (np. kilka tygodni), po którym byłyby one następnie usuwane.  Co równie istotne, Co ważne, to właśnie użytkownik ma sam decydować, które zagadnienia są dla niego najważniejsze w danym momencie.

Proponowane zmiany istotnie zmienią sposób funkcjonowania podmiotów z branży reklamy internetowej. Z jednej strony utracą oni bowiem dostęp do części danych z profilu użytkownika gromadzonych zarówno w oparciu o wyniki wyszukiwania, jak i na podstawie obserwacji jego zachowania na stronie, a z drugiej  wzrośnie znaczenie danych podawanych dobrowolnie przez użytkownika w poszczególnych serwisach (np. w ramach subskrybcji newslettera).