Uchylone decyzje UODO o nałożeniu administracyjnej kary pieniężnej

W dniu 17 kwietnia 2024 roku Rada Ministrów skierowała do Sejmu rządowy projekt ustawy o ochronie sygnalistów, któremu nadano numer druku sejmowego 317. 24 kwietnia 2024 roku skierowano projekt ustawy do I czytania w Komisji Polityki Społecznej i Rodziny, a terminem przedstawienia sprawozdania w sprawie projektowanej ustawy jest 20 maja 2024 roku.

W wyroku w sprawie SCHUFA Trybunał Sprawiedliwości przyjął szeroką wykładnię całkowicie zautomatyzowanej decyzji, o której mowa w artykule 22 RODO. Wyrok dotyczy scoringu, czyli prawdopodobieństwa spłaty zobowiązania.

Model “pay or ok” to rozwiązanie coraz częściej stosowane przez wydawców serwisów internetowych, w tym dostawców platform, dla pozyskania zgód na wykorzystywanie lub zapisywanie na urządzeniu końcowym użytkownika kodów śledzących w celach reklamowych. Model ten wzbudza jednak kontrowersje z perspektywy przepisów o ochronie danych osobowych. 

W dniu 13 marca 2024 r. Parlament Europejski zatwierdził Rozporządzenie pt. Akt w sprawie sztucznej inteligencji („AI Act”, „AIA”, „Rozporządzenie”)[1]. Obecnie trwają prace nad ostateczną wersją językową AIA (tzw. procedura sprostowania), która ma jeszcze zostać zatwierdzona przez Radę UE. Rozporządzenie wejdzie w życie dwadzieścia dni po publikacji w Dzienniku Urzędowym Unii Europejskiej, a zacznie obowiązywać – w zależności od tego, których przepisów to dotyczy – od 6 do 36 miesięcy od wejścia w życie.

Na początku stycznia 2023 r. DPC poinformował o ukaraniu spółki Meta Platforms Ireland Limited administracyjną karą pieniężną o łącznej wartości 390 mln euro. Powodem nałożenia kary było naruszenie przez spółkę przepisów RODO dotyczących legalności i przejrzystości przetwarzania w związku z prowadzonymi działaniami z zakresu wyświetlania reklam behawioralnych użytkownikom Facebooka i Instagrama.

Nowe przepisy dotyczące pracy zdalnej nakazują opracowanie procedury ochrony danych osobowych w związku z wykonywaniem pracy zdalnej. Taki dokument powinien być dostosowany do potrzeb organizacji i do pozostałej dokumentacji dotyczącej ochrony danych osobowych.

Przedmiotem badań prowadzonych przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) są zagrożenia bezpieczeństwa informacji przetwarzanych w systemach informatycznych organizacji, instytucji państwowych, samorządowych, edukacji, służby zdrowia, a także firm, niezależnie od sektora, w jakim działają. Wyniki tych badań już od 10 lat publikowane są w corocznych raportach. Ostatni taki raport, który obejmuje okres od czerwca 2021 r. do lipca 2022 r., opublikowany został we wrześniu 2022 r. W raporcie wskazano główne trendy rozwoju, jakie zaobserwowano w ewolucji poszczególnych rodzajów zagrożeń, najbardziej spektakularne incydenty oraz wykorzystywane podatności. Przedstawiono również zalecenia dla administratorów i zarządzających systemami w zakresie działań, jakie należy podejmować, aby unikać ataków i – jeśli do nich dojdzie – ograniczać ich skutki.