Urząd Ochrony Danych Osobowych poinformował o wszczęciu z urzędu postępowania administracyjnego wobec posła Przemysława Czarnka. Powodem jest podejrzenie naruszenia przepisów RODO w związku z ujawnieniem danych osobowych podczas konferencji prasowej. To kolejny przypadek, w którym osoba pełniąca funkcję publiczną staje się przedmiotem postępowania o naruszenie prawa do prywatności. Na naszym blogu pisaliśmy już o analogicznej sytuacji z udziałem byłego ministra zdrowia, który ujawnił dane pacjenta podczas publicznego wystąpienia – co zakończyło się nałożeniem administracyjnej kary pieniężnej (link). Najnowsza sprawa pokazuje, że problem nieprzestrzegania zasad ochrony danych osobowych przez osoby publiczne wciąż pozostaje aktualny. Ujawnienie danych na konferencji – co wiadomo? […]

Z Karty praw podstawowych Unii Europejskiej wynika jasno: dane osobowe muszą być przetwarzane rzetelnie, w określonych celach i w oparciu o uzasadnioną podstawę prawną określoną w przepisach prawa. Tę zasadę konkretyzuje RODO, a zwłaszcza artykuł 6, który stanowi, że przetwarzanie danych osobowych jest zgodne z prawem tylko w zakresie i w przypadku, w jakim zastosowanie ma co najmniej jedna z sześciu wskazanych tam podstaw prawnych. Jedną z nich jest tzw. „uzasadniony interes” (art. 6 ust. 1 lit. f RODO). Coraz częściej administratorzy danych sięgają właśnie po tę podstawę – kusi bowiem ona elastycznością i brakiem konieczności uzyskiwania zgody. Ale czy […]

Prezes Urzędu Ochrony Danych Osobowych opublikował najnowszy poradnik dotyczący naruszeń ochrony danych osobowych. To praktyczne źródło informacji, które krok po kroku wyjaśnia, jak rozpoznać naruszenie, odpowiednio na nie zareagować i minimalizować ryzyko jego wystąpienia. Poradnik szczegółowo omawia: Rodzaje naruszeń – poufności, integralności i dostępności danych, Obowiązki administratorów i podmiotów przetwarzających, w tym procedury zgłaszania incydentów, Metody oceny ryzyka i podejmowania działań naprawczych, Zasady informowania osób, których dane dotyczą, oraz organu nadzorczego. Publikacja uwzględnia najnowsze wytyczne Europejskiej Rady Ochrony Danych (EROD) oraz orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE). To niezbędna lektura dla wszystkich odpowiedzialnych za bezpieczeństwo danych w organizacjach, w szczególności […]

Dyrektywa NIS2 [1] to jedno z głośniejszych haseł w ostatnim czasie. To już (raczej) powszechnie znany fakt, iż konieczność implementacji dyrektywy NIS2 w ramach przepisów krajowych, wiąże się ze znaczącym rozszerzeniem kręgu podmiotów, które będą zobowiązane do wdrożenia obowiązków wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [2]. Na ustawę, dzięki której regulacje z dyrektywy NIS2 zostaną wprowadzone do naszego porządku prawnego, jeszcze musimy poczekać. Na stan obecny, na podstawie najświeższego projektu ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa [3], możemy wyłącznie przewidywać, jak będzie klarował się przyszły stan prawny. Jako, iż na finalny kształt przepisów musimy poczekać, uwagi wymaga […]

W ostatnich dniach zmieniło się stanowisko Ministerstwa w zakresie tego, do kiedy należy ustanowić procedurę zgłoszeń wewnętrznych. Do niedawna stanowisko Ministerstwa było takie, że procedura zgłoszeń wewnętrznych powinna obowiązywać już 25 września 2024 r., co prowadziło do wniosku, że prace nad procedurą należy prowadzić jeszcze w okresie vacatio legis ustawy, czyli przed jej wejściem w życie. Na tej podstawie, 6 września 2024r. stało się datą, kiedy najpóźniej należało rozpocząć konsultacje procedury, aby zdążyła ona wejść w życie 25 września. Było to dyskusyjne podejście, bo wymagało ono prowadzenia konsultacji procedury bez podstawy prawnej – jeszcze przed wejściem w życie ustawy. Ale […]

AI Act (ang. Artificial Intelligence Act) to rozporządzenie unijne w sprawie sztucznej inteligencji, nad którym prace trwają już od 2021 r. W ubiegłym roku nieustannie prowadzono rozmowy na poziomie UE nad jego treścią, co zaowocowało osiągnięciem porozumienia w tym zakresie. Więcej informacji o wyżej wskazanym akcie prawnym  przybliżamy w niniejszym artykule. Czym jest AI Act i czemu ma służyć? Głównym zadaniem przedmiotowego rozporządzenia ma być uregulowanie ram prawnych w związku z rozwojem sztucznej inteligencji. AI Act ma przede wszystkim służyć zapewnieniu bezpiecznego funkcjonowania systemów opartych o sztuczną inteligencję. Rozporządzenie ma również ustanawiać zakazy dotyczące określonych praktyk w zakresie sztucznej inteligencji, […]

W dniu 17 sierpnia 2023 r. Sejm uchwalił ustawę o zmianie ustawy o zdrowiu publicznym oraz niektórych innych ustaw (dalej: „Ustawa”). Zasadniczo przedmiotem rzeczonej ustawy jest wprowadzenie z dniem 1 stycznia 2024 r. zakazu sprzedaży napojów energetyzujących (napojów z dodatkiem kofeiny lub tauryny) osobom poniżej 18 roku życia. Jednakże, w powyżej wskazanym akcie prawnym, znalazły się także przepisy nowelizujące ustawę o sporcie, ustawę – Prawo oświatowe oraz ustawę o systemie informacji oświatowej, które stworzyły podstawy prawne do funkcjonowania prowadzonej przez ministra właściwego ds. kultury fizycznej i sportu ewidencji „Sportowe talenty”, a w szkołach wprowadziły obowiązkowe testy sprawnościowe. Od początku: proces […]

Biorąc pod uwagę widełki dotychczas zasądzanych kwot z tytułu zadośćuczynienia za naruszenie RODO wobec osób, których dotyczyło naruszenie, a zatem stosowane najczęściej kwoty w przedziale 1-1,5 tysiąca złotych, wyrok Sądu Okręgowego w Białymstoku z 24 sierpnia 2023 r. (sygn. akt I C 1462/22) zdecydowanie może być jednym z bardziej przełomowych momentów na kartach historii stosowania unijnego rozporządzenia o ochronie danych w Polsce. I mimo, iż przyznana tym wyrokiem kwota w wysokości 20.000 złotych, w porównaniu do realiów innych krajów europejskich, nie jest wysoka, to biorąc pod uwagę wcześniejsze orzeczenia, daje nutkę nadziei że kolejne rozstrzygnięcia sądów pójdą w podobnym kierunku. […]

Już 24 września 2023 r. swoje zastosowanie rozpocznie Data Governance Act, czyli rozporządzenie w sprawie zarządzania danymi w krajach Unii Europejskiej. Celem regulacji jest dalsze rozwijanie wewnętrznego rynku cyfrowego wolnego od granic oraz opartego na zwiększaniu zaufania do dzielenia się danymi poprzez ustanowienie odpowiednich mechanizmów kontroli. Cel wprowadzenia regulacji Data Governance Act Jednym z głównych założeń wprowadzenia regulacji Data Governance Act (dalej jako: „DGA”) jest udostępnienie większej ilości danych, wprowadzenie mechanizmów zwiększających dostępność danych z jednoczesnym zabezpieczeniem technicznym ich ponownego wykorzystania. Jak podkreśla się w rozporządzeniu: „ogólnounijne ramy zarządzania powinny mieć na celu budowanie zaufania osób fizycznych i przedsiębiorstw w […]

Biorąc pod uwagę treść art. 82 ust. 1 RODO, oczywiste powinno być że przesłanką konieczną do uzyskania odszkodowania z tytułu naruszenia unijnego rozporządzenia o ochronie danych jest powstanie szkody, to jednak wydany niedawno wyrok Trybunału Sprawiedliwości Unii Europejskiej (dalej także: TSUE) w tym temacie ma znaczenie przełomowe[1]. Pojawiały się bowiem stanowiska poddające w wątpliwość konieczność wystąpienia szkody bądź marginalizujące jej znaczenie na drodze do uzyskania rekompensaty pieniężnej za naruszenie przepisów z zakresu ochrony danych. Wydany wyrok z całą pewnością kładzie kres, jakimkolwiek wątpliwościom, czy szkoda to jeden z podstawowych elementów od których zależy uzyskanie odszkodowania w związku z naruszeniem RODO. […]