Kategoria: ochrona prywatności/danych osobowych

Czym jest prawo do danych osobowych?

Poszukując inspiracji dla docelowego ukształtowania statusu prawnego danych, warto przyjrzeć się bliżej temu, jak ukształtowane zostało prawo do danych osobowych. W szczególności należy się zastanowić, czy mamy w tym przypadku do czynienia z prawem majątkowym oraz czy aktualne uregulowanie prawa do danych osobowych odpowiada realiom oraz potrzebom.

O tym, że można podjąć próbę zdefiniowania bezwzględnego prawa do danych osobowych, decyduje przede wszystkim treść art. 1 ust. 2 RODO, który wskazuje, że jednym z celów rozporządzenia jest ochrona prawa do ochrony danych osobowych (w wersji angielskiej: right to the protection of personal data). Prawo do ochrony danych osobowych osoby, której dane dotyczą, statuują także Karta Praw Podstawowych Unii Europejskiej (2007/C 303/01) oraz Traktat o funkcjonowaniu Unii Europejskiej.

Źródło tego prawa znajduje się w aktach prawa europejskiego. Z tego powodu próba ustalenia treści prawa do ochrony danych jest utrudniona, nie można bowiem prosto i bezpośrednio odwołać się do konstrukcji znanych z poszczególnych porządków prawnych państw członkowskich.

Na istotę prawa do ochrony danych zdaje się wskazywać Punkt 7 Preambuły RODO, który stanowi, że osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Prawo do ochrony danych osobowych ma więc służyć przede wszystkim zapewnieniu podmiotom danych kontroli nad ich danymi. Szczegółową treść tego prawa definiują instrumenty ochronne przewidziane przez RODO. Instrumenty te polegają m.in. na zagwarantowanym prawie do informacji o przetwarzanych danych, prawie kontroli, ale również prawie do sprzeciwu względem przetwarzania danych. Wiele z tych uprawnień jest zbliżonych do wiązki praw występujących również w klasycznych konstrukcjach prawa własności. Istnieją jednak również istotne różnice.

Czytaj dalej

Tech kontra wirus (1) – contact tracing

Walka
z koronawirusem dynamicznie wchodzi w kolejną fazę. Po pierwszym szoku
zaczynamy uświadamiać sobie, że czynnikiem decydującym o tempie powrotu do
nieco normalniejszego życia może okazać się technologia. Nie chodzi przy tym
wyłącznie o biotechnologię. Równie istotne mogą okazać się rozwiązania zapewniające
względną kontrolę nad wirusem do czasu wprowadzenia na rynek skutecznych
szczepionek.

Chcielibyśmy tym tekstem
rozpocząć cykl publikacji na temat prawnych aspektów rozwiązań, które mają nas wspierać
w walce z koronawirusem. Rozwiązania te są bardzo interesujące od strony koncepcyjnej
i technologicznej, ale często wiążą się z wieloma ważnymi zagadnieniami
prawnymi.

Wybór pierwszego tematu jest z perspektywy prawnika dosyć oczywisty. Chodzi o aplikacje oparte na koncepcji „contact tracing”, czyli monitorujące interakcje między ludźmi w celu identyfikacji osób zarażonych koronawirusem. W rozwiązaniach tych pokładamy duże nadzieje na pokonanie pandemii. Są one jednak oparte na idei monitorowania ludzkich zachowań, co tworzy zasadnicze wyzwania prawne.

Czytaj dalej

Weryfikacja wieku przy dostępie do treści pornograficznych

Stowarzyszenie Twoja Sprawa przedstawiło 16 grudnia 2019 r. projekt ustawy o ochronie małoletnich przed treściami pornograficznymi. Otrzymał on oficjalne poparcie Rady ds. Rodziny, która zarekomendowała Prezesowi Rady Ministrów przyjęcie propozycji do dalszych prac legislacyjnych. Minister rodziny, pracy i polityki społecznej zapowiedziała, że prace legislacyjne nad projektem powinny zakończyć się w pierwszej połowie 2020 r. Konieczność ograniczania małoletnim dostępu do pornografii jest oczywista, jednak projekt wzbudził duże kontrowersje – głównie ze względu na zaproponowany mechanizm weryfikacji wieku, który może stanowić potencjalne zagrożenie dla prywatności internautów. Proponowane przepisy zakładają również nałożenie dodatkowych obowiązków na przedsiębiorców telekomunikacyjnych, podmioty świadczące usługi drogą elektroniczną czy dostawców usług płatniczych.

Czytaj dalej

Prawo do bycia zapomnianym tylko w UE

Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) po raz kolejny wypowiedział się na temat granic prawa do bycia zapomnianym. Tym razem odpowiadał na pytania prejudycjalne w sprawie Google przeciwko CNIL (Commission Nationale de l’Informatique et des Libertés, francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych). Chodziło o karę w wysokości 100 000 euro, którą CNIL nałożyła na Google po tym, jak ten odmówił usunięcia, w ramach wykonywania przez podmiot danych prawa do bycia zapomnianym, linków ze wszystkich wersji językowych swojej wyszukiwarki.

Czytaj dalej

Kara za rozpoznawanie twarzy

Szwedzki organ nadzorczy odpowiedzialny za przestrzeganie RODO nałożył ostatnio karę w wysokości ok. 20 000 euro za stosowanie technologii pozwalającej na monitorowanie obecności uczniów w szkole.

Co istotne, przetwarzanie danych osobowych w postaci wizerunku uczniów nie odbywało się stale, tylko było krótkotrwałym testem, który miał ocenić przydatność takiego rozwiązania w działalności szkół. Jednak w ocenie szwedzkiego organu takie działanie było sprzeczne z RODO. Należy podkreślić, że stosowane systemy przetwarzały wizerunek w taki sposób, że dochodziło do przetwarzania danych biometrycznych, a więc danych szczególnie chronionych na gruncie RODO. Właśnie z uwagi na szczególny charakter przetwarzanych danych oraz sposób ich przetwarzania przed rozpoczęciem przetwarzania administrator danych powinien był przeprowadzić ocenę skutków przetwarzania dla ochrony danych. Nieprzeprowadzenie tej oceny stanowiło z kolei naruszenie RODO tego rodzaju, że zasadne było nałożenie na administratora danych kary pieniężnej.

Czytaj dalej

CNIL karze za naruszenie ochrony danych osobowych na stronie internetowej

O nakładaniu kar za naruszenie ochrony danych osobowych przez CNIL (Commission Nationale de l’Informatique et des Libertés, francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych) pisaliśmy kilka miesięcy temu. W ostatnim czasie CNIL nałożył kolejne kary, w tym m.in. za naruszenie bezpieczeństwa przetwarzania danych osobowych na stronie internetowej.

Omawiana sprawa dotyczyła pośrednika w branży ubezpieczeń komunikacyjnych. Za pośrednictwem strony internetowej tego podmiotu można było poprosić o kalkulację kosztów ubezpieczenia, zawrzeć umowę i zalogować się do swojego konta, na którym dostępne były różnego rodzaju dane osobowe, np. wyciągi bankowe oraz informacje dotyczące zatrzymania prawa jazdy czy wyroków za przestępstwa komunikacyjne.

Czytaj dalej