ochrona prywatności/danych osobowych - prawne aspekty nowych technologii

Po prawie dwuletnim postępowaniu Urząd Ochrony Konkurencji i Konsumentów (UOKiK) wydał 30 maja 2019 r. decyzję w sprawie Netii dotyczącą sposobu zbierania i treści zgód marketingowych, pozyskiwanych m.in. przez partnerów Netii na jej rzecz. UOKiK stwierdził, że zostało uprawdopodobnione, że praktyka Netii polegająca na wykonywaniu połączeń telefonicznych do konsumentów niebędących abonentami Netii, mimo że nie udzielili oni uprzedniej zgody na kontakt telefoniczny, narusza zbiorowe interesy konsumentów.

17 czerwca br. Prezes Urzędu Ochrony Danych Osobowych („PUODO”) wydał komunikat w sprawie wykazu operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Podstawą wydania komunikatu jest art. 35 ust. 4 RODO, zgodnie z którym organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania, dla których trzeba ocenić skutki dla ochrony danych. Jednocześnie został uchylony wykaz, którego dotyczył komunikat PUODO z 17 sierpnia 2018 r. Nowy wykaz uwzględnia opinię wydaną przez Europejską Radę Ochrony Danych i obejmuje czynności przetwarzania danych osobowych związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich Unii Europejskiej.

Irlandzki komisarz do spraw ochrony danych osobowych (odpowiednik polskiego Prezesa Urzędu Ochrony Danych Osobowych) wszczął pierwsze od czasu rozpoczęcia stosowania przepisów  RODO postępowanie przeciwko amerykańskiemu gigantowi – Google. Przedmiotem postępowania jest sposób wykorzystywania danych osobowych użytkowników na potrzeby dostarczania profilowanych materiałów reklamowych.

Powodem wszczęcia postępowania były liczne skargi, w tym przede wszystkim od twórców przeglądarki Brave, której głównym wyróżnikiem na rynku jest wbudowane narzędzie blokujące reklamy. Zarzuty stawiane Google Ireland Ltd. sprowadzają się do kwestii przekazywania danych osobowych użytkowników (w tym w szczególności dotyczących ich aktywności online), bez ich wiedzy, do nieokreślonej liczby podmiotów w celu dostarczenia profilowanych materiałów reklamowych.

Niedawno pisaliśmy o pierwszej karze za nieprzestrzeganie RODO nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych. Organy ochrony danych osobowych w innych państwach Unii Europejskiej także wykazują znaczącą aktywność w zakresie prowadzonych kontroli i nakładanych kar. Kilka dni temu Information Commissioner’s Office (ICO) – brytyjski odpowiednik PUODO – nałożył na spółkę zajmującą się produkcją telewizyjną karę w wysokości 120 000 funtów za nieprzekazanie osobom, które były filmowane i nagrywane przez urządzenia znajdujące się w placówce medycznej, wystarczających informacji o tym fakcie, a także za nieuzyskanie ich pozwolenia na takie działania. Sprawa dotyczy co prawda czynności, które miały miejsce od lipca do listopada 2017 r., niemniej jednak może mieć znaczenie dla interpretowania obowiązków ciążących na administratorach danych osobowych na gruncie RODO.

W dniu 3 kwietnia 2019 r. Prezydent RP podpisał tzw. ustawę wdrażającą RODO, tzn. ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO. Wśród kilku kwestii, które w ustawie wdrażającej uregulowano w sposób kontrowersyjny, znajduje się wymóg wyrażenia zgody na profilowanie oraz katalog danych osobowych, które mogą być przetwarzane przez podmioty świadczące usługi online. Katalog ten wskazany jest w art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną („UŚDE”). Pierwotny projekt ustawy wdrażającej RODO przewidywał skreślenie art. 18 ust. 1 UŚDE, jednak w toku prac nad ustawą zdecydowano się na pozostawienie katalogu. Takie rozwiązania mogą okazać się sprzeczne z RODO.

25 marca Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu pierwszej w Polsce kary za nieprzestrzeganie przepisów RODO. Kara jest dość wysoka (ok. 1 miliona złotych) i dotyczy niespełnienia obowiązku informacyjnego przez spółkę, która pozyskiwała z powszechnie dostępnych źródeł (rejestrów publicznych) dane osobowe osób fizycznych prowadzących działalność gospodarczą (adresy, numery telefonów), po czym te dane przetwarzała.