O relacji przepisów dotyczących ochrony danych osobowych i wolności wypowiedzi pisaliśmy ostatnio w kontekście prawa do bycia zapomnianym. 14 lutego 2019 r. wydany został kolejny wyrok TSUE, który dotyczy zagadnienia wpływu tzw. wyjątku dziennikarskiego na konieczność stosowania dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Mimo że wyrok został wydany w stanie prawnym obowiązującym przed wejściem w życie RODO, może on być pomocny w interpretowaniu RODO co do sposobu rozumienia wpływu zasady wolności wypowiedzi na ochronę danych osobowych.
Kategoria: ochrona prywatności/danych osobowych
Granice prawa do bycia zapomnianym
10 stycznia 2019 r. rzecznik generalny Maciej Szpunar wydał opinię w sprawie dotyczącej prawa do bycia zapomnianym w wyszukiwarce internetowej Google (sprawa nr C-136/17). Konkretnie chodziło o to, czy jeśli podmiot, którego dane dotyczą, złoży wniosek o bycie zapomnianym w zakresie dotyczących go informacji wrażliwych, Google ma bezwzględny obowiązek usunąć dane takiej osoby. Chociaż sprawa, której dotyczy opinia, dotyczy stanu prawnego obowiązującego przed wejściem w życie RODO, to wnioski tam zawarte mają znaczenie dla sposobu interpretowania prawa do bycia zapomnianym w formie, jaka obowiązuje już po 25 maja 2018 r.
Koniec okresu przejściowego – nadchodzi era kar za naruszenia RODO
Do tej pory, pomimo licznych ostrzeżeń przed wejściem w życie RODO, organy administracyjne nie nakładały wysokich kar za naruszenia przepisów dotyczących przetwarzania danych osobowych. Sytuacja zdaje się jednak zmieniać, przynajmniej we Francji. 21 stycznia 2019 r. CNIL (Commission Nationale de l'Informatique et des Libertés, francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych) nałożył na Google LLC karę w wysokości 50 milionów euro. Organ wskazał, że Google przetwarzał dane osobowe nietransparentnie, dostarczając podmiotom, których dane dotyczą, nieadekwatnych informacji co do przetwarzania, oraz personalizował reklamy bez posiadania zgody osób, którym takie reklamy są wyświetlane.
Odszkodowanie za naruszenie RODO – po raz pierwszy
Poza potencjalnie bardzo wysokimi karami administracyjnymi, które krajowe organy ochrony danych osobowych mogą nałożyć na podmioty działające niezgodnie z RODO (co miało już miejsce np. we Francji), na gruncie tego rozporządzania każda osoba, która poniosła szkodę majątkową lub niemajątkową, ma prawo uzyskać od administratora lub podmiotu przetwarzającego jej dane osobowe odszkodowanie za poniesioną szkodę. Jest to instrument, któremu poświęca się zdecydowanie mniej uwagi niż karom administracyjnym, mimo że potencjalnie może łączyć się z bardzo poważnymi konsekwencjami finansowymi.
Jak przetwarzać dane osobowe na blockchainie? – francuskie podejście
Pod koniec września Commission Nationale Informatique & Liberté (CNIL) (francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych) opublikowała wstępną analizę dotycząca tego, jakie rozwiązania właściwe dla blockchaina mogą mieć zastosowanie do przetwarzania danych osobowych. CNIL próbuje też odpowiedzieć na podstawowe z punktu widzenia RODO pytania, np. o to, kto jest administratorem i podmiotem przetwarzającym dane na blockchainie. CNIL proponuje kilka konkretnych rozwiązań, ale mając świadomość braku dogłębnej wiedzy w zakresie tej technologii, jest otwarta na propozycje specjalistów, których zachęca do proponowania własnych rozwiązań.
Nadgorliwość przy weryfikacji tożsamości klientów może być szkodliwa
Zarówno wśród podmiotów nowo utworzonych, jak i działających na rynku od pewnego czasu rośnie świadomość obowiązków wynikających z regulacji dotyczących prania pieniędzy i finansowania terroryzmu (dalej: AML). Przedsiębiorcy z różnych branż, w tym z branży technologicznej, nie zawsze zdają sobie jednak sprawę, że obowiązki te mają zastosowanie jedynie do określonych podmiotów, wskazanych w przepisach AML. Część przedsiębiorców, choć nie są objęci przepisami AML, stosuje wobec swoich klientów procedury weryfikacji tożsamości klientów (know your customer, KYC) odpowiadające tym wynikającym z przepisów AML. Problem polega na tym, że taka nadgorliwość może stanowić naruszenie przepisów prawa dotyczących innej dziedziny, w szczególności przepisów dotyczących ochrony danych osobowych, w tym przede wszystkim rozporządzenia ogólnego o ochronie danych osobowych (RODO).