Baza wiedzy RODO/GDPR

Prezes Urzędu Ochrony Danych Osobowych w decyzji z 18 października 2024 r. (DKN.5131.7.2024) nałożył na jednostkę administracji publicznej karę pieniężną w wysokości 25 000 złotych za wieloletnie naruszenie przepisów RODO dotyczących obowiązku wyznaczenia Inspektora Ochrony Danych. Rozstrzygnięcie to ma ważne znaczenie dla interpretacji przepisów o obowiązku powołania IOD i konsekwencji zaniedbań w tym zakresie.

Naczelny Sąd Administracyjny wydał ważne dla ochrony prywatności w mediach społecznościowych orzeczenie, rozstrzygając sprawę publicznego udostępnienia wyroku sądowego zawierającego dane osobowe na portalu Facebook. Wyrok z 16 października 2024 r. (sygn. akt III OSK 4984/21) ma fundamentalne znaczenie dla interpretacji przepisów RODO w kontekście prywatnych publikacji w internecie.

Sytuacja w której pracownik odchodzący z firmy zabiera ze sobą dane o kluczowym znaczeniu dla przedsiębiorstwa może pozostawić swoje piętno zarówno na reputacji, jak i sytuacji finansowej firmy. Czy z takim działaniem można walczyć? Jakie przepisy regulują „wynoszenie” danych firmowych?

Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.

Duża część dyskusji w zakresie ochrony danych osobowych krąży wokół tego czy jakieś konkretne dane można uznać za dane osobowe czy nie. Czasami granica jest bardzo cienka. Przykładowo czy sam numer telefonu – bez imienia i nazwiska – może stanowić daną osobową. Wyrok Wojewódzkiego Sądu Administracyjnego we Wrocławiu z 27 marca 2024 r. (II SA/Wa 1378/23) rzuca nowe światło na tę problematykę, jednocześnie poruszając kluczowe aspekty odpowiedzialności administratorów danych osobowych.

Jednym z ciekawszych przypadków wykorzystania danych szczególnej kategorii jest wykorzystanie danych biometrycznych uczniów, które mimo swojej efektywności, budzi istotne wątpliwości prawne. Właśnie tej problematyki dotyczy przełomowy wyrok Naczelnego Sądu Administracyjnego z 10 października 2024 r. (sygn. akt III OSK 4984), który w fundamentalny sposób wpłynął na interpretację przepisów o ochronie danych osobowych w kontekście autonomii woli wyrażonej w zgodzie na przetwarzanie danych.

Administrator danych osobowych prowadząc przedsiębiorstwo, organizację non-profit (NGO) lub też działając jako organ publiczny rzadko kiedy jest w stanie zrealizować wszystkie swoje cele bez udziału lub pomocy podmiotów trzecich. Taką sytuację, w której administrator chce zrealizować swój cel z pomocą innego podmiotu nazywamy powierzeniem przetwarzania danych osobowych.

W czerwcu 2024 r. Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok dotyczący obowiązków administratora danych w przypadku naruszenia ochrony danych osobowych (wyrok z dnia 18 czerwca 2024 r., II SA/Wa 219/24). Sprawa dotyczyła kary w wysokości blisko 283 000 zł nałożonej przez Prezesa UODO na spółkę E. S.A. za niezgłoszenie naruszenia ochrony danych osobowych oraz niepoinformowanie o tym osoby, której dane dotyczą.

Decydując się na przetwarzanie danych osobowych, administrator powinien móc wykazać, że dysponuje ku temu odpowiednią podstawą. W przeciwnym razie ryzykuje wysokie kary w związku z przetwarzaniem danych osobowych bez podstawy prawnej. W tym kontekście warto przyjrzeć się bliżej testowi równowagi. Kiedy trzeba go przeprowadzić i jak zrobić to prawidłowo?