Baza wiedzy RODO/GDPR

Każdy ADO jest zobowiązany do zapewnienia należytego stopnia ochrony przetwarzanych danych osobowych. Aby było to możliwe, należy przede wszystkim ustalić, jakie dane podlegają ochronie i przed jakimi zagrożeniami muszą być one zabezpieczone. Służą temu mechanizmy analizy ryzyka oraz DPIA. Kiedy trzeba je przeprowadzić i na czym polegają? Czy zawsze są niezbędne?

Prezes Urzędu Ochrony Danych Osobowych 26 listopada 2024 r. decyzję dotyczącą naruszenia przepisów RODO przez placówkę medyczną (sygn. DKN.5131.6.2024). Sprawa dotyczy nieprawidłowego postępowania szpitala powiatowego we Wrześni w zakresie zgłaszania i obsługi naruszenia ochrony danych osobowych pacjenta. Jest to jedno z pierwszych tak kompleksowych rozstrzygnięć pokazujących, jak organ nadzorczy ocenia proces zgłaszania naruszeń w sektorze medycznym.

Prezes Urzędu Ochrony Danych Osobowych w decyzji z 18 października 2024 r. (DKN.5131.7.2024) nałożył na jednostkę administracji publicznej karę pieniężną w wysokości 25 000 złotych za wieloletnie naruszenie przepisów RODO dotyczących obowiązku wyznaczenia Inspektora Ochrony Danych. Rozstrzygnięcie to ma ważne znaczenie dla interpretacji przepisów o obowiązku powołania IOD i konsekwencji zaniedbań w tym zakresie.

Naczelny Sąd Administracyjny wydał ważne dla ochrony prywatności w mediach społecznościowych orzeczenie, rozstrzygając sprawę publicznego udostępnienia wyroku sądowego zawierającego dane osobowe na portalu Facebook. Wyrok z 16 października 2024 r. (sygn. akt III OSK 4984/21) ma fundamentalne znaczenie dla interpretacji przepisów RODO w kontekście prywatnych publikacji w internecie.

Sytuacja w której pracownik odchodzący z firmy zabiera ze sobą dane o kluczowym znaczeniu dla przedsiębiorstwa może pozostawić swoje piętno zarówno na reputacji, jak i sytuacji finansowej firmy. Czy z takim działaniem można walczyć? Jakie przepisy regulują „wynoszenie” danych firmowych?

Obowiązek powołania inspektora ochrony danych spoczywa na wielu firmach ze względu na skalę lub specyfikę prowadzonej działalności gospodarczej. Wybór specjalisty, który weźmie na siebie ciężar nadzoru prawidłowości przestrzegania RODO w całej organizacji, wcale jednak nie jest taki prosty, jak mogłoby się wydawać. Wyjaśniamy, na czym polega outsourcing funkcji inspektora ochrony danych, jakie obowiązki ma taka osoba i czego możesz od niej oczekiwać.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.

Duża część dyskusji w zakresie ochrony danych osobowych krąży wokół tego czy jakieś konkretne dane można uznać za dane osobowe czy nie. Czasami granica jest bardzo cienka. Przykładowo czy sam numer telefonu – bez imienia i nazwiska – może stanowić daną osobową. Wyrok Wojewódzkiego Sądu Administracyjnego we Wrocławiu z 27 marca 2024 r. (II SA/Wa 1378/23) rzuca nowe światło na tę problematykę, jednocześnie poruszając kluczowe aspekty odpowiedzialności administratorów danych osobowych.

Jednym z ciekawszych przypadków wykorzystania danych szczególnej kategorii jest wykorzystanie danych biometrycznych uczniów, które mimo swojej efektywności, budzi istotne wątpliwości prawne. Właśnie tej problematyki dotyczy przełomowy wyrok Naczelnego Sądu Administracyjnego z 10 października 2024 r. (sygn. akt III OSK 4984), który w fundamentalny sposób wpłynął na interpretację przepisów o ochronie danych osobowych w kontekście autonomii woli wyrażonej w zgodzie na przetwarzanie danych.