International Data Transfers post Schrems – Moving Towards Solutions

International data transfers are both essential for the modern world and a major source of risksto the protection of personal data. In this, we can speak of a clash between an important multifacetedobjective and the protection of a complex fundamental human right with implicationsgoing far beyond that right itself.The goal must be to facilitate data privacy respecting international data transfers. However,agreement on this goal – even if widespread – does not necessarily signal agreement on how wereach that goal. To make progress, we must proceed with caution and yet avoid getting boggeddown in the unavoidable challenges, such as definitional challenges, we will face.This article canvasses a selection of key considerations that ought to be kept in mind whenwe discuss approaches to international data transfers. However, to prepare ground for that discussion,it first sets the scene by examining the so-called Schrems II decision, its larger contextand background, as well as some of the reactions we have seen to that decision.

Realizacja obowiązków administratora danych w związku z powierzeniem przetwarzania danych osobowych, odpowiedzialność podmiotu przetwarzającego oraz model współpracy między tymi podmiotami

Przedstawiona glosa dotyczy decyzji Prezesa Urzędu Ochrony Danych Osobowych nakładającejkarę finansową na administratora – Krajową Szkołę Sądownictwa i Prokuratury. Administratorukarany został za nieprawidłową realizację ciążących na nim obowiązków związanych z powierzeniemprzetwarzania danych osobowych, odpowiedzialności podmiotu przetwarzającegooraz modelu współpracy między administratorem a podmiotem przetwarzającym. Odpowiedzialnyadministrator powinien określić poziom ryzyka, jakie wiąże się z przetwarzaniem danychosobowych, aby zastosować środki organizacyjne i techniczne adekwatne do tego ryzyka.Analiza ryzyka powinna mieć miejsce także przy wyborze podmiotu przetwarzającego, orazokreślaniu warunków umowy powierzenia. Z jej treści powinny wynikać także zasady i zakreswspółpracy, która ma określać wzajemne relacje, obowiązki i odpowiedzialność stron umowypowierzenia. Dla prawidłowej realizacji umowy znaczenie ma dodatkowo określenie kanałówkomunikacyjnych między administratorem i podmiotem przetwarzającym.

Pierwsza administracyjna kara pieniężna nałożona na podmiot z sektora publicznego

Glosa poświęcona została omówieniu wyroku WSA w Warszawie, a także poprzedzającej go decyzji Prezesa Urzędu Ochrony Danych Osobowych w sprawie na styku ochrony danych osobowych oraz dostępu do informacji publicznej. Orzeczenia te można uznać za doniosłe o tyle, że dotyczą udostępniania danych osobowych w Biuletynie Informacji Publicznej, kwestii retencji danych osobowych leżącej w gestii podmiotu publicznego w przypadku, gdy przepisy nie precyzują czasu upubliczniania danych w tymże publikatorze, zabezpieczenia danych, w tym wdrożenia procedur, których prowadzenie nie zostało wprost przewidziane w ustawie, powierzenia przetwarzania danych osobowych w warunkach działalności podmiotów publicznych, a wreszcie dość newralgicznego zagadnienia, jakim jest zastosowanie RODO do przetwarzania danych osobowych w związku z realizacją dostępu do informacji publicznej. Na kanwie tych orzeczeń możliwe jest prześledzenie istotnych kwestii współstosowania przepisów RODO z przepisami regulującymi zagadnienia dostępu do informacji publicznej na wielu płaszczyznach – zarówno w obszarze dopuszczalności przetwarzania danych osobowych oraz zasad rozliczalności, jak i w obszarze techniczno-organizacyjnym.

Przyszłość współpracy UE z państwami trzecimi w sprawie przekazywania danych pasażerów lotniczych. O skutkach opinii Trybunału Sprawiedliwości nr 1/15 dla wymiany danych PNR

System przekazywania danych pasażerów linii lotniczych właściwym organom państwowym docelów związanych z walką z terroryzmem i poważną przestępczością zaczął się w Unii Europejskiejrozwijać, odkąd Stany Zjednoczone zaczęły się domagać takich informacji. W efekcie, UniaEuropejska rozpoczęła proces przygotowania umów z państwami trzecimi, które pozwalałybyna przekazywanie takich danych, jak i tworzenia wewnątrzunijnego systemu wymiany danych.W opinii 1/15 dotyczącej umowy z Kanadą, która miała być zawarta przez Unię, Trybunał Sprawiedliwościwyraźnie dopuścił tworzenie systemów wymiany danych PNR, jednakże obwarowałto istotnymi ograniczeniami i gwarancjami, które miałyby zapewnić wysoki poziom ochrony prywatnościi danych osobowych obywateli UE. W efekcie, do zawarcia umowy z Kanadą nie doszło,negocjacje z innymi państwami zostały wstrzymane. Jednocześnie umowy UE z USA i Australiąobowiązują mimo tego, że zawierają sformułowania analogiczne do tych, które uznane zostałyprzez TSUE za niezgodne z Kartą Praw Podstawowych Unii Europejskiej i Traktatem o funkcjonowaniuUnii Europejskiej. Celem artykułu jest zarówno dokonanie przeglądu tej sytuacji, jaki próba spojrzenia na skutki opinii 1/15 dla systemu wymiany danych PNR w Unii Europejskiej.

Rola Komitetu Art. 93 RODO w procedurze oceny adekwatności państw trzecich

W artykule poruszono tematykę procedury komitetowej (komitologii) w unijnym prawie ochrony danych osobowych. Tak zwany Komitet Art. 93 ma za zadanie pełnić funkcję kontrolną wobec działań prawodawczych w tym obszarze podejmowanych przez Komisję Europejską, włączając w to projekty decyzji wykonawczych stwierdzających odpowiedni stopień ochrony danych osobowych przez państwo trzecie. Przez ponad dwadzieścia lat stosowania unijnych przepisów o ochronie danych osobowych, działalność tego komitetu, oraz jego poprzednika – Komitetu Art. 31, pomimo ich realnego wpływu na kształt ochrony danych osobowych w Unii Europejskiej, pozostawała w cieniu i wciąż cechuje ją brak transparentności. Dyskusje dotyczące praw podstawowych, których konkluzje mają bezpośrednie przełożenie na kształt unijnego systemu ochrony danych powinny odbywać się w sposób możliwie przejrzysty, przy szerszym udziale ekspertów w obszarze ochrony danych osobowych.

Warunki wyrażenia zgody na użycie plików typu cookies

W glosie został poddany analizie wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia1 października 2019 r. w sprawie C‑673/17. Komentowane orzeczenie stanowi pierwszą wypowiedźTSUE w kwestii warunków wyrażenia zgody na użycie tzw. plików cookies w urządzeniachkońcowych użytkowników, której wymóg uzyskania wynika w prawie unijnym z art. 5 ust. 3dyrektywy o prywatności i łączności elektronicznej, uwzględniające przepisy ogólnego rozporządzeniao ochronie danych. Tezy wyrażone w glosowanym wyroku TSUE wyznaczają kierunekwykładni przepisów znajdujących zastosowanie przy instalowaniu plików cookies, i tym samympowinny oddziaływać na praktykę pozyskiwania zgód użytkowników na wykorzystywanie tegotypu technologii. W przyszłości na tę praktykę istotny wpływ będzie miało również uchwalenie,a następnie wejście w życie procedowanego obecnie projektu rozporządzenia o prywatnościi łączności elektronicznej. Rozporządzenie to będzie zawierać rozbudowaną regulację dotyczącąkorzystania z możliwości urządzeń końcowych użytkowników do przetwarzania i przechowywaniaoraz gromadzenie informacji z tych urządzeń obejmujące również stosowanie plikówcookies.

Publiczna dostępność na podstawie przepisów o dostępie do informacji publicznej informacji i dokumentów dotyczących stosowania RODO przez administratora w orzecznictwie sądów administracyjnych

Przedmiotem artykułu jest przedstawienie i ocena orzecznictwa sądów administracyjnych dotyczących publicznej dostępności – na podstawie przepisów o dostępie do informacji publicznej – informacji i dokumentów o stosowaniu RODO. Chodzi o potencjalne obowiązki ujawnienia nałożone na tych administratorów, którzy są jednocześnie podmiotami objętymi mocą przepisów o dostępie do informacji publicznej. Dylematy związane z jawnością informacji i dokumentów dotyczących RODO wpisują się w szersze problemy związane z niejasnym zakresem stosowania przepisów o dostępie do informacji publicznej oraz z prawnymi warunkami ograniczeń dostępności spowodowanych poufnością. Aktualny stan, w tym wynikający z orzecznictwa sądowego, powoduje wśród administratorów niepewność co do warunków i zakresu poufności treści dokumentów dotyczących stosowania RODO.

Naruszenia bezpieczeństwa danych osobowych przez firmy kurierskie

Decyzja Prezesa UODO z 22 kwietnia 2021 r. dotyczy naruszeń bezpieczeństwa danych osobowych,do których dochodziło w związku z korzystaniem z usług firm kurierskich. Sedno decyzjimożna sprowadzić do stwierdzenia, że korzystanie przez administratora danych z usług podmiotuprzetwarzającego nie zwalnia tego administratora z konieczności ciągłego monitorowaniaprzestrzegania przez przetwarzającego przepisów o ochronie danych osobowych i reagowaniana stwierdzone nieprawidłowości. To reagowanie w skrajnych przypadkach może przybraćpostać zakończenia stosunku powierzenia, jeżeli administrator uzna, że przetwarzający zaprzestałzapewniania gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych,by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Jeżeliadministrator danych tego obowiązku nie wypełnia, wówczas narusza ciążący na nim obowiązekzapewnienia bezpieczeństwa danych osobowych przetwarzanych w jego imieniu przezprzetwarzającego.

Rzetelność jako ogólna zasada przetwarzania danych osobowych

Jedną z ogólnych zasad przetwarzania danych osobowych jest zasada rzetelności, legalnościi przejrzystości. Można uznać, że omawiana zasada, łącząca w sobie trzy elementy,stanowi jeden z fundamentów, na którym opiera się prawna regulacja przetwarzaniai ochrony danych osobowych. Wymóg rzetelności nie został przez prawodawcęzdefiniowany, jego treść nie jest w aktach normatywnych wyjaśniona, a tłumaczeniesformułowania określającego ten wymóg na różne języki ukazuje, że może być onrozmaicie rozumiany i interpretowany, co może prowadzić do rozbieżności w praktycestosowania przepisów o ochronie danych. Pomimo istotnego znaczenia wśródnorm prawnych odnoszących się do przetwarzania danych osobowych, wymóg rzetelnościprzetwarzania nie był dotąd poddawany szczegółowej analizie w literaturzeprzedmiotu.W niniejszym artykule przedstawiona zostanie rzetelność jako jedna z zasad przetwarzaniadanych uregulowana w przepisach obowiązujących przed unijną reformąochrony danych osobowych oraz w przepisach obowiązującego obecnie ogólnegorozporządzenia o ochronie danych1. Wskazane zostaną różnorodne poglądy prezentowanew literaturze odnoszące się do tej zasady, a także rozmaite możliwości odczytywaniajej treści i znaczenia. W kolejnej części opracowania ukazane zostaną ogólnewnioski płynące z przeprowadzonych analiz.

Wykorzystanie danych biometrycznych w szkole

Wojewódzki Sąd Administracyjny uchylił decyzję organu ochrony danych nakazującą szkole usunięcie biometrycznych danych osobowych w postaci linii papilarnych palców dzieci korzystających z usług stołówki szkolnej, zaprzestanie zbierania powyższych danych osobowych oraz nakładającą na szkołę karę pieniężną w wysokości 20 tys. zł. Kluczowa w sprawie okazała się kwestia zastosowania zasady minimalizacji (art. 5 ust. 1 lit. c RODO). Sąd stwierdził, że wymogi minimalizacji i adekwatności, o których mowa w tym przepisie nie są ze sobą spójne, a ich spełnienie należy oceniać łącznie, co w konsekwencji oznacza, że nie powinno się przyznawać prymatu minimalizacji kosztem adekwatności. Sąd przyznał, że użycie przez szkołę danych biometrycznych nie było jedynym dostępnym sposobem weryfikacji, czy uczeń ma opłacone obiady, niemniej zwrócił uwagę, że okoliczności sprawy wskazywały na to, że użycie innych sposobówokazało się nieskuteczne. Co do zasady należy zgodzić się ze stanowiskiem sądu z zastrzeżeniem, że w sprawie nie chodziło jedynie o skuteczną weryfikację dokonanych płatności, ale równieżo sprawność procesu weryfikacji (duża liczba uczniów, krótki czas na sprawdzenie). Dopiero tak rozumiany cel pomógłby określić jakie dane osobowe są odpowiednie do jego realizacji.