PODSUMOWANIE ROKU 2023 Z RODO

Z radością i entuzjazmem wkraczamy w kolejny, już szósty rok stosowania Ogólnego Rozporządzenia o Ochronie Danych Osobowych, bliżej znanego nam jako RODO. Przed nami oczywiście kolejne wyzwania mierzenia się ze zmieniającymi się realiami przetwarzania danych osobowych.

Zmiana kalendarza jest zawsze tym momentem w roku, kiedy chętnie snujemy prognozy na nadchodzący rok, jest to również czas podsumowania i rozliczenia minionych miesięcy. Taką refleksją w przedmiocie tego co przyniósł nam 2023 rok w związku z ochroną danych chcielibyśmy się również podzielić z Państwem. Poniżej przedstawiamy zestawienie trendów w zakresie ochrony danych, które utrzymywały się w 2023 roku.

1. Wśród administracyjnych kar pieniężnych nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych królowały brak zgłoszenia naruszenia oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych (w tym ze względu na brak lub niedostateczne przeprowadzenie analizy ryzyka zgodnie z art. 32 RODO). Kary za niezgłoszenie naruszenia ochrony danych oraz brak współpracy z organem nadzorczym już od dawna są na porządku dziennym i rok 2023 nie był w tym zakresie zaskakujący. Natomiast szczególnie silnie wybrzmiały kwestie związane z doborem odpowiednich środków technicznych i organizacyjnych na podstawie dokonanej analizy ryzyka celem zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych. UODO konsekwentnie przypomina, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do także ich testowanie i weryfikowanie czy są one adekwatne do istniejących ryzyk. Rok 2024 będzie dobrym momentem na rzetelne podejście do przeprowadzenia analizy ryzyka w organizacji. Pamiętajmy, aby proces przeprowadzenia analizy ryzyka został właściwie udokumentowany celem zachowania rozliczalności.

2. Gorącymi tematami minionego roku była sztuczna inteligencja i jej wykorzystanie oraz transfery poza Europejski Obszar Gospodarczy. Sztuczna inteligencja była w tym roku odmieniania przez wszystkie przypadki, co w dużej mierze zostało wywołane przez wprowadzanie zmian do planowanego AI ACT, z drugiej strony postęp w wykorzystaniu sztucznej inteligencji nie zwalnia, jest ona coraz częściej wykorzystywane we wszelkich, nawet niepozornych dziedzinach naszego życia. Powyższe powoduje konieczność pochylenia się nad zagrożeniami i sposobem funkcjonowania AI również w zakresie ochrony prywatności użytkowników. Są to problemy, z którymi musimy sobie radzić już dzisiaj a także wytyczyć odpowiednie ścieżki rozwoju AI w przyszłości. Ze względu na wydaną dnia 10 lipca 2023 roku decyzję wykonawczą Komisji stwierdzającą odpowiedni stopień ochrony danych osobowych w ramach Data Privacy Framework („DPF”), ważnym tematem poruszanym w świecie ochrony danych stała się kwestia dopuszczalności i bezpieczeństwa transferów danych poza Europejski Obszar Gospodarczy, szczególnie do USA, które obejmowało DPF. W 2023 roku wiele konferencji branżowych oraz publikacji zostało poświęconych powyższej problematyce. Spodziewamy się, że powyższe zagadnienia będą nam towarzyszyć również 2024 roku.
3. Legislacja zmierzająca do regulacji kwestii ochrony prywatności i cyberbezpieczeństwa. Umożliwianie zastrzegania numer PESEL (Ustawa z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości), Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, dalsze prace i zmiany wprowadzane do AI ACT. To tylko niektóre przykłady aktów legislacyjnych o których informowaliśmy w minionym 2023 roku. Nadal czekamy na przyjęcie ustawy wdrażającej dyrektywę dot. sygnalistów. Wspólnym mianownikiem tych aktów jest dotykanie materii związanej z prywatnością obywateli. W 2023 roku zaobserwowaliśmy zwiększone zainteresowanie prawnym regulowaniem kwestii bezpośrednio dotykających problemów prywatności. Jest to oczywiście pozytywny trend, chociaż można podnosić argument, że technologia już dawno wyprzedziła regulacje prawne, a wprowadzane rozwiązania powinny funkcjonować od dłuższego czasu. Niestety, w dobie tak szybkich zmian powinniśmy przywyknąć, że wprowadzanie regulacji prawnych będzie bardziej przypominało gaszenie pożarów niż wytyczanie nowych ścieżek. Nie mniej, cieszymy się, że prawo do prywatności weszło do kanonu praw człowieka uwzględnianych podczas tworzenia aktów legislacyjnych i spodziewamy się, że 2024 również dostarczy nam wielu rozwiązań w tym zakresie.
4. Kodeksy postępowania. Grudzień 2023 roku podobnie jak grudzień 2022 przyniósł nam nowy kodeks postępowania zatwierdzony przez organ nadzorczy. Dnia 11 grudnia 2023 r. PUODO zatwierdził Kodeks postępowania dla sektora ochrony zdrowia (Polska Federacja Szpitali), rok wcześniej dnia 14 grudnia 2022 r. zatwierdzony Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie). Jednocześnie w 2023 prowadzone były prace nad innymi kodeksami (obecnie przedłożone do zatwierdzenia zostały cztery projekty). Zgodnie z informacją przedstawioną na stronie UODO trwają jednocześnie prace nad kolejnymi siedmioma projektami kodeksów. Biorąc pod uwagę przytoczone liczby w 2024 możemy się spodziewać ich większej ilości i liczymy, że wieści o kolejnym zatwierdzonym kodeksie uda się nam usłyszeć jeszcze przed grudniem 2024 roku.
5. Walka z profilowaniem trwa. Najpierw w styczniu 2023 roku irlandzka Komisja Ochrony Danych (DPC) nałożyła na Meta Ireland Limited (Meta IE) 390 mln euro kary za nielegalne profilowanie reklam wyświetlanych Europejczykom. Później, w październiku 2023, EROD przyjęła pilną wiążącą decyzję, w której nakazała irlandzkiemu organowi nadzorczemu, jako wiodącemu organowi nadzorczemu, wprowadzenie zakazu przetwarzania danych osobowych do celów reklamy behawioralnej dotyczących Meta w oparciu o dotychczas stosowane podstawy prawne. Minione wydarzenia skutkowały dobrze znanymi zgodami na wyświetlanie reklam oraz możliwością wykupienia abonamentu za brak reklam w cenie 56.99 PLN. Organizacja NYOB złożyła do austriackiego organu nadzorczego skargę na przedstawione przez Metę rozwiązanie ze względu na faktyczny brak dobrowolności zgody użytkowników na profilowanie. Kwestia wyświetlania reklam behawioralnych była gorącym tematem 2023, którego przykre konsekwencje nadal odczuwamy. Unia Europejska próbuje walczyć z nadmiernym wykorzystywaniem danych Europejczyków w celach marketingowych, jednakże nadal nie udało się skutecznie zabezpieczyć prywatności obywateli UE. Sprawa z pewnością będzie kontynuowana w 2024 roku.
6. Zmiany osobowe w Urzędzie Ochrony Danych Osobowych. Końcówka 2023 jak i początek 2024 roku oscylują wokół gorącego tematu wyboru nowego Prezesa Urzędu Ochrony Danych. Obecnie sprawujący urząd Jan Nowak pełnił tę funkcję od 16 maja 2019 r., kiedy to złożył ślubowanie przez Sejmem RP. Dnia 19 grudnia minionego roku mogliśmy być świadkami zorganizowanej przez Sejm RP Konferencji pt. „Przyszłość ochrony danych osobowych w Polsce – w przededniu wyboru nowego Prezesa Urzędu Ochrony Danych Osobowych”, gdzie mieli okazję zaprezentować się kandydaci na stanowisko. Wśród zgłoszonych kandydatów zgodnie wybrzmiewała potrzeba skupienia się na nowych technologiach oraz praktycznego podejścia do zapewniania bezpieczeństwa ochrony danych. Rok 2024 zapowiada zmiany w postępowaniu i organizacji Urzędu Ochrony Danych, życzymy, aby były to pozytywne zmiany dla administratorów.
7. Szerokie rozumienie przepisów RODO. Zauważalną tendencją w 2023 roku było wydawanie przez Trybunał Sprawiedliwości Unii Europejskiej orzeczeń opowiadających się za szerokim rozumieniem przepisów RODO. Dotyczyły one wielu podstawowych kwestii takich jak odpowiedzialność za przetwarzanie danych, znaczenie przetwarzania danych osobowych, roszczeń za naruszenie ochrony danych czy korzystania z praw podmiotów danych. Zaskakującym może się wydawać, że mimo 5 lat doświadczenia w stosowaniu RODO nadal kwestie szerokiego podejścia do ochrony danych mogą budzić wątpliwości i niezbędne są w tym zakresie orzeczenie TSUE.

Źródła:

https://uodo.gov.pl/pl/138/2929

https://uodo.gov.pl/pl/138/2767

https://panoptykon.org/wybory-uodo-kandydaci-sylwetki