W opublikowanej decyzji Prezesa Urzędu Ochrony Danych Osobowych znajduje się bardzo dużo wartościowych wskazówek dla wszystkich administratorów danych.

W przedmiotowej decyzji Prezes UODO nałożył na Politechnikę Warszawską pieniężną karę administracyjną w wysokości 45 000 zł.

To co legło u podstaw takiego stanowiska organu nadzorczego dotyczyło nieuprawnionego dostępu do bazy danych administratora:

Jak sama Uczelnia wskazała, ww. środki okazały się nieskuteczne w przypadku zastosowanego złośliwego narzędzia (plik typu backdoor), które nieuprawnionej osobie umożliwiło uzyskanie dostępu do danych osobowych.

Organ nadzorczy wskazał:

wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z którą dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

W piśmie z dnia […] maja 2020 r. Prezes UODO zwrócił się do Uczelni o wskazanie działań, jakie administrator podjął w celu oceny przyczyn niewykrycia niepożądanych działań ingerujących w poufność danych, które miały miejsce w styczniu i kwietniu 2020 r.  W  wyjaśnieniach z […] czerwca 2020 r. Administrator wskazał, że „[s]cenariusz działania sprawcy wykroczył poza schemat przyjęty w ocenie ryzyka”. Mimo tak formułowanych tez, Administrator na żadnym etapie postępowania nie przedstawił żadnych dowodów mających uzasadnić adekwatność stosowanych zabezpieczeń do ryzyka. Opisał jedynie zabezpieczenia infrastruktury informatycznej, które w jego ocenie były najlepsze w stosunku do oczekiwań, doświadczeń i jego możliwości finansowych, a nie w kontekście ryzyk dla danych przetwarzanych w ramach procesu objętego naruszeniem.

Bardzo interesującym fragmentem decyzji jest wskazanie jak mogło dojść do naruszenia ochrony danych osobowych:

Jak sama Uczelnia wskazała, ww. środki okazały się nieskuteczne w przypadku zastosowanego złośliwego narzędzia (plik typu backdoor), które nieuprawnionej osobie umożliwiło uzyskanie dostępu do danych osobowych. Ponadto, w piśmie z […] stycznia 2021 r., Uczelnia wskazała, że prawdopodobnie dane logowania użyte do umieszczenia plików typu backdoor, pozyskano z systemu […], wykorzystywanego do wewnętrznej wymiany kodów oprogramowania tworzonego przez pracowników, doktorantów oraz wybranych studentów. Powyższe wyjaśnienia, jak i ustalony stan faktyczny bezsprzecznie, w ocenie Prezesa UODO, wskazują, że administrator skupił swoją uwagę na zagrożeniach związanych z funkcjonowaniem infrastruktury informatycznej, a nie związanych z funkcjonowaniem aplikacji stworzonej przez pracowników Uczelni. Dotyczy to w szczególności obszaru funkcjonalności umożliwiającej wgrywanie plików, która z punktu widzenia bezpieczeństwa systemów informatycznych i dobrych praktyk, jest funkcjonalnością krytyczną. Ma to szczególne znaczenie w przypadku świadomości, że pliki mogą pochodzić z niezaufanych źródeł. W interesie każdego administratora jest weryfikacja, czy taka funkcjonalność jest odpowiednio zabezpieczona chociażby przed możliwością manipulowania ścieżkami, pod którymi zostaną zapisane, a same pliki są odpowiednio walidowane pod kątem zagrożeń dla przetwarzanych danych osobowych.

 

Nie można bowiem uzasadniać wskazywanych zabezpieczeń jako adekwatnych do ryzyka, wskazując na scenariusz działania sprawcy wykraczający poza schemat przyjęty w ocenie ryzyka, nie przedstawiając ku temu żadnych dowodów (analiza ryzyka). Trudno mówić o przyjmowaniu pewnych założeń dotyczących zagrożeń, nie przeprowadzając pełnego formalnego audytu systemu, w tym testów penetracyjnych, nie mając tym samym świadomości, jakie możliwości ma osoba uzyskująca nieuprawniony dostęp do systemu informatycznego. Należy wyraźnie podkreślić, że analizując ryzyko, w przyjmowanych scenariuszach (wektorach potencjalnego ataku), należy mieć świadomość, jakie realne możliwości ma atakujący, uwzględniając m.in. metody socjotechniczne, stan wiedzy technicznej, fizyczne aspekty bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, przy czym wspomnianego atakującego należy rozpatrywać zarówno z punktu widzenia osoby nieznającej organizacji administratora oraz jej infrastruktury informatycznej, jak również osoby, która wiedzę tę posiada.

W nawiązaniu do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, Uczelnia obok wskazania, że stosuje oprogramowanie do wyszukiwania podatności aplikacji na zagrożenia, wskazała, iż nie dokonuje analizy wewnętrznych logów systemu (wyjaśnienia z […] września 2020 r.). Jak wynika z wyjaśnień administratora oraz ze Wstępnej analizy powłamaniowej, konfiguracja serwera, na którym znajdowała się aplikacja […], powodowała kasowanie logów (dzienników systemowych) po 4 tygodniach, a analiza zasadności przyjęcia takiego okresu przechowywania logów nie była wykonywana. Ponadto z ww. Wstępnej analizy wynika, iż sama aplikacja obsługująca system […] nie posiadała na tyle szczegółowego dziennika zdarzeń, by zidentyfikować jakiekolwiek ślady pochodzenia pierwszego pliku, który posłużył nieznanej i nieuprawnionej osobie do dostępu do bazy danych.

Dużym echem, w środowisku podmiotów odpowiedzialnych za stosowanie przepisów RODO, odbiła się decyzja Prezesa Urzędu Ochrony Danych Osobowych z 5.01.2020 r:, w której organ ten nałożył administracyjną karę pieniężną w wysokości 85 588 zł:

 

Prezes UODO stwierdził:

niewykonanie przez Panią M. Z. prowadzącą działalność gospodarczą pod firmą K. nakazu decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z dnia […] lutego 2020 roku

Nakazem, który został skierowany do Przedsiębiorcy polegał na dokonaniu prawidłowego zawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych. Tej decyzji Przedsiębiorca nie kwestionował w drodze skargi administracyjnej.

Przedsiębiorca został wezwany przez Prezesa UODO, aby w terminie 7 dni wykonał nakaz wynikający z prawomocnej decyzji administracyjnej oraz do:

udokumentowania wykonania tego nakazu poprzez przedstawienie dowodów w postaci wykazu osób, które zostały zawiadomione w związku z naruszeniem ochrony ich danych osobowych, zawierającego informację w jaki sposób zawiadomienie zostało przesłane, a także kopii wybranych dziesięciu pism wraz z potwierdzeniami nadania.

Przedsiębiorca, reprezentowany przez profesjonalnego pełnomocnika, wskazał, że:

W odpowiedzi pełnomocnik Przedsiębiorcy pismem, które wpłynęło do UODO w dniu […] grudnia 2020 roku, poinformował, że cyt. „nie ma obowiązku wysyłki listów poleconych i wystarczy, że wyślę je listem zwykłym i potwierdzę ich wysyłkę. Nakaz ten wykonałem i potwierdziłem to fakturą i zaświadczeniem pisemnym od pracownika poczty”. Ponadto wskazał, że cyt. „ilość zawiadomień jest poprawna — powtórki pacjentów nie są przypadkowe, są wynikiem tego, że byli oni na wizycie dwukrotnie”.

Prezes UODO nakładając administracyjną karę pieniężną wskazał, że:

W ocenie Prezesa UODO Przedsiębiorca nie udowodnił – ani w trakcie postępowania sprawdzającego wykonanie decyzji Prezesa UODO (o sygn. […]), ani w trakcie niniejszego postępowania w przedmiocie nałożenia na Przedsiębiorcę administracyjnej kary pieniężnej (o sygn. DKE.561.11.2020.[…] – wykonania skierowanego do niego nakazu decyzji administracyjnej z dnia […] lutego 2020 roku, sygn. […].

Po pierwsze bowiem, Przedsiębiorca udowodnił (przedstawiając kopię pocztowej książki nadawczej) skierowanie w dniu […] czerwca 2020 roku zawiadomień o naruszeniu ochrony danych osobowych do dziesięciu osób. Wobec treści tych zawiadomień – bezsprzecznie nieodpowiadających wymogom art. 34 ust. 2 Rozporządzenia 2016/679 – oraz niewielkiej ich liczby w stosunku do wskazanej w zgłoszeniu z dnia […] lipca 2019 roku liczby stu osób, których dane naruszono (czy też liczby trzydziestu siedmiu osób wskazanej przez Przedsiębiorcę – po sprawdzeniu – w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych w dniu […] listopada 2020 r.), działania tego w żaden sposób nie można uznać za wykonanie nakazu decyzji Prezesa UODO.

W tym miejscu wskazać należy, że stan naruszenia przepisów Rozporządzenia 2016/679 stanowiącego przedmiot niniejszego postępowania, to jest nieprzestrzegania nakazu orzeczonego przez Prezesa UODO, trwa od dnia […] marca 2020 r., to jest od dnia następującego po dniu, w którym upłynął wyznaczony w decyzji termin na jego wykonanie. Podkreślić natomiast trzeba, że stan naruszenia przepisów Rozporządzenia 2016/679, którego usunięciu służyć miał nakaz decyzji (stan niepoinformowania o naruszeniu osób, których to naruszenie dotyczy), jest zdecydowanie dłuższy; trwa co najmniej od […] lipca 2019 r. kiedy to Przedsiębiorca dokonał zgłoszenia naruszenia ochrony danych osobowych, miał więc już o nim niewątpliwie wiedzę.

W takim stanie faktycznym Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Przedsiębiorcy w przedmiocie nałożenia administracyjnej kary pieniężnej:

Warto śledzić aktualności Judykatura.pl, aby otrzymać informację o opublikowaniu przez Sąd uzasadnienia wskazanego powyżej wyroku – lektura tego uzasadnienia będzie zapewne świetnym źródłem dla innych Przedsiębiorców w zakresie wykonywania prawomocnych nakazów Prezesa UODO oraz prawidłowej treści zawiadomienia osób, których dane dotyczą.

Wczoraj opublikowano w Dzienniku Urzędowy Unii Europejskiej skargę wniesioną do Trybunału Sprawiedliwości Unii Europejskiej w listopadzie 2021 r.  Autorem skargi jest WhatsApp Ireland, który zarzuca Europejskiego Radzie Ochrony Danych naruszenie szeregu przepisów prawa w związku z przyjęciem na podstawie art. 65 RODO wiążącej decyzji 1/2021 w sprawie sporu powstałego w związku z projektem decyzji irlandzkiego organu nadzorczego w sprawie WhatsApp Ireland.

W judykatura.pl możesz zapoznać się z treścią skargi WhatsApp Ireland:

 

Pierwsza skarga przeciwko decyzji EROD

 

 

WhtatsApp zarzuca decyzji wiążącej, aż siedem naruszeń:

1. Zarzut pierwszy, dotyczący tego, że EROD przekroczyła uprawnienia przyznane jej w art. 65 RODO.
2. Zarzut drugi, dotyczący tego, że EROD naruszyła art. 13 ust. 1 lit. d) i art. 12 ust. 1 RODO niewłaściwie interpretując i stosując te przepisy oraz spoczywające na WhatsApp obowiązki związane z przejrzystością ze względu na to, że zwróciła się do tej spółki o informacje, które nie były od niej wymagane.
3. Zarzut trzeci, dotyczący tego, że EROD naruszyła art. 4 ust. 1 RODO niewłaściwie interpretując i stosując ten przepis oraz pojęcie „danych osobowych”.
4. Zarzut czwarty, dotyczący tego, że EROD naruszyła usankcjonowane w art. 48 Karty Praw Podstawowych UE domniemanie niewinności, niesłusznie przenosząc na WhatsApp ciężar dowodu i żądając od tej spółki wykazania, że jej środowisko przetwarzania jest tego rodzaju, że prawdopodobieństwo ponownej identyfikacji podmiotów, których dane dotyczą, jest czysto teoretyczne.
5. Zarzut piąty, dotyczący tego, że EROD naruszyła usankcjonowane w art. 41 Karty Praw Podstawowych UE prawo do dobrej administracji pomijając przysługujące WhatsApp prawo do bycia wysłuchaną i ciążący na niej samej obowiązek starannego i bezstronnego zbadania dowodów i przedstawienia odpowiedniego uzasadnienia.
6. Zarzut szósty, dotyczący tego, że EROD naruszyła art. 83 RODO i szereg ustalonych w tym rozporządzeniu zasad określania wysokości grzywien.
7. Zarzut siódmy, dotyczący tego, że EROD naruszyła zasadę pewności prawa nie przyznając, iż w swej decyzji nowatorsko zinterpretowała i zastosowała szereg przepisów RODO, efektem czego [zarzucane] naruszenie było nie do przewidzenia.

EROD w swojej decyzji przytaczał szereg istotnych argumentów:

Decyzja dotyczy sporu powstałego w następstwie projektu decyzji (zwanego dalej “projektem decyzji”) wydanego przez irlandzki organ nadzorczy (“Data Protection Commission”, zwany dalej Data Protection Commission”, zwaną dalej “IE SA”), zwaną również w tym kontekście wiodącym organem nadzorczym lub “LSA” oraz późniejszych zastrzeżeń wyrażonych przez szereg zainteresowanych organów nadzorczych lub “CSA” (…).

Przedmiotowa decyzja dotyczy “dochodzenia w sprawie likwidacji” (zwanego dalej “dochodzeniem”), które zostało wszczęte przez IE SA w dniu 10 grudnia 2018 r. dotyczące tego, czy WhatsApp Ireland Limited, spółka z spółka z pojedynczym zakładem zlokalizowanym w Dublinie, Irlandia (dalej “WhatsApp IE”), wypełniła swoje obowiązki zgodnie z art. 12, 13 i 14 RODO.

W swoim sprzeciwie PT SA nie zgadza się z ustaleniem LSA, o którym mowa w pkt 68, że numer telefonu osoby niebędącej użytkownikiem po procedurze stratnego haszowania nie stanowi już danych osobowych oraz że numer telefonu osoby niebędącej użytkownikiem po procedurze lossy hashing nie stanowi już danych osobowych, oraz jego interpretacja zastosowania art. 4 ust. 1 RODO do listy nie użytkowników po procedurze stratnego haszowania różni się od interpretacji IE SA.

W odpowiedzi na uwagi WhatsApp IE, PT SA stwierdza, że cel przetwarzania danych nie decyduje o tym, czy dane kwalifikują się jako dane osobowe. Analogicznie, nie ma znaczenia, czy WhatsApp IE realizuje jakikolwiek interes związany z identyfikacją osób niebędących użytkownikami. Należy raczej zbadać, czy dana informacja spełnia warunki określone w art. 4 ust. 1 RODO. W tym przypadku, zdaniem PT SA, są to dane osobowe, ponieważ możliwe jest wyodrębnienie osób niebędących użytkownikami poprzez odtworzenie ich numeru telefonu numer telefonu przy stosunkowo niskim stopniu niepewności.

 

Czy można mówić o pewnego rodzaju “odpuszczeniu” win administratorów danych ze względu na brak regulacji materialnoprawnych, które można byłoby zastosować, gdy skarga wpłynęła już po wejściu w życie nowych przepisów, zaś dotyczy zdarzeń przeszłych – pod rządami uprzednich regulacji?

Powyższe stanowisko zaprezentował Wojewódzki Sąd Administracyjny w prawomocnym wyroku z maja 2021 r., w którym oddali skargę na decyzję Prezesa UODO w przedmiocie umorzenia postępowania.

Zaskarżoną decyzją umorzono – przywołując art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256), zwanej dalej “K.p.a.” – postępowanie wszczęte wobec skargi p. A.S., zwanego dalej “Wnioskodawcą”, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Zespól Szkół z siedzibą w R., zwany dalej “Szkołą”.

W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:

– w skardze podnoszono, że w dniach […] – […] maja 2018 r., na stole w pokoju nauczycielskim Szkoły leżała kserokopia zawiadomienia z sekretariatu Prokuratury Rejonowej w L. z […] kwietnia 2018 r., zwana dalej “Zawiadomieniem”; wymieniono w nim jego imię i nazwisko oraz informację o postawieniu go w stan oskarżenia; wedle docierających do Wnioskodawcy informacji, zawiadomienie to czytało wielu nauczycieli Szkoły a być może także pracownicy obsługi Szkoły; 25 maja 2018 r. Wnioskodawca skierował do dyrektora Szkoły pismo o wyjaśnienie tego incydentu; nie otrzymał na nie odpowiedzi; wskazywano też, że podobne incydenty miały miejsce już wcześniej – […] grudnia 2015 r. wicedyrektor Szkoły rozesłał – w imieniu dyrektora – za pomocą środków komunikacji elektronicznej, kserokopię skargi Wnioskodawcy, skierowanej do Rady Miejskiej w R., zwaną dalej “Skargą”; zawierała ona jego dane osobowe w zakresie: imienia i nazwiska, adresu zamieszkania, adresu e-mail, numeru telefonu, informacji o przynależności związkowej oraz pełnionej funkcji w Związku Nauczycielstwa Polskiego przy Szkole; następnie – na tablicy ogłoszeń w pokoju nauczycielskim Szkoły – wywieszono zarządzenie w sprawie zebrania Rady Pedagogicznej, które wydał Dyrektor Szkoły […] maja 2016 r., zwane dalej “Zarządzeniem”; wskazano w nim m.in.: “1. Kontrola Kuratorium w sprawie następnej skargi p. S.”, zarządzenie to wisiało do 31 marca 2016 r.; Wnioskodawca wskazał ponadto, że po 13 października 2016 r., na tablicy ogłoszeń w pokoju nauczycielskim Szkoły, wywieszono kserokopię protokołu z kontroli doraźnej, przeprowadzonej w Szkole przez Kuratorium Oświaty, zwaną dalej “Protokołem”; kilkukrotnie wymieniono tam imię i nazwisko Wnioskodawcy oraz dane o stanie jego zdrowia – informacje o okresie przebywania na zwolnieniu lekarskim; kserokopię protokołu wywieszono w pokoju nauczycielskim na co najmniej 10 dni,

Przy takim stanie faktycznym Sąd wskazał, że:

(..) należy wskazać, że w sprawie są zasadniczo bezsporne ustalone przez organ okoliczności faktyczne. W uzasadnieniu skarżonego aktu nie kwestionowano możliwości upublicznienia danych osobowych Wnioskodawcy w terminie, w sposób i w zakresie wskazanym w skardze, choć dyrektor Szkoły twierdzi, że nie jest mu to wiadome. Trafnie organ przywołał także uwarunkowania prawne sprawy – w kontekście przytoczenia stosownych regulacji. Wobec zreferowania jego stanowiska w danym zakresie, ponowne ich przytaczanie byłoby bezzasadne.

W rozpoznawanej sprawie niewątpliwie organ nie może wykorzystać kompetencji, pisanych mu w RODO. Opisane w skardze zdarzenia – upublicznienie danych – miały bowiem miejsce przed wejściem w życie danego aktu zaś – co bezsporne – po tej dacie przetwarzanie danych Wnioskodawcy w zakresach opisanych w skardze nie miało już miejsca. Bez znaczenia jest przy tym podnoszona przez Wnioskodawcę okoliczność, że swoje wystąpienie do dyrektora Szkoły (żądanie wyjaśnienia sytuacji) skierował on 25 maja 2018 r. – a więc pod rządami nowych przepisów. Dotyczyło ono bowiem zdarzeń wcześniejszych nie zaś trwającego procesu przetwarzania jego danych, kontynuowanego już po wejściu w życie nowych regulacji. Do tego rodzaju wystąpień – wykraczających poza kwestie aktualnego przetwarzania danych – przepisy RODO (np. obowiązek informacyjny) nie mają zastosowania.

Organ administracji słusznie z kolei zauważył, że proste, językowo-logiczne wyłożenie treści przepisów przejściowych ustawy o danych uzasadnia konstatację o braku regulacji materialnoprawnych, które można byłoby zastosować, gdy skarga wpłynęła już po wejściu w życie nowych przepisów, zaś dotyczy zdarzeń przeszłych – pod rządami uprzednich regulacji. Może wprawdzie budzić pewne wątpliwości, czy wykładnia taka jest prawidłowa. Prowadzi bowiem do specyficznego ukształtowania sytuacji prawnej osób, wobec których proces przetwarzania danych osobowych prowadzono wcześniej z naruszeniem prawa wedle kryterium, czy zdążyli wnieść skargę przed wejściem w życie nowych regulacji – naruszenie mogło wszak mieć miejsce pod rządami uprzedniego prawa nawet ostatniego dnia.

Żadne z nich nie byłyby w ogóle adekwatne w danej sprawie. Trzeba ponownie podkreślić, że konkretne postępowanie administracyjne, wszczęte wnioskiem osoby, która czuje się pokrzywdzona bezprawnym przetworzeniem danych, nie mogło się zakończyć ogólnym nakazem przestrzegania przepisów o ochronie danych osobowych, lecz nałożeniem obowiązku wyeliminowania konkretnych, trwających nieprawidłowości, wdrożeniem rozwiązań technicznych im zapobiegającym bądź – co do zdarzeń, które mają miejsce pod rządami nowych przepisów (RODO) – także ewentualnie zastosowaniem sankcji pieniężnej (tak art. 58 ust. 2 lit. i) czy upomnienia. Ostatnie z wymienionych środków nie znajdą oczywiście zastosowania w danej sprawie, gdzie zdarzenia miały miejsce pod rządami uprzednich regulacji.

Sąd podkreślił, że:

Brak kompetencji organu administracji do wydania władczego rozstrzygnięcia w przedmiotowej sprawie nie zamyka przy tym Wnioskodawcy drogi do ochrony swoich praw przez zainicjowanie stosownego postępowania przed sądami powszechnymi, o ile doszło faktycznie do bezprawnego upublicznienia danych dotyczących jego tożsamości i stanowiłoby to równocześnie naruszenie jego dóbr osobistych – np. prawa do dobrego imienia, czy prywatności w kontekście stanu zdrowia. Wykracza to jednak poza granice sprawy administracyjnej, skoro stosownymi kompetencjami do rozstrzygania sporów w danym zakresie nie obdarzono organu administracji publicznej.

Wojewódzki Sąd Administracyjny w wyroku z maja 2021 r. uchylił zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych oraz umorzył postępowanie prowadzone przez ten organ nadzorczy.

Prezes Urzędu Ochrony Danych Osobowych w swojej decyzji, wobec skargi obywatela na nieprawidłowości w przetwarzaniu jego danych osobowych przez Burmistrza Miasta i Gminy O. udzielił Burmistrzowi “upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych, polegające na naruszeniu art. 5 ust. 1, art. 6 ust 1 i art. 9 ust. 2 RODO, poprzez bezpodstawne pozyskanie danych osobowych Wnioskodawcy, zawartych w korespondencji prowadzonej przez niego za pośrednictwem portalu społecznościowego […]”.

W uzasadnieniu rozstrzygnięcia przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:

– skarga Wnioskodawcy dotyczyła przetwarzania jego danych osobowych przez Burmistrza w zakresie danych logowania do portalu społecznościowego […] oraz danych powiązanych z profilem skarżącego, założonym na tym portalu; w skardze zażądano usunięcia przez administratora danych osobowych Wnioskodawcy,

– w toku postępowania administracyjnego ustalono następujący stan faktyczny:

– Wnioskodawca był zatrudniony w Urzędzie Miasta i Gminy w O. (dalej jako “Urząd”) na stanowisku […];[…] grudnia 2018 r. rozwiązano z nim umowę o pracę z zachowaniem trzymiesięcznego okresu wypowiedzenia; do wykonywania obowiązków służbowych powierzono mu komputer; zobowiązano go do jego zdania do […] stycznia 2019 r. (tak: skarga z […] lipca 2019 r. oraz wyjaśnienia Burmistrza z […] marca 2020 r.);

– do obowiązków służbowych Wnioskodawcy należało administrowanie stroną Urzędu na portalu […]; wykorzystywał do tego swoje indywidualne konto na portalu; powiązane było ono z tą stroną (tak: skarga z […] lipca 2019 r.; wyjaśnienia Burmistrza z […] marca 2020 r.);

– Wnioskodawca nie usunął z komputera służbowego konta synchronizacji zakładek i haseł; pozostał również zalogowany na koncie indywidualnym na portalu […] (tak: skarga z […] lipca 2019 r.);

– w maju 2019 roku pracownik Urzędu (p. P. K.), zwany dalej “Pracownikiem”, przygotowywał używany uprzednio przez Wnioskodawcę komputer do przekazania kolejnej osobie; po uruchomieniu przeglądarki internetowej na przedmiotowym komputerze, ukazały mu się dwie, prowadzone na portalu […], rozmowy z innymi pracownikami Urzędu – p. A. G. oraz p. J. Z., zwaną dalej “Pracownikiem II”; dotyczyły one osoby p. A. P.; z uwagi na ich tematykę Pracownik wydrukował przedmiotowe rozmowy – z okresu od listopada 2018 roku do maja 2019 roku – i przekazał Burmistrzowi (tak: wyjaśnienia Burmistrza z […] marca 2020 r.).

WSA w Warszawie wskazało, że:

Trafne są zarzuty skargi, gdy zakwestionowano konstatację organu, jakoby w rozpoznawanym przypadku doszło do bezprawnego ujawnienia danych osobowych w rozumieniu RODO. Chybiona jest jednak argumentacja na potwierdzenie tej tezy.

oraz

W myśl art. 1 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), dalej jako “ustawa o danych”, jej przepisy stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 RODO, zaś – w myśl art. 1 ust. 2 pkt 4 i 5 tej ustawy – określa ona m.in.: organ właściwy w sprawie ochrony danych osobowych i same reguły postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Co najważniejsze – Sąd we wskazanym wyrok pokazuję jak rozumie zakres stosowania RODO przez pryzmat art. 2 ust. 1 RODO:

Same sformułowane przez prawodawcę cele ustanowienia danej regulacji uzasadniają wprawdzie konkluzję, że generalnie RODO ma się przyczynić do lepszej ochrony danych osobowych obywateli państw członkowskich Unii Europejskiej. Rozporządzenie to nie stanowi jednakże aktu, służącemu pełnemu, ramowemu uregulowaniu ochrony praw w danym zakresie. Dotyczy jedynie komponentu danych, które podlegają automatycznemu przetworzeniu bądź mogą podlegać takiemu przetworzeniu, jako baza informacji o osobach.

Konkluzję taką potwierdza wprost treść normatywna przepisów wstępnych RODO. W myśl art. 2 ust. 1, akt ten znajduje zastosowanie wyłącznie “do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”. Z kolei – wobec art. 4 pkt 6 RODO – zbiór danych to “uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.

Oznacza to, że przepisy RODO nie znajdują zastosowania do wszelkich przypadków przetwarzania danych osobowych (formą przetwarzania jest ich ujawnianie – tak art. 4 pkt 3 RODO), lecz tylko gdy chodzi o te, objęte zakresem danej regulacji. Dotyczy to danych przetwarzanych w sposób całkowicie lub częściowo zautomatyzowany, zaś pozostałych tylko, gdy stanowią zbiór lub mogą stanowić część zbioru danych. Z kolei potencjalny zbiór danych to jedynie ich zestaw dostępny według określonych kryteriów. Wskazanej oceny nie zmienia to, że przetwarzanie (w tym ujawnienie) może – w myśl art. 4 pkt 3 RODO – nastąpić automatycznie lub także w inny sposób. Brzmienie danej definicji nie prowadzi do poszerzenia zakresu danych podlegających regułom RODO wedle treści art. 2 ust. 1 – gdy chodzi o dane przetwarzane w sposób inny niż zautomatyzowany to tylko te, stanowiące część zbioru danych lub mające stanowić część zbioru danych, w rozumieniu art. 4 pkt 6 RODO.

 

Co ważne, Sąd podnosi, że:

Odmienne rozumienie przepisów RODO prowadziłoby do trudnych do przypisania racjonalnemu prawodawcy wniosków – jakoby danym rozporządzeniem uregulowano w sposób szczególny wszelkie zasady ochrony danych osobowych, w zakresie, gdzie może to prowadzić m.in. do naruszenia dóbr osobistych. Wobec przyznania w RODO kompetencji rozstrzygania spraw na tym gruncie wyspecjalizowanym organom administracji państw członkowskich (tak art. 58 ust. 2 RODO i odpowiednio art. 34 ust. 2 oraz art. 60 ustawy o danych), oznaczałoby to ukształtowanie alternatywnej drogi ochrony praw przez wszystkie osoby, których dobra osobiste naruszono – ujawniając jakkolwiek równocześnie ich dane osobowe w dowolny sposób.

W rozpoznawanej sprawie są poza sporem jej istotne okoliczności, w tym zakresie, że w skardze do wyspecjalizowanego organu przywołano zdarzenie w postaci pozyskania z systemu teleinformatycznego – z określonej platformy, którą nie zarządzał Burmistrz ([…]) – zapisu korespondencji, gdzie występowały dane osobowe m.in. Wnioskodawcy. Różnica stanowisk między stronami dotyczy natomiast tego, czy było to dopuszczalne.

Konkluzja Sądu jest szalenie istotna:

Przetwarzanie danych w danym przypadku (ich ewentualne ujawnienie) nie jest objęte regułami RODO, determinującym ramy kompetencji do rozstrzygania spraw w trybie administracyjnym. Właściwości organu administracji nie można przy tym wykładać rozszerzająco, wobec treści art. 2 § 3 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz.U. z 2020, poz. 1575 ze zm.). Wynika zeń, że właściwość organu administracji musi być wskazana wprost. W kwestii ochrony dóbr osobistych – w rozumieniu art. 23 i 24 ustawy – Kodeks cywilny, do których zaliczają się dane osobowe – właściwe są zaś sądy powszechne, co odnotowano zresztą w uzasadnieniu zaskarżonej decyzji.

W sprawie SCHUFA Holding (C-634/21) Trybunał Sprawiedliwości Unii Europejskiej opublikował wniosek Sądu Administracyjnego w Wiesbaden, w którym sformułowano dwa kluczowe pytania dotyczące tworzenia profili scoringowych.

Przedmiotem postępowania jest skarga na wartość scoringu, jaką biorąca udział w postępowaniu SCHUFA Holding AG (zwana dalej „spółką SCHUFA”) wyliczyła w odniesieniu do skarżącej. Spółka SCHUFA jest niemieckim prywatnym biurem informacji kredytowej, które dostarcza swoim kontrahentom informacji na temat wiarygodności kredytowej osób trzecich, w szczególności także konsumentów. W tym celu Spółka SCHUFA wylicza tzw. wartości scoringu. Prognozuje się tak prawdopodobieństwo wystąpienia w przyszłości określonego zachowania danej osoby, takiego jak spłata kredytu, na podstawie pewnych cech tej osoby w oparciu o matematyczno-statystyczną formułę, przy czym ani poszczególne cechy, na których opiera się prognoza, ani matematyczno-statystyczna formuła nie są ujawniane. Wyliczenie w ten sposób wartości scoringu opiera się na założeniu, że poprzez przyporządkowanie danej osoby do grupy innych osób o pewnych porównywalnych cechach, które zachowały się w określony sposób, można przewidzieć podobne zachowanie. Jeżeli dana osoba pasuje do określonego profilu, ustalona wartość scoringu jest jej przypisywana przez spółkę SCHUFA i uwzględniana, z odpowiednimi konsekwencjami, w procesie podejmowania decyzji przez podmiot, który ostatecznie zawiera umowę z tą osobą, na przykład przez instytucję kredytową przy udzielaniu kredytu.

Skarżąca spotkała się z odmową udzielenia kredytu przez osobę trzecią, po tym jak spółka SCHUFA podała o niej negatywne informacje. W konsekwencji skarżąca domagała się od tego podmiotu, oprócz usunięcia wpisów, które uważała za błędne, także informacji o przechowywanych danych. W dniu 10 lipca 2018 r. spółka SCHUFA przekazała skarżącej informację, z której wynikało, że skarżąca uzyskała u niej wartość scoringu w wysokości 85,96%. W pismach z dnia 8 sierpnia 2018 r. i 23 sierpnia 2018 r. spółka SCHUFA poinformowała również skarżącą w sposób ogólny o tym, w jaki sposób przebiegało zasadniczo obliczenie wartości scoringu, ale nie o tym, jakie poszczególne informacje zostały uwzględnione przy obliczeniu i jak były ważone. Spółka SCHUFA jest zdania, że nie jest zobowiązana do ujawnienia metod obliczeniowych, ponieważ są one objęte tajemnicą zawodową i handlową. Spółka SCHUFA wskazała też skarżącej, że udziela ona jedynie informacji swoim kontrahentom, ale to ci kontrahenci podejmują faktyczne decyzje w kwestii zawarcia umowy; spółka SCHUFA nie wydaje w tym zakresie rekomendacji za zawarciem umowy lub przeciwko zawarciu umowy z osobą, w odniesieniu do której udzieliła ona informacji. W dniu 18 października 2018 r. skarżąca złożyła do drugiej strony postępowania skargę na tę informację, wnosząc, by druga strona postępowania nakazała spółce SCHUFA spełnienie żądania skarżącej w zakresie udzielenia informacji i usunięcia wpisów. Spółka SCHUFA jest zdaniem skarżącej zobowiązana do poinformowania o zastosowanej logice, znaczeniu i skutkach przetwarzania.

W skierowanej do skarżącej decyzji z dnia 3 czerwca 2020 r. druga strona postępowania odmówiła podjęcia dalszych działań wobec spółki SCHUFA. W uzasadnieniu druga strona postępowania wskazała między innymi, że obliczenie wartości zdolności kredytowej przez spółkę SCHUFA musi co prawda odpowiadać wymogom szczegółowo uregulowanym w § 31 Bundesdatenschutzgesetz [ustawy federalnej o ochronie danych, zwanej dalej „BDSG”) [art. 1 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – ustawy o dostosowaniu prawa o ochronie danych do rozporządzenia (UE) 2016/679 i o transpozycji dyrektywy (UE) 2016/680 – z dnia 30 czerwca 2018 r., BGBl. I s. 2097]. Wymogi te są jednak – zdaniem drugiej strony postępowania –- z reguły spełniane przez spółkę SCHUFA, a w niniejszej sprawie nic nie wskazuje na to, aby było inaczej.

Przed Trybunałem Sprawiedliwości Unii Europejskiej stoi zadanie rozstrzygnięcia, czy działalność biur informacji kredytowej, takich jak spółka SCHUFA, polegająca na wyliczeniu wartości scoringu osób, których dane dotyczą, i przekazywaniu ich bez dalszych zaleceń lub komentarzy osobom trzecim, które, uwzględniając w istotnym stopniu tę wartość scoringu, zawierają umowy z osobą, której dane dotyczą, lub powstrzymują się od zawierania takich umów, wchodzi w zakres zastosowania art. 22 ust. 1 RODO. W takim przypadku bowiem dopuszczalność wyliczenia ostatecznej wartości scoringu w celu jej przekazania przez biuro informacji kredytowej, takie jak spółka SCHUFA, może opierać się wyłącznie na art. 22 ust. 2 lit. b) RODO w związku z § 31 BDSG, przy czym normy te są jednocześnie – w przypadku złożenia, tak jak w przedmiotowym postępowaniu, skargi przez osobę, której dane dotyczą, do właściwego organu nadzorczego – kryterium kontroli przez organ nadzorczy działalności biura informacji kredytowej. Dla kontroli tej istotne jest z kolei, czy przepis o treści zawartej w § 31 BDSG jest zgodny z art. 22 ust. 2 lit. b) RODO. Jeśli bowiem tak nie jest, to brak jest tego ustawowego kryterium kontroli, które druga strona postępowania stosuje w niniejszej sprawie w odniesieniu do spółki SCHUFA.

W zakresie samego zautomatyzowanego podejmowania decyzji ważny jest ten element wniosku Sądu Administracyjnego Wiesbaden :

Działalność taka jak będące przedmiotem sporu – dokonywane przez spółkę SCHUFA – zautomatyzowane gromadzenie danych osobowych w celu ustalenia wartości prawdopodobieństwa co do określonego przyszłego zachowania osoby fizycznej, aby przekazać ją osobom trzecim w celu podjęcia przez nie decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą fizyczną, której dane dotyczą, podlegają – w każdym razie w zależności od treści danej działalności –reżimowi regulacji art. 22 ust. 1 RODO. Zgodnie z jednoznacznym brzmieniem tego przepisu obejmuje on nie tylko, ale również, decyzje podejmowane na podstawie profilowania, zob. także motyw 71 zdanie drugie. Zgodnie z legalną definicją profilowania zawartą w art. 4 pkt 4 RODO stanowi ono dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

oraz

Wyliczenie wartości scoringu spełnia cechy tej definicji. Przemawia za tym również motyw 71 zdanie drugie, zgodnie z którym profilowanie należy rozumieć między innymi właśnie jako analizę lub prognozę aspektów dotyczących sytuacji ekonomicznej, wiarygodności lub zachowania danej osoby. Motyw 71 zdanie pierwsze wymienia ponadto automatyczne odrzucenie elektronicznego wniosku kredytowego jako przykład decyzji w rozumieniu art. 22 ust. 1 RODO. W tym względzie art. 22 ust. 1 RODO ma zasadniczo zastosowanie do przypadków takich jak niniejszy, chociażby ze względu na to, że zgodnie z intencją prawodawcy Unii wyliczenie wartości scoringu jest jednym z przypadków profilowania w rozumieniu art. 4 pkt 4 RODO.

Niemiecki Sąd uważa:

za oczywiste, że w przypadkach takich jak będący przedmiotem niniejszego sporu spełniony jest również wymagany przez art. 22 ust. 1 RODO warunek, by decyzja była oparta wyłącznie na zautomatyzowanym przetwarzaniu. Nie przeczy temu fakt, że zgodnie z powyższym główna działalność biur informacji kredytowej – takich jak spółka SCHUFA – polega na ustalaniu wartości scoringu, co zgodnie z motywami rozporządzania jest jednym z przypadków profilowania. Prawdą jest, że prawodawca najwyraźniej nie zamierzał uregulować odrębnie w art. 22 ust. 1 RODO dopuszczalności profilowania w świetle prawa o ochronie danych, lecz jedynie zająć się profilowaniem w tym kontekście w powiązaniu z innym elementem, niejako w zakresie, w jakim jest ono częścią decyzji opartej na zautomatyzowanym podejmowaniu decyzji. Wynika to już z brzmienia przepisu, który odnosi zawarty w nim zakaz przede wszystkim do decyzji opartej na profilowaniu – lub innym zautomatyzowanym przetwarzaniu danych – a nie do samego profilowania.

oraz

Sąd, biorąc pod uwagę brzmienie art. 22 ust. 1 RODO, ma świadomość, że przepis ten przy restrykcyjnej wykładni może być rozumiany i też jest powszechnie rozumiany w ten sposób, że nie ma on bezpośrednio zastosowania do działalności biur informacji kredytowej, takich jak spółka SCHUFA. Zdaniem sądu założenie takie opiera się jednak na błędnym rozumieniu działalności biur informacji kredytowej i wpływu wartości scoringu, które one wyliczają. Założenie to bazuje bowiem na przekonaniu, że biura informacji kredytowej same nie podejmują decyzji istotnej dla art. 22 ust. 1 RODO, ponieważ niejako przygotowują one jedynie ostateczną decyzję administratora danych poprzez ustalanie i zestawianie danych osobowych do celów przeprowadzenia profilowania i związanego z tym ustalenia ostatecznej wartości scoringu; przekazując wartość scoringu, zazwyczaj nie rekomendują one przecież jednocześnie administratorowi danych będącemu osobą trzecią zawarcia umowy z osobą, której dane dotyczą, ani tego nie odradzają.

Trybunałowi postawiono takie oto dwa pytania:

Czy art. 22 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej „RODO”, Dz.U. L nr 119 z dnia 4 maja 2016 r., s. 1) należy interpretować w ten sposób, że już samo zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącego zdolności osoby, której dane dotyczą, do obsługi kredytu w przyszłości stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby jest przekazywana przez administratora danych innemu administratorowi, a wartość ta ma istotne znaczenie dla tego innego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą?

Jeżeli na pierwsze pytanie prejudycjalne należy udzielić odpowiedzi przeczącej: czy art. 6 ust. 1 i art. 22 rozporządzenia (UE) 2016/679 (RODO) należy interpretować w ten sposób, że stoją one na przeszkodzie regulacji w prawie krajowym, zgodnie z którą wykorzystanie wartości prawdopodobieństwa dotyczącego określonego przyszłego zachowania osoby fizycznej – w tym przypadku dotyczącego wypłacalności osoby fizycznej i jej gotowości do zapłaty z uwzględnieniem informacji o jej wierzytelnościach – w celu podjęcia decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą (scoring) jest dopuszczalne tylko wtedy, gdy są spełnione pewne dalsze warunki, które zostały bardziej szczegółowo określone w uzasadnieniu odesłania?

W listopadzie 2021 r. opisywaliśmy przypadek, którym zajął się WSA w Warszawie, a dotyczący przetwarzania danych osobowych strony trzeciej (męża nauczycielki zwalnianej z pracy) i podstawy prawnej do takiego działania upatrzonej przez Sąd w prawnie uzasadnionym interesie prawnym administratora:

Przetwarzanie danych z CEIDG/KRS – prawnie uzasadniony interes strony trzeciej

Tym razem Naczelny Sąd Administracyjny stwierdził, że taka podstawa prawna jest prawidłowa nawet wtedy, kiedy administrator danych pobiera opłatę za udostępnienie danych osobowych pobranych z publicznych źródeł np. CEIDG, KRS-u czy Monitora Sądowego.

Zaczynając jednak od początku – do Prezesa UODO została skierowana skarga Pana W.S., który jako obecny członek organów i wspólnik spółki z ograniczoną odpowiedzialnością, a także były członek w odniesieniu do innych spółek z ograniczoną odpowiedzialnością nie chciał, aby jego dane osobowe pobrane z Krajowego Rejestru Sądowego były ogólnodostępne w portalu internetowym prowadzącym przez administratora (Fundację).

Prezes UODO w swojej decyzji stwierdził, że proces przetwarzania danych osobowych jest prawidłowy, a prawnie uzasadniony interes administratora – ze względu m. in. na cele statutowe Fundacji, jest podstawą prawną legalizującą przetwarzanie pewnego zakresu danych osobowych pobieranych z ogólnokrajowego rejestru.

Pan W.S. nie zgodził się z takim rozstrzygnięciem i złożył skargę do WSA w Warszawie, które wyrokiem ze stycznia 2021 r. ją oddalił.

W orzeczeniu WSA wskazało, że:

Organ w sprawie tej trafnie stwierdził, że przetwarzanie przez Fundację publicznie dostępnych danych osobowych skarżącego, jako osoby pełniącej określone funkcje w podmiotach podlegających wpisowi do KRS, w tym ich publikacja, znajduje oparcie w art. 6 ust. 1 lit. f RODO. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem, wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą jest dzieckiem.

oraz

Wobec przetwarzania przez Fundację danych osobowych skarżącego ujawnionych w publicznie dostępnych rejestrach, zgoda na ich przetwarzanie nie była wymagana. Nie zmienia tego podnoszony przez skarżącego fakt udostępniania przez Fundację danych w formie odpłatnej. Podniesiona w skardze kwestia oferowania przez Fundację komercyjnego opracowania danych nie ma wpływu na dokonaną przez Prezesa UODO ocenę legalności przetwarzania danych osobowych skarżącego. Zagadnienie dotyczące komercyjnego charakteru przetwarzania danych osobowych powszechnie dostępnych nie zmienia trafności ustaleń organu co do istnienia przesłanki przetwarzania tych danych przez Fundację na podstawie art. 6 ust. 1 lit. f RODO.

Zarzut naruszenia art. 5 ust. 1 ustawy o ponownym wykorzystywaniu informacji sektora publicznego w zw. z art. 4 pkt 2 (a także art. 4 punkt 1) RODO nie jest zasadny. Przepis art. 6 ustawy o ponownym wykorzystywaniu (…) wskazuje przypadki, gdy prawo do ponownego wykorzystywania podlega ograniczeniu, w tym m.in. wówczas, gdy dostęp jest ograniczony na podstawie innych ustaw. Trafnie Prezes UODO wskazał, że ustawa o Krajowym Rejestrze Sądowym ograniczenia takiego nie zawiera.

Jak nie trudno się domyśleć Skarżący nie zaakceptował także wyroku WSA i złożył skargę kasacyjną do NSA. Sąd ten oddalając skargę kasacyjną podzielił pogląd zarówno Prezesa UODO jak i WSA.

W wyroku NSA odnajdujemy bardzo istotną interpretację nie tylko podstawy prawnej przetwarzania danych, ale także możliwości pobierania opłaty za dalsze ich udostepnienie:

Oceniając wniesioną skargę kasacyjną w granicach określonych treścią art. 183 § 1 P.p.s.a. i nie dostrzegając przy tym przypadków nieważności postępowania wymienionych w § 2 tego artykułu, podkreślić na wstępie należało kluczowy dla jej oceny fakt, że dane osobowe przetwarzane przez Fundację w okolicznościach niniejszej sprawy pochodzą z jawnego rejestru publicznego, jakim jest Krajowy Rejestr Sądowy oraz z ogólnokrajowego dziennika urzędowego przeznaczony do zamieszczania obwieszczeń lub ogłoszeń, jakim jest Monitor Sądowy i Gospodarczy.

Zdaniem strony skarżącej nielegalne było jednak ich przetwarzanie, które naruszało art. 6 ust. 1 lit. f RODO.

Wskazując na cel działalności Fundacji, Sąd pierwszej instancji a wcześniej organ, prawidłowo uznały, że realizuje ona prawnie uzasadniony interes, o którym mowa w art. 6 ust. 1 pkt f RODO, jakim jest wspomaganie rozwoju demokracji poprzez upowszechnianie praw obywatela w zakresie dostępu do informacji publicznej oraz ponownego wykorzystywania informacji sektora publicznego. Interes ten wynika z przepisów prawa, realizując prawo do informacji publicznej (art. 61 ust. 1 Konstytucji RP, art. 1 ust. 1 ustawy z 6 września 2001 r. o dostępie do informacji publicznej, tekst jedn. Dz. U. 2020 r., poz. 2176), prawo do ponownego wykorzystania informacji sektora publicznego (ustawa z 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego) jak również prowadząc do wzmocnienia szeroko rozumianego bezpieczeństwa obrotu gospodarczego.

Jak słusznie zauważył organ w odpowiedzi na skargę kasacyjną, dane osobowe skarżącego, które dotyczą jego przeszłego uczestnictwa w podmiotach podlegających wpisowi do KRS jako informacje o aktywności skarżącego w obrocie gospodarczym mogą nadal pozostawać w sferze publicznego zainteresowania.

Pobieranie odpłatności za udzielenie informacji, które mają charakter historyczny (nie stanowią aktualnych wpisów), pomimo że istotnie zapewnia Fundacji możliwość uzyskania dochodu, nie wyklucza tego, że dalej realizuje ona prawnie uzasadniony interes, który świadczy tak o legalności jak i adekwatności przetwarzania danych osobowych skarżącego pozyskanych z jawnych źródeł. Z tego też względu nie zasługiwały na uwzględnienie zarzuty naruszenia art. 6 ust. 1 lit. f RODO (zarzut 1) i art. 5 ust. 5 ustawy o fundacjach w zw. z art. 5 ust. 1 lit. b RODO (zarzut 4).

Odnosząc się do zarzutu naruszenia art. 17 ust. 1 lit. d RODO, stwierdzić natomiast należy, że przepis ten określa uprawnienia osoby, której dane dotyczą, a która ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, w przypadku, gdy dane te były przetwarzane niezgodnie z prawem. Wobec jednak powyższych ustaleń co do zgodności z prawem przetwarzania przez Fundację danych osobowych skarżącego, brak było podstaw do nakazania Fundacji przez organ usunięcia danych skarżącego.

Mam wrażenie, że przedmiot sprawy będzie jeszcze nie raz poruszany przez Prezesa UODO oraz sądy administracyjne.

W bardzo ciekawej sprawie C-102/20, rozstrzygniętej niedawno przez Trybunał Sprawiedliwości Unii Europejskiej, warto przyjrzeć się nie tylko samemu wyrokowi, ale pytaniu prejudycjalnemu oraz opinii Rzecznika Generalnego.

Skargę w lutym 2020 r. złożył Federalny Trybunał Sprawiedliwości Niemiec (Bundesgerichtshof) w trakcie rozpoznawania “kasacji” od wyroku sądu okręgowego.

Trybunał Sprawiedliwości Niemiec sformułował aż 5 pytań prejudycjalnych:

1. Czy pojęcie wysłania w rozumieniu art. 2 zdanie drugie lit. h) dyrektywy 2002/58/WE jest spełnione, jeżeli wiadomość jest przesyłana nie przez jednego użytkownika usługi łączności elektronicznej do innego użytkownika za pośrednictwem usługodawcy na „adres” elektroniczny drugiego użytkownika, lecz w wyniku otwarcia chronionej hasłem strony internetowej konta poczty elektronicznej jest automatycznie wyświetlany przez serwery reklamowe w określonych wyznaczonych do tego obszarach w skrzynce odbiorczej poczty elektronicznej losowo wybranego użytkownika (reklama w skrzynce odbiorczej)?

2. Czy odebranie wiadomości w rozumieniu art. 2 zdanie drugie lit. h) dyrektywy 2002/58/WE wymaga, aby odbiorca po uzyskaniu informacji o istnieniu wiadomości, dając z własnej woli polecenie odebrania, wywołał określoną technicznie transmisję danych z wiadomości, czy też wystarczy, by pojawienie się wiadomości w skrzynce odbiorczej konta poczty elektronicznej zostało wywołane w ten sposób, że użytkownik otwiera zabezpieczoną hasłem stronę internetową swojego konta poczty elektronicznej?

3. Czy poczta elektroniczna w rozumieniu art. 13 ust. 1 dyrektywy 2002/58/WE występuje również wtedy, gdy wiadomość nie jest przesyłana do indywidualnego odbiorcy wskazanego konkretnie już przed transmisją, lecz jest wyświetlana w skrzynce odbiorczej losowo wybranego użytkownika?

4. Czy używanie poczty elektronicznej do celów marketingu bezpośredniego w rozumieniu art. 13 ust. 1 dyrektywy 2002/58/WE występuje jedynie wtedy, gdy zostanie stwierdzone obciążenie dla użytkownika wykraczające poza uciążliwość?

5. Czy reklama indywidualna w rozumieniu pkt 26 zdanie pierwsze załącznika I do dyrektywy 2005/29/WE spełniająca przesłanki „namawiania” występuje jedynie wtedy, gdy kontakt z klientem odbywa się za pomocą środka przekazu, który jest tradycyjnie wykorzystywany do indywidualnej komunikacji między nadawcą a odbiorcą, czy też wystarczy, by – jak w przypadku reklamy rozpatrywanej w niniejszej sprawie – indywidualna relacja powstało w ten sposób, że reklama jest wyświetlana w skrzynce odbiorczej prywatnego konta poczty elektronicznej, a zatem w obszarze, w którym klient oczekuje wiadomości kierowanych do niego indywidualnie?

Jak widać jedną z najważniejszych kwestii dla Sądu przedkładającego wniosek było stwierdzenie czy informacja, która wyświetla się między innymi wiadomościami e-mail w skrzynce odbiorczej, a nie została wysłana jak inny e-mail może zostać potraktowana jako niezamówiona informacja handlowa (spam).

Sąd ten argumentował wniosek następująco:

Sąd apelacyjny przyjął, że z pojęcia „wysłania”, rozpatrywanego łącznie z innymi użytymi w art. 2 zdanie drugie lit. h) dyrektywy 2002/58 pojęciami „poczta” i „sieć łączności”, wynika, że „poczta elektroniczna” występuje tylko wtedy, gdy wiadomość została przesłana przez jednego użytkownika do innego użytkownika za pośrednictwem usługodawcy (przykładowo dostawcy usług poczty
elektronicznej), który dokonał elektronicznej transmisji na „adres” elektroniczny (przykładowo adres e-mail) drugiego użytkownika. W niniejszym sporze brakuje takiego adresowania do konkretnych klientów, ponieważ reklama jest wyświetlana tylko przez serwer reklamowy w określonym obszarze strony internetowej za pomocą predefiniowanych „AdTagów/AdSlotów” zintegrowanych na stronie internetowej.

oraz

Należy przyznać rację temu stanowisku, które opiera się na cechach tradycyjnego e-maila, że gdy przyjmowano dyrektywę 2002/58, również prawodawca prawdopodobnie uznał e-mail za tradycyjną formę poczty elektronicznej, obok SMS-ów, o których wyraźnie wspomniano w motywie 40 dyrektywy 2002/58.

oraz

Drugie pytanie prejudycjalne ma na celu ustalenie, jakie wymogi musi spełniać przesłanka, o której mowa w art. 2 zdanie drugie lit. h) dyrektywy 2002/58, aby wiadomość mogła być przechowywana w sieci lub terminalu odbiorcy do chwili jej odebrania przez odbiorcę.

W opinii Rzecznika Generalnego TSEU  Jeana Richarda de la Tour’a z czerwca 2021 r. możemy znaleźć ciekawy pogląd w zakresie wykładni art. 13 ust. 1 Dyrektywy 2002/58/WE:

W związku z tym sąd odsyłający nachylił się nad wspomnianym w tym przepisie kryterium wysłania wiadomości. Reklama w skrzynce odbiorczej nie jest bowiem przekazywana przez jednego użytkownika usługi poczty elektronicznej drugiemu użytkownikowi, lecz jest wyświetlana przez serwery reklamowe w następstwie wejścia na konto poczty elektronicznej w pewnych przeznaczonych do tego polach skrzynki odbiorczej wybranego w sposób losowy użytkownika. Przy zastosowaniu kryterium tradycyjnego e-maila nie dochodziłoby do „wysyłania” wiadomości, a w związku z tym reklamy pojawiającej się w skrzynce odbiorczej nie można by było uznać za pocztę elektroniczną. Jednak sąd odsyłający zastanawia się, czy ze względu na cel ochrony prywatności użytkownika powołany w motywie 4 dyrektywy 2002/58 i realizowany przez art. 13 ust. 1 tej dyrektywy nie należałoby przyjąć raczej funkcjonalnego niż technicznego podejścia do definicji „wysyłania”. Cel ten mógłby uzasadniać przyjęcie interpretacji pojęcia „wysyłania” opartej nie na tradycyjnych formach komunikacji elektronicznej, czyli odnoszącą się do wysyłania wiadomości przez danego użytkownika do innego, wcześniej zdefiniowanego, użytkownika, lecz na metodzie funkcjonalnej – odnoszącą się do rozpowszechniania.

oraz

Jeżeli komunikat wchodzi w zakres zastosowania art. 13 ust. 1 dyrektywy 2002/58, jest dozwolony pod warunkiem uzyskania wcześniejszej zgody ze strony jego odbiorcy. Z art. 2 akapit drugi pkt f) dyrektywy 2002/58 w związku z art. 94 ust. 2 rozporządzenia 2016/679 wynika, że zgoda ta powinna spełniać wymogi wynikające z art. 2 lit. h) dyrektywy 95/46 lub też z art. 4 pkt 11 tego rozporządzenia w zależności od tego, czy ratione temporis do okoliczności faktycznych sporu w postępowaniu głównym znajdzie zastosowanie pierwszy czy drugi z tych przepisów. Odnośnie do roszczenia o zaniechanie niedozwolonej praktyki handlowej, przy założeniu, że postępowanie wszczęte przez StWL zmierza do spowodowania zaniechania takiego działania przez eprimo w przyszłości, nie można wykluczyć, że rozporządzenie 2016/679 znalazłoby zastosowanie ratione temporis w ramach sporu w postępowaniu głównym, choć okoliczności będące podstawą tego sporu miały miejsce przed dniem 25 maja 2018 r., czyli dniem, od którego stosuje się to rozporządzenie, ponieważ dyrektywa 95/46 została uchylona ze skutkiem na ten sam dzień(13). Chodzi zatem o oświadczenie woli, które powinno być co najmniej dobrowolne, konkretne i świadome(14)

Trybunał Sprawiedliwości Unii Europejskiej podzielił powyższe zapatrywanie argumentując:

Z technicznego punktu widzenia, na stronie internetowej odwiedzanej przez użytkownika takiej bezpłatnej elektronicznej skrzynki pocztowej w odpowiednim miejscu skrzynki odbiorczej został zintegrowany kod JavaScript serwera reklamowego (TAG). W rezultacie w momencie otwarcia strony do serwera reklamowego była wysyłana prośba (Adrequest) o wyświetlenie losowo wybranego banera z istniejącej puli reklamodawców, na skutek czego wybrany baner był wyświetlany w skrzynce odbiorczej użytkownika. Jeśli użytkownik ten klika na wyświetlaną reklamę, dane o wejściu są przekazywane do serwera reklamowego, który rejestruje to kliknięcie i przekierowuje przeglądarkę na stronę reklamodawcy.

oraz

Ta funkcja usługi poczty elektronicznej odnosi się do wejścia danej wiadomości reklamowej do skrzynki odbiorczej konta użytkownika usługi poczty elektronicznej w sposób odmienny, niż ma to miejsce w przypadku zwykłych e‑maili: ta reklama, wyświetlająca się w formie zbliżonej do e‑maili, może zostać usunięta z ich listy, ale nie można jej zarchiwizować, zmienić jej, przekazać jej dalej czy też odpowiedzieć na nią. Wreszcie nie była ona również uwzględniana w liczbie nieprzeczytanych e‑maili i nie zajmowała pamięci skrzynki odbiorczej.

a także

W tym względzie z art. 2 akapit drugi lit. f) dyrektywy 2002/58 w związku z art. 94 ust. 2 rozporządzenia 2016/679 wynika, że zgoda ta powinna spełniać wymogi wynikające z art. 2 lit. h) dyrektywy 95/46 lub też z art. 4 pkt 11 tego rozporządzenia w zależności od tego, czy do okoliczności faktycznych sporu w postępowaniu głównym znajdzie ratione temporis zastosowanie pierwszy czy drugi z tych przepisów.

i

Zgodnie z art. 2 lit. h) dyrektywy 95/46 pojęcie „zgody” jest zdefiniowane jako „konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”.

Reasumując musi upłynąć jeszcze dużo czasu, aby udało się uchwalić przepisy Rozporządzenia e-privacy, które przybliżą prawo do obecnej rzeczywistości, a nie tej, w której pisano Dyrektywę 2002/58/WE.

Niestety w zakresie czy to przekazywania informacji handlowej (obecny art. 10 UŚUDE) czy też wykorzystywania telefonów w celach marketingu bezpośredniego (obecny art. 172 Prawa telekomunikacyjnego) nie wiele się zmieni z wejściem Prawa komunikacji elektronicznej, której jest już tuż tuż za rogiem.

Jako pierwsi publikujemy pełną treść Uchwały Krajowej Rady Sądownictwa z października 2021 r. dotyczącą naruszenia ochrony danych osobowych.

Podstawą wydawania przedmiotowej uchwały przez KRS jest zarówno ustawa o KRS (art. 3 ust. 2 pkt. 10) jak i Prawo ustroju o sądach powszechnych (art. 175dd § 1 pkt 3 oraz art. 175dd § 3 pkt 6).

Zgodnie z treścią Uchwały KRS przeprowadził postępowanie w przedmiocie przetwarzania danych osobowych przez pewien Sąd Apelacyjny i stwierdził:

“naruszenie w dniach od 14 do 21 października 2021 r. przez Sąd Apelacyjny w Gdańsku jako administratora danych osobowych przepisów art. 5 ust. 1 lit. a) lit. b) lit. c), art. 6 ust. 1 lit. e) i ust. 3, art. 9 ust. 1, art. 25 ust. 2 i art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej RODO w zw. z art. 175db USP i art. l75a § 1 pkt 1 USP polegające na:

1) naruszeniu ochrony danych osobowych przez nieuprawnione przetwarzanie i nieuprawnione ujawnianie danych osobowych X.Z. i Y.W.

2) zaniechaniu wykonania obowiązku administratora zgłoszenia naruszenia danych osobowych Krajowej Radzie Sądownictwa jako organowi nadzorczemu”

Zanim jednak przejdziemy do stanu faktycznego, który według KRS doprowadził do powyżej opisanego naruszenia warto wskazać rozważania tego podmiotu w zakresie samego uprawnienia do wydania takiej uchwały.

Krajowa Rada Sądownictwa zauważa, że:

“Krajowa Rada Sądownictwa w oparciu o przepis art. 3 ust. 2 pkt. 10 ustawy z dnia 12 maja 2011 r. o Krajowej Radzie Sądownictwa oraz art. 175dd § 1 pkt 3 UPS sprawuje nadzór nad przetwarzaniem danych osobowych przez sądy apelacyjne w ramach prowadzonych przez nie postępowań. Zgodnie z art. 50 ust. 3 RODO organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania danych dokonywanych przez sądy w ramach sprawowania przez niego wymiaru sprawiedliwości. Przepis ten powinien być rozumiany zgodnie z motywem 20 RODO, w którym zaznaczono, że właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości. Powinna istnieć możliwość powierzenia nadzoru nad takimi operacjami przetwarzania danych specjalnym organom systemie wymiaru sprawiedliwości państwa członkowskiego. Prezes Urzędu Ochrony danych osobowych nie jest właściwy do nadzorowania operacji przetwarzania danych osobowych przez sądy apelacyjne w ramach prowadzonych przez sądy apelacyjne postępowań mieszczących się w sprawowaniu wymiaru sprawiedliwości”

Jednak co ważniejsze to KRS widzi regulację USP wskazujące na to, że jest organem, o którym mowa w zdaniu drugim motywu 20 RODO, które stanowi:

“Powinna istnieć możliwość powierzenia nadzoru nad takimi operacjami przetwarzania danych specjalnym organom w systemie wymiaru sprawiedliwości państwa członkowskiego, organy te powinny w szczególności zapewnić przestrzeganie przepisów niniejszego rozporządzenia, zwiększać w wymiarze sprawiedliwości wiedzę o jego obowiązkach wynikających z niniejszego rozporządzenia oraz rozpatrywać skargi związane z takim operacjami przetwarzania danych”.

W związku z tym KRS w Uchwale wskazuję, że: 

“Krajowa Rada sądownictwa jako organ system wymiaru sprawiedliwości, któremu powierzono sprawowanie nadzoru nad operacjami przetwarzania danych osobowych stosuje następujące środki stanowiące sankcje za naruszenie przez administratora lub podmiot przetwarzający przepisów RODO: ostrzeżenie (art. 175dd § 3 pkt 5 USP), wezwanie administratora do dostosowania przetwarzania danych osobowych do obowiązujących przepisów (art. 175dd § 3 pkt 7 USP) oraz upomnienie (art. 175dd § 3 pkt 6 USP)”.

Wracając do samego naruszenia ochrony danych osobowych polegało ono zdaniem KRS’u na nie przekazaniu przez Sąd Apelacyjny w Gdańsku wniosku podlegającego wyłącznej właściwości Izby Kontroli i SPraw Publicznych Sądu Najwyższego:

“Sąd rozpoznający sprawę przekazuje niezwłocznie wniosek prezesowi Izby Kontroli nadzwyczajnej i spraw publicznych celem nadanie mu dalszego biegu na zasadach określonych w odrębnych przepisach. Przepis ten określa właściwość Izby Kontroli nadzwyczajnej i spraw publicznych Sądu Najwyższego, jak również definitywnie wyłącza z właściwości innych sądów rozpoznawanie przedmiotowych wniosków lub oświadczeń. w polskim porządku prawnym brak jest jakichkolwiek odmiennej podstawy prawnej pozwalającej na procedowanie innego organu, w tym przetwarzania danych osobowych, we własnym zakresie w sytuacji faktycznej lub prawnej niemożności rozpoznania sprawy przez Sąd Najwyższy”.

“Przetwarzanie danych osobowych przez sąd Apelacyjny w Gdańsku było zatem nieuprawnione, nie znajdowało bowiem podstaw w art. 6 ust. 1 lit e) RODO, naruszało zasadę legalności – art. 5 ust. 1 lit a) RODO, zasadę ograniczenia celu – art. 5 ust. 1 lit. b) RODO, zasadę minimalizacji danych – art. 5 ust. 1 lit c) RODO. Stanowiło przy tym naruszenie art. 190 ust. 1 Konstytucji RP przez niezastosowanie wyroku Trybunału Konstytucyjnego z 14 lipca 2021 r. (P 7/20, Dz. U. 2021.1309 z dnia 2021.07.16, OTK-A 2021, nr 49), art. 175db USP zakreślającym ramy przetwarzania danych osobowych do sprawowania wymiaru sprawiedliwości wyłącznie w sprawach, w których dany sąd jest uprawniony do prowadzenia sprawy.

Naruszenie ochrony danych osobowych było działaniem zamierzonym wewnętrznym, o charakterze naruszenia poufności danych. dotyczyło danych osobowych identyfikacyjnych, jak również danych osobowych o charakterze szczególnie osobistym, jak utrzymywanie kontaktów towarzyskich, powierzone i wykonywane zadania pracownicze, kompetencje zawodowe i związany z nim dorobek”.

Nadto zdaniem organu system wymiaru sprawiedliwości, któremu powierzono nadzór nad przestrzeganiem zgodności z prawem pewnych operacji przetwarzania danych osobowych zaniechanie administratora polegało także na:

“Sąd Apelacyjny w Gdańsku nie wypełnił obowiązku przewidzianego w art. 33 ust. 1 RODO, zgodnie z którym w przypadku naruszenia ochrony danych osobowych, jako administrator był zobowiązany bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić i organowi nadzorczemu Krajowej Radzie Sądownictwa”

oraz 

“Kontekst przetwarzania danych z pogwałceniem przepisów rangi konstytucyjnej, świadomym i celowym pominięciem wyroku Trybunału Konstytucyjnego, naruszeniem kompetencji Krajowej Rady Sądownictwa i prezydenta Rzeczypospolitej Polskiej do przetwarzania danych kandydatów na urząd sędziego, właściwości Sądu Najwyższego do rozpoznania sprawy, charakter naruszenia danych osobowych stanowiących niedopuszczalne przetwarzanie danych w rozumieniu art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781), a tym samym wyczerpującego znamiona przedmiotowe przestępstwa w tym ogólnego przestępstwa urzędniczego art. 231 Kodeksu karnego, stanowi o rażąco wysokim naruszeniu ochrony danych osobowych”.

Przedstawiona sprawa kończy się dla administratora tj. Sądu Apelacyjnego w Gdańsku upomnieniem, choć mam wrażenie, że ostatni akapit jest zapowiedzią dalszych kroków Krajowej Rady Sądownictwa.

 

 

Już 18 listopada o godzinie 10:00 serdecznie zapraszamy na webinar online „RODO w pytaniach prejudycjalnych – czego będą dotyczyć kolejne wyroki TSUE”, który poprowadzi pomysłodawca i założyciel serwisu Judykatura.pl – Piotr Liwszic.

Podczas webinaru dowiesz się więcej na temat przetwarzania danych osobowych po wygaśnięciu zobowiązania, a także czy można je przetwarzać w celu ustalenia, dochodzenia i obrony przed roszczeniami oraz innych podstawach prawnych występujących w takich przypadkach.

Dodatkowo w czasie wydarzenia – na konkretnych przypadkach – dowiesz się jak w codziennej pracy wykorzystać materiały zebrane w serwisie Judykatura.pl

Data: 18.11.2021 (czwartek)

Godzina: 10:00 – 10:45

Prowadzący: Piotr Liwszic 

Aby wziąć udział w wydarzeniu – zapisz się do newslettera!

ZAPISZ SIĘ DO NEWSLETTERA

Judykatura.pl to:

  • Unikatowa wyszukiwarka zawierająca ponad 2000 orzeczeń, wytycznych oraz decyzji administracyjnych związanych z Ochroną Danych Osobowych (RODO);
  • Platforma łącząca orzecznictwo sądów administracyjnych, sądów powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi;
  • Aktualizowana na bieżąco baza orzeczeń dzięki której znajdziesz argumenty do swojej sprawy dotyczącej RODO;
  • Platforma wiedzy, która powstała dla Inspektorów Ochrony Danych oraz specjalistów odpowiedzialnych za przestrzeganie prawa ochrony danych osobowych.

Dla kogo jest webinar:

Webinar przeznaczony jest dla wszystkich osób, które na co dzień zajmują się Danymi Osobowymi – zapraszamy: Administratorów Danych Osobowych, Inspektorów Ochrony Danych, ekspertów oraz specjalistów, adwokatów i prawników, którzy specjalizują się w ochronie danych osobowych.

Aby wziąć udział w wydarzeniu – zapisz się do newslettera!

ZAPISZ SIĘ DO NEWSLETTERA

Agenda webinaru:

W czasie wydarzenia online zapoznasz się z:

  1. Prawo do odszkodowania
  2. Przetwarzanie danych wrażliwych
  3. Status Inspektora Ochrony Danych

 

Wydarzenie jest bezpłatne dla uczestników, a aby wziąć w nim udział wystarczy zapisać się do newslettera Judykatura.pl i zyskać możliwość otrzymywania ważnych wniosków z całego orzecznictwa RODO.

ZAPISZ SIĘ DO NEWSLETTERA

Jeżeli nie chcesz zapisać się do Newslettera, a chcesz wziąć udział w wydarzeniu to napisz wiadomość e-mail na adres: wydarzenia@judykatura.pl, a wyślemy Ci bezpośredni link do wydarzenia.

Jesteś już w naszej grupie newsletterowej to zaplanuj wydarzenie w swoim kalendarzu – nic więcej nie musisz robić.

Link do wydarzenia zostanie wysłany na adres mailowy na 3 dni przed wydarzeniem (15.11.2021) oraz w dniu wydarzenia (18.11.2021) o godzinie 9.30.

Zachęcamy Państwa do przesyłania pytań i tematów związanych z RODO – na część z nich odpowiemy w trakcie webinaru pokazując możliwości Judykatura.pl.

Pytania mogą Państwo przesyłać za pośrednictwem Messengera albo wiadomości e-mail na adres wydarzenia@judykatura.pl