Decyzja Prezesa Urzędu Ochrony Danych Osobowych z listopada 2021 r. nie ostała się w całości przed Wojewódzkim Sądem Administracyjnym w Warszawie. Prezes UODO, w pierwszym punkcie, swojej decyzji nakazał osobie fizycznej spełnienie obowiązku informacyjnego na rzecz innej osoby fizycznej tj. swojego sąsiada. Konieczność wykonania obowiązku informacyjnego wynika z faktu stosowania przez osobę fizyczną monitoringu wizyjnego, który obejmował część wspólną nieruchomości.

W drugim punkcie decyzji Prezes UODO odmówił uwzględnienia wniosku osoby nagrywanej o to, aby nakazać zaprzestania takiego przetwarzania danych.

W uzasadnieniu decyzji Prezes UODO wskazał, że:

zainstalowany przez skarżącą monitoring wizyjny wykonywany jest w czasie rzeczywistym. Skarżona w swoich wyjaśnieniach podnosi, że nie przetwarza danych osobowych skarżącego, bowiem nie utrwala nagrywanego obrazu na żadnym nośniku.

w ocenie organu monitoring wizyjny w czasie rzeczywistym stanowi przetwarzanie danych osobowych.

w wyroku Trybunału Sprawiedliwości z dnia […] grudnia 2014 r. w sprawie […] F. R. przeciwko […] pro ochranu osobnich udaju (nie rozumiem anonimizacji daty dziennej wydania orzeczenia oraz samej sygnatury tj. 11 grudnia, C-212/13 – uwaga autora P.L.) orzecz, wskazano, że “(…) przetwarzanie danych osobowych jest objęte odstępstwem przewidzianym w art. 3 ust. 2 tiret drugie dyrektywy 95/46 jedynie w wypadku, gdy jest ono wykonywane w ramach sfery o czysto osobistym lub domowym charakterze, należącej do osoby, która dokonuje tego przetwarzania.

Organ wskazał też, że podstawą przetwarzania danych osobowych z monitoringu w czasie rzeczywistym jest prawnie uzasadniony interes:

zasięgiem wykonywanego przez skarżoną monitoringu wizyjnego objęta jest przestrzeń wspólna nieruchomości, tj. ogród, podwórze oraz wjazd na posesję. Wobec powyższego, w ocenie organu, dochodzi lub może dojść również do przetwarzania przez skarżoną danych osobowych osób trzecich, w tym danych osobowych skarżącego, który jest współwłaścicielem monitorowanej nieruchomości.

jednocześnie zgromadzony materiał dowodowy wykazał, że pomiędzy stronami postępowania zaistniał konflikt. Monitoring został zainstalowany przez skarżącą w związku z ochroną życia, zdrowia i mienia (w tym w związku z wystąpieniem aktów wandalizmu). Zdaniem organu zagrożenie jest rzeczywiste i w przeszłości zdarzały się już incydenty, które w opinii skarżącej można oceniać w kategoriach wandalizmu.

na terenie nieruchomości dochodziło również do usychania drzew, zniszczenia nasadzeń, a także wyrzucania na podjazd ostrych śrub co groziło przebiciem opon samochodowych.

do przetwarzania danych osobowych za pomocą monitoringu wizyjnego doszło w celu uzasadnionego interesu polegającego na zapewnieniu bezpieczeństwa i ochrony mienia skarżonej. Podstawą prawną przetwarzania danych osobowych w zakresie wizerunku jest art. 6 ust. 1 lit. f RODO.

I w tym zakresie osoba nagrywana złożyła skargę do WSA w Warszawie.

W uzasadnieniu swojego orzeczenia Sąd wskazał, że:

organ prawidłowo uznał, że w niniejszej sprawie są podstawy do rozstrzygnięcia sprawy w oparciu o przepisy RODO, mimo wyłączenia określonego w art. 2 ust. 2 lit c RODO. Przepis ten stanowi, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

Instalacja monitoringu stosowania przez B. W. obejmowała teren nieruchomości wspólnej jej i skarżącego, stąd też nie można było uznać, że przetwarzanie danych osobowych następowało w tym wypadku “w ramach czynności o czysto osobistym lub domowym charakterze”.

WSA w Warszawie uchylając, decyzję Prezesa UODO, w zakresie podstawy prawnej przetwarzania danych osobowych z takiego rodzaju monitoringu podzielił stanowisko organy, co do podstawy prawnej, ale wytknął braki uzasadnienia takiego stanowiska:

zachodziły zatem przesłanki aby uznać, że przetwarzanie przez B. W. danych osobowych skarżącego było niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora

z uzasadnienia zaskarżonej decyzji nie wynika jednak, aby organ dokonał oceny czy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Organ nie dokonał wyważenia dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora oraz podstawowych praw oraz wolności podmiotu danych.

organ stwierdził jedynie, że w niniejszej sprawie dochodzi lub może dojść do przetwarzania danych osobowych skarżącego

konieczne w tej sytuacji jest dokonanie pogłębionej analizy wszystkich okoliczności sprawy i dokonanie oceny czy w tym przypadku nadrzędny charakter wobec prawnie uzasadnionych interesów administratora mają interesy lub podstawowe prawa i wolności skarżącego

Z opinii Rzecznika Generalnego z 16 marca 2023 r. wynika bardzo wiele istotnych wniosków w zakresie scoringu, podejmowania zautomatyzowanej decyzji oraz podstaw prawnych takiego działania.

Pytanie prejudycjalne zadane Trybunału Sprawiedliwości Unii Europejskiej dotyczyło:

• czy art. 22 ust. 1 RODO należy interpretować w ten sposób, że już samo zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącego zdolności osoby, której dane dotyczą, do obsługi kredytu w przyszłości stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby jest przekazywana przez administratora danych innemu administratorowi, a wartość ta ma istotne znaczenie dla tego innego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą?

 

• czy art. 6 ust. 1 i art. 22 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie regulacji w prawie krajowym, zgodnie z którą wykorzystanie wartości prawdopodobieństwa dotyczącego określonego przyszłego zachowania osoby fizycznej – w tym przypadku dotyczącego wypłacalności osoby fizycznej i jej gotowości do zapłaty z uwzględnieniem informacji o jej wierzytelnościach – w celu podjęcia decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą (scoring) jest dopuszczalne tylko wtedy, gdy są spełnione pewne dalsze warunki, które zostały bardziej szczegółowo określone w uzasadnieniu odesłania?

Pewna osoba fizyczna nie uzyskała kredytu z powodu oceny zdolności kredytowej przeprowadzonej przez spółkę SCHUFA.

Ta ostatnia jest spółką prawa prywatnego, która prowadzi biuro informacji kredytowej, dostarczając swoim klientom informacji na temat zdolności kredytowej konsumentów.

W tym celu SCHUFA przeprowadza oceny zdolności kredytowej, w których ustala, na podstawie pewnych cech osoby, w oparciu o metodę matematyczno-statystyczną, prognozę dotyczącą prawdopodobieństwa wystąpienia zachowania, takiego jak spłata kredytu.

SCHUFA uważa, że nie jest zobowiązana do ujawnienia swoich metod obliczeniowych, ponieważ są one objęte tajemnicą zawodową i handlową. Ponadto SCHUFA uważa, że udziela informacji jedynie swoim kontrahentom, którzy podejmują faktyczne decyzje dotyczące umów kredytu.

W decyzji wydanej na skutek tej skargi HBDI uznał, że nie ma podstaw do podjęcia dalszych działań przeciwko spółce, ponieważ spełniała ona wymogi niemieckiej federalnej ustawy o ochronie danych.

Sąd ten uważa, że dla potrzeb postępowania głównego istotne jest ustalenie, czy działalność podmiotów świadczących usługi w zakresie informacji kredytowej, w ramach której wyliczają one wartości scoringu dotyczące osób fizycznych i przekazują je, bez dalszych zaleceń lub komentarzy, osobom trzecim, wchodzi w zakres stosowania art. 22 ust. 1 RODO.

W odniesieniu do rzekomego ryzyka zastosowania drugiego środka ochrony prawnej dla osoby, której dane dotyczą, należy zauważyć, że wbrew temu, co podnosi SCHUFA w swoich uwagach, okoliczność, że skarżąca najpierw wszczęła postępowanie przed sądami powszechnymi, a następnie przed odsyłającym sądem administracyjnym, nie stoi na przeszkodzie dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym. W tych dwóch postępowaniach skarżąca skorzystała ze środków ochrony prawnej przewidzianych w art. 78 i 79 RODO, czyli w przepisach, które gwarantują prawo do skutecznego środka ochrony prawnej przeciwko odpowiednio organowi nadzorczemu i administratorowi. Jako że te środki ochrony prawnej współistnieją w sposób autonomiczny, a jeden nie jest zależny od drugiego, mogą one być stosowane równolegle(9). Nie można zatem zarzucić skarżącej żadnej nieprawidłowości w obronie jej praw chronionych przez RODO.

Rzecznik Generalny TSUE wskazał:

Wręcz przeciwnie, jak już wyjaśniłem, w świetle art. 78 i 79 RODO oczywiste jest, że RODO nie stoi na przeszkodzie takiemu systemowi środków ochrony prawnej, pozostawiając państwu członkowskiemu odpowiedzialność za wyznaczanie właściwych sądów i określanie zasad postępowań sądowych, przy pełnym poszanowaniu zasady autonomii proceduralnej.

W tym względzie należy zauważyć, że „scoring” przeprowadzony przez spółkę SCHUFA mieści się w definicji prawnej zawartej w art. 4 pkt 4 RODO, ponieważ procedura ta wykorzystuje dane osobowe do oceny niektórych aspektów dotyczących osób fizycznych w celu analizy lub przewidywania okoliczności dotyczących ich sytuacji ekonomicznej, wiarygodności i prawdopodobnego zachowania.

Chociaż RODO nie definiuje terminu „skutki prawne” ani wyrażenia „w podobny sposób istotnie”, to jednak użyte sformułowanie wyraźnie wskazuje, że tylko skutki o poważnym znaczeniu będą objęte tym przepisem. W tym względzie należy na wstępie zwrócić uwagę, że motyw 71 RODO wyraźnie wymienia „automatyczne odrzucenie elektronicznego wniosku kredytowego” jako typowy przykład decyzji wpływającej „znacząco” na osobę, której dane dotyczą.

W rezultacie uważam, że biorąc pod uwagę sytuację, w jakiej znajduje się skarżąca, przesłanki tego przepisu są spełnione w niniejszej sprawie, niezależnie od tego, czy nacisk zostanie położony na prawne czy ekonomiczne konsekwencje odmowy udzielenia kredytu.

W konsekwencji należy uznać, że wyliczenie wartości scoringu, jako czynność wykonywana przez spółkę SCHUFA, „opiera się wyłącznie na zautomatyzowanym przetwarzaniu”.

Jak już bowiem wskazałem, „decyzja” w rozumieniu art. 22 ust. 1 RODO może wywoływać „skutki prawne” albo wpływać na osobę, której dane dotyczą „w podobny sposób”, co oznacza, że dana „decyzja” może wywoływać skutki niekoniecznie prawne, lecz raczej ekonomiczne i społeczne

Rzecznik Generalny TSUE wskazał:

w mojej ocenie nie sposób udzielić kategorycznej odpowiedzi na to pytanie, gdyż kwalifikacja zależy od okoliczności każdego konkretnego przypadku. Ściślej rzecz ujmując, kluczowe znaczenie ma sposób, w jaki zorganizowana jest procedura podejmowania decyzji. Procedura ta obejmuje zazwyczaj kilka etapów, takich jak profilowanie, wyliczenie wartości scoringu i sama decyzja kredytowa.

W przypadku, gdy scoring ma być przeprowadzany bez jakiejkolwiek ingerencji ludzkiej, która, w razie potrzeby, mogłaby zweryfikować jego wynik i prawidłowość decyzji podejmowanej w stosunku do osoby ubiegającej się o kredyt, logiczne wydaje się uznanie, że sam scoring stanowi „decyzję”, o której mowa w art. 22 ust. 1 RODO.

Zważywszy, że, po pierwsze, art. 22 ust. 1 RODO wymaga, aby rzeczona decyzja opierała się „wyłącznie” na zautomatyzowanym przetwarzaniu(18), a po drugie, że brzmienie przepisu zasadniczo stanowi granicę jakiejkolwiek wykładni, wydaje się konieczne, aby zautomatyzowane przetwarzanie pozostało jedynym elementem uzasadniającym podejście instytucji finansowej wobec osoby ubiegającej się o kredyt.

Sąd odsyłający wyjaśnia również, że chociaż osoba trzecia nie musi uzależniać swojej decyzji wyłącznie od wartości scoringu, „zazwyczaj czyni to jednak w znacznym stopniu”. Sąd ten dodaje, że „można odmówić udzielenia kredytu pomimo zasadniczo wystarczającej wartości scoringu (z innych powodów, takich jak brak zabezpieczenia lub wątpliwości co do powodzenia inwestycji, która ma być finansowana), ale niewystarczająca wartość scoringu prowadzi do odmowy udzielenia kredytu w niemalże każdym przypadku, przynajmniej w obszarze kredytów konsumenckich, nawet jeżeli inwestycja wydaje się poza tym opłacalna”.

Rzecznik Generalny TSUE wskazał:

moim zdaniem już te wymagania wykluczają ewentualny obowiązek ujawniania algorytmu, ze względu na jego złożoność. Przydatność przekazania szczególnie złożonej formuły bez dołączenia niezbędnych wyjaśnień byłaby bowiem wątpliwa. W tym względzie należy zwrócić uwagę na motyw 58 RODO, z którego wynika, że zgodność z wymogami wymienionymi powyżej jest szczególnie istotna „[w sytuacji, gdy] złożoność technologiczna działań sprawia, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu”.

Z przedstawionych powodów uważam, że obowiązek dostarczenia „istotnych informacji o zasadach [podejmowania decyzji]” należy rozumieć w ten sposób, że obejmuje on wystarczająco szczegółowe wyjaśnienia dotyczące metody zastosowanej do wyliczenia wartości scoringu oraz przyczyn, które doprowadziły do określonego wyniku. Ogólnie rzecz biorąc, administrator danych powinien przekazać osobie, której dane dotyczą ogólne informacje, w szczególności na temat czynników branych pod uwagę w procesie podejmowania decyzji oraz na temat ich wagi na poziomie zbiorczym, które są również przydatne do zakwestionowania wszelkich decyzji w rozumieniu art. 22 ust. 1 RODO.

W świetle powyższych rozważań uważam, że należy wykluczyć art. 22 ust. 2 lit. b) RODO jako podstawę prawną przyjęcia krajowego środka legislacyjnego, takiego jak ten przewidziany w § 31 BDSG.

Związek „sprawowania władzy publicznej” z motywami 45, 55 i 56 RODO wskazuje raczej, że przepis ten odnosi się, w pierwszej kolejności do organów publicznych w ścisłym znaczeniu, jak również do osób prawnych sprawujących część władzy publicznej, a w drugiej kolejności do osób prawnych prawa prywatnego, które przetwarzają dane w interesie publicznym, na przykład w dziedzinach „zdrowia publicznego”, „ochrony socjalnej” i „zarządzania usługami opieki zdrowotnej”, wyraźnie wymienionych w motywie 45. Innymi słowy, przepis ten dotyczy klasycznych zadań państwa.

Wykładnia ta wydaje mi się wciąż aktualna, gdyż przepis ten został zredagowany w niemal identyczny sposób jak przepis, który go zastąpił, czyli art. 6 ust. 1 lit. f) RODO(49). Tymczasem, jak sugeruje sąd odsyłający, wydaje się, że prawodawca krajowy miał właśnie taki cel, ponieważ w zakresie, w jakim § 31 BDSG zezwala na stosowanie wartości scoringu w sektorze finansowym, interesy gospodarcze sektora finansowego są traktowane priorytetowo w stosunku do prawa do ochrony danych osobowych, bez uwzględnienia szczególnych okoliczności konkretnego przypadku. Takie podejście w sposób niedopuszczalny rozszerzyłoby zakres stosowania art. 6 RODO.

Newsletter

W świetle powyższych rozważań Rzecznik Generalny proponuję Trybunałowi, by na pytania przedstawione przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) odpowiedział następująco:

artykuł 22 ust. 1 RODO należy interpretować w ten sposób, że zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącej zdolności osoby, której dane dotyczą, do obsługi kredytu w przyszłości już stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby, jest przekazywana przez administratora danych innemu administratorowi, a wartość ta, zgodnie z ustaloną praktyką, ma istotne znaczenie dla tego ostatniego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą.

artykuł 6 ust. 1 i art. 22 RODO należy interpretować w ten sposób, że nie stoją one na przeszkodzie przepisom prawa krajowego dotyczącym profilowania, jeżeli profilowanie to jest inne niż przewidziane w art. 22 ust. 1 tego rozporządzenia. Jednakże w tym przypadku przepisy krajowe muszą spełniać warunki określone w art. 6 RODO. W szczególności muszą one opierać się na odpowiedniej podstawie prawnej, której sprawdzenie należy do sądu krajowego.

Kilka dni temu Europejski Trybunał Praw Człowieka orzekł, że Węgry złamały prawo do poszanowania życia prywatnego i rodzinnego poprzez przyjęcie prawa nakazującego urzędowi skarbowemu publikowanie danych osobowych dłużników podatku.

W sprawie L.B. v. Węgry Wielka Izba stwierdziła, stosunkiem piętnastu głosów do dwóch, że w związku z naruszeniem art. 8 Europejskiej Konwencji Prawa Człowieka pozwane państwo ma zapłacić 20 000 euro. 

L.B. v. HUNGARY

Sprawa, której sentencję przedstawiono na początku, dotyczyła publikacji danych osobowych L.B. w wykazie “głównych” dłużników podatkowych na stronie Krajowego Urzędu Skarbowo-Celnego.

Krajowe przepisy podatkowe obligowały organ administracji do publikowania danych osobowych każdego dłużnika, którego zaległości podatkowe przekraczały 10 milionów forintów węgierskich.

Po wyczerpaniu wszystkich krajowych środków odwoławczych decyzja administracyjna Urzędu Skarbowego stała się prawomocna. W 2014 r. organ ten opublikował na swojej stronie internetowej dane osobowe skarżącego tj. imię, nazwisko, adres zamieszkania.

W lipcu 2019 r. dane osobowe zostały usunięte ze strony ze względu na przedawnienie zaległości podatkowej.

ETPC w obszernym uzasadnieniu swojego wyroku omówił orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej dotyczące publikowania danych osobowych w internie.

W sprawie Lindqvist (wyrok z dnia 6 listopada 2003 r., C-101/01, EU:C:2003:596) TSUE orzekł, że odwoływanie się na stronie internetowej do różnych osób i identyfikowanie ich za pomocą nazwiska lub inne środki, na przykład podanie numeru telefonu lub informacji dotyczących warunków pracy i zainteresowań, stanowi przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany w rozumieniu art. 3 ust. 1 dyrektywy o ochronie danych. Zdaniem TSUE to do organów i sądów krajowych odpowiedzialnych za stosowanie ustawodawstwa krajowego wdrażającego dyrektywę należało zapewnienie właściwej równowagi między przedmiotowymi prawami i interesami, w tym prawami podstawowymi chronionymi przez unijny porządek prawny.

C-101/01 – Bodil Lindqvist

W sprawie Volker i Markus Schecke GbR (wyrok z dnia 9 listopada 2010 r., C-92/09 i C-93/09, EU:C:2010:662) TSUE orzekł, że nałożony przez rozporządzenia unijne obowiązek publikowania na dane strony internetowej dotyczące beneficjentów pomocy z unijnych funduszy rolnych i rozwoju obszarów wiejskich, łącznie z ich nazwiskami i uzyskiwanymi dochodami, stanowiło nieuzasadnioną ingerencję w podstawowe prawo do ochrony danych osobowych. Wskazał, że zawodowy charakter czynności, których dotyczą dane, nie implikuje braku prawa do prywatności. Jeśli chodzi o proporcjonalność ingerencji w prawo do prywatności, TSUE orzekł, że nie wydaje się, aby instytucje UE właściwie wyważyły interes publiczny w przejrzystym wykorzystywaniu środków publicznych z prawami, które przysługują osobom fizycznym na mocy art. 8 Karty.

C‑92/09 – Volker und Markus Schecke GbR

W sprawie Manni (wyrok z dnia 9 marca 2017 r., C-398/15, EU:C:2017:197) dotyczącej wpisu danych osobowych osoby fizycznej do publicznego rejestru handlowego, TSUE został wezwany do wyważenia interesu handlowego usunięcie informacji o upadłości byłej firmy osoby fizycznej z interesem publicznym w dostępie do informacji. Uznał, że ochrona pewności prawa, uczciwego handlu, a tym samym prawidłowego funkcjonowania rynku wewnętrznego ma pierwszeństwo przed prawami jednostki wynikającymi z przepisów o ochronie danych. TSUE zauważył również, że „nie można wykluczyć (…), że mogą zaistnieć szczególne sytuacje, w których nadrzędne i prawnie uzasadnione względy związane z konkretnym przypadkiem danej osoby uzasadniają wyjątkowo ograniczenie dostępu do danych osobowych wpisanych do rejestru, po upływu wystarczająco długiego okresu …stronom trzecim, które mogą wykazać szczególny interes w ich konsultacjach”.

C‑398/15

W sprawie Puškár (wyrok z dnia 27 września 2017 r., C-73/16, EU:C:2017:725) TSUE stwierdził, że art. 7 lit. e) dyrektywy 95/46/WE nie stoi na przeszkodzie przetwarzaniu danych osobowych przez organy państwa członkowskiego w celu poboru podatków i zwalczania oszustw podatkowych, takich jak te dokonywane przez sporządzenie wykazu osób, o których mowa w postępowaniu głównym, bez zgody osób, których dane dotyczą.

C‑73/16 – Puškár

W sprawie Latvijas Republikas Saeima (Punkty karne) (wyrok z dnia 22 czerwca 2021 r., C-439/19, EU:C:2021:504) TSUE orzekł, że RODO stoi na przeszkodzie przepisom, które zobowiązują właściwy organ do udostępniania danych do punktów karnych nakładanych na kierowców pojazdów za wykroczenia drogowe dostępnych publicznie, bez konieczności wykazywania przez osobę wnioskującą o dostęp szczególnego interesu w uzyskaniu danych. TSUE stwierdził, że ustawodawca dysponował wieloma metodami, które umożliwiłyby mu osiągnięcie tego celu za pomocą innych środków mniej ograniczających prawa podstawowe osób, których dotyczy, oraz że należało wziąć pod uwagę wrażliwość danych dotyczących punktów karnych oraz o tym, że ich publiczne ujawnienie mogło stanowić poważną ingerencję w prawo do poszanowania życia prywatnego i ochrony danych osobowych, gdyż mogłoby wywołać społeczną dezaprobatę i skutkować stygmatyzacją osoby, której dane dotyczą.

C‑439/19

W luksemburskich rejestrach przedsiębiorstw (wyrok z dnia 22 listopada 2022 r., C-37/20 i C-601/20, EU:C:2022:912) TSUE stwierdził, że przepis dyrektywy z 2018 r. spółek zarejestrowanych na terytorium Państw Członkowskich był w każdym przypadku dostępny dla każdego przeciętnego obywatela, był nieważny. Uznał, że dostęp ogółu społeczeństwa do informacji stanowi ingerencję w prawa podstawowe zagwarantowane w art. 7 i 8 Karty UE (prawo do poszanowania życia prywatnego i ochrony danych osobowych).

C‑37/20

ETPC wskazał, że:

z informacji dostępnych Trybunałowi wynika, że w dwudziestu jeden z trzydziestu  czterech Układających się Państw objętych badaniem (Albania, Azerbejdżan, Bośnia i  Hercegowina, Chorwacja, Estonia, Finlandia, Francja, Grecja, Irlandia, Łotwa, Litwa,  Macedonia Północna, Polska, Portugalia, Rumunia, San Marino, Serbia, Słowacja, Słowenia,  Hiszpania i Wielka Brytania), organy publiczne mogą, aw niektórych przypadkach muszą  ujawniać publicznie dane osobowe dłużników podatkowych. 

publikacja w tych krajach podlega pewnym warunkom dotyczącym na przykład tego, czy  dłużnik podatkowy jest osobą fizyczną czy prawną (Finlandia, Francja i Rumunia) lub czy  dług podatkowy przekracza określony limit (Bośnia i Hercegowina, Chorwacja , Estonia,  Grecja, Łotwa, Litwa, Macedonia Północna, Polska, Portugalia, San Marino, Serbia, Słowacja,  Słowenia, Hiszpania i Zjednoczone Królestwo). Przyczyny publikacji mogą być różne, od  „zwykłego” niezłożenia (poprawnego) zeznania podatkowego po stwierdzone oszustwo. W  Austrii, Islandii i Holandii publikacja danych osobowych może mieć miejsce w niektórych  kontekstach związanych ze sprawami podatkowymi innymi niż niepłacenie podatków przez  daną osobę.

Trybunał przypomina, że pojęcie „życia prywatnego” jest pojęciem szerokim,  niepodlegającym wyczerpującej definicji. Może obejmować wiele aspektów  tożsamości fizycznej i społecznej danej osoby:

Artykuł 8 chroni ponadto prawo do  rozwoju osobistego oraz prawo do nawiązywania i rozwijania relacji z innymi ludźmi  i światem zewnętrznym (zob. S. i Marper przeciwko Zjednoczonemu Królestwu [WI],  nr 30562/04 i 30566/04 , § 66, ETPC 2008 i Vukota-Bojić przeciwko Szwajcarii, nr  61838/10, § 52, 18 października 2016 r.). W sprawach rozstrzyganych na podstawie  art. 8 Konwencji Trybunał orzekł również, że reputacja stanowi część tożsamości  osobistej i integralności psychicznej oraz wchodzi w zakres życia prywatnego (zob.  White przeciwko Szwecji, nr 42435/02, § 26 , 19 wrzesień 2006 r. i Pfeifer przeciwko  Austrii, nr 12556/03, § 35, 15 listopada 2007 r.).

Artykuł 8 może jednak mieć  zastosowanie, gdy atak na reputację osoby osiąga pewien poziom powagi i jest  dokonany w sposób powodujący uszczerbek dla osobistego korzystania z prawa do  poszanowania życia prywatnego (zob. Axel Springer AG przeciwko Niemcom [ WI ],  nr 39954/08, § 83, 7 lutego 2012 r. i A. przeciwko Norwegii, nr 28070/06, § 64, 9  kwietnia 2009 r.). Należy podkreślić, że nie można powoływać się na art. 8 w  przypadku, gdy zarzucana utrata dobrego imienia jest przewidywalną konsekwencją  własnych działań, takich jak na przykład popełnienie przestępstwa (zob. Sidabras i  Džiautas przeciwko Litwie, nr 55480 ) /00 i 59330/00, § 49, ETPCz 2004-VIII oraz Axel  Springer AG, cyt. powyżej, § 83).

Newsletter

ETPC uznając, że doszło do naruszenia art. 8 Konwencji wskazał, że:

pozwane państwo nie wykazało , że ustawodawca dążył do znalezienia odpowiedniej równowagi między odpowiednimi sprzecznymi interesami indywidualnymi i publicznymi w celu zapewnienia proporcjonalności ingerencji.

w świetle powyższego, biorąc pod uwagę systematyczną publikację danych podatników, które obejmowały adresy zamieszkania podatników, Trybunał nie przekonany, niezależnie od marginesu swobody pozwanego państwa, że powody, na których oparł się węgierski ustawodawca przy uchwalaniu systemu publikacji na podstawie art. 55 ust. społeczeństwa” oraz że władze pozwanego państwa zachowały właściwą równowagę między wchodzącymi w grę sprzecznymi interesami.

Sąd Ochrony Konkurenci i Konsumentów wypowiedział się w zakresie wykorzystywania przez podmiot będący Call Center danych osobowych pozyskanych od “profesjonalnego brokera danych osobowych (…) sp. z o. o.”.

W sierpniu 2020 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów po przeprowadzeniu postępowania w sprawie praktyk naruszających zbiorowe interesy konsumentów, wszczętego z urzędu wobec (…) spółka z ograniczoną odpowiedzialnością sp. k. z siedzibą w P.:

na podstawie art. 26 ust. 1 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2020 r., poz. 1076 i 1086) uznał za praktykę naruszającą zbiorowe interesy konsumentów, określoną w art. 24 ust. 1 i ust. 2 ustawy o ochronie konkurencji i konsumentów, wykonywanie połączeń telefonicznych do konsumentów dla celów marketingu bezpośredniego pomimo niedysponowania uprzednią zgodą tych konsumentów na ww. działania, co jest sprzeczne z art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j.: Dz. U. z 2019 r. poz. 2460 ze zm.) oraz godzi w zbiorowe interesy konsumentów i nakazał zaniechanie jej stosowania

na podstawie art. 106 ust. 1 pkt 4 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2020 r., poz. 1076 i 1086), nałożył na Przedsiębiorcę w związku z naruszeniem zakazu, o którym mowa w art. 24 ust. 1 i 2 ww. ustawy, w zakresie opisanym w pkt I sentencji decyzji, karę pieniężną w wysokości 189.907,00 zł płatną do budżetu państwa

Spółka złożyła odwołanie do Sądu Okręgowego w Warszawie, XVII Wydział Sąd Ochrony Konkurencji i Konsumentów zarzucając, że:

powódka nie posiadała zgód konsumentów na kontakt marketingowy, podczas gdy takie zgody zostały legalnie pozyskane od profesjonalnego brokera danych osobowych (…) sp. z o. o., co w konsekwencji doprowadziło do błędnego ustalenia faktycznego, że spółka wykonuje połączenia telefoniczne do konsumentów dla celów marketingu bezpośredniego pomimo niedysponowania w tym zakresie ich uprzednią zgodą;

zawarcie umowy sprzedaży danych osobowych z (…) sp. z o. o. było działaniem pozornym, mającym na celu zabezpieczenie spółki przed odpowiedzialnością za bezprawnie wykonywany telemarketing, podczas gdy powódka zawarła umowę z (…) sp. z o. o. w celu legalnego pozyskania zgód na ww. działanie, ponosiła i w dalszym ciągu ponosi z tego tytułu rzeczywisty koszt, korzystała i w dalszym ciągu korzysta z pozyskanych w ten sposób zgód, co doprowadziło do błędnego ustalenia faktycznego, że spółka wykonuje połączenia do konsumentów dla celów marketingu bezpośredniego pomimo niedysponowania uprzednią zgodą tych konsumentów na takie działanie;

wewnętrzne procedury powódki uniemożliwiały konsumentowi ustalenie kontaktującego się z nim podmiotu, podczas gdy powódka zobowiązała swoich pracowników do przekazywania prawdziwych, pełnych oraz kompletnych danych identyfikacyjnych spółki, a ponadto nabyła prawa do korzystania z adresu poczty elektronicznej: (…) od podmiotu poprzednio wykorzystującego numery przypisane spółce, co doprowadziło do błędnego ustalenia faktycznego, że powódka w sposób zamierzony uniemożliwiała konsumentom ustalenie podmiotu, który faktycznie przetwarza ich dane;

Sąd Okręgowy wskazał w uzasadnieniu orzeczenia, że:

Spółka świadczy usługi na rzecz przedsiębiorców z branży sprzedaży bezpośredniej, polegające na umawianiu konsumentów na organizowane przez tych przedsiębiorców pokazy handlowe. Tygodniowo, Spółka zapraszała konsumentów na około 300 tego rodzaju spotkań. Dane konsumentów Spółka pozyskiwała od spółki (…) sp. z o.o. z siedzibą w W..

Na wypadek pojawienia się w trakcie rozmowy z konsumentem, np. zarzutu bezprawnego wykorzystywania danych osobowych przez Spółkę, Przedsiębiorca przygotował dla telemarketerów „gotową” odpowiedź. Tak też, posługując się opracowanym schematem, na pytanie: „skąd macie mój numer?”, telemarketerzy byli zobowiązania do udzielenia odpowiedzi o następującej treści: „Wszelkich informacji na ten temat dowiecie się Państwo pisząc na adres mailowy: (…)”.

Według Sądu nie jest umożliwieniem kontaktu ze podmiotem wykonującym “obdzwonkę” jeżeli podaje się:

Jednak podczas rozmów mających na celu zaproszenie konsumenta na spotkanie organizowane przez zleceniodawców, Spółka nie przekazywała konsumentom danych kontaktowych spółki (…) sp. z o.o. z siedzibą w W. oraz informacji o podmiocie przetwarzającym dane osobowe konsumentów.

Konsumenci, którzy kwestionowali fakt przetwarzania danych osobowych przez spółkę byli informowani o możliwości skontaktowania się w tej sprawie ze Spółką za pośrednictwem poczty elektronicznej. Konsumentom podawano w tym celu adresem internetowym biura obsługi klienta niefunkcjonującej i wykreślonej w grudniu 2019 r. z KRS spółki (…).

Nadto Sąd wypowiada się w kwestii tego jak powinna brzmieć zgoda na marketing bezpośredni czy to przed znowelizowaniem w 2019 r. art. 172 prawa telekomunikacyjnego, czy też obecnie:

zatem rację ma Pozwany, wskazując, że o prawidłowo wyrażonej zgodzie na gruncie przepisu art. 172 ust. 1 w zw. z art. 174 ustawy P.t., zarówno w stanie prawnym przed 4 maja 2019 r., jak i obecnie, można mówić wyłącznie, gdy jest wyrażona w sposób wyraźny i jednoznaczny, posiada walor konkretności – wyrażający zgodę powinien wiedzieć w jakim celu i komu zgodę udziela.

oznacza to, że w jej treści powinny zostać jednoznacznie wskazane kanały komunikacji, które zgoda obejmuje (np. sms, telefon/telekomunikacyjne urządzenie końcowe, e-mail) oraz cel, dla którego została wyrażona. W zamiarze potwierdzenia, należy wskazać, że warunki prawidłowo udzielonej zgody na podstawie prawa telekomunikacyjnego zostały sformułowane w sposób analogiczny do warunków udzielenia zgody na przetwarzanie danych osobowych, w nieobowiązującej już ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych.

Końcowo Sąd wskazał, że:

Przenosząc powyższe na realia niniejszej sprawy, przyjąć należało, że to Powód wykonując połączenia głosowe z urządzeń końcowych do abonentów w celach marketingu bezpośredniego, bezpośrednio odpowiadał za posiadanie zgód tych podmiotów do których kierował ofertę marketingową. (Wyrok S.OKIK w Warszawie z 8.04.2021 r., XVII AmA 37/19 …).

Z powyższego zatem wynika, że to ten Przedsiębiorca, który używa danych osobowych (tu: numerów telefonów) powinien dysponować stosowną zgodą, nawet jeżeli nabył bazę danych od innego Przedsiębiorcy. Skoro Powód dokonał zakupu rekordów z danymi, to zgodnie z przytoczonymi wyżej przepisami prawa, powinien posiadać zgodę na ich wykorzystanie w prowadzonej przez siebie działalności.

Przesądza o tym fakt, iż to Powód prowadzi działalność gospodarczą w oparciu o nabytą bazę danych, zatem Powód powinien mieć możliwość wylegitymowania się przedmiotowymi zgodami. Spółka powinna wykazać, iż posiada wszystkie wymagane prawem zgody, w utrwalonej formie. Przyjęcie, że przedsiębiorca prowadzący działalność wymagającą uzyskania zgód na kontakt w celu marketingowym, może podnosić, że odpowiedzialność za ich posiadanie spoczywa na podmiocie trzecim prowadziłoby by do fikcji ochrony konsumentów przed niezamówionymi kontaktami marketingowymi.

Ponadto, Prezes UOKiK słusznie zwrócił uwagę na okoliczność, iż umowy sprzedaży danych zawarte pomiędzy powodem a (…) sp. o.o. służyły zabezpieczeniu Powoda przed odpowiedzialnością za bezprawne wykorzystywanie telemarketingu.

Opracowana przez Spółkę procedura, na wypadek rozmowy z osobą kwestionującą fakt przetwarzania danych, sprowadzała się do informowania konsumenta o możliwości kontaktu za pośrednictwem poczty elektronicznej. Słusznie podniósł Pozwany, że konsument musi sobie zadać trud, aby ustalić podmiot, który faktycznie przetwarza jego dane w celu sprzeciwienia się tego rodzaju praktyce.

Zatajanie danych, również w ocenie Sądu, wydaje się mieć charakter celowy, szczególnie ze względu na okoliczność, iż telemarketerzy pracujący w spółce, za wyraźnym przyzwoleniem Przedsiębiorcy, mogli przedstawiać się konsumentom fikcyjnymi danymi osobowymi. Warto dodać, że zgoda na posługiwanie się fałszywymi informacjami dotyczyła również nazw przedsiębiorców zapraszających konsumentów na spotkania.

W pewnym szpitalu pielęgniarka odmówiła poddaniu się kolejnemu badaniu testowem na obecność COVID-19.

Swoje zachowanie tłumaczyła tym, że wcześniejsze pobrania wymazów doprowadziły do krwawienia wymazów oraz wskazywała, że “obawiała się ewentualnej ponownej izolacji, czy też kwarantanny w przypadku ponownego pozytywnego wyniku testu” (sic!)

Dyrekcja Szpitala przeprowadzała wielokrotnie próby “polubownego” rozwiązania konfliktu, ale nie przyniosły one pożądanego przez szpital efektu.

Pracodawca nałożył na tego pracownika karę nagany.

Pracownik odwołał się do Sądu Rejonowego wskazując, że:

kara porządkowa została zastosowana z uchybieniem terminu określonego w art. 109 k.p., gdyż jej nałożenie nastąpiło po upływie 2 tygodni od powzięcia wiadomości o rzekomym naruszeniu obowiązku pracowniczego a dodatkowo przed nałożeniem kary nie nastąpiło uprzednie wysłuchanie pracownika

nie miała objawów chorobowych, czy kontaktu z osobą zakażoną, co uzasadniałoby przeprowadzenie testu w kierunku COVID-19

na co dzień stosuje się do wszelkich wytycznych i zaleceń związanych z bezpieczeństwem i higieną pracy a dotychczas na oddziale nie stwierdzono przypadków zakażenia COVID-19, czy to u pacjentów, czy to u personelu

Sąd Rejonowy oddalił powództwo, zasądzając od powódki na rzecz pozwanego 120 zł tytułem zwrotu kosztów zastępstwa procesowego. Sąd ten wskazał, że nałożona kara jest adekwatna do przewinienia powódki, z pewnością nie jest nadmierna i mieści się w katalogu kar porządkowych przewidzianych w Kodeksie pracy.

Apelujący zwrócił również uwagę na zasady przetwarzania danych dot. zdrowia pracownika, zawarte w art. 22 ( 1b) k.p., wedle których pracodawca może przetwarzać dane dot. zdrowia pracownika wyłącznie, gdy przekazanie tych danych osobowych następuje z inicjatywy samego pracownika.

Zgodnie zaś ze stanowiskiem Urzędu Ochrony Danych Osobowych (UODO), w warunkach organizacji testów w zakładzie pracy odbywałoby się to z inicjatywy pracodawcy, co wyłącza możliwość zastosowania tego przepisu jako podstawy prawnej testowania pracowników.

Jednocześnie – w zakresie powyższej zgody – Prezes UODO wskazuje, że „podstawa legalizująca przetwarzanie przez pracodawcę danych o stanie zdrowia pracownika oparta jedynie na przesłance zgody budzi wątpliwości organu nadzorczego z punktu widzenia przepisów nie tylko RODO, ale także przepisów prawa pracy”.

Pełnomocnik powódki wskazał, że przepisy prawa pracy w sposób wyczerpujący wymieniają rodzaje badań, na jakie pracodawca może skierować pracownika, zaliczając do nich wstępne, okresowe i kontrolne profilaktyczne badania z zakresu medycyny pracy. Jednocześnie obowiązujące regulacje nie pozwalają pracodawcy na zobligowanie pracownika do wykonania testu na obecność koronawirusa, przez co odmowa wykonania testu na obecność SARS-CoV-2 nie może być przyczyną zwolnienia jak również żadnych innych konsekwencji ze strony pracodawcy.

Sąd Okręgowy był innego zdania i zmienił zaskarżony wyrok w pkt 1 poprzez uchylenie kary porządkowej nagany.

Według Sądu Okręgowego:

nie można jednak – tak jak przyjął to pozwany – zaakceptować założenia, że stan epidemiczny jest okolicznością, która sama w sobie uprawnia pracodawcę do stosowania procedur, które wiążą się z poddaniem się pracownika badaniu medycznemu czy też mającemu charakter diagnostyczny.

bez wątpienia nie można postawić znaku równości między poddaniem się procedurom, polegającym na stosowaniu środków ochrony osobistej, środków dezynfekcyjnych itp. a poddaniem się szeroko rozumianemu zabiegowi medycznemu, jakim jest wykonanie testu na obecność wirusa.

nakładanie takich obowiązków wyłącznie w oparciu o decyzję pracodawcy, choćby mającą obiektywne i racjonalne uzasadnienie, nie może źródłem prawnej odpowiedzialności pracownika.

W styczniu 2023 r. Naczelny Sąd Administracyjny postanowił wstrzymać wykonanie decyzji Prezesa Urzędu Ochrony Danych Osobowych z września 2021 r. 

Naczelny Sąd Administracyjny wydał przedmiotowe postanowienie na skutek wniosku Ministra Cyfryzacji, który złożył do tego sądu skargę kasacyjną od orzeczeni Wojewódzkiego Sądu Administracyjnego w Warszawie z października 2022 r.

Wskazanym orzeczeniem WSA w Warszawie oddalił skargę Ministra Cyfryzacji na decyzję Prezesa UODO, w której organ ten nakazał:

usunięcie danych osobowych P. L. przetwarzanych za pośrednictwem aplikacji “Kwarantanna domowa” w zakresie ID Obywatela – techniczny identyfikator Obywatela; imię; nazwisko; numer telefonu; deklarowany adres pobytu; lokalizacja, w tym deklarowana lokalizacja odbywania kwarantanny oraz lokalizacja wyznaczona przez system w czasie wykonywania zadania weryfikacji; data końca kwarantanny

Sprawa rozpoczęła się od skargi obywatela skierowanej do Prezesa UODO w zakresie:

nieprawidłowości w procesie przetwarzania jego danych osobowych przez Ministra Cyfryzacji, polegające na odmowie usunięcia jego danych osobowych przetwarzanych za pośrednictwem aplikacji “Kwarantanna domowa”

Organ nadzorczy ustalił, że:

skarżący przebywał na kwarantannie w okresie od […] do […] grudnia 2020 r., korzystając w jej trakcie z aplikacji “Kwarantanna domowa”. Jako przesłankę aktualnego przetwarzania danych osobowych skarżącego w aplikacji “Kwarantanna domowa” Minister Cyfryzacji powołał przedawnienie roszczeń z upływem 6 lat, o których mowa w art. 118 Kodeksu cywilnego, który jest liczony od momentu dezaktywacji konta skarżącego w systemie, tj. […] grudnia 2020 r., a zatem art. 9 ust. 2 lit. f RODO (przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy).

Czyli mamy “klasyczny” przypadek przetwarzania danych osobowych “na zapas”. Nie mamy wiedzy, czy te dane się przydadzą, ale wiemy, że przez 6 lat je w razie co mamy i możemy zabezpieczyć ryzyka dotyczące dochodzenia roszczeń czy bardziej obrony przed nimi.

Z nakazem usunięcia danych nie zgodził się ich administrator tj. Ministerstwo Sprawiedliwości i złożył skargę do WSA w Warszawie.

Sąd oddalił skargę i wskazał, że:

organ prawidłowo w przedmiotowej sprawie przyjął, że Minister Cyfryzacji przetwarza dane osobowe niejako “na zapas”, ponieważ nie wykazał na jakiej podstawie uznał przypuszczenie powstania roszczeń za uzasadnione, ani nie wykazał by obecnie toczyło się postępowanie, w którym Minister Cyfryzacji broni lub dochodzi roszczeń związanych z funkcjonowaniem aplikacji

Minister Cyfryzacji nie wykazał też żadnej innej przesłanki, która pozwalałaby na przetwarzanie danych osobowych skarżącego, zwłaszcza, że skarżący nie wyraził zgody na przetwarzanie jego danych po zakończeniu przez niego kwarantanny

podstawy prawnej do przetwarzania danych osobowych nie może stanowić regulamin aplikacji “Kwarantanna domowa”, który wskazuje dodatkowo inne niż wskazane w art. 7e specustawy cele przetwarzania danych, bowiem nie może on zastąpić prawa powszechnie obowiązującego.

W takiej sytuacji Minister Cyfryzacji składając skargę kasacyjną do Naczelnego Sądu Administracyjnego wniósł także o wstrzymanie wykonania decyzji Prezesa UODO, gdyż:

w rozpoznawanej sprawie zachodzi niebezpieczeństwo spowodowania trudnych do odwrócenia skutków w postaci trwałego usunięcia danych P.L.

pod pojęciem usunięcia tych danych należy rozumieć bezpowrotne ich usunięcie, ale również fizyczne unicestwienie nośników danych, tak aby odtworzenie informacji na nich zapisanych nie było możliwe. Efektem takiego działania powinien być bowiem brak możliwości dalszego dokonywania jakichkolwiek operacji na tych informacjach

usunięcie danych wyżej wymienionego przed rozpoznaniem niniejszej sprawy przez Sąd pozbawia administratora danych prawa do sądu, zwłaszcza w sprawach, gdzie ciężar dowodu został przerzucony na pozwanego, czyli w sprawach opartych o art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej w skrócie “RODO”), który jest podstawą roszczeń związanych z naruszeniem prawa do ochrony danych osobowych.

Ponieważ w art. 82 RODO wprowadzono domniemanie winy administratora i podmiotu przetwarzającego za zajście zdarzenia, które doprowadziło do powstania szkody, w ewentualnym procesie doszłoby do przerzucenia ciężaru dowodu i to pozwany – Minister Cyfryzacji będzie ponosił odpowiedzialność.

Naczelny Sąd Administracyjny wskazał, że

skarżący kasacyjnie dostatecznie uprawdopodobnił, że na skutek wykonania zaskarżonej decyzji mogą wystąpić skutki trudne, a wręcz niemożliwe do odwrócenia.

należy zgodzić się co do tego, że ewentualne zrealizowanie kwestionowanej decyzji na tym etapie postępowania sądowoadministracyjnego spowoduje niemożność przywrócenia stanu poprzedniego, a tego rodzaju działanie powinno być postrzegane jako spowodowanie trudnych do odwrócenia skutków

w przypadku realizacji nakazu wynikającego z zaskarżonej decyzji i usunięcia danych osobowych, a następnie ewentualnego uwzględnienia skargi kasacyjnej i skargi Ministra Cyfryzacji, przywrócenie poprzedniego stanu nie będzie możliwe, ponieważ dane osobowe P.L. zostaną już nieodwracalnie usunięte z aplikacji “Kwarantanna domowa”. Spowoduje to także fizyczne unicestwienie nośników danych, a więc odtworzenie informacji na nich zapisanych nie będzie możliwe

Z opublikowanego właśnie orzeczenia Sądu Okręgowego w Warszawie wynika, że słono może kosztować jeden błąd popełniony na etapie anonimizacji danych osobowych.

Pewne uzasadnienie orzeczenia Naczelnego Sądu Administracyjnego, które było w niezmienionej wersji dostępne w internecie od 2016 r. do końca 2021 r., zawierało imię i nazwisko powódki. Obywatelka, które imię i nazwisko zostało upublicznione przez Naczelny Sąd Administracyjny wniosła o zasądzenie od pozwanego na jej rzecz kwoty 30 000 zł z odsetkami ustawowymi za opóźnienie od dnia 8 czerwca 2021 r. tytułem zadośćuczynienia za brak dokonania anonimizacji danych osobowych powódki w wyroku opublikowanym w Centralnej Bazie Orzeczeń Sądów Administracyjnych na stronie internetowej Naczelnego Sądu Administracyjnego, a zatem do publicznej wiadomości i w sposób umożliwiający pełną identyfikację powódki.

Powódka wskazała, że opisana wyżej sytuacja stanowi naruszenie jej dóbr osobistych w postaci dobrego imienia i prawa do prywatności. Naruszenie polegało na braku anonimizacji opisanego wyżej wyroku Naczelnego Sądu Administracyjnego w zakresie obejmującym imię i nazwisko powódki, opublikowanym w tzw. „wolnym dostępie” dla nieograniczonej liczby osób.

Jak się tłumaczył pozwany Skarb Państwa reprezentowany przez Prezesa Naczelnego Sądu Administracyjnego?

Wskazał, że to nie on opublikował dane osobowe, a firma prowadząca system informacji prawnej:

przedmiotowe orzeczenie Naczelnego Sądu Administracyjnego wydane w sprawie powódki, było dostępne w Centralnej Bazie Orzeczeń Sądów Administracyjnych od 2016 r.;

pozwany podkreślił, że Centralna Baza Orzeczeń pełni funkcję informacyjną i edukacyjną, a udostępnione w niej dane nie są ogólnodostępne w internecie;

ponadto dostęp do Centralnej Bazy jest blokowany danemu użytkownikowi w przypadku jego zwiększonej aktywności w Bazie;

Centralna Baza Orzeczeń nie jest również połączona z wyszukiwarką internetową, zaś Naczelny Sąd Administracyjny, mimo próśb (…) sp. z o.o., nie wyraził zgody na zaciąganie informacji zamieszczonych w Centralnej Bazie do prowadzonego przez spółkę systemu informatycznego, a to właśnie publikacja orzeczenia w tym systemie doprowadziła do ujawnienia danych powódki w sposób ogólnodostępny

Zdaniem pozwanego, do naruszenia dóbr osobistych powódki miało dojść nie na skutek publikacji orzeczenia Naczelnego Sądu Administracyjnego w Centralnej Bazie Orzeczeń Sądów Administracyjnych, ale na skutek jego publikacji w systemie informatycznym L., którego właścicielem jest (…) sp. o.o. Z powyższego wynika, że to działania (…) sp. z o.o. doprowadziło do udostępnienia danych osobowych powódki w sposób ogólnodostępny w internecie, w czym upatruje ona naruszenia swych dóbr osobistych.

Kolejnym argumentem pozwanego było to, że:

o zamieszczeniu niepełnie zanonimizowanego wyroku powódka dowiedziała się w kwietniu 2021 r., tymczasem znajdował się on w Centralnej Bazie Orzeczeń już od 2016 r. Przez cały ten okres powódka nie doznała żadnej szkody na skutek działania osób trzecich i nie uzyskała od nich żadnych informacji o wyroku.

Pozwany wniósł także o przekazanie sprawy według właściwości do Sądu Rejonowego, ale Sąd Okręgowy oddalił wniosek argumentując swoją decyzje następująco:

w prawdzie strona powodowa rzeczywiście wystąpiła jedynie z roszczeniem majątkowym dotyczącym ochrony dóbr osobistych, a żądana przez nią wysokość zadośćuczynienia nie przekroczyła granicy kwotowej wynikającej z art. 17 pkt 4. kpc tj. 75.000 zł, jednakże zgłoszone przez powódkę roszczenie jest ściśle związane z naruszeniem jej praw przysługujących na mocy przepisów o ochronie danych osobowych;

nie ma przy tym znaczenia, że powódka nie sformułowała żądania pozwu na podstawie przepisów dotyczących ochrony danych osobowych, a jedynie w oparciu o przepisy o ochronie dóbr osobistych. Biorąc bowiem pod uwagę przytoczoną w pozwie podstawę faktyczną żądania, nie można niniejszej sprawy rozpatrywać w oderwaniu od przepisów dotyczących ochrony danych osobowych, skoro to z ich obowiązywania wynikać może potencjalna bezprawność działania (zaniechania) pozwanego, co jest z kolei istotne w kwestii rozstrzygnięcia sporu dotyczącego ochrony dóbr osobistych

Sąd Okręgowy wskazał:

zgodnie z art. art. 82 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”) Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Natomiast zgodnie z art. 93 ustawy z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) o ochronie danych osobowych w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 rozporządzenia 2016/679, właściwy jest sąd okręgowy.

wreszcie, stosownie do art. 17 pkt 4 ( 5) kpc do właściwości sądu okręgowego należą sprawy o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych. Ponieważ z treści pozwu wynika, że źródłem naruszenia dóbr osobistych powódki było niezgodne z prawem opublikowanie jej danych osobowych, to niewątpliwie właściwym do rozpoznania sprawy na podstawie przytoczonych wyżej przepisów jest Sąd Okręgowy.

Nadto Sąd zaznaczył, że:

przeprowadzone postępowanie wykazało, iż powódka jest uprawniona do uzyskania takiej ochrony w realiach niniejszej sprawy, przy czym w mniejszym zakresie ilościowym niż zakres objęty żądaniem pozwu;

naruszenie dóbr osobistych powódka wywodziła z niezgodnego z prawem upublicznienia jej danych osobowych w postaci imienia i nazwiska. Nie można zatem w rozważaniach dotyczących niniejszej sprawy, pominąć regulacji prawnych dotyczących ochrony danych osobowych, tj. art. 82 ust. 1 RODO, który uprawnia osobę, wobec której naruszono przepisy tego rozporządzenia do żądania odszkodowania za szkodę majątkową lub niemajątkową wywołaną tym naruszeniem, a także art. 93 ustawy o ochronie danych osobowych, która do dochodzenia powyższego odszkodowania odsyła w zakresie nieuregulowanym w RODO, do przepisów kodeksu cywilnego.

w tej kwestii warto zwrócić uwagę na pogląd wyrażany w judykaturze, zgodnie z którym dane osobowe nie są tożsame z dobrami osobistymi, chociaż pewne ich rodzaje mogą złożyć się na elementy tożsamości i prywatności. Zostały one objęte ochroną prawną dedykowaną im bezpośrednio, jako danym osobowym, a jej specyficzny mechanizm ustalony – w nawiązaniu do dyrektywy 95/46/WE – w ustawie o ochronie danych osobowych działa obok ochrony udzielanej dobrom osobistym.

z kolei w doktrynie sygnalizuje się, że część katalogu chronionych dóbr osobistych pokrywa się niewątpliwie z regulacją danych osobowych, co otwiera możliwość dochodzenia roszczeń majątkowych, w związku ze szkodą majątkową i niemajątkową, w oparciu zarówno o art. 82 RODO, jak i o art. 24 KC. Jeżeli jednak przedmiotem sprawy jest dochodzenie zadośćuczynienia za szkodę niemajątkową (krzywdę), to zawsze konieczne jest badanie naruszenia dóbr osobistych. Podstawą rozstrzygnięcia musiałoby być naruszenie nie tylko przepisów RODO (aktów delegowanych lub wykonawczych etc.), ale również art. 24 KC.

nie ulega wątpliwości, że dokonując oceny czy w danej sytuacji doszło do naruszenia dobra osobistego należy kierować się kryterium obiektywnym, czyli ustalić czy dane zachowanie zarzucane stronie pozwanej w odbiorze przeciętnego odbiorcy mogłyby stać się podstawą do negatywnych odczuć po stronie pokrzywdzonego. Przykładowo, do działań naruszających obiektywnie dobre imię należy podanie informacji, które pomniejszają społeczne uznanie danej osoby, narażają na negatywne komentarze.

w ocenie Sądu, brak anonimizacji uzasadnienia wyroku Naczelnego Sądu Administracyjnego, wydanego w sprawie, w której powódka była stroną skarżącą doprowadziło do naruszenia dóbr osobistych powódki. Należało zgodzić się z powódką, że jako osoba wykonująca szczególny zawód (asesor komorniczy), może być ona szczególnie narażona na negatywne reakcje ze strony społeczeństwa, w szczególności ze strony osób, które biorą w postępowaniu egzekucyjnym czynny udział, czyli przede wszystkim ze strony dłużników.

Sąd odniósł się także, że argumentów pozwanego:

nie ulega bowiem wątpliwości, że gdyby pozwany dopełnił ciążącego na nim obowiązku anonimizacji danych zawartych w orzeczeniu przed jego publikacją w Centralnej Bazie Orzeczeń, nie istniałaby możliwość pojawienia się tego orzeczenia na stronie internetowej L., w niezanonimizowanej wersji.

przede wszystkim podnieść należy, iż powódka w niniejszej sprawie skierowała roszczenia wobec pozwanego Skarbu Państwa jako podmiotu, który zaniechał anonimizacji danych powódki w zorganizowanej przez siebie w formie elektronicznej i powszechnie dostępnej Centralnej Bazie Orzeczeń Sądów Administracyjnych. Nie ulega wątpliwości, że (…) sp. z o.o. nie ponosi odpowiedzialności za to zachowanie Skarbu Państwa.

Jeśli chodzi o wysokość zadośćuczynienia Sąd podziela:

częściowo stanowisko powódki i uznał, że odpowiednią sumą stanowiącą w niniejszej sprawie zadośćuczynienia jest kwota 20.000 złotych. Zdaniem Sądu suma ta przedstawia ekonomicznie odczuwalną wartość, a jednocześnie nie jest nadmierna w stosunku do doznanej krzywdy i odpowiada stopie życiowej społeczeństwa w warunkach gospodarki wolnorynkowej. Podstawę prawną rozstrzygnięcia stanowi przepis art. 24 § 1 kc i 448 kc.

Prezes Urzędu Ochrony Danych Osobowych w czerwcu 2021 r. wydał decyzję wobec pewnej Fundacji. Organ nadzorczy nie tylko nakazał administratorowi danych dokonanie zawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych, ale także nałożył na administratora karę pieniężną w wysokości prawie 14 000 zł. 

Postępowanie przed organem nadzorczym rozpoczęło się od przesłania przez administratora zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych” przez Fundację polegającego na cyt.: „(…) utracie danych osobowych wielu osób, jaka miała miejsce w dniu […] stycznia 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów (…)” w mazowieckim biurze terenowym w […].

Jak wynika z zawiadomienia, kradzież była przedmiotem cyt.: „(…) postępowania karnego prowadzonego przez Prokuraturę Rejonową w […], sygn.[…], niemniej jednak z analizy przedłożonego postanowienia o umorzeniu dochodzenia wynika, że było ono prowadzone jedynie w kontekście usiłowania popełnienia przestępstwa z art. 279 kk, nie zaś utraty dokumentów zawierających dane osobowe.”.

W związku z powyższym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami rozporządzenia 2016/679. O podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych organ nadzorczy został poinformowany pismem o sygn. […] z dnia […] października 2020 r. (data prezentaty: […] października 2020 r.) przez Ministerstwo Sprawiedliwości będące organem sprawującym nadzór nad Fundacją.

W związku z powyższym Prezesem UODO na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu, a w przypadku odpowiedzi przeczącej poproszono o przesłanie przeprowadzonej analizy przedmiotowego naruszenia, a także o udzielenie  informacji, czy został wyznaczony inspektor ochrony danych, a jeżeli tak, to czy administrator konsultował z inspektorem ochrony danych możliwość zgłoszenia naruszenia organowi nadzorczemu.

Newsletter

Fundacja, w odpowiedzi, poinformowała Prezesa UODO, iż:

naruszenie dotyczyło 96 osób, utracona dokumentacja zawierała następujące kategorie danych cyt.: „(…) imię, nazwisko, adres do korespondencji, numer telefonu oraz prawdopodobnie numer ewidencyjny PESEL, niemniej wyłącznie 3-4 osoby, których dane osobowe zostały utracone posiadają polskie obywatelstwo, zaś pozostałe osoby nie posiadają polskiego obywatelstwa, a tym samym nie posiadają numeru PESEL”, nie były przetwarzane szczególne kategorie danych osobowych, a lokal, w którym była dokumentacja, miał należyte zabezpieczenie w postaci: podwójnego wejścia do lokalu z atestowanymi zamkami, pomieszczenia w lokalu posiadają drzwi zamykane na klucz (oprócz sekretariatu), jest zainstalowany monitoring oraz alarm obsługiwany przez profesjonalną firmę ochroniarską, w lokalu są kasy pancerne oraz szafy zamykane na klucz.

w kwestii odtworzenia utraconej dokumentacji Fundacja stwierdziła, iż cyt.: „(…) ze względu na to, że sprawy zostały zamknięte utracona dokumentacja nie podlegała odtworzeniu.”

dokumenty zawierające dane osobowe znajdowały się w lokalu zamykanym na atestowany zamek, objętym monitoringiem, posiadającym włączony alarm, który nadzorowała profesjonalna firma ochroniarska, część teczek była schowana do szafek zamykanych na klucz i w kasie pancernej, a część teczek nie była schowana z uwagi cyt.: „(…) iż były to dokumenty na których pracowano w bieżących sprawach aktualnie prowadzonych przez Fundację (…)”, po zaistniałym incydencie administrator przeprowadził rozmowy dyscyplinujące z pracownikami, ma opracowaną i wdrożoną politykę bezpieczeństwa, cyt.: „Administrator wraz z pracodawcą sprawują nadzór nad pracownikami w przedmiocie przestrzegania przez nich powinności pracowniczych, w tym przestrzegania polityki bezpieczeństwa

Według Prezesa UODO:

nie ulega wątpliwości, że zdarzenie polegające na „(…) utracie danych osobowych wielu osób, jaka miała miejsce w dniu […] stycznia 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów (…)” z uwagi na zakres danych znajdujących się w utraconej dokumentacji stanowi naruszenie poufności danych ze względu na możliwość zapoznania się z ww. danymi przez osobę (osoby) nieuprawnioną oraz naruszenie dostępności danych w związku z tym, że „(…) utracona dokumentacja nie podlegała odtworzeniu”.

w konsekwencji należy uznać, że wystąpiło naruszenie bezpieczeństwa prowadzące do przypadkowego utracenia oraz nieuprawnionego dostępu do danych osobowych przetwarzanych przez Fundację, a zatem naruszenie ochrony danych osobowych.

Wojewódzki Sąd Administracyjny w Warszawie podzielił stanowisko organu. W uzasadnieniu orzeczenia Sąd wskazał, że:

Prezes UODO, wydając sporną decyzję administracyjną z dnia […] czerwca 2021 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji;

na wstępie wyjaśnić należy, iż przesłanką powstania po stronie administratora powinności zgłoszenia do organu nadzorczego naruszenia ochrony danych osobowych jest wystąpienie naruszenia ochrony danych osobowych, rozumiane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodne z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 rozporządzenia 2016/679);

w świetle powyższego zasadnie organ stwierdził, że w niniejszej sprawie zaistniało ryzyko naruszenia praw i wolności osób fizycznych, jako że opisane w części historycznej uzasadnienia naruszenia ochrony danych osobowych będące wynikiem kradzieży 96 teczek zawierających dane osobowe klientów Fundacji może prowadzić do szkód majątkowych i niemajątkowych dla osób, których dane zostały naruszone;

trafnie też organ wskazał przykłady takich szkód, stwierdzając, iż szkody te obejmują dyskryminację, kradzież lub fałszowanie tożsamości, straty finansowe i naruszenia dobrego mienia. Nie ulega wątpliwości, iż przywołane przykłady szkód mogą wystąpić w analizowanym przypadku;

w tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu. W przypadku braku kopii skradzionych dokumentów i braku możliwości zidentyfikowania osób, których dane dotyczą zastosowanie znajduje przepis art. 34 ust. 3 lit. c) RODO, co oznacza, że zawiadomienie osób dokonuje się poprzez wydanie publicznego komunikatu lub zastosowanie podobnego środka, czego strona skarżąca nie uczyniła. W związku z powyższym Prezes UODO zasadnie nałożył na Fundację obowiązek określony w pkt 2) decyzji, sprowadzający się do konieczności powiadomienia osób, których dane dotyczą, o zaistniałym w dniu […] stycznia 2020 r. naruszeniu ochrony danych osobowych.

zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

W ocenie Sądu:

zastosowana przez organ administracyjna kara pieniężna spełnia, w ustalonych okolicznościach rozpatrywanej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.

Finlandzki organ nadzorczy wydał, w grudniu 2022 r. decyzję nakładającą na administratora danych administracyjną karę pieniężną w wysokości 230 000 euro. 

Administrator – spółka zarządzająca promami pasażerskimi – prowadzi system MAPS.

System ten zawiera dane osobowe około 6000 byłych i obecnych pracowników. Na wszystkich statkach administratora wprowadzany jest nowy system do zarządzania informacjami o przyczynach nieobecności, w tym informacjami o zwolnieniach lekarskich.

Dodatkowo system MAPS zawiera informacje o nieobecnościach pracowników m.in. absencji chorobowych wraz z datami i kodami diagnoz ICD, na podstawie których ustalana jest płatna nieobecność.

Według administratora uzasadnieniem przetwarzania takich danych było stwierdzenie, że nie wszystkie nieobecności są płatne dla pracowników, dlatego pracodawca musi w pewnym zakresie przetwarzać informacje o przyczynach absencji chorobowej, aby zagwarantować prawidłowość wypłaty wynagrodzenia.

Oprócz kodów system zawiera również informacje o diagnozach.

Według raportu kody diagnostyczne ICD i informacje diagnostyczne zostały usunięte z systemu w latach 2018–2019. Te informacje nie są już zawarte w systemie. W systemie MAPS przechowywane są informacje związane ze stosunkiem pracy, takie jak nazwiska i dane kontaktowe pracowników, informacje o statusie umów o pracę, informacje o kwalifikacjach, informacje o odbytych szkoleniach, informacje o wypłacie wynagrodzeń i kosztach opieki medycznej. W systemie MAPS znalazły się również informacje o nieobecnościach pracowników, m.in. absencji chorobowych z datami i kodami diagnoz ICD.

System obecnie przechowuje tylko informacje o okresie zwolnienia lekarskiego oraz informacje na temat tego czy jest to płatna czy bezpłatna nieobecność lub np. urlop rodzinny.

Administrator ocenił, że ​​rejestrowanie kodów ICD diagnoz nie jest konieczne, biorąc pod uwagę przeznaczenie systemu.

Jeden z pracowników zwrócił się do administratora o dostęp do swoich danych osobowych. Zażądał on także, informacji z systemu MAPS dotyczące informacji o jego zwolnieniach lekarskich i informacji diagnostycznych

Administrator nie udostępnił  żądanych informacji. Przedstawił za to uzasadnienie dla przetwarzania takich informacji. 

Administrator, w odpowiedzi na żądanie organu nadzorczego, wskazywał, że:

tylko te osoby, które na podstawie tych informacji przygotowują lub podejmują decyzje dotyczące stosunku pracy lub realizują takie decyzje, przetwarzały informacje dotyczące stanu zdrowia. Zgłoszono, że takimi osobami są dwaj sekretarze personalni. Pracodawca odrębnie określił, że do zadań tych osób należy przetwarzanie informacji o stanie zdrowia.

osoby te są zobowiązane do zachowania poufności zarówno w trakcie zatrudnienia, jak i po jego zakończeniu.

Organ nadzorczy stwierdził, że:

​​pracodawca ma prawo np. przetwarzać w swoich systemach zarządzania personelem informacje o tym, kiedy i jak długo pracownik był nieobecny w pracy z powodu choroby (dopuszczalny powód, wypłata wynagrodzenia chorobowego ). Jednak w powiązaniu z systemem zarządzania personelem nie powinny być przechowywane informacje o przyczynie absencji chorobowej, np. choroby, urazy, ich jakość czy informacje diagnostyczne

zaświadczenia lekarskie lub oświadczenia składane przez pracownika pracodawcy lub inne dokumenty lub rejestry zawierające informacje o stanie zdrowia muszą być przechowywane oddzielnie od innych danych osobowych dotyczących pracownika.

Nadto organ ten uważa, że:

​​administrator danych nie podjął, zgodnie z art. 5 ust. 1 lit. d) RODO oraz art. 25 ust. 1 RODO skutecznych działań, że ​​dane osobowe przetwarzane w systemie MAPS są dokładne i wolne od błędów

biorąc pod uwagę wagę naruszeń, sprawa nie stanowi drobnego naruszenia, o którym mowa w preambule 148 RODO i należy nałożyć administracyjną karę pieniężną

Wysokość administracyjnej kary pieniężnej została tak uzasadniona przez organ nadzorczy:

obroty Viking Line Oy Abp w 2021 roku wyniosły 258 243 347,47 euro. w

przedmiotowej sprawie administracyjna kara pieniężna nie może przekroczyć 20 000 000 euro.

administrator nie przestrzegał art. 5 ust. 1 lit. d) RODO i art. 25 ust. 1 RODO. Należy zauważyć, że wbudowana i domyślna ochrona danych jest jednym z podstawowych elementów ogólnego rozporządzenia o ochronie danych, na którym zbudowana jest realizacja praktycznej ochrony danych.

naruszenia administratora zostały zgłoszone organowi nadzorczemu w drodze skargi. Ważąc rozsądną sankcję, Rada ds. Sankcji wzięła pod uwagę fakt, że administrator odpowiedziała na prośby władz o wyjaśnienia w wyznaczonym terminie. Administrator współpracuje z biurem komisarza ds. ochrony danych. Skład orzekający nie uwzględnia jednak powyższego faktu jako okoliczności łagodzącej lub obciążającej przy szacowaniu kary pieniężnej.

Europejska Rady Ochrony Danych (EDPB) 14 lutego 2023 r. opublikowała drugą wersję Wytycznych 5/2021 w sprawie wzajemnych powiązań między stosowaniem art. 3 a przepisami dotyczącymi międzynarodowych transferów danych osobowych.

Wytyczne te dotyczą jednego z najtrudniejszych, dla administratorów, zagadnień, gdyż samo RODO nie zawiera np. definicji przekazywania danych osobowych.

Także zakres terytorialnego stosowania RODO jest skomplikowany patrząc np. z punktu widzenia podmiotów nie mających jednostek organizacyjnych w UE, a dokonujących czy to oferowania towarów i usług czy też monitorowania zachowania osób, które znajdują się w Unii.

W najnowszej wersji Wytycznych 5/2021 znalazło się wiele praktycznych przykładów, które mają ułatwić administratorom danych przestrzeganie RODO.

EROD określił trzy łączne kryteria kwalifikujące operację przetwarzania danych osobowych jako transfer danych osobowych:

1. Administrator lub podmiot przetwarzający (“eksporter”) podlega RODO w zakresie danego przetwarzania danych osobowych;
2. Eksporter ujawnia poprzez przesłanie lub w inny sposób udostępnia dane osobowe podlegające temu przetwarzaniu innemu administratorowi, współadministratorowi lub podmiotowi przetwarzającej (“importer”);
3. Importer znajduje się w państwie trzecim, niezależnie od tego, czy importer ten podlega RODO w zakresie dane przetwarzania danych na podstawie terytorialnego zakresu stosowania RODO (art. 3 RODO), czy też jest organizacją międzynarodowa.

I tutaj mamy już pierwszy przykład: