Podcasty

W tym – 30 odcinku – poruszam wnioski płynące z opinii Rzecznika Generalnego TSUE, co do interpretacji prawa do uzyskania informacji od administratora danych.

Przepis art. 15 ust. 1 RODO przewiduje pewne obowiązki po stronie administratora danych, co do m.in. potwierdzenia, czy przetwarza on dane osobowe podmiotu danych, których chce się tego dowiedzieć.

W tej sprawie pewien obywatel Austrii chciał się dowiedzieć kilku rzeczy na temat zakresu przetwarzania jego danych osobowych przez podmiot Dun and Bradstreet – wcześniej firma ta nazywała się Bisnode, o której na pewno Państwo słyszeli. Jest to podmiot mający szeroką ofertę produktów opartych – ogólnie mówiąc – na wyciąganiu różnych wniosków z danych ogólnodostępnych na życzenie swoich Klientów.

Obywatel ten chciał zawrzeć umowę abonamentową z operatorem telefonii komórkowej na kwotę 10 euro miesięcznie. Operator ten jednak odmówił zawarcia takiej umowy uzasadniając to o brakiem wystarczającej zdolności kredytowej po jego stronie. Domniemana niewystarczająca zdolność kredytowa obywatela została oparta na ocenie kredytowej przygotowanej przez Dun & Bradstreet za pomocą zautomatyzowanego systemu.

Naczelny Sąd Administracyjny opublikował uzasadnienie wyroku kończącego spór dotyczący przetwarzania danych osobowych przez pewną szkołę podstawową. Tak dobrze się domyślacie – to ta szkoła podstawowa, która wykorzystywała odciski palców uczniów do wydania obiadów.

Po krotce przedstawię stan faktyczny i zreferuję zarówno decyzję organu nadzorczego, jak i wyrok wojewódzkiego sądu administracyjnego, aby móc się skupić na wyroku Naczelnego Sądu Administracyjnego.

To na czym chce położyć największych nacisk przy okazji tego odcinka podcastu to kwestia związana z interpretacją zasady minimalizacji danych osobowych, gdyż z obydwu orzeczeń sądów administracyjnych można wywnioskować bardzo ważne kwestie dotyczącego tej jednej z podstawowych zasad przetwarzania danych osobowych.

Po drugie istotna jest też kwestia zakresu badania przez organ nadzorczy – warunków i zakresu podstawy prawnej przetwarzania danych osobowych.

Będę się starał unikać wątku dotyczącego tego, czy w tej sprawie na pewno mieliśmy do czynienia z biometrycznym przetwarzaniem danych osobowych – na pewno administrator miał co do tego poważne wątpliwości. Nie mam wiedzy technicznej, aby się na ten temat wypowiedzieć.

W tym odcinku podcastu poruszę zagadnienie będące trochę na uboczu ochrony danych osobowych – choć jak się okaże dalej – nie tak dalekim uboczu.

Zagadnieniem tym będą reguły odnoszące się do powództwa przedstawicielskiego, czyli takiego, w którym jakiś organ np. stowarzyszenie konsumencie pozywa administratora danych, w imieniu osób, których dane dotyczą, w związku z przyjęciem przez taki podmiot, że doszło do naruszenia RODO.

Asumptem do tego tematu jest z jednej strony orzeczenie TSUE z lipca br. w sprawie Meta przeciwko federalnemu związkowi stowarzyszeń konsumenckich z Niemic – oczywiście jego oryginalnej nazwy nawet nie spróbuję przeczytać.

Z drugiej strony aktualnie toczą się pracę nad nowelizacją ustawy o dochodzeniu roszczeń w postępowaniu grupowym, która – moim zdaniem – otwiera nowe zagrożenia dla administratorów danych polegające na możliwości bycia stroną pozwaną, w aspekcie naruszeń prawa dotyczących RODO.

W orzeczeniu TSUE z 14.02.2024 r. w sprawie C-46/23 wynikające bardzo istotne wnioski i to zarówno dla organów nadzorczych, jak i też dla administratorów danych. W tej sprawie TSUE podjął się interpretacji uprawnień organu nadzorczego w przypadku, w którym organ ten nie posiada skargi osoby, której dane dotyczą.

Kanwą sprawy jest pytanie prejudycjalne węgierskiego sądu administracyjnego odnoszące się do tego, czy organ nadzorczy może, nakazać usuniecie danych, a jeśli tak to jakich danych, administratorowi danych bez wyraźnego żądania osoby, której dane dotyczą.

TSUE wskazał, że organ nadzorczy jest do tego uprawniony – posłuchaj dlaczego!

Kolejnym orzeczeniem TSUE wydanym w marcu br. jest to dotyczące pojęcia danych osobowych oraz doprecyzowania pojęcia osoby możliwej do identyfikacji. Orzeczenie to dotyczy sprawy pewnej greckiej obywatelki nazwanej w orzeczeniu OC oraz Komisji Europejskiej, a dokładniej Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych – OLAF.

TSUE w tej sprawie tj. C-479/22 P uchylił wyrok Sądu UE z 4 maja 2022 r. o sygnaturze T-384/20.

Dziś poruszę temat, który wydawałoby się tylko pośrednio, dotyczy ochrony danych osobowych, ale gdy się jej bliżej przyjrzymy, to zauważymy, że ochrona danych osobowych odegrała tutaj kluczową rolę. Przedmiotem tego podcastu będzie postanowienie Wiceprezesa Trybunału Sprawiedliwości UE z 11 kwietnia br. w sprawie C-90/24 P(R) dotyczącej sporu pomiędzy Vivendi SE vs Komisja Europejska, którego treść oczywiście odnajdziemy w serwisie Judykatura.pl.

Pytania, które padły w tej sprawie to czy żądanie organu nadzorczego o zabezpieczenie i przekazanie organowi nadzorczemu wszystkich wiadomości e-mail pracowników oraz ich rozmów dokonywanych za pomocą komunikatorów internetowych jest uzasadnione, jeśli, w tym katalogu znajdują się prywatne skrzynki mailowe oraz komunikatory?

W tym podcaście omawiam sprawę dotyczącą pewnego Związku Piłki Nożnej i wyroku Naczelnego Sądu Administracyjnego (NSA), który porusza kluczowe kwestie związane z ochroną danych osobowych i regulacjami RODO. Skupiam się na analizie orzeczenia NSA, które jasno wskazuje, że informowanie organu nadzorczego o naruszeniu ochrony danych osobowych, mimo że jest wymogiem prawnym, powinno być interpretowane na korzyść administratora danych. To stanowi ważne wytyczne dla przyszłych postępowań w podobnych sprawach.

Bazą do tematu jest wyrok NSA, w którym oddalono skargę kasacyjną od orzeczenia Wojewódzkiego Sądu Administracyjnego w Warszawie z lutego 2020 roku. WSA w Warszawie oddalił skargę przeciwko decyzji Prezesa UODO z kwietnia 2019 roku.

Wyrok NSA zwraca moją uwagę na działania administratora danych polegające na faktycznym wdrożeniu działań powodujących zaprzestanie naruszenia.

Nadto NSA wskazał, że zgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych, choć jest wymogiem prawnym, jest  postrzegane jako działanie przemawiające na korzyść administratora, co może wpływać na łagodniejszą ocenę jego błędnych działań. To orzeczenie może mieć istotne implikacje dla praktyk zarządzania danymi osobowymi w organizacjach i interpretacji przepisów RODO w odniesieniu do obowiązków zgłaszania naruszenia.

W najnowszym odcinku podcastu Judykatura.pl szczegółowo analizuję decyzję Prezesa UODO dotyczącą administratora danych, który naruszył zasady ochrony danych osobowych określone w RODO. Omawiam kontekst sprawy, wskazując na konkretne naruszenia i działania podjęte przez administratora danych, które zostały uznane za niezgodne z obowiązującymi przepisami. Przedstawiam kluczowe argumenty, które legły u podstaw decyzji Prezesa UODO, skupiając się na ich znaczeniu dla przyszłych praktyk dotyczących ochrony danych osobowych.

Odnoszę się też do słusznego, w mojej opinii, nie zastosowania przez organ nadzorczy zakazu orzekania na niekorzyść strony odwołującej się (reformationis in peius), który wynika z art. 139 kpa. Wskazuje swój pogląd, co do braku jego zastosowania w przypadku tej decyzji Prezesa UODO.

W tym orzeczeniu TSUE odnosił się do decyzji Europejskiego Inspektora Ochrony Danych, w której organ ten nakazał Jednolitej Radzie ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) naruszył obowiązek informacyjny.

TSUE stwierdził nieważność tej decyzji EIOD wskazując bardzo konkretne przyczyny takiego orzeczenia.

Wojewódzki Sąd Administracyjny w Warszawie opublikował uzasadnienie bardzo ciekawego orzeczenia dotyczącego pobierania danych osobowych z publicznego rejestru i ich dalszego-komercyjnego – przetwarzania. W tym orzeczeniu Sąd oddalił skargę administratora danych osobowych na decyzję Prezesa UODO ze stycznia 2023 r., w której to organ nadzorczy nakazał usunięcie danych osobowych pozyskanych z publicznej bazy.

W odcinku przedstawiam stan faktyczny i argumentacje przemawiającą za taką, a nie inną decyzją organu nadzorczego. Opowiadam także o tym, jakie argumenty podnosił administrator danych, co do legalności pozyskania danych i ich komercyjnego przetwarzania.

TSUE podjął się interpretacji kilku przepisów RODO dotyczących obowiązku administratora danych oraz podmiotu przetwarzającego bezpiecznego przetwarzania danych osobowych.

Sprawą przy której TSUE mógł się wypowiedzieć w powyższym zakresie była odpowiedzialność administratora danych za naruszenie ochrony danych osobowych spowodowane cyberatakiem. I to nie byle jakim, gdyż dotyczącym prawie 100% obywateli Bułgarii.

TSUE zmierzył się w tej sprawie z pytaniami dotyczącymi m. in. tego, czy fakt naruszenia ochrony danych osobowych powoduje domniemanie, że administrator danych nie wdrożył odpowiednich środków bezpieczeństwa? Co i jak ma zbadać sąd, który rozpoznaje środek zaskarżenia od decyzji organu nadzorczego? Czy dla takiego sąd jest niezbędna ocena biegłego?

W tym odcinku poznasz odpowiedzi na te pytania!

Trybunał Sprawiedliwości Unii Europejskiej miał bardzo intensywnie zakończył 2023 r. W grudniu 2023 r. wydano kilka bardzo istotnych orzeczeń. W tym odcinku Podcastu Judykatura.pl zaprezentowałem stanowisko TSUE w dwóch sprawach dotyczących niemieckiego biura informacji kredytowej.

Pierwsze orzeczenie odpowiada na pytanie, czy biuro informacji kredytowej może przetwarzać dane pobrane z ogólnodostępnych rejestrów (scraping) dłużej niż, przetwarzają to podmioty odpowiedzialne za ich pierwotną publikację. Tutaj TSUE dotyka także kwestii dużo szerszych m. in. tego, czy zatwierdzone przez organ nadzorczy kodeksy postępowań mogą być pomocne przy wyważaniu prawnie uzasadnionych interesów oraz przy ustalaniu okresu retencji.

Drugie orzeczenie odpowiada na pytanie, czy biuro informacji kredytowej dokonując pewnych obliczeń matematycznych i statystycznych, w celu utworzenia informację, o możliwym zachowaniu danej osoby, w przyszłości (scoring) podejmuje już zautomatyzowaną decyzję w indywidualnych przypadkach. TSUE zastanawiał się, czy wskazanie, że podmiot tworzący pewne informacje o osobie fizycznej, a nie podejmujący żadnej decyzji o nawiązaniu umowy może być tym podmiotem, który  podejmuje decyzję “wywołującą skutki prawne lub podobnie istotnie na nią wpływa”.

W tym odcinku przedstawię wnioski z niepublikowanej dotąd decyzji Prezesa Urzędu Ochrony Danych Osobowych dotyczącej oceny przetwarzania danych w celu przesłania na adres e-mail wiadomości zawierającej prośbę o ocenę m.in. procesu zakupowego.

Czy tym razem Prezes UODO odniósł się do art. 13 ust. 2 Dyrektywy 2002/58/WE? Czy organ nadzorczy wskazał jak — w jego opinii — prawidłowo realizować kampanie mailingowe? Czy posiadanie podstawy prawnej do przetwarzania danych jest wystarczające do przesłania informacji marketingowy?

Wskażę tutaj „tylko” tyle że Prezesa UODO w nowej decyzji udzielił administratorowi danych osobowych „upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a RODO, polegającego na przetwarzaniu adresu poczty elektronicznej X.Y. niezgodnie z prawem w celach marketingowych”.

Mam nadzieję, że tydzień temu udało Ci się odsłuchać pierwszy odcinek z serii dotyczącej świętowania 5 lat stosowania RODO. Jeśli nie to cały czas masz taką możliwość, a w żadnym wypadku nie utrudni Ci to zapoznania się z dzisiejszą porcją orzeczeń.

Świetnie, że razem będziemy świętować 5 lat obowiązywania RODO – to nie lada rocznica. W tej gałęzi prawa dzieje się bardzo wiele, a każda decyzja organu nadzorczego czy każdy wyrok Sądu lub Trybunału zawiera wiele istotnych wniosków. Dużo pracy i czasu wymaga bycie na bieżąco. Dzięki Judykatura.pl, a w szczególności dzięki “Aktualności Plus” nie musisz się tym przejmować, bo wyręczamy Cię w tej mozolnej pracy.

Przy wyborze orzeczeń jakie dziś poruszę kierowałem się ich praktyczną wagą dla administratorów i inspektorów ochrony danych osobowych.

W tym odcinku omówię najistotniejsze orzeczenia Trybunałów. Na początku opowiem o orzeczeniach Trybunału Sprawiedliwości Unii Europejskiej. Tutaj na pewno nie zabraknie orzeczeń dotyczących wyinterpretowania danych szczególnych kategorii z danych już posiadanych przez administratora danych. Kolejne orzeczenie dotyczy interpretacji prawa do uzyskania kopii danych osobowych od administratora, a ściślej mówiąc wiernej kopii informacji dotyczących tej osoby.

W zakresie Europejskiego Trybunału Praw Człowieka poruszę orzeczenia dotyczące stosowania ukrytego monitoringu wizyjnego, publikowania danych osobowych w rejestrach dłużników, czy też przetwarzania danych zbieranych przez organizację religijną.

Mam nadzieję, że tydzień temu udało Ci się odsłuchać pierwszy odcinek z serii dotyczącej świętowania 5 lat stosowania RODO. Jeśli nie to cały czas masz taką możliwość, a w żadnym wypadku nie utrudni Ci to zapoznania się z dzisiejszą porcją orzeczeń.

Świetnie, że razem będziemy świętować 5 lat obowiązywania RODO – to nie lada rocznica. W tej gałęzi prawa dzieje się bardzo wiele, a każda decyzja organu nadzorczego czy każdy wyrok Sądu lub Trybunału zawiera wiele istotnych wniosków. Dużo pracy i czasu wymaga bycie na bieżąco. Dzięki Judykatura.pl, a w szczególności dzięki “Aktualności Plus” nie musisz się tym przejmować, bo wyręczamy Cię w tej mozolnej pracy.

Przy wyborze orzeczeń jakie dziś poruszę kierowałem się ich praktyczną wagą dla administratorów i inspektorów ochrony danych osobowych.

W tym odcinku omówię najistotniejsze orzeczenia sądów administracyjnych – będą orzeczenia dotyczące nie tylko uchylenia decyzji nakładających administracyjne kary pieniężne, ale też takie orzeczenia, które poruszają zagadnienie prawnie uzasadnionego interesu czy też odnoszą się do tego, czy numeru telefonu to dana osoba oraz o tym jak sąd administracyjny widzi odpowiedzialność administratora za działania podmiotu przetwarzającego.

W tym odcinku opowiem o wnioskach jakie płyną z przyjętej 14.02.2023 r. przez EROD wytycznej 5/2021, której pierwsze wersja została poddana konsultacjom publicznym.

Przedmiotem wytycznej 5/2021 są powiązania między terytorialnym zakresem stosowania RODO (art. 3 RODO), a przepisami rozdziału V RODO, które dotyczą przekazywania danych osobowych poza EOG.

W dokumencie tym EROD pokazuje jak należy rozumieć przekazywanie danych osobowych poza EOG czyli kiedy mamy do czynienia ze stosowaniem rozdziału V RODO oraz pokazuje pewne praktyczne przykłady, do których wrócę pod koniec odcinka.

W 13 odcinku podcastu Judykatura.pl poruszyłem temat trzech istotnych wniosków o wydanie orzeczenia w trybie prejudycjalnym przez Trybunał Sprawiedliwości Unii Europejskiej. Wybór wniosków został podyktowany ich aktualnością – w przypadku dwóch pytań kierowanych do TSUE dysponujemy obszernymi wnioskami zawierającymi ich uzasadnienie, a w trzecie ostatniej sprawie, o której dziś opowiem dostępna jest jedynie treść samej skargi.

Wnioski dotyczą spółki Endemol Shine Finland Oy (C-740/22), Meta Platforms Irealnd (C-757/22) oraz skarżącego BZ (C-672/22).

Pierwsza sprawa dotyczy materialnego zakresu stosowania RODO oraz wykładni pojęcia przetwarzania danych osobowych w przypadku ustnego zgłoszenia wniosku o “ujawnienie” danych osobowych. Druga sprawa dotyczy powództwa przedstawicielskiego i wskazania warunków jakie muszą zajść, aby było możliwe wytoczenie takiego powództwa – szczególnie chodzi o definicję dochodzenia praw naruszonych w zakresie przetwarzania danych osobowych w kontekście błędnego spełnienia obowiązku informacyjnego. Trzecia i ostatnia sprawa dotyczy zakresu informacji jakie administrator danych przekazuje w kopii danych osobowych – czy w takiej kopii ma znaleźć się uzasadnienie decyzji wydane wobec klienta?

Zapraszamy do odsłuchania!

W dwunastym odcinku podcastu Judykatura.pl poruszam zagadnienie zasady minimalizacji danych osobowych.

W jednym z orzeczeń Naczelny Sąd Administracyjny uznał za trafny zarzut Skarżącego dotyczący naruszenia przez WSA w Warszawie prawa materialnego ze względu na pominięcie zasady minimalizacji przetwarzanych danych, o której mowa w art. 5 ust. 1 lit. c) RODO. Orzeczenie to jest istotne nie tylko dla organu nadzorczego prowadzącego postępowania ze skarg obywateli, ale także dla administratorów danych w zakresie właściwego tworzenia katalogu przekazywanych/powierzanych/udostępnianych danych osobowych.

Zapraszam do pozostania w kontakcie – kontakt@judykatura.pl / https://judykatura.pl

Ten odcinek poświęcony jest orzeczeniu Wojewódzkiego Sądy Administracyjnego w Warszawie z lipca 2022 r. dotyczącym odpowiedzi na pytanie – jakie kryteria zastosować, aby móc przypisać pewnym informacjom walor danych osobowych. Dobrze wiemy, tematu tego nie da się „wyczerpać”, a z każdym kolejnym miesiącem staje się co raz istotniejszy.

W uzasadnieniu orzeczenia Sąd położył duży nacisk na prawidłową wykładnię nie tylko orzecznictwa NSA czy TSUE, ale także na odczytanie definicji danych osobowych wskazanej w motywie 26 RODO i motywie 30 RODO. Omawiane orzeczenie WSA odnosi się do bardzo ważnego, a często pomijanego, elementu rozróżnienia danych osobowych od danych nimi nie będącymi, czyli do wszelkich rozsądnie prawdopodobnych sposobów, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

 

Niedawno, bo 22 października 2022 r. Trybunał Sprawiedliwości Unii Europejskiej wydał w tytułowej sprawie DIGI wyrok wskazując poprawny kierunek interpretacji dwóch istotnych zasad przetwarzania danych osobowych – zasady ograniczonego celu oraz zasady ograniczonego przechowywania. Pytania prejudycjalne zadał Sąd dla m.s.t Budapesztu rozpoznając skargę administratora wobec decyzji węgierskiego organu nadzorczego. Postępowanie przed krajowym organem nadzorczym dotyczyło jednego z głównych dostawców usług internetowych i telewizyjnych na Węgrzech – firmy DIGI. W kwietniu 2018 r. w celu przeprowadzenia testów i poprawienia błędów skarżąca utworzyła testową bazę danych o nazwie „test” (zwaną dalej „testową bazą danych”), do której skopiowała dane osobowe około jednej trzeciej swoich klientów indywidualnych.

Zarówno opinia Rzecznika Generalnego TSUE jak i samo orzeczenie TSUE prowadzi do ważnych i praktycznych wniosków w zakresie takich kwestii jak np. zmiana pierwotnego celu czyli zgodność z wymaganiami wskazanymi w art. 6 ust 4 RODO. Wyrok TSUE wskazuje praktyczną interpretację dwóch wskazanych wcześniej zasad – zasady ograniczonego celu oraz zasady ograniczonego przechowywania.

Tytuł tego odcinka to niestety nie klikbajt. Wojewódzki Sąd Administracyjny w Warszawie w kilku nieprawomocnych wyrokach wskazuje, za Prezesem Urzędu Ochrony Danych Osobowych, że pozyskanie przez hakera czy inną nieuprawnioną do tego osobę danych osobowych przetwarzanych przez ich administratora danych jest ich udostępnieniem, a więc musi spełniać zasady wynikające z RODO.

Temat ten zaczął się od pewnej spółki, która w wyniku błędu podmiotu przetwarzającego, posługując się nomenklaturą WSA i Prezesa UODO, udostępniła dane osobowe swoich klientów w internecie na niezabezpieczonym serwerze. Kilka osób zwróciło uwagę administratorowi na to jak wygląda dostęp do bazy klientów. W związku z takim biegiem wydarzeń administrator ten otrzymał od Prezesa UODO, w grudniu 2020 r., administracyjną karę pieniężną w wysokości ponad 1 mln zł. Decyzja ta została w październiku 2021 r. uchylona przez WSA w Warszawie z kilku powodów, które nie stanowią przedmiotu tego odcinka, ale mówiąc krótko – Sąd wskazał na powinność organu nadzorczego w zakresie zbadania ciężaru odpowiedzialności administratora i podmiotu przetwarzającego oraz dokładnego ustalenia zakresu obowiązków poszczególnych podmiotów.

Czy możemy mówić o “miarkowaniu” przez Sąd administracyjnej kary pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych?

Sąd uznał, w orzeczeniu, że zaskarżona decyzja Prezesa UODO naruszała zarówno przepisy prawa procesowego w zakresie sporządzenia uzasadnienia oraz rozważenia i oceny okoliczności faktycznych sprawy, jak również przepisy prawa materialnego wskazane w art. 83 ust. 2 RODO w zakresie wyjaśnienia Skarżącej, z jakich powodów nałożono na Spółkę karę pieniężną.

Jakie argumenty legły u podstaw takiej decyzji?

Odpowiedź na to pytanie znajdziesz w 8 odcinku podcastu!

Tak jak zapowiedziałem w poprzednim odcinku ten będzie dotyczył niby podstawowej i prostej kwestii, a więc ustalenia podmiotu będącego administratorem danych osobowych. Jak pokazuje praktyka nie jest to jednak tak prosta rzecz, a przykład wskazany przez Litewski sąd administracyjny jest szalenie interesujący – dotyczy zamawiającego aplikację mobilną oraz dewelopera, który ją stworzył.

Końcówka poprzedniego roku była bardzo ciekawa pod względem pytań prejudycjalnych kierowanych do Trybunału Sprawiedliwości Unii Europejskiej. W tym podcaście opowiem o wnioskach jakie mogą się pojawić po lekturze pytania prejudycjalnego w sprawie C-667/21. Wniosek ten dotyczy przetwarzania danych dotyczących zdrowia pracownika przez jego pracodawcę oraz wątpliwości znaczenia winy administratora w odniesieniu do wysokości odszkodowania wynikającego z art. 82 ust. 1 RODO.

W judykaturze można odnaleźć coraz więcej przykładów orzeczeń związanych z przyznaniem bądź oddaleniem powództwa dotyczącego zadośćuczynienia na tle naruszenia przepisów RODO. W podcaście poruszam wnioski z trzech krajowych orzeczeń oraz odnoszę się do dwóch ważnych pytań prejudycjalnych zawisłych przed TSUE.

Przed Trybunałem Sprawiedliwości Unii Europejskiej zawisło bardzo interesujące pytanie prejudycjalne dotyczące sporu pomiędzy dwoma niderlandzkimi organami nadzorczymi. W sprawie tej możemy się już zapoznać z opinią Rzecznika Generalnego M. Bobka oraz kierunku, który został przez Rzecznika wskazany. Kierunek ten ma bardzo realne znaczenie dla administratora danych ze względu na uprawnienia organu.

Tym razem poruszamy temat prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych osobowych po wygaśnięciu zobowiązania. Inspiracją do tego tematu były ostatnie stanowiska WSA w zakresie oceny tej podstawy przetwarzania danych. Oceny, można powiedzieć, zupełnie oderwanej od rzeczywistości.

Ten odcinek podcastu dotyczy szalenie istotnego wyroku WSA z marca 2021 r., w którym Sąd znacząco rozszerzył sytuację, w których Prezes UODO może przeprowadzić postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Takie stanowisko Sądu zaowocuje w przyszłości znacznie większą liczbą postępowań. Warto wiedzieć jaki sytuacji dotyczy wskazany wyrok.

W tym odcinku Podcastu Judykatura.pl opowiadam o jednej z decyzji Francuskiego organu nadzorczego (CNIL) dzięki której administratorzy danych dowiedzą się o odpowiednich środkach bezpieczeństwa stosowanych przy zakładaniu internetowych kont klientów. W trakcie działań CNIL okazało się, że kontrolowany podmiot nie wdrożył wymagań RODO na wielu płaszczyznach co kosztowało go karę 250 000 euro.