Browsing Tag

naruszenie

ochrona danych osobowych

Kara 35 mln euro nałożona na H&M za naruszenie RODO

15 października 2020

Komisarz ds. ochrony danych osobowych i wolności informacji w Hamburgu (the Hamburg Commissioner for Data Protection and Freedom of Information) nałożył grzywnę w wysokości ponad 35 mln euro na szwedzką sieć odzieżową H&M (Hennes & Mauritz Online Shop A.B. & Co KG). Powodem nałożenia (jednej z najwyższych, jak do tej pory) kary było naruszenie RODO.

Stan faktyczny:

Co najmniej od roku 2014 część pracowników H&M Service Center w Norymberdze było inwigilowanych pod kątem ich życia prywatnego, a następnie te dane były utrwalane i przechowywane na dyskach wewnętrznych spółki.

Spółka rejestrowała wiele informacji na temat swoich pracowników dotyczących urlopów, zwolnień lekarskich, sytuacji rodzinnej, czy też kwestii związanych z przekonaniami religijnymi. Dane były zbierane podczas rozmów z pracownikami przeprowadzanych np. zaraz po powrocie do pracy po urlopie, ale także podczas zwykłych rozmów towarzyskich z przełożonymi. Kadra kierownicza wykorzystywała informacje do profilowania pracowników, a na tej podstawie prowadzono ich ocenę. Dane mogły prawdopodobnie służyć do oceny czy dany pracownik będzie odpowiedni do objęcia wyższego stanowiska, czy jego sytuacja rodzinna lub wyznanie może wpłynąć na jego wydajność w danym okresie itp.

Sprawa ujrzała światło codziennie w momencie awarii systemów komputerowych. W toku postępowania okazało się, że spółka zebrała dane o pracownikach o objętości 60 GB.

RODO:

W niniejszej sprawie organ uznał, że doszło w szczególności do naruszenia art. 5 i 6 RODO. Zgodnie z art. 5 ust. 1 RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zgodnie zaś z treścią art. 6 RODO, aby przetwarzanie danych osobowych było zgodne z prawem musi być spełniony co najmniej jeden z wymienionych w przepisie warunków m.in. warunek wyrażenia zgody przez osobę, której dane dotyczą.

Wysokość administracyjnej kary pieniężnej:

Wysokość nałożonej kary uwarunkowana jest indywidualną oceną konkretnej sprawy. Organ nadzorczy poddając analizie daną sprawę musi brać pod uwagę szereg istotnych kwestii, które wpływają na wysokość kary m.in.: charakter, waga, czas trwania danego naruszenia, kategorie danych osobowych, to czy administrator pozyskując dane działania działał umyślnie itp.

W przedmiotowej sprawie organ nadzorczy nałożył na H&M karę pieniężną, która odpowiada wysokości do 4% jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

dobra osobiste

TSUE o obowiązku kontroli komentarzy przez Facebooka

23 października 2019
facebook

W wyroku z dnia 3.10.2019 r. (C-18/18) TSUE odniósł się do tego, że Facebook może być na podstawie wyroku sądowego zobowiązany do blokowania treści zniesławiających, naruszających dobra osobiste. Nie jest to oczywiście nowość i wyrok nie byłby kontrowersyjny, gdyby nie to, że TSUE uznał, iż sąd może nałożyć na Facebooka również obowiązek kontroli pojawiających się wpisów identycznych do uznanych przez sąd za bezprawne, a także równoznacznych z nimi. Co więcej, obowiązek taki miałby dotyczyć nie tylko kraju czy Unii Europejskiej, ale całego świata. Pod adresem wyroku pojawiły się więc zarzuty internautów, że wyrok oznacza koniec wolności słowa, gdyż umożliwia wprowadzenie cenzury prewencyjnej. Czy jednak te zarzuty są zasadne?

Gdy komentarze obrażają polityków…

Posłanka i przewodnicząca klubu parlamentarnego „Zielonych” w Austrii zwróciła się do Facebooka o usunięcie obraźliwego wobec niej komentarza, zamieszczonego pod artykułem jednego z czasopism informacyjnych. Artykuł opatrzony był wizerunkiem posłanki. Wobec braku reakcji portalu, posłanka zwróciła się do sądu z wnioskiem o wydanie postanowienia w przedmiocie środka tymczasowego (odpowiednika postanowienia o udzieleniu zabezpieczenia w prawie polskim). Posłanka wniosła o nakazanie Facebookowi zaniechania publikowania i rozpowszechniania jej zdjęć, ponieważ towarzyszący im opis zawiera twierdzenia identyczne lub równoznaczne z ze zniesławiającym komentarzem. Sąd I instancji uwzględnił wniosek powódki.

Sąd drugiej instancji utrzymał środek tymczasowy częściowo – w zakresie komentarzy o identycznej treści. Co do treści równoznacznych uznał, że należy zaniechać ich rozpowszechniania jedynie wtedy, kiedy Facebook został o nich powiadomiony przez powódkę lub osoby trzecie.

Ostatecznie sprawa trafiła do austriackiego Sądu Najwyższego, który miał zdecydować, czy nakaz zaniechania naruszeń (tudzież usunięcia ich skutków) – taki, jak wydany w opisywanej sprawie przez Sądy I i II Instancji – można rozszerzyć na terytorium całego świata oraz na wypowiedzi identyczne lub równoważne ze zniesławiającym komentarzem. Sąd ten zwrócił się w tym przedmiocie do TSUE z wnioskiem o rozstrzygnięcie pytań prejudycjalnych, które wymagały interpretacji prawa unijnego.

Odpowiedzialność Facebooka jako hostingodawcy

TSUE rozpatrywał odpowiedzialność Facebooka jako dostawcy usług hostingowych (hostingodawcy), uregulowaną w tzw. dyrektywie o handlu elektronicznym[1] (dalej: „Dyrektywa”). Zgodnie z art. 14 ust. 1 Dyrektywy, hostingodawca (Facebook) co do zasady nie może być odpowiedzialny za informacje przechowywane na żądanie usługobiorcy (użytkowników), jeżeli (i) nie ma wiarygodnych wiadomości o bezprawnym charakterze informacji, a w odniesieniu do roszczeń odszkodowawczych, nie wie o stanie faktycznym lub okolicznościach, które w sposób oczywisty świadczą o tej bezprawności lub (ii) podejmie niezwłocznie działania w celu usunięcia lub uniemożliwienia dostępu do informacji, gdy uzyska takie wiadomości lub zostanie o nich powiadomiony. Przy czym nie ogranicza to państw członkowskich w ustanowieniu stosownych procedur w tym zakresie.

Oznacza to, że Facebook ma obowiązek usuwania zniesławiających komentarzy, o ile zostanie o nich powiadomiony przez użytkownika. W praktyce realizowane jest to przez opcję „zgłoś post” lub „zgłoś komentarz”.

Jednocześnie, jak wynika z art. 15 ust. 1 Dyrektywy, państwa członkowskie nie mogą nakładać na hostingodawcę ogólnego obowiązku nadzorowania informacji, które przechowuje ani ogólnego obowiązku aktywnego poszukiwania faktów i okoliczności wskazujących na bezprawną działalność. Państwa członkowskie nie mogą więc narzucić Facebookowi obowiązku wyszukiwania wszelkich bezprawnych treści i ich prewencyjnego blokowania/usuwania.

Interpretacja Dyrektywy przez TSUE

TSUE, opierając się o motywy Dyrektywy, wskazał, że zakaz nakładania ogólnego obowiązku nadzorowania informacji nie ma zastosowania w szczególnym przypadku, kiedy sąd/organ państwa członkowskiego już przeanalizował i ocenił daną informację jako zniesławiającą. Tym samym możliwe jest nakazanie przez sąd blokowania dostępu do przechowywanych przez hostingodawcę informacji o identycznej treści jak ta uznana za bezprawną przez sąd.

Ponadto, według TSUE, tak samo należy traktować informację równoznaczną, czyli taką, której treść jest niezmieniona w swej istocie. TSUE podkreślił przy tym, że fakt bezprawności równoznacznej informacji nie wynika z jej treści, ale z faktu, że taka sama informacja została wcześniej uznana za bezprawną w odniesieniu do konkretnej osoby. Różnice w kombinacji słów nie mogą przy tym nakładać na hostingodawcę obowiązku niezależnej oceny treści.

W związku z tym, że Dyrektywa nie przewiduje ograniczenia terytorialnego w stosowaniu środków ochrony, TSUE uznał, że nie ma przeszkód do blokowania informacji na całym świecie.

Dozwolona kontrola czy niedopuszczalna cenzura?

Ocena wyroku nie może być jednoznaczna. Z jednej strony, TSUE jedynie zinterpretował Dyrektywę, wydaje się, że w sposób prawidłowy. Każdy z wniosków wyroku wypływa z przepisów Dyrektywy i wpisuje się w jej motywy. Nie można powiedzieć, że wyrok wprowadza niedozwoloną cenzurę i jest sprzeczny z wolnością słowa. Wolność słowa nie jest absolutna i może podlegać ograniczeniom. Najczęściej ze względu na konieczność ochrony praw jednostki – dobrego imienia czy prawa do prywatności. Podkreślić trzeba, że każda treść, która miałaby być usunięta, podlega ocenie sądu, którzy bierze pod uwagę okoliczności konkretnej sprawy. Bezcelowe byłoby natomiast zwracanie się do sądu i przechodzenie długotrwałej procedury w celu doprowadzenia do usunięcia komentarza, który byłby niemal identyczny do tego, który sąd uznał za bezprawny.

Z drugiej strony, hostingodawca nie będzie mógł usuwać informacji w sposób dowolny, lecz ma być ona „identyczna lub równoznaczna” w treści z tą, której publikacji zakazał sąd. I tu trzeba zwrócić uwagę na inny aspekt sprawy i zastanowić się, po pierwsze, gdzie jest granica pomiędzy informacją równoznaczną, a inną informacją. TSUE bowiem nie dookreślił kryteriów takiego rozróżnienia. Po drugie, nie ma pewności, czy algorytmy, które służą wyszukiwaniu bezprawnych treści, będą w stanie we właściwy sposób wyselekcjonować taką równoznaczną informację. Biorąc pod uwagę te aspekty wydaje się, że w wyroku zabrakło praktycznego punktu widzenia. TSUE, mając na względzie wagę sprawy, w tym zakres terytorialny świadczenia usług przez Facebook i masowość korzystania z tego portalu, powinien bardziej szczegółowo się odnieść do zasad kwalifikowania informacji jako „równoważnej”. Zapewne nastąpi to przy kolejnej podobnej sprawie poddanej pod rozstrzygnięcie TSUE.

Przypisy:

[1] Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego.

 

ochrona danych osobowych

Kolejna kara finansowa za naruszenie RODO

24 czerwca 2019
naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) decyzją z dnia 25.04.2019 r. nałożył na Dolnośląski Związek Piłki Nożnej („DZPN”) administracyjną karę pieniężną w wysokości 55.750,50 zł za naruszenie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1] (ogólne rozporządzenie o ochronie danych) („RODO”). Jest to druga kara finansowa, jaką w Polsce nałożono na polskich przedsiębiorców od początku obowiązywania RODO. Pierwsza kara w wysokości blisko 1.000.000,00 zł została nałożona w marcu tego roku, o czym informowaliśmy w poprzednim wpisie.

Stan faktyczny

W lipcu 2018 r. DZPN poinformował Prezesa UODO o naruszeniu ochrony danych osobowych. Naruszenie to polegało na niezamierzonej publikacji na stronie internetowej związku danych osobowych 585 sędziów piłkarskich. Ujawnione dane obejmowały imię, nazwisko, numer PESEL oraz adres zamieszkania sędziego. W zawiadomieniu wskazano, że osoby, których dane przypadkowo opublikowano na stronie, zostały o tym fakcie powiadomione.

DZPN poinformował UODO, że podjął niezbędne kroki w celu usunięcia negatywnych skutków naruszenia.  W szczególności DZPN usunął wszelkie pliki z danymi ze strony internetowej związku oraz z wyniki wyszukiwania przeglądarek internetowych. Stosownie do wyjaśnień DZPN, dane osobowe zostały usunięte przez firmę sprawującą nadzór informatyczny nad stroną internetową związku piłkarskiego.

Na skutek skargi jednej z osób dotkniętej naruszeniem Prezes UODO podjął czynności sprawdzające. Organ zamierzał ustalić, czy dane osobowe sędziów zostały rzeczywiście usunięte ze strony internetowej DZPN. W ramach postępowania kontrolnego stwierdzono, iż dane osobowe sędziów, pomimo ich usunięcia ze strony internetowej związku piłkarskiego, są nadal dostępne za pośrednictwem wyszukiwarki internetowej po wpisaniu adresu URL „usuniętej” strony, gdzie dane zostały opublikowane lub „po podejrzeniu treści serwera DZPN”. Dopiero w toku postępowania kontrolnego udało się trwale usunąć przedmiotowe dane z wyników wyszukiwania przeglądarki internetowej.

Rozstrzygnięcie Prezesa UODO

Podstawą prawną nałożenia przez Prezesa UODO administracyjnej kary pieniężnej była przede wszystkim nieskuteczność działań DZPN zmierzających do usunięcia danych osobowych, tj. naruszenia z art. 32 ust. 1 RODO. Stosownie do treści przywołanego przepisu każdy administrator danych zobowiązany jest do wdrożenia środków technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa danych osobowych. Administrator, oceniając czy stopień bezpieczeństwa jest odpowiedni, powinien uwzględnić potencjalne ryzyko związane z przetwarzaniem danych osobowych, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b RODO). Przywołany przepis stanowi konkretyzację jednej z podstawowych zasad przetwarzania danych osobowych, tj. zasady integralności i poufności danych wyrażonej w art. 5 ust. 1 lit. f RODO.

Wysokość kary uzależniona była od szeregu czynników, tj. czasu trwania naruszenia, skali naruszenia, charakteru danych osobowych objętych incydentem. Mowa tu w szczególności o numerach PESEL, które stwarzało zagrożenie „kradzieży tożsamości” podmiotów danych. W ocenie Prezesa UODO okolicznościami przemawiającymi za złagodzeniem wymiaru kary był nieumyślny charakter incydentu, a także brak powstania szkody po stronie osób, których dane ujawniono.

Podsumowanie

W kontekście analizowanego rozstrzygnięcia Prezesa UODO należy podkreślić, iż jednym z fundamentalnych obowiązków administratora jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Bezpieczeństwo danych można osiągnąć wyłącznie za pomocą efektywnych środków ochrony zarówno technicznych, organizacyjnych, jak i prawnych. Działania podejmowane w celu usunięcia niepożądanych skutków naruszenia ochrony danych osobowych nie mogą ograniczać się jedynie do sfery deklaracji. Obowiązkiem każdego administratora jest urzeczywistnienie wymogu bezpieczeństwa danych. Ma to szczególne znaczenie w ramach outsourcingu czynności przetwarzania danych osobowych, gdzie administrator powinien się upewnić czy podmiot, za pomocą którego dokonuje przetwarzania, faktycznie usunął dane osobowe.

Przypisy:

[1] Dz. U. UE L 119 z 04.05.2016, s. 1 ze zmianą ogłoszoną w Dz. U. UE L 127 z 23.05.2018, s. 2.

prawo autorskie

Dostęp do łącza należy kontrolować

14 listopada 2018
peer-to-peer

Wskazanie członka rodziny, mającego dostęp do łącza internetowego, nie może zwalniać z odpowiedzialności za udostępnienie za pośrednictwem tego łącza pliku w drodze peer-to-peer – wynika z wyroku TSUE z dnia 18.10.2018 r. w sprawie C‑149/17 Bastei Lübbe GmbH & Co. KG przeciwko Michaelowi Strotzerowi.

Czym jest peer-to-peer (p2p)?

W dzisiejszych czasach nielegalne udostępnianie utworów w internecie jest powszechnym sposobem naruszenia praw autorskich. Do naruszenia dochodzi m.in. poprzez udostępnianie utworów na giełdzie wymiany plików peer-to-peer (p2p). Czym jednak w praktyce jest peer-to-peer? Sformułowanie to można tłumaczyć jako „równy” czy „równorzędny”. System p2p działa natomiast w ten sposób, że urządzenie użytkownika jednocześnie pobiera dane i je wysyła. Innymi słowy, kiedy internauta ściąga z sieci pliki za pomocą p2p, wysyła je również do innych osób.

Jak zidentyfikować sprawcę takiego bezprawnego udostępnienia? Internet umożliwia nam przecież podejmowanie działań w sposób pełni anonimowy. W tym zakresie pomocnym narzędziem okazuje się być adres IP, przypisywany indywidualnie odbiorcy usług dostępu do Internetu. Jednakże przypisanie adresu IP dla bezprawnych działań podejmowanych w sieci nie musi zawsze oznaczać, że właściciel łącza jest jednocześnie naruszycielem. Istnieje jednak takie domniemanie faktyczne, o ile posiadacz adresu nie wykaże braku swojej odpowiedzialności.

Postępowanie przed sądem krajowym

Michael Strotzer był właścicielem adresu IP, z którego do sieci udostępniono audiobook. Został on pozwany przez Bastei Lübbe GmbH & Co. KG – producenta fonogramu, któremu przysługiwały prawa autorskie i pokrewne do utworu w postaci audiobook’a, o odszkodowanie za naruszenie praw autorskich. Michael Strotzer powoływał się na brak swojej odpowiedzialności za naruszenie. Twierdził bowiem , że jego komputer w chwili dokonania naruszenia był wyłączony. Ponadto z jego łącza internetowego korzystali inni domownicy – jego rodzice, którzy według jego wiedzy nie mieli spornego utworu na swoim komputerze ani nie korzystali z programów p2p. Michael Strotzer podnosił jednocześnie, że jego łącze internetowe było odpowiednio zabezpieczone.

Krajowy sąd rejonowy podzielił argumentację pozwanego. Sąd uznał, że nie ma możliwości jednoznacznego stwierdzenia, kto dopuścił się naruszenia. Wobec tego należy przyjąć brak odpowiedzialności pozwanego za bezprawne udostępnienie audobiook’a w sieci. Sąd apelacyjny nabrał jednak wątpliwości co do rozstrzygnięcia sądu I instancji. Z jednej strony zauważył, że – jak wynika z orzecznictwa sądów niemieckich – jeżeli sprawca wykaże, iż do sieci miały dostęp inne osoby, posiadacz łącza nie może być uważany za domniemanego sprawcę naruszenia. Jednak z drugiej strony Sąd ten podkreślił, że to na posiadaczu spoczywa ciężar udowodnienia okoliczności, iż inne osoby miały dostęp do łącza internetowego i że to one mogły być sprawcami naruszenia.

Pytanie prejudycjalne

W wyniku powyższego, sąd apelacyjny zdecydował się zadać TSUE pytania zmierzające do ustalenia:

czy odpowiedzialność posiadacza łącza internetowego, za pośrednictwem którego dokonano naruszenia praw autorskich w drodze udostępniania plików, jest wyłączona, jeżeli posiadacz łącza wskaże przynajmniej jednego członka rodziny, który poza nim miał możliwość dostępu do tego łącza, nie podając ustalonych poprzez odpowiednią dodatkową weryfikację konkretnych szczegółów dotyczących momentu i charakteru korzystania z Internetu przez tego członka rodziny.

Rozstrzygnięcie TSUE

Rozstrzygnięcie TSUE nie pozostawia wątpliwości. Jeżeli posiadacz łącza internetowego wskaże przynajmniej jednego członka rodziny, który miał możliwość dostępu do tego łącza, jednak bez podania dokładniejszych wyjaśnień co do momentu, w którym ten członek rodziny korzystał z tego łącza, i charakteru tego użytkowania przez owego członka rodziny, nie wyłącza jego odpowiedzialności za dokonane naruszenie.

Z uzasadnienia wyroku wynika, że podanie takich danych o członkach rodziny – pomimo iż ingeruje w życie rodzinne – jest konieczne do zapewnienia podmiotom praw autorskich skutecznego dochodzenia ich praw. Przeciwny wniosek powodowałby przyznanie absolutnej ochrony członkom rodziny domniemanego naruszyciela, z jednoczesnym uniemożliwieniem poszanowania praw własności intelektualnej.

Komentarz

Rozstrzygnięcie TSUE należy ocenić pozytywnie. Przyjęcie, że samo wskazanie przez posiadacza sieci na możliwość dostępu do łącza przez inne osoby, stanowi podstawę do wyłączenia odpowiedzialności tego posiadacza, byłoby skrajnie niekorzystne dla podmiotów praw autorskich. Korzystanie z jednej sieci domowej przez domowników czy ich gości jest powszechne.  W takim przypadku każdy naruszyciel mógłby automatycznie zwolnić się z odpowiedzialności, wskazując jedynie na to, że zamieszkuje z innymi osobami. Takie stanowisko byłoby sprzeczne z zasadą ciężaru dowodu, spoczywającego na domniemanym naruszycielu, który chce powołać się na wyłączenie swojej odpowiedzialności. W efekcie powodowałoby to, że ustalenie osoby sprawcy byłoby nadmiernie utrudnione, a nawet niemożliwe. Każdy z domowników mógłby bowiem „przerzucać” odpowiedzialność na inne osoby. W konsekwencji niemożliwe byłoby skuteczne dochodzenie praw przez podmiot praw autorskich.

Samo wskazanie innej osoby nie może prowadzić do zwolnienia z odpowiedzialności właściciela adresu IP, z którego bezprawnie udostępniono utwór. W niniejszej sprawie wydane rozstrzygnięcie było tym bardziej uzasadnione, jako że pozwany argumentował, iż po pierwsze jego sieć jest wystarczająco zabezpieczona, co wyłączało ewentualny udział innych osób trzecich, a po drugie, że jego rodzice mający dostęp do łącza, nie korzystali z platformy udostępniania plików.