Browsing Tag

rodo

aktualności nowe technologie ochrona danych osobowych prawo IT

Nowa polityka cookies w usługach Google

5 maja 2022

Pod koniec 2021 r. francuski organ nadzorczy CNIL (Commission Nationale de l’Informatique et des Libertés) nałożył na dwie spółki Googla karę w łącznej wysokości 150.000.000 euro. Niecałe cztery miesiące później amerykański koncern poinformował o zmianie zakwestionowanych zasad akceptowania i odrzucania plików cookies (ciasteczek) w całej Europie.[1]

Polityka Googla

Cookies to niewielkie pliki zapisywane na komputerze, które przechowują informacje związane z odwiedzanymi stronami internetowymi. Nierzadko są one niezbędne do prawidłowego korzystania z sieci (np. przechowują dane o logowaniu na stronie, informacje o produktach umieszczonych w koszyku). Wspomniane pliki są jednak wykorzystywane również do gromadzenia bardzo wielu danych dotyczących aktywności użytkowników. Informacje takie mogą zostać później wykorzystane do różnego rodzaju działań marketingowych czy też profilowania internautów. Zakres gromadzonych w plikach danych powoduje, że w prawie europejskim są one traktowane jako dane osobowe. Z tego też powodu zasady ich zapisywania oraz wykorzystywania znajdują się pod kontrolą właściwych organów państwowych.

Dotychczas użytkownik wchodzący na stronę wyszukiwarki Google lub na portal YouTube miał do wyboru dwie podstawowe opcje związane z cookies. Mógł zaakceptować wszystkie (w tym marketingowe i związane z profilowaniem) albo dostosować zakres ich wykorzystywania do własnych preferencji. Brak było natomiast opcji odrzucenia wszystkich (niewymaganych) ciasteczek. Uzyskanie takiego efektu wymagało zapoznania się z listą zbieranych informacji oraz wykonania kilku dodatkowych kliknięć.

Rozstrzygniecie CNIL i zmiana zasad odrzucania cookies

CNIL zakwestionowała opisany brak możliwości łatwego odrzucenia wszystkich (niewymaganych) ciasteczek.[2] Organ zwrócił uwagę, że możliwość prostego zaakceptowania wszystkich plików cookies wpływa na swobodę decyzji osoby odwiedzające strony google.fr oraz youtube.com. W ocenie CNIL uczynienie mechanizmu odrzucenia ciasteczek bardziej skomplikowany niż mechanizm ich akceptacji w rzeczywistości zniechęca użytkowników do odrzucania ciasteczek i zachęca ich do wybierania przycisku „Zgadzam się”.

Warto również zwrócić uwagę na podstawę nałożonej kary. Wymierzona została ona w oparciu o art. 82 francuskiej ustawy o ochronie danych osobowych (La loi Informatique et Libertés). Przepis ten zawiera jedynie podstawowe zasady dotyczące tworzenia i wykorzystywania ciasteczek. Jego istotnym uzupełnieniem są natomiast prawnie wiążące wytyczne CNIL z 17.09.2020 r.[3] Zgodnie z ich treścią, administrator danych musi zapewnić użytkownikom możliwość akceptacji, jak i odmowy wykonania operacji z takim samym stopniem prostoty. Działania Google można było więc uznać za jednoznacznie sprzeczne ze wskazanymi wytycznymi.

Ostatecznie, Google zdecydowało się na uwzględnienie wytycznych CNIL, poprzez dodanie trzeciego przycisku, pozwalającego w prosty sposób odrzucić wszystkie niewymagane pliki cookies. Zmiany maja być systematycznie wdrażane na wszystkich europejskich podstronach koncernu.

Czy w Polsce również możliwe jest nałożenie podobnych kar?

Dla wielu podmiotów bardzo istotna będzie odpowiedź na pytanie, czy analogiczną karę można byłoby nałożyć na podstawie polskich przepisów. Art. 173 prawa telekomunikacyjnego[4] zbliżony jest do wspominanego art. 82 francuskiej ustawy o ochronie danych. Trudno jednak znaleźć bezpośrednią podstawę prawną do formułowania rygorystycznych wymogów odnośnie odrzucania cookies. Z drugiej zaś strony stanowisko CNLI wydaje się dobrze wpasowywać w ducha europejskich regulacji dotyczących ochrony danych osobowych. Może zatem stanowić ważną wskazówkę również dla polskich organów i w sposób pośredni wpłynąć także na krajowy rynek.

Czy będzie więcej podobnych zmian?

Obecnie trudno jest jeszcze przewidzieć czy i jak wiele innych podmiotów zdecyduje się na wprowadzenie zmian analogicznych do Googla. Istotą omawianego problemu nie jest bowiem dodanie dodatkowego przycisku, a zmiana modelu korzystania z ciasteczek. Potencjalnie może ona skutkować znacząco mniejszą liczbą uzyskiwanych zgód, a w konsekwencji i pozyskiwanych informacji. W czasach, gdy wiele przedsiębiorstw opiera swoją działalność na danych, ograniczenie dostępu do nich zawsze jest jednak trudną decyzją.


[1] https://www.blog.google/around-the-globe/google-europe/new-cookie-choices-in-europe/

[2] Streszczenie decyzji wraz z jej uzasadnieniem dostępne są w języku angielskim na stronie: https://www.cnil.fr/en/cookies-google-fined-150-million-euros

[3] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux operations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

[4] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2021 r. poz. 576 z późn. zm.).

dobra osobiste

Ślepy pozew kontra anonimowy hejter

25 sierpnia 2021

Naruszenie dóbr osobistych w Internecie

Do naruszeń dóbr osobistych za pośrednictwem Internetu dochodzi coraz częściej. Wolność wypowiedzi na forach internetowych z uwagi na pozorną anonimowość użytkowników często prowokuje niepohamowane wypowiedzi, które przeradzają się w mowę nienawiści naruszającą dobra osobiste osób trzecich.

Dochodząc swoich praw przed sądem, musimy  zidentyfikować osobę, której zarzucamy bezprawny czyn. W aktualnym stanie prawnym, w pozwie należy wskazać m.in. imię i nazwisko, miejsce zamieszkania oraz adres pozwanego[1]. Staje się to jednak skomplikowane, gdy pozwanym ma być osoba posługująca się anonimowym nickiem czy fałszywymi danymi.

Aktualne trudności z ustaleniem danych sprawcy

W celu uzyskania prawdziwej tożsamości takiej osoby można skorzystać ze ścieżki przewidzianej przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”) tj. wystąpić do administratora portalu o udostępnienie numeru IP, imienia i nazwiska czy adresu e-mail użytkownika, który naruszył nasze dobra osobiste (art. 6 pkt 1 ppkt f RODO). W przypadku spotkania się z odmową ze strony administratora, można wystąpić do Prezesa Urzędu Ochrony Danych Osobowych o wydanie decyzji nakazującej mu wydanie takich danych (art. 60 ustawy z dnia 10.05.2018 r. o ochronie danych osobowych w zw. z art. 58 ust. 2 RODO), a w dalszej kolejności wstąpić na drogę postępowania sądowoadministracyjnego. Ewentualnie można żądać ustalenia tożsamości sprawcy na drodze postępowania karnego. Obie drogi są jednak złożone i niejednokrotnie wymagają sporego nakładu czasowego.

Ustawa o wolności słowa w internetowych serwisach społecznościowych – czyli jak pozwać, gdy nie wiemy kogo

Powyższym problemom zaradzić miałby tzw. ślepy pozew. Nie jest to pomysł nowy, bowiem kilka lat temu o wprowadzenie tej instytucji wnioskował ówczesny RPO Adam Bodnar. W tym roku, sprawa stała się głośna na skutek przygotowanego przez Ministerstwo Sprawiedliwości projektu ustawy o ochro­nie wol­no­ści sło­wa w in­ter­ne­to­wych ser­wi­sach spo­łecz­no­ścio­wych[2] (dalej: „ustawa o wolności słowa”).

Zgodnie z założeniami ustawy o wolności słowa, zamiast danych personalnych i adresowych w pozwie wystarczy zamieścić informacje pozwalające ustalić osobę, która dopuściła się naruszenia, w szczególności nazwę profilu lub login użytkownika.

Ślepy pozew

Ponadto pozew powinien zawierać:

  1. wniosek  o  zabezpieczenie  powództwa  poprzez  zobowiązanie  usługodawcy do wskazania danych pozwanego określonych  w art.  18  ust.  1-5  ustawy  z  dnia  18  lipca  2002  r.  o  świadczeniu usług  drogą elektroniczną w oparciu o podane przez powoda informacje;
  2. wskazanie  publikacji,  w  szczególności  komunikatów  pisemnych,  zdjęć,  nagrań  audio oraz wideo, naruszających dobra osobiste, z podaniem adresu URL  zasobu danych internetowych, na którym zostały opublikowane, daty i godziny  publikacji oraz nazwy profilu lub loginu użytkownika, o ile będzie to możliwe;
  3. oświadczenie  powoda,  że  podjął  próbę  powiadomienia  pozwanego  o  zamiarze wytoczenia  przeciwko  niemu  powództwa  albo  oświadczenie,  że  powiadomienie takie nie było możliwe, wraz z podaniem przyczyny.

Jeżeli sąd nie stwierdzi oczywistej bezzasadności roszczenia, to zobowiąże serwis społecznościowy do przekazania konkretnych danych. Należy jednak pamiętać, że dostawca usług telekomunikacyjnych obowiązany jest zatrzymywać i przechowywać dane generowane w sieci telekomunikacyjnej lub przetwarzane przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć (art. 108a ust. 1 pkt 2 Prawa telekomunikacyjnego). Ustawa nie przewiduje wydłużenia tego okresu. W związku z tym, sądy musiałyby podejmować czynności zmierzające do zidentyfikowania pozwanego w okresie krótszym niż 12 miesięcy, przy jednoczesnym założeniu, że osoba dochodząca swoich praw niezwłocznie się o nie zatroszczy.

Zgodnie z założeniem projektu, sąd z mo­cy pra­wa umo­rzy po­stę­po­wa­nie, je­że­li usłu­go­daw­ca nie na­de­śle da­nych iden­ty­fi­ku­ją­cych ano­ni­mo­we­go na­ru­szy­cie­la w ter­mi­nie 3 mie­się­cy. Natomiast nienadesłanie danych, bez usprawiedliwionego powodu, będzie wiązać się z nałożeniem kary grzywny do 3 000 zł.

Projekt ustawy oczekuje na wpis do wykazu prac legislacyjnych Rady Ministrów.

Autor wpisu: Aleksandra Rudzińska


[1] W przypadku osób prawnych odpowiednio nazwę pozwanego oraz adres i siedzibę. Ponadto, pod rygorem zawieszenia postępowania, powód ma obowiązek wskazać dane niezbędne do ustalenia przez sąd numerów, odpowiednio: PESEL, NIP lub KRS (art. 177 § 1 pkt 6 w zw. z art. 2081 k.p.c.).

[2] Projekt ustawy dostępny pod linkiem: https://www.gov.pl/web/sprawiedliwosc/zachecamy-do-zapoznania-sie-z-projektem-ustawy-o-ochronie-wolnosci-uzytkownikow-serwisow-spolecznosciowych.

cyberbezpieczeństwo nowe technologie ochrona danych osobowych sztuczna inteligencja

Sztuczna inteligencja pod lupą europejskich organów ochrony danych osobowych

17 sierpnia 2021

Sztuczna inteligencja, jakkolwiek wielu z nas kojarzy się bardziej z filmami z gatunku science fiction niż z rzeczywistością, powoli wkracza w wiele obszarów naszego życia – od systemów zawartych w smartfonach i samochodach po urządzenia obrazowania termicznego znajdujące się na lotniskach.

Projekt unijnego rozporządzenia w sprawie sztucznej inteligencji

Tempo zmian technologicznych i wyzwania jakie stawia rozwój techniki prawodawstwom skłonił Komisję Europejską do uregulowania kwestii sztucznej inteligencji na poziomie formalnym, co skutkowało publikacją w 2018 r. europejskiej strategii na rzecz sztucznej inteligencji, zaś w 2020 r. białej księgi w sprawie sztucznej inteligencji. Z kolei w dniu 21 kwietnia 2021 r., po przeprowadzeniu wielomiesięcznych konsultacji, opublikowano wniosek w sprawie projektu ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji).

Przy tworzeniu projektu rozporządzenia z jednej strony brano pod uwagę potrzebę ochrony praw podstawowych uregulowanych w Karcie praw podstawowych Unii Europejskiej oraz interesów publicznych i prywatnych, z drugiej zaś strony – ustanowiono mechanizmy pozwalające na rozwój i wdrażanie sztucznej inteligencji w Unii. Intencją Komisji było zbudowanie zaufania do systemów sztucznej inteligencji, poprzez wyważenie potrzeb pomiędzy coraz częstszym jej wykorzystywaniem a ryzykiem jakie niesie ona ze sobą dla wielu dziedzin naszego życia.

Projekt rozporządzenia określa m. in. zasady stosowania systemów sztucznej inteligencji wysokiego ryzyka, zasady stosowania systemów rozpoznawania emocji (służących do rozpoznawania lub odgadywania emocji lub zamiarów osób na podstawie danych ich biometrycznych), systemów kategoryzacji biometrycznej (służących do przypisywania osób do określonych kategorii, takich jak płeć, wiek, kolor włosów, tatuaże, pochodzenie etniczne lub orientacja seksualna bądź polityczna, na podstawie ich danych biometrycznych), obowiązki dostawców i użytkowników systemów oraz zasady certyfikacji systemów. Wprowadzono także wysokie kary za nieprzestrzeganie przepisów rozporządzenia.

Dane osobowe a sztuczna inteligencja

Jedną z kwestii, która od początku budziła szczególne zainteresowanie, była kwestia ochrony danych osobowych osób fizycznych w kontekście ich przetwarzania w systemach sztucznej inteligencji. Jak wiemy, ochrona danych osobowych, od czasu wejścia w życie RODO, zyskała szczególne znaczenie. Nie dziwi więc zainteresowanie europejskich organów ochroną danych osobowych w systemach sztucznej inteligencji.

W projekcie rozporządzenia przesądzono m. in., że:

  • wszelkie dane osobowe przetwarzane w systemach znajdować się muszą w funkcjonalnie wyodrębnionym, odizolowanym, kontrolowanym i chronionym środowisku, a dostęp do nich posiadać mogą wyłącznie upoważnione osoby;
  • żadne przypadki przetwarzania danych osobowych nie mogą prowadzić do wdrożenia środków lub podjęcia decyzji wywierających wpływ na osoby, których dane dotyczą;
  • wprowadzono zakaz stosowania systemów wykorzystujących techniki podprogowe będące poza świadomością danej osoby w celu istotnego zniekształcenia zachowania tej osoby w sposób, który powoduje lub może powodować u niej lub u innej osoby szkodę fizyczną lub psychiczną;
  • wprowadzono zakaz wykorzystywania do celów egzekwowania prawa, z wyjątkiem zamkniętej listy trzech sytuacji, systemów do zdalnej identyfikacji biometrycznej osób fizycznych „w czasie rzeczywistym” w przestrzeni publicznej.

Systemy, o jakich mowa w ostatnim z ww. punktów, to systemy służące do rozpoznawanie danych np. twarzy, chodu, odcisków palców, DNA, głosu i innych sygnałów biometrycznych lub behawioralnych i służące do identyfikacji osób fizycznych na odległość, poprzez porównanie danych biometrycznych takiej osoby z danymi zgromadzonymi w rejestrze. Działanie systemów „w czasie rzeczywistym” oznacza że pobranie danych, porównanie i identyfikacja osoby następują niemalże natychmiast, a w każdym razie bez znacznego opóźnienia. Gdzie takie systemy mogą być wykorzystywane? Wyobraźmy sobie chociażby możliwość niemalże natychmiastowego ustalenia sprawcy przestępstwa na podstawie nagrania z kamery przesyłowej, po porównaniu cech jego twarzy lub chodu z danymi w rejestrze. Z drugiej strony – możliwość ustalenia tożsamości uczestników pokojowego zgromadzenia i wykorzystania tych informacji w celach politycznych. Dlatego też, oprócz pozytywnego efektu w zakresie walki z przestępczością, zastosowanie takich systemów może mieć ogromny wpływ na życie prywatne każdego z nas, poprzez wywoływanie poczucia stałego nadzoru i zniechęcania np. do korzystania z wolności zgromadzeń. W konsekwencji zastosowanie tychże systemów ograniczono do trzech przypadków, m. in. poszukiwania ofiar przestępstw, w tym zaginionych dzieci, zapobiegania zagrożeniu życia lub bezpieczeństwa osób lub atakowi terrorystycznemu.

Rekomendacje EROD i EIOD

W związku z trwającymi konsultacjami projektu rozporządzenia, w dniu 18 czerwca 2021 r. głos w jego sprawie zabrały Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD), wydając wspólną opinię w sprawie projektu rozporządzenia. Jakkolwiek  uznano projekt rozporządzenia za dobry krok, wezwano jednocześnie do kategorycznego wprowadzenia zakazu wykorzystywania sztucznej inteligencji do automatycznego rozpoznawania cech ludzkich w przestrzeni publicznej, w jakimkolwiek kontekście. Wyrażono wręcz opinię, że wdrożenie takich systemów w przestrzeni publicznej oznaczać będzie koniec anonimowości.

W opinii zalecono także wprowadzenie zakazu stosowania systemów sztucznej inteligencji wykorzystujących dane biometryczne do podziału osób na grupy ze względu na pochodzenie etniczne, płeć, poglądy polityczne lub orientację seksualną, czy z innych względów, które mogą prowadzić do niesprawiedliwej dyskryminacji.

EROD i EIOD uznały także, że wykorzystywanie systemów sztucznej inteligencji do odgadywania emocji osób powinno być zabronione, z wyjątkiem kilku ściśle określonych przypadków, takich jak niektóre cele zdrowotne, gdzie istotna jest diagnoza stanu emocjonalnego pacjenta. Za szczególnie niepożądane uznano wykorzystywanie sztucznej inteligencji do wszelkiego rodzaju oceny punktowej zachowań społecznych.

Konsultacje wniosku w zakresie projektu rozporządzenia nadal trwają.

Treść opinii EROD i EIOD pokazuje, że zabrały one ważny i potrzebny głos w sprawie dyskusji nad sztuczną inteligencją.

Autor wpisu: Marta Pasztaleniec

ochrona danych osobowych

Kara 35 mln euro nałożona na H&M za naruszenie RODO

15 października 2020

Komisarz ds. ochrony danych osobowych i wolności informacji w Hamburgu (the Hamburg Commissioner for Data Protection and Freedom of Information) nałożył grzywnę w wysokości ponad 35 mln euro na szwedzką sieć odzieżową H&M (Hennes & Mauritz Online Shop A.B. & Co KG). Powodem nałożenia (jednej z najwyższych, jak do tej pory) kary było naruszenie RODO.

Stan faktyczny:

Co najmniej od roku 2014 część pracowników H&M Service Center w Norymberdze było inwigilowanych pod kątem ich życia prywatnego, a następnie te dane były utrwalane i przechowywane na dyskach wewnętrznych spółki.

Spółka rejestrowała wiele informacji na temat swoich pracowników dotyczących urlopów, zwolnień lekarskich, sytuacji rodzinnej, czy też kwestii związanych z przekonaniami religijnymi. Dane były zbierane podczas rozmów z pracownikami przeprowadzanych np. zaraz po powrocie do pracy po urlopie, ale także podczas zwykłych rozmów towarzyskich z przełożonymi. Kadra kierownicza wykorzystywała informacje do profilowania pracowników, a na tej podstawie prowadzono ich ocenę. Dane mogły prawdopodobnie służyć do oceny czy dany pracownik będzie odpowiedni do objęcia wyższego stanowiska, czy jego sytuacja rodzinna lub wyznanie może wpłynąć na jego wydajność w danym okresie itp.

Sprawa ujrzała światło codziennie w momencie awarii systemów komputerowych. W toku postępowania okazało się, że spółka zebrała dane o pracownikach o objętości 60 GB.

RODO:

W niniejszej sprawie organ uznał, że doszło w szczególności do naruszenia art. 5 i 6 RODO. Zgodnie z art. 5 ust. 1 RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zgodnie zaś z treścią art. 6 RODO, aby przetwarzanie danych osobowych było zgodne z prawem musi być spełniony co najmniej jeden z wymienionych w przepisie warunków m.in. warunek wyrażenia zgody przez osobę, której dane dotyczą.

Wysokość administracyjnej kary pieniężnej:

Wysokość nałożonej kary uwarunkowana jest indywidualną oceną konkretnej sprawy. Organ nadzorczy poddając analizie daną sprawę musi brać pod uwagę szereg istotnych kwestii, które wpływają na wysokość kary m.in.: charakter, waga, czas trwania danego naruszenia, kategorie danych osobowych, to czy administrator pozyskując dane działania działał umyślnie itp.

W przedmiotowej sprawie organ nadzorczy nałożył na H&M karę pieniężną, która odpowiada wysokości do 4% jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

ochrona danych osobowych

Czy trzeba zbierać zgody na publikację zdjęć w mediach społecznościowych?

22 czerwca 2020

Sąd I instancji w Geldrii (Holandia) orzekł, że przetwarzanie danych osobowych w postaci zdjęć nieletnich dzieci Powódki przez ich babcię jest niezgodne z prawem i powinno opierać się na zgodzie. Sąd uznał, że nie można jednoznacznie stwierdzić czy publikacja zdjęć w social mediach realizuje wyjątek „prywatnego użytku” wyłączający stosowanie RODO.

Stan faktyczny

 Sprawa prowadzona przed holenderskim sądem dotyczyła sporu o usunięcie zdjęć dzieci Powódki opublikowanych na portalach społecznościowych przez ich babcię (Pozwana). Zdjęcia zostały upublicznione bez zgody Powódki, mimo że holenderskie prawo wymaga uzyskania zgody na publikację od opiekuna prawnego dziecka. W postępowaniu sądowym Pozwana przyznała, że w przeszłości publikowała zdjęcia wnucząt w social mediach, zostały one jednak usunięte. Pozwana zachowała jednak fotografię jednego z dzieci, z którym łączy ją szczególna więź emocjonalna. Ponadto w toku procesu okazało się, że Pozwana opublikowała również zdjęcie, na którym została sfotografowana wraz z Powódką, na co nie uzyskała jej zgody.

Sąd uznał, że warunkiem legalnej publikacji zdjęć na portalach społecznościowych było uzyskanie zgody Powódki. Z tego względu nakazał Pozwanej usunąć opublikowane fotografie pod groźbą zapłaty kary grzywny za każdy dzień zwłoki w wykonaniu tego obowiązku.

Czy publikacja zdjęć w mediach społecznościowych jest aktywnością o charakterze osobistym?

Omawiany wyrok może odegrać pewne znaczenie w stosowaniu prawa w naszym kraju, gdyż sąd powołał się na art. 2 ust. 2 lit c RODO. Zgodnie z tym przepisem, RODO nie znajduje zastosowania gdy dane osobowe przetwarza osoba fizyczna w ramach czynności o czysto osobistym lub domowym charakterze. Z tego względu dozwolone jest np. prowadzenie monitoringu prywatnej posesji czy utrzymywanie prywatnych książek adresowych. RODO w takich przypadkach nie stosuje się.

Za użytek prywatny uznawano dotychczas prowadzenie kont w mediach społecznościowych. W omawianym orzeczeniu Sąd stwierdził jednak, że nie jest możliwe jednoznaczne stwierdzenie czy publikowanie zdjęć w social mediach to działalność o charakterze prywatnym lub domowym. Po pierwsze nie w każdym wypadku możliwe jest ustalenie stosowanych zabezpieczeń konta (tak było w omawianej sprawie). Ponadto istnieje zagrożenie, że opublikowane zdjęcia będą dostępne za pośrednictwem wyszukiwarek np. Google. Nie można także wykluczyć, że opublikowane zdjęcia trafią w ręce osób trzecich. Z powyższych względów, według holenderskiego sądu, uzasadnione jest stosowanie RODO w takich przypadkach.

Komentarz:Jak legalnie publikować zdjęcia?

Grupa Robocza Art. 29 w opinii na temat portali społecznościowych uznała, że przetwarzanie danych osobowych w ramach takich portali zasadniczo mieści się w ramach czynności o charakterze czysto osobistym, chyba że dostęp do tych danych maja inne osoby niż wybrane przez użytkownika. Omawiany wyrok wydaje się zaostrzać tę regułę.

Mimo że orzeczenie holenderskiego sądu nie ma bezpośredniego zastosowania na terenie Polski, jednak może służyć jako precedens w przypadku rozpoznawania podobnych spraw przez sądy krajowe. Jak w związku z tym publikować zdjęcia by obyło się bez problemów? – Warto pytać sfotografowane osoby o zgodę na publikację. To nic nie kosztuje, a może zaoszczędzić wiele nerwów i stresu.