AKTUALNOŚCI DP / TMT – październik 2022

1. Wyrok sądu najwyższego (SN) w sprawie chomikuj.pl (II CSKP 3/22) z 27 maja 2022 r. (Wyrok) 

Wyrok jest zwieńczeniem sporu Stowarzyszenia Filmowców Polskich (SFP) z właścicielem portalu Chomikuj.pl (Serwis). 

Serwis to narzędzie, w ramach którego każdy może założyć konto i umieszczać dowolne pliki (w tym utwory w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz. U. z 2021 r. poz. 1062 z późn. zm.), które mogą być przechowywane oraz udostępniane dowolnej liczbie osób. 

Powodowie twierdzili, że w Serwisie dochodzić ma do masowego naruszania praw autorskich, wyjaśniając, że według ich własnych badań jest to aż 90% udostępnionych w Serwisie treści. Serwisowi zarzucono także bierność co do reagowania na zgłoszenia naruszenia praw. Usuwane są jedynie pliki, co do których pojawiło się zgłoszenie, nie zaś ich kopie na innych profilach użytkowników Serwisu. 

SFP domagało się (i) zapłaty odszkodowania za nielegalne udostępnianie filmów przez użytkowników; (ii) uniemożliwienia dostępu do pliku wideo chronionego prawami autorskimi wszystkim z wyjątkiem osoby, która go udostępniła; (iii) zobowiązania Chomikuj.pl do wdrożenia pirackiej autocenzury. 

SN zwrócił uwagę, że w typowej usłudze hostingu, zachowanie podmiotu świadczącego usługi (host providera) ma charakter pasywny, bierny, neutralny. W przypadku modelu biznesowego, w którym podmiot świadczący usługi hostingu zapewnia neutralność względem przekazywanych lub przechowywanych informacji, będzie miało zastosowanie zwolnienie z odpowiedzialności na podstawie art. 14 ustawy z 2002 r. o świadczeniu usług drogą elektroniczną w związku z art. 14 dyrektywy nr 2000/31/WE w sprawie niektórych aspektów prawnych i usług społeczeństwa informacyjnego. 

Podmiot współuczestnicząc w realizowaniu transferów naruszających majątkowe prawa autorskie jest współsprawcą, współnaruszycielem praw innych osób do utworów. Tym samym w pełni uzasadnione jest stanowisko, iż sposób działania Serwisu sprawia, że nie może być on traktowany jako podmiot podlegający art. 14 ustawy o świadczeniu usług drogą elektroniczną, lecz jest po prostu podmiotem, który także sam bezprawnie rozpowszechnia chronione prawem autorskim utwory. Serwis nie może więc powoływać się na art. 14 i 15 ustawy o świadczeniu usług drogą elektroniczną, a do przyjęcia jego odpowiedzialności należy zastosować art. 79 ustawy o prawie autorskim i prawach pokrewnych. 

Sąd Najwyższy uznał, że Serwis jest bezpośrednio odpowiedzialny za naruszenia autorskich praw majątkowych – na kanwie Wyroku doprecyzowana została interpretacja odpowiedzialności za szkodę w rozumieniu art. 79 ustawy o prawie autorskim i prawach pokrewnych. Za „naruszyciela” może być również uznany serwis internetowy, mimo że treści umieszczane są w nim przez użytkowników. 

Treść uzasadnienia Wyroku.

  

2. Prezes Urzędu Ochrony Danych Osobowych (PUODO) wydał decyzję upominającą w sprawie sposobu zawiadomienia o naruszeniu ochrony danych osobowych osób, których dane dotyczą (decyzja) 

W czerwcu 2022 roku PUODO otrzymał zgłoszenie naruszenia ochrony danych, w którym administrator poinformował, że dokonał zawiadomienia osób, których dane dotyczą o naruszeniu ochrony ich danych, a także przedstawił treść zawiadomienia, które kierował do tych osób. 

PUODO uznał, że zawiadomienie nie zawierało informacji wymaganych przez art. 34 ust. 2 RODO: 

  • opisu charakteru naruszenia ochrony danych osobowych; 
  • imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego; 
  • opisu możliwych konsekwencji naruszenia ochrony danych osobowych; 
  • opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków. 

Organ nadzorczy zwrócił się do administratora, aby ten odpowiednio poinformował osoby, których dane dotyczą o naruszeniu ochrony danych, jednakże administrator ponownie pominął część z wymaganych przez prawo informacji. Pominięto opis charakteru naruszenia ochrony danych osobowych uwzględniającego kategorie danych osobowych objęte naruszeniem oraz opis możliwych konsekwencji naruszenia ochrony danych osobowych. Spółka poprzestała jedynie na ogólnych sformułowaniach. 

Odpowiednie wskazanie informacji nastąpiło po wszczęciu przez Prezesa UODO postępowania administracyjnego. 

Treść decyzji.

 

3. Kara PUODO za nieudokumentowane powierzenie przetwarzania danych osobowych 

PUODO nałożył na Sułkowicki Ośrodek Kultury (SOK) karę pieniężną o wysokości 2,5 tysiąca złotych za naruszenie ochrony danych osobowych. Decyzja spowodowana była powierzeniem przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez sprawdzenia odpowiedniości środków technicznych wdrożonych przez podmiot. 

Administrator powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia przetwarzania danych podmiotowi, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów czy przechowywanie dokumentacji. SOK, chcąc powierzyć przetwarzanie danych osobowych podmiotowi zewnętrznemu, powinien zweryfikować czy przetwarzanie będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. 

Organ nadzorczy ustalił, że administrator nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Ponadto, zwrócenie się do niego z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych okazało się bezskuteczne. 

Na gruncie RODO dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty. Administrator jest obowiązany zapewnić bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. 

Treść kary.

 

4. Zarządzenie włoskiego organu ds. Ochrony danych (DPA, organ) osobowych w sprawie TikTok 

W zarządzeniu nr 248 z dnia 7 lipca 2022 r. DPA wypowiedział się na temat gromadzenia danych użytkowników przez TikTok dla celów reklamowych bez zbierania zgód osób, do których kierował komunikację marketingową. 

Zarządzenie to jest pokłosiem dochodzenia prowadzonego przez organ, wszczętego po ogłoszeniu przez TikTok zmian w polityce prywatności. Zgodnie ze zmienionym dokumentem, osoby powyżej 18 roku życia miały otrzymywać spersonalizowane reklamy bez wyrażenia uprzedniej, wyraźnej zgody, a podstawą tego przetwarzania miał być uzasadniony interes administratora danych. 

DPA wskazał chińskiej platformie, że taka zmiana, przynajmniej w odniesieniu do informacji przechowywanych na urządzeniach użytkowników, jest niezgodna z dyrektywą dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej 2002/58/WE („Dyrektywa o prywatności i łączności elektronicznej”) oraz z art. 122 włoskiego prawa ochrony danych osobowych. 

Organ wyraził również zaniepokojenie ochroną małoletnich zarejestrowanych w portalu. Zdaniem DPA w związku z trudnościami TikToka związanymi z weryfikowaniem wieku swoich użytkowników, nie da się uniknąć sytuacji, w której spersonalizowana reklama dotrze do najmłodszych podmiotów i zasugeruje im nieodpowiednie treści. 

Nieprzestrzeganie przez platformę społecznościową Dyrektywy o prywatności i łączności elektronicznej pozwoliło organowi działać poza procedurą współpracy przewidzianą w RODO, tj. bez interwencji irlandzkiego organu ochrony danych, który jest właściwy terytorialnie. DPA wezwał TikTok do wycofania się z planowanych zmian, zastrzegając sobie prawo do podjęcia dalszych środków. 

Po ostrzeżeniach organu, TikTok odłożył w czasie implementacje spersonalizowanej reklamy opartej na uzasadnionym interesie administratora. DPA zadeklarował, że jest otwarty „na dialog mający na celu znalezienie równowagi między interesami gospodarczymi a prawami użytkowników”. 

Zarządzenie w języku włoskim.

 

5. Wypowiedź duńskiego organu nadzorczego w sprawie korzystania z Google Analytics (GA) 

Duński organ nadzorczy jest kolejnym z europejskich DPA, który wydał decyzję w sprawie Google Analytics, tym samym ugruntowując stanowisko na temat przetwarzania danych przy pomocy Google Analytics. 

Narzędzie pomiarowe Google, które transferuje dane do USA, po raz kolejny zostało uznane za niezgodne z RODO ze względu na niezapewnienie odpowiedniego poziomu ochrony danych osobowych. 

Zgodnie z wytycznymi duńskiego DPA, duńskie organizacje korzystające z Google Analytics muszą dostosować korzystanie z narzędzia do obowiązujących przepisów. Dostosowanie GA polegać ma, tak jak wskazał francuski DPA, na zastosowaniu pseudonimizacji danych z wykorzystaniem „reverse proxy”. Wdrożenie tego rozwiązania polega na: 

  • upewnieniu się, że GA aktywuje skrypty tylko po uzyskaniu zgody użytkownika końcowego; 
  • skonfigurowaniu GA po stronie serwera i wdrożenie go na serwerach znajdujących się, a także będących własnością UE; 
  • pozbyciu się wszystkich identyfikatorów osobistych przed transferem danych do USA, np. numerów IP. 

Jeżeli zastosowanie pseudonimizacji nie jest możliwe, przedsiębiorcy winni zaniechać używania narzędzia Google Analytics na rzecz oprogramowania zgodnego z europejskimi standardami. 

Wypowiedź organu w języku angielskim.

Autorami publikacji są: Katarzyna Szczudlik, Aleksandra Czubek oraz Kacper Krawczyński. 

Wróć do