Wraz z rosnącą popularnością chatbotów opartych na dużych modelach językowych pojawiają się nowe wyzwania związane z ochroną danych osobowych. Kto powinien ponosić odpowiedzialność za wprowadzane i generowane przez te modele dane – użytkownicy, dostawcy technologii czy wdrażający chatboty

AEPD opublikowało nowych artykuł na blogu, w którym wyjaśnione zostały niuanse transparentności w kontekście AI. W publikacji zaakcentowana zostaje różnica między dwoma kluczowymi ramami regulacyjnymi tj. propozycją rozporządzenia w sprawie ustanowienia zharmonizowanych zasad dotyczących sztucznej inteligencji (projekt ustawy AI) a zasadą transparentności zawartą w RODO.

Noyb zwrócił się do CNIL o nakazanie usunięcia wszystkich danych, które są przetwarzane niezgodnie z prawem przez aplikacje MyFitnessPal (aplikacja fitness), Fnac (aplikacja dotycząca nieruchomości) i SeLoger (sklep elektroniczny).

Duński organ ochrony danych (Datatilsynet) rozszerzył swoje dotychczasowe wytyczne dotyczące prawa do usunięcia danych w odniesieniu do wyszukiwarek internetowych. W szczególności Datatilsynet zauważył, że często otrzymuje zapytania od obywateli, którzy mają wątpliwości, czy mają prawo do usunięcia swoich informacji z wyszukiwarek i jak powinni korzystać z takiego prawa.

Sąd Najwyższy opublikował wyrok High Court of Justice w sprawie Prismall przeciwko Google UK, w którym oddalił pozew zbiorowy o odszkodowanie w związku z utratą kontroli nad danymi osobowymi przeciwko pozwanym Google UK Limited i DeepMind Technologies Limited oraz zarządził wydanie wyroku skróconego na ich korzyść.

Teza : Prawo do uzyskania „kopii” danych osobowych oznacza przekazanie osobie, której dane dotyczą, wiernej i zrozumiałej kopii wszystkich tych danych. Prawo to obejmuje prawo do uzyskania kopii fragmentów dokumentów, całych dokumentów lub wyciągów z baz danych, które zawierają te dane, jeżeli jest to niezbędne, aby umożliwić osobie, której dane dotyczą, skuteczne wykonywanie praw przyznanych jej przez RODO.

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) ogłosił w dniu 8 grudnia 2022 r., że wydał w tym samym dniu wyrok w sprawie C‑460/20 TU, RE/Google LLC, w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym złożonego przez niemiecki Federalny Trybunał Sprawiedliwości w sprawie prawa do usunięcia danych na podstawie art. 17 ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679), RODO.

SDBN podniósł, że w latach 2013-2021 Twitter zebrał dane osobowe z ponad 30 000 aplikacji, w tym np. aplikacji Shazam.

AEPD opublikował w dniu 2 listopada 2022 r. decyzję w postępowaniu o nr PS-00183-2022, mocą której nałożył grzywnę w wysokości 25.000 EURO na CaixaBank za naruszenie art. 16 RODO. Postępowanie wszczęto wskutek skargi klienta.

Garante opublikował decyzję o nr 305, w której nałożył na BPER Banca SpA grzywnę w wysokości 10 000 euro za naruszenie art. 12 i 17 RODO po otrzymaniu skargi złożonej przez osobę fizyczną.

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną z powodu niezgłoszenia do UODO naruszenia ochrony danych osobowych polegającego na utracie świadectwa pracy pracownika.

Holenderski organ nadzorczy nałożył na czasopismo karę administracyjną w wysokości 525 000 euro, gdyż zażądała od osób, które chciały mieć wgląd do swoich danych lub usunąć swoje dane, aby najpierw przesłały kopię dokumentu tożsamości.

Jednym z podstawowych obowiązków pracownika jest obowiązek sumiennego i starannego wypełnienia zadań wyznaczanych przez pracodawcę. Kontrolę nad działaniami podejmowanymi przez personel sprawuje pracodawca, który jest zainteresowany maksymalnym wykorzystaniem potencjału zatrudnionych pracowników. W tym celu może on stosować wobec nich monitoring poczty elektronicznej, który stanowi jedną z najbardziej popularnych metod kontroli zachowania pracownika.

Do naruszenie ochrony danych może dojść wskutek działań pracowników przetwarzających dane jak również może nastąpić z przyczyn technicznych. Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne (motyw 85 RODO)

Pełnomocnik pewnej spółki złożył do Prezesa Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych. Naruszenie polegało na przesłaniu wiadomości e-mail dotyczącej jednego z potencjalnych klientów na niewłaściwy adres poczty elektronicznej, w wyniku czego dane osobowe potencjalnego klienta zostały udostępnione osobie nieuprawnionej.

Zgodnie z ust. 1 art. 34 RODO jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Schemat przedstawia procedurę zawiadamiania osoby, której dane dotyczą o naruszeniu ochrony danych.

Schemat przedstawia procedurę zgłaszanie naruszenia ochrony danych osobowych. Zgodnie z ust. 1 art. 33 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Mimo uznanych korzyści płynących z przetwarzania danych w chmurze (tzw. cloud computingu) zarówno pod względem ekonomicznym, jak i społecznym, trzeba wziąć pod uwagę, że wykorzystywanie usług przetwarzania w chmurze na szeroką skalę może wywołać szereg zagrożeń.