Blog prawniczy

Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.

Raporty due diligence (DD) powinny poprzedzać każdą większą transakcję, zarówno tę o zasięgu krajowym, jak i międzynarodowym. W praktyce wyróżnia się kilka różnego rodzaju raportów DD, które powinny być przeprowadzone na poszczególnych etapach współpracy. Potencjalnie najistotniejszym rodzajem badania należytej staranności są raporty typu Red flag. Co to takiego, i dlaczego tytułowe „czerwone flagi” mogą mieć krytyczny wpływ na całą operację biznesową?

Duża część dyskusji w zakresie ochrony danych osobowych krąży wokół tego czy jakieś konkretne dane można uznać za dane osobowe czy nie. Czasami granica jest bardzo cienka. Przykładowo czy sam numer telefonu – bez imienia i nazwiska – może stanowić daną osobową. Wyrok Wojewódzkiego Sądu Administracyjnego we Wrocławiu z 27 marca 2024 r. (II SA/Wa 1378/23) rzuca nowe światło na tę problematykę, jednocześnie poruszając kluczowe aspekty odpowiedzialności administratorów danych osobowych.

Już 13 grudnia 2024 roku zaczyna obowiązywać unijne rozporządzenie Parlamentu Europejskiego i Rady 2023/988 w sprawie ogólnego bezpieczeństwa produktów. Jego celem jest zwiększenie poziomu ochrony konsumentów przy jednoczesnym dążeniu do ujednolicenia warunków działań przedsiębiorstw. Nowe prawo wprowadza wiele nowych rozwiązań, które zmuszone będą wdrożyć przede wszystkim podmioty działające w obszarze e-commerce. Co dokładnie zmienia rozporządzenie GPSR?

Zgodnie z art. 224 ust. 1 i 2 ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (dalej „ustawa Pzp”), jeżeli cena oferty wydaje się rażąco niska w stosunku do przedmiotu zamówienia i budzi wątpliwości zamawiającego co do możliwości wykonania przedmiotu zamówienia zgodnie z wymaganiami określonymi przez zamawiającego lub wynikającymi z odrębnych przepisów, w szczególności jest niższa o 30% od wartości zamówienia lub średniej arytmetycznej cen wszystkich złożonych ofert, zamawiający zwraca się o udzielenie wyjaśnień.

Jednym z ciekawszych przypadków wykorzystania danych szczególnej kategorii jest wykorzystanie danych biometrycznych uczniów, które mimo swojej efektywności, budzi istotne wątpliwości prawne. Właśnie tej problematyki dotyczy przełomowy wyrok Naczelnego Sądu Administracyjnego z 10 października 2024 r. (sygn. akt III OSK 4984), który w fundamentalny sposób wpłynął na interpretację przepisów o ochronie danych osobowych w kontekście autonomii woli wyrażonej w zgodzie na przetwarzanie danych.

Administrator danych osobowych prowadząc przedsiębiorstwo, organizację non-profit (NGO) lub też działając jako organ publiczny rzadko kiedy jest w stanie zrealizować wszystkie swoje cele bez udziału lub pomocy podmiotów trzecich. Taką sytuację, w której administrator chce zrealizować swój cel z pomocą innego podmiotu nazywamy powierzeniem przetwarzania danych osobowych.

W czerwcu 2024 r. Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok dotyczący obowiązków administratora danych w przypadku naruszenia ochrony danych osobowych (wyrok z dnia 18 czerwca 2024 r., II SA/Wa 219/24). Sprawa dotyczyła kary w wysokości blisko 283 000 zł nałożonej przez Prezesa UODO na spółkę E. S.A. za niezgłoszenie naruszenia ochrony danych osobowych oraz niepoinformowanie o tym osoby, której dane dotyczą.

Decydując się na przetwarzanie danych osobowych, administrator powinien móc wykazać, że dysponuje ku temu odpowiednią podstawą. W przeciwnym razie ryzykuje wysokie kary w związku z przetwarzaniem danych osobowych bez podstawy prawnej. W tym kontekście warto przyjrzeć się bliżej testowi równowagi. Kiedy trzeba go przeprowadzić i jak zrobić to prawidłowo?