RODO aktualności – 18.01.2024

• Konsumenci CANAL+ mieli otrzymać bezpłatny prezent, tymczasem dochodziło do podpisania równoległej umowy.
• Do UOKiK wpływały w tej sprawie liczne skargi. W trakcie postępowania przeanalizowano kilkaset nagrań rozmów sprzedażowych, w których CANAL+ proponował konsumentom zawarcie równoległej umowy, o której nie wiedzieli, dopóki nie musieli zacząć za nią płacić.
• Wątpliwości Prezesa UOKiK wzbudziło ukrywanie rzeczywistego celu rozmowy. Konsultanci CANAL+ dzwonili do abonentów, zapowiadając przyznanie dodatkowego pakietu lub bezpłatnego prezentu, co w rzeczywistości było tylko „przynętą” do zawarcia nowej umowy długoterminowej. Niektórzy konsumenci dopiero po dłuższym czasie zauważali dodatkowe opłaty i zmianę umowy. Pierwsze kilka miesięcy po rozmowie z konsultantem, telewizja była udostępniana bezpłatnie. Po upływie okresu bezpłatnego konsument nie miał możliwości rozwiązania umowy i musiał ponosić koszty wynikające z obydwu umów.
• Jak ustalił Prezes UOKiK, konsultanci aby skłonić konsumenta do podjęcia natychmiastowej decyzji wskazywali, że okoliczności nawiązywanego połączenia są wyjątkowe (np. że kontaktują się z działu wyróżnień) lub informowali o limitowanej liczbie pakietów. Ponadto, w ramach rozmów dochodziło do zawyżania cen wyjściowych, czyli cen podobnych pakietów oferowanych dla nowych abonentów CANAL+, nawet o 50 procent.
• Za naruszenie zbiorowych interesów konsumentów Prezes UOKiK nałożył na CANAL+ Polska karę finansową ponad 46 mln zł (46 557 853 zł). Ponadto, Prezes UOKiK zobowiązał CANAL+ Polska do zwrotu środków konsumentom, którzy od 10 października 2019 r. do 23 kwietnia 2022 r. zawarli umowę w ramach akcji promocyjnej. Odpowiednio klienci, którzy widząc, że zostali wprowadzeni w błąd rozwiązali kontrakt przed upływem okresu obowiązywania – otrzymają po uprawomocnieniu się decyzji zwrot kwoty naliczonego roszczenia. Natomiast wszyscy, którzy złożyli reklamację, otrzymają zwrot uiszczonych opłat za korzystanie z usług.

Żródło: UOKiK – Urząd – Informacje ogólne – Aktualności – Decyzja Prezesa UOKiK – kara dla CANAL+

• W orzeczeniu w sprawie C-667/21 TSUE wyjaśnił istotne aspekty ochrony danych związane z przetwarzaniem szczególnych kategorii danych i odpowiedzialnością Administratora wynikającą z RODO;
• MDK North Rhine, spółka publiczna, przetwarza dane dotyczące zdrowia w celu oceny zdolności pracowników do pracy, w tym personelu. Tymi wrażliwymi danymi zajmuje się „jednostka organizacyjna do spraw szczególnych”. Pracownik działu IT przebywający na zwolnieniu lekarskim twierdził, że jego dane dotyczące zdrowia były przetwarzane niezgodnie z prawem, gdy jego pracodawca uzyskał je w celu przeprowadzenia badań lekarskich. Zażądał 20 000 euro odszkodowania, czemu MDK Nordrhein odmówiła.
• Art. 9 ust. 2 lit. h) RODO zezwala na przetwarzanie danych dotyczących zdrowia pod pewnymi warunkami. TSUE wyjaśnił, że wyjątek ten ma zastosowanie, gdy organ oceny medycznej przetwarza dane dotyczące zdrowia pracownika nie jako pracodawca, ale jako część służby medycznej w celu oceny jego zdolności do pracy.
• Art. 9 ust. 3 RODO nie zobowiązuje administratora do uniemożliwienia współpracownikom dostępu do danych dotyczących zdrowia pracownika. Państwa członkowskie lub przepisy szczególne mogą jednak nakładać takie obowiązki na podstawie art. 9 ust. 4 i innych przepisów RODO.
• Przetwarzanie danych dotyczących zdrowia na podstawie art. 9 ust. 2 lit. h) RODO, aby było zgodne z prawem, musi również spełniać warunki określone w art. 6 ust. 1 RODO.
• Artykuł 82 ust. 1 RODO przewiduje funkcję odszkodowawczą. Ma ona na celu pokrycie rzeczywistych szkód i nie ma charakteru represyjnego. Odpowiedzialność zależy od udowodnienia winy po stronie odpowiedzialnej. Jeśli nie są w stanie udowodnić braku winy, domniemywa się, że ponoszą odpowiedzialność. Art. 82 nie wymaga uwzględniania stopnia winy przy ustalaniu zadośćuczynienia za krzywdę.

Żródło: https://www.linkedin.com/posts/mateusz-kupiec-cipp-e-289700121_cjeu-gdpr-privacy-activity-7143553168788955136-s6wW?utm_source=share&utm_medium=member_desktop

• Alphabet zgodził się na zawarcie ugody w sprawie sądowej, twierdząc, że potajemnie śledził korzystanie z internetu przez miliony ludzi, którzy myśleli, że przeglądają go prywatnie – informuje Reuters.
• Ta głośna sprawa miała swoje początki kilka lat temu. Twierdzono, że analityka, pliki cookie i aplikacje Google pozwalają śledzić aktywność użytkowników, nawet gdy używali trybu incognito w przeglądarce Google Chrome.
• Argumentowano, że Google zamienił się w skarbnicę informacji, pozwalając dowiedzieć się firmie o bardzo prywatnych aspektów z życia użytkowników – przyjaciołach, hobby, ulubionych potrawach, nawykach żywieniowych i “potencjalnie krępujących rzeczach” wyszukiwanych w internecie.
• Spór toczył się o to, czy Google złożył wiążącą obietnicę odnośnie do tego, że nie będzie gromadzić danych swoich użytkowników, gdy przeglądają oni strony internetowe w trybie incognito.
• Złożony w 2020 roku pozew domagał się od firmy co najmniej 5 mld dolarów. Pełne warunki ugody nie zostały ujawnione, ale prawnicy stwierdzili, że zgodzili się na wiążące warunki w drodze mediacji. Formalna ugoda ma zostać przedstawiona sądowi do zatwierdzenia 24 lutego 2024 roku.
• Wiele wskazuje więc na to, że użytkownicy otrzymają niebawem od Google’a pieniądze. Każdy z pozywających użytkowników chce otrzymać co najmniej 5 tys. dolarów w ramach odszkodowania za naruszenie federalnych przepisów Kalifornii dotyczących prywatności.

Żródło: Tryb incognito to fikcja? Google idzie na ugodę i zapłaci miliardy – Bankier.pl

• Zakład Ubezpieczeń Społecznych przestrzegł w czwartek przed oszustami, którzy oferują pomoc w wypełnieniu wniosku w sprawie świadczenia 800+.
• „Docierają do nas informacje dotyczące oszustów, którzy w rozmowach telefonicznych oferują pomoc w wypełnieniu wniosku w sprawie świadczenia 800+. Żądają w zamian kilkadziesiąt złotych” – przekazał PAP rzecznik ZUS Paweł Żebrowski.
• „W ostatnich tygodniach w internecie pojawiły się również fałszywe doniesienia dotyczące rzekomego wyrównania świadczenia wychowawczego z kwoty 500 zł do 800 zł za okres od sierpnia 2023 r. do końca bieżącego roku” – dodał rzecznik.
• Przypomniał, że zgodnie z ustawą wysokość świadczenia wychowawczego do końca 2023 r. to 500 zł na każde dziecko do ukończenia przez nie 18 lat. Od 1 stycznia 2024 r. świadczenie wychowawcze 500+ zmieni się w 800+.
• „Podwyżka do 800 zł nastąpi automatycznie bez konieczności składania wniosku. Po nowym roku uprawnieni otrzymają wypłaty w nowej wysokości, a o tym fakcie zostaną poinformowani na Platformie Usług Elektronicznych (PUE) ZUS” – podkreślił Żebrowski.

Żródło: Wniosek na 800 plus to oszustwo. ZUS ostrzega przed próbami wyłudzenia pieniędzy – Bankier.pl

• Firma EasyPark Group, będąca właścicielem aplikacji do parkowania RingoGo oraz ParkMobile, poinformowała o dokonanym na nią cyberataku.
• Jak podaje „The Guardian”, naruszenie zostało wykryte przez przedsiębiorstwo 10 grudnia br. Kilka dni później mieli się o nim dowiedzieć poszkodowani klienci, a także odpowiednie organy, m.in. brytyjskie Biuro Komisarza ds. Informacji (org. Information Commissioner’s Office).
• Z danych podanych przez EasyPark Group wynika, że hakerzy wykradli dane zawierające nazwiska klientów, numery telefoniczne, adresy mailowe itd. Pozyskano także informacje obecne na kartach kredytowych klientów, ale – jak zapewniają przedstawiciele firmy – „żadna kombinacja skradzionych danych nie może być wykorzystana do dokonania płatności przez przestępców”.
• W chwili obecnej nie wiadomo, ile osób mogło ucierpieć w wyniku ataku. Jak na razie jedyną liczbą podaną do publicznej wiadomości jest 950 – dane tylu brytyjskich użytkowników RingGo mieli zdobyć hakerzy.
• Poszkodowanych jest jednak prawdopodobnie znacznie więcej. Z informacji podanych przez rzecznika EasyPark Group wynika, że większość klientów zaatakowanej firmy pochodzi z Europy kontynentalnej, a to oznacza naruszenie danych tysięcy użytkowników. Na ten moment nie ma żadnych informacji mówiących o ewentualnym okupie, którego za ukradzione dane żądaliby przestępcy.
• EasyPark zalicza się do grona największych firm oferujących aplikacje parkingowe na Starym Kontynencie. Aplikacje takie jak wspomniany w tekście RingGo czy ParkMobile są używane w ponad 4000 miast w 23 krajach.

Żródło: Cyberatak na największego operatora aplikacji parkingowych. Tysiące poszkodowanych | CyberDefence24

• Jeżeli administrator danych uznał, że zaistniałe naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to zgodnie z art. 34 ust. 1 RODO zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
• Treść zawiadomienia wynika ze stosowanych łącznie art. 34 ust. 2 w zw. z art. 33 ust. 3 RODO. Zawiadomienie opisuje charakter naruszenia ochrony danych osobowych oraz zawiera informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d RODO i obejmuje następujące informacje: opis charakteru naruszenia; imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opis możliwych konsekwencji naruszenia ochrony danych osobowych; opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
• Zgodnie z art. 82 ust. 1 RODO każda osoba, która poniosła szkodę majątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora odszkodowanie za poniesioną szkodę. Istotne znaczenie ma tutaj ustalenie wystąpienia adekwatnego związku przyczynowego między zaistnieniem naruszenia przepisów o ochronie danych a wystąpieniem szkody.
• Administrator zawiadamia osobę, której dane dotyczą, o naruszeniu bez zbędnej zwłoki. Przy czym komentowany przepis posługuje się w tym zakresie pojęciem nieostrym i nie wyznacza bardziej precyzyjnego terminu (jak uczynił to np. prawodawca w art. 33 RODO wskazując na 72 godzinny termin do zawiadomienia o naruszeniu organu nadzoru). Zgodnie z wyjaśnieniami prezesa UODO oznacza to, że administrator powinien zrealizować ów obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy.

Żródło: Jakie skutki dla płatnika ma informacja o naruszeniu przez ZUS ochrony jego danych osobowych [Poradnia ubezpieczeniowa] – GazetaPrawna.pl

• Przepisy ogólnego rozporządzenia o ochronie danych osobowych, czyli RODO pozwalają na stworzenie mechanizmów certyfikacji, których celem jest zapewnienie skuteczniejszego systemu ochrony danych osobowych. Jest to drugi, obok branżowych kodeksów postępowania, mechanizm mający gwarantować, że określony podmiot zapewnia odpowiedni poziom ochrony danych.
• Zanim jednak administratorzy będą mogli uzyskać certyfikaty potwierdzające zgodność ich procesów przetwarzania danych z RODO musi powstać rynek, na którym będzie można się o nie ubiegać. Prezes UODO, aby to umożliwić, zatwierdził „Dodatkowe wymogi akredytacji podmiotów certyfikujących”.
• W oparciu o ten dokument Polskie Centrum Akredytacji będzie akredytowało podmioty certyfikujące, a więc te, które będą weryfikować zgodność operacji przetwarzania danych osobowych prowadzonych przez administratorów i podmioty przetwarzające. Podmiot, który będzie przyznawał certyfikaty administratorom potwierdzające zgodność określonych procesów przetwarzania danych z RODO, musi jednak spełnić szereg wymagań i uzyskać akredytację od PCA.
• Personel takiej firmy musi mieć nie tylko wiedzę z zakresu ochrony danych osobowych, ale i doświadczenie na temat ich stosowania. Wymagane jest również doświadczenie w zakresie technicznych i organizacyjnych środków ochrony danych.
• Certyfikat nie zwolni jednak administratora z konieczności dbania o ochronę danych osobowych. Będzie musiał dbać o to, by móc utrzymać ten certyfikat, gdyż jeżeli okaże się, że przestał spełniać odpowiednie wymagania, to zostanie mu on odebrany albo nie będzie go w stanie odnowić. Jego posiadanie nie uchroni też przed kontrolą Prezesa UODO i egzekwowaniem przestrzegania przepisów o ochronie danych osobowych przez organ nadzorczy. Certyfikat to prestiż i potwierdzenie wysokiej jakości danego podmiotu, wyróżniający go na rynku.

Żródło: Certyfikat zgodności z RODO to gwarancja bezpieczeństwa danych osobowych klientów – rp.pl

• Technika łączenia zdjęć, filmów i głosu – często wykorzystywana w celach rozrywkowych – może być także groźnym instrumentem służącym dezinformacji, ale i atakom wyłudzającym dane czy pieniądze.
• Cyberprzestępca może wykorzystać deepfake, aby podrobić mowę danej osoby – mówi w wywiadzie dla agencji Newseria Innowacje Zhiyuan Yu, doktorant na Wydziale Informatyki Uniwersytetu Waszyngtona w St. Louis. – Zastosowanie deepfake’ów do celów złośliwych ataków może przybrać wiele form. Jedną z nich jest wykorzystanie ich do rozpowszechniania fałszywych informacji i mowy nienawiści, również na podstawie głosu osób powszechnie znanych. Przykładowo przestępca użył głosu prezydenta Bidena, aby wypowiedzieć Rosji wojnę. Mieliśmy również do czynienia z sytuacjami, kiedy cyberprzestępca wykorzystał głos użytkownika, aby przejść weryfikację tożsamości w banku.
• Eksperci WithSecure przewidują, że w 2024 roku dojdzie do nasilenia problemu dezinformacji z użyciem technologii deepfake. Będzie się tak działo głównie z uwagi na to, że to rok wyborów prezydenckich w USA oraz do Parlamentu Europejskiego.
• Badacze z Uniwersytetu Waszyngtona w St. Louis opracowali w związku tym mechanizm obronny AntiFake, który ma zapobiegać nieautoryzowanej syntezie mowy, utrudniając sztucznej inteligencji odczytanie kluczowych cech głosu.
• Wykorzystana przez twórców AntiFake metoda bazuje na dodaniu niewielkich zakłóceń do próbek mowy. Oznacza to, że gdy cyberprzestępca użyje ich do syntezy mowy, wygenerowana próbka będzie brzmiała zupełnie inaczej niż użytkownik. Nie uda się więc za jej pomocą oszukać rodziny ani obejść głosowej weryfikacji tożsamości.

Żródło: Oszustwo przyszłości coraz bliżej. Na szczęście jest nadzieja na ochronę – Bankier.pl

• Pod koniec listopada doszło do wycieku danych tysięcy pacjentów i wyciek ten spowodowała grupa przestępcza, która zaatakowała ALAB oprogramowaniem ransomware. Później ta sama grupa opublikowała pliki z danymi osobowymi pracowników.
• Teraz wyciek z ALAB ma swoją trzecią odsłonę. W każdym z katalogów znajdują pliki XML, które już widzieliśmy w wycieku z ALAB. W niektórych katalogach tych plików jest kilkadziesiąt, w innych ponad tysiąc. Każdy z nich zawiera informacje o przeprowadzonych badaniach i wynikach.
• Czterocyfrowa nazwa każdego katalogu to początek numeru PESEL. Oznacza to, że dane zostały opublikowane w sposób umożliwiający:
  • namierzenie konkretnych ludzi po PESEL-u oraz
  • sprawdzenie pojedynczej osoby bez konieczności pobierania gigabajtów danych przez sieć TOR.
• Dane z trzech przychodni zobaczyliśmy w pierwszych próbkach, które opublikowano w listopadzie. Pliki opublikowane później również zawierały wyniki analiz laboratoryjnych, także pacjentów z innych przychodni m.in. z Poznania, Pułtuska, Krakowa, Grudziądza, Szczecinka i innych miast.
• W tej kolejnej fazie wycieku trafiły się też dane starsze np. z czerwca 2016 r., albo nawet z listopada 2015. I właśnie teraz tym informacjom nadano bardziej uporządkowaną formę.
• Grupa przestępcza, która zaatakowała ALAB, będzie mogła te dane odsprzedać (w częściach lub w całości) starając się zyskać cokolwiek w obliczu braku wpłaconego okupu.

Żródło: » Dane z ALAB znów w darknecie. Uporządkowane numerami PESEL — Niebezpiecznik.pl —

• Sprawa dotyczy aplikacji COVID-19 zamówionej przez Narodowe Centrum Zdrowia Publicznego Ministerstwa Zdrowia Litwy. NVSC wybrała UAB „IT sprendimai sėkmei”, dostawcę usług IT, do stworzenia aplikacji i dostarczyła mu pewnych informacji projektowych oraz pytania, które należy zadać w aplikacji. Aplikacja została ostatecznie udostępniona w Google Play, a jej polityka prywatności odnosiła się do NVSC i dostawcy usług jako administratorów. NVSC i dostawca usług nie zawarli jednak umowy: NVSC cofnęło zamówienie na aplikację z powodu braku funduszy.
• Litewski organ ochrony danych nałożył administracyjne kary pieniężne na NVSC i usługodawcę jako współadministratorów. NVSC zakwestionował tę decyzję, argumentując, że nie jest administratorem danych w odniesieniu do przedmiotowego przetwarzania: dostawca usług stworzył aplikację, strony nie zawarły umowy, a NVSC nie wyraził zgody na publiczne udostępnienie aplikacji ani nie upoważnił go do jej udostępnienia. Dostawca usług informatycznych twierdził z kolei, że jest jedynie podmiotem przetwarzającym dane.
• TSUE orzekł, że administrator danych może ponosić odpowiedzialność za przetwarzanie danych przez podmiot przetwarzający. Ma to jednak swoje granice. Administrator nie ponosi odpowiedzialności, jeśli podmiot przetwarzający przetwarza dane osobowe do własnych celów, jeśli podmiot przetwarzający działa w sposób niezgodny z ustaleniami określonymi przez administratora lub jeśli uzasadnione jest stwierdzenie, że administrator nie wyraził zgody na przetwarzanie. W takich sytuacjach podmiot przetwarzający staje się administratorem danych zgodnie z art. 28 ust. 10 RODO.
• Oznacza to, że administratorzy danych powinni sprawować mieć nadzór nad działaniami swoich podmiotów przetwarzających i najlepiej zapewnić jasne instrukcje. Jeśli ustalenia są niejasne lub nieodpowiednio udokumentowane, administrator może mieć trudności z wykazaniem, że podmiot przetwarzający działał w sposób niezgodny z instrukcjami administratora.

Żródło: TSUE orzeka w sprawie odpowiedzialności administratorów (iapp.org)