Kara prawie 1,5 mln złotych dla spółki medycznej po ataku hackerskim. » Meta nie może publikować na terenie Polski reklam z użyciem danych prezesa InPostu. » Jak chronić dane sygnalistów – podsumowanie seminarium UODO. » Skarga na portal X dotarła do UODO. Prezes: Temat coraz bardziej palący. » To może być największy wyciek w historii. Mowa o miliardach danych osobowych. » Włoski organ nadzorczy: kara 1 000 000 euro dla Banku. » GOV.PL bez Google Analytics. Co z pozostałymi stronami instytucji publicznych? » NSA: organ nadzorczy musi szerzej i dokładniej wyjaśnić nakaz wyznaczenia IOD’a. » WSA: nakaz zaprzestania przetwarzania danych dla Banku narusza przepisy prawa materialnego. » UODO przypomina: Podawanie imienia ojca do celów identyfikacji osoby jest nadmiarowe.
RODO aktualności z dnia 20.08.2024 r. | RODO aktualności z dnia 22.08.2024 r. |
Pobierz PDF |
Kara prawie 1,5 mln złotych dla spółki medycznej po ataku hackerskim
- Hackerzy uzyskali dostęp do szczegółowych danych osobowych około 21 tys. osób – pacjentów i pracowników spółki American Heart of Poland S.A.
- Zdarzenie objęło szeroki zakres danych, tj.: nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.
- O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem. PUODO przeprowadził w tej sprawie czynności wyjaśniające i kontrolne, a w ich następstwie wszczął wobec spółki postępowanie administracyjne.
- PUODO w toku przeprowadzonych czynności ustalił m.in., że spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, nie była w stanie ustalić przyczyny wycieku, a ponadto nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych.
- Spółka założyła, że poziom bezpieczeństwa przetwarzanych przez nią danych jest właściwy, tylko na podstawie przeprowadzonego w niej wewnętrznego audytu, którego celem było przedłużenie ważności certyfikatu ISO/IEC 27001:2013. W opinii UODO założenie to było jednak błędne. Brak prawidłowo przeprowadzonej analizy ryzyka, kluczowej dla ochrony danych, doprowadził do niewdrożenia przez spółkę właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych.
- PUODO wydał decyzję, w której stwierdził nieprawidłowości w przestrzeganiu przez spółkę przepisów o ochronie danych osobowych i nałożył na nią karę pieniężną w wysokości 1 440 549 zł. Spółka odwołała się do Wojewódzkiego Sądu Administracyjnego.
Meta nie może publikować na terenie Polski reklam z użyciem danych prezesa InPostu
- Według deefpake’a, który jako reklama pojawił się w serwisach Facebook i Instagram, Rafał Brzoska miał rzekomo założyć platformę, która zapewnia zyski wszystkim „obywatelom Polski”. Deepfake’owa reklama używa prawdziwych, aktualnych danych osobowych Pana Rafała Brzoski, prezesa Inpost. To bezprawnie zmodyfikowane nagranie wykorzystujące jego wizerunek.
- Skarżący podkreśla, że Meta rozpowszechnia nagranie bez weryfikacji i oceny wiarygodności danych osobowych. Meta wie o sprawie, bo skarżący zawiadomił ją o problemie 3 lipca. Skargę Pana Rafała Brzoski rozpatrywać będzie organ irlandzki, bo tam ma siedzibę Meta Platforms Ireland Limited.
- Na skutek działań Prezesa UODO, podjętych w związku ze skargą Pana Rafała Brzoski, Meta Platforms Ireland Limited musi wstrzymać wyświetlanie, w serwisach Facebook i Instagram, reklam wykorzystujących prawdziwe dane Pana Rafała Brzoski.
- Zakaz będzie obowiązywał trzy miesiące i dotyczy fałszywych reklam wyświetlanych na terytorium Rzeczpospolitej Polskiej. Prezes UODO Mirosław Wróblewski wydał postanowienie zabezpieczające na podstawie art. 70 ust. 1 i 2 ustawy o ochronie danych osobowych oraz art. 66 ust. 1 RODO, który określa maksymalny czas obowiązywania tego środka właśnie na 3 miesiące oraz w wyjątkowych okolicznościach pozwala PUODO zastosować środek tymczasowy jeśli uzna, że istnieje pilna potrzeba ochrony praw i wolności osób, których dane dotyczą.
- Zgodnie z procedurą Prezes UODO powiadomił o tym pozostałe organy nadzorcze, których sprawa dotyczy, a także Europejską Radę Ochrony Danych i Komisję. Pozostaje także w bezpośrednim kontakcie z wiodącym organem nadzorczym, tj. organem irlandzkim.
Źródło: Aktualności – UODO
Jak chronić dane sygnalistów – podsumowanie seminarium UODO
- 7 sierpnia w UODO odbyło się seminarium, podczas którego Mirosław Wróblewski wspólnie z pracownikami Urzędu, przedstawicielami Społecznego Zespołu Ekspertów przy PUODO oraz zewnętrznymi ekspertami omówili uwagi przesłane w ramach konsultacji społecznych i przedstawili propozycje wykładni przepisów ustawy o ochronie sygnalistów w zakresie dotyczącym danych osobowych.
- W pierwszym panelu podkreślono, że tożsamość sygnalisty to nie tylko imię i nazwisko, ale wszelkie dane, na podstawie których można byłoby go pośrednio zidentyfikować, takie jak np. jego miejsce pracy. Ochrona poufności sygnalisty powinna obejmować także te dane.
- Prelegenci poruszyli również wątek obowiązków informacyjnych i ewentualnych wyłączeń w tym zakresie wynikających z ustawy o ochronie sygnalistów oraz samego RODO (w szczególności w kontekście realizacji tych obowiązków względem osób których dotyczy zgłoszenie).
- Pewne wątpliwości mogą wzbudzać zasady naliczania okresu przechowywania danych osobowych sygnalisty, zwłaszcza w przypadku kilku zgłoszeń naruszenia prawa. Przyjęto jednak, że 3-letni okres retencji danych osobowych należy liczyć zawsze od daty przyjęcia zgłoszenia. Dotyczy to także danych osobowych w rejestrze zgłoszeń wewnętrznych.
- Ważnym aspektem ochrony danych osobowych sygnalistów są kanały zgłoszeń regulowane w procedurze zgłoszeń wewnętrznych. W tym temacie poruszono wątek grup kapitałowych, zwracając uwagę na ryzyko ograniczania się jedynie do korporacyjnych kanałów zgłoszeń.
- Ważnym aspektem są także środki bezpieczeństwa danych osobowych sygnalistów m.in. w ramach kanałów zgłoszeń (kontrowersje wśród uczestników seminarium wzbudził zwłaszcza kanał ustny). Podkreślono konieczność uwzględnienia reguł privacy by design i privacy by default w projektowanych procesach przetwarzania danych. Jednocześnie należy zadbać o integralność i dostępność danych.
Źródło: Aktualności – UODO; Ochrona danych osobowych sygnalistów – wyjaśnienia ekspertów – Ochrona danych osobowych (poradyodo.pl)
Skarga na portal X dotarła do UODO. Prezes: Temat coraz bardziej palący
- Organizacja pozarządowa NOYB („Non of Your Business”) wysłała skargi na portal X do urzędów ochrony danych w 9 krajach, w tym do Polski,
- Portal X (dawny Twitter), którego właścicielem jest Elon Musk, korzystał z danych osobowych użytkowników bez ich wyraźnej zgody, w celu szkolenia modelu sztucznej inteligencji Grok. Taki proces jest zdaniem NYOB naruszeniem RODO.
- Zareagowała Irlandzka Komisja Ochrony Danych, która wszczęła postępowanie wobec X. W efekcie Elon Musk zgodził się zaprzestać przetwarzania danych użytkowników z UE/EOG zaczerpniętych z postów X od 7 maja 2024 r. do 1 sierpnia 2024 r. DPC poinformowało, że postępowanie sądowe będzie kontynuowane we wrześniu.
- Noyb w komunikacie opublikowanym na stronie internetowej, działania DPC nazywa „nieśmiałymi”. Zarzuca irlandzkiemu organowi, że nie jest zainteresowany sednem sprawy i zadowala się jedynie „środkami łagodzącymi”. „Zwracamy uwagę na fakt, że DPC zdaje się aprobować zastosowanie art. 6 ust. 1 lit. f) RODO jako podstawy prawnej odnośnie przetwarzania danych przez Twittera, gdyż »wynegocjował« wdrożenie »wzmocnionych środków łagodzących« na mocy art. 6 ust. 1 lit. f) RODO. Podkreślamy, że w niniejszej sprawie kategorycznie odrzucamy możliwość posłużenia się przez Twittera art. 6 ust. 1 lit. f) RODO” – czytamy w skardze wystosowanej do UODO.
- Według Noyb, portal X zniechęca także użytkowników do prawa wyboru, stosując formularz opt-out zamiast opt-in, a także do wyrażania sprzeciwu do trenowania AI na naszych danych. Organizacja twierdzi też, że X nie udziela niezbędnych informacji dotyczących przetwarzania danych w sposób „zwięzły, przejrzysty, zrozumiały i łatwo dostępny” i nie używa przy tym „jasnego i prostego języka”.
- UODO zbada tę sprawę, aby zapewnić pełną zgodność działań z obowiązującymi przepisami.
Źródło: Skarga na portal X dotarła do UODO. Prezes: Temat coraz bardziej palący | CyberDefence24
To może być największy wyciek w historii. Mowa o miliardach danych osobowych
- Naruszenie, które rzekomo miało miejsce w kwietniu, polegało na kradzieży danych, w tym nazwisk, adresów i numerów ubezpieczenia społecznego, które według doniesień pochodzą od firmy, która gromadzi i sprzedaje dane w legalnych celach. Uważa się, że dane zostały skradzione z National Public Data (NPD), firmy zajmującej się sprawdzaniem przeszłości osób, działającej w ramach Jerico Pictures Inc.
- NPD gromadzi informacje z rejestrów publicznych w celu ich sprzedaży oraz świadczenia powiązanych usług. Złożono jednak pozew, w którym zarzucono, że NPD pobierało również dane ze źródeł niepublicznych bez uzyskania zgody osób fizycznych. Jak dotąd NPD nie potwierdziło oficjalnie wycieku, ani nie wyjaśniło, jak do niego doszło.
- Początkowo do kradzieży danych przyznał się haker znany jako USDoD, próbując sprzedać je za 3,5 miliona dolarów. USDoD był już wcześniej powiązany z innymi naruszeniami, w tym z próbą sprzedaży bazy danych użytkowników InfraGard za 50 000 dolarów w grudniu 2023 r. Sytuacja uległa zmianie 6 sierpnia, kiedy użytkownik o imieniu Fenice zamieścił bezpłatnie na forum hakerskim najbardziej kompletną wersję skradzionych danych.
- W odpowiedzi na naruszenie na Florydzie złożono pozew zbiorowy przeciwko NPD. Odwołuje się do VX-Underground, edukacyjnej witryny internetowej o cyberbezpieczeństwie, która podała, że USDoD wystawiła bazę danych na sprzedaż, twierdząc, że zawiera ona 2,9 miliarda rekordów. VX-Underground zweryfikowało dane jako prawdziwe po otrzymaniu zaawansowanej kopii bazy danych – ogromnego pliku o rozmiarze 277,1 GB.
- Chociaż niektóre osoby potwierdziły, że ich dane zostały uwzględnione, problemy takie jak nieprawidłowe numery ubezpieczenia społecznego i nieaktualne dane adresowe sugerują, że informacje mogą pochodzić ze starej kopii zapasowej.
Źródło: To może być największy wyciek w historii. Mowa o miliardach danych osobowych | ITHardware; Major data breach exposes 2.7 billion personal records, experts urge action (msn.com)
Włoski organ nadzorczy: kara 1 000 000 euro dla Banku
- Garante – włoski organ nadzorczy – wydał na początku czerwcu 2024 r. dwie decyzje odnoszące się do Banku oraz spółki od niego zależnej zajmującej się leasingiem aut oraz ich wypożyczaniem.
- Pewien obywatel złożył skargę do organu nadzorczego ze względu na to, że firma leasingowa odmówiła mu zgody na wynajem samochodu ponieważ znajduje się “na czarnej liście”.
- Firma leasingowa – na wniosek organu nadzorczego – wskazała, że w fazie rezerwacji […] przystępuje do weryfikacji danych kontrahenta poprzez bazy danych Grupy FCA Bank SpA w konkretnym celu zapobiegania oszustwom, niewypłacalności lub innym podobnym zdarzeniom oraz wydania podsumowującej oceny stopnia wiarygodności i wypłacalności wnioskodawcy.
- Organ nadzorczy skierował swoje działania w stronę Banku i zażądał informacji. Bank wskazał, że w odniesieniu do skarżącego „wyszedł negatywny wynik w odniesieniu do dokumentów dochodowych z aplikacji SCIPAFI (scentralizowany system informatyczny do administracyjnego zapobiegania kradzieży tożsamości, narzędzie Ministerstwa Gospodarki i Finansów), przekazane w trybie ww. Leasys Rent”
- FCA Bank jest spółką dominującą grupy bankowej o tej samej nazwie i posiada 100% kapitału zakładowego Leasys Rent. Bank i Spółka podpisały tzw. Umowę Przetwarzania Danych (dalej „DPA”). Bank dalej wskazywał, że podstawą prawną, która uzasadniała i czyniła przetwarzanie danych osobowych uzasadnionym, jest wykonanie umowy, o której mowa powyżej, DPA, […] która określa rodzaj działalności, jaką FCA Bank wykonuje na rzecz Leasys.
- Zdaniem Garante, w związku z umyślnym lub wynikającym z zaniedbania charakterem naruszeń należy wziąć pod uwagę zachowanie Banku, który zdecydował się uzyskać dostęp do SCIPAFI w imieniu spółki należącej do grupy, pomimo świadomości, że miało to miejsce w przypadku braku zezwolenia. Dlatego należy zastosować wobec banku sankcję administracyjną w postaci 1 000 000,00 euro.
Żródło: Judykatura.pl
GOV.PL bez Google Analytics. Co z pozostałymi stronami instytucji publicznych?
- Ministerstwo Cyfryzacji po wewnętrznej analizie doszło do wniosku, że na portalach rządowych nie powinno osadzać się skryptów Google Analytics.
- W kwietniu Fundacja Panoptykon razem z Fundacją „Internet. Czas działać!” wystąpiły z petycją do Ministerstwa Cyfryzacji. Zwracały w niej uwagę, że na stronach internetowych wielu polskich instytucji działają skrypty, które powodują, że dane odwiedzających trafiają do zewnętrznych firm, w tym amerykańskich big techów takich jak Google.
- Fundacje apelowały o audyt stron i przygotowanie wytycznych dla administratorów, które położyłyby kres temu procederowi.
- We fragmencie odpowiedzi Ministerstwa Cyfryzacji na petycję Fundacji Panoptykon i Fundacji „Internet. Czas działać!” czytamy, że „(…)Większość witryn internetowych wykorzystuje narzędzia analityczne do wyciągania wniosków na temat zachowania użytkowników. Najpopularniejszym z nich jest Google Analytics i z tego narzędzia w pierwszym okresie swojego funkcjonowania również korzystał Portal RP. Przeprowadzone przez Ministerstwo Cyfryzacji konsultacje w tym zakresie potwierdziły, że operator serwisu gov.pl/samorzad.gov.pl nie ma wpływu na przetwarzanie przez Google danych (np. do celów profilowania), stąd podjęto decyzję o zmianie narzędzia analitycznego”.
- Ministerstwo Cyfryzacji zapowiedziało już spotkanie w celu wypracowania wytycznych dotyczących śledzenia na stronach internetowych instytucji Resort zapowiedział też, że zastąpi analitykę Google innym narzędziem.
- Ministerstwo wskazało również, że jeśli chodzi o śledzenie na stronach internetowych, użytkownicy stron rządowych mogą się zawsze poskarżyć do Prezesa UODO i Prezesa Urzędu Komunikacji Elektronicznej.
Źródło: GOV.PL bez Google Analytics. Co z pozostałymi stronami instytucji publicznych? | Fundacja Panoptykon
NSA organ nadzorczy musi szerzej i dokładniej wyjaśnić nakaz wyznaczenia IOD’a
- Sprawa rozpoczęła się od skargi mieszkańców pewnej Spółdzielni Mieszkaniowej skierowanej do Prezesa UODO, co do przetwarzania danych osobowych za pomocą zamontowanego przez Spółdzielnią Mieszkaniową monitoringu wizyjnego.
- W tym aspekcie Prezes UODO nakazał Spółdzielni Mieszkaniowej zaprzestanie przetwarzania danych osobowych (wizerunku) za pomocą kamery umieszczonej na półpiętrze klatki schodowej bloku mieszkalnego. W ocenie organu, w rozpatrywanym przypadku nie zostały spełnione przesłanki wymienione w tym przepisie, uzasadniające zgodne z prawem przetwarzanie danych osobowych. Przetwarzanie danych osobowych (wizerunku) poprzez stałe monitorowanie drzwi wejściowych do lokali mieszkalnych narusza prawa i wolności osób, o których mowa w tym przepisie. W tym zakresie WSA w Warszawie wyrokiem z września 2020 r. oddalił skargę Spółdzielni Mieszkaniowej, która nie złożyła skargi kasacyjnej.
- W drugim punkcie decyzji administracyjnej Prezes UODO nakazał Spółdzielni Mieszkaniowej wyznaczenie inspektora ochrony danych, o którym mowa w art. 37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna. Ten punkt został uchylony przez wskazany wyrok WSA w Warszawie. Od tego punktu wyroku skargę kasacyjną złożył Prezes UODO.
- NSA oddalił skargę kasacyjną PUODO. NSA podkreślił, że dla zaistnienia obowiązku wyznaczenia inspektora ochrony danych nie wystarczy wystąpienie jednego ze wskazanych elementów, a wszystkie trzy elementy (działalność główna; regularne i systematyczne monitorowanie osób; duża skala przetwarzania) powinny wystąpić łącznie. Nawet jeżeli występują dwa spośród wskazanych powyżej elementów, a trzeci nie występuje, to administrator lub podmiot przetwarzający nie ma obowiązku wyznaczenia inspektora ochrony danych.
- Zdaniem NSA organ nie wyjaśnił, jakimi przesłankami się kierował dochodząc do przekonania, że przetwarzanie danych przez administratora wiąże się ściśle i bezpośrednio z jej główną działalnością oraz że nie wyjaśnił także dostatecznie, dlaczego uznał, że Spółdzielnia przetwarza dane na “dużą skalę”.
Źródło: Judykatura.pl
WSA: nakaz zaprzestania przetwarzania danych dla Banku narusza przepisy prawa materialnego
- W tej sprawie Prezes UODO we wrześniu 2023 r. nakazał pewnemu Bankowi: zaprzestania przetwarzania danych osobowych Wnioskodawcy, w zakresie wynikającym z zapytania kredytowego.
- Prezes UODO uznał, że zebrany w postępowaniu materiał dowodowy nie wykazał, aby Wnioskodawca wystąpił z reklamacją lub jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania danych osobowych dla celów dowodowych w związku z dochodzeniem roszczenia. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, gdy wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora celem jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym.
- WSA w Warszawie szeroko przedstawił swój – odmienny pogląd. Skarga zasługuje na uwzględnienie, gdyż wydając orzeczenie naruszono przepisy prawa materialnego, zakreślające możliwość przetwarzania danych osobowych wobec prawnie uzasadnionych interesów administratorów (tu Banku), oraz realizacji ciążącego na administratorze obowiązku prawnego. Wedle stanowiska organu – w razie nie zawarcia umowy kredytowej, granice możliwości przetwarzania danych osobowych wnioskodawców dla celów oceny zdolności kredytowej oraz ryzyka kredytowego wyczerpująco określa art. 105a ust. 3-7 ustawy – Prawo bankowe.
- Prawodawca – doprecyzowując w ust. 3-7 reguły przetwarzania danych osobowych dla celu zdolności kredytowej oraz ryzyka kredytowego bez zgody zainteresowanych – odniósł to expressis verbis jedynie do przypadków, gdy doszło do zawarcia umowy kredytowej. Nie miał jednak woli wyłączenia tym możliwości przetwarzania danych dla tych samych celów wobec nie zawarcia umowy. Trafnie zatem zauważa Bank, że uznanie, jakoby – wobec nie zawarcia umowy kredytu – jego obowiązkiem było usunięcie danych niedoszłego klienta, wyłączałoby w istocie możliwość ochrony przed jego roszczeniami jeszcze przed ich przedawnieniem.
Źródło: Judykatura.pl
UODO przypomina: Podawanie imienia ojca do celów identyfikacji osoby jest nadmiarowe
- W świetle stosowania ogólnego rozporządzenia o ochronie danych osobowych, pozytywnie ocenić należy systematyczną rezygnację projektodawców z przyjmowania przepisów stanowiących podstawy prawne do przetwarzania danych dotyczących osób trzecich do identyfikacji osób fizycznych.
- Organ nadzorczy skutecznie wpłynął na rezygnację z praktyki polegającej m.in. na wymaganiu podania w celu identyfikacji imienia ojca, czyli danych osoby trzeciej. To nie jest właściwe, skoro do potwierdzenia tożsamości służyć mogą inne identyfikatory przyporządkowane bezpośrednio osobie (jak np. numer PESEL, numer i seria dokumentu tożsamości).
- Identyfikacja osoby poprzez dane jej rodzica jest reliktem, wobec innych możliwości ustanowionych w systemie prawnym na przestrzeni ostatnich dekad. Taka praktyka nie znajduje też uzasadnienia z punktu widzenia zasad dotyczących przetwarzania danych osobowych, zwłaszcza zasady minimalizacji. Na aspekt ten Prezes UODO zwrócił uwagę w licznych opiniach legislacyjnych.
- Organ nadzorczy konsekwentnie zwracał uwagę na przedstawiony powyżej problem i dostrzegł potrzebę zmiany przepisów i systematyczną rezygnację z ww. danych identyfikacyjnych.
Źródło: Aktualności – UODO
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.