RODO aktualności – 01.07.2025 r. 

Artykuł dotyczy nowego typu cyberataku o nazwie EchoLeak, który jako pierwszy w historii skutecznie zaatakował agenta sztucznej inteligencji – Microsoft 365 Copilot – bez konieczności interakcji ze strony użytkownika. Atak bazuje na podatności typu LLM Scope Violation, a jego celem jest cichy wyciek danych.

• Nowy typ ataku zero-click: EchoLeak nie wymaga żadnej interakcji ze strony użytkownika – nie trzeba otwierać e-maila ani klikać w link – co czyni go szczególnie niebezpiecznym.
• Metoda działania: Atakujący wysyła zwykło wyglądającego e-maila zawierającego ukryte instrukcje dla Copilota (tzw. prompt injection). Copilot automatycznie analizuje treść skrzynki odbiorczej i może uwzględnić zawartość tej wiadomości w odpowiedziach dla użytkownika.
• Kradzież danych: W wyniku działania ukrytych instrukcji Copilot może zebrać i przesłać atakującemu poufne dane z różnych źródeł, takich jak OneDrive, Teams, SharePoint czy czaty wewnętrzne.
• Brak śladów: Ofiara nie zauważa ataku, ponieważ nie wykonuje żadnej akcji — dane są przesyłane automatycznie w tle za pomocą np. ukrytych linków czy obrazów.
• Skuteczność ataku: EchoLeak omija standardowe zabezpieczenia, takie jak filtry antyphishingowe, systemy DLP czy polityki bezpieczeństwa treści (CSP), ponieważ klasyczne mechanizmy nie są przygotowane na zagrożenia związane z zachowaniem agentów AI.
• Znaczenie dla organizacji: Zagrożone są wszystkie organizacje korzystające z rozwiązań typu Microsoft 365 Copilot lub podobnych systemów AI, co podkreśla konieczność opracowania nowych strategii bezpieczeństwa.

Wniosek: EchoLeak to przełomowy przykład wykorzystania słabości agentów AI do omijania zabezpieczeń i wykradania danych. Wymaga to nowego podejścia do ochrony środowisk, w których wykorzystywane są systemy generatywnej sztucznej inteligencji.

• Sprawa dotyczy naruszenia ochrony danych osobowych w KSSiP, do którego doszło w 2020 roku podczas migracji danych do nowej platformy szkoleniowej.
• W wyniku naruszenia doszło do wycieku danych tysięcy sędziów, prokuratorów i asesorów, w tym takich informacji jak: imiona, nazwiska, adresy e-mail, hasła dostępu oraz adresy IP.
• KSSiP zleciła migrację danych firmie zewnętrznej, jednak nie przeprowadziła odpowiedniej weryfikacji środowiska ani nadzoru nad bezpieczeństwem procesu.
• Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na KSSiP karę administracyjną w wysokości 100 tys. zł.
• Podstawą nałożenia kary było niedopełnienie obowiązków administratora danych — KSSiP nie zapewniła odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo danych.
• KSSiP odwoływała się od decyzji UODO, twierdząc, że zawinił pracownik firmy zewnętrznej i że sama instytucja zapewniła wystarczające środki.
• Wojewódzki Sąd Administracyjny oddalił skargę, zaznaczając, że odpowiedzialność za dane spoczywa na administratorze, niezależnie od udziału podmiotu zewnętrznego.
• Naczelny Sąd Administracyjny (NSA) podtrzymał tę decyzję, wskazując, że KSSiP jako administrator danych odpowiada za bezpieczeństwo procesu i nie wykazała należytej staranności.
• NSA uznał, że wysokość kary jest właściwa i nawet łagodna, biorąc pod uwagę skalę naruszeń — w przypadku podmiotu prywatnego mogłaby być znacznie wyższa.

Wniosek: Organy i instytucje publiczne odpowiadają za właściwe zabezpieczenie danych osobowych, nawet w sytuacji, gdy przetwarzanie jest zlecane podmiotom zewnętrznym. Odpowiedzialność administratora danych nie może zostać przeniesiona na wykonawcę.

 W ramach nowelizacji Prawa energetycznego, proponowane zmiany przewidują instalację inteligentnych liczników gazowych, które będą zbierać dane o zużyciu gazu przez odbiorców, w tym informacje o czasie i ilości zużycia. Dane te mogą być uznane za dane osobowe, dlatego wymagają odpowiednich zabezpieczeń i regulacji prawnych.

• Proponowane przepisy dotyczące inteligentnych liczników nie były konsultowane z Urzędem Ochrony Danych Osobowych (UODO) na etapie prac rządowych.
• Prezes UODO, Mirosław Wróblewski, przedstawił swoje uwagi na etapie sejmowego procesu legislacyjnego, odpowiadając na prośbę Szefa Kancelarii Sejmu RP.
• Główne zastrzeżenie UODO dotyczy braku precyzyjnych regulacji określających:
  • kto będzie miał dostęp do danych zbieranych przez liczniki,
  • w jakim celu i na jakich zasadach dane będą przetwarzane,
  • jak długo dane będą przechowywane.
• Dane z liczników mogą ujawniać szczegółowe informacje o zwyczajach i aktywności domowników (np. godziny korzystania z gazu), co stanowi dane osobowe w rozumieniu RODO.
• Europejska dyrektywa 2012/27/UE zobowiązuje państwa członkowskie do zapewnienia prywatności i bezpieczeństwa danych przy wdrażaniu inteligentnych liczników.
• UODO podkreśla ryzyko związane z automatycznym przetwarzaniem i profilowaniem użytkowników na podstawie danych z liczników.
• Zgodnie z art. 22 RODO użytkownik ma prawo, by nie podlegać decyzjom opartym wyłącznie na automatycznym przetwarzaniu jego danych, w tym profilowaniu.
• Jako przykład dobrych regulacji w tym zakresie wskazano art. 105a ust. 1a Prawa bankowego, który gwarantuje m.in. prawo do uzyskania wyjaśnień, interwencji ludzkiej oraz przedstawienia własnego stanowiska.

Wniosek: Nowe regulacje powinny uwzględniać wymogi RODO, precyzyjnie określać zasady dostępu i przetwarzania danych z liczników, a także zabezpieczać prawa odbiorców przed nadużyciami i profilowaniem.

Kontekst: Artykuł dotyczy udziału Polski w postępowaniu przed Trybunałem EFTA w sprawie E-5/25 Silbernagl. Sprawa ta koncentruje się na interpretacji przepisów RODO w kontekście ochrony inspektora ochrony danych (IOD) przed zwolnieniem.

• Prezes UODO Mirosław Wróblewski uznał za zasadne zaangażowanie Polski w postępowanie przed Trybunałem EFTA w sprawie Silbernagl.
• Sprawa dotyczy Rainera Silbernagla, który został zwolniony z funkcji IOD i stanowiska profesora w Uniwersytecie Liechtensteinu z powodu zakazu łączenia różnych etatów akademickich.
• Silbernagl uważa, że jego zwolnienie było bezpodstawne, jednak sądy dwóch instancji oddaliły jego roszczenia; sprawa trafiła do Książęcego Sądu Najwyższego i Trybunału Konstytucyjnego.
• Sąd krajowy wystąpił do Trybunału EFTA o wykładnię przepisów, w szczególności dotyczących ochrony inspektorów danych na mocy art. 38 ust. 3 zdanie drugie RODO.
• Wskazany przepis RODO zabrania odwoływania lub karania IOD za wykonywanie przez nich swoich obowiązków.
• Prezes UODO wskazał, że stosowanie tego przepisu budzi problemy interpretacyjne, co znajduje potwierdzenie w pytaniach kierowanych do Trybunałów przez sądy krajowe.
• Polskie przepisy nie doprecyzowują zasad ochrony IOD wynikających z RODO.
• Wyrok Trybunału EFTA w tej sprawie może wpłynąć na sposób stosowania RODO w Polsce i doprowadzić do konieczności zmian legislacyjnych dotyczących statusu i ochrony IOD.

Sztuczna inteligencja (AI) coraz częściej wykorzystywana jest w krytycznych procesach biznesowych i operacyjnych. Jednak tradycyjne systemy zarządzania bezpieczeństwem informacji (SZBI) często nie nadążają za dynamiką i specyfiką zagrożeń związanych z AI. Dlatego powstaje nowy międzynarodowy standard ISO/IEC DIS 27090, który ma zapewnić odpowiedni poziom cyberbezpieczeństwa dla systemów sztucznej inteligencji.

• Trwa faza opiniowania projektu nowego standardu: ISO/IEC DIS 27090 – Cybersecurity for Artificial Intelligence Systems.
• Standard ten uzupełnia istniejące normy, takie jak ISO 27001, wprowadzając wytyczne dedykowane bezpieczeństwu systemów AI.
• Zakres normy obejmuje cały cykl życia AI: od danych treningowych, przez wdrożenie, aż po monitorowanie pracy modeli w środowisku produkcyjnym.
• ISO/IEC DIS 27090 pomaga organizacjom:
  • Identyfikować i minimalizować zagrożenia charakterystyczne dla AI, w tym dryft danych, poisoning czy przykłady kontradyktoryjne.
  • Lepiej zarządzać ryzykiem wynikającym z ograniczonej przejrzystości modeli (tzw. „czarna skrzynka”) i jakości danych treningowych.
  • Stosować konkretne narzędzia audytowe i zabezpieczające, zamiast wyłącznie ogólnych zaleceń.
• Wprowadzenie tego standardu to odpowiedź na realne potrzeby rynku i rosnące zagrożenia związane z AI.
• Cyberbezpieczeństwo AI powinno być traktowane jako fundament zaufania do tej technologii, a nie tylko dodatek do istniejących procedur.
• Więcej szczegółów i aktualny status prac nad normą można znaleźć pod tym linkiem: ISO/IEC DIS 27090 – status projektu.

Artykuł dotyczy decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) z sierpnia 2024 r., nakazującej instytucji utworzonej na podstawie Prawa bankowego usunięcie danych osobowych dotyczących upadłości konsumenckiej, które przechowywała bez podstawy prawnej.

• Skarżąca wniosła do UODO o usunięcie jej danych związanych z upadłością konsumencką po zakończeniu postępowania upadłościowego i umorzeniu zobowiązań.
• Instytucja przetwarzająca dane pozyskała je z Monitora Sądowego i Gospodarczego i argumentowała, że robi to w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego.
• Podmiot powoływał się na art. 6 ust. 1 lit. f RODO oraz przepisy Prawa bankowego jako podstawę prawną przetwarzania danych.
• Prezes UODO uznał, że instytucja nie wykazała istnienia konkretnego celu przetwarzania ani powiązania danych z jakąkolwiek konkretną czynnością bankową.
• Podkreślono, że każdorazowe przetwarzanie danych osobowych musi być oparte na legalnej przesłance wynikającej z art. 6 ust. 1 RODO.
• Organ uznał, że przetwarzanie danych odbywało się bez podstawy prawnej i nakazał ich usunięcie, korzystając z uprawnienia z art. 58 ust. 2 lit. c RODO.
• Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę złożoną przez spółkę, podtrzymując decyzję UODO jako zgodną z prawem.
• WSA stwierdził, że instytucja ta posiada prawo przetwarzać wyłącznie dane stanowiące tajemnicę bankową, a dane dotyczące upadłości konsumenckiej do tej kategorii nie należą.
• Sąd wskazał, że nawet jeśli dane miałyby służyć ważnym celom, to brak podstawy prawnej uniemożliwia ich przetwarzanie.

Wniosek: Instytucje przetwarzające dane w ramach systemu bankowego muszą każdorazowo wykazać istnienie wyraźnej podstawy prawnej oraz związku z konkretną czynnością bankową. Przetwarzanie danych osobowych bez takich podstaw jest niedozwolone i może skutkować nakazem ich usunięcia.

Artykuł opisuje incydent naruszenia bezpieczeństwa danych osobowych w Gminnym Ośrodku Pomocy Społecznej (GOPS) w Aleksandrowie, do którego doszło w 2022 roku w wyniku ataku ransomware. Sprawa dotyczy niewłaściwej analizy ryzyka i braku odpowiednich zabezpieczeń technicznych i organizacyjnych.

• W 2022 r. Gminny Ośrodek Pomocy Społecznej w Aleksandrowie padł ofiarą ataku hakerskiego, który spowodował utratę dostępu do danych osobowych 1500 klientów.
• Dane te były bardzo szczegółowe i wrażliwe – dotyczyły m.in. osób korzystających z pomocy społecznej.
• Incydent został zgłoszony Prezesowi Urzędu Ochrony Danych Osobowych (UODO), jednak zgłoszenie było spóźnione i nie spełniało wszystkich wymagań przepisów.
• Kontrola UODO wykazała poważne braki w zabezpieczeniach – zarówno po stronie GOPS (administrator danych), jak i Wójta Aleksandrowa (podmiotu przetwarzającego dane).
• Choć ryzyko ataku ransomware zostało ujęte w analizie ryzyka, nie podjęto adekwatnych działań, by mu zapobiec.
• Na serwerze wykorzystywano przestarzały system operacyjny bez wsparcia producenta, co zwiększyło podatność na atak.
• Kopie zapasowe danych były niewłaściwie wykonywane – trzymano je na tym samym dysku sieciowym, który również został zaszyfrowany podczas ataku.
• Dane można było odzyskać tylko dzięki pomocy zewnętrznej firmy specjalizującej się w odzyskiwaniu informacji po atakach.
• GOPS nie kontrolował regularnie, w jaki sposób Wójt przetwarza dane, mimo że miał taki obowiązek jako administrator danych.
• W związku z naruszeniem przepisów, Prezes UODO nałożył kary: 10 tys. zł dla Wójta oraz 5 tys. zł dla GOPS.

Aby uzyskać wizę nieimigracyjną do Stanów Zjednoczonych, w tym wizę studencką, wprowadzono nowe wymagania związane z mediami społecznościowymi. Zmiany te są związane z amerykańskim prawem obowiązującym od 2019 roku, jednak dopiero teraz ambasada USA w Polsce przypomniała o ich natychmiastowym zastosowaniu.

• Ambasada Stanów Zjednoczonych w Warszawie poinformowała, że osoby ubiegające się o wizę studencką muszą udostępnić informacje o swoich kontach w mediach społecznościowych.
• Wymóg dotyczy wiz nieimigracyjnych:
  • wizy F – związane z akademickimi programami studiów,
  • wizy M – dotyczące nieakademickich kursów kształcenia,
  • wizy J – związane z programami wymiany akademickiej, naukowej lub kulturalnej.
• Kandydaci muszą podać nazwy użytkowników (tzw. handles) z wszystkich swoich kont społecznościowych używanych w ciągu ostatnich pięciu lat w formularzu wizowym DS-160.
• Celem jest ułatwienie procedur weryfikacyjnych i ocena zagrożenia dla bezpieczeństwa USA.
• Wymóg opiera się na przepisach wprowadzonych w 2019 roku, które obejmują zarówno wizy imigracyjne, jak i nieimigracyjne.
• Zgodnie z doniesieniami „New York Timesa”, Departament Stanu planuje szczegółowe sprawdzanie mediów społecznościowych studentów i profesorów przyjeżdżających do USA.
• Wcześniej administracja prezydenta Donalda Trumpa próbowała zablokować pobyt zagranicznych studentów na Uniwersytecie Harvarda, lecz decyzja ta została unieważniona przez sąd i procesy wizowe zostały wznowione.