RODO aktualności – 08.11.2022 r.

• WSA w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą karę za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą
• do UODO jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA – w sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów
• administrator nie dokonał zgłoszenia naruszenia do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło – konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. administracyjnej kary pieniężnej (ponad 13 tys. zł)
• sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu – ponadto administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych
• zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia
• sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób
• w ocenie WSA, brak takiej reakcji doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia

Żródło: https://uodo.gov.pl/pl/138/2118

• jak informuje niebezpiecznik.pl, ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej – komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości
• atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji
• osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium – problem w tym, że podane konto bankowe należało do złodzieja
• o atakach na komorników poinformowała również Krajowa Rada Komornicza
• fałszywą wiadomość email skierowano do kilkuset komorników – atak wykryto 24 października, Krajowa Rada Komornicza poinformowała o nim komorników tego dnia, dodatkowo, po 3 dniach, 27 października, rano, już po tym, kiedy atakujący korzystający z wykradzionych danych dostępowych opublikował podmienione obwieszczenia, KRK przesłała szerszy komunikat, proszący o zmianę haseł i włączenie dwuskładnikowego uwierzytelnienia
• w tym ataku ucierpieć mogli przede wszystkim ci, którzy wzięli udział w tych licytacjach, które były podstawione i wpłacili wadium (zazwyczaj w wysokości 1/10 wartości) na rachunek bankowy złodzieja – te kwoty to często kilka do kilkunastu tysięcy złotych w zależności od tego, co podlega licytacji

Źródło: https://niebezpiecznik.pl/post/udany-atak-na-polskich-komornikow/

• WSA w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą karę za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą
• do UODO jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA – w sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów
• administrator nie dokonał zgłoszenia naruszenia do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło – konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. administracyjnej kary pieniężnej (ponad 13 tys. zł)
• sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu – ponadto administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych
• zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia
• sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób
• w ocenie WSA, brak takiej reakcji doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia

Żródło: https://uodo.gov.pl/pl/138/2118

• jak informuje niebezpiecznik.pl, ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej – komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości
• atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji
• osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium – problem w tym, że podane konto bankowe należało do złodzieja
• o atakach na komorników poinformowała również Krajowa Rada Komornicza
• fałszywą wiadomość email skierowano do kilkuset komorników – atak wykryto 24 października, Krajowa Rada Komornicza poinformowała o nim komorników tego dnia, dodatkowo, po 3 dniach, 27 października, rano, już po tym, kiedy atakujący korzystający z wykradzionych danych dostępowych opublikował podmienione obwieszczenia, KRK przesłała szerszy komunikat, proszący o zmianę haseł i włączenie dwuskładnikowego uwierzytelnienia
• w tym ataku ucierpieć mogli przede wszystkim ci, którzy wzięli udział w tych licytacjach, które były podstawione i wpłacili wadium (zazwyczaj w wysokości 1/10 wartości) na rachunek bankowy złodzieja – te kwoty to często kilka do kilkunastu tysięcy złotych w zależności od tego, co podlega licytacji

Źródło: https://niebezpiecznik.pl/post/udany-atak-na-polskich-komornikow/

• 7 października prezydent USA Biden wydał dekret wykonawczy (rozporządzenie wykonawcze), który ma na celu implementację w prawie amerykańskim zapowiedzianej umowy podstawowej o przekazywaniu danych między USA a UE.
• umowa wychodzi naprzeciw wymogom Europejskiego Trybunału Sprawiedliwości z tzw. wyroku Schrems II, dostosowując m.in. szeroki dostęp do danych w kontekście bezpieczeństwa narodowego oraz procedury skarg i odwołań
• swoje wątpliwości związane z dekretem prezydenta USA w sprawie transferu danych wyraził Pełnomocnik Ochrony Danych i Wolności Informacji Badenii Wirtembergii
• Pełnomocnik co do zasady z zadowoleniem przyjmuje fakt, że rząd USA podejmuje działania w związku z umową o przekazywaniu danych – dostrzega jednak znaczne niejasności prawne, które obejmują:

1. Pytanie, w jakim stopniu dekret może być faktycznie skutecznym instrumentem realizacji wymagań RODO – stanowi wewnętrzną instrukcję dla rządu i podległych mu władz i nie jest ustawą uchwaloną przez parlament, a zatem ostateczną,
2. Przestrzeganie samego nakazu wykonawczego nie jest prawnie egzekwowalne, zwłaszcza w przypadku obywateli UE,
3. Nie jest jasne, w jaki sposób rozporządzenie wykonawcze odnosi się do innych istniejących przepisów amerykańskich, takich jak ustawa o chmurze,

1. Interpretacja prawnego pojęcia proporcjonalności różni się w Europie i USA, tak że nie jest jasne, kiedy, z punktu widzenia USA dostęp dla bezpieczeństwa narodowego jest nadal dozwolony,
2. Na składanie skarg przez obywateli UE nakładane są istotne wymagania,
3. Skarżący nie są wyraźnie informowani, czy byli przedmiotem działań wywiadowczych ze strony władz USA, a jedynie otrzymują ustandaryzowaną wiadomość stwierdzającą, że dochodzenie w sprawie ich skargi zostało zakończone
4. Sąd Rewizyjny Ochrony Danych zostanie powołany w ramach jego teki na polecenie Ministra Sprawiedliwości – prawdopodobnie zostanie przydzielony do władzy wykonawczej, co jest sprzeczne z jego (sądową) niezależnością
5. Ponadto Europejski Trybunał Sprawiedliwości domagał się nie tylko środków prawnych przeciwko szpiegostwu państwowemu, ale także bezpodstawnego zakończenia tej inwigilacji, co jednak w chwili obecnej nie jest możliwe

Źródło: https://www.baden-wuerttemberg.datenschutz.de/usa-eu-datentransfer-durchfuehrungsverordnung-us-praesident/  https://iapp.org/news/a/the-eu-u-s-data-privacy-framework-a-new-era-for-data-transfers/

• Polskie Towarzystwo Ratowników Medycznych zaalarmowało Rzecznika Praw Pacjenta w sprawie strażaków, którzy mają się szkolić w karetkach pogotowia – ratownicy medyczni podkreślają, że udział osób nieuprawnionych, czyli niewykonujących zawodu medycznego w udzielaniu świadczeń, narusza prawo pacjenta do tajemnicy o jego stanie zdrowia
• strażacy ochotnicy z OSP w Gorzkowicach w województwie łódzkim będą mieli „praktyki” w ambulansach Zespołu Ratownictwa Medycznego – zgodnie z podpisaną umową strażacy OSP będą zasiadać w obsadzie ambulansów, co ma pozwolić na doskonalenie umiejętności nabytych podczas kursów Kwalifikowanej Pierwszej Pomocy
• Prezes Polskiego Towarzystwa Ratowników Medycznych w piśmie do RPP podkreśla, że strażacy ochotnicy nie wykonują zawodu medycznego w rozumieniu przepisów – w ocenie Towarzystwa, udział osób nieuprawnionych tj. niewykonujących zawodu medycznego, w udzielaniu świadczeń medycznych, stanowi naruszenie podstawowych praw pacjenta, a to prawa do zachowania w tajemnicy informacji go dotyczących, w tym zwłaszcza informacji o stanie zdrowia pacjenta
• nie jest możliwe prowadzenie medycznych czynności ratunkowych w obecności osoby postronnej, w tym przypadku strażaka ochotnika, tak by stworzyć pacjentowi warunki udzielania świadczeń, o których mówią powyższe zapisy ustawowe

Źródło: https://www.prawo.pl/zdrowie/szkolenie-strazakow-w-karetkach-pogotowia,518105.html

• Komisja Nadzoru Finansowego przekazała zakładom ubezpieczeń oraz reasekuracji stanowisko w sprawie działań w zakresie cyberbezpieczeństwa
• KNF podkreśla, ze ubezpieczyciele powinni stosować zasadę „security first”, która polega na stawianiu bezpieczeństwa na pierwszym planie i podejmowaniu decyzji dotyczących kształtu procesów i produktów w oparciu o przeprowadzenie rzetelnych analiz ryzyka, które muszą uwzględniać nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego zakładu, ale również zagrożenia związane z korzystaniem z jego usług przez klientów
• KNF stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach e-mail oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych, a ubezpieczyciele powinni dążyć do ograniczenia tej praktyki na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne lub inne kanały elektroniczne, które nie generują ryzyka oszustwa
• kolejnym istotnym czynnikiem ryzyka dotyczącym bezpieczeństwa środków finansowych i danych klientów, jest sposób zabezpieczania komunikacji z klientem, prowadzonej z wykorzystaniem poczty elektronicznej – stosowane praktyki, polegające na zabezpieczaniu załączników przekazywanych w korespondencji e-mail prostymi czy krótkimi hasłami, składającymi się np. z fragmentów numeru PESEL klienta, kombinacji elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, organ nadzoru uznaje za nieakceptowalne

Źródło: https://www.prawo.pl/biznes/zwiekszenie-cyberbezpieczenstwa-klientow-ubezpieczycieli,518037.html

• TikTok zmienia politykę prywatności – dane użytkowników z Europy mają być dostępne dla pracowników aplikacji na całym świecie – użytkownicy chcący zalogować się do aplikacji będą musieli udzielić zgody na zdalny dostęp do ich danych osobowych przez pracowników serwisu na całym świecie
• Brazylia, Kanada, Chiny, Izrael, Japonia, Malezja, Filipiny, Singapur, Korea Południowa i Stany Zjednoczone – to lista krajów, których pracownicy TikTok’a będą mieli dostęp do smartfonów Europejczyków – dostęp ma być wykorzystany, aby „sprawdzić wydajność algorytmów”
• chińskie spółki internetowe, do których należą m.in. TikTok, WeChat, czy AliExpress, udostępniły dane dotyczące algorytmów władzom chińskim
• w 2022 roku administracja Donalda Trumpa wprowadziła w Stanach Zjednoczonych blokadę na TikToka oraz WeChat – strona amerykańska twierdziła, że cieszące się popularnością aplikacje, są zagrożeniem dla bezpieczeństwa Stanów Zjednoczonych
• utrzymywano, że mogą pełnić funkcję chińskich narzędzi szpiegowskich i zbierać dane osobowe na temat obywateli USA – ostatecznie jednak z tej decyzji się wycofano
• Michael Beale, profesor prawa cywilnego z Uniwersytetu w Londynie w rozmowie z „The Guardian” podkreślał, że należy „sprawdzić pod kątem bezpieczeństwa przekazywanie danych”, ale równocześnie uspokajał, że „chiński rząd obecnie nie koncentruje się na szpiegowaniu danych użytkowników TikTok” – wyjaśnił, że według niego mają inne sposoby na uzyskiwanie prywatnych informacji, co może być jednak marnym pocieszeniem

Źródło: https://next.gazeta.pl/next/7,151243,29100546,tiktok-z-nowa-polityka-prywatnosci-dane-osobowe-europejczykow.html