Czy UOKiK dopuścił się przestępstwa ujawnienia danych? W jakim czasie należy zgłosić naruszenie do UODO? Jak doszło do cyberataku na polskich komorników? Czy i kiedy uda się w uproszczony sposób przekazywać dane osobowe do USA? Czy szkolenie osób postronnych podczas wyjazdów karetek narusza RODO? W jaki sposób ubezpieczyciele powinni dbać o cyberbezpieczeństwo swoich klientów? Na czym polegać będzie zmiana polityki TikToka?
MULTIMEDIA |
|
---|---|
#RODOA [31.10.2022] |
#RODOA [07.11.2022] |
Pobierz PDF | Pobierz PDF |
Czy UOKiK dopuścił się przestępstwa ujawnienia danych osobowych?
- redakcja DGP zapoznała się z treścią zawiadomienie do prokuratury skierowanego przez warszawską spółkę Obligacje Społeczne Prosta S.A. – spółka twierdzi, że Urząd Ochrony Konkurencji i Konsumentów dopuścił się przestępstwa ujawnienia danych osobowych
- chodzi o informacje dotyczące Klaudiusza Dębowskiego, który widnieje w KRS jako prezes zarządu spółki
- 8 sierpnia br. Prezes UOKiK poinformował o nałożeniu ponad 170 tys. zł kary na wspomnianą spółkę oraz zarządzającego nią Klaudiusza Dębowskiego - chodziło o naruszanie zbiorowych interesów konsumentów
- Spółka twierdzi, że UOKiK, publikując na swojej stronie internetowej decyzję dotyczącą nałożenia kar, nieprawidłowo usunął dane, które powinny być zanonimizowane - przykładowo te dotyczące osiągniętych przez Dębowskiego przychodów czy miejsca zamieszkania
- urzędnik wprowadzający plik do sieci nie usunął poufnych treści, a jedynie zmienił kolor czcionki fragmentów tekstu na biały (kolor tła dokumentu) - dla odczytania pełnej treści wystarczające były zatem wykonanie kopii tekstu i zmiana koloru czcionki na czarny
- pierwotnie opublikowany na stronie UOKiK dokument nie jest już dostępny – podmieniono go na wersję, w której treści poufne są już poprawnie wycięte, a w ich miejscu znajduje się adnotacja: „(usunięto)”
- mimo to jeszcze kilka dni temu, wpisując do wyszukiwarki internetowej frazę „Klaudiusz Dębowski przychody”, można było uzyskać informację o kwocie zawartej w pierwotnej wersji dokumentu
- Departament komunikacji UOKiK odpowiedział nam jedynie, że sprawa jest obecnie wyjaśniana w urzędzie
WSA: podmiot danych należy poinformować o naruszeniu bez zbędnej zwłoki
- WSA w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą karę za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą
- do UODO jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA – w sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów
- administrator nie dokonał zgłoszenia naruszenia do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło - konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. administracyjnej kary pieniężnej (ponad 13 tys. zł)
- sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu - ponadto administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych
- zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia
- sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób
- w ocenie WSA, brak takiej reakcji doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia
Udany atak na polskich komorników
- jak informuje niebezpiecznik.pl, ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej - komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości
- atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji
- osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium - problem w tym, że podane konto bankowe należało do złodzieja
- o atakach na komorników poinformowała również Krajowa Rada Komornicza
- fałszywą wiadomość email skierowano do kilkuset komorników - atak wykryto 24 października, Krajowa Rada Komornicza poinformowała o nim komorników tego dnia, dodatkowo, po 3 dniach, 27 października, rano, już po tym, kiedy atakujący korzystający z wykradzionych danych dostępowych opublikował podmienione obwieszczenia, KRK przesłała szerszy komunikat, proszący o zmianę haseł i włączenie dwuskładnikowego uwierzytelnienia
- w tym ataku ucierpieć mogli przede wszystkim ci, którzy wzięli udział w tych licytacjach, które były podstawione i wpłacili wadium (zazwyczaj w wysokości 1/10 wartości) na rachunek bankowy złodzieja - te kwoty to często kilka do kilkunastu tysięcy złotych w zależności od tego, co podlega licytacji
WSA: podmiot danych należy poinformować o naruszeniu bez zbędnej zwłoki
- WSA w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą karę za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą
- do UODO jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA – w sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów
- administrator nie dokonał zgłoszenia naruszenia do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło - konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. administracyjnej kary pieniężnej (ponad 13 tys. zł)
- sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu - ponadto administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych
- zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia
- sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób
- w ocenie WSA, brak takiej reakcji doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia
Udany atak na polskich komorników
- jak informuje niebezpiecznik.pl, ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej - komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości
- atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji
- osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium - problem w tym, że podane konto bankowe należało do złodzieja
- o atakach na komorników poinformowała również Krajowa Rada Komornicza
- fałszywą wiadomość email skierowano do kilkuset komorników - atak wykryto 24 października, Krajowa Rada Komornicza poinformowała o nim komorników tego dnia, dodatkowo, po 3 dniach, 27 października, rano, już po tym, kiedy atakujący korzystający z wykradzionych danych dostępowych opublikował podmienione obwieszczenia, KRK przesłała szerszy komunikat, proszący o zmianę haseł i włączenie dwuskładnikowego uwierzytelnienia
- w tym ataku ucierpieć mogli przede wszystkim ci, którzy wzięli udział w tych licytacjach, które były podstawione i wpłacili wadium (zazwyczaj w wysokości 1/10 wartości) na rachunek bankowy złodzieja - te kwoty to często kilka do kilkunastu tysięcy złotych w zależności od tego, co podlega licytacji
Wątpliwości związane z dekretem prezydenta USA w sprawie transferu danych (1)
- 7 października prezydent USA Biden wydał dekret wykonawczy (rozporządzenie wykonawcze), który ma na celu implementację w prawie amerykańskim zapowiedzianej umowy podstawowej o przekazywaniu danych między USA a UE.
- umowa wychodzi naprzeciw wymogom Europejskiego Trybunału Sprawiedliwości z tzw. wyroku Schrems II, dostosowując m.in. szeroki dostęp do danych w kontekście bezpieczeństwa narodowego oraz procedury skarg i odwołań
- swoje wątpliwości związane z dekretem prezydenta USA w sprawie transferu danych wyraził Pełnomocnik Ochrony Danych i Wolności Informacji Badenii Wirtembergii
- Pełnomocnik co do zasady z zadowoleniem przyjmuje fakt, że rząd USA podejmuje działania w związku z umową o przekazywaniu danych - dostrzega jednak znaczne niejasności prawne, które obejmują:
- Pytanie, w jakim stopniu dekret może być faktycznie skutecznym instrumentem realizacji wymagań RODO - stanowi wewnętrzną instrukcję dla rządu i podległych mu władz i nie jest ustawą uchwaloną przez parlament, a zatem ostateczną,
- Przestrzeganie samego nakazu wykonawczego nie jest prawnie egzekwowalne, zwłaszcza w przypadku obywateli UE,
- Nie jest jasne, w jaki sposób rozporządzenie wykonawcze odnosi się do innych istniejących przepisów amerykańskich, takich jak ustawa o chmurze,
Wątpliwości związane z dekretem prezydenta USA w sprawie transferu danych (2)
- Interpretacja prawnego pojęcia proporcjonalności różni się w Europie i USA, tak że nie jest jasne, kiedy, z punktu widzenia USA dostęp dla bezpieczeństwa narodowego jest nadal dozwolony,
- Na składanie skarg przez obywateli UE nakładane są istotne wymagania,
- Skarżący nie są wyraźnie informowani, czy byli przedmiotem działań wywiadowczych ze strony władz USA, a jedynie otrzymują ustandaryzowaną wiadomość stwierdzającą, że dochodzenie w sprawie ich skargi zostało zakończone
- Sąd Rewizyjny Ochrony Danych zostanie powołany w ramach jego teki na polecenie Ministra Sprawiedliwości - prawdopodobnie zostanie przydzielony do władzy wykonawczej, co jest sprzeczne z jego (sądową) niezależnością
- Ponadto Europejski Trybunał Sprawiedliwości domagał się nie tylko środków prawnych przeciwko szpiegostwu państwowemu, ale także bezpodstawnego zakończenia tej inwigilacji, co jednak w chwili obecnej nie jest możliwe
Szkolenia strażaków w karetkach pogotowia naruszają prawo pacjenta do tajemnicy o jego stanie zdrowia
- Polskie Towarzystwo Ratowników Medycznych zaalarmowało Rzecznika Praw Pacjenta w sprawie strażaków, którzy mają się szkolić w karetkach pogotowia - ratownicy medyczni podkreślają, że udział osób nieuprawnionych, czyli niewykonujących zawodu medycznego w udzielaniu świadczeń, narusza prawo pacjenta do tajemnicy o jego stanie zdrowia
- strażacy ochotnicy z OSP w Gorzkowicach w województwie łódzkim będą mieli „praktyki” w ambulansach Zespołu Ratownictwa Medycznego – zgodnie z podpisaną umową strażacy OSP będą zasiadać w obsadzie ambulansów, co ma pozwolić na doskonalenie umiejętności nabytych podczas kursów Kwalifikowanej Pierwszej Pomocy
- Prezes Polskiego Towarzystwa Ratowników Medycznych w piśmie do RPP podkreśla, że strażacy ochotnicy nie wykonują zawodu medycznego w rozumieniu przepisów – w ocenie Towarzystwa, udział osób nieuprawnionych tj. niewykonujących zawodu medycznego, w udzielaniu świadczeń medycznych, stanowi naruszenie podstawowych praw pacjenta, a to prawa do zachowania w tajemnicy informacji go dotyczących, w tym zwłaszcza informacji o stanie zdrowia pacjenta
- nie jest możliwe prowadzenie medycznych czynności ratunkowych w obecności osoby postronnej, w tym przypadku strażaka ochotnika, tak by stworzyć pacjentowi warunki udzielania świadczeń, o których mówią powyższe zapisy ustawowe
KNF chce zwiększenia cyberbezpieczeństwa klientów ubezpieczycieli
- Komisja Nadzoru Finansowego przekazała zakładom ubezpieczeń oraz reasekuracji stanowisko w sprawie działań w zakresie cyberbezpieczeństwa
- KNF podkreśla, ze ubezpieczyciele powinni stosować zasadę „security first”, która polega na stawianiu bezpieczeństwa na pierwszym planie i podejmowaniu decyzji dotyczących kształtu procesów i produktów w oparciu o przeprowadzenie rzetelnych analiz ryzyka, które muszą uwzględniać nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego zakładu, ale również zagrożenia związane z korzystaniem z jego usług przez klientów
- KNF stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach e-mail oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych, a ubezpieczyciele powinni dążyć do ograniczenia tej praktyki na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne lub inne kanały elektroniczne, które nie generują ryzyka oszustwa
- kolejnym istotnym czynnikiem ryzyka dotyczącym bezpieczeństwa środków finansowych i danych klientów, jest sposób zabezpieczania komunikacji z klientem, prowadzonej z wykorzystaniem poczty elektronicznej – stosowane praktyki, polegające na zabezpieczaniu załączników przekazywanych w korespondencji e-mail prostymi czy krótkimi hasłami, składającymi się np. z fragmentów numeru PESEL klienta, kombinacji elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, organ nadzoru uznaje za nieakceptowalne
TikTok - dane osobowe Europejczyków będą udostępnione Chińczykom
- TikTok zmienia politykę prywatności – dane użytkowników z Europy mają być dostępne dla pracowników aplikacji na całym świecie - użytkownicy chcący zalogować się do aplikacji będą musieli udzielić zgody na zdalny dostęp do ich danych osobowych przez pracowników serwisu na całym świecie
- Brazylia, Kanada, Chiny, Izrael, Japonia, Malezja, Filipiny, Singapur, Korea Południowa i Stany Zjednoczone - to lista krajów, których pracownicy TikTok’a będą mieli dostęp do smartfonów Europejczyków – dostęp ma być wykorzystany, aby "sprawdzić wydajność algorytmów"
- chińskie spółki internetowe, do których należą m.in. TikTok, WeChat, czy AliExpress, udostępniły dane dotyczące algorytmów władzom chińskim
- w 2022 roku administracja Donalda Trumpa wprowadziła w Stanach Zjednoczonych blokadę na TikToka oraz WeChat – strona amerykańska twierdziła, że cieszące się popularnością aplikacje, są zagrożeniem dla bezpieczeństwa Stanów Zjednoczonych
- utrzymywano, że mogą pełnić funkcję chińskich narzędzi szpiegowskich i zbierać dane osobowe na temat obywateli USA – ostatecznie jednak z tej decyzji się wycofano
- Michael Beale, profesor prawa cywilnego z Uniwersytetu w Londynie w rozmowie z "The Guardian" podkreślał, że należy "sprawdzić pod kątem bezpieczeństwa przekazywanie danych", ale równocześnie uspokajał, że "chiński rząd obecnie nie koncentruje się na szpiegowaniu danych użytkowników TikTok" - wyjaśnił, że według niego mają inne sposoby na uzyskiwanie prywatnych informacji, co może być jednak marnym pocieszeniem
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Polemika do artykułu: https://6358e0f4ca519.site123.me/m%C3%B3j-blog/uokik-vs-rodo