RODO aktualności – 12.02.2024 r.

• W obliczu Międzynarodowego Dnia Ochrony Danych Osobowych, obchodzonego 28 stycznia, nowe badania ISACA (Stowarzyszenie do spraw audytu i kontroli systemów informatycznych) ujawniają znaczące wyzwania, związane ze skuteczną ochroną danych osobowych, do których należą:
• Niedofinansowanie i braki kadrowe: W Europie aż 41% specjalistów ds. ochrony danych zgłasza niedofinansowanie swoich działów. Co więcej, 56% oczekuje dalszych cięć budżetowych. Ta sytuacja tworzy paradoks, gdzie pomimo rosnącej potrzeby ochrony danych, zasoby finansowe i ludzkie są redukowane.
• Wyzwania rekrutacyjne: Dwie piąte firm boryka się z utrzymaniem wykwalifikowanych specjalistów. Brak personelu jest odczuwalny, a 53% organizacji przyznaje, że ich zespoły ds. ochrony danych technicznych są niedostatecznie obsadzone.
• Widmo cyberzagrożeń: Redukcja budżetów i brak umiejętności w obliczu zaawansowanego krajobrazu cybernetycznego może mieć katastrofalne skutki. Warto zauważyć przy tym, że w erze cyfrowej ryzyko naruszeń wciąż rośnie, wraz z przyrostem danych oraz stopniem wykorzystania zaawansowanych technologii przez hakerów.
• Szkolenia i świadomość: Pomimo wyzwań, 68% specjalistów zgłasza, że ich firmy oferują coroczne szkolenia z zakresu prywatności. Taki wysiłek ma pozytywny wpływ na świadomość prywatności wśród pracowników, co jest kluczowe w budowaniu kultury bezpieczeństwa danych.
• Luka kwalifikacyjna: Firmy wciąż zmagań się z luką kwalifikacyjną. Braki wiedzy dotyczą przede wszystkim technologii, wiedzy technicznej oraz operacyjnej IT. Ta sytuacja podkreśla potrzebę ciągłego rozwoju umiejętności i adaptacji do szybko zmieniających się technologii.
• Działania naprawcze: Organizacje podejmują inicjatywy, aby zmniejszyć deficyt umiejętności, w tym szkolenia i korzystanie z usług zewnętrznych. Kluczowe jest zapewnienie odpowiednich zasobów i ustalanie priorytetów w celu skutecznej ochrony danych.

Żródło: Międzynarodowy Dzień Ochrony Danych Osobowych – firm nie stać na wyzwania związane z ochroną danych – Brandsit

• Firma Hewlett Packard Enterprise (HPE) ujawniła, że grupa rosyjskich hackerów znana jako APT29 lub Midnight Blizzard uzyskała dostęp do skrzynek pocztowych pracowników z kilku jej wydziałów, w tym do poczty działu cyberbezpieczeństwa.
• Dnia 12 grudnia 2023 HPE dowiedziała się o podejrzanym działaniu grupy Midnight Blizzard. Początkowo wiedziano, że hackerzy uzyskali dostęp do chmury z systemem pocztowym. Atakujący mogli uzyskać dostęp do danych z małego odsetka skrzynek HPE, które były używane przez osoby z działu cyberbezpieczeństwa i segmentów biznesowych. Ustalono, że atak zaczął się w maju 2023 r. i doszło do wyprowadzenia tych danych poza firmę. Jak dotąd nic nie wskazuje na to, aby atak mógł wywrzeć duży wpływ na działania firmy lub jej finanse.
• Z kolei Microsoft oświadczył, że 12 stycznia tego roku doszło do wykrycia ataku na jego systemy korporacyjne. Firma zdecydowała się na ujawnienie tego faktu, bo zobowiązała się do większej transparentności w ramach akcji Secure Future Initiative.
• Atak na Microsoft zaczął się w listopadzie 2023. Atakujący użyli techniki password spraying, czyli sprawdzali możliwość zalogowania się pewnymi przewidywalnymi hasłami na wielu kontach. Udało im się dostać na stare konto nie używane już na produkcji. Wynikające z tego uprawnienia zostały wykorzystane, by uzyskać dostęp do “małego odsetka kont mailowych” używanych przez: kierowników, pracowników działu cyberbezpieczeństwa i pracowników działu prawnego. Pobrano niektóre wiadomości i załączniki. Co ciekawe, Midnight Blizzard najprawdopodobniej szukał w Microsofcie informacji o sobie samym (tzn. co Microsoft może wiedzieć na temat grupy).
• Atakujący nie uzyskali dostępu do danych klientów, systemów produkcyjnych, kodu źródłowego czy systemów AI. Wiadomo, że atak nie był wynikiem żadnej słabości w produktach czy usługach Microsoftu.

Żródło: » Rosyjscy hackerzy zaatakowali pocztę HP i Microsoftu — Niebezpiecznik.pl —

• Grzywna wymierzona przez francuski organ ochrony danych (CNIL) została nałożona na Amazon France Logistique za wielokrotne zasady minimalizacji danych i niezgodne z prawem przetwarzanie nagrań monitoringu wideo. Amazon stwierdził w oświadczeniu, że „zdecydowanie nie zgadza się” z ustaleniami CNIL i zastrzega sobie prawo do odwołania.
• Każdy pracownik magazynu Amazon otrzymuje skaner do dokumentowania wykonywania określonych zadań przypisanych mu w czasie rzeczywistym (składowanie lub zdejmowanie towaru z półek, odkładanie lub pakowanie itp.). Każde skanowanie skutkuje rejestracją danych, które są przechowywane i wykorzystywane do wyliczania wskaźników dostarczających informacji o jakości, produktywności i okresach bezczynności danego pracownika.
• Odpowiadając na doniesienia medialne i skargi pracowników, CNIL poinformowało, że przeprowadziło wiele dochodzeń we francuskich magazynach Amazona. Zakwestionowano elementy praktyki Amazon dotyczące monitorowania wydajności pracy za pomocą skanera, a w tym:
• System wymagający od pracowników uzasadnienia każdej przerwy w pracy;
• Wykorzystywanie systemu do pomiaru produktywności;
• Nadmiarowe przechowywanie przez Amazon pozyskanych danych;
• Niedopełnienie obowiązku informacyjnego wobec pracowników;
• Dostęp do nagrań z monitoringu wizyjnego „nie był wystarczająco zabezpieczony”.

Żródło: Jednostka Amazon ukarana grzywną w wysokości 35 mln USD na mocy RODO za śledzenie produktywności pracowników | Krótki opis wiadomości | Tydzień Zgodności (complianceweek.com)

• EROD uruchomiła narzędzie do audytu stron internetowych, które może być wykorzystywane do oceny ich zgodności z prawem.
• Narzędzie zostało opracowane przez grupę ekspertów wspierających EROD i może być wykorzystywane zarówno przez audytorów prawnych i technicznych w organach ochrony danych, jak i przez administratorów i podmioty przetwarzające, którzy chcą przetestować własne strony internetowe.
• Nowe narzędzie pozwala na przygotowanie, przeprowadzenie audytów bezpośrednio w narzędziu poprzez zwykłą wizytę na danej stronie internetowej. Narzędzie to jest również kompatybilne z innymi narzędziami, takimi jak strona internetowa EIOD i umożliwia audytorom importowanie i ocenę wyników kontroli przeprowadzonych za pomocą tych narzędzi. Narzędzie może też generować raporty.
• Chociaż istnieje już kilka narzędzi do audytu stron internetowych, zwykle wymagają one wiedzy technicznej. W związku z tym EROD postanowiła opracować rozwiązanie, które jest łatwe w użyciu oraz służy ułatwieniu egzekwowania przepisów przez krajowe organy ochrony danych oraz administratorów stron internetowych.
• Narzędzie jest dostępne bezpłatnie do pobrania na stronie: https://code.europa.eu/edpb/website-auditing-tool/-/releases

Żródło: EROD uruchamia narzędzie do audytu stron internetowych | Europejska Rada Ochrony Danych (europa.eu)

• Model „pay or okay” polega on na tym, że aby uzyskać dostęp do danej platformy, użytkownik musi albo zgodzić się na przetwarzanie jego danych osobowych na potrzeby reklamowe, albo uiścić opłatę pieniężną.
• Przepisy RODO wymagają, aby zgoda na wykorzystanie danych osobowych była wyrażona dobrowolnie. W stosunku do systemu „pay or okay” są podnoszone jednak wątpliwości co do spełnienia tego wymogu. Dobrowolność oznacza bowiem, że nie należy wywierać nacisku na użytkowników, aby wyrazili zgodę, i nie powinni oni ponieść szkody w przypadku odmowy na zbieranie ich danych. Innymi słowy obie możliwości – śledzenie internauty i opłata pieniężna – powinny być równoważne.
• Najsłynniejszym przypadkiem zastosowania „pay or okay” są serwisy społecznościowe Facebook i Instagram, które w listopadzie ub.r. wprowadziły ten model korzystania z usług dla internautów w Europejskim Obszarze Gospodarczym (EOG). Obecna metoda obejmuje wprawdzie zgodę, ale według organizacji obrońców prywatności NOYB przy tak wygórowanym wynagrodzeniu jako opcji alternatywnej – nie jest to zgoda dobrowolna. Dlatego NOYB złożyła do austriackiego organu ochrony danych skargę przeciwko właścicielowi Facebooka i Instagrama. W odniesieniu do modelu subskrypcyjnego Mety organy w Niemczech i Norwegii pod koniec ub.r. same podjęły się zbadania zgodności z przepisami.
• Kontrowersje wobec zmian wprowadzonych przez Metę i brak zharmonizowanego na poziomie europejskim podejścia do tej kwestii sprawiły, że trzy organy ochrony danych (Norwegia, Holandia i Niemcy) zwróciły się do EROD o wydanie opinii w sprawie zgodności „pay or okay” z RODO. Opinia rady będzie podstawą do egzekwowania przepisów RODO w całym EOG.
• EROD powinna wydać opinię w ciągu ośmiu tygodni.

Żródło: Krajowi regulatorzy chcą opinii EROD w sprawie modelu „pay or okay” – GazetaPrawna.pl

• W najnowszym numerze biuletynu UODO, organ nadzorczy zasygnalizował, że IOD nie powinien być pełnomocnikiem administratora.
• Pełnienie roli pełnomocnika przez IOD w sprawach z zakresu ochrony danych osobowych u administratora, u którego IOD pełni swoją funkcję, stoi ponadto w kolizji z nakazem nienakładania na IOD zadań powodujących konflikt interesów. IOD działając jako pełnomocnik administratora (czyli zgodnie z wolą i interesem mocodawcy), mógłby być zmuszony do pomijania i własnych spostrzeżeń i rekomendacji, które wypracował jako IOD.
• Występowanie w roli pełnomocnika administratora, w zakresie obowiązków nałożonych na administratora, może istotnie utrudniać lub uniemożliwiać inspektorowi niezależną ocenę, czy obowiązki administratora są wykonywane i czy są wykonywane prawidłowo. Z analogicznych powodów ocenić należy, że konflikt interesów powodowałoby dokonywanie przez IOD na podstawie pełnomocnictwa administratora również innych czynności, np. podpisywanie formularza zgłoszenia naruszenia czy pism, w których w imieniu administratora miałby zobowiązywać się do realizacji pewnych działań, w tym doskonalących, np. wdrożenie nowych rozwiązań informatycznych związanych z podniesieniem bezpieczeństwa danych.
• Inspektor ochrony danych powinien, zdaniem UODO, odpowiednio wcześnie identyfikować i sygnalizować administratorowi ryzyko wystąpienia konfliktu interesów, by możliwe było odpowiednio wczesne zapobieganie mu. W przypadku wystąpienia takiego konfliktu inspektor ochrony danych powinien powstrzymać się od dokonywania czynności w imieniu administratora lub wypowiedzieć udzielone mu pełnomocnictwo.
• Stanowisko UODO jest pokłosiem sprawozdania EROD podsumowującego badanie dotyczące wyznaczania i pozycji inspektorów ochrony danych oraz zawierającego rekomendacje, które mogą być pomocne we właściwym kształtowaniu zadań, roli i pozycji inspektora ochrony danych (IOD) w powołującej go organizacji.

Żródło: Biuletyn UODO 01/24; DLA IOD – UODO; Aktualności – UODO

• Liczba skarg kierowanych do Urzędu Ochrony Danych Osobowych, choć nieznacznie, to jednak od trzech lat spada. Odmienną tendencję można zaś zaobserwować, jeśli chodzi o zgłaszanie incydentów związanych z danymi osobowymi. W 2023 r. liczba takich zgłoszeń przekroczyła już 14 tys. Dla porównania w 2019 r. do UODO zgłoszono nieco ponad 6 tys. takich naruszeń.
• Zgłoszenia dotyczą różnych kwestii – od włamań hakerów i wykradzenia czy zaszyfrowania danych, poprzez zgubienie laptopa czy pamięci przenośnej, do omyłkowego wysłania korespondencji elektronicznej pod niewłaściwy adres. W zasadzie każda z takich sytuacji może prowadzić do jakiegoś zagrożenia. Sądząc natomiast po spadku liczby skarg, sami zainteresowani w mniejszym stopniu dostrzegają ryzyko. Dlatego też część ekspertów uważa, że działania administratorów, zwłaszcza przedsiębiorców, często są podejmowane nieco na wyrost, tylko po to, by uniknąć ewentualnej kary.
• Brak zgłoszenia (lub zgłoszenie z opóźnieniem) stosunkowo często jest podstawą do wymierzenia samoistnej kary finansowej. Przykładów na to nie trzeba daleko szukać – w ubiegłym tygodniu UODO poinformował o nałożeniu 10 tys. zł kary z tego właśnie powodu na Sąd Okręgowy w Krakowie, który nie poinformował o tym, że wysłana korespondencja doszła do adresata w rozerwanej kopercie, co oznacza, że ktoś mógł się z nią zapoznać.
• – Administratorzy dla świętego spokoju wolą zgłosić naruszenie. To ostrożnościowe podejście wynika z dotychczasowej praktyki prezesa UODO, który uznawał, że już niskie ryzyko powoduje konieczność zgłoszenia naruszenia. Bezpieczniej jest więc zgłosić nawet mało istotny incydent, by uniknąć kary – komentuje Sławomir Kowalski, partner w kancelarii JustLAW.
• W przygotowanym przez kancelarię DLA Piper raporcie o naruszeniach RODO i karach („GDPR Fines and Data Breach Survey”) Polska pod względem liczby zgłoszonych w ostatnim roku incydentów zajęła trzecie miejsce, za Niemcami i Holandią. Te dwa kraje przodują również w zestawieniu obejmującym cały okres obowiązywania RODO (tj. od 25 maja 2018 r. do 27 stycznia 2024 r.).

Żródło: Ubywa skarg, rośnie zaś szybko liczba powiadomień o incydentach – GazetaPrawna.pl

• Obydwa wyroki dotyczą zagadnienia skupiającego się na możliwości przetwarzania danych osobowych osób, które zgłosiły się do Banku z chęcią zawarcia umowy kredytu, ale z jakiś powodów nie dochodzi do zawarcia takiej umowy.
• W obydwu sprawach Prezes UODO nakazał usunięcie danych osobowych w zakresie zapytania kredytowego i w obydwu sprawach WSA w Warszawie wskazał wiele bardzo istotnych argumentów za oddaleniem skargi na powyższe decyzje.
• Sąd wskazał, że:
• Nie ma wątpliwości i nie było kwestionowane przez Prezesa UODO, że Bank oraz BIK, na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych G. K. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Pogląd ten podziela Sąd rozpoznający niniejszą sprawę
• Podkreślenia jednak wymaga, że w sprawie tej nie doszło do zawarcia umowy kredytowej pomiędzy wymienioną a Bankiem. Osoba po 2 tygodniach od złożenia wniosku o kredyt wniosła o zaprzestanie przetwarzania jej danych i ich usunięcie.
• W drugiej sprawie BIK próbował wykazać, że przetwarzanie danych osobowych Uczestniczki postępowania umożliwia udokumentowanie tego, że są one przetwarzane z poszanowaniem podstawowych zasad jakości danych osobowych, o których mowa w art. 5 RODO. Innymi słowy, że przetwarza dane osobowe po to, aby móc wykazać, że są one przetwarzane zgodnie z prawem.
• W ocenie Sądu nie jest w takiej sytuacji spełniona przesłanka określona w art. 6 ust. 1 lit f RODO. Przetwarzanie danych w celu udokumentowania prawidłowości ich przetwarzania nie stanowi celu, który wynika z prawnie uzasadnionego interesu.

Żródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7158379698215956480-P_Cs?utm_source=share&utm_medium=member_desktop

• W przedmiotowej sprawie mimo wyraźnego żądania usunięcia danych osobowych, które dodatkowo było uzasadnione, Administrator nie udzielił żadnej odpowiedzi. Osoba, której dane dotyczą wniosła więc skargę do organu nadzorczego.
• Węgierski urząd ochrony danych osobowych wszczął postępowanie wyjaśniające, podczas którego ustalił, że administrator już po miesiącu usunął całe konto użytkownika, nie dzieląc się jednak tą informacją z podmiotem danych. Zdaniem Administratora żądanie zostało zatem zrealizowane.
• Organ w swojej decyzji stwierdził naruszenie przez linię lotniczą art. 12 ust. 3 RODO poprzez niepoinformowanie osoby, która złożyła żądanie o usunięcie danych osobowych o przychyleniu się do żądania i podjęciu działań w jej sprawie. Organ stwierdził ponadto naruszenie artykułu 5 ust. 1 lit. a RODO ze względu na brak przejrzystości przetwarzania. Osoba skarżąca nie miała bowiem dostępu do informacji o tym jakie dane, na jakiej podstawie prawnej i w jakim celu są przetwarzane przez administratora po usunięciu jej konta z serwisu podmiotu.
• Decyzją administracyjną linia lotnicza otrzymała karę 5 milionów forintów – ponad 13 000 Euro.

Żródło: https://www.linkedin.com/posts/tomasz-osiej_hungarian-sa-deletion-request-in-concerning-activity-7158011811198382081-ljEF?utm_source=share&utm_medium=member_desktop

• W ubiegłym roku polski organ nadzorczy nałożył rekordową liczbę 20 kar pieniężnych, których łączna suma wyniosła 656 089 zł.
• Najwyższa administracyjna kara pieniężna nałożona przez Prezesa UODO w 2023 r. wynosiła 103 752 zł i została nałożona z powodu niezgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego. Natomiast najniższa – to kara o wysokości 472 zł. (najniższa jak dotąd) nałożona z powodu niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przez podmiot przetwarzający, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych u administratora.
• Z 20 decyzji UODO o ukaraniu administratorów danych osobowych:
• 6 dotyczyło podmiotów publicznych;
• 14 dotyczyło sektora prywatnego;
• 12 wydanych zostało wskutek wpłynięcia skarg;
• 7 wydanych zostało w związku ze zgłoszeniem naruszenia;
• 1 wydana została na skutek niewykonania obowiązku wynikającego z wcześniejszej decyzji Prezesa UODO;
• aż 7 nałożonych kar było rezultatem braku współpracy z organem nadzorczym.

Żródło: Kary finansowe za naruszenia RODO – podsumowanie roku 2023 – Soczko & Partnerzy