Administrator, procesor, czy haker – kto odpowiada za wyciek danych? » Rozporządzenie DORA od 2025 r. – duże kary dla firm za brak dostosowania. » Polacy mają dużą świadomość funkcjonowania Urzędu Ochrony Danych Osobowych. » Pracodawcy chcą nowych wyjaśnień dot. poradnika UODO. » Problem z przetwarzaniem danych osobowych podatników. » UODO alarmuje: Ponad 7 milionów pracowników na celowniku hakerów. » TSUE: Kurator sądowy to także administrator danych. » Powstanie Komisja Nadzoru nad sztuczną inteligencją. » UODO: powstanie poradnik dot. przetwarzania danych os. przez związki zawodowe.
RODO aktualności z dnia 29.07.2024 r. | RODO aktualności z dnia 06.08.2024 r. |
Pobierz PDF |
Administrator, procesor, czy haker - kto odpowiada za wyciek danych?
- Firma, która zapłaciła za to, by administrowane przez nią dane osobowe były właściwie chronione, nie może odpowiadać za ich wyciek w konsekwencji ataku hackerskiego – orzekł w czwartek Wojewódzki Sąd Administracyjny w Warszawie.
- Sprawa rozstrzygnięta w czwartek przez Wojewódzki Sąd Administracyjny dotyczyła odpowiedzialności za wyciek danych, do którego doszło wskutek ataku hackerskiego na przedsiębiorstwo zajmujące się obsługą płacową. Do prezesa Urzędu Ochrony Danych Osobowych (PUODO) wpłynęła skarga podmiotu, którego dane zostały zaszyfrowane i wykradzione. Karę — upomnienie — za wyciek prezes UODO nałożył jednak na firmę będącą klientem zaatakowanego przedsiębiorstwa.
- Jak wyjaśnia Anna Dobiecka — prawniczka z kancelarii Barta Litwiński reprezentującej ukaraną firmę — PUODO uznał bowiem, że to ukarana firma, jako administrator udostępniła dane podmiotowi nieuprawnionemu, czyli hakerowi; tym samym to ona przetwarzała je bez podstawy prawnej, naruszając zasadę legalności.
- Decyzję PUODO uchylił sąd. WSA w większości zgodził się z zarzutami. Podkreślił, że PUODO w swojej decyzji nie wyjaśnił, z czego wywodził, że miało miejsce udostępnienie danych. Sąd uznał, że ich udostępnienie, czyli w istocie przetwarzanie, według przepisów RODO zakłada pewną aktywność po stronie administratora. W przypadku, w którym doszło do ataku hackerskiego nie da się mówić o jakiejkolwiek operacji przetwarzania po stronie naszego klienta, a tym samym o naruszeniu przez niego zasady legalności — tłumaczy Anna Dobiecka.
- Prawniczka precyzuje, że na mocy wyroku sądu PUODO powinien jeszcze raz przeanalizować, czy możliwe jest ukaranie firmy korzystającej z usług zaatakowanego przedsiębiorstwa. Dla przedsiębiorstwa tego – jeśli decyzja prezesa by się uprawomocniła – oznacza to bowiem ryzyko żądania odszkodowania od podmiotu, którego dane wyciekły.
Źródło: Dane wyciekły przez hakera. Kto odpowiada za wyciek danych osobowych w firmie? – rp.pl; Sygn. akt: II SA/Wa 2430/23
Rozporządzenie DORA od 2025 r. Duże kary dla firm za brak dostosowania
- Rozporządzenie DORA (Unijne Rozporządzenie o operacyjnej odporności cyfrowej sektora finansowego) zawiera szereg artykułów poświęconych zagadnieniom kontroli i nadzoru, a także możliwości zastosowania kar administracyjnych i środków naprawczych.
- Środki te będą dotyczyć wszystkich podmiotów rynku finansowego, które mają obowiązek stosować przepisy DORA. Osobną kategorią kar zostaną objęci kluczowi zewnętrzni dostawcy usług ICT. W ich przypadku system nadzoru i kar jest nieodłącznym elementem tzw. ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT – jednego z kluczowych filarów DORA.
- Nad przestrzeganiem zasad zgodności z DORA będzie czuwać organ właściwy dla instytucji płatniczych, kredytowych czy ubezpieczycieli, czyli Komisja Nadzoru Finansowego. Wiadomo, że KNF będzie miał szerokie uprawnienia, jeśli chodzi o możliwość ustalenia potencjalnych naruszeń. Będzie on mógł m. in.: mieć dostęp do wszelkich dokumentów lub danych, które uzna za istotne z punktu widzenia wykonywania swoich obowiązków; przeprowadzać dochodzenia lub kontrole na miejscu, zastosować środki naprawcze w odniesieniu do naruszeń wymogów rozporządzenia DORA.
- Do zestawu narzędzi dostępnych KNF należeć więc będzie m. in. wydanie danemu podmiotowi nakazu zaprzestania działań naruszających rozporządzenie oraz aby powstrzymał się od ponownego podejmowania tego postępowania. Kolejnym jest zakaz pełnienia funkcji członka zarządu, rady nadzorczej albo innej funkcji kierowniczej osobie odpowiedzialnej za naruszenie przez okres od miesiąca do roku. Ostatecznym środkiem, jaki będzie mógł zastosować organ nadzoru w razie notorycznych naruszeń będą kary pieniężne. W przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej może być to nawet kwota 20 869 500 zł lub 10 proc. przychodów netto z ostatniego roku, a w przypadku osoby fizycznej nawet 3 042 410 zł.
Polacy mają dużą świadomość funkcjonowania Urzędu Ochrony Danych Osobowych
- W ramach badania Eurobarometr z 2024 r. na temat sprawiedliwości, praw i wartości zapytano respondentów m.in. o ich świadomość na temat istnienia krajowych organów odpowiedzialnych za ochronę danych osobowych. Pod tym względem Polska znalazła się w czołówce państw Unii – aż 75% respondentów zadeklarowało, że słyszało o takiej instytucji. Równie dobry wynik odnotowano w Czechach, Słowenii (75%) oraz Portugalii (74 %). Na pierwszym miejscu uplasowały się Niderlandy z wynikiem 82%.
- Komunikat przedstawiony przez KE, jest streszczeniem najważniejszych wniosków ze sprawozdania na temat stosowania RODO, które w całości zostanie opublikowane w późniejszym terminie. Jest to już drugie sprawozdanie Komisji przyjęte zgodnie z art. 97 RODO (pierwsze przyjęto w dniu 24 czerwca 2020 r.).
- Sprawozdanie zostało opracowane w oparciu o wiele źródeł m.in. stanowiska i ustalenia Rady Unii Europejskiej, uwagi zgłaszane w drodze publicznego zaproszenia oraz informacje otrzymane od organów ochrony danych (wkład Europejskiej Rady Ochrony Danych).
- Wśród podstawowych wniosków płynących ze sprawozdania wymieniono wzmocnienie pozycji obywateli oraz stworzenie warunków działania dla przedsiębiorstw, napędzających transformację cyfrową w UE. Autorzy dokumentu wskazali jednak, że pełne osiągnięcie dwóch celów RODO – tj. silnej ochrony osób fizycznych przy jednoczesnym zapewnieniu swobodnego przepływu danych osobowych w UE oraz bezpiecznego przepływu danych poza UE – wciąż wymaga dalszych działań.
Źródło: Aktualności – UODO; https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=COM:2024:357:FIN
Pracodawcy chcą nowych wyjaśnień dot. poradnika UODO
- Urząd Ochrony Danych Osobowych zakończył już zbieranie uwag do swojego poradnika dla pracodawców dotyczącego ochrony danych osobowych w miejscu pracy i obecnie trwa ich analiza. Jak dowiedział się DGP, uwag wpłynęło bardzo dużo. Zgłosiło je ponad 40 podmiotów, z czego każdy z nich od kilku do kilkudziesięciu.
- Jednym z zagadnień, które od lat budzą wątpliwości w praktyce, i które – zdaniem komentujących – teraz powinny być wreszcie rozwiane na łamach poradnika, jest kwestia przetwarzania danych osobowych osób trzecich, czyli np. członków rodziny pracownika. Sytuacji, w których trafiają one do pracodawcy, jest wiele. Ma to miejsce w przypadku składania wniosków np. o świadczenia z zakładowego funduszu świadczeń socjalnych (ZFŚS), o opiekę nad dzieckiem do 14. roku życia, o elastyczną organizację pracy czy o urlop opiekuńczy.
- Problem dotyczy zwłaszcza tego, czy wobec tych osób pracodawca powinien realizować obowiązek informacyjny (czyli powiadomić osobę zainteresowaną o przetwarzaniu jej danych osobowych). W dotychczasowym poradniku UODO wskazywał, że nie ma takiego obowiązku, gdy dane członków rodziny są zbierane na potrzeby ZFŚS. Brakuje natomiast takiego stwierdzenia wobec innych przypadków przetwarzania danych os. trzecich.
- Eksperci domagają się także liberalizacji stanowiska UODO w sprawie tzw. background screening czy pre-employment screening. W jej ramach sprawdzana jest przeszłość kandydata do pracy bądź pracownika, np. gdy aplikuje na wyższe stanowisko. W podstawowej wersji obejmuje weryfikację życiorysu zawodowego, czyli poprzedniego zatrudnienia, wykształcenia, uzyskanych certyfikatów i referencji. W zaawansowanej – również np. badanie historii kryminalnej i kredytowej, a także wpisów w mediach społecznościowych.
- Z poradnika UODO wynika obecnie, że rekrutujący nie może kontaktować się z podmiotem, który wystawił referencje. Z kolei dane dotyczące karalności pracodawca może przetwarzać tylko wtedy, gdy wynika to wprost z przepisów prawa.
Źródło: Pracodawcy chcą nowych wyjaśnień. Co z poradnikiem UODO? – GazetaPrawna.pl
RODO zablokuje skarbówkę? Problem z przetwarzaniem danych osobowych podatników
- Prezes UODO zwrócił się do Ministra Finansów Andrzeja Domańskiego o dostosowanie przepisów ustawy o Krajowej Administracji Skarbowej do wymogów wynikających z Konstytucji RP, przepisów rozporządzenia (Parlamentu Europejskiego i Rady UE – PAP) 2016/679 i orzecznictwa sądów międzynarodowych.
- Krajowa Administracja Skarbowa wykorzystuje dane podatników zgromadzone w rejestrach, bazach, ewidencjach, zbiorach i systemach, by pobierać podatki i inne należności oraz wykrywać przestępstwa skarbowe. Dane te są wykorzystywane także do analiz, prognoz i badań.
- Są wśród nich także dane osobowe szczególnych kategorii, m.in. dane dotyczące wyroków skazujących, czynów zabronionych lub powiązanych środków bezpieczeństwa. Organy Krajowej Administracji Skarbowej mają prawo je przetwarzać na podstawie art. 47 ustawy o KAS.
- Według Prezesa UODO pilnej i gruntownej zmiany wymaga art. 48 ustawy o KAS. Wyjaśniono, że przepis ten stanowi dla Krajowej Administracji Skarbowej uprawnienie w zakresie pozyskiwania szczegółowych informacji dotyczących konkretnych rachunków bankowych. „Art. 48 ustawy o KAS w istocie stanowi podstawę prawną do zbierania wrażliwych informacji przez organy państwa o osobach, którym nie postawiono zarzutów w postępowaniu karnym, co wymaga weryfikacji w kontekście art. 51 ust. 1 Konstytucja RP” – wskazał urząd.
- Zdaniem UODO art. ten narusza zasadę legalizmu i jest niezgodny z zasadami proporcjonalności i celowości RODO.
Żródło: Przepisy o KAS sprzeczne z konstytucją i RODO. PUODO pisze do min. Domańskiego – rp.pl
UODO alarmuje: Ponad 7 milionów pracowników na celowniku hakerów
- 35% firm z sektora MŚP boi się kradzieży danych osobowych swoich pracowników – wynika z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. Główne powody tych obaw to świadomość częstych ataków cyberprzestępców, dla których przedsiębiorstwa są atrakcyjnym celem oraz przetwarzanie dużej ilości danych. W mikro, małych i średnich przedsiębiorstwach pracuje 7,3 mln osób.
- Ankietowani przedsiębiorcy jako główne przyczyny obawy o kradzież danych osobowych pracowników wymieniają częste skuteczne ataki cyberprzestępców na firmy (59%), przetwarzanie dużej ilości danych (29%) oraz to, że są atrakcyjnym celem dla złodziei danych osobowych (26%).
- Atrakcyjność danych osobowych zgromadzonych w mikro, małych i średnich firmach dla hakerów wynika też z tego, że zdecydowana większość z nich, bo aż 83, przechowuje je w wersji cyfrowej. Z czego połowa robi to wyłącznie w formie elektronicznej, a 33% zarówno w papierowej, jak i cyfrowej. Chociaż tradycyjna dokumentacja coraz częściej odchodzi do lamusa, to nadal 12% firm gromadzi w ten sposób wrażliwe informacje o zatrudnionych.
- Paradoksalnie, aż 90% MŚP twierdzi, że prawidłowo chroni dane osobowe pracowników, a 54% jest o tym silnie przekonana. Najbardziej pewne siebie są małe (55%) i mikrofirmy (54%), a najmniej średnie przedsiębiorstwa (47%.). Respondenci stosują też zróżnicowane metody zabezpieczeń.
- Ponad połowa (51%) MŚP pozostawia dostęp do ważnych dokumentów jedynie upoważnionym osobom. Niestety rzadziej firmy do zapewnienia bezpieczeństwa wykorzystują nowe technologie. 40% przedsiębiorców zabezpiecza pliki i foldery hasłami, 36% zamontowało w siedzibie alarm lub drzwi antywłamaniowe, a 35% posiada aktualne wersje programów antywirusowych.
Źródło: Aktualności – UODO
TSUE: Kurator sądowy to także administrator danych
- Niemiecki adwokat pełnił funkcję kuratora wobec osoby z bliskiej rodziny. Obywatel – po zmianie osoby kuratora – wniósł do tego pierwszego kuratora wniosek o dostęp do kopii swoich danych osobowych.
- Osoba ta złożyła wniosek o udzielenie pomocy prawnej do Amtsgericht Hannover (sądu rejonowego w Hanowerze, Niemcy), który oddalił ten wniosek w zakresie, w jakim dotyczył on wystąpienia z żądaniem udzielenia dostępu na podstawie art. 15 RODO, ze względu na to, że pełniący swoje obowiązki w ramach działalności zawodowej kurator nie stanowi „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia. Sąd ten miał jednak wątpliwości co do tego, czy osobę, która pełniła obowiązki kuratora zawodowo, można uznać za „administratora” w rozumieniu RODO.
- TSUE wskazał, że wątpliwości sądu odsyłającego wynikają z faktu, że zgodnie z przepisami prawa niemieckiego regulującymi kuratelę kurator jest przedstawicielem ustawowym osoby objętej kuratelą oraz działa na jej rzecz i w jej imieniu. Wynika stąd, że byłego kuratora, który względem osoby objętej jego kuratelą pełnił swoje obowiązki zawodowo, należy uznać za „administratora” przetwarzania znajdujących się w jego posiadaniu danych osobowych dotyczących tej osoby oraz, że w konsekwencji jest on zobowiązany do przetwarzania tych danych z poszanowaniem RODO, w szczególności obowiązków spoczywających na nim na mocy jego art. 15, z uwzględnieniem ich ewentualnego ograniczenia na podstawie art. 23.
- Nadto Sąd podniósł, że artykuł 4 pkt 7 RODO należy interpretować w ten sposób, że byłego kuratora, który względem osoby objętej jego kuratelą pełnił swoje obowiązki zawodowo, należy uznać za „administratora” – w rozumieniu tego przepisu – przetwarzania znajdujących się w jego posiadaniu danych osobowych dotyczących tej osoby, a przetwarzanie to musi odbywać się w poszanowaniu wszystkich przepisów tego rozporządzenia, w szczególności jego art. 15
Powstanie Komisja nadzoru nad sztuczną inteligencją
- W środę odbyło się kolejne posiedzenie Podkomisji stałej ds. sztucznej inteligencji i przejrzystości algorytmów, które było poświęcone wdrożeniu AI Act (w związku z publikacją aktu w Dzienniku Urzędowym Unii Europejskiej).
- Wiceminister cyfryzacji Dariusz Standerski przedstawił, jaki jest stan prac nad polskimi regulacjami, wdrażającymi zapisy Aktu o sztucznej inteligencji do krajowego porządku prawnego. Przypomniał, że od 1 sierpnia płynie vacatio legis dla tych przepisów, a od 1 lutego 2025 roku wejdą w życie przepisy dotyczące systemów zakazanych. Z kolei w ciągu 12 miesięcy – dotyczące modeli sztucznej inteligencji w pozostałym zakresie. Całość aktu będzie obowiązywała od 1 sierpnia 2026 roku (poza wyjątkami dotyczącymi niektórych obowiązków związanych np. z systemami wysokiego ryzyka).
- Wiceminister cyfryzacji przypomniał, że wskazano, aby powołać nowy organ nadzoru, ponieważ brak jest obecnie instytucji, które spełnia wymogi określone w rozporządzeniu AI Act.
- „Projekt ustawy przewiduje powołanie nowego organu – Komisji Nadzoru, a jej pracami będzie kierował przewodniczący. Wyjściowa propozycja zakłada, że będzie wskazany przez prezesa Rady Ministrów, ale to jest kwestia do konsultacji i uzgodnień. Skład Komisji ma być różnorodny i elastyczny, by odpowiadał na wyzwania rynku, czyli aby nie był to tylko przedstawiciel ministra ds. informatyzacji, ale też urzędów” – objaśnił Dariusz Standerski.
- Dodatkowo, Polskie Centrum Akredytacji ma zajmować się sprawami związanymi z akredytacją, oceną zgodności i nadzorem rynku.
- Wiceminister poinformował również, że złożono już wniosek do wykazu prac legislacyjnych, tak aby w sierpniu 2024 roku złożyć projekt i rozpocząć prace międzyresortowe.
Źródło: Komisja nadzoru nad sztuczną inteligencją. Padły ważne daty | CyberDefence24
UODO: Powstanie poradnik dot. przetwarzania danych os. przez związki zawodowe
- 31 lipca 2024 r. w siedzibie UODO odbyło się seminarium „Przetwarzanie danych osobowych przez związki zawodowe. Od teorii do praktyki w kierunku poradnika”. Wydarzenie zorganizowane zostało przez UODO we współpracy z Katedrą Prawa Pracy i Polityki Społecznej WPiA Uniwersytetu Jagiellońskiego dla zaproszonych reprezentantów związków zawodowych i organizacji związkowych.
- Podczas spotkania Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych zapowiedział powstanie osobnego poradnika, dotyczącego ochrony danych osobowych, dedykowanego związkom zawodowym. Nowy poradnik „Prowadzenie działalności związkowej zgodnie z RODO“, przygotowany zostanie we współpracy ze Społecznym Zespołem Ekspertów przy PUODO.
- Pomysł powstania poradnika pojawił się po konsultacjach społecznych poradnika „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”. Prowadzone przez UODO konsultacje pokazały jak wiele tematów dotyczących związków zawodowych wymaga doprecyzowania. Po analizie sytuacji, przeprowadzonej wspólnie ze Społecznym Zespołem Ekspertów przy PUODO, prezes Mirosław Wróblewski uznał, że potrzebny jest dedykowany poradnik.
Źródło: Aktualności – UODO
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.