RODO aktualności – 12.09.2023

Wyciek danych z Duolingo – ucierpiało 2,6 mln użytkowników. Indie w końcu przyjęły kompleksową ustawę o ochronie danych – Digital Personal Data Protection Act. Procedura weryfikacji pasażerów linii Ryanair, UODO reaguje. Możliwość dochodzenia roszczeń, a podstawa przetwarzania danych – kolejna decyzja UODO. Ministerstwo Sprawiedliwości ma wyjaśnić dostęp do danych klientów Getinu. Prozdrowotna aplikacja Google’a narusza przepisy RODO? 6 września wchodzą w życie przepisy, które dopuszczają monitoring na wszystkich salach, w których udzielane są świadczenia zdrowotne. Najciemniej pod latarnią – nawet 8 na 10 aplikacji VPN łamie przepisy RODO. Czy prawo ochroni nas przed sztuczną inteligencją? 14 fabryk Toyoty stanęło – „zabrakło miejsca na dysku”.

RODO aktualności z dnia 29.08.2023 r.

RODO aktualności z dnia 07.09.2023 r.
Pobierz PDF

Pobierz PDF

Wyciek danych z Duolingo. Ucierpiało 2,6 mln użytkowników

  • Pierwotny wyciek danych miał miejsce już w styczniu tego roku. Wtedy też na jednym z forów sprzedawano informacje na temat 2,6 mln osób korzystających z aplikacji. Wśród dostępnych danych były głównie te publiczne, jak nazwa użytkownika oraz imię, ale znajdowały się tam również adresy e-mail, które już publiczne nie są.
  • W ostatnich dniach dane 2,6 mln użytkowników znowu trafiły na sprzedaż. Tym razem może je kupić każdy za równowartość nieco ponad 2 dolarów (choć pierwotnie zostały one wycenione na 1,5 tys. dolarów).
  • Do ich zdobycia prawdopodobnie wykorzystano API, które jest publicznie dostępne od marca tego roku. Pozwala ono uzyskać publicznie dostępne dane, ale można w nim też wpisać adres e-mail, aby dowiedzieć się, czy i z jakim kontem jest powiązany.
  • W ten sposób wystarczyło pobrać adresy e-mail z innych wycieków, a następnie wpisać je w API, aby połączyć je z kontami w serwisie. W przypadku powiązania możliwe było połączenie danych publicznych oraz niepublicznych, co już wiąże się z pewnym ryzykiem.
  • Duolingo na razie odmówiło komentarza. Nie wiadomo też, czemu API wciąż jest dostępne publicznie.
  • To nie pierwszy tego typu poważny wyciek w ostatnich latach. W 2021 roku na Facebooku doszło do masowego wycieku danych z API aż 533 milionów użytkowników. Tutaj również wyciek spowodowany był błędem zabezpieczeń.

Żródło: Wyciek danych z Duolingo. Miliony osób zagrożonych – TELEPOLIS.PL; Wyciek danych Duolingo. Ucierpiało 2,6 mln użytkowników (gsmmaniak.pl)

Indie w końcu przyjęły kompleksową ustawę o ochronie danych - Digital Personal Data Protection Act

  • Ustawa DPDP opiera się na koncepcjach zasadniczo podobnych do tych w RODO. Reguluje ona powierników danych (tj. administratorów danych), podmioty przetwarzające dane i podmioty danych (tj. osoby, których dane dotyczą).
  • Ustawa DPDP ma zastosowanie do danych osobowych umożliwiających identyfikację podmiotu danych, które są gromadzone cyfrowo lub są digitalizowane po ich zebraniu w sposób niecyfrowy. Dane osobowe przetwarzane w celach osobowych lub domowych lub zagregowane dane osobowe gromadzone do celów badawczych i statystycznych, które nie są wykorzystywane do żadnej decyzji konkretnej dla podmiotu danych, są wyłączone z ustawy DPDP.
  • Co ciekawe, w przeciwieństwie do RODO, dane osobowe udostępniane publicznie również nie są objęte zakresem ustawy DPDP.
  • Ustawa DPDP ma zastosowanie do danych, które są przetwarzane na terytorium Indii lub, jeśli są przetwarzane poza nim, są związane z jakąkolwiek działalnością związaną z oferowaniem towarów i usług osobom fizycznym w Indiach. Ustawa DPDP nie ma jednak zastosowania do podmiotów spoza Indii, które monitorują zachowanie osób, których dane dotyczą, w Indiach.
  • W przeciwieństwie do RODO, ustawa DPDP ma jednolite zastosowanie do wszystkich rodzajów cyfrowych danych osobowych. Nie ma dodatkowych kontroli przetwarzania wrażliwych danych osobowych (określonych w zasadach SPDI) ani krytycznych danych osobowych (jak zaproponowano we wcześniejszej iteracji projektu ustawy o ochronie danych).

Żródło: Indie – Ustawa o ochronie cyfrowych danych osobowych, 2023 w końcu nadchodzi (linklaters.com)

Procedura weryfikacji pasażerów linii Ryanair. UODO reaguje

  • W związku z licznymi sygnałami pasażerów korzystających z usług linii lotniczych Ryanair dotyczącymi procedur weryfikacyjnych wykorzystywanych przez tego przewoźnika, UODO podjął działania zmierzające do wyjaśnienia, w jaki sposób przewoźnik przetwarza dane osobowe w procedurze weryfikacji pasażerów.
  • W ostatnim czasie zaniepokojeni pasażerowie skierowali do organu nadzorczego liczne sygnały – poprzez infolinię UODO, zawiadomienia i skargi – na spółkę Ryanair, której zarzucają – ich zdaniem – niewłaściwą praktykę postępowania z danymi osobowymi. Powiadomili m.in. o tym, że przewoźnik w celu przeprowadzenia odprawy żąda, np. skanów dowodów osobistych. Ponadto pojawiały się sygnały, że w przypadku odmowy oczekuje się uiszczenia przez pasażera opłaty za weryfikację jego tożsamości w systemie komputerowym.
  • – Konsekwentnie przypominamy, że utrata kontroli nad danymi osobowymi rodzi niebezpieczeństwo nieuprawnionego wykorzystania tych danych. Także ich nadmiarowe pozyskiwanie przez administratorów bywa nieuzasadnione. Dlatego cieszę się, że Polacy zwracają uwagę, jak i gdzie wykorzystywany jest ich dowód osobisty. Podjęliśmy odpowiednie działania, aby wyjaśnić, czy bezpieczeństwo ich danych osobowych nie jest zagrożone – powiedział Jakub Groszkowski, Zastępca Prezesa UODO.
  • Po analizie skarg i uzupełnieniu braków formalnych sprawa zostanie przekazana do irlandzkiego organu nadzorczego (The Data Protection Commission). Zaangażowanie w sprawę irlandzkiego organu nadzorczego wynika z faktu, iż spółka Ryanair ma siedzibę w Irlandii.
  • Jednocześnie Prezes UODO Jan Nowak zwrócił się do Prezesa UOKiK o rozważenie zbadania praktyk stosowanych przez tę linię lotniczą pod kątem tego, czy nie naruszają one zbiorowych interesów konsumentów.

Żródło: Aktualności – UODO

Możliwość dochodzenia roszczeń a podstawa przetwarzania danych – kolejna decyzja UODO

  • Upomnieniem dla firmy telekomunikacyjnej zakończyło się przetwarzanie danych osobowych byłego klienta w celu ewentualnego dochodzenia roszczeń lub obrony przed roszczeniami. Jak wskazał Prezes UODO okoliczności takie nie uzasadniają przetwarzania danych w realizacji uzasadnionego interesu administratora.
  • Drugim z naruszeń było przetwarzanie danych osobowych po zakończeniu współpracy z klientem w korespondencji – bez zgody tego klienta.
  • Administrator danych osobowych przetwarzał dane osobowe klienta w związku ze świadczeniem mu usług telekomunikacyjnych. Klient w pewnym momencie zrezygnował z tych usług i zażądał usunięcia swoich danych osobowych. Mimo tego firma telekomunikacyjna nadal przetwarzała te dane. Poinformowała go bowiem, że musi przechowywać jego dane osobowe oraz dane o wykonanych usługach telekomunikacyjnych przez okres 12 miesięcy od ostatniego połączenia bądź próby połączenia. Przechowywanie to było związane z m.in. z wykonywaniem prawnych obowiązków wynikających z Ordynacji podatkowej (art. 6 ust. 1 lit. c RODO).
  • 12-miesięczny okres przechowywania był tłumaczony możliwością dochodzenia roszczeń względem byłego klienta lub obrony przed jego roszczeniami. Firma powołała się tu na przepisy dotyczące odpowiedzialności za niewykonanie lub nienależyte wykonanie usług telekomunikacyjnych.
  • W ocenie UODO nie można przechowywać danych osobowych na wypadek ewentualnego dochodzenia roszczeń lub obrony przed nimi. Samo istnienie terminów przedawnienia nie uprawnia do takiego przetwarzania danych osobowych. Uzasadniony interes realizowany jest dopiero w momencie dochodzenia lub obrony przed roszczeniami.

Żródło: Biuletyn UODO nr 7-8/2023; Podstawa przetwarzania danych w kontekście dochodzenia roszczeń p – Ochrona danych osobowych (poradyodo.pl)

Ministerstwo Sprawiedliwości ma wyjaśnić dostęp do danych klientów Getinu

  • 19 sierpnia minął termin darmowego zgłaszania roszczeń wobec upadłego Getin Noble Banku. Z możliwości tej skorzystało co najmniej 27 tys. osób.
  • Szybko okazało się, że każda z nich ma dostęp do wszystkich informacji i dokumentów przesłanych przez pozostałych wierzycieli. Dla wielu było to zaskoczenie, że każdy może poznać tak szczegółowe informacje jak dane współmałżonków, rodziców, kwota kredytu, informacje o nieruchomościach stanowiących zabezpieczenie, numery PESEL czy dowodu osobistego. Najwięcej szczegółowych informacji wynika z umów kredytowych. Nie ma obowiązku ich przesyłania do KRZ (wystarczy je wskazać w zgłoszeniu), ale wiele kredytobiorców i tak to robiło.
  • W teorii wszystko jest zgodne z prawem – uczestnicy postępowania upadłościowego mają dostęp do informacji na temat innych wierzycieli. Wcześniej pozwalano się zapoznawać z nimi w sekretariacie sądu lub biurze syndyka. Od grudnia 2021 r. mogą to robić za pośrednictwem KRZ.
  • Tu jednak pojawia się problem. Nie trzeba mieć rzeczywistej wierzytelności, aby ją zgłosić w KRZ. Tymczasem platforma ta automatycznie przyznaje każdej zgłaszającej się osobie dostęp do wszystkich informacji na temat pozostałych dziesiątków tysięcy kredytobiorców.
  • Urząd Ochrony Danych Osobowych poprosił ministra sprawiedliwości o wyjaśnienia dotyczące bardzo szerokiego dostępu do wszystkich danych zamieszczonych w Krajowym Rejestrze Zadłużonych (KRZ) przez kredytobiorców upadłego Getin Noble Banku.
  • Do UODO wpłynęło już co najmniej kilka oficjalnych skarg od osób, które protestują przeciwko ujawnieniu szczegółowych informacji na ich temat.

Żródło: Ministerstwo Sprawiedliwości ma wyjaśnić dostęp do danych klientów Getinu – GazetaPrawna.pl

Prozdrowotna aplikacja Google’a narusza przepisy RODO? Tak twierdzą aktywiści (NYOB)

  • Organizacja obrońców prywatności NOYB złożyła skargi na urządzenie i aplikację Fitbit do organów ochrony danych osobowych w Austrii, Holandii i we Włoszech. Należącej do Google’a firmie aktywiści zarzucają naruszenie przepisów RODO.
  • Fitbit to opaski (smart watche), trackery i powiązana z nimi aplikacja na smartfony. Pomagają w prowadzeniu zdrowego i aktywnego stylu życia – m.in. poprzez monitorowanie codziennej aktywności, diety, spalonych kalorii i snu, udostępnianie planów treningów czy nagrań relaksacyjnych. Pełne korzystanie z wszystkich funkcji wymaga wykupienia subskrypcji. Fitbit zbiera dane osobowe użytkowników i codziennie gromadzi nowe informacje dotyczące ich kondycji i zdrowia, łącznie z wagą, tętnem i liczbą wykonanych kroków.
  • Założona przez Maxa Schremsa organizacja zarzuca tej aplikacji, że zmusza ona swoich użytkowników, aby zezwolili na transfer dotyczących ich informacji poza Unię Europejską.
  • Tworząc konto w Fitbit, trzeba się bowiem zgodzić na przekazywanie swoich danych do Stanów Zjednoczonych i innych – niewymienionych z nazwy – krajów. W ten sposób dane mieszkańców UE mogą trafić do dowolnego państwa na świecie – także takiego, które nie zapewnia ochrony prywatności na poziomie porównywalnym do obowiązującego w Unii.
  • Zdaniem NOYB ta niejasność powoduje, że zgoda na przetwarzanie danych nie jest dobrowolna, konkretna, świadoma i jednoznaczna, a więc nie spełnia wymogów RODO. Zebrane informacje mogą być również udostępniane do przetwarzania firmom zewnętrznym z nieokreślonych państw.

Żródło: Prozdrowotna aplikacja Google’a narusza przepisy RODO? Tak twierdzą aktywiści – GazetaPrawna.pl

6 września wchodzą w życie przepisy, które dopuszczają monitoring na wszystkich salach, w których udzielane są świadczenia zdrowotne

  • Zgodnie z nowym brzmieniem art. 23a Ustawy o działalności leczniczej, pomieszczenie, w którym udzielane są świadczenia zdrowotne może być monitorowane,  jeżeli jest to konieczne w procesie leczenia pacjentów lub do zapewnienia im bezpieczeństwa – w przypadku szpitali, zakładów opiekuńczo-leczniczych, zakładów pielęgnacyjno-opiekuńczych, zakładów rehabilitacji leczniczej i hospicjów.
  • Oznacza to, że może być stosowany: na oddziałach porodowych – w pomieszczeniach przeznaczonych dla położnic i noworodków w pierwszych godzinach życia – po porodach powikłanych; na oddziałach dziecięcych; w stacjach dializ – obejmujących stanowisko nadzoru pielęgniarskiego; na oddziałach psychiatrycznych – w jednoosobowych separatkach; na oddziałach anestezjologii i intensywnej terapii.
  • Monitoringiem mogą być objęte miejsca ogólnodostępne (korytarze, recepcja, portiernia), jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów i pracowników.
  • Jeśli pacjent jest przygotowywany do zabiegu na sali z monitoringiem, to powinien być o tym poinformowany i mieć możliwość niewyrażenia na to zgody. Wówczas kamera powinna zostać wyłączona – wynika to z przepisów chroniących dane osobowe.
  • Szpital musi przeprowadzić analizę, czy w danym miejscu monitoring nie narusza ochrony danych osobowych a także godności i prywatności pacjenta. Indywidualna analiza przeprowadzona w danym ośrodku może być różnie oceniana przez organy nadzorcze lub sądy. Ze względu na ogólne przesłanki jest duże pole możliwości oceny danego stanu faktycznego.
  • Nowelizacja precyzuje, że urządzenia rejestrujące obraz nie mogą ukazywać intymnych czynności fizjologicznych. Monitoring ma się odbywać z uwzględnieniem konieczności poszanowania intymności i godności pacjenta.

Żródło: Monitoring w poradniach i szpitalach – nowe przepisy (prawo.pl)

Najciemniej pod latarnią? Nawet 8 na 10 aplikacji VPN łamie przepisy RODO

  • Eksperci z niemieckiej firmy PrivacyTutor wzięli pod lupę 144 usług VPN. Rezultaty ich analiz są wręcz zdumiewające. Okazuje się, że nawet 8 na 10 klientów VPN łamie przepisy RODO. 76 proc. webowych klientów VPN i 79 proc. aplikacji VPN na Androida poddanych analizie śledzi użytkowników za pomocą ciasteczek.
  • Co więcej, 72 procent z nich w ogóle nie pyta użytkowników w tej sprawie o zgodę, co stoi w sprzeczności z unijnymi przepisami. Jeśli dostawcy VPN korzystają z usług śledzenia i analizy sieci opartych na plikach cookie, takich jak Google Analytics, to jest to dozwolone wyłącznie za uprzednią wyraźną i dobrowolną zgodą użytkownika.
  • Najbardziej niepokojąco wypadają tu aplikacje VPN na smartfony z Androidem. Rekordzistą okazała się tu aplikacja iTop VPN, w której zaszyte było aż 17 trackerów. W sumie jedynie 12 dostawców oferuje usługi całkowicie wolne od modułów śledzących (zarówno w przypadku wersji webowej, jak i aplikacji na Androida). Na tej liście znalazły się m.in. Mullvad, AirVPN i ProtonVPN.
  • Co ciekawe, o ile aż 80 proc. poddanych badaniu usług chwali się tym, że nie zbiera żadnych informacji na temat użytkowników (w tym logów), o tyle jedynie 17 proc. zgodziło się na przeprowadzenie zewnętrznego audytu, który zweryfikowałby te twierdzenia.

Żródło: Najciemniej pod latarnią? Nawet 8 na 10 aplikacji VPN łamie RODO | Technologie na Next Gazeta

Czy prawo ochroni nas przed sztuczną inteligencją?

  • W czerwcu Parlament Europejski przegłosował regulacje związane ze sztuczną inteligencją, tzw. AI Act. Wiele osób zastanawia się teraz, czy jego twórcy pominęli istotne kwestie w zakresie m.in. cyberbezpieczeństwa, które szybko odczuje także rynek tradycyjnego biznesu?
  • Najważniejszym zagadnieniem, na które zwracają uwagę osoby specjalizujące się w cyberbezpieczeństwie to sposób przetwarzania danych, które dostarczamy systemom sztucznej inteligencji.
  • Podczas wykorzystywania narzędzi AI często wprowadzamy informacje, które są bardzo indywidualne – dotyczą naszego zawodu, biznesu, rodziny, stylu życia. Z jednej strony są naszym wkładem w rozwój tej technologii, a z drugiej strony dostarczają dane, które można wykorzystać w przeciwko nam.
  • Osoby pracujące ze sztuczną inteligencją uważają, że AI Act nie bierze pod uwagę takiego zagrożenia naszego bezpieczeństwa.
  • – Konieczność szybkiego przetłumaczenia umowy z kontrahentem lub innych dokumentów firmowych zmusi nas kiedyś do skorzystania z narzędzia AI. Wszystkie dane zawarte w tych dokumentach nagle znajdą się na nieznanych nam serwerach. To prosta droga do skopiowania modelu biznesowego. Tego nie reguluje jeszcze ustawa, co sprawi, że wielu inwestorów ma ograniczone zaufanie do AI – wyjaśnia jeden z ekspertów.
  • AI Act nie przewidziało rewolucji w cyberbezpieczeństwie, którą niesie ze sobą sztuczna inteligencja. Ta rewolucja jest dopiero przed nami i będzie miała potężny wpływ na całą branżę, także z obszaru przestępczego.

Żródło: » Czy prawo ochroni nas przed sztuczną inteligencją? — Niebezpiecznik.pl —

14 fabryk Toyoty stanęło. Zabrakło miejsca na dysku

  • Przyczyną jednodniowego przestoju w pracy wszystkich 14 fabryk Toyoty w Japonii pod koniec sierpnia była awaria systemu informatycznego, do której doszło z powodu „niewystarczającej przestrzeni dyskowej” na serwerze – ogłosił w środę japoński koncern.
  • Praca w japońskich fabrykach Toyoty została wstrzymana, ponieważ serwery, które obsługują zamówienia na części samochodowe, przestały prawidłowo działać. Był to problem związany z pojemnością bazy danych i nie wynikał z cyberataku – wyjaśniła firma.
  • Przedstawiciele koncernu przekazali, że prace konserwacyjne, prowadzone na serwerach od 27 sierpnia, doprowadziły do błędu wynikającego z braku miejsca na dysku. Kopie zapasowe nie działały z tego samego powodu – podała publiczna japońska stacja NHK.
  • „Dokonamy rewizji procedur konserwacji i wzmocnimy wysiłki, by zapobiec powtórzeniu się” takiej sytuacji – napisano w oświadczeniu firmy, cytowanym przez agencję Kyodo.
  • Praca w fabrykach została wznowiona 30 sierpnia, po przeniesieniu danych na serwer o większej pojemności.

Żródło: To dlatego 14 fabryk Toyoty stanęło. „Zabrakło miejsca na dysku” – Bankier.pl

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 19.03.2024 r.
RODO aktualności
RODO aktualności – 27.02.2024 r.
RODO aktualności
RODO aktualności – 12.02.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO