Awaria płatności BLIK. To atak DDoS na polską infrastrukturę rozliczeniową » WSA oddalił skargę Centrum Ujastek na decyzję Prezesa UODO » UODO: Siedem czynników ryzyka, które należy uwzględnić po naruszeniu ochrony danych osobowych » Wyciekły dane wrażliwe 1,5 mln Szwedów » Uwagi Prezesa UODO do nowelizacji ustawy o sporcie » WSA: organ nadzorczy prawidłowo nałożył karę na podmiot przetwarzający » CNIL: Google ukarany karą 325 mln euro
⬇️ Pobierz W PDF
Praktyczny poradnik o wdrażaniu RODO
Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: SprawdźAwaria płatności BLIK. To atak DDoS na polską infrastrukturę rozliczeniową
- Kontekst: W sobotę rano doszło do zakłóceń w działaniu systemu płatności BLIK, spowodowanych atakiem typu DDoS (Distributed Denial of Service), który polega na przeciążaniu serwerów nadmiernym ruchem z wielu źródeł.
- Operator BLIKA poinformował, że od wczesnych godzin porannych atak DDoS wpływał na płynne działanie systemu i realizację transakcji.
- Problemy z płatnościami zostały rozwiązane – od godziny 10:33 system działa prawidłowo, a transakcje odbywają się bez zakłóceń.
- Spółka zapewniła, że infrastruktura została zabezpieczona i jest na bieżąco monitorowana, aby zapobiec podobnym incydentom w przyszłości.
- Minister cyfryzacji Krzysztof Gawkowski potwierdził, że atak dotyczył polskiej infrastruktury rozliczeniowej i że służby podjęły intensywne działania w celu opanowania sytuacji.
- Podkreślono, że tego typu ataki są regularnym zjawiskiem, ale w większości przypadków polskie służby skutecznie zapobiegają ich skutkom dla użytkowników.
- BLIK to popularny w Polsce system płatności mobilnych, rozwijany przez spółkę Polski Standard Płatności, której udziałowcami są największe banki i Mastercard.
- W 2023 roku wykonano 2,4 miliarda transakcji BLIKIEM o łącznej wartości ponad 347,3 miliarda złotych.
WSA oddalił skargę Centrum Ujastek na decyzję Prezesa UODO
- Kontekst sprawy: Sprawa dotyczy kar pieniężnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) na Centrum Medyczne Ujastek (CMU) za niezgodne z prawem przetwarzanie danych osobowych w oddziale neonatologii.
- Powód nałożenia kar: Społka CMU zainstalowała monitoring wizyjny w dwóch salach medycznych, który obejmował rejestrowanie intymnych zachowań pacjentek oraz ich dzieci bez ich wiedzy i zgody.
- Kolejne naruszenie: Nie zastosowano odpowiednich środków bezpieczeństwa przy przechowywaniu danych na kartach pamięci, co według UODO było niezgodne z przepisami RODO.
- Kwota kar: Prezes UODO nałożył na CMU dwie kary administracyjne o łącznej wartości 1 145 891,25 zł.
- Skarga CMU: Spółka złożyła skargę do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, zarzucając UODO m.in. niewłaściwe zastosowanie przepisów prawa materialnego oraz proceduralnego, w tym błędną ocenę stanu faktycznego i nieproporcjonalność kar.
- Wyrok sądu: Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę CMU, uznając decyzję Prezesa UODO za prawidłową zarówno pod względem merytorycznym, jak i proceduralnym.
- Uzasadnienie sądu:
- Sąd potwierdził, że doszło do niezgodnego z prawem przetwarzania danych szczególnej kategorii poprzez monitoring.
- Sąd uznał również, że CMU nie spełniło obowiązku informacyjnego wobec pacjentów i pracowników.
- WSA uznał, że skala naruszenia (190 osób) wyklucza uznanie naruszenia za jednostkowe.
- Nieprawidłowe ustalenie dwóch odrębnych kar zostało przez sąd odrzucone; uznał je za zasadne i proporcjonalne.
- Skutek wyroku: Kary finansowe nałożone przez UODO pozostają w mocy, a wyrok WSA potwierdza legalność i zasadność działań organu nadzorczego w zakresie ochrony danych osobowych.
UODO: Siedem czynników ryzyka, które należy uwzględnić po naruszeniu ochrony danych osobowych
- Kontekst: Artykuł dotyczy podejścia opartego na ryzyku jako kluczowego elementu wymagań RODO (ogólnego rozporządzenia o ochronie danych), w szczególności w kontekście naruszeń ochrony danych osobowych.
- Znaczenie oceny ryzyka: Ocena ryzyka pozwala określić, jakie działania powinien podjąć administrator danych w odpowiedzi na incydent – od środków zaradczych po zgłaszanie naruszeń odpowiednim instytucjom.
- Rodzaje analiz ryzyka:
- Analizy systemowe – stosowane na etapie planowania i realizacji przetwarzania danych
- Analizy incydentalne – przeprowadzane po wystąpieniu konkretnego naruszenia
- Obowiązki wynikające z oceny ryzyka:
- Zgłoszenie naruszenia do organu nadzorczego (art. 33 RODO) – wymagane, jeśli naruszenie może powodować ryzyko dla osób fizycznych.
- Zawiadomienie osób fizycznych (art. 34 RODO) – konieczne, jeśli występuje wysokie ryzyko dla ich praw i wolności.
- Obowiązek dokumentowania wszystkich naruszeń, niezależnie od poziomu ryzyka (art. 33 ust. 5 RODO).
- Kluczowe czynniki wpływające na ocenę ryzyka:
- Rodzaj naruszenia – np. ujawnienie danych vs. ich utrata lub zniszczenie
- Charakter i zakres danych – w szczególności dane wrażliwe (np. medyczne, biometryczne)
- Łatwość identyfikacji osoby – np. czy dane umożliwiają jednoznaczną identyfikację
- Dotkliwość potencjalnych skutków – szkody mogą mieć charakter materialny lub niematerialny
- Indywidualna podatność osoby – np. dzieci, osoby starsze, mniejszości społeczne
- Charakterystyka administratora – jego rola społeczna, skala przetwarzania danych
- Skala incydentu – liczba osób, których dane zostały objęte naruszeniem
- Zasada rozliczalności: Administrator musi być w stanie wykazać zgodność z przepisami RODO. Rzetelna i udokumentowana analiza ryzyka jest dowodem świadomego podejścia do ochrony danych oraz spełniania obowiązku prawnego.
- Cel analizy ryzyka: Nie tylko ocena obowiązku zgłoszenia, ale także właściwe dobranie środków zaradczych i minimalizacja skutków incydentu.
Wyciekły dane wrażliwe 1,5 mln Szwedów
- Kontekst: Doszło do poważnego cyberataku na szwedzkiego dostawcę usług IT – firmę Miljödata AB. Atak typu ransomware dotknął ok. 200 gmin i regionów w Szwecji.
- W wyniku ataku wyciekły dane wrażliwe około 1,5 miliona obywateli, co stanowi niemal 15% populacji Szwecji.
- Ujawnione informacje obejmują m.in.: nazwiska, zaświadczenia lekarskie, plany rehabilitacji, dane dotyczące urazów zawodowych i inne informacje o stanie zdrowia.
- Dane te zostały opublikowane w darkwebie, co może prowadzić do poważnych konsekwencji dla prywatności obywateli.
- Wśród poszkodowanych regionów znalazły się m.in.: Gotlandia, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad i Skellefteå.
- Aktualnie nie wiadomo, jak doszło do przejęcia systemów Miljödata przez cyberprzestępców.
- Szwedzki rząd podkreśla, że bardzo poważnie traktuje incydent i jego potencjalne konsekwencje dla społeczeństwa.
- Szwedzki organ ochrony danych (IMY) uruchomił dochodzenie dotyczące wycieku. Kontrole obejmą m.in. firmę Miljödata, miasto Göteborg, gminę Älmhult oraz region Västmanland.
- Nie określono jeszcze, kiedy zakończy się dochodzenie.
- IMY podkreśla, że incydent wymaga głębszej analizy zabezpieczeń i procedur przechowywania danych, by w przyszłości uniknąć podobnych przypadków.
Uwagi Prezesa UODO do nowelizacji ustawy o sporcie
- Kontekst: Artykuł dotyczy ewidencji „Badanie kompetencji ruchowych uczniów” (dawniej „Sportowe talenty”), utworzonej na mocy nowelizacji ustawy o zdrowiu publicznym z 7 sierpnia 2023 r. Ewidencja ta zbiera dane dotyczące sprawności fizycznej uczniów w celu monitorowania ich rozwoju oraz identyfikowania talentów sportowych.
- Do ewidencji docelowo mają trafić dane uczniów klas I–III szkół podstawowych, co znacząco rozszerzy zakres przetwarzanych danych.
- Obecnie baza zawiera dane uczniów klas IV–VIII szkół podstawowych oraz uczniów szkół ponadpodstawowych, pozyskiwane z systemu informacji oświatowej oraz wprowadzane przez szkoły.
- Dane mogą być udostępniane m.in. klubom i związkom sportowym, podmiotom publicznym oraz jednostkom prowadzącym badania naukowe, działania dydaktyczne, oświatowe lub statystyczne.
- Prezes Urzędu Ochrony Danych Osobowych (UODO) zgłasza poważne zastrzeżenia do przyjętego modelu ewidencji, wskazując na brak proporcjonalności i uzasadnienia w zakresie przetwarzania danych osobowych.
- W bazie mają być przetwarzane tzw. dane szczególnej kategorii (np. dane zdrowotne), co zgodnie z art. 9 ust. 2 RODO wymaga spełnienia szczególnych przesłanek legalizujących ich przetwarzanie – obecnie nie zostały one spełnione.
- Proces ustawodawczy nie uwzględnił opinii UODO, co budzi zastrzeżenia co do przejrzystości i legalności całego mechanizmu.
- UODO podkreśla konieczność:
- weryfikacji celu i proporcjonalności przetwarzania danych,
- dokładnego określenia podmiotów uprawnionych do pozyskiwania danych,
- zapewnienia odpowiednich zabezpieczeń danych,
- oraz skrócenia okresu ich przechowywania, zgodnie z zasadą minimalizacji zawartą w art. 5 ust. 1 lit. e RODO.
WSA: organ nadzorczy prawidłowo nałożył karę na podmiot przetwarzający
- Kontekst sprawy: Artykuł dotyczy naruszenia ochrony danych osobowych przez firmę z branży wynajmu aut, które miało miejsce w wyniku błędów podczas przenoszenia strony internetowej do nowego środowiska serwerowego. W sprawie zaangażowane były dwa podmioty: administrator danych (spółka A.) oraz podmiot przetwarzający (firma informatyczna X.).
- Przyczyny naruszenia danych:
- Skopiowanie plików starej witryny do nowego, niezabezpieczonego folderu.
- Brak uprzedniej konsultacji ani weryfikacji zawartości przez pracownika firmy informatycznej.
- Indeksowanie plików bazy danych przez roboty wyszukiwarek ze względu na błędy konfiguracyjne.
- Zakres naruszenia:
- Baza danych zawierała dane osobowe takie jak imię, nazwisko, e-mail, adres zamieszkania, zaszyfrowane hasła i numery telefonów – dotyczyło to ponad 7 000 osób.
- Zmniejszono skalę naruszenia dotyczącego numerów PESEL w porównaniu do pierwotnej oceny.
- Działania Prezesa UODO:
- Wszczęcie postępowania administracyjnego z urzędu w kwietniu 2020 r. po zgłoszeniu naruszenia przez spółkę A.
- Uznanie obu podmiotów – administratora i podmiotu przetwarzającego – za strony postępowania.
- Deklaracje stron:
- Administrator danych wskazywał, że winę ponosi podmiot przetwarzający.
- Firma informatyczna twierdziła, że nie została odpowiednio poinformowana o obecności danych osobowych w środowisku witryny.
- Decyzje i kary:
- Spółka A. została ukarana karą 1 527 855 zł za naruszenia art. 24, 25, 28 i 32 RODO.
- Firma X. otrzymała karę 20 037 zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych (naruszenie art. 32 RODO).
- Kara dla X. stanowiła 1,3% wysokości kary nałożonej na administratora danych.
- Postępowanie sądowe:
- WSA w Warszawie oddalił skargę administratora.
- Sąd uznał, że zawarcie umowy z podmiotem przetwarzającym nie zwalnia administratora z obowiązku zapewnienia odpowiedniego poziomu bezpieczeństwa danych.
- Podkreślono brak nadzoru ze strony administratora nad całym procesem migracji strony oraz brak wykazania, że poinformowano podmiot przetwarzający o obecności danych osobowych.
- Wnioski i ocena organu:
- Administrator nie zapewnił odpowiednich środków technicznych i organizacyjnych pomimo obowiązku wynikającego z RODO.
- Nie przeprowadzono odpowiedniej weryfikacji podmiotu przetwarzającego.
- Analiza ryzyka oraz zarządzanie nią powinno być zadaniem wspólnym i aktywnie nadzorowanym.
- Znaczenie sprawy:
- Sprawa wskazuje na konieczność ścisłej współpracy i nadzoru nad procesami informatycznymi, w szczególności gdy w grę wchodzi przetwarzanie danych osobowych.
CNIL: Google ukarany karą 325 mln euro
- Geneza sprawy: Francuski organ ochrony danych osobowych CNIL wszczął postępowanie w wyniku skargi złożonej przez organizację NOYB (None Of Your Business) 24 sierpnia 2022 r. Dotyczyło ono praktyk reklamowych oraz sposobu uzyskiwania zgód przez Google w Gmailu i przy zakładaniu konta Google.
- Kluczowe ustalenia:
- Google wyświetlał reklamy w formie e-maili w skrzynkach Gmail, w zakładkach „Promocje” i „Społeczności”, bez uzyskania wyraźnej zgody użytkowników, co narusza francuskie przepisy.
- Podczas zakładania konta Google użytkownicy byli nakłaniani do akceptowania plików cookies przeznaczonych do personalizowania reklam bez jasnego poinformowania o tej praktyce i jej konsekwencjach.
- CNIL uznał, że zgoda użytkowników na wykorzystanie cookies nie została pozyskana w sposób ważny i świadomy.
- Decyzja CNIL:
- Nałożenie dwóch administracyjnych kar finansowych o łącznej wysokości 325 mln euro: 200 mln euro na Google LLC i 125 mln euro na Google Ireland Limited.
- Nakaz wdrożenia w ciągu sześciu miesięcy środków eliminujących naruszenia:
- Wstrzymanie wyświetlania reklam w skrzynkach Gmail bez uprzedniej zgody użytkowników.
- Zapewnienie ważnego mechanizmu wyrażania zgody na stosowanie plików cookies przy zakładaniu konta Google.
- W przypadku niewykonania nakazu – groźba dodatkowych kar w wysokości 100 mln euro dziennie dla każdej z firm.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.