RODO aktualności – 14.06.2023 r.

Wyciek haseł i loginów milionów Polaków. Microsoft zapłaci 20 mln dolarów za naruszanie prywatności dzieci. 300 tys. euro kary dla Deutsche Kreditbank za naruszenie zasady przejrzystości. Spotify ukarane grzywną za naruszenia RODO – zapłaci 5 mln euro. Komisja Europejska chce oznaczać treści generowane przez AI. USA: Prawnicy używali spraw fikcyjnych wygenerowanych przez ChatGPT przed sądem. NSA: Brak zgody pacjenta na monitoring na sali operacyjnej nie może wpływać na leczenie.

WERSJA PDF

#RODOA [06.06.2023]
#RODOA [13.06.2023]
Pobierz PDFPobierz PDF

Wyciek milionów haseł i loginów Polaków

  • Doszło do jednego z największych jednorazowych wycieków danych w historii polskiego Internetu.
  • Wieczorem 29 maja (poniedziałek) na Cebulce – polskojęzycznym forum w sieci Tor – opublikowano bazę danych zawierającą 6 274 679 wierszy. Prawie każdy z nich zawiera dane dostępowe do jednego konta, najczęściej należącego do osób z Polski. Ujawnione w sieci dane dotyczą użytkowników dziewięciu domen. Jak wynika z analizy przeprowadzonej przez serwis zaufanatrzeciastrona.pl, należą do nich w kolejności: Facebook, Allegro, gov.pl, poczta.onet.pl, poczta.wp.pl: 12 056, x-kom: 10 761 wierszy, Morele: 2672 wiersze, mBank: 10 140 wierszy, ING Bank Śląski: 1227 wierszy.
  • Na wyciek danych po dwóch dniach od jego ujawnienia tj. w środę (31 maja) zareagował minister cyfryzacji. Resort uruchomił specjalną stronę internetową umożliwiającą sprawdzenie, czy wyciek dotknął również danych poszczególnych osób – http://bezpiecznedane.gov.pl.
  • Powodem wycieku był atak malware (złośliwego oprogramowania) na komputery internautów, który spowodował, że w sieci pojawiły się dane osobowe czy dane do logowania do wielu różnych serwisów.

Żródło: Wyciek danych Polaków. Gdzie sprawdzić swoje dane? – Bankier.pl

Microsoft zapłaci 20 mln dolarów za naruszanie prywatności dzieci

  • Microsoft nielegalnie gromadził dane osobowe dzieci bez zgody i wiedzy ich rodziców – stwierdziła Federalna Komisja Handlu (FTC). Tym samym firma naruszyła przepisy obowiązującego w USA na poziomie federalnym Children’s Online Privacy Protection Act (COPPA), czyli przepisów regulujących kwestie ochrony prywatności i danych osób małoletnich.
  • Dane dzieci były gromadzone niezgodnie z prawem przez system rozgrywki konsolowej Xbox, a ponadto były też współdzielone z partnerami Microsoftu, tj. zewnętrznymi firmami publikującymi swoje gry w katalogu Xboxa.
  • Firma w latach 2015-2020 zbierała dane osobowe także, gdy proces rejestracji konta na platformie Xbox nie kończył się pomyślnie (a zatem nie było żadnej podstawy, aby uznać daną osobę za użytkownika usługi).
  • Wcześniej podobną karę zapłacił Amazon – w przypadku tej firmy, próbki głosu nieletnich były rejestrowane i przechowywane przez system inteligentnych asystentów Alexa, a głos mógł być wykorzystywany do ulepszania algorytmów Amazona.

Żródło: Naruszanie prywatności dzieci. Microsoft zapłaci 20 mln dolarów | CyberDefence24

300 tys. euro kary dla Deutsche Kreditbank za naruszenie zasady przejrzystości

  • Berliński Komisarz ds. Ochrony Danych i Wolności Informacji (BlnBDI) nałożył grzywnę w wysokości 300 000 euro na bank za brak przejrzystości w zakresie zautomatyzowanej decyzji indywidualnej.
  • Bank odmówił przekazania klientowi zrozumiałej informacji o przyczynach automatycznego odrzucenia wniosku o kartę kredytową. Korzystając z formularza online, bank zażądał różnych danych dotyczących dochodów, zawodu i danych osobowych wnioskodawcy. Na podstawie tych informacji oraz dodatkowych danych ze źródeł zewnętrznych algorytm banku odrzucił wniosek klienta bez specjalnego uzasadnienia. Sam algorytm opierał się natomiast się na kryteriach i zasadach zdefiniowanych wcześniej przez bank.
  • Skarżący spełniał wszystkie kryteria, by otrzymać kartę kredytową, lecz dostał decyzję odmowną bez żadnego uzasadnienia.
  • Jak zaznaczyła Meike Kamp, berlińska komisarz ds. ochrony danych i wolności informacji: „Kiedy przedsiębiorstwa podejmują zautomatyzowane decyzje, są zobowiązane do uzasadniania ich w sposób rzetelny i zrozumiały. Osoby, których dane dotyczą, muszą być w stanie zrozumieć zautomatyzowaną decyzję. Fakt, że bank nie dostarczył przejrzystej i zrozumiałej informacji o automatycznym odrzuceniu w tym przypadku, nawet na żądanie, skutkuje grzywną (…)”.

Żródła: Komunikat prasowy – Berliński Komisarz ds. Ochrony Danych i Wolności Informacji (datenschutz-berlin.de); https://edpb.europa.eu/news/national-  news/2023/berlin-sa-imposes-300-000-euro-fine-against-bank-after-lack-transparency_en

Spotify ukarane grzywną za naruszenia RODO. Zapłaci 5 mln euro

  • Platforma streamingowa Spotify została ukarana grzywną w wysokości 5 mln euro za naruszenia przepisów RODO. Firma nie spełniała wymogu, jakim jest udzielanie dostępu do danych użytkowników na ich prośbę oraz nie dostarczała ona pełnych informacji na temat tego, skąd pochodzą dane gromadzone na temat użytkowników usług tej firmy, kto jest ich odbiorcami i jak wygląda sprawa transferów międzynarodowych w przypadku informacji o użytkownikach.
  • Kara nałożona na Spotify to rezultat pozwu, jaki przeciwko Spotify złożyła organizacja NOYB (None Of Your Business) zajmująca się ochroną prywatności w świecie cyfrowym. Jej liderem jest Max Schrems, który zasłynął pozwami przeciwko Facebookowi (dziś Mecie). Pozew przeciwko Spotify złożony został 18 stycznia 2019 r. i dotyczył naruszeń Art. 15 RODO.
  • Platforma streamingowa Spotify zdaniem NOYB naruszyła przepisy RODO, nie informując użytkowników w należyty sposób o tym, jak ich dane są wykorzystywane, a także nie umożliwiając im pełnego dostępu do ich danych.
  • Dodatkowo, Spotify umożliwiało użytkownikom dostęp jedynie do niektórych danych zgromadzonych na ich temat, nie podając przy tym do wiadomości, w jaki sposób można w pełni skorzystać ze swoich praw wynikających z RODO i uzyskać dostęp do wszystkich danych, jakie na nasz temat ma platforma.
  • Szwedzki organ ochrony danych osobowych IMY nakazał Spotify, aby zaczęło udostępniać użytkownikom na żądanie dostępu do ich danych pełen zestaw informacji zgromadzonych na ich temat.

Żródło: https://cyberdefence24.pl/prywatnosc/spotify-ukarane-grzywna-za-naruszenia-rodo-zaplaci-5-mln-euro

Komisja Europejska chce oznaczać treści generowane przez AI

  • Prawo powoli zaczyna nadążać za rozwojem technologii, przynajmniej na poziomie europejskim. Komisja Europejska apeluje do największych firm technologicznych, by zaczęły oznaczać treści generowane przez AI. Parlament Europejski chce stosować podobne zasady, co w przypadku zmanipulowanych mediów znanych jako deep fake.
  • Jak stwierdziła wiceprzewodnicząca Komisji Europejskiej, Vera Jourova: Firmy wdrażające generatywne narzędzia sztucznej inteligencji, takie jak ChatGPT i Bard, które mogą generować dezinformację, powinny oznaczać takie treści w ramach swoich wysiłków na rzecz zwalczania fałszywych wiadomości.
  • Równocześnie Komisja Europejska oczekuje stworzenia rozwiązań zabezpieczających wykorzystanie modeli AI do nielegalnych celów przez różnego rodzaju przestępców. Ta część apelu dotyczy przede wszystkim firm przodujących we wspieraniu rozwoju sztucznej inteligencji, czyli Microsoftu i Google.
  • Nad uregulowaniem kwestii treści generowanych przez sztuczną inteligencję pracuje także Parlament Europejski. Ten organ chciałby, aby od 2025 r. stosować w ich przypadku zasady zbliżone do tych obowiązujących zmanipulowane treści. Chodzi o przekształcone przy użyciu nowoczesnych technologii obrazy, audio i wideo, objęte przepisami unijnego pakietu prawnego o usługach cyfrowych. Dotyczy to także technologii tzw. deep fake. Platformy społecznościowe oraz wyszukiwarki internetowe muszą takie treści oznaczać, w przeciwnym wypadku narażają się na wielomilionowe kary.

Żródło: https://bezprawnik.pl/komisja-europejska-chce-oznaczac-tresci-generowane-przez-ai/

USA: Prawnicy używali spraw fikcyjnych wygenerowanych przez ChatGPT przed sądem

  • Sytuacja wydarzyła się podczas procesu jednego z pasażerów z kolumbijskimi liniami lotniczymi Avianca. Pasażer uskarżał się na to, że ucierpiał, kiedy jedna ze stewardess uderzyła go wózkiem do serwowania potraw. Incydent wydawał się niegroźny, więc oczywiście linie lotnicze złożyły wniosek o odwołanie sprawy.
  • Prawnik reprezentujący pasażera, Steven Schwartz zapytał ChatGPT o listę podobnych spraw. Ten podał mu dokładną listę z nazwiskami i datami. Lista ta została potem przedłożona w sądzie. Problemy zaczęły się w momencie, w którym ktoś z biura sądowego postanowił dokładniej sprawdzić wspomniane sprawy. Jak się okazało – żadna z przedstawionych spraw nigdy nie istniała, a wszystko było wynikiem „halucynacji” bota, który bazując na złych danych, bądź nie rozumiejąc zadanego pytania przedstawił listę kompletnie fikcyjnych spraw.
  • Fikcyjne sprawy zostały wykorzystane do celów dowodowych i nie zostały zweryfikowane przez żadnego z prawników zajmujących się sprawą.
  • Co ciekawe, nowojorski sędzia dał szansę prawnikom na dostarczenie zacytowanych fikcyjnych spraw, a oni, ponownie korzystając z pomocy ChatGPT, wygenerowali nieistniejące teksty dwóch ze spraw i dostarczyli sędziemu, tym samym jeszcze bardziej się pogrążając.
  • Następnie prawnicy zostali wezwani na przesłuchanie, na którym przyznali sędziemu, że sprawy nie były przez nich weryfikowane osobiście. Pan Schwartz uważał, że ChatGPT ma większy zasięg niż standardowe bazy danych oraz, że nie może się mylić.
  • Prawdopodobnie prawnicy zostaną ukarani przez sąd za swoje postępowanie, ale najbardziej ucierpią na tym ich kariery.

Żródło: https://www.nytimes.com/2023/06/08/nyregion/lawyer-chatgpt-sanctions.html; Prawnicy, którzy używali ChatGPT do fikcyjnych spraw, rzucają się na łaskę sądu – ponad prawem (abovethelaw.com)

NSA: Brak zgody pacjenta na monitoring na sali operacyjnej nie może wpływać na leczenie

  • Monitoring podczas udzielania świadczeń zdrowotnych na salach operacyjnych, bez wyraźnej i świadomej zgody pacjenta, stanowi oczywiste naruszenie zbiorowych praw pacjentów do poszanowania intymności i godności – orzekł Naczelny Sąd Administracyjny. Podkreślił, że pacjent ma prawo nie wyrazić zgody, co powinno pozostawać bez wpływu na udzielone mu świadczenia zdrowotne.
  • Rzecznik Praw Pacjenta wydał 13 sierpnia 2019 r. decyzję, że w Uniwersyteckim Szpitalu Klinicznym stosowane są  praktyki naruszające zbiorowe prawa pacjentów. Chodziło o udzielanie świadczeń zdrowotnych na salach operacyjnych, na których zainstalowane były urządzenia monitoringu wizyjnego (tj. kamery), bez pobierania od pacjentów zgody na monitorowanie. Kamery przekazywały na bieżąco obraz podczas udzielania pacjentom świadczeń zdrowotnych. Szpital odwołał się od decyzji.
  • Sądy I i II instancji zgodziły się, że w dobie szeroko rozwiniętych właściwości urządzeń rejestrujących oraz przede internetu, istnieje wysokie niebezpieczeństwo, że dane wrażliwe pacjentów zostaną wykorzystane w sposób bezprawny. Monitoring to także bez wątpienia wkroczenie w prawo do ochrony wizerunku, a w przypadku procesów tak wrażliwych, jak poddawanie się badaniu czy wykonywanym zabiegom – naruszenie prawa do intymności.
  • Dotychczasowe orzecznictwo sądów administracyjnych, stanowisko Ministra Zdrowia, wykładnia wskazanych w sprawie przepisów oraz doświadczenie życiowe, wskazują, że brak wyraźnej, świadomej zgody pacjenta na udzielanie świadczeń zdrowotnych na salach operacyjnych stanowi oczywiste naruszenie zbiorowych praw pacjentów do poszanowania intymności i godności (art. 20 ust. 1 u.p.p.). A także –  może być traktowane jako naruszenie art. 30 Konstytucji, która stanowi o przyrodzonej godności człowieka.

Żródło: Monitoring na sali operacyjnej bez zgody pacjenta narusza jego godność (prawo.pl)

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.
RODO aktualności
RODO aktualności – 18.01.2024

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO