RODO aktualności – 18.06.2024 r.

• Polskie prawo nie wymaga zmian po wyroku TSUE dotyczącym zasad dochodzenia odszkodowania za szkodę po ujawnieniu danych osobowych. Wyrok ten będzie miał jednak wpływ na sposób interpretowania przepisów dotyczących ustalania zasad odpowiedzialności i prawa do odszkodowania za naruszenie przepisów RODO.
• Takie stanowisko przedstawił 18 maja PUODO w piśmie do ministra ds. Unii Europejskiej Adama Szłapki. Minister wystąpił o to stanowisko po tym, jak Trybunał Sprawiedliwości Unii Europejskiej wydał 11 kwietnia 2024 r. wyrok w sprawie C-741/21 GP/juris GmbH. W wyroku tym TSUE podkreślił, że przy dochodzeniu odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO nie wystarczy samo naruszenie przepisu rozporządzenia. Musi również dojść do poniesienia szkody przez osobę, której dane dotyczą. Co ważne w tym kontekście, waga poniesionej szkody nie ma znaczenia.
• Trybunał orzekł, że szkoda niemajątkowa może w szczególności polegać na utracie kontroli nad własnymi danymi, np. przetwarzanymi przez administratora pomimo wniesionego sprzeciwu na podstawie art. 21 rozporządzenia 2016/679. Zdaniem Trybunału art. 82 ust. 2 i 3 rozporządzenia 2016/679 przewiduje system odpowiedzialności oparty na zasadzie winy, zgodnie z którym domniemywa się, że administrator uczestniczył w przetwarzaniu danych stanowiącym naruszenie, w związku z czym ciężar dowodu spoczywa nie na osobie, która poniosła szkodę, lecz na administratorze.
• Prezes UODO uważa, że takie stanowisko TSUE pozostaje bez wpływu na przepisy prawa polskiego. W judykaturze utrwalony jest pogląd, że zasady ustalania odpowiedzialności za szkodę, zarówno majątkową, jak i niemajątkową, wyrządzoną naruszeniem przepisów RODO (rozporządzenia 2016/679) określają przepisy Kodeksu cywilnego, a sprawy z tego zakresu stanowią sprawy cywilne w rozumieniu art. 1 Kodeksu postępowania cywilnego i rozstrzygane są przez sądy.

Żródło: Aktualności – UODO

• Senat zgłosił w środę poprawki do ustawy o ochronie sygnalistów dotyczące m.in. wykreślenie prawa pracy z katalogu obszarów, w ramach których będzie można dokonać zgłoszenia naruszeń. Ustawa wróci teraz do Sejmu, który zdecyduje, czy poprawki Senatu zostaną przyjęte.
• Wcześniej Senat przegłosował poprawki dotyczące wykreślenia prawa pracy z katalogu obszarów, w ramach których będzie można dokonać zgłoszenia naruszeń. Senatorowie Koalicji Obywatelskiej wyrażali obawy, że ustawa w kształcie przyjętym przez rząd skupi się na zupełnie innych sprawach niż jej pierwotny cel. Podnosili, że od kontroli prawa pracy jest Państwowa Inspekcja Pracy.
• Minister rodziny, pracy i polityki społecznej Agnieszka Dziemianowicz-Bąk argumentowała jednak, że uwzględnienie w ustawie o sygnalistach obszaru prawa pracy jest istotne dlatego, że pracownicy boją się mówić o nieprawidłowościach i nadużyciach. Podkreśliła, że jest to także działanie również na korzyść uczciwych przedsiębiorców, ponieważ ochroni ich przed nieuczciwą konkurencją.
• Zgodnie z ustawą ochroną zostaną objęte osoby zgłaszające naruszenie prawa niezależnie od podstawy i formy świadczenia pracy lub pełnienia służby. Sygnalista będzie mógł zgłosić naruszenie prawa za pomocą wewnętrznych kanałów zgłoszeń, które zostaną utworzone przez podmioty prywatne i publiczne, zewnętrznych kanałów zgłoszeń do odpowiednich organów państwa i za pomocą ujawnienia publicznego (w szczególnie określonych przypadkach).
• Sygnalistą z przysługującą mu ochroną będzie mógł zostać pracownik, ale też były pracownik, funkcjonariusz, żołnierz zawodowy, zleceniobiorca, stażysta czy wolontariusz. Instytucją odpowiedzialną za udzielanie wsparcia sygnalistom będzie zaś Rzecznik Praw Obywatelskich. Ten urząd zajmie się też przyjmowaniem zgłoszeń zewnętrznych od sygnalistów, jeśli chodzi o konstytucyjne prawa oraz wolności człowieka i obywatela.

Żródło: Senat zgłosił poprawki do ustawy o ochronie sygnalistów (msn.com)

• Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga. Skarżący wskazał w niej, że pomimo wyznaczenia i zgłoszenia go przez pracodawcę do UODO jako inspektora ochrony danych, w okresie pełnienia przez niego tej funkcji, nie zmieniono jego stanowiska zatrudnienia (pozostał głównym specjalistą). Ponadto zwrócił uwagę na rzekome nieprawidłowości dotyczące charakteru zatrudnienia i kompetencji oraz doświadczenia zawodowego jego następcy.
• Organ odmówił wszczęcia postępowania. W uzasadnieniu wydanego postanowienia wskazał, że każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, jeżeli sądzi, że przetwarzanie jej danych osobowych narusza przepisy. W przedmiotowej sprawie skarżący wskazywał na możliwe nieprawidłowości w procedurze powoływania i umocowania inspektora ochrony danych, a nie na nieprawidłowości w przetwarzaniu jego danych osobowych. Prezes UODO podkreślił, że czynności w sprawie ogólnych praktyk stosowanych przez administratorów nie są podejmowane na wniosek osoby zainteresowanej. Skarżący nie zgodził się z wydanym rozstrzygnięciem.
• WSA w Warszawie podzielił ocenę organu, że kontrola stosowanych przez administratora danych ogólnych praktyk i sposobu zatrudniania nie może być przedmiotem indywidualnej skargi. Funkcją tej skargi jest bowiem egzekwowanie przestrzegania przepisów o ochronie danych osobowych w operacjach przetwarzania danych, które bezpośrednio wpływają na osobę, której przetwarzane dane dotyczą.
• Sąd podkreślił, że Prezes UODO jest organem powołanym wyłącznie do wypełniania zadań wynikających z RODO, a więc m.in. rozstrzygania w kwestiach dotyczących legalności przetwarzania danych osobowych na skutek skarg wnoszonych przez osoby, których dane dotyczą. Zagadnienia podniesione przez skarżącego mogą być przedmiotem postępowania nadzorczego wszczętego przez Prezesa UODO.

Źródło: Sposób zatrudniania przez administratora nie jest materiałem na skargę (prawo.pl)

• AI Act wprowadza liczne obowiązki w szczególności w odniesieniu do systemów wysokiego ryzyka. Wśród nowych należy wymienić w szczególności:

1. Konieczność wdrożenia, udokumentowania i utrzymania systemu zarządzania ryzykiem,
2. Opracowanie dokumentacji z zakresu zarządzania danymi (data governance),
3. Zapewnienie przejrzystości systemu, w szczególności poprzez opracowanie dokumentacji dla użytkowników końcowych rozwiązania opartego na AI (w szczególności klauzul informacyjnych)
4. Konieczność rejestracji systemów wysokiego ryzyka w unijnej bazie danych.

• Za systemy wysokiego ryzyka zostały uznane m. in. systemy wykorzystywane w obszarze biometrii (np. systemy zdalnej identyfikacji biometrycznej); systemy sztucznej inteligencji przeznaczone do rozpoznawania emocji; systemy sztucznej inteligencji przeznaczone do stosowania w celu ustalania dostępu lub przyjęcia lub przydzielania osób fizycznych jednostek dydaktycznych na wszystkich poziomach czy systemy sztucznej inteligencji przeznaczone do celów rekrutacji lub selekcji osób fizycznych, w szczególności do zamieszczania ogłoszeń o pracę, analizy i filtrowania aplikacji o pracę oraz oceny kandydatów.
• Pozostałe systemy AI, które nie zostały zakwalifikowane do powyższych kategorii, mogą zostać uznane za systemy ograniczonego ryzyka. Niemniej, nie oznacza to, że wskazane systemy nie są objęte żadnymi wymogami – wobec nich zastosowanie znajdą w szczególności przepisy dotyczące ochrony danych osobowych. Mowa tu przede wszystkim o ochronie danych osobowych w fazie projektowania oraz o analizie co do skutków rozwiązań AI dla ochrony danych (Data Protection Impact Assessment).

Źródło: Legal Alert: AI Act został przyjęty – KPMG Poland

• Mirosław Wróblewski powołał Społeczny Zespół Ekspertów, który działać będzie przy prezesie Urzędu Ochrony Danych Osobowych. Zadaniem nowo powołanego zespołu będzie wspieranie prezesa UODO w realizacji jego zadań określonych przepisami prawa, w szczególności w zakresie doradztwa i wyrażania opinii w sprawach przedstawionych zespołowi. Będzie rekomendował także inicjowanie działań w obszarze ochrony danych osobowych oraz przygotowywał w porozumieniu z prezesem UODO ekspertyzy i stanowiska w zakresie dotyczącym ochrony danych osobowych.
• Członkowie zespołu będą też promowali dobre praktyki oraz wykonywali inne zadania, zlecone przez prezesa urzędu, dotyczące ochrony danych osobowych, szczególnie w obszarze nowych technologii.- To jest inicjatywa, która w pełni będzie współgrać z pracami prowadzonymi w urzędzie, która będzie się toczyć jednocześnie z publicznymi konsultacjami, które rozpoczęliśmy w zakresie dwóch poradników – o zatrudnieniu oraz o zgłaszaniu naruszeń ochrony danych osobowych.
• Prezes UODO zaznaczył, że już podczas inauguracyjnego spotkania zespołu prowadzone były rozmowy o najpilniejszych tematach.- Jednym z najważniejszych była kwestia dotycząca przetwarzania danych osobowych w związku ze zbliżającym się wejściem w życie ustawy o sygnalistach. Druga to rosnące zagrożenia cyberbezpieczeństwa, które też są związane z ochroną i przetwarzaniem danych osobowych.
• W skład Zespołu Ekspertów przy prezesie Urzędu Ochrony Danych Osobowych wchodzą wybitni znawcy tematu ochrony danych osobowych, specjalizujący się w zagadnieniach prawnych, legislacyjnych, a także nowych technologii i nauki. Udział w pracach zespołu ma charakter społeczny i jego członkom nie przysługuje z tego tytułu wynagrodzenie. Przewodniczącym został dr Mirosław Gumularz.

Żródło: Powstał Społeczny Zespół Ekspertów przy prezesie UODO (prawo.pl)

• Santander i Ticketmaster (LiveNation) to firmy, które zostały zhackowane i wykradziono im dane kilkudziesięciu milionów (!) klientów lub pracowników. Wyciekły informacje o rachunkach, numery kart płatniczych i oczywiście dane osobowe.
• Włamywacze, kryjący się pod nazwą ShinyHunters (UNC5537), twierdzą, że zhackowali pracownika firmy Snowflake i dzięki temu byli w stanie wygenerować tokeny, które pozwoliły im ominąć uwierzytelnienie przez Oktę i dały im dostęp do baz klientów chmury Snowflake, w tym Santandera i Ticketmastera (ale ofiar jest więcej). Snowflake zaprzecza i podaje IoC, po których klienci mogą sprawdzić, czy byli celem ataków tej grupy.
• Z analizy dumpu udostępnionego przez włamywacza wynika, że pozyskano 1,3 TB danych z informacjami na temat 560 milionów klientów. Oto rodzaje pozyskanych danych: Imię i nazwisko, adres e-mail, adres zamieszkania, numer telefonu, hash numeru karty płatniczej oraz 4 ostatnie cyfry, historia transakcji;
• Santander miał ten sam problem. Bank wydał oficjalne oświadczenie w sprawie ataku. W Polsce o tym wycieku niewiele mówiono bo dotyczył on klientów z Chile, Hiszpanii i Urugwaju oraz niektórych byłych pracowników banku. Wykradzione dane mają obejmować rekordy o 30 milionach klientów, 6 milinach kont i 28 milionach kart kredytowych.
• Ani Ticketmaster, ani Santader w swoich oświadczeniach nie wskazały na to, że źródłem wykradzionych danych jest Snowflake. Skąd to wiadomo? Bo taką informację, powołując się na rozmowę z włamywaczem, opublikowała firma Hudson Rock.
• W oświadczeniu, które jest wspólnym oświadczeniem zarówno Snowflake jak i CrowdStrike oraz Mandiant, przeczytać można, że: miała miejsce “kampania” zorientowana na użytkowników niekorzystających z 2FA oraz faktycznie, znaleziono dowody na to, że sprawca zdobył dane uwierzytelniające i uzyskał dostęp do kont demo należących do byłego pracownika Snowflake.

Żródło: » Olbrzymi wyciek z Ticketmaster i Santander, czyli zhackowana chmura od Snowflake — Niebezpiecznik.pl —

• Pewien pracownik Urzędu Gminy otworzył zainfekowany link, co skutkowało uruchomieniem oprogramowania złośliwego ransomware X., który zaszyfrował serwer. W toku dalszych czynności wyjaśniających Administrator otrzymał potwierdzenie wycieku czterech baz danych, w których znajdują się dane osobowe pracowników oraz byłych pracowników Urzędu Gminy.
• Prezes Urzędu Ochrony Danych Osobowych stwierdził: naruszenie przez Wójta Gminy Nowiny przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO polegające na niezastosowaniu przez Wójta Gminy Nowiny odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w szczególności w zakresie wdrożenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, co skutkuje naruszeniem zasady integralności i poufności oraz zasady rozliczalności,
• PUODO nałożył także administracyjną karę pieniężną w kwocie 50 000 złotych.
• Zdaniem Prezesa UODO wójt powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 50 000 złotych (pięćdziesięciu tysięcy złotych) jest w pełni uzasadnione,
• W swojej decyzji Prezes UODO stanowczo wskazał, że istotny wpływ na wystąpienie przedmiotowego naruszenia miało rażące niedbalstwo organu samorządu terytorialnego.

Źródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7206154486321524736-LzvW?utm_source=share&utm_medium=member_desktop

• Prezes UODO upomniał PZU SA za sposób, w jaki potraktował klienta, który zalegał z opłatami za OC samochodu. Przekazał jego dane do Krajowego Rejestru Długów, bowiem pomylił jego adresy i całą korespondencję o długu kierował na niewłaściwy adres.
• Problem wziął się stąd, że PZU dysponował dwoma adresami klienta. Starym, archiwalnym, z polisy zawartej przed 2006 roku i nowym, z polisy OC na samochód z 2020 roku. Tej ostatniej polisy klient nie zamierzał przedłużać. Niestety, wypowiedzenie umowy złożył już po wygaśnięciu polisy, a zgodnie z ustawą o ubezpieczeniach obowiązkowych (art. 28 ust. 1) PZU musiał tę polisę wznowić automatycznie. W efekcie powstało zadłużenie w wysokości ok. 400 zł. PZU wpisał więc swego klienta (pod niewłaściwym adresem) do Krajowego Rejestru Długów Biura Informacji Gospodarczej SA (zwanego dalej: BIG). W postępowaniu przed UODO Zakład wyjaśnił, że sam klient, kiedy dowiedział się o sprawie zadłużenia, odpisał też z tego adresu.
• Prezes UODO wydając decyzję o upomnieniu wskazał, że

1. PZU samowolnie wykorzystał adres archiwalny do przedłużenia umowy ubezpieczenia, podczas gdy w umowie pierwotnej wskazany został przez Skarżącego inny adres.
2. To, że Skarżący podał potem ten stary adres w korespondencji z PZU, nie ma znaczenia. Skarżący zrobił to po to, by PZU go prawidłowo zidentyfikował.
3. Każdy ma prawo do wskazania swojego adresu do korespondencji, gdyż ponosi odpowiedzialność a późniejsze odbieranie korespondencji. Na administratorze ciąży natomiast obowiązek przetwarzania prawidłowych i aktualnych danych adresowych.
4. W przedmiotowej sprawie doszło do naruszenia przez PZU przepisów o ochronie danych  osobowych polegających na przetwarzaniu nieprawidłowych danych osobowych Skarżącego w  zakresie jego nieaktualnego adresu.

Źródło: Biuletyn UODO 05/2024 https://uodo.gov.pl/pl/file/4872

• Wskaźnik tegorocznego „Monitora Transformacji Cyfrowej Biznesu” w zakresie cyberbezpieczeństwa i ryzyka wyniósł 4,9 pkt. To o 0,5 pkt więcej niż przed rokiem. Firmy dostrzegają czyhające niebezpieczeństwa i skupiają się na budowaniu dedykowanych zespołów ds. cyberbezpieczeństwa, sformalizowanych procedurach oraz systemach monitorowania zagrożeń.
• 72% ankietowanych deklaruje, że w ich firmach stworzono i wdrożono polityki oraz procedury w obszarze cyberbezpieczeństwa. Odsetek tych organizacji wzrósł w ciągu roku o 12 punktów procentowych. Najlepiej pod tym względem wypadają sektory finansowy i motoryzacyjny, gdzie formalne zarządzanie cyberbezpieczeństwem deklaruje 87% respondentów, oraz branża life sciences, z 86% takich odpowiedzi.
• 40% ankietowanych twierdzi też, że w ich firmach istnieje dział lub zespół ds. cyberbezpieczeństwa, co stanowi wzrost o 13 punktów procentowych w porównaniu z ubiegłym rokiem. Ponownie na prowadzaniu znajduje się sektor finansowy, w którym odsetek takich firm wzrasta do 80%.
• Jak pokazuje badanie, respondenci ufają swoim pracownikom. Aż 42% z nich zgadza się w bardzo dużym lub dużym stopniu ze stwierdzeniem, że znajomość procedur reagowania na cyberincydenty przez pracowników jest wysoka. Kolejne 39% ankietowanych uważa tak w stopniu umiarkowanym. Optymizmem może napawać fakt, że jedynie według 19% organizacji, ich pracownicy nie są przygotowani lub są przygotowani w małym stopniu do zapobiegania atakom cyberprzestępców.
• Niepokojący jest jednak fakt, że pomimo poprawy względem zeszłorocznych wyników badania, wciąż jedynie 37% firm w dużym lub bardzo dużym stopniu uwzględnia analizę ryzyka przy podejmowaniu decyzji strategicznych czy operacyjnych dotyczących wykorzystania nowych technologii. Dopracowana analiza zapewni optymalną inwestycję w cyberbezpieczeństwo, czyli taką, która w największym stopniu ograniczy ryzyko operacyjne.

Żródło: Monitor Transformacji Cyfrowej Biznesu 2024 (kpmg.com)