RODO aktualności – 19.04.2023 r.

Kara za brak zgłoszenia do UODO naruszenia i niezawiadomienie podmiotu danych. Długa współpraca administratora z podmiotem przetwarzającym nie daje gwarancji bezpieczeństwa danych. Sztuczna inteligencja dużo może – również rozpowszechnić firmowe tajemnice. EROD rozstrzyga spór dot. przekazywania danych przez Meta IE i tworzy grupę zadaniową ds. Chatu GPT. RPO: „Rejestr pedofilów” wymaga zmian.

MULTIMEDIA

#RODOA [10.04.2023]
#RODOA [17.04.2023]
Pobierz PDFPobierz PDF

Kara za brak zgłoszenia do UODO naruszenia i niezawiadomienie o nim podmiotu danych

  • Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości niemal 52 tys. złotych na spółdzielnię mieszkaniową za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych oraz za niezawiadomienie o naruszeniu osoby, której dane dotyczą. Nakazał również administratorowi zawiadomienie o naruszeniu ochrony danych osobowych podmiotu tych danych.
  • Do UODO wpłynęła wiadomość od osoby trzeciej informująca, iż udostępniono jej jako osobie nieuprawnionej informacje dotyczące członka spółdzielni mieszkaniowej.
  • Jak wykazano w postępowaniu przeprowadzonym z urzędu przed organem nadzorczym do zdarzenia doszło podczas konferencji prasowej, podczas której osobie nieuprawnionej administrator udostępnił informacje o sporze między nim a członkiem spółdzielni, w tym kserokopię zawiadomienia o podejrzeniu przestępstwa wraz z takimi danymi osobowymi, jak imię, nazwisko, numer PESEL oraz adres zamieszkania.
  • Sprawę tę administrator odnotował w wewnętrznym rejestrze naruszeń, a po analizie ryzyka naruszenia praw lub wolności, uznał je za niskie.
  • W przedmiotowej sprawie administrator, mimo udostępnienia dokumentu z danymi w postaci imienia, nazwiska, numeru PESEL i adresu zamieszkania, nie wykazał dokonania pogłębionej analizy, a przekazał organowi nadzorczemu w tym zakresie jedynie ogólny dokument nie odnoszący się do tego konkretnego przypadku. Zdaniem Urzędu, w tej sprawie nie wystąpiły czynniki obniżające poziom prawdopodobieństwa wystąpienia negatywnych skutków. Podmiotowi nieuprawnionemu udostępniono dokument zawierający dane osobowe członka spółdzielni. Nie jest istotne, czy osoba ta faktycznie dokonała czynów, o których mowa w zawiadomieniu o podejrzeniu popełnienia przestępstwa. Nawet gdyby doszło do potwierdzenia zasadności podnoszonych zarzutów, to nie oznacza, że osoba ta nie powinna podlegać ochronie.
  • W ocenie UODO, biorąc pod uwagę udostępnienie danych osobowych, administrator powinien zawiadomić podmiot danych o zaistniałym naruszeniu.
  • Administrator powinien wskazać osobie, której dane dotyczą, wystąpienie ewentualnych negatywnych konsekwencji. Zestawienie takich danych, jak ujawniane imię, nazwisko czy numer PESEL jest wystarczające do podszycia się pod tę osobę i np. zaciągnięcia zobowiązań pieniężnych. Dlatego osoba pokrzywdzona powinna tym bardziej zostać poinformowana o zaistniałym naruszeniu. Mimo że negatywne konsekwencje się nie zmaterializowały, to ważna jest sama możliwość ich wystąpienia.

Źródło: https://uodo.gov.pl/pl/138/2658

Długa współpraca administratora z podmiotem przetwarzającym nie daje gwarancji bezpieczeństwa danych

  • Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 33 tys. zł na administratora, który utracił poufność danych osobowych. Ponadto organ nadzorczy nakazał mu zaprzestać powierzania przetwarzania danych podmiotowi, z którym współpracował na podstawie umowy zawierającej braki. Jak wykazało postępowanie, zarówno administrator, jak i podmiot przetwarzający naruszyli przepisy RODO, bo nie wdrożyli odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.
  • Do UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych, polegające na utracie poufności danych. Administrator w zgłoszeniu podał również dane podmiotu przetwarzającego zajmującego się kompleksową obsługą informatyczną. Niezależnie od powyższego, UODO pozyskał też informację z przekazów medialnych o naruszeniu ochrony danych osobowych, znajdujących się m.in. w polisach ubezpieczeniowych potwierdzających zawarcie z różnymi towarzystwami ubezpieczeniowymi umów ubezpieczenia w okresie od maja 2015 r. do listopada 2020 r., które były publicznie dostępne w zasobach informatycznych należących do administratora. Administrator potwierdził, że zgłoszenie naruszenia ochrony danych osobowych przekazane UODO dotyczy tego samego zdarzenia, które zostało opisane przez media. Jak ustalono, do naruszenia doszło podczas wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom w sieci lokalnej oraz zdalnie.
  • Ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej fazie należy określić poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych, a w drugiej należy ustalić, jakie środki techniczne i organizacyjne będą właściwe, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
  • Zdaniem Prezesa UODO, NSA w sposób niezaprzeczalny i precedensowy kwestionuje niezależność organu nadzorczego, jak i podważa jego kompetencje oraz kwalifikacje merytoryczne zatrudnionych w nim osób, niezbędne do wykonywania zadań, do których organ ten został powołany. Brak takiej weryfikacji, wobec niewdrożenia odpowiednich środków technicznych i organizacyjnych skutkował w tej sprawie wystąpieniem przedmiotowego naruszenia. Pewne działania weryfikacyjne zostały przeprowadzone dopiero po wystąpieniu naruszenia.
  • Administrator korzystający z usług podmiotów przetwarzających powinien upewnić się, czy podmioty te zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W niniejszej sprawie zmiany w systemie informatycznym nie zostały wprowadzone na podstawie określonych procedur, a prawidłowość ich przebiegu nie została zweryfikowana po ich dokonaniu. Ze względu na niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, również na podmiot przetwarzający została nałożona administracyjna kara pieniężna. Administrator nie zweryfikował sposobu realizacji przez podmiot przetwarzający zmian w systemie informatycznym, w którym przetwarzane były dane osobowe. Zdaniem UODO takie działanie znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych.

Źródło: https://uodo.gov.pl/pl/138/2684

Sztuczna inteligencja dużo może, także rozpowszechnić firmowe tajemnice

  • Sztuczna inteligencja, taka jak Chat GPT, świetnie radzi sobie z analizą danych i podrzuca kreatywne rozwiązania problemów, również tych, z którymi spotykamy się w codziennej pracy. Tyle że w praktyce prowadzi to do rozpowszechnienia informacji, którymi nie podzielilibyśmy się na forum publicznym – np. tych, objętych tajemnicą przedsiębiorstwa. A to niesie za sobą konsekwencje – również prawne.
  • Chat GPT jest zaprogramowany w ten sposób, że uczy się na podstawie dostarczanych mu danych. Tym samym w nadchodzących latach powinien on być coraz bardziej precyzyjny i dostosowany do potrzeb użytkowników. Wadą tego rozwiązania jest jednak to, że wprowadzane do Chata GPT dane są przesyłane i przechowywane na zewnętrznych serwerach. Dodatkowo, dane takie mogą zostać ujawnione także innym użytkownikom, w tym konkurencji. Ujawnianie poufnych informacji na zewnątrz będzie zatem w tym wypadku stanowiło naruszenie podstawowych obowiązków pracowniczych. Uważamy, że w niektórych okolicznościach może mieć ono nawet charakter ciężki, a tym samym skutkować dyscyplinarnym rozwiązaniem umowy.
  • Pracownicy jednego z gigantów technologicznych prosili AI o wygenerowanie odpowiedzi na swoje pytania dotyczące ich codziennej pracy programistycznej i projektowej – skutkiem ubocznym tego procesu było ujawnienie szerokiemu gronu ludzi informacji na temat rozwiązań, nad którymi ta firma pracuje. A to może wiązać się z konkretną szkodą dla pracodawcy.

Żródło: https://www.prawo.pl/biznes/zwolnienie-z-pracy-za-rozmowe-z-chat-gpt-odpowiedzialnosc,520711.html

EROD rozstrzyga spór dot. przekazywania danych przez Meta IE i tworzy grupę zadaniową ds. Chatu GPT

  • EROD po raz kolejny przyjęła wiążącą decyzję dotyczącą rozstrzygnięcia sporu na podstawie art. 65 RODO, w sprawie projektu decyzji irlandzkiego organu nadzorczego odnoszącej się do Meta IE. Sprawa dotyczy zgodności z prawem przekazywania danych do Stanów Zjednoczonych przez Meta IE na potrzeby jej usługi Facebook.
  • Decyzja wiążąca odnosi się do istotnych kwestii prawnych wynikających z projektu decyzji irlandzkiego organu jako wiodącego organu nadzorczego w sprawie Meta IE. Wiążąca decyzja EROD odgrywa kluczową rolę w zapewnieniu prawidłowego i spójnego stosowania RODO przez krajowe organy nadzorcze. A ponieważ nie osiągnięto porozumienia w sprawie sprzeciwów złożonych przez kilka organów nadzorczych, wezwano EROD do rozstrzygnięcia sporu między organami w terminie dwóch miesięcy.
  • W szczególności, w swojej wiążącej decyzji, Europejska Rada Ochrony Danych rozstrzygnęła spór dotyczący tego, czy w ostatecznej decyzji irlandzkiego organu nadzorczego musi zostać uwzględniona administracyjna kara pieniężna i/lub dodatkowy nakaz egzekwowania przepisów o ochronie danych osobowych.
  • Wiodący organ nadzorczy przyjmuje ostateczną decyzję skierowaną do administratora na podstawie wiążącej decyzji Europejskiej Rady Ochrony Danych, biorąc pod uwagę jej ocenę prawną, najpóźniej miesiąc po tym, jak EROD notyfikuje swoja decyzję. EROD opublikuje decyzję na swojej stronie internetowej po tym, jak wiodący organ nadzorczy poinformuje o swojej decyzji krajowej administratora.
  • Europejska Rada Ochrony Danych postanowiła utworzyć specjalną grupę zadaniową w celu wspierania współpracy i wymiany informacji na temat ewentualnych działań w zakresie egzekwowania prawa prowadzonych przez organy nadzorcze

Żródło: https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en

RPO Rejestr pedofilów wymaga zmian

  • Dzieci sprawców przestępstw ujawnionych w publicznym tzw. „rejestrze pedofilów”, które obawiają się traumy i wykluczenia, gdy otoczenie odkryje, kim był ich rodzic, nie mogą one wystąpić o usunięcie jego danych z rejestru. Są w nim też zamieszczane dane sprawców skazanych przed wejściem w życie ustawy z 2016 r. o utworzeniu rejestru, co budzi wątpliwości Rzecznika Praw Obywatelskich.
  • RPO przypomina, że na jej mocy w publicznie dostępnym rejestrze znajdują się dane osobowe, fotografie i miejsca pobytu najgroźniejszych skazanych przestępców seksualnych. Druga część rejestru jest dostępna tylko dla przedstawicieli organów ścigania i wymiaru sprawiedliwości, a także instytucji zajmujących się opieką nad dziećmi. W tej części są ponadto numery PESEL skazanych i ich adresy zameldowania.
  • W ostatniej opinii Rzecznik zwracał uwagę, że propozycja zmian w funkcjonowaniu rejestru – w tym działania organu kompetentnego do postanowień o wpisie do rejestru – powinna być połączona z refleksją nad rozwiązaniem takich problemów, jak ponowna wiktymizacja ofiar, zapewnienie ochrony członkom rodziny sprawcy, umieszczanie w rejestrze danych osobowych osób nieletnich.
  • RPO podkreśla, że wtórna wiktymizacja ofiar przestępstw seksualnych i stygmatyzacja ich rodzin jest zjawiskiem, którego nie da się rozwiązać bez zmian prawa.  – Takie zagrożenie –  jako uboczny rezultat wpisu do publicznego rejestru – jest zjawiskiem niepożądanym, sprzecznym z celem postępowania karnego (także po wydaniu prawomocnego wyroku), jakim jest uwzględnienie prawnie chronionych interesów pokrzywdzonego i poszanowanie jego godności. Sama możliwość wtórnej wiktymizacji wystarczająco uzasadnia odstąpienie od dokonania wpisu do rejestru publicznego przez wzgląd na dobro małoletnich pokrzywdzonych.

Żródło: https://www.prawo.pl/prawo/rejestr-pedofilow-wymaga-zmian,520775.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 30.10.2024 r.
RODO aktualności
RODO aktualności – 22.10.2024 r.
RODO aktualności
RODO aktualności – 11.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO