RODO aktualności

Ciekawostki Nowości w prawie

RODO aktualności – 19.05.2026 r. 

  RODO aktualności

AI przedefiniowała polski krajobraz cyberzagrożeń. Co dziś naprawdę zagraża firmom w Polsce? » Laboratoria Medyczne Optimed zhackowane, dane pacjentów zostały wykradzione » Prezes UODO wniósł skargę kasacyjną od wyroku WSA ws. Ministra Zdrowia » NSA: Play bez kary za e-maila wysłanego do złej osoby »Komisja Europejska: Projekt Wytycznych dotyczących wdrażania obowiązków przejrzystości dla niektórych systemów AI » Holandia: Kara w wysokości 100 mln euro za transfer danych osobowych do Rosji » Pierwszy taki atak. AI zbudowało go od podstaw

⬇️ Pobierz W PDF
RODOLOGIA

Praktyczny poradnik o wdrażaniu RODO

Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie. Dowiedz się więcej o RODOLOGII: Sprawdź

AI przedefiniowała polski krajobraz cyberzagrożeń. Co dziś naprawdę zagraża firmom w Polsce?

  • Kontekst: najnowszy raport CERT Orange Polska pokazuje, że cyberzagrożenia w Polsce weszły w nową fazę: zablokowano 345 tys. domen phishingowych, w oszustwach dominują fałszywe inwestycje, a ataki DDoS osiągają siłę do 1,5 Tb/s. To coraz częściej problem także dla firm, a nie tylko pojedynczych użytkowników.
  • AI zmienia skalę i tempo ataków: sztuczna inteligencja nie „tworzy” cyberprzestępczości od zera, ale ją przyspiesza — ułatwia masowe przygotowanie wiarygodnych treści, podszywanie się pod instytucje i automatyzację kampanii.
  • Najczęstsze typy incydentów (udział w całości):
    • Phishing – ponad 47% zagrożeń
    • Złośliwe oprogramowanie  15,8%
    • DDoS  13,3%
    Coraz częściej te zjawiska się łączą i wzajemnie wspierają, co zwiększa ryzyko dla biznesu.
  • Fałszywe inwestycje to główny scenariusz phishingu: przestępcy grają na emocjach i obietnicy szybkiego zysku. W firmach nawet pojedyncze kliknięcie lub logowanie może uruchomić większy incydent.
  • Skala blokowania zagrożeń: mechanizmy ochronne Orange (CyberTarcza) zablokowały rekordowe 345 tys. domen phishingowych, a ok. 5,5 mln osób uniknęło utraty danych i pieniędzy dzięki blokadom dostępu do niebezpiecznych stron.
  • Smishing (fałszywe SMS-y) staje się bardziej „przemysłowy”: wiadomości są częściej wysyłane z użyciem specjalnych aplikacji i automatyzacji; nadal popularne jest podszywanie się pod banki, urzędy, firmy kurierskie i operatorów, ale forma bywa bardziej przekonująca.
  • Atak coraz częściej zaczyna się od danych, a nie od włamania: wyciek prywatnych danych pracownika lub dane przejęte poza firmą (np. u dostawcy lub z niepowiązanego serwisu) mogą stać się „wejściem” do organizacji.
  • Era ogromnych wycieków haseł: raport wskazuje na kompilacje danych sięgające nawet 16 mld rekordów haseł. Szczególnie trudne są wycieki danych biometrycznych, bo nie da się ich po prostu zmienić.
  • Prosty krok, który może dużo dać: warto sprawdzać, czy firmowe/prywatne dane logowania nie wyciekły. Z bezpłatnej funkcji Hasło Alert skorzystało już ponad 40 tys. internautów (cert.orange.pl i aplikacja Mój Orange).
  • DDoS zmienia rolę: to już nie tylko „zapchanie” strony/usługi. Coraz częściej DDoS jest elementem szerszych działań: wymuszeń, odwracania uwagi, destabilizacji lub wsparcia innych ataków. Ataki w sieci Orange sięgały 1,5 Tb/s, a duże botnety umożliwiają działania na ogromną skalę (DDoS jako „usługa”).
  • Rosną zagrożenia dla OT i infrastruktury krytycznej: przybywa incydentów dotyczących systemów przemysłowych (OT) w sektorach takich jak telekomunikacja, energetyka czy wodociągi. Stawką jest nie tylko informacja, ale ciągłość działania.
  • Od „bezpieczeństwa” do „odporności” (cyberodporności): kluczowa staje się zdolność organizacji do wykrywania zagrożeń, ograniczania skutków i utrzymania działania mimo incydentu.
  • Raport wskazuje też, jak się bronić: skuteczna poprawa cyberodporności wymaga połączenia technologii z praktyką — przeglądami bezpieczeństwa, analizą luk, planami naprawczymi oraz testami socjotechnicznymi.
  • Środowiska do ćwiczeń i testów:
    • Laboratorium OT Orange – testowanie ataków i zabezpieczeń na elementach automatyki/SCADA w warunkach zbliżonych do realnych
    • Centrum Doświadczeń Cyberbezpieczeństwa – symulowany atak i trening reakcji
  • Usługi dla firm jako „nowe minimum”: rozwiązania typu Cyber Pakiet czy CyberWatch obejmują m.in. skanowanie podatności, testy socjotechniczne, ochronę reputacji, monitoring wycieków danych oraz ustalanie, czy użytkownicy z konkretnych IP/numerów mogli połączyć się ze szkodliwą stroną.
  • Ludzie pozostają najsłabszym i najważniejszym ogniwem: nawet najlepsze narzędzia nie wystarczą bez świadomości, nawyków i procedur. Dziś pracownicy mogą być celem ataków projektowanych z użyciem AI i danych z wycieków.
  • AI działa po obu stronach: pomaga przestępcom, ale też wzmacnia zespoły bezpieczeństwa (analiza zdarzeń, wykrywanie anomalii). Przewagę zyskuje ten, kto szybciej i mądrzej nauczy się z niej korzystać.
  • Wniosek biznesowy: cyberbezpieczeństwo staje się warunkiem ciągłości działania. Skoro zmieniły się skala i logika ataków, firmy muszą przejść od reagowania „po fakcie” do podejścia opartego na testach, monitoringu, edukacji i budowaniu odporności.
Źródło

Laboratoria Medyczne Optimed zhackowane, dane pacjentów zostały wykradzione

  • Kontekst: Laboratoria Medyczne Optimed poinformowały o włamaniu na swoją infrastrukturę IT. Choć spółka wskazała, że za atakiem stoi grupa z Białorusi, początkowo nie potrafiła potwierdzić, czy dane pacjentów zostały skradzione (zaznaczono, że „nie można tego wykluczyć”).
  • Aktualizacja (10.05.2026): Pojawiły się informacje, że dane pacjentów jednak zostały wykradzione, a ich próbka została opublikowana w internecie.
  • Kiedy doszło do incydentu: Optimed wskazuje, że atak miał miejsce 3 maja 2026 r. i polegał na nieuprawnionym dostępie do części infrastruktury informatycznej.
  • Prawdopodobna przyczyna techniczna: Według opisu atak mógł zostać przeprowadzony z wykorzystaniem głośnej luki w cPanelu, co może sugerować, że systemy nie zostały załatane na czas (to hipoteza opisana w treści).
  • Jakie dane mogły zostać objęte incydentem:
    • dane identyfikacyjne: imię i nazwisko, PESEL, data urodzenia, adres,
    • dane wrażliwe (szczególnej kategorii): informacje o badaniach laboratoryjnych i ich wynikach.
  • Jakie są potencjalne ryzyka dla pacjentów:
    • kradzież tożsamości i podszywanie się pod pacjenta,
    • wyłudzenia finansowe (np. zaciąganie zobowiązań na cudze dane),
    • próby uzyskania dostępu do usług administracyjnych/finansowych poprzez podszywanie się,
    • naruszenie prywatności przez ujawnienie informacji o stanie zdrowia.
  • Rekomendacje podane przez Optimed:
    • zastrzec numer PESEL w serwisie obywatel.gov.pl lub w aplikacji mObywatel,
    • rozważyć monitoring kredytowy (np. w usługach BIK),
    • zachować szczególną ostrożność wobec e-maili, SMS-ów i połączeń (ryzyko phishingu i wyłudzeń).
  • Co zrobiła firma po wykryciu incydentu (wg oświadczenia): odizolowano zagrożone systemy, wdrożono dodatkowe zabezpieczenia, rozpoczęto analizę techniczną i usuwanie źródła problemu; poinformowano UODO oraz organy ścigania.
  • Kontakt do IOD: iod@lab-optimed.pl (wskazany w komunikacie dla osób, które mają pytania).
  • Szerszy kontekst: w treści przywołano podobny incydent z końcówki 2023 r. (ALAB), gdzie dane ostatecznie trafiły do sieci; aktualizacja sugeruje, że w przypadku Optimedu sytuacja rozwinęła się podobnie.
  • Uwaga praktyczna: samo zastrzeżenie PESEL i monitoring kredytowy mogą pomóc ograniczyć ryzyka finansowe, ale przy wycieku danych medycznych pozostają też inne zagrożenia (np. prywatność i potencjalne nadużycia informacji o zdrowiu).
Źródło

Prezes UODO wniósł skargę kasacyjną od wyroku WSA ws. Ministra Zdrowia

  • Kontekst sprawy: Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA). Dotyczy ona sporu o to, kto ponosi odpowiedzialność administracyjną za ujawnienie danych o zdrowiu lekarza w 2023 r.: osoba fizyczna (Adam Niedzielski) czy Minister Zdrowia jako organ będący administratorem danych w rozumieniu RODO.
  • Co się wydarzyło w 2023 r.: W sierpniu 2023 r. ówczesny Minister Zdrowia Adam Niedzielski opublikował na portalu X informacje zawierające dane dotyczące zdrowia lekarza (tzw. dane szczególnej kategorii w RODO).
  • Źródło danych: Dane osobowe lekarza zostały pozyskane z Systemu Informacji Medycznej (SIM).
  • Decyzja Prezesa UODO (grudzień 2023 r.): Prezes UODO nałożył na Ministra Zdrowia administracyjną karę pieniężną 100 tys. zł za naruszenie przepisów o ochronie danych osobowych.
  • Wyrok karny (wrzesień 2025 r.): Sąd karny prawomocnie uznał Adama Niedzielskiego za winnego przekroczenia uprawnień oraz naruszenia przepisów o ochronie danych osobowych, wskazując m.in., że ujawnił osobom nieuprawnionym dane o zdrowiu pozyskane z SIM.
  • Wyrok WSA (2 marca 2026 r.): Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO z grudnia 2023 r., powołując się na związanie ustaleniami wyroku karnego z 2025 r.
  • Dlaczego WSA uchylił decyzję: WSA uznał, że za naruszenie odpowiada osoba fizyczna (Adam Niedzielski), a nie organ administracji (Minister Zdrowia). Według WSA decyzję uchylono, aby organ nadzorczy ponownie rozpatrzył sprawę, uwzględniając ustalenia sądu karnego.
  • Stanowisko Prezesa UODO: Prezes UODO nie zgadza się z WSA i wskazuje, że sąd błędnie utożsamił odpowiedzialność karną osoby z odpowiedzialnością administracyjną administratora danych. Podkreśla, że to dwa odrębne reżimy, które mogą funkcjonować równolegle.
  • Kluczowy spór prawny: Nie chodzi o to, czy doszło do ujawnienia danych (fakty są w zasadzie bezsporne), ale o to, kto jest administratorem danych i kto ponosi odpowiedzialność administracyjną za przetwarzanie.
  • Argument o administratorze danych: Prezes UODO wskazuje, że zgodnie z art. 4 pkt 7 RODO administratorem jest podmiot decydujący o celach i sposobach przetwarzania danych – i w tej sprawie był nim Minister Zdrowia jako organ administracji publicznej.
  • Zakres oceny w decyzji UODO: Prezes UODO podkreśla, że decyzja z 2023 r. nie dotyczyła wyłącznie samej publikacji wpisu, ale całego procesu przetwarzania (pozyskanie danych z systemu, kwestie bezpieczeństwa, reakcja na incydent naruszenia ochrony danych).
  • Co oznacza „związanie wyrokiem karnym”: Prezes UODO argumentuje, że art. 11 p.p.s.a. wiąże sąd administracyjny ustaleniami wyroku karnego tylko w zakresie osoby sprawcy, przebiegu czynu i kwalifikacji karnej – ale nie przesądza o odpowiedzialności administracyjnej ani o tym, kto jest administratorem danych.
  • Ryzyko systemowe według UODO: Przyjęcie podejścia WSA mogłoby prowadzić do sytuacji, w której organy publiczne unikałyby odpowiedzialności za naruszenia RODO, twierdząc, że odpowiada wyłącznie konkretna osoba, która przekroczyła uprawnienia.
  • Obiektywny charakter odpowiedzialności administratora: Prezes UODO przypomina, że odpowiedzialność administratora ma charakter obiektywny i obejmuje także naruszenia popełnione przez osoby działające w strukturach administratora.
  • Związek działania z funkcją: UODO wskazuje, że dostęp do danych wynikał z pełnionej funkcji Ministra Zdrowia, więc nie da się łatwo oddzielić działań osoby fizycznej od działań organu tak, jak przyjął to WSA.
  • Skutki dla osób, których dane dotyczą: Zdaniem UODO podejście WSA mogłoby utrudnić dochodzenie praw przez osoby, których dane dotyczą, jeśli odpowiedzialność byłaby „przerzucana” na osoby fizyczne zamiast na administratora.
  • Obowiązki organizacyjne: RODO nakłada na administratora obowiązki dotyczące m.in. środków technicznych i organizacyjnych oraz prawidłowego reagowania na naruszenia – są to obowiązki systemowe, trudne do przypisania wyłącznie osobie fizycznej.
  • Zarzut co do uzasadnienia wyroku WSA: Prezes UODO twierdzi, że uzasadnienie WSA było zbyt lakoniczne i nie wyjaśniało w sposób kontrolowalny, dlaczego odpowiedzialność karna osoby miałaby automatycznie wyłączać odpowiedzialność administratora w trybie administracyjnym (zarzut naruszenia art. 141 § 4 p.p.s.a.).
  • Czego domaga się Prezes UODO w kasacji: Wnosi o rozpoznanie skargi kasacyjnej na rozprawie oraz o uchylenie wyroku WSA – tak, aby NSA albo oddalił skargę Ministra Zdrowia na decyzję UODO, albo przekazał sprawę do ponownego rozpoznania.
Źródło

NSA: Play bez kary za e-maila wysłanego do złej osoby

  • Kontekst sprawy: Klient kupujący telefon w salonie Play podał omyłkowo adres e-mail osoby trzeciej (o zbliżonych danych). Zanim błąd został wyjaśniony, na ten e-mail wysłano dokumenty z danymi klienta (m.in. umowę). UODO uznał, że operator zbyt późno zgłosił naruszenie, ale NSA stwierdził, że operator mógł nie mieć jeszcze wystarczających informacji, aby liczyć 24-godzinny termin.
  • Czego dotyczył incydent: Na e-mail osoby niebędącej klientem Play trafił zestaw dokumentów z salonu (w tym umowa) zawierający dane osobowe abonenta, m.in. imię i nazwisko, numer dowodu osobistego oraz PESEL.
  • Jak doszło do pomyłki: Nowy klient podczas zawierania umowy podał błędny adres e-mail do kontaktu. System wygenerował i wysłał kopię umowy oraz załączniki na wskazany adres.
  • Reakcja klienta w salonie: Po czasie klient zauważył błąd, wrócił do salonu i poprosił o usunięcie błędnego e-maila, ale nie podał innego adresu.
  • Reakcja osoby trzeciej: Osoba, która otrzymała dokumenty, była zaskoczona (nie była klientem Play i ktoś użył jej e-maila) i zgłosiła sprawę do UODO.
  • Stanowisko UODO: UODO uznał, że doszło do naruszenia ochrony danych (udostępnienie danych osobie trzeciej) i że operator powinien:
    • zgłosić naruszenie do Prezesa UODO w ciągu 24 godzin od wykrycia,
    • bez zbędnej zwłoki poinformować także abonenta, którego dane wyciekły.
  • Kara: Na P4 sp. z o.o. (Play) nałożono 250 tys. zł kary pieniężnej.
  • Podstawa prawna wskazana w sprawie: nie RODO, lecz przepisy Prawa telekomunikacyjnego (m.in. art. 174a i 210a) oraz rozporządzenie UE 611/2013 dotyczące zgłaszania naruszeń w usługach łączności elektronicznej.
  • Kluczowy spór – od kiedy liczyć 24 godziny: UODO twierdził, że Play miało „wystarczające” informacje już:
    • gdy klient wrócił do salonu i zgłosił, że podał zły e-mail,
    • ewentualnie najpóźniej, gdy spółka dostała pismo z UODO z prośbą o wyjaśnienia.
  • Argument Play: operator wskazywał, że dopiero po wglądzie w akta UODO i poznaniu treści zgłoszenia od osoby trzeciej mógł jednoznacznie ustalić, że e-mail z umową trafił do nieuprawnionego odbiorcy, a nie np. do samego klienta lub że zgłoszenie rzeczywiście dotyczy naruszenia.
  • Rozstrzygnięcie sądów:
    • WSA w Warszawie uchylił decyzję UODO,
    • NSA oddalił skargę kasacyjną UODO – uchylenie decyzji jest prawomocne.
  • Najważniejszy wniosek NSA: obowiązek zgłoszenia naruszenia uruchamia się dopiero w momencie wykrycia naruszenia, czyli gdy administrator ma wystarczające informacje. Samo podejrzenie lub niepełne informacje (mimo starannych działań) nie muszą oznaczać „wykrycia”.
  • Co sądy wytknęły UODO: organ nie powinien zakładać, że termin został przekroczony wyłącznie na podstawie tego, że „powinno się było domyślić”. Przy karach administracyjnych wątpliwości co do faktów nie mogą być rozstrzygane na niekorzyść firmy.
  • Co dalej: UODO ma ponownie zbadać sprawę i jednoznacznie ustalić, kiedy Play faktycznie „wykrył” naruszenie. Dopiero potem organ może ocenić, czy doszło do naruszenia obowiązków informacyjnych i ewentualnie ponownie rozważyć karę.
  • Sygnatura i data: wyrok NSA z 7 maja 2026 r., sygn. III OSK 1397/24.
Źródło

Komisja Europejska: Projekt Wytycznych dotyczących wdrażania obowiązków przejrzystości dla niektórych systemów AI

  • Kontekst: Biuro SI Komisji Europejskiej opublikowało do konsultacji publicznych 40‑stronicowy projekt Wytycznych dotyczących wdrażania obowiązków przejrzystości dla wybranych systemów AI na podstawie art. 50 AI Act. Poniżej najważniejsze wnioski i fakty z dokumentu.
  • Art. 50 to nie tylko „wąskie etykietowanie”: wytyczne sugerują, że przepis tworzy poziomą warstwę przejrzystości dla różnych zastosowań AI (czyli zestaw ogólnych obowiązków w wielu przypadkach, a nie pojedynczy wymóg „oznaczania”).
  • Kluczowy jest podział odpowiedzialności:
    • Dostawcy odpowiadają za przejrzystość „z założenia” tam, gdzie systemy bezpośrednio wchodzą w interakcje z ludźmi lub generują/manipulują treściami syntetycznymi.
    • Wdrażający (deployers/użytkownicy wprowadzający system do użycia) odpowiadają m.in. za użycie systemów rozpoznawania emocji lub biometrycznej kategoryzacji, a także za publikowanie deepfake’ów i tekstów generowanych przez AI o znaczeniu publicznym.
    • Pracownicy i współpracownicy (freelancerzy/kontrahenci) działający pod kontrolą osoby prawnej zwykle nie powinni być traktowani jako oddzielni „wdrażający”.
  • Wyłączenie „użytku osobistego” jest interpretowane wąsko:
    • Przykład: osoba tworząca kartki świąteczne generowane przez AI dla rodziny może mieścić się w sferze osobistej.
    • Natomiast publiczne udostępnienie politycznego deepfake’a (np. lokalnego burmistrza) może wyjść poza „użytek osobisty” nawet bez zarobku — bo liczy się publiczne rozpowszechnienie.
  • Treści syntetyczne: samo oznaczenie to za mało: wytyczne rozróżniają:
    • Oznaczenie czytelne maszynowo (np. metadane/znak wodny), oraz
    • Wykrywalność (czyli realną możliwość technicznego wykrycia, że treść jest syntetyczna).
    Dostawcy mają nie tylko „oznaczać”, ale też zapewnić wykrywalność; samo „deklarowanie/ocenianie” nie wystarcza. Rozwiązania powinny być skuteczne, niezawodne, odporne i interoperacyjne (działające w różnych ekosystemach).
  • Sugerowana „architektura zgodności” może być mieszana: wskazuje się możliwość użycia (osobno lub łącznie) m.in. znaków wodnych, metadanych, metod kryptograficznych, narzędzi do ustalania pochodzenia (provenance), odcisków palców treści.
  • Co może podpadać pod obowiązki dot. treści syntetycznych (art. 50(2)): nawet działania typu reprodukcja, klasyfikowanie lub układanie istniejących treści; wspomniane są też m.in. wyniki machine-to-machine, krótkie techniczne ciągi znaków czy zamknięte wyniki przemysłowe nieprzeznaczone do interpretacji przez człowieka.
  • Systemy agentowe i multimodalne też mogą być objęte: w zakresie, w jakim ich wyniki są widoczne dla ludzi jako tekst, dźwięk, obraz lub wideo.
  • Definicja deepfake’a (art. 50(4)) – istotne elementy:
    • Wymagane jest silne podobieństwo do prawdziwych osób/przedmiotów/miejsc/bytów/wydarzeń oraz fałszywy pozór autentyczności.
    • Intencja wprowadzenia w błąd nie jest decydująca (to ważne: nawet „bez złej woli” można podlegać obowiązkom).
    • Ocena ma uwzględniać rzeczywistą grupę odbiorców, w tym m.in. dzieci, osoby starsze i osoby o niższych kompetencjach cyfrowych/AI.
    • Deepfake artystyczny, fikcyjny lub satyryczny nie jest automatycznie wyłączony — może jedynie korzystać z łagodniejszego reżimu ujawniania, ale takiego, który nie psuje odbioru utworu.
Źródło

Holandia: Kara w wysokości 100 mln euro za transfer danych osobowych do Rosji

  • Kontekst: Holenderski Urząd Ochrony Danych (AP) nałożył 100 mln euro kary na spółkę MLU BV za nieprawidłowe przekazywanie danych osobowych klientów aplikacji Yango z Finlandii i Norwegii do Yandex Taxi LLC w Rosji. AP nakazał też natychmiastowe wstrzymanie tych transferów.
  • Mechanizm „One Stop Shop” (RODO): ponieważ sprawa dotyczyła działalności transgranicznej, głównym organem prowadzącym postępowanie była holenderska DPA (AP), mimo że problem dotyczył użytkowników w Finlandii i Norwegii.
  • Kto jest kim w sprawie:
    • MLU BV to holenderska spółka matka, która przejęła prawa i obowiązki rozwiązanej spółki Ridetech International BV.
    • Ridetech oferował usługi taksówkowe w Finlandii i Norwegii poprzez aplikację Yango.
    • Yandex Taxi LLC (Rosja) został uznany za współadministratora danych (współkontrolera).
  • Jak sprawa się zaczęła: fiński i norweski organ ochrony danych wszczęły pilne procedury wobec Ridetech, a następnie holenderska DPA (jako organ wiodący) rozpoczęła dochodzenie dotyczące transferów danych do Rosji.
  • Kluczowy zarzut – niewłaściwa podstawa transferu: według AP zastosowano niewłaściwy zestaw standardowych klauzul umownych (SCC):
    • wdrożono SCC w konfiguracji administrator–podmiot przetwarzający,
    • tymczasem importer danych w Rosji miał status współadministratora, a nie procesora.
  • „Schrems II” i środki zabezpieczające: AP uznał, że zastosowane dodatkowe środki techniczne i organizacyjne (w tym szyfrowanie) nie zapewniały wystarczającej ochrony danych w Rosji.
  • Powód uznania zabezpieczeń za niewystarczające: wskazano konflikt ryzyk i kontroli, m.in. dlatego że ta sama osoba była dyrektorem wykonawczym zarówno po stronie eksportera, jak i importera danych, co mogło osłabiać realną niezależność i skuteczność ochrony.
  • Wniosek regulacyjny: w ocenie AP transfery danych do Rosji nie opierały się na prawidłowym mechanizmie transferu wymaganym przez RODO.
  • DTIA jako dowód: przygotowana przez Ridetech Ocena Wpływu Transferu Danych (DTIA) została wykorzystana przez AP jako jedna z podstaw do wniosków o ryzykach związanych z transferami do Rosji (m.in. wskazanie w decyzji, że dokument ten potwierdzał istotne ryzyka).
  • Ocena rosyjskiego organu nadzorczego: AP stwierdził, że Roskomnadzor nie spełnia kryterium niezależnego organu nadzorczego w rozumieniu art. 45(2) RODO, co ma znaczenie przy ocenie poziomu ochrony danych w państwie trzecim.
  • Najważniejsze skutki praktyczne: decyzja pokazuje, że przy transferach poza EOG kluczowe jest prawidłowe określenie ról stron (administrator/współadministrator/procesor), właściwy dobór SCC oraz realna skuteczność dodatkowych zabezpieczeń – zwłaszcza przy transferach do państw ocenianych jako podwyższone ryzyko.
Źródło

Pierwszy taki atak. AI zbudowało go od podstaw

  • Kontekst: Google poinformował, że po raz pierwszy wykrył exploit typu zero-day, który najprawdopodobniej powstał przy wsparciu sztucznej inteligencji (AI) i miał służyć do ominięcia uwierzytelniania dwuskładnikowego (2FA).
  • Sprawę opisano w nowym raporcie o wykorzystaniu AI w cyberzagrożeniach, przygotowanym na podstawie danych z Gemini, Google Threat Intelligence Group (GITG) oraz Mandiant.
  • Według ustaleń Google znana grupa cyberprzestępcza stworzyła skrypt w Pythonie do ataku na podatność typu zero-day.
  • Google nie ujawnił nazwy grupy ani nazwy zaatakowanego narzędzia/rozwiązania.
  • Atak był wymierzony w webowe narzędzie administracyjne typu open source i miał umożliwiać obejście zabezpieczenia 2FA.
  • Firma przekazała, że współpracowała z dostawcą zaatakowanego rozwiązania, aby zablokować możliwość masowego wykorzystania luki (co miało być planem sprawców).
  • Google podkreśla, że nie uważa, aby zagrożenie zostało stworzone przez Gemini, ale ocenia z dużą pewnością, że sprawca mógł użyć modelu AI do wsparcia wykrycia i „uzbrojenia” podatności.
  • Elementy sugerujące udział AI w tworzeniu exploita:
    • dużo „edukacyjnych” komentarzy dokumentujących moduły,
    • zmyślona punktacja CVSS (skala oceny podatności) w kodzie,
    • uporządkowany, „podręcznikowy” styl Pythona,
    • rozbudowane menu pomocy oraz klasa _C (ANSI color) – cechy kojarzone przez ekspertów z kodem generowanym przez modele językowe.
  • Raport opisuje też działania grup powiązanych z Chinami i Koreą Północną; według Google podmioty sponsorowane przez państwo szczególnie interesują się użyciem AI do wyszukiwania podatności.
  • Przykłady z raportu:
    • aktor powiązany z Chinami miał używać narzędzi Strix i Hexstrike w atakach na japońską firmę technologiczną oraz dużą firmę cyberbezpieczeństwa w Azji Wschodniej,
    • chińska grupa UNC2814 stosowała technikę jailbreak opartą na personie (AI miało „udawać” starszego audytora bezpieczeństwa),
    • północnokoreańska grupa APT45 wysyłała tysiące powtarzalnych promptów do analizy CVE i sprawdzania exploitów PoC.
  • Wniosek z raportu: AI może umożliwiać tworzenie i obsługę bardziej rozbudowanego „arsenału” ataków, którym bez takiego wsparcia trudniej byłoby zarządzać.
Źródło

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

Zostaw odpowiedź

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry