RODO aktualności – 26.04.2024 r.

• O naruszeniu poufności danych osobowych mówimy w przypadku ich nieautoryzowanego ujawnienia, czyli umożliwienia ich przetwarzania (nawet poprzez sam wgląd) osobie, która nie jest do tego uprawniona.
• Praktyka pokazuje, że dane osobowe w obszarze HR narażone są na takie ujawnienie najczęściej np. poprzez wysłanie pracownikowi listy płac całego działu, wydanie świadectwa pracy lub zaświadczenia o zarobkach (np. na cele kredytowe) nie temu pracownikowi, którego dokument ten dotyczy, uzyskanie dostępu do PUE ZUS pracodawcy jako płatnika przez nieuprawnionego pracownika, co powoduje dostęp do danych ubezpieczeniowych innych osób, lub chociażby ujawnienie danych dotyczących jego zdrowia lub zajęć komorniczych osobom nieuprawnionym.
• Aby zminimalizować ryzyko naruszenia poufności danych zatrudnionych osób, należy działać prewencyjnie. Ważne jest przede wszystkim opracowanie systemu uprawnień do przetwarzania danych, a co za tym idzie – również uprawnień dostępowych do firmowych i zewnętrznych systemów informatycznych. Tak samo bowiem ważny jest adekwatny dostęp do wewnętrznego systemu kadrowego, jak i platformy PUE ZUS lub systemu bankowości, za pośrednictwem którego wypłacane są wynagrodzenia.
• Kluczowe są też stały monitoring takich uprawnień i ich odpowiednia modyfikacja (w tym ograniczenie lub całkowite cofnięcie) stosownie do zmian kadrowych. Jednym z najczęstszych błędów pracodawców w sytuacji rozwiązania umowy o pracę lub zmiany stanowiska jest brak natychmiastowego cofnięcia dostępu do firmowych lub zewnętrznych baz danych.
• Nieuprawnione ujawnienie tych danych rodzi odpowiedzialność przed prezesem UODO. Jeśli stwierdzone ryzyko naruszenia praw lub wolności pracownika jest więcej niż mało prawdopodobne, konieczne jest niezwłoczne zawiadomienie o fakcie naruszenia prezesa Urzędu Ochrony Danych.

Żródło: Naruszenie poufności danych pracownika: co powinien zrobić pracodawca – GazetaPrawna.pl

• Spółdzielnia mieszkaniowa wdała się w konflikt z jednym ze swoich członków. Jeden z właścicieli mieszkania korespondował w sprawie rozliczeń finansowych ze spółdzielnią posługując się służbowym adresem e-mail szpitala wojewódzkiego, w którym był zatrudniony. W ten sposób spółdzielnia pozyskała jego dane osobowe tj. imię, nazwisko i adresu zamieszkania.
• Odpowiedź na jedno z pism właściciela mieszkania spółdzielnia przesyłała również do wiadomości jego pracodawcy tj. szpitala. Powodem tego było wykorzystanie przez służbowego adresu e-mail dla celów niezwiązanych z obowiązkami służbowymi. To nie spodobało się głównemu adresatowi, który zażądał od prezesa spółdzielni zaprzestania przetwarzania jego danych osobowych. Gdy ta odmówiła — skutecznie jak się później okazało — poskarżył się do prezesa Urzędu Ochrony Danych Osobowych (UODO).
• Zdaniem UODO, spółdzielnia udostępniając dane osobowe członka spółdzielni szpitalowi wykroczyła poza cel, w którym je pozyskała. Podkreślił, że spółdzielnia nie wskazała podstawy prawnej udostępnienia danych osobowych pracodawcy właściciela mieszkania. W ocenie UODO udostępnienie danych podyktowane „wykorzystaniem służbowego maila dla celów nie związanych z obowiązkami służbowymi” nie mieści się w realizacji pierwotnego celu przetwarzania, a ponadto działanie to nie było niezbędne dla udzielenia odpowiedzi przez spółdzielnie. Sprawa skończyła się na upomnieniu.
• Taki obrót sprawy nie satysfakcjonował spółdzielni.W skardze do WSA w Warszawie spółdzielnia przekonywała, że inicjatorem prowadzenia korespondencji za pośrednictwem służbowej skrzynki e-mail był uczestnik postępowania i to on zaangażował w sprawę swojego pracodawcę. Ta argumentacja nie przekonała jednak WSA, a ostatecznie również sądu kasacyjnego.
• Oddalając skargę kasacyjną spółdzielni NSA zgodził się, że jej działanie stanowiło przetwarzanie danych osobowych poprzez ich „udostępnienie”. I nie ma znaczenia, że sporne dane pozostawały już w dyspozycji szpitala, tj. były mu znane jako pracodawcy oraz jako administratorowi adresu e-mail, z którego pracownik korzystał prowadząc korespondencję ze spółdzielnią.

Źródło: NSA: Firmowy e-mail a RODO. Kary za naruszenie ochrony danych osobowych – rp.pl

• W Ministerstwie Cyfryzacji doszło do naruszenia danych osobowych. Powodem był błąd jednego z pracowników.
• Wyciek miał polegać na udostępnieniu w EZD (system do Elektronicznego Zarządzania Dokumentacją) przez pracownika Biura Budżetowo-Finansowego w resorcie tabeli z wynagrodzeniami byłych i obecnych pracowników Ministerstwa Cyfryzacji za 2024 rok. W ten sposób przekazał to przez pomyłkę pracownikowi Centralnego Ośrodka Informatyki.
• Incydent – jak informuje w piśmie dyrektor generalny MC – był „niezamierzony” i miał wynikać z faktu „zbieżności nazwisk” osób w systemie. „Niemniej jednak w efekcie doszło do naruszenia ochrony danych osobowych, polegającego na utracie poufności” – czytamy w dokumencie.
• Według resortu, ryzyko „nieuprawnionego wykorzystania danych” jest niskie. Natomiast 19 stycznia incydent ten zgłoszono do Prezesa Urzędu Ochrony Danych Osobowych i „podjęto środki zaradcze” w postaci m.in. „zobowiązania pracowników do bezwględnego weryfikowania danych adresata do którego wysyłana jest korespondencja” oraz „przypomnienia wszystkim pracownikom o zasadach ochrony danych osobowych w korespondencji”.
• Pracownicy resortu zostali także poinformowani o prawie do wniesienia skargi do PUODO oraz do skorzystania z ochrony prawnej przed sądem.

Żródło: Ministerstwo Cyfryzacji. Naruszenie danych osobowych pracowników | CyberDefence24

• W preambule Aktu o sztucznej inteligencji wyraźnie podkreślono niezależność reżimów ochrony w „AI Act” i RODO. Ich wzajemnej relacji nie można w związku z tym traktować jako lex generalis i lex specialis (jedno nie uchyla drugiego i odwrotnie).
• Z uwagi na powyżej wskazaną okoliczność, że „AI Act” nie jest lex specialis w stosunku do RODO, dostawcy i użytkownicy rozwiązań sztucznej inteligencji będą musieli łącznie spełnić warunki legalności określone w obydwóch tych aktach prawnych.
• Jedną z istotnych różnic pomiędzy RODO a Aktem w sprawie sztucznej inteligencji jest to, że pierwszy z tych aktów prawnych koncentruje się na ochronie danych osobowych na wszystkich etapach ich przetwarzania, począwszy od ich zbierania (input), podczas gdy nacisk w AI Act położony jest na wynikach wykorzystania sztucznej inteligencji (output).
• Zarówno RODO, jak „AI Act” oparte są na koncepcji „risk based approach”, różne jest jednak podejście do tej zasady na gruncie obydwóch tych aktów prawnych. Istotą RODO jest podejście „right based approach”, która wyraża się w przyznaniu podmiotom danych szeregu praw (np. prawa do informacji, prawa dostępu do danych, prawa do bycia zapomnianym). Sam AI Act bezpośrednio nie kreuje natomiast praw na rzecz osób fizycznych, których dane są przetwarzane przez systemy sztucznej inteligencji.
• Przepisy RODO poszerzają możliwości ochrony osób, których dane osobowe są wykorzystywane przez sztuczną inteligencję. Przykładem są regulacje dotyczące prawa podmiotów danych (art. 15 RODO), czy możliwość dochodzenia odszkodowań cywilnoprawnych (art. 82 RODO), np. w sytuacjach naruszenia poprzez użycie systemu sztucznej inteligencji zasad określonych w art. 22 RODO (automatyczne decyzje).
• Sankcje administracyjne, w tym kary pieniężne są w obu aktach zbliżone konstrukcyjnie. Overlapping regulacyjny niesie ryzyko „podwójnego” nałożenia kar na administratora oraz dostawcę/użytkownika systemu sztucznej inteligencji, w wyniku jednego zdarzenia (np. wykorzystania systemu SI niezgodnie z warunkami określonymi w art. 22 RODO).

Żródło: Akt w sprawie AI w kontekście RODO: 10 kluczowych informacji – CRN

• W 2020 r. urząd dzielnicy Újpest w Budapeszcie podjął decyzję o udzieleniu pomocy finansowej osobom szczególnie narażonym na skutki pandemii COVID-19. W tym celu zwrócił się do węgierskiego skarbu państwa i do urzędu miasta Budapeszt o przekazanie danych osobowych niezbędnych do sprawdzenia warunków kwalifikowalności do uzyskania wsparcia. O wniosku urzędu dzielnicowego ktoś zawiadomił węgierski organ nadzorczy odpowiedzialny za ochronę danych osobowych (odpowiednik polskiego Prezesa Urzędu Ochrony Danych Osobowych). Ten stwierdził, że zarówno urząd dzielnicy Újpest, skarb państwa jak i organ municypalny naruszyły przepisy RODO. I wymierzył im kary pieniężne.
• Jak ustalono, administracja Újpestu, wbrew obowiązkowi wynikającemu z RODO, nie poinformowała (w terminie jednego miesiąca) osób, których dane dotyczą, ani o celach wykorzystywania ich danych, ani o ich prawach w zakresie ochrony danych. W związku z tym urząd dzielnicy dostał nakaz usunięcia danych tych osób kwalifikujących się do pomocy, które o taką pomoc nie wystąpiły.
• Administracja Újpestu zakwestionowała tę decyzję przed budapesztańskim sądem twierdząc, że organ nadzorczy nie ma prawa nakazywać usunięcia danych osobowych bez uprzedniego żądania osoby, której dane dotyczą.
• Organ nadzorczy państwa członkowskiego UE może nakazać z urzędu – tj. nawet bez uprzednio wyrażonego w tym celu żądania osoby, której dane dotyczą – usunięcie danych przetwarzanych niezgodnie z prawem, jeżeli taki środek jest konieczny dla wywiązania się z powierzonego mu zadania polegającego na egzekwowaniu pełnego przestrzegania RODO. Jeżeli organ ten stwierdzi, że przetwarzanie danych nie jest zgodne z RODO, ma wręcz obowiązek usunąć stwierdzone naruszenie, nawet bez uprzedniego żądania osoby, której dane dotyczą. Takie usunięcie może dotyczyć zarówno danych uzyskanych od tej osoby, jak i danych pochodzących z innego źródła – zaznaczył TSUE.

Żródło: Ważny wyrok TSUE ws. RODO. Chodzi o dane przetwarzane przez urzędy – rp.pl

• Europejski Inspektor Ochrony Danych udzielił reprymendy Komisji Europejskiej w związku z naruszeniem przepisów o ochronie danych osobowych. Do złamania obowiązujących zasad miało dojść podczas użytkowana pakietu Microsoft 365.
• Portal The Register przypomina, że śledztwo Europejskiego Inspektora Ochrony Danych (EDPS) rozpoczęło się w maju 2021 roku i trwało trzy lata. Jego efektem jest decyzja dotycząca udzielenia reprymendy na KE.
• Ze stanowiska EDPS wynika, że umowa między Komisją i Microsoftem nie precyzowała, jakie dokładnie rodzaje danych osobowych i w jakim celu będą zbierane podczas używania pakietu Microsoft 365.
• Poza tym, Komisja Europejska zaniedbała kwestię zabezpieczenia danych poza terytorium Unii Europejskiej. Chodzi dokładnie o to, by dane osobowe poza Europą miały zapewniony taki sam poziom ochrony, jak na terytorium Wspólnoty.
• Europejski Inspektor Ochrony Danych wydał również KE dwa nakazy w związku z wykrytymi naruszeniami. Pierwszy z nich dotyczy całkowitego zaprzestania używania pakietu Microsoft 365, a tym samym wstrzymania przepływu danych do amerykańskiego giganta i podległych mu podmiotów spoza UE. Drugi nakaz EIOD zobowiązuje Komisję do poprawienia wszystkich nieścisłości w przetwarzaniu danych podczas korzystania z Microsoft 365 w ten sposób, aby zgadzały się one z przepisami o ochronie danych. Jako termin ten wskazano 9 grudnia 2024 roku.
• Microsoft zapewnia, że europejscy klienci mogą korzystać z pakietu bez obaw o naruszenie przepisów RODO. Zdaniem giganta, problem leży w regulacjach obowiązujących europejskie organy, które są znacznie bardziej restrykcyjne od RODO.

Żródło: Komisja Europejska na celowniku EIOD. Przez produkt Microsoft | CyberDefence24

• Prezes UODO ma zastrzeżenia do projektu ustawy o ochronie osób zgłaszających naruszenia prawa z dnia 8 stycznia br. wznawiającego proces legislacyjny, który przygotował Minister Rodziny, Pracy i Polityki Społecznej. Swoje uwagi PUODO przekazał Maciejowi Berkowi, Przewodniczącemu Stałego Komitetu Rady Ministrów, jako wskazówki do dalszych prac rządu nad tymi regulacjami.
• Mirosław Wróblewski zwraca uwagę, że projektodawca nie zdecydował się na dopuszczenie anonimowego zgłaszania naruszeń prawa, gdyż zgłoszenie wymaga podania danych, to jednak w innym miejscu projektowanych rozwiązań przewidział ochronę osób, które anonimowo zgłoszą naruszenie. Zdaniem Prezesa UODO to niekonsekwencja i należy skonstruować przepisy jednolicie kształtujące prawa i obowiązki osób, które zgłaszają informacje o naruszeniach prawa.
• Kolejnym brakiem projektowanych rozwiązań jest to, że projektodawca nie określił zakresu danych, które mają służyć do identyfikacji osób zgłaszających naruszenia prawa, jak i osób, których dotyczy takie zgłoszenie. Zdaniem Prezesa UODO określenie w ustawie zakresu danych ujednoliciłoby poszczególne rejestry, do których trafią te dane. Ponadto sam dobór danych do identyfikacji powinien zostać określony z uwzględnieniem zasady minimalizacji danych, określonej w RODO.
• Prezes UODO zwraca też uwagę, że przetwarzanie danych w związku z realizacją celów projektowanej ustawy o ochronie osób zgłaszających naruszenia prawa powinny być uregulowane w jej przepisach, a nie w treści aktów wewnątrzorganizacyjnych. Dotyczy to także określenia w ustawie, a nie w regulaminach czy zarządzeniach, zasad ochrony osób, których dotyczy zgłoszenie oraz innych osób. Określenie w przepisach rangi ustawowy wprowadziłoby jednakowy standard ochrony tożsamości tych osób.

Źródło: Aktualności – UODO

• Hiszpański sąd wydał orzeczenie zakazujące sprzedaży danych biometrycznych obywateli. Wyrok dotyczy niemieckiej firmy Worldcoin, która pozyskiwała za kryptowalutę dane biometryczne.
• Decyzja sądu jest werdyktem w sprawie firmy Worldcoin, która wytoczyła proces Hiszpańskiej Agencji Danych Osobowych (AEPD), kiedy ta zakazała spółce nabywania za kryptowalutę danych biometrycznych obywateli.
• W trakcie rozprawy potwierdzono, że spółka Worldcoin pozyskiwała dane dotyczące tęczówki oka, a także twarzy. Nie zawsze, jak ustalono, osoby przekazujące swoje dane w zamian za kryptowalutę wyrażały zgodę na obrót swoimi danymi.
• Hiszpański sąd potwierdził też, że doszło do przypadków pozyskiwania danych biometrycznych od nieletnich, a także od osób nieświadomych tego, że ich dane będą w przyszłości przekazywane innym podmiotom.
• Sąd orzekł, że istnieje konieczność „ochrony danych ogółu ludności”, w tym prawa ochrony danych osobowych, przed partykularnym interesem finansowym firmy pozyskującej dane biometryczne.
• Tymczasem według szefostwa Worldcoin skanowanie tęczówek i twarzy osób służy stworzeniu tzw. paszportu ludzkości, który ma pozwolić odróżnić ludzi od sztucznej inteligencji w Internecie, zaś opłaty w kryptowalutach były jedynie formą wynagradzania wolontariuszy.

Żródło: Sprzedaż odcisków palców, skanów tęczówki. Wyrok ws. firmy obracającej danymi – RMF 24

• Firma VF Corp. w styczniu 2024 r. poinformowała o incydencie dotyczącym bezpieczeństwa danych swoich klientów. W tym czasie odnotowano problemy z systemami informatycznymi, które objawiały się utrudnieniami z realizacją zamówień, a nawet anulowaniem części z nich.
• Mimo komunikatu o usunięciu skutków ataku, nie została wówczas udostępniona informacja, jakie dane użytkowników zostały ujawnione. Firma uspokajała potencjalnych poszkodowanych informując, że nie przechowują danych wrażliwych, ani dotyczących płatności. Do cyberataku na VF Corp. przyznała się grupa hakerska ALPHV (lub BlackCat).
• Jak wykazało wewnętrzne śledztwo, cyberprzestępcy mogli dostać się do niektórych danych osobowych klientów takich jak e-mail, imię i nazwisko, numer telefonu, adres rozliczeniowy oraz adres do wysyłki. W niektórych przypadkach mogli oni zyskać także dostęp do historii zamówień, całkowitej wartości zamówienia, a także informacji o wybranej przez użytkownika metodzie płatności. Firma twierdzi jednak, że nie przechowuje żadnych szczegółowych danych, takich jak numer konta czy numer karty płatniczej.
• Firma zapewniła, że zakończono proces usuwania podmiotów atakujących i obecnie wszelkie systemy działają poprawnie.
• Klienci sklepu internetowego The North Face powinni być uczuleni na różnego rodzaju maile i SMS-y wysyłane rzekomo przez firmę. Dane pozyskane przez cyberprzestępców mogą zostać teraz wykorzystane w działaniach phishingowych.

Żródło: Wyciek danych klientów The North Face – aktualizacja – SATinfo24.pl; Wyciek danych w znanym sklepie internetowym. Ostrzeżenie dla klientów (radiozet.pl)