RODO aktualności – 26.09.2023 r.

• Sąd Okręgowy w Oslo orzekł w środę przeciwko Meta Platforms (wcześniej znanym jako Facebook) i na korzyść norweskiego Urzędu Ochrony Danych (Datatilsynet), podtrzymując jego decyzję o nałożeniu tymczasowego zakazu marketingu behawioralnego na Facebooku i Instagramie.
• Sprawa dotyczy wniosku o tymczasowy nakaz sądowy przeciwko decyzji Datatilsynet, który zakazał Meta Ireland i Facebook Norway przetwarzania danych osobowych na potrzeby marketingu behawioralnego na podstawie art. 6 ust. 1 lit. b) i f) RODO w związku z ich usługami platform Facebook i Instagram.
• Meta i jej spółka zależna Facebook Norway argumentowały, że decyzja Datatilsynet była nieważna. Twierdzili, że dyrektywa nie może być prawnie skierowana przeciwko Facebook Norway, ponieważ nie jest on administratorem danych, i że nie zostali odpowiednio powiadomieni ani nie mieli możliwości udzielenia wyjaśnień przed podjęciem przez urząd decyzji.
• W swoim wyroku Sąd Okręgowy w Oslo uznał, że decyzja Datatilsynet była ważna. Sąd ustalił, że Facebook Norway wchodzi w zakres decyzji jako „zakład” w Norwegii. Sąd orzekł również, że Meta i Facebook Norway zostały wystarczająco powiadomione o możliwych nadchodzących decyzjach poprzez wcześniejszą korespondencję w tej sprawie. Sąd zgodził się z Datatilsynet, że podjęcie decyzji było uzasadnione. W rezultacie podtrzymał decyzję Datatilsynet i odrzucił wniosek o tymczasowy nakaz.
• Jednocześnie Norweski Urząd Ochrony Danych rozważa skierowanie sprawy do Europejskiej Rady Ochrony Danych w celu rozszerzenia zakazu na cały obszar EOG.

Żródło: Norway court upholds ban on Meta Platforms’ behavioral marketing – JURIST – News

• Łukasz Olejnik – Polak mieszkający na stałe w Brukseli – złożył do UODO za pośrednictwem reprezentującej go warszawskiej kancelarii prawnej GP Partners skargę przeciwko OpenAI – dostawcy ChatGPT.
• Olejnika w pierwszej kolejności zaniepokoiły nieprawidłowości, które na jego temat wygenerował ChatGPT. Już pod koniec marca kontaktował się w tej sprawie z amerykańską firmą, wskazując błędy i prosząc o ich korektę. Jednocześnie zwrócił się z zapytaniem o komplet informacji związanych z przetwarzaniem jego danych osobowych. Tymczasem OpenAI nie udzieliło mężczyźnie jasnych odpowiedzi.
• Skarżący twierdzi, że OpenAI narusza RODO od momentu rozpoczęcia działalności w Europie, zaczynając od braku odpowiednich konsultacji z unijnymi regulatorami na mocy art. 36 RODO przed rozpoczęciem gromadzenia danych osobowych użytkowników. Firma nie przeprowadziła także wstępnej oceny ryzyka w celu ustalenia, czy istnieją potencjalne problemy, które wymagałyby wprowadzenia środków zabezpieczających dane osobowe.
• Ostatecznie skarga zawiera aż cztery naruszenia GDPR, które mają dowodzić, że OpenAI przetwarzała dane Łukasza Olejnika niezgodnie z prawem, nieuczciwie i w nieprzejrzysty sposób. Kolejną kwestią jest prawo do sprostowania danych osobowych, którego OpenAI nie jest w stanie wyegzekwować.
• To pierwsza tego typu skarga, która wpłynęła przeciwko OpenAI do polskiego regulatora.

Żródło: ChatGPT nie szanuje prywatności użytkowników? Do UODO wpłynęła oficjalna skarga przeciwko OpenAI (chip.pl); Skarga OpenAI złożona do polskiego organu ochrony danych dotyczy wielokrotnych naruszeń RODO – CPO Magazine

• Do marszałek Sejmu Elżbiety Witek trafił rządowy wniosek o wycofanie z prac parlamentarnych projektów dot. cyberbezpieczeństwa (w tym o krajowym systemie cyberbezpieczeństwa) i ochrony dzieci przed nieodpowiednimi treściami w internecie. Co istotne, w poniedziałek i wtorek miało odbyć się wysłuchanie publiczne w sprawie tych dwóch – ważnych z punktu widzenia branży – projektów.
• Minister Łukasz Schreiber – z upoważnienia prezesa Rady Ministrów – zwrócił się dziś do Marszałek Sejmu z wnioskiem o wycofanie z prac parlamentarnych następujących projektów: projektu ustawy o zmianie niektórych ustaw w związku z rozwojem e-administracji, projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, projektu ustawy o ochronie małoletnich przed dostępem do treści nieodpowiednich w internecie, projektu ustawy – przepisy wprowadzające ustawę – prawo komunikacji elektronicznej, projekt ustawy – Prawo komunikacji elektronicznej – przekazał PAP dyrektor Centrum Informacyjnego Sejmu
• Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa miał wzmocnić pozycję jednostek odpowiadających za cyberbezpieczeństwo, czyli zespołów reagowania na incydenty bezpieczeństwa komputerowego. Miał m.in. usprawnić funkcjonowania systemu i ujednolicić procedury zgłaszania incydentów na poziomie krajowym.
• Z kolei projekt ustawy o ochronie małoletnich przed dostępem do treści nieodpowiednich w Internecie zakładał, że dostawcy Internetu będą musieli zapewniać bezpłatny mechanizm blokowania dostępu do pornografii.
• Sejm bieżącej kadencji odbył swoje ostatnie posiedzenie 30 sierpnia br. Projekty nieuchwalone do tego czasu – z wyjątkiem projektów z inicjatywy obywatelskiej – podlegają zasadzie dyskontynuacji.

Żródło: Polska. Rząd wycofał z prac Sejmu projekty dot. cyberbezpieczeństwa | CyberDefence24

• Dane zbierane w celu zwalczania szczególnie groźnej przestępczości nie mogą służyć do ścigania przestępstw korupcyjnych – uznał Trybunał Sprawiedliwości UE.
• Prokuratura Generalna Litwy prowadziła postępowanie dyscyplinarne przeciw prokuratorowi oskarżonemu o nielegalne przekazanie informacji o śledztwie oskarżonemu i jego obrońcy. Podstawą do stwierdzenia tego przewinienia były dane zatrzymane przez dostawców usług łączności telefonicznej. On sam zakwestionował te ustalenia, wskazując, że wykorzystanie tych danych w postępowaniu dyscyplinarnym narusza prawa podstawowe w Unii Europejskiej.
• Odwołanie rozpatrzył litewski najwyższy sąd administracyjny, który postanowił zwrócić się do TSUE z pytaniem prejudycjalnym o to, czy dyrektywa o prywatności i łączności elektronicznej pozwala na wykorzystanie dla celów dochodzenia dyscyplinarnego związanego z korupcją danych osobowych dotyczących łączności elektronicznej, zatrzymanych przez dostawców usług, po czym udostępnionych organom właściwym do zwalczania poważnej przestępczości.
• Unijny trybunał wskazał, że jest to niezgodne ze wspomnianą dyrektywą. TSUE podkreślił, że dane o ruchu i lokalizacji są chronione w ramach praw podstawowych (prywatność), a ich ograniczenie, zgodnie z zasadą proporcjonalności, musi być uzasadnione celem. Ściganie poważnych przestępstw (np. terroryzmu) jest wystarczającym usprawiedliwieniem dla takiego ograniczenia, a walka z przestępstwami mniej zagrażającymi bezpieczeństwu publicznemu – nie.

Żródło: TSUE: Prywatność można ograniczyć tylko w celu ścigania poważnych spraw – rp.pl

• Mozilla Foundation przebadała pod kątem bezpieczeństwa i prywatności następujące marki: Renault, Dacia, BMW, Subaru, Fiat, Jeep, Chrysler, Dodge, Volkswagen, Toyota, Lexus, Ford, Lincoln, Audi, Mercedes, Honda, Acura, Kia, Chevrolet, GMC, Cadillac, Hyundai, Nissan i Tesla.
• Każda ze sprawdzonych marek gromadzi więcej danych osobowych, niż jest to konieczne, i wykorzystuje je do innych celów, niż tylko obsługa pojazdu i zarządzanie relacjami z ich właścicielami. To znacznie więcej, niż w przypadku aplikacji związanych ze zdrowiem psychicznym — tam tak niski poziom ochrony stwierdzono u i tak wysokiej liczby aż 63 proc. z nich.
• Większość, bo aż 84 proc. z badanych przez Mozillę marek, gwarantuje sobie także prawa do udostępniania tych danych dostawcom usług, brokerom danych oraz innym firmom. Aż 19 marek, czyli 76 proc., gwarantuje sobie także prawo do odsprzedaży danych. Ponad połowa (56 proc.) może także udostępnić dane na prośbę organów ścigania.
• Fundacja stwierdziła także, że ze wszystkich marek, które zostały sprawdzone pod kątem dbałości o prywatność danych, tylko dwie gwarantują „prawo do bycia zapomnianym” czy w praktyce do usunięcia danych na prośbę właściciela.
• Mozilla zwraca ponadto uwagę, że producenci nie publikują zbyt szczegółowych informacji dotyczących bezpieczeństwa, mimo rozległych polityk prywatności. Żadna z badanych marek nie spełniła minimalnych standardów bezpieczeństwa, jakie stawia fundacja. Główną obawą Mozilli jest fakt, że nie jest w stanie stwierdzić, czy którakolwiek z marek stosuje szyfrowanie danych, co jest absolutnym minimum bezpieczeństwa.

Żródło: Współczesne samochody to koszmar pod kątem prywatności [RAPORT] (auto-swiat.pl)

• Oszuści podszywają się pod pracowników ING Banku Śląskiego. Poza rozmową telefoniczną wysyłają SMS-a, w którym próbują uwiarygodnić swoje stanowisko. Wiadomość zawiera rzekome dane: imię, nazwisko i informację, że osoba dzwoniąca jest pracownikiem instytucji.
• Osoba dzwoniąca, która podszywa się pod pracownika banku, próbuje wymusić natychmiastowe działanie. W trakcie rozmowy przestępcy straszą zaciągnięciem kredytu oraz możliwością utraty pieniędzy. Naciągacze nakłaniają do wykonania przelewu na wskazany rachunek. Jak podaje ING, oszuści mogą wysłać również SMS-a autoryzacyjnego wyglądającego jak te przychodzące z banku, żeby wzmocnić swoją wiarygodność.
• „Jeśli podasz oszustowi dane, o które Cię prosi lub zrobisz przelew na wskazane konto – pieniądze trafią do złodzieja” – ostrzega ING w komunikacie prasowym opublikowanym na stronie internetowej.
• Bank przypomina, że w przypadku otrzymania podejrzanego telefonu od pracownika banku, co do którego klient ma podejrzenie odnośnie prawdziwości tożsamości, należy jak najszybciej rozłączyć się i samodzielnie skontaktować z infolinią.

Żródło: Oszuści znowu wyłudzają. „Jeśli podasz dane, stracisz pieniądze” – ostrzega ING – Bankier.pl

• Do cyberataku do strony internetowej Holenderskiego Związku Piłkarskiego doszło w kwietniu tego roku i został on zgłoszony policji. Rosyjscy hakerzy uzyskali dostęp do wrażliwych danych osobowych holenderskich piłkarzy. W szczególności udało im się uzyskać dane paszportowe, adresy domowe oraz informacje o zarobkach zawodników. Do ataku przyznała się rosyjska grupa Lockbit.
• Cyberprzestępcy Lockbit działali według pewnego schematu: po uzyskaniu dostępu do danych rozpoczyna się wyłudzanie pieniędzy od pokrzywdzonego, szantażując wyciekiem informacji.
• Władze Królewskiego Holenderskiego Związeku Piłkarski zdecydowały się spełnić żądania hakerów i zapłacić im ponad 1 milion euro, aby zapobiec rozprzestrzenianiu skradzionych informacji. Piłkarska federacja Niderlandów ujawniła, że ​​decyzja zapłacenia okupu nie została podjęta lekko i zdecydowano się na dokonanie przelewu po konsultacji z ekspertem do spraw cyberbezpieczeństwa.
• Specjaliści obawiają się, że jeśli holenderski rząd nie podejmie szybko działań, wkrótce przyjdzie kolej na kolejne duże firmy. „Wymuszenia najwyraźniej działają, a ta historia tylko pogorszy tę tendencję w przyszłości” – skonkludował „Algemeen Dagblad” (holenderski dziennik).

Żródło: Rosyjscy hakerzy włamali się do bazy danych piłkarzy. Holenderski Związek Piłkarski zapłacił ponad milion euro okupu (msn.com)

• Zarejestrowany w ramach nagrania głos czy wizerunek mogą stanowić dane osobowe i podlegać ochronie wynikającej z RODO (można je w bardzo prosty sposób powiązać z konkretną osobą fizyczną – członkiem organu). W przypadku nagrań posiedzeń organów spółek prawa handlowego administratorem danych osobowych będzie sama spółka, a nie jej organy czy osoby ją reprezentujące lub pełniące w niej funkcje zarządcze.
• Obowiązujące przepisy nie nakładają jednak na administratora (spółkę) obowiązku nagrywania posiedzeń zarządu lub rady nadzorczej, lecz jedynie protokołowania, a co za tym idzie, nie będzie można oprzeć na realizacji obowiązku prawnego ciążącego na administratorze.
• Kolejną podstawą prawną jaką można rozważyć jest zgoda na przetwarzanie danych osobowych, której pozyskanie może okazać się problematyczne, w szczególności w gdy w zarządzie lub radzie nadzorczej zasiada większa liczba członków lub gdy członkowie są ze sobą skonfliktowani. Z
• kolei przy ocenie przesłanki prawnie uzasadnionych interesów należy mieć na względzie to czy cel, który zamierza osiągnąć administrator, jest usprawiedliwiony np. w związku z prowadzoną działalnością gospodarczą. Nagranie posiedzenia może służyć nie tylko zabezpieczeniu uzasadnionych interesów spółki, lecz również członków jej organów. Interesem takim będzie prawidłowe i rzetelne sporządzenie protokołu oraz zabezpieczenie informacji na wypadek potrzeby wykazania faktów (w tym w szczególności dotyczących oddania głosu przez danego członka rady nadzorczej w ramach głosowania podczas posiedzenia), dochodzenia roszczeń czy obrony przed roszczeniami.

Żródło: Nagrywanie posiedzeń zarządu i rady nadzorczej a RODO (prawo.pl)

• Firma poinformowała, że zamierza w najbliższym czasie otworzyć swoje pierwsze biuro w UE. Będzie się ono znajdować w Dublinie w Irlandii. Wiadomo już, że na początku biuro będzie się zajmować przede wszystkim kwestiami prawnymi w regionie.
• W opinii analityków krok taki świadczy o tym, że OpenAI, przywiązuje dużą wagę do zastrzeżeń wysuwanych przez Unię, dotyczących takich zagrożeń, jakie niesie ze sobą sztuczną inteligencja, jak ochrona prywatności, własności intelektualnych i bezpieczeństwo. A OpenAI ma w tych sprawach szczególną rolę do odegrania, gdyż stworzony generatywny chatbot oparty na sztucznej inteligencji (ChatGPT), budzi coraz większe kontrowersje.
• Na początku tego roku Włochy zablokowały działanie bota, argumentując iż stwarza on realne ryzyko nielegalnego przetwarzania danych osobowych oraz brak wystarczających zabezpieczeń dla nieletnich. Hiszpania szybko poszła w jej ślady. Po jakimś czasie OpenAI ponownie uruchomiło bota ChatGPT we Włoszech, wprowadzając do niego kilka dodatkowych mechanizmów gwarantujących prywatność.
• Niedawno OpenAI zostało oskarżone o niezliczone naruszenia ochrony danych przez badacza bezpieczeństwa i prywatności, który złożył skargę do polskiego organu ochrony danych, argumentując, że OpenAI narusza ogólne rozporządzenie o ochronie danych (RODO). Na horyzoncie widać jednak unijną ustawę o sztucznej inteligencji, która ma regulować różne zastosowania sztucznej inteligencji. Będą to pierwsze znaczące regulacje prawne dotyczące sztucznej inteligencji, jakie pojawią się na świecie i mogą służyć jako wzór do naśladowania dla innych krajów.

Żródło: OpenAI otwiera swoje pierwsze przedstawicielstwo w UE – Computerworld – Wiadomości IT, biznes IT, praca w IT, konferencje