RODO aktualności – 28.06.2023 r.

• Twisto – firma z branży płatności odroczonych – poinformowała swoich klientów o przekazaniu do innej spółki “danych, które nie powinny być tam wysłane”. Firma poinformowała klientów i UODO.
• Samo naruszenie miało polegać na wysłaniu informacji o umowie Twisto do innej spółki – Biura Informacji Kredytowej (BIK)
• Zdarzenie zostało wykryte przez pracownika Twisto. Firma skontaktowała się z BIK z prośbą usunięcie nieprawidłowo wpisanych informacji. BIK potwierdziło, że zostanie to zrobione w ciągu 2-3 dni. Dokonano zgłoszenia incydentu do UODO oraz poinformowano o sprawie osoby, których dane wyciekły.
• Twisto w powiadomieniu o naruszeniu zapewnia, że analizuje przyczyny problemu i planuje “ponowne przeszkolenie personelu w tym wdrożenie dodatkowych procedur wewnętrznych”. Nie napisano na czym dokładnie polegał incydent, ale miał to być “niefortunny zbieg okoliczności, z ułomnością ludzką”. Incydent dotyczył jednak większej grupy klientów.
• Co ciekawe, niektóre z ofiar tego incydentu o sprawie dowiedziały się nie z e-maila od Twisto, a z alertu BIK-u, bo miały te alerty włączone, a wysłanie ich danych do BIK przez Twisto spowodowało automatycznie rozesłanie alertu. Mimo to, fakt poinformowania wszystkich ofiar przez Twisto należy uznać za bardzo istotny.
• Konieczność dokonania takich zgłoszeń zależy od ryzyka naruszenia praw i wolności osoby, które nie ma nic wspólnego z faktycznymi negatywnymi konsekwencjami (których w tym przypadku prawdopodobnie nie będzie). Te dwie rzeczy często są mylone i dlatego niejedna firma dostała dotkliwą karę za stosunkowo niegroźne, ale jednak ryzykowne naruszenia. Dobrym przykładem może być decyzja UODO w sprawie firmy Esselmann, w której doszło do zgubienia dokumentu z akt pracownika. Firma nie zgłosiła sprawy do UODO bo nic się nie stało, a pracownik rzekomo nie miał pretensji. UODO karą w wysokości blisko 16 tys. złotych postanowił przypomnieć firmie, że ryzyko było duże i nie ma znaczenia, czy ktoś ma pretensję i czy ktoś ucierpiał.

Żródło: » Twisto informuje, że wysłało dane klientów nie tam, gdzie chciało… — Niebezpiecznik.pl —

• Akt o sztucznej inteligencji to pierwsza na świecie kompleksowa regulacja sztucznej inteligencji. Akt reguluje obowiązki firm i instytucji tworzących (dostawcy, importerzy) oraz wdrażających (użytkownicy) systemy i modele AI. Spod działania AI Act wyjęte są obszary wojskowości, badań i nauki.
• Akt przyjmuje logikę opartą na analizie ryzyka: pewne systemy AI mają być zakazane, inne traktowane jako wysokiego ryzyka i poddane specjalnym wymogom prawnym i technicznym (w tym ocenie ryzyka dla praw podstawowych ludzi). W przypadku popularnych chatbotów czy tzw. generatywnej AI wprowadza się z kolei obowiązek informowania ludzi o tym, że mają do czynienia z „produktem” wygenerowanym przez AI.
• Europosłowie nie zdecydowali się na całkowite zakazanie inwigilacji biometrycznej w przestrzeni publicznej ani na przyznanie prawa do uzyskania wyjaśnienia osobom poszkodowanym decyzją podjętą z udziałem AI, niezależnie od kategorii systemu – co postulowały organizacje społeczne.
• Na liście systemów wysokiego ryzyka znajdą się m.in. systemy rekomendacyjne dużych platform internetowych, systemy wykorzystywane do intencjonalnego wpływania na wyborców oraz narzędzia używane przez administrację publiczną, a także organy ścigania np. do oceny stanu prawnego, dowodów czy zdarzeń.
• Osoby, których prawa zostaną naruszone decyzją wydaną z wykorzystaniem AI, będą mogły wnieść skargę do krajowego organu ds. AI. A także zaskarżyć decyzję (lub bezczynność) takiego organu do sądu. W przypadku systemów wysokiego ryzyka – będą mogły uzyskać szczegółowe wyjaśnienie decyzji w swojej sprawie. Niestety prawo do wyjaśnienia decyzji podjętej z udziałem AI ograniczone będzie do działania systemów wysokiego ryzyka. Nie będzie można skorzystać z niego w przypadku pozostałych modeli i programów AI.
• Definicja „sztucznej inteligencji”, która znalazła się w akcie, jest bardziej precyzyjna i ma być używana na określenie programu komputerowego, który np. zamiast wykonywać listę dokładnych instrukcji wykorzystuje zaawansowane modele statystyczne do tego, żeby rozwiązać zadanie.

Żródło: Parlament Europejski przyjął treść regulacji sztucznej inteligencji. Jak AI Act ochroni nasze prawa | Fundacja Panoptykon

• McDonald’s Korea został ukarany przez Koreańską Komisję Ochrony Danych Osobowych grzywną w wysokości 696 milionów wonów (532 110 USD) po tym, jak dane osobowe 4,87 miliona klientów wyciekły do hakerów z powodu „luźnego zarządzania” danymi przez firmę.
• Zgodnie z ustaleniami Komisji McDonald’s Korea nie przeprowadził wystarczającej kontroli dostępu, pozostawiając plik kopii zapasowej zawierający dane osobowe klientów swojej restauracji i klientów McDelivery dostępny za pośrednictwem protokołów udostępniania plików.
• W rezultacie dane osobowe ponad 4,87 miliona klientów zostały zhakowane i wyciekły. Stwierdzono również, że McDonald’s Korea nie zniszczył danych osobowych 766 846 klientów, dla których upłynął okres przechowywania danych, i z opóźnieniem powiadomił władze i klientów o wycieku danych.

Żródło: McDonald’s Korea ukarany grzywną w wysokości 696 mln wonów za naruszenie danych osobowych klientów | Agencja informacyjna Yonhap (yna.co.kr)

• Za pośrednictwem platformy Xandr reklamodawcy mogą kupować dane i wybierać, czy wolą zwracać się do frazy „Wrażliwi seniorzy”, „LGBTQ” czy „Mamy, które robią zakupy jak szalone”. Istnieją również listy dochodów i zdrowia psychicznego.
• Podczas gdy lista ofert Xandr pochodziła z 2021 roku, Microsoft nabył usługę w 2022 roku. Jednak wiele innych niemieckich firm jest również zaangażowanych w ten biznes z danymi. Niektóre z nich są obecnie poddawane przeglądowi przez odpowiednie organy ochrony danych.
• Adsquare, sprzedawca danych o lokalizacji i dwie inne firmy, które podobno kupiły od Xandr, są badane przez komisarza ds. Ochrony danych Meike Kamp. Według Netzpolitik, mówi, że „jest sceptyczna co do tego, czy firmy mogą polegać na zgodzie osób zainteresowanych na tak kompleksowe i nieprzejrzyste gromadzenie danych”. Jest to prawie niemożliwe ze względu na złożoność i liczbę uczestników.
• RODO stanowi, że można wyrazić zgodę na przetwarzanie danych jeśli jest się wystarczająco poinformowanym, tj. jeśli możesz podjąć uzasadnioną decyzję. Nawet jeśli internauta kliknie „akceptuj” na banerze cookie, jest mało prawdopodobne, że w pełni zrozumie, jak wszechstronne są profile tworzone przez branżę reklamową. „Niestety, jesteśmy daleko od świadomych konsumentów”, mówi w artykule Tabea Rösner, przewodnicząca Komisji Cyfrowej niemieckiego Bundestagu.
• Ponadto kategorie stworzone przez Xandra dotyczą również danych wrażliwych – takich jak zdrowie, seksualność i interesy polityczne. RODO uznaje to za szczególnie warte ochrony, więc handel nimi jest jeszcze bardziej wątpliwy.

Żródło: Organy ochrony danych wszczynają dochodzenia przeciwko Xandr i nabywcom | Heise Online

• Wojewódzki Sąd Administracyjny w Warszawie w dniu 21 czerwca 2023 r. (sygn. II SA/Wa 150/23) oddalił skargę P4 Sp. z o.o. z siedzibą w Warszawie, następcę prawnego Virgin Mobile Polska Sp. z o.o., na decyzję UODO, nakładającą na tego administratora karę pieniężną w wysokości prawie 1,6 mln. zł.
• Naruszenie, o którym mowa wyżej polegało na braku odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych, służących do rejestracji danych osobowych abonentów usług przedpłaconych. Doprowadziło to do uzyskania przez osobę nieuprawnioną dostępu do tych danych, co stanowiło również naruszenie zasady integralności i poufności.
• Ponadto, w ostatnim czasie do Urzędu wpłynęło uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 15 listopada 2022 r. (sygn. II SA/Wa 546/22) oddalił skargę Santander Bank Polska na decyzję UODO, nakładającą na tego administratora karę pieniężną w wysokości ponad 545 tys. zł.
• Po raz kolejny UODO wygrywa sprawy przed sądami. W pierwszym kwartale tego roku takich sprawy było aż 32.
• Potwierdzają to dane, z których wynika, że w I kwartale 2023 r. liczba wyroków utrzymujących w mocy decyzje Prezesa UODO jest ponad dwa razy większa w stosunku do wyroków uchylających decyzje organu nadzorczego, których było 14. Dane za cały poprzedni rok wynoszą analogicznie – 142 wyroki utrzymujące w mocy decyzje Prezesa UODO i 57 uchylających decyzje.

Żródło: Aktualności – UODO

• W następstwie skarg złożonych przez organizacje Privacy International i None of Your Business, CNIL przeprowadził kilka dochodzeń w sprawie CRITEO, które specjalizuje się w „retargetingu behawioralnym” polegającym na śledzeniu użytkowników Internetu w celu wyświetlania spersonalizowanych reklam. Firma zgromadziła dane ok. 370 milionów użytkowników Internetu dzięki narzędziu śledzącemu CRITEO (plik cookie), który umieszczany był na stronach internetowych partnerów.
• Jednym z najpoważniejszych ustaleń CNIL jest niezdolność Criteo do zapewnienia, że zgoda na śledzenie została zebrana od użytkowników 40 000 partnerów przed gromadzeniem, udostępnianiem i przetwarzaniem ich danych osobowych w celach reklamowych. Za zebranie tej zgody odpowiadają partnerzy firmy, którzy mają bezpośredni kontakt z użytkownikami swoich stron. Nie zwalnia to jednak CRITEO z obowiązku weryfikacji i możliwości wykazania, że internauci wyrazili zgodę.
• Ponadto, gdy dana osoba skorzystała z prawa do wycofania zgody lub usunięcia swoich danych, proces wdrożony przez firmę zatrzymał jedynie wyświetlanie spersonalizowanych reklam użytkownikowi. Firma nie usunęła jednak identyfikatora przypisanego do osoby ani historii śledzenia związanej z tym identyfikatorem.
• Firma nie spełniła także prawidłowo obowiązku informacyjnego. Polityka prywatności firmy nie była kompletna, ponieważ nie obejmowała wszystkich zamierzonych celów przetwarzania, a niektóre cele zostały sformułowane w sposób niejasny i ogólny, co nie pozwalało użytkownikowi dokładnie zrozumieć, jakie dane osobowe są wykorzystywane i do jakich celów.

Żródło: Reklama spersonalizowana: CRITEO ukarane grzywną w wysokości 40 mln EUR | CNIL •

• W 2014 r. pracownik, będący jednocześnie klientem banku Pankki S, dowiedział się, że jego dane osobowe były wielokrotnie przeglądane przez innych pracowników banku w okresie od 1 listopada do 31 grudnia 2013 r. Podejrzewając, że owo przeglądanie nie było zgodne z prawem, pracownik ten, który w międzyczasie został zwolniony z pracy w Pankki S, w dniu 29 maja 2018 r. zwrócił się do tego banku o podanie mu tożsamości osób, które przeglądały jego dane, dokładnych dat tego przeglądania oraz celów przetwarzania wspomnianych danych.
• W odpowiedzi z 30 sierpnia 2018 r. bank odmówił podania tożsamości pracowników, którzy dokonali operacji przeglądania, ze względu na to, że informacje te stanowiły dane osobowe tych pracowników. Sprawa ostatecznie trafiła do TSUE.
• Trybunał zauważył przede wszystkim, że RODO, mające zastosowanie od 25 maja 2018 r. stosuje się do żądania złożonego po tej dacie, gdy żądanie to dotyczy operacji przetwarzania danych osobowych przeprowadzonych przed datą rozpoczęcia stosowania RODO.
• Następnie Trybunał stwierdził, że RODO należy interpretować w ten sposób, że informacje dotyczące operacji przeglądania danych osobowych danej osoby, dotyczące dat i celów tych operacji, stanowią informacje, które osoba ta ma prawo uzyskać od administratora. Natomiast RODO nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników, którzy przeprowadzili te operacje zgodnie z poleceniami administratora, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem, że uwzględnione zostaną prawa i wolności tych pracowników.
• Okoliczność, że administrator prowadzi działalność bankową nie ma wpływu na zakres tego prawa.

Żródło: Każdy ma prawo wiedzieć, kiedy i dlaczego były przeglądane jego dane osobowe (europa.eu)

• W badaniu „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce” serwisu ChronPESEL.pl i Krajowego Rejestru Długów (KRD) niemal 33 proc. respondentów zadeklarowało, że w ciągu ostatnich 12 miesięcy spotkało się z próbą wyłudzenia ich danych przez fałszywy telefon, SMS lub e-mail, a 25 proc. – że takiej sytuacji doświadczył ich znajomy bądź członek rodziny.
• Jednocześnie 12,4 proc. badanych przyznało, że oszustom udało się wyłudzić takim sposobem ich dane. Dla podobnego odsetka osób (13,7 proc.) ofiarą był ktoś bliski. 13,1 proc. Polaków mierzyło się z wyciekiem danych z prywatnych firm (7,5 proc.) i instytucji publicznych (5,6 proc.).
• Jak wynika ze statystyk Urzędu Ochrony Danych Osobowych, cytowanych w badaniu, liczba zgłaszanych naruszeń ochrony danych osobowych w ostatnich latach rośnie. W 2022 r. do UODO zgłoszono niemal 13 tys. takich przypadków, a dwa lata wcześniej – 7,5 tys. Rzeczywista skala zagrożenia bezpieczeństwa danych osobowych jest jednak znacznie wyższa.
• Co czwarty Polak sądzi, że potrafi wskazać, kto powinien zająć się neutralizacją negatywnych skutków wycieku wrażliwych danych. 37 proc. przyznało, że nie ma o tym pojęcia, a drugie tyle zadeklarowało brak zdania na ten temat zdania.
• Co trzeci ankietowany oczekuje w takiej sytuacji rabatu na usługi firmy, z której doszło do wycieku. „To świadczy o tym, że coraz większa grupa Polaków rozumie, że ich dane to nie towar, którym można handlować, i rozumie, że konsekwencje wycieku danych mogą mieć dla nich poważne skutki” – stwierdził ekspert serwisu ChronPESEL.pl Bartłomiej Drozd.

Żródło: Ile procent Polaków spotkało się w ostatnim roku z próbą wyłudzenia ich danych? – GazetaPrawna.pl

• Austriacka organizacja non-profit NOYB oskarża amerykańską firmę o generowanie i sprzedawanie profili użytkowników kilku korporacjom technologicznym. Praktyka ta stanowi rażące naruszenie europejskiego ogólnego rozporządzenia o ochronie danych i prywatności obywateli europejskich, stwierdziła organizacja.
• Telesign to amerykańska firma specjalizująca się w „ocenach reputacji” użytkowników urządzeń mobilnych, które są sprzedawane klientom korporacyjnym, takim jak Microsoft, IBM, TikTok, Salesforce, Amazon AWS i wiele innych. Klienci Telesign mogą następnie korzystać z wcześniej wygenerowanych wyników reputacji, aby zweryfikować mobilnych użytkowników końcowych i zminimalizować oszustwa.
• Telesign uzyskuje większość swoich danych z „tajnej” umowy z BICS, belgijską firmą świadczącą usługi połączeń dla wielu firm telefonii komórkowej. Ze względu status pośrednika, BICS może uzyskać bardzo szczegółowe informacje na temat połączeń telefonicznych, w tym czas trwania, brak aktywności, udany ruch przychodzący i inne.
• Według skargi NOYB, BICS przetwarza połączenia dla około połowy wszystkich użytkowników telefonów komórkowych na całym świecie, a Telesign wykorzystał te dane do profilowania milionów ludzi. Weryfikacja użytkowników dostarczana przez Telesign dotyczy ponad pięciu miliardów unikalnych numerów telefonów miesięcznie, co stanowi połowę światowej populacji mobilnej.

Żródło: Amerykańska firma Telesign naruszyła unijne RODO, profilując miliony użytkowników mobilnych na całym świecie | TechSpot