RODO aktualności – 28.12.2023

• Apple opublikowało wyniki niezależnego badania, które rzuca nowe światło na rosnące zagrożenia związane z ochroną danych w chmurze. Zgodnie z wynikami analizy w ostatnich dwóch latach cała branża technologiczna odnotowała niepokojący wzrost liczby naruszeń ochrony danych.
• W ciągu ostatnich dwóch lat doszło do wycieku 2,6 miliarda danych osobowych. Co więcej, od 2013 roku liczba przypadków naruszenia ochrony danych wzrosła ponad trzykrotnie. Raport The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase podkreśla, że zagrożenie związane z przechowywaniem danych w chmurze nieustannie rośnie.
• W odpowiedzi na taką groźbę Apple wdrożyło funkcję zaawansowanej ochrony danych w iCloud. Nowa opcja opiera się na szyfrowaniu informacji na całej drodze przesyłu, co ma na celu zapewnienie maksymalnego poziomu bezpieczeństwa. Zgodnie z zapewnieniami kalifornijskiej firmy iCloud chroni obecnie 14 różnych kategorii wrażliwych danych, a po aktywacji zaawansowanej ochrony danych liczba ta wzrośnie do 23 kategorii.
• Badanie ujawnia również alarmujące trendy w dziedzinie cyberbezpieczeństwa. W pierwszych dziewięciu miesiącach 2023 roku w samych Stanach Zjednoczonych liczba wycieków danych wzrosła o niemal 20% w porównaniu z poprzednimi latami. Ponadto w 2023 roku odnotowano znaczący wzrost ataków ransomware – do września tego roku zgłoszono prawie 70% więcej ataków niż w ciągu pierwszych trzech kwartałów roku 2022.

Żródło: Apple przeprowadziło badania na temat danych w chmurze. Wyniki są przerażające (msn.com)

• Sprawa sięga 2019 r., kiedy bułgarskie media ujawniły, że doszło do włamania do systemu informatycznego tamtejszej agencji przychodów skarbowych (NAP) oraz że w następstwie tego cyberataku w internecie opublikowano dane osobowe dotyczące milionów osób. Wiele z nich pozwało NAP w celu uzyskania odszkodowania za szkodę niemajątkową z uwagi na ich obawy dotyczące potencjalnego wykorzystania ich danych w sposób stanowiący nadużycie.
• Bułgarska krajowa agencja przychodów skarbowych (NAP) jest organem działającym przy ministrze finansów. Jest ona w szczególności odpowiedzialna za identyfikację, zabezpieczanie i odzyskiwanie wierzytelności publicznoprawnych. W tym zakresie jest administratorem danych osobowych.
• Bułgarski najwyższy sąd administracyjny zwrócił się do Trybunału Sprawiedliwości z kilkoma pytaniami prejudycjalnymi dotyczącymi wykładni ogólnego rozporządzenia o ochronie danych (RODO) w kontekście wspomnianego cyberataku i jego konsekwencji.
• W swoim wyroku Trybunał stwierdził, że „w przypadku nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych, z samej tej okoliczności sądy nie mogą wyprowadzać wniosku, że wdrożone przez administratora środki ochrony nie były odpowiednie; okoliczność, czy takie środki mają odpowiedni charakter, sądy muszą oceniać w sposób konkretny”. Takie stanowisko oznacza, że stwierdzenie przez organ nadzorczy nieuprawnionego ujawnienia danych osobowych czy takiego dostępu do nich nie może „automatycznie” powodować odpowiedzialności administratora.
• „W przypadku gdy nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych zostały dokonane przez +osoby trzecie+ (takie jak cyberprzestępcy), administrator może być zobowiązany do zapłaty odszkodowania osobom, które poniosły szkodę, chyba że uda mu się udowodnić, że w żaden sposób nie ponosi winy za tę szkodę” – dodał TSUE.
• Ponadto, „Obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych w sposób stanowiący nadużycie w związku z naruszeniem RODO może sama w sobie stanowić szkodę niemajątkową”.

Żródło: Cyberatak a RODO. Nowe orzeczenie TSUE – Infor.pl; Judykatura.pl

• Sąd Okręgowy w Warszawie zasądził od pewnego organizatora festiwalu na rzecz Obywatela kwotę 20 000 zł zadośćuczynienia.
• Organizator utrwalił wizerunek Obywatela podczas trwania festiwalu, na którym był on uczestnikiem. Zdjęcie zostało wykorzystane do reklam kolejnych edycji festiwalu – reklamy wyświetlały się w social mediach m. in. na różnych kanałach Facebooka i Instagrama. Obywatel dowiedział się od znajomych, że został “twarzą” reklamy kolejnej edycji wydarzenia. Zwrócił się do organizatora z prośbą dotyczącą udzielenie wynagrodzenia za wykorzystanie jego wizerunku, jednak nie doczekał się żadnej reakcji z jego strony.
• W trakcie postępowania sądowego organizator twierdził, że poniższy fragment regulaminu festiwalu legalizował komercyjne wykorzystanie wykonanego zdjęcia: „Organizator utrwala również przebieg Imprezy dla celów dokumentacji oraz promocji lub reklamy Imprezy i imprez w przyszłych latach. Wizerunek osób przebywających na Terenie Imprezy może zostać utrwalony, a następnie rozpowszechniany dla celów dokumentacyjnych, sprawozdawczych, reklamowych oraz promocyjnych (…).
• Sąd wskazał, że pozwany nie uzyskał zezwolenia w rozumieniu tego przepisu od powoda. Co prawda powód zaakceptował fakt utrwalenia jego wizerunku podczas festiwalu, ale zgoda ta nie wykraczała poza akceptację ujęcia jego wizerunku. Nikt nie zwracał się do powoda o uzyskanie zgody powoda na rozpowszechnianie jego wizerunku. A skoro wizerunek powoda stanowił zasadniczą część fotografii, niezbędne było uzyskanie zgody na rozpowszechnianie takiego wizerunku, czego pozwany nie uczynił. Stosowanie do art. 6 ust 1 pkt a) RODO przetwarzanie (zatem utrwalanie jak i rozpowszechnianie – art. 4 pkt 2) jest zgodne z prawem wyłącznie gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Niemniej, pozwany twierdził, że uzyskał stosowną zgodę powoda poprzez akceptację regulaminu imprezy przez powoda.

Żródło: Judykatura.pl

• Eksperci firmy Netskope zwrócili uwagę, że to projektowane w UE przepisy są pierwszymi na świecie, które mają regulować stosowanie sztucznej inteligencji.
• W regulacjach zdecydowano o zakazaniu stosowania sztucznej inteligencji i systemów kategoryzacji biometrycznej, które wykorzystują m.in.: cechy wrażliwe (jak np. przekonania polityczne, religijne, filozoficzne, orientację seksualną, rasę) czy dowolne pobieranie obrazów twarzy z internetu lub nagrań CCTV (monitoringu) w celu tworzenia baz danych rozpoznawania twarzy.
• Sztuczna inteligencja nie będzie mogła być stosowana także do rozpoznawania emocji w miejscu pracy i instytucjach edukacyjnych oraz w programach z obszaru social scoring (systemu zaufania społecznego) opartych na zachowaniach społecznych lub cechach osobistych. AI nie można też wykorzystywać w systemach, które manipulują ludzkim zachowaniem, aby obejść ich wolną wolę, czy w narzędziach mogących odczytywać ludzkie słabości (ze względu wiek, niepełnosprawność, sytuację społeczną lub ekonomiczną).
• Nieprzestrzeganie zasad (dotyczących sztucznej inteligencji) może prowadzić do nałożenia kar. Netskope podał, że w zależności od naruszenia i wielkości firmy kary będą wynosić od 35 mln euro lub 7 proc. globalnego obrotu bądź do 7,5 mln euro lub 1,5 proc. obrotu.
• Odnosząc się do kar, Ilona Simpson z Netskope wskazała, że „grzywny nakładane za nieprzestrzeganie przepisów są zgodne z dobrze ugruntowanym modelem egzekwowania RODO; grzywny ograniczają się do 7 proc. globalnego obrotu w porównaniu z 4 proc. w ramach RODO”.
• Ekspertka Konfederacji Lewiatan Eliza Turkiewicz wyraziła jednak obawy przedsiębiorców, co do szybkości osiągnięcia porozumienia w sprawie AI Act. „Przedsiębiorców niepokoi fakt, że z powodu szybkiego tempa negocjacji trilogowych pozostaje nadal wiele niewyjaśnionych kwestii, co może skutkować zdezorientowaniem rynku oraz brakiem pewności prawa” – oceniła.

Żródło: Eksperci: kary za nieprzestrzeganie unijnych przepisów dot. AI mogą być wyższe niż za łamanie RODO | Nauka w Polsce

• Organizacja non-profit NYOB działająca w obszarze prawa prywatności złożyła skargę na X do holenderskiego organu ochrony danych. Platformie zarzuca się nieegzekwowanie własnych wytycznych reklamowych.
• Wszystko zaczęło się niespełna miesiąc temu, kiedy to organizacja NYOB złożyła skargę na Komisję Europejską. Dotyczyła ona niezgodnego z prawem mikrotargetowania reklam ze strony Komisji na platformie X. Narzędzia reklamowe X zostały wykorzystane przez podmiot w celu promowania kontrowersyjnej propozycji legislacyjnej dotyczącej skanowania CSAM.
• – Po tym, jak złożyliśmy naszą pierwszą skargę w tej sprawie, Komisja Europejska potwierdziła już, że zaprzestanie reklamowania się w X. Jednakże, aby położyć temu kres w ogóle, potrzebujemy egzekwowania prawa wobec X jako platformy używanej przez wiele innych osób. – mówi Felix Mikolasch, prawnik ds. ochrony danych w firmie NYOB. Umożliwiając tę ​​praktykę, firma naruszyła zarówno RODO, jak i DSA.
• Warto również zaznaczyć, że X naruszyła niedawno uchwaloną ustawę o usługach cyfrowych (DSA). Stwierdza ona, że wykorzystanie danych osobowych do targetowania reklam wymaga ówczesnej zgody. Natomiast X od użytkowników, których dane były, przetwarzane takiej zgody nie otrzymała.
• Komisja Europejska w pewnych kwestiach nadzoruje zgodność DSA z dużymi platformami internetowymi, dlatego zdaniem NYOB może chcieć kryć platformę Elona Muska. W obliczu tych faktów organizacja NYOB postanowiła ograniczyć złożenie swojej skargi na X tylko do holenderskiego organu ochrony danych, który ma zająć się tą sprawą. Urząd prawdopodobnie będzie współpracował przy niej z Irlandzką Komisją Ochrony Danych, pod którą podlega platforma X.
• Jeśli zostaną w ramach tej skargi wszczęte działania egzekucyjne, firma Muska otrzyma srogie kary. Naruszenie RODO może kosztować platformę 4% światowego rocznego obrotu, a systemu DSA aż 6%. Kary wzajemnie się ze sobą łączą, a więc Musk w tym przypadku może stracić aż 10% rocznego obrotu.

Żródło: Musk nie egzekwuje własnych wytycznych reklamowych – ccnews.pl

• Podczas ostatniego posiedzenia plenarnego EROD przyjęła swój wkład do sprawozdania Komisji Europejskiej w sprawie stosowania RODO. EROD uważa, że stosowanie RODO w ciągu pierwszych 5 i pół roku zakończyło się sukcesem.
• EROD uważa, że obecnie jest zbyt wcześnie, aby dokonywać zmiany RODO, i wzywa współprawodawców do szybkiego przyjęcia nowego rozporządzenia ustanawiającego dodatkowe przepisy proceduralne dotyczące transgranicznego egzekwowania RODO. Ponadto EROD podkreśla, że organy ochrony danych i EROD potrzebują wystarczających zasobów, aby nadal wykonywać swoje zadania.
• Jeżeli chodzi o egzekwowanie przepisów, EROD jest przekonana, że skuteczna i efektywna współpraca między organami ochrony danych prowadzi do wspólnej kultury ochrony danych. Istniejące narzędzia przewidziane w RODO mogą potencjalnie osiągnąć ten cel, pod warunkiem że będą wykorzystywane w wystarczająco zharmonizowany sposób.
• Przewodnicząca EROD Anu Talus powiedziała: „RODO wzmocniło, zmodernizowało i zharmonizowało zasady ochrony danych w całej UE. Wytyczne EROD odegrały kluczową rolę w uświadamianiu osobom fizycznym i przedsiębiorstwom ich praw i obowiązków wynikających z RODO.
• EROD umocniła swoją pozycję jako organ UE odpowiedzialny za zapewnienie spójnego stosowania RODO, wykorzystując pełen zestaw instrumentów, którymi dysponuje. Stworzyła kompleksową bibliotekę dokumentów zawierających wytyczne, aby pomóc w promowaniu zgodności między administratorami i podmiotami przetwarzającymi oraz konsekwentnym egzekwowaniu przepisów przez organy ochrony danych.
• Ponadto zapewniono ramy praktycznego stosowania narzędzi zgodności, takich jak kodeksy postępowania i mechanizmy certyfikacji, co umożliwiło ich jednolite funkcjonowanie w całej UE. Co więcej, EROD trafnie odegrała swoją wyjątkową rolę w rozstrzyganiu sporów w sprawach transgranicznych, zapewniając tym samym spójne stosowanie RODO.

Żródło: Aktualności – UODO

• mDowód nie jest cyfrową kopią plastikowego dowodu. To zupełnie nowy dokument tożsamości z odrębnymi serią i numerem. Dokument jest dostępny w aplikacji mObywatel.
• Zgodnie z obowiązującymi przepisami banki i urzędy mają obowiązek traktować elektroniczny dowód osobisty na równi z dokumentami tradycyjnymi. Jak jednak donoszą klienci banków, nadal spotykają się z odmową identyfikacji tożsamości za pomocą smartfona. Okazuje się, że nadal istnieje katalog spraw, które trzeba załatwiać z tradycyjnym dokumentem. Co więcej, nadal niektóre instytucje kserują dowody tożsamości.
• Posługując się mDowodem, klienci mogą w oddziałach banku m.in. otworzyć konto osobiste, założyć bankowość elektroniczną z aplikacją PeoPay, zawrzeć umowę o kartę debetową, otworzyć konto oszczędnościowe, konto walutowe, złożyć dowolną dyspozycję do rachunku, wypłacić gotówkę w kasie w oddziale, zrobić przelew z rachunku.
• Jednakże, w określonych przypadkach nadal pobierane są kserówki tradycyjnych dokumentów. – Bank sporządza kserokopię tradycyjnego dowodu osobistego, gdy jest on używany przez klienta do celów identyfikacji oraz weryfikacji tożsamości np. przy nawiązaniu relacji lub zmianie dotychczasowego dowodu osobistego na nowy. W przypadku gdy klient odmówi skopiowania dowodu, bank wymaga potwierdzenia danych zawartych w dokumencie tożsamości w formie oświadczenia – mówi biuro prasowe Pekao.
• Alior Bank z kolei informuje, że ksero może być zrobione w sytuacji, kiedy klient okazuje do identyfikacji dokument fizyczny. – Bank rejestruje jego obraz (zdjęcie lub skan) w momencie wprowadzania danych dokumentu do systemu lub jeśli istnieje konieczność aktualizacji – pisze biuro prasowe Alior Banku.

Żródło: mDowód w bankach, czyli cyfrowa rewolucja. Czy na pewno? Niby działa, ale nie zawsze – ksero dokumentu wciąż bywa potrzebne – Bankier.pl

• Przewiduje się, że w drugiej połowie 2024 roku zostanie przyjęte Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (dalej: „Rozporządzenie ePrivacy”).
• Przepisy RODO poświęcone zostały wyłącznie danym osobowym, natomiast Rozporządzenie ePrivacy będzie miało zastosowanie do wszystkich kategorii danych (w tym pobieranych przez tzw. cookies). Rozporządzenie ePrivacy będzie pełniło tym samym funkcję lex specialis w stosunku do RODO, w zakresie w jakim dane będą pochodziły z łączności elektronicznej.
• Warto zaznaczyć, że ustawodawca unijny w Rozporządzeniu ePrivacy wielokrotnie sięga po mechanizmy wynikające z przepisów RODO – np. wskazując na konieczność przeprowadzenia oceny skutków w zakresie ochrony danych na podstawie art. 35 i 36 RODO (gdy rodzaj przetwarzania metadanych pochodzących z łączności elektronicznej może skutkować dużym zagrożeniem dla praw i wolności osób fizycznych) czy konieczność stosowania zasad „privacy by design” oraz „privacy by default” przy projektowaniu rozwiązań związanych z łącznością elektroniczną.
• Zgodnie z projektem Rozporządzenie ePrivacy będzie miało zastosowanie do wszystkich podmiotów świadczących usługi łączności elektronicznej w UE, niezależnie od tego czy usługa jest odpłatna. Oznacza to, że projektowane przepisy obejmą np. strony internetowe za pośrednictwem których nie jest świadczona „namacalna” usługa, a jedynie są prezentowane informacje (np. o działalności danej firmy).
• Akt prawny ureguluje kompleksowo korzystanie z plików cookie – ich stosowanie będzie nadal wymagało uzyskania zgody użytkownika. Do pojęcia „zgody” zastosowanie znajdą przepisy RODO, co oznacza że będzie ona musiała zostać wyrażona w sposób dobrowolny, konkretny, świadomy i jednoznaczny. Dodatkowo, ustawodawca wskazuje, że użytkownicy powinni mieć możliwość wyboru spośród kilku stopniowalnych ustawień (np. od „nigdy nie akceptuj plików cookie” poprzez „akceptuj tylko pliki cookie administratora” do „akceptuj wszystkie pliki cookie”). Korzystając z „ciasteczek” dostawca usług będzie także zobowiązany do poinformowania użytkownika o możliwości wyboru ustawień oraz zagrożeniach związanych z wyrażeniem zgody na wykorzystanie plików cookie. Żródło: Rozporządzenie o prywatności i łączności elektronicznej – KPMG Poland

• Prezes UODO opublikował uzasadnienie decyzji administracyjnej, w której stwierdził naruszenie przepisów RODO związanych z brakiem zgłoszenia naruszenia ochrony danych osobowych.
• Organ nadzorczy otrzymał informację od osoby, która otrzymała nie swoje dane osobowe w wiadomości e-mail. Osoba ta wskazała, że udostępniono jej – jako osobie nieuprawnionej – potwierdzenia przyznania odszkodowania z dnia 19 maja 2021 r., które ujawniało dane osobowe w postaci: imienia, nazwiska, adresu do korespondencji osoby wskazanej w tym zawiadomieniu, zwanej dalej: „Podmiotem Danych”, przez Link4 Towarzystwo Ubezpieczeń S.A., zwaną dalej „Administratorem” lub „Spółką”.
• Osoba ta skontaktowała się z tym administratorem i poinformowała o zaistniałej sytuacji, ale nie otrzymała żadnej informacji zwrotnej. Prezes UODO zwrócił się do tego administratora danych o wyjaśnienie, czy wiedział o zaistnieniu ww. zdarzenia, a także czy w związku z ww. sytuacją dokonana została analiza zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.
• Administrator wskazał, że wiedział on o zaistnieniu przedmiotowego zdarzenia i odnotował je w odpowiednim rejestrze. Wyjaśnił również, że: „W wyniku błędu ludzkiego, dokument potwierdzenia przyznania odszkodowania Klientowi LINK4 został omyłkowo załączony do korespondencji. Nadto, Spółka wskazała, że przeprowadziła analizę ryzyka naruszenia w oparciu o rekomendowaną na stronie internetowej UODO metodologii ENISA.
• Organ nadzorczy stwierdził już we wcześniej wydanej decyzji administracyjnej z lutego 2022 r. naruszenie przez Administratora przepisów o ochronie danych osobowych. Decyzja ta została wydana w związku z naruszeniem przez Spółkę przepisu art. 6 ust. 1 rozporządzenia 2016/679. Była to zatem dodatkowa przesłanka obciążająca Administratora. Jednocześnie warto podkreślić, że kwota nałożonej kary 103.752,- PLN to jedynie 0,22% maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Administratora.

Żródło: Judykatura.pl