RODO aktualności – 30.01.2024 r.

W 2023 roku nałożono kary RODO w wysokości niemal 2 mld euro. Polskie firmy walczą z zegarem w wyścigu o AI – wyniki badania Cisco. Hiszpańska Agencja Ochrony Danych (AEPD): konfigurowanie cookiesów analitycznych na urządzeniach użytkowników nie zawsze wymaga ich zgody. CNIL opublikował projekt przewodnika w sprawie oceny skutków transferu danych (TIA). UE: przyjęto porozumienie w sprawie unijnego aktu dotyczącego cyberodporności (Cyber Resilience Act). Kolejny wyciek danych z placówki ochrony zdrowia. Atak na Uniwersytet Zielonogórski. Ministerstwo Zdrowia: decyzja UODO powinna być skierowana do Adama Niedzielskiego. Mirosław Wróblewski nowym prezesem UODO, Senat poparł jego kandydaturę. Firma ma odrębne uprawnienia RODO jako pracodawca i przedsiębiorca. WSA o braku prawnie uzasadnionego interesu w pobieraniu i publikowaniu danych osobowych. Prezes UODO nałożył karę w wysokości 10 tys. zł na Sąd Okręgowy w Krakowie za niezgłoszenie naruszenia. Mamy pierwszy przypadek ransomware w banku w Polsce.

RODO aktualności z dnia 15.01.2024 r.

RODO aktualności z dnia 24.01.2024 r.
Pobierz PDF

Pobierz PDF

W 2023 r. nałożono kary za RODO na sumę 1,78 mld euro

  • Jest już dostępny raport „DLA Piper GDPR fines and data breach survey: January 2024”, poświęcony naruszeniom i administracyjnym karom pieniężnym, związanym z RODO.
  • Kluczowe ustalenia:
    • w 2023 r. nałożono „kary za RODO” na sumę 1,78 mld euro,
    • na powyższą kwotę składa się w szczególności 1,2 mld euro – rekordowa administracyjna kara pieniężna, nałożona przez irlandzki organ nadzorczy na spółkę Meta
    • Niemcy, Holandia i Polska miały największą liczbę zgłoszonych naruszeń w okresie od stycznia 2023 do stycznia 2024: było ich odpowiednio 32.030, 20.235 i 14.167.

Żródło: https://www.linkedin.com/posts/adamklimowski_dla-piper-gdpr-fines-and-data-breach-survey-ugcPost-7155841541637341184-jhky?utm_source=share&utm_medium=member_desktop

Polskie firmy walczą z zegarem w wyścigu o AI – wyniki badania Cisco

  • Najnowsze wyniki badania Cisco AI Readiness Index ujawniają, że tylko 6% polskich organizacji jest w pełni przygotowanych do wdrażania i wykorzystywania sztucznej inteligencji (AI). Tymczasem globalnie, ten odsetek wynosi 14%. Alarmujące jest to, że aż 47% polskich firm obawia się negatywnych konsekwencji dla swojego biznesu, jeśli nie zaczną inwestować w AI w ciągu najbliższego roku.
  • Badanie Cisco rozgranicza firmy na cztery kategorie gotowości do AI: Pacesetters (w pełni przygotowani), Chasers (umiarkowanie przygotowani), Followers (ograniczona gotowość) i Laggards (nieprzygotowani). W Polsce tylko 6% firm zalicza się do wspomnianej grupy Pacesetters. Globalnie jest to już 14%. Z kolei aż 64% polskich organizacji znajduje się w dwóch najniższych kategoriach (Laggards i Followers), w porównaniu do 52% na świecie.
  • Badanie podkreśla pilność sytuacji: 47% polskich liderów biznesu uważa, że mają maksymalnie rok na wdrożenie strategii AI. Muszą to zrobić zanim ich biznes zacznie ponosić konsekwencje brak wdrożeń. Na świecie, to zdanie podziela 61% ankietowanych.
  • Pomimo tych wyzwań, 95% polskich organizacji posiada już strategię AI lub jest w trakcie jej opracowania. To odzwierciedla globalny trend. Priorytetowość wdrożenia AI wzrosła w ostatnich sześciu miesiącach dla 95% firm w Polsce i 97% na świecie. Najwyższym priorytetem dla wdrożeń AI są infrastruktura IT i cyberbezpieczeństwo.
  • Wyniki badania Cisco AI Readiness Index są jasnym sygnałem, że polskie firmy muszą przyspieszyć swoje działania w zakresie sztucznej inteligencji. Jest to dla nich konieczne, aby mogły nie zostać w tyle za globalnymi trendami. Stawka jest wysoka – firmy, które nie zdołają dostosować się do szybko zmieniającej się technologicznej rzeczywistości, mogą stracić swoją konkurencyjność na rynku.

Żródło: Polskie firmy walczą z czasem o AI – ccnews.pl

Hiszpańska Agencja Ochrony Danych (AEPD): Konfigurowanie cookiesów analitycznych na urządzeniach użytkowników nie zawsze wymaga ich zgody

  • Agencia Española de Protección de Datos – Hiszpańska Agencja Ochrony Danych (AEPD) stwierdziła, że czasami konfigurowanie cookiesów analitycznych na urządzeniach użytkowników nie wymaga ich zgody.
  • Zgodnie z dyrektywą ePrivacy i przepisami państw członkowskich UE, instalowanie jakichkolwiek informacji na urządzeniu użytkownika lub uzyskiwanie dostępu do danych z urządzenia użytkownika wymaga uprzedniej zgody. Istnieje jednak wyjątek dla „ściśle niezbędnych” plików cookie, które są wymagane do komunikacji lub świadczenia usług na wyraźne żądanie użytkownika.
  • Według AEPD instalowanie analitycznych plików cookie, zwykle używanych do śledzenia wizyt na stronie internetowej i zachowań użytkowników, może obejść wymóg uzyskania zgody zgodnie z prawem hiszpańskim. Nie można jednak łączyć pozyskanych danych z innymi procesami, udostępniać ich podmiotom trzecim ani śledzić użytkowników w różnych witrynach lub aplikacjach.
  • AEPD zastrzega, że pliki cookie wykorzystywane do następujących celów związanych z zarządzaniem stroną internetową mogą być przechowywane bez zgody (m.in.): analizowanie urządzeń, przeglądarek i rozmiarów ekranów odwiedzających stronę; Gromadzenie statystyk dotyczących czasu ładowania strony i wskaźników zaangażowania (takich jak współczynnik odrzuceń); Zestawienie danych o działaniach użytkowników (kliknięcia, wybory). Przetwarzanie danych wykraczające poza te określone zastosowania wymaga zgody użytkownika, aby można je było uznać za zgodne z prawem.
  • Według AEPD, w przypadku plików cookie pozyskiwanych bez zgody, wykorzystywanych do pomiaru oglądalności strony, potrzebne są następujące zabezpieczenia: informowanie użytkowników o tym za pośrednictwem polityki prywatności, ograniczenie żywotności plików cookie do 13 miesięcy bez automatycznego przedłużania przy nowych wizytach na stronie oraz przechowywanie zebranych danych przez maksymalnie 25 miesięcy i regularne sprawdzanie tych okresów retencji, aby upewnić się, że są one absolutnie niezbędne.

Żródło: https://www.linkedin.com/posts/mateusz-kupiec-cipp-e-289700121_analytical-cookies-consent-activity-7152295789753442304-0onw?utm_source=share&utm_medium=member_desktop

CNIL opublikował projekt przewodnika w sprawie oceny skutków transferu danych (TIA)

  • Przewodnik zawiera metodologię i listę kontrolną, które mają pomóc w przeprowadzeniu TIA, zgodnie z sześcioetapowym procesem zalecanym przez Europejską Radę Ochrony Danych. Jego celem jest ukierunkowanie analizy przekazywania danych z EOG do państwa trzeciego, ze szczególnym uwzględnieniem zgodności z art. 46 RODO. Nie dotyczy to jednak sytuacji, gdy kraj docelowy wydał decyzję Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony lub jeśli przekazanie podlega odstępstwom wynikającym z art. 49 RODO.
  • TIA ocenia, czy podmiot odbierający dane jest w stanie wywiązać się z obowiązków, biorąc pod uwagę przepisy i praktyki państwa trzeciego, w szczególności w odniesieniu do dostępu władz lokalnych do danych osobowych. Eksporterzy muszą ocenić poziom ustawodawstwa i praktyki kraju przeznaczenia w odniesieniu do konkretnego transferu. W razie potrzeby TIA powinna określić, czy dodatkowe środki mogą zaradzić niedociągnięciom w zakresie ochrony danych, aby spełnić normy UE.
  • Przewodnik jest podzielony na sześć różnych kroków, które należy wykonać, aby przeprowadzić TIA:

1) Poznaj swój transfer danych;

2) Dokumentuj narzędzia wykorzystywane do transferu danych;

3) Oceń przepisy i praktyki w kraju przeznaczenia danych oraz skuteczność narzędzia do przekazywania danych;

4) Wdróż środki uzupełniające i niezbędne procedury;

5) Ponownie oceniaj w odpowiednich odstępach czasu poziom ochrony danych i monitoruj potencjalne zmiany, które mogą mieć wpływ na bezpieczeństwo danych osobowych.

Żródło: Transfer Impact Assessments: the CNIL is seeking public input on TIA guide – Hogan Lovells Engage; Draft practical guide – Transfer impact assessment (cnil.fr)

UE: Przyjęto porozumienie w sprawie unijnego aktu dotyczącego cyberodporności (Cyber Resilience Act)

  • Rozporządzenie w sprawie cyberodporności jest elementem realizacji unijnej strategii cyberbezpieczeństwa z 2020 roku. Stanowi także działanie spójne z innymi politykami takimi jak projektowana Dyrektywa NIS2 ( w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii). Przewiduje się, że regulacja wejdzie w życie w najbliższych miesiącach; na dostosowanie przepisów do nowych wymagań przedsiębiorcy mają mieć 36 miesięcy.
  • Zgodnie z Cyber Resilience Act, producenci produktów z elementami cyfrowymi, objętych jego zastosowaniem (w tym producenci oprogramowania) zobowiązani będą do regularnego udostępniania konsumentom aktualizacji zabezpieczeń dotyczących zakupionych przez nich produktów.
  • Nowe obowiązki mają dotyczyć nie tylko momentu wprowadzania produktu z elementami cyfrowymi na rynek, lecz całego cyklu jego życia, tak, aby poziom bezpieczeństwa produktu był stały, a konsument miał wiedzę o jego zakresie oraz możliwość korzystania z produktu w sposób bezpieczny przez wiele lat. Spełnienie nowych norm ma być potwierdzone specjalnym certyfikatem CE mającym ułatwić obrót na rynku wewnętrznym.
  • Na producentów nałożone zostaną również obowiązki w zakresie zgłaszania cyberincydentów. Zgłoszenia do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) będzie trzeba dokonać w ciągu 24 godzin od momentu uzyskania informacji o aktywnie wykorzystywanej podatności produktu, czy też incydencie mającym wpływ na jego bezpieczeństwo.
  • Rozporządzenie przewiduje kary pieniężne w wysokości do 15 000 000 EUR lub do 2,5 % całkowitego rocznego światowego obrotu przedsiębiorstwa – w przypadku niezgodności z zasadniczymi wymogami cyberbezpieczeństwa bądź obowiązkami producentów wynikającymi z rozporządzenia; Szczegółowa regulacja w zakresie kar nakładanych w przypadku naruszenia rozporządzenia pozostawiona została zasadniczo państwom członkowskim.

Żródło: Legal Alert: Unijny akt dotyczący cyberodporności – KPMG Poland

Kolejny wyciek danych z placówki ochrony zdrowia

  • Dane osobowe, którymi dysponował Powiatowy Szpital Specjalistyczny w Stalowej Woli, były udostępniane osobie z zewnątrz – przekazywane mailem na adres, na który nie powinny trafić. Sprawę bada policja, prokuratura i Urząd Ochrony Danych Osobowych.
  • O stwierdzeniu naruszenia ochrony danych osobowych, polegającym na naruszeniu poufności przetwarzanych danych osobowych, placówka poinformowała w komunikacie na swojej stronie internetowej. Do nieprawidłowości miało dochodzić w okresie w okresie od 19 listopada 2023 r. do 21 grudnia 2023 r. „Nieustalona osoba trzecia” miała otrzymywać dane na swój adres poczty elektronicznej.
  • Szpital – jako administrator danych osobowych – powiadomił o sytuacji osoby, których dane trafiły w niepowołane ręce, aby mogły zapobiec ewentualnym szkodom z tego tytułu.
  • Szpital zapewnia też w wydanym komunikacie, że „podjął wszelkie możliwe działania mające na celu minimalizację skutków naruszenia, jak również zapewnienia ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną”.
  • Na razie nie wiadomo, czy dane zostały w ogóle w jakikolwiek sposób wykorzystane i czy osoby trzecie zapoznały się z danymi. Szpital zapewnia, że sprawa minimalizowania skutków zdarzenia jest traktowana priorytetowo oraz że pozostaje w kontakcie z właściwymi służbami w celu szybkiego wyjaśnienia sprawy.
  • To kolejna w ostatnim czasie sytuacja, kiedy dane pacjentów dostały się w niepowołane ręce. Jak informowaliśmy, 19 listopada laboratoria ALAB zaobserwowały próbę zmasowanego ataku na swoje serwery. Analiza wykazała, że w wyniku ataku hakerzy uzyskali dostęp do danych osobowych pacjentów, t.j.: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.

Żródło: Cowzdrowiu – Kolejny wyciek danych z placówki ochrony zdrowia

Atak na Uniwersytet Zielonogórski. Doszło do wycieku danych?

  • Uniwersytet Zielonogórski w ostatni weekend padł ofiarą cyberataku. Ucierpiała m.in. poczta uczelni i system służący do pobierania kluczy do sal wykładowych. Władze placówki miały poinformować studentów o „naruszeniu danych osobowych”.
  • W wyniku celowanego ataku hackerskiego na Centrum Przetwarzania Danych Uniwersytetu Zielonogórskiego, przeprowadzonego w nocy z dnia 5 na 6 stycznia 2024 r., „zostały zablokowane wszystkie serwisy działające w środowisku wirtualizacji utrzymywanym w Centrum Komputerowym Uniwersytetu Zielonogórskiego”.
  • Nie funkcjonowały: poczta uczelni (planowo ma zostać przywrócona 10 stycznia br.); System Centralnego Druku; system pobierania kluczy do sal wykładowych; systemy biblioteczne uczelni. Działała natomiast oficjalna strona internetowa placówki, a kilka godzin później przywrócono działanie kilku wewnętrznych systemów.
  • Jak podaje zielonogórska „Wyborcza”, w środę biuro prasowe uczelni miało wysłać do studentów wiadomość o „naruszeniu ochrony danych osobowych”. W następstwie przeprowadzonego w dniu 06.01.2024 r. ataku hakerskiego doszło do czasowego zablokowania możliwości odczytu plików maszyn wirtualnych zawierające dane osobowe pracowników i studentów. Zaszyfrowane pliki zawierały następujące dane osobowe: w odniesieniu do pracowników: imię i nazwisko, numer PESEL, adres e-mail. W odniesieniu do studentów: imię i nazwisko, data urodzenia, adres zamieszkania, adres e-mail, numer PESEL, nr legitymacji studenckiej, nr albumu, nr dowodu osobistego.
  • Studenci z którymi rozmawiała „GW” mieli stwierdzić, że uczelnia „się skompromitowała”.

Żródło: Atak na Uniwersytet Zielonogórski. Doszło do wycieku danych? | CyberDefence24

Ministerstwo Zdrowia: decyzja UODO powinna być skierowana do Adama Niedzielskiego

  • Były już minister zdrowia Adam Niedzielski, będąc administratorem danych przetwarzanych w elektronicznym systemie, pozyskał z niego dane, które opublikował w jednym z serwisów społecznościowych. Były to informacje na temat lekarza, który wystawił sobie receptę.
  • PUODO w grudniu ub. roku poinformował, że  wpis w mediach społecznościowych zawierał informację na temat lekarza, który wystawił sobie receptę na lek z grupy psychotropowych. – Tym samym minister zdrowia bezprawnie ujawnił dane o stanie zdrowia tej osoby – uznał UODO.
  • W toku postępowania UODO ustalił, że administratorem ujawnionych danych jest Minister Zdrowia jako organ, bowiem to on został wyposażony w określone uprawnienia pozwalające mu na dostęp do danych przetwarzanych we wspomnianym systemie w ściśle zdefiniowanych przypadkach i w określonych celach. Dane lekarza zostały ujawnione z naruszeniem przepisów RODO oraz krajowych regulacji szczególnych, za przestrzeganie których odpowiedzialność ponosi administrator danych, czyli Minister Zdrowia – wskazał UODO.
  • Po decyzji prezesa UODO część ekspertów podnosiła wątpliwości, czy w tej konkretnej sytuacji nie powinien odpowiadać Adam Niedzielski, który wówczas jako minister zdrowia piastował funkcję administratora danych, a nie Minister Zdrowia jako organ administrujący danymi.
  • Według Ministerstwa Zdrowia decyzja prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary w wysokości 100 tys. zł powinna zostać skierowana do Adama Niedzielskiego, który naruszył przepisy o ochronie danych osobowych jako osoba fizyczna. Resort zdrowia zaskarżył decyzję prezesa UODO do Wojewódzkiego Sądu Administracyjnego z uwagi na skierowanie jej do podmiotu, który nie jest stroną w sprawie, tj. do Ministra Zdrowia.

Żródło: UODO nałożył karę na ujawnienie danych o zdrowiu lekarza (prawo.pl)

Mirosław Wróblewski nowym prezesem UODO, Senat poparł jego kandydaturę

  • Senat zatwierdził decyzję Sejmu o wyborze Mirosława Wróblewskiego na prezesa Urzędu Ochrony Danych Osobowych.
  • Mirosław Wróblewski jest radcą prawnym, dyrektorem Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego Biura Rzecznika Praw Obywatelskich. Jest autorem ponad 50 artykułów i publikacji naukowych z zakresu prawa konstytucyjnego, międzynarodowego i europejskiego, w tym ochrony danych osobowych (jest m.in. współautorem komentarza do nowej ustawy o ochronie danych osobowych oraz poradnika i komentarza do ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości). Jest wykładowcą m.in. na studiach podyplomowych „Prawo nowoczesnych technologii” oraz „Ochrona danych osobowych” w Akademii im. Leona Koźmińskiego.
  • Przed senackim głosowaniem Mirosław Wróblewski mówił, że najważniejsza dla niego jako prezesa UODO będzie efektywna ochrona praw podmiotów danych osobowych, ale także egzekwowanie prawa i dbanie o spójność przepisów krajowych z europejskimi. Wyraził też opinię, że Urząd powinien „wykazywać większą mobilność”, być bardziej obecny regionalnie i lokalnie, np. we współpracy z organizacjami pozarządowymi.
  • Wcześniej zostały wycofane kandydatury Andrzeja Rybusa-Tołłoczko z rekomendacji Polski 2050 oraz Konrada Komornickiego zgłoszonego przez PSL.
  • Zgodnie z przepisami, kadencja prezesa UODO trwa 4 lata, licząc od dnia złożenia ślubowania. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie kadencje.

Żródło: Mirosław Wróblewski nowym prezesem UODO (prawo.pl)

Firma ma odrębne uprawnienia RODO jako pracodawca i przedsiębiorca

  • Pracodawca i przedsiębiorca to terminy często używane zamiennie, co może prowadzić do paradoksów prawnych, zwłaszcza w zakresie przepisów dotyczących ochrony danych pracowników.
  • Ten sam podmiot prawny może pełnić różne role społeczne. Identyfikacja konkretnej roli jest istotna przy rozważaniach dotyczących przetwarzania danych osobowych. Przedsiębiorca to podmiot prowadzący działalność gospodarczą. Pracodawca – zatrudnia pracowników. Pracodawca nie musi być więc przedsiębiorcą.
  • Rozróżnienie pojęciowe między pracodawcą a przedsiębiorcą ma znaczenie np. w przypadku stosowania legalnego monitoringu poczty elektronicznej, który jest uregulowany w kodeksie pracy, ale nie obejmuje kontroli w celu zapobiegania naruszaniu tajemnicy przedsiębiorstwa. Regulacje z Kodeksu pracy dotyczą jedynie monitoringu mającego na celu wykonanie zadań przez pracodawcę, a przedsiębiorca może wprowadzić monitoring w celu ochrony swoich interesów, spełniając jednocześnie wymogi RODO. Zatem przedsiębiorca, w obliczu zagrożenia dla swoich interesów, ma prawo monitorować pocztę nie tylko pracowników, ale także innych osób, które są kluczowe dla realizacji jego interesów.
  • Przedsiębiorca może także nagrywać rozmowy pracowników z klientami w celu ochrony przed roszczeniami, a to nie jest kontrola pracownika, lecz utrwalenie sposobu wykonania usługi w kontekście ewentualnych roszczeń osób trzecich. Dopuszczalność nagrywania rozmów zależy od spełnienia wymogów zawartych w RODO.
  • Podobnie jest w przypadku kontroli jakości produktu, gdzie przedsiębiorca może prowadzić monitoring wizyjny poza reżimem kodeksu pracy, jeśli wykaże, że ochrona przed roszczeniami kontrahentów dotyczącymi jakości produktu wymaga nagrania procesu produkcyjnego wraz z wizerunkiem pracownika.

Żródło: Firma ma odrębne uprawnienia RODO jako pracodawca i przedsiębiorca – GazetaPrawna.pl

WSA o braku prawnie uzasadnionego interesu w pobieraniu i publikowaniu danych osobowych

  • W niedawno opublikowanym uzasadnieniu orzeczenia WSA w Warszawie poruszono – kolejny raz – kwestię pobierania danych osobowych z ogólnodostępnych, publicznych rejestrów oraz ich dalszego rozpowszechniania.
  • Jak wskazał WSA w Warszawie „główna oś sporu w niniejszej sprawie dotyczy tego, czy Spółka, która pozyskała dane osobowe uczestniczki postępowania z ogólnopolskiego Rejestru Praktyk Zawodowych uprawniona była do ich przetwarzania na prowadzonym przez nią na ogólnodostępnym portalu internetowym w oparciu o przesłankę wskazaną w art. 6 ust. 1 lit f RODO.
  • Sprawa ta rozpoczęła się od skargi fizjoterapeuty, którego dane osobowe w poniższym zakresie zostały pobrane przez administratora danych z Rejestru Praktyk Zawodowych „imienia, nazwiska, nr telefonu komórkowego, nr PWZ, NIP oraz adresu siedziby działalności gospodarczej, prowadzonej przez skarżącą”.
  • Spółka jako podstawę przetwarzania danych osobowych uczestniczki postępowania wskazała art. 6 ust. 1 lit f RODO, który to przepis stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy – i w takim zakresie, w jakim przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
  • Zdaniem Sądu w niniejszej sprawie Spółka nie legitymuje się tak rozumianym “prawnie uzasadnionym interesem”. Spółka nie wykazała bowiem żeby między nią a uczestniczką postępowania istniały jakiekolwiek powiązania. Uczestniczka postępowania nie jest klientem Spółki. Nie miała ona zatem żadnych rozsądnych przesłanek aby spodziewać się że jej dane osobowe mogą być przetwarzane przez Spółkę.

Żródło: Judykatura.pl

Prezes UODO nałożył karę w wysokości 10 tys. zł na Sąd Okręgowy w Krakowie za niezgłoszenie naruszenia

  • Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 10 tys. zł na Sąd Okręgowy w Krakowie za brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu, bez zbędnej zwłoki osób, których dane dotyczą.
  • Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Ministra Spraw Zagranicznych (dalej również jako MSZ). Dotyczyło ono doręczenia przez operatora pocztowego adresatowi uszkodzonej i niekompletnej przesyłki. Prezes UODO został poinformowany nie przez administratora danych, a przez MSZ, któremu adresat zgłosił nieprawidłowości w jej dostarczeniu.
  • W przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych siedmiu osób, przy czym wobec czterech z nich powstało wysokie ryzyko naruszenia ich praw lub wolności z uwagi na zakres naruszonych danych osobowych. Naruszenie objęło numery PESEL, a także informacje o stanie zdrowia powódki oraz opinie psychologiczne dwójki dzieci. Informacje te powiązane z m.in. imionami i nazwiskami oraz kontekstem sprawy rozwodowej mogą powodować utratę kontroli nad danymi, zagrożenia związane z udostępnieniem numeru PESEL, ale również dyskryminację w środowisku tych osób czy naruszania ich dóbr osobistych.
  • Zdaniem UODO, Administrator podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony danych osobowych i możliwości przeciwdziałania potencjalnym szkodom. Postępowanie organu wykazało też inne nieprawidłowości związane z naruszeniem. Inspektor ochrony danych Sądu błędnie ocenił poziom ryzyka naruszenia praw lub wolności osób fizycznych. Wskazał bowiem, że fakt, iż dokumenty zostały sporządzone w języku polskim, a wysłane do Wielkiej Brytanii, nie powoduje powstania wysokiego ryzyka w tym zakresie.

Żródło: Aktualności – UODO

Mamy pierwszy przypadek ransomware w banku w Polsce. Bank Spółdzielczy w Zambrowie został ofiarą cyberataku

  • Jak donosi serwis Sekurak, usługi elektroniczne Banku Spółdzielczego w Zambrowie kilka dni temu przestały działać po tym, jak instytucja padła ofiarą cyberataku. Sekurak pisze, że prawdopodobną przyczyną incydentu było zainfekowanie systemu banku złośliwym oprogramowaniem, tzw. ransomware.
  • Informację o poważnej awarii potwierdza oświadczenie BS w Zambrowie, jakie można znaleźć na jego stronie internetowej. Atak miał miejsce 16 stycznia. – Po dokonaniu analizy stwierdzono, iż dane klientów zostały zaszyfrowane. Niezwłocznie po zidentyfikowaniu incydentu bank zabezpieczył systemy informatyczne oraz rozpoczął pracę nad odtworzeniem funkcjonalności systemu oraz udostępnieniem klientom pełnego dostępu do usług.
  • Konsekwencją opisanego wyżej naruszenia ochrony danych osobowych polegającego na zaszyfrowaniu danych jest czasowy brak dostępności do elektronicznych usług bankowych – realizowania płatności i dysponowania środkami zgromadzonymi na rachunkach bankowych.
  • Z informacji na stronie BS w Zambrowie wynika, że obecnie zarówno jego internetowy serwis transakcyjny, jak i aplikacja mobilna działają obecnie poprawnie. Natomiast awaria wywołała obawy, iż atak może rozszerzyć się na inne banki zrzeszone w grupie BPS. Biuro prasowe tej instytucji zapewniło, że ryzyka takiego nie ma, gdyż systemy poszczególnych członków grupy nie są ze sobą połączone.

Żródło: Mamy pierwszy przypadek ransomware w banku w Polsce. Bank Spółdzielczy w Zambrowie został ofiarą cyberataku. (sekurak.pl); Cashless – Kłopoty Banku Spółdzielczego w Zambrowie. Instytucja padła ofiarą cyberataku

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 24.09.2024 r.
RODO aktualności
RODO aktualności – 28.08.2024 r.
RODO aktualności
RODO aktualności – 12.08.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO