RODO aktualności – 30.05.2023 r.

Rekordowa kara dla Facebooka – 1.2 miliarda € w związku z transferem danych pomiędzy EU a USA. UODO vs. Rzecznik Dyscyplinarny Izby Adwokackiej, czyli ocena ryzyka i przestrzeganie procedur zapeniają bezpieczeństwo danych osobowych​. W UE powstaną przepisy ułatwiające interpretację RODO​. ChatGPT pomoże prawnikom, ale powoduje ryzyko wycieku danych na temat ich klientów​. EROD przyjmuje ostateczną wersję wytycznych w sprawie technologii rozpoznawania twarzy w dziedzinie egzekwowania prawa. Dane zdrowotne a wykorzystanie plików cookie: francuski organ nakłada grzywny na DOCTISSIMO​. Chorwacki urząd nałożył administracyjną karę pieniężną na firmę windykacyjną. Podsumowanie Panoptykon: „RODO po 5 latach: między nadziejami a rzeczywistością”. USA: wyciek danych 237 tys. pracowników rządu. Sejm pracuje nad przepisami mającymi lepiej chronić przed kradzieżą tożsamości. Polska w czołówce krajów unijnych pod względem liczby zgłaszanych naruszeń.

WERSJA PDF

#RODOA [22.05.2023]
#RODOA [26.05.2023]
Pobierz PDFPobierz PDF

Rekordowa kara dla Facebooka – 1.2 miliarda € w związku z transferem danych pomiędzy EU a USA

  • Meta została ukarana przez EROD rekordową grzywną 1,2 mld euro za przesyłanie danych europejskich użytkowników Facebooka. To najwyższa grzywna, jaką kiedykolwiek nałożono na podstawie europejskiego prawa dotyczącego prywatności danych.
  • Naruszenie Meta jest „bardzo poważne, ponieważ dotyczy przekazywania, które jest systematyczne, powtarzalne i ciągłe” – skomentowała decyzję Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych. „Facebook ma miliony użytkowników w Europie, więc ilość przesyłanych danych osobowych jest ogromna. Bezprecedensowa kara jest mocnym sygnałem dla organizacji, że poważne naruszenia mają daleko idące konsekwencje” – dodała.
  • Irlandzki urząd ochrony danych (DPC) nakazał też cyfrowemu gigantowi wstrzymanie transferu danych osobowych za ocean. Meta ma na to pięć miesięcy. A po kolejnym miesiącu musi zaprzestać przetwarzania (w tym przechowywania) w USA wysłanych tam wcześniej danych użytkowników z UE.
  • Stosowane przez Facebooka w ramach transferu danych standardowe klauzule umowne „nie uwzględniały zagrożeń dla podstawowych praw i wolności” zidentyfikowanych w wyroku TSUE (sprawa Schrems II).
  • Co ciekawe, Irlandzki urząd nie chciał wymierzać kary, ale musiał się podporządkować decyzji Europejskiej Rady Ochrony Danych z kwietnia br. Przez pięć lat obowiązywania unijnych przepisów o ochronie danych DPC ukarał serwisy Mety łącznie na 2,5 mld euro.
  • Amerykańska spółka zapowiada odwołanie się od decyzji regulatora. Jak podaje Reuters, Meta określiła karę jako „nieuzasadnioną i niepotrzebną” i stwierdziła, że to „niebezpieczny precedens dla niezliczonych innych firm ”.

Żródła: Rekordowa kara dla Facebooka – 1,2 mld euro. Meta łamała przepisy RODO – Bankier.pl; Mateusz Kupiec, CIPP/E na LinkedIn: EDPB 1/2023; Rekordowa kara dla Facebooka za naruszenie RODO – GazetaPrawna.pl

Ocena ryzyka i przestrzeganie procedur zapewniają bezpieczeństwo danych osobowych

  • Prezes Urzędu Ochrony Danych Osobowych w związku z naruszeniem przepisów RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych nałożył administracyjną karę pieniężną w wysokości ponad 23 tys. zł na Rzecznika Dyscyplinarnego Izby Adwokackiej.
  • Ponadto Prezes UODO nakazał dostosowanie operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO) w terminie 6 miesięcy od dnia doręczenia decyzji.
  • Powodem prowadzenia postępowania administracyjnego i wydania decyzji było zgłoszenie przez administratora naruszenia ochrony danych osobowych. Naruszenie polegało na otrzymaniu przez adresata uszkodzonej przesyłki, w której jednocześnie brakowało nośnika danych typu pendrive – załącznika do pisma przewodniego. Na nośniku tym zapisano nagranie rozprawy rozwodowej zawierającej dane osobowe kilku osób. Zarówno plik znajdujący się na nośniku, jak i sam pendrive nie zostały zaszyfrowane.
  • Co należy podkreślić, administrator posiadał wewnętrzne regulacje odnoszące się do polityki bezpieczeństwa oraz ochrony danych osobowych, które przewidywały zabezpieczanie takich nośników, co jak wykazało postępowanie, w praktyce nie było przestrzegane.

W UE powstaną przepisy ułatwiające interpretację RODO

  • Pomimo działania w tych samych ramach prawnych, okazuje się, że podejście oraz interpretacja organów krajowych różni się od siebie w znaczący sposób. W 2020 roku Komisja Europejska, oceniając dwa lata funkcjonowania RODO, mówiła o różnorodności interpretacji organów krajowych na wielu polach – w szczególności w zakresie wysokiego ryzyka w rozumieniu art. 35 RODO. O ile harmonizacja dotknęła przepisów materialnych, to poza jej zakresem znalazły się przepisy postępowania administracyjnego w kolejnych państwach. 
  • Różnice dotyczą bardzo szerokiego zakresu zagadnień. Na przykład:czy organ nadzorczy akceptuje zawiadomienie złożone wyłącznie w formie wiadomości e-mail czy jednak wymaga również podpisanego pismaczy organy mogą odrzucić skargę bez badania sprawy w niezaskarżalnej decyzji jaką rolę w postępowaniu przed organem nadzorczym odgrywa postępowanie przygotowawcze.Nawet kwestie postępowania dowodowego czy egzekucji decyzji nie są w żaden sposób ujednolicone. Prowadzi to do niepewności w postępowaniach przed organami, w szczególności, kiedy skarga złożona w jednym państwie jest przekazana do organu nadzorczego innego. Dochodziło wtedy do sytuacji, w której skarga dopuszczalna w jednym państwie była niedopuszczalna w innym. 
  • W związku z tym Komisja Europejska podjęła w ostatnim czasie prace nad propozycją rozporządzenia, które zmieniłoby kwestie proceduralne związane ze współpracą organów nadzorczych w obszarze ochrony danych. Nowy akt prawny nie ma na celu zastąpienia RODO, ma jedynie pełnić funkcję pomocniczą w celu uproszczenia współpracy organów nadzorczych. Nie ma jeszcze projektu ustawy, mimo że 24 marca 2023 r. minął termin konsultacji.

Źródlohttps://www.prawo.pl/biznes/harmonizacja-przepisow-rodo-w-ue,521276.html 

ChatGPT prawnikom może pomóc, ale jest ryzyko dla tajemnic klientów

  • Prawnicy, używając narzędzi AI od zewnętrznych dostawców, powinni więc zakładać, że ujawniają wszelkie informacje, które dostarczają modelowi. – Co ważniejsze, dostęp do nich potencjalnie ma nie tylko dostawca danego narzędzia AI, ale również każdy inny użytkownik z niego korzystający. Jednocześnie ewentualne usunięcie takich danych z modelu może być co najmniej trudne – nie ma on bowiem jednej „bazy” ze wszystkimi informacjami i danymi, które taki model wykorzystuje – wskazuje w opinii dla Prawo.pl prof. Michał Jackowski, adwokat, partner zarządzający DSK Kancelaria. 
  • prawnicy powinni brać udział w tworzeniu algorytmów, które będą wykorzystywane przez sztuczną inteligencję. – Natomiast jeszcze ważniejsze jest to, by istniał sposób weryfikacji tych procedur. To będzie główna rola prawników i wykrystalizuje się w chwili, gdy te narzędzia wejdą do powszechnego stosowania, wtedy prawnicy powinni wkroczyć, by uregulować ten rynek i wpłynąć na ile to możliwe na sposób uczenia tej sztucznej inteligencji tak, by zostały uwzględnione kwestie, które są ważne z punktu widzenia prawa, a w sytuacji, gdyby faktycznie sztuczna inteligencja miała przejąć pewne obowiązki wymiaru sprawiedliwości, by był to system wolny od wypaczeń.

Żródłohttps://www.prawo.pl/prawnicy-sady/chatgpt-a-kancelarie-adwokackie-i-radcowskie,521306.html 

EROD przyjmuje ostateczną wersję wytycznych w sprawie technologii rozpoznawania twarzy w dziedzinie egzekwowania prawa

  • Po przeprowadzeniu konsultacji publicznych EROD przyjęła ostateczną wersję swoich wytycznych w sprawie technologii rozpoznawania twarzy w dziedzinie egzekwowania prawa. Wytyczne zawierają wytyczne dla prawodawców unijnych i krajowych, a także dla organów ścigania, dotyczące wdrażania i korzystania z systemów technologii rozpoznawania twarzy.
  • W wytycznych podkreślono między innymi, że narzędzia do rozpoznawania twarzy powinny być używane wyłącznie w ścisłej zgodności z dyrektywą w sprawie egzekwowania prawa (LED). Ponadto takie narzędzia powinny być stosowane wyłącznie w razie konieczności i na zasadzie proporcjonalności, jak określono w Karcie praw podstawowych. 

Żródłohttps://edpb.europa.eu/news/news/2023/edpb-adopts-final-version-guidelines-facial-recognition-technology-area-law_en 

Dane zdrowotne i wykorzystanie plików cookie: francuski organ nakłada grzywny na DOCTISSIMO

  • W następstwie skargi złożonej przez stowarzyszenie PRIVACY INTERNATIONAL CNIL przeprowadził cztery dochodzenia w sprawie DOCTISSIMO. Strona internetowa doctissimo.fr oferuje głównie artykuły, testy, quizy i fora dyskusyjne związane ze zdrowiem i dobrym samopoczuciem dla ogółu społeczeństwa. W trakcie dochodzeń CNIL odnotował szereg naruszeń, w szczególności dotyczących okresu przechowywania danych, gromadzenia danych dotyczących zdrowia za pomocą testów online, bezpieczeństwa danych, a także sposobów umieszczania plików cookie na urządzeniach końcowych użytkowników.
  • Francuski organ zidentyfikował cztery naruszenia RODO (art. 5, 9, 26, 32)  i naruszenie francuskiej ustawy o ochronie danych (Niedopełnienie obowiązków związanych z wykorzystywaniem plików cookies (art. 82 ustawy o ochronie danych osobowych))
  • Francuski organ nałożył na DOCTISSIMO dwie grzywny:

– Grzywna w wysokości 280 000 EUR za naruszenia RODO. Grzywna ta została pobrana we współpracy ze wszystkimi europejskimi odpowiednikami CNIL w ramach procedury „pojedynczej instytucji”, ponieważ strona internetowa odwiedza stronę ze wszystkich państw członkowskich Unii Europejskiej.

– Druga grzywna w wysokości 100 000 EUR w odniesieniu do francuskiej ustawy o ochronie danych dotyczących plików cookie i innych modułów śledzących.

Żródłohttps://edpb.europa.eu/news/national-news/2023/health-data-and-use-cookies-french-sa-fines-doctissimo_en 

Chorwacki urząd nałożył administracyjną karę pieniężną na firmę windykacyjną

  • W grudniu 2022 r. chorwacki organ otrzymał anonimową skargę, w której stwierdzono, że doszło do nieuprawnionego przetwarzania dużej liczby danych osobowych dłużników przez firmę windykacyjną. Wraz ze skargą urząd otrzymała załączoną pamięć USB zawierającą dane osobowe w strukturze: imienia i nazwiska, daty urodzenia oraz osobistego numeru identyfikacyjnego dla łącznie 77 317 osób fizycznych, które posiadały niespłacone długi w instytucjach kredytowych, a które zostały zakupione przez firmę windykacyjną na podstawie umowy cesji. Te same dane osobowe zostały dostarczone na pamięci USB do chorwackich mediów.
  • Administrator danych nie poinformował osób, których dane dotyczą, w sposób dokładny i jasny, o przetwarzaniu ich danych osobowych poprzez powiadomienie o przetwarzaniu danych osobowych (polityka prywatności) o podstawie prawnej. Nie zawarł również umowy o przetwarzaniu danych osobowych z podmiotem przetwarzającym dane w celu świadczenia usługi monitorowania zwykłej upadłości konsumenckiej oraz  nie zastosował odpowiednich technicznych i organizacyjnych środków ochrony podczas przetwarzania danych osobowych, co jest sprzeczne z art. 32 ust. 2 RODO. 
  • Chorwacki urząd nałożył administracyjną karę pieniężną na administratora danych – firmę windykacyjny w wysokości 2.265.000,00 EUR z powodu naruszenia art. 13, 28 i 32 RODO.

Żródłohttps://edpb.europa.eu/news/national-news/2023/croatian-sa-imposed-administrative-fine-debt-collection-agency-b2-kapital_en 

RODO po 5 latach: między nadziejami a rzeczywistością

  • Wejście w życie RODO i wysokie kary za nieprzestrzeganie przepisów rozporządzenia zwiększyły świadomość w zakresie tego, jak ważne są dane osobowe w społeczeństwie informacyjnym i jak dotkliwe mogą być skutki naruszenia ich ochrony.
  • Do tej pory w Polsce nałożono 52 kary z tytułu naruszenia przepisów RODO, a najwyższa z nich wynosiła aż 4,9 mln złotych(!). W skali europejskiej nałożono łącznie kary pieniężne w wysokości 2,8 miliarda euro w 1700 sprawach, a suma ta nie obejmuje nawet 1,2 miliarda euro nałożonych na właściciela Facebooka Meta.
  • Pozytywny wpływ RODO – prawo unijne wpływa na ustawodawstwo krajów znajdujących się poza obszarem EOG. Można tu wspomnieć chociażby o kalifornijskiej ustawie o ochronie prywatności konsumentów z 2018 r. oraz ustawie o ochronie danych osobowych i dokumentów elektronicznych zatwierdzonej w Kanadzie dwa lata później.
  • Nie jest jednak tak kolorowo – Polski Urząd Ochrony Danych Osobowych z trudem radzi sobie coraz większym napływem spraw. W 2021 r. do UODO wpłynęło 8318 skarg, czyli o 1876 więcej niż rok wcześniej. Rośnie jednak nie tylko liczba skarg, ale także decyzji sądów administracyjnych ws. bezczynności tego organu: w 2019 r. wydano 50 takich orzeczeń , a w 2022 r. już 86.
  • Problemy (różnice w stosowaniu przepisów w różnych krajach i ciągnące się latami postępowania) dostrzega także Komisja Europejska. Organizacje społeczne postulują np. wprowadzenie wiążących terminów na realizację postępowań.

Żródło: RODO świętuje 5. urodziny, a UE mierzy się z Meta | Cybernews; Pięć lat z RODO. Czy nasza prywatność może być lepiej chroniona? | Fundacja Panoptykon

USA: wyciek danych 237 tys. pracowników rządu

  • Dane osobowe 237 tys. obecnych i byłych pracowników rządu federalnego zostały ujawnione w wyniku incydentu w Departamencie Transportu USA – podaje agencja Reutera.
  • Naruszenie bezpieczeństwa danych wystąpiło w systemie przetwarzania świadczeń TRANServe, który służy do zwracania pracownikom rządu kosztów dojazdów do pracy. O sprawie powiadomiono Kongres.
  • Jak podaje agencja Reutera, incydent nie wpłynął na żadne systemy bezpieczeństwa. Obecnie nie wiadomo, w jaki sposób doszło do wycieku.
  • Departament Transportu USA prowadzi dochodzenie i wstrzymał dostęp do systemu, którego dotyczy problem.

Żródło: USA: wyciek danych 237 tys. pracowników rządu | CyberDefence24

Sejm pracuje nad przepisami mającymi lepiej chronić przed kradzieżą tożsamości

  • Zwiększona ochrona przed nadużyciami wynikającymi z kradzieży danych, które identyfikują osobę fizyczną, a także ograniczenie skali zjawiska wyłudzania środków finansowych poprzez zaciąganie zobowiązań finansowych na inną osobę, m.in. umów kredytów i pożyczek czy sprzedaży nieruchomości bez wiedzy i zgody właściciela – to cele zmian w prawie, nad którymi prace rozpoczął Sejm.
  • Każda osoba będzie mogła zastrzec swój numer PESEL.
  • Zastrzeżenie (lub cofnięcie zastrzeżenia) numeru PESEL będzie można dokonać elektronicznie (także przy użyciu aplikacji mObywatel) lub osobiście w siedzibie dowolnej gminy. Docelowo przewiduje się także możliwość zastrzeżenia w placówce bankowej, SKOK oraz na poczcie.
  • Każdy będzie miał pełny wgląd do historii weryfikacji i zastrzeżeń swojego numeru PESEL.
  • Zastrzeżenie zostanie zarejestrowane w nowym, osobnym systemie zastrzeżeń numerów PESEL, które prowadzić będzie minister cyfryzacji. Po wprowadzeniu zastrzeganego numeru, baza będzie się automatycznie łączyć z rejestrem PESEL w celu weryfikacji podanych danych.
  • W rejestrze odnotowanie będzie zastrzeżenie i cofnięcie zastrzeżenia numeru PESEL, jak również dokładny czas rejestracji (z dokładnością co do sekundy)
  • Ustalony zostanie katalog podmiotów, które będą musiały weryfikować zastrzeżenie numeru PESEL pod rygorem braku możliwości domagania się zaspokojenia  roszczeń powstałych np. z zawartej umowy
  • Nowe przepisy mają wejść w życie z dniem wskazanym w komunikacie ministra cyfryzacji, który zostanie wydany do 31 grudnia 2023 r.

Żródło: Kradzież tożsamości – nowe przepisy (prawo.pl)

Polska w czołówce krajów unijnych pod względem liczby zgłaszanych naruszeń

  • Wedle informacji zebranych przez Związek Firm Ochrony Danych Osobowych (dalej: ZFODO) w „Raporcie incydentów 2022 (edycja 4)” na jedną organizację przypada średnio 1,07 incydentu rocznie. Natomiast sama liczba zgłaszanych do UODO naruszeń rośnie z roku na rok.
  • Spowodowane jest to budowaniem świadomości pracowników i wdrażaniem odpowiednich polityk i procedur, a więc sprawniejszą identyfikowalnością i lepszą reaktywnością, a nie liczbą samych naruszeń.
  • Wskazano również, że wiele podmiotów jeszcze parę lat od rozpoczęcia stosowania RODO obawiało się dokonywania zgłoszeń naruszeń, ale ostatnio organizacje nabrały większej śmiałości i doświadczenia w tym zakresie. Wiąże się to także z rosnącym poziomem wiedzy administratorów danych na temat ochrony danych osobowych oraz z rozwojem technologii.
  • Nie oznacza to jednak, że wszystkie naruszenia wychodzą na światło dzienne. Z danych uzyskanych w ZFODO wynika, że liczba zgłaszanych organowi nadzorczemu naruszeń oscyluje wokół 25 proc., zatem pozostałe ¾ nie jest zgłaszane.
  • Ponadto, w Polsce prawie w 95 proc. przypadków incydent pozostaje nieumyślny, czyli dotyczy takich kwestii jak błędne zaadresowanie maila czy przypadkowe zagubienie nośnika danych lub przekazanie nadmiarowych danych do innego podmiotu. W mniejszości, jak wynika z danych ZFODO są to czynniki umyślne, np. działanie hakera czy atak phishingowy.
  • W zgłaszaniu naruszeń cały czas przoduje branża e-commerce oraz finanse/ubezpieczenia (podobnie jak w 2021 r.)

Żródło: raport_zfodo_2022_net; RODO: Zgłaszamy naruszenia, ale nie wszystko wychodzi na światło dzienne – GazetaPrawna.pl

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.
RODO aktualności
RODO aktualności – 18.01.2024

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO