RODO aktualności – 30.05.2023 r.

• Prezes Urzędu Ochrony Danych Osobowych w związku z naruszeniem przepisów RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych nałożył administracyjną karę pieniężną w wysokości ponad 23 tys. zł na Rzecznika Dyscyplinarnego Izby Adwokackiej.​
• Ponadto Prezes UODO nakazał dostosowanie operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO) w terminie 6 miesięcy od dnia doręczenia decyzji.​
• Powodem prowadzenia postępowania administracyjnego i wydania decyzji było zgłoszenie przez administratora naruszenia ochrony danych osobowych. Naruszenie polegało na otrzymaniu przez adresata uszkodzonej przesyłki, w której jednocześnie brakowało nośnika danych typu pendrive – załącznika do pisma przewodniego. Na nośniku tym zapisano nagranie rozprawy rozwodowej zawierającej dane osobowe kilku osób. Zarówno plik znajdujący się na nośniku, jak i sam pendrive nie zostały zaszyfrowane.​
• Co należy podkreślić, administrator posiadał wewnętrzne regulacje odnoszące się do polityki bezpieczeństwa oraz ochrony danych osobowych, które przewidywały zabezpieczanie takich nośników, co jak wykazało postępowanie, w praktyce nie było przestrzegane.​

• Źródło: https://uodo.gov.pl/pl/138/2715    ​

• Pomimo działania w tych samych ramach prawnych, okazuje się, że podejście oraz interpretacja organów krajowych różni się od siebie w znaczący sposób. W 2020 roku Komisja Europejska, oceniając dwa lata funkcjonowania RODO, mówiła o różnorodności interpretacji organów krajowych na wielu polach – w szczególności w zakresie wysokiego ryzyka w rozumieniu art. 35 RODO. O ile harmonizacja dotknęła przepisów materialnych, to poza jej zakresem znalazły się przepisy postępowania administracyjnego w kolejnych państwach. ​
• Różnice dotyczą bardzo szerokiego zakresu zagadnień. Na przykład:czy organ nadzorczy akceptuje zawiadomienie złożone wyłącznie w formie wiadomości e-mail czy jednak wymaga również podpisanego pismaczy organy mogą odrzucić skargę bez badania sprawy w niezaskarżalnej decyzji jaką rolę w postępowaniu przed organem nadzorczym odgrywa postępowanie przygotowawcze.Nawet kwestie postępowania dowodowego czy egzekucji decyzji nie są w żaden sposób ujednolicone. Prowadzi to do niepewności w postępowaniach przed organami, w szczególności, kiedy skarga złożona w jednym państwie jest przekazana do organu nadzorczego innego. Dochodziło wtedy do sytuacji, w której skarga dopuszczalna w jednym państwie była niedopuszczalna w innym. ​
• W związku z tym Komisja Europejska podjęła w ostatnim czasie prace nad propozycją rozporządzenia, które zmieniłoby kwestie proceduralne związane ze współpracą organów nadzorczych w obszarze ochrony danych. Nowy akt prawny nie ma na celu zastąpienia RODO, ma jedynie pełnić funkcję pomocniczą w celu uproszczenia współpracy organów nadzorczych. Nie ma jeszcze projektu ustawy, mimo że 24 marca 2023 r. minął termin konsultacji.​

Źródlo: https://www.prawo.pl/biznes/harmonizacja-przepisow-rodo-w-ue,521276.html ​

• Prawnicy, używając narzędzi AI od zewnętrznych dostawców, powinni więc zakładać, że ujawniają wszelkie informacje, które dostarczają modelowi. – Co ważniejsze, dostęp do nich potencjalnie ma nie tylko dostawca danego narzędzia AI, ale również każdy inny użytkownik z niego korzystający. Jednocześnie ewentualne usunięcie takich danych z modelu może być co najmniej trudne – nie ma on bowiem jednej „bazy” ze wszystkimi informacjami i danymi, które taki model wykorzystuje – wskazuje w opinii dla Prawo.pl prof. Michał Jackowski, adwokat, partner zarządzający DSK Kancelaria. ​
• prawnicy powinni brać udział w tworzeniu algorytmów, które będą wykorzystywane przez sztuczną inteligencję. – Natomiast jeszcze ważniejsze jest to, by istniał sposób weryfikacji tych procedur. To będzie główna rola prawników i wykrystalizuje się w chwili, gdy te narzędzia wejdą do powszechnego stosowania, wtedy prawnicy powinni wkroczyć, by uregulować ten rynek i wpłynąć na ile to możliwe na sposób uczenia tej sztucznej inteligencji tak, by zostały uwzględnione kwestie, które są ważne z punktu widzenia prawa, a w sytuacji, gdyby faktycznie sztuczna inteligencja miała przejąć pewne obowiązki wymiaru sprawiedliwości, by był to system wolny od wypaczeń.​

Żródło: https://www.prawo.pl/prawnicy-sady/chatgpt-a-kancelarie-adwokackie-i-radcowskie,521306.html ​

• Po przeprowadzeniu konsultacji publicznych EROD przyjęła ostateczną wersję swoich wytycznych w sprawie technologii rozpoznawania twarzy w dziedzinie egzekwowania prawa. Wytyczne zawierają wytyczne dla prawodawców unijnych i krajowych, a także dla organów ścigania, dotyczące wdrażania i korzystania z systemów technologii rozpoznawania twarzy.​
• W wytycznych podkreślono między innymi, że narzędzia do rozpoznawania twarzy powinny być używane wyłącznie w ścisłej zgodności z dyrektywą w sprawie egzekwowania prawa (LED). Ponadto takie narzędzia powinny być stosowane wyłącznie w razie konieczności i na zasadzie proporcjonalności, jak określono w Karcie praw podstawowych. ​

Żródło: https://edpb.europa.eu/news/news/2023/edpb-adopts-final-version-guidelines-facial-recognition-technology-area-law_en ​

• W następstwie skargi złożonej przez stowarzyszenie PRIVACY INTERNATIONAL CNIL przeprowadził cztery dochodzenia w sprawie DOCTISSIMO. Strona internetowa doctissimo.fr oferuje głównie artykuły, testy, quizy i fora dyskusyjne związane ze zdrowiem i dobrym samopoczuciem dla ogółu społeczeństwa. W trakcie dochodzeń CNIL odnotował szereg naruszeń, w szczególności dotyczących okresu przechowywania danych, gromadzenia danych dotyczących zdrowia za pomocą testów online, bezpieczeństwa danych, a także sposobów umieszczania plików cookie na urządzeniach końcowych użytkowników.​
• Francuski organ zidentyfikował cztery naruszenia RODO (art. 5, 9, 26, 32)  i naruszenie francuskiej ustawy o ochronie danych (Niedopełnienie obowiązków związanych z wykorzystywaniem plików cookies (art. 82 ustawy o ochronie danych osobowych))​
• Francuski organ nałożył na DOCTISSIMO dwie grzywny:​

– Grzywna w wysokości 280 000 EUR za naruszenia RODO. Grzywna ta została pobrana we współpracy ze wszystkimi europejskimi odpowiednikami CNIL w ramach procedury „pojedynczej instytucji”, ponieważ strona internetowa odwiedza stronę ze wszystkich państw członkowskich Unii Europejskiej.​

– Druga grzywna w wysokości 100 000 EUR w odniesieniu do francuskiej ustawy o ochronie danych dotyczących plików cookie i innych modułów śledzących.​

​

Żródło: https://edpb.europa.eu/news/national-news/2023/health-data-and-use-cookies-french-sa-fines-doctissimo_en ​

• W grudniu 2022 r. chorwacki organ otrzymał anonimową skargę, w której stwierdzono, że doszło do nieuprawnionego przetwarzania dużej liczby danych osobowych dłużników przez firmę windykacyjną. Wraz ze skargą urząd otrzymała załączoną pamięć USB zawierającą dane osobowe w strukturze: imienia i nazwiska, daty urodzenia oraz osobistego numeru identyfikacyjnego dla łącznie 77 317 osób fizycznych, które posiadały niespłacone długi w instytucjach kredytowych, a które zostały zakupione przez firmę windykacyjną na podstawie umowy cesji. Te same dane osobowe zostały dostarczone na pamięci USB do chorwackich mediów.​
• Administrator danych nie poinformował osób, których dane dotyczą, w sposób dokładny i jasny, o przetwarzaniu ich danych osobowych poprzez powiadomienie o przetwarzaniu danych osobowych (polityka prywatności) o podstawie prawnej. Nie zawarł również umowy o przetwarzaniu danych osobowych z podmiotem przetwarzającym dane w celu świadczenia usługi monitorowania zwykłej upadłości konsumenckiej oraz  nie zastosował odpowiednich technicznych i organizacyjnych środków ochrony podczas przetwarzania danych osobowych, co jest sprzeczne z art. 32 ust. 2 RODO. ​
• Chorwacki urząd nałożył administracyjną karę pieniężną na administratora danych – firmę windykacyjny w wysokości 2.265.000,00 EUR z powodu naruszenia art. 13, 28 i 32 RODO.​

Żródło: https://edpb.europa.eu/news/national-news/2023/croatian-sa-imposed-administrative-fine-debt-collection-agency-b2-kapital_en ​

• Wejście w życie RODO i wysokie kary za nieprzestrzeganie przepisów rozporządzenia zwiększyły świadomość w zakresie tego, jak ważne są dane osobowe w społeczeństwie informacyjnym i jak dotkliwe mogą być skutki naruszenia ich ochrony.
• Do tej pory w Polsce nałożono 52 kary z tytułu naruszenia przepisów RODO, a najwyższa z nich wynosiła aż 4,9 mln złotych(!). W skali europejskiej nałożono łącznie kary pieniężne w wysokości 2,8 miliarda euro w 1700 sprawach, a suma ta nie obejmuje nawet 1,2 miliarda euro nałożonych na właściciela Facebooka Meta.
• Pozytywny wpływ RODO – prawo unijne wpływa na ustawodawstwo krajów znajdujących się poza obszarem EOG. Można tu wspomnieć chociażby o kalifornijskiej ustawie o ochronie prywatności konsumentów z 2018 r. oraz ustawie o ochronie danych osobowych i dokumentów elektronicznych zatwierdzonej w Kanadzie dwa lata później.
• Nie jest jednak tak kolorowo – Polski Urząd Ochrony Danych Osobowych z trudem radzi sobie coraz większym napływem spraw. W 2021 r. do UODO wpłynęło 8318 skarg, czyli o 1876 więcej niż rok wcześniej. Rośnie jednak nie tylko liczba skarg, ale także decyzji sądów administracyjnych ws. bezczynności tego organu: w 2019 r. wydano 50 takich orzeczeń , a w 2022 r. już 86.
• Problemy (różnice w stosowaniu przepisów w różnych krajach i ciągnące się latami postępowania) dostrzega także Komisja Europejska. Organizacje społeczne postulują np. wprowadzenie wiążących terminów na realizację postępowań.

Żródło: RODO świętuje 5. urodziny, a UE mierzy się z Meta | Cybernews; Pięć lat z RODO. Czy nasza prywatność może być lepiej chroniona? | Fundacja Panoptykon

• Dane osobowe 237 tys. obecnych i byłych pracowników rządu federalnego zostały ujawnione w wyniku incydentu w Departamencie Transportu USA – podaje agencja Reutera.
• Naruszenie bezpieczeństwa danych wystąpiło w systemie przetwarzania świadczeń TRANServe, który służy do zwracania pracownikom rządu kosztów dojazdów do pracy. O sprawie powiadomiono Kongres.
• Jak podaje agencja Reutera, incydent nie wpłynął na żadne systemy bezpieczeństwa. Obecnie nie wiadomo, w jaki sposób doszło do wycieku.
• Departament Transportu USA prowadzi dochodzenie i wstrzymał dostęp do systemu, którego dotyczy problem.

Żródło: USA: wyciek danych 237 tys. pracowników rządu | CyberDefence24

• Zwiększona ochrona przed nadużyciami wynikającymi z kradzieży danych, które identyfikują osobę fizyczną, a także ograniczenie skali zjawiska wyłudzania środków finansowych poprzez zaciąganie zobowiązań finansowych na inną osobę, m.in. umów kredytów i pożyczek czy sprzedaży nieruchomości bez wiedzy i zgody właściciela – to cele zmian w prawie, nad którymi prace rozpoczął Sejm.
• Każda osoba będzie mogła zastrzec swój numer PESEL.
• Zastrzeżenie (lub cofnięcie zastrzeżenia) numeru PESEL będzie można dokonać elektronicznie (także przy użyciu aplikacji mObywatel) lub osobiście w siedzibie dowolnej gminy. Docelowo przewiduje się także możliwość zastrzeżenia w placówce bankowej, SKOK oraz na poczcie.
• Każdy będzie miał pełny wgląd do historii weryfikacji i zastrzeżeń swojego numeru PESEL.
• Zastrzeżenie zostanie zarejestrowane w nowym, osobnym systemie zastrzeżeń numerów PESEL, które prowadzić będzie minister cyfryzacji. Po wprowadzeniu zastrzeganego numeru, baza będzie się automatycznie łączyć z rejestrem PESEL w celu weryfikacji podanych danych.
• W rejestrze odnotowanie będzie zastrzeżenie i cofnięcie zastrzeżenia numeru PESEL, jak również dokładny czas rejestracji (z dokładnością co do sekundy)
• Ustalony zostanie katalog podmiotów, które będą musiały weryfikować zastrzeżenie numeru PESEL pod rygorem braku możliwości domagania się zaspokojenia  roszczeń powstałych np. z zawartej umowy
• Nowe przepisy mają wejść w życie z dniem wskazanym w komunikacie ministra cyfryzacji, który zostanie wydany do 31 grudnia 2023 r.

Żródło: Kradzież tożsamości – nowe przepisy (prawo.pl)

• Wedle informacji zebranych przez Związek Firm Ochrony Danych Osobowych (dalej: ZFODO) w „Raporcie incydentów 2022 (edycja 4)” na jedną organizację przypada średnio 1,07 incydentu rocznie. Natomiast sama liczba zgłaszanych do UODO naruszeń rośnie z roku na rok.
• Spowodowane jest to budowaniem świadomości pracowników i wdrażaniem odpowiednich polityk i procedur, a więc sprawniejszą identyfikowalnością i lepszą reaktywnością, a nie liczbą samych naruszeń.
• Wskazano również, że wiele podmiotów jeszcze parę lat od rozpoczęcia stosowania RODO obawiało się dokonywania zgłoszeń naruszeń, ale ostatnio organizacje nabrały większej śmiałości i doświadczenia w tym zakresie. Wiąże się to także z rosnącym poziomem wiedzy administratorów danych na temat ochrony danych osobowych oraz z rozwojem technologii.
• Nie oznacza to jednak, że wszystkie naruszenia wychodzą na światło dzienne. Z danych uzyskanych w ZFODO wynika, że liczba zgłaszanych organowi nadzorczemu naruszeń oscyluje wokół 25 proc., zatem pozostałe ¾ nie jest zgłaszane.
• Ponadto, w Polsce prawie w 95 proc. przypadków incydent pozostaje nieumyślny, czyli dotyczy takich kwestii jak błędne zaadresowanie maila czy przypadkowe zagubienie nośnika danych lub przekazanie nadmiarowych danych do innego podmiotu. W mniejszości, jak wynika z danych ZFODO są to czynniki umyślne, np. działanie hakera czy atak phishingowy.
• W zgłaszaniu naruszeń cały czas przoduje branża e-commerce oraz finanse/ubezpieczenia (podobnie jak w 2021 r.)

Żródło: raport_zfodo_2022_net; RODO: Zgłaszamy naruszenia, ale nie wszystko wychodzi na światło dzienne – GazetaPrawna.pl