RODO aktualności – 31.10.2023 r.

• Oszuści szukają sposobów, by pozyskać dane dające możliwość zdobycia kluczowych informacji takich jak login i hasło czy dostęp do bankowości elektronicznej. Teraz podszywają się pod znany menedżer haseł za pośrednictwem fałszywych reklam w Google.
• Jak wykryła firma Malwarebytes, tym razem oszuści wykupili fałszywe reklamy w Google, by przekierowywać do fałszywej witryny, służącej do instalacji jednego z popularnych menedżerów haseł Keepass, która wygląda na autentyczną.
• „Użytkownicy są najpierw oszukiwani za pomocą reklamy Google, która wygląda na całkowicie legalną, a następnie za pośrednictwem podobnej domeny” – napisał Jérôme Segura, szef działu analiz zagrożeń w firmie Malwarebytes.
• Reklama fałszywej witryny kierującej do instalacji fałszywego oprogramowania była wyświetlana od soboty do środy. Zapłaciła za nią firma Digital Eagle, która została zweryfikowana przez Google jako reklamodawca.
• Google w 2022 r. zablokował lub usunął ponad 5 miliardów nieodpowiednich reklam, a także ograniczył zasięg 4 miliardów z nich. Liczby najlepiej pokazują skalę tego zjawiska i fakt, że nie jest to nic nowego. Takie reklamy były, są i będą w wyszukiwarkach, przynajmniej dopóki analitycy cyberbezpieczeństwa nie znajdą sposobu, by pozbyć się ich w 100 procentach.

Żródło: Fałszywe reklamy w Google. Oszuści podszywają się pod znany menedżer haseł | CyberDefence24

• Organ administracyjny Commission Nationale de l’Informatique et des Libertés (CNIL) nałożył na Canal+ we Francji 600 tys. euro grzywny.
• W związku ze skargami konsumentów, wszczęto dochodzenie. Wykazało ono, że Grupa Canal+ naruszyła nie tylko RODO, ale także francuski kodeks poczty i łączności elektronicznej (CPCE).
• Skargi na Canal+ dotyczyły przede wszystkim nieuzyskania zgody od klientów na otrzymywanie informacji handlowych drogą elektroniczną. Firma miała też nieprecyzyjnie informować konsumentów o okresie przechowywania danych użytkowników serwisu streamingowego MyCanal i infolinii Canal+. Umowy i regulaminy dostawcy płatnej telewizji miały nie zawierać wszystkich informacji wymaganych przez RODO.
• Zastrzeżenia CNIL dotyczyły też sposobu przechowywania haseł pracowników Canal+. Miał być do tego używany algorytm, który nie gwarantuje bezpieczeństwa danych. W trakcie kontroli doszło także do utraty poufności danych ponad 10 tys. klientów, które mogły być widoczne dla 777 innych abonentów.
• Canal+ w ciągu dwóch miesięcy od otrzymania pisemnego uzasadnienia od CNIL, może się odwołać od grzywny do Rady Stanu.

Żródło: Canal+ RODO ochrona danych osobowych CNIL skargi grzywna (wirtualnemedia.pl)

• Nowelizacja unijnej dyrektywy o kredytach konsumenckich, która została zatwierdzona we wrześniu przez Parlament Europejski, ma wzmocnić ochronę kredytobiorców, ujednolicić przepisy we wszystkich państwach członkowskich i nałożyć na banki obowiązek kierowania się obiektywnymi kryteriami ekonomicznymi przy decydowaniu o udzieleniu kredytu.
• Ze względu na cyfryzację, dostęp do pożyczek i kredytów jest coraz prostszy – na ogół konsument nie musi już nawet udawać się do placówki bankowej. Z drugiej strony, rośnie również niebezpieczeństwo nadmiernego zadłużania, trafienia na nieuczciwe podmioty czy wykorzystywania przez kredytodawców sztucznej inteligencji do sprawdzania tych informacji na temat pożyczkobiorców, do których nie powinni mieć dostępu.
• Jednocześnie nowelizacja dyrektywy ma zapewnić, że banki przy ocenie zdolności kredytowej będą kierować się kryteriami obiektywnymi, rzeczywiście mającymi znaczenie przy badaniu obciążeń konsumenta.
• W motywach nowych przepisów wskazano, że instytucje finansowe będą musiały opierać się na informacjach o ekonomicznej i finansowej sytuacji pożyczkobiorcy – i to tylko takich, które będą niezbędne i proporcjonalne w stosunku do natury, długotrwałości, wartości i ryzyka danego stosunku finansowego. Bank nie będzie miał więc prawa do sprawdzania mediów społecznościowych czy pytania o ewentualne choroby.
• Nowelizacja dyrektywy jasno określa również, że systemy bazujące na sztucznej inteligencji, które są używane do badania zdolności kredytowej kredytobiorcy, powinny być zaliczane do tzw. systemów wysokiego ryzyka (zgodnie z klasyfikacją przyjętą w unijnym AI Act).

Żródło: Ocena zdolności kredytowej przez bank – co zmieni nowa dyrektywa (prawo.pl)

• Przepisy określone w akcie o usługach cyfrowych (DSA) dotyczą przede wszystkim pośredników i platform internetowych. Na przykład internetowe platformy handlowe, sieci społecznościowe, platformy udostępniania treści, sklepy z aplikacjami oraz internetowe platformy turystyczne i noclegowe.
• W akcie delegowanym ustanowiono zasady kontroli, zapewniając ich dokładną i rygorystyczną analizę. Przedstawiono w nim etapy przygotowania badania i wyjaśniono relacje między audytorem a audytowanym podmiotem, który musi przedstawić określone informacje już na początku audytu.
• Audyt rozpoczyna się od oceny ryzyka, która określa stosowane metody i procedury. Sprawozdanie z audytu powinno jasno określać zgodność z każdym obowiązkiem i zawierać opinię na temat ogólnej zgodności z aktem o usługach cyfrowych, a także wszelkimi kodeksami postępowania i protokołami kryzysowymi.
• Szczególny nacisk kładziony jest na metody audytu systemów algorytmicznych. Systemy te, takie jak technologie reklamowe czy moderowania treści, często szybko ewoluują. Audytorzy muszą być przygotowani do oceny zarówno aspektów technicznych, jak i skutków społecznych tych systemów. Zasadnicze elementy, które należy zbadać, obejmują nowatorskie technologie, takie jak modele generatywne wykorzystywane przez platformy internetowe.
• Niezależne audyty sprawdzają również zgodność z dobrowolnymi zobowiązaniami podmiotów. Aby zapewnić spójne i dokładne audyty, udostępniono szablony raportów.

Żródło:https://www.linkedin.com/posts/mateusz-kupiec-cipp-e-289700121_delegated-actdsa-activity-7121123313841508352-0IPc?utm_source=share&utm_medium=member_desktop ; https://digital-strategy.ec.europa.eu/en/library/delegated-regulation-independent-audits-under-digital-services-act

• Trwa spór na finiszu ustaleń dotyczących przełomowych przepisów AI Act, który dotyczy tego jak będziemy chronieni przed zimną kalkulacją modelu czy algorytmu. Utajnione negocjacje krajów członkowskich z unijnymi instytucjami idą powoli, ale przybliżają nas do celu.
• Najgorętsze dyskusje towarzyszą omawianiu artykułu 6 aktu, który definiuje systemy sztucznej inteligencji wysokiego ryzyka oraz zasady dostarczania takich usług. Te modele będą obarczone największymi obostrzeniami czy zakazami.
• Wyraźnie określono w tej regulacji, do których obszarów życia nie wolno stosować sztucznej inteligencji. Jest to na przykład manipulowanie ludźmi, jest to socialscoring, czyli jakby punktowanie społeczne, system oceny, na ile jesteśmy dobrymi obywatelami. To jest coś, co w tej chwili, w niektórych obszarach Chin, jest sprawdzane. AI Act wyraźnie mówi – takiej rzeczy nie wolno robić.
• Poza pewnymi wyjątkami, według AI Act, nie będzie można też stosować zdalnej biometrii, którą można opisać, jako rozpoznawanie twarzy i identyfikowanie osób. Oczywiście to rozwiązanie będzie zarezerwowane dla policji czy służb. Wygląda jednak na to, że w krajach UE niedopuszczalna będzie predykcja kryminalna, czyli profilowanie potencjalnych przestępców.
• Dotychczas przepisy zostały sformułowane dość ogólnie, wskazano w nich obszary, które mogą szkodzić społeczeństwu. Termin ren. I mam nadzieję, jako nie-prawnik, ale jako specjalista działający w dziedzinie cyberbezpieczeństwa, że te regulacje będą na tyle otwarte, iż będziemy w stanie w miarę w łatwy sposób uzupełniać tę listę – ponieważ jesteśmy w pewnym sensie dopiero na początku drogi – mówi wiceprezes WithSecure.

Żródło: AI Act, czyli o tym, czego sztucznej inteligencji nie wolno – RMF 24

• W aplikacji mObywatel znaleźć można kilka usług, takich jak: mTożsamość, mLegitymacja, mPrawo jazdy czy eRecepta. Co istotne, do korzystania z aplikacji wymagane jest posiadanie profilu zaufanego.
• Aktualnie jedynym bukmacherem, u którego można zarejestrować konto przez aplikację mObywatel jest bukmacher LVBET, który cieszy się obecnie dużą popularnością.
• Logowanie przez aplikację mObywatel oznacza brak konieczności skanowania dowodu osobistego w procesie rejestracji i wysyłania go do bukmachera. Takie rozwiązanie ma być bezpieczne dla użytkowników z punktu widzenia ochrony danych osobowych. Tak też zostało przedstawione w kampanii marketingowej.
• Pojawiły się jednak głosy krytyczne wobec tego rozwiązania. Dotyczą one jawnej promocji hazardu przez państwo.
• Co ciekawe, Minister Cyfryzacji również promuje bukmachera LVBET w mediach społecznościowych. W krótkim czasie reklamę wyświetliło pół miliona użytkowników.

Żródło: mObywatel bukmacher 🇵🇱 – Jak założyć konto przez mObywatel? (bukmacher-legalny.pl); https://www.linkedin.com/posts/jciesz_p%C3%B3%C5%82-miliona-wy%C5%9Bwietle%C5%84-takiej-reklamy-z-activity-7123707270663708673-ENoC?utm_source=share&utm_medium=member_desktop

• W wyroku z 26 października 2023 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzekł, że pacjent ma prawo bezpłatnie uzyskać pierwszą kopię swojej dokumentacji medycznej. Administrator danych może pobrać opłatę tylko wtedy, gdy pacjent uzyskał już wcześniej bezpłatnie pierwszą kopię swojej dokumentacji medycznej i występuje o kolejną kopię.
• Sprawa, która trafiła do TSUE rozpoczęła się w ten sposób, że pacjent w Niemczech wystąpił do swojej dentystki o wydanie kopii dokumentacji medycznej w celu pociągnięcia jej do odpowiedzialności za zarzucane jej błędy popełnione przy świadczeniu na jego rzecz usług dentystycznych.
• Dentystka zażądała jednak, aby pokrył on koszty związane z dostarczeniem kopii dokumentacji medycznej, jak przewiduje to prawo niemieckie. Uznając, że przysługuje mu prawo do bezpłatnej kopii, pacjent wniósł sprawę do sądu niemieckiego.
• Trybunału Sprawiedliwości Unii Europejskiej w wyroku wydanym 26 października 2023 r. przypomniał, że RODO ustanawia prawo pacjenta do uzyskania pierwszej kopii jego dokumentacji medycznej bez ponoszenia, co do zasady, kosztów.
• Administrator może pobrać opłatę tylko wtedy, gdy pacjent uzyskał już bezpłatnie pierwszą kopię swoich danych i ponownie występuje z takim wnioskiem.
• Przepisy krajowe, nawet w celu ochrony interesów gospodarczych lekarzy prowadzących, nie mogą obciążać pacjenta kosztami pierwszej kopii jego dokumentacji medycznej.

Żródło: TSUE: pierwszą kopię dokumentacji medycznej pacjent musi dostać za darmo – Infor.pl

• Urząd Ochrony Danych Osobowych wszczął postępowanie administracyjne w sprawie wpisu w mediach społecznościowych Adama Niedzielskiego. Były minister zdrowia ujawnił w sierpniu, że konkretny lekarz wystawił sobie receptę na leki z grup psychotropowych i odurzających.
• Urzędnicy tłumaczyli, że postępowanie administracyjne musiało czekać tak długo, ponieważ konieczne było uzyskanie dodatkowych informacji i odpowiedzi z Ministerstwa Zdrowia. Kontrolerzy z UODO będą mogli wreszcie sprawdzić, czy były minister zdrowia jako administrator danych osobowych nie naruszył przepisów o RODO.
• Adam Niedzielski przestał pełnić stanowisko ministra zdrowia w sierpniu. Ministerstwo Zdrowia z opóźnieniem, dopiero po odwołaniu z funkcji Adama Niedzielskiego zgłosiło do Urzędu Ochrony Danych Osobowych naruszenie danych osobowych lekarza.
• Zdaniem wielu ekspertów, w tym dr. Macieja Kaweckiego, który był odpowiedzialny za wdrożenie do naszego systemu prawnego unijnego rozporządzenia o ochronie danych osobowych, doszło do popełnienia przestępstwa z art. 107 ustawy o ochronie danych osobowych zagrożonego karą do trzech lat pozbawienia wolności.
• Ponadto za brak podjęcia odpowiednich działań prezes UODO może wymierzyć instytucji publicznej karę w wysokości do 100 tys. zł.

Żródło: Minister Niedzielski odpowie za ujawnienie danych pacjenta? UODO wszczęło postępowanie (msn.com); Afera receptowa. UODO coraz bliżej zakończenia sprawy. Piotr Pisula: „Spotkam się z Adamem Niedzielskim w sądzie” (wyborcza.pl)

• NordVPN – firma zajmująca się cyberbezpieczeństwem – przyjrzała się politykom prywatności najpopularniejszych witryn internetowych w 19 krajach, w tym w Polsce. Eksperci sprawdzili, ile czasu zajmuje zapoznanie się z daną polityką i jak wygląda stopień jej trudności.
• Jak obliczyła NordVPN, przeczytanie polityki prywatności 96 stron internetowych, które przeciętny użytkownik zwykle odwiedza w ciągu miesiąca, w Polsce zajęłoby znacznie więcej niż pełny tydzień pracy – aż 49,2 godziny. To dużo w porównaniu z innymi krajami.
• W rankingu Polskę wyprzedziły jedynie 3 kraje: Wielka Brytania, Francja i Niemcy.
• W UE najdłuższe teksty polityki prywatności obowiązują w Niemczech, najkrótsze natomiast w Hiszpanii.
• Najdłuższe teksty z polityką prywatności można znaleźć na serwisach społecznościowych Meta (Facebook i Instagram), które liczą 19 434 słowa, a ich przeczytanie zajmuje prawie 90 minut. Także pod względem zrozumiałości, Meta nie wypada najlepiej. – Test FRES (ang. Flesh Reading Ease Score) wykazał, że teksty są „dość trudne”, natomiast indeks Colemana-Liau [ocena zrozumiałości tekstu – przyp. red.] uznał je za zrozumiałe dopiero dla osób w wieku licealnym – podkreślają eksperci.
• Netflix otrzymał najgorszy wynik w rankingu Colemana-Liau, natomiast Wikipedia, znana z minimalnego gromadzenia danych, uzyskała zaskakująco złe wyniki pod względem długości polityki prywatności.
• Najbardziej przyjazne dla czytelnika okazały się z kolei polityki prywatności znalezione na Twitterze, Reddicie i Discordzie.

Żródło: Tak RODO zjada własny ogon, czyli ile trwa czytanie polityk prywatności. Polska w czołówce (300gospodarka.pl)