Jedynie 20.000 Euro kary za wyciek danych osobowych 2 MLN rekordów? Wyjaśniamy dlaczego.

Niemiecki serwis randkowy (knuddels.de) został ukarany grzywną 20 tyś. EURO za wyciek danych ponad 2 MLN osób. Do wycieku doszło we wrześniu tego roku. Po upływie kilku miesięcy właściwy organ nadzoru Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Badenii-Wirtembergii)  – nałożył na firmę karę w wysokości 20.000 EURO.

Mimo obowiązywania RODO od 25 maja 2018 roku, nadal wiele firm nie uporało się z odpowiednim zabezpieczeniem danych. Wyciek niezanimizowanych danych, brak szyfrowania haseł – wszystko to może mieć katastrofalne skutki. Choć rozporządzenie nie wskazuje jednoznacznie, jakie środki powinny być wdrożone przez podmioty przetwarzające dane osobowe, tak precyzyjnie określa wysokość maksymalnych kar dla podmiotów, które nie zapewnią odpowiedniego poziomu ochrony danych.

20.000 Euro kary za wyciek prawie 2 milionów haseł

Patrząc na wymiary kar, jakie zakłada RODO (do 20 MLN EUR) niemiecki serwis randkowy otrzymał stosunkowo niską karę. Należy zauważyć, że wyciekło około 2 miliony loginów i haseł oraz ponad 800 tysięcy adresów e-mail. Warto jednak zwrócić uwagę na argumentację przyjętą przez organ.

Dlaczego niemiecki serwis otrzymał tak niski wymiar kary?

Analizując ilość utraconych danych oraz maksymalne kary, jakie przewiduje RODO, można mieć wątpliwości, z czego wynika kwota 20.000 Euro. Należy jednak przeanalizować okoliczności, jakie wziął pod uwagę organ nakładając grzywnę. Niemiecki serwis randkowy natychmiast i w sposób przejrzysty zgłosił wyciek, a także wdrożył prace mające na celu poprawę bezpieczeństwa danych. Z informacji udzielonych przez pracowników[1] obsługa incydentu wyglądała następująco:

środa, 5 września

21:06

Nieznany sprawca opublikował 8000 danych na Pastebin.com. Wpis składa się z pseudonimów, hasła, adresu e-mail (w 57% przypadków), imienia (w 41% przypadków) i miejsca zamieszkania (w 30% przypadków).

Oficer ds. Bezpieczeństwa IT, który jest byłym członkiem Knuddels, zauważa wpis i kontaktuje się z Knuddels.com przez e-mail.

Czwartek, 6 września

10.40

Wiadomość e-mail jest odczytywana przez zespół pomocy Knuddels.de, a informacje są natychmiast przekazywane dalej w firmie.

13:45

W tym czasie sprawdzane jest autentyczność wiadomości oraz pierwsze bezpośrednie środki w celu ochrony 8.000 użytkowników. Ponadto podjęto również środki awaryjne dla wszystkich użytkowników:

  • Usunięcie danych na Pastebin.com
  • Tymczasowa dezaktywacja wszystkich znanych, dotkniętych problemem danych dostępowych
  • Usunięcie niezaszyfrowanych haseł we wszystkich rekordach
  • Opracowanie komponentu, który prowadzi wszystkich członków po zalogowaniu się na stronie w celu odświeżenia hasła
  • Sprawdzenie serwera pod kątem możliwych wektorów ataku
  • Powiadomienie inspektora ochrony danych firmy Knuddels.de

Piątek, 7 września

1.30 rano

Zakończenie działań z 6 września.

14.00

Serwer Knuddels.at jest aktualizowany. Wraz z aktualizacją Knuddels.de zaczną obowiązywać wszystkie zabezpieczenia. Jednocześnie wszyscy członkowie publicznego forum, a także Facebook i Instagram są informowani o działaniach i wycieku danych.

14:24

Knuddels.de otrzymuje od członka społeczności link do forum „nulled.to”, w którym oprócz znanego wycieku Pastebin.com został powiązany inny link do Pastebina z 8 000 innych rekordów. Ponadto artykuł zawiera link do „mega.nz”, pod którym opublikowano 1 872 000 pseudonimów.

W związku ze zmienioną sytuacją podejmowane są dalszych działania:

  • Poinformowanie wszystkich członków tak szybko, jak to możliwe, przez e-mail
  • Wszyscy członkowie muszą ustawić nowe hasło podczas logowania
  • Członkowie, którzy nie logują się za pomocą znanego nam urządzenia, otrzymają link przez e-mail lub SMS, aby ustawić nowe hasło
  • Pliki dzienników, które mogą zawierać dane członków, są szyfrowane

16:56

Knuddels.de informuje swoich członków na forum oraz Facebooku i Instagramie.

Przed 22:00

Kolejne środki są wdrażane na Knuddels.at

Około 22:45

Wdrażanie nowych środków bezpieczeństwa na Knuddels.de. Jednocześnie rozpoczynają się wiadomości e-mail informujące o wycieku danych, w których prosi się członków o zmianę danych na wszystkich platformach korzystających z tych samych lub podobnych informacji o koncie.

Czas od otrzymiania wiadomości do zamknięcia incydentu: 49 godzin i 45 minut.

Po Incydencie

Poinformowany urząd nadzoru w zakresie ochrony danych nakłada grzywnę, ale składa hołd w szczególności na fakt, że Knuddels.de wzorcowo przeprowadził procedurę reakcji na incydent zarówno pod względem kompleksowych informacji i przejrzystości, jak i pod względem wdrożenia środków technicznych służących poprawie bezpieczeństwa danych.

Czy kara 20.000 Euro jest adekwatna do rozmiaru wycieku danych (ok. 10 groszy za rekord)? Nie da się zaprzeczyć, że niemiecki organ nakładając karę słusznie wziął pod uwagę działania, jakie zostały podjęte przez firmę, aby zapobiec dalszej utracie danych. Niemniej jednak trudno jest dopatrzeć proporcjonalności pomiędzy karą a samym rozmiarem wycieku danych. Jednak ten wyciek pokazuje nam, że tylko sprawne i przejrzyste działania mogą znacznie obniżać ryzyko kary.

Więcej informacji można uzyskać:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245

https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/

 

[1] https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245

Materiały dla słuchaczy studiów podyplomowych

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z mojego wykładu. Archiwum zabezpieczone jest tym samym hasłem które podałem Państwu na wykładach

Edycja 3. Zjazd trzeci. 25 listopada 2018 r. Pojęcie danych osobowych i zbioru danych osobowych. Rodzaje danych podlegających ochronie (z uwzględnieniem identyfikatorów sieciowych i danych biometrycznych)

 

 

Jak przeprowadzić audyt RODO?

Chcąc wdrożyć sprawnie i dobrze RODO w swojej firmie, musimy na początku odpowiednio przygotować się do tego. Formą takiego przygotowania powinien być audyt zgodność z RODO. Wiele firm na początku naszej współpracy zadaje pytanie o sensowność przeprowadzenia audytu przed wdrożeniem RODO. Jest co najmniej kilka powodów, które przemawiają za jego…
Przeczytaj więcej tutaj: Jak przeprowadzić audyt RODO?
Artykuł pojawił się pierwszy raz na stronie eRODO.pl

W Portugalii nałożono pierwszą karę w wysokości 400 000 € pod reżimem RODO

Comissão Nacional de Proteção de Dados (CNPD) – portugalski odpowiednik naszego UODO nałożył na tamtejszy szpital Barreiro-Montijo karę w wysokości 400 000 euro. Przyczyną zastosowania tak radykalnej sankcji był nieuprawniony dostęp do danych klinicznych pacjentów.

Skąd tak wysoka kara?

W decyzji CNPD możemy przeczytać:

„Pozwany działał umyślnie, wiedząc, że był zobowiązany do zastosowania technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, a także do zarządzania i rozgraniczania ich dostępu do profili informacyjnych, warstwując je zgodnie z różnymi przywilejami[…]”

Zgodnie z ustaleniami dokonanymi przez organ nadzorczy, dostęp do danych pacjentów miało 985 aktywnych kont, jednakże w szpitalu zatrudnionych było 296 lekarzy. Dodatkowo, okazuje się, że szpital nie dokonał odpowiednich kroków, by zapewnić bezpieczeństwo danych medycznych. Zarzuca się w szczególności nieodpowiednie procedury podjęte przy ich przechowywaniu i niewłaściwe przydzielanie dostępów. CNPD obwinia również administrację szpitala za niepodjęcie środków koniecznych do zapewnienia, że ​​profile lekarzy, którzy nie pracują już w Barreiro zostały wyeliminowane. Szpitalowi zarzuca się naruszenie zasad: integralności, poufności i minimalizacji danych.

Szpital odpowiada

Władze szpitala tłumaczą, że aktywność kont była spowodowana przejściowym incydentem związanym z ograniczeniami programu do przechowywania danych pacjentów dostarczanego przez firmy trzecie i dlatego część kont należy do pracowników, którzy zakończyli pracę dla szpitala i tych, którzy z nim współpracują. Podnoszona jest także wątpliwa kompetencja CNPD do nałożenia kary, w związku z niezakończonym procesem legislacyjnym związanym z RODO w Portugalii.

Żródła:

http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos?fbclid=IwAR336KzIUqZI3XIL-YUQTtbAWltQ2lMMOk01LNgl62P0A3Nn2BOZoQoJ1gQ

https://www.jornaldenegocios.pt/economia/saude/detalhe/hospital-do-barreiro-multado-em-400-mil-euros-por-nao-proteger-dados-clinicos-dos-doentes

Jak formalnie wyznaczyć IOD? (+ wzór uchwały/zarządzenia)

Jeżeli posiadasz już idealnego kandydata na IOD, spełniającego wymagania omówione w tym artykule, możesz teraz przejść do drugiego kroku, jakim jest wyznaczenie IOD. Unijne rozporządzenie dotyczące ochrony danych osobowych nie określa precyzyjnie formy wyznaczania IOD. Art. 37 ust. 4 RODO zawiera tylko informację, że: „(…) administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych.” Wykładnia językowa tego artykułu wskazuje na fakultatywność wyznaczenia IOD, jeżeli wymóg taki nie jest przewidziany w RODO lub w ustawach krajowych. O tym w jakich wypadkach wyznaczenie IOD jest obligatoryjne pisaliśmy…
Artykuł: Jak formalnie wyznaczyć IOD? (+ wzór uchwały/zarządzenia) pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

W Austrii nałożono pierwszą karę pod reżimem RODO

Datenschutzbehörde (DSB)- austriacki organ, który stoi na straży przepisów o ochronie danych osobowych – odpowiednik naszego UODO –  nałożył karę na przedsiębiorcę w wysokości 4.800 euro. Jest to pierwszy przypadek zastosowania kary na podstawie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Warto jednak nadmienić, że austriacka ustawa o ochronie danych osobowych stanowi, że przed nałożeniem kary w pierwszej kolejności DSB będzie wydawał upomnienia i nakazywał zaniechania naruszeń.

Dlaczego jednak wydano postanowienie o nałożeniu kary?

Austriacki przedsiębiorca zainstalował kamerę przed budynkiem swojej firmy. Jak udało się ustalić, kamera swoim zasięgiem obejmowała także dużą część chodnika, co zostało uznane za kontrolę przestrzeni publicznej. Dodatkowo, kamera nie była odpowiednio oznaczona jako nagrywająca obraz.

Austriacki organ uznał, że jest to niezgodne z postanowieniami RODO i zdecydował o nałożeniu kary. Kara nie jest jednak zbyt wysoka. DSB podkreśla, że grzywny powinny być nakładane zgodnie z zasadą proporcjonalności. Dlatego nie można na przedsiębiorcę wielomilionowej kary nieproporcjonalnej do jego dochodów.

Coraz więcej skarg

Jak potwierdza DSB przez pierwsze 100 dni obowiązywania RODO w Austrii odebrał około 1000 skarg i zawiadomień o naruszeniach. Dla porównania polski UODO odebrał w tym samym okresie około 2400 skarg, ponad tysiąc pytań prawnych i dodatkowo ponad tysiąc zgłoszeń dotyczących naruszeń rozporządzenia.

Warto wspomnieć, że w Polsce kamery zostały potraktowane ulgowo, z uwagi na niemożność ich błyskawicznego usunięcia i UODO pozwolił na dostosowanie monitoringów tak, by ich działanie było zgodne z RODO.

Źródła:

https://businessinsider.com.pl/wiadomosci/skargi-na-lamanie-rodo-zgloszone-do-uodo-od-maja-2018-r/3kv4h80

http://digital.freshfields.com/post/102f39w/first-gdpr-fine-issued-by-austrian-data-protection-regulator

Materiały dla słuchaczy studiów podyplomowych

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z mojego wykładu. Archiwum zabezpieczone jest tym samym hasłem które podałem Państwu na wykładach.

  1.  Edycja 2. Zjazd Czwarty. 6 października 2018 r. Warsztaty i zajęcia praktyczne – uzyskiwanie zgody na przetwarzanie danych osobowych, obowiązek informacyjny, zasady przetwarzania danych osobowych.

 

 

Urząd Ochrony Danych Osobowych opublikował poradnik dla pracodawców

Urząd Ochrony Danych Osobowych (UODO) opublikował kolejny poradnik dotyczący stosowania i wdrażania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Tym razem UODO wychodzi na przeciw przetwarzaniu danych związanym z rekrutacją i zatrudnieniem. Poradnik dotyczy nie tylko zatrudnienia w oparciu o stosunek pracy, ale także w oparciu o umowy cywilnoprawne lub inne niepracownicze formy zatrudnienia.

Kto skorzysta z poradnika?

Użyteczne informacje znajdą nie tylko pracodawcy, ale również agencje pracy oraz sami zatrudnieni. Traktuje on także o relacjach pracodawca – inne podmioty, w tym na przykład związki zawodowych, firmach szkoleniowych czy podmiotach świadczących usługi z zakresu medycyny pracy. Jego powstanie poprzedziły konsultacje społeczne, które znalazły odzwierciedlenie w pytaniach i nurtujących zagadnieniach związanych ze stosowaniem przepisów RODO. Dokument ma formę vademecum pozbawionego rozbudowanych prawniczych analiz – UODO zdecydował się na zastosowanie przeglądu praktycznych wskazówek, ułatwiających codzienne funkcjonowanie w obszarze ochrony danych osobowych.

Co znajduje się w poradniku?

Materia dokumentu została podzielona na cztery rozdziały:

1. Poszukiwanie pracy

2. Proces rekrutacyjny

3. Okres zatrudnienia

4. Inne niż określone w kodeksie pracy formy zatrudnienia oraz praca tymczasowa.

Wiele z przedstawionych w podręczniku też ma charakter kontrowersyjny. Wszystko sprowadza się do jednej zasady: żądać tyle, na ile pozwalają przepisy. Poradnik jasno wskazuje, że każdy etap zatrudnienia upoważnia do pozyskiwania określonych informacji i nie ma możliwości gromadzenia danych, które na danym etapie nie są niezbędne do celu zatrudnienia.

Zakres merytoryczny dotyczy również rekrutacji on-line i nakazuje natychmiastowe usunięcie danych kandydatów po zakończeniu procesu rekrutacji, chyba że wyrażą oni odrębną zgodę na ich dalsze przetwarzanie celem przyszłych rekrutacji. W przypadku samodzielnego przesłania CV przez kandydata bez związku z prowadzoną rekrutacją natomiast wskazuje na obowiązek rozpoczęcia procesu rekrutacyjnego lub usunięcia CV, nie wskazując na możliwość pozyskania zgody na przyszłe rekrutacje.

Kolejną ważną informacją jest zakaz prowadzenia anonimowych rekrutacji. Przepisy nakładają bowiem obowiązek ujawniania informacji o pracodawcy, jako podmiocie przetwarzającym dane osobowe kandydata.

Istotne z punktu przetwarzania danych osobowych są również regulacje dotyczące nowych technologii, w tym rozwiązań technicznych do ewidencji czasu pracy, kontrolowania poczty elektronicznej oraz monitorowania aktywności zatrudnionych.

Czego nie znajdziemy w poradniku?

Informacje zawarte w poradniku nie uwzględniają, mających nadal status projektu, zmian w kodeksie pracy oraz pewnych zagadnień poruszonych przez interesariuszy w ramach przeprowadzonych konsultacji społecznych.

UODO zapowiada, że możemy spodziewać się kolejnych wersji – aktualizacji lub odnoszących się do nieporuszonych dotychczas zagadnień. Poradnik znajduje się na stronie internetowej Urzędu Ochrony Danych Osobowych, a wszystkich zainteresowanych zachęcamy do zapoznania się z jego treścią.

Kodeks postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej

IAB Polska – Związek Pracodawców Branży Internetowej wystosował projekt Kodeksu postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej. Projekt został przedstawiony do konsultacji publicznych. Należy podkreślić, że jest to jeden z pierwszych projektów kodeksu postepowania i dobrych praktyk, który został stworzony po rozpoczęciu stosowania przepisów RODO w dniu 25 maja 1018 r.

Jak przystąpić do kodeksu?

Projekt stworzony przez IAB Polska stanowi kodeks postępowania w rozumieniu art. 40 RODO, a zatem ma pomóc we właściwym stosowaniu przepisów rozporządzenia z uwzględnieniem specyfiki sektora reklamy internetowej. Po zatwierdzeniu ostatecznej wersji przez PUODO przystąpienie do kodeksu będzie dobrowolne i będzie mógł dokonać go każdy przedsiębiorca działający na terytorium Polski, który jednocześnie jest członkiem IAB Polska. Zgłoszenia będzie można dokonać poprzez złożenie do IAB Polska odpowiedniego oświadczenia, stanowiącego załącznik do kodeksu. Podmioty, które zdecydują się na przystąpienie do kodeksu będą zobowiązane do przestrzegania zawartych w nim postanowień pod groźbą wykluczenia.

Co znajduje się w kodeksie?

Kodeks zaproponowany przez IAB Polska zawiera 6 rozdziałów dotyczących szerokiego spektrum kwestii poruszonych w treści RODO:

  1. Dane osobowe na podstawie RODO;
  2. Określenie roli w procesie przetwarzania: administrator i podmiot przetwarzający;
  3. Podstawy prawne przetwarzania danych osobowych;
  4. Profilowanie;
  5. Obowiązki informacyjne;
  6. Realizacja praw podmiotów danych osobowych.

Ostatni, siódmy rozdział dotyczący przystąpienia do kodeksu i jego stosowania. Autorzy kodeksu postarali się, aby przedstawić kwestie prawne w sposób praktyczny, podając dodatkowo np. odpowiednie technologie, które mogą się w danej sytuacji okazać użyteczne. Oprócz podstawowych kwestii prawnych poruszono także kwestie identyfikacji podmiotów jako administratorów lub procesorów danych osobowych w kontekście plików cookies, relację prawa ochrony danych z prawem telekomunikacyjnym, istotne elementy profilowania. Szeroko został omówiony temat anonimizacji i pseudonimizacji danych. Bardzo dużą uwagę poświęcono plikom cookies w wielopłaszczyznowym ich ujęciu oraz podstawom ich przetwarzania. Początkowa treść każdego z rozdziałów zawiera także „dobre praktyki branżowe”, czyli nieobligatoryjne, lecz warte stosowania zalecenia dla podmiotów z branży reklamy internetowej.

Inne branże powinny wziąć przykład z IAB Polska, ponieważ oprócz niewątpliwej właściwości merytorycznej, projekt kodeksu ma także pionierski charakter w realizacji uprawnień przyznanych przez art. 40 RODO. Wierzymy, że inne branże również dołożą starań i przygotują podobne kodeksy dla swoich sektorów, a Związkowi Pracodawców Branży Internetowej IAB Polska gratulujemy refleksu oraz zaangażowania. Zachęcamy także do zapoznania się z kodeksem.

Nowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO

W dniu 14 września 2018 r. na stronie Rządowego Centrum Legislacji ukazał się nowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO).

Projekt został wzbogacony o ustalenia, które udało się poczynić w dniach 9-10 sierpnia 2018 r. w siedzibie Ministerstwa Cyfryzacji na spotkaniu roboczym z resortami i instytucjami, które zgłosiły uwagi do ww. projektu ustawy na etapie Stałego Komitetu Rady Ministrów. Do projektu załączono także tabelę rozbieżności, które pozostały do rozstrzygnięcia przez SKRM.

Projekt nie zawiera jednak zmian przepisów wskazanych w piśmie z autopoprawką Ministra Cyfryzacji z dnia 20 sierpnia 2018 r. z dnia 20 sierpnia 2018 r., które związane były z automatycznym profilowaniem w sektorze bankowym i ubezpieczeniowym oraz stanowią przedmiot odrębnych uzgodnień pomiędzy Ministerstwem Cyfryzacji oraz Ministerstwem Finansów i Komisją Nadzoru Finansowego. Pojawią się one dopiero w przypadku przyjęcia ich przez SKRM. Nie zostały zamieszczone również przepisy przejściowe dotyczące dostosowania systemów ZUS i PFRON do wymagań RODO.

Zachęcamy do zapoznania się z treścią projektu poprzez kliknięcie na odnośnik znajdujący się powyżej.