KOLEJNA KARA POD REŻIMEM RODO. SPÓŁKA ZAPŁACI 201 TYS. ZŁOTYCH.

Po raz kolejny Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia przewidzianego przez RODO, jakim jest nałożenie administracyjnej kary pieniężnej na podmiot naruszający treść RODO. Sankcje nałożono na spółkę ClickQuickNow, która oferuje rozwiązania marketingowe.

CO STWIERDZONO W RAMACH KONTROLI?

Urząd Ochrony Danych Osobowych przeprowadził kontrolę spółki w pierwszym kwartale 2019 roku. Jak wskazano w decyzji spółka nie zapewniła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby realizację praw podmiotów danych. W przedmiotowej sprawie organ nadzoru stwierdził naruszenia z zakresie:

  • Znaczące utrudnianie przez spółkę prawa do wycofania zgody na przetwarzanie danych osobowych

RODO przewiduje w swojej treści zasadę, zgodnie z którą wycofanie zgody na przetwarzanie danych osobowych powinno być dla podmiotu tych danych równie łatwe jak jej udzielenie. Ponadto administrator ma obowiązek ułatwiać osobom realizację ich praw (o czym traktuje art. 12 ust. 2 RODO).

W przypadku ClickQuickNow zastosowano rozwiązanie, którego proces realizacji prawa do wycofania zgody polegał nie tylko na konieczności kliknięcia w podany link, ale także uzupełnieniu przyczyny wycofania zgody (czego żadne przepisy nie przewidują). W przypadku braku podania przyczyny cały proces realizacji prawa był przerywany. By zakończyć rzeczony proces koniecznym było wysłanie dodatkowej wiadomości e-mail na dedykowany adres poczty elektronicznej, pomimo faktu, że treść komunikatu przesyłanego osobie fizycznej wskazywała na jego zakończenie.

  • Naruszenie prawa do żądania usunięcia danych osobowych („prawa do bycia zapomnianym”)

Z treści decyzji wynika również, że spółka ignorowała wnioski osób, które nie były jej klientami o usunięcie ich danych osobowych. W związku z tym przetwarzała je nie mając podstawy prawnej, co jest naruszeniem przepisów RODO.

Przy tym zarzucie sama spółka broni się przekonaniem, że tego typu żądania wysyłane przez osoby za pomocą e-maila nie umożliwiały właściwej i pewnej identyfikacji podmiotów.

WYMIAR KARY

Za powyższe stwierdzone naruszenia Prezes UODO nałożył na spółkę karę w wysokości 201 559,50 zł. Ponadto organ nadzoru nakazał dostosowanie procesów realizacji praw osób, których dane są przetwarzane oraz sposobów wycofywania zgód do wymogów zgodnych z RODO.

Warto odnotować, że Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnych okoliczności łagodzących, które mogłyby mieć wpływ na wymiar kary. Uznał też wszystkie wskazane działania ClickQuickNow za umyślne.

PODSUMOWANIE

Kara nałożona decyzją Prezesa UODO jest wyraźnym ostrzeżeniem dla administratorów przetwarzających dane przed traktowaniem ochrony danych osobowych jedynie w kontekście posiadania odpowiedniej dokumentacji czy procedur. Równie ważne jest również odpowiednie dostosowanie procesów, jakie zachodzą w firmie i jakie – w tym wypadku – przybrały postać realizacji praw podmiotów danych.

 

Pierwsza kara dla urzędu za naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu kontroli w Urzędzie Miasta Aleksandrowa Kujawskiego stwierdził szereg naruszeń przepisów RODO i nałożył na burmistrza miasta karę wynoszącą 40 tys. złotych. Jest to pierwsza kara nałożona na urząd publiczny.

 

Uchybienia stwierdzone przez PUODO dotyczą:

  • umów powierzenia
  • zasady ograniczonego przechowywania danych
  • tworzenia kopii zapasowych i przeprowadzania analizy ryzyka
  • rejestru czynności przetwarzania

 

Umowy powierzenia

Umowy powierzenia zostały wprowadzone przez RODO z artykułem 28 ust. 3 w celu zalegalizowania procesu przekazywania danych pomiędzy podmiotami oraz zachowania poufności danych. Przepis ten został naruszony przez Urząd Miasta w związku z brakiem zawarcia takich umów z dwoma spółkami. W jednym przypadku nie sformalizowano przekazywania danych w przypadku udostępniania biuletynu BIP urzędu z serwerów spółki, a w drugim przypadku serwisowana tego biuletynu oraz dostarczania oprogramowania do jego stworzenia. Brak umów stanowił również naruszenie zasady przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

 

Zasada ograniczonego przechowywania danych

Zgodnie z rozporządzeniem, należy systematycznie monitorować, czy podstawa prawna do przetwarzania przez nas danych nadal obowiązuje. Dane osobowe mogą być zbierane tylko w wyraźnie określonym i prawnie uzasadnionym celu. Jeżeli natomiast cel ten ustał, dane takie należy usunąć bądź zanonimizować. Okres przechowywania (retencji) może wynikać wprost z przepisów prawa, a jeżeli w danym przypadku nie jest on uregulowany, to administrator powinien go określić samodzielnie, adekwatnie do celów w jakich te dane przetwarza. Urząd Miasta w Aleksandrowie nie wprowadził procedur takiego przeglądu, i tak na stronie BIP widniały oświadczenia majątkowe najważniejszych urzędników z 2010 r., pomimo tego że dozwolony okres ich przechowywania wynosi 6 lat. W związku z powyższym naruszona została wynikająca z art. 5 ust. 1 lit. e zasada ograniczonego przechowywania danych.

 

Tworzenie kopii zapasowych i przeprowadzanie analizy ryzyka

Administrator, zgodnie z art. 32 ust. 1 lit. b i c  ma obowiązek zapewnić poufność, integralność, dostępność i odporność systemów i usług przetwarzania, a także zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Oznacza to konieczność ochrony danych przed ich uszkodzeniem i zniszczeniem, a także konieczność zapewnienia możliwości przywrócenia uszkodzonych danych do stanu umożliwiającego ich przetwarzanie. Celowi temu służy między innymi opracowanie i wdrożenie procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Podczas omawianej kontroli PUODO, analizując publikację zapisów posiedzeń rady miejskiej w serwisie Youtube, zauważył, że w BIP widnieją jedynie linki do tych nagrań. Urząd nie posiadał żadnych dodatkowych kopii materiałów, które zobowiązany jest publikować, a więc w razie utraty danych zapisanych na Youtube, nie byłby w stanie wywiązać się ze swoich obowiązków. Ponadto RODO wprowadza obowiązek szacowania ryzyka związanego z przetwarzaniem danych osobowych w celu zapewnienia bezpieczeństwa przetwarzania. Po przeprowadzeniu analizy ryzyka możemy stwierdzić czy mamy do czynienia z wysokim ryzykiem i czy konieczne jest przeprowadzenie oceny skutków. Pomaga również w doborze odpowiednich zabezpieczeń. Urząd miasta nie przeprowadził takiej analizy w związku z publikacją nagrań z posiedzeń rady wyłącznie w zewnętrznym serwisie. Niezastosowanie się do powyższych wymogów stanowiło naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

 

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania pozwala na stałą weryfikację swojej działalności w zakresie przetwarzania danych osobowych oraz poddawanie ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Kontrola PUODO wykazała istotne braki w prowadzonym przez Urząd Miasta rejestrze czynności przetwarzania. Przede wszystkim nie było w nim wskazanych wszystkich odbiorców danych. Brakowało również wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

 

Biorąc pod uwagę, że limit kar dla administracji wynosi 100 tysięcy złotych, omawiana kara jest karą wysoką. Ponadto PUODO nakazał podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Zgoda na pliki Cookies- wyrok TSUE

 Zapewne każdy z nas podczas przeglądania stron internetowych miał do czynienia z wyskakującymi okienkami informującymi o zbieraniu plików cookies. 1 października został wydany przez TSUE wyrok dotyczący wyrażania zgody na ich instalowanie. Pliki cookies ułatwiają korzystanie z Internetu, ale także stanowią poważne zagrożenie dla naszej prywatności. Zamieszczane w nich dane, na podstawie adresu IP, są wymieniane pomiędzy konkretną stroną internetową a przeglądarką. Dzięki temu strona otrzymuje informacje o urządzeniu, na którym ją otwieraliśmy, a także o czytanych przez nas treściach, oglądanych produktach, liczbie odwiedzin i czasie ich trwania. Te informacje pozwalają na ich wykorzystanie w celach marketingowych, np. na dopasowania oglądanych przez nas treści czy reklam.

              Przedmiotem omawianej sprawy był sposób wyrażenia zgody na instalację owych ciasteczek przez użytkowników, którzy chcieli wziąć udział w loterii organizowanej przez spółkę Planet49. Formularz na stronie spółki zawierał domyślnie zaznaczoną zgodę na instalację plików cookies. Ponadto spółka zbierała i wykorzystywała dane do współpracy z firmą reklamową. Co za tym idzie, osoba, która nie zauważyła zaznaczonego okienka zgody, przypadkowo godziła się na zbieranie dotyczących jej informacji w celu reklamowania produktów przez partnera Planet49. Oprócz tego instalowane w urządzeniach pliki cookies zawierały numer przypisany do danych rejestracyjnych użytkownika, którymi były imię i nazwisko oraz adres podany w formularzu uczestnictwa w loterii. Oznacza to, że powiązanie ze sobą tych dwóch informacji pozwalało na bezpośrednią identyfikację danej osoby, co stanowiło już przetwarzanie danych osobowych, które regulowane jest przez RODO i które w tym celu wymaga zebrania dobrowolnej i konkretnej zgody.

Niemiecki związek organizacji konsumenckich podjął wątpliwości co do legalności działania spółki w omówionym zakresie i wystąpił z pytaniem prejudycjalnym do TSUE, który stwierdził, że:

  • Domyślne zaznaczenie okienka zgody jest niedopuszczalne, a zgoda w ten sposób udzielona jest nieważna,
  • Do stwierdzenia powyższego nie ma znaczenia, czy informacje przechowywane lub udostępniane w urządzeniu końcowym użytkownika stanowią dane osobowe,
  • Usługodawca powinien poinformować użytkownika strony internetowej o okresie, przez jaki pliki cookies będą działać, a także wskazać odbiorców, którym zebrane dane zostaną udostępnione.

Podsumowując, niedozwolonym działaniem jest stosowanie domyślnie zaznaczonych checkboxów, tak aby niewyrażenie zgody wiązało się z koniecznością usunięcia zaznaczenia. Internauta musi sam tej zgody udzielić w sposób dobrowolny i konkretny. Trybunał stanął w obronie prywatności użytkowników, wskazując że nie może dojść do sytuacji, w której do ich urządzeń bez ich wiedzy zostaną wprowadzone ukryte identyfikatory lub inne podobne narzędzia. Ponadto usługodawca musi dokładnie poinformować użytkowników w jakim celu pliki cookies są instalowane, jak długo będą działać i kto może mieć do nich dostęp.

 

 

SZKOLENIE RODO DLA KADR/HR- PRZEDSPRZEDAŻ

Pracownicy zatrudnieni w działach HR lub kadr i płac mają na co dzień do czynienia z procesami w których, przetwarzane są dane osobowe zarówno kandydatów, jak i osób pracujących w  organizacji.  Przez to osoby te powinny posiadać bardziej szczegółową wiedzę na temat ochrony danych osobowych niż zwykli pracownicy. Nasze szkolenie stworzone zostało dla osób wykonujących zadania które, związane są z rekrutacją pracowników, przyjęciem do pracy, obsługą pracowników, zakładowymi funduszami świadczeń socjalnych, a także zarządzaniem zasobami ludzkimi.

Kurs jest dopełnieniem podstawowej wiedzy z zakresu RODO i porusza zagadnienia, z którymi w codziennej pracy stykają się pracownicy działów personalnych. Niezbędna wiedza merytoryczna rozszerzona została o przydatne przykłady sytuacji i problemów, których stosowanie RODO sprawia pewne trudności praktyczne. Dodatkowo kurs zawiera w sobie praktyczne materiały, jak szablony klauzul informacyjnych, sprawdzających się w różnych procesach, zachodzących w zatrudnieniu (rekrutacja, zatrudnienie, ZFŚS).

Szkolenie jest przystępne w odbiorze – wzbogacone zostało o bardziej przyswajalny i łatwiejszy do zapamiętania sposób przedstawiania informacji – przekaz multimedialny.

Odpowiednie budowanie świadomości pracowników zdecydowanie zmniejsza ryzyko naruszeń ochrony danych osobowych  w kadrach i związanych z tym konsekwencji. Nasz kurs przygotuje pracowników działów personalnych na wykonywanie ich zadań zgodnie z RODO.

Kurs składa się z 61 lekcji pogrupowanych tematycznie w 9 modułów:

  • Wstęp (5 lekcji)
  • Rekrutacja (22 lekcje)
  • Zatrudnienie (3 lekcje)
  • Przetwarzanie danych osobowych na podstawie wykonania innych umów niż umowa o pracę (4 lekcje)
  • Ujawnianie danych pracowników w firmie (4 lekcje)
  • Kontrola pracy (6 lekcji)
  • Przekazywanie danych podmiotom zewnętrznym (9 lekcji)
  • Zakończenie stosunku pracy (4 lekcje)
  • Płace (4 lekcje)

Znajdziemy tam też 13 multimedialnych analiz konkretnych przypadków/sytuacji, które pomogą w zrozumieniu całości materiału i ułatwią jego zapamiętanie (tzw. Case study).

Co więcej kurs wzbogacono o 9 praktycznych materiałów dodatkowych do pobrania (między innymi szablony klauzul informacyjnych i klauzul zgody, tabelki ze wskazaniem czasu, przez jaki mogą być przechowywane poszczególne dokumenty etc.).

Kurs zakończony jest testem wiedzy składającym się z 10 pytań (wielokrotnego wyboru lub prawda/fałsz).

Kup kurs w przedsprzedaży: https://elearningrodo.pl/produkt/szkolenie-rodo-dla-pracownikow-kadr_hr

Sankcyjny dorobek brytyjskiego organu nadzoru (ICO) – kara dla British Airways, Marriott i Facebook’a

     Po nieco ponad roku od rozpoczęcia stosowania Ogólnego Rozporządzenia o ochronie danych osobowych (RODO), można śmiało stwierdzić, że przedmiotowe przepisy zdążyły już w większości krajów europejskich zebrać swoje plony i uzasadnionym wydaje się być przypuszczenie, że ich „ofiar” z biegiem czasu będzie przybywać. Po początkowym poruszeniu, wywołanym obowiązkiem przełożenia treści RODO na realia krajowe oraz emocjach związanych z nałożeniem pierwszej kary w Polsce, europejskie organy powołane do nadzoru nad odpowiednim wdrożeniem RODO, intensyfikują społeczną świadomość doniosłości zagadnienia poprzez nakładanie kolejnych kar na przedsiębiorstwa. 

      Jednym z najbardziej aktywnych pod względem ilości już wymierzonych, lecz także zapowiedzianych sankcji jest organ brytyjski – Information Comissioner’s Office (ICO). W ostatnim czasie ICO stwierdził nieprawidłowości wynikające z RODO w dużych międzynarodowych przedsiębiorstwach, co sprawiło, że sprawy te odbiły się echem w całej Europie.

 

Skutki ataku hakerskiego a RODO – British Airways

           Brytyjski ICO w ostatnim czasie podał do publicznej wiadomości informację, ujawniającą zamiar nałożenia na linie lotnicze British Airways kary w wysokości 183 mln funtów (co w przybliżeniu daje kwotę około 864 mln zł). Podstawą do jej wymierzenia są nieprawidłowości stwierdzone przez organ.

Na przełomie sierpnia i września 2018 roku doszło bowiem do cyberataku, w wyniku którego nastąpił wyciek danych osobowych około pół miliona osób. Osoby trzecie uzyskały dostęp do imion, nazwisk, adresów e-mail, a co najważniejsze – danych do kart kredytowych.

Szef linii lotniczych podkreśla szybką reakcję przedsiębiorstwa na atak oraz dopełnienie wszelkich obowiązków, narzuconych przez RODO w razie wystąpienia incydentu. Mowa tutaj przede wszystkim o zgłoszeniu zdarzenia, poinformowaniu o nim klientów czy współpracy z organem w trakcie badania sprawy.

ICO stoi jednak na stanowisku, że w opisywanym przypadku linie lotnicze nie dokonały właściwych zabezpieczeń, które uniemożliwiłyby skuteczne przeprowadzenie ataku. Wynikiem tego miałaby być rzeczona kara. Przypomnijmy, że naruszenie, o którym mowa wynika z art. 32 RODO. W przypadku jego stwierdzenia Rozporządzenie przewiduje możliwość nałożenia kary w wysokości do 10 000 000 EURO, a jeśli chodzi o przedsiębiorstwo – w wysokości do 2 % rocznego obrotu, stwierdzonego na rok poprzedzający zdarzenie. Zapowiedziana kwota kary to w przeliczeniu ok. 1,5 % obrotu towarzystwa lotniczego.

Zaznaczyć należy, że przedstawiciele British Airways zapowiedzieli już skorzystanie z możliwości odniesienia się do wysokości nałożonej kary prze wydaniem ostatecznej decyzji przez instytucję. Gdyby jednak ona zapadła, wysokość grzywny byłaby najwyższą nałożoną jak do tej pory kwotą, wynikająca ze stosowania RODO.

 

Marriott – przejęcie z naruszeniem

Zaledwie dzień później brytyjski ICO ponownie informuje o zamiarze nałożenia grzywny o równie znacznej wartości. Tym razem chodzi o sieć hoteli Marriott – wyciek danych oraz dużą zwłokę w stwierdzeniu incydentu.

W 2016 r. Marriott przejął sieć Starwood, w której jak się okazuje na przestrzeni czasu, a od roku 2014 miał miejsce wyciek danych, wywoływany atakami hakerskimi. W ich wyniku, aż do 2018 roku osoby nieuprawnione uzyskały dostęp do danych około 339 mln klientów z różnych stron świata (w tym między innymi: imiona i nazwiska, adresy e-mail, numery telefonów, numery paszportów, daty pobytu w hotelach czy dane kont bankowych).

W sprawie Marriott’u ICO wskazało przede wszystkim na ogromną skalę wycieku, zarówno pod względem liczbowym, jak i samego rodzaju tych danych. Podkreślono też niewystarczające środki zabezpieczenia systemów w okresie od kupna konsorcjum hotelowego Starwood. Co więcej, pod uwagę wzięto również, karygodną jak mogłoby się wydawać, długość czasu, potrzebnego sieci Marriott na stwierdzenie wycieku (swoistego rodzaju „opóźnienie” trwało 2 lata). W efekcie instytucja zapowiedziała karę w wysokości 99 mln funtów (ok. 470 mln zł). Podobnie jak w sprawie British Airways maksymalną grzywną za dopuszczenie się wskazanych naruszeń jest kwota do 2 % rocznego obrotu.

Przedstawiciele sieci hoteli uważają karę za zbyt surową i podkreślają przede wszystkim współpracę przy postępowaniu ICO. W związku z tym zdaje się, że jeśli ostatecznie dojdzie do jej nałożenia możemy się spodziewać odwołania od niej przez Marriott.

Facebook podwójnie ukarany

W październiku 2018 r. Facebook został ukarany przez ICO za udostępnienie poprzez aplikację danych osób z niej korzystających bez wyraźnej ich zgody. W oświadczeniu ICO wskazano, że „Pomiędzy 2007 a 2014 rokiem Facebook przetwarzał dane osobowe użytkowników nieuczciwie, pozwalając twórcom aplikacji na dostęp do informacji osobistych bez wyraźnej i jasnej ich zgody. Co więcej twórcy aplikacji mieli też dostęp do danych użytkowników, którzy nie korzystali z aplikacji, a byli tylko znajomymi użytkowników aplikacji”. Istotnym w sprawie jest też fakt, że najbardziej prawdopodobnym jest, że Cambridge Analytica, do której dane trafiły, wykorzystała otrzymane informacje w celu przeprowadzenia skutecznej kampanii politycznej, profilując, pojawiąjące się u odbiorców elektroniczne banery marketingowe. Wskutek zajścia zdarzenia brytyjskie ICO nałożyło na Facebook’a grzywnę w kwocie 500 tys. funtów.

W ostatnich dniach skutki naruszenia Facebook odczuł ponownie. Szerokim echem odbiła się bowiem kara, nałożona na serwis przez amerykańską Federalną Komisję Handlu (FTC – Federal Trade Commission).

FTC od marca 2018 r. prowadziła śledztwo w sprawie nieuprawnionego przekazania danych użytkowników serwisu do Cambridge Analytica. Okazuje się, że naruszając prywatność użytkowników Facebook udostępnił dane około 87 mln osób. Znaczącym jest fakt, że jeszcze w 2012 r. jego przedstawiciele podpisali z FTC dokument, w którym zobowiązują się do poprawienia poziomu ochrony prywatności użytkowników. Sprawa Cambridge Analytica jest wobec tego jednoznacznym naruszeniem jego warunków.

Wskutek opisywanych zdarzeń FTC zdecydowało się nałożyć na serwis karę w rekordowej wysokości (jeśli chodzi o dziedzinę ochrony danych osobowych) – 5 mld dolarów. Wynikająca z kary kwota jest niejakim kompromisem pomiędzy Facebook’iem i FTC, skutkiem negocjacji i ugody. Oprócz samej grzywny FTC zobowiązuje Facebook’a do wprowadzenia dość znaczących zmian w obszarze ochrony prywatności. Między innymi serwis ma powołać niezależny komitet ds. ochrony prywatności, składający się z tzw. “urzędników ds. zgodności”, powoływanych przez równie niezależny komitet ds. nominacji. W założeniu organ ten ma czuwać nad przedmiotowymi procesami i stanowić swoistą gwarancję “rozproszenia” dotychczasowej kontroli Marka Zuckerberga w tym zakresie. Ponadto treść ugody zawiera szereg innych wymogów, między innymi:

  1. konieczność uzyskania wyraźnej zgody użytkowników dla używania funkcji rozpoznawania twarzy;
  2. zakaz wykorzystywania podanych numerów telefonów dla celów marketingowych, gdy te były podane przez użytkowników w innym celu;
  3. konieczność zwiększenia kontroli nad aplikacjami zewnętrznymi;
  4. zakaz wymagania hasła do elektronicznej skrzynki pocztowej przy rejestracji konta użytkownika.

Jak podają wszystkie źródła kwota grzywny, choć zdaje się sumą zdecydowanie niebagatelną, dla samego Facebook’a nie jest wcale rażąca. Mówi się bowiem, że tylko w pierwszym kwartale 2019 r. firma uzyskała dochód na poziomie około 15 mld dolarów. Co więcej, okazuje się, że w dniu zapowiedzi nałożenia kary akcje firmy ruszyły w górę.

MORELE.NET UKARANE KWOTĄ NIEMAL 3 MLN ZŁ. PRZYCZYNĄ ATAK HAKERSKI.

Jak dowiadujemy się z konferencji prasowej Urzędu Ochrony Danych Osobowych  (oraz opublikowanej decyzji) w Polsce nałożona została kolejna kara na podmiot prywatny w związku z naruszeniem ochrony danych osobowych. Jak się okazuje pierwsza z kar (o wartości 1 miliona zł – o której piszemy TUTAJ) to jedynie zapowiedź większych kwot, nakładanych w ramach sankcji przez PUODO. Rekordowa administracyjna kara pieniężną w wysokości 3 mln zł decyzją organu nadzoru została nałożona sklep internetowy Morele.net

Ale od początku…

Na przełomie października i listopada 2018 r. spółka Morele.net padła ofiarą ataku hakerskiego, w wyniku którego osoby nieuprawnione otrzymały dostęp do danych osobowych ponad 2 mln użytkowników sklepu internetowego Morele.net oraz powiązanych z nim sklepów. Z pierwszych informacji podawanych przez spółkę wynikało, że hakerzy otrzymali dostęp do danych takich jak: imię, nazwisko, numer telefonu e-mail i hasła do kont. Jak się jednak okazało w przypadku pewnej części osób (ok. 35 tys.) wyciekły dane, znajdujące się na ich wnioskach ratalnych. W ich zakres wchodziły informacje między innymi o:

  1. numerze PESEL;
  2. danych dokumentów tożsamości (seria i numer);
  3. wykształceniu;
  4. adresie zameldowania;
  5. wysokości dochodu;
  6. stanu cywilnego
  7. wysokości zobowiązań kredytowych czy alimentacyjnych

W efekcie Morele.net poinformowało o tym swoich klientów oraz zaleciło im zmianę haseł do kont. Poinformowali także Urząd Ochrony Danych Osobowych o tym incydencie.

Z ujawnionych informacji wynika także, że w skradzionej przez hakera bazie widniały dane osób, które uprzednio skasowały konta w sklepie internetowym (a więc które z oczywistych względów powinny zostać przez spółkę usunięte).

Stanowisko PUODO

Z opublikowanej właśnie na stronie Urzędu informacji wynika, że w toku postępowania uznano zastosowane przez spółkę środki bezpieczeństwa za niewystarczające. Prezes Urzędu twierdzi, że były one niewspółmierne do ryzyka, jakie związane było z przetwarzaniem danych osobowych. Co więcej, postępowanie wykazało, że przyczyną naruszenia było także nieskuteczne monitorowanie ewentualnych zagrożeń oraz brak procedur reagowania na przypadki występowania podejrzanych ruchów w sieci.

Z publikacji wynika, że to właśnie było głównym powodem takiej decyzji organu: ” Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących  monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary”.

Wobec wszystkiego co wyżej PUODO powołuje się na naruszenie zasady poufności danych, wynikającej z art. 5 ust. 1 lit. f RODO.

W wyniku postępowania PUODO nałożył na Morele.net karę wartości 2,8 mln. Na jej wysokość wpływ miały  czynniki, takie jak waga naruszenia, jego charakter oraz fakt, że dotknęło ono danych dużej ilości osób. Urząd wskazuje, że zakres przejętych przez hakera danych może powodować między innymi kradzieże tożsamości. Według publikacji przy wymierzaniu kary pod uwagę wzięto również okoliczności łagodzące, a więc współpracę organem nadzoru, podjęcie działań zmierzających do usunięcia naruszenia czy też brak takich incydentów w przeszłości. Sugeruje to nałożenie wyższej sankcji w przypadku braku odpowiedniej reakcji spółki.

Jaką linię obrony przyjmuje spółka i jej reprezentanci?

Członek kancelarii, reprezentującej Morele.net, a do niedawna dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji – dr Maciej Kawecki nie ukrywa swojego niezadowolenia z powodu treści wydanej decyzji. Na jednym z portali społecznościowych zwraca uwagę: „Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie, zdarzają się pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne”. Wskazuje on też na fakt współpracy z organami ścigania i organem nadzoru. Wydaje się być słusznym stwierdzenie dr Kaweckiego, że nie można traktować jednakowo podmiotu, który świadomie dopuszcza się naruszenia ochrony danych osobowych z tym, który pada ofiarą ataku hakerskiego, spełniając wymagania nakładane przez sektorowe przepisy.

Przedstawiciele spółki zwracają też uwagę na szereg zabezpieczeń, jakie zostały wdrożone po incydencie w celu zapobiegnięcia jego powtórzenia się w przyszłości.

Wiceprezes spółki ds. IT zdecydowanie zapowiada odwołanie do Sądu Administracyjnego.

Czy „wymiar kary” jest adekwatny?

Takie pytania zadaje większość źródeł internetowych, opisujących karę, nałożoną przez PUODO. Odpowiedź nie jest jednak jednoznaczna.

Z jednej strony bowiem nie należy dziwić się organowi nadzorczemu, że karze przedsiębiorców za skutki ataków hakerskich. Wydawać by się mogło, że przecież nie da się tego przewidzieć, ani nie ma sposobu na całkowite wyeliminowanie takiego ryzyka. Ale nie można przecież wykluczyć odpowiedzialności w każdym przypadku wystąpienia ataku. Wiązałoby się to z tym, że przedsiębiorcom nie opłacałoby się dokładać staranności w kwestii zabezpieczeń systemów i najpewniej wcale by tego robili.

Z drugiej zaś strony biorąc pod uwagę wszelkie przedstawione przez strony okoliczności wysokość kary nałożonej na Morele.net wydaje się nieco nieproporcjonalna. Zdaje się, że spółka wykonała szereg czynności, której można byłoby oczekiwać od niej po stwierdzeniu ataku, a w konsekwencji wycieku. Jedynym przewinieniem mogłyby być wskazane prze PUODO niewystarczające zabezpieczenia (co nie oznacza, że całkowity ich brak).

O ile więc sama kwestia nałożenia kary na podmiot nie powinna budzić wątpliwości (była zresztą do przewidzenia), o tyle jej wysokość może być uznana za kontrowersyjną.

Pierwsza w Polsce kara (1 mln zł) za naruszenie RODO!

Po ponad 10 miesiącach od rozpoczęcia stosowania RODO dowiadujemy się o pierwszej nałożonej przez polski organ nadzoru karze za naruszenie postanowień RODO.

W dniu 15 marca br. Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą pieniężną karę administracyjną w wysokości ponad 943 tyś zł. (€ 220.000). Powodem nałożenia kary było świadome niedopełnienie przez administratora danych obowiązku informacyjnego w stosunku do osób fizycznych prowadzących jednoosobową działalność gospodarczą pozyskanych z publicznie dostępnych rejestrów.

Warszawska spółka pozyskała dane osobowe ok. 6 mln osób ze źródeł powszechnie dostępnych, takich jak np. CEIDG, REGON. W stosunku do 90 tyś. osób spółka posiadała m.in. dane kontaktowe (adres, numer telefonu)- osoby te zostały poinformowane o przetwarzaniu ich danych osobowych.

W stosunku do reszty osób, których spółka nie posiadała tych danych (a tylko adres korespondencyjny), spółka podjęta decyzję o nie przesyłaniu obowiązku informacyjnego określonego przez art. 14 RODO bezpośrednio do osób, a spełnienie go poprzez komunikat na stronie internetowej firmy. Spółka powołuje się przy tym na wyłączenie określone w art. 14 ust. 5 pkt b) RODO zgodnie z którym obowiązek informacyjny może być niewykonany, jeżeli jego wykonanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Zdaniem organu w tym przypadku spółka nie może się powoływać na to wyłączenie, ponieważ miała możliwość kontaktu z tymi osobami np. poprzez przesłanie im listu, którego przesłanie do ok. 5 mln osób mogło kosztować spółkę nawet do 30 mln złotych. Nadmierny koszt nie stanowił również okoliczności łagodzącej przy nałożeniu kary. Dodatkowo spółka został zobowiązana do spełnienia obowiązku w stosunku do osób, które nie zostały wcześniej poinformowane.

Na tak wysoką karę złożyło się również to, że spółka podjęła świadomą decyzję o niespełnieniu obowiązku informacyjnego. Prezes UODO zwrócił przy tym uwagę na to, że kara miała być na tyle wysoka, by ukarany nie wkalkulował jej w koszty swojej działalności. W obecnej chwili spółka ma możliwość odwołania się od decyzji PUODO do Wojewódzkiego Sądu Administracyjnego, co też zapewne zrobi.

 

eLearningRODO.pl nowy sklep ze szkoleniami z RODO

Z własnego doświadczenia wiemy, że przy wdrożeniu i stosowaniu RODO jedną z najważniejszych rzeczy jest odpowiednie budowanie świadomości pracowników z zakresie ochrony danych osobowych. Najlepszą formą w tym zakresie są szkolenia stacjonarne z RODO. Nie da się ich przecenić w ich zakresie możliwości zadawania pytań przez uczestników i na bieżąco rozwiewania wątpliwości w tym zakresie. Nie zawsze jest jednak możliwe przeprowadzenie szkolenia stacjonarnego. Powody mogą być różne- brak budżetu, czasu i pracownicy znajdują się w wielu lokalizacjach lub duża ich rotacja.

Jako firma świadoma tych problemów postanowiliśmy połączyć plusy szkolenia stacjonarnego z szkoleniami e-learningowymi i tak powstała nasza nowa usługa- eLearning RODO dla pracowników.

Nasze szkolenie elearningowe z RODO zostało przygotowane przez doświadczonych specjalistów z ODO, natomiast ich przystępność w praktyce ocenili pracownicy naszych klientów wystawiając im ocenę 5 na 6 gwiazdek w zakresie przejrzystości i łatwości odbioru. Dodatkowo wiedząc o tym, że inaczej kwestie ochrony danych osobowych są realizowane w sektorze publicznym, a inaczej w prywatnym przygotowane zostały dwa różne szkolenia dla tych sektorów.

Co wyróżnia nasze szkolenie e-learningowe?

  • Możliwość kontaktu pracowników z trenerem;
  • Ciągła aktualizacja treści wraz z dynamicznymi zmianami prawnymi;
  • Możliwość zakupu tylko jednej licencji, jak i większej ich ilości;
  • Prostota zakupu szkoleń w sklepie internetowym oraz automatyczny dostęp do szkolenia po jego opłaceniu.
  • Możliwość samodzielnego druku certyfikatów po ukończeniu szkolenia.

Zapraszamy wobec tego do odwiedzenia strony eLearning RODO i rozważenia zakupu szkoleń dla siebie lub Państwa pracowników.

Plan kontroli sektorowych PUODO

Na stronie Urzędu Ochrony Danych Osobowych został opublikowany plan kontroli sektorowych. Zgodnie z nim w 2019 roku UODO zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów.
Poniżej prezentujemy sektory, które są objęte zakres kontroli planowych.

💲 Sektor prywatny
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

🛄Sektor publiczny
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania
korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób
dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru
członków

💗Sektor zdrowia, zatrudnienia i szkolnictwa
I. Szkoły i placówki oświatowe – przetwarzanie danych osobowych rejestrowanych za
pomocą systemu monitoringu wizyjnego (cd. sektora rozpoczętego w IV kwartale 2018
r.).
II. Pracodawcy – przetwarzanie danych osobowych rejestrowanych za pomocą systemu
monitoringu wizyjnego. Przetwarzanie danych w związku z rekrutacją.
III. Podmioty udzielające świadczeń zdrowotnych – przetwarzanie danych osobowych w
związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta
do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia
oraz udzielonych mu świadczeń zdrowotnych.

⚖️Sektor organów ścigania i sądów
I. Policja – środki techniczne i organizacyjne mające na celu zapobiegnięcie
nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników
danych, realizacja obowiązków związanych z wewnętrzną obsługą oraz notyfikacją w
PUODO naruszeń ochrony danych osobowych
II. Straż Graniczna – ustalenie środków mających na celu zapobiegnięcie
nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu
oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych
oraz zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub
usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia
nośników danych
III. Areszty Śledcze – środki mające na celu zapobieżenie nieuprawnionemu odczytywaniu,
kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania
lub podczas przenoszenia nośników danych, a także zapewnienie osobom,
uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania, dostępu
wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem,
sposoby udostępniania danych osobowych osadzonych, podstawy prawnej, celu
i zakresu ich udostępniania.
IV. Systemy SIS/VIS – kontrolą objęte będą podmioty uprawnione do dostępu
do systemów SIS/VIS. Zakresem kontroli objęta będzie realizacja zadań w

Kiedy i jak – zgodnie z RODO – należy spełnić obowiązek informacyjny?

Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych.

Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych. 

Kiedy należy udzielić informacji o procesie przetwarzania?

Obowiązek informacyjny polega na zobligowaniu administratora do przekazania informacji o przetwarzaniu danych osobie, której dane dotyczą.

RODO przewiduje trzy takie sytuacje:

  • przy zbieraniu danych bezpośrednio od osoby, której te dane dotyczą (np. przy zbieraniu danych przez formularz kontaktowy/rejestracyjny na stronie, landing pages, papierowe formularze);

  • przy zbieraniu danych ze źródeł innych niż osoba, której te dane dotyczą (np. od naszych partnerów biznesowych, z internetu- olx, allegro, ale również pracuj,pl);

  • gdy zmienia się cel przetwarzanych danych (np. sprzedaż naszych produktów naszym pracownikom, która dokumentowane jest fakturą).

Zbieranie danych bezpośrednio od osoby, której dane dotyczą

W pierwszym z podanych przypadków administrator danych osobowych powinien spełnić obowiązek informacyjny przed tym, gdy podmiot udostępni mu jeszcze swoje dane osobowe. Ma to bowiem umożliwić temu podmiotowi właściwą ocenę sytuacji i pomóc w podjęciu decyzji o udostępnieniu lub odmowie udostępnienia swoich danych osobowych.

Zgodnie z art. 13 RODO firma jest zobowiązana do poinformowania o:

  1. swojej tożsamości i danych kontaktowych;

  2. tożsamości i danych kontaktowych swojego przedstawiciela (gdy ma to zastosowanie);

  3. danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie);

  4. celu przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

  5. prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (jeżeli takowe występują);

  6. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  7. zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);

  8. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  9. prawach, które przysługują danej osobie;

  10. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie wcześniej udzielonej zgody);

  11. prawie wniesienia skargi do organu nadzorczego;

  12. tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  13. zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.

Podmiot danych powinien zostać poinformowany nie tylko o procesie przetwarzania jego danych, ale także o przysługujących mu uprawnieniach oraz skutkach, jakie niesie dla niego to przetwarzanie lub jego odmowa.

Zbieranie danych z innych źródeł niż osoba, której dane dotyczą

W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dotyczą, oprócz informacji wskazanych wyżej, należy również poinformować o:

  1. kategoriach posiadanych danych (oznacza to wskazanie typów i rodzajów lub zakresu zbieranych danych);

  2. źródłach pochodzenia danych osobowych.

Źródło pochodzenia danych powinno być określone w sposób maksymalnie dokładny. Jeżeli administrator nie może przedstawić danych w sposób precyzyjny (ponieważ pochodzą np. z różnych źródeł), informacje te mogą być podane w sposób ogólny. 

W przypadku, gdy pozyskujemy dane ze źródła innego niż, osoba której te dane dotyczą, wówczas zgodnie z art. 14 ust 3 RODO i motywem 61 Preambuły RODO, obowiązek informacyjny powinien być spełniony w rozsądnym terminie. Termin ten nie może przekroczyć miesiąca. Jeżeli jednak dane osobowe mają być wykorzystywane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić najpóźniej przy pierwszej komunikacji z tą osobą. W sytuacji w której administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.

Obowiązek informacyjny, gdy zmienia się cel przetwarzania

W przypadku zmiany celu przetwarzania danych osobowych, administrator zobowiązany jest do udzielenia informacji przed rozpoczęciem nowego procesu przetwarzania. Dotyczy to sytuacji, gdy zebrał te dane bezpośrednio od podmiotu uprawnionego, jak i z innych źródeł. Wówczas należy podać informacje o:

  1. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  2. fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą;

  3. przysługujących podmiotowi prawach (dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych);

  4. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie miało miejsce na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a RODO);

  5. prawie do wniesienia skargi do organu nadzorczego.

Należy zwrócić również uwagę, że w każdej z omówionych sytuacji motyw 60 RODO zobowiązuje administratora do podania osobie uprawnionej wszelkich innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kiedy obowiązek informacyjny nie powstaje?

Istnieją pewne szczególne sytuacje, gdy ADO nie ma obowiązku udzielenia informacji o przetwarzaniu danych. Można do nich zaliczyć okoliczności, w ramach których: 

  1. osoba, od której dane są zbierane, już dysponuje tymi informacjami;

  2. udzielenie wymienionych wyżej informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku;

  3. udzielenie takich informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania;

  4. pozyskanie danych jest regulowane przepisami prawa;

  5. konieczne jest zachowanie tajemnicy zawodowej.

W jakiej formie należy spełnić obowiązek informacyjny? 

ADO ma obowiązek podjąć wszelkie środki, by komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka (art. 12 ust. 1 RODO).

Dodatkowo motyw 58 Preambuły wskazuje, że gdy jest to konieczne, informację należy przedstawić także w sposób graficzny. W sytuacji, gdy przetwarzane są dane dziecka, treść obowiązku należy przekazać w taki sposób, by mogło ją ono zrozumieć. 

Ponadto RODO stanowi, że obowiązek informacyjny można spełnić na piśmie lub w inny sposób (art. 12 ust. 1 RODO). Oznacza to, że katalog możliwych opcji jest otwarty. W rozporządzeniu zostały wymienione także dwie inne metody: elektroniczna i ustna.

Przykładowymi miejscami gdzie możemy umieścić obowiązki informacyjne są:

  • polityki prywatności, w szczególności, gdy zbieramy dane w sposób elektroniczny (np. formularze rejestracyjne) lub miejsca pod formularzami;

  • Stopki formularzy papierowych lub na odrębnych od nich kartkach;

Podsumowanie

Reasumując, można stwierdzić, że przepisy RODO ustanowiły szeroki katalog informacji, które ADO ma obowiązek przekazać podmiotowi danych. Zakres tego obowiązku jest zależny od sposobu, w który administrator uzyskał dane. Informacje te mają umożliwić podmiotowi danych samodzielną decyzję odnośnie przetwarzania jego danych osobowych oraz umożliwić mu kontrolę nad tym procesem.