ICO prawdopodobnie nałoży na Facebook najwyższą możliwą karę

Facebook prawdopodobnie będzie musiał zapłacić Wielkiej Brytanii karę w wysokości 500,000 funtów ($662,900). Kara ta zostanie ona nałożona przez tamtejszy organ ochrony danych osobowych (ang. Information Commissioner’s Office, ICO). Według ICO amerykański gigant nie zapewnił swoim użytkownikom odpowiedniej ochrony prywatności, łamiąc tym samym prawo.

Jak wynika z informacji podanych przez angielskie Biuro Rzecznika Informacji, Facebook nie zabezpieczył należycie danych osobowych swoich użytkowników a także nie ujawniał w jaki informacje te były zbierane przez podmioty zewnętrzne.

Czy jest szansa na porozumienie?

Jak podkreśliła w swoim oświadczeniu Elizabeth Denham, brytyjski Rzecznik Informacji: „Wiara i zaufanie w uczciwość naszych demokratycznych procesów została zakłócona, ponieważ przeciętny wyborca miał małe pojęcie o tym co działo się po drugiej stronie.” Dodała również, że „nowe technologie, które korzystają z analizy danych osobowych do personalizowania informacji, dają ugrupowaniom politycznym możliwość dotarcia do indywidualnych wyborców. Proces ten musi jednak odbywać się z poszanowaniem transparentności, uczciwości i zgodności z prawem.”

Wg organu nadzorczego, wpływ reklam behawioralnych na wybory będące przedmiotem analizy ICO był „znaczący”. Pani rzecznik w swoim oświadczeniu wezwała również do stworzenia kodeksu postępowania, który ma „uszczelnić system”, tak by, „wybory były uczciwe a ludzie rozumieli jak proces mikro – targetowania na nich oddziałuje.”

ICO stwierdziło także, że wyśle notatki z audytu oraz listy ostrzegawcze do jedenastu partii politycznych i wezwie je do dobrowolnej zgody na audyt ich polityki ochrony danych. Wystąpi także o wszczęcie postępowania karnego wobec SCL, spółki matki nieistniejącej już, ale nadal wzbudzającej duże kontrowersje Cambridge Analytica, zajmującej się analizą danych osobowych pod względem preferencji politycznych badanych osób. Przedsiębiorstwo to związane jest ze skandalem dotyczącym wyborów prezydenckich w USA oraz kampanii referendalnej w Wielkiej Brytanii z 2016 roku.

Możliwa kara nałożona na amerykański portal została ujawniona jako część raportu ICO badającego, czy dane osobowe użytkowników zostały niewłaściwe użyte podczas kampanii politycznej w 2016 roku przy okazji referendum w przedmiocie członkostwa Wielkiej Brytanii w Unii Europejskiej. Facebook ma możliwość wypowiedzenia się w przedmiocie kary zanim ICO podejmie ostateczną decyzję dotyczącą jej nałożenia.

Co na To Facebook?

Erin Egan, główny specjalista ds. prywatności Facebooka, wydał oświadczenie, w którym stwierdził, że amerykański gigant powinien był zrobić więcej w celu wyjaśnienia podejrzeń wobec Cambridge Analytica i podjąć działania jeszcze w 2015 roku. Dodał także, że portal społecznościowy ściśle współpracował z ICO w postępowaniu przeciwko firmie analitycznej, podobnie jak w USA i innych państwach. Podkreślił również, że po zapoznaniu się z raportem brytyjskiego organu Facebook postara się odpowiedzieć na niego w jak najkrótszym czasie.

Skandal związany z Cambridge Analytica wybuch na początku bieżącego roku.  Wtedy bowiem pojawiły się pierwsze zarzuty, że Facebook pozwolił na niezgodne z prawem udostępnienie firmie analitycznej danych 50 milionów użytkowników. Ponadto raporty zawierające te informacje podkreślają, że amerykański portal mógł być wykorzystywany jako środek do wpływania na wyborców podczas wyborów prezydenckich w USA w 2016 roku.

Wkrótce wyższe kary

Chociaż planowana kara nałożona przez ICO nie powinna szczególnie zaboleć amerykańskiego giganta (w I kwartale 2018 roku uzyskał on prawie 12 miliardów dolarów przychodu), może być ona przykładem dla państwowych organów zajmujących się ochroną danych osobowych w innych państwach. Ważny jest również aspekt wizerunkowy. Nałożenie kary przez ICO może spowodować starty wizerunkowe marki oraz przełożyć się np. na wyniki giełdowe. Może także otworzyć drogę do indywidualnych postępować cywilnych skierowanych przeciwko Facebookowie.

Nowe unijne prawo dotyczące ochrony danych osobowych (RODO) pozwala nałożyć na przedsiębiorstwo karę w wysokości do 20 milionów euro lub 4 % rocznego obrotu, w zależności od tego, która z nich jest wyższa.

To nie koniec problemów Facebooka. Razem z Google muszą stawić czoła oskarżeniom ze strony Maxa Schrema, który jest aktywistą działającym na rzecz ochrony prywatności. Skargi Schrema mogą doprowadzić do nałożenia bardzo wysokich kar. Twierdzi on bowiem, że amerykański portal oraz należące do niego WhatsApp i Instagram wymuszały na swoich użytkownikach zgodę na wykorzystywanie danych osobowych. Może to być uznane za sprzeczne z RODO. Istnieją także obawy, że amerykańska Federalna Komisja ds. Handlu może nałożyć na Facebooka rekordową karę za sprawę przekazywania danych Cambridge Analytica.

Więcej informacji jest znajduje się tutaj:

https://www.bbc.co.uk/news/technology-44785151

https://www.irishtimes.com/business/technology/facebook-faces-symbolic-500-000-fine-from-uk-regulator-1.3561204

Francuski organ nałożył pierwszą karę po rozpoczęciu stosowania RODO

Krajowa Komisja ds. Informatyki i Wolności (CNIL), francuski organ ochrony danych osobowych, nałożył sankcję w wysokości 250 tys. euro na Optical Center, tamtejszego sprzedawcę okularów. Przedsiębiorca ten działa głównie na terenie Francji, ale jego placówki znajdują się także w Hiszpanii, Kanadzie, Izraelu oraz Luksemburgu.

Przyczyną wymierzenia kary był wyciek danych klientów spółki, którzy dokonywali zakupów poprzez jej stronę internetową. W wyniku tego zdarzenia ponad 334 tysiące dokumentów zawierających dane osobowe użytkowników strony pozostawało bez ochrony. Wśród ujawnionych informacji znajdowały się imiona, nazwiska klientów oraz ich adresy. Jak podkreśliła CNIL, były one powszechnie dostępne po wpisaniu odpowiedniego adresu URL w wyszukiwarce. Ponadto w niektórych przypadkach osoby niepowołane mogły uzyskać dostęp do numerów identyfikacyjnych klientów, numerów ich ubezpieczenia społecznego oraz danych o stanie zdrowia (dotyczących np.: wady wzroku).

Postępowanie przeciwko Optical Center zostało wszczęte w lipcu 2017 roku, przed rozpoczęciem stosowania RODO. Ma to zasadnicze znaczenie, ponieważ unijne prawo przewiduje znacznie wyższe kary niż dotychczasowe francuskie rozwiązania w tej kwestii. RODO zakłada bowiem kary 4 % rocznego obrotu lub do 20 milionów euro, natomiast francuska ustawa o ochronie danych osobowych przewidywała karę do 3 milionów euro. Uchroniło to francuskiego przedsiębiorcę od odpowiedzialności pod reżimem rozporządzenia.

To kolejna sankcja nałożona na tego przedsiębiorcę w ciągu ostatnich kilku lat. W 2015 roku CNIL nałożyła na Optical Center karę w wysokości 50 tysięcy euro. Spowodowana była ona wynikami kontroli przeprowadzonej w przedsiębiorstwie. Okazało się bowiem, że spółka nie spełniała wymagań przewidzianych w francuskiej ustawie o ochronie danych osobowych. Między innymi nie zabezpieczała ona w sposób wystarczający swojej strony internetowej, a także nie przestrzegała zasad ochrony danych wewnątrz firmy.

Jest to najwyższa kara nałożona dotąd przez CNIL. W 2014 roku komisja wymierzyła karę w wysokości 150 tysięcy euro wobec Google za śledzenie i przechowywanie danych użytkowników. Co więcej, w 2017 roku nałożyła sankcję tej w tej samej wysokości na Facebooka w związku ze zmianami w polityce prywatności portalu.

Sejm przyjął nową ustawę o ochronie danych osobowych

Podczas obrad w dniu 10 maja 2018 r. Sejm uchwalił nową ustawę o ochronie danych osobowych, która doprecyzować unijne rozporządzenie w sprawie ochrony danych osobowych (tzw. RODO).

Więcej informacji o tym co zawiera nowa ustawa znajduje się tutaj.

Za ustawą głosowało 233 posłów, przeciw było 176 posłów,  25 posłów wstrzymało się od głosu.

Senat przyjął ustawę 16 maja 2018 r., oraz została przekazana do Prezydenta.

https://www.senat.gov.pl/aktualnosci/art,10667,60-posiedzenie-dzien-piaty.html

https://www.senat.gov.pl/prace/senat/posiedzenia/przebieg,506,5,glosowania.html

Tekst ustawy

http://orka.sejm.gov.pl/proc8.nsf/ustawy/2410_u.htm

Przebieg prac nad ustawą

 http://www.sejm.gov.pl/Sejm8.nsf/PrzebiegProc.xspid=26582134FFF5DA9CC125826C00345DD5

Komisja Europejska opublikowała sprostowanie RODO

Sprostowanie zmienia treść sześciu motywów i piętnastu artykułów rozporządzenia, jednak w dużej mierze są to zmiany redakcyjne. Dokumenty przygotowane w oparciu o dotychczasowe brzmienie rozporządzenia nie będą wymagały zmiany.

Na uwagę zasługuje fakt zmiany wprowadzonej w definicji danych osobowych, którymi w nowym brzmieniu będą wszelkie informacje o osobie fizycznej. Sprostowanie wprowadza też konsekwentne zastąpienie określenia „naruszenia prawa” określeniem „czyny zabronione” w całym tekście rozporządzenia. W przepisach dotyczących certyfikacji ujednolicono stosowanie zamiennie określenia „kryteria” i „warunki” certyfikacji wprowadzając termin „wymogi certyfikacji”

Treść całego sprostowania znajduje się na stronie:  http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf , sprostowanie odnoszące się do tekstu polskiego zaczyna się na stronie 258.

Nowa ustawa o ochronie danych osobowych- podsumowanie

5 kwietnia b.r. do Sejmu trafił rządowy projekt nowej ustawy o ochronie danych osobowych. Jak zapewnia Ministerstwo Cyfryzacji, nowa ustawa ma lepiej chronić dane osobowe obywateli i m.in. chronić przed handlem danymi. Do nowych regulacji będą musiały dostosować się wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Zmiany wynikają z konieczności dostosowania przepisów do Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dnia 27 kwietnia 2016 (RODO). Co w praktyce oznacza przyjęcie nowej ustawy?

Nowe organy

Zgodnie z projektem, zostanie ustanowiony niezależny organ zajmujący się sprawami ochrony danych osobowych – Prezes Urzędu Ochrony Danych Osobowych (PUODO) oraz organ doradczy – Rada do Spraw Ochrony Danych Osobowych. Nowy organ zastąpi dotychczasowy urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO). PUODO będzie powoływany na swoją kadencję przez Sejm za zgodą Senatu. Będzie on mógł kierować do organizacji wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. PUODO będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Będzie też mógł wydawać rekomendacje, jak odpowiednio zabezpieczać dane osobowe. Każdy podmiot będzie musiał jednak sam ocenić ryzyko związane z wyciekiem danych osobowych i dostosować odpowiednie środki zabezpieczające.

Szybsze postępowanie

Jednym z założeń projektu ma być usprawnienie prowadzonych obecnie postępowań. Nowe przepisy mają dać obywatelom nie tylko lepszą ochronę przed nieuczciwymi praktykami, ale uczynić też postępowania w sprawach ochrony danych osobowych szybszymi. Projekt przewiduje także zniesienie dotychczasowej dwuinstancyjności postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Dzięki temu rozwiązaniu obywatel będzie miał możliwość szybszego uzyskania sądowej ochrony swoich praw.

Proces certyfikacji

W związku z RODO do nowej ustawy dodano także rozdział odnoszący się do certyfikacji. Na mocy tych przepisów certyfikacji dokonywać będzie PUODO oraz organ certyfikujący (podmioty z sektora prywatnego), na wniosek zainteresowanego podmiotu. Kryteria certyfikacji będą udostępnione przez PUODO w Biuletynie Informacji Publicznej. Certyfikacja będzie dokonywana na zasadach określonych w RODO. Do wniosku powinny zostać dołączone dokumenty potwierdzające spełnianie kryteriów certyfikacji oraz, w przypadku certyfikacji dokonywanej przez PUODO, dowód wniesienia opłaty, ustalanej każdorazowo przez organ w wysokości odpowiadającej przewidywanym kosztom poniesionym z tytułu wykonywania tych czynności.

Kontrola przestrzegania przepisów

Projekt nowej ustawy określa sposób przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych. Według tych założeń kontrola będzie przeprowadzana przez pracowników Urzędu Ochrony Danych Osobowych, zgodnie z zatwierdzonym przez PUODO planem kontroli, na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania stosowania RODO. Na mocy nowej ustawy kontrolujący będą mieć prawo do m.in. wglądu do wszelkich dokumentów i informacji mających bezpośredni związek z zakresem kontroli, przeprowadzania oględzin, żądać złożenia wyjaśnień oraz przesłuchiwać w charakterze świadka. Kontrola będzie mogła być również przeprowadzona bez wcześniejszego poinformowania podmiotu kontrolowanego. Z przebiegu kontroli podmiot kontrolujący będzie miał obowiązek sporządzić protokół.

Odpowiedzialność prawna

Podmiot, który naruszy przepisy o ochronie danych osobowych, będzie musiał się liczyć z odpowiedzialnością odszkodowawczą. Istotną rolę w postępowaniu będzie odgrywał PUODO – postępowanie dotyczące tego samego naruszenia, toczące się przed PUODO może spowodować zawieszenie, a nawet umorzenie postępowania sądowego. PUODO będzie mógł również wstąpić do toczącego się procesu w każdym jego stadium za zgodą powoda, wytaczać powództwa na rzecz osoby, której dane dotyczą,  przedstawić sądowi istotny dla sprawy pogląd. Projekt uprawnia PUODO do nakładania kar pieniężnych w drodze decyzji administracyjnej. Za bezprawne przetwarzanie danych osobowych będzie groziła również kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Taka sama kara będzie grozić także za udaremnianie lub utrudnianie przeprowadzenia kontroli.

Kodeksy postępowania

Projekt ustawy odnosi się również do kodeksów postępowania, o których mowa w art. 40 RODO. Według założeń rozporządzenia, mają one pomagać  we właściwym stosowaniu przepisów RODO z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Każdy projekt kodeksu przed zatwierdzeniem przez PUODO będzie podlegał konsultacjom z zainteresowanymi podmiotami. Przestrzeganie zatwierdzonego kodeksu postępowania będzie monitorowany przez podmiot akredytowany przez PUODO.

Tryb zgłaszania naruszeń ochrony

Projekt nowej ustawy o ochronie danych osobowych stwarza możliwość stworzenia systemu teleinformatycznego, którego celem będzie umożliwienie administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych. Prowadzenie systemu w razie jego utworzenia będzie powierzone PUODO. Obowiązek zgłaszania naruszeń wynika z art. 33 RODO. Administrator danych osobowych jest obowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych.

Projekt po uchwaleniu zapewni skuteczne stosowanie przepisów RODO, które nakłada na przedsiębiorców szereg obowiązków związanych z ochroną danych osobowych. Dużym ułatwieniem będzie  stworzenie systemu teleinformatycznego, za pomocą którego będzie możliwe zgłaszanie naruszeń ochrony danych. Nowelizacja ma na celu dostosowanie polskiego prawodawstwa do unijnych standardów. W projekcie zmienione zostały postanowienia dotychczas obowiązującej ustawy o ochronie danych osobowych, które są sprzeczne z unijnym rozporządzeniem, a także uaktualniono i dodano niezbędne regulacje.

 

Źródło:

Projekt ustawy o ochronie danych osobowych (: http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=2410😉

Ministerstwo Cyfryzacji (https://www.gov.pl/cyfryzacja/dane-osobowe-obywateli-beda-lepiej-chronione; https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych😉

Konferencja RODO SOLUTIONS „Jak promować i sprzedawać zgodnie z RODO i e-Privacy”

Serdecznie zapraszam na konferencję RODO SOLUTIONS „Jak promować i sprzedawać zgodnie z RODO i e-Privacy”. Będę miał przyjemność wystąpić na niej jako jeden z prelegentów. Temat mojego wystąpienia to: „Zbuduj swój RODOCHRON, czyli jakie działania wdrożeniowe powinna podjąć firma, aby zgodnie z RODO realizować marketing i sprzedaż po 25 maja 2018 r.” . Na konferncji, oprócz wartościowych prelekcji, będzie istniała możliwość poznania rozwiązań wspierających w dostosowaniu się do RODO. Poniżej umieszczam informacje od ogranizatora:

Już 25 maja 2018 roku obudzimy się w nowej rzeczywistości RODO/GDPR. Funkcjonowanie działów marketingu i sprzedaży oraz całych przedsiębiorstw związane z pracą na danych osobowych zacznie działać na zupełnie nowych, czasami dużo trudniejszych zasadach. Staniemy przed dylematem, czy na pewno nasze działania prowadzone są zgodnie z prawem i nowymi regulacjami, czy posiadane przez nas bazy klientów są nadal legalne i czy nie narażamy się na ogromne kary, jakie mogą na nas spaść, gdy złamiemy nowe przepisy. O tym, jak poradzić sobie w nowym otoczeniu, nie zagubić się w gąszczu regulacji i obowiązków, ochronić się przed karami i przede wszystkim – zachować ciągłość pracy i nie utracić posiadanych baz danych, dowiecie się Państwo podczas naszego wydarzenia – RODO SOLUTIONS, które odbędzie się jutro, czyli 9 lutego 2018r w Warszawie.

Będzie to wyjątkowe wydarzenie o rozszerzonej formule, gdzie oprócz konferencji zaplanowaliśmy dla Państwa specjalną strefę konsultacji i prezentacji rozwiązań dla RODO. W przerwach pomiędzy wystąpieniami uznanych ekspertów, będzie niepowtarzalna możliwość bezpośrednich rozmów i konsultacji ze specjalistami z dziedziny prawa, IT, marketingu, którzy wskażą Państwu konkretne, praktyczne rozwiązania do zastosowania w Państwa firmach.

Do udziału w konferencji zapraszamy:

– Administratorów Bezpieczeństwa Informacji

– Dyrektorów i managerów ds. CRM i IT

– Dyrektorów i managerów ds. CRM i IT

– Dyrektorów, managerów i pracowników działów marketingu i sprzedaży

– Pracowników działów Compliance

– Specjalistów e-commerce

– Osoby kierujące projektami związanymi z przetwarzanie danych

– Prawników „wewnętrznych” w firmach

– Przedstawicieli podmiotów przetwarzających dane osobowe na zlecenie

– Wszystkie inne osoby zajmujące się ochroną lub przetwarzaniem danych osobowych

 

Podczas wydarzenia uczestnicy dowiedzą się:

– Jakie najistotniejsze zmiany zostaną wprowadzone przez RODO z punktu widzenia marketingu i sprzedaży ?

– Co firma powinna zrobić już, a co może zaczekać do 25 maja 2018 roku?

– Jak sprawdzić, czy bazy marketingowe,  które posiadamy będą legalne po rozpoczęciu stosowania RODO?

– Co powinniśmy zrobić przed 25 maja 2018 r. w relacjach z kontrahentami/ podwykonawcami?

– Jak uzyskać nowe zgody na przetwarzanie danych osobowych i co powinny zawierać?

– Jak poradzić sobie z zakazem automatycznego profilowania klientów (wiek, płeć, zainteresowania)?

– Jak bezpiecznie pozyskiwać dane dla swojego biznesu z zewnętrznych źródeł?

– Jak skutecznie budować relacje z potencjalnym klientem w kontekście wytycznych RODO.

– Personalizacja komunikacji a nowe prawo.

– Dlaczego wg regulacji RODO zaangażowanie klienta staje się kluczowe w 2018 roku.

– A może outsourcing? Kto może być podmiotem przetwarzającym (konieczność weryfikacji podmiotów przetwarzających)?

– Jakie elementy powinna zawierać umowa administratora z przedmiotem przetwarzającym?

– Jak zabezpieczyć się przed karami?

– Jak prowadzić sprzedaż telefoniczną?

– Jakie istotne zmiany wprowadza RODO w branży e-commerce?

– Jakie rozwiązania IT mogą nam pomóc?

W programie liczne case study, praktyczne porady i rozwiązania.

Więcej informacji na stronie www.rodosolutions.pl