Publikacje
Czy zgoda jest jedyną przesłanką przetwarzania zwykłych danych osobowych?
Zgoda udzielona przez osobę jest autonomiczną i wystarczającą podstawą prawną do przetwarzania danych osobowych. Warto jednak zwrócić uwagę, że zbieranie zgody podmiotu danych nie jest zawsze koniecznością, bowiem przepisy RODO wskazują także inne warunki, których spełnienie legalizuje proces przetwarzania danych. Art. 6 RODO zawierają katalog sześciu przesłanek, które mogą stać się legalną podstawą przetwarzania danych osobowych. Należy pamiętać, że mają one charakter niezależny, co oznacza, że wystarczy spełnienie tylko jednej z nich, by proces przetwarzania był zgodny z prawem.
Zgoda jako podstawa prawna
Wspomniana w tytule zgoda podmiotu danych jest bardzo często występującą podstawą procesu przetwarzania. Art. 4 RODO określa zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą. Zgoda może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie dotyczących jej danych osobowych pisemnej, elektronicznej lub ustnej. Zgoda może być zatem udzielona m.in. za pomocą: checkboxa, ustnego oświadczenia, jednoznacznego działania, podpisu pod klauzulą lub przyjęcia odpowiednich ustawień przeglądarki.
Formularz zgody nie może zawierać skomplikowanych, niejasnych sformułowań, musi zostać także wyodrębniony z innych dokumentów, aby osoba wyrażająca zgodę nie miała wątpliwości, że właśnie udziela jakiemuś podmiotowi zezwolenia na przetwarzanie danych osobowych. Oświadczenie o wyrażaniu zgody może zostać uznane za świadome tylko wtedy, gdy podmiot danych posiada informacje przynajmniej o celu przetwarzania danych oraz tożsamości podmiotu, któremu swoje dane udostępnia. By spełniona została przesłanka dobrowolności, osoba, której dane dotyczą, musi mieć możliwość rzeczywistego i wolnego wyboru, a więc odmowa lub wycofanie zgody nie mogą wiązać się z negatywnymi konsekwencjami.
Zgoda nie będzie stanowiła podstawy prawnej przetwarzania danych osobowych w sytuacjach, gdy:
- występuje wyraźna nierównowaga między ADO a osobą, której dane dotyczą; w szczególności dotyczy to stosunków na linii obywatel – organ publiczny;
- nie można udzielić zgody na różne czynności z zakresu przetwarzania danych z osobna;
- od udzielenia zgody uzależnione jest wykonanie umowy.
Więcej na temat zgody na przetwarzanie danych dowiesz się z artykułu „Kiedy zgoda na przetwarzanie danych jest ważna?„.
Jakie inne przesłanki wymienia art. 6 RODO?
Oprócz wspomnianej wcześniej zgody osoby uprawnionej, rozporządzenie za legalne uznaje przetwarzanie danych w sytuacjach, gdy:
- jest ono niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- jest ono niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Wykonanie umowy
Proces przetwarzania danych jest zgodny z prawem, jeżeli jest on związany z zawarciem umowy lub wykonaniem czynności, które zmierzają do zawarcia umowy. Oznacza to, że dokonanie czynności przed zawarciem umowy, które podejmowane są na żądanie osoby, której dane dotyczą, nie wymaga uzyskiwania dodatkowej zgody od tej osoby.
Obowiązek prawny
Przetwarzanie danych jest uznawane za legalne, jeżeli ono konieczne do spełnienia obowiązku prawnego ciążącego na administratorze. W tej sytuacji podstawą prawną są przepisy prawa UE lub państwa członkowskiego (np. polskie przepisy).
RODO nie wymaga, żeby dla każdej czynności wchodzącej w zakres procesu przetwarzania istniała szczegółowa podstawa prawna. Obowiązek prawny, któremu podlega administrator, może być podstawą różnych działań związanych z przetwarzaniem danych. Ponadto źródłem obowiązku mogą być nie tylko ustawy, ale także akty prawa miejscowego.
Ochrona żywotnych interesów
Proces przetwarzania jest zgodny z art. 6 RODO także w sytuacji, gdy jest on niezbędny do ochrony interesu mającego istotne znaczenie dla osoby, której dane dotyczą lub innej osoby fizycznej. Przesłanka ta może być podstawą przetwarzania tylko wtedy, gdy przetwarzanie danych osobowych jest wymagane do ratowania życia lub zdrowia osób.
Realizacja interesu publicznego
W sytuacji, gdy przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym, proces ten legalizowany jest przez prawo UE lub państwa członkowskiego. Rozporządzenie nie wymaga, by do każdego procesu przetwarzania istniała oddzielna podstawa prawna. Niemniej prawo to powinno określać, kto będzie administratorem tych danych oraz jaki interes publiczny jest w tym przypadku realizowany.
Prawnie uzasadniony interes administratora
Przesłanka ta ma miejsce w sytuacji, gdy istnieją odpowiednie powiązania między osobą, której dane dotyczą, a administratorem danych (np.: osoba ta jest klientem administratora lub z nim współpracuje). Występuje ona także wtedy, gdy przetwarzanie danych jest niezbędne do zapobiegania oszustwom, np. zastosowanie monitoringu. Za taki interes można również uznać przetwarzanie danych w ramach marketingu bezpośredniego. Przesłanka ta nie ma jednak zastosowania do działalności organów publicznych w zakresie wykonywania przez nich zadań ustawowych, dla których podstawę prawną przetwarzania danych powinien określić ustawodawca.
Podsumowanie
Reasumując, zgoda osoby uprawnionej nie jest jedyną przesłanką przetwarzania danych osobowych. Art. 6 RODO wymienia także zestaw innych warunków, które mogą stać się podstawą prawną przetwarzania. Warto pamiętać, że jest to katalog niezależny od siebie, w związku z czym spełnienie jednej przesłanki jest wystarczające do tego, by działanie było zgodne z prawem. Od tych przesłanek należy odróżnić przetwarzanie danych szczególnych kategorii (czyli danych wrażliwych, określonych w art. 9 RODO). Do tej kategorii danych będziemy stosować również inne podstawy prawne niż w przypadku danych osobowych zwykłych.
Jak prawidłowo udostępnić dane kontaktowe IOD?
W wytycznych opublikowanych na stronie urzędu (UODO) zwraca się uwagę na obowiązek udostępniania danych kontaktowych inspektora i podkreśla się, że powinny one znajdować się w ogólnie dostępnym miejscu. Dane kontaktowe IOD Zgodnie z art. 11 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku – danymi kontaktowymi są…
Przeczytaj więcej tutaj: Jak prawidłowo udostępnić dane kontaktowe IOD?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)
Kiedy zgoda na przetwarzanie danych jest ważna?
Zgoda podmiotu danych jest jedną z sześciu przesłanek określonych w art. 6 ust. 1 RODO, które legalizują proces przetwarzania danych. Jak każda z przesłanek może być stosowana autonomicznie. Administrator danych zarówno podczas bieżącej działalności lub audytu / wdrożenia RODO powinien za każdym razem rozważyć jednak, czy zgoda w konkretnym przypadku…
Przeczytaj więcej tutaj: Kiedy zgoda na przetwarzanie danych jest ważna?
Artykuł pojawił się pierwszy raz na stronie eRODO.pl
Jedynie 20.000 Euro kary za wyciek danych osobowych 2 MLN rekordów? Wyjaśniamy dlaczego.
Niemiecki serwis randkowy (knuddels.de) został ukarany grzywną 20 tyś. EURO za wyciek danych ponad 2 MLN osób. Do wycieku doszło we wrześniu tego roku. Po upływie kilku miesięcy właściwy organ nadzoru Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Badenii-Wirtembergii) – nałożył na firmę karę w wysokości 20.000 EURO.
Mimo obowiązywania RODO od 25 maja 2018 roku, nadal wiele firm nie uporało się z odpowiednim zabezpieczeniem danych. Wyciek niezanimizowanych danych, brak szyfrowania haseł – wszystko to może mieć katastrofalne skutki. Choć rozporządzenie nie wskazuje jednoznacznie, jakie środki powinny być wdrożone przez podmioty przetwarzające dane osobowe, tak precyzyjnie określa wysokość maksymalnych kar dla podmiotów, które nie zapewnią odpowiedniego poziomu ochrony danych.
20.000 Euro kary za wyciek prawie 2 milionów haseł
Patrząc na wymiary kar, jakie zakłada RODO (do 20 MLN EUR) niemiecki serwis randkowy otrzymał stosunkowo niską karę. Należy zauważyć, że wyciekło około 2 miliony loginów i haseł oraz ponad 800 tysięcy adresów e-mail. Warto jednak zwrócić uwagę na argumentację przyjętą przez organ.
Dlaczego niemiecki serwis otrzymał tak niski wymiar kary?
Analizując ilość utraconych danych oraz maksymalne kary, jakie przewiduje RODO, można mieć wątpliwości, z czego wynika kwota 20.000 Euro. Należy jednak przeanalizować okoliczności, jakie wziął pod uwagę organ nakładając grzywnę. Niemiecki serwis randkowy natychmiast i w sposób przejrzysty zgłosił wyciek, a także wdrożył prace mające na celu poprawę bezpieczeństwa danych. Z informacji udzielonych przez pracowników[1] obsługa incydentu wyglądała następująco:
środa, 5 września
21:06
Nieznany sprawca opublikował 8000 danych na Pastebin.com. Wpis składa się z pseudonimów, hasła, adresu e-mail (w 57% przypadków), imienia (w 41% przypadków) i miejsca zamieszkania (w 30% przypadków).
Oficer ds. Bezpieczeństwa IT, który jest byłym członkiem Knuddels, zauważa wpis i kontaktuje się z Knuddels.com przez e-mail.
Czwartek, 6 września
10.40
Wiadomość e-mail jest odczytywana przez zespół pomocy Knuddels.de, a informacje są natychmiast przekazywane dalej w firmie.
13:45
W tym czasie sprawdzane jest autentyczność wiadomości oraz pierwsze bezpośrednie środki w celu ochrony 8.000 użytkowników. Ponadto podjęto również środki awaryjne dla wszystkich użytkowników:
- Usunięcie danych na Pastebin.com
- Tymczasowa dezaktywacja wszystkich znanych, dotkniętych problemem danych dostępowych
- Usunięcie niezaszyfrowanych haseł we wszystkich rekordach
- Opracowanie komponentu, który prowadzi wszystkich członków po zalogowaniu się na stronie w celu odświeżenia hasła
- Sprawdzenie serwera pod kątem możliwych wektorów ataku
- Powiadomienie inspektora ochrony danych firmy Knuddels.de
Piątek, 7 września
1.30 rano
Zakończenie działań z 6 września.
14.00
Serwer Knuddels.at jest aktualizowany. Wraz z aktualizacją Knuddels.de zaczną obowiązywać wszystkie zabezpieczenia. Jednocześnie wszyscy członkowie publicznego forum, a także Facebook i Instagram są informowani o działaniach i wycieku danych.
14:24
Knuddels.de otrzymuje od członka społeczności link do forum „nulled.to”, w którym oprócz znanego wycieku Pastebin.com został powiązany inny link do Pastebina z 8 000 innych rekordów. Ponadto artykuł zawiera link do „mega.nz”, pod którym opublikowano 1 872 000 pseudonimów.
W związku ze zmienioną sytuacją podejmowane są dalszych działania:
- Poinformowanie wszystkich członków tak szybko, jak to możliwe, przez e-mail
- Wszyscy członkowie muszą ustawić nowe hasło podczas logowania
- Członkowie, którzy nie logują się za pomocą znanego nam urządzenia, otrzymają link przez e-mail lub SMS, aby ustawić nowe hasło
- Pliki dzienników, które mogą zawierać dane członków, są szyfrowane
16:56
Knuddels.de informuje swoich członków na forum oraz Facebooku i Instagramie.
Przed 22:00
Kolejne środki są wdrażane na Knuddels.at
Około 22:45
Wdrażanie nowych środków bezpieczeństwa na Knuddels.de. Jednocześnie rozpoczynają się wiadomości e-mail informujące o wycieku danych, w których prosi się członków o zmianę danych na wszystkich platformach korzystających z tych samych lub podobnych informacji o koncie.
Czas od otrzymiania wiadomości do zamknięcia incydentu: 49 godzin i 45 minut.
Po Incydencie
Poinformowany urząd nadzoru w zakresie ochrony danych nakłada grzywnę, ale składa hołd w szczególności na fakt, że Knuddels.de wzorcowo przeprowadził procedurę reakcji na incydent zarówno pod względem kompleksowych informacji i przejrzystości, jak i pod względem wdrożenia środków technicznych służących poprawie bezpieczeństwa danych.
Czy kara 20.000 Euro jest adekwatna do rozmiaru wycieku danych (ok. 10 groszy za rekord)? Nie da się zaprzeczyć, że niemiecki organ nakładając karę słusznie wziął pod uwagę działania, jakie zostały podjęte przez firmę, aby zapobiec dalszej utracie danych. Niemniej jednak trudno jest dopatrzeć proporcjonalności pomiędzy karą a samym rozmiarem wycieku danych. Jednak ten wyciek pokazuje nam, że tylko sprawne i przejrzyste działania mogą znacznie obniżać ryzyko kary.
Więcej informacji można uzyskać:
https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245
https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/
[1] https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245
Materiały dla słuchaczy studiów podyplomowych
Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z mojego wykładu. Archiwum zabezpieczone jest tym samym hasłem które podałem Państwu na wykładach
Jak przeprowadzić audyt RODO?
Chcąc wdrożyć sprawnie i dobrze RODO w swojej firmie, musimy na początku odpowiednio przygotować się do tego. Formą takiego przygotowania powinien być audyt zgodność z RODO. Wiele firm na początku naszej współpracy zadaje pytanie o sensowność przeprowadzenia audytu przed wdrożeniem RODO. Jest co najmniej kilka powodów, które przemawiają za jego…
Przeczytaj więcej tutaj: Jak przeprowadzić audyt RODO?
Artykuł pojawił się pierwszy raz na stronie eRODO.pl
W Portugalii nałożono pierwszą karę w wysokości 400 000 € pod reżimem RODO
Comissão Nacional de Proteção de Dados (CNPD) – portugalski odpowiednik naszego UODO nałożył na tamtejszy szpital Barreiro-Montijo karę w wysokości 400 000 euro. Przyczyną zastosowania tak radykalnej sankcji był nieuprawniony dostęp do danych klinicznych pacjentów.
Skąd tak wysoka kara?
W decyzji CNPD możemy przeczytać:
„Pozwany działał umyślnie, wiedząc, że był zobowiązany do zastosowania technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, a także do zarządzania i rozgraniczania ich dostępu do profili informacyjnych, warstwując je zgodnie z różnymi przywilejami[…]”
Zgodnie z ustaleniami dokonanymi przez organ nadzorczy, dostęp do danych pacjentów miało 985 aktywnych kont, jednakże w szpitalu zatrudnionych było 296 lekarzy. Dodatkowo, okazuje się, że szpital nie dokonał odpowiednich kroków, by zapewnić bezpieczeństwo danych medycznych. Zarzuca się w szczególności nieodpowiednie procedury podjęte przy ich przechowywaniu i niewłaściwe przydzielanie dostępów. CNPD obwinia również administrację szpitala za niepodjęcie środków koniecznych do zapewnienia, że profile lekarzy, którzy nie pracują już w Barreiro zostały wyeliminowane. Szpitalowi zarzuca się naruszenie zasad: integralności, poufności i minimalizacji danych.
Szpital odpowiada
Władze szpitala tłumaczą, że aktywność kont była spowodowana przejściowym incydentem związanym z ograniczeniami programu do przechowywania danych pacjentów dostarczanego przez firmy trzecie i dlatego część kont należy do pracowników, którzy zakończyli pracę dla szpitala i tych, którzy z nim współpracują. Podnoszona jest także wątpliwa kompetencja CNPD do nałożenia kary, w związku z niezakończonym procesem legislacyjnym związanym z RODO w Portugalii.
Żródła:
http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos?fbclid=IwAR336KzIUqZI3XIL-YUQTtbAWltQ2lMMOk01LNgl62P0A3Nn2BOZoQoJ1gQ
https://www.jornaldenegocios.pt/economia/saude/detalhe/hospital-do-barreiro-multado-em-400-mil-euros-por-nao-proteger-dados-clinicos-dos-doentes
Jak formalnie wyznaczyć IOD? (+ wzór uchwały/zarządzenia)
Jeżeli posiadasz już idealnego kandydata na IOD, spełniającego wymagania omówione w tym artykule, możesz teraz przejść do drugiego kroku, jakim jest wyznaczenie IOD. Unijne rozporządzenie dotyczące ochrony danych osobowych nie określa precyzyjnie formy wyznaczania IOD. Art. 37 ust. 4 RODO zawiera tylko informację, że: „(…) administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych.” Wykładnia językowa tego artykułu wskazuje na fakultatywność wyznaczenia IOD, jeżeli wymóg taki nie jest przewidziany w RODO lub w ustawach krajowych. O tym w jakich wypadkach wyznaczenie IOD jest obligatoryjne pisaliśmy…
Artykuł: Jak formalnie wyznaczyć IOD? (+ wzór uchwały/zarządzenia) pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)
W Austrii nałożono pierwszą karę pod reżimem RODO
Datenschutzbehörde (DSB)- austriacki organ, który stoi na straży przepisów o ochronie danych osobowych – odpowiednik naszego UODO – nałożył karę na przedsiębiorcę w wysokości 4.800 euro. Jest to pierwszy przypadek zastosowania kary na podstawie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Warto jednak nadmienić, że austriacka ustawa o ochronie danych osobowych stanowi, że przed nałożeniem kary w pierwszej kolejności DSB będzie wydawał upomnienia i nakazywał zaniechania naruszeń.
Dlaczego jednak wydano postanowienie o nałożeniu kary?
Austriacki przedsiębiorca zainstalował kamerę przed budynkiem swojej firmy. Jak udało się ustalić, kamera swoim zasięgiem obejmowała także dużą część chodnika, co zostało uznane za kontrolę przestrzeni publicznej. Dodatkowo, kamera nie była odpowiednio oznaczona jako nagrywająca obraz.
Austriacki organ uznał, że jest to niezgodne z postanowieniami RODO i zdecydował o nałożeniu kary. Kara nie jest jednak zbyt wysoka. DSB podkreśla, że grzywny powinny być nakładane zgodnie z zasadą proporcjonalności. Dlatego nie można na przedsiębiorcę wielomilionowej kary nieproporcjonalnej do jego dochodów.
Coraz więcej skarg
Jak potwierdza DSB przez pierwsze 100 dni obowiązywania RODO w Austrii odebrał około 1000 skarg i zawiadomień o naruszeniach. Dla porównania polski UODO odebrał w tym samym okresie około 2400 skarg, ponad tysiąc pytań prawnych i dodatkowo ponad tysiąc zgłoszeń dotyczących naruszeń rozporządzenia.
Warto wspomnieć, że w Polsce kamery zostały potraktowane ulgowo, z uwagi na niemożność ich błyskawicznego usunięcia i UODO pozwolił na dostosowanie monitoringów tak, by ich działanie było zgodne z RODO.
Źródła:
Materiały dla słuchaczy studiów podyplomowych
Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z mojego wykładu. Archiwum zabezpieczone jest tym samym hasłem które podałem Państwu na wykładach.