PUODO
Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu kontroli w Urzędzie Miasta Aleksandrowa Kujawskiego stwierdził szereg naruszeń przepisów RODO i nałożył na burmistrza miasta karę wynoszącą 40 tys. złotych. Jest to pierwsza kara nałożona na urząd publiczny.
Uchybienia stwierdzone przez PUODO dotyczą:
- umów powierzenia
- zasady ograniczonego przechowywania danych
- tworzenia kopii zapasowych i przeprowadzania analizy ryzyka
- rejestru czynności przetwarzania
Umowy powierzenia
Umowy powierzenia zostały wprowadzone przez RODO z artykułem 28 ust. 3 w celu zalegalizowania procesu przekazywania danych pomiędzy podmiotami oraz zachowania poufności danych. Przepis ten został naruszony przez Urząd Miasta w związku z brakiem zawarcia takich umów z dwoma spółkami. W jednym przypadku nie sformalizowano przekazywania danych w przypadku udostępniania biuletynu BIP urzędu z serwerów spółki, a w drugim przypadku serwisowana tego biuletynu oraz dostarczania oprogramowania do jego stworzenia. Brak umów stanowił również naruszenie zasady przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).
Zasada ograniczonego przechowywania danych
Zgodnie z rozporządzeniem, należy systematycznie monitorować, czy podstawa prawna do przetwarzania przez nas danych nadal obowiązuje. Dane osobowe mogą być zbierane tylko w wyraźnie określonym i prawnie uzasadnionym celu. Jeżeli natomiast cel ten ustał, dane takie należy usunąć bądź zanonimizować. Okres przechowywania (retencji) może wynikać wprost z przepisów prawa, a jeżeli w danym przypadku nie jest on uregulowany, to administrator powinien go określić samodzielnie, adekwatnie do celów w jakich te dane przetwarza. Urząd Miasta w Aleksandrowie nie wprowadził procedur takiego przeglądu, i tak na stronie BIP widniały oświadczenia majątkowe najważniejszych urzędników z 2010 r., pomimo tego że dozwolony okres ich przechowywania wynosi 6 lat. W związku z powyższym naruszona została wynikająca z art. 5 ust. 1 lit. e zasada ograniczonego przechowywania danych.
Tworzenie kopii zapasowych i przeprowadzanie analizy ryzyka
Administrator, zgodnie z art. 32 ust. 1 lit. b i c ma obowiązek zapewnić poufność, integralność, dostępność i odporność systemów i usług przetwarzania, a także zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Oznacza to konieczność ochrony danych przed ich uszkodzeniem i zniszczeniem, a także konieczność zapewnienia możliwości przywrócenia uszkodzonych danych do stanu umożliwiającego ich przetwarzanie. Celowi temu służy między innymi opracowanie i wdrożenie procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Podczas omawianej kontroli PUODO, analizując publikację zapisów posiedzeń rady miejskiej w serwisie Youtube, zauważył, że w BIP widnieją jedynie linki do tych nagrań. Urząd nie posiadał żadnych dodatkowych kopii materiałów, które zobowiązany jest publikować, a więc w razie utraty danych zapisanych na Youtube, nie byłby w stanie wywiązać się ze swoich obowiązków. Ponadto RODO wprowadza obowiązek szacowania ryzyka związanego z przetwarzaniem danych osobowych w celu zapewnienia bezpieczeństwa przetwarzania. Po przeprowadzeniu analizy ryzyka możemy stwierdzić czy mamy do czynienia z wysokim ryzykiem i czy konieczne jest przeprowadzenie oceny skutków. Pomaga również w doborze odpowiednich zabezpieczeń. Urząd miasta nie przeprowadził takiej analizy w związku z publikacją nagrań z posiedzeń rady wyłącznie w zewnętrznym serwisie. Niezastosowanie się do powyższych wymogów stanowiło naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).
Rejestr czynności przetwarzania
Rejestr czynności przetwarzania pozwala na stałą weryfikację swojej działalności w zakresie przetwarzania danych osobowych oraz poddawanie ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Kontrola PUODO wykazała istotne braki w prowadzonym przez Urząd Miasta rejestrze czynności przetwarzania. Przede wszystkim nie było w nim wskazanych wszystkich odbiorców danych. Brakowało również wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.
Biorąc pod uwagę, że limit kar dla administracji wynosi 100 tysięcy złotych, omawiana kara jest karą wysoką. Ponadto PUODO nakazał podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.
Na stronie Urzędu Ochrony Danych Osobowych został opublikowany plan kontroli sektorowych. Zgodnie z nim w 2019 roku UODO zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów.
Poniżej prezentujemy sektory, które są objęte zakres kontroli planowych.
💲 Sektor prywatny
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.
🛄Sektor publiczny
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania
korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób
dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru
członków
💗Sektor zdrowia, zatrudnienia i szkolnictwa
I. Szkoły i placówki oświatowe – przetwarzanie danych osobowych rejestrowanych za
pomocą systemu monitoringu wizyjnego (cd. sektora rozpoczętego w IV kwartale 2018
r.).
II. Pracodawcy – przetwarzanie danych osobowych rejestrowanych za pomocą systemu
monitoringu wizyjnego. Przetwarzanie danych w związku z rekrutacją.
III. Podmioty udzielające świadczeń zdrowotnych – przetwarzanie danych osobowych w
związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta
do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia
oraz udzielonych mu świadczeń zdrowotnych.
⚖️Sektor organów ścigania i sądów
I. Policja – środki techniczne i organizacyjne mające na celu zapobiegnięcie
nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników
danych, realizacja obowiązków związanych z wewnętrzną obsługą oraz notyfikacją w
PUODO naruszeń ochrony danych osobowych
II. Straż Graniczna – ustalenie środków mających na celu zapobiegnięcie
nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu
oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych
oraz zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub
usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia
nośników danych
III. Areszty Śledcze – środki mające na celu zapobieżenie nieuprawnionemu odczytywaniu,
kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania
lub podczas przenoszenia nośników danych, a także zapewnienie osobom,
uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania, dostępu
wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem,
sposoby udostępniania danych osobowych osadzonych, podstawy prawnej, celu
i zakresu ich udostępniania.
IV. Systemy SIS/VIS – kontrolą objęte będą podmioty uprawnione do dostępu
do systemów SIS/VIS. Zakresem kontroli objęta będzie realizacja zadań w
Niemiecki serwis randkowy (knuddels.de) został ukarany grzywną 20 tyś. EURO za wyciek danych ponad 2 MLN osób. Do wycieku doszło we wrześniu tego roku. Po upływie kilku miesięcy właściwy organ nadzoru Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Badenii-Wirtembergii) – nałożył na firmę karę w wysokości 20.000 EURO.
Mimo obowiązywania RODO od 25 maja 2018 roku, nadal wiele firm nie uporało się z odpowiednim zabezpieczeniem danych. Wyciek niezanimizowanych danych, brak szyfrowania haseł – wszystko to może mieć katastrofalne skutki. Choć rozporządzenie nie wskazuje jednoznacznie, jakie środki powinny być wdrożone przez podmioty przetwarzające dane osobowe, tak precyzyjnie określa wysokość maksymalnych kar dla podmiotów, które nie zapewnią odpowiedniego poziomu ochrony danych.
20.000 Euro kary za wyciek prawie 2 milionów haseł
Patrząc na wymiary kar, jakie zakłada RODO (do 20 MLN EUR) niemiecki serwis randkowy otrzymał stosunkowo niską karę. Należy zauważyć, że wyciekło około 2 miliony loginów i haseł oraz ponad 800 tysięcy adresów e-mail. Warto jednak zwrócić uwagę na argumentację przyjętą przez organ.
Dlaczego niemiecki serwis otrzymał tak niski wymiar kary?
Analizując ilość utraconych danych oraz maksymalne kary, jakie przewiduje RODO, można mieć wątpliwości, z czego wynika kwota 20.000 Euro. Należy jednak przeanalizować okoliczności, jakie wziął pod uwagę organ nakładając grzywnę. Niemiecki serwis randkowy natychmiast i w sposób przejrzysty zgłosił wyciek, a także wdrożył prace mające na celu poprawę bezpieczeństwa danych. Z informacji udzielonych przez pracowników[1] obsługa incydentu wyglądała następująco:
środa, 5 września
21:06
Nieznany sprawca opublikował 8000 danych na Pastebin.com. Wpis składa się z pseudonimów, hasła, adresu e-mail (w 57% przypadków), imienia (w 41% przypadków) i miejsca zamieszkania (w 30% przypadków).
Oficer ds. Bezpieczeństwa IT, który jest byłym członkiem Knuddels, zauważa wpis i kontaktuje się z Knuddels.com przez e-mail.
Czwartek, 6 września
10.40
Wiadomość e-mail jest odczytywana przez zespół pomocy Knuddels.de, a informacje są natychmiast przekazywane dalej w firmie.
13:45
W tym czasie sprawdzane jest autentyczność wiadomości oraz pierwsze bezpośrednie środki w celu ochrony 8.000 użytkowników. Ponadto podjęto również środki awaryjne dla wszystkich użytkowników:
- Usunięcie danych na Pastebin.com
- Tymczasowa dezaktywacja wszystkich znanych, dotkniętych problemem danych dostępowych
- Usunięcie niezaszyfrowanych haseł we wszystkich rekordach
- Opracowanie komponentu, który prowadzi wszystkich członków po zalogowaniu się na stronie w celu odświeżenia hasła
- Sprawdzenie serwera pod kątem możliwych wektorów ataku
- Powiadomienie inspektora ochrony danych firmy Knuddels.de
Piątek, 7 września
1.30 rano
Zakończenie działań z 6 września.
14.00
Serwer Knuddels.at jest aktualizowany. Wraz z aktualizacją Knuddels.de zaczną obowiązywać wszystkie zabezpieczenia. Jednocześnie wszyscy członkowie publicznego forum, a także Facebook i Instagram są informowani o działaniach i wycieku danych.
14:24
Knuddels.de otrzymuje od członka społeczności link do forum „nulled.to”, w którym oprócz znanego wycieku Pastebin.com został powiązany inny link do Pastebina z 8 000 innych rekordów. Ponadto artykuł zawiera link do „mega.nz”, pod którym opublikowano 1 872 000 pseudonimów.
W związku ze zmienioną sytuacją podejmowane są dalszych działania:
- Poinformowanie wszystkich członków tak szybko, jak to możliwe, przez e-mail
- Wszyscy członkowie muszą ustawić nowe hasło podczas logowania
- Członkowie, którzy nie logują się za pomocą znanego nam urządzenia, otrzymają link przez e-mail lub SMS, aby ustawić nowe hasło
- Pliki dzienników, które mogą zawierać dane członków, są szyfrowane
16:56
Knuddels.de informuje swoich członków na forum oraz Facebooku i Instagramie.
Przed 22:00
Kolejne środki są wdrażane na Knuddels.at
Około 22:45
Wdrażanie nowych środków bezpieczeństwa na Knuddels.de. Jednocześnie rozpoczynają się wiadomości e-mail informujące o wycieku danych, w których prosi się członków o zmianę danych na wszystkich platformach korzystających z tych samych lub podobnych informacji o koncie.
Czas od otrzymiania wiadomości do zamknięcia incydentu: 49 godzin i 45 minut.
Po Incydencie
Poinformowany urząd nadzoru w zakresie ochrony danych nakłada grzywnę, ale składa hołd w szczególności na fakt, że Knuddels.de wzorcowo przeprowadził procedurę reakcji na incydent zarówno pod względem kompleksowych informacji i przejrzystości, jak i pod względem wdrożenia środków technicznych służących poprawie bezpieczeństwa danych.
Czy kara 20.000 Euro jest adekwatna do rozmiaru wycieku danych (ok. 10 groszy za rekord)? Nie da się zaprzeczyć, że niemiecki organ nakładając karę słusznie wziął pod uwagę działania, jakie zostały podjęte przez firmę, aby zapobiec dalszej utracie danych. Niemniej jednak trudno jest dopatrzeć proporcjonalności pomiędzy karą a samym rozmiarem wycieku danych. Jednak ten wyciek pokazuje nam, że tylko sprawne i przejrzyste działania mogą znacznie obniżać ryzyko kary.
Więcej informacji można uzyskać:
https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245
https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/
[1] https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245
Datenschutzbehörde (DSB)- austriacki organ, który stoi na straży przepisów o ochronie danych osobowych – odpowiednik naszego UODO – nałożył karę na przedsiębiorcę w wysokości 4.800 euro. Jest to pierwszy przypadek zastosowania kary na podstawie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Warto jednak nadmienić, że austriacka ustawa o ochronie danych osobowych stanowi, że przed nałożeniem kary w pierwszej kolejności DSB będzie wydawał upomnienia i nakazywał zaniechania naruszeń.
Dlaczego jednak wydano postanowienie o nałożeniu kary?
Austriacki przedsiębiorca zainstalował kamerę przed budynkiem swojej firmy. Jak udało się ustalić, kamera swoim zasięgiem obejmowała także dużą część chodnika, co zostało uznane za kontrolę przestrzeni publicznej. Dodatkowo, kamera nie była odpowiednio oznaczona jako nagrywająca obraz.
Austriacki organ uznał, że jest to niezgodne z postanowieniami RODO i zdecydował o nałożeniu kary. Kara nie jest jednak zbyt wysoka. DSB podkreśla, że grzywny powinny być nakładane zgodnie z zasadą proporcjonalności. Dlatego nie można na przedsiębiorcę wielomilionowej kary nieproporcjonalnej do jego dochodów.
Coraz więcej skarg
Jak potwierdza DSB przez pierwsze 100 dni obowiązywania RODO w Austrii odebrał około 1000 skarg i zawiadomień o naruszeniach. Dla porównania polski UODO odebrał w tym samym okresie około 2400 skarg, ponad tysiąc pytań prawnych i dodatkowo ponad tysiąc zgłoszeń dotyczących naruszeń rozporządzenia.
Warto wspomnieć, że w Polsce kamery zostały potraktowane ulgowo, z uwagi na niemożność ich błyskawicznego usunięcia i UODO pozwolił na dostosowanie monitoringów tak, by ich działanie było zgodne z RODO.
Źródła:
Urząd Ochrony Danych Osobowych (UODO) opublikował kolejny poradnik dotyczący stosowania i wdrażania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Tym razem UODO wychodzi na przeciw przetwarzaniu danych związanym z rekrutacją i zatrudnieniem. Poradnik dotyczy nie tylko zatrudnienia w oparciu o stosunek pracy, ale także w oparciu o umowy cywilnoprawne lub inne niepracownicze formy zatrudnienia.
Kto skorzysta z poradnika?
Użyteczne informacje znajdą nie tylko pracodawcy, ale również agencje pracy oraz sami zatrudnieni. Traktuje on także o relacjach pracodawca – inne podmioty, w tym na przykład związki zawodowych, firmach szkoleniowych czy podmiotach świadczących usługi z zakresu medycyny pracy. Jego powstanie poprzedziły konsultacje społeczne, które znalazły odzwierciedlenie w pytaniach i nurtujących zagadnieniach związanych ze stosowaniem przepisów RODO. Dokument ma formę vademecum pozbawionego rozbudowanych prawniczych analiz – UODO zdecydował się na zastosowanie przeglądu praktycznych wskazówek, ułatwiających codzienne funkcjonowanie w obszarze ochrony danych osobowych.
Co znajduje się w poradniku?
Materia dokumentu została podzielona na cztery rozdziały:
1. Poszukiwanie pracy
2. Proces rekrutacyjny
3. Okres zatrudnienia
4. Inne niż określone w kodeksie pracy formy zatrudnienia oraz praca tymczasowa.
Wiele z przedstawionych w podręczniku też ma charakter kontrowersyjny. Wszystko sprowadza się do jednej zasady: żądać tyle, na ile pozwalają przepisy. Poradnik jasno wskazuje, że każdy etap zatrudnienia upoważnia do pozyskiwania określonych informacji i nie ma możliwości gromadzenia danych, które na danym etapie nie są niezbędne do celu zatrudnienia.
Zakres merytoryczny dotyczy również rekrutacji on-line i nakazuje natychmiastowe usunięcie danych kandydatów po zakończeniu procesu rekrutacji, chyba że wyrażą oni odrębną zgodę na ich dalsze przetwarzanie celem przyszłych rekrutacji. W przypadku samodzielnego przesłania CV przez kandydata bez związku z prowadzoną rekrutacją natomiast wskazuje na obowiązek rozpoczęcia procesu rekrutacyjnego lub usunięcia CV, nie wskazując na możliwość pozyskania zgody na przyszłe rekrutacje.
Kolejną ważną informacją jest zakaz prowadzenia anonimowych rekrutacji. Przepisy nakładają bowiem obowiązek ujawniania informacji o pracodawcy, jako podmiocie przetwarzającym dane osobowe kandydata.
Istotne z punktu przetwarzania danych osobowych są również regulacje dotyczące nowych technologii, w tym rozwiązań technicznych do ewidencji czasu pracy, kontrolowania poczty elektronicznej oraz monitorowania aktywności zatrudnionych.
Czego nie znajdziemy w poradniku?
Informacje zawarte w poradniku nie uwzględniają, mających nadal status projektu, zmian w kodeksie pracy oraz pewnych zagadnień poruszonych przez interesariuszy w ramach przeprowadzonych konsultacji społecznych.
UODO zapowiada, że możemy spodziewać się kolejnych wersji – aktualizacji lub odnoszących się do nieporuszonych dotychczas zagadnień. Poradnik znajduje się na stronie internetowej Urzędu Ochrony Danych Osobowych, a wszystkich zainteresowanych zachęcamy do zapoznania się z jego treścią.
W komunikacie opublikowanym w dniu 03 sierpnia 2018 r. na stronie Urzędu Ochrony Danych Osobowych możemy przeczytać, że do Prezesa UODO docierają informacje o fałszywych kontrolerach, którzy pojawili się u przedsiębiorców, wyrażając chęć przeprowadzenia kontroli zgodności z przepisami o ochronie danych.
Fałszywi kontrolerzy odwiedzali przedsiębiorców prawdopodobnie w celu wyłudzenia pieniędzy, które miały stanowić karę za niedostosowanie się do przepisów RODO. Osoby te posiadały fałszywe dokumenty, takie jak legitymacje i upoważnienia do kontroli. Prezes UODO poinformował, że w najbliższym czasie będą miały miejsce kontrole dokonywane z ramienia UODO, jednak należy zachować czujność i weryfikować tożsamość osób wizytujących przedsiębiorcę.
Warto przypomnieć, że wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z treścią rozporządzenia każda legitymacja, którą posługują się kontrolerzy, powinna posiadać hologram oraz pieczęć na rewersie. Awers legitymacji wykonany jest w kolorze niebieskiemu, posiada czarne napisy oraz orła z godła Rzeczpospolitej Polskiej oraz pasek przekątny koloru biało-czerwonego.
© Wzór legitymacji kontrolera fot. UODO
PUODO zaznaczył również, że co do zasady pisemnie uprzedza o planowanej kontroli. Osoby kontrolujące można również zweryfikować dzwoniąc pod numer 22/531-07-71. Informacje, jakie możemy uzyskać pod tym numerem, to: imię i nazwisko kontrolera, numer legitymacji, fakt wydania upoważnienia do dokonania kontroli w danym podmiocie. Komplet tych danych umożliwi jednoznaczne zidentyfikowanie prawdziwych kontrolerów.
