Otóż unijne „Wytyczne 3/19 w sprawie przetwarzania danych osobowych przez urządzenia wideo” mówią, że wdrażając monitoring nie należy wybierać rozwiązań zawierających funkcje, które nie są niezbędne. Do takich zaliczyć można: nieograniczone śledzenie ruchów kamery, możliwość przybliżenia, transmisja radiowa i nagrania dźwiękowe – twierdzi UODO.

Przypomina, że rejestrowanie dźwięku to uprawnienie, które w prawie krajowym jest zastrzeżone przede wszystkim dla służb i to w konkretnych sytuacjach.

Tym samym we wspomnianej sprawie urząd uznał, że nagrywając dźwięk w monitoringu przetwarzano dane osobowe bez podstawy prawnej. Skutkiem jest 10 tys. zł kary. Uwzględniono okoliczność łagodzącą, jak współpracę z UODO i zaprzestanie nagrywania jeszcze przed wydaniem decyzji.

Swego czasu UODO wydał wytyczne dotyczące stosowania monitoringu wideo. Oprócz zalecenia wyłączania dźwięku wskazuje m.in. obszary w firmie, gdzie nie może być kamer, a także jak długo wolno przechowywać nagrania.

Artykuł Uwaga na monitoring. Kara za rejestrację nagrań pochodzi z serwisu CRN.

Prezes Urzędu Ochrony Danych Osobowych nałożył 100 tys. zł kary na spółkę P4, operatora sieci Play. Twierdzi, że firma nie zawiadomiła organu nadzorczego w wymaganym terminie 24 godz. o wykryciu naruszenia danych osobowych.

Do uchybień doszło według urzędu w odniesieniu do zgłoszenia naruszenia danych z października 2020 r. i czterech naruszeń z grudnia 2020 r., które zostały wysłane jako jedna przesyłka do UODO. Postępowaniem tym objęto łącznie pięć naruszeń danych osobowych, zgłoszonych po upływie 24 godzin od ich wykrycia.

Spółka wyjaśnia, opóźnienie było związane z błędem pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji.

UODO twierdzi jednak, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych to nie jednorazowy incydent, a spółka nie wyciągnęła wniosków z tego typu sytuacji, np. nie zmieniła sposobu organizacji wysyłki korespondencji. Zmieniła natomiast praktykę zawiadomienia organu nadzorczego w lutym br.

Artykuł Play ukarany przez UODO pochodzi z serwisu CRN.

UODO poinformował, że wystąpił z pismem do władz Facebook Poland. Jak stwierdza, zaniepokoiły go doniesienia na temat wycieku danych osobowych polskich użytkowników portalu. O sprawie zrobiło się głośno w kwietniu br. Miały wyciec dane aż 2,7 mln Polaków (a naruszenie objęło przypuszczalnie aż 533 mln osób z ponad 100 krajów).

„Urząd Ochrony Danych Osobowych zwraca się z prośbą o potraktowanie zaistniałej sytuacji w sposób bardzo poważny i nadanie jej charakteru priorytetowego” – tego oczekuje polski urząd od giganta.

UODO wskazuje, co ma zrobić Facebook

W liście prezes UODO domaga się podjęcia działań celu ograniczenia ryzyka wykorzystania danych osobowych, jakie wypłynęły z portalu.

Mianowicie UODO oczekuje od giganta udostępnienia usługi, umożliwiającej wszystkim polskim użytkownikom sprawdzenie, czy naruszenie to ich dotyczy.

Na razie takiej weryfikacji można próbować dokonać na zewnętrznych stronach, co nie zapewnia całkowitej pewności, co się dzieje z danymi zainteresowanych, które wypłynęły Facebooka.

Według rzeczniczki Facebooka dane wyciekły w wyniku błędu, który został usunięty w sierpniu 2019 r. Zatem informacje według niej również nie są nowe.

Wyciek stwarza „ogromne zagrożenie”

UODO alarmuje koncern, że wyciek danych stanowi ogromne zagrożenie dla prywatności wielu osób.

Jak zauważa, udostępnione dane z Facebooka mogą zostać wykorzystane do rozsyłania spamu, nieuczciwego telemarketingu, ataków phishingowych i innych działań przestępczych.

Dlatego też, jak wskazuje prezes UODO, istotne jest wszechstronne wyjaśnienie okoliczności sprawy.

Zajęcie się problemem to obowiązek Facebooka

UODO przypomina, że Facebook musi zająć się sprawą z uwagi na przepisy RODO.

„Pragniemy zwrócić uwagę, że wyjaśnienie przyczyn zdarzenia oraz ocena jego skutków dla osób, których dane dotyczy, powinna stanowić priorytet z uwagi na kluczowe obowiązku administratora danych określone w RODO” – stwierdza UODO.

Jak informuje UODO, jego irlandzki odpowiednik już wszczął postępowanie w celu ustalenia, czy doszło do naruszenia przepisów RODO w związku z wyciekiem.

„Istotne jest wszechstronne wyjaśnienie okoliczności przedmiotowej sprawy, dzięki czemu możliwa będzie gruntowna ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą oraz podejście jak najbardziej adekwatnych działań w celu zminimalizowania skutków naruszenia.
Podnosimy także o wypracowanie i udostępnienie takich narzędzi, które pozwolą polskim użytkownikom portalu społecznościowego sprawdzić, czy do ich profilu miały dostęp osoby do tego niepowołane” – pisze UODO do Facebook Poland.

Artykuł UODO pisze do Facebooka ws. wycieku danych Polaków. Oto czego się domaga pochodzi z serwisu CRN.

UODO nałożył 100 tys. zł kary na Krajową Szkołę Sądownictwa i Prokuratury w związku z wyciekiem danych, do jakiego doszło w ub.r.

W kwietniu ub.r. wyszło na jaw, że z uczelni wyciekły dane sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury i referendarzy sądowych (m.in. z takimi danymi jak imię, nazwisko, data urodzenia, numer telefonu, adres e-mail, numery komunikatorów i zaszyfrowane hasło).

Naruszenie dotyczyło ponad 50 tys. przedstawicieli organów ścigania i wymiaru sprawiedliwości. Nieznane osoby uzyskały nieupoważniony dostęp do kopii bazy danych witryny szkoleniowej KSSIP, którą zapisano w trakcie testowej migracji do nowej platformy szkoleniowej.

Wkrótce potem zatrzymano pracownika spółki, z którą KSSiP po przetargu zawarła umowę o świadczenie usługi zarządzania zasobami serwerowymi. Sprawą zajęła się lubelska prokuratura. Jak stwierdzono, w trakcie migracji bazy danych nadano feralnemu katalogowi uprawnienia publiczne, przez co każdy mógł mieć do niego dostęp.

UODO: to uczelnia zawaliła

UODO uznał jednak, że odpowiedzialność za wyciek ponosi uczelnia, a nie spółka, która zarządzała zasobami serwerowymi. Postępowanie wobec niej umorzono.

W ocenie urzędu KSSiP nie wywiązała się z obowiązków administratora, ponieważ nie zastosowano odpowiednich środków technicznych i organizacyjnych (nie testowano ich i nie oceniano skuteczności), które pozwoliłyby zapewnić poufność usług przetwarzania danych. Nie zweryfikowano bezpieczeństwa kopii bazy danych po zakończeniu migracji.

Ponadto administrator powierzył przetwarzanie danych osobowych innemu podmiotowi, nie zobowiązując go do przetwarzania wyłącznie na udokumentowane polecenie administratora. Nie zawarł w umowie powierzenia przetwarzania danych osobowych kategorii osób, nie doprecyzował ponadto rodzaju danych osobowych przez wskazanie ich kategorii.

Nie ma podstaw do zarzutów wobec firmy

Uznano, że zewnętrzna spółka przetwarzająca dane z upoważnienia uczelni wypełniła obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosowała przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych.

W opinii UODO nie ma również podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z jego zadań. W konsekwencji postępowanie w powyższym zakresie zostało umorzone.

Artykuł Wyciek danych sędziów i prokuratorów ukarany pochodzi z serwisu CRN.

Prezes Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile Polska 1,9 mln zł kary. Sprawa dotyczy incydentu sprzed niemal roku, gdy operator ujawnił, że doszło do wycieku danych ok. 12 proc. klientów usługi pre-paid. Obejmowały imiona, nazwiska, numery PESEL lub numery dowodu osobistych. Wówczas UODO wszczął kontrolę i postępowanie, którego efektem jest nałożona sankcja.

Operator przejęty w międzyczasie przez Play został ukarany za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych.

UODO stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności. Mianowicie Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych, które miały zabezpieczyć przetwarzane dane.

UODO: firma nie starała się jak należy

Wprawdzie administrator utrzymywał, że testował i monitorował zabezpieczenia, ale zdaniem UODO zrobił za mało. W ocenie urzędu działania te były incydentalne i nie obejmowały wszystkich systemów, w których przetwarzane są dane.

W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. W praktyce weryfikacja nie działała, co wykorzystał atakujący.

UODO odkrył również, że przed wdrożeniem mechanizm ten nie został przetestowany. Takie podejście uznał za rażące naruszenie. Stwierdzono ponadto, że stan zagrożenia był długotrwały – podatność istniała od dawna.

Dopiero po incydencie operator podjął działania, by naprawić błąd.

Według UODO naruszenie miało poważny charakter. Urząd wziął natomiast pod uwagę okoliczności łagodzące, jak np. dobrą współpracę administratora, szybkie usunięcie naruszenia po jego wykryciu i wdrożenie dodatkowych zabezpieczeń.

Artykuł 1,9 mln zł kary za RODO dla Virgin Mobile pochodzi z serwisu CRN.

Umowa przetwarzania

UODO radzi na początek, by zapoznać się z obowiązującymi politykami prywatności lub regulaminami korzystania z serwisów do komunikacji zdalnej.

Należy pamiętać, że dostawca usług wideokonferencji przetwarza dane osobowe użytkowników. W związku z tym warto się zastanowić nad zawarciem umowy powierzenia przetwarzania (jeśli do takiego powierzenia będzie dochodzić). Imię, nazwisko, wizerunek, pseudonim, numer IP i informacje zawarte w cookies są danymi osobowymi w rozumieniu art. 4 pkt 1) RODO i podlegają ochronie.

Często dostawcy usług wideokonferencji zawierają postanowienia dotyczące powierzenia w swoich regulaminach. Należy zwrócić uwagę, w jakim zakresie dostawca będzie osobnym administratorem, a w jakim podmiotem przetwarzającym, np. pracodawcy chcącego w ten sposób zorganizować komunikację w firmie.

Dostawca usług musi być solidny

"Pamiętając o zasadnie privacy by design musimy skutecznie chronić dane osobowe naszych pracowników czy rozmówców, i w tym duchu należy dokonać wyboru odpowiedniego narzędzia – najlepiej od dostawcy, który będzie nasze dane chronił w dostateczny sposób. Dostawca usług wideokonferencji musi dawać rękojmie należytego przetwarzania danych osobowych, w zakresie w którym jest samodzielnym administratorem lub jeśli ma pełnić rolę podmiotu przetwarzającego" – twierdzi Paweł Fedczyszyn, adwokat w kancelarii Chałas i Wspólnicy.

Firmy korzystające z wideokonferencji powinny wprowadzić określone zasady udziału w wewnętrznych spotkaniach, w tym jakie dane można podawać, a jakie nie, oraz w jaki sposób można wykorzystywać narzędzia wideokonferencji.

Bezpieczniej jest zabronić nagrywania

W zasadach trzeba określić, że nagrywanie wideokonferencji jest zabronione – zarówno jeśli chodzi o obraz, jak i głos. Bo to również dane osobowe, a ich utrwalenie oznacza przetwarzanie – wg art. 4 pkt 1) RODO.

"Pamiętajmy, że dane osobowe przetwarzamy tylko wtedy, gdy jest to niezbędne do osiągnięcia danego celu i tylko w adekwatnym zakresie, również w trakcie rejestracji do konferencji dane nie powinny być zbierane nadmiarowo" – podkreśla Paweł Fedczyszyn.

Nagrywanie – tylko za pisemną zgodą

Polityka prywatności dostawcy usługi wideokonferencji to nie wszystko. Trzeba zadbać o spełnienie obowiązków informacyjnych z art. 13 i 14 RODO, w tym zebranie stosownych zgód.

Np. gdy "do osiągnięcia celów" niezbędne jest nagranie wideokonferencji albo samej ścieżki dźwiękowej, konieczne są zgody uczestników na utrwalenie wizerunku lub głosu. Pozwala to np. udostępnić zapis spotkania na stronie internetowej firmy. Takie zapisy powinny zostać objęte tajemnicą przedsiębiorstwa.

Dane muszą być zabezpieczone

UODO wskazuje, że dla zabezpieczenia danych konieczne jest stosowanie haseł lub metod autoryzacji, które pozwolą zapoznać się z informacjami przekazywanymi podczas spotkań tylko osobom upoważnionym. Mogą to być np. kody PIN lub służbowe hasła.

Według urzędu można zamazać tło, aby nie było widać, gdzie przebywa uczestnik wideospotkania. Dane o lokalizacji również stanowią przedmiot ochrony na gruncie RODO.

Warto chronić połączenie

Aby uniemożliwić osobom niepożądanym udział w spotkaniu, lepiej nie udostępniać linka do konferencji np. w mediach społecznościowych. Zalecana jest ochrona połączenia silnym hasłem. Ataki z zewnątrz można ograniczyć, korzystając z aplikacji webowych.

UODO zaleca, by korzystać z funkcji programów, które obejmują możliwość wyboru uczestników wideokonferencji (opcja „poczekalnia”) lub ograniczenie korzystania z kamery czy mikrofonu tylko do sytuacji, gdy jest to niezbędne.  

Trzeba też uważać, by w ramach wideokonferencji nie udostępniać dokumentów w niekontrolowany sposób, zwłaszcza, gdy mogą zawierać dane prawnie chronione. Można dodatkowo stosować połączenia VPN.

"Pamiętajmy o tym, że gdy wyrazimy zgodę lub zaakceptujemy regulamin, nasze informacje mogą być dalej wykorzystywane w celach marketingowych przez podmiot, który zaprasza nas do udziału w spotkaniu. Zależy to także od właściciela platformy, który może mieć interes w uzyskaniu od nas danych, by je przekazać podmiotom trzecim. Takie dane mogą zostać wykorzystane do profilowania w celach marketingowych przez dostawcę usługi" – dodaje mec. Fedczyszyn.

Źródło: Kancelaria Prawna Chałas i Wspólnicy
 

Artykuł UODO wydał wytyczne do wideokonferencji pochodzi z serwisu CRN.

Wysokość kary jest symboliczna, ale nie ona jest największym problemem jej szefa. Grozi mu odpowiedzialność karna.

Otóż prezes UODO zdecydował o przeprowadzeniu kontroli w Visie, w związku z ustaleniami ze sprawdzenia innej firmy, która miała podpisaną z Vis Consulting umowę o współpracy w zakresie outsorcingu usług telemarketingowych.

Jednak kontrolerzy UODO pod adresem wpisanym w KRS nikogo nie zastali, mimo że uprzedzili o wizycie. Na miejscu było jedynie tzw. wirtualne biuro spółki. Jej pełnomocnik poinformował przez telefon ekipę z UODO, że kontrola się nie odbędzie – tak przynajmniej przedstawia incydent urząd ochrony danych.

Według informacji prezesa UODO spółka w następnych dniach nadal uniemożliwiła przeprowadzenie kontroli. Podczas kolejnej takiej próby kontrolerzy dowiedzieli się, że akurat tego dnia władze Vis Consulting zdecydowały o likwidacji tego podmiotu.

Tego było już za wiele szefowi UODO. Uznał, że spółka celowo unikając kontroli naruszała przepisy RODO (mówią one o współpracy z organem nadzorczym i umożliwieniu mu dostępu do wszystkich danych osobowych i wszelkich informacji). Zawiadomił prokuraturę o podejrzeniu popełnienia przestępstwa. Za udaremnianie lub utrudnianie prowadzenia kontroli grozi grzywna, kara ograniczenia wolności lub pozbawienia wolności do 2 lat (art. 108 ust. 1 ustawy o ochronie danych osobowych). Katowicka prokuratura skierowała już w tej sprawie akt oskarżenia do sądu przeciwko prezesowi spółki.

UODO informuje przy okazji, że urząd dostaje liczne sygnały o nieuczciwych praktykach firm telemerketingowych. Można więc spodziewać się kolejnych działań urzędu wobec podmiotów z tej branży.

Artykuł Będzie pierwszy w Polsce więzień za RODO? Prezesowi grożą 2 lata pochodzi z serwisu CRN.

Postępowanie jest związane z głośną sprawą skradzionego laptopa, na którym były w zasadzie kompletne dane osobowe kandydatów na studia w SGGW, łącznie z numerami telefonów, adresami e-mail i informacjami o ukończonych szkołach. Urządzenie należało do pracownika uczelni, a dane z okresu kilku lat były przechowywane na nim bezprawnie. Dotyczyły według szacunków nawet 70 tys. osób. Do kradzieży doszło w listopadzie ub.r. Niedługo potem policja poinformowała o aresztowaniu sprawców, ale laptopa nie odzyskano.

Kontrola UODO wykazała szereg innych naruszeń na SGGW, takich jak brak aktualizacji i przeglądów polityk bezpieczeństwa na uczelni (m.in. art. 24 ust. 1 RODO). Administrator nie sprawdzał jak należy procesu przetwarzania danych osobowych kandydatów na studia, nie miał więc wiedzy o ryzyku i nie podejmował w związku z tym właściwych działań (art. 25 ust. 1, art. 32 ust. 1 lit. b i d RODO). Także uczelniany IOD-a, inspektor ochrony danych osobowych, nie wypełniał swoich zadań zgodnie z RODO (art. 39 ust. 2).   

Celem postępowania jest przywrócenie u administratora stanu zgodnego z prawem. W razie naruszenia przepisów RODO prezes UODO może np. zastosować upomnienia, ostrzeżenia, nakazy dostosowania do przepisów o ochronie danych osobowych, nałożyć karę pieniężną. Kara czy ostrzeżenia nie wpływa na możliwość zastosowania innych sankcji. Jednostkom publicznym za naruszenie RODO grożą dużo niższe kary pieniężne niż przedsiębiorstwom – do 100 tys. zł.

Artykuł UODO wszczęło postępowanie wobec SGGW pochodzi z serwisu CRN.

W maju ub.r. UODO wymierzył blisko 56 tys. zł kary związkowi za upublicznienie online danych osobowych sędziów, którym przyznano licencje. Podano ich imiona i nazwiska, adresy zamieszkania i numery PESEL. Prezes UODO uznał, że nie ma podstaw prawnych do publikacji aż tylu informacji.

WSA podzielił ten pogląd. Wskazał, że przy przetwarzaniu danych osobowych należy się kierować zasadą minimalizacji (art.5 ust.1 lit. c RODO).

Ponadto WSA uznał, że udostępniając dane w internecie, administrator stwarzał potencjalne ryzyko ich bezprawnego wykorzystania, np. podszycia się pod te osoby w celu zaciągania zobowiązań finansowych.

Sąd nie podzielił argumentacji związku, który twierdził, że podmioty nieprofesjonalne przetwarzając dane, są zwolnione ze stosowania przepisów o ochronie danych osobowych.

7,5 tys. skarg na naruszenie danych osobowych

To kolejna decyzja WSA dotycząca odwołania od kary za naruszenie RODO.

W grudniu 2019 r. sąd administracyjny częściowo uchylił karę blisko 1 mln zł nałożoną na Bisnode i skierował sprawę do ponownego rozpatrzenia przez Urząd Ochrony Danych Osobowych.

Po wprowadzeniu RODO lawinowo wzrosła liczba skarg do UODO dotyczących naruszenia danych. Z raportu DLA Piper wynika, że codziennie wpływa ich 14-15 – w oparciu o dane z lat 2018-2019. Od chwili wejścia w życie RODO (25 maja 2018 r.) do II połowy stycznia 2020 r. do UODO wpłynęło blisko 7,5 tys. zgłoszeń naruszenia danych osobowych. Tendencja jest wzrostowa.

Artykuł Sąd potwierdził karę za RODO pochodzi z serwisu CRN.

W ub. tygodniu operator ujawnił, że doszło do ataku hakerskiego na jedną z aplikacji, która umożliwiała dostęp do danych rejestrowych użytkowników usługi prepaid. W efekcie mogły wyciec takie dane jak imiona, nazwiska, numery PESEL lub numery dowodu osobistych. Problem może dotyczyć 12,5 proc. użytkowników usługi prepaid. Dane osób korzystających z abonamentu nie są zagrożone – podał telekom.

UODO przypomina, że operatorzy telekomunikacyjni mają najwyżej 24 godz. na zawiadomienie go o naruszeniu danych, licząc od momentu wykrycia takiego zdarzenia. Termin jest krótszy niż wymagany w RODO (72 godz.). Virgin Mobile twierdzi, że atak miał miejsce w dniach 18-22 grudnia. Jeden z menedżerów Virgin Mobile poinformował niebezpiecznik.pl, że wyciek wykryto 22 grudnia. Operator ujawnił problem 25 grudnia. Zapewnił jednocześnie, że niezwłocznie po wykryciu ataku zawiadomił stosowny organ nadzoru i wdrożył niezbędne zabezpieczenia.

UODO dodaje, że zgodnie z art.3 ust.1 RODO telekom musi niezwłocznie zawiadomić o naruszeniu danych także abonenta lub użytkownika końcowego – jeżeli istnieje prawdopodobieństwo, że wywoła ono niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej.

Na kontroli UODO sprawa może się nie skończyć – według urzędu każdy kto uzna, że jego dane osobowe są przetwarzane niezgodnie z prawem, może złożyć skargę do prezesa UODO, złożyć pozew w sądzie oraz domagać się odszkodowania, jeżeli poniósł szkodę majątkową lub niemajątkową z powodu naruszenia danych.

Artykuł UODO bierze się za Virgin Mobile pochodzi z serwisu CRN.