menu trigger  menu trigger

WSA: pracownik nie może zastępować administratora w realizacji jego obowiązków

Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych. Tak stwierdził WSA w Warszawie, oddalając skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję organu ds. ochrony danych osobowych.

Wojewódzki Sąd Administracyjny (WSA), wyrokiem z 15 lutego 2022 r., utrzymał w mocy decyzję  organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł. Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.

W uzasadnieniu wyroku z 15 lutego 2022 r. WSA* uznał, że organ nadzorczy w prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy, nie popierając tym samym zarzutów skarżącego decyzję administratora. W przedmiotowej sprawie bezsporne było, że doszło do naruszenia ochrony danych osobowych na skutek zgubienia niezaszyfrowanego nośnika danych typu pendrive. Administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie.

Sąd podtrzymał stanowisko organu nadzorczego, że pracownik nie może zastępować administratora w realizacji jego obowiązków. Ponadto pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych.

Zdaniem UODO, na co również zwrócił uwagę WSA, administrator naruszył m.in. zasadę poufności i integralności danych osobowych, ponieważ nie wprowadził odpowiednich środków organizacyjnych i technicznych adekwatnych do sposób i celów przetwarzania danych, po które to Prezes Sądu sięgnął dopiero po utracie nośnika danych. W konsekwencji zaniechanie to umożliwiło osobom nieuprawnionym dostęp do danych osobowych.

Zdaniem sądu, tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne co do potencjalnych zagrożeń.

WSA przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.

* sygn. II SA/Wa 3309/21

CZYTAJ DALEJ
social-media-1453843_640.jpg

Firmy: Jak zadbać o cyberbezpieczeństwo?

Firmy w coraz większym stopniu wykorzystują możliwości, jakie daje Internet, narzędzia do zdalnej pracy i komunikacji czy te pozwalające na elektroniczny obieg dokumentów i przechowywanie danych w formie cyfrowej. A cyberprzestępcy nie śpią. Średnio nawet co 11 sekund może dochodzić do cyberataku.

Phishing, spoofing, ataki z użyciem szkodliwego oprogramowania, kradzież danych czy blokowanie dostępu do usług – to tylko niektóre z zagrożeń w cyberprzestrzeni, na które narażeni są nie tylko indywidualni użytkownicy, ale także przedsiębiorcy. A coraz więcej z nich – zwłaszcza od wybuchu pandemii COVID-19 – jest obecnych w sieci. Za jej pomocą łączy się z pracownikami i kontrahentami czy sprzedaje swoje produkty i usługi.

CZYTAJ DALEJ

RODO: Wytyczne w sprawie mechanizmu kompleksowej współpracy przyjęte

EROD przyjęła wytyczne dotyczące art. 60 RODO, czyli współpracy między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy.  Ponadto Rada przyjęła wytyczne w sprawie tzw. dark patterns w interfejsach platform mediów społecznościowych oraz zestaw narzędzi dotyczących podstawowych zabezpieczeń ochrony danych na potrzeby współpracy w zakresie egzekwowania prawa między organami nadzorczymi EOG a państwami trzecimi.

Europejska Rada Ochrony Danych  (EROD) podczas 62 posiedzenia plenarnego przyjęła wytyczne dotyczące art. 60 RODO. Opracowanie takich wytycznych jest częścią strategii i programu prac EROD na lata 2021-2022 w celu wspierania skutecznego egzekwowania prawa i skutecznej współpracy między krajowymi organami nadzorczymi. Wytyczne zawierają szczegółowy opis współpracy między organami nadzorczymi w ramach RODO i mają na celu dalsze zwiększenie spójnego stosowania przepisów prawa dotyczących mechanizmu kompleksowej współpracy. Wytyczne pomagają organom nadzorczym w interpretacji i stosowaniu własnych procedur krajowych w taki sposób, aby były zgodne ze współpracą w ramach mechanizmu kompleksowej współpracy i pasowały do niej.

EROD przyjęła wytyczne dotyczące tzw. dark patterns w interfejsach platform mediów społecznościowych. „Dark patterns” to interfejsy i doświadczenia użytkowników wdrażane na platformach mediów społecznościowych, które powodują, że użytkownicy Ci podejmują niezamierzone, niechętne decyzje dotyczące przetwarzania ich danych osobowych. Decyzje te mogą wpływać na zachowania użytkowników i ich zdolność do skutecznej ochrony danych osobowych. Wytyczne zawierają konkretne przykłady rodzajów „dark patterns”, prezentują najlepsze praktyki w różnych przypadkach użycia i zawierają szczegółowe zalecenia dla projektantów interfejsów użytkownika, które ułatwiają skuteczne wdrożenie RODO.

Przygotowane wytyczne zawierają praktyczne zalecenia dla projektantów i użytkowników platform mediów społecznościowych dotyczące sposobu oceny, prezentują najlepsze praktyki, ale też wskazują jakie „dark patterns” w interfejsach mediów społecznościowych, naruszają wymogi RODO i należy ich unikać.

EROD przyjęła również zestaw narzędzi dotyczących podstawowych zabezpieczeń w zakresie ochrony danych na potrzeby współpracy w zakresie egzekwowania prawa między organami nadzorczymi EOG a państwami trzecimi. Zestaw narzędzi może być wykorzystywany zarówno do uzgodnień administracyjnych opracowanych w ramach EROD przez same organy nadzorcze, jak i do umów międzynarodowych negocjowanych przez Komisję Europejską. Publikacja ta obejmuje kluczowe tematy, takie jak egzekwowalne prawa osób, których dane dotyczą, zgodność z zasadami ochrony danych i sądowe środki zaskarżenia.

Ponadto EROD przyjęła wspólną opinię EROD i EIOD w sprawie wniosków dotyczących przedłużenia unijnego cyfrowego zaświadczenia COVID-19 . Odrębny komunikat prasowy na ten temat zostanie opublikowany w późniejszym terminie.

UODO

CZYTAJ DALEJ

Nie tylko negatywne konsekwencje, ale i ryzyko ich wystąpienia powodem zawiadomienia o naruszeniu

Organ nadzorczy nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł. Powodem tej decyzji było naruszenie przez Bank przepisów RODO polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu. UODO nakazało więc zawiadomienie tych osób o zaistniałej sytuacji i potencjalnych konsekwencjach z nim związanych.

Administrator zgłosił do UODO naruszenie ochrony danych osobowych po tym, gdy stwierdził, że były pracownik Banku mimo zakończenia pracy w tej instytucji, posiada nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W wyniku tego mógł on przeglądać znajdujące się na profilu płatnika Santander Bank Polska S.A. dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy.

Po dokonaniu analizy zgłoszenia naruszenia, UODO uznało, że doszło do naruszenia poufności danych, które wiąże się jednocześnie z zaistnieniem wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane dotyczą. Z tego też względu zdaniem organu nadzorczego konieczne jest zawiadomienie osób, których dane dotyczą, o zaistniałym incydencie.

Jednak w ocenie Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. Jak wyjaśnił administrator pierwotnie zgłoszenia naruszenia ochrony danych osobowych dokonał jedynie ze względów ostrożności. Po analizie sprawy uznał on, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu.

Bank umieścił jednak na platformie komunikacji wewnętrznej komunikat przypominający zasady przetwarzania danych osobowych.

W ocenie UODO tego typu komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, a jedynie zaprezentowano w nim przykładowe rodzaje naruszeń. Ponieważ zabrakło w komunikacie wskazania, że taka sytuacja de facto miała miejsce, to potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.

UODO wyraził także swoje zastrzeżenia co do wyboru adresatów komunikatu, do których został on skierowany, czyli jedynie do obecnych pracowników Banku, korzystających z platformy komunikacji wewnętrznej. Trzeba nadmienić, że zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

W ocenie UODO w prezentowanej sprawie zaszły wszelkie okoliczności, które potwierdzały konieczność zawiadomienia o naruszeniu osób, których dane dotyczą. Dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. Dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych.

W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Co równie ważne i wymaga zaakcentowania, administrator podjął świadomą decyzję   rezygnacji z powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.
W postępowaniu prowadzonym przed organem nadzorczym administrator konsekwentnie utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia o incydencie tych osób.

Zdaniem UODO takie zaniechanie powoduje brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw. Co więcej, może ono doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone.

Mając na uwadze powyższe, Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł, ale także nakazał spełnienie obowiązku wynikającego z RODO jakim jest zawiadomienie osób o zaistniałym incydencie.

UODO

CZYTAJ DALEJ
ecommerce-3529837_640.jpg

E-handel: Polityka prywatności sklepu internetowego

„Jestem osobą przygotowującą do uruchomienia sklepu internetowego ze sprzedażą produktów produkowanych we własnym zakresie. Czy przy sprzedaży towarów przez Internet sklep internetowy i dopuszczonych opcjach płatności: przelewy na konto, przelewy poprzez serwis Przelewy 24 w tym BLIK, płatność za pobraniem wymagane jest posiadanie kasy fiskalnej, czy wystarczające jest jedynie wystawianie faktur klientom sklepu?; A jak dokładnie należy postępować w sytuacji gdy nie jestem płatnikiem VAT (nie przekraczam pułapu 200.000 zł). Ceny, które podaję za produkty są cenami netto równymi brutto, czy więc zapis w regulaminie jest poprawny, jeśli zapiszę że: >Ceny produktów w sklepie są cenami netto równymi brutto<, czy może powinnam napisać: >Ceny produktów są cenami netto, zwolnionymi z podatku VAT< (dopóki nie przekroczę progu 200.000 zł)? W jaki sposób naliczać opłatę za transport/wysyłkę towarów – czy ceny, które podaję za przesyłkę powinny być zgodne 1:1 z cennikiem jaki dostałam od firmy obsługującej przesyłki, czy powinnam wskazać, że przesyłki są obciążone podatkiem VAT (jakim?); gdzie powinny być uwzględnione dodatkowe koszty pakowania produktów czy ich dowozu do np. paczkomatu – przy cenach jednostkowych produktów? Proszę również o weryfikację Polityki Prywatności sklepu.”

W przypadku sklepów internetowych nie zawsze …

CZYTAJ DALEJ

UODO: Brak realizacji obowiązków ciążących na administratorze może skutkować karą

Politechnika Warszawska otrzymała karę w wysokości 45 tys. zł m.in. za niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków. Uczelnia nie uwzględniła również ryzyka związanego z przetwarzaniem danych w aplikacji.

Postępowanie wobec tego administratora wszczęto po tym jak do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zgłoszenie naruszenia ochrony danych. Jak wskazano, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców (ponad 5 tys. osób).

Jak ustalono w czasie postępowania administracyjnego jednostka organizacyjna Politechniki wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat. Aplikacja ta była modyfikowana w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba  wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych.

Należy mieć na uwadze, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych.

W ocenie UODO, administrator nie przedstawił dowodów na spełnienie tych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Politechnika skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej. Nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji.

Zdaniem UODO, zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.

Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.

Biorąc pod uwagę niedopełnienie obowiązków przez administratora oraz wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób objętych incydentem, organ nadzorczy uznał za zasadne i konieczne nałożenie administracyjnej kary pieniężnej w wysokości 45 tys. zł.

UODO

CZYTAJ DALEJ
card-158195_640.png

Podstawa przetwarzania danych uczniów w celu wydania mLegitymacji

Zgodnie z obecnymi przepisami wydanie mLegitymacji, czyli elektronicznej wersji tradycyjnej legitymacji szkolnej wyświetlanej na ekranie telefonu, jest fakultatywne. Taka wersja dokumentu to jedynie ułatwienie dla uczniów, którzy i tak posiadają papierową wersję legitymacji. Jaką podstawę prawną powinna w klauzuli informacyjnej dotyczącej usługi mLegitymacja wskazać szkoła? Czy jest nią zgoda, czy może obowiązek prawny? Kwestię tę wyjaśnia UODO.

Szkoła wykonuje obowiązek lub działa w interesie publicznym

W przypadku podmiotów publicznych oraz podmiotów, których działalność uregulowana została przepisami prawa, co do zasady, podstawę prawną przetwarzania (w tym udostępniania i pozyskiwania) danych osobowych powinno stanowić wykonanie obowiązku prawnego ciążącego na …

CZYTAJ DALEJ
blackboard-2618793_640.jpg

Epidemia: Ograniczony dostęp do szkół

Do Rzecznika Praw Obywatelskich wpływają skargi i opinie dotyczące trudności, z jakimi zmagają się szkoły, uczniowie i nauczyciele od początku tego roku szkolnego.

Najczęściej dotyczą one stosowania kwarantanny oraz licznych przerw w nauce stacjonarnej. Rośnie bowiem liczba szkół, które zmuszone są przejść w tryb hybrydowy lub zdalny.

Nauczyciele zgłaszają przede wszystkim …

CZYTAJ DALEJ

Older Posts