menu trigger  menu trigger
laptop-09-4.jpg

Co czwarty Polak boi się ataku cyberprzestępców

UODO informuje, że blisko co czwarty Polak boi się, że w czasie pandemii padnie ofiarą hakerów wyłudzający dane osobowe. Równocześnie blisko 60 proc. respondentów nie wie lub nie jest pewna, jakie działania należy podjąć w takim przypadku. Niestety, nie robimy wszystkiego, żeby zapobiec podobnym sytuacjom. 1/3 z nas nie dba o to, by hasło do logowania w banku lub serwisie internetowym było odpowiednio trudne, a ponad 20 proc. ankietowanych nigdy go nie zmieniło. To wyniki badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych.

Ponad 43 proc. ankietowanych uważa, że największe zagrożenie dla danych osobowych w czasie pandemii stanowi działalność oszustów próbujących wyłudzić dane. Jednocześnie co trzeci ankietowany (33,7 proc.) najbardziej obawia się tego, że padnie ofiarą wycieku danych z bazy instytucji państwowej lub prywatnej firmy. Dla 23,4 proc. największym zagrożeniem jest atak hakerów na komputer lub telefon.

Ataku hakerów znacznie częściej obawiają się najmłodsi respondenci (32,5 proc.). Aktywność cyberprzestępców nie spędza z kolei snu z powiek osobom w wieku 55–64 lata (19,5 proc.) oraz najstarszej grupie ankietowanych (17 proc.). Ta statystyka obrazuje stan świadomości istnienia takich zagrożeń. W tym wypadku większe obawy oznaczają wiedzę na temat konsekwencji działalności cyberprzestępców.

Zapytani o to, jak zareagowaliby w przypadku próby wyłudzenia danych osobowych, ankietowani najczęściej wskazywali na usunięcie podejrzanej wiadomości lub rozłączenie się (60,2 proc.), zgłoszenie sprawy na policję (54,4 proc.) i ostrzeżenie ludzi na forach internetowych (41,8 proc.).

Nieprzygotowani na wycieki danych i działalność hakerów

Blisko 2/3 dorosłych Polaków (61,2 proc.) deklaruje, że wie, jakie działania należy podjąć w przypadku wyłudzenia lub kradzieży danych osobowych. Jak wynika z przeprowadzonych badań, najlepiej przygotowania do takich sytuacji są ludzi młodzi w wieku między 18 a 24 rokiem życia. Blisko 74 proc. z nich zadeklarowało, że poradziłoby sobie w takim przypadku. Najwięcej ankietowanych uważa, że w przypadku wyłudzenia lub kradzieży danych należy zgłosić zdarzenia na policję (85,2 proc.), w banku, w którym posiada się konto (69,7 proc.) oraz zmienić dane do logowania (69,7 proc.)

Znacznie gorzej jesteśmy z kolei przygotowani do radzenia sobie, gdy dojdzie do wycieków danych z serwisów internetowych, w których mamy konta. Około połowy osób badanych (53,8 proc.) nie wie lub nie jest pewna, co w takim przypadku należy zrobić. Pytani o reakcję, ankietowani najczęściej wskazywali na zmianę hasła dostępu do serwisu, z którego nastąpił wyciek (86,1 proc.). Natomiast 61,8 proc. zgłosiłaby to zdarzenie na policję. Na taki ruch znacznie częściej zdecydowałyby się kobiety (68,4 proc. wobec 55,6 proc. wśród mężczyzn).

Problemów można się również spodziewać w sytuacji ataku cyberprzestępców, ponieważ blisko 60 proc. (57,2 proc.) respondentów nie wie lub nie jest pewna, jakie działania należałoby wtedy podjąć. Ponownie na taką sytuację lepiej przygotowane są osoby młode. Pewność co do tego, jak powinno się zareagować spada wraz z wiekiem respondentów. Najczęściej wybierane działania to: zmiana haseł (78,6 proc.), instalacja programu antywirusowego (67,1 proc.) i zgłoszenie sprawy na policję (62,9 proc.).

Co piąta osoba nie zmienia haseł do logowania w banku

Ponad 20 proc. ankietowanych zmienia hasło do konta bankowego raz w miesiącu lub częściej, 1/3 osób (34,6 proc.) robi to raz na pół roku. Natomiast 22 proc. nigdy tego nie zrobiło. Jeszcze rzadziej zmieniamy hasła do skrzynki mailowej i portali społecznościowych. Równocześnie blisko 2/3 badanych (63,9 proc.) deklaruje, że używa bardzo trudnych lub trudnych haseł dostępu do serwisów. liter, cyfr, znaków specjalnych. Niepokoić może z kolei fakt, że nieco ponad 1/3 (36,5 proc.) osób badanych wykorzystuje jednakowe hasła w różnych serwisach. Najczęściej jednakowe hasła wykorzystuje najmłodsza grupa respondentów. Najrzadziej robią to osoby najstarsze w wieku 65–74 lata.

 

Nieaktualne konta i brak systemów antywirusowych

Większość badanych (81,6 proc.) nie przekazuje swoich danych do logowania osobom trzecim. Pomimo deklarowanej świadomości niebezpieczeństw, najczęściej przyznają się do tego osoby młodsze (28,8 proc.). Wraz z wiekiem ta tendencja spada. Najrzadziej swoje dane przekazują respondenci w najstarszych grupach wiekowych. W tym konkretnym przypadku widać, że mądrość przychodzi z wiekiem.

Nie zważając na rosnącą aktywność cyberprzestępców, jedynie 1/4 (24,5 proc.) osób badanych deklaruje, że zlikwidowała konto w nieużywanych przez siebie serwisach internetowych. 42,3 proc. ankietowanych uruchomiło w czasie pandemii, celem zwiększenia bezpieczeństwa swoich danych, blokady antyspamowe w swoich prywatnych laptopach lub smartfonach. Grupa przeciwników takiego rozwiązania jest jednak tak samo liczna, ponieważ tyle samo osób zadeklarowało, że tego nie zrobili. 84,4 proc. badanych korzysta z aktualnego oprogramowania antywirusowego. Nieco ponad połowa respondentów wybiera jednak darmowe oprogramowanie, podczas gdy 1/4 badanych decyduje się na korzystanie z płatnych programów.

Oprócz silnych i unikatowych haseł bardzo ważna dla zapewnienia bezpieczeństwa naszych danych osobowych jest stała aktualizacja oprogramowania zarówno komputera, jak i innych urządzeń elektronicznych. Równie ważne jest nie tylko posiadanie programu antywirusowego, ale i jego uaktualnianie. Złośliwe oprogramowanie, przed którym chronią nas takie narzędzia, powstaje codziennie. Dlatego bez aktualnej bazy wirusów i bazy złośliwych aplikacji program antywirusowy nie będzie w pełni spełniał swojej roli. Nieaktualne oprogramowanie może zaś narazić nas na atak hakerów, którzy mogą wykorzystać podatność danego programu na niebezpieczeństwo. Istnieje też ryzyko zainfekowania naszego komputera oprogramowaniem szpiegującym czy też takim, które zaszyfruje nasze dane, przez co de facto je utracimy – tłumaczy Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji w UODO.

Specjaliści zwracają uwagę na to, że nawet zachowanie wszystkich zasad bezpieczeństwa może nie wystarczyć, żeby uchronić się przed wykorzystaniem naszych danych osobowych. Nie wiemy, w jaki sposób zabezpieczone są bazy danych sklepów internetowych lub portali społecznościowych, z których korzystamy. Dlatego żeby minimalizować negatywne skutki kradzieży tożsamości Urząd Ochrony Danych Osobowych rekomenduje m.in. założenie konta w systemie informacji gospodarczej, aby monitorować swoją aktywność kredytową.

Badanie na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych zostało przeprowadzone w marcu 2021 roku metodą CAWI na reprezentatywnej grupie 1007 respondentów przez IMAS International.

CZYTAJ DALEJ
laptop-09-4.jpg

Co zrobić w przypadku kradzieży tożsamości?

Co robić kiedy skradziono Twój dowód osobisty lub go zgubiłeś?

Osoby, które padły lub mają podejrzenie, że mogły paść ofiarami kradzieży swoich dokumentów np. dowodu osobistego, powinny w pierwszej kolejności zgłaszać się na Policję. Dowód zostanie unieważniony z dniem zgłoszenia. Nie trzeba wtedy zgłaszać utraty dokumentu w urzędzie gminy (tak jak w przypadku zgubienia dowodu osobistego).

Pamiętaj, że takich spraw nie należy zgłaszać do Prezesa UODO, ale organom ścigania, gdyż to one są uprawnione do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.

Zarówno, gdy padasz ofiarą kradzieży dokumentu tożsamości, jak i kiedy po prostu go zgubisz, zgłoś ten fakt np. bankowi, w którym masz konto, celem zastrzeżenia tego dokumentu przed nieuprawnionym użyciem.

Zgłoś się do urzędu, aby wyrobić nowy dokument. W przypadku dowodu osobistego jest to dowolny urząd gminy, a w przypadku paszportu – w punkcie paszportowym (informacje o adresach punktów znajdziesz na stronach internetowych urzędów wojewódzkich). Gdy utracisz prawo jazdy z wnioskiem o nowy dokument musisz się udać do starostwa powiatowego.

Jak się zabezpieczyć, gdy wiesz, że Twoje dane wyciekły?

Atak hakera, zgubiona korespondencja, niezabezpieczone dane na serwerze – to sytuacje, w przypadku których osoby do tego nieuprawnione wchodzą (albo potencjalnie jest to możliwe) w posiadanie Twoich danych osobowych. Niestety, nie masz na to wpływu. W sytuacji, gdy administrator uzna, że istnieje ryzyko wykorzystania Twoich danych i powiadomi Cię o zaistniałym incydencie, podejmij działania, by zminimalizować ewentualne negatywne konsekwencje wykorzystania danych.

Oprócz wspomnianego już zastrzeżenia dokumentu tożsamości w banku, gdy wyciekły dane widniejące np. na dowodzie osobistym, możesz również założyć np. konto w systemie informacji kredytowej i gospodarczej, celem monitorowania swojej aktywności kredytowej.

Zachowaj dużą ostrożność podczas podawania danych przez Internet. Dokładnie analizuj kierowane do Ciebie komunikaty, zawarte np. w  wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których korzystasz.

Co zrobić, gdy ktoś wziął pożyczkę lub kupił usługę posługując się Twoimi danymi?

Osoby, które padły lub mają podejrzenie, że mogły stać się ofiarami przestępstwa powinny jak najszybciej zgłosić się na Policję, zwłaszcza gdy poniosły szkodę majątkową lub osobistą, np. na ich dane zaciągnięto jakieś zobowiązania. Należy też zawiadomić o takim zdarzeniu podmiot, u którego posłużono się danymi. Czyli trzeba się zgłosić do banku lub firmy pożyczkowej, w których oszust z użyciem Twoich danych wziął pożyczkę lub kredyt. Podobnie, gdy np. ktoś posłużył się danymi, celem podpisania umowy z operatorem telefonii komórkowej, np. by wyłudzić w ten sposób telefon.

Zadbaj o zgromadzenie i zachowanie dowodów, że zgłosiłeś sprawę organom ścigania. Będzie to pomocne w postępowaniu przed sądem, zwłaszcza w sprawach dotyczących szkód majątkowych.

Dochodzenie praw może następować w trybie przewidzianym odrębnymi przepisami zarówno przed sądem w sprawach karnych jak i cywilnych.

W jakich sytuacjach możesz zwrócić się do Prezesa Urzędu Ochrony Danych Osobowych?

Jeżeli przypuszczasz, że firma czy instytucja przetwarza Twoje dane bez podstawy prawnej, nie informuje skąd ma dane osobowe i w jakim celu je przetwarza, to w pierwszej kolejności zwróć się do niej, z żądaniem realizacji swoich praw, np. wyjaśnienia zasad na jakich Twoje dane są przetwarzane. Gdy nie otrzymasz odpowiedzi, pozyskane informacje są niewystarczające lub niepełne albo gdy administrator nie respektuje Twojego żądania dotyczącego np. wycofania zgody na przetwarzanie danych (jeżeli to zgoda była podstawą przetwarzania), czy sprzeciwu wobec przetwarzania Twoich danych, to możesz złożyć skargę do Prezesa UODO. W pierwszej kolejności zwracaj się zatem o realizację Twoich praw do administratora – podmiotu przetwarzającego Twoje dane. O ile Twoje żądania nie będą respektowane, zignorowane czy po części jedynie wypełnione możesz zwrócić się następnie do Prezesa UODO o ich wyegzekwowanie.

Składając skargę indywidualną, podaj swoje dane, opisz sprawę i określ jakich działań oczekujesz od Prezesa UODO, czyli np. wskaż, by organ nakazał wykonanie Twoich praw, poprzez usunięcie danych czy spełnienie obowiązku informacyjnego. Konieczne jest także wskazanie administratora, który dopuścił się naruszenia Twoich praw. Trzeba więc podać np. nazwę firmy, czy instytucji lub imię i nazwisko osoby oraz adres siedziby przetwarzających Twoje dane osobowe.

Jeżeli działanie administratora nie dotyczy Twoich danych, ale masz podejrzenie, że narusza ono ogólne zasady przetwarzania danych, możesz o tym zawiadomić UODO. Organ nadzorczy może wówczas przeprowadzić postępowanie z urzędu w celu wyjaśnienia, czy faktycznie zaszły nieprawidłowości. W takiej sytuacji nie występujesz w charakterze strony, jak to ma miejsce w przypadku skargi indywidualnej, która związana jest z praktyką naruszającą Twoje prawa. Dlatego w przypadku, gdy Prezes UODO podejmie działania z urzędu, nie będziesz informowany o etapach takiego postępowania.

Czy Prezes UODO może ustalić sprawcę naruszenia, gdy masz np. tylko jego numer telefonu?

Organ nadzoru nie zawsze ma możliwości prawne czy techniczne by ustalić tożsamość niedookreślonego administratora. Samo wskazanie np. numeru telefonu, z którego wykonywane jest połączenie, niezidentyfikowanego serwera, gdzie są np. ujawnione Twoje dane czy przedstawienie dokumentów zawierających dane bez wskazania źródła ich pochodzenia to za mało.

Pamiętaj, że Prezes UODO nie jest organem ścigania i nie ma w związku z tym takich kompetencji jak Policja, czy Prokuratura. Działalność Prezesa UODO ma na celu zapewnienie, by wskazany administrator przetwarzał dane zgodnie z prawem. Dlatego, gdy składasz skargę indywidualną konieczne jest precyzyjne wskazanie jakiego podmiotu ona dotyczy, by było możliwe wszczęcie postępowania administracyjnego i merytoryczne rozstrzygniecie sprawy poprzez wydanie decyzji administracyjne.

Wyciekły moje dane. Czy Prezes UODO może ukarać administratora?

Decyzję o nałożeniu kary finansowej na podmiot podejmuje Prezes UODO, analizując indywidualnie każdy przypadek. Nałożenie kary nie następuje na wniosek.

Kary finansowe to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie ogólnego rozporządzenia o ochronie danych osobowych. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych, osób, których dane są przetwarzane. W przypadku stwierdzenia naruszenia przepisów może to być m.in.: wydane ostrzeżenie odnoszące się do planowanych procesów przetwarzania, udzielone upomnienie w związku z uchybieniem o niewielkim charakterze, wydany nakaz dostosowania określonych działań do obowiązujących przepisów. Prezes UODO korzysta w pierwszej kolejności m.in. z tych rozwiązań. Kary są ostatecznością i są nakładane o ile wymagają tego okoliczności indywidulanego przypadku. Decyzje, mocą których kary takie są nakładane są poprzedzone bardzo dokładną i wnikliwą analizą zaistniałych okoliczności i wynikającą z nich konieczność nałożenia kary oraz na jej wysokość.

Przy wymierzaniu kary finansowej, Prezes UODO musi brać pod uwagę co najmniej 11 różnych czynników. Są to m.in.: charakter, waga i czas trwania naruszenia, to czy miało ono charakter umyślny, czy nieumyślny, warunki, w jakich do niego doszło, liczba poszkodowanych osób, kategorie przetwarzanych danych, rozmiar poniesionej przez nie szkody. A także czy jest to pierwsze czy kolejne naruszenie , jak zachował się administrator (np. czy sam zgłosił wyciek danych oraz – o ile to konieczne – poinformował o tym osoby poszkodowane), wszelkie inne czynniki obciążające lub łagodzące zaistniałe w indywidulanym przypadku.

Finansową karę administracyjną z tytułu naruszenia przepisów o ochronie danych osobowych Prezes UODO nakłada w drodze decyzji administracyjnej po przeprowadzeniu postępowania administracyjnego w sprawie, analizując każdy przypadek indywidualnie.

UODO

CZYTAJ DALEJ
laptop-09-6.jpg

Media społecznościowe a bezpieczeństwo danych

Urząd Ochrony Danych Osobowych w związku z wyciekiem danych z portali społecznościowych przypomina jak bezpiecznie korzystać z sieci.

Gigantyczna ilość prywatnych danych, przechowywanych obecnie na serwerach, jest z jednej strony wystarczającą motywacją dla hackerów do zdobycia dostępu do tych danych, a z drugiej strony sporym wyzwaniem dla administratorów i działów bezpieczeństwa portali, aby te dane zabezpieczyć, przy zachowaniu wysokiej dostępności.

To nie wszystko. Bezpieczeństwo danych użytkowników korzystających z zasobów Internetu zależy również od poziomu ich świadomości nt. zagrożeń płynących z sieci podczas korzystania z niej.

UODO przypomina kilka zasad, którymi należy się kierować, aby zminimalizować ryzyka związane z korzystaniem z mediów społecznościowych:

  • stosować silne hasło –  można w tym celu posłużyć się generatorem haseł;
  • stosować dwuetapowe logowanie – najpierw podajemy login i hasło, a później potwierdzamy logowanie zewnętrznym tokenem. Zastosowanie takiego klucza sprzętowego skutecznie zabezpieczy przed atakami hakerskimi (phishingiem, przechwytywaniem sesji czy wyłudzeniem danych). Ponadto token nie zadziała podczas logowania na fałszywej stronie;
  • nie logować się na nieznanych urządzeniach;
  • stosować różne hasła do różnych portali i systemów, w czym może pomóc nam manager haseł;
  • nie korzystać z niezaufanego połączenia internetowego (publiczne hot spoty);
  • ograniczyć uprawnienia aplikacji do logowania za pomocą konta w portalu społecznościowego.

Co zrobić, gdy podejrzewamy, że nasze dane mogły wyciec?

  • bezwzględnie należy, najszybciej jak to możliwe, zmienić hasło przy zachowaniu zasad tworzenia złożonego hasła;
  • należy zachować szczególną ostrożność przed atakami phishingowymi. Ataki te mogą się nasilić po wycieku danych kontaktowych (e-mail). Pod żadnym pozorem nie używajmy odnośników znajdujących się w otrzymanej poczcie, w szczególności w korespondencji niezamówionej lub pochodzącej od nieznanych osób, instytucji i firm;
  • należy zachować ostrożność przed atakami socjotechnicznymi, przeprowadzanymi przy użyciu telefonu. Potencjalny hacker może wykorzystać przechwycone z portalu społecznościowego dane, podczas na przykład rozmowy telefonicznej z ofiarą ataku uwierzytelnić się , a następnie zdobyć bezpośrednio dalsze informacje, w tym dostęp do systemów lub urządzeń użytkownika.

UODO

CZYTAJ DALEJ
mlodziez1.jpg

Bezpieczeństwo cyfrowe dzieci i młodzieży a odpowiedzialność – UODO zaprasza na webinarium

Urząd Ochrony Danych Osobowych wraz z Komendą Stołeczną Policji organizują wykład on-line, który odbędzie się 9 kwietnia br. o godz. 10.00. Spotkanie będzie okazją do przybliżenia zasad ochrony naszych danych w Internecie i zagrożeń, których musimy być świadomi.

Podczas webinarium eksperci odpowiedzą m.in. na pytania, jak odpowiedzialnie i świadomie korzystać z dostępnych narzędzi w celu ochrony siebie, swojego wizerunku i danych osobowych, a także opowiedzą o konsekwencjach nierozważnych decyzji w cyfrowej rzeczywistości.

Zbliżające się webinarium to okazja dla dyrektorów szkół, nauczycieli oraz samych uczniów i ich rodziców, do zrozumienia, jak świat nowych technologii ma realny wpływ na nawyki młodych ludzi we wszystkich aspektach życia.

W obecnym czasie nowoczesne technologie, Internet mają ogromny wpływ na życie społeczne i rozwój gospodarczy. Bez wątpienia nowe pokolenie czuje się bardzo swobodnie w świecie nowych rozwiązań wdrażanych w celu przekazywania informacji, nauki, rozrywki czy komunikowania się. Warto jednak mieć świadomość jak wykorzystywanie świata cyfrowego, który niesie za sobą tyle korzyści, może także wiązać się z pewnymi zagrożeniami, w tym dla ochrony danych osobowych i prywatności.

Bycie online to nie tylko udostępnianie danych osobowych, ale obecnie całe nasze życie, nad którym powinniśmy mieć kontrolę. Młodzi ludzie biegle korzystają z nowoczesnych technologii, ale jeszcze brakuje im wiedzy o zagrożeniach, doświadczeń i umiejętności przewidywania konsekwencji swoich decyzji.

Ogólne rozporządzenie o ochronie danych (RODO) wyraźnie wskazuje, że dzieci powinny być świadome ryzyka związanego z przetwarzaniem danych osobowych, ale także obowiązujących zasad, mechanizmów ochrony i praw. Świadomość ryzyka powinna być dla nich pomocna do skutecznego korzystania ze swoich praw. Nasze doświadczenia w ramach realizacji programu edukacyjnego „Twoje dane – Twoja sprawa” pokazują, że dzieci i młodzież są coraz bardziej świadomi swoich praw i obowiązków wynikających z przepisów prawa. Natomiast nadal brakuje im refleksji i wiedzy praktycznej w życiu codziennym. Czasami potrzeba więcej rozwagi, mądrości życiowej i umiejętności przewidywania konsekwencji swojego działania, aby bezpiecznie uczestniczyć w cyfrowej rzeczywistości. Dlatego tak ważna jest edukacja.

Jest to już kolejne spotkanie z cyklu wykładów otwartych UODO, które będą mogli Państwo oglądać dzięki współpracy z Ośrodkiem Edukacji Informatycznej i Zastosowań Komputerów w Warszawie.

Wydarzenie będzie dostępne pod linkiem: https://youtu.be/Y5A_RLUrGSk.

UODO

CZYTAJ DALEJ

EROD i EIOD o rozporządzeniu w sprawie zarządzania danymi

Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęli wspólną opinię dotyczącą rozporządzenia w sprawie zarządzania danymi. Rozporządzenie ma na celu zwiększenie dostępności danych poprzez podniesienie poziomu zaufania do pośredników w zakresie danych oraz wzmocnienie mechanizmów udostępniania danych w całej Unii Europejskiej.

EROD i EIOD uznają za uzasadniony cel rozporządzenia poprawę warunków udostępniania danych na rynku wewnętrznym. Jednocześnie ochrona danych osobowych jest zasadniczym i integralnym elementem zaufania w gospodarce cyfrowej. W szczególności celem rozporządzenia jest promowanie udostępniania danych sektora publicznego do ponownego wykorzystania. Ma ono także służyć udostępnianiu danych między przedsiębiorstwami oraz wykorzystywaniu danych osobowych z pomocą „pośrednika w udostępnianiu danych osobowych”. Rozporządzenie ma również umożliwić wykorzystywanie danych z pobudek altruistycznych.

W tej wspólnej opinii EROD i EIOD wzywają współustawodawców do zapewnienia pełnej zgodności przyszłego rozporządzenia w sprawie zarządzania danymi z prawodawstwem UE w zakresie ochrony danych osobowych, co zwiększy zaufanie do gospodarki cyfrowej i utrzyma stopień ochrony przewidziany w prawie Unii pod nadzorem organów nadzorczych państw członkowskich.

EROD i EIOD uważają, że unijny prawodawca powinien dopilnować, aby w treści rozporządzenia w sprawie zarządzania danymi wyraźnie i jednoznacznie stwierdzono, że rozporządzenie to nie wpłynie na stopień ochrony danych osobowych osób fizycznych, ani nie zmieni żadnych praw i obowiązków określonych w prawodawstwie dotyczącym ochrony danych.

Ponowne wykorzystywanie danych w sektorze publicznym

Jeśli chodzi o ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego, EROD i EIOD zalecają dostosowanie rozporządzenia w sprawie zarządzania danymi do istniejących przepisów dotyczących ochrony danych osobowych. Chodzi zarówno o ogólne rozporządzenie o ochronie danych (RODO), jak i o dyrektywę w sprawie otwartych danych (dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego).

Ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego może być dozwolone wyłącznie wtedy, jeśli jest osadzone w prawie UE lub prawie państwa członkowskiego. Takie przepisy powinny zawierać wykaz wyraźnych zgodnych celów, dla których dalsze przetwarzanie może być dozwolone prawem lub stanowi niezbędny i proporcjonalny środek w demokratycznym społeczeństwie służącym celom, o których mowa w art. 23 RODO.

Dostawco usług, informuj

Odnosząc się do dostawców usług udostępniania danych, we wspólnej opinii podkreślono potrzebę zapewnienia osobom fizycznym uprzedniej informacji i kontroli, biorąc pod uwagę zasady ochrony danych w fazie projektowania i domyślnej ochrony danych, przejrzystości i ograniczenia celu. Ponadto powinien być wyjaśniony tryb korzystania z praw, na podstawie którego tacy dostawcy usług mogliby skutecznie wspierać osoby fizyczne w wykonywaniu ich praw jako osób, których dane dotyczą.

Czym jest altruistyczne podejście do danych?

Jeśli chodzi o altruistyczne podejście do danych, EROD i EIOD zalecają, że rozporządzenie w sprawie zarządzania danymi powinno lepiej zdefiniować cele leżące w interesie ogólnym takiego „altruistycznego podejścia do danych”. Podejście to należy zorganizować w taki sposób, aby umożliwiało osobom fizycznym łatwe wyrażenie, ale również wycofanie zgody.

W świetle potencjalnych zagrożeń dla osób, których dane dotyczą, kiedy ich dane osobowe mogą być przetwarzane przez dostawców usług udostępniania danych lub organizacje o altruistycznym podejściu do danych, EROD i EIOD uważają, że systemy dobrowolnej rejestracji tych podmiotów, ustanowione w rozporządzeniu w sprawie zarządzania danymi, nie przewidują wystarczająco rygorystycznej procedury sprawdzającej stosowanej do takich usług. Dlatego też EROD i EIOD zalecają poszukiwanie alternatywnych procedur, które przewidują bardziej systematyczne uwzględnianie narzędzi rozliczalności, w szczególności przestrzegania kodeksu postępowania lub mechanizmu certyfikacji.

Ponadto wspólna opinia zawiera zalecenia dotyczące wyznaczenia organów nadzorczych jako głównych organów właściwych do spraw kontroli przestrzegania przepisów rozporządzenia w sprawie zarządzania danymi, w porozumieniu z innymi odpowiednimi organami sektorowymi.

źródło: UODO

CZYTAJ DALEJ

O naruszeniu ochrony danych trzeba powiadomić organ nadzorczy

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ENEA S.A. administracyjną karę pieniężną w wysokości ponad 136 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych.

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja o naruszeniu ochrony danych osobowych pochodząca od osoby, która stała się nieuprawnionym adresatem danych osobowych. Naruszenie to polegało na wysłaniu e-maila z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. Nadawcą maila był współpracownik ukaranego przedsiębiorstwa.

UODO zwróciło się do spółki o wyjaśnienie okoliczności zdarzenia, przedstawienie analizy incydentu i ocenę, czy w związku z zaistniałą sytuacją nie zachodzi potrzeba zawiadomienia organu nadzorczego o naruszeniu oraz osób, których ono dotyczyło.

Ukarany podmiot wskazał, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych, na podstawie której spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia UODO. Ponadto przedsiębiorstwo uznało, że ze względu na szybko podjęte działania, jak oświadczenie nieuprawnionego adresata, że w sposób trwały zniszczył załącznik, do którego otrzymania nie był upoważniony, wyeliminowano możliwość zaistnienia w przyszłości negatywnych skutków tego zdarzenia dla osób, których dane dotyczą.

Z uwagi na  brak zgłoszenia naruszenia ochrony danych osobowych, organ nadzorczy wszczął wobec spółki postępowanie administracyjne, która w jego trakcie podtrzymała dotychczasowe stanowiska przedstawione w korespondencji prowadzonej z Urzędem od czerwca 2020 roku i w dalszym ciągu nie zgłosiła naruszenia organowi nadzorczemu.

W przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.

Do dnia wydania niniejszej decyzji, spółka nie wykonała obowiązku wynikającego z art. 33 RODO. Ustalając wysokość administracyjnej kary pieniężnej, Urząd uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

UODO przypomina, że zgodnie z art. 33 ust. 1 i 3 RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Decyzja dostępna jest pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5131.7.2020

CZYTAJ DALEJ
laptop-09-3.jpg

Nieaktualne oprogramowanie a upomnienie za naruszenie ochrony danych osobowych

Inspektor ochrony danych osobowych nałożył karę upomnienia na Spółkę, gdyż administrator danych stracił dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware.

Postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. Nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie. W ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.

Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

W wyniku ataku złośliwego oprogramowania, które skutkowało zaszyfrowaniem danych osobowych, Spółka utraciła dostęp do tych danych. Nie doszło jednak do naruszenia atrybutu poufności danych osobowych.

W ocenie UODO naruszenie nie powodowało więc wysokiego ryzyka dla osób dotkniętych naruszeniem. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do tych danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot uzdrowiskowy i tak nie prowadził swojej działalności.

Organ nadzorczy wskazał, że obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym. Zaznaczył też, że czynności te powinny być także dokumentowane, by realizowana był zasada rozliczalności wynikająca z RODO.

UODO wskazał też, że gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. Wówczas administrator zminimalizowały ryzyko wystąpienia naruszenia, do którego doszło. Tymczasem dopiero po tym incydencie administrator zainstalował nowe systemy operacyjne i dodatkowe oprogramowanie, mające odpowiednie wsparcie producentów.

Organ nadzoru decydując się o karze upomnienia wziął pod uwagę nie tylko to, że okoliczności sprawy wskazują na to, że osoby, których dotyczyło naruszenie nie poniosły żadnej szkody, na co wpływ miało zawieszenie działalności uzdrowisk w związku z pandemią COVID, ale też to, że administrator szybko podjął działania naprawcze. W ocenie UDOO kara upomnienia jest w tym wypadku wystarczająca i sprawi, że administrator będzie podejmował odpowiednie działania, które zminimalizują ryzyko wystąpienia podobnego zdarzenia w przyszłości.

źródło: UODO

CZYTAJ DALEJ
laptop-09-5.jpg

Zdalne nauczanie i cyberbezpieczeństwo

Wymuszona pandemią zmiana trybu nauczania ze stacjonarnego na zdalny jest dla szkół i placówek nie tylko wyzwaniem organizacyjnym i sprzętowym, ale pociąga też za sobą konieczność aktualizacji wiedzy o ochronie danych osobowych. Większe niż dotąd wykorzystanie nowoczesnych technologii sprawia, że musimy być świadomi związanych z tym zagrożeń. Z materiałów przygotowanych przez Departament Orzecznictwa i Legislacji UODO można się dowiedzieć, jak w warunkach nauki na odległość chronić dane i przetwarzać je zgodnie z RODO.

Bezpieczny sprzęt

Wielu nauczycieli pracuje zdalnie na własnym sprzęcie – jest to oczywiście dopuszczalne, trzeba tylko zadbać o to, aby laptop czy inne urządzenie były odpowiednio zabezpieczone (aktualizacje systemu, programy antywirusowe, pobieranie oprogramowania z wiarygodnych źródeł) oraz chronione przed dostępem osób trzecich. Jeżeli przechowujemy dane na nośnikach zewnętrznych, warto je zabezpieczyć hasłem.

„Przechowując dane na sprzęcie, do którego mogą mieć dostęp inne osoby, należy używać mocnych haseł dostępowych, a przed odejściem od stanowiska pracy urządzenie powinno zostać zablokowane. Zalecane jest także skonfigurowanie automatycznego blokowania komputera po pewnym czasie bezczynności oraz założenie odrębnych kont użytkowników w przypadku korzystania z komputera przez wiele osób” – radzi UODO.

Wybór narzędzi

Nauczyciele używają do pracy i komunikowania się z uczniami różnych platform i aplikacji, narzędzi konferencyjnych, komunikatorów. RODO jest neutralne technologicznie i daje administratorowi danych, czyli szkole, dużą swobodę w doborze narzędzi i środków, za pomocą których przetwarzane są dane. Szkoła ma zatem wybór, ale jako administrator ponosi odpowiedzialność za przetwarzane dane.

„Szkoła powinna samodzielnie wdrożyć wybraną spośród dostępnych metodę i technikę kształcenia na odległość lub inny sposób realizacji zadań zdalnie. Nauczyciele nie powinni sami decydować o korzystaniu z konkretnych rozwiązań. Biorąc jednak pod uwagę nadzwyczajną sytuację i konieczność natychmiastowego rozpoczęcia zajęć zdalnych, może to być w niektórych sytuacjach uzasadnione. Należy jednak pamiętać, że za przetwarzanie danych uczniów przy wykorzystaniu narzędzi wdrożonych samodzielnie przez nauczyciela zawsze odpowiedzialność ponosi szkoła. Dlatego przyjmowanie określonego rozwiązania powinno się odbywać w uzgodnieniu z dyrektorem szkoły, który musi mieć świadomość, jakie narzędzia są wykorzystywane do prowadzenia zdalnej edukacji w szkole, lub z wyznaczonym przez niego koordynatorem pracy zdalnej w szkole. Takie rozwiązanie powinno być traktowane jako tymczasowe” – radzi UODO.

Niektóre gminy, wspierając transformację cyfrową szkół, wypracowały na swoim terenie kompleksowe, jednolite rozwiązania technologiczne, dzięki czemu wszystkie szkoły, uczniowie i nauczyciele, funkcjonują w ramach tego samego środowiska komunikacyjnego.

Służbowe skrzynki pocztowe

Prowadzenie zajęć w sposób zdalny sprawia, że podstawowym narzędziem komunikacji z uczniami i rodzicami staje się poczta elektroniczna. Nauczyciele nie powinni w tym celu używać prywatnych adresów e-mailowych.

„Nauczyciel powinien prowadzić taką korespondencję ze służbowej skrzynki pocztowej, którą powinna zapewnić mu szkoła. Jeżeli szkoła nie zapewniła nauczycielom służbowych skrzynek poczty elektronicznej i jeżeli wykorzystują oni do celów służbowych prywatną skrzynkę pocztową, muszą pamiętać, aby korzystać z niej w sposób rozważny i bezpieczny” – wyjaśnia UODO.

W obu przypadkach nauczyciele powinni odpowiednio zabezpieczać dane osobowe udostępniane w przesyłanych wiadomościach. „Zawsze przed wysłaniem wiadomości należy upewnić się, czy niezbędne jest wysłanie danych osobowych oraz czy wysyłamy ją do właściwego adresata. Ponadto trzeba sprawdzić, czy w nazwie adresu e-mail adresata nie ma np. przestawionych lub pominiętych znaków, tak aby nie wysłać takiej wiadomości do osób nieupoważnionych. Podczas wysyłania korespondencji zbiorczej powinno się korzystać z opcji UDW, dzięki której odbiorcy wiadomości nie będą widzieć wzajemnie swoich adresów e-mail” – radzi UODO.

Tylko niezbędne dane

Warto pamiętać, że „szkoła może wymagać od ucznia lub reprezentującego go rodzica (opiekuna prawnego) podania danych do założenia konta w systemie zdalnego nauczania, ale tylko w zakresie niezbędnym do tego, aby to konto założyć. Nie należy przy takiej okazji gromadzić danych nadmiarowych lub służących do realizacji innych celów”.

Małgorzata Tabaszewska – specjalistka prawa oświatowego

CZYTAJ DALEJ

Ochrona danych osobowych w szkole – wyjaśnienia UODO

Szczególnej ostrożności wymagają dane osobowe dotyczące zdrowia, pozyskiwane m.in. w gabinecie profilaktyki zdrowotnej czy przy udzielaniu pomocy psychologiczno-pedagogicznej. Warto wiedzieć, kto jest ich administratorem i jakie ma w tym zakresie obowiązki.

Dokumentacja medyczna wytwarzana w gabinecie pielęgniarki

Zgodnie z przepisami prawa uczniowie są …

CZYTAJ DALEJ

Przedszkola i ochrona danych osobowych

Przedszkole, będące administratorem danych osobowych, wskazując zakres danych, które chce pozyskać w trakcie rekrutacji, musi przeanalizować, czy zakres ten wynika z przepisów prawa albo jest związany z realizacją interesu, który uzasadnia przetwarzanie konkretnych danych i nie narusza praw osób, których dane dotyczą – przypomina UODO. Przedszkole musi bowiem wskazać właściwą przesłankę legalizującą przetwarzanie danych osobowych.

Rodzice składają pisemne potwierdzenie woli przyjęcia dziecka do przedszkola, zawierając umowy o świadczenie usług przedszkolnych przez podmioty publiczne lub niepubliczne. Zdarza się, że przedszkola wymagają od rodziców nie tylko danych koniecznych do zawarcia umowy, takich jak imię i nazwisko rodziców dziecka, adres ich zamieszkania, ale także …

CZYTAJ DALEJ

Newer Posts

Older Posts