Agencja CNIL

“Strony internetowe regularnie próbują nakłonić użytkowników do zaakceptowania ich śledzących plików cookie, stosunkowo utrudniając ich odrzucenie. W czwartek francuski organ nadzorczy ds. ochrony danych zaatakował takie sztuczki – znane w branży technologicznej jako „ciemne wzorce” – nakładając grzywny na Facebooka , Google i YouTube w łącznej wysokości 210 milionów euro (238 milionów dolarów).

Agencja, znana jako CNIL, stwierdziła, że ​​działania firm naruszają francuską ustawę o ochronie danych. Oprócz tych grzywien – 60 milionów euro na Facebooka i 150 milionów euro na Google i jego firmę zajmującą się strumieniowym przesyłaniem wideo – dał im trzy miesiące na zmianę sposobu działania ich mechanizmów akceptowania/odrzucania plików cookie lub nałożenie dalszych kar w wysokości 100 000 euro dziennie.

Trudny europejski system ochrony prywatności w Internecie naprawdę wszedł w ruch w zeszłym roku, kiedy grzywny na mocy wcześniej budzącego obawy Ogólnego Rozporządzenia o Ochronie Danych (RODO) wyniosły ponad 1 miliard euro, głównie dzięki karom kinowym na Amazon i WhatsApp , nałożonych w Luksemburgu i odpowiednio w Irlandii.

Ostatnie grzywny nałożone przez CNIL zostały jednak poparte innym aktem prawnym UE: dyrektywą o prywatności i łączności elektronicznej, która została transponowana do prawa francuskiego jakieś dwie dekady temu. Ta starożytna (w czasach internetu) księga zasad, popularnie znana jako „prawo plików cookie”, miała zostać zastąpiona pięć lat temu, chociaż proces legislacyjny wielokrotnie się zatrzymywał.”

Źródło: https://fortune.com/2022/01/06/france-cookie-law-facebook-google/

Czytaj więcej

Morgan Stanley, ugoda na 60 mln dolarów za naruszenie bezpieczeństwa danych osobowych

(Bloomberg) – “Morgan Stanley zgodził się zapłacić 60 milionów dolarów za rozstrzygnięcie pozwu zbiorowego konsumentów, którzy twierdzą, że firma nie chroni ich danych osobowych. Umowa, jeśli zostanie zatwierdzona przez sędziego federalnego na Manhattanie, rozwiąże roszczenia dotyczące dwóch naruszeń bezpieczeństwa, które naruszyły dane osobowe 15 milionów obecnych i byłych klientów, według grupy z nich, która pozwała w lipcu 2020 r. Klienci twierdzili, że informacje są przechowywane w zamkniętych centrach danych i na serwerach komputerowych w lokalizacjach oddziałów, które zostały wymienione.

Dane przechowywane na sprzęcie wycofanego z użytku centrum danych, w tym numery ubezpieczenia społecznego klientów i daty urodzenia, nie zostały całkowicie wyczyszczone, a sprzęt zaginął. Twierdzili, że luka w oprogramowaniu pozostawiła dane na starych serwerach w postaci niezaszyfrowanej.

„Wcześniej powiadamialiśmy wszystkich potencjalnie dotkniętych tymi sprawami klientów w związku z tymi sprawami, które miały miejsce kilka lat temu, i cieszymy się, że możemy rozwiązać ten powiązany spór” – poinformował bank w poniedziałkowym oświadczeniu.

Strony ogłosiły w listopadzie, że doszły do ​​ugody w zasadzie, bez ujawniania szczegółów. Morgan Stanley nadal odrzuca roszczenia, według sądu, który złożył w piątek wniosek o zatwierdzenie ugody. 

Analisa Torres, sędzia okręgowy Stanów Zjednoczonych, musi podpisać umowę, zanim wejdzie ona w życie.

Sprawa to Tillman i in. przeciwko Morgan Stanley Smith Barney LLC, 20-cv-5914, Sąd Okręgowy Stanów Zjednoczonych, Okręg Południowy Nowego Jorku (Manhattan). 

Andrei Vittorio.”

Pierwszy incydent dotyczył likwidacji dwóch centrów danych zarządzania majątkiem przez firmę Morgan Stanley. Sprzedawcy banku, firmie Triple Crown, powierzono wyczyszczenie lub zniszczenie niezaszyfrowanego sprzętu komputerowego przed usunięciem go z centrów. Później okazało się, że sprzęt ten zawierał dane nawet po tym, jak opuścił kontrolę dostawcy. Według Morgan Stanley sprzedawca usunął urządzenia i odsprzedał je stronie trzeciej bez zezwolenia.

Drugie zdarzenie dotyczyło wymiany i usunięcia sprzętu w oddziałach w ramach programu odświeżania sprzętu. Bankowi nie udało się zlokalizować niektórych z tych urządzeń, które – z powodu usterki oprogramowania – mogły zawierać na dyskach wcześniej usunięte informacje w postaci niezaszyfrowanej.

Zgodnie z proponowaną ugodą klienci mają prawo do co najmniej dwuletniego ubezpieczenia od oszustw, a także mogą ubiegać się o zwrot do 10 000 USD z tytułu strat z własnej kieszeni. Bank zapewnił również, że zmodernizuje swoje praktyki w zakresie bezpieczeństwa danych.

Czytaj więcej

Radca Prawny

wdrożenie-rodo-audyt-rodo-jak-wdrozyc-rodo Radca Prawny

Radca prawny / adwokat / doktor prawa

Twój zakres obowiązków (praca zdalna);

  • obsługa prawna klientów biznesowych
  • opiniowanie umów i innych dokumentów pod kątem celów biznesowych oraz zgodności z prawem
  • przygotowywanie umów, raportów, opinii prawnych, procedur, itp. przy współpracy z naszym zespołem RODO Security Polska

Nasze wymagania;

  • uprawnienia radcy prawnego lub adwokata lub doktora prawa
  • doświadczenie w zakresie przepisów ochrony danych osobowych “RODO”
  • minimum 2-letnie doświadczenie zawodowe
  • bardzo dobra znajomość j. angielskiego lub j. niemieckiego
  • umiejętność dokonywania analizy prawnej
  • komunikatywność i bardzo dobra organizacja pracy

Oferujemy;

  • wysokie wynagrodzenie
  • współpracę z doświadczonymi Radcami Prawnymi i Adwokatami w projektach na rynku w Polsce i Europie
  • udział w interesujących projektach ze wsparciem doświadczonych prawników
  • zdobywanie nowych umiejętności i możliwość rozwoju
  • pozyskanie specjalistycznej wiedzy
  • atrakcyjne wynagrodzenie zależne od posiadanych kompetencji na umowę B2B
  • przyjazną atmosferę pracy i wsparcie zespołu
Czytaj więcej

Z raportu UODO;

“W 2020 r. Urząd Ochrony Danych Osobowych dokonał analizy 7507 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Spośród 7507 zgłoszeń naruszeń, które wpłynęły w 2020 r, 4661 zostało zgłoszonych przez podmioty sektora prywatnego, 2691 przez podmioty sektora publicznego, zaś około 155 zgłoszonych w międzynarodowym systemie informatycznym (IMI). W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od podmiotów: telekomunikacyjnych – 2104, ubezpieczeniowych – 792, banków i podmiotów finansowych – 472, służby zdrowia – 272. W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały: jednostki samorządu terytorialnego – 382, służby mundurowe – 163, administracja rządowa – 133.

Dla porównania w roku 2019 r. Urząd Ochrony Danych Osobowych dokonał analizy 6039 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, w tym 3894 naruszenia zostały zgłoszone przez podmioty sektora prywatnego, zaś 2145 przez podmioty sektora publicznego.

Wzrost liczby zgłoszeń naruszeń ochrony danych osobowych w 2020 r. wynika z jednej strony z coraz większej świadomości administratorów, co do ich obowiązków wynikających z art. 33 oraz 34 rozporządzenia 2016/679, z drugiej – z obawy przed konsekwencjami, o których mowa w art. 58 oraz 83 ust. 4, 5 i 6 rozporządzenia 2016/679.

W zgłoszeniach naruszeń przodowały podmioty prywatne, w szczególności prowadzące działalność w sektorach telekomunikacyjnym, ubezpieczeniowym oraz finansowym.

W przypadku podmiotów publicznych najczęściej zgłaszano naruszenia w jednostkach samorządu terytorialnego, służbach mundurowych oraz administracji rządowej.

W 2020 r. nastąpił wyraźny wzrost zgłaszanych naruszeń z sektora służb mundurowych. Obowiązek zgłoszenia naruszenia ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, określony w art. 44 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, został odmiennie uregulowany przez ustawodawcę i uzależniony od wystąpienia ryzyka niezależnie od poziomu jego wysokości. Zgodnie z art. 44 ww. ustawy obowiązku zgłoszenia nie stosuje się, jeżeli nie wystąpiło ryzyko naruszenia praw i wolności osób fizycznych. Natomiast przesłanką zwalniającą administratora danych z obowiązku zgłoszenia naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, jest małe prawdopodobieństwo, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zwiększona świadomość administratorów przetwarzających dane w związku z zapobieganiem i zwalczaniem przestępczości, co do konieczności zgłaszania naruszeń niezależnie od poziomu występującego ryzyka, niewątpliwie znalazła swoje odzwierciedlenie we wzroście zgłaszanych naruszeń w sektorze służb mundurowych”

Czytaj więcej

Z raportu UODO na 2020 rok;

“Sygnaliści W 2020 r. Prezes Urzędu został poinformowany w 224 przypadkach o zdarzeniach naruszających bezpieczeństwo danych przez podmioty inne niż administratorzy danych. Często były to osoby, których dotyczyło naruszenie danych osobowych lub osoby, które w sposób niezamierzony weszły w posiadanie danych dla nich nieprzeznaczonych. Zdarzały się przypadki, w których na podstawie sygnałów uzyskanych w powyższy sposób Prezes Urzędu ustalił, że administrator danych, mimo świadomości wystąpienia naruszenia, nie poinformował o tym organu nadzorczego. Najczęściej brak dokonania zgłoszenia wynikał z błędnie ocenionego przez administratora danych poziomu ryzyka naruszenia praw lub wolności osoby fizycznej, od którego uzależniony jest obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Przyczyny niezgłoszenia niektórych incydentów znajdowały również swoje źródło w braku odpowiedniego wdrożenia wewnętrznych procedur w zakresie identyfikowania naruszeń 147 i postępowania w przypadkach naruszenia bezpieczeństwa danych, czy braku świadomości pracowników co do zdarzeń naruszających bezpieczeństwo danych w kontekście konieczności zgłoszenia takiego zdarzenia przełożonym. Natomiast świadome i celowe podjęcie decyzji o zaniechaniu zgłoszenia naruszenia ochrony danych osobowych w obawie przed ewentualnymi konsekwencjami są szczególnie naganne i takie zachowania były oraz będą przedmiotem szczególnej analizy Prezesa Urzędu.”

SPRAWOZDANIE Z DZIAŁALNOŚCI PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH w ROKU 2020

Sprawozdanie stanowi wykonanie art. 59 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz art. 50 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych1 .

Czytaj więcej

Na stronie UODO pojawił się kolejny komunikat o nałożonej karze w wysokości ponad 363 tys. zł;

Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia – podkreślił organ nadzorczy w decyzji nakładającej na Bank Millennium S.A karę w wysokości ponad 363 tys. zł.

UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.

Skarżący zostali o tym fakcie powiadomieni przez Bank, ale informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO. W toku sprawy okazało się, że administrator danych nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą.

Tymczasem do UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. Te ryzyka to np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje.

UODO zwrócił uwagę, że gdyby w omawianej sprawie administrator powiadomił organ nadzorczy, to dostałby wówczas informację, że należy także powiadomić o naruszeniu osoby. Co ważne UODO wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko. Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. W omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO.

UODO decydując o nałożeniu kary wziął pod uwagę m.in. to, że w toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający stopień współpracy z organem nadzoru, umyślność działania oraz charakter i wagę naruszenia. Wysokość kary w ocenie organu nadzorczego spełni funkcję represyjną, gdyż nie tylko ten administrator, ale i inni będą prawidłowo wywiązywać się z obowiązków związanych z naruszeniami ochrony danych.”

Pełna treść decyzji pod linkiem.

Czytaj więcej