Astronomiczna kara dla Google

Francuski organ ochrony danych osobowych (CNIL) nałożył na firmę Google karę finansową w wysokości 50 mln EURO za przetwarzanie danych osobowych użytkowników niezgodne z przepisami Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

Naruszenie zasady przejrzystości 

Informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, były dostępne dopiero po wielu “klinięciach”. Użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google.

Cele przetwarzania opisane były w sposób zbyt ogólny i niejasny, podobnie jak kategorie danych przetwarzanych dla tych różnych celów. Przekazane informacje nie były wystarczająco jasne, aby użytkownik mógł zrozumieć, że podstawą prawną operacji przetwarzania w celu personalizacji reklam jest zgoda, a nie uzasadniony interes firmy.

Według organu pozyskiwana przez Google w celu dostarczania spersonalizowanych reklam ​​zgoda nie została ważnie uzyskana z dwóch powodów.

Po pierwsze ​​zgoda użytkownika nie była wystarczająco poinformowana. Informacje o operacjach przetwarzania w zakresie reklam spersonalizowanych były rozproszone w kilku dokumentach i nie umożliwiały użytkownikowi zrozumienia ich zakresu. Na przykład użytkownik mógł nie mieć świadomości istnienia wielu usług, stron internetowych i aplikacji zaangażowanych w operacje przetwarzania danych. Czytaj więcej

Czy masz dowody…

Czy masz dowody na zgodność z RODO. Dzisiaj o sprawie wydawałoby się oczywistej a jednak jak sie okazuje w praktyce nie do końca.

Każdy wie, że aby wygrać w sądzie trzeba mieć dowody na popracie swojego stanowiska. Trzeba mieć dowody winy, aby kogoś skazać. W procesie karnym wątpliwości nie dające się rozstrzygnąć intrepretuje się na korzyść oskrażonego. W procesie cywilnym ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne.

W życiu też często poszukujemy dowodów na popracie swoich racji lub podejrzeń. Nawet małe dzieci, jeśli chodzi o dowody, wiedzą, że coś jest na rzeczy. Moja 7-letnia córka, gdy jej zarzucam, że jakaś wykryta przeze mnie psota jest na pewno jej dziełem patrząc na mnie bardzo poważnie z wyrzutem pyta czy mam na to dowody. Hm no faktycznie  namacalnych dowdów nie miałam.

To tak humorystycznie oczywiście, bo zmierzam do tego, że wykazanie zgodności przetwarzania danych osobowych z RODO również wymaga gromadzenia różnych dowodów. Czytaj więcej

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

Czy jesteś gotowy na RODO?

W ramach sprawdzianu gotowości do RODO na stronach GIODO publikowane są w odcinkach pomocne we wdrażaniu RODO wyjaśnienia.

Czy RODO to rewolucja, czy zmiany będą zasadnicze, na czym będą polegały i co to oznacza dla administratora danych tego dowiemy się w kolejnym odcinku pomocnych wyjaśnień GIODO, które znajdziesz Tutaj.

Z mojej praktyki wynika, że ogólny stan świadomości o RODO jest w dalszym ciągu bardzo niski, dlatego takie edukacyjne akcje GIODO są bardzo ważne. Administratorzy danych zwłaszcza Ci mali i średni, ale więksi też często nie mają świadomości o istnieniu RODO a jeśli nawet niektórzy coś słyszeli, to już na pewno nie zdają sobie sprawy z wagi problemu.

Został rok, aż rok a może tylko rok, aby się przygotować na rewolucję. W przygotowaniu na pewno bardzo pomocne są wszelkie wytyczne i wyjaśnienia GIODO.

“My Friend Cayla” czyli lalka szpieg

„My Friend Cayla” „bez wiedzy rodziców może nagrywać i transmitować rozmowy dziecka i innej osoby” pojawiła się na ryku zabawek niemieckich, gdzie na skutek protestów rodziców oraz interwencji niemieckiego organu d/s ochrony danych osobowych, została wycofana.

Lalki zaczynają natomiast pojawiać się m.in. w ofertach naszych serwisów aukcyjnych i niektórych internetowych sklepów z zabawkami na polskim rynku, stając się dla polskich dzieci i ich rodziców takim samym źródłem zagrożenia. Podobnie zresztą jak inne zabawki podłączone do sieci – ostrzega dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO).

GIODO radzi, aby interaktywne zabawki były przez rodziców wybierane ze szczególną ostrożnością, gdyż przy nieodpowiednio zabezpieczonym łączu Bluetooth, otoczenie dziecka mogą podsłuchiwać obce osoby.

Jak czytamy na stronach GIODO interaktywne zabawki zwane “CloudPets, mogą komunikować się bezprzewodowo z najbliższym w otoczeniu urządzeniem, np. smartfonem, i dalej za jego pośrednictwem poprzez aplikację CloudPets App przesyłać komunikaty do innych podobnych zabawek w dowolne miejsce na świecie. Komunikaty te mogą być ponadto przechowywane w chmurze obliczeniowej, z którą łączy się wspomniana aplikacja.

Nasze dzieci aktualnie bardzo szybko stają się posiadaczami smartofonów, tabletów, szybciej niz ich rodzice uczą się korzystać ze zdobyczy nowych technologii. Z jednej strony umiejętności te cieszą a z drugiej mogą stać się źródłem potencjalnych zagrożeń, gdyż za wzrostem umiejętności nie idzie świadomość czyhających na dziecko zagrożeń.

Kto by pomyślał, że niewinna zabawka lalka może szpiegować dziecko i jego otoczenie, dlatego reakcja niemieckiego urzędu d/s ochrony danych osobowych była tak zdecydowana a lalki wycofane ze sprzedaży.

Pamiętajmy, że jest to tylko przykład udowodnionej ingerencji w prywatność osoby fizycznej tym bardziej nagłośniona, że dotyczy dzieci. Jednakże problem dotyczy również dorosłych, do których kierowane są bardziej wyrafinowane rozwiązania technologiczne w formie np. aplikacji mobilnych różnego rodzaju, przetwarzających dane osobowe często w sposób nieadekwatny do potrzeb.

Rozwaga i ostrożność w korzystaniu z nowinek technologicznych w internecie to odruchy rzadko spotykane u użytkowników. Być może dlatego, że wyobrażenie potencjalnego niezbepieczeństwa jest abstrakacją. Trudno sobie wyobrazić, że z samego klikania może zrodzić się coś dla nas niedobrego tak samo jak niewiargodne jest, że lalka może być prawdziwym szpiegiem.

lalka

 

Kontekst przetwarzania danych

Dokładne rozpoznanie kontekstu przetwarzania danych osobowych jest pierwszą i najważniejszą czynnością niezbędną dla dokonania oceny zgodności przetwarzania danych.

Prawo ochorny danych osobowych jest prawem kontekstowym i bez znajomości kontekstu przetwarzania danych nie ma szans na poprawne uprządkowanie w organizacji tej sfery.

Co do zasady kontekst przetwarzania danych osobowych w tej samej branży będzie podobny, jak na przykład w sektorze zdrowia, w którym przetwarzanie danych osobowych odbywa się w kontekście (celu) udzielania świadczeń zdrowontych. Podmioty udzielające tych świadczeń korzystają często z takich samych lub podobnych sposóbów przetwarzania danych osobowych.

Jednak w wielu sytuacjach szczególnych ocena zgodności przetwarzania wymaga rozłożenia na czynniki pierwsze badanej sytuacji zwłaszcza, gdy przetwarzanie wykonywane jest przy pomocy nowych technologii dostarczanych przez podmioty trzecie, co obecnie jest regułą.

W dużych organizacjach projekty biznesowe prowadzone są przez zespoły  osób a współpraca często polega na podziale zadań pomiędzy tymi osobami. Nie tak dawno spotkałam się z sytuacją w której prawnik poproszony o ocenę sposobu przetwarzania danych osobowych nie miał dostępu do wszystkich umów, które dla tej oceny miały istotne znaczenie z tej prostej przyczyny, że weryfikacja części umów nie wchodziła w zakres jego kompetencji.

Pamiętajmy, że rozpoznanie kontekstu ma kluczowe znaczenie dla poprawnej oceny. Ten kontekst to może być treść zawartych umów, bez znajomości których nie mamy szans na zdefiniowanie procesów przetwarzania jak i uczestników tego przetwarzania.

Zgodnie z rozporządzeniem unijnym administrator danych powinien włączać inspektora ochrony danych osobowych we wszystkie projekty, z którymi związane jest przetwarzanie danych. Takie włączanie inspektora ma mu ułatwić oraz umożliwić poznawanie kontekstu przetwarzania danych osobowych, co kluczowe jest dla należytego wykonywania zadań przez inspektora danych osobowych.

Konteksty przetwarzania danych są różnej wagi i o różnym stopniu skomplikowania od prostych stanów faktycznych po bardzo złożone czasami wymagające dużej wiedzy, doświadczenia a także umiejętności interpretowania przypisów różnych aktów prawnych.

Postulat ogólnego rozporządzenia unijnego w sprawie ochrony danych osobowych, aby inspektor ochrony danych osobowych dobrze znał swoją branże jest bardzo trafiony, gdyż  inspektor znający dobrze specyfikę swojej branży ma duże szanse na podołanie bowiązkom nałożonym na niego przez rozporządzenie.