Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych.

„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu. Czyli sytuacja, w której na przykład pracownik firmy gubi nośnik z danymi oznacza utracenie tych danych przez administratora, z czym związne są określone skutki prawne.

Zgubienie nośnika z danymi osobowymi może mieć szereg negatywnych skutków dla osób fizycznych, prowadząc do szkód fizycznych, materialnych i niematerialnych. RODO objaśnia, że może to obejmować utratę kontroli nad swoimi danymi osobowymi, ograniczenie przysługujących praw, dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe, nieupoważnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz utratę poufności danych osobowych chronionych tajemnicą zawodową.

Jak widać katalog negatywnych konsekwencji jest bardzo szeroki a rodzaj i dolegliwość szkód dla podmiotu danych będzie też uzależniona od rodzaju ujawnionych danych osobowych a także zakresu tych danych. W każdym przypadku, gdy zagubiony nośnik danych zawierał dane wrażliwe lub szczególnie poufne dotyczące sytuacji osobistej czy majątkowej podmiotu danych, ryzyko poważnych szkód dla podmiotu danych może być bardzo wysokie..

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ryzyko naruszenia praw i wolności dla każdego stwierdzonego naruszenia musi być oszacowane i udokumentowane przez administratora danych. Zgodnie bowiem z ogólną zasadą rozliczalności to administrator danych musi być w stanie wykazać przestrzeganie przepisów RODO również w zakresie właściwej identyfikacji naruszeń bezpieczeństwa danych osobowych.

W przypadku utraty nośnika danych USB z niezaszyfrowanymi danymi osobowymi często nie da się ustalić, czy osoby nieupoważnione uzyskały dostęp do tych danych. Mimo że administrator danych może nie być wstanie stwierdzić, czy doszło do naruszenia poufności, taki przypadek wymaga zgłoszenia, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia dostępności. Administrator „stwierdza” naruszenie w chwili, gdy zdaje sobie sprawę z utraty nośnika danych USB.

Warunki, w których nie jest wymagane zgłoszenie

Jeżeli odczyt danych osobowych jest co do zasady niemożliwy dla osób nieupoważnionych i jeśli istnieje kopia lub kopia zapasowa tych danych, wówczas nie ma obowiązku zgłaszania organowi nadzorczemu naruszenia poufności odpowiednio zaszyfrowanych danych osobowych. Wynika to z faktu, że prawdopodobieństwo, aby naruszenie takie stwarzało ryzyko dla praw i wolności osób fizycznych jest niskie. Oznacza to, że nie trzeba również zawiadamiać osoby fizycznej, ponieważ najprawdopodobniej nie występuje wysokie ryzyko.

Jednak każdy przypadek naruszenia bezpieczeństwa danych osobowych należy badać ad casum i oceniać jego charakter, a także ryzyko naruszenia praw i wolności podmiotów danych. Dopiero w następstwie takiej oceny i przeprowadzonej analizy w zakresie ryzyka, otrzymamy odpowiedź czy dane naruszenie należy zgłosić organemu nadzorczemu jak również osobie, której dane zostały naruszone.

Pamiętaj, że błędy zdarzają się każdemu, a błąd ludzki to najczęstsza przyczyna naruszeń bezpieczeństwa danych osobowych. Co może lub powinien uczynić administrator w świetle danych, że ponad 80% pracowników zgubiło chociaż raz nośnik z danymi firmowymi. Najbezpieczniej oczywiście byłoby zakazać kopiowania danych osobowych na niezbezpieczone nośniki danych i wynoszenia ich przez pracowników poza firmę, jednak nie zawsze jest to możliwe.

Przede wszystkim należy wdrożyć wewnętrzne procedury. Powinny one nakazywać pracownikom m.in. maksymalne ograniczenie używania przenośnych nośników danych, szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także szyfrowanie danych zapisywanych na nośnikach przenośnych.

Kolejną bardzo istotną kwestią jest szkolenie pracowników, zapoznawanie ich z zasadami bezpiecznego przetwarzania danych, uświadamianie konsekwencji niestosowania procedur to jedno z podstawowych zadań administratora w celu zapewnienia zgodności przetwarzania z wymaganiami prawa.

Operator brytyjskiego lotniska otrzymał karę właśnie nie tyle za brak procedur co za niezapoznanie z nimi swojego personelu w tym niezapewnienie szkolenia w zakresie ochrony danych osobowych. 

Jeśli jeszcze nie przeszkoliłeś swojego personelu zrób to jak najszybciej. Przysłowie, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa, zbyt często sprawdza się w życiu, aby ryzykować. Pamiętaj, że w świetle prawa takie błędy jak zgubienie pendriv’a z danymi osobowymi musisz zgłaszać do urzędu.

Potrzebujesz pomocy w przeszkoleniu pracowników. Możesz skontaktować się z naszą kancelarią. Profesjonalnie i przystępnie zorganizujemy odpowiednie szkolenie dla twojej firmy i zapoznamy twój personel  z zasadami bezpiecznego przetwarzania danych osobowych.

 

 

Aplikacje mobilne a nowe prawo ochrony danych osobowych

Sklepy z aplikacjami mobilnymi pękają w szwach. Każdy znajdzie coś dla siebie. Na moim smartfonie widzę następujące “Geometry Dash Lite”,  “Zabawny budzik”, “My Angela” “Math Games”, “Zalando”. Z większości korzysta dziecko. A jakie aplikacje mobilne Ty masz na swoim smatfonie? I co wiesz o aplikacji mobilnej oprócz tego, że spełnia pożądaną przez Ciebie funkcję, jest dla Ciebie pożyteczna.

Ośmielę się powiedzieć, że większość z nas niewiele wie o tym, jak  korzystanie z aplikacji mobilnych wpływa na naszą prywatność i raczej się na tym nie zastanawia.

Aplikacje mobilne to narzędzia, które oprócz dostarczania określonych pożytecznych funkcjonalności służą też do zbierania danych osobowych oraz ich dalszego przetwarzania. Większość aplikacji mobilnych dla instalacji wymaga  udostępnienia  danych geolokalizacyjnych a także dostępu do  plików przechowywanych na urządzeniu, na którym są instalowane.

Za  korzystanie z aplikacji mobilnych płacimy naszymi danymi osobowymi.

Aplikacja rządzi. To fakt. Jednak twórcy aplikacji mobilnych muszą pamiętać o ochronie prwatności użytkowników a także o spełnieniu wymogów w zakresie ochrony danych osobowych.

Dostęp do różnego rodzaju danych, których pozyskanie umożliwia aplikacja może odbywać się wyłącznie za zgodą użytkownika. Użytkownik powinien także być odpowiednio poinformowany o administratorze jego danych, o celach przetwarzania, prawie dostępu do danych itd.

Przetwarzanie danych osobowych w aplikacjach mobilnych i przy ich pomocy należy zakwalifikować jako przetwarzanie obciążone potencjalnie dużym ryzkiem dla ochrony danych osobowych. W świetle nowych przepisów o ochronie danych osobowych twórcy aplikacji mobilnych lub podmioty udostępniające takie aplikacje osobom fizycznym bedą obowiązani do wypełnienia szeregu obowiązków prawnych.

W świetle nowego prawa ochrony danych osobowych rygory naruszenia praw podmiotów danych będą bardzo srogie. Rozporządzenie bowiem przewiduje bardzo duże kary finansowe za naruszenia jego postanowień. Powinny mieć to na uwadze tak twórcy aplikacji mobilnych jak i podmioty wprowadzajace je komercyjnie na rynek.

Rozporządzenie unijne przesłanki wyznaczenia inspektora ochrony danych osobowych (DPO) cz. II

W ostatnim wpisie rozpoczęłam omawianie zagadnień związanych z inspektorem danych osobowych (DPO) czyli dotychczasowym znanym polskiemu prawu ABI. Jest to zagadnienie i dość szerokie i nie do końca oczywiste w świetle przepisów nowego rozporządzenie stąd potrzeba wyjaśnień oraz interpretacji.

W świetle nowych przepisów administratorzy danych osobowych nie mają bezwzględnego obowiązku powołania DPO, jednak każdorazowo muszą przeanalizować czy w ich przypadku nie zachodzą jednak przesłanki wskazujące na konieczność powołania ABI.

Rozporządzenie wprowadza obowiązek wyznaczenia DPO, jeśli przetwarzanie danych osobowych prowadzone jest na szeroką skalę i dotyczy działalności polegającej na regularnym i systematycznym monitorowaniu osób. Drugi przypadek to przetwarzanie na dużą skalę danych osobowych szczególnie chronionych. Przepisy nie definiują co oznacza szeroka skala przetwarzania.

Przy ustalaniu  czy przetwarzanie jest prowadzane na szeroką skalę należy wziąć pod uwagę następujące czynniki a w szczególności należy uwzględnić:

  • liczbę osób, których dane dotyczą
  • ilość danych i / lub zakres różnych danych
  • czas trwania lub trwałość procesów przetwarzania danych
  • zakres geograficzny procesów przetwarzania

Ciekawe przykłady przetwarzania na szeroką skalę to:

  • przetwarzanie danych pacjenta w toku zwykłej działalności przez szpital
  • przetwarzanie danych klienta w toku zwykłej działalności przez towarzystwo ubezpieczeniowe lub bank
  • przetwarzanie danych osobowych do celów reklamy behawioralnej przez wyszukiwarkę
  • przetwarzanie danych (zawartość, ruch, lokalizacja) przez dostawców usług telefonicznych lub internetowych

A przykłady, które nie stanowią przetwarzania na dużą skalę to:

  • przetwarzanie danych pacjenta przez indywidualnego lekarza
  • przetwarzanie danych osobowych dotyczących wyroków karnych i wykroczeń przez indywidualnego prawnika

Jak widać brakuje wskazówek co do dokładnej liczby w odniesieniu do ilości przetwarzanych danych lub liczby osób, które będą mogły być stosowane w każdej sytuacji. To nie wyklucza jednak, że w miarę upływu czasu może się rozwinąć standardowa praktyka, która określi pod względem ilościowym, co stanowi “dużą skalę” w odniesieniu do niektórych rodzajów wspólnych działalności przetwarzania danych.

W każdym razie organy doradcze  na poziomie unijnym  planują również przyczynić się do tego rozwoju, na zasadzie udostępniania i rozpowszechniania przykładów odpowiednich progów dla wyznaczenia inspektora ochrony danych.

Kontrola GIODO w sklepie internetowym

Przeprowadzona kontrola sklepu internetowego wykazała, że do momentu dokonania płatności klient sklepu internetowego miał możliwość anulowania zamówienia. Anulowanie zamówienia nie powodowało jednak usunięcia danych osobowych podanych w związku ze składaniem zamówienia. Z chwilą anulowania zamówienia przez klienta dalsze przetwarzanie danych osobowych zebranych przez sklep stało się niezgodne z celem, dla którego  dane zostały zebrane. W konsekwencji Generalny Inspektor uznał, iż naruszono przepisy ustawy o ochronie danych osobowych.

Ile danych osobowych gromadzisz, mimo, iż nie masz ku temu odpowiednich podstaw prawnych. Systemy sklepów internetowych pękają w szwach. Poza formularzami rejestracyjnymi są jeszcze  formularze zapisu na Newslettery, formularze kontaktowe, formularze zapisu do programów lojalnościowych i inne. Wszystkie zbierają dane osobowe.

Przypadek opisany powyżej dotyczy sytuacji, gdy zamówienie zostało anulowane, ale może to być też sytuacja, gdy zamówienie nie zostało zatwierdzone, nie doszło do zawarcia umowy a użytkownik nie dokonał rejestracji w sklepie czy w takiej sytuacji masz prawo przetwarzać jego dane.

Pamiętaj, że przetwarzanie danych jest dozwolone, ale zgodnie z prawem i z poszanowaniem zawartych w nim zasad. Jedną z zasad jest zasada legalności. W celu zgodnego z prawem przetwarzania danych musisz posiadać odpowiednią  do tego podstawę prawną oraz przetwarzać dane w celu, dla którego zostały zebrane zgodnie z zasadą celowości.

W przypadku sklepu internetowego taką podstawą uprawniającą do przetwarzania danych będzie złożenie zamówienia. Dane w takim przypadku będą przetwarzane w celu realizacji zawartej umowy.

W momencie, gdy nie dochodzi do zawarcia umowy lub zamówienie zostaje anulowane a klient nie założył konta w sklepie jego dane powinny być usunięte, gdyż dalsze ich przetwarzanie naruszy prawa osób, których dane dotyczą.

Dane osobowe mogą przetwarzane zgodnie z celem, dla którego zostały zebrane i niepoddawane dalszemu przetwarzanie niezgodnemu z tym celem.

Jest jeszcze jeden ciekawy przypadek warty wspomnienia. Sklepy internetowe czasami wysyłają przypomnienie o niedokończonych zakupach o treści  “w twoim koszyku czekają na ciebie wybrane towary” lub “nie dokończyłeś zakupów co się stało, może jesteśmy w stanie ci pomóc”.

Systemy sprzedażowe sklepów internetowych zapisują dane wpisywane podczas kolejnych kroków składania zamówienia i okazuje się, że przetwarzają je nawet, jeśli finalnie zamówienie nie zostanie złożone lub anulowane. Dodatkowo poddają dane dalszemu przetwarzaniu inicjując kontakty z takim potencjalnym klientem. Są to działania marketingowe, do których niezbędna jest zgoda.

Podczas kontroli GIODO, o której piszę dzisiaj  została wydana decyzja nakazująca usunięcie danych klientów, którzy anulowali zamówienie  z bazy danych sklepu.

 

Płacę z Payu …

Zawieranie umów na odległość staje się coraz bardziej powszechne, oczywiście przede wszystkim dzięki zakupom przez internet. Systemy sklepów internetowych w sposób niemal intuicyjny prowadzą nas przez cały proces zamówienia aż do “zamawiam i płacę”.

Jeśli chodzi o płatności to coraz bardziej popularne stają się płatności online, błyskawiczne i intuicyjne. Dzięki operatorom tychże płatności klient w ciągu paru minut otrzymuje potwierdzenie dokonania płatności i może już spokojnie czekać na realizację  zamówienia.

Jednakże i tutaj podobnie jak w przypadku Opineo, o którym pisałam w ostatnim poście pojawia się kwestia udostępniania danych klienta. Klikając “płacę z Payu” w sklepie internetowym klient przenosi się na stronę operatora płatności i widzi już automatycznie wczytane swoje dane osobowe.

Przetwarzanie danych osobowych jest legalne, o ile istnieje ku temu odpowiednia podstawa prawna. Podstawy te wymienia ustawa o ochronie danych osobowych.  Klient kupując w sklepie internetowym zawiera umowę ze sklepem internetowym, który staje się odpowiedzialny za zgodne z prawem przetwarzanie danych osobowych klienta. Udostępnianie przez  sklep danych jego klientów innemu podmiotowi wymaga odpowiedniej podstawy prawnej. W omawianym przypadku powinna być to zgoda klienta.

W praktyce sprzedaży internetowej niewiele jest sklepów, które udostępniają dane na podstawie zgody, wiele z nich nawet nie informuje swoich klientów o takim udostępnianiu a sami klienci też nie są świadomi, że ich dane są udostępniane poza sklep, w którym kupili towar.

 

Gdy towar kupiony przez internet nie spełnia oczekiwań

Sklep internetowy to specyficzna formuła sprzedaży różniąca się od tradycyjnych sposobów dystrybucji. Kupowanie przez internet to kupowanie pośrednie, kupujący nie ma możliwości obejrzenia towaru, zbadania go, wypróbowania tak, jak to się dzieje w sprzedaży stacjonarnej.

W efekcie klient, który otrzymuje zamówiony, wymarzony towar nie rzadko  inaczej sobie wyobrażał towar, bo  opisy nie zawierały jakichś kluczowych informacji a załączone zdjęcia nie odzwierciedlały towaru lub po prostu to klient inaczej go sobie wyobrażał.

Na szczęście dla kupujących a niekoniecznie dla sprzedających mamy prawo odstąpienia od umowy sprzedaży zawieranej na odległość.  Konsument, który zawarł umowę na odległość lub poza lokalem przedsiębiorstwa, może w terminie 14 dni odstąpić od niej bez podawania przyczyny i bez ponoszenia kosztów.

W przypadku odstąpienia od umowy zawartej na odległość lub umowy zawartej poza lokalem przedsiębiorstwa umowę uważa się za niezawartą.

Przedsiębiorca ma obowiązek niezwłocznie, nie później niż w terminie 14 dni od dnia otrzymania oświadczenia konsumenta o odstąpieniu od umowy, zwrócić konsumentowi wszystkie dokonane przez niego płatności, w tym koszty dostarczenia rzeczy.

Sklepy internetowe czasami kwestionują, że trzeba klientom należy zwracać koszty dostarczenia rzeczy (w stronę ze sklepu do klienta) a no trzeba, chociaż w praktyce zdarzają się sytuacje, że sklepy nie zawsze respektują ten obowiązek.

Koszt dostarczenia rzeczy dla konsumenta stanowi całkowity koszt nabycia towaru. Czasami towar w sklepie internetowym ma bardzo atrakcyjną cenę, ale niestety koszt dostarczenia znacznie tę atrakcyjność zmniejsza. Obciążanie klienta tym kosztem w przypadku odstąpienia od umowy byłoby nieuzasadnione. W odstąpieniu od umowy bowiem chodzi o skutek taki, jakby umowa nigdy nie została zawarta a strony są obowiązane do zawrotu wszystkiego, co sobie wzajemnie świadczyły.

Poza tym nie zapominajmy, że klient  ponosi  bezpośrednie koszty zwrotu rzeczy czyli musi zapłacić za przesyłkę zwracanego towaru do sprzedającego i to jest jego koszt. Tego kosztu sklep nie musi zwracać konsumentowi, chyba że  zgodził się je ponieść lub nie poinformował konsumenta o konieczności poniesienia tych kosztów.

Jak widać sklep nie jest obciążony całością kosztów związanych z dostarczaniem towarów, w stosunku do którego klienci korzystają z prawa odstąpienia.

W praktyce zdarzają się jednak sklepy, w których przesyłka towaru do klienta i zwrot jest gratis, ale są to duże, renomowane sklepy, które swoją atrakcyjną ofertą bardzo konkurują na rynku.

Słyszę oczywiście często też i argumenty o tych niedobrych klientach, którzy kupują różne rzeczy na różne okazje a potem jakby nigdy nic odstępują od umowy, bo mają takie prawo. Z pewnością są to praktyki godne potępienia, jednak sprzedający nie pozostaje w takich sytuacjach bezradny, bowiem każdą sytuację należy indywidualnie ocenić i podjąć odpowiednią decyzję dotyczącą zwrotu nie zawsze pozytywną dla konsumenta.

W momencie, gdy rzecz zwracana nosi ślady użytkowania konsument ponosi odpowiedzialność za zmniejszenie wartości rzeczy będące wynikiem korzystania z niej w sposób wykraczający poza konieczny do stwierdzenia charakteru, cech i funkcjonowania rzeczy. Wydaje się, że koszt zużycia powinien wyznaczyć sprzedawca. Niestety przepisy nie precyzują kryteriów, którymi winien się kierować w tym zakresie sprzedawca, co budzi zasadnicze wątpliwości i rodzi podłoże dla spornych sytuacji.

Nie powinno stwarzać kontrowersji stwierdzenie, że można zdjąć opakowanie. Opakowanie jak wiadomo nie jest produktem, co wielokrotnie w orzecznictwie zostało podkreślone. Co jednak w przypadku wyrzucenia opakowania? Czy można uruchomić zakupiony sprzęt elektroniczny lub użytkować go przez jakiś czas? Wydaje się oczywiste, że sposób jego funkcjonowania zasadniczo wpływa na ewentualny zwrot towaru. Jak potraktować zmniejszenie wartości takich produktów, których użyteczność co do zasady, w przeciwieństwie np. do sprzętu elektronicznego, jest „jednorazowa”.

Niestety  jednoznacznych odpowiedzi na te pytania nie ma, a praktyka zapewne różnić się będzie w poszczególnych sklepach. Przepisy nowej ustawy o prawach konsumenta dają bowiem taką możliwość.

Jednak należy zdecydowanie podkreślić, że mimo braku jednoznacznych rekomendacji w uzasadnionym przypadku można podjąć decyzję o obciążeniu klienta kosztem zużycia towaru, co będzie z reguły oznaczało wejście w spór z konsumentem. Jednakże jak wszyscy doskonale wiemy tak w życiu jak i w pracy czy działalności gospodarczej sporów uniknąć się nie da. Należy pamiętać jednak, ale działać uczciwie oraz z poszanowaniem prawa a wówczas i spór łatwiej prowadzić i rozstrzygnąć.