01 mar

Naruszenie, incydent, zdarzenie – jak z nimi postępować

Przepisy RODO odnoszą się jedynie do naruszeń ochrony danych. Są to takie zdarzenia, w wyniku których dochodzi do utraty poufności, dostępności lub integralności danych osobowych. Czyli mogą mieć negatywny wpływ na osobę, której dane dotyczą.

W praktyce notyfikujemy naruszenia i dzielimy je na te, które wymagają zgłoszenia do PUODO oraz takie, które notujemy w wewnętrznych rejestrach (np. na potrzeby doskonalenia systemu bezpieczeństwa, czy analizy ryzyka). Jednak nie każde zdarzenie spełnia definicję naruszenia. W codziennej pracy spotykamy się bardzo często z sytuacjami, gdy dochodzi jedynie do naruszenia procedur wewnętrznych albo sytuacji, która mogłaby eskalować do incydentu. Podobnie naruszenie przepisów RODO (np. nieprzekazanie klauzuli informacyjnej, czy nie wyznaczenie IOD) nie stanowi naruszenia ochrony danych.

W związku z tym pojawia się potrzeba operowania dodatkowym określeniem na tego typu sytuacje. Najczęściej spotykam się z rozróżnieniem „incydent” oraz „naruszenie”. Gdzie incydent to każde zdarzenie mające negatywny wpływ na system ochrony danych, ale nie jest naruszeniem. Takie rozróżnienie jest bardzo pomocne, ale muszę przyznać, że na początku swojej pracy nie rozumiałam, jak bardzo.

Read More
17 sty

Korzystanie z ChatGPT a RODO

Czy wiesz, że korzystasz z AI już od bardzo dawna? Algorytmy sztucznej inteligencji były tworzone i rozwijane przez lata, dla różnych aplikacji. Dzięki nim możliwe było otwarcie sklepów Amazon Fresh, w których bierze się produkty z półek i po prostu z nimi wychodzi, a system sam podliczy wartość zakupów i obciąży nasz rachunek. Testowaliśmy skuteczność algorytmu podczas ostatniej wizyty w USA, gdzie autonomiczne sklepy są naprawdę duże, więc naliczanie zakupów stanowi niezłe wyzwanie. W praktyce algorytm radził sobie świetnie, gdy wchodziła jedna osoba i brała pierwszy produkt z półki. Natomiast miał problemy, gdy wybieraliśmy produkt, który był głębiej na półce lub rozdzielaliśmy się i każde z nas wrzucało produkty do swojego koszyka (weszliśmy i wyszliśmy razem). W takich wypadkach ewidentnie była potrzebna ingerencja człowieka, który sprawdził nagrania i poprawnie naliczył należności. Jednak ani razu nie zostaliśmy błędnie obciążeni. Naprawdę genialne, jeśli ktoś nie lubi stać w kolejkach. Warto w tym miejscu wskazać, że w polskich Żabkach wdrażaliśmy podobne rozwiązania i że ich autorami były polskie firmy technologiczne. Myślę, że autonomiczne sklepy to przyszłość, bo nikt nie lubi stać w kolejkach.

Jeśli korzystasz ze smartfona, to są na nim aplikacje, które od dawna czerpią z AI garściami. Chociażby nawigacje (np. Google Maps). Przecież „coś” musi analizować Twoją trasę, natężenie ruchu, preferencje dotyczące drogi, aby dobrze pokierować do celu. Warto zauważyć jak ciekawy jest chociażby sposób obliczania czasu, który pozostał do celu. Jeśli się nad tym zastanowić, to nie jest proste i bez AI, pewnie byłoby niemożliwe. Podobnie działają wszelkiego rodzaju elektroniczni asystenci (np. smartwach, który może oceniać jakość snu lub aktywność fizyczną).

Skąd zatem to zamieszanie wokół AI, skoro jest ono z nami już od dawna? To nie jest kwestia tego, że „w końcu udało się wymyślić sztuczną inteligencję”, tylko nowych aplikacji, które dzięki AI mają „niesamowite” możliwości. Umożliwiają nie tylko wyszukiwanie (tak – wyszukiwarki też od dawana korzystają z AI), ale są w stanie generować gotowe odpowiedzi. Tu do oceny, na ile to dobrze – wyszukiwarka daje możliwość porównania wielu źródeł, podczas gdy AI generuje konkretne rozwiązanie (subiektywne). Potrafi „tworzyć” wypracowania, artykuły, sentencje orzeczeń sądowych. Należy jednak uważać na efekty pracy algorytmu, gdyż mogą być bardzo odtwórcze i naruszać prawa autorskie. Pod koniec 2023 r. wydawca New York Times pozwał OpenAI oraz Microsoft, ponieważ uważa, że naruszono prawa autorskie, ucząc algorytm na jego treściach. Ponadto jego zdaniem, AI zapytany o aktualne wydarzenia, zamiast generować nowe treści, przetwarza te już gotowe, naruszając prawa autorskie NYT. Bardziej obrazowo, praca magisterska wytworzona przez AI może nie przejść pozytywnie przez algorytmy weryfikujące plagiat, bo zbyt wyraźnie bazuje na cudzych treściach.

Read More
10 lis

Test ze znajomości RODO

W 2018 roku na blogu ukazał się test wiedzy, dzięki któremu można było weryfikować znajomość przepisów o ochronie danych osobowych swoją lub swoich pracowników.

Test jest prosty i skupia się na podstawowych zagadnieniach, jednak co jakiś czas do niego wracacie. Uznałam zatem, że jest potrzeba odświeżenia tego materiału i zaktualizowałam jego treść.

Test do pobrania dostępny jest tutaj.

Odpowiedzi są tutaj:

Dobrej zabawy!

31 paź

Jak sprawdzić, czy skutecznie zgłoszono IOD do Prezesa UODO?

Sygnalizujecie mi, że nie otrzymujecie UPO, po wysłaniu zgłoszenia / zmiany / odwołania inspektora do Prezesa UODO. I nie ma skutecznej i szybkiej ścieżki zweryfikowania, czy wykonaliście to działanie skutecznie. Piszecie, że takich informacji urząd nie udziela telefonicznie, a na odpowiedź pisemną czekacie już od dawna (coż, urząd zapewne jest zawalony skargami i zgłoszeniami naruszeń).

Na szczęście jest kilka trików, aby sprawdzić to od razu.

Nr 1 – poszukać UPO w swojej skrzynce ePUAP lub eDoręczenia. Ostatnio coraz częściej UPO wpadają bezpośrednio tam, a nie na wskazany adres e-mail. Nie pytajcie dlaczego. Jest też inna, bardzo prosta i skuteczna metoda…

Read More
24 paź

Rząd walczy ze spoofingiem, a oszuści wykorzystują już DeepFake

Prawdziwą plagą jest podszywanie się przez oszustów pod cudze numery telefonów (spoofing). Oszuści w tym celu wykorzystują oprogramowanie (trochę jak bramka SMS), gdzie ustawiają z numer, z którego chcą wykonać połączenie. W efekcie mogą dzwonić „z mojego numeru” i grozić innym osobom lub podszywać się pod pracownika banku, aby wyłudzić dane / pieniądze. W ciągu ostatniego roku zgłosiło się do mnie bardzo wiele osób, które padło ofiarą spoofingu. Przy pierwszym scenariuszu, często dowiadywali się o wykorzystaniu ich numeru, w momencie otrzymania od Policji wezwania na przesłuchanie w sprawie gróźb karalnych. Udowodnienie, że to ktoś inny wykonał połączenie jest proste – wystarczy pokazać historię połączeń.

W drugim przypadku, oszustwa „na numer z banku” były bardzo skuteczne i dużo ludzi w ich wyniku utraciło kontrolę nad swoimi danymi i/lub poniosło straty finansowe. Najbardziej oburzające w tym wszystkim jest to, że aktualna technologia pozwala na takie oszustwa. Skala tych działań jest tak duża, że doczekaliśmy się ustawy o zwlaczaniu nadużyć w komunikacji elektronicznej. Popularnie zwalnej ustawą antyspoofingową. Nakłada ona na telekomy obowiązek podjęcia aktywnych działań, żeby wykrywać spoofing i mu przeciwdziałać. Poza tym mają być także działania przeciwko smishingowi (phishing przez SMS). Ustawa wymaga także od dostawców poczty elektronicznej, wprowadzenia rozwiązań, które uniemożliwią podszywanie się pod cudzy adres e-mail. Wszyscy operatorzy mają współpracować z CERT, który będzie na podstawie swoich baz danych, przekazywać im wzorce ataków oraz fałszywych wiadomości, w celu ich blokowania.

Read More
15 wrz

„Zrób sobie test równowagi”

Muszę podzielić się moją konsternacją, związaną z sięganiem po przesłankę prawnie uzasadnionego interesu administratora, jako podstawy przetwarzania danych osobowych. Od pewnego czasu coraz częściej słyszę, że jeśli administrator chce zbierać dane, ale brakuje mu przesłanki legalizującej, może to zrobić w oparciu o swój prawny interes i że wystarczy „dorobić test równowagi”. Widzę, że takie stanowisko pojawia się też na forach internetowych. Często przy okazji dyskusji o uzyskiwaniu zgody na przetwarzanie. Po co brać niewygodną i nielubianą zgodę, skoro można skorzystać z prawnie uzasadnionego interesu? Logiczne, prawda?

Zastanawiam się skąd wzięło się przekonanie, że jest to podstawa przetwrzania, po którą łatwo sięgnąć i właściwie do skorzystania z niej, wystarczy „uzasadnienie” w postaci testu równowagi?

Wiem, że jeśli pracuje się w branży, brakuje czasu na wszystko. Sama ciągle, ledwo wyrabiam na zakrętach, a urlop jest mglistym wspomnieniem z zeszłego roku. Jednak wydaje mi się, że skupiając się na pracy i problemach u administratorów, nie potrafimy wygospodarować sobie czasu na czytanie literatury branżowej, czy chociaży opinii i wytycznych EROD. Zresztą wielu moich znajomych mówi wprost, że te wytyczne są zbyt obszerne, a oni nie mają na to czasu. I rozumiem to doskonale, bo ja też go nie mam i skłamałabym mówić, że czytam je od deski do deski. Jednak mam zasadę, że jeśli coś robię (np. test równowagi, ocenę skutków, analizę ryzyka, itp.), to najpierw poświęcam chwilę, żeby sprawdzić, czy „coś się zmieniło w podejściu”, a także wytyczne, jak to zrobić. Mimo, że robiłam to wiele razy. I hej, bardzo często okazuje się, że koleżanki i koledzy z branży napisali coś pomocnego, co ułatwia mi pracę lub pomaga lepiej zrozumieć dane działanie (tak, jak też cały czas się uczę, czasami tych samych rzeczy na nowo). Wytyczne EROD uwielbiam, bo jest tam bardzo dużo przykładów, a także dlatego, że rada lubi stawiać sobie pytania. Dokładnie takie, jak my sobie stawiamy (zapewne wynika to z konsultacji treści opinii). W związku z tym znajduję nie tylko odpowiedź, ale też uzasadnienie odpowiedzi na moje pytania.

Dobra, ale do brzegu. Nie lubię zgody na przetwarzanie danych. Jednak nie zastępuję jej z automatu prawnie uzasadninym interesem. Zresztą w Opinii dawnej GR 29 nr 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7, wprost wskazano, że art. 6 uat. 1 lit. f RODO „nie należy traktować jako ostateczności na wypadek rzadkich lub nieoczekiwanych sytuacji, kiedy to uznaje się, że inne podstawy legalnego przetwarzania danych nie mają zastosowania. Nie należy jednak wybierać tego przepisu automatycznie ani nadmiernie rozszerzać jego stosowania w przekonaniu, że jest on mniej ograniczający niż inne podstawy” (s.3). Test równowagi służy ocenie, czy prawnie uzasadnione interesy ADO są aktualne, uzasadnione i przeważają prawa i wolności osób. Zatem test powinien być zrealizowany przed przetwarzaniem w oparicu o prawny interes ADO, a nie jako uzasadnienie do tego działania. Zresztą w dalszej części opinii wskazano, że art. 6 ust. 1 lit. f RODO „jest czasem błędnie postrzegany jako „otwarta furtka” legitymizująca wszelkie przetwarzanie danych, do którego nie ma zastosowania którakolwiek inna podstawa prawna” (s. 6). I mam wrażenie, że właśnie z takim podejściem spotykam się coraz częściej.

Read More
17 lip

Łatwiejszy transfer danych do USA

Tak, doczekaliśmy się kolejnych ram ochrony prywatności dla transferów danych do USA. Mieliśmy już SaveHarbours oraz PrivacyShield, teraz czas na Data Privacy Framework. O co chodzi? W Amerykańskim prawie wprowadzono zmiany, które pozwalają (w opiniii Komisji UE) zapewnić odpowiedni stopień ochrony dnaych osobowych przesyłanych do USA. Ale, ale. Diabeł tkwi w szczegółach.

Read More
31 maj

Dlaczego wyrok NSA w sprawie Morele.net jest ważny?

Nie, wcale nie dlatego, że teraz nie trzeba obawiać się kar, bo da się je obalić w sądzie. To tak nie działa. I pokazują to statystyki, zgodnie z którymi jednak w większości przypadków (ale nie zawsze) sądy administracyjne podtrzymują decyzje organu w z zakresie nałożenia kary. Ale dlaczego tym razem stało się inaczej? Czyżby firma została potratktowa za ostro? Może kara była za wysoka?

Read More
21 kwi

AI pomaga oszustom w cyberatakach

Dzisiaj nietypowo, o nowej formie cyberoszustwa, przez którą znajomy ze Stanów o mało nie stracił 10 tysięcy. Zadzwoniła do niego z nieznanego numeru, jego córka. Nie było wątpliwości, że głos należał do niej. Powiedziała, że ma problemy i potrzebuje jego pomocy. Jest z nią adwokat, z którego telefonu dzwoni i który może jej pomóc, ale trzeba mu zapłacić. W tym momencie rozmowę przejął adwokat, który bardzo profesjonalnym głosem opowiedział o konflikcie z prawem córki, a także że może jej pomóc, ale po wcześniejszym otrzymaniu wynagrodzenia. Przesłał wiadomość z danymi do przelewu.

Znajomy zgłosił do banku konieczność zwiększenia limitu w koncie, aby zrobić przelew (tak w Stanach robią to przez telefon, nie ogarniają Internetu :-P). W międzyczasie próbował jeszcze zadzwonić do córki, jednak nie odbierała. Adwokat pośpieszał sms-ami do zrobienia przelewu. Twierdził, że córka jest teraz na przesłuchaniu, dlatego nie odbiera.

Read More
17 mar

Czy trzeba upoważniać do przetwarzania danych w związku z badaniem trzeźwości?

Tak, badanie trzeźwości będzie nową czynnością przetwarzania. W związku z tym niezbędne będzie uwzględnienie jej w rejestrze czynności przetwarzania (RCP), a także upoważnienie osób, które będą brały udział w procesie.

Możesz skorzystać z przykładowego wzoru upoważnienia:

Wynika to z faktu, że badanie trzeźwości nie stanowi obowiązku pracodawcy. Podobnie jak monitoring wizyjny, jest wprowadzane w zakładzie pracy tylko wtedy, gdy jest niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia, pracodawca może wprowadzić kontrolę trzeźwości pracowników (art. 22^1c Kodeksu pracy).

Tym samym, należy uznać, że przesłanką legalizującą przetwarzanie będzie prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) i konieczność wypełnienia obowiązków i wykonywania szczególnych praw przez pracodawcę w dziedzinie prawa pracy (art. 9 ust. 2 lit. b RODO), zgodnie z przepisami kodeksu pracy (art. 6 ust. 1 lit. c RODO).

Read More