LexDigital

Kolejne kary w zakresie ochrony danych osobowych: Facebook, Heathrow.

Myśląc, że po ostatnich głośnych informacjach o naruszeniach ochrony danych osobowych, m.in. w Austrii i Portugalii, będzie choć chwila wytchnienia od dotkliwych kar z nimi związanych, nie można być bardziej w błędzie. W ostatnich dniach świat obiegły kolejne informacje o nałożeniu dotkliwych kar na dwa naprawdę potężne podmioty – mowa tu o lotnisku Heathrow oraz najbardziej znanym portalu społecznościowym jakim jest Facebook.

Kolejne kary w zakresie ochrony danych osobowych: Facebook, Heathrow.

Kary stają się coraz bardziej realne

Myśląc, że po ostatnich głośnych informacjach o naruszeniach ochrony danych osobowych, m.in. w Austrii i Portugalii, będzie choć chwila wytchnienia od dotkliwych kar z nimi związanych, nie można być bardziej w błędzie. W ostatnich dniach świat obiegły kolejne informacje o nałożeniu dotkliwych kar na dwa naprawdę potężne podmioty – mowa tu o lotnisku Heathrow oraz najbardziej znanym portalu społecznościowym jakim jest Facebook. 

Na początku warto pochylić się nad składowymi, które determinują wysokość nałożonej kary administracyjnej. Przypominamy, że w zależności od tego, które paragrafy RODO zostały naruszone, kary mogą sięgać 10 lub 20 milinów euro, lub odpowiednio 2% lub 4% rocznego obrotu przedsiębiorstwa. Kwota grzywny ustalana jest w odniesieniu do 10 najważniejszych kryteriów:

  • charakteru naruszenia – ilość osób, które zostały dotknięte naruszeniem, jakie szkody z związku z nim ponieśli, czas trwania naruszenia oraz cel, w jakim dane osobowe były przetwarzane,
  • intencji – czy naruszenie było celowe, czy wynikiem wypadku,
  • złagodzenia – podjęte działania, które miały na celu złagodzenie szkód poniesionych przez osoby, których dane dotyczą, 
  • środki zapobiegawcze – ilość wdrożonych wcześniej środków organizacyjno-technicznych, które mogły zapobiec zdarzeniu,
  • historia – czy w czasie obowiązywania poprzedniego stanu prawnego dochodziło do podobnych zdarzeń,
  • współpraca – jak przebiegała współpraca przedsiębiorstwa z organem nadzorczym w celu naprawienia naruszenia,
  • typ danych – na jakie rodzaje danych wpłynęło naruszenie, czy są pośród nich dane szczególne,
  • powiadomienie – czy przedsiębiorstwo zgłosiło naruszenie organowi nadzorczemu,
  • certyfikacja – czy przedsiębiorstwo działało zgodnie z zatwierdzonymi certyfikatami lub posiadano i przestrzegano kodeksów postępowania,
  • inne- czynniki zarówno łagodzące jak i obciążające, które mogłyby mieć wpływ na wysokość nałożonej kary.

Brytyjski organ ICO nakłada karę na Heathrow

Wszystkie powyższe kryteria sprawdzające zastosował  Information Commissioner's Office - ICO, brytyjski organ nadzorczy, który przeprowadził kontrolę, w związku z zagubionym przez pracownika niezaszyfrowanym pendrive’m. Znajdowały się na nim dane 60 osób, w tym także dane, które uznano za dane wrażliwe – m.in. narodowość, dane z paszportów oraz dane członkowskie związków zawodowych. Wśród ponad 1000 plików, które nie były w żaden sposób zaszyfrowane ani  zabezpieczone hasłem, znalazł się film szkoleniowy ujawniający dane co najmniej 10 osób oraz szczegóły dotyczące około 50 pracowników ochrony lotniska. 

Przenośna pamięć została znaleziona przez przypadkową osobę, a jej treści odtworzone w publicznej bibliotece. Następnie została ona przekazana do lokalnej prasy Sunday Mirror, która przed odesłaniem jej na lotnisko Heathrow wykonała kopie znajdujących się na niej danych. 

Dochodzenie zapoczątkowane incydentem, jakim było zgubienie pendrive’a, wykazało szereg niedociągnięć w standardach korporacji, związanych z ochroną danych osobowych. Jak wykazał raport opublikowany po kontroli, lotnisko nie podjęło kroków zapewnienia odpowiedniej ochrony danych w wewnętrznej sieci oraz dopatrzono się szeregu uchybień w zakresie stosowanych technicznych i organizacyjnych środków ochrony m.in : istniała możliwość skopiowania danych z komputerów na niezaszyfrowane nośniki wymienne, pracownicy używali prywatnych urządzeń do usuwania danych osobowych z systemów lotniska Heathrow, nie dopilnowano konieczności szyfrowania bądź zabezpieczania hasłem używanych pendrive’ów, nie zapewniono pracownikom odpowiednich szkoleń w zakresie ochrony danych osobowych a także nie monitorowano ani zapewniano zgodności z istniejącymi politykami i zasadami odnośnie prawidłowego korzystania z pamięci przenośnych.

Kara, jaką lotnisko Heathrow musi wpłacić to 120 tysięcy funtów, w terminie do 6 listopada br. ICO przewiduje pomniejszenie sankcji o 20%, czyli 24 tysiące, jeśli kwota zostanie wpłacona w nieprzekraczalnym terminie 5 listopada.  

Lotnisko Heathrow zostało ukarane grzywną na podstawie przepisów obowiązujących przed 25 maja 2018 roku (zagubienie nośnika danych nastąpiło około roku przed wydaniem raportu), zgodnie z którymi maksymalna wysokość kary wynosiła 500 tysięcy funtów. Jeśli zdarzenie miałoby miejsce po wejściu w życie RODO, grzywna mogłaby wynieść nawet 17 milionów funtów, które odpowiadałoby 4% rocznego obrotu przedsiębiorstwa.

Facebook pod lupą organu nadzorczego

Ten sam organ nadzorczy, czyli Information Commissioner's Office, brytyjski odpowiednik Urzędu Ochrony danych przeprowadził dochodzenie z udziałem jednego z największych portali społecznościowych – Facebooka, w zakresie szeroko pojętego wykorzystywania analityki danych do celów politycznych.  Jak wynika z raportu opublikowanego przez ICO, w latach 2007-2014 Facebook nieuczciwie przetwarzał dane osobowe użytkowników umożliwiając twórcom aplikacji analitycznej dostęp do informacji bez ich wyraźnej i świadomej zgody, nawet wówczas gdy użytkownicy nie pobrali aplikacji, a byli jedynie w gronie znajomych osób, które aplikację tą pobrały. Do danych, z których korzystano należą m.in. : publiczny profil na FB wraz z nazwiskiem oraz informacją o płci, data urodzenia, miejsce obecnego pobytu, zdjęcia na których użytkownik został oznaczony, polubione przez użytkownika strony, posty na osi czasu, lista znajomych, adresy mailowe czy wiadomości. 

 Facebook nie zagwarantował także bezpieczeństwa danych osobowych, z powodu nieudolnego przeprowadzenia kontroli aplikacji i programistów korzystających z platformy FB.  W wyniku tych zaniedbań, jeden z deweloperów aplikacji analitycznej oraz cała firma, dla której pracował weszła w posiadanie danych 87 milionów użytkowników Facebooka z całego świata, bez wiedzy osób, których dane dotyczyły. Część z pozyskanych informacji została później udostępniona innym organizacjom, które brały czynny udział w kampaniach politycznych USA. 

Do wykrycia naruszeń doszło pod koniec 2015 roku. Pomimo prawie dwóch lat od ujawnienia niewłaściwego użycia danych Facebook nie zrobił wystarczająco dużo, aby podmioty, które weszły w posiadanie danych podjęły odpowiednie działania zaradcze, obejmujące także usunięcie nabytych danych. Facebook nie zawiesił także, jednej z grup spółki analitycznej Cambridge Analytica, ze swojej platformy. W związku z tym dane co najmniej pół miliona użytkowników z Wielkiej Brytanii były narażone na dalsze nadużycia ze strony spółki. 

Kara w wysokości 500 tysięcy funtów jest maksymalną, którą ICO mogło narzucić, ponieważ naruszenia miały miejsce, gdy obowiązywała ustawa o ochronie danych z 1998 r. i to na jej mocy została nałożona grzywna. Naruszenia zostały uznane za bardzo poważne stąd decyzja o maksymalnym jej wymiarze. Facebook musi wnieść opłatę do skonsolidowanego Funduszu Skarbu.

Oczekujemy kolejnych rozstrzygnięć

Powyższe zdarzenia pokazują jak poważnie europejskie urzędy nadzorcze podeszły do kontroli nowych regulacji związanych z ochroną danych osobowych. Narzucane grzywny opiewają na coraz większe sumy, co obrazuje jak wnikliwie przeprowadzane są kontrole i jak poważnie należy podejść do tematu ochrony danych osobowych, które przetwarzamy. Lawina kontroli ruszyła, a informacje o kolejnych kontrolach i narzucanych grzywnach zapewne niebawem znów zajmą pierwsze strony gazet.

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla IOD

Aplikacja dla IOD

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.