LexDigital

Kolejne kary w zakresie ochrony danych osobowych: Facebook, Heathrow

Myśląc, że po ostatnich głośnych informacjach o naruszeniach ochrony danych osobowych, m.in. w Austrii i Portugalii, będzie choć chwila wytchnienia od dotkliwych kar z nimi związanych, nie można być bardziej w błędzie. W ostatnich dniach świat obiegły kolejne informacje o nałożeniu dotkliwych kar na dwa naprawdę potężne podmioty – mowa tu o lotnisku Heathrow oraz najbardziej znanym portalu społecznościowym jakim jest Facebook.

Kolejne kary w zakresie ochrony danych osobowych: Facebook, Heathrow

Kary stają się coraz bardziej realne

Myśląc, że po ostatnich głośnych informacjach o naruszeniach ochrony danych osobowych, m.in. w Austrii i Portugalii, będzie choć chwila wytchnienia od dotkliwych kar z nimi związanych, nie można być bardziej w błędzie. W ostatnich dniach świat obiegły kolejne informacje o nałożeniu dotkliwych kar na dwa naprawdę potężne podmioty – mowa tu o lotnisku Heathrow oraz najbardziej znanym portalu społecznościowym jakim jest Facebook. 

kary finansowe, RODO, Facebook

Na początku warto pochylić się nad składowymi, które determinują wysokość nałożonej kary administracyjnej. Przypominamy, że w zależności od tego, które paragrafy RODO zostały naruszone, kary mogą sięgać 10 lub 20 milinów euro, lub odpowiednio 2% lub 4% rocznego obrotu przedsiębiorstwa. Kwota grzywny ustalana jest w odniesieniu do 10 najważniejszych kryteriów:

  • charakteru naruszenia – ilość osób, które zostały dotknięte naruszeniem, jakie szkody z związku z nim ponieśli, czas trwania naruszenia oraz cel, w jakim dane osobowe były przetwarzane,
  • intencji – czy naruszenie było celowe, czy wynikiem wypadku,
  • złagodzenia – podjęte działania, które miały na celu złagodzenie szkód poniesionych przez osoby, których dane dotyczą, 
  • środki zapobiegawcze – ilość wdrożonych wcześniej środków organizacyjno-technicznych, które mogły zapobiec zdarzeniu,
  • historia – czy w czasie obowiązywania poprzedniego stanu prawnego dochodziło do podobnych zdarzeń,
  • współpraca – jak przebiegała współpraca przedsiębiorstwa z organem nadzorczym w celu naprawienia naruszenia,
  • typ danych – na jakie rodzaje danych wpłynęło naruszenie, czy są pośród nich dane szczególne,
  • powiadomienie – czy przedsiębiorstwo zgłosiło naruszenie organowi nadzorczemu,
  • certyfikacja – czy przedsiębiorstwo działało zgodnie z zatwierdzonymi certyfikatami lub posiadano i przestrzegano kodeksów postępowania,
  • inne- czynniki zarówno łagodzące jak i obciążające, które mogłyby mieć wpływ na wysokość nałożonej kary.

Brytyjski organ ICO nakłada karę na Heathrow

Wszystkie powyższe kryteria sprawdzające zastosował  Information Commissioner's Office - ICO, brytyjski organ nadzorczy, który przeprowadził kontrolę, w związku z zagubionym przez pracownika niezaszyfrowanym pendrive’m. Znajdowały się na nim dane 60 osób, w tym także dane, które uznano za dane wrażliwe – m.in. narodowość, dane z paszportów oraz dane członkowskie związków zawodowych. Wśród ponad 1000 plików, które nie były w żaden sposób zaszyfrowane ani  zabezpieczone hasłem, znalazł się film szkoleniowy ujawniający dane co najmniej 10 osób oraz szczegóły dotyczące około 50 pracowników ochrony lotniska. 

Przenośna pamięć została znaleziona przez przypadkową osobę, a jej treści odtworzone w publicznej bibliotece. Następnie została ona przekazana do lokalnej prasy Sunday Mirror, która przed odesłaniem jej na lotnisko Heathrow wykonała kopie znajdujących się na niej danych. 

Dochodzenie zapoczątkowane incydentem, jakim było zgubienie pendrive’a, wykazało szereg niedociągnięć w standardach korporacji, związanych z ochroną danych osobowych. Jak wykazał raport opublikowany po kontroli, lotnisko nie podjęło kroków zapewnienia odpowiedniej ochrony danych w wewnętrznej sieci oraz dopatrzono się szeregu uchybień w zakresie stosowanych technicznych i organizacyjnych środków ochrony m.in : istniała możliwość skopiowania danych z komputerów na niezaszyfrowane nośniki wymienne, pracownicy używali prywatnych urządzeń do usuwania danych osobowych z systemów lotniska Heathrow, nie dopilnowano konieczności szyfrowania bądź zabezpieczania hasłem używanych pendrive’ów, nie zapewniono pracownikom odpowiednich szkoleń w zakresie ochrony danych osobowych a także nie monitorowano ani zapewniano zgodności z istniejącymi politykami i zasadami odnośnie prawidłowego korzystania z pamięci przenośnych.

Kara, jaką lotnisko Heathrow musi wpłacić to 120 tysięcy funtów, w terminie do 6 listopada br. ICO przewiduje pomniejszenie sankcji o 20%, czyli 24 tysiące, jeśli kwota zostanie wpłacona w nieprzekraczalnym terminie 5 listopada.  

Lotnisko Heathrow zostało ukarane grzywną na podstawie przepisów obowiązujących przed 25 maja 2018 roku (zagubienie nośnika danych nastąpiło około roku przed wydaniem raportu), zgodnie z którymi maksymalna wysokość kary wynosiła 500 tysięcy funtów. Jeśli zdarzenie miałoby miejsce po wejściu w życie RODO, grzywna mogłaby wynieść nawet 17 milionów funtów, które odpowiadałoby 4% rocznego obrotu przedsiębiorstwa.

Facebook pod lupą organu nadzorczego

Ten sam organ nadzorczy, czyli Information Commissioner's Office, brytyjski odpowiednik Urzędu Ochrony danych przeprowadził dochodzenie z udziałem jednego z największych portali społecznościowych – Facebooka, w zakresie szeroko pojętego wykorzystywania analityki danych do celów politycznych.  Jak wynika z raportu opublikowanego przez ICO, w latach 2007-2014 Facebook nieuczciwie przetwarzał dane osobowe użytkowników umożliwiając twórcom aplikacji analitycznej dostęp do informacji bez ich wyraźnej i świadomej zgody, nawet wówczas gdy użytkownicy nie pobrali aplikacji, a byli jedynie w gronie znajomych osób, które aplikację tą pobrały. Do danych, z których korzystano należą m.in. : publiczny profil na FB wraz z nazwiskiem oraz informacją o płci, data urodzenia, miejsce obecnego pobytu, zdjęcia na których użytkownik został oznaczony, polubione przez użytkownika strony, posty na osi czasu, lista znajomych, adresy mailowe czy wiadomości. 

 Facebook nie zagwarantował także bezpieczeństwa danych osobowych, z powodu nieudolnego przeprowadzenia kontroli aplikacji i programistów korzystających z platformy FB.  W wyniku tych zaniedbań, jeden z deweloperów aplikacji analitycznej oraz cała firma, dla której pracował weszła w posiadanie danych 87 milionów użytkowników Facebooka z całego świata, bez wiedzy osób, których dane dotyczyły. Część z pozyskanych informacji została później udostępniona innym organizacjom, które brały czynny udział w kampaniach politycznych USA. 

Do wykrycia naruszeń doszło pod koniec 2015 roku. Pomimo prawie dwóch lat od ujawnienia niewłaściwego użycia danych Facebook nie zrobił wystarczająco dużo, aby podmioty, które weszły w posiadanie danych podjęły odpowiednie działania zaradcze, obejmujące także usunięcie nabytych danych. Facebook nie zawiesił także, jednej z grup spółki analitycznej Cambridge Analytica, ze swojej platformy. W związku z tym dane co najmniej pół miliona użytkowników z Wielkiej Brytanii były narażone na dalsze nadużycia ze strony spółki. 

Kara w wysokości 500 tysięcy funtów jest maksymalną, którą ICO mogło narzucić, ponieważ naruszenia miały miejsce, gdy obowiązywała ustawa o ochronie danych z 1998 r. i to na jej mocy została nałożona grzywna. Naruszenia zostały uznane za bardzo poważne stąd decyzja o maksymalnym jej wymiarze. Facebook musi wnieść opłatę do skonsolidowanego Funduszu Skarbu.

Oczekujemy kolejnych rozstrzygnięć

Powyższe zdarzenia pokazują jak poważnie europejskie urzędy nadzorcze podeszły do kontroli nowych regulacji związanych z ochroną danych osobowych. Narzucane grzywny opiewają na coraz większe sumy, co obrazuje jak wnikliwie przeprowadzane są kontrole i jak poważnie należy podejść do tematu ochrony danych osobowych, które przetwarzamy. Lawina kontroli ruszyła, a informacje o kolejnych kontrolach i narzucanych grzywnach zapewne niebawem znów zajmą pierwsze strony gazet.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk