LexDigital

Kolejne kary w zakresie ochrony danych osobowych: Facebook, Heathrow.

Myśląc, że po ostatnich głośnych informacjach o naruszeniach ochrony danych osobowych, m.in. w Austrii i Portugalii, będzie choć chwila wytchnienia od dotkliwych kar z nimi związanych, nie można być bardziej w błędzie. W ostatnich dniach świat obiegły kolejne informacje o nałożeniu dotkliwych kar na dwa naprawdę potężne podmioty – mowa tu o lotnisku Heathrow oraz najbardziej znanym portalu społecznościowym jakim jest Facebook.

Kolejne kary w zakresie ochrony danych osobowych: Facebook, Heathrow.

Kary stają się coraz bardziej realne

Myśląc, że po ostatnich głośnych informacjach o naruszeniach ochrony danych osobowych, m.in. w Austrii i Portugalii, będzie choć chwila wytchnienia od dotkliwych kar z nimi związanych, nie można być bardziej w błędzie. W ostatnich dniach świat obiegły kolejne informacje o nałożeniu dotkliwych kar na dwa naprawdę potężne podmioty – mowa tu o lotnisku Heathrow oraz najbardziej znanym portalu społecznościowym jakim jest Facebook. 

Na początku warto pochylić się nad składowymi, które determinują wysokość nałożonej kary administracyjnej. Przypominamy, że w zależności od tego, które paragrafy RODO zostały naruszone, kary mogą sięgać 10 lub 20 milinów euro, lub odpowiednio 2% lub 4% rocznego obrotu przedsiębiorstwa. Kwota grzywny ustalana jest w odniesieniu do 10 najważniejszych kryteriów:

  • charakteru naruszenia – ilość osób, które zostały dotknięte naruszeniem, jakie szkody z związku z nim ponieśli, czas trwania naruszenia oraz cel, w jakim dane osobowe były przetwarzane,
  • intencji – czy naruszenie było celowe, czy wynikiem wypadku,
  • złagodzenia – podjęte działania, które miały na celu złagodzenie szkód poniesionych przez osoby, których dane dotyczą, 
  • środki zapobiegawcze – ilość wdrożonych wcześniej środków organizacyjno-technicznych, które mogły zapobiec zdarzeniu,
  • historia – czy w czasie obowiązywania poprzedniego stanu prawnego dochodziło do podobnych zdarzeń,
  • współpraca – jak przebiegała współpraca przedsiębiorstwa z organem nadzorczym w celu naprawienia naruszenia,
  • typ danych – na jakie rodzaje danych wpłynęło naruszenie, czy są pośród nich dane szczególne,
  • powiadomienie – czy przedsiębiorstwo zgłosiło naruszenie organowi nadzorczemu,
  • certyfikacja – czy przedsiębiorstwo działało zgodnie z zatwierdzonymi certyfikatami lub posiadano i przestrzegano kodeksów postępowania,
  • inne- czynniki zarówno łagodzące jak i obciążające, które mogłyby mieć wpływ na wysokość nałożonej kary.

Brytyjski organ ICO nakłada karę na Heathrow

Wszystkie powyższe kryteria sprawdzające zastosował  Information Commissioner's Office - ICO, brytyjski organ nadzorczy, który przeprowadził kontrolę, w związku z zagubionym przez pracownika niezaszyfrowanym pendrive’m. Znajdowały się na nim dane 60 osób, w tym także dane, które uznano za dane wrażliwe – m.in. narodowość, dane z paszportów oraz dane członkowskie związków zawodowych. Wśród ponad 1000 plików, które nie były w żaden sposób zaszyfrowane ani  zabezpieczone hasłem, znalazł się film szkoleniowy ujawniający dane co najmniej 10 osób oraz szczegóły dotyczące około 50 pracowników ochrony lotniska. 

Przenośna pamięć została znaleziona przez przypadkową osobę, a jej treści odtworzone w publicznej bibliotece. Następnie została ona przekazana do lokalnej prasy Sunday Mirror, która przed odesłaniem jej na lotnisko Heathrow wykonała kopie znajdujących się na niej danych. 

Dochodzenie zapoczątkowane incydentem, jakim było zgubienie pendrive’a, wykazało szereg niedociągnięć w standardach korporacji, związanych z ochroną danych osobowych. Jak wykazał raport opublikowany po kontroli, lotnisko nie podjęło kroków zapewnienia odpowiedniej ochrony danych w wewnętrznej sieci oraz dopatrzono się szeregu uchybień w zakresie stosowanych technicznych i organizacyjnych środków ochrony m.in : istniała możliwość skopiowania danych z komputerów na niezaszyfrowane nośniki wymienne, pracownicy używali prywatnych urządzeń do usuwania danych osobowych z systemów lotniska Heathrow, nie dopilnowano konieczności szyfrowania bądź zabezpieczania hasłem używanych pendrive’ów, nie zapewniono pracownikom odpowiednich szkoleń w zakresie ochrony danych osobowych a także nie monitorowano ani zapewniano zgodności z istniejącymi politykami i zasadami odnośnie prawidłowego korzystania z pamięci przenośnych.

Kara, jaką lotnisko Heathrow musi wpłacić to 120 tysięcy funtów, w terminie do 6 listopada br. ICO przewiduje pomniejszenie sankcji o 20%, czyli 24 tysiące, jeśli kwota zostanie wpłacona w nieprzekraczalnym terminie 5 listopada.  

Lotnisko Heathrow zostało ukarane grzywną na podstawie przepisów obowiązujących przed 25 maja 2018 roku (zagubienie nośnika danych nastąpiło około roku przed wydaniem raportu), zgodnie z którymi maksymalna wysokość kary wynosiła 500 tysięcy funtów. Jeśli zdarzenie miałoby miejsce po wejściu w życie RODO, grzywna mogłaby wynieść nawet 17 milionów funtów, które odpowiadałoby 4% rocznego obrotu przedsiębiorstwa.

Facebook pod lupą organu nadzorczego

Ten sam organ nadzorczy, czyli Information Commissioner's Office, brytyjski odpowiednik Urzędu Ochrony danych przeprowadził dochodzenie z udziałem jednego z największych portali społecznościowych – Facebooka, w zakresie szeroko pojętego wykorzystywania analityki danych do celów politycznych.  Jak wynika z raportu opublikowanego przez ICO, w latach 2007-2014 Facebook nieuczciwie przetwarzał dane osobowe użytkowników umożliwiając twórcom aplikacji analitycznej dostęp do informacji bez ich wyraźnej i świadomej zgody, nawet wówczas gdy użytkownicy nie pobrali aplikacji, a byli jedynie w gronie znajomych osób, które aplikację tą pobrały. Do danych, z których korzystano należą m.in. : publiczny profil na FB wraz z nazwiskiem oraz informacją o płci, data urodzenia, miejsce obecnego pobytu, zdjęcia na których użytkownik został oznaczony, polubione przez użytkownika strony, posty na osi czasu, lista znajomych, adresy mailowe czy wiadomości. 

 Facebook nie zagwarantował także bezpieczeństwa danych osobowych, z powodu nieudolnego przeprowadzenia kontroli aplikacji i programistów korzystających z platformy FB.  W wyniku tych zaniedbań, jeden z deweloperów aplikacji analitycznej oraz cała firma, dla której pracował weszła w posiadanie danych 87 milionów użytkowników Facebooka z całego świata, bez wiedzy osób, których dane dotyczyły. Część z pozyskanych informacji została później udostępniona innym organizacjom, które brały czynny udział w kampaniach politycznych USA. 

Do wykrycia naruszeń doszło pod koniec 2015 roku. Pomimo prawie dwóch lat od ujawnienia niewłaściwego użycia danych Facebook nie zrobił wystarczająco dużo, aby podmioty, które weszły w posiadanie danych podjęły odpowiednie działania zaradcze, obejmujące także usunięcie nabytych danych. Facebook nie zawiesił także, jednej z grup spółki analitycznej Cambridge Analytica, ze swojej platformy. W związku z tym dane co najmniej pół miliona użytkowników z Wielkiej Brytanii były narażone na dalsze nadużycia ze strony spółki. 

Kara w wysokości 500 tysięcy funtów jest maksymalną, którą ICO mogło narzucić, ponieważ naruszenia miały miejsce, gdy obowiązywała ustawa o ochronie danych z 1998 r. i to na jej mocy została nałożona grzywna. Naruszenia zostały uznane za bardzo poważne stąd decyzja o maksymalnym jej wymiarze. Facebook musi wnieść opłatę do skonsolidowanego Funduszu Skarbu.

Oczekujemy kolejnych rozstrzygnięć

Powyższe zdarzenia pokazują jak poważnie europejskie urzędy nadzorcze podeszły do kontroli nowych regulacji związanych z ochroną danych osobowych. Narzucane grzywny opiewają na coraz większe sumy, co obrazuje jak wnikliwie przeprowadzane są kontrole i jak poważnie należy podejść do tematu ochrony danych osobowych, które przetwarzamy. Lawina kontroli ruszyła, a informacje o kolejnych kontrolach i narzucanych grzywnach zapewne niebawem znów zajmą pierwsze strony gazet.

Polecane

Czy compliance officer może być inspektorem ochrony danych?

Czy compliance officer może być inspektorem ochrony danych?

25 maja 2020 roku miną 2 lata odkąd obowiązują wymogi ogólnego rozporządzenia o ochronie danych osobowych (RODO). Funkcja Inspektora Ochrony Danych (IOD) oraz jego zadania zostały dość jasno określone w rozporządzeniu i wydaje się, że po 24 miesiącach funkcjonowania RODO wszystko powinno być jasne. Skąd zatem tyle wątpliwości dotyczących łączenia stanowiska IOD z innymi obowiązkami? I czy możliwe jest łączenie funkcji IOD ze stanowiskiem compliance officera?

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.