Podpowierzenie przetwarzania danych osobowych

  

W czasach, gdy tak wiele działań biznesowych firm przenosi się do Internetu, coraz częściej mamy do czynienia z powierzaniem przetwarzania danych osobowych przez inny podmiot.

Outsourcing jest dla administratorów szansą na optymalizację wybranych procesów lub zmniejszenie kosztów związanych z zatrudnieniem pracowników. W większości przypadków outsourcing jest nieodłącznie związany z ujawnieniem wykonawcy danych osobowych, które mają być następnie przetwarzane w imieniu i na rzecz administratora.

Szczególnym rodzajem powierzenia jest dalsze powierzenie przetwarzania danych osobowych. Jest to relacja pomiędzy podmiotem przetwarzającym a tzw. subprocessorem, zwana również podpowierzeniem przetwarzania danych.

Czytaj dalej

Przekazywanie danych osobowych do USA znowu pod znakiem zapytania

  

Trybunał Sprawiedliwości Unii Europejskiej unieważnił decyzję Komisji Europejskiej w sprawie Tarczy Prywatności UE-USA. Popularna Privacy Shield podzieliła w ten sposób los swojej poprzedniczki, czyli Bezpiecznej Przystani (ang. Safe Harbour). Przekazywanie danych osobowych z obszaru Unii Europejskiej do Stanów Zjednoczonych znów się komplikuje.

Wyrok został ogłoszony przez TSUE dnia 16 lipca 2020 r. i od tej pory przekazywanie danych osobowych do USA nie może odbywać się na podstawie Tarczy Prywatności.

W wydanym krótko po wyroku komunikacie Europejska Rada Ochrony Danych poinformowała, że w przeszłości zidentyfikowała niektóre z głównych wad Tarczy Prywatności, które Trybunał wziął teraz pod uwagę podejmując decyzję o jej unieważnieniu.

Po dniu 16 lipca 2020 r. dane osobowe mogą być co prawda przekazywane do USA, ale pod warunkiem spełnienia wymogów przewidzianych w RODO dla transferu danych do państwa trzeciego. USA straciły swoją uprzywilejowaną pozycję, jaka wynikała z uchylonej decyzji.

W tej sytuacji europejskie firmy działające do tej pory w ramach Privacy Shield muszą pilnie zrewidować zasady przekazywania danych osobowych do USA.

Trybunał nie podważył w omawianym wyroku decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich.

Nie znaczy to jednak, że transfery danych do USA w oparciu o standardowe klauzule będą automatycznie uznane za legalne. Problem polega na tym, że Stany Zjednoczone nie są obecnie uznawane za państwo, które zapewnia odpowiednio wysoki poziom ochrony danych osobowych. A to z uwagi na szerokie uprawnienia tamtejszych władz do uzyskiwania dostępu do danych przetwarzanych na terytorium USA.

Co może zatem zrobić firma, która nie chce rezygnować z usług dostawców technologii informatycznych ze Stanów Zjednoczonych?

Jednym z rozwiązań jest korzystanie z usługi w modelu, który gwarantuje, że dane będą przechowywane w centrach danych zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego. W takim wypadku musi to dotyczyć także wszystkich kopii danych, które nie mogą być transferowane do USA (ewentualnie do innych państw spoza EOG niegwarantujących odpowiedniej ochrony danych) w celu ich przechowywania w lokalnej infrastrukturze.

Drugim rozwiązaniem jest zapewnienie dodatkowych zabezpieczeń dla danych osobowych, które będą w dalszym ciągu transferowane do USA, np. w postaci szyfrowania.

Z punktu widzenia firmy kluczowe będzie wyważenie biznesowych korzyści z używania określonych rozwiązań technologicznych z potencjalnym ryzykiem dla ich bezpieczeństwa i poufności. Ocena ta powinna być dokonana indywidualnie, biorąc pod uwagę otoczenie regulacyjne danego podmiotu oraz specyfikację usługi informatycznej świadczonej przez dostawcę zza oceanu.

 

Nowe wytyczne EROD w sprawie plików cookies

  

W przyjętych 4 maja br. zaktualizowanych wytycznych dotyczących zgody na przetwarzanie danych osobowych Europejska Rada Ochrony Danych wypowiedziała się na temat stosowania plików cookies na stronach internetowych.

Za nieprawidłową uznała praktykę polegającą na blokowaniu widoczności treści strony z wyjątkiem wyskakującego okienka z prośbą o akceptację tzw. ciasteczek, uzupełnionego informacją o stosowaniu cookies i celach przetwarzania danych.

Czytaj dalej

E-learning w dobie epidemii – o czym trzeba pamiętać?

  

Kolejne obostrzenia wprowadzane przez władze w celu zwalczenia epidemii koronawirusa spowodowały, że miliony Polaków zostały w domach.

Wielu z nas przeznacza ten czas nie tylko na pracę zdalną, ale także na edukację. Kursy online są coraz popularniejszą metodą kształcenia, która w obliczu niespodziewanych problemów staje się ciekawą alternatywą dla szkoleń stacjonarnych.

Przeniesienie edukacji do sieci wymaga spełnienia kilku obowiązków prawnych.

Czytaj dalej

Izraelska armia celem ataku phishingowego

  

Czy uchodząca za jedną z lepiej wyszkolonych sił zbrojnych może być podatna na atak cybernetyczny? Okazuje się, że z użyciem przebiegłej socjotechniki jest to możliwe. Izraelska armia stała się ostatnio celem ataku phishingowego.

Podstęp polegał w tym przypadku na wysyłce na telefony izraelskich żołnierzy zdjęć atrakcyjnych dziewczyn, które miały szukać partnera w celach matrymonialnych.

Aby nawiązać kontakt z przedstawicielką płci pięknej, posiadacz telefonu musiał pobrać specjalną aplikację. Jej instalacja powodowała uruchomienie szpiegującego oprogramowania i przejęcie kontroli nad urządzeniem. W ten sposób atakujący uzyskali dostęp do danych z telefonu takich jak zdjęcia, lokalizacja i kontakty.

Ofiarami ataku, którego przeprowadzenie przypisuje się palestyńskiej grupie Hamas, stało się kilkudziesięciu izraelskich żołnierzy.

Czytaj dalej

Czy Amerykanie doczekają się agencji federalnej ds. ochrony danych osobowych?

  

Tak zakłada nowy projekt ustawy przedstawiony przez senator z Partii Demokratycznej.

Federal Data Protection Agency byłaby niezależną agencją federalną zajmującą się wyłącznie sprawami ochrony danych osobowych konsumentów i stojącą na straży ich prywatności. Jego nadrzędnym celem ma być zapewnienie, aby organizacje przestrzegały uczciwych i przejrzystych praktyk w tych obszarach.

Jak wynika z tekstu projektu, jednym z zadań agencji jest ograniczenie zbierania, ujawniania i przypadków nielegalnego wykorzystania danych osobowych.

Nowe prawo objęłoby zarówno podmioty publiczne, jak i firmy prywatne. Amerykański Kongres miałby wyposażyć agencję w konkretne narzędzia przymusu prawnego, które umożliwiłyby skuteczną realizację jej celów ustawowych.

Nowy projekt ustawy jest odpowiedzią na pogłębiający się kryzys prywatności, o którym coraz więcej mówi się w Stanach Zjednoczonych. Przejawia się on m.in. w gromadzeniu na masową skalę danych osobowych konsumentów przez prywatne firmy. Niejednokrotnie są one później wykorzystywane z naruszeniem prywatności konsumentów, w tym także do celów, o których jednostki nie mają nawet mglistego pojęcia.

Nie od dziś wiadomo, że firmy z Doliny Krzemowej dość luźno podchodzą do ochrony prywatności swoich użytkowników. Ich modele biznesowe bazują na szerokim korzystaniu z danych osobowych. Nie mają one ekonomicznego interesu w ograniczaniu ich przetwarzania i profilowania użytkowników, w tym dla celów spersonalizowanej reklamy.

Kilkukrotnie pisałem już na ten temat na łamach bloga:

https://abcrodo.kalata.eu/2018/04/11/co-ujawnil-ceo-facebooka-przed-amerykanskim-kongresem/

https://abcrodo.kalata.eu/2019/07/29/na-facebooku-bez-zmian-rekordowa-kara-za-naduzywanie-danych-osobowych-uzytkownikow/

https://abcrodo.kalata.eu/2019/01/24/pierwsze-kary-pieniezne-za-naruszenia-rodo/

Omawiany projekt ustawy zyskał już poparcie wśród wielu organizacji, w tym m.in. Electronic Privacy Information Center, Public Citizen oraz Consumer Federation of America.

Niektórzy wskazują, że po reformie RODO sytuacja prawna firm europejskich jest trudniejsza niż tych zza oceanu. Reforma prawa ochrony danych osobowych w USA, coraz bardziej oczekiwana przez różne środowiska, mogłaby wyrównać szanse.

Czy i w jakim kształcie nowe regulacje zostaną przyjęte, niebawem się przekonamy.

Dla zainteresowanych tekst nowej ustawy jest dostępny tutaj.

RODO vs. ochrona przed nieuczciwymi algorytmami

  

Szybki rozwój technologii opartych na sztucznej inteligencji, uczeniu maszynowym i skomplikowanych algorytmach sprawia, że dane osobowe stają się paliwem dla rozwoju gospodarki w XXI wieku.

Czy RODO zapewnia ochronę danych adekwatną do skali zagrożeń związanych z rozwojem technologicznym? Z takim pytaniem zwróciła się do Europejskiej Rady Ochrony Danych (EROD) jedna z posłanek do Parlamentu Europejskiego, Sophie i’nt Veld. Chodziło konkretnie o tzw. nieuczciwe algorytmy, których zastosowanie może prowadzić do negatywnych skutków dla jednostki, np. naruszenie jej prawa do równego traktowania.

W odpowiedzi na powyższe zapytanie EROD stwierdziła, że każde przetwarzanie danych z użyciem algorytmów podlega pod regulacje RODO.

Czytaj dalej

Czy Indie będą mieć własne RODO?

  

Dla administratorów danych z Unii Europejskiej Indie są państwem trzecim w rozumieniu przepisów RODO. Transfer danych osobowych do tego kraju wymaga spełnienia szczególnych wymogów opisanych w Rozdziale 5 rozporządzenia.

Do tej pory Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni poziom ochrony danych osobowych w odniesieniu do Indii, co ułatwiłoby procedurę przekazywania danych osobowych do tego kraju.

Już wkrótce Indie mogą doczekać się kompleksowej ustawy o ochronie danych osobowych. Dnia 11 grudnia indyjski minister elektroniki i technologii informacyjnych przedstawił zaktualizowany projekt ustawy o ochronie danych osobowych w niższej izbie indyjskiego parlamentu.

Czy to znaczy, że Indie będą mieć swój odpowiednik RODO?

Czytaj dalej

Upoważnienie do przetwarzania danych – kiedy aktualizować?

  

Każdy pracownik firmy, który w ramach wykonywanych obowiązków uzyskuje dostęp do danych osobowych, powinien posiadać upoważnienie do przetwarzania danych osobowych.

Z reguły upoważnienie takie jest udzielane zaraz po nawiązaniu stosunku pracy.

Zakres upoważnienia do przetwarzania danych

Upoważnienie powinno określać zakres danych osobowych, które pracownik będzie mógł przetwarzać w toku czynności wykonywanych na rzecz pracodawcy. Ponieważ RODO nie narzuca konkretnej treści upoważnienia, w praktyce wymóg ten jest realizowany poprzez odniesienie się do kategorii osób, których dane dotyczą (np. klienci, pracownicy, dostawcy), konkretnych czynności przetwarzania danych osobowych lub zbiorów danych.

Czytaj dalej

Wskazanie błędnej podstawy prawnej przetwarzania danych osobowych narusza RODO

  

Jednym z elementów obowiązku informacyjnego administratora jest podanie osobie, której dane dotyczą, podstawy prawnej przetwarzania jej danych osobowych.

Oznacza to, że obecnie nie wystarczy już wskazanie konkretnych celów przetwarzania danych, ale konieczne jest uzupełnienie ich o podstawę prawną, którą – w zależności od okoliczności – może być np. zgoda, przepis ustawy lub unijnego rozporządzenia.

Wybór właściwej podstawy prawnej jest bardzo istotny, o czym przekonała się niedawno jedna z międzynarodowych korporacji. W ramach postępowania prowadzonego przez grecki organ nadzorczy stwierdzono, że spółka ta niezgodnie z zasadami RODO przetwarzała dane osobowe swoich pracowników na podstawie art. 6 ust. 1 lit. a RODO (tj. zgody), podczas gdy przetwarzanie miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umowy o pracę.

Czytaj dalej

1 2 3 6