Jedna zgoda na kanały komunikacji marketingowej coraz bliżej

Na stronie Rządowego Centrum Legislacji dostępne są skierowane do konsultacji publicznych projekty dwóch ustaw – ustawy Prawo komunikacji elektronicznej (PKE) i ustawy wprowadzającej. Oba projekty zawierają  uzasadnienia.

Celem regulacji jest implementowanie dyrektywy ustanawiającej Europejski Kodeks Łączności Elektronicznej (w skrócie EKŁE). Przyjęcie przepisów krajowych powinno nastąpić do dnia 21 grudnia 2020 r., czyli już niedługo. Projekt PKE kompleksowo reguluje wiele kwestii, od regulowania rynków komunikacji elektronicznej po prawa i obowiązki użytkowników. Projektowana regulacja nie tylko wprowadza nowe instytucje, ale jest też kontynuacją rozwiązań obowiązujących na gruncie Prawa telekomunikacyjnego. Obecne przepisy wywodzą się z 2002 r., więc nie dziwi, że coraz trudniejsze jest ich stosowanie w zderzeniu z gospodarką 4.0.

W maju sygnalizowaliśmy nasze obawy odnośnie projektowanego mechanizmu odbierania tzw. zgód na kanały komunikacji marketingowej w tej ustawie. Skierowana obecnie do konsultacji wersja różni się od wersji przez nas wtedy komentowanej. W poprzedniej wersji marketing bezpośredni i informacja handlowa były wymienione jako dwa różne rodzaje treści, co budziło wiele pytań odnośnie interpretowania tych pojęć przez ustawodawcę. W nowej wersji marketing bezpośredni został wskazany już jako jeden z przejawów informacji handlowej, co wydaje się być przynajmniej częściowym wyjaśnieniem, że informacja handlowa jest pojęciem szerszym od samego marketingu bezpośredniego. I tak, przepis dotyczący wykorzystania „telekomunikacyjnych urządzeń końcowych” w celach marketingowych miałby być następujący:

Art. 360 PKE

1.  Zakazane jest:

1)  używanie automatycznych systemów wywołujących lub

2)  używanie telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej

– dla celów przesyłania niezamówionej informacji handlowej w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, w tym marketingu bezpośredniego, do oznaczonego odbiorcy, będącego użytkownikiem końcowym, chyba że uprzednio wyraził on na to zgodę.

2.  Zgoda, o której mowa w ust. 1, może być wyrażona przez udostępnienie przez użytkownika końcowego identyfikującego go adresu poczty elektronicznej.

(…)

Jednocześnie projektowana ustawa wprowadzająca PKE uchyla art. 10 ustawy o świadczeniu usług drogą elektroniczną, czyli przepis dotyczący zgody umożliwiającej wysyłania niezamówionej informacji handlowej (tzn. spamu). Tym samym, projektowany art. 360 ust. 1 PKE łączy obecny przepis art. 172 Prawa telekomunikacyjnego i art. 10 ustawy o świadczeniu usług drogą elektroniczną.

Tak, jak w wersji z maja, widzimy, że w art. 360 PKE jest mowa o legalizacji przekazywania informacji handlowej kanałami „tele-ele” jeżeli ich adresat wyrazi na to uprzednią zgodę – w liczbie pojedynczej.

Również w uzasadnieniu do ustawy wprowadzającej PKE wskazana została potrzeba uregulowania zagadnień marketingu bezpośredniego w jednym akcie prawnym, tj. wyłącznie w PKE – obecnie materia ta jest przedmiotem dwóch ustaw: art. 172 Prawa telekomunikacyjnego oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną, a w rzeczywistości ma na celu implementację jednego przepisu regulacji unijnej – art. 13 ust. 1 dyrektywy o e-prywatności. W uzasadnieniu zauważono, że właśnie to „rozdwojenie” powoduje, że przedsiębiorcy odbierają co najmniej dwie odrębne zgody na kanały komunikacji marketingowej – głosowe połączenia telefoniczne i środki komunikacji elektronicznej.

Tak więc, przy projekcie art. 360 PKE wydaje się, że zamiarem ustawodawcy ma być zobowiązanie przedsiębiorców do uzyskiwania tylko jednej zgody na komunikację marketingową niezależnie od wyboru środka jej przekazywania. Projektowane brzmienie przepisu i ton uzasadnienia nie rozwiewają wszystkich wątpliwości, ale zdecydowanie nastrajają nas optymistycznie w kwestii planowania ilości check-box’ów na drodze do uzyskania zgód dla przyszłych inicjatywach marketingowych.

Na razie z zainteresowaniem śledzimy przebieg prac legislacyjnych i z niecierpliwością czekamy na uwagi podmiotów biorących udział w trwających konsultacjach publicznych, w tym Prezesa Urzędu Ochrony Danych Osobowych.

Webinar RODO: Najważniejsze zmiany w działaniach dla branży FMCG

Zapraszamy na webinar dedykowany branży FMCG, w trakcie którego nasi eksperci przedstawią aktualne interpretacje przepisów prawa, najnowsze zmiany dot. RODO w organizacji oraz wybrane elementy bezpieczeństwa danych osobowych w narzędziach informatycznych.

 

Program spotkania: 

1. Przepisy szczegółowe i prawo europejskie

– Wymogi związane ze zbieraniem danych detalistów (NIP) w celu rozliczania umów dystrybucyjnych
– Opinia UODO o stosowaniu RODO do danych służbowych – jakie działania podjąć w tym zakresie?
– Jak transferować dane do USA po unieważnieniu Privacy Shield? Wytyczne EROD

2. Działania marketingowe

– Jakie są kryteria prawidłowej zgody wg RODO?
– Regulamin i polityka prywatności strony internetowej a RODO
– Popularne usługi dostawców: Amazon, Google i Microsoft a RODO
– Kampanie w social mediach, fanpage, konkursy, grupy na facebooku

3. RODO w IT

– Jak zapewnić zgodność strony www z RODO?
– Bezpieczeństwo przetwarzania danych – kluczowe aspekty
– Sprawdzenie jakości wdrożenia RODO w obszarze IT
– Analiza ryzyka

Zapisy na wydarzenie odbywają się poprzez platformę Clickmeeting:

>>>Zarejestruj się <<<

Zapraszamy!

Kara finansowa CNIL dla firmy e-commerce za naruszenia RODO

Ostatnio pisaliśmy o licznych karach nałożonych przez hiszpański organ nadzorczy (link). Tymczasem tegoroczne wakacje pracowite są również dla francuskiego organu nadzorczego. CNIL (Commission Nationale de l’Informatique et des Libertés) nałożył dość wysoką karę finansową na firmę o nazwie SPARTOO. Firma ta specjalizuje się w sprzedaży obuwia na odległość. Sprzedaż prowadzona jest w 13 krajach Unii Europejskiej, w tym na rynku polskim. Co ciekawe kara została nałożona w wyniku współpracy z innymi europejskimi organami nadzorczymi.

Decyzja CNIL owocem kontroli przeprowadzonej tuż po rozpoczęciu obowiązywania RODO

 CNIL przeprowadził kontrolę firmy w maju 2018 roku, czyli bezpośrednio po rozpoczęciu obowiązywania RODO. Organ nadzorczy wykrył naruszenia dotyczące danych osobowych klientów, potencjalnych klientów a także pracowników.  W 2019 roku CNIL zdecydował o wszczęciu postępowania wobec spółki . Kara finansowa nałożona na spółkę to 250 000 Euro.

Zarzuty wobec spółki 

Na podstawie przeprowadzonego postępowania CNIL uznał, że ​​doszło do naruszenia:

  •   Zasady minimalizacji danych.
  •   Obowiązku ograniczenia okresu przechowywania danych (tzw. retencji danych).
  •   Obowiązku informowania osób, których dane dotyczą.
  •   Obowiązku zapewnienia bezpieczeństwa danych.

Naruszenie zasady minimalizacji danych. Organ uznał za nadmierne i nieuzasadnione pełne i trwałe nagrywanie rozmów telefonicznych odbieranych przez pracowników obsługi klienta.  Zdaniem organu brak zasadności wynikał z faktu, że osoba odpowiedzialna za szkolenie pracowników odsłuchiwała tylko jedno nagranie tygodniowo na pracownika. Dla celu szkolenia pracowników nie było konieczne zdaniem CNIL również rejestrowanie i przechowywanie danych bankowych klientów, które są przekazywane podczas telefonicznego składania zamówień. Organ podkreślił w decyzji, że dane bankowe ze względu na swój charakter i związane z tym ryzyko oszustwa muszą być chronione we wzmożony sposób.  W kontekście walki z oszustwami za nadmierne uznano również gromadzenie m.in. kopii „kart zdrowia” (tessera sanitaria) klientów, tym bardziej, że firma nie była w stanie wykazać niezbędności tego dokumentu do walki z oszustwami.

Naruszenie obowiązku ograniczenia okresu przechowywania danych. Firma nie określiła okresu przechowywania danych klientów i potencjalnych klientów, a co za tym idzie nie usuwała ani nie archiwizowała regularnie danych osobowych.  Zdaniem organu nadzorczego, nie było między innymi uzasadnienia dla przechowywania danych potencjalnych klientów przez okres pięciu lat od ostatniej aktywności – za taką aktywność uznawano np. otwarcie elektronicznego biuletynu. Organ ustalił, że firma nie kieruje działań komercyjnych do potencjalnych klientów, jeśli nie wykazują oni zainteresowania jej produktami lub usługami już po upływie dwóch lat od ostatniej aktywności. Organ zwrócił ponadto uwagę, że samo otwarcie pliku, np. wspomnianego Biuletynu, przez osobę, której dane dotyczą nie daje możliwości wykazania, że ​​jest ona zainteresowana produktami lub usługami firmy, bowiem do otwarcia pliku mogło dojść przypadkowo. W takich przypadkach, zdaniem organu, liczenie terminu przechowywania danych od daty tak rozumianej aktywności, nie było uzasadnione.

 Naruszenie obowiązku informowania osób, których dane dotyczą. Informacje zawarte w Polityce prywatności serwisu organ uznał za niespójne. Firma nie wykazała, że zgoda jest podstawą prawną wszystkich przeprowadzanych operacji przetwarzania. Z analizy organu wynikało, że wiele operacji przetwarzania opiera się na innych podstawach prawnych, takich jak umowa lub prawnie uzasadnione interesy realizowane przez firmę. Za niewystarczające uznano również informacje przekazane pracownikom firmy dotyczące nagrywania rozmów telefonicznych prowadzonych przez nich z klientami. Pracownicy nie byli informowani o celu przetwarzania, podstawie prawnej, odbiorcach danych, okresie przechowywania danych oraz o przysługujących im prawach.

 Naruszenie obowiązku zapewnienia bezpieczeństwa danych. Za jeden z przejawów naruszenia bezpieczeństwa danych osobowych CNIL uznał stosowanie zbyt prostych haseł dostępu do kont użytkowników. Wymagane hasła mogły być złożone z 6 cyfr zawierających tylko jeden rodzaj znaków. Organ uznał, że firma powinna wymusić na użytkownikach kont hasła bardziej skomplikowane.

Podsumowanie i wnioski końcowe

 Wykryte naruszenia dotyczyły zasadniczych wymogów w zakresie ochrony danych osobowych. Jak zauważył francuski organ nadzorczy naruszenia dotyczyły wymogów obowiązujących także przed rozpoczęciem obowiązywania RODO.

Bazując na zarzutach postawionych w tej sprawie warto sprawdzić, czy Twoja firma:

Przetwarza tylko takie dane, które są niezbędne do celu przetwarzania.

Określiła zasady i terminy przechowywania danych oraz czy ich przestrzega.

Prawidłowo realizuje obowiązek informacyjny (wobec właściwych osób oraz czy w wymaganym. zakresie)

  Odpowiednio zabezpiecza dane osobowe – pamiętając, że stopień i sposób zabezpieczenia powinien uwzględniać w szczególności rodzaj danych oraz ryzyko związane  z ich naruszeniem.

Źródła:

https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1

Lato, Hiszpania, monitoring i RODO

Sezon wakacyjny w pełni i błądząc wzrokiem po mapie kierujemy tęskne spojrzenia ku wybrzeżom Hiszpanii, która w tym roku stała się jak by trochę bardziej odległa… Nie zrezygnowaliśmy jednak zupełnie z zagranicznych wojaży i wirtualnymi szlakami wędrujemy na portal Agencia Española de Protección de Datos. Z przyjemnością wracamy na strony internetowe hiszpańskiego organu do spraw ochrony danych osobowych. W ostatnim czasie mieliśmy ku temu szczególnie wiele okazji, gdyż w samych tylko czerwcu i lipcu –AEPD wydała 25 decyzji nakładających administracyjne kary finansowe.

Kary finansowe nakładane przez europejskie organy ds. ochrony danych osobowych niezmiennie wzbudzają zainteresowanie. AEPD od początku czerwca do końca lipca 2020 roku wydała 25 decyzji nakładających kary w wysokości od 1.000 € do 80.000 €. W ciągu ostatnich dwóch miesięcy najwyższa z kar nałożonych przez AEPD, czyli 80.ooo €, znalazła się w decyzji wydanej wobec Orange Espagne S.A.U. Organ ustalił, że operator telekomunikacyjny bezprawnie aktywował umowy dotyczące linii telefonicznych, przetwarzając w tym celu dane osoby fizycznej bez podstawy prawnej, co stanowiło naruszenie art. 5 i 6 RODO. Dwie kolejno najwyższe kary, 75.000 € i 70.000 € organ nałożył na innego operatora telekomunikacyjnego, który również „zarządzał” umowami klientów bez ich wiedzy. Operator przetwarzał dane bez podstawy prawnej, naruszając przy tym podstawowe zasady ochrony danych osobowych,.

Naszą szczególną uwagę zwróciły jednak inne decyzje AEPD z tego krótkiego okresu. Łączy je to, że dotyczą monitoringu, czyli jednego z najgorętszych tematów sezonu.

W czerwcu i lipcu AEPD wydała 5 decyzji, w których nałożyła kary finansowe za naruszenie zasad przetwarzania danych osobowych w związku ze stosowaniem wideonadzoru (monitoringu, CCTV). Decyzje te nie nakładają spektakularnych kar finansowych, ale mogą stanowić ciekawy punkt widzenia w naszych krajowych rozważaniach o możliwym uregulowaniu zasad monitoringu przemysłowego i prywatnego. Mają one też cechę wspólną z większością czerwcowo-lipcowych decyzji AEPD o nałożeniu kar finansowych (również z wyżej opisanymi decyzjami wobec operatorów telekomunikacyjnych). A mianowicie, spośród 25 decyzji, w 21 przypadkach podstawą rozstrzygnięcia było stwierdzenie naruszenia art. 5 RODO, czyli naruszenia jednej z podstawowych zasad ochrony danych osobowych.

7 zasad przetwarzania danych osobowych z art. 5 RODO:

Zasada zgodności z prawem, przejrzystości i rzetelności.

Zasada ograniczenia celu przetwarzania.

Zasada minimalizacji danych.

Zasada prawidłowości danych.

Zasada ograniczenia przechowywania danych.

Zasada integralności i poufności.

Zasada rozliczalności.

Podstawą ukarania w każdej ze wspomnianych decyzji dotyczących monitoringu było naruszenie zasady zgodności z prawem lub zasady minimalizacji danych.

Zanim przejdziemy do krótkiej charakterystyki tych decyzji należy zaznaczyć, że w Hiszpanii, poza RODO obowiązuje również ustawa o ochronie danych osobowych i gwarancjach cyfrowych – Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Art. 22 hiszpańskiej ustawy o ochronie danych osobowych i gwarancjach cyfrowych

  1. Osoby fizyczne lub prawne, publiczne lub prywatne, mogą przetwarzać obrazy za pomocą             systemów kamer lub kamer wideo w celu zachowania bezpieczeństwa ludzi i mienia, a także ich   obiektów.
  2. Obrazy publicznej arterii mogą być rejestrowane tylko w takim zakresie, w jakim jest to niezbędne do celu, o którym mowa w poprzedniej sekcji.(…) – tłumaczenie własne.

I tak, na przedsiębiorstwo zajmujące się złomowaniem pojazdów, Auto Desguaces Iglesias S.L., została nałożona kara w wysokości 1.500 €. Naruszenie polegało na częściowym skierowaniu zasięgu CCTV na drogę publiczną, co w ocenie organu nadzorczego stanowiło naruszenie zasady minimalizacji danych niezbędnych do osiągnięcia celu, jakim jest zapewnienie bezpieczeństwa osób i mienia. Natomiast na Café Bar Nina nałożona została kara w wysokości . 2.000 € AEPD stwierdziła, że w Café Bar Nina zainstalowano kamery CCTV w sposób niezgodny z prawem, bez odpowiedniego uzasadnienia, co miało wpływ na osoby trzecie. Ponadto w decyzji wskazano, że skarżony podmiot nie umieścił tabliczki informującej osoby trzecie o prowadzeniu monitoringu wideo. Tak więc w tym przypadku naruszenie polegało zarówno na naruszeniu zasady minimalizmu, jak i na zaniechaniu spełnienia wobec osób przebywających na obszarze monitorowanym obowiązku informacyjnego z art. 13 lub 14 RODO. Karę w takiej samej wysokości nałożono również na podmiot, na który skargę złożyła wspólnota mieszkaniowa. Nazwy ukaranego podmiotu nie ujawniono. Również w tym przypadku naruszenie polegało na ustawieniu kamer w sposób obejmujący przestrzeń wspólną, w sposób wykraczający, w ocenie organu, poza niezbędność do zapewnienia bezpieczeństwa. Zarzucono również nie spełnienie obowiązku informacyjnego o stosowaniu monitoringu, jego celu i zakresie.

Dwie kary zostały ponadto nałożone na prywatnych właścicieli posesji. Jak już wspomnieliśmy, hiszpański ustawodawca nie tylko wprowadził przepisy regulujące posługiwanie się wideonadzorem, ale dodatkowo rozszerzył ich stosowanie na osoby wykorzystujące monitoring w celach prywatnych. Jedna ze wspomnianych kar wyniosła 1.000 € . Karę, jak w poprzednich sprawach, nałożono za naruszenie zasady minimalizmu, poprzez objęcie monitoringiem fragmentu drogi publicznej. Na drugi podmiot nałożono karę 2.000 € . Mimo podobieństwa stanu faktycznego, AEPD nałożyła na pierwszą z osób fizycznych dwukrotnie niższą karę. Ukarana osoba co prawda wykroczyła poza ramy niezbędności przetwarzania danych osobowych (wizerunku) osób trzecich, ale wykazała, że monitoring jest przez nią wykorzystywany w celach zgodnych z prawem, tj. zapewnienia bezpieczeństwa. Druga z ukaranych osób fizycznych, która w pozornie podobnym stanie faktycznym otrzymała wyższą karę, nie potrafiła wykazać uzasadnienia dla stosowania przez nią wideonadzoru obejmującego drogę publiczną i sąsiadujące działki. Organ uznał więc, że w tym wypadku monitoring jest nie tylko „przykry” dla bliskich sąsiadów, ale również stanowi przetwarzanie danych bez podstawy prawnej.

Oprócz samych decyzji organu nadzorczego dotyczących monitoringu, na stronie AEPD znajduje się wiele opracowań i wskazówek odnoszących się do współczesnych problemów monitoringu, np. opinie prawne dotyczące, wideonadzoru z wykorzystaniem dronów, rozpoznawania twarzy w usługach nadzoru wideo i wiele innych.

 

Koniec Privacy Shield – Opinia EROD dotycząca wyroku TSUE w sprawie Schrems II

W ostatnim artykule pisaliśmy o zapadłym w dniu 16 lipca 2020 r. orzeczeniu Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (Schrems II).

Wyrok unieważnił Tarczę Prywatności – mechanizm dotychczas legalizujący znaczną część transferów danych osobowych do USA – pozostawiając biznes z pytaniem jak dalej działać. Odpowiedzi można szukać w nowym stanowisku przygotowanym przez Europejską Radę Ochrony Danych (EROD) w formie FAQ.

W opublikowanym stanowisku EROD potwierdziła:

  • Nielegalność transferu danych na podstawie Tarczy Prywatności.
  • Brak okresu przejściowego.
  • Możliwość stosowania standardowych klauzul umownych (z ang. SCC) zatwierdzonych przez Komisję Europejską, jednak pod warunkiem dokonania przez transferującego dane szczegółowej analizy in. prawodawstwa państwa trzeciego i wdrożenia dodatkowych środków legalizujących taki transfer.
  • Możliwość stosowania wiążących reguł korporacyjnych ( z ang. BCR), jednak pod warunkiem dokonania przez transferującego dane szczegółowej analizy, podobnie jak ma to miejsce w przypadku zastosowania SCC.

Możliwość stosowania SCC czy BCR zależeć będzie od wyniku każdorazowej oceny transferu dokonanej przez podmiot transferujący dane. Oznacza to także nałożenie na uczestników rynku konieczności wdrożenia ewentualnych dodatkowych środków, które zapewnią, że prawodawstwo państwa trzeciego (np. USA) nie będzie miało negatywnego wpływu na odpowiedni stopień ochrony przesyłanych danych. Jednocześnie EROD nie wskazuje jakie to mogłyby być środki, i tak jak w przypadku całego RODO to po stronie administratora danych pozostaje zastosowanie takich zabezpieczeń i mechanizmów, które zapewnią danym odpowiedni stopień ochrony. Można uznać, że ocenie powinny podlegać w szczególności:

Prawodawstwo państwa trzeciego

Dokonując tej analizy prawodawstwa podmioty te powinny mieć  na uwadze chociażby poszanowanie takich wartości jak praworządność, prawa człowieka i podstawowe wolności. Analiza powinna obejmować zarówno  ustawodawstwo  ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego zapewniającego i egzekwującego przestrzeganie przepisów o ochronie danych czy międzynarodowe zobowiązania zaciągnięte przez państwo trzecie.

Rodzaj transferowanych danych i zastosowanych zabezpieczeń

Legalność transferu i ewentualna modyfikacja jego parametrów zależeć będzie od konkretnych przypadków, począwszy od stosowania zaawansowanych metod szyfrowania po ograniczenie do minimum zakresu przetwarzania danych osobowych w państwach trzecich.

Po ogłoszeniu wyroku Maximillian Schrems stwierdził, że „ Jeśli amerykańskie przedsiębiorstwa będą chciały nadal odgrywać ważną rolę na rynku UE, to jest oczywiste, że USA będą musiały poważnie zmienić swoje przepisy dotyczące nadzoru” [1]. Jednak wbrew temu, wypowiedzi EROD sugerują, że na ten moment to nie na administracji USA, a na spółkach unijnych ciąży odpowiedzialność za znalezienie takich środków, które sprawią, że transferowane dane będą odpowiednio zabezpieczone. Przeprowadzanie takiej weryfikacji to ogromne wyzwanie organizacyjne i finansowe dla podmiotów europejskich.

Źrodła:

https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf

https://www.uodo.gov.pl/pl/138/1614

[1] Wypowiedź Maximilliana Schremsa z 16.07.2020 opublikowana https://noyb.eu/pl/node/189 [dostęp dnia 28.07.2020]

Koniec Tarczy Prywatności – problem z transferem danych do USA

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał w dniu 16 lipca 2020 r. wyrok ws. C-311/18 dotyczący Tarczy Prywatności – mechanizmu legalizującego transfer danych osobowych do USA. TSUE uznał Tarczę Prywatności za nieważną, co powoduje, że wszystkie transfery danych do tego kraju oparte na tej podstawie, jeśli mają być kontynuowane, muszą zostać zastąpione innymi podstawami legalizującymi. TSUE zakwestionował również stosowanie standardowych klauzul umownych jako alternatywnego mechanizmu legalizującego transfer danych do USA. Wyrok ten stanowi istotny zwrot w przekazywaniu danych do USA oraz pozostawia wiele firm w niepewności co do podjęcia właściwych kroków mogących je zalegalizować.

 

Prawo ochrony danych osobowych Unii Europejskiej przykłada szczególną uwagę do transferu danych poza Europejski Obszar Gospodarczy (EOG). Oprócz zwykłych wymogów dotyczących udostępnienia lub powierzenia danych osobowych do innego podmiotu, wymagane jest spełnienie dodatkowych przesłanek. Jedną  z możliwości, na jakiej można się oprzeć jest decyzja Komisji Europejskiej, stwierdzająca odpowiedni stopień ochrony danych w kraju trzecim. Stany Zjednoczone nie spełniały europejskich standardów dotyczących ochrony danych osobowych, dlatego taka decyzja w stosunku do USA nie została wydana. Mając jednak na uwadze rozliczną sieć powiązań między Europą a Stanami Zjednoczonymi oraz de facto brak alternatywy wobec korzystania z usług amerykańskich gigantów technologicznych, w celu ułatwienia przesyłania danych osobowych między UE a USA została wydana decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r., przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA.  Tarcza Prywatności stanowiła swoisty mechanizm umożliwiający certyfikację podmiotów w USA, przy spełnieniu określonych kryteriów oraz nadzorze amerykańskiej Federalnej Komisji Handlu. Transfer danych osobowych do podmiotu w USA wpisanego na listę Privacy Shield mógł odbywać się bez konieczności spełnienia dodatkowych wymogów.

 

Z tej możliwość skorzystało wiele firm z USA, nie wyłączając czołowych graczy rynku nowych technologii. Właśnie w związku z transferem do jednej z takich firm zapadł wspomniany wyrok TSUE.  Obywatel Austrii – Max Schrems, jako użytkownik Facebooka wniósł do organu nadzorczego żądanie zakazania transferu jego danych przez Facebook Ireland do głównej spółki Facebooka w USA. Na kanwie tej sprawy TSUE orzekł o nieważności Tarczy Prywatności.

 

Co więcej, Trybunał nie ograniczył się do wskazania, że Tarcza Prywatności traci ważność, odniósł się także do innego mechanizmu związanego z transferem danych osobowych, a mianowicie do standardowych klauzul umownych, wydanych na podstawie decyzji Komisji Europejskiej. Są to rozbudowane zapisy umowne, ich zawarcie między stronami stanowiło przesłankę legalizującą transfer danych.

 

TSUE uznał jednak, że samo zawarcie standardowych klauzul umownych między stronami nie powoduje z automatu dopuszczalności transferu danych osobowych do podmiotu z USA. Zawarcie standardowych klauzul umownych miało powodować, że dane będą chronione w stopniu równie wysokim, co w Unii Europejskiej. Zawarcie standardowych klauzul z podmiotem mającym siedzibę w USA nie powoduje jednak, w ocenie TSUE, że zostanie zapewniony odpowiedni standard ochrony danych, z uwagi na możliwość niekontrolowanego dostępu do danych przez amerykańskie służby, np. FBI, CIA, NSA.

Z wyroku wynika zatem, że w miejsce usuniętej Tarczy Prywatności nie można zawrzeć standardowych klauzul umownych z podmiotami z USA (np. dostawcami usług w chmurze czy dostawcami plików cookies), do których na tej podstawie były przesyłane dane osobowe.

 

Ponadto TSUE wskazał, że również transfer do innych niż USA krajów trzecich na podstawie standardowych klauzul umownych musi być każdorazowo weryfikowany. Trybunał stwierdził, że to do administratorów lub podmiotów przekazujących dane poza EOG należy sprawdzenie w każdym konkretnym przypadku czy prawo państwa trzeciego zapewnia właściwą, w świetle prawa Unii Europejskiej, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych. Jest to zatem nowy wymóg, ustanowiony przez TSUE, konieczności weryfikacji nie tylko podmiotu, do którego dane mają być transferowane, ale i prawa krajowego, właściwego dla tego przedmiotu, pod kątem tego, czy prawo to nie stoi na przeszkodzie zapewnienia stopnia ochrony danych przewidzianego w standardowych klauzulach umownych. Powyższe stwierdzenia TSUE powodują wiele wątpliwości związanych z realną możliwością badania prawodawstwa innych krajów. TSUE nie podał bliższych kryteriów takiej oceny ani nie określił okresu przejściowego, co należy ocenić krytycznie z uwagi na rozliczne trudności, z którymi w konsekwencji muszą się zmierzyć wszystkie podmioty przekazujące dane osobowe poza EOG.

 

Wyrok TSUE w praktyce uniemożliwia transatlantycki transfer danych, co ma ogromne znaczenie gospodarcze. Obecnie czekamy na wytyczne Europejskiej Rady Ochrony Danych co do dalszego postępowania, a w szczególności na decyzje czy zostanie wprowadzony okres ochronny na przystosowanie się do tej zmiany.  Na ten moment warto dokonać przeglądu przypadków, w których był dokonywany transfer do USA na podstawie Tarczy Prywatności oraz standardowych klauzul umownych a także przygotowanie się na konieczność podjęcia dodatkowych działań.

Źródło:

Wyrok TSUE C-311/18 tzw. „Schrems II”

Kara finansowa hiszpańskiego organu nadzorczego za niepowołanie IOD

Decyzja hiszpańskiego organu nadzorczego
  • Hiszpański organ nadzorczy (Agencia Española de Protección de Datos – dalej jako „AEPD” albo „Organ”) wydał 9 czerwca 2020 r. decyzję w której nałożył karę w wysokości 25 000 euro na spółkę Glovoapp23 S.L. (dalej jako „Spółka”) W ocenie organu nadzorczego, Spółka naruszyła art. 37 RODO poprzez niewyznaczenie Inspektora Ochrony Danych.
  • Ukarana została spółka założona w Barcelonie, która jako drugi start-up w Hiszpanii uzyskała status jednorożca (ang. unicorn), czyli została wyceniona na ponad miliard dolarów.
  • Jest to pierwszy podmiot w Hiszpanii ukarany za brak wyznaczenia IOD.

Kara za niepowołanie IOD

Postępowanie zostało wszczęte w lipcu 2019 r. na skutek wniesienia skarg dwóch osób fizycznych. W skargach podniesiono, że na stronie Spółki brak jest informacji nt. wyznaczenia Inspektora Ochrony Danych. W toku kontroli okazało się, że Spółka nie powołała IOD. Zdaniem organu nadzorczego, z uwagi na fakt, że Spółka regularnie, systematycznie monitoruje osoby fizyczne na dużą skalę, powołanie IOD stanowiło jej obowiązek.

Spółka zaprzeczyła, że ciąży na niej taki obowiązek. Dodatkowo podniosła, że zbliżone funkcje pełni powołany przez nią w 2018 roku Komitet ds. Ochrony Danych. Podmiot ten zajmował się kwestiami bezpieczeństwa informacji oraz realizował zadania z art. 39 RODO. Ostatecznie jednak w toku kontroli Spółka powołała IOD. Organ nie przychylił się do argumentacji Spółki, zaś powołanie IOD uznał za spóźnione, co spowodowało nałożenie kary.

Przetwarzanie danych na dużą skalę

Zgodnie z art. 37 ust. 1 lit. b RODO, jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele, wymagają regularnego, systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, administrator musi wyznaczyć IOD.

Motyw 91 RODO doprecyzowuje pojęcie operacji przetwarzania danych na dużą skalę wyjaśniając, iż są to operacje które:

  • Służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym.
  • Mogą wpłynąć na dużą liczbę osób, których dane dotyczą.
  • Mogą powodować wysokie ryzyko na przykład gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia lub gdy operacja przetwarzania powoduje wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności, gdy operacje te utrudniają tym osobom wykonywanie przysługujących im praw.

Pomimo tego, że Organ w decyzji powołuje się na pojęcie „dużej skali”, o którym jest mowa w przywołanych postanowieniach RODO, to nie tłumaczy w sposób wyczerpujący tego terminu. Tymczasem właściwe stosowanie przywołanego pojęcia wciąż budzi wiele niejasności, których nie rozwiał także AEPD wskazując jedynie na dużą liczbę osób, których dane przetwarzano jako podstawowy czynnik przyjęcia dużej skali przetwarzania. Organ, nakładając karę podniósł również, że naruszenie dotyczyło podstawowych kategorii danych – danych geolokalizacyjnych użytkowników aplikacji, co miało wpływ na jej wysokość.

Tymczasem kluczowe kryteria dla określenia czy ma miejsce przetwarzanie na dużą skalę wyznaczyła Grupa Robocza Art. 29 w Wytycznych dotyczących Inspektorów ochrony danych.

Te kryteria to:

  • Liczba osób,  których  dane  dotyczą rozumiana jako konkretna  liczba  albo  procent  określonej  grupy społeczeństwa.
  • Zakres przetwarzanych danych osobowych.
  • Okres, przez jaki dane są przetwarzane.
  • Zakres geograficzny przetwarzania danych osobowych.

Warto zauważyć, że omawiana decyzja, oprócz wskazania na dużą liczbę monitorowanych osób, powinna uwzględniać także ostatnią kwestię, na którą zwróciła uwagę Grupa Robocza Art. 29 tj. geograficzny zakres działalności Spółki. Spółka przetwarza bowiem (wg jej informacji) aż 30 mln osób fizycznych na całym świecie. Ukarana Spółka zapowiedziała, że wykorzysta wszelkie środki, aby doprowadzić do usunięcia decyzji z obrotu prawnego.

Źródła:

Treść decyzji AEPD w sprawie Glovoapp23 S.L. (wyłącznie w języku hiszpańskim)

Pseudonimizacja adresów IP – praktyczne wskazówki

European Union Agency for Cybersecurity (ENISA) w opublikowanych w listopadzie 2019 r. wytycznych dotyczących technik i najlepszych praktyk w zakresie pseudonimizacji opisuje praktyczne wskazówki dotyczące pseudonimizacji adresów IP.

Adres IP jest wykorzystywany do jednoznacznej identyfikacji urządzenia w sieci IP, ale może też stać się identyfikatorem osoby fizycznej. Ważkość kwestii pseudonimizacji adresów IP wynika z faktu, iż administrator danych może być zobligowany prawnie lub ze względów użytkowych (np. w celu obliczania statystyk jakości usług lub wykrywania wzorców błędnej konfiguracji urządzenia) do przetwarzania tego typu danych, zapewniając przy tym adekwatny poziom bezpieczeństwa.

Istnieją dwa rodzaje adresów IP, tj. IPv4 i IPv6, przy czym bardziej problematyczna jest kwestia najbardziej powszechnej obecnie wersji IPv4.

Adres IPv4 składa się z 32 bitów i często przedstawiany jest w formacie dziesiętnym z kropkami, jako 4 liczby dziesiętne (każda z przedziału 0-255), oddzielonych kropkami, przykładowo: „192.168.0.1”.

Wewnętrznie w adresie IP wydziela się dwie części: prefiks sieciowy (najbardziej znaczące bajty) oraz identyfikator hosta (najmniej znaczące bajty), wydzielony za pomocą maski podsieci.

Głównym problemem w pseudonimizacji adresów IP jest ich ograniczona liczba (2 do potęgi 32), co ułatwia wszelkiego rodzaju ataki słownikowe. ENISA w wytycznych podaje, iż odkrycie adresu IP na podstawie skrótu wykonanego SHA-256 zajmuje typowemu komputerowi osobistemu mniej niż 3 minuty!

Powyższy przykład pokazuje, że pseudonimizacja adresów IP przy użyciu funkcji skrótu nie będzie skuteczna. Dlatego w celu ochrony danych należy preferować inne sposoby pseudonimizacji, takie jak funkcje MAC, szyfrowanie tajnym kluczem generowanym ad hoc, czy mapowanie liczb losowych.

W przypadku mapowania liczb losowych możliwe są różne warianty tej metody, np. stosowanie kilku pseudonimów dla jednego adresu IP, zmienianych cyklicznie w kolejnych wystąpieniach. Modyfikacje zwiększają bezpieczeństwo przetwarzania pseudonimizowanych danych, ale zmniejszają ich użyteczność.

Na koniec należy zwrócić uwagę, że na potrzeby analizy kwestii użytkowych nie ma potrzeby pseudonimizacji całego adresu IP – wystarczy to zrobić w zakresie identyfikatora hosta.

Szwedzka kara za nadmierny monitoring

Szwedzki organ nadzorczy (Datainspektionen) nałożył na spółdzielnię mieszkaniową karę w  wysokości 20 000 koron szwedzkich (około 2 000 euro). Kara została nałożona za nadmierny monitoring.

Po otrzymaniu skarg mieszkańców na działania spółdzielni mieszkaniowej, szwedzki organ nadzorczy przeprowadził kontrolę. Wyniki kontroli potwierdziły, że spółdzielnia zainstalowała cztery kamery rejestrujące dźwięk i obraz 24/7.

Dwie kamery zostały zainstalowane na klatce schodowej, trzecia przy głównym wejściu, a czwarta została skierowana w stronę magazynów/schowków mieszkańców.

W przypadku dwóch kamer ustawionych na klatce schodowej szwedzki organ pokreślił, że umożliwia to spółdzielni na mapowanie nawyków, wizyt i kręgu społecznego mieszkańców.

„Fakt, że monitoring obejmuje mieszkańców i ich środowisko domowe, wymaga bardzo uzasadnionych powodów, aby zezwolić na monitorowanie”, pisze organ w swojej decyzji.

W szczególnych okolicznościach spółdzielnie mieszkaniowe mogą monitorować klatkę schodową. Jednak aby zezwolić na taki nadzór, spółdzielnia musi być w stanie wykazać pilną potrzebę takiego nadzoru wideo, co – jak zaznaczył organ – nie miało miejsca w tym przypadku.

Trzecia kamera została  ustawiona przy głównym wejściu, co spółdzielnia tłumaczyła potrzebą  zwalczania problemów z wandalizmem, którego doświadczyła przez dwa miesiące w 2018 r.

Tutaj szwedzki organ ochrony danych wskazał na  obowiązek ciągłego sprawdzania, czy potrzeba monitoringu jest uzasadniona i stwierdził, że w tym przypadku nie było takiej potrzeby.

Czwartą kamerę, skierowaną w stronę magazynów/schowków mieszkańców, organ ochrony danych nakazał przekierować w taki sposób, aby nie monitorowała ww. pomieszczeń.

Organ ochrony danych zwrócił uwagę, że nagrywanie audio stanowi dodatkową ingerencję w sferę prywatną, w szczególności gdy jest to nagrywane w budynku mieszkalnym, i że w tym przypadku nie ma żadnych okoliczności, które uzasadniałyby taką dużą ingerencję.

Dodatkowo  kontrola wykazała, że spółdzielnia nie spełniła w sposób poprawny obowiązku informacyjnego w stosunku do mieszkańców t.j:

  • Nie wskazała, kto jest administratorem danyc.
  • Nie podała gdzie mieszkańcy mogą zyskać dalsze informacje.
  • Nie poinformowała mieszkańców o nagraniach audio – co zostało uznane za szczególnie poważne pominięcie.

Na spółdzielnię została nałożona kara w wysokości 20 000 koron szwedzkich (około 2 000 euro). Przy obliczaniu kwoty wzięto pod uwagę fakt, że była to mniejsza spółdzielcza spółdzielnia mieszkaniowa.

Jaki jest wniosek z tej kary?

Poza faktem, że obowiązek informacyjny powinien być realizowany poprawnie (RODO wprost wskazuje zakres informacji, które mają być podane do wiadomości podmiotów danych) to co istotniejsze to niezbędność przeprowadzania cyklicznej analizy ryzyka procesów przetwarzania danych, by móc sprawdzić czy zastosowane przez nas, w przeszłości narzędzia/środki/ są nadal konieczne i czy nie zaszły w procesie zmiany, które wymagają zmiany tych środków, a może cel przetwarzania już odpadł  i dalsze zbieranie danych jest nadmiarowe.

Pseudonimizacja adresów e-mail – praktyczne wskazówki

European Union Agency for Cybersecurity (ENISA) w opublikowanych w listopadzie 2019 r. wytycznych dotyczących technik i najlepszych praktyk w zakresie pseudonimizacji opisuje praktyczne wskazówki dotyczące pseudonimizacji adresów e-mail.

Adresy e-mail są często używane w serwisach internetowych jako główny identyfikator osoby fizycznej. Ponadto są obecne w wielu bazach danych, w których mogą być również obecne inne identyfikatory – takie numer PESEL. Użytkownicy zazwyczaj używają tego samego adresu e-mail do różnych zastosowań, udostępniając go różnym organizacjom, np. przy zakładaniu kont online. Co więcej, adresy e-mail są często publikowane w Internecie lub można je w niektórych przypadkach odgadnąć. Ze względu na te szczególne cechy, ochrona adresów e-mail jest szczególnie ważna.

Sposób 1: Wykorzystanie liczb losowych

Najprostszym podejściem do pseudonimizacji jest wykorzystanie liczb pseudolosowych. Przy generowaniu pseudonimów możemy wykorzystać dwa podejścia – generowanie liczb losowych (liczby całkowite) ze sprawdzeniem, czy nie pokrywa się ona z dotychczasowymi wpisami, lub też przyporządkowanie adresom numerów zgodnych z pozycją w bazie danych.

Aby zwiększyć właściwości analityczne danych pseudonimizowanych możliwe jest zastępowanie tylko części adresu e-mail. Taki zbieg pozwala na zachowanie wartości informacyjnej niezbędnej np. do prowadzenia analityki, przykładowo w postaci nazwy lub identyfikatora domeny. Wadą staje się jednakże zagrożenie ze strony depersonalizacji adresu e-mail, dlatego przed zastosowaniem metody każdorazowo należy ocenić ryzyka odgadnięcia źródłowego identyfikatora.

Bazując na przykładzie adresu jan.kowalski@domena.pl pseudonimizacja może wyglądać następująco:

  • 123 – całość adresu jest zastępowana losowym pseudonimem (najmniejsza wartość informacyjna i największe bezpieczeństwo).
  • 123@domena.pl – tylko login jest zastępowany pseudonimem.
  • 123@421 – login i domena są zastępowane pseudonimami.
  • 123@421.825 – login i składowe domeny są zastępowane pseudonimami (największa wartość informacyjna i największe ryzyko depersonalizacji).

Sposób 2: Wykorzystanie funkcji skrótu

Metoda polega na wykorzystaniu kryptograficznej funkcji skrótu, np. SHA-256, przyporządkowującej każdemu adresowi e-mail inny, unikalny identyfikator. Funkcje skrótu nie są odwracalne, tzn. na podstawie identyfikatora poznanie źródłowego adresu e-mail możliwe jest jedynie przy wykorzystania ataku słownikowego. Ponieważ taki atak jest realnym zagrożeniem dla adresów e-mail, zastosowanie funkcji skrótu możliwe jest tylko w niektórych zastosowaniach, np. do kodowania adresów e-mail na potrzeby wewnętrzne (np. w kontekście działań badawczych) lub jako mechanizm walidacji integralności dla administratora danych.

Sposób 3: Wykorzystanie MAC (Message Authentication Code)

W porównaniu do funkcji skrótu, MAC wykorzystuje dodatkowo sekretny klucz, który w praktyce uniemożliwia wykonanie ataku słownikowego. Oczywiści klucz musi być bezpiecznie przechowywany, ale to samo dotyczy tabeli mapowania pseudo identyfikatorów w Sposobie 1.

Klucze mogą być zmieniane dla tego samego adresu e-mail, aby zwiększyć bezpieczeństwo pseudonimu w różnych zastosowaniach. Tę metodę można także zastosować w scenariuszu, gdy pseudonimizacją zajmuje się inny podmiot niż administrator danych. W takim przypadku podmiot dokonujący pseudonimizacji przechowuje tylko sekretne klucze i w sposób trywialny nie jest w stanie odzyskać pierwotnych identyfikatorów.

Sposób 4: Wykorzystanie szyfrowania

Szyfrowanie, szczególnie z wykorzystaniem algorytmów symetrycznych (deterministyczne), wydaje się bardziej praktyczną metodą niż MAC. Odzyskanie bazowych adresów wymaga jedynie odszyfrowania pseudonimów – nie trzeba przechowywać tabeli mapowania.

Co ciekawe, szyfrowanie asymetryczne (z wykorzystaniem klucza publicznego i prywatnego) nie jest zalecane do pseudonimizacji adresów e-mail (lub innych typów danych, por. ENISA, “Recommendations on shaping technology according to GDPR provisions – An overview on data pseudonymisation”, 2018). Jeśli dokonalibyśmy szyfrowania kluczem publicznym odbiorcy danych, to zakładając, że klucz ten jest zasadzie znany potencjalnemu atakującemu, to może przeprowadzić on atak słownikowy w oparciu o znane (lub domniemane) adresy poczty elektronicznej (podobnie jak w przypadku funkcji skrótu).