Prawo do odszkodowania za naruszenie RODO – tym też powinieneś się martwić, administratorze!

Sen z powiek administratorom danych spędzają kwoty kar, które może nałożyć Prezes UODO za naruszenie drakońskiego prawa spisanego w RODO. Górne granice finansowej odpowiedzialności administracyjnej, ustanowione w art. 83 RODO, są tak abstrakcyjne dla statystycznego przedsiębiorcy, że próby ich zwizualizowania całkowicie przysłaniają mu inne, czające się w sąsiednim przepisie niebezpieczeństwo. Niebezpieczeństwo nie mniej, a może nawet bardziej realne – prawo podmiotu danych do uzyskania odszkodowania na drodze postępowania cywilnego.

Nawet nałożenie na przedsiębiorcę administracyjnej kary pieniężnej nie zwalnia go z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą. Przypomniał o tym ostatnio Sąd Okręgowy w Warszawie, przyznając 1500 zł odszkodowania osobie, która pozwała zakład ubezpieczeń[1]. Pozew dotyczył „jedynie” nadmiarowego ujawnienia numeru PESEL i numeru telefonu.

Jest to pierwsza sprawa w Polsce, w której RODO było egzekwowane nie przez UODO, a wyłącznie przez sąd cywilny. Kary nakładane w postępowaniu administracyjnym trafiają do Skarbu Państwa, natomiast w postępowaniu cywilnym sąd może przyznać odszkodowanie za poniesioną szkodę osobie, która jej doznała na skutek naruszenia RODO. Powódka skorzystała z tej atrakcyjnej możliwości.

Sprawa jest o tyle specyficzna, że dotyczy sektora ubezpieczeń. Dlatego kazus może wydawać się mało uniwersalny, ale taki nie jest. Niezależnie od branży ma charakter precedensowy i należy skupić się raczej na rodzaju i ciężarze naruszenia oraz jego ocenie przez sąd.

W omawianym stanie faktycznym mamy do czynienia z jednostkowym odszkodowaniem; ale nie mniej prawdopodobne byłoby wystąpienie naruszenia ochrony danych osobowych skutkującego pozwami wielu osób, co z kolei mogłoby sprawić, że łączna kwota zasądzonych odszkodowań byłaby równa, a nawet wyższa od przewidzianych w RODO administracyjnych kar finansowych.

Pozew w tej sprawie został wniesiony przez właścicielkę pojazdu uczestniczącego w kolizji drogowej. Nie była ona kierowcą w czasie wypadku, ale to do niej należała polisa OC. Poszkodowany w kolizji otrzymał od zakładu ubezpieczeń pełną dokumentację szkody, w tym dane powódki – jej imię i nazwisko, adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu. Zakład ubezpieczeń w drodze autokontroli uznał, że przekazał poszkodowanemu nadmiarowe informacje i notyfikował naruszenie zarówno organowi do spraw ochrony danych jak i właścicielce pojazdu jako osobie dotkniętej naruszeniem  danych osobowych. W efekcie powódka odczuwała strach przed możliwością wykorzystania jej danych w sposób sprzeczny z prawem, przez co zmieniła numer telefonu oraz zastrzegła w banku, że wypłaty z jej rachunku mogą być dokonywane tylko na jej osobiste zlecenie. Powódka wystąpiła do zakładu ubezpieczeń o zadośćuczynienie za naruszenie ochrony jej danych osobowych w wysokości 10.000 zł, ale zakład ubezpieczeń nie uznał roszczenia, co stało się powodem pozwu. Jako podstawę prawną powódka wskazała przepisy RODO oraz przepisy kodeksu cywilnego o naruszeniu dóbr osobistych.

Sąd przyznał, że przepisy ustawy o działalności ubezpieczeniowej i reasekuracyjnej nie uprawniały zakładu ubezpieczeń do przekazania poszkodowanemu kompletnych informacji na temat właścicielki auta. Sąd wskazał bowiem, że art. 5 ust. 1 lit. c RODO nakazuje, aby przetwarzanie (a więc i przekazywane osobie trzeciej) danych osobowych było adekwatne, stosowne oraz ograniczone do tego, co niezbędne jest do celów, w których są przetwarzane – tak więc „[c]elem wejścia przez poszkodowanego w wypadku drogowym w posiadanie danych dotyczących właściciela pojazdu (jego posiadacza) jest umożliwienie mu dochodzenia roszczeń związanych z doznaną szkodą. (…) Wystarczające do realizacji tych celów jest udostępnienie imienia i nazwiska właściciela pojazdu i numeru polisy ubezpieczenia OC (ewentualnie dodatkowo miejsca zamieszkania), które go w sposób wystarczający identyfikują. Poza te cele wykracza z pewnością udostępnienie numeru PESEL i numeru telefonu właściciela pojazdu. (…) Przekazanie tych dodatkowych danych powódki wykraczało poza upoważnienie ustawowe wynikające z przywołanych wyżej przepisów, a więc było bezprawne”. Sąd uznał jednocześnie, że żądana kwota 10 tys. zł jest zbyt wysoka w stosunku do rzeczywiście doznanej krzywdy, bo bezprawne przekazanie danych nie wiązało się z dalszymi negatywnymi konsekwencjami, jak nękanie czy próby zaciągnięcia zobowiązań. Dlatego sąd przyznał powódce kwotę 1,5 tys. zł, jako rekompensatę rzeczywistej krzywdy.

Wróćmy jednak na chwilę do podstaw (prawnych). Zasady odpowiedzialności odszkodowawczej w związku z naruszeniem RODO znajdziemy w art. 79 i 82 RODO. Te przepisy mówią, „co?” przysługuje podmiotowi danych. Jednak, aby dowiedzieć się, „jak?” to prawo podmiotowe zrealizować, mamy nieczęsto nadarzającą się okazję sięgnięcia po ustawę o ochronie danych osobowych [a w dalszej kolejności – również do przepisów materialnego (KC) i procesowego (KPC) prawa cywilnego].

Odpowiedzialność cywilna i postępowanie przed sądem powszechnym zostały ustanowione w rozdziale 10. ustawy o ochronie danych osobowych. Ustawodawca wprowadził zasadę właściwości sądu okręgowego dla wszystkich spraw o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i 82 RODO. Jest to jak najbardziej uzasadnione względami ekonomiki, w tym chęcią zapewnienia szybkości postępowania, ponieważ liczba spraw rozpatrywanych przez sądy okręgowe jest mniejsza niż przez sądy rejonowe.

Nie może nam też umknąć fakt, że roszczenia z zakresu ochrony danych osobowych są ściśle powiązane z dobrem osobistym w postaci prawa do prywatności, a to właśnie sądy okręgowe orzekają w sprawach o ochronę dóbr osobistych. Instytucjonalna ochrona dóbr osobistych jest realizowana przez wprowadzenie odpowiednich nakazów i zakazów prawnych, a o bezprawności nie rozstrzyga naruszenie określonego dobra osobistego, ale samo zachowanie sprzeczne z normą postępowania[2]. I chociaż w art. 82 RODO nie ma bezpośredniego wskazania dóbr osobistych ani rodzajów roszczeń, to jest oczywiste, że żądanie odszkodowania za doznaną krzywdę jest roszczeniem majątkowym za szkodę niemajątkową.

Trzeba mieć więc na uwadze, że sąd powszechny, orzekając w sprawie o naruszenie RODO skutkujące szkodą niemajątkową (tj. krzywdą), będzie korzystał z bogatego dorobku orzecznictwa i doktryny prawa cywilnego oraz z innej metodyki pracy niż ta, do której przyzwyczaiły nas UODO i sąd administracyjny.

Poruszanie się po nieznanych wodach może dużo kosztować administratora danych. Dlatego warto już teraz zweryfikować, czy wewnętrzne zasoby Twojej firmy będą zdolne do zarządzania ryzykiem prawnym i finansowym w przypadku konieczności obsługi takich roszczeń.

 

Źródła:

Wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19A. Klimkiewicz „Krzywda i jej zadośćuczynienie w prawie cywilnym. Analiza pojęć w świetle orzecznictwa sądów polskich” w: Zeszyty Naukowe KUL 60 (2018), nr 2 (242), s. 296

  • Art. 79 i 82 RODO
  • Art. 92 i nast. ustawy o ochronie danych osobowych

Autor: Paulina Wirska

[1] Wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19.

[2] A. Klimkiewicz „Krzywda i jej zadośćuczynienie w prawie cywilnym. Analiza pojęć w świetle orzecznictwa sądów polskich” w: Zeszyty Naukowe KUL 60 (2018), nr 2 (242), s. 296

Ocena oraz testowanie zabezpieczeń technicznych w świetle RODO

Czy wiesz, że przez brak regularnego testowania zabezpieczeń narażasz się na karę lub utratę swoich danych?

Media donoszą o coraz częstszych incydentach na skutek włamań hakerów i związanych z nimi decyzjach Prezesa UODO nakazujących zapłatę wysokich kar, z tytułu nieprzestrzegania przepisów w zakresie ochrony danych osobowych. Zgodnie z art. 32 ust. 1 litera d) Rozporządzenia RODO, administrator oraz podmiot przetwarzający dane osobowe powinni zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania  danych osobowych.

Przez dość długi czas od wejścia w życie RODO, przepis ten nie był „uważany” za szczególnie istotny. Wielu inspektorów ochrony danych osobowych koncentrowało swoją uwagę  głównie na dokumentacji przetwarzania danych osobowych. Większość z nich, w tym także osoby zajmujące się bezpieczeństwem informacji,  zdawało się nie zauważać istnienia obowiązku regularnego testowania skuteczności środków technicznych. Przeważała opinia, że jeśli zakupiono i wdrożono nowoczesne systemy bezpieczeństwa to dane są bezpieczne i w ten sposób podmiot spełnia ustawowy obowiązek. Tymczasem, nawet najnowocześniejsze systemy zapobiegające włamaniom lub  wyciekom danych nie zapewniają właściwego bezpieczeństwa jeśli nie są właściwie eksploatowane i nie zadbamy o bezpieczeństwo w sposób bardziej kompleksowy.

Coraz więcej decyzji Prezesa UODO o nałożeniu sankcji (kary pieniężnej lub innej) z powodu ujawnienia danych osobowych,  jako powód wymienia właśnie brak regularnego testowania, mierzenia i oceniania skuteczności użytych środków technicznych (np. decyzja DKN.5130.1354.2020) lub brak należytej staranności przy tych działaniach (decyzja DKN.5130.2815.2020 ). Jeśli do incydentu doszło w wyniku cyberataku argument, że posiadamy  i wdrożyliśmy najnowocześniejsze systemy ochrony już nie wystarcza.
W kilku przypadkach kara została nałożona nawet w przypadku, gdy kontrolowany podmiot wykazał, że przeprowadza okresowe audyty i testy. Prezes UODO uznał jednak, że wykazane testy nie były prowadzone regularnie i nie były kompleksowe. W przypadku testów przeprowadzanych w przypadku zmian organizacyjnych lub prawnych (spóła wykazała, że takie testy były wykonywane przynajmniej raz na rok) uznał, że były to testy „okazjonalne” a nie regularne. (np. decyzja DKN.5112.1.2020 )

Dlaczego testowanie i ocena zabezpieczeń powinna być regularna?

Zacznijmy od tego, że nie istnieją zabezpieczenia w 100% skuteczne i niezawodne. Nawet najlepsze urządzenia czy oprogramowanie służące podniesieniu bezpieczeństwa może zostać źle skonfigurowane w konkretnym środowisku. Stale zmieniające się zagrożenia oraz wykrywane codziennie nowe błędy i podatności powodują, że wszystkie zabezpieczenia należy regularnie aktualizować i testować. Eksploatowane systemy biznesowe i inne oprogramowanie posiadane w firmie, także muszą podlegać okresowej ocenie pod kątem bezpieczeństwa. Regularne testowanie i mierzenie skuteczności zabezpieczeń to obecnie jedno z najważniejszych zadań dla służb odpowiedzialnych za bezpieczeństwo danych, w tym także danych osobowych. Codziennie odkrywane są dziesiątki[i] nowych błędów (podatności) w istniejących i wdrożonych systemach informatycznych. Każdego dnia, na świecie powstają tysiące[ii] odmian nowego szkodliwego oprogramowania (ang. malware). Przy tak zmieniającym się oraz stale rosnącym zagrożeniu nie możemy zachowywać się bezczynnie. Nawet najlepsze systemy zabezpieczeń skuteczne przed rokiem, mogą nie być skuteczne wobec zagrożeń, które pojawiły się w ostatnich 12 miesiącach.

Dlaczego testowanie powinno być kompleksowe?

Regularne testowanie i związana z tym aktualizacja posiadanych środków  technicznych nie powinna ograniczać się tylko do systemów bezpieczeństwa. Niewiele nam pomogą solidne drzwi wejściowe, jeśli od podwórka złodziej może wejść bez żadnych przeszkód. Nasze systemy biznesowe także należy regularnie aktualizować i testować ich odporność na zagrożenia. Najlepsze zabezpieczenia nie pomogą jeśli nasze systemy biznesowe i oprogramowanie systemowe nie jest uaktualniane i sprawdzane pod kątem ewentualnych błędów. Oczywiście, nie wszystkie elementy systemów informatycznych musimy testować z jednakową częstotliwością.  Częściej powinniśmy testować te zasoby, które są udostępniane bezpośrednio do Internetu (np. sklep, formularze online, etc).   Nieco rzadziej powinno się testować moduły z tymi zasobami współpracujące. Najrzadziej możemy wykonywać  testy tych systemów, które są odseparowane od styku z siecią zewnętrzną. Pamiętajmy jednak, że co pewien czas (np.  raz na kwartał) należy przeprowadzać testy kompleksowe wszystkich zasobów informatycznych.

Jak często powinny być wykonywane testy zabezpieczeń?

Przepisy RODO nie określają jak często należy przeprowadzać testy aby można było je uznać za  „regularne”.  W decyzji  DKN.5130.2815.2020 Prezes UODO podkreślił, że „(…) testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (…) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.”   Częstotliwość prowadzonych testów powinna wynikać z prowadzonej w firmie analizy ryzyka.
W małej firmie, nie udostępniającej swoich zasobów informatycznych w sieci, sprawdzenie zabezpieczeń i dostępnych aktualizacji oprogramowania raz na kwartał będzie w zupełności wystarczające. Zupełnie inaczej wygląda sytuacja w dużych podmiotach świadczących usługi online w sposób ciągły. Do tej drugiej grupy zaliczyłbym np. banki, platformy e-commerce a także operatorów telekomunikacyjnych. W tych oraz podobnych podmiotach, testy i badanie zabezpieczeń należy wykonywać dużo częściej. Mogą wystąpić sytuacje, że nawet codziennie. Szczególnie dotyczy to elementów istotnych, z punktu widzenia ciągłości świadczenia usług biznesowych.

Kto powinien być odpowiedzialny za testowanie zabezpieczeń?

Prowadzenia testów i oceny stosowanych zabezpieczeń nie powinno powierzać się osobom, które za te zabezpieczenia odpowiadają. Nie zlecajmy, osobom odpowiedzialnym za utrzymanie właściwego poziomu zabezpieczenia, działań kontrolnych jakimi są testy bezpieczeństwa. Czynności te powinny być prowadzone przez osoby niezależne od działów informatycznych. Odpowiedzialność za prowadzenie oceny stanu zabezpieczeń spoczywa przede wszystkim na działach odpowiedzialnych za bezpieczeństwo, nadzorujących działalność pracowników pod kątem zgodności z prawem i wewnętrznymi procedurami lub audyt wewnętrzny. W przypadku, gdy podmiot nie dysponuje takimi jednostkami , zadania te można zlecić osobom z np. biura prawnego. Nie znaczy to oczywiście, że zespoły te mają realizować testy samodzielnie. Jeśli nie mają własnych wykwalifikowanych zasobów, zalecam zakup takiej usługi w zewnętrznej firmie.

Regularnie testuję i co dalej?

Każdą przeprowadzoną ocenę zabezpieczeń i przeprowadzone testy należy dokumentować.  Zauważone błędy i podatności powinny być regularnie usuwane, a jeśli to niemożliwe wdrażane inne środki zaradcze. Dokumentację z testów oraz z prowadzonych działań naprawczych i zaradczych  należy przechowywać na okoliczność ewentualnej kontroli UODO lub też wystąpienia ewentualnego incydentu bezpieczeństwa.

[i] wg bazy cve.mitre.org w roku 2020 opublikowano 18.353 podatności, czyli ponad 50 dziennie

[ii] wg AV-test Institute obecnie na świecie powstaje ok. 350 tys. szkodliwego lub też niepożądanego oprogramowania

Wysyłka maila na błędny adres – kara za brak zgłoszenia naruszenia ochrony danych osobowych

Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. (dalej: „Warta S.A.”) zostało przez Prezesa Urzędu Ochrony Danych Osobowych ukarane karą finansową w wysokości 85 588 zł za brak zgłoszenia naruszenia ochrony danych osobowych. Zdarzenie to jest o tyle ciekawe, że dotyczyło wysłania jednej wiadomości na adres e-mail wskazany błędnie przez samego klienta. 

Zdarzenie, które finalnie zakończyło się karą dla spółki, polegało na tym, że agent ubezpieczeniowy, czyli podmiot przetwarzający dane na rzecz WARTA S.A., wysłał omyłkowo polisę ubezpieczeniową na błędny adres mailowy, więc zapoznała się z nią osoba nieuprawniona, która następnie zawiadomiła o tym zdarzeniu Urząd Ochrony Danych Osobowych. 

UODO zwrócił się do Warty S.A. o wyjaśnienie, czy została wykonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych, polegającego na naruszeniu poufności danych. UODO wskazał także, jak można dokonać takiego zgłoszenia. 

Warta S.A. udzieliła wyjaśnień, w których potwierdziła, że takie zdarzenie miało miejsce oraz dokonano jego analizy. W wyniku tej analizy uznano, że nie występuje konieczność zgłoszenia naruszenia do UODO. Spółka podkreśliła, że polisę wysłano na adres błędnie wskazany przez samego klienta, a osoba, która otrzymała polisę, sama poinformowała o tym spółkę. Dodatkowo spółka poprosiła adresata o trwałe usunięcie wiadomości. 

W związku z otrzymaniem takiej odpowiedzi od Warty S.A. UODO wszczął postępowanie administracyjne. W  wyniku tego postępowania Warta S.A. dokonała jednak zgłoszenia naruszenia oraz zawiadomiła osobę, której dane dotyczą.  

Pomimo działań naprawczych spółki postępowanie zakończyło się nałożeniem kary finansowej. Prezes Urzędu Ochrony Danych Osobowych uznał, że minął zbyt długi czas między zdarzeniem a zgłoszeniem naruszenia do Urzędu, a okoliczność, że błędny adres mailowy był wskazany przez samego klienta, nie ma znaczenia dla oceny, czy doszło do naruszenia ochrony danych. Ponadto zdaniem Urzędu spółka nie może mieć pewności, że adresat wiadomości faktycznie usunął wszystkie otrzymane informacje. 

Trzeba podkreślić, że kara nie została nałożona za wysłanie polisy na błędny adres, lecz za brak zgłoszenia naruszenia do UODO, które było wynikiem błędnej, zdaniem Urzędu, oceny wagi naruszenia ochrony danych.  

W ocenie UODO wysłanie drogą mailową do niewłaściwego odbiorcy dokumentu, zawierającego m.in. imiona, nazwisko, adres zamieszkania, numer PESEL oraz informacje dotyczące przedmiotu ubezpieczenia (samochód osobowy), skutkuje wysokim stopniem ryzyka naruszenia praw i wolności osób fizycznych, zatem nie tylko należało powiadomić o naruszeniu UODO (art. 33 RODO) lecz także i samą osobę, której dane dotyczą (art. 34 RODO). Zdaniem Urzędu nie można było zastosować w tym przypadku koncepcji zaufanego odbiorcy, co pozwalałoby uznać niski stopień ryzyka. To, że osoba sama zwróciła się do spółki z informacją o otrzymanym maila, nie daje zdaniem UODO gwarancji, że osoba ta nie dokonała np. kopii dokumentów. 

Zgodnie z sugestią UODO, przy przesyłaniu dokumentów zawierających istotne dane osobowe, jako dobrą praktykę warto również rozważyć wprowadzenia szyfrowania takich plików, aby w podobnych przypadkach zmniejszyć ryzyko zapoznania się z danymi przez osobę nieuprawnioną. 

Podsumowując, nie da się ukryć, że  podejście Urzędu Ochrony Danych Osobowych do oceny stopnia wagi naruszenia jest dość restrykcyjne. Mimo tego, że naruszenie dotyczyło danych dwóch osób a osoba, która otrzymała nieuprawniony dostęp do danych sama zgłosiła ten fakt do spółki oraz do UODO, w ocenie organu nadzorczego w takim przypadku miało miejsce wysokie ryzyko naruszenia praw i wolności osoby fizycznej. Administratorzy powinni mieć tę sprawę na uwadze przy dokonywaniu w przyszłości analiz podobnych przypadków. 

 

Źródło: 

https://uodo.gov.pl/pl/138/1801 

 

Podsumowanie roku 2020 z perspektywy IOD

Wielu ekspertów z zakresu ochrony danych osobowych przy okazji podsumowań roku 2019 wskazywało, że rok 2020 będzie okresem stabilizacji. W końcu z RODO byliśmy już za pan brat, poznaliśmy pierwszą decyzję ws. nałożenia kary administracyjnej przez polski organ nadzorczy i przebrnęliśmy przez ustawę wdrażającą RODO. Urząd Ochrony Danych Osobowych zaplanował szeroko zakrojone kontrole sektorowe, natomiast praktycy mieli skupiać się na nowych wytycznych Urzędu, uzasadnieniach wyroków sądów administracyjnych i doprowadzaniu stanu zgodności z RODO w spółkach do poziomu jeszcze bliższego perfekcji. I najpewniej tak by się stało gdyby nie…

COVID-19

O ile przed rokiem 2020 publikacje noszące wzniosłe tytuły „Ochrona danych w czasach pandemii” itp. można było włożyć do przegródki na wymyślne pomysły na prace magisterskie, o tyle w roku 2020 prawie każdy Inspektor Ochrony Danych mógł się poczuć ekspertem z zakresu ochrony danych osobowych ze specjalnością „wirusologia i choroby zakaźne”. Inspektorzy stanęli bowiem przed poważnym problemem pogodzenia praw podmiotów danych – osób fizycznych – z interesem publicznym.

Administratorzy danych zmagali się z szeregiem wątpliwości począwszy od mierzenia temperatury w miejscu pracy, informowania załogi o stanie zdrowia innego pracownika przez testowanie oraz implikacje uzyskania informacji o pozytywnym wyniku badania u pracownika/kontrahenta czy gościa wizytującego biuro. Z drugiej strony, szczególnej uwagi ze strony administratorów danych wymagała koordynacja pracy zdalnej, na którą musiało przejść wielu pracowników.

Na wszystkie te problemy administratorzy danych oczekiwali konkretnych odpowiedzi. Inspektor Ochrony Danych mógł poradzić sobie z trudnymi pytaniami tylko w jeden sposób – nie stawiać w swoich wypowiedziach praw jednostek do ochrony swoich danych osobowych w sprzeczności z interesem ogółu. Ostatecznie, przy sprawnej współpracy całej organizacji możliwe było wypracowanie alternatywnych rozwiązań, które spełniały założone cele.

Max Schrems

Gdy tylko zanotowaliśmy mniejsze przyrosty zachorowań na COVID-19, a co za tym idzie również mniejsze zainteresowanie przetwarzaniem danych osobowych w tym kontekście, Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał w dniu 16 lipca 2020 r. wyrok ws. C-311/18 dotyczący Tarczy Prywatności – mechanizmu legalizującego transfer danych osobowych do USA. TSUE uznał Tarczę Prywatności za nieważną, co spowodowało, że wszystkie transfery danych do Stanów Zjednoczonych oparte na tej podstawie, musiały zostać zastąpione innymi podstawami legalizującymi.

Jedną z takich podstaw może być stosowanie standardowych klauzul umownych (z ang. SCC) zatwierdzonych przez Komisję Europejską, jednak pod warunkiem dokonania przez transferującego dane analizy m.in. prawodawstwa państwa trzeciego i wdrożenia dodatkowych środków, które legalizowałyby taki transfer.

W listopadzie, Europejska Rada Ochrony Danych przyjęła długo wyczekiwane zalecenia w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE, jak również zalecenia w sprawie niezbędnych gwarancji europejskich dla środków nadzoru. Zalecenia te nie zawierały odpowiedzi na wszystkie pytania administratorów danych, niemniej jednak wskazały kierunek działań, jakie muszą podjąć przy transferze danych poza Europejski Obszar Gospodarczy.

Temat transferu danych będzie jeszcze pewnie przedmiotem licznych skarg, decyzji i orzeczeń w nadchodzącym roku. Otwarta pozostaje nadal sprawa 101 skarg złożonych przez organizację Maxa Schrems`a  do właściwych organów nadzoru na jedne z największych europejskich spółek. W skargach tych  kwestionuje on legalność transferu danych do USA przez te podmioty po wyroku TSUE.

Brexit

Wraz z orzeczeniem TSUE dot. Tarczy Prywatności nie skończył się temat transferu danych przez administratorów z EOG. W momencie wystąpienia z Unii Europejskiej (UE) Wielka Brytania stała się „państwem trzecim” i od tego dnia zastosowanie mają przepisy UE dotyczące przekazywania danych osobowych do państw trzecich. Ze względu na zakres terytorialny RODO będzie stosowane do podmiotów brytyjskich przetwarzających dane osób przebywających w UE.

Ważną wiadomością dla administratorów danych jest informacja, że od 1 stycznia 2021 r. swobodny przepływ danych między EOG  a Zjednoczonym Królestwem zostanie utrzymany maksymalnie do 1 lipca 2021 r. Przewiduje to tzw. klauzula pomostowa zawarta w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską  i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej, która będzie regulowała przyszłe relacje między UE i Zjednoczonym Królestwem.

Niemniej jednak administratorzy danych już dziś powinni pomyśleć o przygotowaniu organizacji na II półrocze 2021. Choć Komisja Europejska (KE) w Deklaracji dotyczącej przyjęcia decyzji w sprawie odpowiedniego poziomu ochrony w odniesieniu do Zjednoczonego Królestwa zadeklarowała chęć szybkiego rozpoczęcia formalnej procedury w tym zakresie, to w przypadku gdyby jednak KE nie wydała w przewidzianym czasie decyzji w sprawie odpowiedniego poziomu ochrony, przekazywanie danych do Wielkiej Brytanii po upływie okresu przejściowego będzie wymagało zastosowania zabezpieczeń określonych w art. 46 RODO.

2021

Jeśli chodzi o obecny nowy rok, to administratorom danych oraz Inspektorom Ochrony Danych nie pozostaje nic innego, jak wyciągnąć wnioski z minionych 12 miesięcy i zgodnie z dewizą, że należy spodziewać się niespodziewanego, przewiedzieć w planach przestrzeń, która pozwoli na sprawną reakcję na zaskakujące wydarzenia.

Źrodła:

http://curia.europa.eu/

https://noyb.eu/en/101-complaints-eu-us-transfers-filed

https://noyb.eu/en/update-noybs-101-complaints-eu-us-data-transfers

https://www.uodo.gov.pl/pl/138/1810

Interesuje Cię kompleksowa oferta usługi Inspektor Ochrony Danych – Outsourcing?

Potrzebujesz więcej informacji?

Przypadek Virgin Mobile – czyli, dlaczego regularne testowanie środków technicznych jest ważne

Dokładnie rok temu – 30 grudnia 2019 r. – Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował na swojej stronie www, że otrzymał od Virgin Mobile Polska zgłoszenie dotyczące naruszenia ochrony danych osobowych i w związku z tym przeprowadzi czynności kontrolne u tego operatora.

Notyfikacja dotyczyła naruszenia ochrony danych osobowych abonentów usług przedpłaconych, polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Spółka poinformowała organ, że do naruszenia ochrony danych doszło na skutek ataku hakerskiego na jedną z aplikacji informatycznych, która umożliwiała dostęp do danych rejestrowych.

Warto zauważyć różnicę w zawiadamianiu o naruszeniu ochrony danych osobowych przez operatora telekomunikacyjnego względem notyfikacji, o której jest mowa w art. 33 i 34 RODO. W przypadku operatorów telekomunikacyjnych powiadomienie Prezes UODO o naruszeniu powinno nastąpić nie później niż 24 godziny po jego wykryciu (jeśli jest to wykonalne). Termin ten jest krótszy niż czas wskazany w RODO – 72 godziny. Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych, a termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013.

W związku z notyfikacją Prezes UODO podjął decyzję o przeprowadzeniu czynności kontrolnych,. Zakresem kontroli urząd objął sposób przetwarzania, w tym sposób zabezpieczenia danych, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych. Kontrola polegała na odebraniu od pracowników operatora ustnych wyjaśnień oraz na oględzinach systemu informatycznego służącego do rejestrowania danych osobowych abonentów usług przedpłaconych.

Z komunikatu Prezesa UODO opublikowanego w połowie grudnia bieżącego roku mogliśmy natomiast dowiedzieć się, że organ właśnie nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł.

W decyzji organ nadzorczy stwierdził, że naruszenie polegało na niewdrożeniu przez Virgin Mobile „odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych”. W ocenie Prezesa UODO przedsiębiorca naruszył :

  • Zasady poufności danych (art. 5 ust. 1 lit. f RODO).
  • Zasady rozliczalności (art. 5 ust. 2 RODO).

W związku z naruszeniem

  • Obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO).
  • Obowiązków w zakresie zapewnienia poufności, integralności, dostępności i  odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b RODO).
  • Obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d RODO).
  • Obowiązku uwzględnienia ryzyka wiążącego się z  przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 RODO).

Powyższe skutkowało nałożeniem na Virgin Mobile administracyjnej kary pieniężnej w kwocie 1.968.524,00 PLN. Prezes UODO miarkował karę, biorąc pod uwagę również okoliczności łagodzące, jak np.

  •  Dobrą współpracę administratora.
  •  Szybkie usunięcie naruszenia po jego wykryciu.
  •  Wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.

W toku postępowania operator wyjaśniał m.in., że „wykorzystanie podatności systemu do przedmiotowego ataku skutkującego uzyskaniem dostępu do danych, nie było zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, ponieważ wskazane czynności były regularnie i prawidłowo prowadzone przez spółkę”, oraz że „spółka przyjęła środki ochrony danych w postaci: procedur określających metodykę analizy ryzyka, procedurę klasyfikacji poziomów bezpieczeństwa informacji, politykę bezpieczeństwa informacji, procedurę zarządzenia systemem informatycznym ”. Jednak Prezes UODO uznał, że środki te nie były adekwatne.

Postępowanie ujawniło, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Program miał sprawdzać, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. Okazało się, że taka weryfikacja nie działała, a przed jej wdrożeniem mechanizm nie był testowany. Ostatecznie doprowadziło to do tego, że w grudniu 2019 r. w spółce doszło do incydentu wycieku danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid.

Prezes UODO ustalił więc, że spółka nie przeprowadzała wcześniej testów tej konkretnej aplikacji i systemu, które byłyby nastawione na weryfikację zabezpieczeń dotyczących podatności związanej z zaistniałym naruszeniem danych osobowych. Dlatego, kontynuując uzasadnienie, Prezes UODO podkreślił, że „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d [RODO]. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.(…) dokonywanie przeglądów w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.”

W ocenie Prezesa UODO przyjęte przez operatora środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę przestrzegane. W ocenie Prezesa UODO do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu, ale działania związane z naprawą tej niezbędnej funkcjonalności podjęte zostały dopiero po incydencie. Analizując błędy popełnione przez Virgin Mobile, Prezes UODO przedstawił również podstawowe zasady rzetelnie prowadzonej analizy ryzyka. Organ nadzorczy wskazał, że analiza ryzyka przeprowadzana przez administratora powinna:

  • Być udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania.
  • Brać pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.
  • Określać istniejące zabezpieczenia, między innymi w taki sposób, aby ich nie powielać, oraz sprawdzać skuteczność funkcjonowania tych zabezpieczeń; powyższe podyktowane jest ty, że istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.
  • Być przeprowadzone np. metodą zdefiniowania poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.

 

W treści uzasadnienia decyzji Prezesa UODO wielokrotnie wybrzmiało, że incydentalny przegląd zabezpieczeń nie spełnia wymogu regularnego testowania środków technicznych. Pomimo usunięcia przez Spółkę uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, będących przyczyną naruszenia, w wyniku stwierdzonych nieprawidłowości postępowanie administracyjne zakończyło się nałożeniem kary.

Źródła:

Komunikat UODO nt czynności kontrolnych wobec Virgin Mobile Polska

Decyzja Prezesa UODO

Rozporządzenie Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. U. UE. L. z 2013 r. Nr 173, str. 2)

Niebezpieczne ciasteczka – rekordowe kary za pliki cookies dla Google i Amazona

CNIL, francuski organ właściwy ds. ochrony danych osobowych, nałożył 7.12.2020 r. kary finansowe w wysokości 60 milionów euro na Google LLC, 40 milionów euro na Google Ireland Limited oraz 35 milionów euro na Amazon Europe Core SARL. Kara została nałożona za zapisywanie plików cookies na urządzeniach osób korzystających ze stron internetowych tych podmiotów bez uzyskania uprzedniej zgody użytkowników oraz za brak przekazania im odpowiednich informacji.

Kara została nałożona w wyniku postępowania, które wykazało, że podczas korzystania ze strony google.fr na komputerze użytkownika automatycznie zapisywały się pliki cookies służące do celów reklamowych. Pliki te zapisywały się bez żadnej dodatkowej aktywności ze strony osoby odwiedzającej google.fr.

CNIL uznał takie działanie za naruszenie art. 82 francuskiej ustawy o ochronie danych osobowych. Artykuł ten pozwala  zapisywać takie pliki na urządzeniu jedynie w przypadku uprzedniej zgody użytkownika (w przypadku, gdy pliki cookies nie są niezbędne do realizacji usługi). Powyższy przepis wdraża do francuskiego porządku prawnego przepisy Dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. dyrektywa ePrivacy).

Francuski organ nadzorczy zarzucił Google, iż po wejściu na stronę wyszukiwarki na dole strony wyświetlał się baner odwołujący się do polityki prywatności z dwoma przyciskami: „Przypomnij później” oraz „Dowiedz się więcej”. Zdaniem CNIL taki baner nie przekazywał odpowiednich informacji o tym, że w momencie wejścia na stronę pliki cookies automatycznie zapisywały się na urządzeniu, również po wybraniu przycisku „Dowiedz się więcej”. Zdaniem kontrolerów CNIL informacja na stronie google.fr zarówno nie zapewniała dostatecznego poinformowania użytkowników o zapisywanych plikach cookies, celu, w którym są wykorzystywane, jak i o sposobach pozwalających na ich wyłączenie. Dodatkowo stwierdzono, że nawet w przypadku, gdy użytkownik wyłączył personalizację reklam po kliknięciu przycisku „Dowiedz się więcej”, w dalszym ciągu jeden z reklamowych plików cookies zapisywał się na urządzeniu.

Na wysokość kary nałożonej na Google złożyły się trzy czynniki:

  • Rażący stopień naruszenia przepisów francuskiej ustawy o ochronie danych osobowych.
  • Zasięg naruszenia – jego skutek dotknął prawie 50 milionów użytkowników.
  • Znaczące zyski, które Google uzyskiwał za pomocą informacji zbieranych od użytkowników za pomocą plików cookies.

Podobne naruszenia stwierdzono na stronie amazon.fr  – przez samo wejście na tę stronę na urządzeniach zapisywały się duże ilości plików cookies. Informacje przekazywane użytkownikom nie były ani jasne ani kompletne. Baner wyświetlany na stronie amazon.fr zawierał następujące stwierdzenie: „Poprzez użytkowanie strony akceptujesz korzystanie z plików cookies pozwalających nam przedstawiać oferty oraz ulepszać nasze usługi. Czytaj więcej.” Zdaniem CNIL z takiej informacji jasno nie wynika, że pliki cookies zapisywane na urządzeniach służą głównie do personalizacji reklam oraz że użytkownik może je odrzucić.

Pomimo tego, że główna działalność Amazona polega na sprzedaży produktów, a nie handlu reklamami oraz zbieraniu informacji o użytkownikach jak w przypadku Google, wysokość kary jest zdaniem CNIL uzasadniona, ponieważ Amazon, dzięki stosowaniu spersonalizowanych reklam na swojej stronie mógł za pomocą plików cookies znacząco polepszyć widoczność oferowanych produktów oraz ich dopasowanie do użytkowników.

Google wyłączył automatyczne zapisywanie plików cookies na stronie google.fr dopiero we wrześniu 2020 r. Jednak w ocenie CNIL użytkownicy dalej nie są jasno informowani o celach wykorzystywania plików cookies oraz o tym, że mogą je wyłączyć. Także w przypadku Amazona, mimo wyłączenia automatycznego zapisywania się plików cookies po wejściu na stronę, zdaniem CNIL baner wyświetlany użytkownikom nie przekazuje informacji o tym, że pliki cookies służą głównie do personalizacji reklam oraz że jest możliwe ich wyłączenie.

W związku z powyższym francuski organ nadzorczy dodatkowo zobowiązał Google oraz Amazona do poprawienia treści informacji przekazywanych użytkownikom na stronach w ciągu trzech miesięcy. Po upływie tego czasu korporacje będą musiały zapłacić dodatkowo 100 000 euro za każdy dzień zwłoki.

Interesująca jest uwaga CNIL dotycząca przedmiotowej oraz miejscowej właściwości francuskiego organu do nałożenia kary na Google LLC oraz Google Ireland Limited. CNIL argumentuje, że naruszenie dotyczyło zapisywania plików cookies na urządzeniach mieszkańców Francji, zauważa także, że wprawdzie we Francji ma siedzibę jedynie spółka Google France, która zajmuje się promocją produktów oraz usług Google, jednak to Google LLC oraz Google Ireland Limited są wspólnie odpowiedzialne za określanie celów i sposobów wykorzystania plików cookies. Podobnie wygląda sytuacja w przypadku Amazona – spółka Amazon France zajmuje się promocją produktów oraz usług Amazona we Francji, jednak jest ona własnością Amazon Europe Core SARL (z siedzibą w Luksemburgu), która określa cele i sposoby wykorzystania plików cookies.

W kontekście francuskich kar nałożonych na gigantów technologicznych ciekawy jest też kontekst polski, bowiem ukarane przez francuski organ nadzorczy spółki prowadzą analogiczne strony w polskiej domenie. W Polsce sytuacja jest jednak bardziej złożona. Dyrektywa ePrivacy została wdrożona w polskim porządku prawnym w dwóch ustawach – ustawie o świadczeniu usług drogą elektroniczną oraz prawie telekomunikacyjnym. Odpowiednikiem francuskiego art. 82 ustawy o ochronie danych osobowych jest w Polsce art. 173 prawa telekomunikacyjnego. Podmiotem odpowiedzialnym za przestrzeganie przepisów prawa telekomunikacyjnego jest Prezes Urzędu Komunikacji Elektronicznej. Żeby nie było tak łatwo, ustawodawca wprowadził art. 174 prawa telekomunikacyjnego, który stanowi, że do uzyskania zgody użytkownika (na pliki cookies) stosuje się przepisy o ochronie danych osobowych. Organem odpowiedzialnym za przestrzeganie przepisów o ochronie danych osobowych jest natomiast Prezes Urzędu Ochrony Danych Osobowych. Zatem w polskim prawie przepisy regulujące pliki cookies wchodzą w zakres odpowiedzialności kilku urzędów, co dość komplikuje organom postępowanie.

Podsumowując, kary finansowe nałożone we Francji na Google oraz Amazona są sygnałem ostrzegawczym, aby regulacje dotyczące plików cookies traktować poważnie, ponieważ organy nadzorcze coraz bardziej restrykcyjnie interpretują regulacje w zakresie cookies oraz bardziej aktywnie zaczynają nakładać sankcje. Także w Polsce, pomimo niefortunnego rozdzielenia kompetencji organów administracji, istnieje ryzyko nakładania kar finansowych przez odpowiednie organy w obszarze wykorzystywania plików cookies.

Źródła:

  1. https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland
  2. https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core

Audyt IT – czas na weryfikację – część III

Zgodnie z zapowiedzią poniżej trzecia część artykułu na temat audytu IT. Poprzednie części dotyczyły prawidłowego określenia zakresu audytu (cz. 1) oraz ocenie bezpieczeństwa (cz. 2). Obecnie skoncentrujemy się na procesach utrzymaniowych i eksploatacyjnych. Przypomnijmy, że od rozpoczęcia obowiązywania RODO minęły już ponad dwa lata, zatem w większości organizacji zakończono prace wdrożeniowe i przyszedł czas, aby zweryfikować poprawność i skuteczność wdrożonych rozwiązań. Jak zatem przeprowadzić okresowy przegląd obszaru IT pod kątem bezpieczeństwa przetwarzania danych?

 

III – nie zapomnij o procesach utrzymaniowych i eksploatacyjnych

Zgodnie z obowiązującą zasadą rozliczalności należy odpowiednio, adekwatnie do wypełnianych zadań służbowych, rozdzielać role i odpowiedzialności poszczególnych osób w organizacji. Elementem audytu IT powinien być także przegląd struktury organizacyjnej właśnie pod tym kątem. Zgodnie z dobrymi praktykami należy rozdzielać uprawnienia np. w  procesie wytwarzania oprogramowania, kiedy osoby tworzące kod, nie powinny być jednocześnie osobami testującymi. Podobnie należy zweryfikować poprawność w przypadku oddzielenia uprawnień administracyjnych od managementu. Decydent, odpowiedzialny za zatwierdzenie przydzielenia odpowiednich uprawnień, nie powinien być jednocześnie osobą, która faktycznie tych uprawnień udziela. Najlepsze praktyki pokazują, że dobrze jest przynajmniej raz w roku przejrzeć strukturę zadaniowości w zakresie nadawania, autoryzacji, udzielania oraz weryfikacji praw dostępu. Dobrze by ten przegląd nie opierał się wyłącznie na tzw. wnioskach o dostęp, ale obejmował też swoim zakresem faktycznie nadane uprawnienia, tak pod kątem ich zgodności z wnioskami, jak też pod kątem adekwatności samego wniosku.

 

Kolejnym istotnym elementem audytu powinien być przegląd dostawców, umów i wymagań dotyczących bezpieczeństwa przy współpracy z podwykonawcami.  W zakresie przeglądu należy uwzględnić dostawców świadczących konkretne usługi oraz dostarczających i utrzymujących rozwiązania systemowe. Dobrym rozwiązaniem jest stosowanie w tym obszarze zatwierdzonej listy wymagań bezpieczeństwa w odniesieniu do współpracujących z organizacją dostawców zewnętrznych. Lista ta oczywiście w ramach wprowadzanych w organizacji zmian również powinna podlegać aktualizacji i przeglądom. Kolejnym krokiem jest przeprocesowanie z dostawcami aktualizacji wprowadzanych do wymogów bezpieczeństwa, co często zostaje pominięte lub niekompletnie wykonane.  Samo aneksowanie umowy nie powoduje niestety automatycznie zmiany stosowanych u dostawców mechanizmów zabezpieczeń i wymaga wykonania odrębnej pracy poza podpisaniem stosownych dokumentów. Warto by te działania były wspierane lub koordynowane przez organizacje, bo to na administratorze danych spoczywa obowiązek wdrożenia odpowiednich rozwiązań, należycie chroniących przetwarzane dane osobowe, nawet jeśli przetwarzanie odbywa się przy wparciu dostawcy zewnętrznego. Co ważne, wprowadzając zmiany w stosowanych zabezpieczeniach przy okazji zawierania umów z nowymi dostawcami, nie należy zapominać o tych dostawcach, którzy obsługują organizacje w sposób stały. Rozszerzenie obecnych umów o zaktualizowane wymogi  pozwoli ujednolicić zasady bezpieczeństwa, a to z kolei sprzyja uniknięciu wystąpienia incydentów naruszenia ochrony danych.  Zwłaszcza, jeśli przyczyna występujących do tej pory incydentów w organizacji, miała swoje źródło u dostawcy zewnętrznego. Ważne także by przeanalizować potencjalne ryzyka występujące w ramach współpracy z podwykonawcami, np. dotyczące wymiany danych i przeanalizować zasadność przeniesienia wewnątrz organizacji procesów generujących wysokie ryzyko.

 

W czasie audytów należy poddać weryfikacji, czy kopie zapasowe i plany ciągłości działania były od ostatniego przeglądu wykonywane zgodnie z zaplanowanym harmonogramem oraz czy nie powstały nowe ryzyka związane z samym wykonywaniem kopii, np. w zakresie zarządzania pojemnością. Zapełniona przestrzeń dyskowa jest zdarzeniem, które dobrze zidentyfikować na tyle wcześnie, by móc swobodnie zaplanować i zrealizować odpowiednie działania zapobiegawcze. Przeglądowi powinny też być poddane zasady zabezpieczenia backupów. Należy zbadać w szczególności sposób przechowywania kopii zapasowych, zasadność ich szyfrowania oraz zasady zarządzania kluczami kryptograficznymi, uprawnieniami dostępu i modyfikacji. Ważna część audytu to weryfikacja przestrzegania harmonogramu odtworzeń testowych oraz sposobu ich wykonywania. Podobnie jak z kopiami zapasowymi należy postępować z planami ciągłości działania. Przynajmniej raz w roku dobrze jest je sprawdzić pod kątem skuteczności i aktualności. Zmiany dokonane w środowisku informatycznym mogły spowodować utratę zdolności do zachowania ustalonych wcześniej parametrów odtworzeniowych typu RPO czy RTO, dlatego monitorowanie wdrożonych zasad jest istotne i pozwala zachować spójność systemu zabezpieczeń.

 

Administratorzy danych wdrażając w swoich organizacjach zasady privacy by design oraz privacy by default, często przygotowali stosowne procedury i instrukcje, które mają usprawnić wykonywanie analiz uwzględniających ochronę danych w fazie projektowania oraz ich domyślną ochronę w trakcie realizowania projektów. Wykonanie przeglądu wdrożonych procedur pod kątem ich aktualności i zasadności powinno być kolejnym elementem audytu IT. Przejrzenia wymagać będą też listy kontrolne, np. w zakresie obejmującym algorytmy lub długości kluczy kryptograficznych w odniesieniu do bieżących potrzeb organizacji i najnowszego stanu wiedzy. Weryfikacji powinny podlegać także punkty kontrolne opisane w procedurze PbD, zwłaszcza pod kątem ich liczby i rozmieszczenia w odniesieniu do wydarzeń, które miały miejsce od ostatniego przeglądu. Zaniepokojenie mogą wzbudzić np. przechowanie haseł użytkowników w formie plaintext’u, które możliwe jest do wykrycia właśnie na etapie weryfikacji stosowania zasad privacy by default.

 

Środowiska testowe i deweloperskie wymagają przeglądu zasad związanych z rozwojem oprogramowania, dotyczących w szczególności powoływania, utrzymywania, czasu życia tych środowisk, a także w zakresie stosowania anonimizacji danych przetwarzanych na tych środowiskach. Co do zasady w środowiskach deweloperskich nie są przechowywane dane osobowe, choć od tej zasady, jak pokazuje doświadczenie, zdarzają się wyjątki. W środowisku testowym częściej zdarza się, że pojawiają się realne dane, dlatego ważne jest określenie ich zakresu oraz czasu przydatności w konkretnym środowisku. Czas przetwarzania danych determinowany jest celem, dla którego zostały zgromadzone, zatem różne środowiska wykorzystujące dane osobowe, nie powinny być utrzymywane przy życiu dłużej, niż jest to niezbędne dla zrealizowania celu przetwarzania, jakim jest wykonanie testów.

 

Jak widać, zagadnień związanych z prawidłowym przeprowadzeniem audytu zgodności z RODO pod kątem IT jest niemało. Istotne jest podejście do tego tematu w sposób usystematyzowany i metodyczny, co powinno sprawić, że przeprowadzenie audytu będzie mniej skomplikowane, a co ważniejsze, pozwoli zapobiec pominięciu obszarów potencjalnie wymagających poprawy zabezpieczeń. Dobrą praktyką jest, by wyniki audytu przedstawiać jako rekomendacje, których wdrażanie będzie mogło podlegać przeglądom i priorytetyzacji.

Transfer danych osobowych – rekomendacje Europejskiej Rady Ochrony Danych po wyroku Schrems II

Trybunału Sprawiedliwości Unii Europejskiej w wyroku z dnia 16 lipca 2020 r. ws. C-311/18, znanym jako Schrems II (pisaliśmy o tym wyroku pod linkiem: rodoradar.pl) nie tylko usunął mechanizm legalizujący transfer danych osobowych do USA, czyli Tarczę Prywatności, lecz także zwrócił uwagę, że wykorzystywanie innych mechanizmów legalizujących transfer, np. Standardowych Klauzul Umownych, wymaga zagwarantowania, że dane osobowe przekazywane poza obszar Europejskiego Obszaru Gospodarczego będą chronione co najmniej w równym stopniu jak na terenie EOG. Wspomniane uwagi TSUE wywołały spore zaniepokojenie wśród podmiotów dokonujących transferu danych z uwagi na fakt, że wyrok nie precyzuje, z jakich dodatkowych środków można korzystać, aby transfer oparty na mechanizmach przewidzianych w RODO mógł zostać uznany za bezpieczny.

Europejska Rada Ochrony Danych (EROD) wydała rekomendacje, w których został przedstawiony modelowy sposób dokonywania transferu danych oraz wskazano przykładowe  środki, które mogą wspomóc przewidziane w RODO narzędzia legalizujące przesyłanie danych osobowych poza EOG, aby zapewnić odpowiedni poziom ochrony danych w kraju trzecim.

EROD przypomniała, że do transferu danych nie jest konieczne, aby poziom ochrony danych w kraju trzecim był identyczny jak w EOG, lecz aby był istotnie równoważny poziomowi ochrony w EOG. W przypadku, gdy prawo lub praktyka działalności w kraju trzecim powoduje, że dane po transferze byłyby chronione w mniejszym stopniu, niż przewidują to mechanizmy legalizujące transfer („odpowiednie zabezpieczenia” wskazane w art. 46 ust. 2 oraz 3 RODO), potrzebne jest skorzystanie z dodatkowych środków, niwelujących lukę w ochronie danych w kraju trzecim. Wśród okoliczności, które mogą stanowić o niższym poziomie ochrony w kraju trzecim, EROD wymienia m.in. możliwość dostępu do danych przez organy publiczne czy niejasność lub brak upublicznienia regulacji dotyczących przetwarzania danych osobowych.

W rekomendacjach została określona mapa drogowa, która ma obrazować właściwą ścieżkę postępowania w przypadku transferu danych do państw trzecich.

1. Podmiot eksportujący dane powinien dokładnie zidentyfikować wszystkie transfery, a także zweryfikować zakres transferowanych danych pod kątem zasady minimalizacji.

2. Następnym krokiem jest wybór odpowiedniego mechanizmu legalizującego transfer, jednego z określonych w rozdziale V RODO.

3. Trzecim krokiem jest ocena, czy wybrany do konkretnego transferu mechanizm legalizujący będzie mógł być w pełni przestrzegany. Taka ocena uzależniona jest m.in. od tego, czy przepisy kraju trzeciego:

  • Uniemożliwiają realizację praw podmiotów danych.
  • Nie przyznają organom publicznym zbyt szerokiego i dowolnego dostępu do danych (punktem odniesienia może być art. 47 oraz 52 Karty Praw Podstawowych).
  • Nie stoją na przeszkodzie zabezpieczeniom przewidzianym w wybranym mechanizmie legalizującym transfer.

Istotnym czynnikiem przy takiej ocenie jest okoliczność, czy dany kraj:

  • Posiada niezależne organy właściwe ds. ochrony danych.
  • Uchwalił przepisy dotyczące ochrony danych.
  • Oraz czy przystąpił do międzynarodowych instrumentów czy porozumień związanych z danymi osobowymi (przykładem może być Konwencja nr 108 Rady Europy).

4. Jeśli w wyniku oceny eksporter dojdzie do wniosku, że w konkretnym kraju trzecim nie będzie    zapewniony równoważny poziom ochrony jak w EOG, zgodnie z wybranym mechanizmem legalizującym transfer, w celu kontynuowania transferu konieczne będzie zapewnienie środków uzupełniających.

5. Dodatkowe środki zabezpieczające transfer mogą mieć charakter umowny, techniczny lub organizacyjny. Istotne jest, że nie można wskazać uniwersalnych środków, ponieważ ich wybór powinien być w każdym przypadku dostosowany do konkretnych okoliczności w kraju trzecim, które osłabiają poziom ochrony danych. Przykładowo, w przypadku zbyt szerokiego oraz nieuzasadnionego dostępu do danych przez organy publiczne w kraju trzecim, dodatkowe środki umowne nie będą efektywne, ale techniczne już tak, np. silne zaszyfrowanie danych. Wśród potencjalnych środków uzupełniających EROD wymienia także pseudonimizację, rozdzielenie transferowanych danych na kilku odbiorców w różnych krajach, wybór na odbiorcę podmiot o specjalnym statusie w kraju trzecim, zapewniającym ochronę przed dostępem służb, dodatkowe umowne zobowiązanie importera do stosowania specjalnych środków bezpieczeństwa równoważących poziom ochrony danych do poziomu ochrony w EOG, np. w postaci dodatkowych obowiązków dokumentacyjnych, informacyjnych, zwiększonej przejrzystości, rozliczalności czy minimalizacji danych.

6. Ostatnim etapem na mapie EROD jest systematyczne dokonywanie oceny legalności transferu. Zasada rozliczalności wymaga, aby ocena, o której mowa powyżej, nie była jednorazowo dokonywana jedynie przed transferem, ponieważ eksporter danych powinien stale czuwać nad tym, czy jest zapewniany odpowiedni poziom ochrony danych w kraju trzecim.

Mimo kilku przydatnych wskazówek zamieszczonych w wytycznych EROD mamy jednak obawy, że transfer danych osobowych do krajów trzecich będzie budził nadal wątpliwości, zwłaszcza w zakresie obowiązku dokonywania oceny stanu prawnego kraju trzeciego. Najbardziej pożądanym krokiem byłoby wypracowanie na poziomie unijnym rozwiązań, które przeniosłyby ten obowiązek na Komisję bądź organy nadzorcze, aby jednolicie na poziomie wszystkich krajów członkowskich było jasne, jakie kraje trzecie posiadają prawodawstwo, które obniża poziom ochrony danych przewidziany w mechanizmach legalizujących transfer.

Źródło:

https://edpb.europa.eu/

Technologia rozpoznawania twarzy – równowaga między innowacyjnością a prywatnością i bezpieczeństwem

Na stronie Europejskiego Inspektora Ochrony Danych można zapoznać się z niedawno opublikowaną strategią EIOD na lata 2020-2024, która otrzymała tytuł: „Kształtowanie bezpieczniejszej przyszłości cyfrowej: nowa strategia na nową dekadę”.

Strategia szybko doczekała się licznych omówień i streszczeń, ale warto jeszcze raz zwrócić uwagę na ten dokument, tym razem pod kątem szans i wyzwań dla europejskiego biznesu. W szczególności interesująca dla wielu przedsiębiorców – zarówno twórców, jak i odbiorców innowacji – może się okazać część Strategii, w której EIOD odniósł się do technologii rozpoznawania twarzy (facial recognition). Strategia jest raczej wyważona (w końcu wiele miejsca poświęcono w niej zrównoważonemu rozwojowi), na co niewątpliwie wpływ miały „Biała księga w sprawie sztucznej inteligencji” Komisji Europejskiej oraz, niemożliwa do pominięcia w kontekście przetwarzania danych, pandemia COVID-19. Chociaż nie znajdziemy w Strategii postulatów rewolucyjnych, to można pokusić się o stwierdzenie, że w pewnych aspektach, u wielu osób zmieni ona optykę widzenia nowych technologii, służących do przetwarzania danych osobowych.

W tym miejscu warto przypomnieć, że jeszcze na początku 2020 r. Komisja Europejska rozważała tymczasowy zakaz stosowania technologii rozpoznawania twarzy w miejscach publicznych, dopóki UE nie będzie mogła właściwie ocenić jej wpływu na ochronę prywatności. Ostatecznie Komisja opublikowała „Białą księgę w sprawie sztucznej inteligencji”, która otwiera furtkę dla technologii rozpoznawania twarzy. Obecnie wykorzystywanie jej do zdalnej identyfikacji biometrycznej jest zasadniczo zabronione (zapewne m.in. pod wpływem celu i sposobu wykorzystania tej technologii przez Chiny w związku z  protestami w Hongkongu). Jednocześnie Komisja sygnalizuje, że jest gotowa na debatę o tym, jakie wyjątki można dopuścić w tym zakresie.

Również wybuch pandemii COVID-19 znacząco zmienił okoliczności, w których EIOD przygotowywał Strategię. Sytuacja epidemiczna w ostatnich tygodniach spowodowała, że potrzeba przeciwdziałania rozprzestrzenianiu się zakażeń stała się jeszcze bardziej nagląca. Zdalne, automatyczne rozpoznawanie twarzy jest stosowane przez służby publiczne w wielu miejscach na świecie. Jak w wielu przypadkach wdrożenia nowych technologii w pierwszej kolejności przez sektor publiczny, w bliskiej przyszłości można spodziewać się ich zaadaptowania także do użytku komercyjnego. Rozpoznawanie twarzy i podobne technologie mogą stać się nową normą w przypadku monitorowania dużej liczby osób. Narzędzia technologiczne, które teraz są wykorzystywane jako część wysiłków służb publicznych na rzecz zarządzania kryzysem, niedługo mogą być kojarzone już tylko z innowacją w sferze biznesu. Nie ma wątpliwości, że pojawią się inicjatywy zastosowania technologii rozpoznawania twarzy do nadzoru nad pracownikami, czy – wraz z rozwojem technologii „cashierless” – do optymalizacji dochodów sklepów.

Tymczasem już na wstępie Strategii EIOD wyraża zaniepokojenie, że technologie zaprojektowane w celu zwiększenia wygody i dobrobytu – od targetowania behawioralnego po rozpoznawanie twarzy – umożliwiają jednocześnie umacnianie modeli nadzoru, represji i cenzury. Lista możliwych dostawców nowych technologii również nie jest powodem do optymizmu europejskiego organu ochrony danych. Jest ona bowiem obecnie w znacznej mierze ograniczona do gigantów technologicznych z Azji i USA, gdzie popularne usługi często nie są projektowane zgodnie z ramami prawnymi UE. W najbliższych latach, należy spodziewać się dalszego rozwoju cyfryzacji w oparciu o sztuczną inteligencją, która będzie zasilana danymi w rosnącej ilości i jakości. Możliwe, że znaczna część tych danych będzie pochodzić właśnie z systemów przetwarzających dane biometryczne, np. w sposób automatyczny rozpoznających twarze, siatkówkę, chód, itp. Punktując w Strategii ryzyka związane ze stosowaniem nowoczesnych technologii opartych o biometrię i rozpoznawanie twarzy, EIOD szczególnie podkreślił zagrożenie płynące z faktu, że technologie takie są rozwijane w krajach, które nie zawsze podzielają europejskie idee jak ludzka godność i prawo kontroli osoby nad swoimi danymi osobowymi.

Strategia EIOD i Biała Księga Komisji Europejskiej stanowią impuls do dyskusji o tworzeniu w Europie nowych rozwiązań technologicznych, opartych o zautomatyzowane rozpoznawanie twarzy gwarantujących przetwarzanie danych zgodnie z prawem w tym ochronę prywatności i godności. Miejmy nadzieję, że staną się one w przyszłości realną konkurencją dla tych, które są rozwijane bez poszanowania przepisów i wartości, które jako Europejczycy szczególnie cenimy.

 

Źródła:

Strategia EIOD na lata 2020-2024 „Kształtowanie bezpieczniejszej przyszłości cyfrowej: nowa strategia na nową dekadę”

Biała księga w sprawie sztucznej inteligencji

Praca zdalna – nowe regulacje

Ministerstwo Rodziny, Pracy i Polityki Społecznej rozpoczęło prace legislacyjne nad zmianami w Kodeksie pracy, mającymi na celu systemowe uregulowanie pracy zdalnej. Ministerstwo zamierza doprowadzić do uchylenia dotychczasowych przepisów Kodeksu pracy dotyczących zatrudniania pracowników w formie telepracy. 

Takie działanie należy ocenić jako krok w dobrą stronę. Instytucja telepracy jest już od pewnego czasu krytykowana za to, że nie przystaje do rzeczywistości, która wymaga większej mobilności i elastyczności zarówno pracowników, jak i pracodawców. Obecna regulacja nie nadąża również za dynamicznie rozwijającą się technologią. Nowe ustawodawstwo w zakresie pracy zdalnej ma być odpowiedzią na potrzeby obu stron stosunku pracy.  

Projekt ustawy wprowadzającej pracę zdalną nie został jeszcze oficjalnie opublikowany na stronach Rządowego Centrum LegislacjiGłówne założenia tego projektu możemy poznać z konsultacji z zainteresowanymi podmiotami.  

Spośród planowanych zmian, na zagadnienia ochrony danych osobowych największy wpływ mają:  

  • Możliwość uzgodnienia pracy zdalnej pomiędzy stronami przy zawieraniu umowy o pracę lub w trakcie zatrudnienia.
  • Wykonywanie pracy zdalnej całkowicie lub częściowo poza siedzibą pracodawcy lub innym stałym miejscem świadczenia pracy, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość.
  • Możliwość narzucenia przez pracodawcę pracy zdalnej – w sytuacji gdy wprowadzony został stan nadzwyczajny lub stan epidemii lub gdy jest to niezbędne ze względu na obowiązek zapewnienia pracownikowi bezpiecznych i higienicznych warunków pracy. W razie wydania polecenia przez pracodawcę, wykonywanie pracy zdalnej będzie możliwe tylko wtedy, gdy pracownik dysponuje odpowiednimi warunkami lokalowymi i technicznymi (oświadczenie o spełnieniu tych warunków pracownik składa pracodawcy przed rozpoczęciem wykonywania pracy zdalnej). 
  • Uzależnienie dopuszczenia pracownika do wykonywania pracy zdalnej od złożenia przez niego oświadczenia zawierającego potwierdzenie, że stanowisko pracy zdalnej w miejscu zamieszkania pracownika lub w innym miejscu wskazanym przez niego zapewnia bezpieczne i higieniczne warunki pracy.
  • Prawo kontrolowania pracownika wykonującego pracę zdalną w miejscu i w godzinach wykonywania pracy. Jeżeli jest to kontrola w miejscu zamieszkania pracownika pracodawca będzie musiał dysponować uprzednią zgodą pracownika. Wykonywanie takiej kontroli nie może naruszać prywatności pracownika i jego rodziny, ani utrudniać korzystania z pomieszczeń domowych, w sposób zgodny z ich przeznaczeniem.  

Powyższe zmiany będą musiały zostać przeanalizowane przez administratorów danych, specjalistów IT oraz inspektorów ochrony danych pod kątem zapewnienia bezpieczeństwa przetwarzanych danychPotrzeba kontrolowania pracownika poza zakładem pracy wiąże się z koniecznością każdorazowej oceny wpływu podejmowanych środków tej kontroli na ochronę danych. Ich dopuszczalność na gruncie prawa pracy, może nie wykluczać nadmiarowości w rozumieniu przepisów o ochronie danych. Powinny zostać wdrożone środki zapewniające poufność danych osobowych przetwarzanych na urządzeniach mobilnych czy dyskach zewnętrznych, bezpieczne archiwizowanie danych oraz korzystanie z chmur i serwerów niezagrażające ciągłości działania organizacji podczas pracy zdalnej. 

Pewnych wskazówek co do kierunku planowanych zmian dostarcza nam również uzasadnienie ustawy z dnia 19 czerwca 2020 r. o dopłatach do oprocentowania kredytów bankowych udzielanych przedsiębiorcom dotkniętym skutkami COVID-19 oraz o uproszczonym postępowaniu o zatwierdzenie układu w związku z wystąpieniem COVID-19, czyli tzw. tarczy antykryzysowej 4.0. Były to pierwsze próby rozwiązania problematyki pracy zdalnej wobec nieprzystających do obecnych realiów regulacji Kodeksu pracy. 

Ustawodawca zwraca uwagę, że praca zdalna może być wykonywana w szczególności przy wykorzystaniu środków bezpośredniego porozumiewania się na odległość. Przy tym ustawodawca nie zawęża rodzaju dopuszczalnej pracy zdalnej ani środków, przy wykorzystaniu których ta praca może być wykonywana. Mówiąc o środkach bezpośredniego porozumiewania się na odległość, mamy na myśli narzędzia umożliwiające odbywanie wirtualnych spotkań, zarządzanie projektami, zadaniami i  interaktywnym kalendarzem, itp. Pracodawca może stosować tylko te, które zapewniają wystarczający stopień poufności danych.   

Zgodnie z uzasadnieniem, npracodawcy spoczywać będzie obowiązek zorganizowania środków i materiałów potrzebnych do wykonywania pracy zdalnej oraz jej obsługi logistycznej. Przy tym dopuszcza się, by pracownik przy wykonywaniu pracy zdalnej mógł używać środków pracy niezapewnionych przez pracodawcę, jeżeli nastąpi to z poszanowaniem i ochroną informacji poufnych i innych tajemnic prawnie chronionych. Obejmuje to m.in. dane osobowe, ale także tajemnicę przedsiębiorstwa oraz informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę. Należy jednak pamiętać, że ewentualna odpowiedzialność za niezgodne z przepisami przetwarzanie danych osobowych spoczywa na administratorze danych (pracodawcy). 

Ustawodawca zakłada, że praca zdalna wymaga narzędzi do kontroli sposobu jej wykonywania i rozliczania jej efektów. Jednym z takich narzędzi miałoby być polecenie pracownikowi, by prowadził ewidencję wykonanych czynności. Ewidencja zawierałaby m.in. opis czynności, a także datę oraz czas ich wykonania. W kwestii sposobu, formy i częstotliwości sporządzania ewidencji pracownik powinien zastosować się do wydanego w tym zakresie polecenia pracodawcy.  

Nie dla wszystkich taki sposób ewidencjonowania czasu pracy będzie nowością. Jest on obecnie powszechnie stosowany np. w branży prawniczej, księgowej czy doradczej. Trudno zgodzić się z podejściem ustawodawcy, że praca zdalna zmniejsza możliwość kontroli pracownika. Rynek dostarcza pracodawcom szereg nowoczesnych narzędzi, które pozwalają monitorować działania swoich podwładnych. Należy przy tym pamiętać o wymogach, które musi spełnić pracodawca, aby taki monitoring prowadzić. Więcej na ten temat w artykule dostępnym na naszej platformie Rodoradar. 

Źródła:

https://dziennikustaw.gov.pl/D2020000108601.pdf 

https://legislacja.rcl.gov.pl/projekt/12332411/katalog/12678082#12678082 

http://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU19740240141/U/D19740141Lj.pdf