Piotr Balcerzak, Autor w serwisie RodoRadar.pl

Chat GPT i sztuczna inteligencja, a przepisy o ochronie danych osobowych

Wraz z rozwojem sztucznej inteligencji (AI – Artificial Intelligence) coraz większego znaczenia nabiera problem bezpiecznego przetwarzania danych osobowych w zaawansowanych systemach, opartych właśnie na AI. Z uwagi na to, że takie narzędzia jak np. ChatGPT przetwarzają dane osobowe, warto zwrócić uwagę na istotne elementy, wiążące się z bezpieczeństwem korzystających z nich użytkowników.

Co to jest Chat GPT? Poznaj możliwości sztucznej inteligencji w komunikacji

ChatGPT („Generative Pre-trained Transformer” czat) to narzędzie w formie aplikacji on-line, służące do komunikacji z wykorzystaniem sztucznej inteligencji. Narzędzie to, które stworzyło laboratorium badawcze OpenAI, opiera się na „wielkich modelach językowych” (LLM – Large Language Models), bazujących na tzw. „głębokim uczeniu” (deep learning) i służy generowaniu tekstu, który naśladuje język naturalny.

Algorytm, wykorzystujący LLM, został wyuczony na danych, pochodzących z tekstów zaczerpniętych ze stron internetowych, a także innych źródeł, takich jak artykuły prasowe, prace naukowe, książki, czasopisma czy treści pochodzące z mediów społecznościowych.

Zgodnie z rekomendacjami OECD, narzędzia AI (do których należy ChatGPT) opisano jako „systemy oparte na koncepcji maszyny, która może przewidywać, rekomendować oraz podejmować decyzje mające wpływ na środowisko rzeczywiste lub wirtualne”.

Jak działa Chat GPT?

Specjalny algorytm analizuje relacje, zachodzące między różnymi wyrazami i przekształca je w tzw. „modele prawdopodobieństwa”. Zadając algorytmowi pytanie udzielamy mu tzw. „podpowiedzi” (prompts), wymuszając jego odpowiedź, powstałą na bazie relacji słów, zapamiętanych w procesie wyuczania.

Dzięki technologii LLM użytkownik ma wrażenie, jakby rozmawiał z żywą osobą, która na zadane przez niego pytania (prompts) udziela skutecznych odpowiedzi.

Obecnie ChatGPT stanowi zamknięty model językowy, z bazą danych (w wersji bezpłatnej) aktualną na wrzesień 2021 r. Oznacza to, że model ten został wytrenowany na podstawie informacji dostępnych w sieci, i nie tylko, wyłącznie w tym właśnie okresie. Niewykluczone jednak, że następna jego wersja, bądź wersja płatna już istniejącego modelu, zostanie zintegrowana z wyszukiwarką internetową, co sprawi, że informacje i dane, stanowiące zasób językowy modelu, staną się aktualne na chwilę, w której użytkownik z niego korzysta; co więcej – wprowadzane w formie zapytań informacje mogą zostać do niego dołączane w sposób automatyczny.

Dane osobowe w systemach opartych na LLM

Niezależnie od powyższego, już teraz każde zapytanie użytkownika jest widoczne dla twórcy i właściciela ChatGPT. Każdy „prompt” jest bowiem zachowywany i może być wykorzystany do rozwoju modelu. Wobec powyższego należy bardzo ostrożnie formułować zapytania pod kątem zawartych w nich informacji, w szczególności należy zadbać o to, aby w zapytaniach do ChatGPT nie podawać informacji o charakterze danych osobowych, bądź informacji poufnych.

Z punktu widzenia bezpieczeństwa użytkownika takich narzędzi jak ChatGPT ważne jest, aby twórcy oprogramowania, wykorzystującego modele oparte na LLM wykonywali obowiązki wynikające z przepisów o ochronie danych osobowych, takie jak:

wskazanie podstawy prawnej do przetwarzania danych osobowych w celu trenowania algorytmów;
określenie swojej roli w procesie przetwarzania danych osobowych jako administratora, współadministratora bądź podmiotu przetwarzającego;
sporządzenie i udokumentowanie oceny skutków dla ochrony danych (DPIA) w celu oszacowania i ograniczenia możliwych zagrożeń związanych z ochroną danych;
spełnienie obowiązków informacyjnych wobec osób, których dane są przetwarzane, chyba że zastosowanie znajdują wyjątki, wskazane w art. 14 ust. 5 RODO;
zabezpieczenie przetwarzanych danych w celu minimalizacji ryzyka związanego z ich wyciekiem bądź cyberatakiem;
zapewnienie minimalizacji danych, tj. ograniczania ich przetwarzania do niezbędnego minimum;
wykonywanie obowiązków w zakresie obsługi żądań podmiotów danych na podst. art. 15 – 22 RODO;
udzielanie informacji dotyczących wykorzystywania modelu LLM do podejmowania zautomatyzowanych decyzji, w tym profilowania (art. 22 RODO);
zapewnienie ochrony danych osobowych w fazie projektowania (privacy by design) i domyślnej ochrony danych (privacy by default), określonych w art. 25 RODO.

Zgodnie z najnowszym stanowiskiem krajowego organu nadzorczego (UODO), „przetwarzanie danych osobowych z wykorzystaniem AI nie jest wykluczone, niemniej jednak algorytmy i systemy sztucznej inteligencji muszą zapewniać odpowiednio wysoki poziom bezpieczeństwa danych osobowych”. AI nie może bowiem godzić w prywatność i ochronę danych osobowych. Szczególny więc nacisk należy położyć na sporządzenie oceny skutków dla ochrony danych (DPIA). Administrator zaś, zamierzający korzystać z narzędzi, opartych o AI, winien stosować podejście oparte na ryzyku.

Komisja Europejska już od 2020 r. pracuje nad „Aktem w sprawie sztucznej inteligencji” (AI Act). Ten unijny dokument, który został ogłoszony w formie Rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii będzie pierwszym na świecie aktem prawnym, kompleksowo regulującym kwestie związane ze sztuczną inteligencją. Latem 2023 r. projekt powinien zostać zaprezentowany na forum sesji plenarnej Parlamentu Europejskiego, natomiast zakończenie prac zostało zaplanowane na koniec 2023 r. W projekcie aktu napisano, że AI jest „oprogramowaniem, opracowanym przy wykorzystaniu określonych technik i podejść, które może dla danego zestawu celów określonych przez człowieka generować wyniki (treści, przewidywania, zalecenia lub decyzje) wpływające na środowiska, z którymi wchodzi w interakcję”. Zgodnie z założeniami, przepisy unijne będą regulować funkcjonowanie AI w sposób ukierunkowany na człowieka.

We wrześniu 2022 r. francuski organ nadzorczy CNIL opublikował przewodnik, wraz z ankietą, umożliwiającą sprawdzenie, czy narzędzia AI, stosowane w systemach opartych na LLM, zapewniają zgodność z RODO. Do najważniejszych elementów, koniecznych do zweryfikowania przed wdrożeniem narzędzi AI, CNIL zaliczył:

konieczność stosowania podejścia, opartego na ryzyku (na etapie projektowania i rozwoju systemu);
konieczność sprawowania nadzoru nad automatycznym podejmowaniem decyzji;
konieczność zapewnienia, że system po wdrożeniu będzie spełniał wszystkie, założone wymogi operacyjne – zgodnie z projektem;
konieczność zapewnienia unikania przez algorytmy dyskryminacji;
konieczność minimalizacji ryzyka niestabilności systemu.

Rozwojowi AI przygląda się również Europejska Rada Ochrony Danych (EROD). W kwietniu br. EROD utworzyła specjalną grupę roboczą, której celem jest wspieranie współpracy i wymiany informacji związanych z, podejmowanymi przez europejskie organy nadzorcze, działaniami dotyczącymi egzekwowania prawa związanego z AI. Jednym z pierwszych zadań, postawionych przed tą grupą będzie dokonanie weryfikacji, czy ChatGPT nie narusza przepisów RODO, w szczególności dotyczących takich obszarów jak:

przetwarzanie danych, które trafiły do bazy danych, dzięki której system się „uczy”;
etykietowanie danych (pozwalających na identyfikację konkretnych podmiotów danych) w trakcie „uczenia” systemu;
odpowiedzialność za wykorzystanie cudzych danych;
zapisywanie i przechowywanie treści wprowadzonych przez użytkownika.

Powołanie tejże grupy roboczej związane było z decyzją włoskiego urzędu ds. ochrony danych osobowych (GARANTE) o czasowym zablokowaniu ChatGPT we Włoszech. Źródłem takiej decyzji było podejrzenie, iż aplikacja może nie posiadać „jakiejkolwiek podstawy prawnej, która uzasadniałaby masowe zbieranie i przechowywanie danych osobowych w celu uczenia modelu”.

W odpowiedzi na zarzuty, podniesione w w/ w decyzji, OpenAI zaproponował rozwiązania, zmierzające do spełnienia żądań organu w zakresie ochrony danych osobowych, polegające między innymi na podjęciu szeregu działań, zmierzających do usunięcia danych osobowych ze zbiorów szkoleniowych dla modelu. Podkreślono jednak, że działania te podejmowane będą wyłącznie tam, gdzie będzie to możliwe. OpenAI zobowiązał się ponadto do wykonywania praw, przysługujących podmiotom danych na mocy art. 15-22 RODO.

Sztuczna inteligencja oraz oparte na niej narzędzia technologiczne coraz dynamiczniej wdzierają się w nasze życie i proces ten wydaje się nie do zatrzymania. Po to, aby korzystanie z tych narzędzi było bardziej bezpieczne oraz nie narażało użytkowników na utratę prywatności konieczne jest współdziałanie wszystkich zainteresowanych oraz odpowiedzialnych za ochronę prywatności podmiotów, czego wyrazem będzie stworzenie adekwatnych ram prawnych, skutecznie regulujących rynek nowych technologii, czyniąc go miejscem bezpiecznym dla każdego z uczestników.

Wdrożenie RODO – oferta cenowa

Zewnętrzny Inspektor Ochrony Danych

Audyt RODO

Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DODO) a RODO – podstawowe różnice

RODO[i], jako akt prawa adresowany abstrakcyjnie, tj. do wszystkich, którzy przetwarzają dane osobowe na terytorium Unii Europejskiej, przewiduje w art. 2 ust. 2 wyłączenie (w konkretnych okolicznościach) tego aktu z stosowania wobec ściśle określonych podmiotów. Przepis stanowi, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych m.in.: przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom^[ii],

Nie oznacza to jednak luki prawnej albowiem system ochrony danych adresowany do organów ściągania^[iii]. reguluje dyrektywa 2016/680^[iv], która do polskiego porządku prawnego została implementowana ustawą z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości^[v] (zwaną też na wzór abrewiacji samego rozporządzenia: ustawą DODO). Zarówno RODO, jak i DODO stanowią niezależne od siebie podstawy prawne przetwarzania danych adresowane do innego kręgu podmiotów przetwarzających. Przy czym oba akty się przenikają^[vi], a podmioty odpowiedzialne za ściganie i zwalczanie przestępczości są zobowiązane również do przestrzegania RODO^[vii]. Podstawowe różnice pomiędzy RODO a DODO można przyporządkować do pięciu najważniejszych kategorii: (1) podstaw prawnych przetwarzania danych osobowych, (2) wymogów posiadania i prowadzenia dokumentacji, (3) prawa osób, których dane dotyczą, (4) obowiązku informacyjnego, oraz (5) konieczności wyznaczenia Inspektora Ochrony Danych, których ilustracją jest tabela jak następuje.

RODO

DODO

Podstawy prawne przetwarzania danych

Podstawy przetwarzania określone a przepisach art. 6-10 RODO. Przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków określonych a art. 6 RODO (dane zwykłe). Przetwarzanie danych szczególnych kategorii jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków określonych w art. 9 RODO (dane wrażliwe).

Przetwarzanie danych osobowych na gruncie ustawy DODO możliwe jest tylko i wyłącznie, gdy jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązków wynikających z przepisów (art. 13 DODO) Dane osobowe szczególnych kategorii mogą być przetwarzane jedynie, gdy przepis prawa zezwala na takie działanie lub jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą lub innej osoby, bądź też dane tego typu zostały upublicznione przez osobę, której one dotyczą (art. 14 DODO)

Dokumentacja ochrony danych

W RODO jedynie art. 24 ust. 2 wspomina o właściwym – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania – wdrożeniu odpowiednich polityk ODO, przy czym przepis nie wprowadza wymogu posiadania fizycznej (papierowej), ale winno to znaleźć odzwierciedlenie w formie zapisu lub opisu (np. w formie elektronicznej). Administratorzy danych są zobowiązani do przyjęcia koncepcji risk based approach, w szczególności dokonywania:

rejestru czynności przetwarzania danych (art. 30 ust. 1 RODO)
rejestru kategorii czynności przetwarzania (art. 30 ust. 2 RODO)
raportowania naruszenia bezpieczeństwa danych (art. 33 RODO)
oceny (analizy) ryzyka (art. 24, 32, 35, 36 RODO)
oceny skutków przetwarzania dla danych osobowych (privacy impact assessment), (art. 35 RODO)

Zgodnie z art. 31 ust. 4 ustawy DODO, administrator zobowiązany jest do opracowania i wdrożenia polityki ochrony danych osobowych, uwzględniającej sposób dokumentowania zastosowanych przez niego niezbędnych technicznych i organizacyjnych środków, odpowiadającej charakterowi, zakresowi, kontekstowi i celom przetwarzania oraz ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Za minimalny zakres dokumentacji ochrony danych należy uznać wykaz jak następuje: • obowiązek opracowania i wdrożenia dokumentacji ochrony danych osobowych (art. 31 ust. 4 DODO) • bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania (art. 35 ust. 1 DODO) • bezwzględny obowiązek prowadzenia wykazu kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 35 ust. 3 DODO)• obowiązek ewidencjonowania operacji przetwarzania prowadzonych w systemach zautomatyzowanych (art. 36 DODO) • obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych (art. 42 DODO)

Prawa osób, których dane dotyczą

Prawa osób, których dane dotyczą (art. 22 DODO) • prawo do uzyskania informacji o przetwarzaniu danych osobowych, • prawo dostępu do danych oraz uzyskania kopii lub wyciągu z danych, • prawo do uzupełnienia, uaktualnienia lub sprostowania danych osobowych, • prawo do usunięcia danych osobowych, lub ograniczenia przetwarzania, • prawo do wniesienia skargi do organu nadzorczego

Obowiązek informacyjny

Obowiązek informacyjny (klauzule informacyjne) realizowany w sytuacji, gdy dane osobowe pozyskiwane są bezpośrednio od osoby, której dane dotyczą (art. 13 RODO) oraz pośrednio, bez jej aktywnego działania, np. ze źródeł powszechnie dostępnych (art. 14 RODO)

DODO zawiera przepisy o charakterze lex specialis wobec wymogów określonych w art. 13 i 14 RODO. I tak realizacja obowiązku informacyjnego na podstawie lex generalis, zgodnie bowiem z art. 22 ustawy DODO, będzie się materializowała w następujących sytuacjach: • publiczne przekazywanie informacji przez administratora danych (art. 22 ust. 1 i ust. 2 DODO) • przekazywanie informacji przez administratora w konkretnych przypadkach, w celu umożliwienia osobie, której dane są przetwarzane, wykonania przysługujących jej praw (art. 22 ust. 3 DODO)

Wyznaczenie Inspektora Ochrony Danych

Administrator podmiot przetwarzający wyznaczają Inspektora Ochrony Danych w sytuacjach przewidzianych w art. 37 RODO

Zgodnie z art. 46 ustawy, każdy podmiot przetwarzający dane w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności – a więc każdy z definicji administratora określonej w art. 4 ust. 1 – jest zobowiązany do powołania Inspektora Ochrony Danych

Ustawa DODO przewiduje także kary za przetwarzanie danych, gdy do ich przetwarzania podmiot nie jest uprawniony lub gdy udaremnia, lub istotnie utrudnia przeprowadzenie kontroli przez Prezesa UODO. Są nimi: grzywna, kara ograniczenia wolności albo pozbawienie wolności do dwóch lat. Jeżeli czyn dotyczy danych wrażliwych, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech^[ix].

[i] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE L 119 z 4.05.2016, s. 1-88.

[ii] W tym takie organy jak: Sąd Najwyższy, Sądy powszechne, Sądy administracyjne, Sądy wojskowe, Trybunał Konstytucyjny, Trybunał Stanu, Prokuratura, Instytut Pamięci Narodowej, Służba Ochrony Państwa, Policja, Centralne Biuro Śledcze Policji, Straż Graniczna, Straż Miejska, Żandarmeria Wojskowa, Służba Więzienna, Prezes Urzędu Ochrony Konkurencji i Konsumentów, Inspekcja Drogowa, Straż Rybacka, Inspekcja Kontroli Skarbowej, Inspekcja Pracy, Inspekcja Handlowa, Państwowa Inspekcja Sanitarna, Inspekcja Weterynaryjna, Inspekcja Ochrony Środowiska, Państwowa Inspekcja Farmaceutyczna, przewoźnicy lotniczy, podmioty odpowiedzialne za bezpieczeństwo imprez masowych, czy komornik egzekwujący kary w postępowaniu karnym. Szerzej zob. S. Serafin, W. Szmulik, Organy ochrony prawnej RP, C.H. Beck, Warszawa 2010.

[iii] Ustawy nie stosuje się w sprawach danych przetwarzanych przez: Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne – w zakresie zapewnienia bezpieczeństwa narodowego. Jak podkreśla się w doktrynie, ustawa – niezgodnie z dyrektywą 2016/680 – wyłącza swoje zastosowanie także do danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych prowadzonych w postępowaniach: (a) w stosunku do nieletnich, (b) karnych, w tym karnych wykonawczych i karnych skarbowych, (c) wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie dla życia, zdrowia lub wolności seksualnej i innych osób. Zob. P. Liwszic, T. Ochocki, Ł. Pociecha, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.

[iv] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (zwaną „dyrektywą policyjną”), Dz.Urz. UE L 119 z 4.05.2016, s. 89-131.

[v] Dz.U. z 2019 r., poz. 12

[vi] Przykładem mogą być definicje wprowadzone przez RODO, które analogicznie stosuje się do DODO jak: administrator danych, dane osobowe, naruszenia ochrony danych osobowych, przetwarzanie danych osobowych. Nadto, oba akty prawne przewidują nadzór jednego organu, tj. Prezesa Urzędu Ochrony Danych.

[vii] We wszystkich sprawach, w których przetwarzanie danych osobowych odbywa się w jednym z wymienionych celów, mają zastosowanie przepisy wdrażające dyrektywę. Istotnym jest, że podmioty odpowiedzialne za ściganie i zwalczanie przestępczości, przetwarzające dane w celach określonych w przywołanym art. 1 pkt 1 ustawy DODO, zobowiązane są również do stosowania przepisów RODO, np. rekrutacją pracowników czy prowadzeniem spraw kadrowych. Oznacza to, że mogą pojawić się sytuacje, w których jeden podmiot zobowiązany będzie do spełnienia równolegle wymagań przewidzianych przepisami ustawy DODO oraz RODO. Szerzej zob. A. Grzelak, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.

[viii] Administratorzy danych zobowiązani do wyznaczenia IOD na podstawie ustawy najczęściej będą równolegle zobowiązani do wyznaczenia IOD na gruncie RODO, a zatem będą mogli wyznaczyć IOD na gruncie dwóch regulacji: art. 46 ustawy DODO oraz art. 37 ust. 1 RODO.

[ix] Rozdział 8 ustawy z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r., poz. 125).

Phishing na miarę nowych czasów. Spoofing, vishing, smishing – co to, jak i dlaczego z tym walczyć?

Oszustwa dokonywane przez przestępców działających nie na ulicach, ale w sieci, nie są niczym nowym, ale działania oszustów są coraz bardziej śmiałe i wyszukane. Od wielu lat problemem jest phishing, wiadomości phishingowe wyglądem przypominają te autentyczne, a ich celem jest nakłonienie nas do ujawnienia poufnych informacji, co w wielu przypadkach skutkuje stratami finansowymi. Są one często skuteczne, bo oszust pisze z adresu pozornie mam znajomego, podszywając się pod instytucję finansową lub firmę usługową. Szata graficzna wiadomości lub fałszywych stron, do których wiadomości te odsyłają, zazwyczaj uniemożliwia szybkie rozpoznanie, że mamy do czynienia z oszustwem. Dopiero po skrupulatnej analizie można zweryfikować prawdziwość korespondencji i ustrzec się przed działaniami niepożądanymi, do jakich nakłania nas oszust.

Przez lata nauczyliśmy się bronić przed zagrożeniami działań phishingowych. Dzięki zachowaniu kilku podstawowych zasad można znacząco zmniejszyć ich szkodliwość i lepiej chronić nasze dane osobowe i środki finansowe. Dziś wiemy, że nie należy podawać swoich danych osobowych tam, gdzie to nie jest niezbędne, a jeśli już zdecydujemy się na podanie danych, to musimy być pewni, że robimy to w sposób bezpieczny. Dobry program antywirusowy, zabezpieczona odpowiednio strona, silne i unikalne hasło dostępu do serwisu, to podstawy bezpiecznego działania w sieci. Coraz częściej uważnie weryfikujemy adresy stron, które nas zachęcają do podjęcia określonych działań. Wiemy, że nie należy klikać w linki zamieszczone w e-mailach i by zwracać uwagę na wszelkie nietypowe działania w sieci.

Testy Socjotechniczne

Oszuści wybierają kolejne narzędzia umożliwiające im przestępczą działalność. Obecnie coraz częściej spotykamy się z podszywaniem się oszustów pod niebudzące podejrzeń numery telefonów, z których odbieramy sms’y (smishing) albo komunikaty głosowe, które mają nas nakłonić do zadzwonienia pod podany numer telefonu. Czasem jest to połączenie z numeru podobnego do lokalnego prefiksu, ale może się zdarzyć, że będzie to kompletny numer, np. podszywający się np. pod biura obsługi klienta firmy telekomunikacyjnej albo dostawcy mediów (spoofing), wykorzystanie telefonu do działań pishingowych (vishing).

Jak oszuści podszywają się pod numer telefonu?

Spoofing telefoniczny, czyli Caller ID Spoofing, jest chętnie wykorzystywany przez oszustów z powodu prostoty, z jaką niemal każdy może podszyć się pod dowolny numer. Powodem są luki w używanych powszechnie protokołach VoiP, w których serwery mają gotowe rozwiązania do modyfikacji wyświetlanych nagłówków, więc „spoofer” by działać nie musi być nawet ekspertem telekomunikacyjnym. W Internecie znaleźć można darmowe narzędzia, które pozwalają wybrać połączenie na dowolny numer i wyświetlić na telefonie odbiorcy znany mu identyfikator – nazwę banku lub zaufanego kontaktu. Takie aplikacje pozwalają wpisać numer osoby, do której oszust chce zadzwonić i numer, jakim chce się przedstawić (ten numer z kolei przestępca mógł pozyskać poprzez wcześniejszy hacking). Sposób wykorzystania tej technologii zależy od przestępcy, który może na przykład poprosić o wykonanie płatności lub przesłanie poufnych danych.

Sam fakt połączenia od podmiotu, z którym wiąże nas umowa nie ma powodów budzić podejrzeń. Natomiast komunikat, który oszust nam przekazuje zawiera zazwyczaj groźbę działań takich jak odłączenie medium (prądu, gazu, telefonu) jeszcze w tym samym lub w kolejnym dniu w wypadku braku natychmiastowego uiszczenia rzekomo zaległej opłaty, w czym pomóc ma przekazany link. Taka informacja może wywołać u odbiory stres, pod wpływem którego osoba ta może podążyć za wskazówkami oszusta bez wcześniejszego sprawdzenia salda swoich opłat, tym bardziej, że zazwyczaj nie ma ona czasu na sprawdzenie czy przestawiona w rozmowie informacja jest prawdziwa. Przestępcy też czasem podszywają się pod członka bliskiej rodziny, znajomych, szybką i niewyraźną mową proszących o pomoc np. po wypadku. Jeżeli oszuści mają choćby podstawowe informacje o nas i naszej rodzinie, to liczą na to, że pod wpływem wywołanych przez nich emocji osiągną swój zamierzony cel.

Przed takim atakiem nie ma technicznej ochrony. Nic nie da zablokowanie numeru telefonu, bo oszuści w każdej chwili mogą podszyć się pod inny numer. Nie pomagają też filtry antyspamowe, bo przecież oszuści podszywają się pod numery telefonów, których zwykle nie traktujemy jako spam. Jedyne, co można zrobić, to być świadomym możliwości wystąpienia ataku i umieć go rozpoznać.

Jak oszuści wykorzystują dane osobowe?

Celem spoofera nie zawsze jest bezpośrednie uzyskanie środków finansowych. Czasami inicjatywa jest zaplanowana na podstępne nakłonienie do przekazania danych, które dopiero w późniejszym czasie posłużą do popełnienia właściwego przestępstwa kradzieży tożsamości. Jeżeli damy się oszukać i nieopatrznie podamy oszustom dane, to może mieć dla nas wiele przykrych, dotkliwych i kosztownych konsekwencji. Jedynie przykładowe z nich to:

Dostęp i opróżnienie konta bankowego.
Otwieranie nowych rachunków bankowych i zaciąganie pożyczek lub otwieranie linii kredytowych.
Zawieranie umów abonamentowych.
Kupowanie towarów na rachunek oszukanej osoby.
Uzyskanie dostępu do poczty e-mail, w celu znalezienia innych poufnych informacji.
Uzyskanie dostępu do kont w mediach społecznościowych w celu dokonania dalszych oszustw.

Spoofing a bezpieczeństwo narodowe

Nie można zapominać, że na opisane powyżej ataki (vishing, smishing) narażeni jesteśmy nie tylko jako osoby prywatne, ale również jako przedsiębiorcy i osoby prawne. Każda forma phishingu – niezależnie od nowej nazwy, która ma ją charakteryzować stanowi zagrożenie dla bezpieczeństwa obrotu gospodarczego. Na ataki spooferów narażeni są też politycy i urzędnicy państwowi. Skala takich przestępstw jest na tyle duża – i wciąż dramatycznie się zwiększa – że problemem poważnie zainteresowały się organy ochrony prawnej m.in. Urząd Komunikacji Elektronicznej i NASK. W szczególności rzecznik UKE ostrzega, że nasilające się ataki spoofingowe nie są przypadkiem ani dziełem naśladowców, lecz związane są z napiętą światową i europejską sytuacją geopolityczną. Dlatego trwają prace nad rozwiązaniami prawnymi, które pozwolą skuteczniej walczyć z nowymi formami phishingu. Ale póki co, przedstawiciele administracji, jak i operatorzy telekomunikacyjni zgadzają się, że trudno będzie całkowicie wyeliminować to zjawisko wyłącznie narzędziami organizacyjnymi. Firmy telekomunikacyjne zapewniają przy tym, że zintensyfikują działania na rzecz modernizacji systemów, żeby utrudnić działanie oszustom.

Jak bronić się przed spoofingiem?

Mam nadzieję, że ataki staną się rzadsze po wdrożeniu przez firmy telekomunikacyjne nowych standardów. Jednak ważna jest również edukacja i istniejących zagrożeniach, jego formach i podstawowych sposobach ochrony. Instytucje powinny szkolić swoich pracowników. Wiedza o zagrożeniach skutecznie pozwala na ich skuteczniejsze unikanie. Lepiej to zrobić zanim zagrożenie będzie miało szansę się zmaterializować. Nasze bezpieczeństwo wzmacnia również skuteczny program antywirusowy.

Jakie dokumenty może pracodawca żądać od pracownika – cudzoziemca, aby być w zgodzie z przepisami RODO?

Zatrudnienie cudzoziemca

W związku z RODO wielu pracodawców ma dylemat, jakie dokumenty mogą się znaleźć w aktach osobowych pracownika – cudzoziemca?

W pierwszej kolejności należy odnieść się do przepisów Kodeksu pracy, albowiem zgodnie z nimi pracodawca może przetwarzać zamknięty katalog danych osobowych (art. 22¹ § 1 i 3) osoby ubiegającej się o pracę oraz pracownika. § 4 Kodeksu pracy daje pracodawcy możliwość żądania podania innych danych osobowych niż określone w tym katalogu, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Pracodawca zatrudniający cudzoziemca w podstawowym zakresie prowadzi i przechowuje jego akta osobowe na takich samych zasadach, jak w przypadku zatrudnienia obywateli polskich. Warunki przyjmowania osób niebędących obywatelami Rzeczpospolitej Polskiej określają przepisy ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej. Zgodnie z jej art. 2 podmiot powierzający wykonywanie pracy cudzoziemcowi ma obowiązek żądać od cudzoziemca przedstawienia przed rozpoczęciem pracy ważnego dokumentu uprawniającego do pobytu na terytorium Rzeczpospolitej Polskiej. Natomiast art. 3 ustawy określa, że pracodawca, który powierza wykonywanie pracy cudzoziemcowi musi przechowywać przez cały okres wykonywania pracy przez cudzoziemca kopię tego dokumentu.

W związku z powyższym, pracodawca ma prawo przechowywać w aktach osobowych dokumentację związaną z zatrudnianiem obcokrajowca, w tym kopię paszportu pracownika, gdyż to on występuje o wydanie jednego z trzech dokumentów legalizujących pracę cudzoziemca w Polsce, wizy czy dokumentów potwierdzających legalność pobytu (tj. zezwolenie na pracę, zezwolenie na pracę sezonową) i zatrudnienia pracownika (powinny to być kopie). Natomiast zezwolenia na pracę i pracę sezonową umieszczamy w aktach w oryginale, albowiem te dokumenty są wydawane w trzech egzemplarzach, tj. jeden dla urzędu, jeden dla cudzoziemca oraz jeden dla pracodawcy.

Przetwarzanie danych osobowych dotyczących pobytu na terenie Polski, wykraczających poza katalog wskazany w art. 22¹ Kodeksu pracy, będzie odbywało się zatem na podstawie art. 6 ust. 1 lit. c RODO, czyli obowiązku prawnego administratora, jaki ma pracodawca, w związku z wspomnianymi wyżej przepisami ustawy o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczpospolitej Polskiej.

Webinar: RODO w branży e-commerce – niezbędnik na rok 2022!

Zapraszamy na webinar firmy działające w branży e-commerce do zapoznania się z niezbędnikiem RODO na 2022 rok. Wiele firm z branży e-commerce zastanawia się czy podejmowane działania są zgodne z RODO, czy ich sklep internetowy ma odpowiedni regulamin lub jakie jest niezbędne minimum zgodności z RODO, które powinien spełniać i co jest najważniejsze.

Podczas naszego webinaru, przedstawimy Państwu odpowiedzi na poniższe pytania:

1. RODO jako system oparty o analizę ryzyka – co jest najważniejsze?

2. Najczęstsze błędy na przykładach z branży e-commerce:

Regulamin strony internetowej
Polityka cookies i polityka prywatności
Zgody marketingowe
Profilowanie

3. Kiedy, jak i czy w Twojej organizacji należy powołać inspektora ochrony danych?

4. Jakie są różnice pomiędzy zadaniami inspektora a koordynatora ds. danych osobowych?

Zapraszamy!

Zapisy na wydarzenie odbywają się poprzez platformę Clickmeeting:

>>>Zarejestruj się <<<

e-TOLL, RODO, a monitoring pracowniczy

1 grudnia 2021 r. uległ zmianie pobór opłat na części państwowych odcinkach płatnych dróg w związku z wprowadzeniem systemu e-TOLL. Na odcinkach Konin – Stryków (autostrada A2) i Wrocław – Sośnica (autostrada A4) kierowcy pojazdów nie mają obecnie już możliwości opłacenia przejazdu przy tzw. bramkach. W sytuacji zatem, gdy lokalizacja pracownika będzie podlegała monitoringowi, należy zapewnić przetwarzanie danych osobowych zgodnie z przepisami RODO¹ , jak i Kodeksu pracy² .

System e-TOLL

Czym jest e-TOLL? System e-TOLL opierający się na technologii pozycjonowania satelitarnego zastąpił dotychczasowy viaTOLL, który wykorzystywał technologie komunikacji bliskiego zasięgu (DSRC). Obecnie kierowcy mają możliwość opłacenia przejazdu za pomocą:

Urządzenia pokładowego OBU, który wymaga wyposażenia pojazdu w urządzenie pokładowe lub zewnętrznego systemu lokalizacyjnego (ZSL). Dane geolokalizacyjne przesyłane są do systemu e-TOLL za pośrednictwem transmisji danych.
Zewnętrznego systemu lokalizacyjnego (ZSL), który wymaga instalacji w pojeździe i aktywacji usługi e-TOLL.
Aplikacji mobilnej e-TOLL.
Opłacenia przejazdu w punkcie stacjonarnym lub poprzez inne aplikacje mobilne.

Brak uiszczenia opłaty w terminie zagrożone jest karą w wysokości do 500 złotych. Kolejno, oprócz obowiązku uiszczenia opłaty za przejazd, w sytuacji, gdy pracodawca otrzymuje informacje o lokalizacji pracownika, zobowiązany jest do wdrożenia przepisów dotyczących ochrony danych osobowych. Nowy system poboru opłat wiąże zatem wielu pracodawców do uregulowania przedmiotu monitoringu pracowniczego w organizacji w związku z wprowadzeniem systemu e-TOLL.

e-TOLL a ochrona danych osobowych

Zgodnie z art. 4 ust. 1 lit. a) RODO do danych osobowych należy zaliczyć m.in. dane o lokalizacji. W polskim porządku prawnym, krajowy ustawodawca w art. 22[3] Kodeksu pracy określił możliwość stosowania monitoringu wyłącznie w dwóch celach. Do celów tych zalicza się niezbędność przetwarzania do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Niewątpliwie, monitoring lokalizacji pracownika w związku z użytkowaniem przez niego mienia organizacji znajduje się w katalogu celów wskazanych przez ustawodawcę krajowego. Na marginesie należy wskazać, iż podstawę przetwarzania należy każdorazowo określić w dostosowaniu do celu przetwarzania, jak i podmiotu danych.

Niemniej, w związku z monitoringiem wiąże się szereg obowiązków, które zobowiązany jest zrealizować przedsiębiorca. W szczególności należą do nich:

1. Realizacja obowiązku informacyjnego z art. 13 i 14 RODO.

Dla nowych pracowników rekomendowanym jest przekazanie obowiązku informacyjnego uwzględniającego cel przetwarzania związany z monitoringiem na etapie onboardingu. W stosunku zaś do obecnych pracowników, pracodawca również zobowiązany jest do realizacji obowiązku informacyjnego z uwagi na określenie nowego celu przetwarzania. Oznacza to, iż w związku z wprowadzeniem monitoringu, może zachodzić konieczność ponownego realizowania obowiązku informacyjnego, gdy nie dochodzi do wyłączenia określonego w art. 13 i 14 RODO. Jednocześnie należy wskazać, iż Europejska Rada Ochrony Danych w wytycznych 01/2020 wskazuje, iż dozwolonym jest również ograniczenie pisemnej informacji poprzez wprowadzenie na przykład ikon w celu zwiększenia przejrzystości informacji.

2. Poinformowanie pracowników o stosowaniu monitoringu przed przystąpieniem pracownika do pracy lub co najmniej 2 tygodnie przed jego uruchomieniem.

Zgodnie z art. 22[2] Kodeksu pracy, pracodawca zobowiązany jest do poinformowania pracowników o stosowaniu monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu. Jednocześnie warto zwrócić uwagę, iż ustawodawca wprowadził obowiązek przekazania informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu wobec pracowników, którzy zostaną dopuszczeni do pracy.

3. Pojazd, który jest monitorowany powinien zostać odpowiednio oznakowany.

Kodeks pracy w art. 22[2] wskazuje również obowiązek odpowiedniego oznaczenia pojazdu, który jest objęty monitoringiem. Oznaczenie powinno być widoczne i czytelne. Ustawodawca wprowadził możliwość oznaczenia za pomocą znaków, jak i ogłoszeń dźwiękowych. Dodatkowo, określono, iż termin nie powinien przekraczać jednego dnia przed jego uruchomieniem.

4. Określenie okresu retencji danych osobowych.

Pracodawca jako niezależny administrator danych zobowiązany jest do określenia okresu przetwarzania danych osobowych dotyczących lokalizacji pracownika. Okres ten nie powinien być dłuższy, niż jest to konieczne do celów, dla których dane zostały pobrane lub dla których są przetwarzane.

5. Przeprowadzenie testu DPIA.

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony³ , przetwarzanie danych lokalizacyjnych zostało zakwalifikowane jako rodzaj operacji przetwarzania wymagający przeprowadzania oceny skutków dla ochrony danych. Administrator zatem dokonując przetwarzania, został zobligowany przez organ nadzorczy do przeprowadzania dodatkowej analizy. Test DPIA pozwoli administratorowi zweryfikować podatności, jak i wdrożyć odpowiednie środki w celu zmniejszenia wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Konkludując, wraz z wprowadzeniem systemu płatności e-TOLL w organizacji, kluczowym jest również właściwa implementacja przepisów dotyczących ochrony danych osobowych. Odpowiednie wprowadzenie monitoringu w przedsiębiorstwie zapewni zgodność z prawem przy jednoczesnym dostosowaniu do nowych możliwości technologicznych.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy, Dz. U. z 2020 r., poz. 1320, z 2021 r. poz. 1162

[3] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Dz. U. poz. 666)