Sankcje, kary finansowe RODO

Od dnia 25 maja 2018 roku zastosowanie będzie miało ogólne Rozporządzenie o ochronie danych osobowych („RODO”), które zastąpi obecnie obowiązującą ustawę o ochronie danych osobowych. RODO wprowadza szereg zmian, również w zakresie sankcji za nieprzestrzeganie przepisów o ochronie danych osobowych. Przepisy te mogą mieć znaczący wpływ na funkcjonowanie przedsiębiorstwa, dlatego należy zwrócić na nie szczególną uwagę.

Administracyjne kary pieniężne

Za nieprzestrzeganie przepisów RODO grożą surowe kary pieniężne. Maksymalny wymiar kary administracyjnej wynosi do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kara wyższa).

Administracyjne uprawnienia organu nadzorczego

Oprócz administracyjnych kar pieniężnych, organ nadzorczy został wyposażony w szereg uprawnień. Organ nadzorczy może wysyłać między innymi upomnienia, ostrzeżenia, nakazać spełnienie żądania osoby, której dane dotyczą. Zgodnie z projektem ustawy o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych zastępujący funkcjonującego dziś GIODO będzie odpowiedzialny za przeprowadzenie postępowań kontrolnych w przedmiocie przestrzegania danych osobowych i wszcząć postępowanie w przypadku stwierdzenia ich naruszenia.

Odpowiedzialność cywilna

Należy pamiętać, iż oprócz odpowiedzialności administracyjnej na administratorze oraz podmiocie przetwarzającym ciąży również odpowiedzialność cywilna.

W przypadku naruszenia przepisów o ochronie danych osobowych, administrator danych lub podmiot przetwarzający może zostać zmuszony do zapłaty odszkodowania za szkodę, która wynikła w wyniku naruszenia przepisów RODO. Ponadto zgodnie z projektem nowej ustawy o ochronie danych osobowych, osoba, która uważa, iż jej prawa dotyczące ochrony danych osobowych zostały naruszone może wystąpić z roszczeniem o zaniechanie takiego działania lub żądać usunięcia jego skutków.

Nie przestrzegając przepisów o ochronie danych osobowych może dojść również do naruszenia dóbr osobistych i w konsekwencji do wystąpienia przez osobę, której dobra osobiste zostały naruszone z roszczeniem o zadośćuczynienie.

Odpowiedzialność karna

RODO nie przewiduje sankcji karnych, natomiast państwa członkowskie mogą ustanowić również inne sankcje niż te, które przewiduje RODO. Projekt ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną za udaremnianie lub utrudnianie prowadzenia postępowania kontrolnego, oraz przetwarzanie bez podstawy prawnej tzw. szczególnej kategorii danych czyli danych wrażliwych.

Możliwość nakładania kar przez organ nadzorczy (w Polsce PUODO) jest jedną z kluczowych zmian, którą wprowadza RODO. Wysokość kar sprawia, że mogą być one bardzo dotkliwe dla przedsiębiorstw, które naruszą przepisy dotyczące ochrony danych osobowych. W artykule 82 RODO określony został szereg okoliczności, które organ nadzorczy powinien wziąć pod uwagę decydując o nałożeniu oraz wysokości nałożonej kary. Ustalenie wysokości kar stanowi swoiste novum na gruncie przepisów unijnych, dlatego Grupa Robocza Artykułu 29 wydała wytyczne dla organów nadzorczych w sprawie ustalania wysokości kar administracyjnych, precyzując okoliczności wykonania przez PUODO swoich uprawnień w tym zakresie. Nasuwa się więc pytanie, czy przedsiębiorcy mogą podjąć jakieś kroki w celu uniknięcia lub złagodzenia kary w przypadku zidentyfikowania naruszenia?

Zgodnie z nowymi wytycznymi działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez podmioty danych, są najbardziej istotne w przypadku ustalania wysokości kary, a w sytuacjach spornych mogą nawet rozstrzygnąć czy kara zostanie nałożona czy udzielone zostanie jedynie upomnienie. Grupa Robocza wskazuje, że kroki podjęte przez organizację mogą obejmować w szczególności poinformowanie innych administratorów oraz procesorów, którzy mogą być zaangażowani w naruszenie oraz podjęcie w odpowiednim czasie działań powodujących ustanie skutków naruszenia.

Przedsiębiorcy są zobowiązani do współpracy z organem nadzorczym w przypadku wykrycia przez organ naruszenia. Stopień takiej współpracy, mimo wskazania go w artykule jako przesłanki, nie będzie miał znaczącego wpływu na decyzję organu o karze. Działania organizacji podczas współpracy z organem, które sprawiły, iż znacząco zostały ograniczone skutki takiego naruszenia lub wpływ naruszenia na podmioty danych został znacząco ograniczony, mogą jedynie w ograniczonych przypadkach stanowić okoliczność łagodzącą.

RODO nakłada na przedsiębiorców obowiązek zgłaszania naruszenia do organu nadzorczego, dlatego również samo zgłoszenie takiego naruszenia do organu nie będzie miało wpływu na zmniejszenie wymiaru kary. Z kolei samo zaniechanie wypełnienia tego obowiązku może spowodować zwiększenie wysokości kary.

Kary administracyjne wyrażone w RODO, mają w założeniu prawodawcy unijnego, zapewnić faktyczną możliwość egzekwowania przez organy nadzorcze przepisów rozporządzenia. Nie wiadomo jak będzie kształtować się praktyka co do nakładania i ustalania wysokości kar. Przedsiębiorcy powinni stosować przepisy RODO w swojej organizacji, by uniknąć ewentualnych, dotkliwych sankcji.

Wystarczyło niespełna 5 miesięcy od kiedy RODO zaczęło obowiązywać na terenie Unii Europejskiej, żeby jeden z krajowych organów nadzorczych nałożył pierwszą w historii karę pieniężną. Mowa tu o austriackim odpowiedniku naszego PUODO, tzn. Datenschutzbehörde (DSB), który zdecydował o ukaraniu jednej ze spółek karą w wysokości 4,800 euro za naruszenie postanowień rozporządzenia. Zgodnie z informacjami uzyskanymi od samego DSB, „informacja o nałożeniu kary jest zgodna z prawdą, jednakże sprawa ta nie została jeszcze zakończona, gdyż spółka ma prawo odwołać się od decyzji o nałożeniu kary w ciągu 4 tygodni od jej nałożenia. W związku z tym, wspomniana wcześniej decyzja nie została dotychczas opublikowana w austriackim systemie informacji prawnych”.

DSB miało interweniować w sprawie niezgodnego z prawem monitoringu CCTV prowadzonego przez ukaraną spółkę, której kamera została ustawiona tak, że obejmowała poza wejściem do biura, również dużą część chodnika (przestrzeni publicznej). Organ wskazał ponadto, że system monitoringu miał być niezgodny z wynikającą z RODO regułą przejrzystości (transparency), gdyż ukarany nie zadbał o właściwe oznaczenie kamer.

O ile wysokość tej kary nie jest imponująca (zwłaszcza w porównaniu z maksymalnymi stawkami, które mogą nakładać krajowe organy), to o wiele ciekawszy wydaje się fakt, iż spółka została finansowo ukarana bez wcześniejszego ostrzeżenia ze strony DSB. Zgodnie z 148 motywem RODO, organy nadzorcze dostały inne narzędzia poza możliwością nakładania kar pieniężnych, niezbędnych do skutecznego egzekwowania przepisów rozporządzenia. Przykładem może być udzielane w pierwszym kroku upomnienie.  Jednak jak twierdzą przedstawiciele naszego krajowego organu nadzorczego, administratorzy danych którzy znani byli wcześniej z łamania przepisów o ochronie danych osobowych, nie powinni liczyć na taryfę ulgową, lecz mogą spodziewać się właśnie nakładania kar finansowych bez wcześniejszego uprzedzenia.

Nie może też dziwić, że to akurat w Austrii odnotowano pierwszy przypadek ukarania pod rządami RODO. Znany jest fakt przywiązania władz oraz obywateli tego kraju do ochrony prywatności oraz danych osobowych. Wystarczy wspomnieć, że Austria w związku z rygorystyczną polityką prywatności, jest dziś jedną z ostatnich białych plam w Europie w aplikacji Google Street View. Amerykańska firma nie była w stanie spełnić wymagań strony austriackiej w związku z czym, poza kilkoma szczególnymi punktami nie zobaczymy w tym systemie ulic miast i wsi Austrii.

Nie wiemy dziś czy kara ta zostanie utrzymana, jednak w przypadku podtrzymania wydanej przez DSB decyzji możemy spodziewać się nawet lawiny kar w całej Europie w związku z przetwarzaniem danych z wykorzystaniem monitoringu CCTV. Administratorzy, na przykładzie ukaranej organizacji, muszą mieć zatem na uwadze takie kwestie jak odpowiednie oznaczenie kamer, czy też nagrywanie jedynie własnego terenu z wyłączeniem miejsc publicznych znajdujących się w pobliżu spółki.

CNIL (Commission Nationale de l’Informatique et des Libertés), czyli francuski organ nadzorujący przestrzeganie przepisów o ochronie danych osobowych, nałożył 50 milionów euro kary na Google za naruszenie przepisów RODO. Firma najprawdopodobniej odwoła się od tej decyzji.

W kilka dni po rozpoczęciu stosowania przepisów RODO, CNIL otrzymał od dwóch organizacji skargi związane z działalnością Google, które złożone zostały w imieniu ponad 10 tysięcy osób. Zarzuty dotyczyły braku podstawy prawnej do przetwarzania danych osobowych użytkowników usług świadczonych przez Google, w tym wykorzystywania tych danych do wyświetlania spersonalizowanych reklam. W sprawę zaangażowany był również Maks Schrems, znany aktywista na rzecz ochrony prywatności.

W celu rozpatrzenia skarg, CNIL zbadał proces zakładania i konfiguracji konta na urządzeniach mobilnych z systemem Android, w tym dokumenty, klauzule i regulaminy kierowane w tym przypadku do użytkowników.

W wyniku przeprowadzonej analizy francuski organ nadzorczy stwierdził dwa rodzaje naruszeń.

Po pierwsze, zarzucił Google naruszenie obowiązków dotyczących przejrzystości i informacji. W ocenie CNIL ogólna struktura podawanych informacji nie odpowiada wymogom RODO. Niezbędne informacje, takie jak określenie celów przetwarzania danych, okresów ich przechowywania lub kategorii danych osobowych wykorzystywanych do personalizowania reklam, są nadmiernie rozproszone w wielu dokumentach, z przyciskami i linkami, kierującymi użytkownika do kolejnych dokumentów. Użytkownik potrzebuje nawet do 5-6 działań, aby zapoznać się z odpowiednimi informacjami. Dodatkowo CNIL wskazał, iż informacje są przedstawiane w sposób zbyt ogólny i niejasny.

Drugi zarzut dotyczył naruszenia obowiązku posiadania podstawy prawnej do przetwarzania danych osobowych w celu personalizowania reklam. CNIL ocenił, że zgoda użytkownika na przetwarzanie danych w tym celu, którą legitymuje się Google nie jest w sposób prawidłowy uzyskiwana. Zarówno forma zbierania zgód (łączenie kilku zgód w ramach warunków korzystania z usług), jak również jej treść (rozproszenie w kilku dokumentach, niejasna treść) nie odpowiadają wymogom RODO.

Uzasadniając wysokość nałożonej kary CNIL wskazał, że naruszenie dotyczy podstawowych zasad RODO: przejrzystości informowania oraz warunków pozyskiwanych zgód i pozbawia użytkowników podstawowych gwarancji dotyczących operacji przetwarzania danych osobowych, które mogą ujawnić elementy ich życia prywatnego, ponieważ opierają się na dużej ilości danych oraz szerokiej gamie usług.

Organ podniósł również fakt, iż system operacyjny Android ma na rynku francuskim ważne miejsce i tysiące Francuzów codziennie tworzą konto Google podczas korzystania ze smartfona. Ponadto model ekonomiczny przedsiębiorstwa jest częściowo oparty na wyświetlaniu personalizowanych reklam, a naruszenie ma charakter ciągły.

Brytyjski organ nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych (Information Commissioner’s Office) nałożył na lotnisko Heathrow w Londynie karę w związku z wyciekiem danych osobowych.

Zdarzenie, które było przedmiotem postępowania miało miejsce w październiku 2017 roku, a więc pod rządami poprzednich przepisów. Data jego wystąpienia jest na tyle istotna, iż w brytyjskich mediach można spotkać się ze sformułowaniem, że port lotniczy „uciekł” przed wysokimi karami RODO. Na tle obecnie grożących kar administracyjnych (nawet 20 mln euro) 120 tysięcy funtów można faktycznie odbierać jako niski koszt (maksymalnie w ówczesnym stanie prawnym administratorom danych groziła kara w wysokości 500 tysięcy funtów).

Incydent polegał na zgubieniu przez pracownika lotniska pendrive’a, na którym znajdowało się 2,5 gigabajtów poufnych informacji. Osoba, która znalazła urządzenie, przejrzała jego zawartość przy użyciu komputera dostępnego w publicznej bibliotece, a następnie przekazała ją do lokalnej gazety, która po skopiowaniu danych, przekazała pendrive z powrotem lotnisku.

Dysk zawierał ponad 1000 plików i nie był w żaden sposób zabezpieczony (brak hasła, brak szyfrowania).

O ile liczba plików zawierających dane osobowe była stosunkowo niewielka, to jednak ich „ciężar gatunkowy” był dosyć duży – jeden z nich zawierał np. wideo szkoleniowe, które ujawniało dane dziesięciu osób, w tym nazwiska, daty urodzenia, numery paszportów, a także inne informacje na temat blisko 50 członków personelu ochrony lotniska.

Brytyjski organ nadzorczy w toku dochodzenia stwierdził również, że tylko 2% z 6500 pracowników zatrudnionych przez lotnisko Heathrow zostało przeszkolony w zakresie ochrony danych. Ponadto, powszechne korzystanie z przenośnych nośników było sprzeczne z wewnętrzną polityką portu lotniczego, a środki zapobiegające pobieraniu danych osobowych na nieautoryzowane lub nieszyfrowane nośniki były nieefektywne.

Poza danymi osobowymi pendrive zawierał również inne poufne informacje, w tym m.in.:

1. Informacje o dokładnej trasie, którą Elżbieta II przemieszcza się podczas korzystania z lotniska oraz środki bezpieczeństwa stosowane w celu jej ochrony;
2. Harmonogram patroli ochraniających teren lotniska przed zamachowcami-samobójcami i atakami terrorystycznymi;
3. Mapy wskazujące rozmieszczenie kamer CCTV oraz sieć tuneli i szybów ewakuacyjnych połączonych z Heathrow Express;
4. Drogi i zabezpieczenia dla ministrów i zagranicznych dygnitarzy;
5. Szczegóły systemu radarowego ultradźwięków stosowanego do skanowania dróg startowych i ogrodzenia lotniska.

Źródła:

https://securityboulevard.com/2018/10/heathrow-airport-escapes-hefty-gdpr-fine-gets-only-120000-under-1998-dpa-for-2017-privacy-breach-incident/

https://www.telegraph.co.uk/technology/2018/10/08/heathrow-airport-fined-120000-serious-data-breach/

Po 10 miesiącach od wejścia w życie najsłynniejszego unijnego rozporządzenia 2018 roku, doczekaliśmy się pierwszej kary finansowej w Polsce. Tym samym, po informacjach między innymi z Francji oraz Portugalii, Polska dołączyła do grona państw, które podjęły najostrzejsze kroki w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych.

Jak poinformowała Prezes Urzędu Ochrony Danych Osobowych, zdecydowała ona o nałożeniu relatywnie wysokiej kary w wysokości 943 tysięcy złotych. Zgodnie z informacjami Urzędu, kara została nałożona na spółkę, która w celach zarobkowych przetwarzała dane pochodzące z powszechnie dostępnych źródeł takich jak REGON oraz Centralna Ewidencja i Informacja o Działalności Gospodarczej, bez spełnienia obowiązku informacyjnego. Administrator twierdził, iż nie spełnił obowiązku ze względu na ogromne koszty przeprowadzenia takiej operacji (mowa o ok. 6 milionach osób). Jednak kroki, które Administrator danych podjął tj. wysłanie klauzuli informacyjnej do osób, których adres e-mail posiadał oraz umieszczenie jej na swojej stronie internetowej zostały uznane przez Prezes UODO za niewystarczające.

Jednocześnie podkreślone zostało, iż według UODO naruszenie miało charakter umyślny, a Administrator nie podjął kroków mających na celu usunięcie naruszeń co zdecydowało o nałożeniu na spółkę wysokiej kary finansowej.

Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę finansową na administratora przetwarzającego dane osobowe niezgodnie z RODO. W tym przypadku naruszenie dotyczyło bezpodstawnej publikacji danych, a ukaranym podmiotem został związek sportowy (nieujawniony).

Z decyzji PUODO wydanej 25 kwietnia 2019 roku wynika, że naruszenie bezpieczeństwa danych osobowych polegało na ujawnieniu danych osobowych sędziów, którzy uzyskali w 2015 roku licencje na prowadzenie zawodów sportowych. Związek opublikował dane 585 osób, ale można się domyślać, że sama liczba poszkodowanych nie była przesądzająca. Istotą naruszenia był katalog opublikowanych danych, w którym znalazły się imiona, nazwiska, numery PESEL oraz adresy zamieszkania.

Publikacja danych miała miejsce na stronach internetowych związku i interesujący jest fakt, że dane były dostępne przez blisko trzy lata – od października 2015 roku do lipca 2018 roku. Jednocześnie dowiadujemy się, że przyczyną publikacji były „wewnętrzne działania niezamierzone”, co jest zastanawiające biorąc pod uwagę długi okres trwania naruszenia. Związek zidentyfikował incydent, poinformował osoby, których dane zostały ujawnione oraz zgłosił ten fakt Prezesowi UODO. Skargę złożył też jeden z sędziów, dotkniętych naruszeniem.

Warto zwrócić uwagę na dwa elementy decyzji Prezesa UODO, które miały wpływ na zasądzenie i wysokość kary. Po pierwsze, zakres opublikowanych danych, który w ocenie Prezesa nie był uzasadniony powodami faktycznymi (przyznał również, że opublikowanie wyłącznie imion, nazwisk i miejscowości byłoby wystarczające z punktu widzenia celów administratora) oraz fakt, że ujawniony zestaw danych mógł posłużyć „do zawierania stosunków prawnych lub zaciągania zobowiązań w imieniu osób, których dane ujawniono, bez ich wiedzy, a także do rozporządzania ich prawami.”

Po drugie, działania związku w celu usunięcia naruszenia okazały się powierzchowne i niewystarczające. Po stwierdzeniu incydentu związek skontaktował się z firmą informatyczną obsługującą stronę internetową i nakazał usunięcie danych, ale jak się później okazało nie sprawdzono czy faktycznie zostało to prawidłowo wykonane. W efekcie, w styczniu 2019 kontrolerzy PUODO bez większego wysiłku znaleźli dane osobowe sędziów w Internecie.

Prezes UODO wydając decyzję wziął pod uwagę dobrą współpracę administratora w trakcie trwania postępowania, usunięcie naruszenia w trakcie postępowania oraz brak dowodów na istnienie szkód dla osób, których dane zostały ujawnione i nałożył 13.000 euro kary (55 750,50 zł).

Źródło: https://uodo.gov.pl/decyzje/ZSPR.440.43.2019

Przetwarzanie danych osobowych bez podstawy prawnej lub odpowiedniego upoważnienia może rodzić konsekwencje nie tylko w postaci kar administracyjnych, lecz także o charakterze odpowiedzialności karnej. Przepis wyrażony w art. 107 ustawy o ochronie danych osobowych przewiduje, że przetwarzanie danych w sytuacji, gdy jest ono z mocy prawa niedopuszczalne lub podmiot przetwarzający nie jest do niego uprawniony, rodzi odpowiedzialność karną w postaci kary grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, bądź – w przypadku danych wrażliwych – aż trzech.

RODO A ODPOWIEDZIALNOŚĆ KARNA

Przepisy unijnego rozporządzenia same w sobie nie przewidują wyciągania konsekwencji prawnokarnych z tytułu niestosowania się do wyrażonych w nim zasad ochrony danych. Istnieje jednak przepis umożliwiający państwom członkowskim UE wprowadzenie takiego rodzaju odpowiedzialności. Jest to art. 84 ust. 1 RODO, zgodnie z którym państwa członkowskie zobowiązane są do przyjęcia wewnętrznych przepisów prawa określających inne niż zawarte w rozporządzeniu sankcje za naruszenia postanowień RODO.  Jak stwierdzono: Sankcje  te muszą być skuteczne, proporcjonalne i odstraszające. Dodatkowo na możliwość zastosowania sankcji karnych w prawie krajowym wskazuje wprost motyw 149 rozporządzenia – „Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego rozporządzenia(…)”.

KIEDY PRZETWARZANIE DANYCH STAJE SIĘ PRZESTĘPSTWEM?

Konstrukcja art. 107 ustawy o ochronie danych pozwala wyodrębnić dwa rodzaje sytuacji rodzące odpowiedzialność karną:

• Gdy przetwarzanie danych osobowych odbywa się pomimo tego, że jest niedopuszczalne.
• Gdy osoba przetwarzająca dane nie jest do tego uprawniona.

Z sytuacją pierwszą będziemy mieli do czynienia, gdy przetwarzanie danych osobowych odbywać się będzie bez istnienia podstawy prawnej wyrażonej w art. 6 RODO lub gdy nie znajdzie zastosowania żadne z wyłączeń zakazu przetwarzania danych szczególnych kategorii opisanych w art. 9 rozporządzenia. W zakresie opisanego typu czynu zabronionego mogą również mieścić się sytuacje, w których administrator zlekceważy odwołanie zgody podmiotu na przetwarzanie danych, bądź nie zaprzestanie przetwarzania po wniesieniu sprzeciwu wobec działań polegających na prowadzeniu marketingu bezpośredniego.

Druga sytuacja polega na przetwarzaniu danych przez osobę nieuprawnioną, czyli nieposiadającą odpowiedniego upoważnienia do przetwarzania danych osobowych nadanego przez administratora lub podmiot przetwarzający. Uprawnienie do przetwarzania danych może również wynikać bezpośrednio z przepisów prawa (np. w przypadku organów kontrolnych administracji publicznej).

KTO MOŻE ODPOWIADAĆ ZA BEZPRAWNE PRZETWARZANIE DANYCH?

Przestępstwo opisane w art. 107 u.o.d.o. ma charakter powszechny, oznacza to, że do odpowiedzialności na jego podstawie może zostać pociągnięty każdy kto umyślnie przetwarza dane bez odpowiedniego upoważnienia lub w sytuacji gdy przetwarzanie danych jest niedopuszczalne. Zakres podmiotów, które potencjalnie mogą zostać pociągnięte do odpowiedzialności może zawierać więc między innymi pracowników przetwarzających dane niezgodnie z zakresem wydanego upoważnienia przez pracodawcę oraz podwykonawców pełniących rolę procesora, przetwarzających dane niezgodnie z umową powierzenia. Fakt, że omawiane przestępstwo można popełnić tylko umyślnie sprawia, że art. 107 nie będzie miał zastosowania do pracowników bądź podwykonawców, którzy nie mają świadomości, że polecenie przetwarzania wydane im przez administratora danych jest bezprawne.

W uzasadnieniu do projektu ustawy o ochronie danych wskazano, że przepisy karne powinny być stosowane w przypadku najcięższych naruszeń przepisów ochrony danych. Miejmy nadzieję, że praktyka orzecznicza podzieli to stanowisko i podstawowymi sankcjami za nieuprawnione przetwarzanie danych pozostanie pozostaną środki administracyjne. Jednak wprowadzenie przepisów karnych do ustawy o ochronie danych osobowych jest mocnym argumentem przemawiającym za dołożeniem należytej staranności do określenia podstaw przetwarzania danych oraz wyznaczeniem precyzyjnych reguł wydawania upoważnień.

Charakter naruszenia przepisów RODO jest w tym przypadku nieco przerażający. Spółka reprezentująca rozgrywki ligi hiszpańskiej, w której uczestniczą takie kluby jak Real Madryt i FC Barcelona, udostępniła kibicom aplikację, za pomocą której mogą oni np. śledzić wyniki meczów, przy czym okazało się, że działanie aplikacji ma również drugie dno – szpiegujące.

Na początek warto wspomnieć, że w chwili prowadzenia postępowania sprawdzającego z aplikacji korzystało ok. 4 milionów kibiców, więc potencjalna liczba osób dotkniętych naruszeniem jest względnie duża.

LaLiga walcząc z procederem wykorzystywania nielegalnych transmisji meczów, wpadła na pomysł wykorzystania smartfonów użytkowników do walki z „piratami”. Aplikacja uzyskując dostęp do mikrofonu smartfona oraz jego lokalizacji w trakcie transmisji meczów, raz na minutę zbierała dźwięk „słyszany” przez mikrofon urządzenia i w połączeniu z lokalizacją namierzała piracki sygnał. Na tej podstawie LaLiga mogła zidentyfikować bary i restauracje, które wyświetlały mecze w swoich lokalach, korzystając z nielegalnego sygnału.

Agencia Española de Protección de Datos (AEPD) – hiszpański organ nadzorczy orzekł, że informacja o takim działaniu i wykorzystaniu aplikacji była nieprzejrzysta dla użytkowników, którzy nie mieli świadomości do czego wykorzystywane są ich smartfony. Dodatkowo organ stwierdził, że użytkownik powinien być proszony o zgodę na wykorzystanie mikrofonu za każdym razem, gdy aplikacja chce z niego skorzystać, a nie – jak miało to miejsce – tylko podczas instalacji aplikacji.

LaLiga poinformowała, że nie zgadza się z interpretacją AEPD i odwoła się od wydanej decyzji. „(…) szczerze wierzymy, że AEPD nie podjęła koniecznych wysiłków, aby zrozumieć, jak to działa.” – podano w komunikacie.

Argumentacja LaLigi opiera się na charakterze działania aplikacji. Spółka przyznała, że pojawiająca się ikona mikrofonu może wprowadzać w błąd, a nawet powodować obawy użytkownika, że aplikacja czegoś słucha, jednak zapewniła, że ta technologia nie może przechwycić ludzkiej rozmowy. System za pomocą algorytmów ma porównywać wzorce dźwiękowe zarejestrowane przez mikrofon urządzenia użytkownika z określonymi plikami audio. Rejestrowany przez aplikację sygnał ma być konwertowany na kod binarny, który jest porównywany z kodem sygnału transmisji przez automatyczny system, który wykonuje operację w czasie krótszym niż jedna sekunda. Sygnał nie jest nagrywany, ani zapisywany. Sprawdzenie ma polegać wyłącznie na tym, czy kod pasuje do oryginalnego kodu emitowanego sygnału. La Liga zapewnia, że tym sposobem nie jest w stanie zarejestrować rozmów lub innych dźwięków.

Jako przykład zastosowania technologii podano mechanizm działania aplikacji Shazam – popularnej „wyszukiwarki” utworów muzycznych, działającej poprzez nasłuchiwanie dźwięku wydobywającego się np. z radia samochodowego, gdy użytkownik aktywuje mikrofon.

W konsekwencji postępowania AEPD nałożyło na spółkę 250 tysięcy euro kary.

Źródło:

https://www.eldiario.es/tecnologia/Agencia-Proteccion-Datos-Liga-microfono_0_908859408.html

Decyzja Prezesa Urzędu Ochrony Danych Osobowych dotycząca ukarania spółki Morele.net administracyjną sankcją pieniężną w wysokości 2 830 410 zł (co stanowi równowartość 660 000 EUR), wzbudziła w ostatnim tygodniu wiele emocji. Wiemy, że doszło do naruszenia integralności i poufności  danych osobowych ponad 2 milionów klientów ukaranej spółki. Wiemy, że przyczyny tego naruszenia Prezes Urzędu dopatrzył się w lukach dotyczących zabezpieczeń po stronie IT, w stosowanych przez administratora systemach. Spróbujmy przeanalizować, czy faktycznie proponowane przez Urząd działania mogłyby uchronić spółkę przed przykrymi konsekwencjami?

Analiza ryzyka

Jednym z obowiązków administratorów danych jest cykliczne przeprowadzanie analiz ryzyka pod kątem naruszenia praw i wolności podmiotów danych, których dane osobowe administrator przetwarza. Z decyzji dowiadujemy się, że spółka dokonywała doraźnych analiz ryzyka dla poszczególnych procesów przetwarzania danych w sposób niesformalizowany. Sposób ten faktycznie może budzić wątpliwości co do poprawności działania, ze względu na brak powtarzalności oraz możliwości weryfikacji i nadzoru zastosowanych w wyniku takiej analizy ryzyka zabezpieczeń i ich skuteczności.

Co niemniej istotne, z przedstawionych w decyzji informacji wynika, że spółka nie sprawdzała w ramach analizy ryzyka potencjalnych ryzyk dla przetwarzanych danych, ale jedynie badała podatności znane już dla wykorzystywanych w procesie przetwarzania komponentów IT. Bazowanie jedynie na zidentyfikowanych już podatnościach aktywów oraz weryfikowanie skuteczności zastosowanych w celu wyeliminowania tych podatności zabezpieczeń, nie wyczerpuje zakresu analizy ryzyka, którą administratorzy danych zobowiązani są przeprowadzać. Takie podejście mogłoby ograniczać się jedynie do ciągłej weryfikacji, czy podmiot posiada oprogramowanie w wersji aktualnej, co ma wykluczać obciążenie znanymi podatnościami, do których nie dostosowano zabezpieczeń. Do sprawdzania aktualności wersji stosuje się dedykowane skanery, czyli zewnętrzne narzędzia bezpieczeństwa, które służą do wykonania testów bezpieczeństwa – ale to podstawowy element stosowany w ramach testów bezpieczeństwa – i jak powszechnie wiadomo, niewystarczający.

Poza tym, że ograniczanie się do weryfikacji aktualności oprogramowania, jest niewystarczające ze względu na obowiązujące przepisy, należy też pamiętać, że nie dla każdego rodzaju komponentu IT będziemy mogli z łatwości wgrać aktualizację. Zdarza się, że ze względu np. na potrzeby ciągłości działania organizacji, nie jesteśmy w stanie wyłączyć z użycia np. serwera, na którym zapisane jest oprogramowanie, dla którego planujemy aktualizację, gdyż to mogłoby zaburzyć w sposób istotny funkcjonowanie całej spółki. Ten problem można rozwiązać stosując co najmniej kilka warstw zabezpieczających. Przykładowo serwery backend’owe mogą zostać oddzielone od frontend’u za pomocą rozwiązań typu reverse proxy, czyli mechanizmów pośredniczących w ruchu pomiędzy nimi. Dzięki temu podatności wykryte w warstwie backend’owej nie są bezpośrednio narażane na wykorzystanie.

Co jednak z pożądanym zakresem analizy ryzyka? Powinien on poza znanymi podatnościami obejmować także podatności potencjalne, czyli takie, dla których nie mamy już wdrożonych czy zaplanowanych zabezpieczeń, ale w stosunku do których powinniśmy dobierać środki zabezpieczające. Zasadą powinno być opieranie systemu zabezpieczeń na więcej niż jednym mechanizmie  bezpieczeństwa, z uwagi na brak istnienia niezawodnego mechanizmu, zapewniającego bezpieczeństwo w 100%.

Zwiększony ruch na bramie sieciowej

Kolejną kwestią podniesioną przez Urząd, jest niestwierdzenie przez spółkę zwiększonego ruchu na bramie sieciowej w czasie, gdy dochodziło do pobierania bazy danych klientów, pomimo iż spółka deklarowała nieprzerwane monitorowanie ruchu sieciowego w trybie 24/7.

Czy faktycznie za pomocą stosowanego monitoringu ruchu sieciowego można byłoby wykryć włamanie do bazy i zapobiec jego skutkom? Z prostego ćwiczenia (które każdy z nas może przeprowadzić) wynika, że plik tekstowy zawierający 2 miliony rekordów danych logowania zajmuje kilkadziesiąt MB. Przepływ takiego pliku z punktu widzenia monitorowania ruchu sieciowego nawet małej organizacji jest nieistotny. Plik z danymi klientów, wygenerowany w odpowiedzi na zapytanie włamującego i wysłany do niego, powoduje ruch sieciowy zbliżony do tego, jaki generuje kilku użytkowników. Zatem z punktu widzenia monitorowania sieci, trudno byłoby zauważyć coś niepokojącego.

Inaczej zdecydowanie sytuacja przedstawia się z punktu widzenia monitorowania bazy danych. Jedno duże zapytanie, które w odpowiedzi zwróciło jednemu zewnętrznemu użytkownikowi kilka milionów rekordów, powinno zostać zauważone i sprawdzone. Potencjalnym zagrożeniem dla danych osobowych jest możliwość włamania się do bazy z zewnątrz. Włamanie takie może być skutkiem np. odpowiednio zdefiniowanego zapytania w języku SQL, wykorzystującego podatność typu SQL injection. Znane są jednak powszechnie narzędzia służące do wykrywania tego typy ataków, jak również narzędzia do monitorowania zapytań do baz danych. Korzystanie z takich narzędzi, adekwatnych do przetwarzanych danych oraz stosowanych rozwiązań IT, pozwala ograniczyć ryzyko nieuprawnionego dostępu do bazy, a w konsekwencji wycieku danych.