120 dni od wejścia RODO – co się zmieniło
Od pierwszych dni maja z każdym dniem wzrastał niepokój przedsiębiorców, a wiele osób z poczuciem niepewności wyczekiwało 25 maja i wejścia RODO. Medialny przekaz potęgował to uczucie, a kara 20 mln euro lub 4 % obrotu przewijała się prawie w każdej medialnej publikacji.
Na szczęście Ministerstwo Cyfryzacji w ostatnich dniach przed wejściem RODO opublikowało komunikat że będzie ścigać wszystkich „RODO terrorystów” i osoby lub przedsiębiorstwa straszące lub grożące podmiotom które nie wdrożyły jeszcze zasad ochrony danych osobowych.
W Polsce trwała walka z czasem i w iście ekspresowym tempie wprowadzano nową ustawę o ochronie danych osobowych. 10 maja Sejm uchwalił Ustawę, 23 maja została podpisana, 24 maja opublikowano ją w Dzienniku Ustaw (Dz.U 2018 poz. 1000), uff…. zdążyliśmy dostosować polskie przepisy przed 25 maja.
Co prawda Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO) jeszcze nie została uchwalona (zawiera zmiany dotyczące Kodeksu Pracy, oraz zmiany w Ustawie o świadczeniu usług Turystycznych), ale jest już w procedowaniu i powinna zostać uchwalona w najbliższym czasie przez Sejm.
RODO głupoty ….
Oczywiście przy okazji wprowadzania RODO pojawiły się różne nadinterpretacje, a „specjaliści” od wdrożeń zalecali aby np. w szpitalu nie umieszczać imienia i nazwiska na kroplówce dla pacjentów, zakryć nagrobki na których są imiona i nazwiska osób żyjących. Nie wiadomo czy śmiać się czy płakać nad taką kreatywnością…
W przypadku hoteli, wiele z nich dostało od swoich kluczowych kontrahentów do podpisania umowy powierzenia danych. Niektórzy prawnicy stwierdzili że kontrahent który rezerwuje nocleg przekazując dane osobowe pracownika przedsiębiorstwa, powierza jego dane i dochodzi do umowy powierzenia, a hotel staje się podmiotem przetwarzającym.
Niezbędne były tłumaczenia że w takim przypadku dochodzi do przekazania danych pomiędzy dwoma administratorami. Na szczęście większość zrozumiała od razu swoje błędne podejście, a reszta wycofała się z tego pomysłu po mniej więcej miesiącu od wejścia RODO.
Pierwsze pozwy.
Kilka godzin po wejściu RODO, Max Shrems austriacki prawnik i aktywista na rzecz ochrony prywatności, oraz założyciel organizacji NOYB None of Your Business (Nie Twój interes) złożył pozwy przeciwko amerykańskim gigantom na łączną kwotę 7.6 mld Euro.
Pozew został złożony przeciwko Google na 3,7 mld Euro przed Francuskim organem nadzorczym CNIL, oraz łącznie na 3,9 mld Euro przeciwko Facebook-owi (Facebook, Instagram, WhatsApp po 1,3 mld euro przeciwko każdemu ) przed różnymi organami w Europie (Belgia, Niemcy, Austria). Tak wysokie kwoty wynikają z wyliczenia 4% rocznego obrotu tych firm.
Warto przypomnieć że w marcu tego roku Facebook przegrał przed sądem Belgijskim sprawę za naruszanie prywatności obywateli belgijskich. Facebooka oskarżyła belgijska organizacja zajmująca się prawami człowieka. Sąd nakazał też firmie usunięcie wszelkich danych dot. belgijskich obywateli, które Facebook zebrał nielegalnie – włączając w to osoby, które nie są nawet użytkownikami tej platformy społecznościowej.Za każdy dzień zwłoki, w podporządkowaniu się wyrokowi Facebook musi zapłacić karę 250 tys. euro (lub łącznie maksymalnie 100 milionów euro).
Pierwsze wyroki w Europie.
W dniu 7 czerwca 2018r. francuski organ nadzorczy (CNIL) opublikował decyzję, w której nałożył na firmę Optical Center karę pieniężną w wysokości 250.000 euro, za niedostateczne zabezpieczenie danych osobowych swoich klientów.
Na firmę została już raz została nałożona kara pieniężna za naruszenie bezpieczeństwa danych osobowych w 2015r., stąd tak wysoka kara, która jest najwyższą jaka kiedykolwiek została nałożona we Francji za naruszenie bezpieczeństwa danych osobowych.
Pierwsze wpadki w Polsce w branży turystycznej.
Klienci Travelplanet.pl oraz Wakacje.pl padli ofiarą oszustów którzy mieli dostęp do bazy danych tych operatorów. Otrzymali oni maile z prośbą o wpłatę na fikcyjne konto bankowe do zarezerwowanej wcześniej wycieczki. Całość szczegółowo opisał portal niebezpiecznik.pl https://niebezpiecznik.pl/post/travelplanet-pl-oszustwo-doplaty-falszywe-e-maile/
Na razie nie podano czy sprawą zajął się już PUODO lub sąd.
Wielka wpadka w branży hotelarskiej.
W ostatnich dniach sierpnia dziennik ChinaDaily poinformował, że baza danych sieci grupy hotelowej Huazhu Hotels Group została wystawiona na sprzedaż na Dark Webie.
Huazhu Hotels Group jest jedną z wiodących sieci hotelowych w kraju, w której działa 13 marek w niemalże tysiącu miast.
Wyciek danych dotyczył około 500mln rekordów, ponad 123 mln klientów jednej z sieci hoteli.
Dane klientów pochodzą z około 3000 Hoteli i zostały sprzedane za 8 bitcoinów (ok. 54.000 USD).
Baza ma wielkość 141 gigabajtów i zawiera 240 mln rekordów z informacjami tj. imię i nazwisko, numer telefonu, numery i serie dowodów tożsamości, data urodzenia, adresy e-mail oraz, dane o kartach płatniczych używanych do rezerwacji noclegów.
W rejestrze znajdują się również informacje na temat pobytów gości: daty, godziny zameldowania i wymeldowania z hotelu, obciążenia z pozostałych działów.
Jak podaje China Daily, wyciek danych dotyczy najprawdopodobniej hoteli Hanting Hotel, Crystal Orange Hotel, CitiGo, Grand Mercure i innych należących do grupy Huazhu Hotels.
Trwa dochodzenie w tej sprawie, odpowiednie organy zostały już powiadomione.
Chińska firma cyberbezpieczeństwa Zibao zweryfikowała dane i stwierdziła, że są autentyczne. Rzecznik prasowy Zibao, wraz z innymi badaczami bezpieczeństwa, powiedział, że incydent miał miejsce na początku bieżącego miesiąca. Stwierdzili oni, że przyczyną naruszenia może być błąd programistów pracujących na zlecenie grupy hotelowej, którzy kopie niezabezpieczonych baz danych umieścili na otwartej platformie GitHub.
http://www.chinadaily.com.cn/a/201808/30/WS5b87422aa310add14f3888d9.html
PUODO, czyli nowy polski organ nadzorczy zamiast GIODO
Przez pierwsze trzy miesiące od wejścia RODO wpłynęło blisko 2500 skarg do Polskiego organu nadzorczego. Dla porównania w całym roku 2017 było ich nieco ponad 2000.
Jedną z pierwszych wytycznych ogłoszonych przez PUODO były wytyczne dotyczące stosowania monitoringu wizyjnego.
Prawo dostępu do danych w przypadku zaistnienia incydentu z udziałem osoby której dane dotyczą, (lub jej własności), prawo do usunięcia danych lub ich anonimizacji w przypadku gdy cel Administratora został osiągnięty, to przykłady nowego podejścia organu nadzorczego do monitoringu.
Ponadto wyjaśniono czy możliwe jest stosowanie atrap kamer, kamer rejestrujących prócz wizji dodatkowo dźwięk, czy ukrytych kamer.
Opublikowane wytyczne mogą być niemożliwe do spełnienia przez większość administratorów.
Więcej na ten temat ukaże się kolejnym artykule poświęconym tylko i wyłącznie stosowaniu monitoringu wizyjnego w hotelach.
PUODO przygotował również pierwszy wykaz rodzajów operacji przetwarzania wymagających oceny skutków dla ich ochrony (Monitor Polski z dnia 17 sierpnia 2018 r.).
Z wstępnej analizy tego wykazu wynika że ocenę skutków będą musiały przeprowadzić hotele które prowadzą ewidencje czasu pracy stosując dane biometryczne (np. przy użyciu zdjęcia pracownika rozpoczynającego lub kończącego prace w ubiorze służbowym). Pozostałe czynności przetwarzania z którymi spotykamy się w hotelach (w tym również monitoring wizyjny) nie będą objęte tym wymogiem.
Ponad to opublikowane zostały wytyczne dotyczące naruszeń ochrony danych osobowych, takie jak przykłady naruszeń, które naruszenia podlegają zgłoszeniu, sposób zgłaszania oraz obowiązki administratora w tym zakresie.
Zmiana okresu przechowywania danych gości hotelowych.
9 lipca br. w życie weszła nowelizacja Kodeksu cywilnego, która miedzy innymi skraca terminy przedawnienia roszczeń. Dla roszczeń majątkowych podstawowym terminem będzie okres 6 lat, zamiast dotychczas obowiązującego terminu wynoszącego 10 lat.
Będzie to miało bardzo duże znaczenie na maksymalny okres przechowywania danych osobowych przez Hotele. Od tej pory należy uznać okres 6 lat za maksymalny czas retencji danych. Dlatego proszę o uwzględnienie tego w swoich politykach ochrony danych osobowych i skrócenie okresu przechowywania danych osobowych gości hotelowych z 10 na 6 lat.
Jednocześnie należy zweryfikować aktualnie posiadane dane i wszystkie dane nie powiązane z rezerwacją, pobytem, lub wystawionym dokumentem w okresie w ostatnich 6 lat należy albo usunąć, albo zanonimizować. Jeśli Państwa oprogramowanie nie pozwala na takie działania, należy niezwłocznie zwrócić się do dostawców oprogramowania w tej sprawie.
Zmiany wprowadza ustawa z 13 kwietnia 2018 r. o zmianie ustawy – Kodeks cywilny oraz niektórych innych ustaw (Dz. U. z 2018 r., poz. 1104).
