Fanpage na Facebooku, przetwarzanie danych osobowych, a RODO

kara RODO, wyrok, zmiany w ochronie danych osobowych

Fanpage na Facebooku

Kto w dzisiejszych czasach wyobraża sobie całkowitą rezygnację z serwisów społecznościowych? A jeśli nawet, to w naszym otoczeniu trudno będzie znaleźć osoby, którym te miejsca w sieci są zupełnie obojętne (szczególnie dzięki RODO). Idą za tym różne względy, szukanie znajomych z lat szkolnych, wymiana notatek czy zdjęć, szukanie mieszkania, wspieranie fanpage firm, które lubimy lub poszukiwania pracy.

W Polsce najpopularniejsza platforma gromadzi ok.16 mln unikalnych użytkowników powyżej 13 roku życia. Szacuje się, że 80 procent z nich loguje się do serwisu codziennie. Niewiele jednak zastanawia się jak przetwarzane są dane osobowe, które gromadzi Facebook, który pierwotnie powstał by rejestrować użytkowników tworzących sieci, grupy, by dzielić się wiadomościami oraz zdjęciami, a także korzystać z aplikacji. Użytkowników wciąż przybywa, a wraz z nimi przybywa także pytań i wątpliwości, dotyczących kwestii ochrony zbieranych danych. Jednym z zagadnień jest prowadzenie fanpage’a na Facebooku i statusu prawnego firm, które się tym zajmują.

Wyrok…

Temat RODO nie jest już w centrum uwagi, głośnym za to stał się wyrok z 5 czerwca 2018 r. w sprawie C‑210/16 Trybunału Sprawiedliwości Unii Europejskiej, który niewątpliwie zrewolucjonizuje podejście niektórych do korzystania z najbardziej popularnego serwisu społecznościowego. Sprawa dotyczyła spółki Wirtschaftsakademie, znajdującej się w Niemczech, która kształci za pośrednictwem fanpage’a Facebook. Ponadto korzystano w tym przypadku także z Facebook Insights, który analizuje statystyki dotyczące użytkowników, którzy odwiedzają fanpage. Dane są anonimizowane, w związku z czym nieświadoma przetwarzania danych osobowych spółka nie informowała osób korzystających ze strony o zbieraniu danych osobowych poprzez pliki cookies.

Trybunał w wyroku podał, że Facebook nie będzie jedynym odpowiadającym za przetwarzanie danych osobowych, odwiedzających fanpage osób. Drugim zupełnie odrębnym administratorem danych osobowych użytkowników zbieranych za pomocą tzw. plików cookies na fanpage będzie dodatkowo administrator bądź administratorzy fanpage. To swoiste novum, niosące ze sobą liczne kontrowersje, ponieważ dotychczas przyjęło się, że to portal Facebook jest wyłącznym administratorem danych osobowych użytkowników.

Konsekwencjami wyroku jest zobligowanie osoby prowadzącej fanpage do informowania wchodzących na stronę o przetwarzaniu ich danych osobowych (skorzystanie z tzw. obowiązku informacyjnego), a w przypadku sprawy Wirtschaftsakademie z Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein dezaktywacja fanpage’a. Jest to związane z możliwością określenia celów i sposobów przetwarzania danych w czym gromadzenia danych odnośnie szczegółów demograficznych dotyczących korzystających z portalu i fanpage użytkowników m.in. takich jak dane odnośnie stanu cywilnego, zainteresowań, stylu życia, wieku, płci, a także statusu zawodowego.

Facebook

Już od 10 lat, a liczba jego użytkowników ciągle się zwiększa. Należałoby tutaj podkreślić, że zbierane przez serwis i administratora dane są danymi osobowymi, a zatem istotne jest przeanalizowanie podstawy prawnej przetwarzania. Czy w tym przypadku można by mówić o uzasadnionym interesie, czy będziemy mieć do czynienia ze zgodą? Być może proces zbierania danych osobowych, który jest przedmiotem dywagacji winien szukać swoich podstaw w profilowaniu, które odbywa się w celu marketingu bezpośredniego, określonego przez RODO jako cel wynikający z uzasadnionych interesów administratora. Wydaje się, że już na początku przy procesie zbierania danych osobowych ,ale także na konkretny wniosek osób powinno się informować o profilowaniu i oczekiwać wyrażenia zgody, bez uzyskania której nie ma podstawy na przetwarzanie danych osobowych. W związku z powyższymi rozważaniami właściciele firm, agencji marketingowych i właściciele fanpage na Facebooku są zainteresowani tym kiedy i jak odpowiednio można uzyskać zgodę użytkowników oraz przedstawić obowiązek informacyjny wraz z klauzulami informacyjnymi. Kolejnym problemem jawi się być odpowiedzialność w przypadku, gdy administrowaniem konkretnych profili zajmują się firmy zewnętrzne. Tego rodzaju postanowienia powinny być rozważone i określone następnie w umowach. Druga zaś strona medalu wygląda tak, że sama obecność tj. rejestracja na portalach społecznościowych może być szerzej interpretowana jako dorozumiana zgoda, ponieważ jest to świadome działanie użytkowników związane z przetwarzaniem danych osobowych w sieci, często wraz z prezentacją swojego wizerunku, ponadto imienia, nazwiska bądź nazwisk, zainteresowań, preferencji politycznych, często miejsca zamieszkania i innych danych.

Co dalej?

Niewątpliwie i niezmiennie Facebook zajmuje pierwsze miejsce wśród portali społecznościowych. Dzięki prostemu interfejsowi przyciąga w bardzo szybkim tempie zarówno młodszych i starszych użytkowników, którzy z chęcią z niego korzystają. Zdecydowanie próbuje opanować jak największą liczbę obszarów życia człowieka. Aby dogonić tendencje i trendy Facebook sprytnie korzysta z funkcjonalności prezentowanej przez Google, Youtube, Snapchat etc. a następnie wdraża te rozwiązania do siebie. Zdaje się, że podstawowe funkcje, takie jak kontakt ze znajomymi, czy prezentowanie zdjęć przechodzą do lamusa. Platforma rozrosła się do ogromnego stopnia. W ciągu ostatnich dziesięciu lat Facebook jest jednym z najbardziej trafiających do konsumentów typem reklamy. Posiada rozwiązania i narzędzia, aby poprawiać zasięgi i trafiać poprzez różne jej formaty. Prócz możliwości biznesowych Facebook gromadzi dane demograficzne, a także geolokalizacyjne poprzez oznaczanie się w konkretnych miejscach, dodawanie statusów, czy udostępnianie miejsca pobytu. Platforma umożliwia zapoznanie się z czyimś gustem muzycznym, kulinarnym, preferencjami dotyczącymi lokalizacji. Bardzo często, kiedy dany użytkownik jest zainteresowany uczestniczeniem bądź weźmie udział w imprezie masowej, koncercie bądź warsztatach jego znajomi zostają poinformowani o tym fakcie. Aplikacje, które posiadamy na smartphonach takie jak Instagram, Messenger, WhatsApp, a nawet Tinder połączone automatycznie z Facebookiem zdradzają szereg informacji o użytkownikach. Są to wizerunek, ich dane behawioralne, czasem dane dotyczące orientacji seksualnej. Messenger, przez który można wymieniać wiadomości nie będąc znajomymi w bardzo wielu przypadkach zastępuje komunikacje wiadomościami tekstowymi na telefonie, to tam użytkownicy wymieniają się danymi przyjętymi za poufne, zdjęciami, danymi takimi jak numery dostępu do konta, loginy etc. Dla serwisu zainteresowanie użytkownika swoistymi nowinkami ma na celu zapoznanie z reklamami. To, jak można kategoryzować dopasowywanie reklam dzięki Facebookowi jest zbawiennym źródłem dla rozwoju biznesu.

Autor: Monika Liwoch

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA MŁODSZĄ SIOSTRĄ RODO?

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA MŁODSZĄ SIOSTRĄ RODO? 

Wiele osób zainteresowanych tematyką cyberbezpieczeństwa w sieci zadaje sobie szereg pytań: co wprowadzi podpisana 1 sierpnia przez Prezydenta Andrzeja Dudę ustawa o krajowym systemie cyberbezpieczeństwa? Jakie zmiany przed nami? Czy pojawią się modyfikacje w kontekście RODO? A może przedsiębiorcy powinni bać się kar? 

Na wstępie warto wskazać, czym tak naprawdę jest cyberbezpieczeństwo. To sytuacja, stan, w której systemy informatyczne wraz z przetwarzanymi w nich informacjami są bezpieczne, niezagrożone przez cyberprzestępców. Zwykle definiowane jest jako zespół inicjatyw, które mają na celu uzyskanie bezpieczeństwa w sieci. Proces polega na zapewnianiu bezpieczeństwa danych elektronicznych i ich przetwarzania. 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest nazywana młodszą siostrą RODO. Jednak gro osób nie ma świadomości jej wejścia w życie. Być może powodem jest brak zapisów o wysokich karach, które nie budzą grozy. Czy jednak słusznie? Obowiązująca od 28 sierpnia 2018 roku tzw. ustawa o cyberbezpieczeństwie jest wykonaniem unijnej dyrektywy nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli tak zwanej dyrektywy NIS. 

Krajowy System Cyberbezpieczeństwa 

Nadzorowaniem CSIRT (z j. ang Computer Security Incident Response Team) zajmie się Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK), jak i resort obrony narodowej (CSIRT MON). 

System zarządzania cyberbezpieczeństwem w Polsce będzie oparty na podziale dwupoziomowym. Na poziomie roboczym (Zespół ds. Obsługi Incydentów Krytycznych) jak i instytucjonalnym (Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa). Ich współpraca będzie oparta na wzajemnym kontakcie oraz kontakcie z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. 

Operatorzy usług kluczowych 

Nowa ustawa ma pomóc w ochronie cyberprzestrzeni na poziomie krajowym. 

Wnosi wiele nowości pod kątem formalnym, zaś eksperci twierdzą, że w praktyce może zmienić się niewiele, jednak biznes jest narażony na poniesienie sporych kosztów. Postanowienia nowej ustawy będą obejmowały wyłącznie niektórych przedsiębiorców, co do zasady co najmniej średniej wielkości. Przedsiębiorcy, którzy będą musieli stosować się do przepisów ustawy to tzw. operatorzy usług kluczowych, czyli sektor energetyczny, zdrowotny, bankowy, transportowy, a także operatorów sieci. Aby zostać uznanym za takiego należy spełniać konkretne warunki, m. in. świadczyć usługi kluczowe wymienione w wykazie usług kluczowych. 

Uznanie takiego przedsiębiorcy za operatora usługi kluczowej będzie się odbywało w formie decyzji administracyjnej. Przedsiębiorca powinien przestrzegać przepisów ustawy, a od dnia ewentualnego otrzymania decyzji administracyjnej można egzekwować odpowiedzialność (w przypadku ewentualnych naruszeń). Przedsiębiorca określony jako operator usług kluczowych będzie musiał wdrożyć system bezpieczeństwa w systemie informacyjnym. 

Procedura zakwalifikowania podmiotu, jako operatora usług kluczowych jest następująca: Organ Właściwy bada rynek w celu identyfikacji potencjalnych Operatorów Usług Kluczowych, następnie rozpoczyna postępowanie administracyjne oraz zbiera informacje o podmiocie. Kolejno Organ Właściwy ma za zadanie sprawdzenie, czy podmiot spełnia wytyczne ( wymogi rozporządzenia), jeżeli tak to decyzją administracyjną wskazuje operatora usługi kluczowej. Tacy operatorzy mają od 3 do 12 miesięcy na dostosowanie się do wymogów zawartych w rozporządzeniu, realizując obowiązki wynikające z ustawy. Organami do spraw cyberbezpieczeństwa w zależności od sektora są odpowiedni ministrowie. Wyjątkiem jest sektor bankowy i infrastruktury rynków finansowych, nad którymi nadzór sprawowany będzie przez KNF. 

Będzie wymagane, aby przedsiębiorca monitorował stale, nie dochodzi do prób ataków sieciowych. Dodatkowo w firmach będzie musiała zostać wyznaczona osoba, która będzie odpowiedzialna za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Taki wyznaczony przez przedsiębiorcę – operatora usług kluczowych koordynator będzie musiał być zgłoszony w ciągu 14 dni do organu właściwego do spraw cyberbezpieczeństwa. Wymagane dane to imię, nazwisko, nr telefonu, adres e-mail. Brak zgłoszenia koordynatora funkcjonującego w firmie w ww. terminie jest sankcjonowane karą do 15 tys. zł., która może być ponawiana. 

Audyt 

Wyznaczeni przedsiębiorcy są także zobowiązani do przeprowadzenia raz na dwa lata audytu bezpieczeństwa wykorzystywanego systemu. Taki audyt będzie musiał być zlecony z zewnątrz oraz przeprowadzony przez wykwalifikowane podmioty.

Koszt audytu, jak szacuje Ministerstwo Cyfryzacji może wynosić ok. 50 tysięcy złotych.

Mimo że sankcje nie są tak wysokie jak w przypadku RODO nie należy lekceważyć nowej ustawy, ponieważ mogłoby to skutkować wyciekiem danych osobowych, w związku z czym takimi samymi kosztami, jak w przypadku RODO.

Autor: Monika Liwoch

Szkolenia to podstawa.

szkolenia wyciek danych osobowych RODO IOD

Rozważania na szybko: Coraz częściej mają miejsce wycieki danych osobowych i nasuwa się pytanie – co jest ich najczęstszą przyczyną i jak możemy temu zapobiec? Jedna z odpowiedzi to pracownicy i współpracownicy są najsłabszymi ogniwami w ochronie danych osobowych. A szkolenia dla nich to podstawa.

Dlaczego człowiek jest najsłabszym ogniwem w procesie ochrony danych osobowych?

Brak odpowiedniego finansowania procesów związanych z bezpieczeństwem przetwarzanych danych osobowych jest najczęstszą, pośrednią przyczyną występowania naruszeń danych osobowych. Od oszczędności na szkoleniach (ich jakości, długości/programie, cykliczności, doświadczeniu prowadzącego), oprogramowaniu, sprzęcie poprzez zatrudnianie niewykwalifikowanych pracowników na stanowiskach, które mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy działu IT). Organizacje, ograniczając swoje wydatki na bezpieczeństwo danych osobowych, ryzykują zwiększenie szansy powstania wycieków danych osobowych, poprzez błędy ludzkie lub słabo zabezpieczone systemy.

Oszczędności….

Organizacje szukając oszczędności często delegują lub łączą stanowisko odpowiedzialne za ochronę danych osobowych (np.: ABI) z innymi już istniejącymi stanowiskami (pracownicy kadr, kierownicy czy informatycy). W takiej sytuacji napotykamy na często powtarzający się problem, kiedy pracownik wykonujący swoje główne obowiązki (np.: informatyka) nie ma już czasu na zajmowanie się kwestiami związanymi z ochroną danych osobowych tj. śledzenie zmian w prawie, szkolenie nowych pracowników, przeprowadzenie audytów, aktualizowanie dokumentacji przetwarzania danych osobowych itp.

Kwestia oszczędności na szkoleniach to złożony temat. W zależności od „wielkości” firm podejście do szkoleń może być trochę inne. Szkolenie dla małych firm (mała liczba pracowników – kilka/kilkanaście osób) wiąże się z przeszkoleniem np.: wszystkich osób na raz – co powoduje „paraliż firmy” w czasie szkolenia, a rozbicie szkoleń na małe grupki może podnieść koszt takiej usługi. Aby obniżyć koszt szkolenia, firmy nie dobierają szkolenia pod kątem merytorycznym, ale „aby tylko jakieś było i najtaniej”, co oczywiście wpływa negatywnie na jakość takich szkoleń a co za tym idzie na wiedzę uczestników czyli osób które później będą w danej firmie będą przetwarzały dane osobowe.

Szkolenia w dużych firmach (duża ilość pracowników – powyżej kilkuset) mogą powodować czasowe obniżenie wydajności poszczególnych działów ze względu na brak osób, odpowiedzialnych za konkretne działania lub procesy. Dodatkowo dochodzi często konieczność ściągnięcia pracowników z różnych rejonów kraju czy nawet zagranicy co dodatkowo wydłuża czas potrzebny na odbycie szkolenia, a co za tym idzie podnosi koszty. Z tego powodu większe organizacje sięgają po szkolenia e-learnigowe, gdzie pracownik sam zapoznaje się z materiałami szkoleniowymi i później rozwiązuje test weryfikujący wiedzę. To rozwiązanie jest odpowiednie przy szkoleniu pracowników, którzy dopiero zaczynają pracę jednak nie jest ono w stanie w pełni zastąpić szkoleń warsztatowych i wykładowych, które prowadzi doświadczony wykładowca. Szkolenia dla kadry zarządzającej i pracowników którzy na co dzień przetwarzają dane osobowe powinny zostać przeprowadzone w formie wykładowej lub warsztatowej – gdzie pracownicy mogą na bieżąco się zadawać pytania i wyjaśniać wątpliwości.

Czemu szkolenia?

Szkolenia mają na celu przekazanie wiedzy dotyczącej ochrony danych osobowych oraz uświadomienie pracowników jaka w związku z tym spoczywa na nich odpowiedzialność. Informacje przekazywane w ramach szkoleń dotyczą przede wszystkich sposobów zapewnienia bezpieczeństwa przetwarzanych danych i uczą pracowników prawidłowych zachowań (np.: prawidłowego zabezpieczania maili z wysyłanymi danymi osobowymi, niszczenia dokumentów, archiwizowania dokumentów, odpowiedniej ochrony laptopów czy telefonów, sprawdzenie adresatów podczas wysyłki maili, sprawdzenie przed wyjściem z pracy czy komputer jest wyłączony i drzwi pozamykane).

Dlaczego szkolenie pracowników z zakresu ochrony danych osobowych jest takie ważne? Błąd pracownika może spowodować wyciek danych, co z kolei może skutkować kontrolą organu nadzorczego, grzywną (karą finansową w przyszłości), koniecznością zapłaty odszkodowań lub zadośćuczynień dla osób których dane zostały ujawnione, utratą zaufania klientów i kontrahentów. Im więcej danych osobowych jest wykorzystywanych w działalności firmy, tym wyższe jest ryzyko ludzkiego błędu, który może spowodować ujawnienie danych osobowych osobom nieupoważnionym. Dodatkowo warto podkreślić, że szkolenie jest to jedyny sposób przed zabezpieczeniem się na bardzo niebezpieczne ataki socjotechniczne poprzez wytworzenie świadomości potencjalnego zagrożenia u pracowników.

Decyzje z konsekwencjami.

Kluczowe znaczenie dla bezpieczeństwa danych osobowych ma świadomość osób decyzyjnych w firmie. To one decydują o budżecie firmy. Wprowadzenie rozwiązań z zakresu ochrony danych osobowych stanowić może istotny wydatek (szczególnie jeżeli firma przygotowuje się do spełnienia warunków z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w skrócie RODO), dlatego tak ważne jest aby wydatki na ochronę danych osobowych (szkolenia, audyt, konieczność zmian w systemach informatycznych itp.) zostały uwzględnione już na etapie planowania budżetu firmy na przyszły rok.

Szkodliwe dla bezpieczeństwa danych w firmie, jest podejście polegające na bagatelizowaniu ryzyka wystąpienia naruszenia danych osobowych, w tym wycieku danych, bazujące na przeświadczeniu, że do tej pory naruszenie nie miało miejsca. Żadne działania nie cofną (mogą jedynie zminimalizować skutki) i nie naprawią wycieku już ujawnionych danych – a co za tym idzie nie uchronią przed konsekwencjami wycieku. Niezbędne dla minimalizowania ryzyka związanego z wyciekiem danych są działania prewencyjne.

Brak profesjonalizmu.

Niewykwalifikowani pracownicy działów informatycznych, niezależnie czy zatrudnieni w firmie czy działający na ramach usług outsourcingowych, mogą stanowić duże zagrożenie dla bezpieczeństwa danych osobowych. Błędy popełnione przy zabezpieczaniu baz z danymi osobowymi stanowią najgłośniejsze sprawy opisywane i nagłaśniane przez media, a wycieki takich danych często dotykają dziesiątek lub setek tysięcy osób. Wiąże się to najczęściej z umożliwieniem dostępu do bazy klientów poprzez stronę firmową. W zależności od tego jakie dane firma przetwarza, najbardziej groźne są informacje, które umożliwiają zaciągnięcie zobowiązań finansowych podszywając się pod osoby których dane były pomyłkowo udostępnione lub dane wrażliwe dotyczące stanu zdrowa, poglądów politycznych czy wyznania. Dużymi uchybieniami ze strony działów IT są również niedostateczne zabezpieczenia komputerów i systemów informatycznych przed szkodliwym oprogramowaniem czy atakami hackerów.

Pracownik odpowiedzialny za wyciek danych osobowych, niezależnie czy był to błąd, zaniedbanie lub działanie umyślne – może zostać pociągnięty do odpowiedzialności dyscyplinarnej wynikającej z przepisów kodeksu pracy i odpowiedzialności przewidzianej przez przepisy ustawy o ochronie danych osobowych.

Zapewnianie pracownikom szkoleń z ochrony danych osobowych jest koniecznym elementem budowania ich świadomości w zakresie bezpieczeństwa danych osobowych i niezbędnym krokiem do przeciwdziałania wyciekom danych osobowych.