Blog

25sie2021
Nośniki danych trzeba szyfrować

Urząd Ochrony Danych Osobowych nałożył na Prezesa Sądu Rejonowego w Zgierzu karę w wysokości 10 tys. złotych za zgubienie przez kuratora sądowego niezaszyfrowanego pendrive'a. Organ uznał, że administrator naruszył m.in....

12kw.2021
Jak zaprojektować banner do plików cookie?

Od pewnego czasu na wielu stronach internetowych można zauważyć zmiany w wyskakujących okienkach, które służą do ustawiania plików cookie. Stosowane są różne rozwiązania, mniej lub bardziej trafne. Sytuacji nie ułatwia...

16lut2021
Zadośćuczynienie za ujawnienie danych

To prawdopodobnie pierwszy wyrok sądu cywilnego w sprawie ujawnienia danych osobowych. Właścicielka pojazdu, który uczestniczył w kolizji drogowej, zażądała od ubezpieczyciela 10 tys. złotych zadośćuczynienia z powodu ujawnienia jej danych...

11sty2021
Wysyp kar pieniężnych na koniec roku

W grudniu ubiegłego roku Urząd Ochrony Danych Osobowych wykazał się znaczną aktywnością. UODO nałożył trzy kary pieniężne, których łączna wysokość wynosi ponad 3 miliony złotych. Pierwsza z nich dotyczy spółki...

05gru2020
Microsoft 365 a produktywność pracowników

O tym, że ochrona prywatności ma praktyczne znaczenie, mogli przekonać się ostatnio użytkownicy pakietu Microsoft 365. W mediach rozgorzała bowiem dyskusja o wprowadzonym rok temu narzędziu umożliwiającym weryfikowanie produktywności pracowników...

25 sierpnia 2021
Nośniki danych trzeba szyfrować

Urząd Ochrony Danych Osobowych nałożył na Prezesa Sądu Rejonowego w Zgierzu karę w wysokości 10 tys. złotych za zgubienie przez kuratora sądowego niezaszyfrowanego pendrive’a. Organ uznał, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązał go do wdrożenia odpowiednich zabezpieczeń.

Takie rozstrzygnięcie nie powinno nikogo zaskakiwać. Niezaszyfrowany pendrive nie jest zabezpieczony i w przypadku jego zgubienia lub kradzieży, osoba trzecia może bez problemu go uruchomić. Dlatego podmioty, które dopuszczają korzystanie z przenośnych nośników danych, powinny wydawać jedynie zaszyfrowane urządzenia. Jeszcze łatwiejszym rozwiązaniem jest zablokowanie portów USB w komputerach służbowych. Nie powinno utrudnić ono codziennej pracy, w szczególności, jeśli do przechowywania plików administrator używa narzędzi typu dysk Google czy OneDrive.

Pełna treść decyzji UODO dostępna jest tutaj.

12 kwietnia 2021
Jak zaprojektować banner do plików cookie?

Od pewnego czasu na wielu stronach internetowych można zauważyć zmiany w wyskakujących okienkach, które służą do ustawiania plików cookie. Stosowane są różne rozwiązania, mniej lub bardziej trafne. Sytuacji nie ułatwia UODO, który do tej pory nie wydał jakichkolwiek wytycznych zawierających jasne wskazówki dla właścicieli stron. Zatem jak skonstruować banner, który będzie przyjazny dla użytkowników strony i jednocześnie chronił ich prywatność?

  1.  Banner nie musi zasłaniać całej strony i blokować jej. Umieszczanie okien zasłaniających stronę ma raczej na celu wywołanie określonej reakcji, którą jest jak najszybsze kliknięcie przycisku oznaczającego wyrażenie zgody na uruchomienie wszystkich plików cookie.
  2. Wszystkie pliki, oprócz niezbędnych do funkcjonowania witryny, powinny być domyślnie wyłączone. To użytkownik powinien zdecydować o włączeniu plików analitycznych, funkcjonalnych czy marketingowych.
  3. Banner już w swojej pierwszej warstwie powinien posiadać możliwość podjęcia decyzji dotyczącej odrzucenia wszystkich plików. Najlepszym rozwiązaniem jest umieszczenie dwóch przycisków – jednego dotyczącego wyrażenia zgody na wszystkie pliki, zaś drugiego odrzucającego pliki.
  4. Banner powinien umożliwiać włączenie lub wyłączenie poszczególnych kategorii plików. Rozwiązaniem mogą być suwaki dostępne w drugiej warstwie bannera, dostępnej po kliknięciu dodatkowego przycisku np. „szczegółowe ustawienia”.
  5. Idealnie byłoby, jeśli użytkownik mógłby zapoznać się z informacjami dotyczącymi poszczególnych plików np. w jakim celu są wykorzystywane, jak długo mogą być uruchomione (przez czas trwania sesji, 6 miesięcy itp.) oraz czy pochodzą z serwisów trzecich w stosunku do właściciela strony.
  6. Użytkownik powinien mieć możliwość powrotu do ustawień w każdym momencie. Zastosować można przycisk, który będzie wyraźnie widoczny podczas przeglądanie strony lub link np. stopce witryny.

Oczywiście właściciele stron mogą wdrażać również inne rozwiązania. Najważniejsze jest, aby użytkownik nie był do niczego zmuszany oraz aby otrzymał przystępne informacje dotyczące plików wykorzystywanych przez witrynę. Ponadto nie należy stosować technik, które mają za zadanie zmylić użytkownika i sprawić, że nieświadomie zaakceptuje wszystkie pliki. Mówiąc krótko – panel do ustawiania plików cookie powinien być zaprojektowane rzetelnie i uczciwie.

16 lutego 2021
Zadośćuczynienie za ujawnienie danych

To prawdopodobnie pierwszy wyrok sądu cywilnego w sprawie ujawnienia danych osobowych. Właścicielka pojazdu, który uczestniczył w kolizji drogowej, zażądała od ubezpieczyciela 10 tys. złotych zadośćuczynienia z powodu ujawnienia jej danych osobowych poszkodowanemu. Otrzymał on bowiem jej imię i nazwisko, adres zamieszkania, PESEL, numer telefonu oraz informacje dotyczące pojazdu.

Firma odmówiła, więc właścicielka samochodu postanowiła skorzystać z drogi sądowej. Dochodząc swoich roszczeń powołała się na przepisy RODO oraz kodeksu cywilnego dotyczące naruszenia dóbr osobistych. Sąd Okręgowy w Warszawie częściowo przyznał rację powódce i uznał, że ubezpieczyciel powinien był udostępnić poszkodowanemu jedynie jej imię, nazwisko, numer pojazdu i numeru polisy ubezpieczenia OC (ewentualnie dodatkowo informacje o miejscu zamieszkania).

Jednocześnie zdaniem sądu kwota 10 tys. zł zadośćuczynienia byłaby zbyt wysoka w stosunku do rzeczywiście doznanej krzywdy. Sąd stwierdził, że bezprawne przekazanie danych nie wiązało się z dalszymi negatywnymi konsekwencjami, jak nękanie czy próby zaciągnięcia zobowiązań i ostatecznie zasądził kwotę 1,5 tys. zł jako wystarczającą, aby zrekompensować krzywdę właścicielki pojazdu.

Powyższy wyrok jest niezwykle istotny dla wszystkich administratorów danych oraz osób, które chciałyby dochodzić swoich praw w przypadku naruszenia ochrony ich danych osobowych. Orzeczenie Sądu Okręgowy w Warszawie wyraźnie potwierdza, że bezprawne ujawnienie danych może stanowić podstawę do zapłaty zadośćuczynienia. Oczywiście istotne jest, jaką krzywdę poniosła osoba w wyniku naruszenia ochrony danych, jednak nawet jeśli jest ona nieznaczna, sąd może uznać, że zadośćuczynienie powinno stanowić „satysfakcję moralną”. Można sobie zatem łatwo wyobrazić, jak duże problemy mogą spotkać administratora w przypadku naruszenia, które dotyczy większej liczby osób.