{"id":339,"date":"2019-11-21T08:49:50","date_gmt":"2019-11-21T07:49:50","guid":{"rendered":"https:\/\/blog.kryptos72.com\/?p=339"},"modified":"2019-12-06T12:09:30","modified_gmt":"2019-12-06T11:09:30","slug":"kara-rodo-wlochy","status":"publish","type":"post","link":"https:\/\/kryptos72.com\/blog\/kara-rodo-wlochy\/","title":{"rendered":"Kara RODO W\u0142ochy"},"content":{"rendered":"

R<\/span><\/p>\n

ousseau, internetowa platforma konsultacji wyborc\u00f3w, z kt\u00f3rej korzysta w\u0142oska partia polityczna 5 Star Movement, zosta\u0142a ukarana grzywn\u0105 w wysoko\u015bci 50 000 EUR<\/strong> za nara\u017cenie danych u\u017cytkownik\u00f3w na atak, niestety taka kara RODO zosta\u0142a na\u0142o\u017cona.<\/p>\n

W\u0142oski organ ochrony danych, znany jako \u201eGarante\u201d, wyda\u0142 4 kwietnia kar\u0119 pieni\u0119\u017cn\u0105 przeciwko Rousseau za naruszenie art. 32 RODO. To nie pierwszy raz, kiedy Rousseau ucieka przed Garante. W\u0142oski organ ochrony danych przedstawi\u0142 platformie seri\u0119 zalece\u0144 w grudniu 2017 r. (W j\u0119zyku w\u0142oskim) w celu usuni\u0119cia swoich s\u0142abych punkt\u00f3w, a w 2018 r. Na\u0142o\u017cy\u0142 na ni\u0105 kar\u0119 pieni\u0119\u017cn\u0105 w wysoko\u015bci 32 000 EUR za obawy<\/strong>, \u017ce nielegalnie udost\u0119pnia dane cz\u0142onk\u00f3w stronom trzecim. Chocia\u017c w\u0142adze przyznaj\u0105, \u017ce bezpiecze\u0144stwo przetwarzania danych Rousseau uleg\u0142o poprawie, nadal nie jest ono zgodne ze standardami RODO, co doprowadzi\u0142o do ostatniej kary.<\/strong><\/p>\n

Kara RODO – kolejne naruszenia<\/h2>\n

Dwa pozosta\u0142e naruszenia Rousseau polega\u0142y na braku odpowiedniej anonimizacji danych dotycz\u0105cych g\u0142osowania elektronicznego i regulacji dost\u0119pu do danych osobowych na platformie. Garante stwierdzi\u0142, \u017ce niewielka grupa os\u00f3b ze Stowarzyszenia Rousseau i Ruchu 5 Gwiazd mo\u017ce uzyska\u0107 dost\u0119p do platformy<\/strong> i jej danych (w tym wra\u017cliwych danych osobowych, takich jak preferencje polityczne) bez pozostawiania \u015bladu. W pkt 4.2 w\u0142adze napisa\u0142y, \u017ce:<\/p>\n

-wsp\u00f3\u0142dzielenie po\u015bwiadcze\u0144 uwierzytelnienia przez kilku pracownik\u00f3w posiadaj\u0105cych wysokie uprawnienia do zarz\u0105dzania platform\u0105 Rousseau oraz [a] brak zdefiniowania i skonfigurowania r\u00f3\u017cnych profili autoryzacji<\/strong> w celu ograniczenia dost\u0119pu tylko do danych niezb\u0119dnych w r\u00f3\u017cnych obszarach dzia\u0142alno\u015bci, kt\u00f3re w poprzedni system prawny zosta\u0142 zakwalifikowany, jako minimalne \u015brodki bezpiecze\u0144stwa dla administrator\u00f3w danych\u2026 Jest zatem oczywiste, \u017ce nieprzyj\u0119cie takich \u015brodk\u00f3w i, przeciwnie<\/strong>, udost\u0119pnianie po\u015bwiadcze\u0144 uwierzytelnienia podmiotom uprawnionym do zarz\u0105dzania platform\u0105 stanowi naruszenie.<\/p>\n

\"\"<\/p>\n

Bezpiecze\u0144stwo przetwarzania danych osobowych<\/h2>\n

Artyku\u0142 32 omawia minimalne standardy bezpiecze\u0144stwa, kt\u00f3re musz\u0105 spe\u0142nia\u0107 administratorzy danych i podmioty przetwarzaj\u0105ce dane. Wymaga, aby organizacje stosowa\u0142y zar\u00f3wno zabezpieczenia techniczne, jak i procesy administracyjne, aby \u201ezapewni\u0107 poziom bezpiecze\u0144stwa odpowiedni do ryzyka<\/strong>\u201d. Wymienia cztery konkretne \u015brodki, kt\u00f3re firmy powinny wdro\u017cy\u0107:<\/p>\n

-Chro\u0144 dane za pomoc\u0105 pseudonimizacji i szyfrowania – Kompleksowe us\u0142ugi szyfrowane s\u0105 szczeg\u00f3lnie skuteczne w celu osi\u0105gni\u0119cia wymaganego poziomu bezpiecze\u0144stwa RODO.<\/strong><\/p>\n

-Zapewnij ci\u0105g\u0142\u0105 poufno\u015b\u0107, integralno\u015b\u0107, dost\u0119pno\u015b\u0107 i odporno\u015b\u0107 system\u00f3w i us\u0142ug przetwarzania – Firmy musz\u0105 aktualizowa\u0107 ca\u0142e swoje oprogramowanie i aplikacje oraz usuwa\u0107 znane im wady.<\/strong><\/p>\n

-By\u0107 w stanie przywr\u00f3ci\u0107 dane osobowe w przypadku zdarzenia fizycznego lub technicznego – Zasadniczo firmy musz\u0105 mie\u0107 kopie zapasowe danych osobowych swoich u\u017cytkownik\u00f3w.<\/p>\n

-Regularnie testuj, oceniaj i oceniaj skuteczno\u015b\u0107 technicznych i organizacyjnych \u015brodk\u00f3w bezpiecze\u0144stwa – Firmy musz\u0105 nieustannie testowa\u0107 swoje bezpiecze\u0144stwo IT<\/strong>, gdy pojawiaj\u0105 si\u0119 nowe i r\u00f3\u017cne luki w zabezpieczeniach.<\/p>\n

Rousseau rzeczywi\u015bcie wykona\u0142 powa\u017cn\u0105 robot\u0119, spe\u0142niaj\u0105c zalecenia Garante dotycz\u0105ce tych czterech czynnik\u00f3w. Jednak fakt, \u017ce pozwolili swoim pracownikom i cz\u0142onkom partii 5-Gwiazdkowego Ruchu na wymian\u0119 danych uwierzytelniaj\u0105cych, uniemo\u017cliwi\u0142 Rousseau zastosowanie si\u0119 do art. 32 sekcji 4, kt\u00f3ry wymaga, aby \u201eAdministrator i podmiot przetwarzaj\u0105cy podj\u0119li kroki w celu zapewnienia, \u017ce \u200b\u200bka\u017cda osoba fizyczna dzia\u0142aj\u0105ca pod nadzorem administratora<\/strong> lub podmiotu przetwarzaj\u0105cego, kt\u00f3ry ma dost\u0119p do danych osobowych, nie przetwarza ich, chyba \u017ce na polecenie administratora. \u201d<\/p>\n

RODO stawia wiele wymaga\u0144 przedsi\u0119biorstwom, ale dzi\u0119ki proaktywno\u015bci i staraniom mo\u017cna osi\u0105gn\u0105\u0107 zgodno\u015b\u0107 z RODO np. za pomoc\u0105 programu RODO<\/a>. Nasza lista kontrolna RODO i nasz przegl\u0105d prawa to \u015bwietne miejsca na rozpocz\u0119cie.<\/p><\/blockquote>\n

Bezpiecze\u0144stwo danych i zgodno\u015b\u0107 z RODO<\/h3>\n

Firmy mog\u0105 unikn\u0105\u0107 tego rodzaju grzywien RODO, uniemo\u017cliwiaj\u0105c pracownikom udost\u0119pnianie danych uwierzytelniaj\u0105cych. Kolejnym by\u0142oby dodanie dodatkowego szyfrowania do wra\u017cliwych danych. Mo\u017ce to r\u00f3wnie\u017c pom\u00f3c w anonimizacji danych dotycz\u0105cych g\u0142osowania elektronicznego<\/strong>. Rousseau ze swojej strony twierdzi, \u017ce planuje zastosowa\u0107 technologi\u0119 blockchain, aby rozwi\u0105za\u0107 problemy wskazane przez Garante.<\/p>\n

RODO stworzy\u0142o wy\u017csze oczekiwania w zakresie bezpiecze\u0144stwa danych osobowych przetwarzanych przez organizacje. Wymaga od organizacji korzystania z zaawansowanego szyfrowania<\/strong>, ograniczenia dost\u0119pu<\/strong> pracownik\u00f3w do danych osobowych potrzebnych do wykonywania pracy oraz regularnej oceny og\u00f3lnego bezpiecze\u0144stwa<\/strong>. Kara przeciwko Rousseau pokazuje r\u00f3wnie\u017c, \u017ce podmioty przetwarzaj\u0105ce dane mog\u0105 by\u0107 szczeg\u00f3lnie odpowiedzialne za zgodno\u015b\u0107 z RODO w zakresie bezpiecze\u0144stwa danych. W tym przypadku 5-Gwiazdkowy Ruch by\u0142 administratorem danych, a Rousseau przetwarza\u0142 dane, ale partia unikn\u0119\u0142a jakichkolwiek sankcji.<\/strong> Dlatego, aby unikn\u0105\u0107 grzywien RODO, podmioty przetwarzaj\u0105ce dane musz\u0105 r\u00f3wnie\u017c zachowa\u0107 ostro\u017cno\u015b\u0107, aby spe\u0142ni\u0107 oczekiwania okre\u015blone w art. 32.\u00a0<\/strong>Kolejnym naruszeniem RODO jest problem z anonimizacj\u0105 danych<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

R ousseau, internetowa platforma konsultacji wyborc\u00f3w, z kt\u00f3rej korzysta w\u0142oska partia polityczna 5 Star Movement, zosta\u0142a ukarana grzywn\u0105 w wysoko\u015bci 50 000 EUR za nara\u017cenie danych u\u017cytkownik\u00f3w na atak, niestety taka kara RODO zosta\u0142a na\u0142o\u017cona. W\u0142oski organ ochrony danych, znany jako \u201eGarante\u201d, wyda\u0142 4 kwietnia kar\u0119 pieni\u0119\u017cn\u0105 przeciwko Rousseau za naruszenie art. 32 RODO. To […]<\/p>\n","protected":false},"author":1,"featured_media":361,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[52],"tags":[285,286,288,283,287,280,282,281,289,284,290],"yst_prominent_words":[257,274,271,270,261,275,272,220,276,1317,256,278,273,279,132,266,255,254,277,269],"_links":{"self":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/339"}],"collection":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/comments?post=339"}],"version-history":[{"count":8,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/339\/revisions"}],"predecessor-version":[{"id":924,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/339\/revisions\/924"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media\/361"}],"wp:attachment":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media?parent=339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/categories?post=339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/tags?post=339"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/yst_prominent_words?post=339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}