Spotify z karą za nierealizowanie prawa dostępu (€5.000.000)

1 minuta

Jednym z podstawowych praw wskazanych w RODO jest prawo dostępu do danych. Co się za nim kryje? Przede wszystkim możemy zażądać od tego, kto zarządza naszymi danymi (czyli administratora) kopii informacji jakie przetwarza na nasz temat.

W 2019 r. noyb (pisałem o nich już kilkukrotnie tutaj, to ci ludzie, którzy zajmują się sprawdzaniem, jak administratorzy i organy nadzorcze dają sobie radę z RODO) złożyło do szwedzkiego organu nadzorczego. Skarga dotyczyła tego, że Spotify nie chciało umożliwić zrealizowania prawa dostępu.

Po niezłych przebojach (szwedzki organ trochę leciał w kulki nie informując noyb o postępowaniu), w końcu, po 4 latach szwedzki organ wydał decyzję i nałożył na Spotify karę w wysokości € 5 milionów. Co istotne, organ podkreślił też, że realizacja prawa dostępu to nie tylko wydanie kopii danych, ale także informacji o źródłach skąd dane na nasz temat Spotify ma czy komu je przesyła (w tym czy wysyła je poza Unię Europejską).

Pełna treść decyzji, przetłumaczona na język angielski znajduje się o tutaj.

Microsoft z karą za gromadzenie danych dzieci przez Xbox’a ($20.000.000)

1 minuta

Xbox to jeden z produktów Microsoft’u, którego głównym założeniem jest… granie w gry, bo to konsola. :v 

Federalna Komisja Handlu* (Federal Trade Commission; FTC) przeprowadziła postępowanie w sprawie wykorzystywania przez Microsoft, w ramach Xbox’a danych osobowych dzieci. I tak się jakoś okazało, że Wielki Brat przetwarzał dane dzieci niezgodnie z przepisami Children Online Privacy Protection Act (COPPA; to taka stanowa ustawa, której założeniem jest ochrona danych osobowych dzieci w Internecie). W szczególności chodziło o to, że pozyskiwali dane (w tym wizerunek i dane biometryczne) bez zgody rodziców, a następnie bezprawnie przetwarzali.

Szok i niedowierzanie!😲

Skutkiem tego postępowania jest:

    • 20 milionów dolarów kary za naruszenie;
    • obowiązek poinformowania rodziców, którzy nie utworzyli dodatkowego konta obok konta swojego dziecka, że takie działanie polepszy ochronę ich dzieci;
    • uzyskanie zgody na przetwarzanie danych osobowych zebranych przed 2021 r.;
    • usunięcie danych niezwłocznie, jednak nie później niż w ciągu dwóch tygodni, jeśli zgoda nie zostanie uzyskana (w tym w odniesieniu do danych zbieranych w przyszłości);
    • powiadomienie wydawców gier, że w sytuacji, gdy udostępniają dane dzieci, to musi się to odbywać w zgodzie z COPPA.

I za to➕ dla FTC, ale… $20.000.000 kary to niezbyt wysoka stawka w porównaniu do ponad $50.000.000.000 (tak, to jest 50 MILIARDÓW) przychodu, czyli ponad $16.000.000.000 dochodu za Q4. It’s something but… you know… 🤷‍♂️

Aczkolwiek na horyzoncie Microsoft ma kolejną karę, tym razem już trochę większą, bo około €400.000.000 za naruszenie RODO w ramach innego z ich produktów – LinkedIn.

Oryginalna notka prasowa jest o tu 👉 FTC Will Require Microsoft to Pay(…)

*FTC to taki organ (agencja) w Stanach Zjednoczonych, która zajmuje się m.in. prawem antymonopolowym, a także niektórymi aspektami dotyczącymi ochrony danych osobowych.

Meta z historyczną karą – 1.200.000.000 euro – za transfer danych do USA!

3 minuty

Mamy nowy rekord! Meta Ireland oberwała największą dotychczas karą za naruszenie RODO. Irlandzki organ ochrony danych (DPC) w końcu wydał decyzję i W KOŃCU (nie z własnej woli, ale o tym później) nałożył na firmę Marc’a Zuckerberg’a administracyjną karę pieniężną w wysokości 1.200.000.000 Euro. Najlepsze w tym wszystkim, że to nie wszystko, to tylko 1 z 3 obowiązków wskazanych w decyzji. Pozostałe dwa obowiązki to:

  • zawieszenie przyszłego transferu (z UE do Stanów Zjednoczonych) danych użytkowników przebywających w UE w terminie 5 miesięcy;
  • zapewnienie zgodnego z prawem przetwarzania danych, w szczególności poprzez zaprzestanie niezgodnego z prawem przetwarzania i przechowywania danych w Stanach Zjednoczonych, w terminie 6 miesięcy.

Co to oznacza dla Mety? 

Innymi słowy Meta (Facebook, Instagram, WhatsApp) muszą zaprzestać przesyłania danych z Unii Europejskiej do Stanów Zjednoczonych oraz de facto zwrócić wszystkie dane, które już trafiły do USA, z powrotem do Unii Europejskiej. No i oczywiście dodatkowo zapłacić 1.200.000.000 Euro (o rany, podoba mi się to ile tam jest zer 🥰🥰🥰).

Byłoby idealnie, gdyby ta kara została wykonana, ale… Mam jednak poważne wątpliwości żeby tak się stało. Powodów jest wiele, a w skrócie chodzi o to, że to jest „dopiero” decyzja. Meta się może od niej odwołać, chociaż będzie jej ciężko zbić wszystkie argumenty, bo ta sprawa przeszła już dotychczas przez chyba wszystkie instancje. Ten case był już częściowo rozpatrywany przez irlandzki sąd najwyższy, przez Trybunał Sprawiedliwości Unii Europejskiej [uchylenie Bezpiecznej Przystani ⛵ i Tarczy Prywatności 🛡️], a także przez Europejską Radę Ochrony Danych [to ona powiedziała DPC, że MUSI nałożyć karę]. Znając Metę, będą się bronić nogami i rękoma, więc to dopiero początek (mam nadzieję, że początek końca).

Co to oznacza dla prywatności w ogóle? 

To jest ogromny krok w kierunku zabezpieczenia danych nas wszystkich. To znak dla innych podmiotów (Google, Microsoft, TikTok i inni, którzy wysyłają dane do USA), że Europa zaczyna stawiać na swoim pod kątem prywatności. Niestety… problem jest mega szeroki i nie da się tego sprowadzić do prostego stwierdzenia „wystarczy żeby dane Europejczyków i Europejek były przetwarzane w UE”. Ale o tym… już niedługo. 😋

Na zakończenie (niestety) czas na łyżkę dziegciu. Od dawna powtarzam, że RODO jest dobrze napisanym aktem. To, co jest jednak problemem, to wykonywanie decyzji, które wydają organy ochrony danych. Administratorzy (szczególnie duzi gracze właśnie pokroju Mety) nauczyli się ignorować RODO (tutaj odsyłam do ostatniego news’a o Clearview AI) i wykorzystywać formalności do omijania przepisów. Ja wiem, to jest już klasyka gatunku jeśli chodzi o prawo (believe me I know… been there, done that…), ale po prostu mam wątpliwości. Przykładowo, Meta po nałożeniu tej kary prawie w ogóle nie odczuła tego na giełdzie (wartość akcji wahała się w granicach do 1% za akcję).

Znaczy, inaczej… 

Nie uważam, że jest źle z „tym RODEM”. Wręcz przeciwnie akurat RODO wywarło realny wpływ na sposób myślenia o przetwarzaniu danych. Bez RODO prawdopodobnie nie mielibyśmy takich dyskusji na poziomie globalnym dotyczących m.in. cookies’ów🍪, czy wpływu przetwarzania danych przez AI 🤖. I okay, ja zdaję sobie sprawę, że to proces, a co gorsza, proces międzynarodowy, co jeszcze bardziej spowalnia jego wdrażanie. Czego mi jednak brakuje, to realnej sprawczości organów ochrony danych i egzekwowalności ich decyzji.

Dla wytrwałych, na koniec ciekawy raport dotyczący właśnie pracy organów ochrony danych. A jeśli chcesz poczytać trochę i dowiedzieć się więcej o przesyłaniu danych z UE do USA, to ostatnio (tutaj) dodałem nowy wpis na ten temat.

ClearView AI z kolejną (-nymi) karą (-ami)

3 minuty

(uwaga, będzie długo, ale turbo ciekawie)

Kto to ClearView AI? 

Jest to firma zajmująca się tworzeniem rozwiązań do rozpoznawania twarzy, a do tego celu wykorzystują zdjęcia i filmy różnych ludzi znalezione w Internecie (w tym także na mediach społecznościowych pokroju Facebook, Instagram itd.). W oparciu o bazę, przyporządkowują zdjęcia 👧 🧒 👦do poszczególnych ludzi wykorzystując do tego sztuczną inteligencję. Dzięki temu stworzyli swego rodzaju wyszukiwarkę ludzi, na podstawie zdjęć. 

🚫🚫🚫 Co oznacza, że przetwarzają dane biometryczne, co do których zasadniczo jest zakaz przetwarzania, chyba że ma się specjalną przesłankę (art. 9 RODO). 🚫🚫🚫


💡 Ciekawostka 💡

Z usług Clearview AI korzystała swego czasu m.in. szwedzka Policja i… oberwała za to karą (250.000 €).


Ok, to tyle tytułem wstępu. Jedziemy dalej, bo ciekawe jest to, co się wydarzyło.

  1. Maj 2020 🇫🇷

Francuski odpowiednik Prezesa Urzędu Ochrony Danych Osobowych (CNIL) dostaje info, że jest sobie taki podmiot jak Clearview AI i rozpoczyna postępowanie.

  1. Listopad 2021 🇫🇷

CNIL ostrzega Clearview AI, że mają 2 miesiące na wstrzymanie zbierania danych francuskich obywateli z uwagi na brak podstawy prawnej, a do tego nakazuje umożliwienie wszystkim tym osobom realizację praw wynikających z RODO (w tym np. prawo do bycia zapomnianym). Clearview AI nie odpowiada.

  1. Październik 2022 🇫🇷

CNIL stwierdza, że Clearview AI nie dostosowało się do tego orzeczenia i nakłada karę w wysokości 20.000.000 Euro 💸💸💸 jednocześnie wzywając do zaprzestania przetwarzania danych. A do tego daje 2 miesiące (kolejne) na dostosowanie się, a jak nie to kara 100.000 Euro za każdy dzień opóźnienia. Clearview AI nie odpowiada.

  1. Kwiecień 2023 🇫🇷

CNIL nakłada kolejną karę na Clearview AI, tym razem 5.200.000 Euro 💸💸💸 za niewywiązanie się z obowiązków określonych w decyzji z października 2022. Clearview AI nie odpowiada.

Stop, stop! It’s already dead!…. Czyżby? Bo to nie koniec!

  1. Marzec 2022 🇮🇹

Włoski organ ochrony danych nakłada 20.000.000 Euro 💸💸💸 kary za takie samo naruszenie, co CNIL. Jednocześnie zakazując dalszego przetwarzania.

  1. Czerwiec 2022 🇬🇷

Grecki organ ochrony danych nakłada 20.000.000 Euro 💸💸💸 kary za takie samo naruszenie, co CNIL. Jednocześnie zakazując dalszego przetwarzania.

  1. Maj 2023 🇦🇹

W tzw. międzyczasie austriacki organ nadzorczy (DSB) stwierdza, że Clearview AI dysponuje bazą danych zawierającą m.in. 30.000.000.000 (tak, to jest 30 MILIARDÓW) zdjęć twarzy ludzi z całego świata. Zdjęcia te zostały pobrane z Internetów, a następnie przy wykorzystaniu sztucznej inteligencji przekształcono je w zdjęcia biometryczne umożliwiające przypisanie konkretnej osoby do konkretnego zdjęcia (czyli DSB stwierdził to samo co CNIL). Jednocześnie wzywając do zaprzestania przetwarzania danych, ale tylko skarżącego (a nie jak we Francji, Grecji czy Włoszech – wszystkich danych) oraz do wyznaczenia swojego przedstawiciela w Unii (spółka nie ma siedziby w UE, tylko w Stanach Zjednoczonych). Nie znalazłem żadnych informacji czy Clearview AI się w jakikolwiek sposób do tego odniosło.

  1. Brytyjski organ też nałożył karę na Clearview AI w wysokości 7.500.000 funtów.

Co to oznacza w teorii? W teorii Clearview AI ma zakaz przetwarzania danych i nakaz usunięcia wszystkich danych, a także kilkadziesiąt milionów euro kary. Pytanie tylko czy coś sobie z tego robi? 

Na chwilę obecną, tak – ignoruje.

Mój komentarz w tej sprawie jest mimo wszystko prosty – przepisy dotyczące ochrony danych osobowych w Unii Europejskiej są dobre, ale… ale ich egzekwowanie już niestety jest mocno utrudnione, a może nawet niemożliwe w niektórych przypadkach. Czy to oznacza, że powinniśmy przestać się interesować tym kto, jakie i dlaczego przetwarza nasze dane? 🤔

Absolutnie nie! 🙅‍♂️

Wręcz przeciwnie. Im więcej takich spraw, tym świadomość społeczna jest większa, a to potrafi zmieniać politykę niejednej firmy. To wszystko w tym newsie, dbajcie o siebie, a przede wszystkim – uważajcie co i gdzie publikujecie. 

Pamiętajcie, coś raz wrzucone do Internetów pozostanie tam… na zawsze. I może to znaleźć, a następnie wykorzystać absolutnie każdy.

Avast biedniejszy o 13,7 mln euro

1 minuta

Pamiętacie, jak kiedyś wyszło, że Avast (tak, ten od antywirusów) sprzedawał reklamodawcom (m.in. Google, Microsoft, Sephora, Home Depot…) dane swoich użytkowników? Nie? Tutaj możecie o tym poczytać. 

Otóż zainteresował się tym hiszpański organ nadzorczy (odpowiednik polskiego Prezesa Urzędu Ochrony Danych), ale przetransferował sprawę do czeskiego organu. No i ten przeanalizował sprawę (zajęło mu to ponad dwa latai stwierdził, że Avast niedostatecznie informował użytkowników w momencie uzyskania od nich danych:

  • w jakich celach je zbiera
  • na jakiej podstawie je zbiera.

A jakie dane Avast zbierał? A różne: 🗺 dane o lokalizacji, 🎞obejrzane filmy na Youtube, 🪪 profile które przeglądaliśmy na LinkedIn, 🌐 strony w internetach jakie przeglądaliśmy i wiele, wiele innych. Wniosek?

💸💸💸

13,7 mln euro kary za naruszenie RODO

💸💸💸

Więcej info na stronie hiszpańskiego NGO, który jako pierwszy poinformował hiszpański organ nadzorczy o tej sprawie.

Brytyjczycy ukarali TikTok’a (12,7 mln funtów)

1 minuta

Dyskusji nad TikTokiem ciąg dalszy. Tym razem brytyjski organ ds. ochrony prywatności (Biuro Komisarza ds. Informacji, z ang. Information Comissioner’s Office, ICO) sięgnął po rozwiązanie umożliwiające mu nałożenie kary na administratora. I CO? – można zapytać (see what I did there?). I nałożył na TikToka’ karę w wysokości 12,7 mln funtów za:

  1. brak rzeczywistego rozwiązania umożliwiającego weryfikację wieku przez użytkownika i brak zgody przedstawiciela ustawowego. To w konsekwencji prowadzi do przetwarzania przez TikTok’a do celów biznesowych danych osobowych małoletnich.
  2. brak przejrzystych informacji o tym jak TikTok przetwarza dane, komu je przekazuje.

Fun fact – ICO planował nałożyć karę w wysokości 27mln funtów, ale TikTok wskazał, że naruszenia nie dotyczyły danych wrażliwych.

O tym, jak hiszpańska La Liga chciała odzyskać rocznie 400 mln Euro podsłuchując fanów

1 minuta

W 2018 r. hiszpańska ekstraklasa – La Liga – postanowiła dodać do swojej apki pewną ciekawą funkcjonalność. Aplikacja zaczęła korzystać z lokalizacji GPS 🛰️ i mikrofonu 🎙️. „Po jakiego grzyba?!” – zapytacie. 

Otóż, La Liga miała plan (k. sprytny). 

Dzięki fanom, którzy będą mieli zainstalowaną tę aplikację, La Liga będzie śledzić… Czy bary (lub inne przybytki) w których puszczane są mecze La Ligi, posiadają licencję na odtwarzanie meczy na telewizorach. Jak to działało?

Otóż, aplikacja działała permanentnie w trybie „nasłuchiwania” (mikrofon w szmartfonie był włączony i wykorzystywany przez apkę) i nasłuchiwał określonych, charakterystycznych ukrytych sygnałów emitowanych w trakcie meczu (tzw. akustycznych odcisków palca). Podobnie działają wszelcy asystenci głosowi typu Alexa od Amazonu czy Siri od firmy z jabłuszkiem. Jeśli wyłapała taki odcisk, to wysyłała informację o lokalizacji do La Ligii, a ta analizowała czy dany lokal posiada licencję na odtwarzanie meczy. 

Jeśli nie 🔜 cyk, pisemko z wezwaniem do zapłaty za rozpowszechnianie meczu bez licencji.

Sprytnie prawda? Tak sprytnie, że dowiedział się o tym tamtejszy Prezes Urzędu Ochrony Danych i nałożył na La Ligę karę w wysokości prawie 300 tys. Euro.