Raport ZFODO – jakie dane i z jakiego powodu najczęściej wyciekają z firm i administracji publicznej? Na jakiej podstawie przetwarzać dane osobowe z adresu e-mail byłego pracownika? Czy platformy zarządzające plikami cookie naruszają przepisy RODO? Czy Carrefour nielegalnie gromadzi odciski palców? Czy Google będzie blokował pliki cookies z zewnętrznych stron? Ile toczy się spraw cywilnych z RODO? Czym jest „opłata za ochronę danych”? Czy w Niemczech zostanie nałożona rekordowa kara za doprowadzenie do wycieku 10 TB danych klientów? Zatrudnianie obcokrajowców – co na to RODO?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich czterech tygodni.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Raport ZFODO – najgorzej chronione imię i nazwisko
- w ciągu ubiegłego roku zgłoszono do UODO 6039 naruszeń ochrony danych osobowych – chodzi zarówno o poważne wycieki, jak i o przypadkowe rozesłanie e-maila z odkrytymi adresami innych odbiorców
- liczba może wydawać się duża, ale perspektywa zmienia się, gdy porównamy ją do danych z rekordowej pod tym względem Holandii – w ciągu roku, w dużo mniejszym kraju, zgłoszono prawie 41 tys. naruszeń
- liczby te niewiele jednak mówią o ryzyku wystąpienia incydentów związanych z danymi – pewien obraz daje natomiast raport przygotowany przez Związek Firm Ochrony Danych Osobowych
- ZFODO przez rok analizowało dane z 277 firm prywatnych i jednostek administracji publicznej
- w tym czasie odnotowano 127 incydentów związanych z danymi – oznacza to, że średnio na jednego administratora przypadało 0,46 incydentu
- z raportu ZFODO wynika, że zdecydowana większość incydentów, bo aż 89 proc., wynikała z błędu ludzkiego
Źródło: https://prawo.gazetaprawna.pl/artykuly/1451855,rodo-ryzyko-wycieku-danych-osobowych-raport.html
RODO a imienny adres e-mail byłego pracownika
- imienny adres e-mail zawiera dane z zakresu tzw. „danych zwykłych”, których przetwarzanie regulowane jest w RODO (art. 6 ust. 1) co oznacza, że przetwarzanie takich danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie
- w omawianym przypadku podstawą przetwarzania danych byłego pracownika zawartych w adresie mailowym może być realizacja prawnie uzasadnionego interesu administratora
- jeśli byłego pracownika łączyła z pracodawcą umowa, zgodnie z którą był odpowiedzialny m.in. za kontakt z kontrahentami, to po zakończeniu współpracy pracodawca może chcieć nadal wykorzystywać ten adres mailowy, aby nie tracić możliwości nawiązania kontaktu z kontrahentami lub klientami
- powyższe może się dokonać np. za pomocą automatycznej odpowiedzi kierowanej do klientów lub kontrahentów – jeśli komunikat obejmuje informację o tym, że dany pracownik nie jest już zatrudniony oraz wskazanie, pod jakim adresem mailowym można kontaktować się z aktualnymi przedstawicielami danego podmiotu, to w ocenie Prezesa UODO tego rodzaju działanie można potraktować jako prawnie uzasadniony interes administratora danych
Źródło: https://uodo.gov.pl/pl/138/1312
Platformy zarządzające plikami cookie naruszają przepisy RODO?
- tylko jedna na 10 platform zarządzających zgodami internautów na dostęp do ich danych osobowych jest zgodna z unijnymi przepisami o ochronie prywatności – wynika z raportu naukowców z brytyjskiej uczelni UCL, amerykańskiego MIT i duńskiego Uniwersytetu Aarhaus
- platformy do zarządzania zgodami użytkowników (Consent Management Platform, CMP), pojawiły się na unijnym rynku razem z przepisami RODO i miały pomóc firmom w uzyskiwaniu obowiązkowych zgód użytkowników na gromadzenie ich danych za pośrednictwem „ciasteczek”, a internautom umożliwić uzyskanie większej kontroli nad tym, co dzieje się z ich danymi
- na potrzeby badań naukowcy przeanalizowali 10 tys. stron internetowych w Wielkiej Brytanii i odkryli, że wiele platform nie posiada osobnego okienka, w którym internauta może zaznaczyć swoją zgodę na dostęp do danych, a przycisk pozwalający na „wypisanie” się ze strony i wycofanie swoich danych bywa ukryty lub w ogóle go nie ma
- takiego przycisku brakowało na co drugiej z przebadanych stron, a tylko na 12 proc. stron pole odmowy było tak samo widoczne, jak to do wyrażania zgody
Źródło: https://www.cyberdefence24.pl/platformy-zarzadzajace-plikami-cookie-naruszaja-przepisy-rodo
Rok 2020 będzie rokiem przeglądu RODO
- konferencja naukowa pt. „Cyfrowy Bliźniak”, która odbyła się 10 stycznia 2020 r. we Wrocławiu stworzyła okazję do omówienia stanu realizacji RODO
- Rok 2020 będzie rokiem przeglądu RODO – zapowiedziała Urszula Góral, dyrektor Departamentu Współpracy Międzynarodowej i Edukacji, otwierając konferencję czym nawiązała do istotnego zadania, które wynika z art. 97 RODO
- najpóźniej do 25 maju 2020 r. Komisja Europejska po raz pierwszy przedstawi Parlamentowi Europejskiemu oraz Radzie sprawozdanie z oceny i przeglądu RODO – w tym kontekście Urszula Góral zasygnalizowała kwestie prowadzonej obecnie w Unii Europejskiej dyskusji na temat sektorowych przepisów dotyczących ochrony danych
- konferencja była też okazją do szczegółowego oceniania konkretnych rozwiązań prawnych i technicznych wpływających na to, jak tzw. cyfrowy bliźniak wygląda i jak wyglądać będzie cyberfizyczny system, w którym miałby funkcjonować
- „cyfrowy bliźniak” to odwzorowanie szczególnego obiektu, jakim jest człowiek, który jest szeroko opisywany przez dane znajdujące się w sieci, będące np. w zasobach podmiotów gospodarczych
Źródło: https://uodo.gov.pl/pl/138/1309
Raport o naruszeniach ochrony danych osobowych
- DLA Piper opublikowała raport o naruszeniach ochrony danych osobowych i karach za te naruszenia
- raport obejmuje następujący przedział czasowy od 25 maja 2018 r. (tj. wejście w życie RODO) do 27 stycznia 2020 r.
- we wskazanym okresie zgłoszonych zostało ponad 160 000 naruszeń ochrony danych
- największą jak dotąd karą zgodnie z RODO była grzywna w wysokości 50 milionów euro nałożona na Google
- łączna liczba zgłoszonych przypadków naruszenia danych osobowych: 1. Holandia – 40 647, 2. Niemcy – 37 636, 3. UK – 22 181, 6. Polska – 7478
- liczba naruszeń na 100 tys. osób: 1. Holandia – 147,2, 2. Irlandia – 132,52, 3. Dania 115,43, 14. Polska 13,74
- łączna wartość kar finansowych: 1. Francja – 51 100 000 euro, 2. Niemcy – 24 574 525, 3. Austria – 18 107 700, 7. Polska 947 345
- raport dostępny jest pod linkiem: https://www.dlapiper.com/~/media/files/insights/publications/2020/01/dla-piper_data-breach-report-2020.pdf
Carrefour nielegalnie gromadzi odciski palców?
- belgijski urząd ds. ochrony danych osobowych chce wszcząć dochodzenie przeciwko tamtejszemu oddziałowi sieci Carrefour, oskarżając detalistę o to, że w ramach pilotażu płatności autoryzowanych odciskiem palca nielegalnie gromadzi i przetwarza dane wrażliwe – w tym wypadku odciski palców swoich klientów
- po udanych testach systemu MyFinger, który identyfikuje użytkowników za pośrednictwem odcisku palca, Carrefour ogłosił w miniony wtorek, że rozpoczyna pilotaż projektu w sklepach zlokalizowanych w centrum stolicy Belgii
- belgijski urząd przypomina, że RODO zabrania firmom gromadzenia danych biometrycznych od konsumentów bez zezwolenia
- Carrefour zapewnia, że postępuje zgodnie z RODO, a gromadzone dane są w pełni bezpieczne
- firma podkreśla, że współpracuje z firmami, które specjalizują się w zabezpieczaniu danych i przypomina też, że w innych miejscach – jak w bankach, czy na lotniskach – podobne dane także są pobierane i gromadzone
Google zablokuje pliki cookie z zewnętrznych stron
- Google pracuje nad zestawem otwartych standardów prywatności, które mają poprawić komfort korzystania z sieci bez straty dla publikujących treści
- inicjatywa znana jest jako Privacy Sandbox i ma w założeniach zapewnić internetowi „zdrowie” i dochody z reklam, ale nie naruszać prywatności użytkowników
- po konsultacjach ze specjalistami z różnych środowisk Google jest zdania, że da się osiągnąć ten cel bez używania plików cookie stron trzecich
- to oznacza, że małe pliki (ciasteczka) z informacjami między innymi o odwiedzonych stronach nie będą przenoszone między stronami
- obecnie pliki te stanowią podstawę śledzenia naszych poczynań w internecie i dopasowywania reklam
Ile toczy się spraw cywilnych z RODO?
- podstawy odpowiedzialności cywilnej zostały uregulowane nie tylko w kodeksie cywilnym, ale także w art. 82 ust. 1 RODO („Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”) oraz art. 53 ust. 1 ustawy DODO („Osobie, która poniosła szkodę lub doznała krzywdy w wyniku czynności naruszającej przepisy ustawy DODO, przysługuje od administratora odszkodowanie lub zadośćuczynienie”)
- na 7 stycznia 2020 r. nie wpłynęło do Urzędu Ochrony Danych Osobowych żadne zawiadomienie sądu o prawomocnym orzeczeń kończącym postępowanie w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych
- do Urzędu Ochrony Danych Osobowych wpłynęło 7 zawiadomień z sądów okręgowych o wniesionych do nich pozwów
Źródło: https://jawneprzezpoufne.pl/blog/ile-toczy-sie-spraw-cywilnych-z-rodo-dodo/#
Opłata za ochronę danych dla ICO
- Wielka Brytania wdraża przepisy, z których wynika obowiązek uiszczenia opłaty rejestracyjnej w Biurze Komisarza ds. Informacji (ICO)
- opłatę muszą uiścić wszyscy administratorzy, mający siedzibę w Wielkiej Brytanii, chyba że przysługuje specjalne zwolnienie
- zdecydowana większość firm będzie zobowiązana do uiszczenia opłaty za ochronę danych, przy czym trzy poziomy opłat (40 £ / 60 £ / 2900 £) zależą od wielkości firmy, biorąc pod uwagę liczbę pracowników i obroty firmy
- narzędzie do samooceny firmy na stronie internetowej ICO pomaga wyjaśnić, którą opłatę należy uiścić
- między 1 lipca a 30 września 2019 r. ICO nałożyło 240 kar pieniężnych za nieuiszczenie wyżej opisanej opłaty – kary wynoszą od 400 do 4000 funtów
- ICO skierowało pismo do organizacji, które nie uiściły opłaty – zapłać lub potwierdź, że obowiązuje zwolnienie lub wpłać grzywnę w wysokości do 4350 £
Źródło: https://blog.kryptos72.com/rodo/wdrozenie-rodo/wiedza/uk-oplata-za-ochrone-danych/
Rzecznik TSUE: Państwa nie mogą masowo przechowywać danych osobowych
- Trybunał Sprawiedliwości UE powinien podtrzymać swój wyrok z 2016 r., zgodnie z którym dane osobowe nie mogą być przechowywane masowo przez rządy państw nawet ze względów bezpieczeństwa narodowego – taką opinię wydał rzecznik generalny TSUE
- w 2016 r. TSUE orzekł, że masowe gromadzenie i przetrzymywanie danych jest niezgodne z unijną dyrektywą o prywatności i łączności elektronicznej, opartą na Karcie praw podstawowych UE
- Francja, Belgia i Wielka Brytania, w których w ostatnich latach doszło do poważnych zamachów terrorystycznych, uważają, że dostęp do danych może pomóc w zapobieganiu takim zdarzeniom – kraje te wprowadziły szereg regulacji dotyczących wykorzystania i przechowywania danych osobowych
- obecna rozprawa jest wynikiem pytań prejudycjalnych, które zostały wysłane do TSUE przez instytucje francuskie, belgijskie i brytyjskie odnośnie do stosowania unijnych regulacji dotyczących ochrony danych
- rzecznik opinii stwierdził m.in., że sprzeczne z dyrektywą jest uregulowanie, które, w kontekście poważnych i trwałych zagrożeń dla bezpieczeństwa narodowego, a zwłaszcza zagrożeń terrorystycznych, nakłada na operatorów i dostawców usług łączności obowiązek przechowywania danych dotyczących ruchu i lokalizacji abonentów, a także danych umożliwiających identyfikację twórców treści
UODO ostrzega przed fałszywymi kontrolerami
- w ostatnim czasie do przedsiębiorców zaczęły zgłaszać się osoby podające się za kontrolerów z Urzędu Ochrony Danych Osobowych – organ nadzorczy zaleca zachowanie ostrożności
- Prezes UODO przypomina, że zanim pojawi się pracownik UODO, upoważniony do przeprowadzenia kontroli, Urząd zawiadomi o niej pisemnie i telefonicznie
- ponadto pracownik UODO okaże upoważnienia do przeprowadzenia kontroli
- wzór legitymacji, którą posługują się kontrolerzy UODO jest określony w rozporządzeniu Rady Ministrów z 20 marca 2019 r. w sprawie wzoru legitymacji służbowej pracownika UODO – jednym z zabezpieczeń takiej legitymacji jest m.in. hologram. Musi on być na każdej legitymacji, którą posługują się kontrolerzy Prezesa UODO
- w przypadku wątpliwości co do wiarygodności osoby, która okaże dokumenty upoważniające do kontroli, istnieje możliwość telefonicznego zweryfikowania, czy rzeczywiście jest tą, za którą się podaje i jest upoważniona przez Prezesa UODO do przeprowadzenia kontroli
Źródło: https://uodo.gov.pl/pl/138/1316
XIV Dzień Ochrony Danych Osobowych)
- porady prawne, zajęcia z dziećmi i debaty poświęcone problematyce ochrony danych osobowych – to wydarzenia, które odbędą się 28 stycznia 2020 r. z okazji XIV Dania Ochrony Danych Osobowych
- w ramach głównych obchodów tego wyjątkowego święta odbędzie się Dzień Otwarty w UODO, podczas którego osoby zainteresowane zasięgnięciem porady prawnej w zakresie ochrony danych osobowych będą mogły porozmawiać z naszymi ekspertami
- porady prawne będą udzielane w siedzibie UODO w Warszawie przy ul. Stawki 2, w godzinach od 10.00 do 14.00 (hol budynku Intraco)
- XIV Dzień Ochrony Danych Osobowych będzie także okazją do wręczenia nagród im. Michała Serzyckiego
- szczegółowy harmonogram Dnia Otwartego w UODO dostępny jest na stronie internetowej: https://uodo.gov.pl/pl/138/1315
Ogromny wyciek danych w Niemczech
- niemiecki Buchbinder, który zajmuje się wypożyczaniem aut, dopuścił się ogromnego wycieku danych
- w wyniku błędu można było uzyskać dostęp do 10 TB danych klientów i pracowników firmy
- baza zawierała około 3 mln rekordów
- wśród danych były imiona i nazwiska, adresy, daty urodzenia, numery prawa jazdy, faktury, wiadomości e-mail oraz umowy klientów i pracowników – najstarsze dane pochodziły z 2003 roku
- wyciek był skutkiem błędnej konfiguracji jednego z serwerów należących do Buchbindera
- sugeruje się, że sprawa może zakończyć się jedną z najwyższych kar nałożonych od momentu wprowadzenia RODO
WSA: ochrona danych osobowych nie uniemożliwia publikacji dokumentów dotyczących KRS
- postanowienie Prezesa Urzędu Ochrony Danych Osobowych, które zakazuje publikowania list poparcia członków nowej Krajowej Rady Sądownictwa nie dotyczy sądów – stwierdził Wojewódzki Sąd Administracyjny w Warszawie
- wcześniej, powołując się na postanowienie UODO, Kancelaria Sejmu uniemożliwiała sędziemu Juszczyszynowi oględziny list osób popierających kandydatów na członków Krajowej Rady Sądownictwa
- „Postanowienie zabezpieczające wydane przez prezesa UODO (…) nie może w żadnym razie stanowić jakiejkolwiek podstawy do uniemożliwienia przez Kancelarię Sejmu RP przeprowadzenia przez sąd środka dowodowego w postaci oględzin wspomnianych wyżej oryginałów wszystkich dokumentów zawierających zgłoszenia oraz listy poparcia sędziów-kandydatów na członków Krajowej Rady Sądownictwa” – stwierdził WSA w Warszawie w wydanym postanowieniu
FBI wygrało – iPhone bez szyfrowania danych w chmurze
- FBI i Donald Trump zarzucali Apple, że niedostatecznie współpracuje ze służbami przy dochodzeniach śledczych
- według przecieków firma miała plany na to, jak zwiększyć prywatność użytkowników i bezpieczeństwo iPhone’ów, jednak ostatecznie je porzuciła
- Prezydent Stanów Zjednoczonych żądał od Apple współpracy w sprawie uzyskiwania danych z iPhone’ów przestępców – o ile dane z tych telefonów dalej pozostają niedostępne dla FBI, to cała sytuacja potencjalnie odbiła się na planach Apple
- Apple planował umożliwić zaszyfrowanie kopii zapasowych iCloud po stronie użytkownika – po takim kroku dostęp do danych mógłby mieć tylko użytkownik z poziomu autoryzowanych urządzeń i sam Apple straciłby w ten sposób dostęp do tych danych (klucz szyfrujący znałby jedynie właściciel telefonu)
- Apple nie zabrał oficjalnego stanowiska w tej sprawie – jest jednak bardzo prawdopodobne, że zrezygnował z potencjalnych planów ze względu na naciski służb i samego prezydenta
Źródło: https://komorkomania.pl/38338,apple-porzuca-szyfrowanie-danych-w-chmurze-fbi-wygralo-z-prywatnoscia
Wyciek danych to codzienność
- zjawisko wycieku danych będzie się nasilać – ostrzegają eksperci
- wskazują, że najcenniejszą informacją, którą należy chronić, jest numer PESEL
- w 2019 roku zasady RODO zlekceważyła cześć szpitali, operatorów komórkowych czy uczelni wyższych – to one były źródłem wycieku danych
- nie ma dziś bezpiecznych miejsc, które gromadzą nasze dane – wskazują eksperci
- eksperci zwracają uwagę, że dane zostawiamy w każdym odwiedzonym miejscu: banku, urzędzie, w hotelu, czy w e-sklepie
- to numer PESEL jest najcenniejszą informacją – to nasze „drugie DNA”
- wiele osób w momencie, gdy orientuje się, że stracili dokumenty błędnie kieruje swoje pierwsze kroki na policję – tymczasem kluczowe pozostaje powiadomienie o tym fakcie banku, gdyż liczy się każda chwila, aby wyprzedzić działanie oszusta
Źródło: https://biznes.radiozet.pl/News/Zgubione-dokumenty-a-RODO.-Co-robic-Gdzie-zglaszac-Wyciek-danych
PIT a RODO
- osoby zatrudnione po 3 maja ub.r. powinny otrzymać korespondencję z informacją podatkową do ich miejsca zamieszkania
- inaczej wygląda kwestia płatników, którzy pracę podjęli wcześniej, w ich przypadku dokument niezbędny do rozliczenia rocznego może zostać nadany na adres do korespondencji
- przepisy Kodeksu Pracy w sposób jasny wskazują, jakich danych może żądać pracodawca na etapie zatrudnienia od kandydata do pracy – zakres danych uległ zmianom już po rozpoczęciu stosowania RODO i właśnie dlatego pracodawca posiadł możliwość przetwarzania także innych danych kandydatów do pracy, jeśli tylko nie narusza to przepisów prawa, a zgodę na to wyraził sam kandydat
- jak zmiany mogą wpłynąć na kwestię rozliczenia PIT-u? – pracodawca ma obecnie prawo posiadać adres do korespondencji pracownika dla „innych celów„ – chodzi m.in. o kwestię ubezpieczeń (np. ZUS czy PPK), a ponadto w myśl ustawy o systemie ubezpieczeń społecznych, wśród danych potrzebnych do zgłoszenia do ZUS wymienione są m.in. trzy adresy pracownika: zameldowania, zamieszkania oraz do korespondencji
Zatrudnianie obcokrajowców – co na to RODO?
- Polska z roku na rok staje się coraz popularniejszym celem podróży i miejscem pracy dla obcokrajowców – według danych Urzędu do Spraw Cudzoziemców na początku 2020 roku ważne zezwolenia na pobyt w naszym kraju posiadało ponad 400 tys. cudzoziemców.
- zasady zatrudnienia osób spoza granic Polski reguluje Ustawa o promocji zatrudnienia i instytucjach rynku pracy
- do wykonywania pracy na terytorium naszego kraju uprawnieni są cudzoziemcy, którzy spełniają jeden z warunków określonych w przepisach, w tym przykładowo posiadają odpowiednie zezwolenie oraz przebywają na terenie Polski na podstawie wizy
- pracodawca, który chce przyjąć do swojej firmy obcokrajowca musi na etapie rekrutacji pozyskać od niego niezbędne dane, których zakres wynika z Kodeksu pracy i których przetwarzanie stanowi obowiązek prawny ciążący na pracodawcy zgodnie z art. 6 ust. 1 lit. c RODO
- osoby, które są zatrudniane w Polsce, w tym cudzoziemcy, podlegają nie tylko przepisom RODO, ale również polskim aktom prawnym
- z tego powodu proces zatrudniania Polaków i obcokrajowców będzie miał wiele części wspólnych, choć w przypadku cudzoziemców może być on odpowiednio bardziej rozbudowany
- warto podkreślić, że unijne rozporządzenie nie rozróżnia przetwarzania danych osobowych ze względu na obywatelstwo
Źródło: https://obserwatorpolityczny.pl/zatrudnianie-obcokrajowcow-co-na-to-rodo/
Prawie 30 mln euro kary we Włoszech
- włoski organ ochrony danych osobowych nałożył karę 27 802 946 euro na czołowego dostawcę usług telekomunikacyjnych
- kara została nałożona za liczne nielegalne przetwarzanie danych związane z działaniami marketingowymi – naruszenia dotknęły ogółem kilka milionów ludzi
- od stycznia 2017 r. do pierwszych miesięcy 2019 r. urząd otrzymał setki raportów dotyczących w szczególności przyjmowania niechcianych połączeń promocyjnych wykonywanych bez zgody lub pomimo rejestracji użytkowników telefonu w publicznym rejestrze sprzeciwów, a nawet pomimo faktu że osoby, z którymi się skontaktowano, wyraziły gotowość nie odbierania telefonów promocyjnych do firmy
- nieprawidłowości w przetwarzaniu danych były również zgłaszane w związku z ofertą konkursów z nagrodami oraz w formularzach przesyłanych użytkownikom przez spółkę
- oprócz nałożenia kary finansowej organ zadecydował, że spółka nie będzie już mogła wykorzystywać danych klientów gromadzonych za pośrednictwem aplikacji „My Tim”, „Tim Personal” i „Tim Smart Kid” do celów innych niż świadczenie usług bez bezpłatnej i wyraźnej zgody
Źródło: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9256409
Korea Południowa: odpowiedzialność karna privacy officera
- w ostatnich latach Korea Południowa stała się synonimem jednych z najsurowszych przepisów dotyczących ochrony danych i wymogów regulacyjnych w regionie – przepisy są regulowane przez Koreańską Komisję Łączności (KCC), Ministerstwo Spraw Wewnętrznych i Bezpieczeństwa (MOIS) oraz inne sektorowe organy nadzoru
- niedawne zmiany tych trzech przepisów doprowadziły do surowszych kar, a także ścigania karnego za naruszenia danych
- w dniu 7 stycznia 2020 r. wschodni sąd okręgowy w Seulu uznał privacy officera południowo-koreańskiego biura podróży za winnego zaniedbania za to, że nie zapobiegł naruszeniu bezpieczeństwa danych w 2017 r. – naruszenie bezpieczeństwa dotknęło ponad 465 000 klientów agencji i około 29 000 pracowników agencji
- sąd koreański nałożył karę w wysokości 10 milionów won na privacy officera, oprócz 32 27 250 000 Won koreańskich nałożonych na firmę przez Ministerstwo Spraw Wewnętrznych i Bezpieczeństwa
- poza grzywnami prokuratura koreańska zażądała ośmiomiesięcznego wyroku więzienia dla privacy officera
Inteligentne wodomierze na celowniku UODO
- w tegorocznym planie kontroli organ nadzorczy ujął podmioty korzystające z urządzeń umożliwiających zdalny odczyt liczników – tzw. inteligentne liczniki wody umożliwiają zdalny odczyt parametrów z danego budynku lub lokalu z wykorzystaniem nowoczesnych technologii – urządzenia te automatycznie przesyłają odczyty z urządzeń do bazy danych
- tego typu liczniki są wykorzystywane nie tylko przez przedsiębiorstwa wodociągowe, lecz także np. spółdzielnie mieszkaniowe
- eksperci radzą, by w ramach przygotowań do wizyty inspektorów sprawdziły one zakres przetwarzanych danych oraz umowy z podmiotami zewnętrznymi
- UODO sprawdzi, czy administrator jest w stanie wskazać zagrożenia i ryzyko płynące z przetwarzania przez niego pozyskanych informacji
- Będziemy weryfikować, czy wdrożone zostały środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO – informuje Adam Sanocki, rzecznik prasowy UODO
- tym samym niezbędne w trakcie kontroli będzie ustalenie, czy w związku z owym przetwarzaniem danych dochodzi do profilowania, o którym mowa w art. 4 pkt 4 RODO
- obecnie obowiązujące przepisy prawa nie regulują kwestii częstotliwości odczytów z wodomierzy. Jednak organ nadzorczy może surowszym okiem spojrzeć na podmioty, które dokonują częstych pomiarów
Źródło: https://biznes.gazetaprawna.pl/artykuly/1450813,plan-kontroli-sektorowych-2020-uodo.html
Aktualizacje oprogramowania pomagają zapewnić bezpieczeństwo danych
- aktualizacje są nieodłącznym aspektem w świecie informatycznym dlatego należy zdawać sobie sprawę z tego, że regularne aktualizowanie programów antywirusowych, oprogramowania typu firewall, przeglądarek, a także innych aplikacji i całych systemów operacyjnych, z których korzystamy na co dzień, jest jednym z kluczowych warunków zapewniających bezpieczną i stabilną pracę naszego komputera
- UODO przypomina, że zgodnie z art. 32 RODO administrator i podmiot przetwarzający musi wdrożyć odpowiednie środki organizacyjne i techniczne, aby zapewnić odpowiedni stopień bezpieczeństwa danych
- wśród wymienionych przykładowo środków znalazła się zdolność do zapewnienia poufności, integralności i odporności systemów i usług przetwarzania
- za bezpieczeństwo danych przetwarzanych w systemach komputerowych odpowiada administrator i podmiot przetwarzający, którzy powinni zapewnić aktualne oprogramowania oraz regularne testowanie środków bezpieczeństwa
- Do bezpieczeństwa informatycznego należy podchodzić wielopłaszczyznowo. Przestępcy wprowadzają do systemów często złośliwe oprogramowania, które po zaszyfrowaniu danych blokują do nich dostęp. Trzeba zwrócić szczególną uwagę na trzy istotne elementy, które składają się na budowanie i utrzymanie wysokiego poziomu bezpieczeństwa – są to procesy, technologia i przede wszystkim ludzie, którzy są odpowiedzialni za ochronę systemów.– powiedział Tomasz Soczyński, Dyrektor Departamentu Informatyki w Urzędzie Ochrony Danych Osobowych
Źródło: https://uodo.gov.pl/pl/138/1359
Wielka Brytania z nowymi przepisami ochrony danych osobowych
- Wielka Brytania będzie dążyć do odejścia od unijnych przepisów o ochronie danych i ustanowienia własnych „suwerennych” kontroli w tym zakresie – powiedział premier Boris Johnson, pomimo tego, że UE potwierdziła, że Wielka Brytania powinna „w pełni przestrzegać unijnych przepisów o ochronie danych”
- w opublikowanym piśmie do Izby Gmin, premier wskazał, że Wielka Brytania „opracuje odrębne i niezależne polityki” w wielu dziedzinach, w tym w zakresie ochrony danych, dodając, że rząd będzie dążył do utrzymania wysokich standardów w tym zakresie
- wcześniej Komisja Europejska wydała zalecenie dotyczące otwarcia negocjacji handlowych z Wielką Brytanią, podkreślając wcześniejsze zobowiązania, które obie strony podjęły w celu zachowania spójności standardów ochrony danych
- KE stwierdziła, że biorąc pod uwagę znaczenie przepływów danych, planowane partnerstwo powinno potwierdzić zobowiązanie stron do zapewnienia wysokiego poziomu ochrony danych osobowych oraz w pełni przestrzegać unijnych przepisów o ochronie danych osobowych, dodając, że przekazywanie danych po Brexicie powinno odbywać się na podstawie odpowiedniej umowy
ZFŚS a RODO
- żeby przyznać pracownikowi świadczenie z Zakładowego Funduszu Świadczeń Socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe
- pracodawca jest zobowiązany również do dokonywania przeglądu tych danych co najmniej raz w roku
- artykuł 8 ust. 1 ustawy o ZFŚS zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu
- art. 8 ust. 1a ww. ustawy określa, że pracownik przekazuje dane pracodawcy w formie oświadczenia, a potwierdzenie danych w nim zawartych może odbywać się m.in. na podstawie oświadczeń i zaświadczeń o sytuacji życiowej
- w opinii UODO, jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to regulacja umożliwia pracodawcy jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii czy innego utrwalania – powodowałoby to gromadzenie danych w szerszym zakresie niż jest to niezbędne do celu przetwarzania, gdyż np. PIT współmałżonka zawiera również takie dane, jak np. nazwa zakładu pracy czy PESEL, które nie są niezbędne do potwierdzenia danych przedstawionych w oświadczeniu pracownika
Źródło: https://uodo.gov.pl/pl/138/1360
Kodeks RODO dla sektora handlu
- RODO to wyzwanie w szczególności dla sektora handlu, a w szczególności podmiotów działających na rynku nieruchomości handlowych w Polsce
- Polska Rada Centrów Handlowych dostrzegła potrzebę podjęcia działań w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych w działalności handlowej, jak również budowania zaufania klientów i kontrahentów podmiotów działających na rynku nieruchomości handlowych w Polsce
- Kodeks RODO dla sektora handlu został opracowany z uwzględnieniem specyfiki funkcjonowania zarządców centrów handlowych i ma na celu doprecyzowanie obowiązków w zakresie ochrony danych osobowych oraz pomóc we właściwym stosowaniu przepisów o ochronie danych osobowych przez administratorów działających w branży centrów handlowych
- PRCH jest stowarzyszeniem not-for-profit, zrzeszającym ponad 240 podmiotów będących w wielu przypadkach administratorami działającymi w branży nieruchomości handlowych
- trwają konsultacje społeczne projektu kodeksu – uwagi należy nadsyłać do dnia 29.02.2020 roku drogą elektroniczną na adres według wzoru dostępnego na stronie internetowej PRCH
Cypryjski organ zakazuje zautomatyzowanej oceny zwolnień
- cypryjski organ nadzorczy zakazał wykorzystywania zautomatyzowanego narzędzia do oceniania zwolnień lekarskich pracowników, znanego jako „Bradford Factor”
- Bradford Factor dokonuje analizy m.in. częstotliwości zwolnień oraz ich długości
- w ocenie organu data i częstotliwość zwolnienia chorobowego w odniesieniu do osoby fizycznej, o ile jej tożsamość jest ujawniana bezpośrednio lub pośrednio, pociąga za sobą przetwarzanie szczególnych kategorii danych osobowych
- administrator przeprowadził ocenę skutków dla ochrony danych osobowych, jak również w jej toku konsultował się z cypryjskim organem
- zdaniem organu administrator nie wykazał, że jego uzasadniony interes przeważał nad interesami, prawami i swobodami pracowników
- po dokonaniu oceny zebranych na potrzeby dochodzenia elementów organ uznał, że taka operacja przetwarzania nie ma podstawy prawnej
- administrator, jako pracodawca, był uprawniony do nadzorowania częstotliwości zwolnień chorobowych i ważności świadectw zwolnień chorobowych – taki obowiązek nie powinien jednak prowadzić do niewłaściwej obsługi i powinien być stosowany w granicach określonych w odpowiednich ramach prawnych
- organ nakazał administratorowi przerwać przetwarzanie i usunąć wszystkie zebrane dane, a ponadto nałożył grzwynę o łącznej wysokości 82 tys. EUR (grzywny nałożono na 3 odrębnych administratorów)
Obserwowanie pracowników możliwe także przez systemy kontroli dostępu
- rozwiązania technologiczne wprowadzane przez pracodawcę mogą śledzić, jak zatrudnieni poruszają się po terenie firmy – zdaniem organu ochrony danych mają wtedy charakter monitoringu, o jakim mowa w kodeksie pracy
- po zmianach wprowadzonych w związku z dostosowaniem do RODO w kodeksie pracy pojawiły się dwa przepisy dotyczące monitoringu – pierwszy z nich dotyczy monitoringu wizyjnego, a drugi monitoringu poczty elektronicznej
- zakres zastosowania drugiej regulacji jest znacznie szerszy – obejmuje, poza pocztą elektroniczną, także inne formy monitoringu, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w tym przepisie np. umieszczanie GPS w samochodach służbowych, nagrywanie rozmów z pracownikami czy weryfikację aktywności w internecie
- wymagania te spełnia także system do elektronicznej rejestracji czasu pracy, na podstawie którego śledzić można nie tylko godziny wejścia i wyjścia z firmy, lecz także przerwy na papierosa, na lunch i wyjścia prywatne
- UODO przyjął, że innym rodzajem monitoringu może być także system kontroli dostępu do pomieszczeń biurowych, który nie służy do ewidencjonowania czasu pracy, jeśli odnotowuje w sposób ciągły, jak pracownicy poruszają się po terenie zakładu pracy
- w praktyce oznacza to obowiązek wprowadzenia takiej formy monitoringu do regulaminu pracy, poinformowania o tym pracowników i dopisania kolejnej formy monitoringu w treści zbieranych od pracowników oświadczeń
Irlandia: Urząd ochrony danych zbada, jak przetwarzają dane Google i Tinder
- biuro irlandzkiego komisarza ds. ochrony danych osobowych wszczęło postępowanie ws. możliwych naruszeń prawa przez Google’a i Tindera w związku z przetwarzaniem przez te firmy danych użytkowników ich usług
- wcześniej do biura urzędu wpłynęły liczne skargi konsumenckie w tej sprawie
- w wydanym przez biuro organu oświadczeniu stwierdzono, że postępowanie dotyczące Google’a ma związek przede wszystkim z wyjaśnieniem kwestii wokół przetwarzania przez tę firmę danych geolokalizacyjnych i przejrzystości jej działań w tym zakresie
- postępowanie względem Tindera ma dotyczyć „szeregu problemów”, które zostały irlandzkiemu organowi wskazane przez użytkowników z kraju, ale też z innych państw członkowskich UE – zakres postępowania ma objąć m.in. zgodność działań platformy z obowiązującym prawem regulującym kwestie ochrony danych osobowych, szczególnie w kwestii spełniania próśb użytkowników o dostęp do danych
- organ zbada również, czy Tinder dysponuje właściwą podstawą prawną pozwalającą mu na przetwarzanie danych personalnych osób korzystających z jego usług
- obie sprawy zostały wszczęte w wyniku inicjatywy własnej urzędu, nie zaś w wyniku bezpośredniej reakcji na otrzymane skargi
Google Photos naruszył prywatność użytkowników
- w wyniku błędu technicznego aplikacja Google Photos przenosiła materiały wideo części użytkowników do innych osób, które również z niej korzystały – problem został zidentyfikowany w listopadzie ubiegłego roku
- błąd w działaniu Google Photos dotknął jedynie tych użytkowników, którzy korzystali z narzędzia Google Takeout do przeprowadzenia operacji pobrania wszystkich danych z usług koncernu, umożliwiającego również pobranie zdjęć zamieszczanych w tej aplikacji
- ci, których pliki wideo trafiły do innych użytkowników, mogą również w swoich zasobach nieoczekiwanie odnaleźć pliki należące do innych dotkniętych działaniem błędu osób
- według Google, liczba użytkowników, których dotyczył błąd, jest jednak bardzo niewielka i kwalifikuje się ją jako 0,01 proc. wszystkich osób korzystających z narzędzia Google Takeout
- koncern poinformował też, że błąd został naprawiony, a po usunięciu usterki przeprowadzono dogłębną analizę mającą zapobiec występowaniu podobnych problemów w przyszłości
- dotknięci problemem użytkownicy zostali powiadomieni o wystąpieniu błędu, otrzymali również od firmy przeprosiny oraz sugestię ponownego przeprowadzenia operacji eksportu danych przy jednoczesnym usunięciu poprzednio utworzonej i zapisanej kopii
Obowiązek rejestracji kart SIM nie narusza prywatności
- konieczność ujawnienia nazwiska, numeru telefonu, adresu i daty urodzenia oraz zawarcia umowy przy kupowaniu telefonicznych kart typu pre-paid jest zgodna z gwarancjami praw podstawowych w przepisach unijnych – stwierdził Europejski Trybunał Praw Człowieka
- sprawa trafiła do trybunału w wyniku skargi dwóch niemieckich aktywistów – zaskarżyli oni przepisy niemieckiego prawa telekomunikacyjnego, twierdząc, że narusza ono ich prawo do ochrony życia prywatnego i korespondencji oraz anonimowej komunikacji, jako składowej swobody ekspresji, gdyż zmusza do ujawniania operatorowi informacji niepotrzebnych do zawarcia tego typu umowy
- taka ingerencja jest, zdaniem skarżącycg, nieuzasadniona, nieproporcjonalna i zbędna w społeczeństwie demokratycznym – zwłaszcza że określone w przepisach wymogi łatwo obejść, podając fałszywe dane lub używając kradzionych kart SIM
- zdaniem rządu niemieckiego natomiast, choć naruszenie faktycznie ma miejsce, to nie jest ono poważne, ponadto przepisy wprowadzają dodatkowe obostrzenia i ustawowe wymogi w dostępie organów władzy do tych danych – ta ograniczona ingerencja w prywatność ma uzasadnienie, gdyż jej celem jest ochrona bezpieczeństwa i porządku publicznego, a także praw i wolności innych osób
- ETPC przyznał, że do ingerencji w prywatność doszło, jednak nie była ona poważna, a sam fakt, że pewne przepisy można obejść, nie oznacza, iż są one zbędne – środki przyjęte w tej sprawie przez Niemcy mieszczą się w granicach swobody, jakie mają państwa członkowskie przy wdrażaniu unijnych przepisów
UODO o e-receptach
- do UODO zgłaszane są przez placówki medyczne pytania, związane z sytuacjami w których pacjenci proszą telefonicznie o podanie kodu dostępu niezbędnego dla realizacji e-recepty – placówki medyczne mają wątpliwości, czy mogą udostępniać taką informację przez telefon
- zgodnie z art. 96b Prawa farmaceutycznego osoba wystawiająca receptę udziela pacjentowi informację o wystawionej e-recepcie zawierającą min. 4-cyfrowy kod dostępu
- taka informacja może być wysyłana na wskazany przez pacjenta w systemie informacji o ochronie zdrowia adres e-mail lub wiadomość SMS na numer telefonu
- choć obowiązujące przepisy nie wskazują, aby placówka medyczna dysponowała prawem do ustnego informowania pacjenta o 4-cyfrowym kodzie podczas rozmowy telefonicznej, to w wyjątkowych sytuacjach, po zweryfikowaniu tożsamości osoby dzwoniącej, osoba wystawiająca receptę mogłaby przekazać pacjentowi 4-cyfrowy kod dostępu. Istotne w takich przypadkach jest prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefoniczna (np. poprzez numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd.)
- nie oznacza to jednak, że udostępnianie tych informacji w ww. formie powinno stać się powszechną praktyką
- w przypadku wątpliwości odnośnie do tożsamości osoby dzwoniącej w celu uzyskania informacji dotyczących pacjenta – w sytuacjach zwyczajnych powinno się odmówić udzielenia informacji
Źródło: https://uodo.gov.pl/pl/138/1361
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 20.01.2020
Pobierz
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 27.02.202
Pobierz
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 03.02.2020
Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.