Czy można umieszczać dane pracowników na drzwiach? Co grozi za opóźnienie w powiadomieniu o incydencie? Komu zostały ujawnione dane osób objętych kwarantanną? Czy można zbierać dane biometryczne w celu rejestrowania czasu pracy? Jakie dane wyciekły z wypożyczalni PANEK rent a car? Kolejny wyciek danych na polskiej uczelni? Jakie są zalecanie UODO związane z rekrutacją na rok szkolny 2020/21? Czy UODO zgłosił uwagi do ustawy dot. głosowania korespondencyjnego? Jakie kolejne wytyczne przyjął EROD w sprawie COVID-19? Czy można zamontować kamery termowizyjne do pomiaru temperatury ciała pracowników?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Można umieszczać dane pracowników na drzwiach, jeśli to uzasadnione
- zamieszczenie przez pracodawcę na drzwiach biura imienia i nazwiska oraz stanowiska pracy pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jednak musi być usprawiedliwione celem działania pracodawcy
- administrator podczas zbierania danych podaje m.in. cele przetwarzania danych osobowych, a w myśl artykułu 25 ust. 2 RODO to na administratorze danych spoczywają obowiązki, aby odpowiednio wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania
- w uzasadnieniu wyroku SN (I PK 590/02) stwierdzono, że nazwisko (i imię) jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej
- ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika
Źródło: https://www.prawo.pl/kadry/czy-na-drzwiach-biura-mozna-umieszczac-dane-pracownikow,499667.html
Wyciek danych klientów i wypożyczalni PANEK rent a car
- na w żaden sposób nie zabezpieczonym serwerze, znalazły się publicznie dostępne kopie bezpieczeństwa plików i baz danych pochodzące z wypożyczalni PANEK rent a car
- według otrzymanych przez Zaufaną Trzecią Stronę informacji udostępnione bazy danych i pliki serwera zawierały mnóstwo informacji, w tym takie dane jak:
- dane kont ok. 20 tysięcy klientów, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, PESEL, adres e-mail, hasz hasła
- dane tysięcy wypożyczeń z okresu 2010 – 2014, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, PESEL, adres e-mail oraz miejsce i datę wypożyczenia oraz zwrócenia pojazdu, cenę, opis pojazdu, adres IP klienta
- dane ponad miliona wypożyczeń z lat 2014 – 2019, ale w ograniczonym zakresie (daty, miasta)
- dane firmowe takie jak konta pracowników, punkty obsługi, pojazdy, treść stron, itp.
- pliki serwera WWW, zawierające kod strony i dane konfiguracyjne
- wypożyczalnia zablokowała dostęp do folderów i plików oraz złożyła wstępne zawiadomienie do Prezesa UODO, a także wynajęła specjalistyczny podmiot, który zweryfikuje przebieg incydentu i bezpieczeństwo tego i pozostałych serwisów firmy
Źródło: https://zaufanatrzeciastrona.pl/post/wyciek-danych-klientow-i-wypozyczalni-panek-rent-a-car/
UODO bada sprawę naruszenia w Forum Marketing and Sales Polska S.A.
- do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia danych osobowych od Fortum Marketing and Sales Polska S.A., sprzedawcy prądu, gazu i ciepła dla domu
- urząd przygląda się sprawie
- ze zgłoszenia wynika, że powstałe zdarzenie jest związane z wprowadzeniem zmian związanych z wydajnością w środowisku teleinformatycznym
- do naruszenia poufności danych osobowych klientów spółki doszło w nocy z 15 na 16 kwietnia 2020 r.
- Prezes Urzędu Ochrony Danych Osobowych prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia oraz czy przetwarzanie danych osobowych klientów Spółki odbywało się zgodnie z przepisami o ochronie danych osobowych
Źródło: https://uodo.gov.pl/pl/138/1510
Zgłoszenie wstępne SWPS w sprawie naruszenia ochrony danych osobowych
- do Prezesa UODO wpłynęło zgłoszenie wstępne od SWPS Uniwersytet Humanistycznospołeczny w sprawie naruszenia ochrony danych osobowych
- SWPS współpracuje ze szkołą wyższą Collegium Da Vinci w Poznaniu – obie uczelnie wykorzystują w działalności budynek należący do Collegium Da Vinci, szkoła ta jest jednocześnie administratorem sieci komputerowej w budynku
- jak zgłoszono, do zdarzenia doszło w wyniku uzyskania loginu i hasła administratora przez atakującego
- według dostępnych administratorowi na dzień zgłoszenia naruszenia informacji incydent polegał na ataku z wykorzystaniem oprogramowania typu ransomware
- naruszenie dotyczy studentów, słuchaczy studiów podyplomowych, pracowników oraz współpracowników
- administrator, w momencie przesyłania zgłoszenia o naruszeniu, nie poinformował osób, których dane dotyczą, o zaistniałej sytuacji
- UODO przygląda się sprawie w celu wyjaśnienia wszelkich jej okoliczności oraz ustalenia, czy przetwarzanie danych osobowych odbywało się zgodnie z przepisami RODO
Źródło: https://uodo.gov.pl/pl/138/1512
Kara za używanie odcisków palców pracowników do odnotowywania obecności i rejestrowania czasu pracy
- Holenderski organ nadzorczy nałożył karę w wysokości €725.000 (ok. 3.102.565 zł) za naruszenie RODO polegające na używaniu odcisków palców pracowników do odnotowywania obecności i rejestrowania czasu pracy
- pracownicy firmy musieli skanować swoje odciski palców w celu obecności i rejestracji czasu
- Holenderski Urząd Ochrony Danych (AP) stwierdził po dochodzeniu, że firma nie powinna przetwarzać odcisków palców pracowników
- firma nie może powoływać się na wyjątkową podstawę przetwarzania tzw. szczególnych kategorii danych osobowych
- zdanie organu pracodawca może poprosić pracownika o podanie odcisku palca, na przykład w celu kontroli dostępu – w tej sytuacji czasami pracownik jest zobowiązany do podania odcisku palca, a czasem nie, a to wszystko zależy od tego, czy przetwarzanie odcisków palców jest konieczne do uwierzytelnienia lub bezpieczeństwa
- pracodawca musi rozważyć, czy budynki i systemy informacyjne muszą być tak dobrze zabezpieczone, że można tego dokonać jedynie przy użyciu danych biometrycznych – często nie będzie takiej potrzeby, ponieważ istnieją dobre alternatywy
EROD przykłada jeszcze większą wagę do wytycznych ws. COVID-19
- w odpowiedzi na pismo misji Stanów Zjednoczonych przy Unii Europejskiej EROD analizuje przekazywanie danych dotyczących zdrowia do celów badań naukowych, umożliwiając międzynarodową współpracę w zakresie opracowania szczepionki – misja Stanów Zjednoczonych zapytała o możliwość powołania się na wyjątek od przepisów art. 49 RODO, aby umożliwić międzynarodowe przepływy danych
- w swoim piśmie EROD podkreśla, że RODO umożliwia współpracę między naukowcami z EOG i spoza EOG w zakresie poszukiwania szczepionki przeciwko COVID-19 i metod leczenia, przy jednoczesnej ochronie podstawowych praw ochrony danych w EOG
- kiedy dane są przekazywane poza obszar EOG, zdaniem EROD należy preferować rozwiązania, które gwarantują stałą ochronę podstawowych praw osób, których dane dotyczą, takie jak decyzje stwierdzające odpowiedni stopień ochrony danych lub odpowiednie zabezpieczenia (zawarte w art. 46 RODO)
- EROD uważa jednak, że walka z COVID-19 została uznana przez UE i państwa członkowskie za ważny interes publiczny, ponieważ spowodowała ona wyjątkowy kryzys sanitarny o niespotykanym wcześniej charakterze i skali – może to wymagać pilnych działań w dziedzinie badań naukowych, powodując konieczność przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych
- w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony danych lub odpowiednich zabezpieczeń, organy publiczne i podmioty prywatne mogą również powołać się na wyjątki zawarte w art. 49 RODO
Źródło: https://uodo.gov.pl/pl/138/1511
Kara za opóźnienie w powiadomieniu o incydencie
- Szwedzki organ ochrony danych osobowych nałożył karę w wysokości 200.000 SEK (ok. 84.825,60 zł) na organ obsługujący administrację Szwecji w zakresie zarządzania kadrami i finansami
- organ nadzorczy skontrolował Centrum Służby Państwowej po otrzymaniu kilku powiadomień o incydencie dotyczącym danych osobowych, wynikającym z błędu w systemie zarządzania listami płac
- błąd oznaczał, że osoby nieupoważnione mogły uzyskać dostęp do danych osobowych pochodzących od organów, które korzystają z Centrum, a częściowo danych osobowych dotyczących personelu Centrum
- z przeprowadzonej kontroli wynika, że Centrum Służby Państwowej od dłuższego czasu (3 miesiące) zwlekało z powiadomieniem władz o incydencie, a sama dokumentacja incydentu była niewystarczająca
Wyciek danych i kart płatniczych z Zippo.pl
- jak informuje Niebezpiecznik.pl Włamywacze wykradli ze sklepu Zippo: imiona i nazwiska, adresy zamieszkania, numery telefonów, numery kart płatniczych (z kodami CVV!)
- Zippo powiadomiło swoich użytkowników o wycieku
- o wycieku został powiadomiony Komisarz ds. Ochrony Danych Osobowych dla Nadrenii-Westfalii w Niemczech tj. główny organ ochrony danych osobowych sprawujący nadzór nad działalnością Zippo w Europie
- nie jest znana konkretna liczba osób, których dotknął wyciek
Źródło: https://niebezpiecznik.pl/post/wyciek-danych-i-kart-platniczych-z-zippo-pl/
Ujawnienie danych osób objętych kwarantanną - UODO przygląda się sprawie
- Prezes UODO otrzymał od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie (PPIS) pismo wyjaśniające dotyczące opublikowania danych osobowych osób przebywających na kwarantannie
- sprawa jest obecnie analizowana przez UODO, a ewentualne dalsze działania organu będą uzależnione od jej okoliczności
- w wyjaśnieniach PPIS poinformował, że przeprowadził czynności wyjaśniające, z których wynika, że źródłem ujawnienia tych danych nie była Inspekcja Sanitarna w Gnieźnie
- PPIS wskazał także, że dane osób objętych kwarantanną przekazywał Komendzie Powiatowej Policji w Gnieźnie, Naczelnikowi Poczty Polskiej w Gnieźnie, Miejskim i Gminnym Ośrodkom Pomocy Społecznej na terenie powiatu gnieźnieńskiego oraz Komendzie Straży Pożarnej w Gnieźnie
- biorąc pod uwagę fakt, że dane te były przetwarzane przez różne podmioty, konieczne jest ustalenie, w którym z nich mogło dojść do naruszenia – w tym celu Prezes UODO podejmie wszelkie działania, do których jest uprawniony, w celu dokładnego wyjaśnienia okoliczności tego naruszenia
Źródło: https://uodo.gov.pl/pl/138/1499
Zalecenia UODO związane z rekrutacją na rok szkolny 2020/21
- UODO wydał zalecenia związane z rekrutacją na nowy rok szkolny
- zalecenia obejmują:
- Zakres danych we wnioskach – zakres danych które zawiera wniosek o przyjęcie określają przepisy prawa oświatowego, do wniosku załącza się również dokumenty, które potwierdzają spełnianie określonych w ustawie kryteriów, zbieranie innych danych (np. PESEL czy numeru i serii dowodu osobistego rodziców) stanowi naruszenie prawa oświatowego i zasad RODO.
- Realizację obowiązku informacyjnego – ważne jest informowanie rodziców i uczniów o tym, co będzie się działo z ich danymi.
- Okres przechowywania danych – dane uzyskane podczas postępowania rekrutacyjnego są przechowywane nie dłużej niż do końca okresu, w którym uczeń uczęszcza do placówki, dane kandydatów nieprzyjętych są przechowywane co do zasady przez rok.
- Publikację listy dzieci przyjętych do placówki oświatowej – zgodnie z nowymi przepisami wydanymi na podstawie specustawy ws. koronawirusa wyniki postępowania rekrutacyjnego w formie list kandydatów, podaje się do publicznej wiadomości także na stronach internetowych jednostek, nie jest natomiast dopuszczalne publikowanie tych list na portalach społecznościowych czy fanpage’ach placówek, tradycyjnie też listy są umieszczane w widocznym miejscu, w siedzibie danego podmiotu
Źródło: https://uodo.gov.pl/pl/138/1497
UODO nie zgłasza uwag do ustawy dot. głosowania korespondencyjnego
- Prezes UODO nie zgłosił uwag do ustawy dot. głosowania korespondencyjnego z punktu widzenia przepisów RODO
- „Niezależnie od wyrażonej opinii organ nadzorczy podkreśla że wszystkie podmioty i organy biorące udział w wyborach na Prezydenta Rzeczypospolitej Polskiej muszą przestrzegać przepisów RODO, w tym wskazanych w art. 5 RODO zasad przetwarzania danych osobowych, mających gwarantować bezpieczeństwo wszelkich procesów przetwarzania danych osobowych zgodnie z zasadą integralności i poufności” – podkreślił prezes UODO w stanowisku
- pismo jest odpowiedzią na prośbę Senatu dotyczącą wyrażenia opinii i uwag przez UODO w sprawie uchwalonej przez Sejm 6 kwietnia br. ustawy o szczególnych zasadach przeprowadzenia wyborów powszechnych Prezydenta Rzeczpospolitej Polskiej zarządzonych w 2020 roku
UODO o oświadczeniach składanych przez sędziów
- składanie przez sędziów oświadczeń o członkostwie w zrzeszeniach, w tym w stowarzyszeniach nie narusza RODO, gdyż obowiązek ten jednoznacznie wynika z przepisów prawa – takie stanowisko przedstawił Prezes UODO w odpowiedzi na pismo Prezesa NSA z 12 marca 2020 r.
- Prezes NSA wskazywał na to, iż obowiązek składania oświadczeń o przynależności do różnych organizacji przez sędziów, który został wprowadzony do ustawy o ustroju sądów powszechnych i obowiązuje od 14.02.2020 r., może naruszać przepisy RODO
- Prezes UODO wskazał, że składanie oświadczeń przez i wymóg ich publikowania w BIP wynika z obowiązku określonego w przepisach ustawowych – przetwarzanie danych jest natomiast dopuszczalne, gdy jest to niezbędne do wypełnienia obowiązku prawnego (art. 6 ust. 1 lit, c RODO), a tym samym nie ma podstaw do stwierdzenia naruszenia przepisów RODO
- odnośnie wątpliwości Prezesa NSA dotyczących publicznego ujawnienia ww. informacji o sędziach w zakresie ich światopoglądów społecznych czy politycznych Prezes UODO zauważył, iż w orzecznictwie sądów administracyjnych funkcjonuje pogląd, że informacje tego rodzaju, mogą być potraktowane jako mające związek z pełnieniem funkcji sędziego
- odnosząc się do zarzutu niekonstytucyjności przepisów ustawy o ustroju sadów powszechnych, Prezes UODO wskazał, że nie jest właściwy, by oceniać te regulacje pod kątem ich zgodności z ustawą zasadniczą
Źródło: https://uodo.gov.pl/pl/138/1498
Wymiana informacji o przeprowadzonych badaniach na obecność koronawirusa
- UODO, w odpowiedzi na wpływające od służb sanitarnych pytania, udzielił wskazówek dotyczących wyboru zabezpieczeń, jakie muszą być zastosowane, gdy w systemie informatycznym są lub mają być przetwarzane dane osób, u których przeprowadzono badania na obecność koronawirusa
- systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które na podstawie obowiązujących przepisów są uprawnione do przeprowadzania takich badań lub poznania ich wyników, a więc m.in. laboratoria, szpitale czy stacje sanitarno-epidemiologiczne
- dostęp poszczególnych podmiotów do danych powinien być ograniczony do tych informacji, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji
- zgodnie z RODO, każdy administrator ma dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia – z przepisów wynika jednak, że unijny prawodawca nacisk położył na podejście oparte na ocenie ryzyka
- tworząc system informatyczny, w którym przetwarzane będą dane osób, u których przeprowadzono badania na obecność koronawirusa, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka
Źródło: https://uodo.gov.pl/pl/138/1500
EROD przyjmuje dalsze wytyczne w sprawie COVID-19
- EROD podczas 23. plenarnego posiedzenia, które odbyło się 21.04.2020 r. przyjęła kolejne wytyczne dotyczące pandemii COVID-19, które dotyczą przetwarzania danych dotyczących zdrowia do celów badań naukowych oraz geolokalizacji i innych narzędzi ustalania kontaktów zakaźnych
- wcześniejsze wytyczne wyjaśniają najpilniejsze kwestie prawne, związane z wykorzystaniem danych dotyczących zdrowia, takich jak podstawa prawna przetwarzania, dalsze przetwarzanie danych dotyczących zdrowia do celów badań naukowych, wdrożenie odpowiednich zabezpieczeń i wykonywanie praw osób, których dane dotyczą
- z kolei nowe wytyczne zawierają objaśnienia warunków i zasad proporcjonalnego wykorzystania danych dotyczących lokalizacji i narzędzi ustalania kontaktów zakaźnych, po to, by: wykorzystać dane dotyczące lokalizacji w celu wsparcia reakcji na pandemię poprzez modelowanie rozprzestrzeniania się wirusa oraz korzystać z systemu ustalania kontaktów zakaźnych do powiadomienia osób, które mogłyby znajdować się w bliskiej odległości od osoby ostatecznie uznanej za nosiciela
- wytyczne EROD, przyjęte podczas 23. spotkania plenarnego Rady dostępne są pod linkiem: https://edpb.europa.eu/news/news/2020/twenty-third-plenary-session-adopted-documents_en
Źródło: https://uodo.gov.pl/pl/138/1504
Oświadczenie Prezesa UODO ws. pozyskiwania danych osobowych wyborców przez operatora pocztowego
- w związku z pytaniami i wątpliwościami dotyczącymi pozyskiwania danych osobowych wyborców przez operatora pocztowego w celu organizacji wyborów na Prezydenta RP, Prezes UODO przedstawił swoje stanowisko
- Prezes UODO wskazuje, że zgodnie z art. 99 tzw. specustawy operator, po złożeniu przez siebie wniosku w formie elektronicznej, otrzymuje dane z rejestru PESEL, bądź też z innego spisu lub rejestru będącego w dyspozycji organu administracji publicznej, jeżeli dane te są potrzebne do realizacji zadań związanych z organizacją wyborów bądź w celu wykonania innych obowiązków nałożonych przez organy administracji rządowej
- dane przekazywane są operatorowi wyznaczonemu, w formie elektronicznej, w terminie nie dłuższym niż 2 dni robocze od dnia otrzymania wniosku, a operator wyznaczony uprawniony jest do przetwarzania danych wyłącznie w celu, w jakim je otrzymał
- zdaniem Prezesa UODO istnieje zatem podstawa prawna do udostępniania danych operatorowi pocztowemu, o ile wniosek operatora o udostępnienie danych spełnia wymagania co do formy (m.in. dołączono do niego kopię decyzji administracyjnej nakładającej na operatora określone obowiązki)
- Prezes UODO zapowiedział, że będzie przyglądać się całemu procesowi, współpracować z inspektorami ochrony danych, a w przypadku naruszeń podejmie stosowne kroki wobec administratorów danych
Źródło: https://uodo.gov.pl/pl/138/1508
Wyciekły dane klientów polskiego dostawcy prądu i gazu
- doszło do wycieku danych klientów Fortum Marketing and Sales Polska S.A.
- na ślad niezabezpieczonej bazy danych klientów firmy Fortum, która w Polsce działa od 2003 roku, natrafił branżowy ekspert i dziennikarz, który poinformował, że 16 kwietnia odkrył klaster danych liczący aż 3.376.912 rekordów
- klaster obejmował takie dane jak: imię, nazwisko, adres, telefon, PESEL, informacje o umowie (numer umowy, roczny pobór energii itd.)
- ekspert podkreślił, że prawdopodobnie doszło do wycieku wszystkich polskich klientów Fortum Marketing and Sales Polska S.A., czyli około 100 tysięcy osób – to, że liczba ta nie odzwierciedla liczby ujawnionych rekordów wynika z faktu, że w bazie znalazł się również duplikaty, co ma związek z tym, że wielu klientów podpisało z firmą kilka różnych umów
- baza danych została zabezpieczona w ciągu 24 godzin od wykrycia wycieku
- firma powiadomiła już o sprawie UODO
Dane z 267 mln kont na Facebooku wystawione na sprzedaż
- o wystawieniu bazy na sprzedaż doniosła firma Cyble, która kupiła kopię i podjęła się jej weryfikacji
- dane z bazy uzupełniły zasoby usługi AmIbreached zatem każdy zainteresowany może sprawdzić czy jego dane wyciekły — o ile przekaże tej firmie swoje dane, w tym płatnicze (eksperci z uwagi na to zalecają rozwagę, bo chęć weryfikacji nie tak strasznego wycieku może doprowadzić w przyszłości do poważniejszego wycieku)
- baza nie zawiera haseł, zawiera natomiast informacje o nazwisku, adresie e-mail, telefonie, wieku oraz – co dość ważne – o identyfikatorze Facebooka (identyfikator jest o tyle ważny, że pozwala odnaleźć konto danej osoby również w przypadku zmiany nazwiska czy linku do profilu)
- pochodzenie danych we wspomnianej bazie nie jest do końca wyjaśnione
- uważa się, że baza mogła powstać poprzez wykorzystanie API Facebooka zanim w roku 2018 ograniczono dostęp do numerów telefonów
- druga możliwość jest taka, że dane zostały uzyskane za pomocą bota scrapującego publicznie dostępne profile
- eksperci nie wykluczają też, że API Facebooka mogło mieć jakąś lukę umożliwiającą pobranie danych nawet po ograniczeniu dostępu do nich
Źródło: https://niebezpiecznik.pl/post/dane-z-267-mln-kont-na-facebooku-wystawione-na-sprzedaz/
Pandemia fałszywych wiadomości
- 55 proc. Polaków na swoim przykładzie zauważyło, że w czasie pandemii COVID-19 otrzymują więcej fikcyjnych wiadomości, które są wykorzystywane przez cyberprzestępców do wyłudzania danych osobowych
- niestety, użytkownicy sami niewiele robią, aby je chronić – alarmują specjaliści serwisu ChronPESEL
- jak wynika z badania przeprowadzonego tuż przed Wielkanocą na zlecenie Krajowego Rejestru Długów przez IMAS International, co ósmy Polak otrzymał w okresie trwającej epidemii podejrzanego SMS-a lub e-maila
- najczęściej były to prośby o kliknięcie w umieszczony w wiadomości link (42 proc. badanych) lub otworzenie załącznika (44 proc. ankietowanych)
- 25 proc. podejrzanych wiadomości zawierała bezpośrednią prośbę o wykonanie określonej płatności
- pomimo wysokiej świadomości zagrożenia, tylko 18 proc. Polaków deklaruje regularną zmianę używanych w sieci haseł, a 8 proc. przyznało, że usunęli swoje konta w serwisach, z których dawno nie korzystali
- z kolei uruchomienie dodatkowych programów blokujących spam na urządzeniach, których używają na co dzień zadeklarowało 21 proc.
Źródło: https://www.cyberdefence24.pl/pandemia-falszywych-wiadomosci-trwa-polowanie-na-dane-osobowe
Finlandia planuje lepiej chronić dane osobowe obywateli
- Finlandia planuje wprowadzenie zmian związanych z identyfikacją obywateli – celem rządu jest lepsza ochrona danych osobowych
- od około 60 lat w Finlandii stosuje się identyfikację osób za pomocą osobistego kodu ID
- teraz rząd proponuje zmiany, w celu zapewnienia większej anonimowości obywateli, m.in. chodzi o ukrycie informacji o wieku, dacie urodzenia, płci i innych danych – nowy model identyfikacji miałby zostać wdrożony w latach 2023-2027
- nowy kod ID ma zostać wprowadzony w celu lepszej ochrony danych Finów i przeciwdziałać kradzieżom tożsamości, ale także ze względów technicznych, z powodu ograniczonej dostępności kodów w zależności od daty i płci
- Finance Finland (FFI), organizacja reprezentująca m.in. banki, ubezpieczycieli oraz instytucje finansowe, skrytykowała nowy model ochrony danych osobowych, ze względu na duże koszty (nawet kilka mld euro), jak i trudności z realizacją reformy w czasie pandemii
- celem kodu jest łatwiejsza identyfikacja osób w rejestrach i systemach informatycznych różnych instytucji, jest on również stosowany przez prywatne firmy, aby weryfikować czy informacje i korespondencja są kierowane do właściwej osoby
- kod dla nowo narodzonego dziecka uzyskuje się po przekazaniu przez szpital informacji o porodzie do systemu informacji o ludności, a następnie zarejestrowaniu dziecka
- od 2019 r. kod ID przyznawany jest automatycznie po otrzymaniu zezwolenia na pobyt lub po zarejestrowaniu prawa pobytu
EROD o aplikacjach wspierających walkę z pandemią
- Europejska Rada Ochrony Danych przyjęła podczas 21. posiedzenia plenarnego 2020 r. pismo dotyczące projektu wskazówek Komisji Europejskiej w sprawie aplikacji wspierających walkę z pandemią COVID-19
- w swoim piśmie EROD zajmuje się w szczególności wykorzystaniem aplikacji do śledzenia kontaktów zakaźnych i ostrzegania, zwracając szczególną uwagę na kwestię minimalizacji ingerencji w życie prywatne oraz jednoczesne umożliwienie przetwarzania danych w celu ochrony zdrowia publicznego
- EROD uważa, że tworzenie aplikacji powinno odbywać się w sposób umożliwiający jego rozliczalność, dokumentując, wraz z oceną skutków dla ochrony danych, wszystkie wdrożone mechanizmy uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych
- ponadto kod źródłowy powinien być udostępniony publicznie w celu umożliwienia jak najszerszej jego kontroli przez środowisko naukowe
Źródło: https://uodo.gov.pl/pl/138/1495
Prezes UODO umorzył postępowanie dot. składania przez sędziów i prokuratorów oświadczeń
- Prezes UODO umorzył postępowanie dotyczące przetwarzania danych w związku z wymogiem składania przez sędziów i prokuratorów oświadczeń o członkostwie w zrzeszeniu, w tym w stowarzyszeniu
- postępowanie to zostało wszczęte z urzędu po tym, gdy wnioskował o to RPO
- RPO wskazywał, że taki wymóg oraz publikacja tych oświadczeń w BIP ograniczają prywatność sędziów i prokuratorów.
- postępowanie wykazało, że obowiązek składania oświadczeń przez sędziów i prokuratorów wynika ze zmiany ustaw – Prawo o ustroju sądów powszechnych, ustawy o Sądzie Najwyższym oraz niektórych innych ustaw
- przetwarzanie danych osobowych sędziów i prokuratorów jest zatem wynikiem wykonania przez ww. osoby obowiązku jednoznacznie określonego w przepisie prawa – ma tym samym oparcie w art. 6 ust. 1 lit. c) RODO
- Prezes UODO badając sprawę przetwarzania danych sędziów i prokuratorów składających oświadczenia o członkostwie w zrzeszeniu, w tym stowarzyszeniu wziął również pod uwagę aktualne orzecznictwo WSA, zgodnie z którym jeśli przetwarzanie danych osobowych ma oparcie w prawie krajowym, jest tym samym zgodnie z przepisami o ochronie danych osobowych i nie ma podstaw do skorzystania przez Prezesa UODO z uprawnień naprawczych w RODO
Źródło: https://uodo.gov.pl/pl/138/1493
UODO analizuje zgłoszenie naruszenia w KSSiP
- Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od Krajowej Szkoły Sądownictwa i Prokuratury w Krakowie
- sprawa jest obecnie analizowana i uzupełniania pod kątem dodatkowych materiałów i informacji, które pozwolą wyjaśnić wszelkie jej okoliczności
- administrator danych poinformował Prezesa, że powiadomił o naruszeniu osoby, których dane dotyczą opisując charakter naruszenia i wskazując zakres ujawnionych danych
- naruszenie to zostało także zgłoszone innym podmiotom jak Policja, Zespół Zarządzania Incydentami Biuro Cyberbezpieczeństwa w Ministerstwie Sprawiedliwości, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK oraz Prokuratura Krajowa
Źródło: https://uodo.gov.pl/pl/138/1496
KE ma rekomendacje w sprawie aplikacji mobilnych
- Komisja Europejska publikowała wytyczne w sprawie tworzenia nowych aplikacji, wspierających walkę z koronawirusem oraz ograniczanie jego transmisji przy jednoczesnym zachowaniu praw w zakresie ochrony danych osobowych
- „Korzystanie z aplikacji mobilnych może pomóc w walce z koronawirusem: umożliwić użytkownikom stawianie samodzielnej diagnozy, stanowić bezpieczny kanał komunikacji między lekarzami i pacjentami, służyć do ostrzegania użytkowników, którzy są potencjalnie narażeni na zakażenie, a także pomóc w stopniowym znoszeniu ograniczeń” – powiedział unijny komisarz ds. sprawiedliwości Didier Reynders, cytowany w komunikacie
- zaznaczył jednak, że „ich stosowanie wiąże się z gromadzeniem bardzo wrażliwych danych na temat zdrowia obywateli„
- wytyczne KE wspierają bezpieczne tworzenie aplikacji i zapewniają ochronę danych osobowych obywateli zgodnie z rygorystycznymi unijnymi przepisami o ochronie danych
- celem wytycznych jest zapewnienie niezbędnych ram prawnych gwarantujących obywatelom państw UE odpowiednią ochronę ich danych osobowych oraz ograniczenie ryzyka wykroczenia poza zbieranie i przetwarzanie niezbędnych danych przy korzystaniu z takich aplikacji
Źródło: https://www.gazetaprawna.pl/artykuly/1470034,aplikacje-do-walki-z-koronawirusem-dane-osobowe.html
Można zamontować kamery termowizyjne do pomiaru temperatury ciała pracowników
- ponieważ nie ma przepisu prawa, który dawałby bezsprzecznie administratorowi uprawnienie do wprowadzania środków technicznych służących pomiarom temperatury ciała w zakładzie pracy z wykorzystaniem urządzeń termowizyjnych, należy do tego zagadnienia podejść indywidualnie, dokonując analizy procesu przetwarzania
- punktem wyjścia do zapewnienia zgodności tego procesu z RODO jest ustalenie podstawy prawnej, na którą administrator (pracodawca) może się powołać – administrator danych będzie mógł powołać się zarówno na żywotny interes pracowników, których zdrowie chce chronić, jak i interes publiczny związany z ochroną zdrowia publicznego (co stanowi warunki legalizujące przetwarzanie określone w art. 6 ust. 1 lit. d, a także art. 9 ust. 2 lit. i RODO)
- administrator powinien przeprowadzić ocenę skutków dla ochrony danych osobowych, zgodnie z art. 35 RODO dla tego procesu
- mierzenie temperatury ciała powinno być narzędziem wspierającym, a nie zastępującym działania mające na celu ograniczenie ryzyka rozprzestrzeniania się zarażeń wśród pracowników
- pracownicy powinni być poinformowani o zakresie, sposobie i celu funkcjonowania monitoringu, o zasadach jego działania, aby rozumieli, jak to się odbywa i że informacje o stanie ich zdrowia nie będą podlegały upublicznieniu
Źródło: https://www.prawo.pl/kadry/czy-mozna-zamontowac-kamery-termowizyjne-do-mierzenia,499504.html
Prokuratura wszczęła dochodzenie ws. upublicznienia danych osób będących w kwarantannie
- „Wszczęto dochodzenie w sprawie upublicznienia w internecie danych osób z powiatu gnieźnieńskiego będących w kwarantannie” – poinformował w niedzielę PAP rzecznik Prokuratury Okręgowej w Poznaniu
- o wycieku danych poinformowały w niedzielę (19.04 br.) lokalne media – jak podał portal gniezno.naszemiasto.pl, kilkustronicowa lista zawierająca ponad 300 adresów z terenu miasta, a także z gmin powiatu gnieźnieńskiego „krąży” w internecie od soboty
- postępowanie prowadzone jest w związku z przepisami karnymi ustawy o ochronie danych osobowych – prokuratura nie ujawnia obecnie szczegółów postępowania
- dyrektor gnieźnieńskiego sanepidu podkreśliła, że w sobotę otrzymała informację telefoniczną od mieszkanki powiatu, która poinformowała, że w internecie „krąży lista z adresami osób będących na kwarantannie” – po analizie danych okazało się, że lista jest zgodna ze stanem faktycznym
- rzecznik wielkopolskiej policji powiedział PAP, że „na opublikowanej liście nie ma nazwisk, natomiast znajdują się adresy wielu osób”
Źródło: https://wpolityce.pl/kryminal/496475-jest-dochodzenie-ws-ujawnienia-danych-osob-w-kwarantannie http://gniezno24.com/aktualnosci/item/20299-bedzie-sledztwo-ws-ujawnienia-adresow-osob-z-kwarantanny
Kamery samochodowe a RODO
- od kilku lat popularność samochodowych rejestratorów rośnie wręcz lawinowo – należy z dużą ostrożnością podchodzić do korzystania z takich nagrań, łatwo bowiem o złamanie przepisów RODO i narażenie się na sprawę cywilną
- w 2019 r. Wojewódzki Sąd Administracyjny w Gliwicach orzekł, że nie należy traktować tablicy rejestracyjnej jako danych osobowych – inaczej jednak sądzi Prezes Urzędu Ochrony Danych Osobowych Jan Nowak
- „Samo korzystanie z kamery w samochodzie i filmowanie podczas jazdy nie jest zabronione. Nagrania takie możemy jednak wykorzystywać jedynie w celach prywatnych” – stwierdza Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych
- podczas korzystania z kamer umieszczonych w pojazdach może dochodzić nie tylko do przetwarzania danych osobowych w postaci numeru rejestracyjnego, ale również wizerunku osób, np. pieszych
- umieszczanie filmów zawierających numery rejestracyjne lub wizerunki osób na stronach internetowych czy portalach społecznościowych powoduje, że wykraczamy poza wykorzystywanie nagrania w celach osobistych – w takiej sytuacji będą już miały zastosowanie przepisy RODO, a więc przede wszystkim musielibyśmy mieć podstawę prawną do przetwarzania danych w określonym celu, spełniać wszystkie zasady wynikające z RODO oraz dopełnić obowiązku informacyjnego wobec osób, których dane są przetwarzane
Źródło: https://autokult.pl/37211,kamery-samochodowe-a-rodo-uwazac-trzeba-nie-tylko-na-tablice-rejestracyjne
Głosowanie korespondencyjne a ochrona danych osobowych
- prace nad projektem ustawy o szczególnych zasadach przeprowadzania wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r. wciąż trwają w Senacie, a stamtąd mogą wrócić do Sejmu w pierwszych dniach maja – według projektu, pakiety wyborcze roznoszone przez Pocztę Polską mają być przesyłkami listowymi nierejestrowanymi
- problem pojawi się też, gdy „miejsce doręczeń” znajduje się pod adresem, pod którym wyborca w danej chwili nie przebywa, np. z uwagi na kwarantannę – czy powinien martwić się o ewentualny wyciek danych osobowych?
- czytając projekt trudno ustalić czy w pakiecie wyborczym będą podane nasze dane osobowe – czy oświadczenie o osobistym i tajnym oddaniu głosu na karcie do głosowania będzie zindywidualizowane, czy też będzie to tylko formularz
- jeżeli tak, to na tym etapie, tj. doręczenia, to co stanowi ryzyko, to naruszenie prawa wyborczego, w zakresie przejęcia karty do głosowania przez osobę nieuprawnioną i oczywiście naruszenie tajemnicy pocztowej
- o ile w pakietach wyborczych znajdą się jakiekolwiek dane osobowe, to istnieje bardzo duże ryzyko, naruszenia zasad bezpieczeństwa ochrony danych osobowych (RODO) – skrzynki pocztowe, zazwyczaj nie są zabezpieczone (często nie mają zamków, są otwarte, etc.)
- za naruszenie RODO może zostać uznane również niezaktualizowanie list wyborczych, a wtedy są to dane nieprawidłowe, takie, które się zdezaktualizowały – dr Maciej Kawecki wskazuje, że listy powinny podlegać aktualizacji lecz w jego ocenie jest to niemożliwe
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 20.04.2020
Pobierz
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 27.04.2020
Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.