RODO aktualności – 08.04.2021 r.

Dlaczego VINTED trafiło na celownik UODO? Kto i dlaczego zajmie się kwestią przetwarzania danych osobowych przez wirtualnych asystentów? Czy próby przywracania kopii zapasowych są zawsze skuteczne? Dla kogo RODO ponownie stało się wymówką? Dlaczego USC nie chce transmitować ślubów? Czy Minister Cyfryzacji złamał przepisy RODO? Czego dotyczył incydent w serwisie Pacjent.gov? Za co został ukarany Booking.com? Jakich informacji dowiemy się z najnowszego newslettera UODO? Jaką decyzję opublikował austriacki organ nadzorczy w sprawie negatywnych wyników testów na COVID-19? Jakie dane zostały wyłudzone od firmy PEKAES? Kto jest ofiarą najnowszego cyberataku na Facebook?

MULTIMEDIA

#RODOA [29.03.2021]
#RODOA [06.04.2021]
Pobierz PDFPobierz PDF

UODO kieruje wniosek o pomoc do litewskiego organu nadzorczego

  • powodem są liczne sygnały, jakie wpływają do UODO, m.in. za pośrednictwem infolinii, dotyczące żądania przedstawienia kopii dowodów osobistych przez ten portal
  • operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie
  • z tego powodu UODO – w ramach mechanizmu wzajemnej współpracy – wystąpił z wnioskiem w trybie art. 61 RODO do Państwowego Inspektoratu Ochrony Danych (litewskiego organu nadzorczego) o wszczęcie postępowania z urzędu lub przeprowadzenie kontroli w firmie Vinted UAB w celu dostosowania operacji przetwarzania do przepisów RODO
  • we wniosku o wzajemną pomoc UODO wskazał m.in. na konieczność: ustalenia podstawy prawnej przetwarzania danych osobowych przez operatora platformy Vinted.pl (w szczególności danych zawartych w polskich dowodach osobistych), zbadania zakresu i rodzaju przetwarzanych danych osobowych, a także sposobu oraz celu zbierania i udostępniania danych osobowych
  • we wniosku UODO zwróciło także uwagę na konieczność zweryfikowania, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień ochrony danych

Źródło: https://uodo.gov.pl/pl/138/1978 https://www.money.pl/gospodarka/uodo-wystepuje-przeciwko-vinted-chodzi-o-ochrone-danych-6623608858754016a.html

Konsultacje dotyczące Wytycznych EROD ws. wirtualnych asystentów głosowych

  • do 23 kwietnia 2021 r. EROD przyjmuje uwagi dotyczące Wytycznych 02/2021 w sprawie wirtualnych asystentów głosowych
  • Wytyczne w sprawie wirtualnych asystentów głosowych mają na celu ustalenie najistotniejszych wyzwań związanych z przestrzeganiem przepisów przez wirtualnych asystentów głosowych oraz przedstawienie zainteresowanym stronom zaleceń jak sobie z nimi radzić
  • uwagi należy przesłać najpóźniej do 23 kwietnia 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=1488 https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-022021-virtual-voice-assistants_pl https://uodo.gov.pl/pl/414/1965

Nawet 58% prób przywracania kopii zapasowych kończy się niepowodzeniem

  • jak wynika z raportu firmy Veeam na temat ochrony danych w 2021 roku (Veeam Data Protection Report 2021), problemy z ochroną danych utrudniają transformację cyfrową przedsiębiorstwom na całym świecie
  • ponad 3000 osób, które podejmują decyzje dotyczące technologii informatycznych w globalnych przedsiębiorstwach, wypowiedziało się na temat swojego podejścia do ochrony danych i zarządzania nimi
  • respondenci stwierdzili, że stosowane przez nich funkcje ochrony danych nie nadążają za wymaganiami transformacji cyfrowej
  • choć tworzenie kopii zapasowych jest ważnym elementem nowoczesnych systemów ochrony danych, to 14% wszystkich danych nie jest w ogóle kopiowane, a ich odtwarzanie nie udaje się w 58% przypadków
  • dane przedsiębiorstw pozostają więc niezabezpieczone, a po atakach cybernetycznych nie można ich odtworzyć
  • ponadto często zdarzają się nieoczekiwane przestoje – w ciągu minionych 12 miesięcy doświadczyło ich 95% przedsiębiorstw, a co czwarty serwer miał co najmniej jeden taki przestój
  • przestoje i utrata danych wpływają na wyniki finansowe przedsiębiorstw. – zdaniem ponad połowy dyrektorów narażają one firmę na utratę zaufania klientów, pracowników i akcjonariuszy

Źródło: https://ceo.com.pl/nawet-58-prob-przywracania-kopii-zapasowych-konczy-sie-niepowodzeniem-nowy-raport-veeam-76127

RODO wymówką, by nie uzasadniać odmów dla niepełnosprawnych

  • niepełnosprawni mają duży problem z odwołaniem się od orzeczeń powiatowych lub wojewódzkich zespołów do spraw orzekania o niepełnosprawności – a to za sprawą lakonicznych uzasadnień, które nie wyjaśniają powodu ustalenia określonego stopnia niepełnosprawności, braku wskazań co do potrzeb niepełnosprawnego
  • zespoły orzekające o niepełnosprawności lub stopniu niepełnosprawności nie podają szczegółów w uzasadnieniach decyzji odmownych tłumacząc się ochroną danych osobowych
  • rzecznik prasowy UODO stwierdził, że RODO w wielu przypadkach stało się wymówka dla niektórych podmiotów do tego, by np. nie przekazywać pewnych danych
  • organ podkreśla, że w wielu przypadkach zastosowanie mają przepisy szczególne, a nie regulacje dotyczące ochrony danych osobowych – również i w tym przypadku zasady orzekania o niepełnosprawności uregulowane są w ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, a także w rozporządzeniu ministra gospodarki, pracy i polityki społecznej z dnia 15 lipca 2003 r. w sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności

Źródło: https://www.prawo.pl/kadry/czy-rodo-uniemozliwia-uzasadnienie-odmow-dla-niepelnosprawnych,507332.html

Transmisji ze ślubów nie będzie - jest ryzyko naruszenia RODO

  • władze stolicy nie chcą realizować darmowych transmisji ze ślubów zawieranych w USC, choć podobne praktyki są realizowane np. w Gdyni – tłumaczy się to tym, że relacje na żywo mogą zorganizować sobie same młode pary
  • jedna z radnych stołecznych zwróciła się do prezydenta m.st. Warszawy z interpelacją, w której wnioskowała, aby miasto wprowadziło transmisje on-line z uroczystości ślubnych – odpowiedź była negatywna
  • sekretarz miasta wskazał, że USC nie może realizować transmisji, bo nie pozwalają na to przepisy RODO – Pozyskując i przetwarzając jakiekolwiek dane osobowe, na każdym etapie jesteśmy zobowiązani do ich właściwego zabezpieczania i sprawowania nad nimi wyłącznej kontroli
  • Platforma YouTube jako część Googla i zasady, na jakich przetwarza dane osobowe, znajdują się poza faktyczną kontrolą użytkowników, w tym naszą jako Urzędu m.st. Warszawy. Korzystanie z usług cyfrowych dostarczanych przez ten podmiot jest obarczone ryzykiem, ponieważ nie obowiązują go regulacje dotyczące przetwarzania danych osobowych zgodne z RODO – tłumaczył sekretarz

Źródło https://wiadomosci.dziennik.pl/wydarzenia/artykuly/8126360,slub-warszawa-urzad-stanu-cywilnego-darmowa-transmisja.html

Minister Cyfryzacji nie mógł przekazać rejestru PESEL Poczcie Polskiej

  • przekazując w kwietniu 2020 r. dane obywateli Poczcie Polskiej na zapowiadane wybory korespondencyjne na Prezydenta RP, Minister Cyfryzacji działał bez podstawy prawnej – WSA w Warszawie uwzględnił skargę RPO, który wniósł o uznanie tej czynności ministra za bezskuteczną
  • 22 kwietnia 2020 r. Minister Cyfryzacji udostępnił Poczcie Polskiej dane osobowe z rejestru PESEL dotyczące obywateli polskich – jak wynika z wyjaśnień z MC, jakie otrzymał RPO, dane obywateli zapisano na płycie DVD i zabezpieczono hasłem
  • płytę przekazano osobie reprezentującej Pocztę Polską po zweryfikowaniu jej tożsamości, a hasło do danych zapisanych na płycie nie zostało przekazane razem z płytą lecz osobnym kanałem komunikacyjnym
  • przekazane dane obejmowały: PESEL, imię (imiona), nazwisko oraz adres
  • w skardze do WSA RPO wskazał, że ustawa nie dawała podstaw do wydania spółce Poczta Polska płyty z danymi obywateli
  • RODO pozwala na przetwarzanie danych osobowych wyłącznie kiedy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – takiej podstawy prawnej nie było

Źródło: https://www.rpo.gov.pl/pl/content/rpo-minister-cyfryzacji-przekazanie-poczcie-rejestru-pesel-wybory-bezskuteczne

Próba wyłudzania danych osobowych

  • czytelnik portalu Niebezpiecznik zgłosił naruszenie danych, które miało miejsce w jego w serwisie Pacjent.gov.pl
  • na jego profilu pojawiło się “nadmiarowe dziecko” – dziecko leczy się na problemy skórne, mieszka w Warszawie, leczy się w określonej przychodni (czytelnikowi udało się nawet porozmawiać z jego lekarzem)
  • czytelnik zauważył, że PESEL „nadmiarowego dziecka” D.S. przypomina PESEL jednego z jego dziecka – jest wysoce prawdopodobne, że numery różnią się tylko jedną cyfrą
  • Biuro Komunikacji MZ tłumaczy, że w przypadku NFZ czy 500+ dane te są pobierane automatycznie z odpowiednich rejestrów i w tych właśnie przypadkach dochodzi najczęściej do błędów, które mogą być spowodowane m.in. złym wprowadzeniem niepoprawnych danych do rejestru – np. podczas ubezpieczenia dziecka przez pracodawcę nastąpi pomyłka w PESEL’u dziecka, co powoduje, że dana osoba, która ubezpiecza swoje dziecko może widzieć nie swoje dziecko
  • UODO poinformował, że opisywany incydent nie został zgłoszony do UODO zarówno przez Ministra Zdrowia, jak i Centrum e-Zdrowia
  • w związku z przedstawionymi przez redakcję Niebezpiecznika nieprawidłowościami w funkcjonowaniu serwisu pacjent.gov.pl, organ zwrócił się do Ministra Zdrowia o złożenie stosownych wyjaśnień w tej sprawie

Źródło: https://niebezpiecznik.pl/post/powazne-naruszenie-w-pacjent-gov-pl-i-nic-nie-bylo-zgloszone-do-uodo-nikt-nie-czul-sie-odpowiedzialny/

Kara dla Booking.com

  • 475 tys. euro kary nałożył na Booking.com holenderski Urząd Ochrony Danych Osobowych
  • powodem jest zbyt późne zgłoszenie przez największy portal rezerwacyjny w Europie kradzieży danych osobowych kilku tysięcy jego klientów
  • w grudniu 2018 roku przestępcy pozyskali dane osobowe 4109 klientów serwisu
  • przestępcy udający, że są pracownikami hoteli, próbowali wyłudzić pieniądze od klientów firmy
  • Booking.com został powiadomiony o naruszeniu danych 13 stycznia 2019 roku, jednak zgłosił to AP dopiero 7 lutego – naruszenie danych należy zgłosić w ciągu 72 godzin
  • jak poinformowano PAP w amsterdamskiej siedzibie Booking.com, firma nie będzie wnosiła odwołania i akceptuje nałożoną karę

Źródło: https://businessinsider.com.pl/wiadomosci/kara-dla-bookingcom-za-wyciek-danych-w-holandii/m83sx4z

Odpowiedzi UODO na nowe pytania (1)

Czy wobec osób z władz związku zawodowego trzeba spełniać obowiązek informacyjny?

  • dane osób fizycznych pełniących funkcje członków zarządu związku zawodowego są danymi osobowymi w rozumieniu przepisów o ochronie danych osobowych. Wobec tego administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub art. 14 RODO, chyba że zachodzi jedna z przesłanek zwalniających go z tego obowiązku
  • jedną z takich sytuacji jest przypadek, w którym pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą (art. 14 ust. 5 lit c RODO)

Źródło: https://uodo.gov.pl/pl/225/1990

Czy komornikowi należy udostępnić dane w postaci rachunku bankowego pracownika?

  • udostępnienie danych komornikowi będzie następowało zatem w wykonaniu obowiązku nałożonego przepisem prawa na administratora na podstawie art. 6 ust 1 lit c RODO w połączeniu z właściwym przepisem procedury cywilnej, w zależności od tego, jaki cel lub podstawę prawną powołał komornik

Źródło: https://uodo.gov.pl/pl/225/1991

Odpowiedzi UODO na nowe pytania (2)

Jakie informacje można publikować w BIP wz. z ustaleniem przebiegu granic działek ewidencyjnych?

  • § 38 ust. 4 rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków wskazuje, w jakich przypadkach i przez jaki okres czasu starosta jest zobowiązany do udostępnienia na stronach internetowych Biuletynu Informacji Publicznej oraz na tablicy ogłoszeń starostwa powiatowego informacji określonych w ust. 2 pkt 1-3 tego paragrafu w celu zawiadomienia właściwych osób o czynnościach podjętych w celu ustalenia przebiegu granic działek ewidencyjnych
  • przepis jednoznacznie wskazuje, że zamieszczenie informacji następuje na żądanie wykonawcy, ale niezależnie od tego, w jakim zakresie czy formie wykonawca przekazał te informacje staroście, udostępnieniu w BIP i na tablicy ogłoszeń powinny podlegać jedynie te informacje, które podane są w § 38 ust. 2 pkt 1-3, a nie obejmują one imienia i nazwiska

Źródło: https://uodo.gov.pl/pl/225/1992

Informacje o negatywnym wyniku testu na obecność COVID-19 to dane dotyczące zdrowia

  • austriacki organ nadzorczy z zakresu ochrony danych (Datenschutzbehörde) opublikował decyzję, w której uznał informacje o negatywnym wyniku testu na obecność COVID-19 za dane dotyczące zdrowia
  • organ uznał, przekazywanie takich informacji przez centrum medyczne stronie trzeciej za zgodne z RODO
  • decyzja była wynikiem skargi osoby fizycznej, która po poddaniu się dobrowolnemu badaniu na obecność koronawirusa otrzymała informację o negatywnym wyniku testu nie tylko od centrum medycznego, w którym przeprowadzano test, ale również SMSem od urzędu administracji okręgowej

Źródło

PEKAES zhakowany

  • firma przewoźnicza PEKAES została zhakowana 12 lutego 2021 r.
  • w wyniku włamania nastąpiła awaria systemów informatycznych, które zostały zainfekowane złośliwym oprogramowaniem
  • jedna z grup hakerskich, DarkSide, właśnie opublikowała 65 gigabajtów danych, jakie pochodzą z zaatakowanych serwerów PEKAES
  • wykradzione informacje to między innymi: dane finansowe, dane pracowników PEKAES, dane klientów i dane dot. kontraktów, dane dotyczące COVID-19
  • DarkSide zamieścił także zrzut ekranu przykładowych danych, w których znajdują się hasła i loginy, umowy pracowników, rejestry wypadków przy pracy, czy karty wywiadu COVID
  • dane PEKAES-u mają być dostępne przez 6 miesięcy od momentu ich publikacji – jeśli PEKAES zapłaci okup to dane znikną ze strony DarkSide
  • w tym momencie sytuacja jest jeszcze nie rozwiązana

Źródło: https://www.dobreprogramy.pl/PEKAES-zhakowany.-Sprawcy-publikuja-65-GB-danych-z-wlamania,News,114146.html

Wyciek danych z Facebooka

  • do Internetu wyciekły dane kont ponad 533 mln użytkowników Facebooka
  • ofiarą cyberataku padła baza danych, zawierająca imiona i nazwiska, indywidualne ID przypisywane przez Facebooka każdemu użytkownikowi, daty urodzenia, informacje o lokalizacji, a w niektórych przypadkach także adresy e-mail, numery telefonów i dane biograficzne
  • wykradziono dane użytkowników ze 106 krajów na świecie – wśród nich są 32 mln Amerykanów, 11 mln mieszkańców Wielkiej Brytanii, a także 2,6 mln Polaków
  • serwis tłumaczy, że o wycieku wie, ale niewiele może z nim zrobić, bo usterkę, która do niego doprowadziła już dawno naprawiono
  • przedstawiciele Facebooka tłumaczą, że to stare dane, o których informowano wcześniej w 2019 roku – błąd miał być znany i naprawiony już w sierpniu 2019″ – poinformowali w mediach społecznościowych przedstawiciele Facebooka
  • dane dostępne są na jednym z forów hakerskich

Źródło: https://businessinsider.com.pl/media/gigantyczny-wyciek-danych-z-facebooka-15-tys-uzytkownikow-z-zawodem-szlachta-nie/vwhwlfv https://www.money.pl/gospodarka/gigantyczny-wyciek-danych-facebooka-ujawnione-informacje-ponad-500-mln-osob-6625384604727872a.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.
RODO aktualności
RODO aktualności – 22.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO