Za co wójt Gminy Dobrzyniewo Duże otrzymał RODO-karę? Jakich dokumentów dyrektor przedszkola nie może żądać od rodziców? Jak doszło do ataku hakerskiego na stronie Urzędu Zamówień Publicznych? W jakich sytuacjach montowanie urządzeń GPS jest prawnie uzasadnionym interesem? Czy renoma dostawcy jest wystarczającą gwarancją zaufania? Czego dowiemy się z listopadowego newslettera UODO? Czy numery rejestracyjne stanowią dane osobowe? Czy ściąganie aplikacji rządowych na prywatne smartfony będzie koniecznością? Czy Polacy są świadomi, kto przetwarza ich dane? Jak RODO, uzasadnia anonimizację? Do jakiego naruszenia doszło w Hiszpanii?
MULTIMEDIA | |
---|---|
#RODOA [14.11.2022] | #RODOA [21.11.2022] |
Pobierz PDF | Pobierz PDF |
Kara UODO: 8 tys. zł. za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych
- UODO nałożył administracyjną karę pieniężną w wysokości 8 tys. zł. na wójta gminy Dobrzyniewo Duże za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych
- administrator zgłosił do UODO naruszenia ochrony danych osobowych – naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności
- do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu
- administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych
- administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację – ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia (m.in. szyfrowanie)
- jednak jak wykazało postępowanie skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane
- zaniedbanie doprowadziło do nałożenia kary pieniężnej
Żródło: https://uodo.gov.pl/pl/138/2487
Przedszkole żąda zaświadczenia o zdrowiu dziecka - lekarz nie ma podstaw do wystawienia
- dyrektor przedszkola czy szkoły nie może żądać od rodzica dziecka zaświadczenia od lekarza, że dziecko jest zdrowe i może uczęszczać do szkoły
- dodatkowo takie żądanie budzi wątpliwości w kontekście ochrony danych osobowych – zgodnie z prawem, rodzic przekazuje dyrektorowi placówki oświatowej tylko uznane przez niego za istotne dane o stanie zdrowia dziecka, jego diecie czy rozwoju psychofizycznym
- wyjątkiem jest tutaj przypadek wyłączenia ucznia z zajęć z wychowania fizycznego na podstawie zaświadczenia lekarskiego – wtedy należy je dostarczyć do szkoły
- w innych przypadkach, wymaganie przez dyrektorów szkół zaświadczeń, które mają potwierdzać, że występujące u dziecka objawy takie jak np.: kaszel, katar, duszność są wynikiem np. alergii, lub nie są wynikiem zakażenia wirusem SARS-CoV-2, nie ma podstaw prawnych
Żródło: https://www.prawo.pl/zdrowie/zaswiadczenie-o-stanie-zdrowia-dziecka-dla-zlobka,500336.html
Atak na platformę zamówień publicznych, ale dane bezpieczne
- Informujemy, że od godziny 09:07 mamy atak (DDOS) z zewnętrznych serwerów na infrastrukturę Platformy e-Zamówienia i aktualnie podejmowane są niezbędne działania mające na celu przywrócenie prawidłowości działania Platformy – taki komunikat pojawił się w poniedziałek na stronie Urzędu Zamówień Publicznych
- Urząd zapowiedział jednocześnie, że przywróceniu działania platformy poinformuje odrębnym komunikatem – taki komunikat został na stronie Urzędu opublikowany w poniedziałek 7 listopada po południu.
- rzecznik UZP powiedział mediom, że według wiedzy Urzędu, atak przeprowadzono z serwerów znajdujących się poza granicami kraju – o ataku poinformowane zostały odpowiednie służby, które badają jego źródło i przyczynę
- Urząd wraz z wykonawcą narzędzia pracuje nad przywróceniem jego działania
- na pytanie, czy przez atak mogły wyciec dane wrażliwe, rzecznik odparł, że takiego ryzyka nie ma z uwagi na fakt, że atak DDoS służył wywołaniu chwilowej lub długotrwałej blokady Platformy, co w efekcie spowodowało, że użytkownicy końcowi nie mogą z niej korzystać
Źródło: https://www.prawo.pl/samorzad/hakerski-atak-platforme-zamowien-publicznych,518192.html
Bezpieczeństwo mienia może być uzasadnionym interesem śledzenia GPS ale w określonym zakresie
- administrator danych wprowadził śledzenie GPS pojazdów firmowych w 2009 r., po kradzieży w miejscu pracy – pojazdy służyły do transportu prac terenowych oraz montażu sprzętu u klienta
- celem śledzenia GPS było zabezpieczenie pojazdów, drogiego sprzętu i dokumentów, które znajdują się w pojeździe na wypadek kradzieży
- administrator stwierdził, że śledzenie GPS nie stanowi przetwarzania danych i że osoby mogą być identyfikowane tylko w wyjątkowych przypadkach (przestępstwa, ochrona osób i mienia, wypadki drogowe, szkoda itp.)
- słoweński organ nadzorczy ustalił, że administrator przeprowadził śledzenie GPS ośmiu pojazdów i można było zidentyfikować osoby
- organ potwierdził, że zapewnienie bezpieczeństwa mienia może leżeć w prawnie uzasadnionym interesie administratora danych, ale administrator nie wykazał, że sposób wykonania środka był właściwy i konieczny – stwierdzono, że śledzenie GPS odbywało się również wtedy, gdy pojazd i znajdujące się w nim mienie znajdowały się pod stałym i bezpośrednim nadzorem pracownika
- organ uznał, że w konkretnym przypadku śledzenie GPS może być wykorzystywane jedynie w taki sposób, aby kierowca mógł włączyć GPS w miejscu, w którym pojazd, sprzęt i dokumenty mogą być zagrożone i wyłączyć go po powrocie do pojazdu, gdy chronione towary były ponownie pod bezpośrednim nadzorem pracownika
- w zakresie bezpieczeństwa osób w razie wypadków organ uznał, że stałe śledzenie GPS jest nieproporcjonalne – miejsce wypadku jest zwykle znane, może również zgłosić je sam kierowca, a administrator powinien stosować mniej inwazyjne środki ochrony prywatności informacji
Renoma wystarczającą gwarancją zaufania
- powierzając dane osobowe renomowanym firmom, takim jak Microsoft,nie trzeba ich dodatkowo weryfikować pod kątem bezpieczeństwa – wyrok WSA w Warszawie znacząco upraszcza życie przedsiębiorcom
- zgodnie z RODO, powierzenie danych osobowych jest obwarowane obowiązkami – niezbędne jest nie tylko zawarcie umowy, lecz także sprawdzenie procesora czy daje on wystarczające gwarancje bezpieczeństwa
- wyrok dotyczy skargi na szkołę, która w czasie zdalnego nauczania korzystała z Microsoft Teams – rodzice jednej z uczennic uznali, że nie miała ona prawa powierzyć danych osobowych ich małoletniej córki firmie Microsoft i domagali się nałożenia kary na placówkę
- Prezes UODO odmówił, nie dopatrując się naruszenia prawa – sąd, do którego trafiła sprawa, w pełni zgodził się z jego stanowiskiem
- jeden z zarzutów dotyczył braku podstawy prawnej do powierzenia danych osobowych – sąd uznał, że podstawę taką stanowiła umowa zawarta przez akceptację postanowień narzuconych przez Microsoft
- sąd przyznał, że zgodnie z przepisami administrator powinien przed zawarciem umowy sprawdzić, czy procesor spełnia wymogi wynikające z art. 28 RODO – warunki zostały spełnione, albowiem wybór przez szkołę platformy MS Teams prowadzonej przez profesjonalny podmiot, jakim jest renomowana Microsoft Corporation gwarantuje stosowanie przez podmiot przetwarzający środków
- w praktyce administrator musi jedynie odnotować zawarcie umowy – w przypadku renomowanych firm nie ma konieczności ich weryfikacji
- oczywiście otwarte pozostaje pytanie, których procesorów uznać za renomowanych
Listopadowy newsletter UODO
- w listopadowy numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:
NOWE WZORY KWESTIONARIUSZY WSTĘPNEGO WYWIADU PRZESIEWOWEGO PRZED SZCZEPIENIEM DZIECI PRZECIW COVID-19
- podmioty medyczne realizujące szczepienia dzieci przeciw COVID-19 powinny korzystać z nowych wzorów kwestionariuszy wstępnego wywiadu przesiewowego, które uwzględniają uwagi zgłoszone przez UODO i umożliwiają administratorom świadczącym usługi medyczne zapewnienie zgodności ich działania z przepisami RODO
SPÓŁKI WODNE ŁATWIEJ POZYSKAJĄ DANE OSOBOWE AKTUALNYCH WŁAŚCICIELI NIERUCHOMOŚCI
- taka deklaracja zawarta została w odpowiedzi resortu infrastruktury na pismo UODO – prace legislacyjne w tym zakresie są w toku
ROZPORZĄDZENIE DOTYCZĄCE CHOROBY ZAKAŹNEJ PSZCZÓŁ POWINNO OKREŚLAĆ JEDYNIE OBSZAR ZAPOWIETRZONY
- w rozporządzeniu w sprawie określenia obszaru zapowietrzonego, na którym wystąpiła choroba zakaźna zgnilec amerykański pszczół, nie powinno się podawać nazw miejscowości i ulic, na których wykryto ogniska tej choroby
ZJEDNOCZONE KRÓLESTWO ZAMIERZA ZASTĄPIĆ RODO
- przemawiając na dorocznej konferencji Partii Konserwatywnej 3 października 2022 r., Michelle Donelan, Sekretarz Stanu ds. Cyfrowych, kultury, mediów i sportu, powiedziała, że rząd zastąpi RODO „naszym własnym, przyjaznym dla biznesu i konsumentów, brytyjskim systemem ochrony danych”
Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod
NSA po raz kolejny: numery rejestracyjne to nie dane osobowe
- NSA konsekwentnie pozostaje w kontrze do poglądu wyrażanego przez organy nadzorcze czy sądy w innych państwach UE i uznaje, że numery rejestracyjne nie stanowią danych osobowych
- wyrok dotyczy udostępnienia jako informacji publicznej nagrania z wideorejestratora policyjnego – komendant powiatowy udostępnił tylko fragmenty, dochodząc do wniosku, że całości nie może ze względu na ochronę prywatności, nagrano bowiem cztery kontrolowane osoby oraz tablice rejestracyjne pojazdów
- WSA w Szczecinie oddalił skargę na tę decyzję, uznając argumentację komendanta za słuszną, gdyż uznał, że dysponując numerem rejestracyjnym, marką i kolorem pojazdu, można ustalić dane osobowe właściciela pojazdu – NSA nie zgodził się z tym poglądem
- po najnowszym orzeczeniu można już mówić o linii orzeczniczej uznającej, że numery rejestracyjne, przynajmniej w większości przypadków, nie zawierają danych osobowych i nie podlegają ochronie ze względu na prywatność -teza ta nie tylko po raz trzeci pojawia się w wyroku NSA, lecz także można ją odnaleźć w orzecznictwie sądów cywilnych
- pogląd NSA jest odmienny od podejścia większości, jeśli nie wszystkich, organów ochrony danych osobowych w UE, co więcej organy uznają za dane osobowe numery rejestracyjne, ale także numer VIN
- na tym samym stanowisku od lat stoi również UODO – numery rejestracyjne, którymi właściciele dysponują przez cały czas posiadania pojazdu, mogą pozwolić na identyfikację konkretnych osób nie tylko odpowiednim organom, ale również osobom fizycznym
Operatorzy telekomunikacyjni mają instalować rządowe aplikacje na prywatnych smartfonach
- MSWiA nie wycofuje się z pomysłu instalowania na prywatnych telefonach aplikacji RSO i Alarm 112 – w najnowszej wersji projektu ustawy o ochronie ludności oraz stanie klęski żywiołowej mają się tym zająć operatorzy ruchomej publicznej sieci telekomunikacyjnej
- Regionalny System Ostrzegania to aplikacja powstała w 2018 r. – jest elementem usługi informowania o zagrożeniach na terenie Polski za pośrednictwem różnych kanałów informacyjnych, w tym SMS-ów wysyłanych przez operatorów Wojewódzkich Centrów Zarządzania Kryzysowego, do tej pory, dobrowolnie, pobrało ją 100 tys. użytkowników
- Alarm 112 to aplikacja, która uruchomiona została w styczniu 2020 roku – umożliwia przekazanie informacji o zagrożeniu życia, zdrowia, mienia, środowiska, bezpieczeństwa i porządku publicznego do Centrum Powiadamiania Ratunkowego, przede wszystkim przez osoby, które nie mogą wykonać połączenia głosowego, czyli głównie osoby głuche i niedosłyszące, pobrało ją 10 tys. osób
- rząd chce, aby obie aplikacje były powszechnie stosowane w telefonach komórkowych – przekonuje, że to poprawi bezpieczeństwo ludności
- eksperci wskazują na luki pomysłu i stawiają pytania m.in. o inwigilację, preinstalowana rządowa aplikacja to prosty kanał ataku
- pierwszym krokiem przy włamywaniu się na jakiekolwiek urządzenie jest uzyskanie możliwości uruchomienia złośliwego kodu w kontekście jakiejkolwiek aplikacji – to jeszcze nie wystarcza do przejęcia kontroli nad urządzeniem, ale jest koniecznym pierwszym krokiem
- rząd powinien już na etapie prac legislacyjnych zasięgnąć opinii UODO i przygotować dla obu aplikacji rzetelną ocenę wpływu na ochronę danych osobowych – to nie tylko dobra praktyka, ale i obowiązek wynikający z RODO, jeśli to rozwiązanie faktycznie miałoby stać się obligatoryjne i co za tym idzie, oznaczałoby przetwarzanie danych na masową skalę
Źródło: https://www.prawo.pl/samorzad/rzadowe-aplikacje-na-prywatnych-telefonach-ustawa,518355.html
Ponad 80 proc. Polaków nie wie, kto ma ich dane osobowe
- zgodnie z badaniem „Gdzie są nasze dane osobowe?” serwisu ChronPESEL.pl i Krajowego Rejestru Długów, ponad 80 proc. Polaków nie wie, w ilu miejscach znajdują się ich dane osobowe, a ponad 70 proc. przyznaje, że ze względu na „trudną do zdefiniowania liczbę miejsc, w których są przetwarzane ich dane osobowe, nie ma dużego wpływu na ich bezpieczeństwo”
- przeszło 40 proc. badanych uważa natomiast, że nawet stosowanie się do zasad ostrożności podczas udostępniania informacji dotyczących tożsamości nie daje pełnej gwarancji ich ochrony
- na szczycie listy największych zagrożeń ankietowani umieścili wyłudzenie zobowiązań finansowych na skradzione dane (68 proc. wskazań), ponad połowa (54 proc.) wskazała też na wycieki danych oraz niewystarczające zabezpieczenia baz firm i instytucji, które przetwarzają informacje na nasz temat (ponad 53 proc.), prawie 40 proc. Polaków obawia się, że nie będzie wiedziała, co zrobić w przypadku wyłudzenia danych
- większość z nas byłaby spokojniejsza, gdybyśmy mogli liczyć na ostrzeżenie przed potencjalną próbą oszustwa; 73,4 proc. ankietowanych uważa, że możliwość otrzymywania powiadomień SMS lub e-mail za każdym razem, gdy ktoś spróbuje posłużyć się naszym PESEL-em, zwiększyłaby nasze poczucie bezpieczeństwa w zakresie ochrony danych osobowych
- badanie przeprowadzono w październiku 2022 r. metodą CAWI na reprezentatywnej grupie 1017 respondentów przez firmę IMAS International
RODO nie uzasadnia agresywnej anonimizacji
- numer chipa zwierzęcia ze schroniska nie stanowi danych osobowych i nie podlega anonimizacji na podstawie RODO – uznał sąd.
- sprawa dotyczyła bardzo szczegółowego wniosku o udostępnienie informacji publicznej, jaki stowarzyszenie zajmujące się ochroną zwierząt skierowało do osoby prowadzącej schronisko – w odpowiedzi udostępniono mu wiele informacji, część jednak zamazano, powołując się na ochronę prywatności, chodziło m.in. o dane przewoźnika transportującego zwierzęta oraz numery chipów
- Stowarzyszenie uznało to za agresywną anonimizację, która nie znajduje uzasadnienia w RODO – sąd, do którego złożyło skargę, zgodził się z tą argumentacją
- „Anonimizacja bowiem jest czynnością prawidłową jedynie wtedy, gdy rzeczywiście objęte nią określone dane nie podlegają ujawnieniu z uwagi na ochronę. Zasada jawności gospodarki środkami publicznymi jest regułą, która musi być bezwzględnie przestrzegana przez każdą jednostkę dysponującą publicznymi środkami finansowymi.” – uzasadnił wyrok
- zdaniem sądu w przypadku numerów chipów wszczepionych zwierzętom nie można nawet mówić o danych osobowych – nie umożliwiają one bowiem identyfikacji osób fizycznych
Hiszpania: 70 000 euro za pozostawienie przesyłki u sąsiada
- hiszpański organ ochrony danych ukarał UPS grzywną za pozostawienie przesyłki u sąsiada osoby, której dane dotyczą, bez jej uprzedniej zgody, a tym samym bezprawne ujawnienie danych odbiorcy osobie trzeciej
- osoba, której dane dotyczą, złożyła skargę do hiszpańskiego organu ochrony danych, ponieważ kurier United Parcel Service (UPS) dostarczył zaadresowaną do niej paczkę sąsiadowi bez uprzedniej zgody
- kurier najpierw starał się wykluczyć swoją odpowiedzialność – stwierdził, że istnieje umowa z Media Markt i że działają oni jako usługodawcy, postępując zgodnie z ich instrukcjami i działając zgodnie z umową, w której określono m.in., że przesyłki mogą być pozostawione u sąsiadów w przypadku niemożności odnalezienia adresata i to Media Markt powinien informować swojego klienta o przetwarzaniu jego danych
- organ wykluczył jednak powierzenie danych osobowych przez Media Markt uznając UPS za administratora danych
- organ stwierdził naruszenie art. 5 ust. 1 lit. f RODO w zakresie, w jakim dane osobowe osoby, której dane dotyczą, zostały ujawnione osobie trzeciej bez jej zgody – za to naruszenie ukarał administratora grzywną w wysokości 50 000 euro
- organ stwierdził również naruszenie art. 32 RODO, ponieważ administrator nie wdrożył środków niezbędnych do zapobieżenia takiemu ujawnieniu – za to naruszenie organ ochrony danych ukarał administratora grzywną w wysokości 20 000 euro
Źródło: https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00280/2022&mtc=today https://www.aepd.es/es/documento/ps-00280-2022.pdf
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
3 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Odnosząc się do renomy profesjonalnego podmiotu jakim jest Microsoft to ja tutaj już kompletnie zgłupiałem. Cytuję fragment uzasadnienia WSA:
„Nie ulega wątpliwości, że powyższe warunki zostały w niniejszej sprawie spełnione, albowiem wybór przez Szkołę platformy MS Teams prowadzonej przez profesjonalny podmiot, jakim jest renomowana Microsoft Corporation, która stanowić będzie w tym przypadku procesora (czyli podmiot, który – w ramach powierzenia przetwarzania danych – przetwarza w imieniu administratora dane przez niego powierzone), z całą pewnością gwarantuje stosowanie przez podmiot przetwarzający środków organizacyjnych i technicznych, o których mowa w art. 28 ust. 1 RODO.”
I jeszcze raz „z całą pewnością garantuje” … a my się tutaj bujamy w firmie z tym całym Schrems II i w ogóle z wiarygodnością gigantów cyfrowych w kontekście przetwarzania danych osobowych, a tu trochę wygląda (choć mocno upraszczam) że wystarczyło powiedzieć, że to przecież znany fachowiec, to się zna 😉
I co z tego, że WSA przypomniał, że rodzice w swej skardze wskazywali, że to przecież podmiot z siedzibą z poza UE, skoro potem i tak postanowił się w ciągu dalszym swego uzasadnienia w żaden sposób do tego nie odnieść.
A i jeszcze WSA złagodził „niezbędność” przez przytoczenie spostrzeżenia sprzeczności między adekwatnością a niezbędnością. No nie wiem, chyba się cieszę … 🙂
A czy z Google Analytics też tak mogę?
z Google Analytics już nie będzie tak łatwo…jest na cenzurowanym.
https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8334416,korzystanie-z-google-analytics-narusza-rodo.html
Pobiegłem na Facebooka i tam też o tym chwilę porozmawiali (raptem 4 komentarze). A ja myślałem, że to przełom 🙂