RODO aktualności – 25.08.2020

• Na stronie uodo.gov.pl opublikowano kolejne odpowiedzi na pytania, związane z wykonywaniem przez inspektorów ochrony danych ich zadań. Tym razem dotyczą pism w postępowaniu administracyjnym, poradni psychologiczno-pedagogicznych i ZFŚS
• Czy do pism w postępowaniu administracyjnym należy dołączać „rozdzielniki”?

bezsporne pozostaje, że strony w toczącym się postępowaniu administracyjnym są uprawnione do zapoznawania się z informacjami zawartymi w materiale zgromadzonym w tym postępowaniu, w tym z danymi osobowymi identyfikującymi pozostałe strony. Jednak oznaczenie wszystkich stron postępowania albo innych osób biorących udział w postępowaniu powinno mieć miejsce w samej treści rozstrzygnięcia administracyjnego, nie zaś za pomocą odrębnych wykazów zawierających szczegółowe dane osobowe.

Zaznaczyć także należy, że oznaczenie stron postępowania musi spełniać wymogi zasady minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO – m.in. co do zasady nie powinno zawierać numeru PESEL

Źródło: https://uodo.gov.pl/pl/225

• Jaka jest podstawa do przetwarzania przez poradnie psychologiczne szczególnych kategorii danych?

W przypadku przetwarzania przez poradnię szczególnych kategorii danych w celu udzielenia pomocy psychologiczno-pedagogicznej przesłankę legalizującą stanowić będzie art. 9 ust. 2 lit. g RODO, tj. przetwarzanie to jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. W przypadku tej przesłanki niezbędne jest wskazywanie dodatkowo przepisów prawa konkretyzujących zadania poradni.

Z inną sytuacją mamy do czynienia wówczas, gdy rodzice podejmują decyzję o tym, że złożą orzeczenie lub opinię w jednostce systemu oświaty, do której uczęszcza ich dziecko. Zgodnie bowiem z § 6 ust. 2 rozporządzenia w sprawie szczegółowych zasad działania publicznych poradni psychologiczno-pedagogicznych, w tym publicznych poradni specjalistycznych w przypadku, gdy opinia dotyczy dziecka uczęszczającego do przedszkola, szkoły lub placówki albo pełnoletniego ucznia uczęszczającego do szkoły lub placówki, na pisemny wniosek odpowiednio rodziców albo pełnoletniego ucznia, poradnia przekazuje kopię opinii do przedszkola, szkoły lub placówki, do której dziecko albo pełnoletni uczeń uczęszcza. Oznacza to, że dane dotyczące dziecka są przekazywane między ww. administratorami jedynie na podstawie zgody rodziców albo pełnoletniego ucznia.

Źródło: https://uodo.gov.pl/pl/225

• Czy związek zawodowy może mieć dostęp do danych z wniosków o przyznanie świadczeń z ZFŚS?

art. 27 ust. 2 ustawy o związkach zawodowych nie stanowi podstawy prawnej do udostępnienia przez pracodawcę przedstawicielom związków zawodowych danych osobowych zawartych we wnioskach o przyznanie świadczeń z Zakładowego Funduszu Świadczeń Socjalnych.

Choć więc w art. 27 ust. 2 ustawy o związkach zawodowych mowa jest o uzgadnianiu z zakładową organizacją związkową przyznawania świadczeń z zakładowego funduszu świadczeń socjalnych, to uzgodnienia te obejmują konkretne mechanizmy i kryteria dystrybucji świadczeń socjalnych wśród pracowników. Nie wydaje się zatem uzasadniona taka wykładnia art. 27 ust. 2 ustawy o związkach zawodowych, zgodnie z którą należy uzgadniać z zakładową organizacją związkową każdą indywidualną kwestię dotyczącą świadczeń socjalnych przyznawanych konkretnemu pracownikowi.

Źródło: https://uodo.gov.pl/pl/225

• Urzędu Ochrony Danych Osobowych, komentuje, że do organu wpłynęło 10 skarg w związku z przetwarzaniem danych osobowych przez opisywany serwis. Postępowania są w toku.
• portal Najlepszyprawnik.com.pl przetwarza ich dane osobowe, pozyskane najpewniej ze źródeł publicznie dostępnych, nie informując ich o tym (co już samo w sobie może być naruszeniem art. 14 RODO). Naruszeń było jednak znacznie więcej. Próżno było chociażby szukać informacji o administratorze strony.
• Niska ocena była więc przypisana domyślnie do każdego prawnika, co mogło stanowić naruszenie dóbr osobistych prawników. Co więcej, serwis oferował płatną promocję dla specjalistów. Stawki można było negocjować – zależały one od czasu oraz pozycjonowania reklamy.
• Najlepszyprawnik.com.pl kreował mylne wyobrażenie na temat jakości usług wielu prawników. Sprawa była o tyle problematyczna, że osoby zainteresowane usunięciem profilu nie mogły nawet wejść w spór z jego operatorem, skoro na stronie internetowej brakowało podstawowych informacji na temat administratora danych osobowych, a link do formularza rzekomo umożliwiający usunięcie profilu był nieaktywny

Źródło: https://prawo.gazetaprawna.pl/artykuly/1488098,najlepszyprawnik-com-pl-rodo-dane-osobowe-uodo-prawnicy-etyka.html

• Zgodnie z projektowanym art. 411 prawa komunikacji elektronicznej prezes Urzędu Danych Osobowych będzie mógł nałożyć karę w wysokości do 3 proc. przychodu za niewdrożenie technicznych i organizacyjnych środków zapewniających ochronę danych (za nieprzestrzeganie projektowanego art. 363), nie powiadomienie o incydencie urzędu i użytkownika (naruszenia projektowanego art. 364 ust. 1 i 4), nie spełnienie obowiązku informacyjnego, nieprowadzenia rejestru naruszeń danych osobowych (naruszenie projektowanego art. 367). Jednocześnie zgodnie z art. 83 pkt. 4 RODO prezes UODO za te same naruszenia może nałożyć administracyjną karę pieniężną
• Ani obowiązujące, ani projektowane przepisy nie wskazują, jaka jest relacja między nimi a RODO – mówi dr Arwid Mednis, radca prawny, partner w kancelarii Kobylański Lewoszewski Mednis. W efekcie, gdyby doszło do wycieku danych w firmie telekomunikacyjnej, prezes UODO mógłby się pokusić o nałożenie podwójnej kary, jednej na podstawie RODO, i drugiej na podstawie obowiązującego, czy projektowanego prawa. Jednocześnie prawnicy wskazują, że art. 95 RODO mówi, że rozporządzenie nie nakłada dodatkowych obowiązków na osoby prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej podlegające e-Privacy. Zatem ten artykuł RODO powinien przesądzić, że kara może być jedna. Lepiej by było jednak, aby zostało to jasno określone w przepisach krajowych, by w przypadku podwójnej kary nie toczyć batalii w sądzie.
• Źródło: https://www.prawo.pl/biznes/uodo-bedzie-mogl-podwojnie-karac-telekomy-po-zmianie-prawa,502276.html

• Pracodawca, decydując się na założenie monitoringu wizyjnego w zakładzie pracy, powinien określić konkretny cel, w którym będzie on wykorzystywany. Monitoring ma służyć zapewnieniu bezpieczeństwa pracowników lub ochrony mienia, lub kontroli produkcji, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, a obszar nadzoru może obejmować teren zakładu pracy lub teren wokół zakładu pracy.
• Pracodawca korzystający z monitoringu powinien poinformować osoby, które potencjalnie mogą zostać nim objęte, o tym, że monitoring jest stosowany i jaki obszar jest nim objęty. Powinien spełnić także obowiązek informacyjny wynikający z art. 13 RODO, czyli m.in. podać swoją nazwę, adres, obszar oraz cel monitorowania, okres przetwarzania danych. Pracownicy natomiast muszą mieć świadomość, że w miejscu, w którym się znajdują, wprowadzono monitoring.
• Monitoring to środek techniczny umożliwiający rejestrację obrazu. Co za tym idzie – monitoring wizyjny nie może nagrywać dźwięku. Stosowanie kamer rejestrujących również dźwięk może, w przypadkach nieuregulowanych przepisami prawa, zostać uznane za naruszenie prywatności oraz za nadmiarową formę przetwarzania danych, a co za tym idzie wiązać się z odpowiedzialnością nie tylko administracyjną i cywilną ale również i karną. Ponadto, w trakcie nagrania obrazu i dźwięku za pośrednictwem kamery będzie dochodzić do ujawnienia tajemnic prawnie chronionych.
• Źródło: https://uodo.gov.pl/pl/138/1634

• Coraz częściej pracodawcy decydują się na wprowadzenie kontroli służbowej poczty elektronicznej pracownika. Zgodnie z kodeksem pracy, trzeba poinformować pracownika o prowadzeniu monitoringu poczty.
• pracodawca może wprowadzić monitoring poczty elektronicznej pracownika, w sytuacji gdy jest to niezbędne w jego ocenie do zapewnienia organizacji pracy, umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Ponadto, kontrola ta nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika (art. 223 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy).
• Pracownik musi zostać poinformowany w jakim celu pracodawca zamierza stosować monitoring, poznać zakres oraz sposób zastosowania monitoringu. Informacje te ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.
• Pracodawca informuje pracownika o wprowadzeniu monitoringu poczty elektronicznej, nie później niż dwa tygodnie przed jego uruchomieniem.
• Źródło: https://uodo.gov.pl/pl/138/1634

• Straż Miejska w Warszawie – jej inspektor ochrony danych osobowych Małgorzata Kumor – zgłosił naruszenie do UODO. Naruszenie polegało na niezgodnym z prawem zabezpieczeniu 24 notatników służbowych, obejmujących lata 2013-2016 strażników miejskich pracujących w regionie VII Straży Miejskiej w Warszawie, co spowodowało ich ujawnieniem przez dozorcę w wiacie śmietnikowej osiedla.
• W notatnikach służbowych znajdowały się: imię, nazwisko, imiona rodziców, PESEL, nr dowodu osobistego, adres zamieszkania, opis czynu zabronionego, nr prawa jazdy oraz informacje o zastosowaniu sankcji.
• Straż Miejska przyznaje, że to zdarzenie powoduje wysokie ryzyko naruszenia praw i wolności obywatelskich. Uzyskane przez osoby niepowołane dane mogą spowodować uzyskanie kredytów w instytucjach pozabankowych – informuje Zbigniew Leszczyński, komendant Straży Miejskiej.
• Biuro prezesa Urzędu Ochrony Danych Osobowych potwierdza, że pod koniec lipca wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Komendanta Straży Miejskiej m.st. Warszawy. Zgłoszenie to jest obecnie analizowane przez Urząd.
• Źródło: https://www.prawo.pl/prawo/dane-osobowe-tysiecy-mieszkancow-warszawy-sa-zagrozone,502340.html

• Sąd apelacyjny w Wielkiej Brytanii wydał w tym tygodniu przełomowy wyrok, w którym uznał za nielegalne wykorzystywanie automatycznego systemu rozpoznawania twarzy przez policję w południowej Walii. Testowany od 2017 r. system był do tej pory wykorzystany ok. 70 razy, m.in. podczas publicznych zgromadzeń i demonstracji.
• Wyrok w sprawie systemów rozpoznawania twarzy przez walijską policję jest pierwszym tego typu wyrokiem na świecie i – choć wydany w Wielkiej Brytanii – może mieć wpływ na stosowanie tej technologii przez inne państwa. Sąd stwierdził, że system jest nielegalny m.in dlatego, że nie jest jasne, gdzie system może być stosowany i kto może trafić na listę osób do obserwowania. Kluczowe jest to, że sąd nie ograniczył się do stwierdzenia, że technologie automatycznego rozpoznawania twarzy naruszają wyłącznie prawo do prywatności, ale podkreślił, że naruszone jest także prawo do równego traktowania.
• Fundacji Panoptykon stoi na stanowisku, że masowe rozpoznawanie twarzy przez państwo z wykorzystaniem kamer opartych na biometrii powinno być zakazane, ponieważ zbyt mocno wkracza w podstawowe prawa obywatelskie.

Źródło: https://panoptykon.org/wiadomosc/rozpoznawanie-twarzy-przez-policje-w-wielkiej-brytanii-nielegalne

• Pracodawcy i pracownicy mają coraz więcej praktycznych problemów z pracą zdalną, a dokładnie – z zapewnieniem bezpieczeństwa informacji i dokumentów zawierających dane osobowe.
• Pracownicy najczęściej skarżą się związkom zawodowym, działającym w ich organizacji, na rozpraszającą atmosferę (np. biegające dzieci), która może mieć wpływ na błędy. Stąd chcą wiedzieć, jakie konsekwencje grożą w takim przypadku pracownikowi. Podobnie – co stanie się, gdy dokumentacja zaginie.
• Jeśli wynoszenie dokumentów z zakładu pracy odbywa się za wiedzą i przyzwoleniem – choćby milczącym – pracodawcy, to odpowiedzialność za ich utratę spoczywa na pracodawcy. Jeśli natomiast pracownik sam, z własnej woli takie dokumenty wynosi, nie informując o tym wcześniej swego pracodawcy i nie mając jego zgody, to w razie ich utraty czy uszkodzenia, odpowiedzialność poniesie zatrudniony.
• W okresie od 1 kwietnia br. do 6 sierpnia br. do prezesa UODO zostało zgłoszonych 2520 naruszeń ochrony danych osobowych, o których mowa w art. 34 RODO. UODO w swoich statystykach nie uwzględnia,  jakiego typu są to naruszenia.

Źródło: https://www.prawo.pl/kadry/jaka-jest-odpowiedzialnosc-pracownika-za-utrate-firmowych-danych,502240.html

• Prezes UODO nałożył karę upomnienia za przetwarzanie bez podstawy prawnej danych osobowych uczniów przez szkołę w związku z przeprowadzeniem wśród nich w roku szkolnym 2019/2020 wywiadów pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”.
• Jak wyjaśnia UODO, w ramach przeprowadzonej ankiety doszło do przetwarzania danych osobowych uczniów, w tym także danych osób niepełnoletnich, przede wszystkim ich imion i nazwisk, oznaczenie klasy, określenia opiekunów prawnych (rodziców), informacji o stanie rodziny (pełna, niepełna), a także informacji o śmierci opiekuna prawnego (rodzica), separacji opiekunów prawnych (rodziców), ich wykształceniu i sytuacji zawodowej, liczbie osób w gospodarstwie domowym, sytuacji finansowej, stanie zdrowia oraz nałogach opiekunów prawnych (rodziców), sytuacji mieszkaniowej oraz o fakcie otrzymania pomocy finansowej. Przetwarzanie danych uczniów odbywało się w zakresie ich zbierania, przechowywania oraz usunięcia.
• Dane bezpieczne, więc tylko upomnienie. Jak wynika z materiału dowodowego pozyskanego w wyniku kontroli, ankiety były przeprowadzane w sposób wykluczający możliwość zapoznania się z zawartymi w nich danymi przez osoby nieuprawnione. Szkoła  przeprowadzając ankietę wśród uczniów, naruszyła zasadę przetwarzania danych zgodnie z prawem, w myśl której dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
• Źródło: https://www.prawo.pl/oswiata/ankiety-o-sytuacji-rodzinnej-ucznia-niezgodne-z-rodo,502359.html

• Pracodawca, który dysponuje danymi kontaktowymi do pracownika pozyskanymi podczas rekrutacji, takimi jak np. adres prywatnej poczty elektronicznej czy numer prywatnego telefonu komórkowego, nie może ich wykorzystywać do kontaktów zawodowych z pracownikiem bez jego zgody.
• Kodeks pracy nie wskazuje zatem prywatnego adresu poczty elektronicznej i numeru prywatnego telefonu jako danych, których pracodawca ma prawo żądać od pracownika. W polskim systemie prawnym nie istnieje też żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji. Dysponowanie adresem poczty elektronicznej i telefonem jest i powinno pozostać dobrowolne.
• Warto bowiem pamiętać, że zazwyczaj podczas rekrutacji, pozyskując dane, o których mowa w art. 221 § 1 Kodeksu pracy, a więc m.in. dane kontaktowe wskazane przez osobę ubiegającą się o zatrudnienie, pracodawca, spełniając obowiązek informacyjny deklaruje, że będzie je przetwarzał jedynie na potrzeby przeprowadzenia naboru. Zatem na ten nowy cel przetwarzania danych pracownika, jakim jest kontaktowanie się z nim w celach służbowych, musi pozyskać zgodę zatrudnionego.

Źródło: https://uodo.gov.pl/pl/138/1636

• Nowoczesne telewizory zbierają dane głosowe oraz materiały wideo, które mogą stać się elementem kampanii cyberszpiegowskich. W przypadku złośliwych działań wbudowane mikrofony oraz kamery stanowią zagrożenie dla prywatności użytkowników i ich otoczenia. Ryzyko związane z inwigilacją za pomocą „Smart TV” jest takie samo, jak w przypadku telefonów lub innych inteligentnych urządzeń.
• nowoczesne telewizory mogą „w sposób ciągły” zbierać dane na temat użytkowników i ich otoczenia. Mowa tu przede wszystkim o nagrywaniu dźwięków oraz materiałów wideo.
• Większość producentów inteligentnych telewizorów monitoruje bezpieczeństwo swoich produktów, lecz nie da się w pełni uniknąć zagrożenia, jakie występuje w sieci. „Smart TV może stać się celem cyberataku tak samo, jak komputer lub inne urządzenie” – podsumował Arseniy Shcheltsin w rozmowie z agencją Prime.

Źródło: https://cyberdefence24.pl/smart-tv-narzedziem-inwigilacji

• Do UODO docierają pytania rodziców dotyczące zakresu pozyskiwanych danych w ramach umów o świadczenie usług przedszkolnych zarówno przez podmioty publiczne jak i niepubliczne. Zainteresowani sygnalizują zbieranie nie tylko danych koniecznych do zawarcia umowy jak imię i nazwisko rodziców dziecka, adres ich zamieszkania, ale i takich danych jak: numer PESEL rodziców, miejsce zatrudnienia rodziców, informacje o stanie zdrowia dziecka.
• ważne jest odpowiednie informowanie rodziców i uczniów o tym, kto jest ich administratorem danych, na jakiej podstawie dane są przetwarzane, w jakim celu i przez jaki okres.
• zgodnie z § 41 ust. 1 rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 31 grudnia 2002 r. w sprawie bezpieczeństwa i higieny w publicznych i niepublicznych szkołach i placówkach, o każdym wypadku zawiadamia się niezwłocznie m.in. rodziców (opiekunów) poszkodowanego. Dla wypełnienia powyższego obowiązku, przetwarzanie informacji o miejscu pracy rodzica może być niezbędne, w przypadku braku możliwości innej formy kontaktu z rodzicem.
• Niedopuszczalne jest przetwarzanie danych osobowych dzieci i rodziców dotyczących ich zdrowia, które nie wynikają wprost w przepisów prawa, chyba że rodzic bądź opiekun wyraził na to świadomą, dobrowolną i możliwą do wycofania zgodę. Przedszkole nie może pozyskiwać wyżej wymienionych danych, ponieważ nie są one warunkiem koniecznym przy rekrutacji

Źródło: https://uodo.gov.pl/pl/138/1637

• Belgijski organ ochrony danych nałożył grzywnę w wysokości 20 000 EUR na operatora telekomunikacyjnego Proximus za kilka naruszeń ochrony danych podczas przetwarzania danych osobowych w celu publikowania publicznych książek telefonicznych.
• Obywatel belgijski (powód) zwrócił się do Proximus, wydawcy publicznej książki telefonicznej, o wycofanie publikacji jego danych osobowych w publicznym katalogu Proximus, jak również o opublikowaniu danych osobowych w spisie innych wydawców. Proximus, jako wydawca własnego publicznego katalogu, potwierdził wobec powoda, że ​​nie będzie już publikować danych osobowych, a także poinformuje innych wydawców o publicznym spisie numerów, aby nie publikowali danych osobowych powoda. Jednak kilka miesięcy później powód odkrył, że jego dane osobowe zostały opublikowane nie tylko w katalogu Proximus, ale także w innych wydawnictwach publicznej książki telefonicznej.
• Proximus nie wywiązał się (odpowiednio) ze swoich obowiązków jako administratora, w związku z czym naruszył art. 6 RODO w związku z art. 7 RODO oraz art. 24 i art. 5 ust. 2 RODO.
• Proximus nie udzielił osobie, której dane dotyczą, przejrzystych informacji w trakcie i po rozpatrzeniu jej żądania, ani nie ułatwił odpowiednio realizacji praw osoby, której dane dotyczą, w związku z czym naruszył art. 12 i 13 RODO.

Źródło: https://edpb.europa.eu/news/national-news/2020/belgian-dpa-imposes-eu20000-fine-proximus-several-data-protection_en

• Hiszpański Urząd Ochrony Danych (AEPD) nałożył grzywnę w wysokości 75 000 EUR na VODAFONE ESPA.000A za przetwarzanie numeru telefonu wnioskodawcy w celach marketingowych po skorzystaniu przez niego z prawa do usunięcia w 2015 r., Pomimo tego, że osoba, której dane dotyczą, otrzymała SMS reklamowy. Kontroler stwierdził, że numer powoda, który był łatwy do zapamiętania, był używany przez jego pracowników jako „fikcyjny numer”.
• AEPD uznał, że VODAFONE ESPAÑA naruszył art. 6 ust. 1 RODO, przetwarzając dane osobowe powoda bez podstawy prawnej.

Źródło: https://edpb.europa.eu/news/national-news/2020/spanish-data-protection-authority-aepd-imposes-fine-75000-eur-vodafone_en

• Hiszpański Urząd Ochrony Danych (AEPD) nałożył grzywnę w wysokości 70 000 EUR na XFERA MOVILES za ujawnienie danych osobowych klienta stronie trzeciej.
• Powód został poinformowany przez innego klienta Masmovil, że z powodu błędu firmy został obciążony rachunkiem powoda, a tym samym miał dostęp do swoich danych osobowych (imię, nazwisko, numer dowodu osobistego i osobisty numer telefonu).
• AEPD uznał, że stanowi to naruszenie zasady poufności, określonej w art. 5 ust. 1 lit. f) RODO.

Źródło: https://edpb.europa.eu/news/national-news/2020/spanish-data-protection-authority-aepd-imposes-fine-70000-eur-xfera-moviles_en

• Hiszpański Urząd Ochrony Danych (AEPD) nałożył na firmę grzywnę w wysokości 1.200 EUR za telefonowanie do osoby, której dane dotyczą, oferując jej ofertę dotyczącą hoteli, gdy były one objęte systemem wykluczania reklam.

Źródło: https://edpb.europa.eu/news/national-news/2020/spanish-data-protection-authority-aepd-imposes-fine-company-not-complying_en

• Dane 235 mln użytkowników Instagrama, TikToka i YouTube’a wyciekły do sieci. Informacje znajdujące się w niezabezpieczonej bazie danych znaleźli specjaliści firmy Comparitech.
• Na podstawie analizy próbek odnalezionych w sieci danych Comparitech stwierdził, że jeden na pięć rekordów zawierał dane takie, jak numer telefonu i adres e-mail pokrzywdzonych w wyniku wycieku osób. Oprócz tego wszystkie rekordy składały się z informacji dotyczących imienia i nazwiska, nazwy profilu, zdjęcia profilowego, a także opisu konta użytkowników. Rekordy zawierały także dane o liczbie osób obserwujących dane konto, zaangażowaniu generowanym przez umieszczane na nim treści, a także tempie wzrostu popularności profilu. W bazie danych można było znaleźć również informacje na temat płci i wieku osób śledzących poszczególne profile oraz ich lokalizacji.
• Przedstawiciel firmy Comparitech Paul Bischoff ocenia, że dane tego typu stanowią największą wartość dla cyberprzestępców, którzy działają z użyciem techniki phishingu. Szczególną wartość ujawnionej bazie danych nadaje fakt, że informacje w niej zawarte są posegregowane w ramach wyróżnionych wcześniej kategorii, co sprawia, że są bardzo łatwe w użyciu dla botów, którymi posługują się hakerzy np. podczas rozsyłania SPAM-u.

Źródło: https://cyberdefence24.pl/miliony-uzytkownikow-instagrama-tiktoka-i-youtubea-poszkodowanych-w-wycieku-danych

• Osiem kodeksów postępowania ws. ochrony danych osobowych czeka na zatwierdzenie prezesa Urzędu Ochrony Danych Osobowych. Kolejne branże pracują nad własnymi.
• Jak informuje UODO, wnioski o zatwierdzenie kodeksów dobrych praktyk złożyło do niego osiem organizacji branżowych: Porozumienie Zielonogórskie (ochrona zdrowia), Związek Banków Polskich, Federacja Polskich Szpitali, Związek Rewizyjny Spółdzielni Mieszkaniowych, Krajowa Izba Doradców Podatkowych, Związek Pracodawców Organizacja Firm Badania Opinii i Rynku, Polska Rada Centrów Handlowych oraz Stowarzyszenie Bibliotekarzy Polskich.

Źródło: https://biznes.gazetaprawna.pl/artykuly/1488700,dane-osobowe-rodo-zasady-w-branzach.html

• Sprawa sięga jesieni 2018 r., kiedy to klienci sklepów Grupy Morele.net zaczęli otrzymywać SMS-y wskazujące na konieczność dopłaty jednego złotego. Link z wiadomości prowadził do podstawionej bramki płatności elektronicznej, za pośrednictwem której oszust mógł zdobyć login i hasło do konta w banku i w ten sposób uzyskać dostęp do środków znajdujących się na rachunku.
• Zaraz po wykryciu kradzieży danych ze swej bazy Grupa Morele.net zgłosiła incydent Urzędowi Ochrony Danych Osobowych. Ten zaś wszczął kontrolę. W sumie chodziło o dane ponad 2,2 mln klientów: imię, nazwisko, adres poczty elektronicznej (e-mail), numer telefonu i adres do doręczeń.
• Zdaniem UODO Morele.net, przetwarzając dane osobowe ponad 2,2 mln klientów, czyli na dużą skalę, a także zważywszy zakres tych danych, powinna skuteczniej monitorować potencjalne zagrożenia. Zdaniem kontrolerów ukarana spółka jedynie częściowo wywiązywała się z tego obowiązku. Nie oceniała, czy środki techniczne i organizacyjne są adekwatne do istniejącego ryzyka. O tym, że były niewystarczające, świadczy zaś fakt, że doszło do wykradzenia bazy danych.
• Ogłoszenie orzeczenia WSA w Warszawie w tej sprawie (sygn. Akt II SA/Wa 2559/19) zostało odroczone do 3 września 2020 r.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1488771,wyciek-danych-osobowych-oszust-kradziez-morele-net-rodo-zabezpieczenia.html

• Projekty prawa komunikacji elektronicznej (dalej: p.k.e.) oraz ustawy wprowadzającej p.k.e., które znajdują się w konsultacjach publicznych, m.in. porządkują kwestię uzyskiwania zgód na niezamówione informacje handlowe oraz marketing bezpośredni. Obie zgody, dziś ujęte w różnych przepisach, w przyszłości mają być uregulowane w jednym artykule – 360 p.k.e.
• Projekt p.k.e. łączy bowiem obowiązujący obecnie – szalenie kontrowersyjny – art. 172 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2019 r. poz. 2460, ost. zm. Dz.U. z 2020 r. poz. 695) z art. 10 u.ś.u.d.e. – Do dziś nikt nie jest jednak do końca pewien, kiedy trzeba zebrać jedną zgodę, a kiedy drugą. Doktryna też tego nie rozstrzyga. Po zmianach ma być już tylko jedna zgoda, która – o ile spełni odpowiednie warunki – będzie tożsama w zakresie sposobu jej uzyskiwania z tą zgodą, którą znamy z RODO – wyjaśnia Piotr Liwszic.
• Jego zdaniem jedna zgoda z p.k.e. może obejmować wszelkie sposoby komunikacji elektronicznej z użytkownikami, a zatem także telefony, wiadomości SMS lub MMS oraz – coraz modniejsze – powiadomienia push z aplikacji na smartfony.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1488596,rodo-zgoda-na-marketing-informcje-handlowe.html

• Zgoda może być podstawą przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące. Gdy jednak zgoda ma zastosowanie, to musi spełniać określone warunki, by rzeczywiście była podstawą przetwarzania.
• Wiele osób jest przekonanych, że jeśli nie wyraziło zgody na przetwarzanie swoich danych osobowych, to nie można tego robić. W praktyce jednak zgoda może być podstawą do przetwarzania naszych danych, gdy nie występują inne przesłanki legalizujące, które są określone w art. 6 ust. 1 RODO.
• Dopiero gdy nie mają zastosowania powyższe przesłanki, to podstawą do przetwarzania danych osobowych może być zgoda. Należy jednak pamiętać, że niedopuszczalne jest odbieranie zgody na przetwarzanie naszych danych osobowych w przypadku istnienia innej przesłanki legalizacyjnej upoważniającej administratora do przetwarzania danych osobowych w tym samym zakresie i celu.
• Szczególną czujnością kierujmy się, gdy mamy do czynienia z działaniami marketingowymi. O ile zgoda na marketing bezpośredni nie jest wymagana, o tyle sytuacja się zmienia, gdy taka forma komunikacji jest realizowana telefonicznie. Prawo telekomunikacyjne w art. 172 zakazuje wykonywania połączeń do celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na nie zgodę.

Źródło: https://uodo.gov.pl/pl/138/1638