Czy NIP to dane osobowe? Jaką podstawę prawną wybrać do przetwarzania danych w konkursach? Jak działa prawo do bycia zapomnianym w przeglądarce? Czy gdzieś w UE certyfikuje się IOD? Co ma RODO do szczepionek? Jakie są najgorsze hasła świata? Czy baseny „podglądają” nas pod prysznicem? Dlaczego Australia chce deszyfrować dane? Odpowiedzi na te, i znacznie więcej pytań znajdziesz na najnowszym przeglądzie RODO aktualności. To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z grudnia 2018.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych prezentacji w formie PDF do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Czy NIP to dane osobowe?
- Przed Trybunałem Sprawiedliwości Unii Europejskiej toczy się postępowanie dotyczące ewentualnego naruszenia przepisów RODO oraz europejskiego kodeksu celnego przez niemiecki federalny urząd skarbowy.
- W sprawie wypowiedział się Rzecznik Generalny TSUE, który stwierdził między innymi, że NIP bez żadnych wątpliwości jest informacją, na podstawie której można zidentyfikować konkretną osobę fizyczną i stanowi dane osobowe.
Źródło: http://curia.europa.eu/juris/document/document.jsf?text=RODO&docid=206867&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=1563599#ctx1 (Sprawa C-496/17)
Wytyczne ENISA dot. Internetu rzeczy
- Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała wytyczne dotyczące zabezpieczenia urządzeń Internetu rzeczy.
- Wytyczne wprowadzają odpowiednią terminologię np. Przemysł 4.0, wprowadzają szczegółową taksonomię zagrożeń w kontekście Internetu rzeczy czy też wymieniają rekomendowane środki bezpieczeństwa przeciwko zdefiniowanym zagrożeniom.
- Głównym założeniem środków bezpieczeństwa są 3 wymiary: Polityki, Środki organizacyjne i Środki techniczne.
Źródło: https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot
Jaka podstawa prawna do konkursów?
- Opublikowany 26 listopada 2018 r. poradnik Ministerstwa Cyfryzacji dla sektora fintech przyjął prawnie uzasadniony interes administratora danych za podstawę prawną do przetwarzania danych osobowych uczestników konkursu.
- Blogerka Sylwia Czub przedstawia odmienne stanowisko – konkurs odbywa się na podstawie zgody w formie wyraźnego działania potwierdzającego.
- Na potwierdzenie swojej tezy przytacza m. in. konkursy organizowane przez UODO, w których jako podstawa prawna wskazana jest zgoda. Gdyby przetwarzanie danych osobowych uczestników konkursu odbywało się na prawnie uzasadnionym interesie, nie byłoby konieczności zapraszania ich do wzięcia udziału w konkursie, ponieważ to organizator decydowałby o tym, kto i na jakich zasadach do konkursu przystępuje.
Czy UODO i UOKiK nie wchodzą sobie w drogę?
- Autor artykułu porusza wraz z rozmówcą problem ewentualnego zazębiania się kompetencji Prezesa UODO oraz Prezesa UOKiK w stosunku do przetwarzania danych osobowych konsumentów.
- Według mec. Sroczyńskiego, kompetencje organów powinny być na tyle rozgraniczone, aby przedsiębiorcy nie groziły dwie kary finansowe od różnych instytucji.
- Podkreślone jest również, iż w preambule do RODO znajduje się jedynie ogólne sformułowanie, że RODO nie wpływa na prawo konkurencji.
Źródło: https://www.prawo.pl/biznes/kompetencje-uodo-i-uokik-nakladaja-sie-wywiad-z-jaroslawem,337691.html
SN zdecyduje o prawie do bycia zapomnianym w wyszukiwarce
- Sąd Najwyższy odroczył ogłoszenie wyroku w sprawie biznesmena Arkadiusza L. przeciwko Google do 13 grudnia (sygn. akt I CSK 690/17). Rozprawa odbyła się 30 listopada, na której zapadło postanowienie o odroczeniu.
- Sprawa dotyczy naruszenia dóbr osobistych powoda. W I instancji sąd apelacyjny orzekł, że za połączenie słów w wyszukiwarce Google (przy pomocy algorytmu) odpowiada spółka Google, a wynik wyszukiwania narusza dobre imię powoda.
- Sąd Apelacyjny ustalił, że przeciętny użytkownik Internetu, a tym samym wyszukiwarek nie pogłębia treści, ani jej nie analizuje dogłębnie. Według SA wyciąga on pochopne wnioski na podstawie niesprawdzonych przesłanek.
Źródła: https://www.prawo.pl/prawo/prawo-do-zapomnienia-w-wyszukiwarce-google,338606.html
Jakich danych będzie mógł żądać pracodawca?
- Artykuł porusza temat zmian, jakie mają zajść w Kodeksie pracy pod względem danych pozyskiwanych podczas rekrutacji. Zmienia się tryb pozyskiwania informacji o kandydacie.
- Pracodawca będzie musiał żądać pewnych informacji, ale firmy nadal będą musiały przeprowadzać ocenę adekwatności gromadzenia danych – stąd dane dotyczące wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia będą mogły być zbierane tylko wówczas, gdy uzasadnia to sama rekrutacja.
- Mec. Dorre-Kolasa zwraca uwagę na pewną niekonsekwencję projektodawcy – informacja o dacie urodzenia nie zawsze jest konieczna do podjęcia decyzji, a znajduje się w katalogu danych, których pracodawca musi żądać.
RPO ostro krytykuje projekt ustawy wdrażającej dyrektywę policyjną
- Rzecznik Praw Obywatelskich zgłosił liczne uwagi do projektu ustawy o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości podnosząc, że może być ona niezgodna nie tylko z prawem unijnym, ale także z Konstytucją.
- Wśród licznych zarzutów stawianych projektowi na pierwszy plan wysuwa się tzw. wyłączenie podmiotowe (5 tajnych służb) spod zakresu ustawy.
- Oprócz tego RPO zarzuca także właściwemu ministerstwu opieszałość w przygotowaniu projektu ustawy i zgłoszenie go na ostatnią chwilę (ministerstwo miało na to 2 lata) oraz zaledwie 10 dni przeznaczone na konsultacje.
Hiszpania wprowadza program certyfikacji IOD-ów
- Hiszpański organ ochrony danych osobowych (AEPD) opublikowała program certyfikacji osób kandydujących na stanowisko Inspektora Ochrony Danych.
- Do stworzenia programu certyfikacji wykorzystano zapisy normy ISO 17024.
- Po pierwsze, zdefiniowano kompetencje, jakie powinien posiadać IOD.
- Drugim filarem certyfikacji było określenie jednostek akredytowanych, które mają prawo certyfikacji.
Naruszenia i skargi – statystyki po pół roku stosowania RODO
- Portal niebezpiecznik.pl otrzymał od UODO sporo informacji na temat statystyk dotyczących wycieków danych oraz zgłaszania naruszeń po pół roku stosowania RODO, a także skarg zgłaszanych przez osoby, których dane dotyczą.
- W zakresie naruszeń najczęściej zgłaszane są zdarzenia: przesłania dokumentacji do osób nieuprawnionych (mailowo jak i papierowo), zagubienie lub kradzież nośników danych, nieprawidłowe niszczenie dokumentacji oraz ataki hakerskie.
- Podmioty danych najczęściej skarżą się na: usunięcie danych, wymuszanie zgód marketingowych, niechciana korespondencja oraz telefony marketingowe, kopiowanie dokumentów tożsamości w celu zawarcia umowy czy pozyskiwanie zbyt szerokiego zakresu danych.
Przewodnik po profilowaniu
- FRA (Europejska Agencja Praw Podstawowych) przygotowała przewodnik „Zapobieganie niezgodnemu z prawem profilowaniu dzisiaj i w przyszłości”.
- Przewodnik skupia się przede wszystkim na profilowaniu wykorzystywanym w celach bezpieczeństwa (m. in. przez służby) i udziela porad, jak profilować, a jednocześnie nie podważyć zaufania obywateli do władzy.
- Zawiera on przegląd głównych zasad i praktyki profilowania poprzez: wyjaśnienie pojęcia profilowania i możliwego negatywnego wpływu na społeczeństwo, wskazanie szczegółowych zasad i prawidłowych praktyk, a także rozwinięcie tematu profilowania algorytmicznego.
Źródło: http://fra.europa.eu/en/publication/2018/prevent-unlawful-profiling
Przepisy sektorowe skierowane do dalszych prac sejmowych
- 5 grudnia 2018 r. miało miejsce pierwsze czytanie projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (tzw. przepisy sektorowe).
- Wszystkie kluby (poza klubem Nowoczesna) opowiedziały się za skierowaniem projektu do dalszych prac sejmowych.
Pracownicy, uważajcie co macie pod biurkiem!
- Jedna z firm postanowiła zainstalować pod biurkami pracowników urządzenia reagujące na ciepło i ruch, a zatem mogą monitorować, czy pracownik przebywa na stanowisku pracy i na jak długo opuszczają biurka.
- Eksperci podkreślają, że mamy do czynienia z tzw. inną formą monitoringu przewidzianą w znowelizowanych przepisach Kodeksu pracy.
- Zdaniem znawców tematu jest to środek niewspółmierny do celu jego stosowania oraz zbyt inwazyjny – firma uzasadnia bowiem wprowadzenie monitoringu lepszą kontrolą m. in. nad zużyciem mediów, jednak wydaje się, że prawdziwym celem jest kontrola czasu pracy pracowników.
Kolejny kodeks postępowania dla branży medycznej skierowany do weryfikacji UODO
- Fundacja Porozumienie Zielonogórskie, współpracując z jedną z firm ochrony danych osobowych, przygotowała i skierowała do UODO projekt kodeksu postępowania dla małych placówek medycznych.
- 4 grudnia 2018 r. odbyło się w UODO spotkanie dotyczące projektu kodeksu.
Nowa wersja programu do PIA
- CNIL (francuski organ ochrony danych osobowych) opublikował na swojej stronie internetowej nową wersję (2.0) oprogramowania do przeprowadzania PIA (Privacy Impact Assessment).
- Poprzednią wersję programu pobrano ponad 130 000 razy.
- Ulepszenia i poprawki, które dodano to m. in. szablon PIA do urządzeń Internetu rzeczy (IoT), poprawa interfejsu i elementów graficznych, optymalizacja narzędzia
- Wersję dla systemu Windows można pobrać w tym miejscu (wersja EN).
Źródło: https://www.cnil.fr/en/pia-software-20-available-and-growth-pia-ecosystem
O czym mówią w Facebooku, gdy nikt nie patrzy?
- Parlament Wielkiej Brytanii dotarł i upublicznił treść wewnętrznej komunikacji Facebooka (e-maile).
- Z ujawnionych treści wynika m. in., że Facebook rozważał możliwość pozyskiwania danych o użytkownikach telefonów z systemem Android bez wyświetlania im listy pozwoleń w formie okna dialogowego.
- Korespondencja wskazuje również na to, że Facebook dawał niektórym firmom (m. in. Netflix czy AirBnb) dostęp do danych użytkowników na specjalnych warunkach (dokładniej: do list znajomych użytkowników) nawet jeśli takie osoby nie korzystały z usług wskazanych firm.
Będzie łatwiejszy dostęp do dokumentacji medycznej zmarłego pacjenta
- Sejm przyjął nowelizację ustawy o zawodach lekarza i lekarza dentysty oraz ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
- Obecnie obowiązujące przepisy zakładają, że każdy z bliskich osoby zmarłej może zgłosić sprzeciw wobec ujawnienia informacji będącej przedmiotem tajemnicy zawodowej lekarza (w tym np. osoby niegodne dziedziczenia po zmarłym).
- Nowelizacja przepisów wprowadzi zasadę, iż w przypadku sporu między osobami bliskimi o ujawnienie informacji dotyczących zmarłego pacjenta, kwestię rozpatrzy sąd w postępowaniu nieprocesowym. Do sądu (w razie wątpliwości) będzie mógł zgłosić się również lekarz.
Źródło: https://www.prawo.pl/zdrowie/tajemnica-lekarska-po-smierci-pacjenta,340668.html
Szczepionki, a RODO
- Do Sejmu trafił obywatelski projekt ustawy, który zakłada m. in., że rodzice ubiegający się o miejsce dla dziecka w publicznym żłobku lub przedszkolu musieliby przedstawić zaświadczenie, że dziecko posiada obowiązkowe szczepienia ochronne.
- Autor artykułu rozważa, czy żłobek lub przedszkole mają podstawę prawną do tego, aby takie dane gromadzić i przetwarzać.
PoRODOwe przypadki
- Konferencja o powyższej nazwie odbędzie się 13 grudnia 2018 r., organizatorem jest Stowarzyszenie Inspektorów Ochrony Danych Osobowych (SIODO).
- Przedmiotem konferencji będzie głównie omówienie problemów praktycznych, jakie pojawiły się w związku z rozpoczęciem stosowania przepisów RODO.
- Organizatorzy postarają się również rozświetlić mroki niektórych RODO-absurdów.
Źródło: https://samorzad.infor.pl/sektor/organizacja/rodo-2018/2825998,Konferencja-PoRODOwe-przypadki.html
Wystaw pełnomocnictwo in blanco, bo RODO!
- Jedna z agencji celnych uzależnia możliwość oclenia wwożonego towaru lub paczki od wystawienia jej pełnomocnictwa in blanco.
- Agencja powołuje się na przepisy RODO.
Źródło: https://www.linkedin.com/feed/update/urn:li:activity:6471414825649082368
RODO = koniec transmisji sesji rady powiatu
Gracze, uważajcie na Steam!
- Użytkownicy portalu Reddit przeanalizowali politykę prywatności sklepu internetowego z grami komputerowymi Steam i odkryli niepokojące rzeczy w kontekście RODO.
- Po pierwsze, kilka klauzul tekstu mówi użytkownikom, że zgadzając się na warunki polityki prywatności jednocześnie zgadzają się na udostępnianie danych osobowych reklamodawcom.
- Po drugie, potencjalnym naruszeniem zasady minimalizacji danych jest procedura zwrotu pieniędzy za zakup dokonany – formularz zwrotu wymaga bowiem później potwierdzenia swoich danych dużą ilością innych danych osobowych.
Irlandzkie wytyczne dla kierowców
- DPC (irlandzki organ ochrony danych) wydała wytyczne dotyczące używania kamerek w samochodach (Dash Cams).
- DPC stoi na stanowisku, iż używając kamerki, kierowca staje się najczęściej administratorem danych osób, które zostaną zarejestrowane.
- Organ podpowiada: obowiązek informacyjny powinno się spełnić poprzez znak lub naklejkę na pojeździe i/lub wewnątrz pojazdu wskazującą, że ma miejsce filmowanie. Pełny obowiązek informacyjny należy przekazać na żądanie osoby nagrywanej (nawet ustnie).
- W razie wypadku powinno się z kolei poinformować drugiego uczestnika zdarzenia, że nagrywany był materiał wideo.
Źródło: https://www.dataprotection.ie/docs/EN/10-12-2018-Guidance-for-Drivers-on-use-of-Dash-Cam/n/1802.htm
Australia chce deszyfrować dane
- Australijski parlament uchwalił kontrowersyjną ustawę The Assistance and Access Bill 2018.
- Celem ustawy jest wymuszenie na firmach IT, aby pomagały australijskim służbowym w rozszyfrowaniu danych i komunikatów, z których deszyfracją służby nie potrafią sobie poradzić samodzielnie.
- Kary za brak współpracy ze służbami to dla firm maksymalnie 10 milionów dolarów australijskich, a dla osób fizycznych – max. 50 tysięcy.
- Ustawa jest bardzo mocno krytykowana, do nabycia mocy obowiązującej potrzebuje jeszcze zgody królewskiej (Royal Assent).
UODO wyjaśnia sprawę w Oleśnicy
- Łukasz Szaniawski, który w połowie 2018 r. złożył w Oleśnicy szereg wniosków o dostęp do informacji publicznej, złożył wniosek do UODO o wszczęcie postępowania administracyjnego wobec Urzędu Miejskiego w Oleśnicy.
- Wniosek dotyczy bezprawnego, zdaniem wnioskodawcy, udostępnienia jego danych osobowych oraz dokumentów prywatnych firmie Olpres s.c. (lokalna prasa) bez jego wiedzy i zgody.
- Postępowanie może być pokłosiem artykułów w lokalnej prasie dotyczących Pana Łukasza Szaniawskiego, a których autorem jest kuzyn sekretarza miasta.
Źródło: http://mojaolesnica.pl/26600,wyciek-danych-osobowych-pytanie.php
Kolejny wyciek w Google
- Google zapowiedziało przyspieszenie prac nad zamknięciem portalu społecznościowego Google+.
- Decyzja spowodowana jest wyciekiem danych – odkryto błąd, przez który osoby niepowołane mogły przeglądać informacje na profilach ponad 50 milionów użytkowników.
- Nie wyciekły jednak żadne dane finansowe, numery identyfikacyjne czy hasła do profili.
Źródło: https://pclab.pl/news79485.html
UODO ma zastrzeżenia do nowelizacji ustawy adopcyjnej
- Prezes UODO skierowała pismo do Sejmu w związku z pierwszym czytaniem projektu ustawy o zmianie ustawy o wspieraniu rodziny i systemie pieczy zastępczej.
- Dr Jomaa zarzuca nowelizacji przede wszystkim potencjalne naruszenie zasady minimalizacji danych poprzez rozszerzenie kategorii danych, jakie będą mogły przetwarzać ośrodki adopcyjne o wizerunek, czy informacje o poprzednich związkach małżeńskich kandydatów do przysposobienia, ich wyznanie i pochodzenie etniczne.
- Organ nadzoru ma również wątpliwości odnośnie powstania elektronicznego rejestru zawierającego różnego rodzaju dane dotyczące pieczy zastępczej – nie przeprowadzono bowiem analizy zasadności wprowadzenia takiego rozwiązania.
Źródło: https://prawo.gazetaprawna.pl/artykuly/1386572,rodo-w-procedurze-adopcyjnej.html
Co hotel może zrobić z danymi gościa?
- Artykuł porusza tematykę przetwarzania danych osobowych w ramach działalności hotelu.
- Poruszone zostają m. in. tematy: obowiązków hotelu jako administratora danych (np. prowadzenie RCP), podstawy prawnej przetwarzania danych gości hotelowych w ramach ich pobytu, skanowania dowodów osobistych gości, działalności marketingowej hotelu, stosowania monitoringu wizyjnego czy przekazania danych klienta do podmiotu zewnętrznego, aby zrealizować usługę na życzenie.
- Autor wskazuje, że hotel może oprzeć marketing własnych produktów i usług na prawnie uzasadnionym interesie, lecz tylko w czasie obowiązywania umowy wynajęcia pokoju. Później powinno się uzyskać zgodę osoby, której dane dotyczą.
Szczegółowa analiza prawnie uzasadnionego interesu
- Forum Przyszłości Prywatności wraz z Nymity opublikowały raport „Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu pod rządami RODO – przypadki praktyczne”.
- Raport wzbudził duże zainteresowanie – próbuje rozszyfrować pojęcie „uzasadnionego interesu” oraz wskazuje stany faktyczne, które były przedmiotem analizy organów bądź sądów.
- Raport można pobrać tutaj.
Facebook będzie jeszcze mocniej ingerować w naszą prywatność?
- Jeśli komuś się wydaje, że są granice ingerencji w prywatność osób fizycznych – jest w błędzie. Facebook pracuje nad opatentowaniem narzędzia umożliwiającego przewidywanie lokalizacji użytkowników na podstawie ich historii lokalizacji oraz lokalizacji ich znajomych.
- Wówczas śledzenie (przewidywanie) lokalizacji będzie możliwe nawet jeśli użytkownik jest offline.
- Wniosek patentowy opatrzony jest datą 30 maja 2017 r.
- Rzecznik Facebooka stwierdził, że wnioski patentowe nie powinny być traktowane jako wyznacznik przyszłych planów firmy, ponieważ wiele opatentowanych technologii nigdy nie wchodzi do użytku.
„Nowe RODO
- W ten sposób określana jest ustawa o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie w sierpniu 2018 r.
- Obecnie Ministerstwo Cyfryzacji wysyła decyzje do podmiotów podlegających wymogom ustawy decyzje, w których nakłada obowiązek dostosowania się do regulacji ustawy – wytypowane podmioty (jest ich 542) będą miały na to 3 miesiące od dnia doręczenia decyzji. Inne szacunki wskazują, że podmiotów podlegających ustawie będzie nawet ponad 2100.
- Brak dostosowania do wymogów może skutkować nałożeniem wysokich kar finansowych na Operatora Usług Kluczowych.
Projekt kodeksu postępowania dla spółdzielni mieszkaniowych
- Związek Rewizyjny Spółdzielni Mieszkaniowych RP przygotował projekt „Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe” – można go pobrać w tym miejscu.
- Projekt obecnie jest w konsultacjach społecznych, które potrwają do 31 grudnia 2018 r.
Źródło: http://www.psm-ch.home.pl/rodo/rodo-informacja/80-o-psm/910-kodeks-rodo-projekt
Wielki Brat wie coraz więcej o Tobie
- Dziennikarze New York Times dotarli do informacji, zgodnie z którymi programy służące np. do sprawdzania pogody przekazują dane o lokalizacji użytkowników (bez ich wiedzy i zgody) co najmniej do 75 różnych firm.
- Wykazano, że w bazach danych firm zbierających dane geolokalizacyjne znajdują się trasy pokonywane codziennie przez miliony osób z dokładnością do kilku metrów.
- Niektóre dane aktualizowane były nawet 14 tysięcy razy w ciągu doby.
Źródło: https://www.cyberdefence24.pl/obrot-danymi-geolokalizacyjnymi-odbywa-sie-bez-wiedzy-uzytkownikow
Coraz bliżej unijnych przepisów o cyberbezpieczeństwie
- 10 grudnia 2018 r. najważniejsze organy Unii Europejskiej osiągnęły porozumienie w sprawie wspólnotowych przepisów o cyberbezpieczeństwie.
- Projekt wzmacnia przede wszystkim kompetencje ENISA (Agencja UE ds. Sieci, Informacji i Bezpieczeństwa).
- Projekt ustanawia również unijne ramy certyfikacji bezpieczeństwa cybernetycznego, zwiększając cyberbezpieczeństwo usług internetowych i urządzeń dostarczanych konsumentom.
Źródło: https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_pl
Wdrożenie RODO w IT - badanie
- Redakcja „Computerworlda” przeprowadziła badanie dotyczące zarządzania bezpieczeństwem informacji w polskich firmach w kontekście stosowania RODO.
- 82 % badanych firm posiada udokumentowane polityki bezpieczeństwa lub podobne, procedury zgodne z RODO wdrożyło 87 % organizacji poddanych badaniu.
- Co ciekawe, ponad 1/3 firmy rozszerzy swoje polityki o audyty, a ponad 1/4 zamierza przeszkolić pracowników linii biznesowych.
- Największe obawy dotyczą: wycieku danych wrażliwych (65 %) oraz braku dostatecznej świadomości pracowników (60 %).
mBank testuje innowacyjne rozwiązanie
- Bank rozpoczął pilotaż weryfikacji behawioralnej użytkownika bankowości internetowej przy pomocy digital fingerprints – ten sposób zabezpieczenia ma być testowany do końca 2019 r.
- Program pilotażowy obejmie 50 tysięcy uczestników, jeżeli wyrażą zgodę na przystąpienie do niego. Wówczas w serwisie transakcyjnym mBanku uruchomi się specjalny kod, który będzie mierzył typowe zachowania użytkownika w czasie korzystania z serwisu online (np. sposób poruszania myszą, korzystanie z klawiatury).
- System zbuduje profil behawioralny użytkownika, a następnie będzie porównywał bieżące interakcje w serwisie banku z gotowym profilem. Dzięki temu będzie wiadomo, czy z serwisu internetowego korzysta właściciel konta.
Zarchiwizowane akta osobowe – co z nimi zrobić?
- Artykuł porusza kwestię wpływu RODO na teczki osobowe pracowników, które przed 25 maja 2018 r. zostały zarchiwizowane i znajdują się tam dane mogące naruszać np. zasadę minimalizacji danych.
- Autorka stawia tezę, że dane zbierane przez pracodawcę przed rozpoczęciem stosowania RODO miały podstawę prawną w postaci przepisów Kodeksu pracy i aktów wykonawczych, a dodatkowo w RODO nie została wprowadzona zasada działania prawa wstecz, stąd nie ma powodu aby niektóre kategorie danych usuwać z archiwów (np. imiona rodziców).
RODO po Brexicie – scenariusz alternatywny
- Rząd brytyjski opublikował założenia dotyczące przetwarzania danych osobowych na wypadek opuszczenia Unii Europejskiej przez UK bez porozumienia z Komisją Europejską.
- Poruszone są m. in. kwestie transferu danych osobowych do państw trzecich, wyznaczenia przedstawiciela administratorów danych z UE czy kompetencji brytyjskiego organu nadzoru (ICO).
Google nie musi usuwać linków w wyszukiwarce
- Sąd Najwyższy wyrokiem13 grudnia 2018 r. uchylił wyrok sądu apelacyjnego i zwrócił sprawę do ponownego rozpoznania. Sprawa dotyczyła powództwa biznesmena Arkadiusza L. przeciwko Google LLC o naruszenie dóbr osobistych poprzez to, iż w razie wpisania w wyszukiwarkę imienia, nazwiska i miejscowości powoda jako wynik pokazuje się odnośnik do artykułu „Polityki” pod tytułem „Bardzo biedny gangster”.
- SN uznał między innymi, iż w przedmiotowej sprawie nie mamy do czynienia z korzystaniem z danych osobowych.
Źródło: Wyrok Sądu Najwyższego z dnia 13 grudnia 2018 r. (sygn. akt I CSK 690/17), https://www.rp.pl/Dane-osobowe/312149978-Wpisal-w-Google-nazwisko-wyskakiwal-gangster—jest-wyrok-Sadu-Najwyzszego.html
RODO dla służb uchwalone
- Sejm uchwalił 14 grudnia 2018 r. ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – tzw. RODO dla służb.
- Więcej na temat samej ustawy można znaleźć w naszych aktualnościach z dnia 26 listopada.
- Ustawa trafi teraz do Senatu, a następnie (pod warunkiem przyjęcia jej przez Senat) do podpisu Prezydenta.
Kolejny wyciek z Facebooka
- Facebook ujawnił (dopiero 14 grudnia 2018 r.), że między 12 a 25 września miał miejsce incydent związany z możliwością nieuprawnionego dostępu niektórych aplikacji do zdjęć użytkowników (nawet takich, które nie zostały zamieszczone na portalu).
- Wyciek dotyczy danych 6,8 miliona osób.
Źródło: https://www.spidersweb.pl/2018/12/facebook-wyciek-zdjecia.html
Telewizja o RODO
Komentarz jest zbędny, aczkolwiek rym bardzo wpadający w ucho. J
Źródło: https://twitter.com/matmakowski91/status/1073318330914754560
Lotto, a skanowanie dowodu osobistego
- Portal Niebezpiecznik radzi swoim czytelnikom, w jaki sposób korzystać z usług online Totalizatora Sportowego, nie przesyłając jednocześnie skanu dowodu osobistego – swoją tożsamość można zweryfikować w jednym z oddziałów Totalizatora.
- Autor podkreśla jednak, iż praktyka stosowana przez Totalizator Sportowy (przetwarzanie skanów dokumentów tożsamości) jest zgodna z prawem, ponieważ uprawnia ich do tego ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Źródło: https://niebezpiecznik.pl/post/jak-grac-w-lotto-przez-internet-bez-przesylania-skanu-dowodu/
Pierwsze orzeczenie o odszkodowaniu na podstawie RODO
- Niemiecki sąd lokalny, jako pierwszy w Unii Europejskiej, orzekał o odpowiedzialności odszkodowawczej administratora danych na podstawie art. 82 ust. 1 RODO (sprawa 8 C 130/18).
- Powód dochodził odszkodowania za szkodę niematerialną w wysokości 500 euro – powód otrzymał maila od pozwanego z prośbą o zgodę na newsletter (w Niemczech jest to uznawane za spam).
- Pozwany wcześniej wypłacił jednak powodowi (nie będąc pewnym odpowiedzialności) ex gratia 50 euro w formie rekompensaty.
- Sąd oddalił powództwo, ponieważ uznał kwotę 500 euro odszkodowania za nieadekwatną do naruszenia. Według sądu kwota 50 euro była wystarczająca.
Ministerstwo przygotowuje poradnik dotyczący ochrony danych osobowych w zatrudnieniu
- Dr Maciej Kawecki udzielił wywiadu dla Pulsu HR, w którym odpowiadał na pytania i wątpliwości dotyczące stosowania przepisów RODO.
- Dr Kawecki udzielił m. in. informacji, iż Ministerstwo Cyfryzacji, na podstawie art. 33 Prawa przedsiębiorców, przygotowuje objaśnienia prawne, które mają dotyczyć przetwarzania danych osobowych w zatrudnieniu.
- Nasuwa się pytanie: czy wytyczne będą poruszały zagadnienia omówione już w poradniku Urzędu Ochrony Danych Osobowych dot. zatrudnienia, a jeśli tak, to czy tezy będą zbieżne.
Morelowy wyciek danych
- Sklep ze sprzętem komputerowym Morele rozpoczął informować swoich klientów o wykradzeniu danych.
- Wg Morele.net, atakujący mieli dostęp do: adresu e-mail, numeru telefonu, imienia i nazwiska oraz hasha hasła.
- Sklep zgłosił naruszenie do Prezesa UODO.
Źródło: https://niebezpiecznik.pl/post/morele-potwierdza-ze-wykradziono-dane-klientow/
Wytyczne EROD dotyczące akredytacji
- Europejska Rada Ochrony Danych opublikowała przyjęte w dniu 4 grudnia 2018 r. Wytyczne 4/2018 dotyczące akredytacji i certyfikacji podmiotów na podstawie art. 43 RODO.
- Obecna wersja skierowana została do konsultacji społecznych, które zakończą się 1 lutego 2019 r.
- Certyfikacja ma zostać oparta na normie ISO/IEC 17065:2012.
- Projekt wytycznych można pobrać tutaj.
Niemiecka policja musi usunąć ponad 100 TB danych
- Niemiecki organ ochrony danych nakazał policji w Hamburgu usunięcie ponad 100 terabajtów danych wideo dotyczących automatycznego rozpoznawania twarzy podczas szczytu G20.
- Organ stwierdził, że „nie wszystko, co jest technicznie możliwe, jest prawne dopuszczalne w państwie prawa tylko dlatego, że wydaje się to właściwe”.
Źródło: https://twitter.com/borys_tomasz/status/1075161413277151235
Trybunał Konstytucyjny o dostępie do informacji publicznej
- Trybunał Konstytucyjny w dniu 18 grudnia 2018 r. ogłosił orzeczenie w sprawie skargi konstytucyjnej dotyczącej zgodności art. 3 ust. 1 pkt 1 ustawy o dostępie do informacji publicznej z art. 61 ust. 1 i 2 w związku z art. 61 ust. 3 i art. 31 ust. 3 Konstytucji.
- TK orzekł, że w/w przepis ustawy, w zakresie w jakim uzależnia dostęp do informacji publicznej przetworzonej od wykazania przez wnioskodawcę szczególnej istotności dla interesu publicznego jest zgodny z wskazanymi wyżej przepisami Konstytucji.
- Trybunał wskazał m. in., że ciężar w postaci wykazania przesłanki szczególnej istotności dla interesu publicznego, nałożony na obywatela nie jest nadmiernie dolegliwy.
Źródło: Wyrok Trybunału Konstytucyjnego z dnia 18 grudnia 2018 r. (sygn. SK 27/14).
Najgorsze hasła roku
- Firma SplashData opublikowała listę najgorszych (najłatwiejszych do złamania) haseł w 2018 roku. Lista została stworzona na podstawie 5 milionów haseł, które wyciekły.
- Podium najgorszych haseł prezentuje się następującą: 3 miejsce – 123456789, 2 miejsce – password, 1 miejsce – 123456
Retencja w praktyce – problem dla sądów?
- Sądy przygotowują się na wielką akcję wykreśleń – 1 stycznia 2018 r. minęło 20 lat od wejścia w życie ustawy o zastawie rejestrowym i rejestrze zastawów. Zgodnie z przepisami ustawy zastawy rejestrowe, które wpisano do rejestru w latach 1998-1999 powinny zostać wykreślone, a dane usunięte.
- Przykładowo, w jednym z sądów, trzeba będzie przejrzeć ok. 200 tysięcy spraw (zastawy były wpisywane i dokumentowane w formie papierowej w tamtych latach).
- Postulowana jest konieczność zmiany przepisu art. 18a ustawy, aby czynność wykreślenia była czynnością materialno-techniczną i aby nie było potrzeby wydania postanowienia.
NTarcza Prywatności utrzymana
- 19 grudnia 2018 r. Komisja Europejska wydała decyzję o utrzymaniu w mocy adekwatności Tarczy Prywatności (Privacy Shield) między Unią Europejską, a Stanami Zjednoczonymi.
- Decyzja jest efektem corocznego przeglądu adekwatności Tarczy Prywatności, kolejny przegląd będzie miał miejsce w 2019 roku.
- W przyszłym roku nastąpi również przegląd wszystkich decyzji dotyczących adekwatnego poziomu ochrony dla państw trzecich.
Szkoła w Norwegii dostanie po kieszeni?
- Norweski organ ochrony danych ogłosił, że na gminę Bergen może zostać nałożona kara w wysokości 1,6 miliona koron (ok. 692 tysiące zł).
- Gmina ma zostać ukarana za niewystarczające zabezpieczenia systemów informatycznych w prowadzonej przez nią szkole podstawowej.
- Sprawa dotyczy nieuprawnionego dostępu do nazw użytkowników i haseł ponad 35 000 użytkowników – możliwe było zalogowanie się jako administrator, pracownik lub uczeń do systemu szkolnego.
Źródło: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2018/varsel-om-gebyr-til-bergen-kommune/
Przycisk „Lubię to!” na stronie? Możesz być współadministratorem
- Rzecznik Generalny Trybunału Sprawiedliwości UE wydał opinię do sprawy nr c-40/17, w której to internetowy sklep odzieżowy zamieścił na swojej stronie internetowej wtyczkę – przycisk „Lubię to!” znany z Facebooka.
- Rzecznik stwierdził, iż w tym kontekście dochodzić może do współadministrowania danymi osobowymi – odpowiedzialność zamieszczającego przycisk jest jednak ograniczona do tych operacji, w przypadku których skutecznie współokreśla on sposoby i cele przetwarzania danych.
- Opinia porusza również kwestię, który z podmiotów powinien uzyskać zgodę na przetwarzanie danych osobowych użytkownika (polecamy tezę nr 89 – ciekawa argumentacja w zakresie orzecznictwa sądów, a zmieniającego się kontekstu społecznego). Zgoda powinna zostać wyrażona wobec właściciela strony internetowej.
Basen już nie zajrzy pod prysznic
- Ochotniczka Fundacji Panoptykon, mec. Amelia Zembaczewska, doprowadziła do zobowiązania się dyrekcji Miejskiego Ośrodka Sportu i Rekreacji w Opolu do usunięcia kamer z przebierali basenu w Opolu. Póki co kamery są zaklejone.
- Ustalono, iż jedna z kamer skierowana była na prysznice – godzi to w znowelizowane ustawą o ochronie danych osobowych przepisy dotyczące monitoringu wizyjnego stosowanego przez jednostki samorządowe.
Źródło: https://panoptykon.org/wiadomosc/powiedz-nie-wscibskiej-kamerze
Szpitale boją się kosztów cyberbezpieczeństwa
- Placówki medyczne obawiają się kosztów dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa.
- Zdecydowana większość szpitali w Polsce kwalifikuje się do bycia tzw. operatorem usług kluczowych, który musi spełniać wymagania ustawy.
- Koszty audytów (które operator musi przeprowadzać raz na 2 lata) szacowane są nawet na 100 tysięcy złoty.
Parentyzacja już dostępna!
- System Rejestrów Państwowych został wyposażony w nową funkcję – parentyzację.
- Polega ona na umożliwieniu tworzenia automatycznych powiązań dziecka z rodzicami w systemie poprzez wprowadzenie numeru PESEL rodziców w rekordzie z danymi dziecka.
- Zmiana powinna spowodować uproszczenie wnioskowania o świadczenia z pomocy społecznej oraz zapobiec ich wyłudzeniom.
- Obecnie prowadzone są prace nad stworzeniem 2 nowych rejestrów: dokumentów paszportowych i danych kontaktowych oraz nad nowymi e-usługami.
Kolejna kara dla Ubera
- Tym razem karę na Ubera nałożył francuski organ ochrony danych osobowych.
- Kara wyniosła 400 000 euro – przy czym jest to wysokość określona na podstawie przepisów obowiązujących przed rozpoczęciem stosowania RODO. Na podstawie RODO maksymalna kara mogłaby wynieść nawet 300 milionów dolarów.
- Kara dotyczy wycieku danych osobowych, o którym wspominaliśmy już w newsach z dnia 3 grudnia 2018 r.
Ochrona danych vs. egzekucja w administracji
- Artykuł porusza problematykę relacji art. 36 § 1 ustawy o postępowaniu egzekucyjnym w administracji oraz przepisów o ochronie danych osobowych.
- Kwestią budzącą wątpliwości jest możliwość żądania przez organ egzekucyjny udostępnienia danych osobowych przez zobowiązanego, w szczególności tzw. danych wrażliwych.
- Autor stawia tezę, że jeśli zobowiązany uważa, iż udostępnienie danych jego dotyczących w postępowaniu egzekucyjnym jest zbędne, może odmówić ich podania.
Tajemnica bankowa naruszona?
- Klientka jednego z banków otrzymała SMS z informacją o kwocie zadłużenia i wezwaniem do spłaty pożyczki. Po złożeniu przez nią reklamacji okazało się, iż SMS miał zostać wysłany do innej osoby.
- Autor artykułu podpowiada, iż oprócz potencjalnego naruszenia przepisów RODO, mogło dojść także do (równie surowo karanego) naruszenia przepisów ustawy Prawo bankowego w zakresie tajemnicy bankowej – w tym zakresie nadzór sprawuje Komisja Nadzoru Finansowego.
- Należy jednak ustalić, czy doszło do nieuprawnionego ujawnienia danych osobowych, ponieważ ujawniono jedynie informację o pożyczce, numerze konta oraz kwocie zadłużenia.
RODO prawie jak Czarnobyl
Zaakceptuj pliki cookies
Pobierz plik PDF z prezentacją
Zakres czasowy aktualności: 1-10.12.2018 Pobierz
Pobierz plik PDF z prezentacją
Zakres czasowy aktualności: 11-17.12.2018 Pobierz
Pobierz plik PDF z prezentacją
Zakres czasowy aktualności: 18-27.12.2018 Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.