Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 1-27.12.2018

Czy NIP to dane osobowe? Jaką podstawę prawną wybrać do przetwarzania danych w konkursach? Jak działa prawo do bycia zapomnianym w przeglądarce? Czy gdzieś w UE certyfikuje się IOD? Co ma RODO do szczepionek? Jakie są najgorsze hasła świata? Czy baseny “podglądają” nas pod prysznicem? Dlaczego Australia chce deszyfrować dane?  Odpowiedzi na te, i znacznie więcej pytań znajdziesz na najnowszym przeglądzie RODO aktualności. To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z grudnia 2018.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych prezentacji w formie PDF do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Czy NIP to dane osobowe?

  • Przed Trybunałem Sprawiedliwości Unii Europejskiej toczy się postępowanie dotyczące ewentualnego naruszenia przepisów RODO oraz europejskiego kodeksu celnego przez niemiecki federalny urząd skarbowy.
  • W sprawie wypowiedział się Rzecznik Generalny TSUE, który stwierdził między innymi, że NIP bez żadnych wątpliwości jest informacją, na podstawie której można zidentyfikować konkretną osobę fizyczną i stanowi dane osobowe.

Źródło: http://curia.europa.eu/juris/document/document.jsf?text=RODO&docid=206867&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=1563599#ctx1 (Sprawa C-496/17)

Wytyczne ENISA dot. Internetu rzeczy

  • Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała wytyczne dotyczące zabezpieczenia urządzeń Internetu rzeczy.
  • Wytyczne wprowadzają odpowiednią terminologię np. Przemysł 4.0, wprowadzają szczegółową taksonomię zagrożeń w kontekście Internetu rzeczy czy też wymieniają rekomendowane środki bezpieczeństwa przeciwko zdefiniowanym zagrożeniom.
  • Głównym założeniem środków bezpieczeństwa są 3 wymiary: Polityki, Środki organizacyjne i Środki techniczne.

Źródło: https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot

Jaka podstawa prawna do konkursów?

  • Opublikowany 26 listopada 2018 r. poradnik Ministerstwa Cyfryzacji dla sektora fintech przyjął prawnie uzasadniony interes administratora danych za podstawę prawną do przetwarzania danych osobowych uczestników konkursu.
  • Blogerka Sylwia Czub przedstawia odmienne stanowisko – konkurs odbywa się na podstawie zgody w formie wyraźnego działania potwierdzającego.
  • Na potwierdzenie swojej tezy przytacza m. in. konkursy organizowane przez UODO, w których jako podstawa prawna wskazana jest zgoda. Gdyby przetwarzanie danych osobowych uczestników konkursu odbywało się na prawnie uzasadnionym interesie, nie byłoby konieczności zapraszania ich do wzięcia udziału w konkursie, ponieważ to organizator decydowałby o tym, kto i na jakich zasadach do konkursu przystępuje.

Źródło: https://sylwiaczub.pl/czy-zgodnie-z-rodo-potrzebna-jest-zgoda-na-przetwarzanie-danych-uczestnika-konkursu/?fbclid=IwAR1qpiY2UYWAizTgr4bVCGcmvRyvNq50N_c0QU1J77gB3qR7theIwMk5YrQ

Czy UODO i UOKiK nie wchodzą sobie w drogę?

  • Autor artykułu porusza wraz z rozmówcą problem ewentualnego zazębiania się kompetencji Prezesa UODO oraz Prezesa UOKiK w stosunku do przetwarzania danych osobowych konsumentów.
  • Według mec. Sroczyńskiego, kompetencje organów powinny być na tyle rozgraniczone, aby przedsiębiorcy nie groziły dwie kary finansowe od różnych instytucji.
  • Podkreślone jest również, iż w preambule do RODO znajduje się jedynie ogólne sformułowanie, że RODO nie wpływa na prawo konkurencji.

Źródło: https://www.prawo.pl/biznes/kompetencje-uodo-i-uokik-nakladaja-sie-wywiad-z-jaroslawem,337691.html

SN zdecyduje o prawie do bycia zapomnianym w wyszukiwarce

  • Sąd Najwyższy odroczył ogłoszenie wyroku w sprawie biznesmena Arkadiusza L. przeciwko Google do 13 grudnia (sygn. akt I CSK 690/17). Rozprawa odbyła się 30 listopada, na której zapadło postanowienie o odroczeniu.
  • Sprawa dotyczy naruszenia dóbr osobistych powoda. W I instancji sąd apelacyjny orzekł, że za połączenie słów w wyszukiwarce Google (przy pomocy algorytmu) odpowiada spółka Google, a wynik wyszukiwania narusza dobre imię powoda.
  • Sąd Apelacyjny ustalił, że przeciętny użytkownik Internetu, a tym samym wyszukiwarek nie pogłębia treści, ani jej nie analizuje dogłębnie. Według SA wyciąga on pochopne wnioski na podstawie niesprawdzonych przesłanek.

Źródła: https://www.prawo.pl/prawo/prawo-do-zapomnienia-w-wyszukiwarce-google,338606.html

             http://www.sn.pl/sprawy/SitePages/e-Sprawa.aspx?ItemSID=8816-ce0d61b0-fe80-4050-bec5-582cc7606e5a&ListName=esprawa2017&Search=I%20CSK%20690/17

Jakich danych będzie mógł żądać pracodawca?

  • Artykuł porusza temat zmian, jakie mają zajść w Kodeksie pracy pod względem danych pozyskiwanych podczas rekrutacji. Zmienia się tryb pozyskiwania informacji o kandydacie.
  • Pracodawca będzie musiał żądać pewnych informacji, ale firmy nadal będą musiały przeprowadzać ocenę adekwatności gromadzenia danych – stąd dane dotyczące wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia będą mogły być zbierane tylko wówczas, gdy uzasadnia to sama rekrutacja.
  • Mec. Dorre-Kolasa zwraca uwagę na pewną niekonsekwencję projektodawcy – informacja o dacie urodzenia nie zawsze jest konieczna do podjęcia decyzji, a znajduje się w katalogu danych, których pracodawca musi żądać.

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1375690,rekrutacja-dane-osobowe-kandydata-na-zadanie-pracodawcy.html

RPO ostro krytykuje projekt ustawy wdrażającej dyrektywę policyjną

  • Rzecznik Praw Obywatelskich zgłosił liczne uwagi do projektu ustawy o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości podnosząc, że może być ona niezgodna nie tylko z prawem unijnym, ale także z Konstytucją.
  • Wśród licznych zarzutów stawianych projektowi na pierwszy plan wysuwa się tzw. wyłączenie podmiotowe (5 tajnych służb) spod zakresu ustawy.
  • Oprócz tego RPO zarzuca także właściwemu ministerstwu opieszałość w przygotowaniu projektu ustawy i zgłoszenie go na ostatnią chwilę (ministerstwo miało na to 2 lata) oraz zaledwie 10 dni przeznaczone na konsultacje.

Źródło: https://www.rpo.gov.pl/pl/content/krytyczne-uwagi-rzecznika-o-projekcie-ustawy-ktora-ma-wdrazac-dyrektywe-policyjna-ue 

Hiszpania wprowadza program certyfikacji IOD-ów

  • Hiszpański organ ochrony danych osobowych (AEPD) opublikowała program certyfikacji osób kandydujących na stanowisko Inspektora Ochrony Danych.
  • Do stworzenia programu certyfikacji wykorzystano zapisy normy ISO 17024.
  • Po pierwsze, zdefiniowano kompetencje, jakie powinien posiadać IOD.
  • Drugim filarem certyfikacji było określenie jednostek akredytowanych, które mają prawo certyfikacji.

Źródło: https://www.enac.es/web/english/accreditation-news/-/asset_publisher/EY2ISgya4prK/content/data-protection-certification-accreditation?inheritRedirect=false

Naruszenia i skargi – statystyki po pół roku stosowania RODO

  • Portal niebezpiecznik.pl otrzymał od UODO sporo informacji na temat statystyk dotyczących wycieków danych oraz zgłaszania naruszeń po pół roku stosowania RODO, a także skarg zgłaszanych przez osoby, których dane dotyczą.
  • W zakresie naruszeń najczęściej zgłaszane są zdarzenia: przesłania dokumentacji do osób nieuprawnionych (mailowo jak i papierowo), zagubienie lub kradzież nośników danych, nieprawidłowe niszczenie dokumentacji oraz ataki hakerskie.
  • Podmioty danych najczęściej skarżą się na: usunięcie danych, wymuszanie zgód marketingowych, niechciana korespondencja oraz telefony marketingowe, kopiowanie dokumentów tożsamości w celu zawarcia umowy czy pozyskiwanie zbyt szerokiego zakresu danych.

Źródło: https://niebezpiecznik.pl/post/zgadnijcie-ile-naruszen-zgloszono-po-pierwszym-polroczu-rodo-i-jakie-problemy-daly-o-sobie-znac/            

Przewodnik po profilowaniu

  • FRA (Europejska Agencja Praw Podstawowych) przygotowała przewodnik „Zapobieganie niezgodnemu z prawem profilowaniu dzisiaj i w przyszłości”.
  • Przewodnik skupia się przede wszystkim na profilowaniu wykorzystywanym w celach bezpieczeństwa (m. in. przez służby) i udziela porad, jak profilować, a jednocześnie nie podważyć zaufania obywateli do władzy.
  • Zawiera on przegląd głównych zasad i praktyki profilowania poprzez: wyjaśnienie pojęcia profilowania i możliwego negatywnego wpływu na społeczeństwo, wskazanie szczegółowych zasad i prawidłowych praktyk, a także rozwinięcie tematu profilowania algorytmicznego.

Źródło: http://fra.europa.eu/en/publication/2018/prevent-unlawful-profiling

Przepisy sektorowe skierowane do dalszych prac sejmowych

  • 5 grudnia 2018 r. miało miejsce pierwsze czytanie projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (tzw. przepisy sektorowe).
  • Wszystkie kluby (poza klubem Nowoczesna) opowiedziały się za skierowaniem projektu do dalszych prac sejmowych.

Źródło: https://www.gazetaprawna.pl/artykuly/1379750,wiekszosc-klubow-za-dalszymi-pracami-nad-zwiazanym-z-rodo-projektem-nowelizacji.html

Pracownicy, uważajcie co macie pod biurkiem!

  • Jedna z firm postanowiła zainstalować pod biurkami pracowników urządzenia reagujące na ciepło i ruch, a zatem mogą monitorować, czy pracownik przebywa na stanowisku pracy i na jak długo opuszczają biurka.
  • Eksperci podkreślają, że mamy do czynienia z tzw. inną formą monitoringu przewidzianą w znowelizowanych przepisach Kodeksu pracy.
  • Zdaniem znawców tematu jest to środek niewspółmierny do celu jego stosowania oraz zbyt inwazyjny – firma uzasadnia bowiem wprowadzenie monitoringu lepszą kontrolą m. in. nad zużyciem mediów, jednak wydaje się, że prawdziwym celem jest kontrola czasu pracy pracowników.

Źródło: https://gospodarka.dziennik.pl/praca/artykuly/586688,monitoring-pracy-czujniki-pracownik-prawo-pracy.html

Kolejny kodeks postępowania dla branży medycznej skierowany do weryfikacji UODO

  • Fundacja Porozumienie Zielonogórskie, współpracując z jedną z firm ochrony danych osobowych, przygotowała i skierowała do UODO projekt kodeksu postępowania dla małych placówek medycznych.
  • 4 grudnia 2018 r. odbyło się w UODO spotkanie dotyczące projektu kodeksu.

Źródła: http://www.rynekzdrowia.pl/Prawo-w-ochronie-zdrowia/Opracowano-kodeks-postepowania-RODO-dla-malych-placowek-medycznych,190068,1009.html

            https://www.federacjapz.pl/index.php?mnu=wiadomosc&id=478

Nowa wersja programu do PIA

  • CNIL (francuski organ ochrony danych osobowych) opublikował na swojej stronie internetowej nową wersję (2.0) oprogramowania do przeprowadzania PIA (Privacy Impact Assessment).
  • Poprzednią wersję programu pobrano ponad 130 000 razy.
  • Ulepszenia i poprawki, które dodano to m. in. szablon PIA do urządzeń Internetu rzeczy (IoT), poprawa interfejsu i elementów graficznych, optymalizacja narzędzia
  • Wersję dla systemu Windows można pobrać w tym miejscu (wersja EN).

Źródło: https://www.cnil.fr/en/pia-software-20-available-and-growth-pia-ecosystem

O czym mówią w Facebooku, gdy nikt nie patrzy?

  • Parlament Wielkiej Brytanii dotarł i upublicznił treść wewnętrznej komunikacji Facebooka (e-maile).
  • Z ujawnionych treści wynika m. in., że Facebook rozważał możliwość pozyskiwania danych o użytkownikach telefonów z systemem Android bez wyświetlania im listy pozwoleń w formie okna dialogowego.
  • Korespondencja wskazuje również na to, że Facebook dawał niektórym firmom (m. in. Netflix czy AirBnb) dostęp do danych użytkowników na specjalnych warunkach (dokładniej: do list znajomych użytkowników) nawet jeśli takie osoby nie korzystały z usług wskazanych firm.

Źródło: https://www.cyberdefence24.pl/brytyjski-parlament-upublicznil-tresc-wewnetrznej-komunikacji-facebooka       

Będzie łatwiejszy dostęp do dokumentacji medycznej zmarłego pacjenta

  • Sejm przyjął nowelizację ustawy o zawodach lekarza i lekarza dentysty oraz ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
  • Obecnie obowiązujące przepisy zakładają, że każdy z bliskich osoby zmarłej może zgłosić sprzeciw wobec ujawnienia informacji będącej przedmiotem tajemnicy zawodowej lekarza (w tym np. osoby niegodne dziedziczenia po zmarłym).
  • Nowelizacja przepisów wprowadzi zasadę, iż w przypadku sporu między osobami bliskimi o ujawnienie informacji dotyczących zmarłego pacjenta, kwestię rozpatrzy sąd w postępowaniu nieprocesowym. Do sądu (w razie wątpliwości) będzie mógł zgłosić się również lekarz.

Źródło: https://www.prawo.pl/zdrowie/tajemnica-lekarska-po-smierci-pacjenta,340668.html

Szczepionki, a RODO

  • Do Sejmu trafił obywatelski projekt ustawy, który zakłada m. in., że rodzice ubiegający się o miejsce dla dziecka w publicznym żłobku lub przedszkolu musieliby przedstawić zaświadczenie, że dziecko posiada obowiązkowe szczepienia ochronne.
  • Autor artykułu rozważa, czy żłobek lub przedszkole mają podstawę prawną do tego, aby takie dane gromadzić i przetwarzać.

Źródło: https://www.prawo.pl/zdrowie/czy-przedszkola-maja-prawo-do-zbierania-danych-o-szczepieniach-w,340645.html   

PoRODOwe przypadki

  • Konferencja o powyższej nazwie odbędzie się 13 grudnia 2018 r., organizatorem jest Stowarzyszenie Inspektorów Ochrony Danych Osobowych (SIODO).
  • Przedmiotem konferencji będzie głównie omówienie problemów praktycznych, jakie pojawiły się w związku z rozpoczęciem stosowania przepisów RODO.
  • Organizatorzy postarają się również rozświetlić mroki niektórych RODO-absurdów.

Źródło: https://samorzad.infor.pl/sektor/organizacja/rodo-2018/2825998,Konferencja-PoRODOwe-przypadki.html

           

Wystaw pełnomocnictwo in blanco, bo RODO!

  • Jedna z agencji celnych uzależnia możliwość oclenia wwożonego towaru lub paczki od wystawienia jej pełnomocnictwa in blanco.
  • Agencja powołuje się na przepisy RODO.

Źródło: https://www.linkedin.com/feed/update/urn:li:activity:6471414825649082368

           

RODO = koniec transmisji sesji rady powiatu

Gracze, uważajcie na Steam!

  • Użytkownicy portalu Reddit przeanalizowali politykę prywatności sklepu internetowego z grami komputerowymi Steam i odkryli niepokojące rzeczy w kontekście RODO.
  • Po pierwsze, kilka klauzul tekstu mówi użytkownikom, że zgadzając się na warunki polityki prywatności jednocześnie zgadzają się na udostępnianie danych osobowych reklamodawcom.
  • Po drugie, potencjalnym naruszeniem zasady minimalizacji danych jest procedura zwrotu pieniędzy za zakup dokonany – formularz zwrotu wymaga bowiem później potwierdzenia swoich danych dużą ilością innych danych osobowych.

Źródło: https://appuals.com/epic-games-store-privacy-policy-conflicts-with-eu-gdpr-laws-sketchy-refund-policies/

Irlandzkie wytyczne dla kierowców

  • DPC (irlandzki organ ochrony danych) wydała wytyczne dotyczące używania kamerek w samochodach (Dash Cams).
  • DPC stoi na stanowisku, iż używając kamerki, kierowca staje się najczęściej administratorem danych osób, które zostaną zarejestrowane.
  • Organ podpowiada: obowiązek informacyjny powinno się spełnić poprzez znak lub naklejkę na pojeździe i/lub wewnątrz pojazdu wskazującą, że ma miejsce filmowanie. Pełny obowiązek informacyjny należy przekazać na żądanie osoby nagrywanej (nawet ustnie).
  • W razie wypadku powinno się z kolei poinformować drugiego uczestnika zdarzenia, że nagrywany był materiał wideo.

Źródło: https://www.dataprotection.ie/docs/EN/10-12-2018-Guidance-for-Drivers-on-use-of-Dash-Cam/n/1802.htm

Australia chce deszyfrować dane

  • Australijski parlament uchwalił kontrowersyjną ustawę The Assistance and Access Bill 2018.
  • Celem ustawy jest wymuszenie na firmach IT, aby pomagały australijskim służbowym w rozszyfrowaniu danych i komunikatów, z których deszyfracją służby nie potrafią sobie poradzić samodzielnie.
  • Kary za brak współpracy ze służbami to dla firm maksymalnie 10 milionów dolarów australijskich, a dla osób fizycznych – max. 50 tysięcy.
  • Ustawa jest bardzo mocno krytykowana, do nabycia mocy obowiązującej potrzebuje jeszcze zgody królewskiej (Royal Assent).

Źródło: https://niebezpiecznik.pl/post/politycy-chca-oslabic-bezpieczenstwo-obywateli-ustawa-przeciwko-szyfrowaniu-na-razie-w-australii/

UODO wyjaśnia sprawę w Oleśnicy

  • Łukasz Szaniawski, który w połowie 2018 r. złożył w Oleśnicy szereg wniosków o dostęp do informacji publicznej, złożył wniosek do UODO o wszczęcie postępowania administracyjnego wobec Urzędu Miejskiego w Oleśnicy.
  • Wniosek dotyczy bezprawnego, zdaniem wnioskodawcy, udostępnienia jego danych osobowych oraz dokumentów prywatnych firmie Olpres s.c. (lokalna prasa) bez jego wiedzy i zgody.
  • Postępowanie może być pokłosiem artykułów w lokalnej prasie dotyczących Pana Łukasza Szaniawskiego, a których autorem jest kuzyn sekretarza miasta.

Źródło: http://mojaolesnica.pl/26600,wyciek-danych-osobowych-pytanie.php

Kolejny wyciek w Google

  • Google zapowiedziało przyspieszenie prac nad zamknięciem portalu społecznościowego Google+.
  • Decyzja spowodowana jest wyciekiem danych – odkryto błąd, przez który osoby niepowołane mogły przeglądać informacje na profilach ponad 50 milionów użytkowników.
  • Nie wyciekły jednak żadne dane finansowe, numery identyfikacyjne czy hasła do profili.

Źródło: https://pclab.pl/news79485.html           

UODO ma zastrzeżenia do nowelizacji ustawy adopcyjnej

  • Prezes UODO skierowała pismo do Sejmu w związku z pierwszym czytaniem projektu ustawy o zmianie ustawy o wspieraniu rodziny i systemie pieczy zastępczej.
  • Dr Jomaa zarzuca nowelizacji przede wszystkim potencjalne naruszenie zasady minimalizacji danych poprzez rozszerzenie kategorii danych, jakie będą mogły przetwarzać ośrodki adopcyjne o wizerunek, czy informacje o poprzednich związkach małżeńskich kandydatów do przysposobienia, ich wyznanie i pochodzenie etniczne.
  • Organ nadzoru ma również wątpliwości odnośnie powstania elektronicznego rejestru zawierającego różnego rodzaju dane dotyczące pieczy zastępczej – nie przeprowadzono bowiem analizy zasadności wprowadzenia takiego rozwiązania.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1386572,rodo-w-procedurze-adopcyjnej.html

Co hotel może zrobić z danymi gościa?

  • Artykuł porusza tematykę przetwarzania danych osobowych w ramach działalności hotelu.
  • Poruszone zostają m. in. tematy: obowiązków hotelu jako administratora danych (np. prowadzenie RCP), podstawy prawnej przetwarzania danych gości hotelowych w ramach ich pobytu, skanowania dowodów osobistych gości, działalności marketingowej hotelu, stosowania monitoringu wizyjnego czy przekazania danych klienta do podmiotu zewnętrznego, aby zrealizować usługę na życzenie.
  • Autor wskazuje, że hotel może oprzeć marketing własnych produktów i usług na prawnie uzasadnionym interesie, lecz tylko w czasie obowiązywania umowy wynajęcia pokoju. Później powinno się uzyskać zgodę osoby, której dane dotyczą.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1386614,jak-prawidlowo-chronic-dane-osobowe-klientow-i-pracownikow-hotelu.html

Szczegółowa analiza prawnie uzasadnionego interesu

  • Forum Przyszłości Prywatności wraz z Nymity opublikowały raport „Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu pod rządami RODO – przypadki praktyczne”.
  • Raport wzbudził duże zainteresowanie – próbuje rozszyfrować pojęcie „uzasadnionego interesu” oraz wskazuje stany faktyczne, które były przedmiotem analizy organów bądź sądów.
  • Raport można pobrać tutaj.

Źródło: https://fpf.org/2018/12/10/full-house-at-iapp-brussels-interested-in-deciphering-legitimate-interests-download-our-li-report-here/

Facebook będzie jeszcze mocniej ingerować w naszą prywatność?

  • Jeśli komuś się wydaje, że są granice ingerencji w prywatność osób fizycznych – jest w błędzie. Facebook pracuje nad opatentowaniem narzędzia umożliwiającego przewidywanie lokalizacji użytkowników na podstawie ich historii lokalizacji oraz lokalizacji ich znajomych.
  • Wówczas śledzenie (przewidywanie) lokalizacji będzie możliwe nawet jeśli użytkownik jest offline.
  • Wniosek patentowy opatrzony jest datą 30 maja 2017 r.
  • Rzecznik Facebooka stwierdził, że wnioski patentowe nie powinny być traktowane jako wyznacznik przyszłych planów firmy, ponieważ wiele opatentowanych technologii nigdy nie wchodzi do użytku.

Źródło: https://wiadomosci.onet.pl/swiat/facebook-chce-opatentowac-narzedzie-do-przewidywania-lokalizacji-uzytkownikow/ep2pjjp            

„Nowe RODO

  • W ten sposób określana jest ustawa o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie w sierpniu 2018 r.
  • Obecnie Ministerstwo Cyfryzacji wysyła decyzje do podmiotów podlegających wymogom ustawy decyzje, w których nakłada obowiązek dostosowania się do regulacji ustawy – wytypowane podmioty (jest ich 542) będą miały na to 3 miesiące od dnia doręczenia decyzji. Inne szacunki wskazują, że podmiotów podlegających ustawie będzie nawet ponad 2100.
  • Brak dostosowania do wymogów może skutkować nałożeniem wysokich kar finansowych na Operatora Usług Kluczowych.

Źródło: https://businessinsider.com.pl/firmy/ustawa-o-krajowym-systemie-bezpieczenstwa-obowiazki-i-kary/2eh035z?utm_source=fb&utm_medium=social&utm_campaign=fb_bi&fbclid=IwAR1GUhTqpmShL2yDOc6gY5aHPlT84jA5HOx4UJDKEGPAdEGFyBJe_NyQ1Cw

Projekt kodeksu postępowania dla spółdzielni mieszkaniowych

  • Związek Rewizyjny Spółdzielni Mieszkaniowych RP przygotował projekt „Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe” – można go pobrać w tym miejscu.
  • Projekt obecnie jest w konsultacjach społecznych, które potrwają do 31 grudnia 2018 r.

Źródło: http://www.psm-ch.home.pl/rodo/rodo-informacja/80-o-psm/910-kodeks-rodo-projekt

Wielki Brat wie coraz więcej o Tobie

  • Dziennikarze New York Times dotarli do informacji, zgodnie z którymi programy służące np. do sprawdzania pogody przekazują dane o lokalizacji użytkowników (bez ich wiedzy i zgody) co najmniej do 75 różnych firm.
  • Wykazano, że w bazach danych firm zbierających dane geolokalizacyjne znajdują się trasy pokonywane codziennie przez miliony osób z dokładnością do kilku metrów.
  • Niektóre dane aktualizowane były nawet 14 tysięcy razy w ciągu doby.

Źródło: https://www.cyberdefence24.pl/obrot-danymi-geolokalizacyjnymi-odbywa-sie-bez-wiedzy-uzytkownikow

Coraz bliżej unijnych przepisów o cyberbezpieczeństwie

  • 10 grudnia 2018 r. najważniejsze organy Unii Europejskiej osiągnęły porozumienie w sprawie wspólnotowych przepisów o cyberbezpieczeństwie.
  • Projekt wzmacnia przede wszystkim kompetencje ENISA (Agencja UE ds. Sieci, Informacji i Bezpieczeństwa).
  • Projekt ustanawia również unijne ramy certyfikacji bezpieczeństwa cybernetycznego, zwiększając cyberbezpieczeństwo usług internetowych i urządzeń dostarczanych konsumentom.

Źródło: https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_pl

Wdrożenie RODO w IT - badanie

  • Redakcja „Computerworlda” przeprowadziła badanie dotyczące zarządzania bezpieczeństwem informacji w polskich firmach w kontekście stosowania RODO.
  • 82 % badanych firm posiada udokumentowane polityki bezpieczeństwa lub podobne, procedury zgodne z RODO wdrożyło 87 % organizacji poddanych badaniu.
  • Co ciekawe, ponad 1/3 firmy rozszerzy swoje polityki o audyty, a ponad 1/4 zamierza przeszkolić pracowników linii biznesowych.
  • Największe obawy dotyczą: wycieku danych wrażliwych (65 %) oraz braku dostatecznej świadomości pracowników (60 %).

Źródło: https://www.computerworld.pl/news/RODO-i-wzrost-zagrozen-wymuszaja-porzadki-w-obszarze-bezpieczenstwa-IT,411484.html

mBank testuje innowacyjne rozwiązanie

  • Bank rozpoczął pilotaż weryfikacji behawioralnej użytkownika bankowości internetowej przy pomocy digital fingerprints – ten sposób zabezpieczenia ma być testowany do końca 2019 r.
  • Program pilotażowy obejmie 50 tysięcy uczestników, jeżeli wyrażą zgodę na przystąpienie do niego. Wówczas w serwisie transakcyjnym mBanku uruchomi się specjalny kod, który będzie mierzył typowe zachowania użytkownika w czasie korzystania z serwisu online (np. sposób poruszania myszą, korzystanie z klawiatury).
  • System zbuduje profil behawioralny użytkownika, a następnie będzie porównywał bieżące interakcje w serwisie banku z gotowym profilem. Dzięki temu będzie wiadomo, czy z serwisu internetowego korzysta właściciel konta.

Źródło: https://www.wirtualnemedia.pl/artykul/mbank-biometria-behawioralna-jak-dziala-narzedzie-weryfkacji-testy-wsrod-klientow-jak-wziac-udzial?fbclid=IwAR3OUCVJ5xjnv7qvb0IbIkSFtvuUFGQbqxn4omtM7SGIerMxmFDHAqf8N3U

          

Zarchiwizowane akta osobowe – co z nimi zrobić?

  • Artykuł porusza kwestię wpływu RODO na teczki osobowe pracowników, które przed 25 maja 2018 r. zostały zarchiwizowane i znajdują się tam dane mogące naruszać np. zasadę minimalizacji danych.
  • Autorka stawia tezę, że dane zbierane przez pracodawcę przed rozpoczęciem stosowania RODO miały podstawę prawną w postaci przepisów Kodeksu pracy i aktów wykonawczych, a dodatkowo w RODO nie została wprowadzona zasada działania prawa wstecz, stąd nie ma powodu aby niektóre kategorie danych usuwać z archiwów (np. imiona rodziców).

Źródło: https://www.prawo.pl/kadry/rodo-co-zrobic-z-dokumentami-w-teczkach-osobowych-ktore-trafily-do-archiwum,264664.html?fbclid=IwAR2iyIe4esUAl3r34z5pu0khcpEFWk8VcGFizAAz3Ezdf9hVB3EsTBNw9s8

RODO po Brexicie – scenariusz alternatywny

  • Rząd brytyjski opublikował założenia dotyczące przetwarzania danych osobowych na wypadek opuszczenia Unii Europejskiej przez UK bez porozumienia z Komisją Europejską.
  • Poruszone są m. in. kwestie transferu danych osobowych do państw trzecich, wyznaczenia przedstawiciela administratorów danych z UE czy kompetencji brytyjskiego organu nadzoru (ICO).

Źródło: https://www.gov.uk/government/publications/data-protection-law-eu-exit/amendments-to-uk-data-protection-law-in-the-event-the-uk-leaves-the-eu-without-a-deal-on-29-march-2019?fbclid=IwAR1wUgavJYCPbDt-q1Ll51URxKueIwDFscTtX2adQkjuXdWLx5imBWX__Xc   

Google nie musi usuwać linków w wyszukiwarce

  • Sąd Najwyższy wyrokiem13 grudnia 2018 r. uchylił wyrok sądu apelacyjnego i zwrócił sprawę do ponownego rozpoznania. Sprawa dotyczyła powództwa biznesmena Arkadiusza L. przeciwko Google LLC o naruszenie dóbr osobistych poprzez to, iż w razie wpisania w wyszukiwarkę imienia, nazwiska i miejscowości powoda jako wynik pokazuje się odnośnik do artykułu „Polityki” pod tytułem „Bardzo biedny gangster”.
  • SN uznał między innymi, iż w przedmiotowej sprawie nie mamy do czynienia z korzystaniem z danych osobowych.

Źródło: Wyrok Sądu Najwyższego z dnia 13 grudnia 2018 r. (sygn. akt I CSK 690/17), https://www.rp.pl/Dane-osobowe/312149978-Wpisal-w-Google-nazwisko-wyskakiwal-gangster—jest-wyrok-Sadu-Najwyzszego.html

           

RODO dla służb uchwalone

  • Sejm uchwalił 14 grudnia 2018 r. ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – tzw. RODO dla służb.
  • Więcej na temat samej ustawy można znaleźć w naszych aktualnościach z dnia 26 listopada.
  • Ustawa trafi teraz do Senatu, a następnie (pod warunkiem przyjęcia jej przez Senat) do podpisu Prezydenta.

Źródło: https://www.prawo.pl/prawo/ochrona-danych-osobowych-w-zwiazku-z-zapobieganiem-i-zwalczaniem,344823.html

Kolejny wyciek z Facebooka

  • Facebook ujawnił (dopiero 14 grudnia 2018 r.), że między 12 a 25 września miał miejsce incydent związany z możliwością nieuprawnionego dostępu niektórych aplikacji do zdjęć użytkowników (nawet takich, które nie zostały zamieszczone na portalu).
  • Wyciek dotyczy danych 6,8 miliona osób.

Źródło: https://www.spidersweb.pl/2018/12/facebook-wyciek-zdjecia.html

Telewizja o RODO

Komentarz jest zbędny, aczkolwiek rym bardzo wpadający w ucho. J

Źródło: https://twitter.com/matmakowski91/status/1073318330914754560            

Lotto, a skanowanie dowodu osobistego

  • Portal Niebezpiecznik radzi swoim czytelnikom, w jaki sposób korzystać z usług online Totalizatora Sportowego, nie przesyłając jednocześnie skanu dowodu osobistego – swoją tożsamość można zweryfikować w jednym z oddziałów Totalizatora.
  • Autor podkreśla jednak, iż praktyka stosowana przez Totalizator Sportowy (przetwarzanie skanów dokumentów tożsamości) jest zgodna z prawem, ponieważ uprawnia ich do tego ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Źródło: https://niebezpiecznik.pl/post/jak-grac-w-lotto-przez-internet-bez-przesylania-skanu-dowodu/

Pierwsze orzeczenie o odszkodowaniu na podstawie RODO

  • Niemiecki sąd lokalny, jako pierwszy w Unii Europejskiej, orzekał o odpowiedzialności odszkodowawczej administratora danych na podstawie art. 82 ust. 1 RODO (sprawa 8 C 130/18).
  • Powód dochodził odszkodowania za szkodę niematerialną w wysokości 500 euro – powód otrzymał maila od pozwanego z prośbą o zgodę na newsletter (w Niemczech jest to uznawane za spam).
  • Pozwany wcześniej wypłacił jednak powodowi (nie będąc pewnym odpowiedzialności) ex gratia 50 euro w formie rekompensaty.
  • Sąd oddalił powództwo, ponieważ uznał kwotę 500 euro odszkodowania za nieadekwatną do naruszenia. Według sądu kwota 50 euro była wystarczająca.

Źródło: https://blogs.dlapiper.com/privacymatters/germany-first-court-decision-on-claims-for-immaterial-damages-under-gdpr/

Ministerstwo przygotowuje poradnik dotyczący ochrony danych osobowych w zatrudnieniu

  • Dr Maciej Kawecki udzielił wywiadu dla Pulsu HR, w którym odpowiadał na pytania i wątpliwości dotyczące stosowania przepisów RODO.
  • Dr Kawecki udzielił m. in. informacji, iż Ministerstwo Cyfryzacji, na podstawie art. 33 Prawa przedsiębiorców, przygotowuje objaśnienia prawne, które mają dotyczyć przetwarzania danych osobowych w zatrudnieniu.
  • Nasuwa się pytanie: czy wytyczne będą poruszały zagadnienia omówione już w poradniku Urzędu Ochrony Danych Osobowych dot. zatrudnienia, a jeśli tak, to czy tezy będą zbieżne.

Źródło: https://www.pulshr.pl/prawo-pracy/przetwarzanie-danych-osobowych-w-sektorze-zatrudnienia-ministerstwo-szykuje-dokument-dla-przedsiebiorcow,59786.html

Morelowy wyciek danych

  • Sklep ze sprzętem komputerowym Morele rozpoczął informować swoich klientów o wykradzeniu danych.
  • Wg Morele.net, atakujący mieli dostęp do: adresu e-mail, numeru telefonu, imienia i nazwiska oraz hasha hasła.
  • Sklep zgłosił naruszenie do Prezesa UODO.

Źródło: https://niebezpiecznik.pl/post/morele-potwierdza-ze-wykradziono-dane-klientow/

Wytyczne EROD dotyczące akredytacji

  • Europejska Rada Ochrony Danych opublikowała przyjęte w dniu 4 grudnia 2018 r. Wytyczne 4/2018 dotyczące akredytacji i certyfikacji podmiotów na podstawie art. 43 RODO.
  • Obecna wersja skierowana została do konsultacji społecznych, które zakończą się 1 lutego 2019 r.
  • Certyfikacja ma zostać oparta na normie ISO/IEC 17065:2012.
  • Projekt wytycznych można pobrać tutaj.

Źródło: https://edpb.europa.eu/our-work-tools/public-consultations/2018/edpb-guidelines-42018-accreditation-certification-bodies_en  

         

Niemiecka policja musi usunąć ponad 100 TB danych

  • Niemiecki organ ochrony danych nakazał policji w Hamburgu usunięcie ponad 100 terabajtów danych wideo dotyczących automatycznego rozpoznawania twarzy podczas szczytu G20.
  • Organ stwierdził, że „nie wszystko, co jest technicznie możliwe, jest prawne dopuszczalne w państwie prawa tylko dlatego, że wydaje się to właściwe”.

Źródło: https://twitter.com/borys_tomasz/status/1075161413277151235

Trybunał Konstytucyjny o dostępie do informacji publicznej

  • Trybunał Konstytucyjny w dniu 18 grudnia 2018 r. ogłosił orzeczenie w sprawie skargi konstytucyjnej dotyczącej zgodności art. 3 ust. 1 pkt 1 ustawy o dostępie do informacji publicznej z art. 61 ust. 1 i 2 w związku z art. 61 ust. 3 i art. 31 ust. 3 Konstytucji.
  • TK orzekł, że w/w przepis ustawy, w zakresie w jakim uzależnia dostęp do informacji publicznej przetworzonej od wykazania przez wnioskodawcę szczególnej istotności dla interesu publicznego jest zgodny z wskazanymi wyżej przepisami Konstytucji.
  • Trybunał wskazał m. in., że ciężar w postaci wykazania przesłanki szczególnej istotności dla interesu publicznego, nałożony na obywatela nie jest nadmiernie dolegliwy.

Źródło: Wyrok Trybunału Konstytucyjnego z dnia 18 grudnia 2018 r. (sygn. SK 27/14).

Najgorsze hasła roku

  • Firma SplashData opublikowała listę najgorszych (najłatwiejszych do złamania) haseł w 2018 roku. Lista została stworzona na podstawie 5 milionów haseł, które wyciekły.
  • Podium najgorszych haseł prezentuje się następującą: 3 miejsce – 123456789, 2 miejsce – password, 1 miejsce – 123456

Źródło: https://9gag.com/gag/aerMgdm?ref=fbp&fbclid=IwAR3hJuyRfLX2eTVCEmV6h0wk2z3hM9QJye1aXTiXQhObkzl9AokogylSvxw

Retencja w praktyce – problem dla sądów?

  • Sądy przygotowują się na wielką akcję wykreśleń – 1 stycznia 2018 r. minęło 20 lat od wejścia w życie ustawy o zastawie rejestrowym i rejestrze zastawów. Zgodnie z przepisami ustawy zastawy rejestrowe, które wpisano do rejestru w latach 1998-1999 powinny zostać wykreślone, a dane usunięte.
  • Przykładowo, w jednym z sądów, trzeba będzie przejrzeć ok. 200 tysięcy spraw (zastawy były wpisywane i dokumentowane w formie papierowej w tamtych latach).
  • Postulowana jest konieczność zmiany przepisu art. 18a ustawy, aby czynność wykreślenia była czynnością materialno-techniczną i aby nie było potrzeby wydania postanowienia.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1387905,sady-musza-wykreslic-tysiace-zastawow-rejestrowych.html?fbclid=IwAR0qmPMcQ_ivAlZ0_PPDx0oV4S30utXeAIbSXzKUUX8bFSLBu_N1EEQZqd8             

NTarcza Prywatności utrzymana

  • 19 grudnia 2018 r. Komisja Europejska wydała decyzję o utrzymaniu w mocy adekwatności Tarczy Prywatności (Privacy Shield) między Unią Europejską, a Stanami Zjednoczonymi.
  • Decyzja jest efektem corocznego przeglądu adekwatności Tarczy Prywatności, kolejny przegląd będzie miał miejsce w 2019 roku.
  • W przyszłym roku nastąpi również przegląd wszystkich decyzji dotyczących adekwatnego poziomu ochrony dla państw trzecich.

Źródło: https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf

Szkoła w Norwegii dostanie po kieszeni?

  • Norweski organ ochrony danych ogłosił, że na gminę Bergen może zostać nałożona kara w wysokości 1,6 miliona koron (ok. 692 tysiące zł).
  • Gmina ma zostać ukarana za niewystarczające zabezpieczenia systemów informatycznych w prowadzonej przez nią szkole podstawowej.
  • Sprawa dotyczy nieuprawnionego dostępu do nazw użytkowników i haseł ponad 35 000 użytkowników – możliwe było zalogowanie się jako administrator, pracownik lub uczeń do systemu szkolnego.

Źródło: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2018/varsel-om-gebyr-til-bergen-kommune/

Przycisk „Lubię to!” na stronie? Możesz być współadministratorem

  • Rzecznik Generalny Trybunału Sprawiedliwości UE wydał opinię do sprawy nr c-40/17, w której to internetowy sklep odzieżowy zamieścił na swojej stronie internetowej wtyczkę – przycisk „Lubię to!” znany z Facebooka.
  • Rzecznik stwierdził, iż w tym kontekście dochodzić może do współadministrowania danymi osobowymi – odpowiedzialność zamieszczającego przycisk jest jednak ograniczona do tych operacji, w przypadku których skutecznie współokreśla on sposoby i cele przetwarzania danych.
  • Opinia porusza również kwestię, który z podmiotów powinien uzyskać zgodę na przetwarzanie danych osobowych użytkownika (polecamy tezę nr 89 – ciekawa argumentacja w zakresie orzecznictwa sądów, a zmieniającego się kontekstu społecznego). Zgoda powinna zostać wyrażona wobec właściciela strony internetowej.

Źródło: http://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=2918620

Basen już nie zajrzy pod prysznic

  • Ochotniczka Fundacji Panoptykon, mec. Amelia Zembaczewska, doprowadziła do zobowiązania się dyrekcji Miejskiego Ośrodka Sportu i Rekreacji w Opolu do usunięcia kamer z przebierali basenu w Opolu. Póki co kamery są zaklejone.
  • Ustalono, iż jedna z kamer skierowana była na prysznice – godzi to w znowelizowane ustawą o ochronie danych osobowych przepisy dotyczące monitoringu wizyjnego stosowanego przez jednostki samorządowe.

Źródło: https://panoptykon.org/wiadomosc/powiedz-nie-wscibskiej-kamerze

Szpitale boją się kosztów cyberbezpieczeństwa

  • Placówki medyczne obawiają się kosztów dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa.
  • Zdecydowana większość szpitali w Polsce kwalifikuje się do bycia tzw. operatorem usług kluczowych, który musi spełniać wymagania ustawy.
  • Koszty audytów (które operator musi przeprowadzać raz na 2 lata) szacowane są nawet na 100 tysięcy złoty.

Źródło: https://www.prawo.pl/zdrowie/ustawa-o-cyberbezpieczenstwie-nowe-obowiazki-dla-szpitali,344822.html?fbclid=IwAR1l9E1f3TAgobOBdvEX0V5Lozf5gLuy8AGwk3xgCWupN8W35LqEuTEmrRM

Parentyzacja już dostępna!

  • System Rejestrów Państwowych został wyposażony w nową funkcję – parentyzację.
  • Polega ona na umożliwieniu tworzenia automatycznych powiązań dziecka z rodzicami w systemie poprzez wprowadzenie numeru PESEL rodziców w rekordzie z danymi dziecka.
  • Zmiana powinna spowodować uproszczenie wnioskowania o świadczenia z pomocy społecznej oraz zapobiec ich wyłudzeniom.
  • Obecnie prowadzone są prace nad stworzeniem 2 nowych rejestrów: dokumentów paszportowych i danych kontaktowych oraz nad nowymi e-usługami.

Źródło: https://www.prawo.pl/samorzad/w-rejestrze-pesel-dane-rodzicow-i-dzieci-moga-byc-automatycznie,347756.html

          

Kolejna kara dla Ubera

  • Tym razem karę na Ubera nałożył francuski organ ochrony danych osobowych.
  • Kara wyniosła 400 000 euro – przy czym jest to wysokość określona na podstawie przepisów obowiązujących przed rozpoczęciem stosowania RODO. Na podstawie RODO maksymalna kara mogłaby wynieść nawet 300 milionów dolarów.
  • Kara dotyczy wycieku danych osobowych, o którym wspominaliśmy już w newsach z dnia 3 grudnia 2018 r.

Źródło: https://antyweb.pl/uber-kara-wyciek/

Ochrona danych vs. egzekucja w administracji

  • Artykuł porusza problematykę relacji art. 36 § 1 ustawy o postępowaniu egzekucyjnym w administracji oraz przepisów o ochronie danych osobowych.
  • Kwestią budzącą wątpliwości jest możliwość żądania przez organ egzekucyjny udostępnienia danych osobowych przez zobowiązanego, w szczególności tzw. danych wrażliwych.
  • Autor stawia tezę, że jeśli zobowiązany uważa, iż udostępnienie danych jego dotyczących w postępowaniu egzekucyjnym jest zbędne, może odmówić ich podania.

Źródło: https://www.prawo.pl/podatki/ochrona-danych-w-egzekucji-administracyjnej-przeglad-podatkowy,348367.html

Tajemnica bankowa naruszona?

  • Klientka jednego z banków otrzymała SMS z informacją o kwocie zadłużenia i wezwaniem do spłaty pożyczki. Po złożeniu przez nią reklamacji okazało się, iż SMS miał zostać wysłany do innej osoby.
  • Autor artykułu podpowiada, iż oprócz potencjalnego naruszenia przepisów RODO, mogło dojść także do (równie surowo karanego) naruszenia przepisów ustawy Prawo bankowego w zakresie tajemnicy bankowej – w tym zakresie nadzór sprawuje Komisja Nadzoru Finansowego.
  • Należy jednak ustalić, czy doszło do nieuprawnionego ujawnienia danych osobowych, ponieważ ujawniono jedynie informację o pożyczce, numerze konta oraz kwocie zadłużenia.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1387817,wyciekly-dane-dluznika-banku-innego-klienta-co-na-to-przepisy-rodo.html 

 

Zaakceptuj pliki cookies

 

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 1-10.12.2018 Pobierz

 

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 11-17.12.2018 Pobierz

 

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 18-27.12.2018 Pobierz

 

Powiązane artykuły

rodo aktualności
RODO aktualności – 11.03.2019
rodo aktualności
RODO aktualności – 11.02.2019
rodo aktualności
RODO aktualności – 21.01.2019

Zostaw odpowiedź