RODO aktualności – 1-27.12.2018

• Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała wytyczne dotyczące zabezpieczenia urządzeń Internetu rzeczy.
• Wytyczne wprowadzają odpowiednią terminologię np. Przemysł 4.0, wprowadzają szczegółową taksonomię zagrożeń w kontekście Internetu rzeczy czy też wymieniają rekomendowane środki bezpieczeństwa przeciwko zdefiniowanym zagrożeniom.
• Głównym założeniem środków bezpieczeństwa są 3 wymiary: Polityki, Środki organizacyjne i Środki techniczne.

Źródło: https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot

• Opublikowany 26 listopada 2018 r. poradnik Ministerstwa Cyfryzacji dla sektora fintech przyjął prawnie uzasadniony interes administratora danych za podstawę prawną do przetwarzania danych osobowych uczestników konkursu.
• Blogerka Sylwia Czub przedstawia odmienne stanowisko – konkurs odbywa się na podstawie zgody w formie wyraźnego działania potwierdzającego.
• Na potwierdzenie swojej tezy przytacza m. in. konkursy organizowane przez UODO, w których jako podstawa prawna wskazana jest zgoda. Gdyby przetwarzanie danych osobowych uczestników konkursu odbywało się na prawnie uzasadnionym interesie, nie byłoby konieczności zapraszania ich do wzięcia udziału w konkursie, ponieważ to organizator decydowałby o tym, kto i na jakich zasadach do konkursu przystępuje.

Źródło: https://sylwiaczub.pl/czy-zgodnie-z-rodo-potrzebna-jest-zgoda-na-przetwarzanie-danych-uczestnika-konkursu/?fbclid=IwAR1qpiY2UYWAizTgr4bVCGcmvRyvNq50N_c0QU1J77gB3qR7theIwMk5YrQ

• Autor artykułu porusza wraz z rozmówcą problem ewentualnego zazębiania się kompetencji Prezesa UODO oraz Prezesa UOKiK w stosunku do przetwarzania danych osobowych konsumentów.
• Według mec. Sroczyńskiego, kompetencje organów powinny być na tyle rozgraniczone, aby przedsiębiorcy nie groziły dwie kary finansowe od różnych instytucji.
• Podkreślone jest również, iż w preambule do RODO znajduje się jedynie ogólne sformułowanie, że RODO nie wpływa na prawo konkurencji.

Źródło: https://www.prawo.pl/biznes/kompetencje-uodo-i-uokik-nakladaja-sie-wywiad-z-jaroslawem,337691.html

• Sąd Najwyższy odroczył ogłoszenie wyroku w sprawie biznesmena Arkadiusza L. przeciwko Google do 13 grudnia (sygn. akt I CSK 690/17). Rozprawa odbyła się 30 listopada, na której zapadło postanowienie o odroczeniu.
• Sprawa dotyczy naruszenia dóbr osobistych powoda. W I instancji sąd apelacyjny orzekł, że za połączenie słów w wyszukiwarce Google (przy pomocy algorytmu) odpowiada spółka Google, a wynik wyszukiwania narusza dobre imię powoda.
• Sąd Apelacyjny ustalił, że przeciętny użytkownik Internetu, a tym samym wyszukiwarek nie pogłębia treści, ani jej nie analizuje dogłębnie. Według SA wyciąga on pochopne wnioski na podstawie niesprawdzonych przesłanek.

Źródła: https://www.prawo.pl/prawo/prawo-do-zapomnienia-w-wyszukiwarce-google,338606.html

             http://www.sn.pl/sprawy/SitePages/e-Sprawa.aspx?ItemSID=8816-ce0d61b0-fe80-4050-bec5-582cc7606e5a&ListName=esprawa2017&Search=I%20CSK%20690/17

• Artykuł porusza temat zmian, jakie mają zajść w Kodeksie pracy pod względem danych pozyskiwanych podczas rekrutacji. Zmienia się tryb pozyskiwania informacji o kandydacie.
• Pracodawca będzie musiał żądać pewnych informacji, ale firmy nadal będą musiały przeprowadzać ocenę adekwatności gromadzenia danych – stąd dane dotyczące wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia będą mogły być zbierane tylko wówczas, gdy uzasadnia to sama rekrutacja.
• Mec. Dorre-Kolasa zwraca uwagę na pewną niekonsekwencję projektodawcy – informacja o dacie urodzenia nie zawsze jest konieczna do podjęcia decyzji, a znajduje się w katalogu danych, których pracodawca musi żądać.

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1375690,rekrutacja-dane-osobowe-kandydata-na-zadanie-pracodawcy.html

• Rzecznik Praw Obywatelskich zgłosił liczne uwagi do projektu ustawy o ochronie danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości podnosząc, że może być ona niezgodna nie tylko z prawem unijnym, ale także z Konstytucją.
• Wśród licznych zarzutów stawianych projektowi na pierwszy plan wysuwa się tzw. wyłączenie podmiotowe (5 tajnych służb) spod zakresu ustawy.
• Oprócz tego RPO zarzuca także właściwemu ministerstwu opieszałość w przygotowaniu projektu ustawy i zgłoszenie go na ostatnią chwilę (ministerstwo miało na to 2 lata) oraz zaledwie 10 dni przeznaczone na konsultacje.

Źródło: https://www.rpo.gov.pl/pl/content/krytyczne-uwagi-rzecznika-o-projekcie-ustawy-ktora-ma-wdrazac-dyrektywe-policyjna-ue 

• Hiszpański organ ochrony danych osobowych (AEPD) opublikowała program certyfikacji osób kandydujących na stanowisko Inspektora Ochrony Danych.
• Do stworzenia programu certyfikacji wykorzystano zapisy normy ISO 17024.
• Po pierwsze, zdefiniowano kompetencje, jakie powinien posiadać IOD.
• Drugim filarem certyfikacji było określenie jednostek akredytowanych, które mają prawo certyfikacji.

Źródło: https://www.enac.es/web/english/accreditation-news/-/asset_publisher/EY2ISgya4prK/content/data-protection-certification-accreditation?inheritRedirect=false

• Portal niebezpiecznik.pl otrzymał od UODO sporo informacji na temat statystyk dotyczących wycieków danych oraz zgłaszania naruszeń po pół roku stosowania RODO, a także skarg zgłaszanych przez osoby, których dane dotyczą.
• W zakresie naruszeń najczęściej zgłaszane są zdarzenia: przesłania dokumentacji do osób nieuprawnionych (mailowo jak i papierowo), zagubienie lub kradzież nośników danych, nieprawidłowe niszczenie dokumentacji oraz ataki hakerskie.
• Podmioty danych najczęściej skarżą się na: usunięcie danych, wymuszanie zgód marketingowych, niechciana korespondencja oraz telefony marketingowe, kopiowanie dokumentów tożsamości w celu zawarcia umowy czy pozyskiwanie zbyt szerokiego zakresu danych.

Źródło: https://niebezpiecznik.pl/post/zgadnijcie-ile-naruszen-zgloszono-po-pierwszym-polroczu-rodo-i-jakie-problemy-daly-o-sobie-znac/            

• FRA (Europejska Agencja Praw Podstawowych) przygotowała przewodnik „Zapobieganie niezgodnemu z prawem profilowaniu dzisiaj i w przyszłości”.
• Przewodnik skupia się przede wszystkim na profilowaniu wykorzystywanym w celach bezpieczeństwa (m. in. przez służby) i udziela porad, jak profilować, a jednocześnie nie podważyć zaufania obywateli do władzy.
• Zawiera on przegląd głównych zasad i praktyki profilowania poprzez: wyjaśnienie pojęcia profilowania i możliwego negatywnego wpływu na społeczeństwo, wskazanie szczegółowych zasad i prawidłowych praktyk, a także rozwinięcie tematu profilowania algorytmicznego.

Źródło: http://fra.europa.eu/en/publication/2018/prevent-unlawful-profiling

• 5 grudnia 2018 r. miało miejsce pierwsze czytanie projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (tzw. przepisy sektorowe).
• Wszystkie kluby (poza klubem Nowoczesna) opowiedziały się za skierowaniem projektu do dalszych prac sejmowych.

Źródło: https://www.gazetaprawna.pl/artykuly/1379750,wiekszosc-klubow-za-dalszymi-pracami-nad-zwiazanym-z-rodo-projektem-nowelizacji.html

• Jedna z firm postanowiła zainstalować pod biurkami pracowników urządzenia reagujące na ciepło i ruch, a zatem mogą monitorować, czy pracownik przebywa na stanowisku pracy i na jak długo opuszczają biurka.
• Eksperci podkreślają, że mamy do czynienia z tzw. inną formą monitoringu przewidzianą w znowelizowanych przepisach Kodeksu pracy.
• Zdaniem znawców tematu jest to środek niewspółmierny do celu jego stosowania oraz zbyt inwazyjny – firma uzasadnia bowiem wprowadzenie monitoringu lepszą kontrolą m. in. nad zużyciem mediów, jednak wydaje się, że prawdziwym celem jest kontrola czasu pracy pracowników.

Źródło: https://gospodarka.dziennik.pl/praca/artykuly/586688,monitoring-pracy-czujniki-pracownik-prawo-pracy.html

• Fundacja Porozumienie Zielonogórskie, współpracując z jedną z firm ochrony danych osobowych, przygotowała i skierowała do UODO projekt kodeksu postępowania dla małych placówek medycznych.
• 4 grudnia 2018 r. odbyło się w UODO spotkanie dotyczące projektu kodeksu.

Źródła: http://www.rynekzdrowia.pl/Prawo-w-ochronie-zdrowia/Opracowano-kodeks-postepowania-RODO-dla-malych-placowek-medycznych,190068,1009.html

            https://www.federacjapz.pl/index.php?mnu=wiadomosc&id=478

• CNIL (francuski organ ochrony danych osobowych) opublikował na swojej stronie internetowej nową wersję (2.0) oprogramowania do przeprowadzania PIA (Privacy Impact Assessment).
• Poprzednią wersję programu pobrano ponad 130 000 razy.
• Ulepszenia i poprawki, które dodano to m. in. szablon PIA do urządzeń Internetu rzeczy (IoT), poprawa interfejsu i elementów graficznych, optymalizacja narzędzia
• Wersję dla systemu Windows można pobrać w tym miejscu (wersja EN).

Źródło: https://www.cnil.fr/en/pia-software-20-available-and-growth-pia-ecosystem

• Parlament Wielkiej Brytanii dotarł i upublicznił treść wewnętrznej komunikacji Facebooka (e-maile).
• Z ujawnionych treści wynika m. in., że Facebook rozważał możliwość pozyskiwania danych o użytkownikach telefonów z systemem Android bez wyświetlania im listy pozwoleń w formie okna dialogowego.
• Korespondencja wskazuje również na to, że Facebook dawał niektórym firmom (m. in. Netflix czy AirBnb) dostęp do danych użytkowników na specjalnych warunkach (dokładniej: do list znajomych użytkowników) nawet jeśli takie osoby nie korzystały z usług wskazanych firm.

Źródło: https://www.cyberdefence24.pl/brytyjski-parlament-upublicznil-tresc-wewnetrznej-komunikacji-facebooka       

• Sejm przyjął nowelizację ustawy o zawodach lekarza i lekarza dentysty oraz ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
• Obecnie obowiązujące przepisy zakładają, że każdy z bliskich osoby zmarłej może zgłosić sprzeciw wobec ujawnienia informacji będącej przedmiotem tajemnicy zawodowej lekarza (w tym np. osoby niegodne dziedziczenia po zmarłym).
• Nowelizacja przepisów wprowadzi zasadę, iż w przypadku sporu między osobami bliskimi o ujawnienie informacji dotyczących zmarłego pacjenta, kwestię rozpatrzy sąd w postępowaniu nieprocesowym. Do sądu (w razie wątpliwości) będzie mógł zgłosić się również lekarz.

Źródło: https://www.prawo.pl/zdrowie/tajemnica-lekarska-po-smierci-pacjenta,340668.html

• Do Sejmu trafił obywatelski projekt ustawy, który zakłada m. in., że rodzice ubiegający się o miejsce dla dziecka w publicznym żłobku lub przedszkolu musieliby przedstawić zaświadczenie, że dziecko posiada obowiązkowe szczepienia ochronne.
• Autor artykułu rozważa, czy żłobek lub przedszkole mają podstawę prawną do tego, aby takie dane gromadzić i przetwarzać.

Źródło: https://www.prawo.pl/zdrowie/czy-przedszkola-maja-prawo-do-zbierania-danych-o-szczepieniach-w,340645.html   

• Konferencja o powyższej nazwie odbędzie się 13 grudnia 2018 r., organizatorem jest Stowarzyszenie Inspektorów Ochrony Danych Osobowych (SIODO).
• Przedmiotem konferencji będzie głównie omówienie problemów praktycznych, jakie pojawiły się w związku z rozpoczęciem stosowania przepisów RODO.
• Organizatorzy postarają się również rozświetlić mroki niektórych RODO-absurdów.

Źródło: https://samorzad.infor.pl/sektor/organizacja/rodo-2018/2825998,Konferencja-PoRODOwe-przypadki.html

• Jedna z agencji celnych uzależnia możliwość oclenia wwożonego towaru lub paczki od wystawienia jej pełnomocnictwa in blanco.
• Agencja powołuje się na przepisy RODO.

Źródło: https://www.linkedin.com/feed/update/urn:li:activity:6471414825649082368

Źródło: https://twitter.com/A_Zajaczkowskaa/status/1070607462217252864

• Użytkownicy portalu Reddit przeanalizowali politykę prywatności sklepu internetowego z grami komputerowymi Steam i odkryli niepokojące rzeczy w kontekście RODO.
• Po pierwsze, kilka klauzul tekstu mówi użytkownikom, że zgadzając się na warunki polityki prywatności jednocześnie zgadzają się na udostępnianie danych osobowych reklamodawcom.
• Po drugie, potencjalnym naruszeniem zasady minimalizacji danych jest procedura zwrotu pieniędzy za zakup dokonany – formularz zwrotu wymaga bowiem później potwierdzenia swoich danych dużą ilością innych danych osobowych.

Źródło: https://appuals.com/epic-games-store-privacy-policy-conflicts-with-eu-gdpr-laws-sketchy-refund-policies/

• DPC (irlandzki organ ochrony danych) wydała wytyczne dotyczące używania kamerek w samochodach (Dash Cams).
• DPC stoi na stanowisku, iż używając kamerki, kierowca staje się najczęściej administratorem danych osób, które zostaną zarejestrowane.
• Organ podpowiada: obowiązek informacyjny powinno się spełnić poprzez znak lub naklejkę na pojeździe i/lub wewnątrz pojazdu wskazującą, że ma miejsce filmowanie. Pełny obowiązek informacyjny należy przekazać na żądanie osoby nagrywanej (nawet ustnie).
• W razie wypadku powinno się z kolei poinformować drugiego uczestnika zdarzenia, że nagrywany był materiał wideo.

Źródło: https://www.dataprotection.ie/docs/EN/10-12-2018-Guidance-for-Drivers-on-use-of-Dash-Cam/n/1802.htm

• Australijski parlament uchwalił kontrowersyjną ustawę The Assistance and Access Bill 2018.
• Celem ustawy jest wymuszenie na firmach IT, aby pomagały australijskim służbowym w rozszyfrowaniu danych i komunikatów, z których deszyfracją służby nie potrafią sobie poradzić samodzielnie.
• Kary za brak współpracy ze służbami to dla firm maksymalnie 10 milionów dolarów australijskich, a dla osób fizycznych – max. 50 tysięcy.
• Ustawa jest bardzo mocno krytykowana, do nabycia mocy obowiązującej potrzebuje jeszcze zgody królewskiej (Royal Assent).

Źródło: https://niebezpiecznik.pl/post/politycy-chca-oslabic-bezpieczenstwo-obywateli-ustawa-przeciwko-szyfrowaniu-na-razie-w-australii/

• Łukasz Szaniawski, który w połowie 2018 r. złożył w Oleśnicy szereg wniosków o dostęp do informacji publicznej, złożył wniosek do UODO o wszczęcie postępowania administracyjnego wobec Urzędu Miejskiego w Oleśnicy.
• Wniosek dotyczy bezprawnego, zdaniem wnioskodawcy, udostępnienia jego danych osobowych oraz dokumentów prywatnych firmie Olpres s.c. (lokalna prasa) bez jego wiedzy i zgody.
• Postępowanie może być pokłosiem artykułów w lokalnej prasie dotyczących Pana Łukasza Szaniawskiego, a których autorem jest kuzyn sekretarza miasta.

Źródło: http://mojaolesnica.pl/26600,wyciek-danych-osobowych-pytanie.php

• Google zapowiedziało przyspieszenie prac nad zamknięciem portalu społecznościowego Google+.
• Decyzja spowodowana jest wyciekiem danych – odkryto błąd, przez który osoby niepowołane mogły przeglądać informacje na profilach ponad 50 milionów użytkowników.
• Nie wyciekły jednak żadne dane finansowe, numery identyfikacyjne czy hasła do profili.

Źródło: https://pclab.pl/news79485.html           

• Prezes UODO skierowała pismo do Sejmu w związku z pierwszym czytaniem projektu ustawy o zmianie ustawy o wspieraniu rodziny i systemie pieczy zastępczej.
• Dr Jomaa zarzuca nowelizacji przede wszystkim potencjalne naruszenie zasady minimalizacji danych poprzez rozszerzenie kategorii danych, jakie będą mogły przetwarzać ośrodki adopcyjne o wizerunek, czy informacje o poprzednich związkach małżeńskich kandydatów do przysposobienia, ich wyznanie i pochodzenie etniczne.
• Organ nadzoru ma również wątpliwości odnośnie powstania elektronicznego rejestru zawierającego różnego rodzaju dane dotyczące pieczy zastępczej – nie przeprowadzono bowiem analizy zasadności wprowadzenia takiego rozwiązania.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1386572,rodo-w-procedurze-adopcyjnej.html

• Artykuł porusza tematykę przetwarzania danych osobowych w ramach działalności hotelu.
• Poruszone zostają m. in. tematy: obowiązków hotelu jako administratora danych (np. prowadzenie RCP), podstawy prawnej przetwarzania danych gości hotelowych w ramach ich pobytu, skanowania dowodów osobistych gości, działalności marketingowej hotelu, stosowania monitoringu wizyjnego czy przekazania danych klienta do podmiotu zewnętrznego, aby zrealizować usługę na życzenie.
• Autor wskazuje, że hotel może oprzeć marketing własnych produktów i usług na prawnie uzasadnionym interesie, lecz tylko w czasie obowiązywania umowy wynajęcia pokoju. Później powinno się uzyskać zgodę osoby, której dane dotyczą.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1386614,jak-prawidlowo-chronic-dane-osobowe-klientow-i-pracownikow-hotelu.html

• Forum Przyszłości Prywatności wraz z Nymity opublikowały raport „Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu pod rządami RODO – przypadki praktyczne”.
• Raport wzbudził duże zainteresowanie – próbuje rozszyfrować pojęcie „uzasadnionego interesu” oraz wskazuje stany faktyczne, które były przedmiotem analizy organów bądź sądów.
• Raport można pobrać tutaj.

Źródło: https://fpf.org/2018/12/10/full-house-at-iapp-brussels-interested-in-deciphering-legitimate-interests-download-our-li-report-here/

• Jeśli komuś się wydaje, że są granice ingerencji w prywatność osób fizycznych – jest w błędzie. Facebook pracuje nad opatentowaniem narzędzia umożliwiającego przewidywanie lokalizacji użytkowników na podstawie ich historii lokalizacji oraz lokalizacji ich znajomych.
• Wówczas śledzenie (przewidywanie) lokalizacji będzie możliwe nawet jeśli użytkownik jest offline.
• Wniosek patentowy opatrzony jest datą 30 maja 2017 r.
• Rzecznik Facebooka stwierdził, że wnioski patentowe nie powinny być traktowane jako wyznacznik przyszłych planów firmy, ponieważ wiele opatentowanych technologii nigdy nie wchodzi do użytku.

Źródło: https://wiadomosci.onet.pl/swiat/facebook-chce-opatentowac-narzedzie-do-przewidywania-lokalizacji-uzytkownikow/ep2pjjp            

• W ten sposób określana jest ustawa o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie w sierpniu 2018 r.
• Obecnie Ministerstwo Cyfryzacji wysyła decyzje do podmiotów podlegających wymogom ustawy decyzje, w których nakłada obowiązek dostosowania się do regulacji ustawy – wytypowane podmioty (jest ich 542) będą miały na to 3 miesiące od dnia doręczenia decyzji. Inne szacunki wskazują, że podmiotów podlegających ustawie będzie nawet ponad 2100.
• Brak dostosowania do wymogów może skutkować nałożeniem wysokich kar finansowych na Operatora Usług Kluczowych.

Źródło: https://businessinsider.com.pl/firmy/ustawa-o-krajowym-systemie-bezpieczenstwa-obowiazki-i-kary/2eh035z?utm_source=fb&utm_medium=social&utm_campaign=fb_bi&fbclid=IwAR1GUhTqpmShL2yDOc6gY5aHPlT84jA5HOx4UJDKEGPAdEGFyBJe_NyQ1Cw

• Związek Rewizyjny Spółdzielni Mieszkaniowych RP przygotował projekt „Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe” – można go pobrać w tym miejscu.
• Projekt obecnie jest w konsultacjach społecznych, które potrwają do 31 grudnia 2018 r.

Źródło: http://www.psm-ch.home.pl/rodo/rodo-informacja/80-o-psm/910-kodeks-rodo-projekt

• Dziennikarze New York Times dotarli do informacji, zgodnie z którymi programy służące np. do sprawdzania pogody przekazują dane o lokalizacji użytkowników (bez ich wiedzy i zgody) co najmniej do 75 różnych firm.
• Wykazano, że w bazach danych firm zbierających dane geolokalizacyjne znajdują się trasy pokonywane codziennie przez miliony osób z dokładnością do kilku metrów.
• Niektóre dane aktualizowane były nawet 14 tysięcy razy w ciągu doby.

Źródło: https://www.cyberdefence24.pl/obrot-danymi-geolokalizacyjnymi-odbywa-sie-bez-wiedzy-uzytkownikow

• 10 grudnia 2018 r. najważniejsze organy Unii Europejskiej osiągnęły porozumienie w sprawie wspólnotowych przepisów o cyberbezpieczeństwie.
• Projekt wzmacnia przede wszystkim kompetencje ENISA (Agencja UE ds. Sieci, Informacji i Bezpieczeństwa).
• Projekt ustanawia również unijne ramy certyfikacji bezpieczeństwa cybernetycznego, zwiększając cyberbezpieczeństwo usług internetowych i urządzeń dostarczanych konsumentom.

Źródło: https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_pl

• Redakcja „Computerworlda” przeprowadziła badanie dotyczące zarządzania bezpieczeństwem informacji w polskich firmach w kontekście stosowania RODO.
• 82 % badanych firm posiada udokumentowane polityki bezpieczeństwa lub podobne, procedury zgodne z RODO wdrożyło 87 % organizacji poddanych badaniu.
• Co ciekawe, ponad 1/3 firmy rozszerzy swoje polityki o audyty, a ponad 1/4 zamierza przeszkolić pracowników linii biznesowych.
• Największe obawy dotyczą: wycieku danych wrażliwych (65 %) oraz braku dostatecznej świadomości pracowników (60 %).

Źródło: https://www.computerworld.pl/news/RODO-i-wzrost-zagrozen-wymuszaja-porzadki-w-obszarze-bezpieczenstwa-IT,411484.html

• Bank rozpoczął pilotaż weryfikacji behawioralnej użytkownika bankowości internetowej przy pomocy digital fingerprints – ten sposób zabezpieczenia ma być testowany do końca 2019 r.
• Program pilotażowy obejmie 50 tysięcy uczestników, jeżeli wyrażą zgodę na przystąpienie do niego. Wówczas w serwisie transakcyjnym mBanku uruchomi się specjalny kod, który będzie mierzył typowe zachowania użytkownika w czasie korzystania z serwisu online (np. sposób poruszania myszą, korzystanie z klawiatury).
• System zbuduje profil behawioralny użytkownika, a następnie będzie porównywał bieżące interakcje w serwisie banku z gotowym profilem. Dzięki temu będzie wiadomo, czy z serwisu internetowego korzysta właściciel konta.

Źródło: https://www.wirtualnemedia.pl/artykul/mbank-biometria-behawioralna-jak-dziala-narzedzie-weryfkacji-testy-wsrod-klientow-jak-wziac-udzial?fbclid=IwAR3OUCVJ5xjnv7qvb0IbIkSFtvuUFGQbqxn4omtM7SGIerMxmFDHAqf8N3U

• Artykuł porusza kwestię wpływu RODO na teczki osobowe pracowników, które przed 25 maja 2018 r. zostały zarchiwizowane i znajdują się tam dane mogące naruszać np. zasadę minimalizacji danych.
• Autorka stawia tezę, że dane zbierane przez pracodawcę przed rozpoczęciem stosowania RODO miały podstawę prawną w postaci przepisów Kodeksu pracy i aktów wykonawczych, a dodatkowo w RODO nie została wprowadzona zasada działania prawa wstecz, stąd nie ma powodu aby niektóre kategorie danych usuwać z archiwów (np. imiona rodziców).

Źródło: https://www.prawo.pl/kadry/rodo-co-zrobic-z-dokumentami-w-teczkach-osobowych-ktore-trafily-do-archiwum,264664.html?fbclid=IwAR2iyIe4esUAl3r34z5pu0khcpEFWk8VcGFizAAz3Ezdf9hVB3EsTBNw9s8

• Rząd brytyjski opublikował założenia dotyczące przetwarzania danych osobowych na wypadek opuszczenia Unii Europejskiej przez UK bez porozumienia z Komisją Europejską.
• Poruszone są m. in. kwestie transferu danych osobowych do państw trzecich, wyznaczenia przedstawiciela administratorów danych z UE czy kompetencji brytyjskiego organu nadzoru (ICO).

Źródło: https://www.gov.uk/government/publications/data-protection-law-eu-exit/amendments-to-uk-data-protection-law-in-the-event-the-uk-leaves-the-eu-without-a-deal-on-29-march-2019?fbclid=IwAR1wUgavJYCPbDt-q1Ll51URxKueIwDFscTtX2adQkjuXdWLx5imBWX__Xc   

• Sąd Najwyższy wyrokiem13 grudnia 2018 r. uchylił wyrok sądu apelacyjnego i zwrócił sprawę do ponownego rozpoznania. Sprawa dotyczyła powództwa biznesmena Arkadiusza L. przeciwko Google LLC o naruszenie dóbr osobistych poprzez to, iż w razie wpisania w wyszukiwarkę imienia, nazwiska i miejscowości powoda jako wynik pokazuje się odnośnik do artykułu „Polityki” pod tytułem „Bardzo biedny gangster”.
• SN uznał między innymi, iż w przedmiotowej sprawie nie mamy do czynienia z korzystaniem z danych osobowych.

Źródło: Wyrok Sądu Najwyższego z dnia 13 grudnia 2018 r. (sygn. akt I CSK 690/17), https://www.rp.pl/Dane-osobowe/312149978-Wpisal-w-Google-nazwisko-wyskakiwal-gangster—jest-wyrok-Sadu-Najwyzszego.html

• Sejm uchwalił 14 grudnia 2018 r. ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – tzw. RODO dla służb.
• Więcej na temat samej ustawy można znaleźć w naszych aktualnościach z dnia 26 listopada.
• Ustawa trafi teraz do Senatu, a następnie (pod warunkiem przyjęcia jej przez Senat) do podpisu Prezydenta.

Źródło: https://www.prawo.pl/prawo/ochrona-danych-osobowych-w-zwiazku-z-zapobieganiem-i-zwalczaniem,344823.html

• Facebook ujawnił (dopiero 14 grudnia 2018 r.), że między 12 a 25 września miał miejsce incydent związany z możliwością nieuprawnionego dostępu niektórych aplikacji do zdjęć użytkowników (nawet takich, które nie zostały zamieszczone na portalu).
• Wyciek dotyczy danych 6,8 miliona osób.

Źródło: https://www.spidersweb.pl/2018/12/facebook-wyciek-zdjecia.html

Komentarz jest zbędny, aczkolwiek rym bardzo wpadający w ucho. J

Źródło: https://twitter.com/matmakowski91/status/1073318330914754560            

• Portal Niebezpiecznik radzi swoim czytelnikom, w jaki sposób korzystać z usług online Totalizatora Sportowego, nie przesyłając jednocześnie skanu dowodu osobistego – swoją tożsamość można zweryfikować w jednym z oddziałów Totalizatora.
• Autor podkreśla jednak, iż praktyka stosowana przez Totalizator Sportowy (przetwarzanie skanów dokumentów tożsamości) jest zgodna z prawem, ponieważ uprawnia ich do tego ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Źródło: https://niebezpiecznik.pl/post/jak-grac-w-lotto-przez-internet-bez-przesylania-skanu-dowodu/

• Niemiecki sąd lokalny, jako pierwszy w Unii Europejskiej, orzekał o odpowiedzialności odszkodowawczej administratora danych na podstawie art. 82 ust. 1 RODO (sprawa 8 C 130/18).
• Powód dochodził odszkodowania za szkodę niematerialną w wysokości 500 euro – powód otrzymał maila od pozwanego z prośbą o zgodę na newsletter (w Niemczech jest to uznawane za spam).
• Pozwany wcześniej wypłacił jednak powodowi (nie będąc pewnym odpowiedzialności) ex gratia 50 euro w formie rekompensaty.
• Sąd oddalił powództwo, ponieważ uznał kwotę 500 euro odszkodowania za nieadekwatną do naruszenia. Według sądu kwota 50 euro była wystarczająca.

Źródło: https://blogs.dlapiper.com/privacymatters/germany-first-court-decision-on-claims-for-immaterial-damages-under-gdpr/

• Dr Maciej Kawecki udzielił wywiadu dla Pulsu HR, w którym odpowiadał na pytania i wątpliwości dotyczące stosowania przepisów RODO.
• Dr Kawecki udzielił m. in. informacji, iż Ministerstwo Cyfryzacji, na podstawie art. 33 Prawa przedsiębiorców, przygotowuje objaśnienia prawne, które mają dotyczyć przetwarzania danych osobowych w zatrudnieniu.
• Nasuwa się pytanie: czy wytyczne będą poruszały zagadnienia omówione już w poradniku Urzędu Ochrony Danych Osobowych dot. zatrudnienia, a jeśli tak, to czy tezy będą zbieżne.

Źródło: https://www.pulshr.pl/prawo-pracy/przetwarzanie-danych-osobowych-w-sektorze-zatrudnienia-ministerstwo-szykuje-dokument-dla-przedsiebiorcow,59786.html

• Sklep ze sprzętem komputerowym Morele rozpoczął informować swoich klientów o wykradzeniu danych.
• Wg Morele.net, atakujący mieli dostęp do: adresu e-mail, numeru telefonu, imienia i nazwiska oraz hasha hasła.
• Sklep zgłosił naruszenie do Prezesa UODO.

Źródło: https://niebezpiecznik.pl/post/morele-potwierdza-ze-wykradziono-dane-klientow/

• Europejska Rada Ochrony Danych opublikowała przyjęte w dniu 4 grudnia 2018 r. Wytyczne 4/2018 dotyczące akredytacji i certyfikacji podmiotów na podstawie art. 43 RODO.
• Obecna wersja skierowana została do konsultacji społecznych, które zakończą się 1 lutego 2019 r.
• Certyfikacja ma zostać oparta na normie ISO/IEC 17065:2012.
• Projekt wytycznych można pobrać tutaj.

Źródło: https://edpb.europa.eu/our-work-tools/public-consultations/2018/edpb-guidelines-42018-accreditation-certification-bodies_en  

• Niemiecki organ ochrony danych nakazał policji w Hamburgu usunięcie ponad 100 terabajtów danych wideo dotyczących automatycznego rozpoznawania twarzy podczas szczytu G20.
• Organ stwierdził, że „nie wszystko, co jest technicznie możliwe, jest prawne dopuszczalne w państwie prawa tylko dlatego, że wydaje się to właściwe”.

Źródło: https://twitter.com/borys_tomasz/status/1075161413277151235

• Trybunał Konstytucyjny w dniu 18 grudnia 2018 r. ogłosił orzeczenie w sprawie skargi konstytucyjnej dotyczącej zgodności art. 3 ust. 1 pkt 1 ustawy o dostępie do informacji publicznej z art. 61 ust. 1 i 2 w związku z art. 61 ust. 3 i art. 31 ust. 3 Konstytucji.
• TK orzekł, że w/w przepis ustawy, w zakresie w jakim uzależnia dostęp do informacji publicznej przetworzonej od wykazania przez wnioskodawcę szczególnej istotności dla interesu publicznego jest zgodny z wskazanymi wyżej przepisami Konstytucji.
• Trybunał wskazał m. in., że ciężar w postaci wykazania przesłanki szczególnej istotności dla interesu publicznego, nałożony na obywatela nie jest nadmiernie dolegliwy.

Źródło: Wyrok Trybunału Konstytucyjnego z dnia 18 grudnia 2018 r. (sygn. SK 27/14).

• Firma SplashData opublikowała listę najgorszych (najłatwiejszych do złamania) haseł w 2018 roku. Lista została stworzona na podstawie 5 milionów haseł, które wyciekły.
• Podium najgorszych haseł prezentuje się następującą: 3 miejsce – 123456789, 2 miejsce – password, 1 miejsce – 123456

Źródło: https://9gag.com/gag/aerMgdm?ref=fbp&fbclid=IwAR3hJuyRfLX2eTVCEmV6h0wk2z3hM9QJye1aXTiXQhObkzl9AokogylSvxw

• Sądy przygotowują się na wielką akcję wykreśleń – 1 stycznia 2018 r. minęło 20 lat od wejścia w życie ustawy o zastawie rejestrowym i rejestrze zastawów. Zgodnie z przepisami ustawy zastawy rejestrowe, które wpisano do rejestru w latach 1998-1999 powinny zostać wykreślone, a dane usunięte.
• Przykładowo, w jednym z sądów, trzeba będzie przejrzeć ok. 200 tysięcy spraw (zastawy były wpisywane i dokumentowane w formie papierowej w tamtych latach).
• Postulowana jest konieczność zmiany przepisu art. 18a ustawy, aby czynność wykreślenia była czynnością materialno-techniczną i aby nie było potrzeby wydania postanowienia.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1387905,sady-musza-wykreslic-tysiace-zastawow-rejestrowych.html?fbclid=IwAR0qmPMcQ_ivAlZ0_PPDx0oV4S30utXeAIbSXzKUUX8bFSLBu_N1EEQZqd8             

• 19 grudnia 2018 r. Komisja Europejska wydała decyzję o utrzymaniu w mocy adekwatności Tarczy Prywatności (Privacy Shield) między Unią Europejską, a Stanami Zjednoczonymi.
• Decyzja jest efektem corocznego przeglądu adekwatności Tarczy Prywatności, kolejny przegląd będzie miał miejsce w 2019 roku.
• W przyszłym roku nastąpi również przegląd wszystkich decyzji dotyczących adekwatnego poziomu ochrony dla państw trzecich.

Źródło: https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf

• Norweski organ ochrony danych ogłosił, że na gminę Bergen może zostać nałożona kara w wysokości 1,6 miliona koron (ok. 692 tysiące zł).
• Gmina ma zostać ukarana za niewystarczające zabezpieczenia systemów informatycznych w prowadzonej przez nią szkole podstawowej.
• Sprawa dotyczy nieuprawnionego dostępu do nazw użytkowników i haseł ponad 35 000 użytkowników – możliwe było zalogowanie się jako administrator, pracownik lub uczeń do systemu szkolnego.

Źródło: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2018/varsel-om-gebyr-til-bergen-kommune/

• Rzecznik Generalny Trybunału Sprawiedliwości UE wydał opinię do sprawy nr c-40/17, w której to internetowy sklep odzieżowy zamieścił na swojej stronie internetowej wtyczkę – przycisk „Lubię to!” znany z Facebooka.
• Rzecznik stwierdził, iż w tym kontekście dochodzić może do współadministrowania danymi osobowymi – odpowiedzialność zamieszczającego przycisk jest jednak ograniczona do tych operacji, w przypadku których skutecznie współokreśla on sposoby i cele przetwarzania danych.
• Opinia porusza również kwestię, który z podmiotów powinien uzyskać zgodę na przetwarzanie danych osobowych użytkownika (polecamy tezę nr 89 – ciekawa argumentacja w zakresie orzecznictwa sądów, a zmieniającego się kontekstu społecznego). Zgoda powinna zostać wyrażona wobec właściciela strony internetowej.

Źródło: http://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=2918620

• Ochotniczka Fundacji Panoptykon, mec. Amelia Zembaczewska, doprowadziła do zobowiązania się dyrekcji Miejskiego Ośrodka Sportu i Rekreacji w Opolu do usunięcia kamer z przebierali basenu w Opolu. Póki co kamery są zaklejone.
• Ustalono, iż jedna z kamer skierowana była na prysznice – godzi to w znowelizowane ustawą o ochronie danych osobowych przepisy dotyczące monitoringu wizyjnego stosowanego przez jednostki samorządowe.

Źródło: https://panoptykon.org/wiadomosc/powiedz-nie-wscibskiej-kamerze

• Placówki medyczne obawiają się kosztów dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa.
• Zdecydowana większość szpitali w Polsce kwalifikuje się do bycia tzw. operatorem usług kluczowych, który musi spełniać wymagania ustawy.
• Koszty audytów (które operator musi przeprowadzać raz na 2 lata) szacowane są nawet na 100 tysięcy złoty.

Źródło: https://www.prawo.pl/zdrowie/ustawa-o-cyberbezpieczenstwie-nowe-obowiazki-dla-szpitali,344822.html?fbclid=IwAR1l9E1f3TAgobOBdvEX0V5Lozf5gLuy8AGwk3xgCWupN8W35LqEuTEmrRM

• System Rejestrów Państwowych został wyposażony w nową funkcję – parentyzację.
• Polega ona na umożliwieniu tworzenia automatycznych powiązań dziecka z rodzicami w systemie poprzez wprowadzenie numeru PESEL rodziców w rekordzie z danymi dziecka.
• Zmiana powinna spowodować uproszczenie wnioskowania o świadczenia z pomocy społecznej oraz zapobiec ich wyłudzeniom.
• Obecnie prowadzone są prace nad stworzeniem 2 nowych rejestrów: dokumentów paszportowych i danych kontaktowych oraz nad nowymi e-usługami.

Źródło: https://www.prawo.pl/samorzad/w-rejestrze-pesel-dane-rodzicow-i-dzieci-moga-byc-automatycznie,347756.html

• Tym razem karę na Ubera nałożył francuski organ ochrony danych osobowych.
• Kara wyniosła 400 000 euro – przy czym jest to wysokość określona na podstawie przepisów obowiązujących przed rozpoczęciem stosowania RODO. Na podstawie RODO maksymalna kara mogłaby wynieść nawet 300 milionów dolarów.
• Kara dotyczy wycieku danych osobowych, o którym wspominaliśmy już w newsach z dnia 3 grudnia 2018 r.

Źródło: https://antyweb.pl/uber-kara-wyciek/

• Artykuł porusza problematykę relacji art. 36 § 1 ustawy o postępowaniu egzekucyjnym w administracji oraz przepisów o ochronie danych osobowych.
• Kwestią budzącą wątpliwości jest możliwość żądania przez organ egzekucyjny udostępnienia danych osobowych przez zobowiązanego, w szczególności tzw. danych wrażliwych.
• Autor stawia tezę, że jeśli zobowiązany uważa, iż udostępnienie danych jego dotyczących w postępowaniu egzekucyjnym jest zbędne, może odmówić ich podania.

Źródło: https://www.prawo.pl/podatki/ochrona-danych-w-egzekucji-administracyjnej-przeglad-podatkowy,348367.html

• Klientka jednego z banków otrzymała SMS z informacją o kwocie zadłużenia i wezwaniem do spłaty pożyczki. Po złożeniu przez nią reklamacji okazało się, iż SMS miał zostać wysłany do innej osoby.
• Autor artykułu podpowiada, iż oprócz potencjalnego naruszenia przepisów RODO, mogło dojść także do (równie surowo karanego) naruszenia przepisów ustawy Prawo bankowego w zakresie tajemnicy bankowej – w tym zakresie nadzór sprawuje Komisja Nadzoru Finansowego.
• Należy jednak ustalić, czy doszło do nieuprawnionego ujawnienia danych osobowych, ponieważ ujawniono jedynie informację o pożyczce, numerze konta oraz kwocie zadłużenia.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1387817,wyciekly-dane-dluznika-banku-innego-klienta-co-na-to-przepisy-rodo.html 

Źródło: https://twitter.com/AdriannaHalman/status/1075463348546928642

Źródło: https://www.instagram.com/p/Brfwa1LHP2T/