Czy wiadomo jak będzie wyglądał transfer danych do WLB? Przez jaki czas psycholog i psychiatra mogą przechowywać dane pacjenta? Skąd pobierane są dane osobowe przy wnioskach o dotacje? Czym jest zielone zaświadczenie cyfrowe i czy jest ono zgodne z RODO? Co i w jaki sposób wyciekło z LinkedIna? Jak doszło do wycieku danych z Clubhouse? Czy udało udało się coś ustalić w sprawie wycieku z Facebooka? Czy Whatsapp zmieni politykę prywatności? Jakie są nowe regulacje w spawie sztucznej inteligencji? Czego możemy spodziewać się w nowych dowodach osobistych? Czy prace nad przepisami o pracy zdalnej zostały zakończone? Jakie są wytyczne Prezesa UODO na temat bezpieczeństwa w mediach społecznościowych?
MULTIMEDIA | |
---|---|
#RODOA [04.12.2021] | #RODOA [19.04.2021] |
Pobierz PDF | Pobierz PDF |
EROD m.in. o projektach decyzji stwierdzających odpowiedni stopień ochrony w Zjednoczonym Królestwie
- 13 kwietnia 2021 r., podczas 48. posiedzenia plenarnego, Europejska Rada Ochrony Danych (EROD) przyjęła dwie opinie w sprawie projektów decyzji stwierdzających odpowiedni stopień ochrony w Zjednoczonym Królestwie;
- pierwsza z nich (Opinia 14/2021) opiera się na przepisach RODO i ocenia zarówno ogólne aspekty ochrony danych, jak i rządowy dostęp do danych osobowych przekazywanych z EOG w celach egzekwowania prawa i bezpieczeństwa narodowego, uwzględnionych w projekcie decyzji stwierdzającej odpowiedni stopień ochrony. Ocena ta odnosi się do dokumentu Grupy Roboczej Art. 29 dotyczącego odpowiedniego stopnia ochrony przekazywanych danych osobowych;
- z kolei druga opinia (Opinia 15/2021), oparta na dyrektywie 2016/680 („dyrektywie policyjnej”), analizuje projekt decyzji stwierdzającej odpowiedni stopień ochrony w świetle Zaleceń 01/2021 w sprawie odpowiedniego stopnia ochrony przekazywanych danych osobowych na mocy dyrektywy 2016/680, jak również odpowiedniego orzecznictwa odzwierciedlonego w Zaleceniach 02/2020 w sprawie niezbędnych gwarancji europejskich dla środków nadzoru;
- EROD zwróciła uwagę, że istnieją kluczowe obszary zbieżności między ramami ochrony danych UE i Zjednoczonego Królestwa w zakresie określonych podstawowych przepisów, dotyczących m.in.: podstawy dla zgodnego z prawem i rzetelnego przetwarzania danych osobowych dla prawnie uzasadnionych celów, ograniczenia celu, jakości i proporcjonalności danych, zatrzymywania danych, bezpieczeństwa i poufności czy przejrzystości. Jednak w swoich opiniach Rada wskazała także pewne kwestie, które Komisja Europejska powinna poddać dalszej ocenie lub ściśle monitorować.
Źródło: https://uodo.gov.pl/pl/138/1998
Psycholog i psychiatra nie mogą usunąć danych pacjenta
- jeśli pacjent żąda, aby psychiatra, psycholog czy poradnia psychologiczna usunęła jego dokumentację medyczną, medycy nie muszą realizować jego prawa do zapomnienia, jakie przewiduje RODO;
- niektóre osoby nie chcą jednak, aby pozostawał jakikolwiek ślad w dokumentacji medycznej jaką prowadzi np. psycholog czy psychiatra – psychiatrzy udzielają świadczeń zdrowotnych, psycholodzy zaś udzielają porad, ale nie zawsze się one świadczeniami medycznymi;
- art. 29 ust. 1 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wskazuje, że placówki medyczne mają obowiązek przechowywać dokumentację medyczną 20 lat od momentu dokonania ostatniego wpisu w dokumentacji lub 30 lat od chwili śmierci pacjenta, ponadto muszą przechowywać ją 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia;
- zatem żądanie usunięcia dokumentacji medycznej po zakończeniu leczenia u lekarza psychiatry – nawet gdy to świadczenie będzie udzielane w tzw. poradni psychologicznej – jest nieskuteczne;
- sytuacja dla pacjenta nie zmieni się, gdy dokumentację medyczną będzie prowadził psycholog, choć nie jest lekarzem – zgodnie jednak z art. 4 ust. 1 ustawy o zawodzie psychologa i samorządzie zawodowym psychologów, świadczy on usługi psychologiczne, diagnozuje, opiniuje, orzeka, prowadzi psychoterapię i udziela pomocy psychologicznej.
Źródło: https://www.politykazdrowotna.com/72119,psycholog-i-psychiatra-nie-moga-usunac-danych-pacjenta
Przy wniosku o dotacje dane osobowe przetwarzane są z urzędu
- żaden przepis Ustawy Prawo ochrony środowiska nie pozwala radzie gminy żądać przy składaniu wniosków, oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych – wykorzystanie takich danych jest bowiem niezbędne do umowy;
- Rada Gminy i Miasta Odolanów podjęła uchwałę w sprawie zasad udzielania dotacji celowych ze środków budżetu gminy na finansowanie ochrony środowiska i gospodarki wodnej – ustaliła w niej, że wnioskujący musi przedstawić oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych w celu realizacji wniosku;
- konieczność załączania takiego oświadczenia do wniosku zakwestionowało Kolegium Regionalnej Izby Obrachunkowej w Poznaniu – wskazało, że zasady dotyczące gromadzenia, przetwarzania, przekazywania danych osobowych oraz składania oświadczeń przez osoby, których dane te dotyczą, regulują obecnie przepisy RODO, a nie przepisy ustawy o ochronie danych osobowych;
- petent nie może odmówić weryfikacji tożsamości przez urzędnika, powołując się na RODO;
- gmina nie może pozyskiwać oświadczenia o dobrowolności podawania danych osobowych, gdy przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Wspólna opinia EROD i EIOD w sprawie zielonego zaświadczenia cyfrowego
- celem zielonego zaświadczenia cyfrowego jest ułatwienie korzystania z prawa do swobodnego przemieszczania się w Unii Europejskiej w czasie pandemii COVID-19 poprzez ustanowienie wspólnych ram dla wydawania, weryfikowania i uznawania zaświadczeń o szczepieniu, wyniku testu i o powrocie do zdrowia;
- we wspólnej opinii EROD i EIOD wezwały współprawodawców do zapewnienia, że zielone zaświadczenie cyfrowe jest w pełni zgodne z unijnymi przepisami o ochronie danych osobowych
- Komisarze ochrony danych z całej UE i Europejskiego Obszaru Gospodarczego podkreślają potrzebę zmniejszenia zagrożeń dla podstawowych praw obywateli i mieszkańców UE, które mogą wynikać z wydania zielonego zaświadczenia cyfrowego, w tym jego ewentualnych niezamierzonych wtórnych zastosowań;
- zdaniem EROD i EIOD użycie zielonego zaświadczenia cyfrowego nie może w żaden sposób prowadzić do bezpośredniej lub pośredniej dyskryminacji osób fizycznych i musi być w pełni zgodne z podstawowymi zasadami niezbędności, proporcjonalności i skuteczności;
- EROD i EIOD wyraźnie zaznaczają także, że stosowanie zielonego zaświadczenia cyfrowego musi być ściśle ograniczone na czas trwania kryzysu związanego z COVID-19, a wszelki dostęp do danych osób fizycznych zebranych w związku z tym zaświadczeniem oraz ich późniejsze wykorzystanie przez państwa członkowskie po zakończeniu pandemii jest niedozwolone.
Źródło: https://uodo.gov.pl/pl/138/1995
Wyciek 500 mln profili użytkowników Linkedina
- nie opadł kurz po wycieku danych użytkownikach Facebooka, a serwis Cybernews.com donosi o kolejnym dużym incydencie. Tym razem wypłynęły dane użytkowników Linkedina – 500 mln profili. Informacja pojawiła się na jednym z popularnych forów hackerskich. Jako dowód udostępniono próbkę danych 2 mln dotyczących profili;
- wśród danych, które zostały udostępnione – są m.in. imiona i nazwiska, adresy e-mail, numery telefonów, informacje o miejscu pracy, linki do mediów społecznościowych, płeć, tytuły zawodowe;
- kwota, za którą baza jest oferowana jest czeterocyfrowa, wyrażona w bitcoinach
- dane, które zostały ujawnione, mogą zostać wykorzystane do spamowania, targetowanego phishingu czy prób wykorzystania haseł do profili na innych portalach
- Linkedin wydał oświadczenie, że dane nie wypłynęły na skutek naruszenia przetwarzania danych osobowych, lecz są kompilacją danych z różnego rodzaju stron i danych firmowych;
- Na wspomnianym powyżej forum hackerskim, pojawiła się nowa oferta, która oprócz 500 mln profili, proponowała także dodatkowe 327 mln profili, także sprawa może być „rozwojowa”.
Kolejny wyciek danych – Clubhouse – 1,3 mln danych użytkowników
- ten tydzień obfituje w wycieki danych. Tym razem pojawiła się informacja o możliwości dostępu do bazy SQL zawierającej dane 1,3 mln użytkowników platformy Clubhouse
- Clubhouse to stosunkowo nowy serwis społecznościowy, który opiera się na prowadzeniu rozmów „na żywo”, w wersji głosowej. Jego unikalność (na tle innych konkurentów) polega na tym, że należy dostać zaproszenie od innego, zarejestrowanego użytkownika, by móc korzystać z jego dobrodziejstw;
- dane, które wyciekły to: nazwa, imię, zdjęcie, odnośniki do profili na portalach społecznościowych czy informacje od kogo otrzymaliśmy zaproszenie. Według informacji Clubhouse są to dane publicznie dostępne w serwisie i nie zostały uzyskane w sposób nieautoryzowany;
- tego typu informacja, może potwierdzać, że Clubhouse może mieć kłopoty z zapewnieniem bezpieczeństwa danych swoich użytkowników i umożliwiać pobieranie tych danych na masową skalę. Zapewne w najbliższych dniach dowiemy się więcej na temat tego wycieku;
- zdobyty zakres danych może być użyty do prowadzenia targetowanego phishingu czy łączyć powyższe dane z pozyskanymi z innych źródeł w przyszłości
Źródło: https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/
Irlandzki organ ochrony danych osobowych zbada wyciek Facebooka
- Irlandzki organ ds. ochrony danych osobowych – Data Protection Commision (DPC) zbada wyciek danych osobowych z popularnego serwisu społecznościowego Facebook. Organ wskazał, że sprawa dotyczy w głównej mierze obywateli Unii Europejskiej;
- przypomnijmy – na stronie jednej ze stron internetowych, można było pobrać dane 533 mln użytkowników tego serwisu;
- większość danych została pobrana z profili publicznych Facebooka, można było znaleźć informacje takie jak numery telefonów, adresy e-mail, imiona, nazwiska czy daty urodzenia. Irlandzki organ wskazał, że dane te mogą zostać wykorzystane w celach marketingowych;
- Irlandzki organ ds. ochrony danych osobowych zauważył, że poprzedni wyciek danych z 2018 i 2019 r, związany był z nieprawidłowym działaniem funkcji wyszukiwania numeru telefonu w serwisie Facebook;
- Facebook zapewnia, że zależy mu na pełnym wyjaśnieniu sprawy. Ma zamiar współpracować z DPC, by rozwiać wszelkie wątpliwości organu, ale także użytkowników Facebooka
Źródło: https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-re-dataset-appearing-online
Niemiecki komisarz ds. ochrony danych vs Whatsapp
- niemiecki komisarz ds. ochrony danych osobowych w Hamburgu chce przeciwdziałać przekazywaniu danych użytkowników Whatsapp Facebookowi i innym podmiotom trzecim
- Whatsapp to jeden z popularniejszych komunikatorów w Europie, który zmienia politykę prywatności. Nowa polityka prywatności wejdzie w życie 15 maja 2021 r.
- polityka ta spotkała się z falą krytyki – chodzi przede wszystkim zapis mówiący o możliwości przesyłania danych (np. numerów telefonów) do Facebooka oraz innych firm. Na skutek tego wielu użytkowników podjęło decyzję o przeniesieniu się do produktów konkurencji, np. Telegrama czy Signala;
- komisarz stwierdził, że istnieją powody, by sądzić, że przepisy mówiące o rozszerzeniu udostępniania danych między komunikatorem a Facebookiem, będą „bezprawnie egzekwowane ze względu na brak dobrowolnej i świadomej zgody” użytkowników;
- kontrowersyjne zmiany polityki prywatności WhatsAppa wywołały reakcję regulatorów innych państw. Jednym z nich jest włoski urząd ochrony danych osobowych, który zaangażował w sprawię także Europejską Radę Ochrony Danych (EROD). Sprawę monitoruje także Prezes UODO w ramach współpracy międzynarodowej, czekając na wytyczne EROD w tej sprawie.
Źródło: https://cyberdefence24.pl/niemcy-reaguja-na-zmiane-polityki-whatsappa
Unia Europejska ureguluje zagadnienie dotyczące sztucznej inteligencji (AI)
- użycie sztucznej inteligencji dla systemów inwigilacji staje się coraz bardziej popularne. Przykładem są Chiny, które na masową skalę korzystają z systemów monitoringu z funkcją rozpoznawania twarzy czy budowy systemu oceny społecznej (np. poprzez śledzenie zachowań użytkowników różnego rodzaju portali i wpływaniu na decyzje tych osób), co na pewno narusza prawo do prywatności;
- by przeciwdziałać tego typu praktykom, Komisja Europejska ma zamiar wprowadzić regulacje w zakresie stosowania sztucznej inteligencji (AI), zakazując między innymi zaawansowanego monitoringu z rozpoznawaniem twarzy czy tworzenia systemów oceny społecznej. Mówi się także o zakazie użycia sztucznej inteligencji przy ocenie zdolności kredytowej
- takie rozwiązanie z pewnością spowoduje napięcie między Unią Europejską i amerykańskimi gigantami technologicznymi takimi jak Facebook, Google czy Microsoft i innymi firmami, które gromadzą ogromne ilości danych, zasilających zasoby sztucznej inteligencji;
- informacje o projekcie podał portal Politico, z dokumentu wynika zakaz korzystania z systemów AI „wysokiego ryzyka”, jeśli nie spełniają określonych kryteriów. Przewiduje się także wysokie kary za nie spełnianie tych wymogów (20 mln € lub do 4% światowego obrotu);
Odciski palców na nowym dowodzie osobistym
- w sierpniu 2021 roku pojawią się nowe dowody osobiste (nowa warstwa graficzna i elektroniczna);
- jest to zmiana będąca implementacją rozporządzenia Parlamentu Europejskiego i Rady UE 2019/1157 z 20 czerwca 2019 r.
w sprawie poprawy zabezpieczeń dowodów osobistych; - dowody będą zawierały odciski palców (dwa) oraz podpis posiadacza, które wnioskodawca będzie musiał złożyć osobiście w urzędzie. Zniknie zatem możliwość składania elektronicznego wniosku o nowy dowód osobisty. Wyjątkiem będą tu osoby poniżej 12 roku życia, dla których taka możliwość zostanie utrzymana. Odciski palców również nie będą pobierane od tych osób
- w nowym dowodzie będzie też kilka innych, dostrzegalnych na pierwszy rzut oka zmian – pojawi się m.in. oznaczenie państwa członkowskiego (na tle flagi Unii Europejskiej);
- zmiany mają głownie na celu ograniczenie ryzyka fałszowania dokumentów oraz przestępstw przeciwko wiarygodności dokumentów;
Źródło: https://www.gov.pl/web/cyfryzacja/nowe-dowody–jakie-zmiany
Trwają prace nad przepisami o pracy zdalnej.. i końca nie widać
- od wielu miesięcy trwają prace, które mają przenieść regulacje dotyczące pracy zdalnej do Kodeksu pracy. Przyczyną tego jest oczywiście towarzysząca nam pandemia;
- dziś pracodawcy wysyłają Pracowników na pracę zdalną na podstawie art. 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, który obowiązuje w czasie stanu zagrożenia epidemicznego albo stanu epidemii, ogłoszonego z powodu COVID-19, oraz w okresie 3 miesięcy po ich odwołaniu;
- obecnie trudno przewidzieć ile jeszcze potrwają wspólne ustalenia Ministerstwa Rozwoju, Pracy i Technologii, partnerów związkowych i pracodawców, choć regulacja wydaje się potrzebna i konieczna;
- Główne założenia projektu to:
- praca zdalna będzie mogła być wykonywana całkowicie lub częściowo w miejscu zamieszkania pracownika lub w innym miejscu ustalonym przez pracownika i pracodawcę. Pracodawca będzie zobligowany dostarczyć sprzęt oraz pokryć koszty m.in. prądu i dostępu do Internetu.
Źródło: https://www.prawo.pl/kadry/na-jakim-etapie-sa-prace-nad-przeniesieniem-przepisow-o-pracy,507729.html
Prezes UODO – Media społecznościowe a bezpieczeństwo danych
- Prezes UODO zwrócił uwagę na bezpieczeństwo danych przetwarzanych w mediach społecznościowych. Troska Prezesa jest z pewnością spowodowana ostatnimi głośnymi sprawami, dotyczącymi „wycieków” danych osobowych z Facebooka czy Linkedina
- w przekazanej wiadomości zwrócono uwagę, by korzystając z serwisów społecznościowych zabezpieczać swoje dane poprzez:
- stosowanie silnego hasła,
- stosowanie dwuetapowego logowanie (login i hasło, następnie korzystanie z zewnętrznych tokenów),
- nie logowanie się na nieznanych urządzeniach,
- nie korzystanie z niezabezpieczonych publicznych hot-spotów,
- stosowanie różne haseł do różnych portali, korzystanie z managerów haseł,
- ograniczanie uprawnienia aplikacji do logowania za pomocą konta w portalu społecznościowym,
- W publikacji wskazano także co zrobić gdy do naruszenia dojdzie
Źródło: https://uodo.gov.pl/pl/138/1996
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.