RODO aktualności – 11.03.2019

Dane osobowe na liście obecności zakładu pracy – co można na niej zamieścić? Jak skontaktować się z infolinią UODO dla Inspektorów Ochrony Danych? Czy da się zniknąć z Facebooka? Czy można naliczać opłaty za realizację uprawnień wynikających z RODO? Czy Rejestr Czynności Przetwarzania to informacja publiczna?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z końcówki lutego 2019 i pierwszej połowy marca 2019.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Jakie dane osobowe na liście obecności?

  • Artykuł porusza kwestię prowadzenia listy obecności pracowników w zakładzie pracy z uwzględnieniem zasad przetwarzania danych osobowych.
  • Zdaniem autorki, dane jakie mogą znajdować się na liście to: imię, nazwisko, data rozpoczęcia i zakończenia pracy oraz podpis pracownika.
  • Nie powinna z kolei znajdować się na liście przyczyna nieobecności pracownika – służy do tego ewidencja czasu pracy.
  • Należy również zwrócić uwagę, aby dostęp do listy mieli tylko pracownicy oraz osoby upoważnione.

Źródło: https://www.infor.pl/prawo/praca/czas-pracy/2892286,2,Lista-obecnosci-pracownikow-2019-a-ochrona-danych-osobowych.html            

Czy da się w ogóle zniknąć z Facebooka?

  • Zdaniem autorki artykułu jest na to bardzo małe prawdopodobieństwo, graniczące wręcz z niemożliwością.
  • Facebook, nawet po usunięciu konta danego użytkownika, nadal przechowuje np. wiadomości, które były wysłane znajomym (w historii konwersacji znajomych), czy też zdjęcia znajomych, na których widnieje użytkownik, który usunął konto.
  • Nawet osoby, które wcześniej nigdy nie miały konta na Facebooku, mogą być śledzone przez portal i mogą być o takiej osobie gromadzone informacje (np. poprzez listy kontaktów z telefonu osób, które mają zainstalowaną aplikację Facebook lub Messenger).

Źródło: https://www.salon.com/2019/02/10/you-just-deleted-facebook-can-you-trust-facebook-to-delete-your-data/#.XGEMnL0MKA4.twitter    

Prawo dostępu wycenione na 300 funtów

  • Karę w wysokości 300 funtów, dodatkowo 30 funtów dla podmiotu danych oraz 113,75 funta kosztów otrzymała firma Magnacrest od ICO (brytyjski organ ochrony danych).
  • Osoba, której dane dotyczą, złożyła do firmy Magnacrest wniosek o realizację prawa dostępu do danych. Brak odpowiedzi ze strony ukaranej firmy skutkował wniesieniem skargi do organu nadzorczego, który zwrócił się do Magnacrest o realizację żądania. Firma po raz kolejny nie odpowiedziała, w związku z czym ICO nałożyło karę.
  • Naruszenie dotyczy jednej osoby fizycznej.

Źródło: https://digitalcompliancehub.co.uk/2019/02/ico-enforcement-highlights-the-cost-of-ignoring-subject-access-requests/   

HR z problemami nie tylko w Polsce

  • Branża HR w Wielkiej Brytanii, podobnie jak w Polsce, ma problemy ze stosowaniem niektórych przepisów RODO – tak wynika z badania firmy CIPHR.
  • Przykładowo, pomimo że okresy retencji przechowywania danych z rekrutacji ustaliło 83 % badanych podmiotów, to jednak w praktyce zasady te stosuje już tylko 69 %.
  • Co ciekawe, badanie wykazało również, że niemal 2/3 respondentów żądało zgody na przetwarzanie danych osobowych od pracowników, byłych pracowników (emerytów) czy od osób ubiegających się o wizę w UK, podczas gdy wydaje się to być niewłaściwą podstawą prawną.

Źródło: https://www.thehrdirector.com/features/gdpr/hr-gdpr-fine/?ref=quuu&utm_source=quuu   

Drogie połączenia z Somalią

  • Do rzeszowskiej delegatury Urzędu Komunikacji Elektronicznej zgłaszają się ofiary oszustów, którzy dzwonią z międzynarodowych numerów z Somalii, Wyspy Wniebowstąpienia, Wybrzeża Kości Słoniowej, Kongo czy Sierra Leone.
  • Jeden z mieszkańców województwa podkarpackiego otrzymał rachunek na 1 700 złotych, ponieważ oddzwonił na numer somalijski i usłyszał trzask odkładanego połączenia, stąd też się nie rozłączał – w sumie połączenie trwało 4 godziny.

Źródło: https://rzeszow.tvp.pl/23578336/oddzwonil-i-slono-zaplacil-1700-zlotych-za-telefon-do-somalii  

Opinia EROD w sprawie nadzoru finansowego

  • Europejska Rada Ochrony Danych opublikowała opinię 4/2019 w sprawie projektu porozumienia administracyjnego, które dotyczy przekazywania danych osobowych między organami nadzoru finansowego państw Europejskiego Obszaru Gospodarczego, a organami nadzoru finansowego państw spoza EOG.
  • Konkluzja opinii jest następująca: porozumienie zapewnia właściwe zabezpieczenia, dzięki którym dane osobowe mogą być przekazywane do państw trzecich, nawet tych, które nie są objęte decyzją Komisji Europejskiej o odpowiednim poziomie ochrony.

Źródło: https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-42019-draft-administrative-arrangement_en       

Bułgarska ustawa zawetowana

  • Prezydent Bułgarii zawetował bułgarską ustawę o ochronie danych osobowych, która jest analogiczną regulacją, jak polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
  • Prace nad ustawą, w tym konsultacje społeczne trwały znacznie dłużej, niż w Polsce, a ustawa została uchwalona przez bułgarski parlament w dniu 24 stycznia 2019 r.
  • Prezydenckie weto umotywowane jest obawą dotyczącą regulacji przetwarzania danych dla celów dziennikarskich oraz akademickich, artystycznych lub literackich.

Źródło: https://www.wolftheiss.com/knowledge/client-alerts/detail/bulgaria-the-president-vetoes-local-law-implementing-the-gdpr/#undefined               

Będzie łatwiej pozyskać dane z portali społecznościowych

  • Obecnie procedowany jest projekt rozporządzenia (jest na etapie mandatu negocjacyjnego) w sprawie transgranicznej wymiany dowodów elektronicznych między UE, a Stanami Zjednoczonymi.
  • Projekt zakłada, że amerykańskie portale będą przekazywać prokuratorom z krajów unijnych materiały śledcze, takie jak: historia konwersacji, zdjęcia czy e-maile w terminie 10 dni.
  • Warunkami pozyskania informacji w proponowanym trybie będą: przestępstwo zagrożone karą co najmniej 3 lat pozbawienia wolności oraz uzyskanie uprzednio nakazu sądowego.

Źródła: https://prawo.gazetaprawna.pl/artykuly/1396992,sledczy-latwiej-zdobeda-dane-z-portali.html?utm_source=dlvr.it&utm_medium=twitter   

RODO obroni Kraków przed Wielkim Bratem?

  • Rada Miasta Krakowa zdecydowała, że na osiedlu Prądnik Czerwony zostanie zainstalowane 3,5 tysiąca kamer połączonych z przyciskiem wezwania pomocy, mikrofonem i głośnikiem – kamery będą na każdej latarni na osiedlu. Docelowo cały Kraków ma być objęty podobnym systemem monitoringu.
  • Fundacja Panoptykon uważa, że taka ilość danych może być wykorzystania niezgodnie z przeznaczeniem, a mieszkańcy osiedla będą mieli znacznie ograniczoną prywatność. Montaż kamer może również naruszać RODO.
  • Do sprawy odniósł się również Rzecznik Praw Obywatelskich, który uważa, że mogłoby zostać w ten sposób naruszone zarówno RODO, jak i konstytucyjne prawo obywatela do prywatności.

Źródła: https://www.prawo.pl/samorzad/czy-monitoring-publiczny-jest-zgodny-z-prawem,370722.html   

            https://www.prawo.pl/samorzad/wielki-brat-czyli-monitoring-to-pole-do-naduzyc-prywatnosci,371246.html

Probiznesowa decyzja Prezesa UODO

  • Prezes UODO wydał 30 stycznia 2019 r. decyzję w sprawie portalu Rejestr.io, który prowadzi Fundacja ePaństwo.
  • PUODO wskazał, że właściciele witryn, którzy powielają dane np. z KRS nie muszą dopełniać wobec osób fizycznych (np. członków organów spółek) obowiązku informacyjnego z powodu niewspółmiernie dużego wysiłku tj. art. 14 ust. 5 lit. b) RODO (wystarczy zamieszczenie informacji w formie polityki prywatności na stronie internetowej), a także respektować ich prawa do sprzeciwu wobec przetwarzania danych.
  • Dane przetwarzane są na podstawie prawnie uzasadnionego interesu administratora, którym w opisanym przypadku były: działanie na rzecz rozwoju demokracji oraz krzewienie wiedzy o dostępie do informacji publicznej – z tak sformułowanym interesem zgodził się PUODO.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1397241,menedzerowie-spolek-na-wyciagniecie-myszki.html   

Szala zwycięstwa przechyla się na stronę konsumentów

  • Na posiedzeniu połączonych komisji sejmowych w dniu 13 lutego 2019 r. została przyjęta poprawka do tzw. ustawy sektorowej, nowelizującej m. in. przepisy Prawa bankowego.
  • Przyjęta poprawka zakłada, że każdy konsument, który starał się o kredyt, będzie miał prawo żądania od banku wyjaśnienia czynników, w tym danych osobowych klienta banku, które miały wpływ na wynik oceny zdolności kredytowej i decyzję o przyznaniu albo odmowie przyznania kredytu.
  • Sektor bankowy otrzymał w zamian otwarty katalog danych osobowych, z których może korzystać podczas dokonywania scoringu, pod warunkiem, że będą to dane niezbędne z uwagi na cel i rodzaj kredytu.

Źródła: https://panoptykon.org/wiadomosc/prawo-do-wyjasnienia-decyzji-kredytowej-dla-kazdego-sukces-panoptykonu-w-pracach-nad

            https://fintek.pl/rodo-w-sejmie-wazna-poprawka-dla-fintechow/                     

UODO uruchomiło infolinię dla IOD-ów

  • Urząd Ochrony Danych Osobowych uruchomił specjalną infolinię dedykowaną inspektorom ochrony danych.
  • Jest ona czynna w dni robocze od 10 do 13 pod nr 606 942 000.
  • Na infolinii dyżur pełnią eksperci UODO, którzy udzielają podstawowych informacji m. in. o tym, jak interpretować przepisy dotyczące ochrony danych osobowych.

Źródło: https://uodo.gov.pl/pl/138/720   

UODO radzi, jak nie zostać oszukanym na RODO

  • Na stronie internetowej Urzędu Ochrony Danych Osobowych został opublikowany krótki poradnik w formie broszury, który udziela 4 porad przedsiębiorcom, jak dać się oszukać „na RODO”.
  • UODO radzi w sprawach: kontroli (m. in. wskazując, że zanim pojawi się kontrola, przedsiębiorca zostanie o niej powiadomiony), wymuszeń skorzystania z usług doradztwa i straszenia sankcjami, korespondencji (w szczególności podszywania się pod UODO) oraz korzystania z wytycznych innych podmiotów, niż UODO.

Źródło: https://uodo.gov.pl/pl/138/719   

Projekt IOD-owego rozporządzenia opublikowany

  • 12 lutego 2019 r. został opublikowany projekt (datowany na 1 lutego 2019 r.) rozporządzenia Prezesa RM w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych, które ma być wydane na podstawie art. 47 ust. 4 ustawy wdrażającej dyrektywę policyjną (tzw. RODO dla służb).
  • Rozporządzenie precyzuje, w jaki sposób IOD ma wykonywać swoje zadania, w szczególności które zadanie może być wykonywane wyłącznie w formie pisemnej (papierowej lub elektronicznej), a które w innych formach np. ustnej.
  • Rozporządzenie zostało skierowanej do uzgodnień międzyresortowych.

Źródło: https://legislacja.rcl.gov.pl/projekt/12321003/katalog/12568781#12568781   

DPIA i wpis do RCP czasem nie wystarczą

  • Austriacki organ ochrony danych osobowych stwierdził naruszenie przepisów RODO przez operatora pocztowego Swiss Post.
  • Operator pocztowy musi usunąć dane klientów dotyczące preferencji partyjnych, a które były wykorzystywane następnie m. in. w celach marketingowych (prezentowanie spersonalizowanych reklam).
  • Organ stwierdził, że przeprowadzona przez Swiss Post ocena skutków dla ochrony danych oraz wpis tego faktu w rejestrze czynności przetwarzania były niewystarczające. Zalecił przy tym powtórzenie DPIA i poprawienie wpisu do RCP.

Źródło: https://wien.orf.at/news/stories/2964241/   

Jak RODO chroni dzieci?

  • Coraz popularniejsze stają się urządzenia Internetu Rzeczy, w tym inteligentne zabawki dla dzieci, które potrafią np. nagrywać głos, bądź analizować wiele innych informacji dotyczących dziecka.
  • Jako główne ryzyko związane z inteligentnymi zabawkami autor wskazuje podatność na ataki hakerskie.
  • Podstawą prawną przetwarzania danych osobowych szczególnej kategorii osób tj. dzieci przed 13 rokiem życia jest zgoda rodziców lub opiekuna prawnego.

Źródło: https://www.forbes.pl/opinie/zabawki-podlaczone-do-sieci-czy-rodo-chroni-dzieci-przed-naduzyciami/lysn5dk?utm_source=www.wglex.pl_viasg_forbes&utm_medium=referal&utm_campaign=leo_automatic&srcc=ucs&utm_v=2    

Kalkulator ryzyka naruszeń

  • Na stronie internetowej firmy HR-ON został opublikowany prosty i intuicyjny kalkulator pomagający wyliczyć i oszacować ryzyko naruszenia praw i wolności osób, których dane dotyczą, w sytuacji wystąpienia incydentu.
  • Kalkulator bazuje na wytycznych ENISY dotyczących metodologii oceny dotkliwości naruszeń ochrony danych osobowych.
  • Aby wyliczyć ryzyko należy odpowiedzieć na 3 pytania.

Źródło: https://hr-on.com/gdpr-tool    

Wyrok TSUE w sprawie NIP-u i europejskiego kodeksu celnego

  • Trybunał Sprawiedliwości Unii Europejskiej wydał w dniu 16 stycznia 2019 r. wyrok, w którym uznał, iż NIP osoby fizycznej stanowi dane osobowe.
  • Zdaniem TSUE, organy celne mogą wymagać od przedsiębiorcy, który wnioskuje, na podstawie europejskiego kodeksu celnego o przyznanie statusu AEO (upoważnionego przedsiębiorcy), aby dostarczył NIP-y oraz dane kontaktowe właściwego urzędu skarbowego osób fizycznych odpowiedzialnych za sprawy celne wnioskodawcy, osób uprawnionych do reprezentacji przedsiębiorcy oraz sprawujących kontrolę nad jego kierownictwem – jest to ich obowiązek prawny (art. 6 ust. 1 lit. c) RODO).

Źródło: Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 stycznia 2019 r. (C-496/17), http://curia.europa.eu/juris/document/document.jsf?text=&docid=209846&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=7376862

Powstała Rada ds. Kościołów i związków wyznaniowych

  • Minister Cyfryzacji utworzył zarządzeniem Radę ds. Kościołów i związków wyznaniowych. Jej celem jest udzielanie przez MC wsparcia legislacyjnego dla Kościołów i związków wyznaniowych w obszarach przetwarzania danych osobowych, które są dla tych podmiotów problematyczne.
  • W pracach Rady uczestniczyć będzie (na moment jej powstania) kilkadziesiąt z około 180 Kościołów i związków wyznaniowych, które funkcjonują w Polsce.
  • Prezes UODO, w briefingu prasowym, również odniosła się do tematu przetwarzania danych osobowych w Kościołach i związkach wyznaniowych.

Źródła: https://www.gazetaprawna.pl/artykuly/1397752,ministerstwo-cyfryzacji-powolalo-rade-ds-kosciolow-i-zwiazkow-wyznaniowych.html

             https://uodo.gov.pl/pl/138/721

Anonimizacja jest sposobem na wykonanie prawa do usunięcia danych

  • Decyzję o tej treści wydał austriacki organ ochrony danych osobowych w sprawie skargi osoby, która żądała usunięcia wniosku o zawarcie umowy ubezpieczenia (nie została ona zawarta).
  • Ubezpieczyciel odpowiedział, że dane zostały zanonimizowane, a zostaną usunięte przy okazji automatycznego usuwania w marcu 2019 r.
  • Organ podkreślił, że usuwanie lub niszczenie, zgodnie z definicją z art. 4 pkt 2 RODO nie są tym samym, a wykonanie prawa do usunięcia danych niekoniecznie wymaga zniszczenia tych danych. Skutkiem anonimizacji zaś jest brak możliwości identyfikacji określonej osoby fizycznej – informacje tracą zatem cechę danych osobowych.

Źródło: https://www.linkedin.com/pulse/austriacki-urz%C4%85d-ochrony-danych-usuni%C4%99cie-osobowych-jest-tomasz-borys/

Kara dla osoby fizycznej za naruszenie RODO

  • Organ ochrony danych osobowych dla landu Saksonia-Anhalt (Niemcy) nałożył grzywnę o łącznej wysokości 2 628,50 euro na osobę fizyczną za kilkanaście naruszeń RODO.
  • Ukarany wysyłał liczne wiadomości e-mail do wielu odbiorców, w których każdy mógł dostrzec dane innego (ustalono, że mogło być to nawet 1 600 adresów e-mail).
  • Naruszenie trwało przez około 2 tygodnie w lipcu 2018 r. oraz w sierpniu i wrześniu ubiegłego roku.

Źródło: https://www.mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308?originalReferrer=https://t.co/044topIGW4&originalReferrer=https://www.google.com/

Ubezpieczyciele wywalczyli podstawę do przetwarzania danych zdrowotnych

  • O posiedzeniu połączonych podkomisji w sprawie tzw. ustawy sektorowej pisaliśmy już w newsie nr 10.
  • Przedmiotem dyskusji były również przepisy nowelizujące ustawę o działalności ubezpieczeniowej i reasekuracyjnej w zakresie przetwarzania danych dotyczących zdrowia.
  • Wprowadzono podstawę prawną (obowiązek prawny) do przetwarzania tego rodzaju danych, to oznacza, że ubezpieczyciele (np. w celu oceny ryzyka) nie będą musieli pytań wnioskujących o ochronę ubezpieczeniową o zgodę na przetwarzanie danych zdrowotnych. Pozostawiono jednak zamknięty katalog danych, którym ubezpieczyciele mogą się posługiwać przy profilowaniu.
  • Poprawkę wprowadzono na przekór stanowiskom UODO oraz Ministerstwa Finansów.

Źródło: https://www.prawo.pl/biznes/banki-beda-mogly-korzystac-z-dowolnych-danych-do-automatycznego,371251.html  

Policja nie jest obrońcą danych osobowych

  • Tak w uzasadnieniu swojego wyroku stwierdził Wojewódzki Sąd Administracyjny w Warszawie.
  • Sprawa dotyczyła skargi dziennikarki na Orange, które odmówiło udzielenia informacji o tym, czy Policja zbierała informacje np. poprzez podsłuch z dwóch telefonów służbowych (komórkowego oraz stacjonarnego).
  • O ile przepisy dopuszczają zasięganie takich informacji, o tyle dopiero po zakończeniu działań operacyjnych Policji – o ich końcu zaś Policja nie informuje.
  • Sąd stwierdził, że nie ma przepisu, że o zakończeniu działań operacyjnych trzeba informować.

Źródło: https://www.prawo.pl/prawo/operator-telefoniczny-nie-poinformuje-czy-policja-nas,371242.html, Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 lutego 2019 r. (II SA/Wa 658/18).    

UODO krytykuje przepisy o sprzedaży węgla

  • Prezes UODO wystąpiła do Ministra Finansów z prośbą o zmianę przepisów, które wymuszają na sprzedawcach węgla zbieranie od nabywców zbyt szerokiego zakresu ich danych osobowych – od 1 stycznia 2019 r. jest to m. in. PESEL i nr dowodu osobistego.
  • Zdaniem organu nadzoru, przy sprzedaży węgla osobom fizycznym wystarczające powinno być pozyskiwanie takich danych jak: imię i nazwisko oraz miejsce odbioru wyrobu węglowego, uwierzytelnione czytelnym podpisem, a obecnie funkcjonującym przepisom PUODO zarzuca naruszenie zasady minimalizacji danych.

Źródło: https://uodo.gov.pl/pl/138/724 

Rozpoczęły się konsultacje kolejnego dokumentu EROD

  • 15 lutego 2019 r. do konsultacji został skierowany Załącznik nr 2 do Wytycznych Europejskiej Rady Ochrony Danych w sprawie certyfikacji i identyfikacji kryteriów certyfikacji.
  • Konsultacje potrwają do 29 marca 2019 r.

Źródło: https://uodo.gov.pl/pl/138/725

Koperty przyczyną incydentu w banku

  • 11 lutego 2019 r. na stronie banku Credit Agricole został opublikowany komunikat skierowany do osób, których dane dotyczą, w sprawie incydentu, który miał miejsce w sierpniu i wrześniu 2018 r.
  • Naruszenie było spowodowane nieprawidłowym zaklejeniem kopert z korespondencją kierowaną do klientów – podwykonawca zastosował wadliwą partię kopert.
  • Wskutek naruszenia mogło dojść do nieuprawnionego dostępu do danych osobowych – ich katalog oraz możliwe konsekwencje zostały wskazane w komunikacie.
  • Naruszenie zostało również zgłoszone do Prezesa UODO.

Źródło: https://www.credit-agricole.pl/o-banku/aktualnosci/2019/komunikat-na-temat-nieprawidlowo-zabezpieczonej-korespondencji 

Do realizacji praw osób nie stosuje się KPA

  • Wojewódzki Sąd Administracyjny w Łodzi odrzucił skargę osoby fizycznej, której przedmiotem była bezczynność administratora danych z powodu niedopuszczalności skargi.
  • Skarżący złożył wniosek o realizację prawa dostępu do danych, których administratorem jest rektor uczelni. Ze względu na skomplikowany charakter spełnienia żądania w pełni, dwukrotnie przedłużano termin realizacji żądania. Skarżący wysłał wpierw ponaglenie, a następnie zaskarżył bezczynność organu do sądu administracyjnego.
  • Sąd uznał jednak, że skarga jest niedopuszczalna, ponieważ do realizacji praw osób, których dane dotyczą na podstawie RODO, nie stosuje się przepisów Kodeksu postępowania administracyjnego, nawet jeśli administratorem jest podmiot publiczny, a organem właściwym do rozpatrywania skarg z zakresu RODO jest Prezes UODO.

Źródło: http://orzeczenia.nsa.gov.pl/doc/BBB0CB2E02, Postanowienie Wojewódzkiego Sądu Administracyjnego w Łodzi z 8 lutego 2019 r. (II SAB/Łd 176/18) 

Kolejna wersja ePrivacy

  • 15 lutego 2019 r. została opublikowana najnowsza wersja rozporządzenia ePrivacy.
  • Zmiany objęły m. in. definicje, w szczególności definicję „usługi społeczeństwa informacyjnego” zastąpiono pojęciem „usługa”, ponieważ jest to pojęcie znacznie bardziej pojemne niż „usługa społeczeństwa informacyjnego”.
  • Zmodyfikowano również inne przepisy np. wprowadzając konkretne środki zabezpieczenia, które powinien zapewniać dostawca usługi, zamiast odniesienia do przepisów RODO (tak było we wcześniejszych wersjach).

Źródło: https://data.consilium.europa.eu/doc/document/ST-6467-2019-INIT/en/pdf   

Transmisja na żywo? To nie przetwarzanie!

  • Tak twierdzą w Poznaniu – fragmenty nagrań z sesji rady miasta, w których wypowiadają się mieszkańcy jako osoby prywatne, są anonimizowane przed umieszczeniem ich na stronie internetowej.
  • Anonimizacja nie jest stosowana podczas transmisji na żywo, ponieważ według urzędników, nie jest to przetwarzanie danych osobowych.

Źródło: http://radiopoznan.fm/informacje/pozostale/nie-ma-nagran-z-sesji-rady-miasta-to-przez-rodo-mowia-urzednicy     

Jak przetwarzać i nie przetwarzać jednocześnie?

Wyjątek dziennikarski nie tylko dla dziennikarzy

  • Trybunał Sprawiedliwości Unii Europejskiej orzekł, że nagranie funkcjonariuszy policji i upublicznienie filmu jest przetwarzaniem danych osobowych – wymaga to zatem np. dopełnienia obowiązku informacyjnego oraz umożliwienia sprzeciwieniu się nagraniu.
  • TSUE wskazał jednak, że stosowanie RODO (jak i wcześniejszej dyrektywy) jest wyłączone ze względu na tzw. wyjątek dziennikarski, przy czym skorzystać z niego może nie tylko dziennikarz – wszystko zależy od okoliczności nagrania, celu oraz powodu rozpowszechniania, wyjątek dziennikarski można stosować wtedy, jeśli powyższe czynności mają miejsce w celu publicznego rozpowszechniania informacji, opinii lub myśli.

Źródła: https://prawo.gazetaprawna.pl/artykuly/1398311,filmowanie-policjantow-przepisy-rodo.html, Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 14 lutego 2019 r. (C-345/17), https://prawo.gazetaprawna.pl/artykuly/1398824,rodo-czy-serwis-youtube-traktowac-tak-jak-prase.html

Nowa wersja ustawy sektorowej

  • O posiedzeniu podkomisji sejmowych w sprawie tzw. ustawy sektorowej, w kontekście bankowości i ubezpieczeń, pisaliśmy w poprzednich RODO-aktualnościach.
  • 18 lutego 2019 r. na stronie Sejmu zostało opublikowanie sprawozdanie podkomisji wraz z projektem ustawy sektorowej po przyjętych w dniu 13 lutego poprawkach.
  • Ustawa sektorowa trafi niebawem na drugie czytanie.

Źródło: http://www.sejm.gov.pl/sejm8.nsf/PrzebiegProc.xsp?nr=3050   

RODO utrudnia życie związkowcom

  • 1 stycznia 2019 r. weszła w życie nowelizacja ustawy o związkach zawodowych, która podniosła progi reprezentatywności związku (8 lub 15 %), a także ustaliła, że dotyczy to nie tylko pracowników zatrudnionych na umowie o pracę, ale ogółu osób wykonujących w firmie pracę zarobkową, a zatem także osoby na umowach cywilnoprawnych.
  • Organizacje związkowe zgłaszają problemy z prawidłowym ustaleniem liczebności i reprezentatywności – pracodawcy odmawiają pomocy, powołując się na przepisy o ochronie danych osobowych.
  • Zdaniem ekspertów działanie pracodawców jest prawidłowe, a organizacje powinny od chętnych osób pozyskiwać oświadczenia o tym, że pracują lub współpracują oraz o długości stażu (zgodnie z zasadą negatywnej przynależności związkowej).

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1398529,liczenie-zwiazkowcow-przeszkadza-rodo.html    

Aplikacja do tłumaczeń przy okazji wykrada dane bankowe

  • Firma ESET ostrzega przed aplikacją Word Translator (dostępna w sklepie Google Play).
  • Aplikacja służy do tłumaczenia tekstów, a jednocześnie ustalono, że wykrada dane do logowania z aplikacji mobilnych banków (dotyczy to Polaków, Czechów i Włochów).
  • W momencie logowania się do rachunku bankowego, aplikacja wyświetlała niewidoczne okno, które rejestrowało login i hasło użytkownika (trojan Spy.Banker). Potrafiła także przechwytywać jednorazowe kody SMS do transakcji bankowych.

Źródło: https://www.cyberdefence24.pl/biznes-i-finanse/aplikacja-do-tlumaczen-wykradala-dane-bankowe   

Twój e-PIT umożliwia nieuprawniony dostęp?

  • Prezes UODO zwróciła się do Ministra Finansów z prośbą o wyjaśnienie, czy pracodawcy są w stanie zalogować się do usługi Twój e-PIT na dane pracownika i sprawdzić dane przekazane przez innych płatników (np. inne źródła dochodów pracownika).
  • Z otrzymanych przez PUODO informacji wynika, że wystarczy znać czyjś PESEL (albo NIP i datę urodzenia), łączny przychód za 2017 rok oraz jedną z kwot przychodu za 2018 rok, np. z PIT-11, by uzyskać dostęp do szczegółowych danych zawartych w przygotowanym przez administrację skarbową rozliczeniu.
  • PUODO pyta również, czy resort finansów rozważa wprowadzenie dodatkowych zabezpieczeń na Platformie Twój e-PIT, co uniemożliwiłoby dostęp do danych płatnika osobom nieuprawnionym.
  • AKTUALIZACJA: Ministerstwo Finansów poprawiło już portal i rozszerzyło dane autoryzacyjne do logowania.

Źródła: https://uodo.gov.pl/pl/138/736, https://gospodarka.dziennik.pl/podatki/artykuly/591804,ministerstwo-finansow-system-e-pit-przepisy-rodo.html, https://serwisy.gazetaprawna.pl/pit/artykuly/1399136,zmiay-w-twoj-e-pit-trzeba-podac-dodatkowe-dane.html?utm_source=dlvr.it&utm_medium=twitter          

         

Wytyczne EROD w sprawie kodeksów postępowania w trakcie konsultacji

  • Do 2 kwietnia 2019 r. Europejska Rada Ochrony Danych przyjmuje uwagi do Wytycznych 1/2019 w sprawie kodeksów postępowania i podmiotów monitorujących.
  • Celem wytycznych, które przyjęte zostały 12 lutego 2019 r. jest zapewnienie praktycznych wskazówek i pomocy w interpretacji stosowania art. 40 i 41 RODO. Wytyczne powinny wyjaśnić procedury i zasady dotyczące składania, zatwierdzania i publikowania kodeksów postępowania zarówno na poziomie krajowym, jak i europejskim.
  • Konsultacje wytycznych potrwają do 2 kwietnia 2019 r.

Źródło: https://uodo.gov.pl/pl/138/732                

Resort finansów ostrzega przed fałszywymi mailami

  • Na stronie internetowej Ministerstwa Finansów zostało umieszczone ostrzeżenie o fałszywych e-mailach o błędzie w deklaracji podatkowej.
  • MF przestrzega przed wiadomościami o tytule: Wezwanie do złozenia wyjaśnienia, w których autor informuje o wystąpieniu błędu w deklaracji podatkowej i prosi o ustosunkowanie się w terminie 7. dni do otrzymanej korespondencji.

Źródła: https://www.gov.pl/web/finanse/uwaga-na-falszywe-e-maile-o-bledzie-w-deklaracji-podatkowej    

Urzędniczka skazana za nielegalne przetwarzanie danych osobowych

  • Wyrokiem Sądu Apelacyjnego we Wrocławiu oddalona została apelacja obrońcy oskarżonej, urzędniczka została zatem prawomocnie skazana z art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
  • Oskarżona naruszyła porządek prawny, ponieważ jako kierownik ośrodka pomocy społecznej, wykorzystywała nielegalnie dane osobowe pracowników oraz klientów jednostki do składania wniosków o kredyt konsumencki w firmie pożyczkowej, a także podrabiała ich podpisy.
  • Sąd wymierzył oskarżonej karę 1 roku i 8 miesięcy pozbawienia wolności, ponieważ wykazano ciąg przestępstw oraz uczynienie przez oskarżoną z działalności przestępczej stałego źródła dochodu.

Źródło: https://czasopismo.legeartis.org/2019/02/wykorzystywanie-danych-osobowych-skladanie-wnioskow-pozyczke.html, Wyrok Sądu Apelacyjnego we Wrocławiu z 23 stycznia 2019 r. (II Aka 405/18).   

Do młodzieży świat należy

  • Prezes UODO przyjęła w swoim Urzędzie grupę pierwszoklasistów z jednej z warszawskich szkół podstawowych.
  • Podczas nietypowej lekcji dzieci poznały kluczowe zasady ochrony danych. Z bliska przyjrzały się też pracy UODO.
  • Prezes UODO wyjaśniła także dzieciom, jak ważna jest także ochrona sprzętów takich jak laptop lub tablet, a także dokumentów, np. dowód osobisty, które zawierają dane osobowe.

Źródło: https://uodo.gov.pl/pl/138/733    

Wypożyczalnie nadal biorą dowody osobiste w zastaw…

  • Portal Bankier.pl poruszył powracający co rok temat kopiowania lub brania w zastaw dowodów osobistych osób, które wypożyczają sprzęt narciarski w wypożyczalni. Odnotowano w 2019 roku wiele przypadków takiej praktyki.
  • Do sprawy odniosła się Prezes UODO wskazując, że o ile wypożyczalnie mają prawo wglądu w dowód osobistych i spisania z niego danych potrzebnych do ewentualnego dochodzenia roszczeń, o tyle praktyka brania ich w zastaw lub kopiowania jest niezgodna z prawem.
  • Prezes UODO radzi, jako alternatywne rozwiązanie, aby zostawić kaucję będącą gwarancją zwrócenia wypożyczonej rzeczy.

Źródło: https://www.bankier.pl/wiadomosc/Pozyczysz-narty-zostaniesz-slupem-UODO-odpowiada-na-nasz-tekst-7643715.html

Ktoś się nie bał i…ukradł

  • Szpital im. Jana Pawła II w Bełchatowie zamieścił na swojej stronie internetowej komunikat kierowany do osób, których dane dotyczą.
  • Doszło do kradzieży „Rejestru udostępnionej dokumentacji medycznej” z Rejestracji Przychodni Lekarza POZ w szpitalu.
  • Zakres utraconych danych to imię, nazwisko, PESEL pacjenta oraz wzór podpisu osoby, której udostępniono dokumentację.
  • Sprawa została zgłoszona również do organu nadzoru (PUODO).

Źródło: http://b24tv.pl/kradziez-danych-osobowych-z-przyszpitalnej-przychodni/    

Publiczny szalet to niezbyt dobre miejsce na przechowywanie dokumentów…

  • Do kradzieży dokumentów zawierających między innymi nakazy płatnicze podatkowe doszło w Bodzentynie.
  • Sprzątaczki zatrudnione przez gminę przechowywały dokumentację w „budynku” miejskiego szaletu, do którego złodzieje z łatwością się dostali.
  • Nakazy zawierały: imię, nazwisko, adres zamieszkania podatnika, powierzchnia gruntów, powierzchnia budynków.

Źródło: https://kielce.tvp.pl/41423819/wlamanie-do-szaletu-skradziono-listy-z-poufnymi-danymi-osobowymi-konsekwencje-moga-byc-surowe    

Panoptykon rozprawia się z KODO

  • Fundacja Panoptykon przeanalizowała z przymrużeniem oka projekt Kodeksu postępowania dla branży marketingowej (tzw. KODO).
  • Luźniejsza forma nie sprawia jednak, że autorzy komentarza nie mają zarzutów wobec błędnej, ich zdaniem, interpretacji RODO przez autorów Kodeksu.
  • Przykładowo: Kodeks zakłada, że zbieranie odpowiedzi na pytania w quizach, zbieranie danych podawanych w związku z udziałem w promocjach i programach lojalnościowych, jeżeli osoba, której dane dotyczą, poda szczególne kategorii danych, nie jest ich przetwarzaniem.

Źródło: https://panoptykon.org/kodo    

Bank powinien dbać o aktualne informacje o kliencie

  • Sąd Apelacyjny w Warszawie zmienił wyrok sądu I instancji i nakazał bankowi (pozwanemu) zapłatę powodowi zadośćuczynienia w kwocie 1 000 zł za naruszenie dóbr osobistych w postaci nieaktualnego wpisu o zaleganiu ze spłatą zobowiązania, co świadczyło negatywnie o powodzie.
  • Sąd stwierdził (na gruncie ustawy o ochronie danych osobowych z 1997 r.), że zdolność kredytowa stanowi dane osobowe, a bank nie dołożył szczególnej staranności w celu ochrony interesów powoda, skoro nie wykonał właściwie obowiązku przetwarzania jego danych osobowych.

Źródła: https://www.prawo.pl/prawo/zmiany-we-wpisie-do-rejestru-zadluzonych,374397.html, Wyrok Sądu Apelacyjnego w Warszawie z 12 grudnia 2018 r. (V ACa 651/17).

Apple miał politykę prywatności niezgodną z RODO

  • Sąd apelacyjny w Niemczech rozstrzygnął spór z 2012 roku i uznał, że 7 postanowień polityki prywatności Apple’a były niezgodne z przepisami RODO.
  • Sąd stwierdził, że choć polityka prywatności była z 2011 roku, to jej postanowienia (na dzień orzekania) powinny być zgodne z Rozporządzeniem.
  • Zarzuty dotyczyły przede wszystkim udostępniania danych osobowych podmiotom trzecim bez wiedzy i zgody osoby, której dane dotyczą.

Źródło: https://www.vzbv.de/pressemitteilung/datenschutzrichtlinie-von-apple-teilweise-rechtswidrig     

Nie lekceważ incydentów!

Konsekwencje mogą być opłakane…:)
Źródło: https://www.youtube.com/watch?v=-eQ215SImhw

O skanach dowodów po raz kolejny

  • Artykuł dotyczy przetwarzania skanów lub zdjęć dowodów osobistych przez kantor internetowy.
  • Autorka wskazuje, że ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu zawiera obowiązek nałożony m. in. na krajowe instytucje płatnicze, aby weryfikować klientów poprzez dokument stwierdzający tożsamość osoby fizycznej.
  • Jednocześnie art. 34 ust. 4 ustawy daje instytucjom zobowiązanym uprawnienie do sporządzania kopii dokumentów tożsamości.
  • Instytucje zobowiązane powołują się na ten przepis, wprowadzając tzw. wzmożone środki bezpieczeństwa finansowego, w szczególności jeśli transakcji można dokonywać drogą online.

Źródło: https://www.rkantor.com/newsy/n/skan-dowodu-osobistego-rodo-dlaczego-kantor-internetowy-wymag/

Kto nie chce szuka powodu

  • Autor artykułu stawia tezę, że wiele instytucji w przypadku wpływu do nich wniosku o udostępnienie informacji publicznej, działa w myśl zasady „jakiego użyć pretekstu, by jej nie udostępnić”.
  • Po 25 maja 2018 r. pretekstem do nieudostępniania informacji publicznej stało się RODO.
  • Autor przypomina, że ustawa o dostępie do informacji publicznej jest lex specialis w stosunku do przepisów RODO i udostępnienie informacji publicznej nie narusza przepisów Rozporządzenia.

Źródło: https://www.rp.pl/Urzednicy/302259974-Brak-jawnosci-bo-RODO-Nie-idzmy-ta-droga—komentuje-Wojciech-Klicki.html    

RODO w śmieciach

  • Dyrektor w UODO, Monika Krasińska, udzieliła wywiadu dotyczącego potencjalnego monitorowania osób fizycznych przy stosowaniu nowoczesnych technologii w zarządzaniu odpadami.
  • Przed dużym wyzwaniem stoją samorządy, które zdecydowały się na wprowadzenie RFID – jest to technika wykorzystująca fale radiowe do przesyłania danych o gromadzonych odpadach.
  • UODO przypomina o tym, że administratorzy danych, którzy wprowadzili RFID, powinni uwzględniać ochronę danych osobowych już w fazie projektowania rozwiązania.
  • Organ nadzoru zwraca również uwagę na to, że żadna gmina nie zwróciła się o uprzednie konsultacje po przeprowadzonej ocenie skutków dla ochrony danych. W razie kontroli UODO będzie jednak weryfikował, czy ocena ryzyka została przeprowadzona poprawnie.

Źródło: https://www.prawo.pl/samorzad/ochrona-danych-przy-stosowaniu-nowoczesnych-technologii-w,376729.html     

Brak dostępu do danych w Tarnowie

  • Przez kilka godzin utrudniona była praca Wydziału Geodezji i Nieruchomości Urzędu Miasta w Tarnowie.
  • System przestał prawidłowo funkcjonować z powodu włamania, informatycy ustalili, że za atakiem stoi automat, który próbował modyfikować komponenty oprogramowania bądź danych.
  • Nie doszło do wycieku danych osobowych, jednak sprawa została potraktowana jako czasowe naruszenie dostępu do danych – incydent zgłoszono na Policję oraz do Prezes UODO.

Źródło: http://www.rdn.pl/news/atak-hakerow-komputerowych-dane-tarnowskiego-magistratu    

Biblioteka w Kraśniku ofiarą ataku

  • Hakerzy włamali się do bazy danych jednej z filii Miejskiej Biblioteki Publicznej w Kraśniku.
  • Biblioteka zamieściła na swojej stronie internetowej krótki komunikat, iż mogło dojść do nieuprawnionego uzyskania dostępu do danych osobowych użytkowników biblioteki, a możliwą konsekwencją naruszenia jest utrata kontroli nad własnymi danymi osobowymi.
  • Włamywacz zażądał okupu w bitcoinach, a wiadomość z żądaniem okupu została wysłana z serwera w Chinach.
  • Biblioteka zgłosiła sprawę na Policję oraz do Prezes UODO.

Źródło: https://www.dziennikwschodni.pl/krasnik/atak-hakerski-na-biblioteke-ktos-mogl-uzyskac-do-danych-osobowych-uzytkownikow,n,1000238133.html

Poradnik dotyczący prawa dostępu

  • Brytyjski organ ochrony danych osobowych (ICO) opublikował na swojej stronie internetowej poradnik dla administratorów danych, który pomaga im w realizacji prawa dostępu do danych.
  • Poradnik jest w przystępnej formie checklisty przygotowania do przyjmowania wniosków osób, których dane dotyczą.
  • Oprócz tego ICO przygotowało wskazówki w formie Q&A (pytań i odpowiedzi).

Źródło: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/         

Dane szwedzkich pacjentów niezabezpieczone

  • Zapisy ponad 170 000 godzin połączeń (2,7 miliona połączeń głosowych) szwedzkiej rady opieki zdrowotnej przechowywane były na niezabezpieczonym hasłem ani innymi metodami serwerze.
  • Potwierdzono złamanie reguł bezpieczeństwa i zamknięto serwer, ustalono jednak, że 55 plików z połączeniami telefonicznymi zostało nielegalnie pobranych z siedmiu różnych adresów IP.
  • 9 plików zawierało dane osobowe identyfikujące dzwoniącego, a 16 kolejnych – numery telefonów dzwoniących.

Źródło: https://www.healthcareitnews.com/news/swedish-healthcare-advice-line-stored-27-million-patient-phone-calls-unprotected-web-server 

Holenderskie gminy rezygnują ze śledzenia Wi-Fi

  • Coraz więcej gmin i miast w Holandii, w ostatnim czasie m. in. Tilburg, zrezygnowało z zawierania umów z firmami zewnętrznymi, na mocy których dostarczały im dane z telefonów komórkowych osób odwiedzających gminę lub miasto i korzystających z gminnych/miejskich sieci Wi-Fi.
  • Okazało się, że zbierane były dane (adresy MAC) telefonów nie tylko korzystających z gminnych czy miejskich sieci, ale także telefonów, które z tego rozwiązania nie korzystały.

Źródło: https://www.trouw.nl/a/~a522858b/      

Dane nabywców drewna to informacja publiczna

  • Przedmiotem orzeczenia Wojewódzkiego Sądu Administracyjnego była odmowna decyzja Nadleśniczego o udzieleniu dostępu informacji publicznej w postaci danych osób fizycznych, które nabyły drewno od Nadleśnictwa do celów prywatnych – Nadleśniczy powołał się przy tym na przepisy RODO.
  • Sąd stwierdził, powołując się na art. 86 RODO, że dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny (…), mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem UE lub prawem państwa członkowskiego.
  • W ocenie sądu, podstawą udostępnienia danych osobowych w ramach dostępu do informacji publicznej jest art. 6 ust. 1 lit. e) RODO i udostępnienie ich nie naruszyłoby Rozporządzenia.

Źródło: Wyrok Wojewódzkiego Sądu Administracyjnego w Gdańsku z dnia 16 stycznia 2019 r. (I SA/Gd 685/18)

E-dowód debiutuje

  • Od poniedziałku 4 marca 2019 r. można składać wniosek o wydanie nowego dowodu osobistego z wbudowanym chipem (tzw. e-dowód).
  • Dzięki wbudowanej warstwie elektronicznej, zainteresowane osoby będą mogły używać e-dowodu do komunikacji z administracją publiczną i innymi podmiotami. To także bezpieczny środek identyfikacji elektronicznej (profil oraz podpis osobisty).
  • Zabezpieczeniem e-dowodów jest numer CAN.

Źródło: https://www.gov.pl/web/cyfryzacja/e-dowod-juz-od-poniedzialku    

Prawo jazdy już bez adresu zamieszkania

  • 4 marca 2019 r. był pierwszym dniem obowiązywania nowego wzoru dokumentu prawa jazdy, który przygotowało Ministerstwo Infrastruktury.
  • Wszystkie nowe prawa jazdy będą wydawane bez pola zawierającego adres zamieszkania posiadacza dokumentu.
  • Jednocześnie dotychczasowe prawa jazdy zachowują swoją ważność.

Źródło: https://auto.dziennik.pl/aktualnosci/artykuly/592677,prawo-jazdy-wymiana-kierowcy-dokument-adres-blankiet-ministerstwo.html

Facebook przetwarza numery telefonów (nie) tylko dla bezpieczeństwa

  • Dziennikarze brytyjscy ustalili, że Facebook, gromadząc numery telefonów użytkowników w celu zabezpieczenia kont za pomocą uwierzytelniania dwuskładnikowego, przetwarza je również w innych celach.
  • Testy wykazały, że Facebook udostępnia reklamodawcom numery telefonów w celu kierowania spersonalizowanych reklam, a także umożliwia wyszukiwanie użytkowników po numerze telefonu – w ustawieniach Facebooka domyślnie zaznaczoną opcją jest możliwość wyszukiwania w ten sposób przez „wszystkich”.

Źródło: https://www.teiss.co.uk/threats/facebook-phone-number-misuse/     

Policja może mieć problemy przez przeoczenie ustawodawcy

  • Grudniowa ustawa wdrażająca unijną dyrektywę policyjną znowelizowała m. in. ustawę o Policji – uchylono art. 20 ust. 2a ustawy, który precyzował katalog osób, których dane można przetwarzać. Mimo usunięcia przepisu, do nieistniejącej już obecnie normy odwołuje się art. 20 ust. 2b ustawy, który wskazuje, jakie kategorie danych Policja może zbierać.
  • MSWiA nie widzi problemu w odesłaniu do nieistniejącego przepisu i twierdzi, że policja może przetwarzać dane na podstawie przepisów ogólnych ustawy.
  • Eksperci uważają z kolei, że jest to ewidentne niedopatrzenie ustawodawcy i w aktualnym stanie prawnym policja nie ma podstawy prawnej do tego, aby przetwarzać szczególne kategorie danych osób fizycznych.

Źródło: https://prawo.gazetaprawna.pl/artykuly/1401188,rodo-krytyczny-blad-w-ustawie-o-policji.html      

Dane członków komisji wyborczej – PKW ostrzega

  • Państwowa Komisja Wyborcza poinformowała w komunikacie, że nie udziela patronatu stronom www zbierającym dane osobowe kandydatów na członków obwodowych komisji wyborczych.
  • Jednocześnie Krajowe Biuro Wyborcze zaleca ostrożność w udostępnianiu danych osobowych nieznanym podmiotom i przypomina: wyborca, który chce zaangażować się w pracę obwodowej komisji wyborczej w związku z wyborami do Parlamentu Europejskiego, powinien zgłosić się do właściwego komitetu wyborczego lub urzędu gminy.

Źródło: https://pkw.gov.pl/337_Informacje/1/33870_PKW_nie_patronuje_stronom_www_zbierajacych_dane_osobowe_kandydatow_na_czlonkow_komisji_wyborczych     

BuggyCow w systemie Apple macOS

  • Google ujawniło krytyczną podatność w systemie Apple’a o nazwie BuggyCow.
  • Podatność to tzw. zero-day, która pozwala atakującym na obejście zabezpieczeń wbudowanych w mechanizm zarządzania pamięcią systemu operacyjnego obsługującego komputery z logiem jabłuszka.
  • Jej zastosowanie wymaga od hakerów uprzedniego umieszczenia złośliwego oprogramowania na atakowanym komputerze.
  • Potencjalne skutki mogą być bardzo poważne.

Źródło: https://www.cyberdefence24.pl/krytyczna-podatnosc-bezpieczenstwa-w-systemie-apple-macos             

         

PUODO kwestionuje działania Poczty Polskiej

  • Wątpliwości Prezes UODO wzbudziła procedura Poczty Polskiej S.A. realizowania wpłat na rachunek bankowy przez tzw. zlecenie ustne. Stąd też organ nadzoru wystąpił do PP, jako administratora danych, o podjęcie stosownych działań.
  • Zdaniem PUODO, poprzez odbieranie zleceń w formie ustnej przez pracowników Poczty Polskiej od klientów może dochodzić do ujawnienia danych osobowych osobom trzecim.
  • Wspomniany sposób realizowania wpłaty na rachunek bankowy to jedno z kilku rozwiązań dostępnych dla klientów Poczty Polskiej. Jak wynika z otrzymanej przez Prezesa UODO informacji, która przyczyniła się do sformułowania wystąpienia, pracownicy poczty nie informują klientów o alternatywnym sposobie zrealizowania przelewu.

Źródło: https://uodo.gov.pl/pl/138/753                   

Pobieranie opłat za realizację praw jest nielegalne

  • Prezes UODO zawiadomiła Prokuratora Generalnego o podejrzeniu popełnienia przestępstwa przez spółkę, która jako administrator kilkunastu stron internetowych żąda pieniędzy (200 zł) za usunięcie wpisów zawierających dane osobowe.
  • Firma na swoich portalach (ma ich kilkanaście), przetwarza dane osobowe lekarzy, prawników, przedsiębiorców czy fachowców świadczących różnego rodzaju usługi.
  • Według PUODO, oprócz naruszenia RODO, mogło dojść również do popełnienia przestępstwa z art. 286 Kodeksu karnego (doprowadzenie do niekorzystnego rozporządzenia mieniem).

Źródło: https://uodo.gov.pl/pl/138/754          

RCP nie jest informacją publiczną

  • Do Wojewódzkiego Sądu Administracyjnego w Łodzi trafiła skarga na odmowę udostępnienia rejestru czynności przetwarzania w ramach dostępu do informacji publicznej.
  • Sąd podzielił zdanie organu, który odmówił dostępu, stwierdzając, że rejestr czynności przetwarzania ma charakter wewnętrzny i nie zawiera informacji o sprawach publicznych, lecz informację o sposobie gromadzenia danych osobowych.
  • RCP jest zatem, zdaniem sądu, nośnikiem informacji o charakterze wewnętrznym, porządkowym, ewidencyjnym, który ma służyć zapewnieniu m.in. porządku i bezpieczeństwa. Nie odnosi się natomiast do publicznej sfery działania organu i jako taki nie zawiera informacji publicznej.

Źródło: Wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi z dnia 12 lutego 2019 r. (II SAB/Łd 181/18)

           

Facebook uderza się w pierś

  • Facebook, poprzez oświadczenie Marka Zuckerberga, przyznaje się do tego, że portal społecznościowy nie posiada w tej chwili dobrej reputacji w zakresie rozwiązań chroniących prywatność.
  • Założyciel Facebooka planuje (w punktach) zapewnienie większej prywatności poprzez: prywatne interakcje, szyfrowanie wiadomości, interoperacyjność oraz wprowadzenie okresów przechowywania informacji, w tym danych osobowych.

Źródło: https://www.facebook.com/notes/mark-zuckerberg/a-privacy-focused-vision-for-social-networking/10156700570096634/       

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 11-18.02.2019 Pobierz

 

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 19-25.02.2019 Pobierz

 

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 26.02-03.03.2019 Pobierz

Pobierz plik PDF z prezentacją

Zakres czasowy aktualności: 04-11.03.2019 Pobierz

Powiązane artykuły

RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO