RODO aktualności – 08.04.2021 r.

• do 23 kwietnia 2021 r. EROD przyjmuje uwagi dotyczące Wytycznych 02/2021 w sprawie wirtualnych asystentów głosowych
• Wytyczne w sprawie wirtualnych asystentów głosowych mają na celu ustalenie najistotniejszych wyzwań związanych z przestrzeganiem przepisów przez wirtualnych asystentów głosowych oraz przedstawienie zainteresowanym stronom zaleceń jak sobie z nimi radzić
• uwagi należy przesłać najpóźniej do 23 kwietnia 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD

Źródło: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=1488 https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-022021-virtual-voice-assistants_pl https://uodo.gov.pl/pl/414/1965

• jak wynika z raportu firmy Veeam na temat ochrony danych w 2021 roku (Veeam Data Protection Report 2021), problemy z ochroną danych utrudniają transformację cyfrową przedsiębiorstwom na całym świecie
• ponad 3000 osób, które podejmują decyzje dotyczące technologii informatycznych w globalnych przedsiębiorstwach, wypowiedziało się na temat swojego podejścia do ochrony danych i zarządzania nimi
• respondenci stwierdzili, że stosowane przez nich funkcje ochrony danych nie nadążają za wymaganiami transformacji cyfrowej
• choć tworzenie kopii zapasowych jest ważnym elementem nowoczesnych systemów ochrony danych, to 14% wszystkich danych nie jest w ogóle kopiowane, a ich odtwarzanie nie udaje się w 58% przypadków
• dane przedsiębiorstw pozostają więc niezabezpieczone, a po atakach cybernetycznych nie można ich odtworzyć
• ponadto często zdarzają się nieoczekiwane przestoje – w ciągu minionych 12 miesięcy doświadczyło ich 95% przedsiębiorstw, a co czwarty serwer miał co najmniej jeden taki przestój
• przestoje i utrata danych wpływają na wyniki finansowe przedsiębiorstw. – zdaniem ponad połowy dyrektorów narażają one firmę na utratę zaufania klientów, pracowników i akcjonariuszy

Źródło: https://ceo.com.pl/nawet-58-prob-przywracania-kopii-zapasowych-konczy-sie-niepowodzeniem-nowy-raport-veeam-76127

• niepełnosprawni mają duży problem z odwołaniem się od orzeczeń powiatowych lub wojewódzkich zespołów do spraw orzekania o niepełnosprawności – a to za sprawą lakonicznych uzasadnień, które nie wyjaśniają powodu ustalenia określonego stopnia niepełnosprawności, braku wskazań co do potrzeb niepełnosprawnego
• zespoły orzekające o niepełnosprawności lub stopniu niepełnosprawności nie podają szczegółów w uzasadnieniach decyzji odmownych tłumacząc się ochroną danych osobowych
• rzecznik prasowy UODO stwierdził, że RODO w wielu przypadkach stało się wymówka dla niektórych podmiotów do tego, by np. nie przekazywać pewnych danych
• organ podkreśla, że w wielu przypadkach zastosowanie mają przepisy szczególne, a nie regulacje dotyczące ochrony danych osobowych – również i w tym przypadku zasady orzekania o niepełnosprawności uregulowane są w ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, a także w rozporządzeniu ministra gospodarki, pracy i polityki społecznej z dnia 15 lipca 2003 r. w sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności

Źródło: https://www.prawo.pl/kadry/czy-rodo-uniemozliwia-uzasadnienie-odmow-dla-niepelnosprawnych,507332.html

• władze stolicy nie chcą realizować darmowych transmisji ze ślubów zawieranych w USC, choć podobne praktyki są realizowane np. w Gdyni – tłumaczy się to tym, że relacje na żywo mogą zorganizować sobie same młode pary
• jedna z radnych stołecznych zwróciła się do prezydenta m.st. Warszawy z interpelacją, w której wnioskowała, aby miasto wprowadziło transmisje on-line z uroczystości ślubnych – odpowiedź była negatywna
• sekretarz miasta wskazał, że USC nie może realizować transmisji, bo nie pozwalają na to przepisy RODO – Pozyskując i przetwarzając jakiekolwiek dane osobowe, na każdym etapie jesteśmy zobowiązani do ich właściwego zabezpieczania i sprawowania nad nimi wyłącznej kontroli
• Platforma YouTube jako część Googla i zasady, na jakich przetwarza dane osobowe, znajdują się poza faktyczną kontrolą użytkowników, w tym naszą jako Urzędu m.st. Warszawy. Korzystanie z usług cyfrowych dostarczanych przez ten podmiot jest obarczone ryzykiem, ponieważ nie obowiązują go regulacje dotyczące przetwarzania danych osobowych zgodne z RODO – tłumaczył sekretarz

Źródło https://wiadomosci.dziennik.pl/wydarzenia/artykuly/8126360,slub-warszawa-urzad-stanu-cywilnego-darmowa-transmisja.html

• przekazując w kwietniu 2020 r. dane obywateli Poczcie Polskiej na zapowiadane wybory korespondencyjne na Prezydenta RP, Minister Cyfryzacji działał bez podstawy prawnej – WSA w Warszawie uwzględnił skargę RPO, który wniósł o uznanie tej czynności ministra za bezskuteczną
• 22 kwietnia 2020 r. Minister Cyfryzacji udostępnił Poczcie Polskiej dane osobowe z rejestru PESEL dotyczące obywateli polskich – jak wynika z wyjaśnień z MC, jakie otrzymał RPO, dane obywateli zapisano na płycie DVD i zabezpieczono hasłem
• płytę przekazano osobie reprezentującej Pocztę Polską po zweryfikowaniu jej tożsamości, a hasło do danych zapisanych na płycie nie zostało przekazane razem z płytą lecz osobnym kanałem komunikacyjnym
• przekazane dane obejmowały: PESEL, imię (imiona), nazwisko oraz adres
• w skardze do WSA RPO wskazał, że ustawa nie dawała podstaw do wydania spółce Poczta Polska płyty z danymi obywateli
• RODO pozwala na przetwarzanie danych osobowych wyłącznie kiedy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – takiej podstawy prawnej nie było

Źródło: https://www.rpo.gov.pl/pl/content/rpo-minister-cyfryzacji-przekazanie-poczcie-rejestru-pesel-wybory-bezskuteczne

• czytelnik portalu Niebezpiecznik zgłosił naruszenie danych, które miało miejsce w jego w serwisie Pacjent.gov.pl
• na jego profilu pojawiło się “nadmiarowe dziecko” – dziecko leczy się na problemy skórne, mieszka w Warszawie, leczy się w określonej przychodni (czytelnikowi udało się nawet porozmawiać z jego lekarzem)
• czytelnik zauważył, że PESEL „nadmiarowego dziecka” D.S. przypomina PESEL jednego z jego dziecka – jest wysoce prawdopodobne, że numery różnią się tylko jedną cyfrą
• Biuro Komunikacji MZ tłumaczy, że w przypadku NFZ czy 500+ dane te są pobierane automatycznie z odpowiednich rejestrów i w tych właśnie przypadkach dochodzi najczęściej do błędów, które mogą być spowodowane m.in. złym wprowadzeniem niepoprawnych danych do rejestru – np. podczas ubezpieczenia dziecka przez pracodawcę nastąpi pomyłka w PESEL’u dziecka, co powoduje, że dana osoba, która ubezpiecza swoje dziecko może widzieć nie swoje dziecko
• UODO poinformował, że opisywany incydent nie został zgłoszony do UODO zarówno przez Ministra Zdrowia, jak i Centrum e-Zdrowia
• w związku z przedstawionymi przez redakcję Niebezpiecznika nieprawidłowościami w funkcjonowaniu serwisu pacjent.gov.pl, organ zwrócił się do Ministra Zdrowia o złożenie stosownych wyjaśnień w tej sprawie

Źródło: https://niebezpiecznik.pl/post/powazne-naruszenie-w-pacjent-gov-pl-i-nic-nie-bylo-zgloszone-do-uodo-nikt-nie-czul-sie-odpowiedzialny/

• 475 tys. euro kary nałożył na Booking.com holenderski Urząd Ochrony Danych Osobowych
• powodem jest zbyt późne zgłoszenie przez największy portal rezerwacyjny w Europie kradzieży danych osobowych kilku tysięcy jego klientów
• w grudniu 2018 roku przestępcy pozyskali dane osobowe 4109 klientów serwisu
• przestępcy udający, że są pracownikami hoteli, próbowali wyłudzić pieniądze od klientów firmy
• Booking.com został powiadomiony o naruszeniu danych 13 stycznia 2019 roku, jednak zgłosił to AP dopiero 7 lutego – naruszenie danych należy zgłosić w ciągu 72 godzin
• jak poinformowano PAP w amsterdamskiej siedzibie Booking.com, firma nie będzie wnosiła odwołania i akceptuje nałożoną karę

Źródło: https://businessinsider.com.pl/wiadomosci/kara-dla-bookingcom-za-wyciek-danych-w-holandii/m83sx4z

Czy wobec osób z władz związku zawodowego trzeba spełniać obowiązek informacyjny?

• dane osób fizycznych pełniących funkcje członków zarządu związku zawodowego są danymi osobowymi w rozumieniu przepisów o ochronie danych osobowych. Wobec tego administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub art. 14 RODO, chyba że zachodzi jedna z przesłanek zwalniających go z tego obowiązku
• jedną z takich sytuacji jest przypadek, w którym pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą (art. 14 ust. 5 lit c RODO)

Źródło: https://uodo.gov.pl/pl/225/1990

Czy komornikowi należy udostępnić dane w postaci rachunku bankowego pracownika?

• udostępnienie danych komornikowi będzie następowało zatem w wykonaniu obowiązku nałożonego przepisem prawa na administratora na podstawie art. 6 ust 1 lit c RODO w połączeniu z właściwym przepisem procedury cywilnej, w zależności od tego, jaki cel lub podstawę prawną powołał komornik

Źródło: https://uodo.gov.pl/pl/225/1991

Jakie informacje można publikować w BIP wz. z ustaleniem przebiegu granic działek ewidencyjnych?

• § 38 ust. 4 rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków wskazuje, w jakich przypadkach i przez jaki okres czasu starosta jest zobowiązany do udostępnienia na stronach internetowych Biuletynu Informacji Publicznej oraz na tablicy ogłoszeń starostwa powiatowego informacji określonych w ust. 2 pkt 1-3 tego paragrafu w celu zawiadomienia właściwych osób o czynnościach podjętych w celu ustalenia przebiegu granic działek ewidencyjnych
• przepis jednoznacznie wskazuje, że zamieszczenie informacji następuje na żądanie wykonawcy, ale niezależnie od tego, w jakim zakresie czy formie wykonawca przekazał te informacje staroście, udostępnieniu w BIP i na tablicy ogłoszeń powinny podlegać jedynie te informacje, które podane są w § 38 ust. 2 pkt 1-3, a nie obejmują one imienia i nazwiska

Źródło: https://uodo.gov.pl/pl/225/1992

• austriacki organ nadzorczy z zakresu ochrony danych (Datenschutzbehörde) opublikował decyzję, w której uznał informacje o negatywnym wyniku testu na obecność COVID-19 za dane dotyczące zdrowia
• organ uznał, przekazywanie takich informacji przez centrum medyczne stronie trzeciej za zgodne z RODO
• decyzja była wynikiem skargi osoby fizycznej, która po poddaniu się dobrowolnemu badaniu na obecność koronawirusa otrzymała informację o negatywnym wyniku testu nie tylko od centrum medycznego, w którym przeprowadzano test, ale również SMSem od urzędu administracji okręgowej

Źródło

• firma przewoźnicza PEKAES została zhakowana 12 lutego 2021 r.
• w wyniku włamania nastąpiła awaria systemów informatycznych, które zostały zainfekowane złośliwym oprogramowaniem
• jedna z grup hakerskich, DarkSide, właśnie opublikowała 65 gigabajtów danych, jakie pochodzą z zaatakowanych serwerów PEKAES
• wykradzione informacje to między innymi: dane finansowe, dane pracowników PEKAES, dane klientów i dane dot. kontraktów, dane dotyczące COVID-19
• DarkSide zamieścił także zrzut ekranu przykładowych danych, w których znajdują się hasła i loginy, umowy pracowników, rejestry wypadków przy pracy, czy karty wywiadu COVID
• dane PEKAES-u mają być dostępne przez 6 miesięcy od momentu ich publikacji – jeśli PEKAES zapłaci okup to dane znikną ze strony DarkSide
• w tym momencie sytuacja jest jeszcze nie rozwiązana

Źródło: https://www.dobreprogramy.pl/PEKAES-zhakowany.-Sprawcy-publikuja-65-GB-danych-z-wlamania,News,114146.html

• do Internetu wyciekły dane kont ponad 533 mln użytkowników Facebooka
• ofiarą cyberataku padła baza danych, zawierająca imiona i nazwiska, indywidualne ID przypisywane przez Facebooka każdemu użytkownikowi, daty urodzenia, informacje o lokalizacji, a w niektórych przypadkach także adresy e-mail, numery telefonów i dane biograficzne
• wykradziono dane użytkowników ze 106 krajów na świecie – wśród nich są 32 mln Amerykanów, 11 mln mieszkańców Wielkiej Brytanii, a także 2,6 mln Polaków
• serwis tłumaczy, że o wycieku wie, ale niewiele może z nim zrobić, bo usterkę, która do niego doprowadziła już dawno naprawiono
• przedstawiciele Facebooka tłumaczą, że to stare dane, o których informowano wcześniej w 2019 roku – błąd miał być znany i naprawiony już w sierpniu 2019″ – poinformowali w mediach społecznościowych przedstawiciele Facebooka
• dane dostępne są na jednym z forów hakerskich

Źródło: https://businessinsider.com.pl/media/gigantyczny-wyciek-danych-z-facebooka-15-tys-uzytkownikow-z-zawodem-szlachta-nie/vwhwlfv https://www.money.pl/gospodarka/gigantyczny-wyciek-danych-facebooka-ujawnione-informacje-ponad-500-mln-osob-6625384604727872a.html