Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 15.12.2020

Czy nauczyciel może nagrywać ucznia w trakcie zajęć online? Czy aplikacja Kwarantanna Domowa jest zgodna z RODO? Jakie są wytyczne o zdalnym udzieleniu informacji o stanie pacjentów? Jakie dane wyciekły z polskiej armii? Czy JEDNA dokumentacja ochrony danych wystarczy dla kilku administratorów? O co Apple oskarża Facebooka? Jaką grzywnę i za co otrzymał Carrefour? Za co zostało ukarane Google i Amazon? O co UODO pyta MSWiA? Jaki jest stan prac nad kodeksami postępowania? Co znajdziecie w najnowszym numerze Newslettera UODO?

MULTIMEDIA

#RODOA [07.12.2020]
#RODOA [14.12.2020]
Pobierz PDFPobierz PDF

Google i Amazon ukarane za cookies

  • Google i Amazon zostały ukarane przez francuskiego regulatora karami w wysokości 100 oraz 35 mln euro;
  • grzywny są związane ze stosowaniem przez obie firmy niedozwolonych praktyk dotyczących plików cookies i brakiem zgód użytkowników na ich stosowanie;
  • w wyniku dochodzenia CNIL stwierdziła, że Google i Amazon na francuskich wersjach swoich stron internetowych nie wymagały od użytkowników ich zgód na stosowanie plików cookies oraz innych narzędzi śledzących zachowania internautów w sieci, głównie w celu kierowania do nich spersonalizowanych reklam;
  • zgodnie z decyzją CNIL kara ma być zapłacona przez Google za pośrednictwem oddziałów koncernu w USA i Irlandii, natomiast Amazon zapłaci grzywnę poprzez oddział w Luksemburgu;
  • francuski regulator orzekł, że Google i Amazon mają 3 miesiące na zmianę swoich praktyk dotyczących cookies – jeśli nie zrobią tego w terminie, to za każdy dzień opóźnienia zapłacą kwotę 100 tys. euro;
  • zarówno Google, jak i Amazon nie zgadzają się z decyzją podjętą przez CNIL i zapewniają, że konsekwentnie dbają o prywatność użytkowników;

Źródło: https://www.wirtualnemedia.pl/artykul/google-i-amazon-ukarane-we-francji-za-cookies-rekordowa-kara https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635706 https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635729

Nauczyciel może nagrywać ucznia podczas lekcji online

  • w Polsce nie ma przepisów, które przewidują nagrywanie lekcji online przez nauczyciel, jednak są wyjątkowe sytuacje, w których może to być uzasadnione, np. potrzebą udokumentowania wypowiedzi ucznia po to, by omówić z nim błędy, może też być prośba dot. nagrania ćwiczeń w ramach zdalnego wychowania fizycznego czy symulacja ustnego egzaminu maturalnego;
  • jeśli lekcja ma być nagrywana przez nauczyciela, to muszą być spełnione określone warunki – nie wystarczy samo poinformowanie i zgoda na dokonanie czynności;
  • należy wyraźnie wskazać cel nagrywania, podać, jak długo nagranie będzie przechowywane i kto uzyska do niego dostęp, czy będzie rozpowszechniane itd.;
  • jeśli uczniowie nie są osobami pełnoletnimi, to wymagana jest obligatoryjnie zgoda od ich rodziców lub opiekunów prawnych;
  • nauczyciel wykonuje swoje zadania w imieniu i na rzecz szkoły, która jest administratorem danych uczniów i ponosi odpowiedzialność za to, żeby wszystko było zgodne z obowiązującymi przepisami o ochronie danych osobowych – nie tylko chodzi o RODO, ale również o przepisy prawa oświatowego;

Źródło: https://www.money.pl/gospodarka/nauczyciel-moze-nagrywac-ucznia-podczas-lekcji-online-jednak-musi-miec-na-to-zgode-rodzicow-6583441464707648a.html

Aplikacja Kwarantanna Domowa jest zgodna z RODO?

  • model przetwarzania danych w aplikacji mobilnej Kwarantanna Domowa jest zgodny z wymaganiami RODO – zapewnia KPRM w informacji dla rzecznika praw obywatelskich.;
  • resort wskazał, że zgoda na dostęp do robienia i nagrywania filmów jest niezbędna do wykonywania zdjęć potwierdzających przebywanie na kwarantannie, lokalizacja jest zaś konieczna do poprawnego odczytu danych lokalizacyjnych pobytu osoby objętej kwarantanną;
  • KPRM zapewnia, że resort jako administrator danych osobowych użytkowników aplikacji, projektując ją, dołożył wszelkich starań w celu zapewnienia odpowiednich środków technicznych i organizacyjnych, aby przetwarzane były wyłącznie te dane osobowe użytkowników, które są niezbędne dla osiągnięcia celu przetwarzania, jakim jest monitoring realizacji kwarantanny osób, co do których istnieje podejrzenie, że mogą być nosicielami wirusa SARS-CoV-2 wywołującego chorobę COVID-19;
  • w zakresie technicznym zastosowano szyfrowanie danych, jak też szyfrowanie komunikacji między aplikacją a środowiskiem, na którym dane są przechowywane, dostęp administracyjny do aplikacji jest ograniczony tylko do niezbędnych osób technicznych, które łączą się bezpiecznymi połączeniami z ograniczonej listy IP;
  • aplikacja poddana została także m. in. procedurom privacy by design i privacy by default oraz DPIA;

Źródło: https://www.cyberdefence24.pl/aplikacja-kwarantanna-domowa-jest-zgodna-z-rodo

Wytyczne o zdalnym udzielaniu informacji o stanie pacjentów

  • Prezes Urzędu Ochrony Danych Osobowych we współpracy z Rzecznikiem Praw Pacjenta wydał wytyczne, które pozwolą zgodnie z RODO udzielić osobie bliskiej informacji o stanie zdrowia pacjenta w podmiotach udzielających mu świadczeń;
  • żaden z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta nie zakazuje komunikacji na odległość, ale potrzeba ochrony danych osobowych szczególnej kategorii – danych dotyczących zdrowia;
  • podmioty lecznicze powinny stworzyć odpowiednie warunki techniczne oraz organizacyjne, z których pacjenci w łatwy sposób będą mogli się komunikować – dlatego niezbędne jest przeprowadzenie analizy ryzyka dla procesu przekazywania danych na odległość pod kątem ochrony danych osobowych;
  • do kontaktu na odległość powinien być przygotowany dedykowany sprzęt – nie mogą być to prywatne komórki personelu;
  • rozmowa ma zmierzać do tego, aby potwierdzić tożsamość kontaktującego się;
  • zarówno w przypadku braku upoważnienia, jak i ustalenia tożsamości, personel powinien w trakcie kontaktu na odległość uprawdopodobnić tożsamość osoby kontaktującej się, zadając pytania kontrolne;
  • w przypadku wideorozmowy personel może poprosić o okazanie dokumentu potwierdzającego tożsamość bliskiego lub inny dokument uprawdopodobniający wspólną relacje (np. akt stanu cywilnego);

Źródło: https://www.prawo.pl/zdrowie/jak-lekarze-moga-zdalnie-iwytyczne-uodo-i-rzecznika-praw,504910.html https://uodo.gov.pl/pl/138/1787

Dane żołnierzy USA wyciekły z polskiego wojska

  • z wojskowego szpitala w Bydgoszczy wyciekły dane osobowe i medyczne ponad 600 żołnierzy i cywilnych pracowników armii wielu państw;
  • wszyscy byli pacjentami polskiego szpitala polowego podczas misji w Iraku w latach 2003-2005;
  • w ujawnionych dokumentach znajdują się dane osób z 16 krajów – najwięcej jest nazwisk Polaków, Amerykanów i Irakijczyków;
  • wśród danych są również te dotyczące wysokich oficerów polskiego wojska oraz pracowników służb specjalnych;
  • szefostwo szpitala w Bydgoszczy przekonuje nas, że dane skradziono – niektórzy twierdzą jednak, że tajne dokumenty były łatwo dostępne dla osób z zewnątrz i znajdowano je nawet w okolicach śmietników;
  • wraz z imionami i nazwiskami pacjentów podane są też ich stopnie wojskowe lub funkcje, imiona ojca, daty i miejsca urodzenia oraz daty przyjęcia i wypisu ze szpitala polowego, przy niektórych nazwiskach pojawiają się też dane medyczne;

Źródło: https://www.onet.pl/informacje/onetwiadomosci/z-polskiego-szpitala-wojskowego-wyciekly-dane-kilkuset-zolnierzy-z-kilkunastu-krajow/cel99ww,79cfc278

Kilku administratorów – jedna dokumentacja ochrony danych osobowych?

  • Prezes UODO odpowiedział na pytanie, czy administratorzy funkcjonujący w ramach tej samej jednostki mogą opracować wspólną dokumentację ochrony danych osobowych?
  • istnienie w strukturach, np. urzędu gminy czy starostwa, więcej niż jednego podmiotu będącego odrębnym administratorem, nie musi oznaczać konieczności stworzenia procedur i polityk ochrony danych osobowych w odrębnych dokumentach dla każdego z administratorów;
  • administratorzy funkcjonujący w ramach tej samej jednostki, biorąc pod uwagę strukturę i realizowane przez nich zadania, powinni dokonać oceny co do odpowiedniego w ich przypadku sposobu prowadzenia dokumentacji ochrony danych osobowych;
  • w sytuacji, gdy nie będzie możliwości objęcia jednym dokumentem procesów i procedur funkcjonujących u różnych administratorów, stworzenie odrębnego dokumentu może ułatwić tym administratorom przestrzeganie zasad ochrony danych i obowiązków określonych w różnych przepisach o ochronie danych osobowych;
  • każdy z administratorów – niezależnie od tego, czy będzie to wspólny dokument czy odrębne polityki – musi być bowiem w stanie wykazać, że wywiązał się ze wszystkich ciążących na nim obowiązków wynikających z przepisów o ochronie danych;

Źródło: https://uodo.gov.pl/pl/225/1782

Apple oskarża Facebooka

  • Apple skrytykowała Facebooka za próby gromadzenia tak dużej ilości danych użytkowników, jak tylko możliwe, jednocześnie firma stwierdziła, że będzie dążyć do wprowadzenia nowej funkcji ochrony prywatności – App Tracking Transparency;
  • Stworzyliśmy App Tracking Transparency z jednego powodu: ponieważ dzielimy państwa obawy dotyczące śledzenia użytkowników bez ich zgody oraz pakietowania i odsprzedaży danych przez sieci reklamowe i brokerów danych – napisała Jane Horvathn dyrektorka Apple’a ds. globalnej prywatności;
  • App Tracking Transparency to funkcja, która ma ograniczyć aplikacjom możliwość śledzenia użytkowników i stać się częścią systemu iOS 14 w przyszłym roku, po tym jak Apple we wrześniu ogłosiło opóźnienie jej wprowadzenia pod naciskiem lobby;
  • kiedy funkcja ta będzie włączona, każda aplikacja działająca na iPhone’ach lub iPadach będzie musiała zapytać użytkownika o pozwolenie, zanim uzyska dostęp do określonych danych, które można wykorzystać do śledzenia ich w innych aplikacjach;
  • po ogłoszeniu przez Apple wdrożenia takiego rozwiązania najgłośniej protestującą wobec tego pomysłu firmą był Facebook – jednak Apple ma krytyczny stosunek do sposobu, w który Facebook targetuje reklamy;
  • pomysł Apple spotkał się z przychylnością inicjatywy The Ranking Digital Rights (RDR) złożonej m.in. z organizacji takich jak Access Now, Amnesty International i Electronic Frontier Foundation;

Źródło: https://tech.wp.pl/apple-oskarza-facebooka-chodzi-o-prywatnosc-uzytkownikow-6581535427812320a

Carrefour z grzywną 2 250 000 EUR

  • CNIL nałożył na Carrefour France grzywnę w wysokości 2,25 mln euro za naruszenia RODO i kodeksów łączności elektronicznej;
  • CNIL stwierdził, że Carrefour France, między innymi, przechował dane ponad 28 milionów nieaktywnych klientów w ramach programu lojalnościowego przez zbyt długi okres i z naruszeniem art. 5 ust. 1 RODO;
  • spółka miała również nieodpowiednio reagować na żądania klientów dotyczące usunięcia ich danych, a także nie uwzględniać sprzeciwów klientów wobec wiadomości SMS i telemarketingu;
  • ponadto CNIL zauważył, że Carrefour France nie wywiązał się ze swojego obowiązku ułatwienia wykonywania praw osoby, której dane dotyczą, żądając nadmiernie danych z dowodu tożsamości w celu wykonywania wspomnianych praw i nie przestrzegając terminów określonych dla odpowiadania na prawa osoby, której dane dotyczą;
  • CNIL stwierdził również, że Carrefour France nie podał odpowiednich informacji na temat przekazywania danych i podstawy prawnej przetwarzania na swojej stronie internetowej oraz nie podał informacji w łatwo zrozumiałym formacie;
  • Carrefour France dodatkowo automatycznie umieszczał pliki cookie na urządzeniach użytkowników w momencie uzyskania przez nich dostępu do strony internetowej, bez uprzedniego uzyskania zgody użytkowników na stosowanie plików cookie;

Źródło: https://www.dataguidance.com/news/france-cnil-imposes-%E2%82%AC225m-fine-carrefour-france-gdpr

Duży wyciek polis ubezpieczeniowych

  • nastąpił groźny wyciek polis ubezpieczeniowych – do sieci przedostała się cała masa informacji prywatnych osób, które zawarły umowy z różnymi towarzystwami;
  • serwis Niebezpiecznik poinformował o ogromnym wycieku polis ubezpieczeniowych, który miał miejsce pod koniec listopada;
  • informacji, które wyciekły, jest naprawdę dużo i w ich skład wchodzą kopie umów i polis ubezpieczeniowych (wraz z prywatnymi danymi), wyniki badań onkologicznych czy nawet dokumenty z audytu RODO;
  • wyciek obejmował polisy z okresu od maja 2015 roku do listopada 2020 roku;
  • portal skontaktował się z firmą Ent Broker, z której serwera dane wyciekły;
  • z początku jej włodarze ewidentnie nie chcieli wierzyć w to, co się stało – po czasie rozpoczęły się jednak działania mające na celu usunięcie danych z internetu;

Źródło: https://www.komputerswiat.pl/aktualnosci/wydarzenia/duzy-wyciek-polis-ubezpieczeniowych-numery-pesel-zdjecia-pojazdow-czy-wyniki-badan/cqt4qp9 https://niebezpiecznik.pl/post/potezny-wyciek-polis-ubezpieczeniowych-zawartych-z-roznymi-towarzystwami/

UODO pyta MSWiA o dowody osobiste z błędami

  • MSWiA przyznało oficjalnie, że do obywateli zostało wysłanych 249 dowodów osobistych z wadą techniczną – według nieoficjalnych źródeł mogło zostać wyprodukowanych nawet 10 tysięcy dokumentów zawierających błąd
  • wada polega na tym, że o ile plastikowy dokument jest wydrukowany z poprawnymi danymi, to warstwa elektroniczna została zaprogramowana błędnie – są na niej dane innej, żyjącej osoby
  • Prezes UODO zwrócił się o do szefa MSWiA o odpowiedzi na szereg pytań – dał pięć dni na ich udzielenie
  • organ chce wiedzieć m.in.: – w jakim czasie były wydawane dowody z błędem; – w jaki dokładnie sposób MSWiA ustaliło liczbę wadliwie spersonalizowanych e-dowodów; – czy została przeprowadzona analiza, która dałaby odpowiedź na pytanie, czy doszło do naruszenia ochrony danych osobowych i czy w związku z tym MSWiA miało obowiązek zawiadomić organ nadzorczy; – jakie działania podjęło MSWiA, by nie dopuścić do podobnych błędów w przyszłości

Źródło: https://tvn24.pl/polska/e-dowody-osobiste-z-bledami-szef-urzedu-ochrony-danych-osobowych-prosi-mswia-o-wyjasnienia-4771635

Stan prac nad kodeksami postępowania

  • portal GDPR.pl wystąpił do organów nadzorczych z krajów UE z serią pytań, z których jedno dotyczyło stanu prac nad kodeksami postępowania
  • w Unii Europejskiej zgłoszono organom nadzorczym kilkadziesiąt kodeksów – liderem rankingu jest Norwegia (19 projektów)
  • Polska plasuje się na drugim miejscu z ośmioma projektami, które wpłynęły do Prezesa UODO
  • trzy pierwsze zatwierdzone kodeksy dotyczą reklamy (Hiszpania), IT (Niderlandy) i adwokatury (Słowacja)
  • z informacji przekazanych przez UODO, wynika, że przedstawiciele wielu branż wyrażali wstępne zainteresowanie stworzeniem kodeksów postępowania, jednak, po wyjaśnieniu szczegółowych oczekiwań rezygnowali oni z przedstawienia projektu albo wydłużali prace koncepcyjne
  • projekty kodeksów postępowania, które zostały przedłożone do zatwierdzenia organowi nadzorczemu, różnią się od siebie zarówno pod względem m.in. przyjętej metodologii, obszerności regulacji, jak i szczegółowości zaproponowanych rozwiązań
  • Prezes UODO prowadzi postępowania w sprawie zatwierdzenia kodeksów postępowania, które aktualnie są w końcowej fazie, a pierwszy kodeks postępowania przygotowany w oparciu o przepisy RODO, może zostać zatwierdzony jeszcze w tym roku

Źródło: https://gdpr.pl/stan-prac-nad-kodeksami-postepowania-w-wybranych-panstwach-ue

Grudniowy numer newslettera UODO dla IOD (1)

  • w najnowszym, grudniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

1.WERYFIKOWANIE KARALNOŚCI PRACOWNIKÓW FIRM OCHRONIARSKICH

  • przedsiębiorcy świadczący usługi w zakresie ochrony osób i mienia mogą sprawdzać jedynie karalność pracowników ochrony – nie wolno im tego robić w odniesieniu do innych zatrudnianych osób

2.OBSŁUGA PRAWNA PODMIOTÓW NIE WYMAGA ZAWARCIA UMÓW POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

  • kancelaria prawna jest odrębnym administratorem – zawierając z nią umowę dotyczącą obsługi prawnej, nie ma potrzeby podpisywania umowy powierzenia przetwarzania danych osobowych

3.IOD NIE MOŻE PODLEGAĆ SEKRETARZOWI MIASTA

  • zgodnie z przepisami RODO, IOD ma bezpośrednio podlegać najwyższemu kierownictwu – Natomiast sekretarz w wykonywaniu swoich obowiązków podlega wójtowi, burmistrzowi lub prezydentowi miasta, Byłby więc dodatkowym ogniwem pośredniczącym między administratorem a IOD

Grudniowy numer newslettera UODO dla IOD (2)

4.KOPIOWANIE DOWODÓW OSOBISTYCH LUB PASZPORTÓW PRZEZ OKRĘGOWE IZBY LEKARSKIE

  • okręgowe izby lekarskie nie powinny sporządzać ani przechowywać w aktach osobowych lekarzy i lekarzy dentystów kserokopii dowodów osobistych lub paszportów

5.OMAWIANE KARY

  • Norwegia: kara 13,9 tys. euro za przetwarzanie danych samozatrudnionego bez podstawy prawnej
  • Litwa: 15 tys. euro za nieprawidłowe przetwarzanie danych rodziców adoptowanego dziecka

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod Źródło: https://uodo.gov.pl/pl/225/1782

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

RODO aktualności
RODO aktualności – 25.01.2021 r.
RODO aktualności
RODO aktualności – 13.01.2021
RODO aktualności
RODO aktualności – 30.12.2020

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.