RODO aktualności – 15.12.2020

• w Polsce nie ma przepisów, które przewidują nagrywanie lekcji online przez nauczyciel, jednak są wyjątkowe sytuacje, w których może to być uzasadnione, np. potrzebą udokumentowania wypowiedzi ucznia po to, by omówić z nim błędy, może też być prośba dot. nagrania ćwiczeń w ramach zdalnego wychowania fizycznego czy symulacja ustnego egzaminu maturalnego;
• jeśli lekcja ma być nagrywana przez nauczyciela, to muszą być spełnione określone warunki – nie wystarczy samo poinformowanie i zgoda na dokonanie czynności;
• należy wyraźnie wskazać cel nagrywania, podać, jak długo nagranie będzie przechowywane i kto uzyska do niego dostęp, czy będzie rozpowszechniane itd.;
• jeśli uczniowie nie są osobami pełnoletnimi, to wymagana jest obligatoryjnie zgoda od ich rodziców lub opiekunów prawnych;
• nauczyciel wykonuje swoje zadania w imieniu i na rzecz szkoły, która jest administratorem danych uczniów i ponosi odpowiedzialność za to, żeby wszystko było zgodne z obowiązującymi przepisami o ochronie danych osobowych – nie tylko chodzi o RODO, ale również o przepisy prawa oświatowego;

Źródło: https://www.money.pl/gospodarka/nauczyciel-moze-nagrywac-ucznia-podczas-lekcji-online-jednak-musi-miec-na-to-zgode-rodzicow-6583441464707648a.html

• model przetwarzania danych w aplikacji mobilnej Kwarantanna Domowa jest zgodny z wymaganiami RODO – zapewnia KPRM w informacji dla rzecznika praw obywatelskich.;
• resort wskazał, że zgoda na dostęp do robienia i nagrywania filmów jest niezbędna do wykonywania zdjęć potwierdzających przebywanie na kwarantannie, lokalizacja jest zaś konieczna do poprawnego odczytu danych lokalizacyjnych pobytu osoby objętej kwarantanną;
• KPRM zapewnia, że resort jako administrator danych osobowych użytkowników aplikacji, projektując ją, dołożył wszelkich starań w celu zapewnienia odpowiednich środków technicznych i organizacyjnych, aby przetwarzane były wyłącznie te dane osobowe użytkowników, które są niezbędne dla osiągnięcia celu przetwarzania, jakim jest monitoring realizacji kwarantanny osób, co do których istnieje podejrzenie, że mogą być nosicielami wirusa SARS-CoV-2 wywołującego chorobę COVID-19;
• w zakresie technicznym zastosowano szyfrowanie danych, jak też szyfrowanie komunikacji między aplikacją a środowiskiem, na którym dane są przechowywane, dostęp administracyjny do aplikacji jest ograniczony tylko do niezbędnych osób technicznych, które łączą się bezpiecznymi połączeniami z ograniczonej listy IP;
• aplikacja poddana została także m. in. procedurom privacy by design i privacy by default oraz DPIA;

Źródło: https://www.cyberdefence24.pl/aplikacja-kwarantanna-domowa-jest-zgodna-z-rodo

• Prezes Urzędu Ochrony Danych Osobowych we współpracy z Rzecznikiem Praw Pacjenta wydał wytyczne, które pozwolą zgodnie z RODO udzielić osobie bliskiej informacji o stanie zdrowia pacjenta w podmiotach udzielających mu świadczeń;
• żaden z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta nie zakazuje komunikacji na odległość, ale potrzeba ochrony danych osobowych szczególnej kategorii – danych dotyczących zdrowia;
• podmioty lecznicze powinny stworzyć odpowiednie warunki techniczne oraz organizacyjne, z których pacjenci w łatwy sposób będą mogli się komunikować – dlatego niezbędne jest przeprowadzenie analizy ryzyka dla procesu przekazywania danych na odległość pod kątem ochrony danych osobowych;
• do kontaktu na odległość powinien być przygotowany dedykowany sprzęt – nie mogą być to prywatne komórki personelu;
• rozmowa ma zmierzać do tego, aby potwierdzić tożsamość kontaktującego się;
• zarówno w przypadku braku upoważnienia, jak i ustalenia tożsamości, personel powinien w trakcie kontaktu na odległość uprawdopodobnić tożsamość osoby kontaktującej się, zadając pytania kontrolne;
• w przypadku wideorozmowy personel może poprosić o okazanie dokumentu potwierdzającego tożsamość bliskiego lub inny dokument uprawdopodobniający wspólną relacje (np. akt stanu cywilnego);

Źródło: https://www.prawo.pl/zdrowie/jak-lekarze-moga-zdalnie-iwytyczne-uodo-i-rzecznika-praw,504910.html https://uodo.gov.pl/pl/138/1787

• z wojskowego szpitala w Bydgoszczy wyciekły dane osobowe i medyczne ponad 600 żołnierzy i cywilnych pracowników armii wielu państw;
• wszyscy byli pacjentami polskiego szpitala polowego podczas misji w Iraku w latach 2003-2005;
• w ujawnionych dokumentach znajdują się dane osób z 16 krajów – najwięcej jest nazwisk Polaków, Amerykanów i Irakijczyków;
• wśród danych są również te dotyczące wysokich oficerów polskiego wojska oraz pracowników służb specjalnych;
• szefostwo szpitala w Bydgoszczy przekonuje nas, że dane skradziono – niektórzy twierdzą jednak, że tajne dokumenty były łatwo dostępne dla osób z zewnątrz i znajdowano je nawet w okolicach śmietników;
• wraz z imionami i nazwiskami pacjentów podane są też ich stopnie wojskowe lub funkcje, imiona ojca, daty i miejsca urodzenia oraz daty przyjęcia i wypisu ze szpitala polowego, przy niektórych nazwiskach pojawiają się też dane medyczne;

Źródło: https://www.onet.pl/informacje/onetwiadomosci/z-polskiego-szpitala-wojskowego-wyciekly-dane-kilkuset-zolnierzy-z-kilkunastu-krajow/cel99ww,79cfc278

• Prezes UODO odpowiedział na pytanie, czy administratorzy funkcjonujący w ramach tej samej jednostki mogą opracować wspólną dokumentację ochrony danych osobowych?
• istnienie w strukturach, np. urzędu gminy czy starostwa, więcej niż jednego podmiotu będącego odrębnym administratorem, nie musi oznaczać konieczności stworzenia procedur i polityk ochrony danych osobowych w odrębnych dokumentach dla każdego z administratorów;
• administratorzy funkcjonujący w ramach tej samej jednostki, biorąc pod uwagę strukturę i realizowane przez nich zadania, powinni dokonać oceny co do odpowiedniego w ich przypadku sposobu prowadzenia dokumentacji ochrony danych osobowych;
• w sytuacji, gdy nie będzie możliwości objęcia jednym dokumentem procesów i procedur funkcjonujących u różnych administratorów, stworzenie odrębnego dokumentu może ułatwić tym administratorom przestrzeganie zasad ochrony danych i obowiązków określonych w różnych przepisach o ochronie danych osobowych;
• każdy z administratorów – niezależnie od tego, czy będzie to wspólny dokument czy odrębne polityki – musi być bowiem w stanie wykazać, że wywiązał się ze wszystkich ciążących na nim obowiązków wynikających z przepisów o ochronie danych;

Źródło: https://uodo.gov.pl/pl/225/1782

• Apple skrytykowała Facebooka za próby gromadzenia tak dużej ilości danych użytkowników, jak tylko możliwe, jednocześnie firma stwierdziła, że będzie dążyć do wprowadzenia nowej funkcji ochrony prywatności – App Tracking Transparency;
• Stworzyliśmy App Tracking Transparency z jednego powodu: ponieważ dzielimy państwa obawy dotyczące śledzenia użytkowników bez ich zgody oraz pakietowania i odsprzedaży danych przez sieci reklamowe i brokerów danych – napisała Jane Horvathn dyrektorka Apple’a ds. globalnej prywatności;
• App Tracking Transparency to funkcja, która ma ograniczyć aplikacjom możliwość śledzenia użytkowników i stać się częścią systemu iOS 14 w przyszłym roku, po tym jak Apple we wrześniu ogłosiło opóźnienie jej wprowadzenia pod naciskiem lobby;
• kiedy funkcja ta będzie włączona, każda aplikacja działająca na iPhone’ach lub iPadach będzie musiała zapytać użytkownika o pozwolenie, zanim uzyska dostęp do określonych danych, które można wykorzystać do śledzenia ich w innych aplikacjach;
• po ogłoszeniu przez Apple wdrożenia takiego rozwiązania najgłośniej protestującą wobec tego pomysłu firmą był Facebook – jednak Apple ma krytyczny stosunek do sposobu, w który Facebook targetuje reklamy;
• pomysł Apple spotkał się z przychylnością inicjatywy The Ranking Digital Rights (RDR) złożonej m.in. z organizacji takich jak Access Now, Amnesty International i Electronic Frontier Foundation;

Źródło: https://tech.wp.pl/apple-oskarza-facebooka-chodzi-o-prywatnosc-uzytkownikow-6581535427812320a

• CNIL nałożył na Carrefour France grzywnę w wysokości 2,25 mln euro za naruszenia RODO i kodeksów łączności elektronicznej;
• CNIL stwierdził, że Carrefour France, między innymi, przechował dane ponad 28 milionów nieaktywnych klientów w ramach programu lojalnościowego przez zbyt długi okres i z naruszeniem art. 5 ust. 1 RODO;
• spółka miała również nieodpowiednio reagować na żądania klientów dotyczące usunięcia ich danych, a także nie uwzględniać sprzeciwów klientów wobec wiadomości SMS i telemarketingu;
• ponadto CNIL zauważył, że Carrefour France nie wywiązał się ze swojego obowiązku ułatwienia wykonywania praw osoby, której dane dotyczą, żądając nadmiernie danych z dowodu tożsamości w celu wykonywania wspomnianych praw i nie przestrzegając terminów określonych dla odpowiadania na prawa osoby, której dane dotyczą;
• CNIL stwierdził również, że Carrefour France nie podał odpowiednich informacji na temat przekazywania danych i podstawy prawnej przetwarzania na swojej stronie internetowej oraz nie podał informacji w łatwo zrozumiałym formacie;
• Carrefour France dodatkowo automatycznie umieszczał pliki cookie na urządzeniach użytkowników w momencie uzyskania przez nich dostępu do strony internetowej, bez uprzedniego uzyskania zgody użytkowników na stosowanie plików cookie;

Źródło: https://www.dataguidance.com/news/france-cnil-imposes-%E2%82%AC225m-fine-carrefour-france-gdpr

• nastąpił groźny wyciek polis ubezpieczeniowych – do sieci przedostała się cała masa informacji prywatnych osób, które zawarły umowy z różnymi towarzystwami;
• serwis Niebezpiecznik poinformował o ogromnym wycieku polis ubezpieczeniowych, który miał miejsce pod koniec listopada;
• informacji, które wyciekły, jest naprawdę dużo i w ich skład wchodzą kopie umów i polis ubezpieczeniowych (wraz z prywatnymi danymi), wyniki badań onkologicznych czy nawet dokumenty z audytu RODO;
• wyciek obejmował polisy z okresu od maja 2015 roku do listopada 2020 roku;
• portal skontaktował się z firmą Ent Broker, z której serwera dane wyciekły;
• z początku jej włodarze ewidentnie nie chcieli wierzyć w to, co się stało – po czasie rozpoczęły się jednak działania mające na celu usunięcie danych z internetu;

Źródło: https://www.komputerswiat.pl/aktualnosci/wydarzenia/duzy-wyciek-polis-ubezpieczeniowych-numery-pesel-zdjecia-pojazdow-czy-wyniki-badan/cqt4qp9 https://niebezpiecznik.pl/post/potezny-wyciek-polis-ubezpieczeniowych-zawartych-z-roznymi-towarzystwami/

• MSWiA przyznało oficjalnie, że do obywateli zostało wysłanych 249 dowodów osobistych z wadą techniczną – według nieoficjalnych źródeł mogło zostać wyprodukowanych nawet 10 tysięcy dokumentów zawierających błąd
• wada polega na tym, że o ile plastikowy dokument jest wydrukowany z poprawnymi danymi, to warstwa elektroniczna została zaprogramowana błędnie – są na niej dane innej, żyjącej osoby
• Prezes UODO zwrócił się o do szefa MSWiA o odpowiedzi na szereg pytań – dał pięć dni na ich udzielenie
• organ chce wiedzieć m.in.: – w jakim czasie były wydawane dowody z błędem; – w jaki dokładnie sposób MSWiA ustaliło liczbę wadliwie spersonalizowanych e-dowodów; – czy została przeprowadzona analiza, która dałaby odpowiedź na pytanie, czy doszło do naruszenia ochrony danych osobowych i czy w związku z tym MSWiA miało obowiązek zawiadomić organ nadzorczy; – jakie działania podjęło MSWiA, by nie dopuścić do podobnych błędów w przyszłości

Źródło: https://tvn24.pl/polska/e-dowody-osobiste-z-bledami-szef-urzedu-ochrony-danych-osobowych-prosi-mswia-o-wyjasnienia-4771635

• portal GDPR.pl wystąpił do organów nadzorczych z krajów UE z serią pytań, z których jedno dotyczyło stanu prac nad kodeksami postępowania
• w Unii Europejskiej zgłoszono organom nadzorczym kilkadziesiąt kodeksów – liderem rankingu jest Norwegia (19 projektów)
• Polska plasuje się na drugim miejscu z ośmioma projektami, które wpłynęły do Prezesa UODO
• trzy pierwsze zatwierdzone kodeksy dotyczą reklamy (Hiszpania), IT (Niderlandy) i adwokatury (Słowacja)
• z informacji przekazanych przez UODO, wynika, że przedstawiciele wielu branż wyrażali wstępne zainteresowanie stworzeniem kodeksów postępowania, jednak, po wyjaśnieniu szczegółowych oczekiwań rezygnowali oni z przedstawienia projektu albo wydłużali prace koncepcyjne
• projekty kodeksów postępowania, które zostały przedłożone do zatwierdzenia organowi nadzorczemu, różnią się od siebie zarówno pod względem m.in. przyjętej metodologii, obszerności regulacji, jak i szczegółowości zaproponowanych rozwiązań
• Prezes UODO prowadzi postępowania w sprawie zatwierdzenia kodeksów postępowania, które aktualnie są w końcowej fazie, a pierwszy kodeks postępowania przygotowany w oparciu o przepisy RODO, może zostać zatwierdzony jeszcze w tym roku

Źródło: https://gdpr.pl/stan-prac-nad-kodeksami-postepowania-w-wybranych-panstwach-ue

• w najnowszym, grudniowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

1.WERYFIKOWANIE KARALNOŚCI PRACOWNIKÓW FIRM OCHRONIARSKICH

• przedsiębiorcy świadczący usługi w zakresie ochrony osób i mienia mogą sprawdzać jedynie karalność pracowników ochrony – nie wolno im tego robić w odniesieniu do innych zatrudnianych osób

2.OBSŁUGA PRAWNA PODMIOTÓW NIE WYMAGA ZAWARCIA UMÓW POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

• kancelaria prawna jest odrębnym administratorem – zawierając z nią umowę dotyczącą obsługi prawnej, nie ma potrzeby podpisywania umowy powierzenia przetwarzania danych osobowych

3.IOD NIE MOŻE PODLEGAĆ SEKRETARZOWI MIASTA

• zgodnie z przepisami RODO, IOD ma bezpośrednio podlegać najwyższemu kierownictwu – Natomiast sekretarz w wykonywaniu swoich obowiązków podlega wójtowi, burmistrzowi lub prezydentowi miasta, Byłby więc dodatkowym ogniwem pośredniczącym między administratorem a IOD

4.KOPIOWANIE DOWODÓW OSOBISTYCH LUB PASZPORTÓW PRZEZ OKRĘGOWE IZBY LEKARSKIE

• okręgowe izby lekarskie nie powinny sporządzać ani przechowywać w aktach osobowych lekarzy i lekarzy dentystów kserokopii dowodów osobistych lub paszportów

5.OMAWIANE KARY

• Norwegia: kara 13,9 tys. euro za przetwarzanie danych samozatrudnionego bez podstawy prawnej
• Litwa: 15 tys. euro za nieprawidłowe przetwarzanie danych rodziców adoptowanego dziecka

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod Źródło: https://uodo.gov.pl/pl/225/1782