Jak bezpiecznie korzystać z wideokonferencji? Czy biometryczna rejestracja czasu pracy jest zgodna z RODO? Czy można łączyć obowiązki IOD oraz dyrektora ds. zgodności i audytu? Czy z dokumentacji pracowniczej należy usuwać dane, które są obecnie zbędne, ale były wymagane w czasie ich zbierania? Co uważa UODO o pomiarze temperatury w celu zapobiegania rozprzestrzeniania się COVID-19? Jak pogodzić obowiązek upublicznienia decyzji administracyjnej a anonimizacja danych? Firmy badają pracowników pod kątem koronawirusa – co z RODO? W jaki sposób identyfikować osoby, które zwracają się do IOD jako punktu kontaktowego? Na kogo zostały nałożone pierwsze kary w Finlandii i Irlandii?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Jak bezpiecznie korzystać z wideokonferencji?
- UODO opublikowało krótki poradnik dotyczący bezpiecznego korzystania z wideokonferencji, m.in. w kontraście pracy zdalnej
- jest to zbiór porad dotyczących korzystania z programów, aplikacji i usług, aby zapewnić odpowiedni poziom ochrony danych osobowych
- organ wskazuje na co warto zwrócić uwagę:
- przed rozpoczęciem wideokonferencji (m.in. przeczytanie zasad użytkowania aplikacji, bezpieczne połączenie, używanie systemu antywirusowych)
- w trakcie połączenia (m.in. ograniczenie podawania danych osobowych, zasady udostępniania ekranu)
- po zakończeniu telekonferencji (m.in. wyłączenie mikrofonu oraz kamery, poprawne zamknięcie aplikacji)
- całość poradnika dostępna jest pod linkiem: https://uodo.gov.pl/pl/138/1525
Pierwsza RODO kara w Irlandii
- Agencja ds. Dzieci i Rodziny (Tusla), stała się pierwszą organizacją w Irlandii ukaraną grzywną za naruszenie RODO
- Tusla została ukarana grzywną w wysokości 75 000 EUR (ok. 340 000 PLN) w wyniku postepowania dotyczącego trzech przypadków ujawnienia danych osobowych dzieci osobom nieupoważnionym
- w jednym przypadku dane kontaktowe i lokalizacyjne ofiar, matki i dziecka, zostały ujawnione domniemanemu sprawcy
- w dwóch innych przypadkach dane dotyczące dzieci przebywających w rodzinie zastępczej zostały nieprawidłowo ujawnione krewnym, w tym w jednym przypadku ojcu przebywającemu w więzieniu
- organy państwowe w Irlandii mogą zostać ukarane grzywną do 1 miliona euro za naruszenie zasad dotyczących danych osobowych
- rzeczniczka Tusli potwierdziła, że nie zamierza kwestionować wystąpienia naruszeń i zaakceptuje ostateczne orzeczenie
Obowiązek upublicznienia decyzji administracyjnej a anonimizacja danych
- UODO na swojej stronie internetowej udzielił odpowiedzi na pytanie: Czy w przypadku obowiązkowej publikacji decyzji administracyjnych należy dokonywać anonimizacji danych osobowych?
- organ wskazał, że dostęp do informacji publicznej nie ma charakteru nieograniczonego
- ograniczenie w tym zakresie przewidziano w art. 5 ust. 2 ustawy o dostępie do informacji publicznej –prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy (ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz w przypadku rezygnacji z przysługującego im prawa)
- prywatność osoby, jako dobro chronione prawem powinno mieć pierwszeństwo przed innym dobrem prawem chronionym – dostępnością do informacji publicznej
- w przypadku, gdy ujawnieniu w ramach krajowych systemów dostępu do informacji publicznej podlegają dane osobowe, to RODO znajduje zastosowanie
- w praktyce podmioty udostępniające te dane muszą pamiętać o przestrzeganiu m.in. zasady minimalizacji danych (art. 5 ust. lit. c RODO) – oznacza, to że dane mogą być udostępnione tylko w takim zakresie, który jest niezbędny dla zrealizowania celu, jakim w przedstawionym powyżej przypadku jest podanie do publicznej wiadomości informacji, iż organ podjął określonej treści decyzję
Źródło: https://uodo.gov.pl/pl/225/1528
Firmy badają pracowników pod kątem koronawirusa – co z RODO?
- pracodawcy coraz częściej zapewniają zatrudnionym komercyjne badania na koronawirusa
- bez zgody inspekcji sanitarnej nie mogą jednak ich do tego zobowiązywać ani poznawać wyników, nawet jeśli zgodzi się na to pracownik
- pracodawca może zlecać zatrudnionemu badanie na koranawirusa i zapoznawać się z jego wynikami, jeśli taką decyzję w jego przypadku wyda Główny Inspektor Sanitarny – tak wynika z wyjaśnień Urzędu Ochrony Danych Osobowych przekazanych w odpowiedzi na pytania DGP
- sama zgoda pracownika na przetestowanie nie jest wystarczającą podstawą – barierą są w tym przypadku nie tylko przepisy o ochronie danych osobowych, lecz także kodeks pracy.
- bez decyzji GIS firma może finansować badania zatrudnionym, którzy chcą się im poddać, ale nie ma prawa zapoznać się z ich wynikami
- Ministerstwu Rodziny, Pracy i Polityki Społecznej, podobnie jak UODO, wskazuje, że informacja o stanie zdrowia jest szczególnie chroniona (przypominając, że do jej przetwarzania potrzebna jest zgoda osoby, której dane dotyczą; nie poruszono kwestii nierównowagi stron)
- w przypadku gdy pracodawca zaobserwuje zmiany w stanie zdrowia pracownika mogące budzić podejrzenia o zakażenie pracownika koronawirusem lub poweźmie wiedzę o wystąpieniu takiego zakażenia, powinien wdrożyć procedurę postępowania zgodną z aktualnymi wytycznymi Państwowej Inspekcji Sanitarnej oraz Ministerstwa Zdrowia – wskazuje resort pracy
Identyfikacja osób, które zwracają się do IOD jako punktu kontaktowego
- UODO na swojej stronie internetowej udzielił odpowiedzi na pytanie: W jaki sposób identyfikować osoby, które zwracają się do IOD jako punktu kontaktowego?
- zdaniem organu w wewnętrznych procedurach powinny być odzwierciedlone rozwiązania w zakresie weryfikacji tożsamości osoby uprawnionej do uzyskania informacji oraz bezpiecznego kanału udostępniania informacji o przetwarzanych danych
- przy realizacji uprawnienia na odległość możliwość weryfikacji osoby uprawnionej może odbyć się np. poprzez uprawdopodobnienie tożsamości przez konieczność podania szczegółowych danych, które tę osobę jednoznacznie identyfikują (nie wystarczy spytać o imię i nazwisko oraz adres, gdyż te informacje mogą być powszechnie dostępne, ale trzeba dokonać weryfikacji na podstawie znacznie bardziej szczegółowych danych, co do których prawdopodobieństwo, że będą one znane przez osoby postronne, jest znikome)
- w przypadku wątpliwości co do tożsamości osoby usiłującej pozyskać informacje, powinno się odmówić ich udzielenia, ewentualnie podać informacje ogólne, wobec tego w takiej sytuacji można w szczególności:
- udzielając informacji, ograniczyć się do przekazywania ogólnych informacji opublikowanych przez administratora na jego stronie internetowej i wysłanych przez niego w formie zawiadomień na indywidualne adresy poczty elektronicznej, lub
- odnosząc się do konkretnej osoby, udzielać informacji o jej kategoriach danych osobowych, których dotyczy naruszenie, ale bez podawania tych konkretnych danych
Źródło: https://uodo.gov.pl/pl/225/1529
Wyciek danych pracowników Parlamentu Europejskiego
- wyciekły dane osobowe oraz hasła do kont 1200 pracowników Parlamentu Europejskiego, w tym eurodeputowanych, oraz 15 tys. osób współpracujących z instytucjami unijnymi
- wyciek objął m.in. hasła do kont mailowych, informacje o funkcjach poszkodowanych oraz inne dane osobowe
- dane wyciekły z parlamentarnej domeny „europarl.eu”
- domena zarządzana była przez konkretną grupę polityczną, również ujawnione dane zgromadzone zostały przez tę grupę
- Politico udało się ustalić, że mowa o Europejskiej Partii Ludowej – potwierdził to rzecznik EPL, dodając równocześnie, że wykradzione dane były już nieaktualne i należały do osób, które zasubskrybowały starą wersję strony
- EPL zamierza poinformować wszystkie osoby, których dane mogły zostać ujawnione w sieci, o tym, że doszło do takiego incydentu
- wyciek danych został po raz pierwszy zauważony w 15 maja późnym wieczorem przez firmę Shadowmap zajmującą się cyberbezpieczeństwem – kierownictwo firmy poinformowało o incydencie służby Parlamentu Europejskiego
RODO a odmowa informacji publicznej
- RODO wciąż bywa wykorzystywane jako pretekst do odmowy udostępnienia informacji publicznej – urzędnicy próbują przekonywać, że chroni ono dane osobowe, więc jeśli informacja zawiera takie dane, to nie można ich ujawnić
- sądy administracyjne w swych wyrokach wielokrotnie podkreślały, że tak nie jest
- artykuł 86 RODO wprost wskazuje, że przepisy tego rozporządzenia nie stoją na przeszkodzie udzielaniu informacji o działalności publicznej
- gwarancję prywatności zapewnia sama ustawa o dostępie do informacji publicznej – art. 5 ust. 2 nie pozwala na ujawnienie danych osób, które nie pełnią funkcji publicznych, jeżeli zatem w informacji publicznej pojawia się nazwisko osoby prywatnej, to nie należy go podawać, jeśli zaś osoby, która ma wpływ na kształtowanie spraw publicznych, to w zakresie sprawowanej przez nią funkcji jest to już informacja publiczna
- jeżeli celem wnioskodawcy jest pozyskanie danych osobowych lub też gdy znana jest wnioskującemu tożsamość osób, których dane osobowe są zawarte w dokumencie to w takiej sytuacji adresat wniosku nie powinien przekazywać zanonimizowanego dokumentu, ale musi rozpatrzeć wniosek, udostępniając dokument z danymi osobowymi albo odmawiając udostępnienia w drodze decyzji administracyjnej
Źródło: https://prawo.gazetaprawna.pl/artykuly/1478135,rodo-anonimizacja-danych-osobowych-odmowa-udostepnienia-informacji.html
Pierwsze RODO kary w Finlandii
- Fiński organ nadzorczy, jako jeden z ostatnich organów nadzorczych, nałożył trzy kary finansowe za nieprzestrzeganie przepisów RODO
- niedociągnięcia w informowaniu osób, które się przeprowadziły – 100 000 EUR dla urzędu pocztowego za brak poinformowania poinformował osób, których dane dotyczą, o ich prawach
- brak oceny skutków dla ochrony danych osobowych – 16 000 EUR, Kymen Vesi Oy, dostawca wody, przetwarzał dane lokalizacyjne swoich pracowników, lokalizując pojazdy za pomocą systemu informacji o jeździe – dane o lokalizacji wykorzystano między innymi do monitorowania godzin pracy, a administrator nie przeprowadził oceny skutków na podstawie RODO przed rozpoczęciem przetwarzania
- przetwarzanie nieadekwatnych danych – 12 500 EUR, niezidentyfikowana spółka zgromadziła dane osobowe osób poszukujących pracy i pracowników w zakresie nieadekwatnym do celów przetwarzania, firma poprosiła o informacje dotyczące między innymi przekonań religijnych, stanu zdrowia, możliwej ciąży i relacji rodzinnych
- decyzje nie są ostateczne – administratorzy mogą odwołać do sądu administracyjnego
Rejestracja czasu pracy za pomocą danych biometrycznych niezgodna z RODO
- UODO wskazuje, że przetwarzanie przez pracodawcę danych biometrycznych pracowników nie może służyć celowi, jakim jest ewidencja czasu pracy – pracodawca może legalnie przetwarzać dane biometryczne swoich pracowników, jeżeli wynika to ze szczególnych przesłanek określonych w RODO oraz znajduje podstawę w obowiązujących przepisach prawa
- dane biometryczne to dane szczególnej kategorii, które mają sensytywny charakter i podlegają nadzwyczajnej ochronie prawnej i aby przetwarzanie tej kategorii danych w dziedzinie prawa pracy było legalne, RODO wskazuje na przesłanki, które muszą być spełnione (w art. 9 ust. 2 lit. b) RODO) – przetwarzania tego rodzaju danych musi być niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez pracownika lub pracodawcę
- jeśli chodzi o sektor zatrudnienia, to przetwarzanie danych biometrycznych regulują przepisy prawa pracy – nie dają one podstawy do przetwarzania przez pracodawcę danych biometrycznych w celu rejestracji czasu pracy
- zgodnie z art. 22¹ᵇ Kodeksu pracy szczególne kategorie danych mogą być przetwarzane: za zgodą, gdy ich przekazanie następuje z inicjatywy osoby oraz wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony
- pracodawca zatem, wykorzystując dane biometryczne pracownika do rejestracji czasu pracy, naruszyłby zasady określone w RODO
Źródło: https://uodo.gov.pl/pl/138/1521
Klienci Allegro ofiarami oszustwa „na RODO”
- cyberprzestępcy wzięli na celownik klientów popularnego serwisu Allegro
- wysyłają SMS-y z informacją o rzekomej blokadzie konta do czasu potwierdzenia danych
- próbują w ten sposób wyłudzić dane do logowania i pobrać pieniądze z karty bankowej
- jak informuje serwis Niebezpiecznik.pl, niektóre osoby otrzymały ostatnio SMS-y informujące o rzekomej blokadzie konta w serwisie Allegro. Oszuści podszywają się pod firmę i powołują na… ustawę RODO: „Zablokujemy twoje konto Allegro jezeli nie potwierdzisz swoich danych. Ustawa RODO L5/2020. Potwierdz swoje dane teraz” (pisownia oryginalna)
- treść SMS-ów miała zachęcić do kliknięcia w link, który znajdował się na końcu wiadomości – przekierowywał on na stronę w domenie „allegro-blokada.pl”
- jeśli ktoś dał się nabrać na ten przekręt, istotne jest, aby możliwie najszybciej zmienić hasło do swojego konta Allegro (oczywiście na prawdziwej stronie serwisu), a dodatkowo również włączyć dwuetapowe logowanie
- niezbędne jest także zastrzeżenie karty kredytowej oraz przejrzenie historii transakcji
Oświadczenie Prezesa UODO
- w nawiązaniu do przekazywanych opinii publicznej relacji z działań unijnych instytucji ochrony danych osobowych w związku z rozpatrywaniem sprawy przekazania danych osobowych przez Ministerstwo Cyfryzacji z rejestru PESEL operatorowi (Poczta Polska S.A) związanych z organizacją wyborów Prezydenta Rzeczypospolitej Polskiej, Prezes UODO przedstawił swoje stanowisko w sprawie
- Prezes UODO negatywnie ocenia próby wykorzystania działalności unijnych instytucji ochrony danych osobowych do walki politycznej, jaka ma miejsce w Polsce w związku z organizacją wyborów prezydenckich w okresie ogłoszonego na terytorium RP stanu epidemii – zdaniem organu takie działania godzą w powagę unijnych organów ochrony danych osobowych i wiarygodność systemu ochrony danych osobowych,
- Prezes UODO sprzeciwia się próbom podważania niezależności polskiego organu nadzorczego poprzez działania polityków występujących do unijnych instytucji ochrony danych osobowych o podjęcie interwencji wymierzonej w proces stosowania prawa o ochronie danych osobowych w Rzeczpospolitej Polskiej
- UODO wskazuje, że kwestia oceny legalności wykorzystania danych z rejestru PESEL pozostaje poza kompetencją Europejskiego Inspektora Ochrony Danych, który jest niezależnym organem nadzorczym odpowiedzialnym za monitorowanie przetwarzania danych osobowych przez instytucje i organy Unii Europejskiej
- Prezes UODO w swoim stanowisku wskazał, że jest dalece zaniepokojony próbami ingerencji w jego niezależność i wykorzystywaniem kwestii ochrony danych osobowych do bieżącej walki politycznej, zarówno w Polsce jak i na arenie międzynarodowej
Źródło: https://uodo.gov.pl/pl/138/1522v
Mierzenie temperatury przed wizytą u fryzjera w centrum handlowym
- od 18 maja można korzystać z punktów gastronomicznych oraz usług oferowanych przez branżę beauty
- wśród wytycznych nie ma obowiązku zainstalowania kamer, które dokonują automatycznego pomiaru temperatury, lecz zarządcy centrów handlowych mogą szukać sposobu, aby ograniczyć ryzyko kontaktu zakażonych z osobami zdrowymi
- czy dane z kamery na podczerwień stanowią dane osobowe w rozumieniu RODO? – istotne jest to, czy podmiot dokonujący rejestracji zapisuje dane z takiego monitoringu, czy dane o temperaturze ciała są zestawiane z innymi danymi o osobach oraz czy kamery umożliwiają zidentyfikowanie osoby na podstawie np. danych biometrycznych
- w wielu przypadkach z takich narzędzi mogą zostać wygenerowane dane osobowe – często będą stanowiły one nawet dane wrażliwe, ponieważ rejestracja obrazu daje możliwość zidentyfikowania osoby fizycznej na podstawie jej cech fizycznych oraz przypisania konkretnej osobie danych na temat jej zdrowia
- konieczne jest zatem powiadomienie osób, które są rejestrowane, o samym fakcie dokonywania zapisu lub wykorzystywanej technologii oraz wskazania prawidłowej podstawy dla takiego przetwarzania
- należy rozważyć zastosowanie art. 9 ust. 1 lit. i) RODO, który stanowi, że przetwarzanie danych dotyczących zdrowia jest dozwolone, gdy jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi
Incydent ochrony danych osobowych w IKEA
- poprzez wiadomości wysyłane drogą sms oraz email IKEA prosi niektórych klientów o odblokowanie konta IKEA Family poprzez reset hasła i zwraca uwagę, aby hasło nie było takie samo, jak w innych serwisach
- IKEA potwierdza, że mogło dojść do nieautoryzowanego logowania na niektórych kontach IKEA Family
- w celu ochrony danych użytkowników IKEA niezwłocznie zblokowała dostęp do wybranych profili
- według wstępnych analiz doszło do zewnętrznego, automatycznego i masowego odpytywania bazy danych różnego rodzaju kombinacjami loginów i haseł
- sposób działania wskazuje, że sprawcy mogli posługiwać się bazą danych zawierającą informacje ujawnione podczas wcześniejszych wycieków danych z innych portali, których celem było ustalenie, czy są wykorzystywane przez Klubowiczów IKEA Family
- w związku z incydentem IKEA złożyła zawiadomienie o naruszeniu ochrony danych do Urzędu Ochrony Danych Osobowych
Źródło: https://niebezpiecznik.pl/post/ikea-i-tajemniczy-incydent-bezpieczenstwa/
TikTok oskarżany o naruszanie prywatności dzieci
- 20 organizacji obywatelskich oskarża TikToka o naruszanie prawa ochrony prywatności dzieci obowiązującego w USA oraz postanowień ugody zawartej z Federalną Komisją Handlu (FTC) w tej sprawie
- według tych organizacji, popularna platforma wideo narusza postanowienia ugody z FTC zawartej w 2019 roku oraz akt COPPA (Children’s Online Privacy Protection Act) – akt ten reguluje kwestie przetwarzania danych osobowych nieletnich w internecie oraz ich wykorzystanie m.in. do celów marketingowych
- TikTok należy do chińskiego start-upu ByteDance
- w lutym firma została ukarana grzywną w wysokości 5,7 mln za nielegalne gromadzenie danych osób nieletnich
- organizacje skarżące TikToka do FTC twierdzą, że ponad rok później TikTok wciąż nie usunął nielegalnie zgromadzonych danych na temat użytkowników poniżej 13 roku życia i nadal zbiera informacje dot. nieletnich bez powiadomienia i uzyskania zgody ze strony rodziców
Źródło: https://www.cyberdefence24.pl/zagrozenia/tiktok-oskarzany-o-naruszanie-prywatnosci-dzieci
Ponad 50 tys. PLN kary za publikację danych wrażliwych
- szwedzki organ nadzorczy (Datainspektionen) nałożył na radę regionu Örebro karę 120.000 SEK (ok. 51.533,24 PLN) za naruszenie przepisów RODO
- przeprowadzona przez organ kontrola wykazała, że komisja zdrowia i medycyny regionu hrabstwa Örebro popełniła błąd, publikując wrażliwe dane osobowe na stronie internetowej regionu o pacjencie przyjętym do kliniki psychiatrycznej
- podczas kontroli organ ustalił, że brak jest pisemnych procedur dotyczących publikacji dokumentów i danych osobowych na stronie internetowej regionu
- procedury publikowania są przekazywane pracownikom ustnie
- w omawianym przypadku procedury ustne nie były przestrzegane, a dokument z danymi pacjenta został nieumyślnie opublikowany, co wskazuje, że rada nie podjęła wystarczających środków organizacyjnych w celu zapewnienia, że dane osobowe są chronione przed nieprawidłową publikacją na stronie internetowej
- w swojej decyzji organ stwierdza również, że nie było ani uzasadnionego celu, podstawy prawnej ani powodu publikacji danych
Polskie sklepy zainfekowane web skimmerem
- jak informuje serwis Niebezpiecznik.pl, kilka polskich sklepów znalazło się na liście 1236 sprzedawców, których strony zostały wykryte jako zainfekowane web skimmerem MageCar
- MageCart to tzw. webowy skimmer, czyli kod podrzucany na stronę internetową w celu przejmowania danych o kartach kredytowych wprowadzanych przez klientów dokonujących zakupów
- w toku badania udało się namierzyć 1236 sklepów zainfekowanych MageCartem
- Max Kersten postanowił zmierzyć się z tematem i namierzyć możliwie dużo stron, które mogły być zainfekowane
- w wyniku swoich ostatnich badań opublikował raport pt. Backtracking MageCart infections, w którym ujął 1236 strony zainfekowane skimmerem
- w raporcie ujęto 7 polskich stron internetowych
- Niebezpiecznik.pl wskazuje, że jeśli robiłeś zakupy na którejś ze stron wskazanych w raporcie, lepiej sprawdzić wyciągi ze swojego konta i uznać, że dane karty już wyciekły
Źródło: https://niebezpiecznik.pl/post/jesli-korzystales-z-tych-sklepow-dane-twojej-karty-mogly-wyciec/
Dane klientów MediaMarkt zindeksowane przez Google
- Niebezpiecznik informuje, że dane zamówień z MediaMarkt można było prosto znaleźć przez Google
- zakres danych jakie można było (i wciąż można gdzieniegdzie) pozyskać, to: imię i nazwisko, adres zamieszkania (dostawy), adres e-mail, numer telefonu
- obecnie w wynikach wyszukiwania nie ma wielu rekordów, a adresy zamówień są ciężkie do zbruteforcowania
Źródło: https://niebezpiecznik.pl/post/dane-klientow-mediamarkt-zindeksowane-przez-google/
Wyciek danych osobowych studentów Politechniki Warszawskiej
- Zaufana Trzecia Strona informuje o wycieku danych osobowych części studentów Politechniki Warszawskiej
- grupa dotknięta wyciekiem liczy ponad 5000 osób
- chodzi o bazę serwisu okno.pw.edu.pl – to strona Ośrodka Kształcenia na Odległość Politechniki Warszawskiej, a sama baza zawiera dane osób studiujących w tym właśnie ośrodku, dane sięgają nawet 12 lat wstecz i są szczegółowe
- baza to prawie 3 GB danych, zawierająca całą historię edukacji kilku tysięcy osób wraz z programami nauczania, ocenami, opiniami i historią płatności, a nawet pełna treść kilkudziesięciu tysięcy e-maili wysłanych do studentów czy logowania do aplikacji
- zakres danych osobowych obejmuje: imię i nazwisko, login, hasz hasła, adres e-mail, nr telefonu, data i miejsce urodzenia, narodowość, imiona rodziców, nazwisko panieńskie matki, PESEL, NIP, rodzaj i nr dokumentu tożsamości, adres zamieszkania, zameldowania i korespondencyjny, nazwa ukończonej szkoły średniej, adresy IP logowań oraz wiele dodatkowych, mniej istotnych danych
- rzecznik prasowy PW informuje, że uczelnia jest w trakcie ustalania szczegółów zdarzenia, w tym jego skali
Belgijski organ nadzoru o niezależności IOD
- belgijski organ ochrony danych (DPA) ukarał administratora danych karą finansową za powołanie dyrektora ds. zgodności, audytu i ryzyka na inspektora ochrony danych – według DPA ta kombinacja ról powoduje konflikt interesów, a zatem stanowi naruszenie art. 38 ust. 6 RODO
- RODO wyraźnie zezwala organizacjom na wyznaczenie IOD, który wykonuje „inne zadania i obowiązki”, o ile nie powoduje to konfliktu interesów, a EROD dopracowała tę zasadę w swoich wytycznych w sprawie IOD, gdzie wskazała, że konflikt interesów będzie występował w sytuacjach, w których IOD pełni funkcję w organizacji, która prowadzi go do określania celów i środków przetwarzanie danych osobowych
- oceny powinno dokonać się indywidualnie dla każdego przypadku, ale EROD z zasady określiła stanowiska kierownicze wyższego szczebla, takie jak dyrektor generalny, dyrektor operacyjny, dyrektor marketingu, kierownik działu HR lub kierownik działu IT jako rodzące ten konflikt
- spółka belgijska argumentowała, że nie było konfliktu interesów między rolami, bo IOD nie był zaangażowany w podejmowanie decyzji dotyczących przetwarzania danych osobowych
- DPA nie zgodziło się, wskazując, że jako dyrektor ds. zgodności, ryzyka i audytu, IOD był odpowiedzialny za przetwarzanie danych osobowych w kontekście działań organizacji w zakresie zgodności, ryzyka i audytu
- w rezultacie organ ochrony danych orzekł, że inspektor ochrony danych nie może sprawować niezależnego nadzoru nad tymi czynnościami przetwarzania i ukarał spółkę grzywną w wysokości 50 000 EUR
Dokumentacja papierowa zawierająca dane osobowe a praca zdalna
- wobec pojawiających się pytań dotyczących możliwości wykorzystywania przez pracowników świadczących pracę zdalną dokumentacji papierowej zawierającej dane osobowe, UODO przedstawia podstawowe zasady, którymi należy się w takiej sytuacji kierować
- pracodawca musi ocenić niezbędność wykorzystywania dokumentacji papierowej podczas pracy zdalnej, biorąc pod uwagę charakter danych, cele dla których są przetwarzane oraz dostępne środki
- praca na dokumentach papierowych nie będzie uzasadniona, jeżeli pracodawca np. wdrożył elektroniczny obieg dokumentów, ma możliwość szybkiego, sprawnego i bezpiecznego wdrożenia elektronicznego obiegu dokumentacji lub może udostępnić pracownikowi odpowiednio zabezpieczone (m.in. zaszyfrowane) elektroniczne kopie niezbędnych dokumentów
- jeżeli nie jest możliwe zastosowanie żadnego z ww. rozwiązań, warto zastanowić się nad pracą na kopiach niezbędnych dokumentów
- na liście obowiązków pracodawcy znalazły się jeszcze m.in.: zapewnienie ewidencjonowania wydanych dokumentów, zapewnienie, że udostępnione dokumenty będą przechowywane przez pracownika przez okres niezbędny do wykonania określonego zadania, ograniczenie liczby dokumentów wynoszonych z siedziby administratora do tego, co niezbędne, zobowiązanie pracownika do odpowiedniego zabezpieczenia danych czy też zapewnienie, że pracownik będzie zgłaszał każdy incydent bezpieczeństwa
Źródło: https://uodo.gov.pl/pl/138/1513
UODO o pomiarze temperatury w celu zapobiegania rozprzestrzeniania się COVID-19
- w ocenie Prezesa UODO przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych pracowników i gości w zakresie np. mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi
- art. 9 ust. 2 lit. i) RODO wskazuje, że szczególne kategorie danych (dotyczące zdrowia) można przetwarzać, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa – przepis ten koresponduje z regulacjami krajowymi z dziedziny walki z pandemią – zgodnie z art. 17 tzw. specustawy, Główny Inspektor Sanitarny posiada uprawnienia, aby oddziaływać na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywać na przyjmowanie właściwych rozwiązań
- w ocenie UODO, jeżeli zatem inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury pracownikom i tzw. gościom wchodzącym na teren zakładu pracy czy też pozyskiwania od nich oświadczeń dotyczących stanu zdrowia, może skorzystać z właściwego dla niego środka prawnego, w efekcie czego na zakład pracy nałożony zostanie obowiązek w postaci decyzji o dokonywaniu pomiaru temperatury czy też zbieraniu oświadczeń dotyczących stanu zdrowia
- UODO podkreśla, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności, a w przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego
Źródło: https://uodo.gov.pl/pl/138/1516
Zdjęcia praw jazdy na Instagramie
- Niebezpiecznik informuje, że policjant warszawskiej drogówki wrzuca zdjęcia kontrolowanych / zatrzymanych praw jazdy
- zdjęcia są na szczęcie ocenzurowane, ale jak podaje portal wiele wskazuje na to, że robi je swoim smartfonem, a zatem: w pamięci jego telefonu zdjęcia są nieocenzurowane, zachodzi ryzyko, że zdjęcia synchronizują się z chmurą
- Eksperci wskazują, że brak jesy podstawy prawnej w RODO do tego aby takie działania miały miejsce, a to że zdjęcie jest “ocenzurowane” nic nie zmienia
- na sprzęcie którym wykonywane jest zdjęcie jest ono w wersji “surowej” a jeszcze potem jest poddawane obróbce
- trudno też tutaj uznać, że czynność fotografowania i umieszczania tych zdjęć w internecie nie podlega pod RODO na podstawie art.. 2 ust. 2 lit. c RODO czyli, że jest to czynności “o czysto osobistym lub domowym charakterze”
Węgry ograniczają stosowanie RODO
- 5 maja br. na Węgrzech wszedł w życie dekret rządowy 179/2020, który ograniczył w pewnym zakresie stosowanie przepisów RODO w okresie stanu wyjątkowego, związanego z pandemią koronawirusa
- dekret obejmuje wszystkich administratorów danych, którzy przetwarzają dane osobowe osób fizycznych w celu zapobiegania rozprzestrzenianiu się chorób koronawirusowych, zdobywania wiedzy na ich temat, wykrywania ich i zapobiegania im
- dekret ogranicza stosowanie:
- art. 13-14 RODO (obowiązek informacyjny uznaje się za spełniony poprzez udostępnienie ogólnych informacji określających cele, podstawę prawną i zakres przetwarzania danych w formie elektronicznej)
- art. 15-22 RODO (obowiązki w zakresie działań, które należy podjąć na wniosek podmiotu danych zostają zawieszone do końca stanu wyjątkowego)
- art. 77-79 RODO (stosowanie środków ochrony prawnej zostaje zawieszone na okres trwania stanu wyjątkowego)
Czy z dokumentacji pracowniczej należy usuwać dane nadmiarowe?
- UODO wskazuje, że prowadzenie dokumentacji pracowniczej to kwestia, którą regulują przepisy prawa pracy, a to, w jaki sposób i jak długo należy przetwarzać dane osobowe pracowników oraz przechowywać dokumenty wchodzące w skład zasobu kadrowego, określają przepisy sektorowe
- to z uwzględnieniem ww. przepisów należy stosować zasady, o których mowa w ogólnym rozporządzeniu o ochronie danych
- UODO podkreśla, że dane osobowe wchodzące w skład dokumentacji pracowniczej nie muszą być usuwane z akt osobowych pracownika, jeżeli zostały zebrane zgodnie z przepisami obowiązującymi w chwili ich pozyskania
Źródło: https://uodo.gov.pl/pl/225/1485
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 11.05.2020
Pobierz
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 18.05.2020
Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.