RODO aktualności – 23.06.2020

• naukowcy z Instytutu Bezpieczeństwa i Prywatności Uniwersytetu Carnegie Mellon (Carnegie Mellon University’s Security and Privacy Institute (CyLab)) opublikowali badania dotyczące zachowań użytkowników względem ich haseł do kont
• całość badań oparto nie na ankietach, a rzeczywistym działaniom w przeglądarkach (browser traffic)
• wykorzystano SBO (Security Behavior Observatory) i sprawdzono specjalnie przygotowany opt-in (zazwyczaj jest to rodzaj listy mailingowej, biuletynu lub reklamy grupy badawczej
• dane zebrane przez zespół badawczy zawierały informacje zebrane z 249 komputerów domowych, zgromadzone zostały między styczniem 2017 a grudniem 2018 i obejmowały zarówno działania w przeglądarce jak i hasła używane do logowania się na stronach i te przechowywane w przeglądarce
• analiza pokazała, że spośród 249 użytkowników tylko 63 miało konta na domenach, które publicznie udostępniły informacje o wyciekach danych w trakcie badania
• spośród tej grupy zaledwie 21 osób (33%) odwiedziło rzeczone witryny w celu zmiany haseł, a wśród tych 21 tylko 15 zmieniło hasło w przeciągu trzech miesięcy po ogłoszeniu wycieków

Źródło: https://antyweb.pl/hasla-wyciek-danych/?fbclid=IwAR2ZHUWLeFLIbbhZQ5wlU9qOUTiJZcx3-wfIpmn92DFEw04QHpgRTnyp0jk

• samorządy, powołując komisje konkursowe, podejmują uchwały, w treści których widnieją dane osobowe osób powołanych w skład komisji oraz pełnione przez nich funkcje
• mają jednak wątpliwości, czy zamieszczając treść uchwały na stronie internetowej urzędu lub w Biuletynie Informacji Publicznej, dane osobowe pracowników i przedstawicieli organizacji pozarządowych należy zanonimizować, czy można je podać do wiadomości publicznej
• UODO wskazuje, że w takim zakresie, w jakim dane osobowe członków komisji konkursowej będą dotyczyły pełnionej przez nich funkcji publicznej, będą stanowiły informację publiczną, która może podlegać upublicznieniu
• administrator, podejmując decyzję w tej sprawie, nie może zapominać o przestrzeganiu zasad ochrony danych osobowych, w tym m.in. retencji upublicznionych danych czy konieczności dokonywania cyklicznych przeglądów pod względem ich poprawności i aktualności

Źródło: https://uodo.gov.pl/pl/138/1561

• Prezes UODO rozpoczyna konsultacje społeczne projektu Wymogów akredytacji podmiotów monitorujących kodeksy postępowania, które potrwają do 5 lipca br.
• do udziału w konsultacjach zaproszeni są w szczególności twórcy kodeksów, instytucje uczestniczące w konsultacjach projektów kodeksów oraz specjaliści ochrony danych osobowych
• z projektem wymogów akredytacji podmiotów monitorujących kodeksy postępowania można zapoznać się na stronie UODO pod linkiem https://uodo.gov.pl/pl/138/1559
• organ zaprasza zainteresowane podmioty do przesyłania uwag i postulatów do Wydziału Kodeksów i Certyfikacji na adres e-mail: . (w tytule należy wskazać hasło „Konsultacje wymogów akredytacji”)
• po przeanalizowaniu uzyskanych uwag, na podstawie art. 41 ust. 3 RODO projekt zostanie przedłożony Europejskiej Radzie Ochrony Danych z wykorzystaniem mechanizmu spójności przewidzianego w art. 63 RODO

• sposób prowadzenia dokumentacji przez placówki oświatowe regulują przepisy prawa – szkoły prowadzą dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym co wynika z Rozporządzenia MEN w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji
• UODO wskazuje, że jeśli chodzi o zgodność z RODO w tym zakresie, trzeba pamiętać, że szkoła przetwarza dane osobowe w dziennikach elektronicznych na podstawie przepisów prawa, które nakładają na nią obowiązek prowadzenia tej dokumentacji, czyli w oparciu o podstawę z art. 6 ust. 1 lit. c RODO
• w związku z tym szkoła nie musi pozyskiwać od rodziców zgody, o której mowa w art. 6 ust. 1 lit. a RODO, aby przetwarzać te dane zgodnie z prawem

Źródło: https://uodo.gov.pl/pl/138/1558

• Sąd Rejonowy w Wołominie poinformował o naruszeniu ochrony danych osobowych, które według komunikatu miało miejsce od nieustalonego dnia do dnia 15 stycznia br.
• osoba postronna uzyskała dostęp do danych osobowych ujawnionych w kserokopiach, odpisach i projektach pism sporządzanych przez pracownika sądu
• zakres ujawnionych danych osobowych obejmuje imiona, nazwiska, PESEL oraz adresy zamieszkania
• naruszenie dotyczy dokumentów na lata 2005-2007
• o incydencie poinformowano Prezesa UODO oraz prokuraturę

Źródło: http://wolomin.sr.gov.pl/index.php?id=904&zoom=247

• hiszpański prawnik zostaje ukarany grzywną w wysokości 2000 EUR zgodnie z RODO przez hiszpański organ ochrony danych osobowych
• zgodnie z decyzją organu, prawnik dwukrotnie wezwał najemców nieruchomości, ponownie wykorzystując kartki papieru zawierające dane osobowe osób trzecich na drugiej stronie
• dane te dotyczą osób fizycznych biorących udział w innych postępowaniach prowadzonych przez danego prawnika
• organ stwierdził, że działania adwokata, umożliwiające dostęp do danych osób trzecich, stanowią naruszenie art. 32 RODO

Źródło: https://www.aepd.es/es/documento/ps-00390-2019.pdf

• Rzecznik Praw Obywatelskich zgłosił wątpliwości wobec wykonywania pomiaru temperatury procentów przez pracodawcę do Ministra Rodziny, Pracy i Polityki Społecznej
• zdaniem RPO nie ma przepisu, z którego wynikałby taki obowiązek – katalog informacji i danych osobowych pracownika, które może przetwarzać pracodawca, jest wskazany w art. 22(1) Kodeksu pracy
• Wiceminister Stanisław Szwed odpowiedział, że zwrócił się o opinię w tej sprawie do resortu zdrowia
• Minister Zdrowia wskazał, że możliwe jest zidentyfikowanie wartości podwyższonej temperatury ciała człowieka jako objawu patofizjologicznego świadczącego o procesie chorobowym, przy którym pracownik nie powinien świadczyć pracy
• jednakże sam wzrost temperatury ciała bez innych cech procesu chorobowego oraz bez wystąpienia innych istotnych czynników klinicznych nie powinien być traktowany jako dowód na zakażenie wirusem SARS-CoV-2
• na wzrost temperatury może bowiem wpływać występowanie innych czynników oraz chorób, a u części chorych na COVID-19 gorączka może nie występować
• Mając powyższe na uwadze, uprzejmie informuję, że obecnie nie znajduję podstaw do podjęcia prac legislacyjnych dotyczących wprowadzenia obowiązku mierzenia temperatury ciała pracownikom jako sposobu na uniknięcie rozprzestrzeniania się wirusa – dodał Stanisław Szwed

Źródło: https://www.rpo.gov.pl/pl/content/koronawirus-rpo-nie-bedzie-obowiazku-mierzenia-temperatury-pracownika-przez-pracodawce

• węgierski organ ochrony danych (NAIH) nałożył najwyższą w swojej historii grzywnę
• grzywna w wysokości 100 mln HUF (ok. 1.289.764,64 zł) została nałożona na Digi Zrt. – dostawcę różnych usług łączności elektronicznej i telewizji dla ponad 800 000 gospodarstw domowych
• powodem kary była znana dostawcy luka w zabezpieczeniach witryny, która nie była naprawiana przez lata
• we wrześniu 2019 r. tzw. etyczny haker zgłosił lukę w zabezpieczeniach Digi – luka dotyczyła ich strony internetowej działającej na popularnej platformie zarządzania treścią typu open source, w szczególności dwóch baz danych
• pierwszą była testowa baza subskrybentów, która została stworzona do celów rozwiązywania problemów wiele lat wcześniej – ta baza danych zawierała również dane identyfikacyjne administratorów systemu, co powodowało dodatkowe zagrożenia bezpieczeństwa
• druga baza danych zawierała nazwę i adresy e-mail subskrybentów biuletynu e-mail Digi
• organ stwierdził, że dane mogły zostać m.in. wykorzystane do kradzieży tożsamości

Źródło: https://www.twobirds.com/en/news/articles/2020/hungary/record-breaking-gdpr-fine-imposed-in-hungary-as-a-result-of-a-website-security-vulnerability

• Kancelaria Kobylańska Lewoszewski Mednis zwróciła się do Prezesa UODO z następującymi pytaniami dot. DPIA:

1. ile trafiło do UODO wniosków o uprzednie konsultacje (zgodnie z art. 35 RODO, jeżeli ocena skutków dla ochrony danych wykaże wysokie ryzyko, administrator musi skonsultować proces przetwarzania z organem nadzorczym),
2. ile PUODO wydał zaleceń w trybie art. 36 RODO (jeśli zgłoszona przez administratora czynność przetwarzania stanowiłaby naruszenie rozporządzenia, organ nadzorczy udziela administratorowi stosownych zaleceń).

• z informacji uzyskanych od Prezesa UODO wynika, że w okresie od 25 maja 2018 r. do 1 czerwca 2020 r. zarówno liczba wniosków, jak i wydanych zaleceń, wynosiła zero

Źródło: https://www.linkedin.com/posts/kobyla%C5%84ska-lewoszewski-mednis-sp-j_rodo-puodo-gdpr-activity-6678564834692366336-i_NC/

• do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące zasad informowania rodziców dzieci do lat trzech o wynikach postępowania rekrutacyjnego do żłobków
• zasady opieki nad dziećmi w żłobkach reguluje ustawa o opiece nad dziećmi w wieku do lat trzech
• ustawa nie zawiera przepisów, które ustanawiałyby jednolite zasady sposobu ogłaszania informacji o przyjęciu lub nieprzyjęciu do żłobka, pozostawiając podmiotowi tworzącemu żłobek możliwość określenia tej kwestii w statucie
• wybór sposobu informowania rodziców (opiekunów dzieci) o wynikach rekrutacji należy zatem do podmiotu tworzącego żłobek
• obowiązujące przepisy nie stanowią przeszkody do przekazywania informacji o wynikach rekrutacji do żłobka za pośrednictwem telefonu lub poczty elektronicznej
• ważne, aby administrator zastosował środki ochrony przetwarzania danych osobowych dostosowane do skali ryzyka i ocenił je pod kątem utraty poufności, integralności i dostępności danych

Źródło: https://uodo.gov.pl/pl/138/1568

• podczas 32. posiedzenia plenarnego, Europejska Rada Ochrony Danych przyjęła oświadczenie w sprawie interoperacyjności aplikacji do ustalania kontaktów zakaźnych
• EROD przyjęła oświadczenie opierając się na Wytycznych EROD 4/2020 w sprawie wykorzystywania danych o lokalizacji oraz narzędzi służących ustalaniu kontaktów zakaźnych w kontekście pandemii COVID-19
• oświadczenie przedstawia pogłębioną analizę kluczowych aspektów, w tym przejrzystości przetwarzania, podstawy prawnej, administrowania, praw osób, których dane dotyczą, zatrzymywania i minimalizacji danych, bezpieczeństwa informacji oraz prawidłowości danych w kontekście tworzenia interoperacyjnej sieci aplikacji
• EROD podkreśla, że udostępnianie danych o osobach, które zostały pozytywnie zdiagnozowane lub uzyskały pozytywny wynik testu, przy pomocy takich interoperacyjnych aplikacji, powinno się odbywać wyłącznie na podstawie dobrowolnego działania użytkownika
• udzielanie informacji osobom, których dane dotyczą oraz posiadanie kontroli nad swoimi danymi, zwiększy ich zaufanie do rozwiązań i ich potencjalnego wykorzystania.
• cel interoperacyjności nie powinien być wykorzystywany jako argument do rozszerzenia gromadzenia danych osobowych ponad to, co jest niezbędne

Źródło: https://uodo.gov.pl/pl/138/1570

• Europejska Rada Ochrony Danych przeanalizowała ten problem i 24 kwietnia br. przyjęła wytyczne w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID-19
• EROD wskazała, iż RODO umożliwia współpracę między naukowcami zarówno z Europejskiego Obszaru Gospodarczego, jak i spoza niego, w zakresie poszukiwania szczepionki przeciwko COVID-19 oraz metod leczenia, przy jednoczesnej ochronie podstawowych praw ochrony danych w ramach EOG
• w sytuacji, gdy dane osobowe są przekazywane poza Europejski Obszar Gospodarczy, należy preferować rozwiązania gwarantujące stałą ochronę podstawowych praw osób, których dane dotyczą, takie jak decyzje stwierdzające odpowiedni stopień ochrony danych (art. 45. RODO) lub odpowiednie zabezpieczenia (art. 46 RODO)
• w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony danych lub odpowiednich zabezpieczeń, organy publiczne i podmioty prywatne mogą powołać się na wyjątki zawarte w art. 49 RODO

Źródło: https://gazetalekarska.pl/?p=55825

• najwyższy sąd administracyjny we Francji utrzymał karę w wysokości 50 milionów euro nałożoną na koncern Google
• to kara za złamanie przepisów wynikających z RODO
• orzeczenie Rady Stanu, która pełni rolę najwyższego sądu administracyjnego, odnosi się do kary zarządzonej w styczniu 2019 roku przez francuski urząd ochrony danych osobowych CNIL
• CNIL uznał wówczas, że informacje o wykorzystaniu danych osobowych przez wyszukiwarkę Google nie są łatwo dostępne dla użytkowników
• chodzi między innymi o informacje o celu przetwarzania danych, czasie ich przechowywania czy danych używanych do personalizacji reklam, zakwestionowany został też sposób uzyskania zgody na przetwarzanie danych
• amerykański koncern w reakcji na wyrok Rady Stanu zapowiedział wprowadzenie zmian
• Ludzie oczekują zrozumienia i kontrolowania sposobu wykorzystywania ich danych, a my zainwestowaliśmy w wiodące w branży narzędzia, które pomagają im to robić – napisała rzeczniczka Google

Źródło: https://tvn24.pl/biznes/ze-swiata/francja-google-ma-zaplacic-50-milionow-euro-kary-za-zlamanie-przepisow-rodo-4615694

• Europejska Rada Ochrony Danych powołała grupę zadaniową w celu koordynowania potencjalnych działań i uzyskania bardziej kompleksowego przeglądu przetwarzania danych i praktyk stosowanych przez aplikację TikTok w całej UE
• EROD wydała wytyczne i zalecenia, które powinni wziąć pod uwagę wszyscy administratorzy danych, w szczególności jeżeli chodzi o przekazywanie danych osobowych do krajów trzecich
• szczególnie te wytyczne powinny zostać wzięte pod uwagę kiedy dochodzi do przetwarzania danych małoletnich
• EROD przypomina, że RODO ma zastosowanie do przetwarzania danych osobowych przez administratora, nawet jeśli nie ma jednostki organizacyjnej w Unii

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/tiktok-pod-lupa-europejskiej-rady-ochrony-danych

• organ nadzorczy Liechtensteinu (Datenschutzstelle) wydał zalecenia dotyczące kamer do obserwacji przyrody – organ wskazuje, że jak wynika z nazwy, celem kamer dzikiej przyrody jest monitorowanie dzikiej przyrody
• ponieważ nagrania są uruchamiane regularnie za pomocą czujników ruchu, nie można wykluczyć jednak że zarejestrowane zostaną także osoby fizyczne, a fakt ten stanowi problem ochrony danych
• Datenschutzstelle podkreśla, że na wypadek objęcia przez taką kamerę możliwej do zidentyfikowania osoby konieczne jest spełnienie obowiązków wynikających z RODO
• przetwarzanie musi opierać się na podstawie prawnej – organ podaje art. 6 ust. 1 lit. f RODO tj. prawnie uzasadniony interes administratora, za który można uznać zainteresowanie przyrodą, ochronę zwierząt, etc.
• organ wskazuje na obowiązek przeprowadzenia testu równowagi, który uwzględniłby m.in. obszar, ustawienie kamery i częstotliwość pojawiania się w ich obrębie osób fizycznych
• należy również wdrożyć odpowiednie środki techniczne i organizacyjne

Źródło: https://www.datenschutzstelle.li/datenschutz/themen-z/videoueberwachung?fbclid=IwAR2d6rS3HhXxPYw6JqiSenRSbCoYacVijAKZQRuqdea31ABa2I4xkvr6YNk#Wildtierkameras