RODO aktualności – 23.06.2020

Jakie środki bezpieczeństwa stosować w trakcie spotkań biznesowych, szkoleń, konferencji i kongresów? TikTok pod lupą RODO? Czy zostanie wprowadzony obowiązek mierzenia temperatury u pracownika przez pracodawcę? Czy użytkownicy zmieniają hasła po wyciekach danych? Czy można publikować dane osobowe członków komisji w otwartych konkursach ofert? Czy szkoły powinny pytać rodziców o zgodę na przetwarzanie danych w e-dziennikach? W jaki sposób szkoły, przedszkola i żłobki powinny informować rodziców o wyniku rekrutacji? Prace nad szczepionką a… RODO?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich dwóch tygodni.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Wytyczne MR i GIS ws. spotkań biznesowych, szkoleń, konferencji i kongresów

  • Ministerstwo Rozwoju wraz z Głównym Inspektorem Sanitarnym wydało wytyczne dla organizatorów spotkań biznesowych, szkoleń, konferencji i kongresów w trakcie epidemii SARS-CoV-2
  • z punktu widzenia danych osobowych kluczowe są postanowienia części dotyczącej zapewniania bezpieczeństwa uczestnikom/pracownikom/dostawcom wydarzenia/ spotkania:
  1. zobowiązanie organizatora do zapewnienia niezbędnych danych osobowych i kontaktowych wszystkich uczestników wydarzenia / spotkania, za ich zgodą, na wypadek stwierdzenia u któregoś́ z uczestników lub pracowników wydarzenia / spotkania zakażenia koronawirusem
  2. zalecenie mierzenia temperatury u uczestników / pracowników obsługi / dostawców wydarzenia / spotkania za ich zgodą  przez obsługę̨ (osobę wyznaczoną)  za pomocą bezdotykowego termometru lub kamer termowizyjnych

Źródło: https://www.gov.pl/web/rozwoj/spotkania-biznesowe-szkolenia-konferencje-i-kongresy?fbclid=IwAR3qRkINPtPsHWP3Pc5dHWfn7rj2hLgoT8gjftf9SVhdw8WF7nS7w0e6suw

Użytkownicy nie są skłonni do zmieniania swoich haseł (nawet po wycieku)

  • naukowcy z Instytutu Bezpieczeństwa i Prywatności Uniwersytetu Carnegie Mellon (Carnegie Mellon University’s Security and Privacy Institute (CyLab)) opublikowali badania dotyczące zachowań użytkowników względem ich haseł do kont
  • całość badań oparto nie na ankietach, a rzeczywistym działaniom w przeglądarkach (browser traffic)
  • wykorzystano SBO (Security Behavior Observatory) i sprawdzono specjalnie przygotowany opt-in (zazwyczaj jest to rodzaj listy mailingowej, biuletynu lub reklamy grupy badawczej
  • dane zebrane przez zespół badawczy zawierały informacje zebrane z 249 komputerów domowych, zgromadzone zostały między styczniem 2017 a grudniem 2018 i obejmowały zarówno działania w przeglądarce jak i hasła używane do logowania się na stronach i te przechowywane w przeglądarce
  • analiza pokazała, że spośród 249 użytkowników tylko 63 miało konta na domenach, które publicznie udostępniły informacje o wyciekach danych w trakcie badania
  • spośród tej grupy zaledwie 21 osób (33%) odwiedziło rzeczone witryny w celu zmiany haseł, a wśród tych 21 tylko 15 zmieniło hasło w przeciągu trzech miesięcy po ogłoszeniu wycieków

Źródło: https://antyweb.pl/hasla-wyciek-danych/?fbclid=IwAR2ZHUWLeFLIbbhZQ5wlU9qOUTiJZcx3-wfIpmn92DFEw04QHpgRTnyp0jk

Publikacja danych członków komisji w otwartych konkursach ofert

  • samorządy, powołując komisje konkursowe, podejmują uchwały, w treści których widnieją dane osobowe osób powołanych w skład komisji oraz pełnione przez nich funkcje
  • mają jednak wątpliwości, czy zamieszczając treść uchwały na stronie internetowej urzędu lub w Biuletynie Informacji Publicznej, dane osobowe pracowników i przedstawicieli organizacji pozarządowych należy zanonimizować, czy można je podać do wiadomości publicznej
  • UODO wskazuje, że w takim zakresie, w jakim dane osobowe członków komisji konkursowej będą dotyczyły pełnionej przez nich funkcji publicznej, będą stanowiły informację publiczną, która może podlegać upublicznieniu
  • administrator, podejmując decyzję w tej sprawie, nie może zapominać o przestrzeganiu zasad ochrony danych osobowych, w tym m.in. retencji upublicznionych danych czy konieczności dokonywania cyklicznych przeglądów pod względem ich poprawności i aktualności

Źródło: https://uodo.gov.pl/pl/138/1561

Konsultacje wymogów akredytacji podmiotów monitorujących kodeksy

  • Prezes UODO rozpoczyna konsultacje społeczne projektu Wymogów akredytacji podmiotów monitorujących kodeksy postępowania, które potrwają do 5 lipca br.
  • do udziału w konsultacjach zaproszeni są w szczególności twórcy kodeksów, instytucje uczestniczące w konsultacjach projektów kodeksów oraz specjaliści ochrony danych osobowych
  • z projektem wymogów akredytacji podmiotów monitorujących kodeksy postępowania można zapoznać się na stronie UODO pod linkiem https://uodo.gov.pl/pl/138/1559
  • organ zaprasza zainteresowane podmioty do przesyłania uwag i postulatów do Wydziału Kodeksów i Certyfikacji na adres e-mail: . (w tytule należy wskazać hasło „Konsultacje wymogów akredytacji”)
  • po przeanalizowaniu uzyskanych uwag, na podstawie art. 41 ust. 3 RODO projekt zostanie przedłożony Europejskiej Radzie Ochrony Danych z wykorzystaniem mechanizmu spójności przewidzianego w art. 63 RODO

UODO o dzienniku elektronicznym

  • sposób prowadzenia dokumentacji przez placówki oświatowe regulują przepisy prawa – szkoły prowadzą dla każdego oddziału dziennik lekcyjny, w którym dokumentuje się przebieg nauczania w danym roku szkolnym co wynika z Rozporządzenia MEN w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji
  • UODO wskazuje, że jeśli chodzi o zgodność z RODO w tym zakresie, trzeba pamiętać, że szkoła przetwarza dane osobowe w dziennikach elektronicznych na podstawie przepisów prawa, które nakładają na nią obowiązek prowadzenia tej dokumentacji, czyli w oparciu o podstawę z art. 6 ust. 1 lit. c RODO
  • w związku z tym szkoła nie musi pozyskiwać od rodziców zgody, o której mowa w art. 6 ust. 1 lit. a RODO, aby przetwarzać te dane zgodnie z prawem

Źródło: https://uodo.gov.pl/pl/138/1558

Incydent ochrony danych osobowych w SR w Wołominie

  • Sąd Rejonowy w Wołominie poinformował o naruszeniu ochrony danych osobowych, które według komunikatu miało miejsce od nieustalonego dnia do dnia 15 stycznia br.
  • osoba postronna uzyskała dostęp do danych osobowych ujawnionych w kserokopiach, odpisach i projektach pism sporządzanych przez pracownika sądu
  • zakres ujawnionych danych osobowych obejmuje imiona, nazwiska, PESEL oraz adresy zamieszkania
  • naruszenie dotyczy dokumentów na lata 2005-2007
  • o incydencie poinformowano Prezesa UODO oraz prokuraturę

Źródło: http://wolomin.sr.gov.pl/index.php?id=904&zoom=247

Hiszpania: 2 tys. EUR kary za ponowne wykorzystanie wydruków

  • hiszpański prawnik zostaje ukarany grzywną w wysokości 2000 EUR zgodnie z RODO przez hiszpański organ ochrony danych osobowych
  • zgodnie z decyzją organu, prawnik dwukrotnie wezwał najemców nieruchomości, ponownie wykorzystując kartki papieru zawierające dane osobowe osób trzecich na drugiej stronie
  • dane te dotyczą osób fizycznych biorących udział w innych postępowaniach prowadzonych przez danego prawnika
  • organ stwierdził, że działania adwokata, umożliwiające dostęp do danych osób trzecich, stanowią naruszenie art. 32 RODO

Źródło: https://www.aepd.es/es/documento/ps-00390-2019.pdf

Nie będzie obowiązku mierzenia temperatury u pracownika przez pracodawcę

  • Rzecznik Praw Obywatelskich zgłosił wątpliwości wobec wykonywania pomiaru temperatury procentów przez pracodawcę do Ministra Rodziny, Pracy i Polityki Społecznej
  • zdaniem RPO nie ma przepisu, z którego wynikałby taki obowiązek – katalog informacji i danych osobowych pracownika, które może przetwarzać pracodawca, jest wskazany w art. 22(1) Kodeksu pracy
  • Wiceminister Stanisław Szwed odpowiedział, że zwrócił się o opinię w tej sprawie do resortu zdrowia
  • Minister Zdrowia wskazał, że możliwe jest zidentyfikowanie wartości podwyższonej temperatury ciała człowieka jako objawu patofizjologicznego świadczącego o procesie chorobowym, przy którym pracownik nie powinien świadczyć pracy
  • jednakże sam wzrost temperatury ciała bez innych cech procesu chorobowego oraz bez wystąpienia innych istotnych czynników klinicznych nie powinien być traktowany jako dowód na zakażenie wirusem SARS-CoV-2
  • na wzrost temperatury może bowiem wpływać występowanie innych czynników oraz chorób, a u części chorych na COVID-19 gorączka może nie występować
  • Mając powyższe na uwadze, uprzejmie informuję, że obecnie nie znajduję podstaw do podjęcia prac legislacyjnych dotyczących wprowadzenia obowiązku mierzenia temperatury ciała pracownikom jako sposobu na uniknięcie rozprzestrzeniania się wirusa – dodał Stanisław Szwed

Źródło: https://www.rpo.gov.pl/pl/content/koronawirus-rpo-nie-bedzie-obowiazku-mierzenia-temperatury-pracownika-przez-pracodawce

Węgry: 100 mln HUF za niezabezpieczenie baz danych

  • węgierski organ ochrony danych (NAIH) nałożył najwyższą w swojej historii grzywnę
  • grzywna w wysokości 100 mln HUF (ok. 1.289.764,64 zł) została nałożona na Digi Zrt. – dostawcę różnych usług łączności elektronicznej i telewizji dla ponad 800 000 gospodarstw domowych
  • powodem kary była znana dostawcy luka w zabezpieczeniach witryny, która nie była naprawiana przez lata
  • we wrześniu 2019 r. tzw. etyczny haker zgłosił lukę w zabezpieczeniach Digi – luka dotyczyła ich strony internetowej działającej na popularnej platformie zarządzania treścią typu open source, w szczególności dwóch baz danych
  • pierwszą była testowa baza subskrybentów, która została stworzona do celów rozwiązywania problemów wiele lat wcześniej – ta baza danych zawierała również dane identyfikacyjne administratorów systemu, co powodowało dodatkowe zagrożenia bezpieczeństwa
  • druga baza danych zawierała nazwę i adresy e-mail subskrybentów biuletynu e-mail Digi
  • organ stwierdził, że dane mogły zostać m.in. wykorzystane do kradzieży tożsamości

Źródło: https://www.twobirds.com/en/news/articles/2020/hungary/record-breaking-gdpr-fine-imposed-in-hungary-as-a-result-of-a-website-security-vulnerability

UODO informuje o liczbie konsultacji ws. DPIA

  • Kancelaria Kobylańska Lewoszewski Mednis zwróciła się do Prezesa UODO z następującymi pytaniami dot. DPIA:
  1. ile trafiło do UODO wniosków o uprzednie konsultacje (zgodnie z art. 35 RODO, jeżeli ocena skutków dla ochrony danych wykaże wysokie ryzyko, administrator musi skonsultować proces przetwarzania z organem nadzorczym),
  2. ile PUODO wydał zaleceń w trybie art. 36 RODO (jeśli zgłoszona przez administratora czynność przetwarzania stanowiłaby naruszenie rozporządzenia, organ nadzorczy udziela administratorowi stosownych zaleceń).
  • z informacji uzyskanych od Prezesa UODO wynika, że w okresie od 25 maja 2018 r. do 1 czerwca 2020 r. zarówno liczba wniosków, jak i wydanych zaleceń, wynosiła zero

Źródło: https://www.linkedin.com/posts/kobyla%C5%84ska-lewoszewski-mednis-sp-j_rodo-puodo-gdpr-activity-6678564834692366336-i_NC/

Zasady informowania rodziców dzieci o wynikach postępowania rekrutacyjnego

  • do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące zasad informowania rodziców dzieci do lat trzech o wynikach postępowania rekrutacyjnego do żłobków
  • zasady opieki nad dziećmi w żłobkach reguluje ustawa o opiece nad dziećmi w wieku do lat trzech
  • ustawa nie zawiera przepisów, które ustanawiałyby jednolite zasady sposobu ogłaszania informacji o przyjęciu lub nieprzyjęciu do żłobka, pozostawiając podmiotowi tworzącemu żłobek możliwość określenia tej kwestii w statucie
  • wybór sposobu informowania rodziców (opiekunów dzieci) o wynikach rekrutacji należy zatem do podmiotu tworzącego żłobek
  • obowiązujące przepisy nie stanowią przeszkody do przekazywania informacji o wynikach rekrutacji do żłobka za pośrednictwem telefonu lub poczty elektronicznej
  • ważne, aby administrator zastosował środki ochrony przetwarzania danych osobowych dostosowane do skali ryzyka i ocenił je pod kątem utraty poufności, integralności i dostępności danych

Źródło: https://uodo.gov.pl/pl/138/1568

EROD o aplikacjach służących do ustalania kontaktów zakaźnych

  • podczas 32. posiedzenia plenarnego, Europejska Rada Ochrony Danych przyjęła oświadczenie w sprawie interoperacyjności aplikacji do ustalania kontaktów zakaźnych
  • EROD przyjęła oświadczenie opierając się na Wytycznych EROD 4/2020 w sprawie wykorzystywania danych o lokalizacji oraz narzędzi służących ustalaniu kontaktów zakaźnych w kontekście pandemii COVID-19
  • oświadczenie przedstawia pogłębioną analizę kluczowych aspektów, w tym przejrzystości przetwarzania, podstawy prawnej, administrowania, praw osób, których dane dotyczą, zatrzymywania i minimalizacji danych, bezpieczeństwa informacji oraz prawidłowości danych w kontekście tworzenia interoperacyjnej sieci aplikacji
  • EROD podkreśla, że udostępnianie danych o osobach, które zostały pozytywnie zdiagnozowane lub uzyskały pozytywny wynik testu, przy pomocy takich interoperacyjnych aplikacji, powinno się odbywać wyłącznie na podstawie dobrowolnego działania użytkownika
  • udzielanie informacji osobom, których dane dotyczą oraz posiadanie kontroli nad swoimi danymi, zwiększy ich zaufanie do rozwiązań i ich potencjalnego wykorzystania.
  • cel interoperacyjności nie powinien być wykorzystywany jako argument do rozszerzenia gromadzenia danych osobowych ponad to, co jest niezbędne

Źródło: https://uodo.gov.pl/pl/138/1570

Prace nad szczepionką a RODO

  • Europejska Rada Ochrony Danych przeanalizowała ten problem i 24 kwietnia br. przyjęła wytyczne w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID-19
  • EROD wskazała, iż RODO umożliwia współpracę między naukowcami zarówno z Europejskiego Obszaru Gospodarczego, jak i spoza niego, w zakresie poszukiwania szczepionki przeciwko COVID-19 oraz metod leczenia, przy jednoczesnej ochronie podstawowych praw ochrony danych w ramach EOG
  • w sytuacji, gdy dane osobowe są przekazywane poza Europejski Obszar Gospodarczy, należy preferować rozwiązania gwarantujące stałą ochronę podstawowych praw osób, których dane dotyczą, takie jak decyzje stwierdzające odpowiedni stopień ochrony danych (art. 45. RODO) lub odpowiednie zabezpieczenia (art. 46 RODO)
  • w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony danych lub odpowiednich zabezpieczeń, organy publiczne i podmioty prywatne mogą powołać się na wyjątki zawarte w art. 49 RODO

Źródło: https://gazetalekarska.pl/?p=55825

Francuski sąd utrzymał karę dla Google

  • najwyższy sąd administracyjny we Francji utrzymał karę w wysokości 50 milionów euro nałożoną na koncern Google
  • to kara za złamanie przepisów wynikających z RODO
  • orzeczenie Rady Stanu, która pełni rolę najwyższego sądu administracyjnego, odnosi się do kary zarządzonej w styczniu 2019 roku przez francuski urząd ochrony danych osobowych CNIL
  • CNIL uznał wówczas, że informacje o wykorzystaniu danych osobowych przez wyszukiwarkę Google nie są łatwo dostępne dla użytkowników
  • chodzi między innymi o informacje o celu przetwarzania danych, czasie ich przechowywania czy danych używanych do personalizacji reklam, zakwestionowany został też sposób uzyskania zgody na przetwarzanie danych
  • amerykański koncern w reakcji na wyrok Rady Stanu zapowiedział wprowadzenie zmian
  • Ludzie oczekują zrozumienia i kontrolowania sposobu wykorzystywania ich danych, a my zainwestowaliśmy w wiodące w branży narzędzia, które pomagają im to robić – napisała rzeczniczka Google

Źródło: https://tvn24.pl/biznes/ze-swiata/francja-google-ma-zaplacic-50-milionow-euro-kary-za-zlamanie-przepisow-rodo-4615694

TikTok pod lupą EROD

  • Europejska Rada Ochrony Danych powołała grupę zadaniową w celu koordynowania potencjalnych działań i uzyskania bardziej kompleksowego przeglądu przetwarzania danych i praktyk stosowanych przez aplikację TikTok w całej UE
  • EROD wydała wytyczne i zalecenia, które powinni wziąć pod uwagę wszyscy administratorzy danych, w szczególności jeżeli chodzi o przekazywanie danych osobowych do krajów trzecich
  • szczególnie te wytyczne powinny zostać wzięte pod uwagę kiedy dochodzi do przetwarzania danych małoletnich
  • EROD przypomina, że RODO ma zastosowanie do przetwarzania danych osobowych przez administratora, nawet jeśli nie ma jednostki organizacyjnej w Unii

Źródło: https://www.cyberdefence24.pl/polityka-i-prawo/tiktok-pod-lupa-europejskiej-rady-ochrony-danych

Monitoring przyrody a RODO

  • organ nadzorczy Liechtensteinu (Datenschutzstelle) wydał zalecenia dotyczące kamer do obserwacji przyrody – organ wskazuje, że jak wynika z nazwy, celem kamer dzikiej przyrody jest monitorowanie dzikiej przyrody
  • ponieważ nagrania są uruchamiane regularnie za pomocą czujników ruchu, nie można wykluczyć jednak że zarejestrowane zostaną także osoby fizyczne, a fakt ten stanowi problem ochrony danych
  • Datenschutzstelle podkreśla, że na wypadek objęcia przez taką kamerę możliwej do zidentyfikowania osoby konieczne jest spełnienie obowiązków wynikających z RODO
  • przetwarzanie musi opierać się na podstawie prawnej – organ podaje art. 6 ust. 1 lit. f RODO tj. prawnie uzasadniony interes administratora, za który można uznać zainteresowanie przyrodą, ochronę zwierząt, etc.
  • organ wskazuje na obowiązek przeprowadzenia testu równowagi, który uwzględniłby m.in. obszar, ustawienie kamery i częstotliwość pojawiania się w ich obrębie osób fizycznych
  • należy również wdrożyć odpowiednie środki techniczne i organizacyjne

Źródło: https://www.datenschutzstelle.li/datenschutz/themen-z/videoueberwachung?fbclid=IwAR2d6rS3HhXxPYw6JqiSenRSbCoYacVijAKZQRuqdea31ABa2I4xkvr6YNk#Wildtierkameras

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Pobierz plik PDF z prezentacją - RODO aktualności z dnia (15.06.2020)
Pobierz

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia (22.06.2020)
Pobierz

Powiązane artykuły

RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.
RODO aktualności
RODO aktualności – 30.10.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO