RODO aktualności – 23.03.2021 r.

Jakie konsekwencje spowodował pożar serwerowni OVH? Jak przed tymi konsekwencjami się zabezpieczyć? Jak zadbać o dane osobowe w trakcie e-lekcji? RODO po amerykańsku, czyli jakie są główne założenia stanowej ustawa o ochronie danych osobowych w Wirginii? Jaki jest program prac EROD na przyszłe lata? Co znajdziemy marcowym numerze newslettera UODO? Jakie dane wyciekły z ZUS-u? Czy numery PESEL szefów spółek powinny być dostępne w internecie? Czy „paszport covidowy” jest zgodny z RODO? Jak wygląda projekt KRZ? Czego dotyczy wspólna opinia EROD i EIOD? Czy za odsprzedaż używanego laptopa z MOIMI danymi przysługuje odszkodowanie? Przed jakimi wyłudzeniami ostrzega nas Główny Inspektor Sanitarny?

MULTIMEDIA

#RODOA [15.03.2021]
#RODOA [22.03.2021]
Obejrzyj na YouTube
Odsłuchaj na: Spotify, Google Podcasts, RSS
Pobierz PDFPobierz PDF

Spłonęła serwerownia OVH

  • w nocy z 9 na 10 marca w Strasburgu doszło do pożaru dwóch budynków w centrum serwerowym firmy hostingowej OVH
  • to jedno z czterech znajdujących się w tym miejscu centrów danych
  • w efekcie tego nie działało wiele serwisów korzystających z tej infrastruktury, np. Bonito.pl, Katolicka Agencja Informacyjna czy strona „Pisma”, problemy notowali także sprzedawcy z Allegrom TOPR informował o niedziałających stronach lawiny.topr.pl i pogoda.topr.pl, problemy notowały strony Jagiellonii Białystok i Górnika Zabrze, niektórzy dostawcy poczty e-mail także notowali problemy ze swoimi usługami
  • o pożarze na terenie serwerowni w Strasburgu poinformował Octave Klaba, twórca OVH
  • OVHcloud w komunikacie zachęca swoich klientów do uruchomienia DRP (ang. Disaster Recovery Plans), czyli planowania zarządzania kryzysowego, który powinien być częścią strategii zachowania ciągłości biznesowej
  • z serwerów OVH korzysta 1,6 mln klientów ze 140 krajów
  • firma podaje, że ma 400 tys. serwerów w 31 lokalizacjach na całym świecie
  • w Europie znajduje się 15 centrów danych

Źródło: https://www.bankier.pl/wiadomosc/Pozar-w-serwerowni-OVH-wylaczyl-wiele-serwisow-internetowych-8072054.html

Jak zadbać o dane osobowe podczas e-lekcji?

  • bezpieczeństwo danych osobowych w okresie kształcenia na odległość ‒ to temat wykładu online przygotowanego przez Urząd Ochrony Danych Osobowych dla kadry pedagogicznej szkół różnego typu
  • webinarium odbędzie się 11 marca 2021 r. w ramach programu zainicjowanego przez Kuratorium Oświaty w Warszawie „Reaguj i wspieraj. Koalicja na rzecz tworzenia bezpiecznego środowiska nauczania na odległość”
  • odpowiadając na potrzeby pedagogów, podczas wykładu ekspert UODO omówi wszelkie zagadnienia związane z bezpiecznym prowadzeniem nauki zdalnej
  • uczniowie są coraz bardziej świadomi swoich praw i obowiązków wynikających z przepisów prawa – natomiast potrzebują zwracać większą uwagę na to jak zachować się w konkretnych sytuacjach w życiu codziennym, w tym w nowych warunkach, jakie stwarza nauczanie na odległość
  • pogłębienie zwłaszcza praktycznych aspektów wiedzy o ochronie danych osobowych uzasadniają zadania, jakie w tym procesie realizują szkoły, które przetwarzają dane osobowe uczniów i ich rodziców czy opiekunów oraz nauczycieli – jednak w związku z upowszechnieniem nauczania na odległość pojawiały się dodatkowe elementy, które w tradycyjnym nauczaniu nie dominowały

Źródło: https://uodo.gov.pl/pl/458/1955

Wirginia z przepisami o ochronie danych osobowych

  • Ustawa o ochronie danych konsumentów w Wirginii zmusi firmy do przyznania konsumentom prawa do żądania zaprzestania gromadzenia ich danych
  • ustawodawstwo obejmuje firmy przetwarzające dane osobowe co najmniej 100 000 konsumentów oraz firmy przetwarzające dane co najmniej 25 000 osób i czerpiących ponad połowę swoich dochodów ze sprzedaży tych danych
  • Virginia staje się drugim stanem, po Kalifornii, w którym wprowadzono kompleksowe przepisy dotyczące prywatności
  • prawo stanu Wirginia pozwala konsumentom m.in. potwierdzić, czy firma przechowuje ich dane i uzyskać do nich, podmioty danych mogą również żądać poprawienia danych oraz zmusić formę do ich całkowitego usunięcia
  • organizacje muszą odpowiedzieć na wnioski w ciągu 45 dni, ale mogą przedłużyć ten termin o kolejne 45 dni w skomplikowanych przypadkach, pod warunkiem, że poinformują konsumenta i wyjaśnią przyczynę
  • złamanie prawa wiąże się z karą w wysokości do 7500 USD na osobę poszkodowaną
  • wszystkie zebrane pieniądze zostaną przekazane do Funduszu Prywatności Konsumentów
  • ustawa trafiła teraz do komisji, która oceni, jak ją zaimplementować – wejście w życie przewidywane jest na 1 stycznia 2023 r.

Źródło: https://www.grcworldforums.com/data-protection-and-privacy/virginia-becomes-second-us-state-to-enact-comprehensive-data-privacy-law/992.article

EROD przyjęła m.in. program prac na lata 2021-2022

  • Program prac Europejskiej Rady Ochrony Danych na lata 2021-2022, oświadczenie dotyczące rozporządzenia ws. prywatności i łączności elektronicznej, wytyczne ws. wirtualnych asystentów głosowych, a także wytyczne ws. pojazdów połączonych – to przykładowe dokumenty przyjęte przez EROD podczas 46. posiedzenia plenarnego, które odbyło się 9 marca 2021 r.
  • EROD przyjęła, zgodnie z art. 29 swojego Regulaminu wewnętrznego, program prac na lata 2021-2022, który jest zgodny z priorytetami określonymi w Strategii EROD na lata 2021-2023, co pozwoli zrealizować strategiczne cele Rady
  • Oświadczenie dotyczące rozporządzenia ws. prywatności i łączności elektronicznej (rozporządzenia e-Privacy) – EROD uznała za pozytywny krok na drodze do finalizacji rozporządzenia w sprawie prywatności i łączności elektronicznej przyjęcie porozumienia w sprawie mandatu negocjacyjnego Rady UE
  • Wytyczne ws. wirtualnych asystentów głosowych –mają na celu ustalenie wyzwań związanych z przestrzeganiem przepisów przez wirtualnych asystentów głosowych oraz przedstawienie zainteresowanym stronom zaleceń, jak sobie z nimi radzić
  • Wytyczne ws. pojazdów połączonych – ostateczna wersja wytycznych koncentruje się na przetwarzaniu danych w związku z nieprofesjonalnym użytkowaniem pojazdów połączonych przez osoby, których dane dotyczą

Źródło https://uodo.gov.pl/pl/138/1959

Marcowy numer newslettera UODO dla IOD (1)

  • w najnowszym, marcowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

POZYSKIWANIE NUMERU PESEL NA POTRZEBY PROWADZENIA EGZEKUCJI ADMINISTRACYJNEJ

  • dopiero na etapie prowadzonego postępowania egzekucyjnego uzasadnione jest przetwarzanie numeru PESEL strony postępowania

WIZERUNEK PROTOKOLANTA W TRANSMISJI I NA NAGRANIACH OBRAD RADY GMINY

  • upublicznienie wizerunku osoby protokółującej obrady rady gminy zarówno podczas transmisji, jak i na utrwalonym nagraniu posiedzenia jest zgodne z prawem i nie wymaga jej zgody

PRZECHOWYWANIE DOKUMENTACJI UCZESTNIKÓW WARSZTATÓW TERAPII ZAJĘCIOWEJ

  • jeśli przepisy szczególne nie określają okresu retencji danych, to zastosowanie znajdują przepisy RODO, w tym zasada
  • ograniczenia przechowywania danych
  • stanowi ona, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez
  • okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, dla których je pozyskano

Marcowy numer newslettera UODO dla IOD (2)

JAK DOKUMENTOWAĆ WPŁYW COVID-19 NA TERMINOWĄ REALIZACJĘ ZAMÓWIENIA PUBLICZNEGO?

  • artykuł 15 ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 nie uprawnia pracodawcy do pozyskiwania danych o stanie zdrowia pracownika celem ich przekazywania zamawiającemu w ramach realizacji zamówienia publicznego – na tej podstawie także zamawiający nie ma prawa do pozyskiwania i przetwarzania tego rodzaju danych osobowych

OZNACZANIE PACJENTÓW SZPITALA DZIECIĘCEGO

  • przepisy szczególne precyzyjnie regulują, w jaki sposób oznacza się pacjentów w znaki identyfikacyjne, w tym jakie dane osobowe są w nich zawarte
  • w przypadku dzieci dopuszczalne może być umieszczanie na opasce identyfikacyjnej imienia i nazwiska dziecka, o ile dochodziłoby do tego za zgodą i przede wszystkim z inicjatywy jego rodziców lub opiekunów

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Wyciek danych osobowych z ZUS

  • ZUS wysłał na nieaktualne adresy zamieszkania PIT-11A osobom, którym wypłacał zasiłki chorobowe w 2020 roku – to efekt niewłaściwego zaciągnięcia przez system informatyczny starej bazy danych
  • ZUS nie wie, ile PIT-ów trafiło w niepowołane ręce
  • według UODO, Zakład zgłosił kilka incydentów związanych z wysyłką PIT na błędnie podany adres zamieszkania
  • prawo.pl zapytało ZUS, ile wysłał PIT-11 z tytułu wypłacanych w roku 2020 zasiłków chorobowych na niewłaściwe (nieaktualne) adresy zamieszkania osób, które te zasiłki otrzymywały, a także ile takich przypadków było w skali kraju
  • w odpowiedzi ZUS poinformował, że zarejestrował 291 przypadków podejrzeń naruszeń ochrony danych związanych z wysyłką formularzy PIT-11A (co stanowi zaledwie 0,02 proc. wysłanych formularzy tego typu)
  • dodatkowo, zapytano ZUS, kto odpowiada za to, że w systemie informatycznym ZUS nieaktualne były dane świadczeniobiorców – w odpowiedzi instytucja poinformowała, że za aktualizację danych adresowych odpowiada klient, gdyż dane adresowe, zapisane w systemie Zakładu, pochodzą z dokumentów przekazywanych przez klientów

Źródło: https://www.prawo.pl/kadry/zasilki-chorobowe-zus-nie-wie-ile-pit-ow-nie-dotarlo-do-osob,506979.html

Numery PESEL szefów spółek dostępne w Internecie – RPO pisze do MF

  • osoby sprawujące kontrolę nad spółkami skarżą się, że ich dane, w tym także numer PESEL, są publicznie dostępne w Internecie, w prowadzonym przez resort finansów Centralnym Rejestrze Beneficjentów Rzeczywistych
  • CRBR to system gromadzenia i przetwarzania informacji o osobach fizycznych sprawujących kontrolę nad spółkami – oficjalnym celem rejestru jest przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu
  • do Biura RPO wpływają wnioski ws. ochrony danych osobowych w CRBR – autorzy skarg wskazują, że jawność rejestru wraz z katalogiem danych przetwarzanych w rejestrze (w tym numerem PESEL), może w dobie nowoczesnych technologii informatycznych zagrażać ich prywatności
  • RPO poprosił ministra finansów Tadeusza Kościńskiego o działania zmierzające do lepszej ochrony prawa do prywatności
  • wątpliwości dotyczące tej samej kwestii wyrażał Prezes Urzędu Ochrony Danych Osobowych jeszcze w procesie prac legislacyjnych na przepisami o Centralnym Rejestrze Beneficjentów Rzeczywistych
  • PUODO podkreślał, że rozważenia wymaga wprowadzenie zmian legislacyjnych do ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu w taki sposób, aby uczynić zadość obowiązkowi unijnemu utworzenia jawnego rejestru beneficjentów rzeczywistych, zapewniając jednocześnie właściwe narzędzia ochrony danych osobowych zamieszczanych w tym rejestrze

Źródło: https://www.rp.pl/Firma/303209991-Numery-PESEL-szefow-spolek-dostepne-w-internecie-prywatnosc-zagrozona-Adam-Bodnar-pisze-do-MF.html

Europejski paszport covidowy jest niezgodny z RODO

  • Komisja Europejska przedstawiła projekt „paszportu covidowego” – oprócz wątpliwości etycznych budzi też wątpliwości dotyczące prywatności
  • szefowa KE powiedziała, że chciałaby, aby „cyfrowy certyfikat COVID” był uniwersalnym narzędziem na terenie całej Unii Europejskiej – certyfikat miałby informować, że jego właściciel został zaszczepiony przeciwko chorobie COVID-19, ma aktualny negatywny test na obecność koronawirusa SARS-CoV-2 lub przeszedł chorobę i ma przeciwciała
  • uniwersalny certyfikat ma przyśpieszyć proces powrotu do normalności po pandemii koronawirusa w całej Unii Europejskiej – obecna propozycja certyfikatu budzi jednak wątpliwości, a jednym z problemów są kwestie bezpieczeństwa i prywatności
  • „Unia Europejska chce stworzyć centralne bazy osób zaszczepionych. Te z łatwością mogłyby być wykorzystane do innych celów, a dane mogłyby zostać wykradzione. Dane medyczne należą jedynie do ich właścicieli i do ich zaufanych placówek medycznych. Obywatele UE powinni mieć całkowitą kontrolę nad tym, kto ma dostęp do ich danych” – alarmują niektórzy członkowie PE
  • Komisarz UE Didier Reyes, który pilotuje projekt „zielonego certyfikatu” lub „certyfikatu COVID” chciałby, aby został on wprowadzony jeszcze przed wakacjami

Źródło: https://tech.wp.pl/europejski-paszport-covidowy-jest-niegodny-z-rodo-6619445653260960a

Krajowy Rejestr Zadłużonych a RODO

  • Krajowy Rejestr Zadłużonych ma stanowić źródło informacji, w szczególności o podmiotach niewypłacalnych, zagrożonych niewypłacalnością lub podmiotach, wobec których umorzono bezskuteczną egzekucję
  • KRZ ma być udostępniony na stronie internetowej MS – rejestr ten ma być jawny, a sprawdzenie w nim danych ma być bezpłatne
  • zgodnie z projektem, jednym z kryteriów wyszukiwania danych zawartych w rejestrze w odniesieniu do osób fizycznych będzie nr PESEL, a w przypadku innych podmiotów numer KRS
  • dostęp do danych zawartych w KRZ będzie bardzo prosty – z możliwości tych będą mogli korzystać m.in. kontrahenci czy pracodawcy
  • autorzy projektu, odwołując się do art. 5 i art. 6 RODO, przyjmują, że przetwarzanie danych osób fizycznych zamieszczonych w KRZ będzie zgodne z prawem i jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym – w interesie publicznym jest bowiem zapewnienie bezpieczeństwa obrotu prawnego i to nie tylko w sferze działalności gospodarczej
  • w zakresie dotyczącym postępowań upadłościowych i restrukturyzacyjnych przetwarzanie danych osobowych jest dodatkowo realizacją obowiązku wynikającego z prawa unijnego
  • projektodawcy podkreślają też, że ujawnianie numeru PESEL w KRZ jest niezbędne dla zagwarantowania rzetelności informacji
  • ustawodawca zdecydował o wdrożeniu KRZ 1 lipca 2021 r. – jest to nowa data wejścia w życie ustawy o KRZ

Źródło: https://www.pit.pl/aktualnosci/krajowy-rejestr-zadluzonych-ma-ruszyc-1-lipca-2021-r-1005307

Wspólna opinia EROD i EIOD nt. rozporządzenia ws. zarządzania danymi

  • Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych przyjęli wspólną opinię dotyczącą rozporządzenia w sprawie zarządzania danymi
  • rozporządzenie ma na celu zwiększenie dostępności danych poprzez podniesienie poziomu zaufania do pośredników w zakresie danych oraz wzmocnienie mechanizmów udostępniania danych w całej Unii Europejskiej
  • EROD i EIOD wzywają współustawodawców do zapewnienia pełnej zgodności przyszłego rozporządzenia w sprawie zarządzania danymi z prawodawstwem UE w zakresie ochrony danych osobowych, co zwiększy zaufanie do gospodarki cyfrowej i utrzyma stopień ochrony przewidziany w prawie Unii pod nadzorem organów nadzorczych państw członkowskich
  • EROD i EIOD uważają, że unijny prawodawca powinien dopilnować, aby w treści rozporządzenia stwierdzono, że rozporządzenie to nie wpłynie na stopień ochrony danych osobowych osób fizycznych, ani nie zmieni żadnych praw i obowiązków określonych w prawodawstwie dotyczącym ochrony danych
  • jeśli chodzi o ponowne wykorzystywanie danych będących w posiadaniu organów sektora publicznego, EROD i EIOD zalecają dostosowanie rozporządzenia do istniejących przepisów dotyczących ochrony danych osobowych – ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego może być dozwolone wyłącznie wtedy, jeśli jest osadzone w prawie UE lub prawie państwa członkowskiego

Źródło https://uodo.gov.pl/pl/138/1962

800 EUR odszkodowania za nieusunięty dysk twardy

  • Sąd Rejonowy w Hildesheim orzekł, że odsprzedaż zwróconego laptopa i związane z tym udostępnienie danych zapisanych na komputerze osobom trzecim stanowi naruszenie ochrony danych
  • powód zakupił od pozwanego komputer – ponieważ po krótkim czasie nie można go było już uruchomić, zwrócił go
  • według firmy, zwrócony komputer przeszedł kilka procesów naprawy, ale jeden z dwóch istniejących dysków twardych został przeoczony i w konsekwencji nie został wyczyszczony – następnie częściowo odnowiony komputer został odsprzedany stronie trzeciej, która znalazła dane powoda na wspomnianym dysku twardym i skontaktowała się z powodem
  • sąd rozpoznając roszczenie uznał, że kwota odszkodowania w wysokości 800 EUR jest wystarczająca i odpowiednia, aby zrekompensować krzywdę niemajątkową powoda
  • oceniając roszczenie o odszkodowanie, sąd uznał za istotne, że chociaż na komputerze znajdowała się duża ilość danych, tylko jedna osoba miała dostęp do danych i tylko niewielka część danych była przez nią uważnie przeglądana
  • incydent był wynikiem zaniedbania, ponieważ co do zasady pozwany stworzył wystarczające metody wdrożenia standardów ochrony danych i nie są znane żadne dalsze incydenty

Źródło: https://www.linkedin.com/pulse/german-local-court-800-eur-gdpr-compensation-non-erased-piltz/

Próba wyłudzania danych osobowych

  • Główny Inspektor Sanitarny informuje, że Państwowa Inspekcja Sanitarna przeprowadza wywiady epidemiologiczne z obywatelami w celu prowadzenia działań przeciwepidemicznych
  • pracownicy Państwowej Inspekcji Sanitarnej wywiady epidemiologiczne przeprowadzają z osobami, których dane zawarte są w systemach teleinformatycznych, wykorzystywanych zgodnie z przepisami prawa w pracy Inspekcji
  • sytuacje, w których anonimowe osoby dzwonią do obywateli i proszą o podanie danych osobowych w celu np.: umówienia osoby na test, są próbą wyłudzenia tych danych
  • Główny Inspektor Sanitarny ostrzega, że osobom anonimowym, które proszą o podanie danych osobowych, a nie o ich potwierdzenie, nie należy takich informacji udzielać

Źródło: https://www.gov.pl/web/gis/proba-wyludzania-danych-osobowych

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 24.09.2024 r.
RODO aktualności
RODO aktualności – 28.08.2024 r.
RODO aktualności
RODO aktualności – 12.08.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO