Jaka kara RODO została nałożona na Śląski Universytet Medyczny? Co wynika z opinii rzecznika generalnego TSUE ws. Facebooka? Czy WSA utrzymał karę UODO w związku ze stosowaniem monitoringu? Jakie są najnowsze wytyczne dot. ochrony danych dzieci w środowisku edukacyjnym? Jaki jest status wycieku danych osobowych z platformy telemedycznej? Czego dotyczy najnowsza wspólna opinia EROD i EIOD? Czy polityka WhatsAppa narusza prywatność uzytkowników? Czy UODO opracował plan kontroli sektorowych na 2021 rok? I wiele, wiele innych.
MULTIMEDIA | |
---|---|
#RODOA [18.01.2021] | #RODOA [25.01.2021] |
Pobierz PDF | Pobierz PDF |
25 tys. zł kary dla Śląskiego Uniwersytetu Medycznego
- Prezes UODO nałożył 25 tys. zł kary na Śląski Uniwersytet Medyczny, gdyż na uczelni doszło do naruszenia ochrony danych, o którym administrator powinien powiadomić nie tylko organ nadzoru, ale i osoby, których dotyczył ten incydent
- organ nadzoru oprócz nałożonej kary, nakazał również uczelni powiadomienie osób, których dotyczyło naruszenie
- sygnały o tym, że na Śląskim Uniwersytecie Medycznym doszło do naruszenia ochrony danych dotarły do UODO na początku czerwca 2020 roku – podczas egzaminów odbywających się pod koniec maja 2020 r. w formie wideokonferencji, miała miejsce identyfikacja studentów, po zakończonym egzaminie nagrania z nich były dostępne nie tylko dla osób egzaminowanych, ale i innych osób mających dostęp do systemu, ponadto wykorzystując bezpośredni link każda osoba postronna mogła mieć dostęp do nagrań z egzaminów i przedstawionych podczas identyfikacji danych egzaminowanych studentów
- UODO zwrócił się do administratora o wyjaśnienia – ten utrzymywał, że w związku z naruszeniem nie było konieczności zawiadamiania organu, gdyż w jego ocenie ryzyko dla praw lub wolności osób, których dotyczył incydent było niskie
- UODO uznał, że doszło do naruszenia ochrony danych, a administrator nie dopełnił obowiązków związanych z powiadomieniem o tym fakcie zarówno organu nadzoru i osób, których dotyczyło naruszenie – takie obowiązki powstają, gdy w związku z naruszeniem istnieje wysokie ryzyko dla praw lub wolności dotkniętych nim osób
Źródło: https://uodo.gov.pl/pl/138/1825
Opinia rzecznika generalnego TSUE ws. Facebooka
- opinia rzecznika generalnego TSUE, to konsekwencja postępowania sądowego, jakie wytoczyły belgijskie organy ochrony danych we wrześniu 2015 roku przeciwko spółkom należącym do Facebooka zarejestrowanym w Irlandii, które stanowią centrum operacyjne dla użytkowników portalu w Unii Europejskiej
- belgowie chcieli, by portal zaprzestał umieszczania na urządzeniach użytkowników internetu, bez ich zgody, plików cookie oraz nadmiernego gromadzenia danych za pomocą wtyczek społecznościowych i pikseli w witrynach osób trzecich
- jak wynika z opinii rzecznika generalnego Trybunału Sprawiedliwości Unii Europejskiej Michela Bobeka, organom ochrony danych w państwach Unii Europejskiej przysługuje uprawnienie do wszczynania postępowań sądowych w sprawie naruszeń przepisów RODO w związku z transgranicznym przetwarzaniem danych
- opinia rzecznika nie jest w żaden sposób wiążąca dla TSUE, ale bardzo często pokrywa się z ostatecznym wyrokiem unijnych sędziów
WSA utrzymuje karę UODO
- Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na decyzję prezesa Urzędu Ochrony Danych Osobowych, który nałożył karę administracyjną 8 tys. zł na spółkę administrującą wspólnotą mieszkaniową
- przeprowadzona z upoważnienia prezesa UODO kontrola monitoringu wizyjnego zainstalowanego na terenie wspólnoty wykazała, że spółka działała niezgodnie z przepisami o ochronie danych osobowych
- przetwarzała dane osobowe bez zawartej w tym celu umowy i nie wdrożyła odpowiednich środków organizacyjnych i technicznych do kontroli udostępniania nagrań – choć spółka uwzględniła zarzuty i zawarła umowy, nie uniknęła kary 8 tys. zł
- w odwołaniu do WSA spółka broniła się, że UODO nie wykazał, że w związku z wejściem w posiadanie nowych haseł do monitoringu dokonywała jakichkolwiek operacji – nieuprawniony jest więc pogląd, że jest administratorem danych z monitoringu
- w zleceniu wykonania audytu monitoringu odgrywała jedynie rolę techniczną i usługową, pośrednicząc między wspólnotą mieszkaniową a wykonawcą w nawiązaniu współpracy
- WSA oddalił skargę – uznał, że spółka miała dostęp do danych osobowych przetwarzanych w ramach monitoringu wizyjnego w związku z bieżącym administrowaniem nieruchomością i decydowała o celach i sposobach przetwarzania danych
Wytyczne dot. ochrony danych dzieci w środowisku edukacyjnym
- podczas 40. posiedzenia plenarnego Komitetu Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych, delegacje Państw-Stron Konwencji zdecydowały o przyjęciu Wytycznych dotyczących ochrony danych dzieci w środowisku edukacyjnym
- wytyczne wyjaśniają kwestie związane z realizacją podstawowych zasad praw dziecka w placówkach edukacyjnych w kontekście ochrony danych osobowych
- dokument zawiera szereg wskazówek, które mają pomóc ustawodawcom i decydentom, administratorom danych, a także branży w przestrzeganiu tych praw – podkreśla się m.in. potrzebę regularnego przeglądu prawodawstwa, polityk i praktyki, uwzględniając w tym również konieczność zapewnienia środków skutecznego wsparcia dla praw dzieci
- wśród zaleceń wskazano kluczowe obszary, na które należy zwrócić szczególną uwagę, w szczególności zasady legalności, rzetelności, zapewnienia oceny ryzyka, zatrzymywania danych, zabezpieczenia danych w środowisku edukacyjnym, zautomatyzowanych decyzji i profilowania oraz przetwarzania danych biometrycznych
- w dokumencie wskazano również zalecenia dla branży, tak by w tej dziedzinie również zadbano o dzieci i ich prawa w kontekście m.in. norm, przejrzystości oraz projektowania funkcji z uwzględnieniem ochrony danych i prywatności
Źródło: https://uodo.gov.pl/pl/138/1824
UODO bada wyciek danych z platformy telemedycznej
- do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych od Telmedicin sp. z o.o. odpowiedzialnej za platformę telemedyczną oraz zdalne konsultacje z lekarzami różnych specjalności
- administrator otrzymał informację od osoby postronnej, o błędzie bezpieczeństwa w jednym z podsystemów, odpowiedzialnym za obsługę rozmów głosowych
- z powodu luki w systemie osoba nieuprawniona przez krótki czas mogła mieć nieuprawniony dostęp do numeru telefonu użytkownika, a jeśli konsultacja zawierała nagranie audio – możliwość jego pobrania
- spółka niezwłocznie po uzyskaniu tej informacji usunęła błąd, blokując działanie podsystemu, bez innych konsekwencji dla zachowania ciągłości obsługi klientów – ponadto administrator zabezpieczył dane przed nieuprawnionym dostępem
- zaistniały incydent może skutkować utratą poufności danych osobowych pacjentów, które są chronione tajemnicą zawodową
Źródło: https://uodo.gov.pl/pl/138/1821
EROD i EIOD przyjęły wspólne opinie w sprawie nowych zestawów SKU
- EROD i EIOD przyjęły wspólne opinie w sprawie projektów dwóch zestawów standardowych klauzul umownych (SKU)
- EROD i EIOD z zadowoleniem przyjęli SKU jako narzędzie rozliczalności, które ułatwi przestrzeganie przepisów RODO
- zażądano kilku poprawek w celu nadania tekstowi większej jasności i zapewnienia jego praktycznej użyteczności
- poprawki obejmują wzajemne oddziaływanie tych dwóch dokumentów, tak zwaną „klauzulę dokowania”, która umożliwia dodatkowym podmiotom przystąpienie do SKU, oraz inne aspekty związane z obowiązkami podmiotów przetwarzających
- ponadto EROD i EIOD sugerują, aby załączniki do SKU wyjaśniały w jak największym stopniu role i obowiązki każdej ze stron w odniesieniu do każdej czynności przetwarzania
- projekt SKU dotyczących przekazywania danych osobowych do państw trzecich zgodnie z art. 46 ust. 2 lit. c) RODO zastąpi dotychczasowe SKU dla międzynarodowych transferów, które zostały przyjęte na podstawie dyrektywy 95/46 i wymagały aktualizacji w celu dostosowania ich do wymogów RODO, a także z uwzględnieniem wyroku w sprawie Schrems II
Źródło: https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_en
10,4 miliona euro za nadzór video pracowników (1)
- organ ochrony danych w Dolnej Saksonii nałożył grzywnę w wysokości 10,4 miliona euro za utrzymywanie pracowników pod stałym nadzorem wideo bez podstawy prawnej
- ukarana została spółka prowadząca internetowy portal e-commerce i sieć sklepów zajmująca się sprzedażą laptopów i innych materiałów informatycznych – firma zainstalowała dwa lata temu system monitoringu wideo w swoich magazynach, salonach sprzedaży i wspólnych obszarach roboczych w celu zapobiegania kradzieżom i śledzenia przemieszczania się produktów
- urzędnicy powiedzieli, że system monitoringu wideo był cały czas aktywny, a nagrania były przechowywane w bazie danych aż przez 60 dni
- niemiecki organ stwierdził, że nadzór wideo nie powinien być używany jako „środek odstraszający” w celu zapobiegania przestępstwom, ale tylko wtedy, gdy pracodawca miał uzasadnione podejrzenia wobec niektórych pracowników – w takich przypadkach pracownicy mogli być monitorowani przez ograniczony czas do potwierdzenia podejrzenia
- zdaniem niemieckiego organu monitoring wideo jest szczególnie intensywnym naruszeniem dóbr osobistych, ponieważ teoretycznie całe zachowanie danej osoby można obserwować i analizować
10,4 miliona euro za nadzór video pracowników (2)
- z powodu ciągłego monitoringu wideo pracownicy są pod ciągłym stresem i presją, aby zachowywać się tak dyskretnie, jak to tylko możliwe, aby uniknąć krytyki za swoje zachowanie
- spółka rejestrowała również klientów podczas testowania urządzeń w swoich salonach bez ich wiedzy lub zgody, co stanowi kolejne poważne naruszenie prywatności
- spółka nie zgadza się z decyzją i wskazuje, że w żadnym momencie system wideo nie został zaprojektowany do monitorowania zachowania lub wydajności pracowników – nie był nawet do tego przystosowany technicznie
Konsultacje wytycznych ws. przykładów zgłaszania naruszeń ochrony danych
- do 2 marca 2021 r. Europejska Rada Ochrony Danych przyjmuje uwagi dotyczące Wytycznych 1/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych
- wytyczne te uzupełniają wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych, wprowadzając bardziej praktyczne wskazówki i zalecenia – dokument ma na celu pomoc administratorom danych w podjęciu decyzji, jak postępować w przypadku naruszenia ochrony danych i jakie czynniki wziąć pod uwagę podczas oceny ryzyka
- wytyczne zawierają spis najczęściej występujących przypadków naruszeń ochrony danych , takich jak: ataki ransomware, ataki polegające na eksfiltracji danych oraz przypadki zgubionych lub skradzionych urządzeń i dokumentów w formie papierowej ‒ opracowane w oparciu o doświadczenia organów nadzorczych
- w poszczególnych kategoriach wytyczne przedstawiają najbardziej typowe dobre lub złe praktyki, porady dotyczące identyfikacji i oceny ryzyka, podkreślają czynniki, na które należy zwrócić szczególną uwagę, a także informują, w jakich przypadkach administrator powinien powiadomić o naruszeniu organ nadzorczy i/lub powiadomić o nim osoby, których dane dotyczą
- uwagi należy przesłać najpóźniej do 2 marca 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD
Źródło: https://uodo.gov.pl/pl/138/1857
Dlaczego w Polsce nie zatwierdzono dotąd żadnego kodeksu postępowania?
- UODO wskazuje, że choć do zatwierdzenia pierwszych kodeksów postępowania jest już coraz bliżej, to wciąż nie mamy w Polsce takiego dokumentu, który byłby już stosowany – powodów tej sytuacji ma być kilka
- do UODO wpłynęło dotąd osiem wniosków o zatwierdzenie kodeksów postępowania
- wśród części przedłożonych projektów kodeksów można zauważyć duże zrozumienie projektodawców dla zasad tworzenia oraz zatwierdzania kodeksów postępowania – inicjatorzy są też mocno zaangażowani w konstruowanie przejrzystych rozwiązań
- są jednak i takie projekty kodeksów, które pobieżnie regulują poszczególne kwestie ochrony danych osobowych w danym sektorze lub stanowią bezrefleksyjne powtórzenie przepisów RODO
- w innych projektodawcy przedstawiali rozwiązania, które nie prowadziły do uszczegółowienia przepisów z zakresu ochrony danych osobowych, nie służyły zapewnieniu przejrzystości oraz rzetelności procesu przetwarzania danych osobowych
- również mechanizmy monitorowania przestrzegania kodeksów niekiedy nie były dostosowane do wymogów wynikających z Wytycznych EROD
- w przypadku niektórych projektów kodeksów UODO już kilka miesięcy temu przedstawił ich autorom swoje uwagi
Źródło: https://uodo.gov.pl/pl/138/1858 https://www.prawo.pl/biznes/kodeksy-rodo-osiem-projektow-ale-zaden-jeszcze-nie-zatwierdzony,505991.html
Naruszenia RODO: ile zgłoszeń, jakie kary –raport DLA Piper
- DLA Piper po raz trzeci przygotowała raport o zgłaszanych naruszeniach RODO i upublicznionych przez organy krajowe karach
- w okresie od 28 stycznia 2020 roku do 19 stycznia 2021 roku europejskie organy nałożyły kary o łącznej wartości 272,5 mln euro
- w ostatnim roku zgłoszono 121 165 naruszeń
- UODO odnotował 8 635 przypadków zgłoszeń naruszeń – tym samym zajął 6. pozycję wśród 27 krajów UE
- w tej klasyfikacji pierwsze miejsce zajmują Niemcy – 77,7 tysiąca zgłoszeń
- całkowita kwota nałożonych kar wyniosła w Polsce 1 705 683 euro, plasując nasz kraj na 9. miejscu w zestawieniu krajów z największymi karami.
- w tej klasyfikacji wygrywają Włochy – 69,3 mln euro kar
- nadal najwyższą jak dotąd karą pieniężną jest ta nałożona przez francuski organ nadzoru na Google – gigant ma zapłacić 50 mln euro za naruszenia zasady transparentności i braku ważnej zgody
Polityka WhatsAppa narusza prywatność? UODO bada sprawę
- komunikator WhatsApp zaktualizował Politykę prywatności – zmiany zakładają m.in. możliwość przesyłania danych do Facebook’a, takich jak np. numery telefonów użytkowników, zaktualizowane przepisy wywołały powszechne poruszenie dotyczące ochrony prywatności osób korzystających z popularnego komunikatora
- sprawę postanowił zająć się włoski urząd ochrony danych osobowych – jego zdaniem nowy regulamin, a w szczególności punkt odnoszący się do udostępniania danych innym firmom, jest niejasny i w związku z tym należy dokładnie go przeanalizować
- UODO wskazuje, że również zajęło się sprawą zaktualizowanej Polityki komunikatora, który budzi powszechne kontrowersje – podjęte działania są efektem współpracy z podobnymi instytucjami zrzeszonymi w ramach EROD
- dodatkowo UODO podkreśliło, że na tym etapie trudno jest rozstrzygnąć jakie konsekwencje niosą za sobą dla użytkowników z UE wprowadzone przez WhatsAppa zmiany
- ciężko jest również wyrokować, jak prowadzona przez krajowe instytucje ochrony danych analiza zakończy się.
- WhatsApp twierdzi, że aktualizacja przepisów „nie wpływa w żaden sposób na prywatność wiadomości wymienianych z rodziną i znajomymi”, a wprowadzone zmiany dotyczą wysyłania wiadomości do firm za pomocą komunikatora, co jest „opcjonalne i zwiększa przejrzystość” w zakresie gromadzenia i przetwarzania danych
Źródło: https://www.cyberdefence24.pl/nowa-polityka-whatsappa-narusza-prywatnosc-uodo-bada-sprawe
UODO nie opracował planu kontroli sektorowych
- w odpowiedzi na skierowane zapytanie, Prezes UODO poinformował, że z powodu stanu epidemii COVID-19 nie opracował planów kontroli sektorowych na rok 2021
- plany mają być sporządzone wtedy, gdy sytuacja epidemiczna pozwoli na bezpieczne przeprowadzenie kontroli
Źródło: https://www.linkedin.com/feed/update/urn:li:activity:6757265040610537472/
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.