Kara za uniemożliwienie przeprowadzenia kontroli UODO? Czy koronawirus uśmierci naszą prywatność? Ochrona danych osobowych a praca zdalna? Czego się dowiesz z nowego poradnika UODO dla szkół? Jak przedsiębiorca ma weryfikować seniorów wchodzących do sklepu? Co dalej z wyciekiem danych z SGGW? Prezes UODO wszczyna postępowanie wobec SGGW? Dlaczego Sejm i problemy z poufnością? Jak zabezpieczać dane osobowe podczas nauczania zdalnego? Czego się dowiesz z oświadczenia Przewodniczącej EROD ws. przetwarzania danych podczas pandemii?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Kara za uniemożliwienie przeprowadzenia kontroli
- Prezes UODO nałożył 20 tys. zł. kary na Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach, związaną z branżą telemarketingową, za uniemożliwienie przeprowadzenia kontroli – dodatkowo właścicielowi spółki grozi odpowiedzialność karna
- kontrolerzy UODO, pod wskazanym w KRS adresem i po uprzednim zawiadomieniu o planowanej kontroli, nikogo nie zastali
- kontrolerom udało się jednak telefonicznie skontaktować z Vis Consulting, a jej pełnomocnik poinformował, że kontrola się nie odbędzie
- Prezes UODO uznał więc, że spółka ta w żaden sposób nie chce współpracować z organem
- przez dwa kolejne dni zaplanowanych czynności kontrolnych spółka dwukrotnie uniemożliwiła jej przeprowadzenie, ponadto, w dniu, w którym kontrolerzy próbowali ponownie skontrolować Vis Consulting Sp. z o.o., jej władze podjęły uchwałę o likwidacji tego podmiotu
- Prezes UODO uznał, że zostały spełnione przesłanki, by nałożyć na spółkę karę pieniężną – ustalając jej wysokość organ nadzorczy nie dopatrzył się żadnych okoliczności łagodzących, mających wpływ na wysokość kary
- w związku z podejrzeniem popełnienia przestępstwa z art. 108 ust. 1 ustawy o ochronie danych osobowych przez prezesa spółki, organ nadzorczy zawiadomił o tym Prokuraturę Rejonową w Katowicach
Źródło: https://uodo.gov.pl/pl/138/1480
Poradnik UODO dla szkół
- RODO nie stoi na przeszkodzie zdalnej edukacji w czasie pandemii koronawirusa, lecz daje szkołom możliwość racjonalnego wdrożenia odpowiednich metod i technik kształcenia na odległość z jednoczesnym poszanowaniem podstawowych zasad ochrony danych – powiedział Jan Nowak, Prezes UODO
- przedstawiciele oświaty powinni pamiętać o koniecznej dbałości o prawa osób, których dane będą przetwarzane przy pomocy wykorzystywanych narzędzi, oraz o bezpieczeństwie tych danych – w razie wątpliwości dyrektorzy szkół oraz nauczyciele powinni konsultować się z wyznaczonymi inspektorami ochrony danych
- wychodząc naprzeciw potrzebom szkolnych administratorów oraz inspektorów ochrony danych, UODO przygotował specjalne opracowanie, które zawiera wstępne wskazówki, jak korzystając z metod nauczania online, dbać o bezpieczne przetwarzanie danych
- materiał ten jest adresowany do dyrektorów szkół i nauczycieli, ale zawiera również informacje przydatne rodzicom i uczniom
- dzięki wsparciu Ministerstwa Edukacji Narodowej opracowanie to trafi do wszystkich szkół i placówek oświatowych
- jednocześnie UODO apeluje do organów prowadzących o wsparcie szkół w prowadzeniu bezpiecznej edukacji zdalne
Źródło: https://uodo.gov.pl/pl/138/1473
Dane prawie 5 mln Gruzinów dostępne w sieci
- dane ponad 4,9 miliona Gruzinów, w tym zmarłych obywateli, zostały opublikowane forum hakerskim
- informacje, takie jak imiona i nazwiska, adresy domowe, daty urodzenia, numery identyfikacyjne i numery telefonów komórkowych zostały udostępnione online w pliku MDB 1,04 GB (baza danych Microsoft Access)
- dane zostały wykryte przez Under the Breach, usługę monitorowania i zapobiegania naruszeniom danych
- baza danych zawierała 4 934 863 rekordy, w tym szczegóły dotyczące milionów zmarłych obywateli – obecna populacja Gruzji szacowana jest na 3,7 miliona, według spisu ludności z 2019 roku
- nie jest jasne, czy użytkownik forum, który udostępnił dane, jest tym, który je uzyskał
- źródło danych pozostaje również tajemnicą
Źródło: https://www.zdnet.com/article/personal-details-for-the-entire-country-of-georgia-published-online/
Jak przedsiębiorca ma weryfikować seniorów wchodzących do sklepu?
- wprowadzone restrykcje w działalności sklepów nakładają obowiązek zapewnienia czasu na zrobienie zakupów wyłącznie przez seniorów – jak przedsiębiorcy mogą weryfikować, czy klienci chcący zrobić zakupy w godz. od 10:00 do 12:00 mają powyżej 65 lat i co na to RODO?
- weryfikacja może odbywać się m.in. przez złożenie oświadczenia przez osobę wchodzącą, poproszenie o przedstawienie dokumentu tożsamości lub innego dokumentu potwierdzającego wiek klienta
- zgodnie z jedną z podstaw przetwarzania administrator jest uprawniony do przetwarzania danych osobowych, jeżeli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – zapewnienie przestrzeni sklepowej w określonych godzinach wyłącznie dla seniorów to obecnie obowiązek prawny, a więc podstawowy warunek legalności jest spełniony
- prawo do wprowadzenia jakichkolwiek sposobów weryfikacji wieku klientów jest możliwe wyłącznie w ustalonych godzinach, tj. pomiędzy 10:00 a 12:00
- pojawiają się propozycje rejestrowania klientów wchodzących w obostrzonych godzinach dla seniorów, np. pozyskiwania oświadczeń papierowych, spisywania danych seniorów z dokumentów, kopiowania dokumentów – takie działania należy uznać za działania, które nie są niezbędne do zapewnienia realizacji nakazu przestrzegania godzin dla seniorów, a tym samym naruszające RODO
- poza zapewnieniem właściwej podstawy prawnej przedsiębiorca ma obowiązek dostarczenia osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych, czyli tzw. klauzuli RODO – to, co powinno się w niej znaleźć, jest określone przez art. 13 RODO
Czy koronawirus pozbawi nas prywatności?
- To oczywiste, że w tak nadzwyczajnej sytuacji, jak ta, z którą mamy dziś do czynienia, jesteśmy gotowi ograniczyć naszą prywatność. Jednocześnie już teraz musimy ustalić, że jest to ograniczenie czasowe – mówi w wywiadzie dla Next Gazeta.pl Wojciech Wiewiorówski, Europejski Inspektor Ochrony Danych
- Wiewiórowski wskazał, że dane lokalizacyjne uzyskane przez KE od operatorów mogą być wykorzystane na dwa sposoby – do śledzenia pojedynczych obywateli lub do śledzenia przepływu populacji
- W przypadku działań Komisji Europejskiej mówimy, przynajmniej na razie, wyłącznie o tym drugim scenariuszu – KE nie chce śledzić tego, co robi i gdzie aktualnie przebywa przeciętny Kowalski lecz chodzi o prześledzenie pewnych trendów, a uzyskane dane nie będą pochodziły od wszystkich telekomów działających w danym kraju, ale od jednego wybranego operatora
- KE chce też, aby dane te były dostarczane w sposób zanonimizowany, czyli taki, który nie pozwala na identyfikację konkretnych osób
- gdy Komisja Europejska konsultowała swój pomysł, Europejski Inspektor Ochrony Danych wyraźnie wskazał, że oprócz anonimizacji danych bardzo ważne jest ich zagregowanie, czyli umieszczenie w zestawach obejmujących kilkadziesiąt, kilkaset czy też kilka tysięcy osób – w takim wypadku ryzyko identyfikacji danego właściciela numeru telefonu jest w zasadzie minimalne
- EIOD wskazuje, że nie można wykluczyć scenariusza, w którym zbierane będą dane o charakterze indywidualnym i nie musi tu wcale chodzić jedynie o dane pozyskiwane od operatorów telekomunikacyjnych
Z powodu pandemii COVID-19, Google wycofuje poprawkę chroniącą prywatność
- Google ogłosił, że wycofuje jedną z poprawek zapewniających użytkownikom przeglądarki Chrome prywatność, po to aby podczas pandemii koronawirusa COVID-19 zapobiec ewentualnym zakłóceniom w działaniu wielu ważnych witryn
- chodzi o poprawkę SameSite Cookies, która dotyczy obsługi ciasteczek – internetowy serwer wykorzystujący taką technologię wysyła do przeglądarki instrukcję, aby ta zapisywała w swojej pamięci ciasteczka o określonej nazwie i wartości
- przeglądarka dołącza wtedy automatycznie takie ciasteczka do każdego zapytania kierowanego do określonej domeny (stąd nazwa SameSite) i dlatego to ona – a nie witryna – decyduje o tym, kto ma dostęp do ciasteczek
- SameSite Cookies to rozwiązanie powodujące, że ciasteczka firm trzecich będą wykorzystywane jedynie wtedy, gdy pochodzą z bezpiecznych dla użytkownika połączeń, co zapobiega również internetowym atakom, takim jak CSRF (Cross-Site Request Forgery)
- w swoim komunikacie Google wskazuje, że „Chociaż większość całego ekosystemu WWW była wcześniej przygotowana na wdrożenie takiego mechanizmu ochrony prywatności użytkowników, to w trosce o stabilność funkcjonowania witryn, które świadczą użytkownikom szereg podstawowych usług (chodzi tu przede wszystkim o bankowość, sklepy, usługi rządowe czy apteki), wspomniany powyżej mechanizm chroniący prywatność użytkowników został wyłączony”.
- mechanizm SameSite Cookies został wprowadzony do przeglądarki Chrome w lutym tego roku
Raport „Koronawirus a prawo”
- wydawnictwo Must Read Media wraz z ponad 70 prawnikami spośród 23 firm i kancelarii opracowało raport „Koronawirus a prawo” – największą prawną analizę epidemii w Polsce obejmującą 468 stron
- raport zawiera prawne omówienie 25 zagadnień i branż, w tym związanych z ochroną danych osobowych (RODO)
- część poświęcona RODO opracowana została przez prawników kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.
- link do pobrania raportu: https://raport.mustreadmedia.pl/
Wynoszenie dokumentów z firmy i praca zdalna mogą naruszać prawo
- z powodu epidemii koronawirusa biura rachunkowe w dużej mierze pracują zdalnie
- księgowanie w domu i wynoszenie dokumentów klientów z firmy może jednak naruszać przepisy dotyczące ochrony danych osobistych czy tajemnicy przedsiębiorstwa – eksperci radzą opracować szczegółowe procedury obiegu dokumentów, dzięki nim będzie można uniknąć dotkliwych konsekwencji prawnych i finansowych
- co prawda żadne przepisy nie zakazują pracy w tzw. trybie home office, ale na uwadze trzeba mieć kilka ograniczeń – zgodnie z art. 32 RODO niezależnie od miejsca, w którym świadczona będzie praca, należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych, a RODO nie narzuca konkretnych rozwiązań – ich dobór zależy od decyzji samego przedsiębiorcy
- o ile pracodawca w związku z podjęciem przez pracowników pracy zdalnej dopuszcza w regulaminie pracy bądź w wewnątrz zakładowych procedurach możliwość wynoszenia przez pracowników dokumentów do domu, nawet gdy zawierają one dane osobowe, jest to zgodne z prawem
- należy pamiętać, że obszarem przetwarzania danych osobowych w organizacji stają się wtedy również miejsca, w których pracują pracownicy poza organizacją – powinny wiązać ich zasady bezpieczeństwa, które muszą sprowadzić się do realizacji jednego, zasadniczego celu: dokumenty, które wynosimy poza organizację muszą być wykorzystane wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy oraz żadna osoba trzecia nie powinna mieć do nich dostępu
Prezes UODO wszczyna postępowanie wobec SGGW
- po kontroli przeprowadzonej na SGGW w związku naruszeniem ochrony danych, Prezes UODO wszczyna postępowanie administracyjne
- kontrola wykazała wyraźne dysfunkcje systemu ochrony danych na uczelni – zarówno od strony technicznej, jak i organizacyjnej
- stwierdzono naruszenie przepisów o ochronie danych osobowych odnoszących się do obowiązków ciążących na administratorze m.in. z art. 24 ust. 1 RODO w kontekście braku aktualizacji i przeglądów polityk bezpieczeństwa przyjętych na uczelni
- w toku kontroli stwierdzono, że administrator nie poddawał należytym przeglądom procesu przetwarzania danych osobowych kandydatów na studia – w związku z tym nie posiadał dostatecznej wiedzy o ryzyku związanym z tym przetwarzaniem i nie podejmował właściwych działań wynikających m.in. z art. 25 ust. 1 czy 32 ust. 1 lit. b i d RODO
- działania kontrolne wykazały również uchybienia związane ze sposobem sprawowania funkcji inspektora ochrony danych, który m.in. nie wypełniał swoich zadań zgodnie z art. 39 ust. 2 RODO tj. z należytym uwzględnianiem ryzyka związanego z operacjami przetwarzania
- celem postępowania administracyjnego jest przywrócenie u administratora stanu zgodnego z prawem
Źródło: https://uodo.gov.pl/pl/138/1464
Uprawnienia GIS przy przetwarzaniu danych
- UODO w odpowiedzi na pismo GIS o podstawy przetwarzania danych osobowych w związku z walką z koronawirusem wskazał, że inspekcje sanitarne powinny się kierować regulacjami dotyczącym działalności tych instytucji
- ponadto biorąc pod uwagę, art. 17 ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, wszelkie decyzje, wytyczne oraz zalecenia GIS wydawane różnym podmiotom na podstawie tej specustawy będą stanowić podstawę prawną do przetwarzania przez nie danych osobowych.
- Prezes UODO zaleca jednak, by GIS, jak i organy Państwowej Inspekcji Sanitarnej podejmując decyzje dotyczące swoich działań związanych z przetwarzaniem danych osobowych, korzystali ze wsparcia swoich inspektorów ochrony danych osobowych (IOD) – jest to ważne m.in. z tego powodu, że przy opracowywaniu nowych regulacji, wytycznych i zaleceń powinni się kierować zasadami określonymi w RODO, a więc m.in. zasadą ograniczenia celu czy zasadą ograniczenia przechowywania danych
- podejmując natomiast wszelkie działania inspekcje sanitarne powinny pamiętać, by dane osobowe, które w związku z tymi zadaniami są przetwarzane, były odpowiednio chronione
- Prezes UODO w piśmie do GIS podkreślił również, by szczególną uwagę zwrócić na zakres udostępnianych informacji, np. podczas wywiadów czy konferencji prasowych, dotyczących osób dotkniętych koronawirusem – należy przy tym zminimalizować zakres ujawnianych danych i wskazywać np. na występowanie u tych osób chorób współistniejących, bez podawania szczegółowych jednostek chorobowych
Źródło: https://uodo.gov.pl/pl/138/1471
Podstawy przetwarzania danych osób upoważnionych do odbioru dziecka
- UODO wskazuje, że rozstrzygając wątpliwości, jaka przesłanka jest podstawą przetwarzania danych zawartych w upoważnieniu do odbioru dziecka z przedszkola lub szkoły, administrator powinien w dokonać analizy przepisów ustawy Prawo oświatowe
- przepisy ustawy Prawo oświatowe wskazują, że statut przedszkola powinien zawierać m.in. szczegółowe zasady przyprowadzania i odbierania dzieci z przedszkola przez rodziców lub upoważnioną przez nich osobę zapewniającą dziecku pełne bezpieczeństwo (art. 102 ust. 1 pkt 6)
- zdaniem organu można zasadnie przyjąć, że:
- w przypadku przedszkola zastosowanie może mieć przesłanka wskazana w art. 6 ust. 1 lit. e RODO łącznie z przepisem krajowym, jakim jest art. 102 ust. 1 pkt 6 Prawa oświatowego
- natomiast w przypadku przedszkoli niepublicznych art. 6 ust. 1 lit. e RODO i art. 102 ust. 1 pkt 6 w zw. z art. 172 ust. 3 Prawa oświatowego
- w przypadku szkoły publicznej zastosowanie może mieć przesłanka wskazana w art. 6 ust. 1 lit. e RODO łącznie z przepisem krajowym, tj. art. 68 ust. 1 pkt 6 ustawy Prawo oświatowe.
- w przypadku szkół niepublicznych podstawą będzie art. 6 ust. 1 lit. e RODO w związku z art. 172 ust. 2 pkt 3 ustawy Prawo oświatowe
Źródło: https://uodo.gov.pl/pl/225/1466
Sejm i problemy z poufnością
- burza dotycząca niecodziennego posiedzenia Sejmu, w ramach którego z racji zagrożenia koronawirusem miało dojść do głosowania “zdalnego” zaczęła się od wpisu Rafała Trzaskowskiego na Twitterze, który zdradził, że dostał SMS-a z loginem i hasłem umożliwiającym dostęp do posiedzenia sejmu, choć… nie jest posłem tej kadencji
- Kancelaria Sejmu, nie dość że rozesłała login i hasło niegwarantującym poufności sposobem, czyli SMS-em (nie rozdzielając ich na dwa niezależne kanały komunikacji), to, co równie niepokojące, przesłała dane nie do tej osoby (tych osób?) do której powinna
- posłowie, którzy próbowali logować się do systemu, nie byli w stanie się do niego dobić – zamiast zachować to dla siebie (lub sejmowego helpdesku), postowali screeny do Internetu, ujawniając to w jaki sposób budowane są loginy do tego (tylko tego?) systemu
- loginy tworzone są zgodnie ze wzorem: słowo Posel i numer legitymacji posła (którym niektórzy chwalą się w Internecie wrzucając zdjęcia swoich legitymacji poselskich)
Źródło: https://niebezpiecznik.pl/post/jak-mozna-bylo-zepsuc-poslom-posiedzenie-w-sejmie-przez-internet/
KE chce zbierać dane z telefonów komórkowych mieszkańców państw UE
- Komisja Europejska chce danych z telefonów komórkowych mieszkańców państw UE, by tworzyć modele dotyczące Covid-19
- KE chciałaby, aby dane przekazywał jej jeden z operatorów z każdego kraju członkowskiego – później miałyby one trafiać do Wspólnego Centrum Badawczego (JRC), czyli wewnętrznego działu naukowego KE do opracowania
- “Dane te pozwalają analizować wzorce przemieszczania się, w tym wpływ środków ograniczających na intensywność kontaktów, a tym samym ryzyko zakażeń” – powiedział rzecznik KE Johannes Bahrke i zastrzegł przy tym, że dane te nie umożliwiają śledzenia poszczególnych użytkowników
- przepisy RODO nie stoją na przeszkodzie wykorzystywaniu anonimowych danych – co do zasady dane o lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub za zgodą osób których dotyczą i ewentualnie za zgodą sądu
- przypadek pierwszy dotyczy planów KE, ale niektóre państwa na świecie, w tym również te z UE sięgnęły już po dane, które nie są anonimizowane – np. MSZ Bułgarii otrzymało np. od wtorku dostęp do danych z telefonów komórkowych obywateli i do ich kontaktów bez zgody sądu, a stało się to na mocy przepisów o stanie nadzwyczajnym
Skarga Prezesa UODO do NSA ws. list poparcia KRS
- Prezes Urzędu Ochrony Danych Osobowych zaskarżył do Naczelnego Sądu Administracyjnego dwa styczniowe wyroki WSA uchylające jego decyzje o wstrzymaniu ujawnienia list poparcia kandydatów do Krajowej Rady Sądownictwa
- RPO w zeszłym roku zainicjował postępowania przed Wojewódzkim Sądem Administracyjnym w Warszawie, składając skargi na postanowienia prezesa UODO w sprawie tych list. Spór obecnie ma charakter prawny i dotyczący zakresu uprawnień UODO – same listy poparcia dla kandydatów do KRS Kancelaria Sejmu ujawniła w połowie lutego br.
- WSA 24 stycznia br. uchylił postanowienia prezesa UODO, które wstrzymywały upublicznienie przez Kancelarię Sejmu podpisów pod listami poparcia kandydatów do KRS
- w lutym br. marszałek Sejmu Elżbieta Witek zapowiedziała, że po otrzymaniu pisemnego uzasadnienia wyroków WSA rozpocznie procedurę ujawniania tych danych – UODO przekazywał zaś wówczas, że do momentu uprawomocnienia się wyroków WSA postanowienie o wstrzymaniu udostępnienia tzw. list poparcia do KRS pozostaje w mocy
- wyroki WSA są jednak nieprawomocne, przysługiwało od nich zaskarżenie do Naczelnego Sądu Administracyjnego. Takie skargi kasacyjne – o czym poinformowało na swej stronie Biuro RPO – wniósł w marcu br. do NSA prezes UODO, niezależnie od faktu, iż listy zostały już ujawnione
RPO pyta o dane osobowe podczas nauczania zdalnego
- zdaniem RPO, w zakresie nauczania zdalnego w szkołach oprócz oczekiwanych problemów technicznych pojawia się także kwestia ochrony danych osobowych i prawa do prywatności
- na obecnym etapie nie ma jednoznacznych informacji, czy infrastruktura informatyczna zapewniana przez szkoły jest wystarczająca do przeprowadzenia lekcji
- należy pamiętać, że proces edukacyjny może łączyć się z ujawnianiem wielu wrażliwych informacji o uczniach
- przeniesienie nauki do sieci powinno uwzględniać tę prawidłowość i zakładać wdrożenie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych uczniów
- chociaż wielu nauczycieli chętnie pozostawało dotąd w kontakcie z uczniami i ich rodzicami za pomocą prywatnych kont, konieczne jest zapewnienie pracownikom oświaty dostępu do służbowej poczty elektronicznej – obecna sytuacja wymaga bowiem innego poziomu i częstotliwości komunikacji z uczniami
- w ocenie RPO cenne byłoby uzyskanie pomocy Prezesa Urzędu Ochrony Danych Osobowych oraz Ministra Cyfryzacji we wdrożeniu odpowiednich rozwiązań
Źródło: https://www.rpo.gov.pl/pl/content/nauczanie-zdalne-w-szkolach-RPO-do-men-w-zwiazku-z-covid-19
Wyzwanie na Facebooku a ochrona prywatności
- w ciągu ostatnich kilku dni Facebookiem zawładnęła nowa zabawa łańcuszkowa, a użytkownicy popularnego portalu społecznościowego wstawiają zdjęcia z dzieciństwa i zachęcają swoich bliskich do robienia tego samego – czy nie narusza to naszej prywatności?
- nowe wyzwanie polega na wstawieniu swojego zdjęcia z młodości i nominowaniu innych do zabawy
- Przemysław Krejza z Instytutu Informatyki Śledczej zaznacza, że powinniśmy się zastanowić, czy chcemy wziąć udział w wyzwaniu, dzięki któremu nasze dane osobowe są dostępne publicznie – „Wszelkie tego typu aktywności w mediach społecznościowych zawsze mają drugie dno. Doskonałym tego przykładem są afery operowania danymi Facebooka, z którymi mieliśmy do czynienia już nie raz. Z góry można zatem założyć, że ktoś mógł tę akcję wyindukować w jakimś konkretnym celu – być może do testowania algorytmów bądź marketingu. Nie wierzyłbym w spontaniczność i niewinność tej zabawy. Porównywanie zdjęcia z dzieciństwa z tym, jak wyglądamy dziś, daje różne możliwości analityczne – może się przydać chociażby w systemach rozpoznających twarze.”
Trzecia wersja kodeksu postępowania dla oświaty
- opublikowano trzecią wersję kodeksu RODO dla oświaty
- dokument uwzględnia uwagi, zgłoszone w ramach konsultacji
- kodeks został także uzupełniony o informacje dotyczące mechanizmów monitorowania
pełna wersja dokumentu znajduje się tutaj: http://rodo-w-oswiacie.pl/kodeks-postepowania-calosc/
Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii
- rządy, organizacje publiczne i prywatne w całej Europie podejmują działania w celu ograniczenia rozprzestrzeniania się COVID-19 – może to obejmować przetwarzanie różnych rodzajów danych osobowych
- Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych (EROD), wskazała, że: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych.”
- EROD wskazuje, że do obszarów wymagających szczególnej uwagi zaliczymy, w szczególności:
- zgodność przetwarzania z prawem
- podstawowe zasady odnoszące się do przetwarzania danych osobowych
- wykorzystywanie danych z sieci komórkowych dotyczących lokalizacji
- przetwarzanie danych osób zatrudnionych
Źródło: https://uodo.gov.pl/pl/138/1463
Wyciek danych z portalu MoneyMan
- Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie dotyczące naruszenia danych osobowych od ID Finance Poland Sp. z o.o. z siedzibą w Warszawie – podmiotu prowadzącego portal pożyczkowy MoneyMan.pl
- sprawa jest obecnie analizowana przez UODO i podjęto pierwsze czynności mające na celu wyjaśnienie dokładnych okoliczności przedmiotowego naruszenia
- administrator poinformował Prezesa UODO, że powiadomił o naruszeniu osoby, których dane dotyczą
- niebezpiecznik.pl kontaktował się jednak z osobami, które korzystały z MoneyMan.pl i otrzymały wiadomość o wycieku – wynika z niej, że zakres danych objętych wyciekiem obejmuje: nazwisko, PESEL, numer dokumentu tożsamości, NIP, miejsce urodzenia, numer rachunku bankowego, adres (korespondencyjny i zameldowania), numer telefonu (który zostały podany), nazwę pracodawcy, informacje o przychodach, dane demograficzne, a nawet informacje o haśle
- wcześniej na stronie MoneyMan.pl na Facebooku pojawił się komunikat, w którym była mowa o “nieuprawnionym dostępie osoby trzeciej do danych osobowych części użytkowników portalu MoneyMan.pl.”
Źródło: https://niebezpiecznik.pl/post/wyciek-z-moneyman-pl-uodo-bada-sprawe/ https://uodo.gov.pl/pl/138/1462
EROD: nowe terminy zakończenia konsultacji społecznych
- Przewodniczący Europejskiej Rady Ochrony Danych (EROD) o sześć tygodni przedłuża konsultacje społeczne wytycznych, które aktualnie prowadzi
- Decyzja spowodowana trwającą pandemią COVID-19 dotyczy następujących wytycznych:
- wytyczne 1/2020 w sprawie przetwarzania danych osobowych w kontekście pojazdów połączonych – do 1 maja 2020 r.,
- wytyczne 2/2020 w sprawie stosowania art. 46 ust. 2 lit. a) i art. 46 ust. 3 lit. b) RODO – do 18 maja 2020 r.
- więcej informacji na temat publicznych konsultacji znajduje się na stronie internetowej Europejskiej Rady Ochrony Danych: https://edpb.europa.eu/our-work-tools/public-consultations-art-704_en
Źródło: https://uodo.gov.pl/pl/138/1461
Globalna współpraca na rzecz ochrony danych i walki z koronawirusem
- Global Privacy Assembly (światowa organizacja zrzeszająca rzeczników ochrony danych osobowych) stworzyła na swojej stronie internetowej specjalną sekcję, w której będą zamieszczane oświadczenia z poszczególnych organów ds. ochrony danych osobowych w związku z COVID-19
- zebranie informacji z poszczególnych państw w jednym miejscu ma pomóc w wymianie doświadczeń między członkami GPA, dlatego w specjalnie utworzonej zakładce na stronie internetowej, będą sukcesywnie uzupełniane linki do stanowisk organów ds. ochrony danych osobowych związanych koronawirusem
- w jednym miejscu zostaną zgromadzone praktyki z całego świata – dzięki temu członkowie stowarzyszenia będą uczyć się także od siebie nawzajem
- członkowie GPA podkreślają, że dzielenie się wiedzą, doświadczeniami i ekspertyzami pozwoli zrozumieć trudną sytuację, w jakiej znalazł się świat, organy ds. ochrony danych, korzystając z doświadczeń innych, będą lepiej wypełniać powierzone im obowiązki w dynamicznie zmieniającej się sytuacji. Wymiana stanowisk ułatwi również sprawniejsze podejmowanie działań w porozumieniu z innymi członkami stowarzyszenia
- oświadczenie Komitetu Wykonawczego GPA dostępne jest pod linkiem: https://globalprivacyassembly.org/gpaexco-covid19/
- oświadczenia poszczególnych organów ds. ochrony danych: https://globalprivacyassembly.org/covid19/
Źródło: https://uodo.gov.pl/pl/138/1460
Ochrona danych osobowych podczas pracy zdalnej
- Urząd Ochrony Danych Osobowych na swojej stronie internetowej wskazuje jak postępować podczas pracy zdalnej, aby nie naruszyć przepisów o ochronie danych oraz jakie zabezpieczenia rekomendować pracownikom
- UODO zaznacza, że środki kontroli i zapobiegania rozprzestrzenianiu się COVID-19 będą wymagały większej liczby osób pracujących zdalnie niż zwykle
- obszary, na które należy zwrócić szczególną uwagę to, w szczególności:
- urządzenia – ich zabezpieczenie oraz oprogramowanie,
- email – zabezpieczenie oraz sposób korzystania
- dostęp do sieci i chmury
- wskazówki organu zostały opracowane na podstawie Protecting Personal Data When Working Remotely przygotowanego przez DPC Ireland
Źródło: https://uodo.gov.pl/pl/138/1459
Aplikacja „kwarantanna domowa” a ochrona danych osobowych
- aplikacja “kwarantanna domowa” została przygotowana po to, aby wesprzeć proces nadzorowania osób, które zobowiązano do kwarantanny – nie jest to produkt dla wszystkich obywateli, jeżeli nie nałożono na daną osobę obowiązku kwarantanny to nie ma ona możliwości się zarejestrować
- po zainstalowaniu aplikacja prosi o dostęp do lokalizacji urządzenia, wymaga to zaakceptowania regulaminu, przesłania numeru telefonu i wprowadzenia kodu z SMS-a
- po aktywowaniu aplikacji użytkownik musi sobie zrobić tzw. zdjęcie referencyjne – w kolejnych dniach ten użytkownik będzie dostawał w nieprzewidywalnych godzinach SMS-ową prośbę o zrobienie sobie selfie
- dzięki geolokalizacji aplikacja ustali miejsce zrobienia selfie, a zdjęcie referencyjne będzie służyło za punkt odniesienia do ustalenia, czy użytkownik zrobił zdjęcie sobie
- konto użytkownika może być zdezaktywowane przed upływem 14 dni, jeśli nastąpią okoliczności powodujące zakończenie kwarantanny
- w związku ze świadczeniem usługi przetwarzane są następujące dane osobowe: ID Obywatela tj. techniczny identyfikator, imię, nazwisko, numer telefonu, deklarowany adres pobytu, zdjęcie, lokalizacja obywatela, data końca kwarantanny
- administratorem danych jest Minister Cyfryzacji, a dane będą przekazywane innym służbom w razie konieczności
Kradzież laptopa z danymi studentów SGGW: Poszkodowani chcą rekompensat
- w listopadzie ubiegłego roku skradziony został laptop, na którym przechowywano szczegółowe dane kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego (SGGW), natomiast w grudniu policja poinformowała o zatrzymaniu trzech obywateli Gruzji podejrzanych między innymi o tę kradzież, a samego komputera nie odzyskano
- nie wiadomo, czy ktoś uzyskał dostęp do zgromadzonych na nim informacji i będzie chciał je wykorzystać – wiadomo natomiast, że chodzi o bardzo szczegółowe dane z naborów prowadzonych przez kilka ostatnich lat, takie jak PESEL, seria i numer dowodu osobistego, adres czy nawet numer telefonu
- pod koniec stycznia kancelaria Barta Litwiński, reprezentująca poszkodowanych, wysłała do SGGW pismo, w którym prosi o podjęcie rozmów na temat rekompensat za już poniesione wydatki i zasad ponoszenia odpowiedzialności za ewentualne szkody, które mogą się pojawić w przyszłości
- SGGW uważa, że za wcześnie jest na rozmowy: „Uczelnia nie uchyla się od odpowiedzialności, ale musimy poczekać na oficjalne zakończenie dochodzenia i stwierdzenie zakresu odpowiedzialności” wskazuje rzecznik prasowy szkoły
- niedługo powinno się również okazać, jakie decyzje w sprawie uczelni podejmie UODO – natychmiast po nagłośnieniu incydentu rozpoczął on kontrolę w tej sprawie
Czy koronawirus uśmierci naszą prywatność?
- od lutego obywatele Korei Południowej otrzymują od władz lawinę SMS-ów informujących ich o pojawieniu się i przemieszczaniu w ich okolicy osób z chorobą COVID-19
- gdy dana osoba zostanie zdiagnozowana, władze lokalne mogą przesłać do okolicznych mieszkańców dane na temat miejsc, gdzie była jeszcze przed tym, jak wykryto u niej koronawirusa
- informacje zawierają dane dotyczące: wieku i płci danej osoby, minutowy zapis jej poruszania się, zebrany między innymi w oparciu o zapisy kamer przemysłowych, czy transakcji z pomocą kart płatniczych, a także informacje o odwiedzanych punktach usługowych, sklepach i hotelach, a nawet informacje w jakich pokojach dana osoba była, kiedy korzystała z toalety i czy używała maseczki
- rząd w Seulu ma prawo publikować te dane w oparciu o ustawy wprowadzone wcześniej, w związku z epidemią MERS w 2015 r.
- inne kraje, jak Singapur też ujawniają niektóre dane chorych na COVID-19, nigdzie jednak zakres tych danych nie jest tak duży, jak w Korei Południowej
- premier Izraela Benjamin Netanjahu również chce używać technologii do walki z pandemią koronawirusa – izraelskie służby specjalne Szin Bet będą śledzić telefony komórkowe zainfekowanych osób
Źródło: https://www.rmf24.pl/raporty/raport-koronawirus-z-chin/najnowsze-fakty/news-czy-koronawirus-usmierci-nasza-prywatnosc,nId,4390685 https://next.gazeta.pl/next/7,173953,25795808,izraelskie-sluzby-specjalne-beda-sledzic-telefony-zakazonych.html
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 06.04.2020
Pobierz
Pobierz plik PDF z prezentacją - RODO aktualności z dnia 30.03.2020
Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.