Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 07.04.2020

Kara za uniemożliwienie przeprowadzenia kontroli UODO? Czy koronawirus uśmierci naszą prywatność? Ochrona danych osobowych a praca zdalna? Czego się dowiesz z nowego poradnika UODO dla szkół? Jak przedsiębiorca ma weryfikować seniorów wchodzących do sklepu? Co dalej z wyciekiem danych z SGGW? Prezes UODO wszczyna postępowanie wobec SGGW? Dlaczego Sejm i problemy z poufnością? Jak zabezpieczać dane osobowe podczas nauczania zdalnego? Czego się dowiesz z oświadczenia Przewodniczącej EROD ws. przetwarzania danych podczas pandemii?

To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.

Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.

Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (niebieski kwadracik z białą kopertą po lewej stronie).

To co? Zaczynamy!

Kara za uniemożliwienie przeprowadzenia kontroli

  • Prezes UODO nałożył 20 tys. zł. kary na Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach, związaną z branżą telemarketingową, za uniemożliwienie przeprowadzenia kontroli – dodatkowo właścicielowi spółki grozi odpowiedzialność karna
  • kontrolerzy UODO, pod wskazanym w KRS adresem i po uprzednim zawiadomieniu o planowanej kontroli, nikogo nie zastali
  • kontrolerom udało się jednak telefonicznie skontaktować z Vis Consulting, a jej pełnomocnik poinformował, że kontrola się nie odbędzie
  • Prezes UODO uznał więc, że spółka ta w żaden sposób nie chce współpracować z organem
  • przez dwa kolejne dni zaplanowanych czynności kontrolnych  spółka dwukrotnie uniemożliwiła jej przeprowadzenie, ponadto, w dniu, w którym kontrolerzy próbowali ponownie skontrolować Vis Consulting Sp. z o.o., jej władze podjęły uchwałę o likwidacji tego podmiotu
  • Prezes UODO uznał, że zostały spełnione przesłanki, by nałożyć na spółkę karę pieniężną – ustalając jej wysokość organ nadzorczy nie dopatrzył się żadnych okoliczności łagodzących, mających wpływ na wysokość kary
  • w związku z podejrzeniem popełnienia przestępstwa z art. 108 ust. 1 ustawy o ochronie danych osobowych przez prezesa spółki, organ nadzorczy zawiadomił o tym Prokuraturę Rejonową w Katowicach

Źródło: https://uodo.gov.pl/pl/138/1480 

Poradnik UODO dla szkół

  • RODO nie stoi na przeszkodzie zdalnej edukacji w czasie pandemii koronawirusa, lecz daje szkołom możliwość racjonalnego wdrożenia odpowiednich metod i technik kształcenia na odległość z jednoczesnym poszanowaniem podstawowych zasad ochrony danych – powiedział Jan Nowak, Prezes UODO
  • przedstawiciele oświaty powinni pamiętać o koniecznej dbałości o prawa osób, których dane będą przetwarzane przy pomocy wykorzystywanych narzędzi, oraz o bezpieczeństwie tych danych – w razie wątpliwości dyrektorzy szkół oraz nauczyciele powinni konsultować się z wyznaczonymi inspektorami ochrony danych
  • wychodząc naprzeciw potrzebom szkolnych administratorów oraz inspektorów ochrony danych, UODO przygotował specjalne opracowanie, które zawiera wstępne wskazówki, jak korzystając z metod nauczania online, dbać o bezpieczne przetwarzanie danych
  • materiał ten jest adresowany do dyrektorów szkół i nauczycieli, ale zawiera również informacje przydatne rodzicom i uczniom
  • dzięki wsparciu Ministerstwa Edukacji Narodowej opracowanie to trafi do wszystkich szkół i placówek oświatowych
  • jednocześnie UODO apeluje do organów prowadzących o wsparcie szkół w prowadzeniu bezpiecznej edukacji zdalne

Źródło: https://uodo.gov.pl/pl/138/1473 

Dane prawie 5 mln Gruzinów dostępne w sieci

  • dane ponad 4,9 miliona Gruzinów, w tym zmarłych obywateli, zostały opublikowane forum hakerskim
  • informacje, takie jak imiona i nazwiska, adresy domowe, daty urodzenia, numery identyfikacyjne i numery telefonów komórkowych zostały udostępnione online w pliku MDB 1,04 GB (baza danych Microsoft Access)
  • dane zostały wykryte przez Under the Breach, usługę monitorowania i zapobiegania naruszeniom danych
  • baza danych zawierała 4 934 863 rekordy, w tym szczegóły dotyczące milionów zmarłych obywateli – obecna populacja Gruzji szacowana jest na 3,7 miliona, według spisu ludności z 2019 roku
  • nie jest jasne, czy użytkownik forum, który udostępnił dane, jest tym, który je uzyskał
  • źródło danych pozostaje również tajemnicą

Źródło: https://www.zdnet.com/article/personal-details-for-the-entire-country-of-georgia-published-online/ 

Jak przedsiębiorca ma weryfikować seniorów wchodzących do sklepu?

  • wprowadzone restrykcje w działalności sklepów nakładają obowiązek zapewnienia czasu na zrobienie zakupów wyłącznie przez seniorów – jak przedsiębiorcy mogą weryfikować, czy klienci chcący zrobić zakupy w godz. od 10:00 do 12:00 mają powyżej 65 lat i co na to RODO?
  • weryfikacja może odbywać się m.in. przez złożenie oświadczenia przez osobę wchodzącą, poproszenie o przedstawienie dokumentu tożsamości lub innego dokumentu potwierdzającego wiek klienta
  • zgodnie z jedną z podstaw przetwarzania administrator jest uprawniony do przetwarzania danych osobowych, jeżeli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – zapewnienie przestrzeni sklepowej w określonych godzinach wyłącznie dla seniorów to obecnie obowiązek prawny, a więc podstawowy warunek legalności jest spełniony
  • prawo do wprowadzenia jakichkolwiek sposobów weryfikacji wieku klientów jest możliwe wyłącznie w ustalonych godzinach, tj. pomiędzy 10:00 a 12:00
  • pojawiają się propozycje rejestrowania klientów wchodzących w obostrzonych godzinach dla seniorów, np. pozyskiwania oświadczeń papierowych, spisywania danych seniorów z dokumentów, kopiowania dokumentów – takie działania należy uznać za działania, które nie są niezbędne do zapewnienia realizacji nakazu przestrzegania godzin dla seniorów, a tym samym naruszające RODO
  • poza zapewnieniem właściwej podstawy prawnej przedsiębiorca ma obowiązek dostarczenia osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych, czyli tzw. klauzuli RODO – to, co powinno się w niej znaleźć, jest określone przez art. 13 RODO

Źródło: https://www.rp.pl/Firma/304029921-Koronawirus-jak-przedsiebiorca-ma-weryfikowac-seniorow-wchodzacych-do-sklepu.html

Czy koronawirus pozbawi nas prywatności?

 

  • To oczywiste, że w tak nadzwyczajnej sytuacji, jak ta, z którą mamy dziś do czynienia, jesteśmy gotowi ograniczyć naszą prywatność. Jednocześnie już teraz musimy ustalić, że jest to ograniczenie czasowe – mówi w wywiadzie dla Next Gazeta.pl Wojciech Wiewiorówski, Europejski Inspektor Ochrony Danych
  • Wiewiórowski wskazał, że dane lokalizacyjne uzyskane przez KE od operatorów mogą być wykorzystane na dwa sposoby – do śledzenia pojedynczych obywateli lub do śledzenia przepływu populacji
  • W przypadku działań Komisji Europejskiej mówimy, przynajmniej na razie, wyłącznie o tym drugim scenariuszu – KE nie chce śledzić tego, co robi i gdzie aktualnie przebywa przeciętny Kowalski lecz chodzi o prześledzenie pewnych trendów, a uzyskane dane nie będą pochodziły od wszystkich telekomów działających w danym kraju, ale od jednego wybranego operatora
  • KE chce też, aby dane te były dostarczane w sposób zanonimizowany, czyli taki, który nie pozwala na identyfikację konkretnych osób
  • gdy Komisja Europejska konsultowała swój pomysł, Europejski Inspektor Ochrony Danych wyraźnie wskazał, że oprócz anonimizacji danych bardzo ważne jest ich zagregowanie, czyli umieszczenie w zestawach obejmujących kilkadziesiąt, kilkaset czy też kilka tysięcy osób – w takim wypadku ryzyko identyfikacji danego właściciela numeru telefonu jest w zasadzie minimalne
  • EIOD wskazuje, że nie można wykluczyć scenariusza, w którym zbierane będą dane o charakterze indywidualnym i nie musi tu wcale chodzić jedynie o dane pozyskiwane od operatorów telekomunikacyjnych

Źródło: https://next.gazeta.pl/next/7,173953,25831855,czy-koronawirus-pozbawi-nas-prywatnosci-gdy-pali-sie-dom.html

 

Z powodu pandemii COVID-19, Google wycofuje poprawkę chroniącą prywatność

  • Google ogłosił, że wycofuje jedną z poprawek zapewniających użytkownikom przeglądarki Chrome prywatność, po to aby podczas pandemii koronawirusa COVID-19 zapobiec ewentualnym zakłóceniom w działaniu wielu ważnych witryn
  • chodzi o poprawkę SameSite Cookies, która dotyczy obsługi ciasteczek – internetowy serwer wykorzystujący taką technologię wysyła do przeglądarki instrukcję, aby ta zapisywała w swojej pamięci ciasteczka o określonej nazwie i wartości
  • przeglądarka dołącza wtedy automatycznie takie ciasteczka do każdego zapytania kierowanego do określonej domeny (stąd nazwa SameSite) i dlatego to ona – a nie witryna – decyduje o tym, kto ma dostęp do ciasteczek
  • SameSite Cookies to rozwiązanie powodujące, że ciasteczka firm trzecich będą wykorzystywane jedynie wtedy, gdy pochodzą z bezpiecznych dla użytkownika połączeń, co zapobiega również internetowym atakom, takim jak CSRF (Cross-Site Request Forgery)
  • w swoim komunikacie Google wskazuje, że „Chociaż większość całego ekosystemu WWW była wcześniej przygotowana na wdrożenie takiego mechanizmu ochrony prywatności użytkowników, to w trosce o stabilność funkcjonowania witryn, które świadczą użytkownikom szereg podstawowych usług (chodzi tu przede wszystkim o bankowość, sklepy, usługi rządowe czy apteki), wspomniany powyżej mechanizm chroniący prywatność użytkowników został wyłączony”.
  • mechanizm SameSite Cookies został wprowadzony do przeglądarki Chrome w lutym tego roku

Źródło: https://www.computerworld.pl/news/Z-powodu-pandemii-COVID-19-Google-wycofuje-z-przegladarki-Chrome-poprawke-chroniaca-prywatnosc-uzytkownikow,420210.html

Raport „Koronawirus a prawo”

  • wydawnictwo Must Read Media wraz z ponad 70 prawnikami spośród 23 firm i kancelarii opracowało raport “Koronawirus a prawo” – największą prawną analizę epidemii w Polsce obejmującą 468 stron
  • raport zawiera prawne omówienie 25 zagadnień i branż, w tym związanych z ochroną danych osobowych (RODO)
  • część poświęcona RODO opracowana została przez prawników kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.
  • link do pobrania raportu: https://raport.mustreadmedia.pl/

Wynoszenie dokumentów z firmy i praca zdalna mogą naruszać prawo

  • z powodu epidemii koronawirusa biura rachunkowe w dużej mierze pracują zdalnie
  • księgowanie w domu i wynoszenie dokumentów klientów z firmy może jednak naruszać przepisy dotyczące ochrony danych osobistych czy tajemnicy przedsiębiorstwa – eksperci radzą opracować szczegółowe procedury obiegu dokumentów, dzięki nim będzie można uniknąć dotkliwych konsekwencji prawnych i finansowych
  • co prawda żadne przepisy nie zakazują pracy w tzw. trybie home office, ale na uwadze trzeba mieć kilka ograniczeń – zgodnie z art. 32 RODO niezależnie od miejsca, w którym świadczona będzie praca, należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych, a RODO nie narzuca konkretnych rozwiązań – ich dobór zależy od decyzji samego przedsiębiorcy
  • o ile pracodawca w związku z podjęciem przez pracowników pracy zdalnej dopuszcza w regulaminie pracy bądź w wewnątrz zakładowych procedurach możliwość wynoszenia przez pracowników dokumentów do domu, nawet gdy zawierają one dane osobowe, jest to zgodne z prawem
  • należy pamiętać, że obszarem przetwarzania danych osobowych w organizacji stają się wtedy również miejsca, w których pracują pracownicy poza organizacją – powinny wiązać ich zasady bezpieczeństwa, które muszą sprowadzić się do realizacji jednego, zasadniczego celu: dokumenty, które wynosimy poza organizację muszą być wykorzystane wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy oraz żadna osoba trzecia nie powinna mieć do nich dostępu

Źródło: https://www.prawo.pl/podatki/wynoszenie-dokumentow-z-firmy-i-praca-zdalna-moga-naruszac-prawo,498775.html?utm_medium

Prezes UODO wszczyna postępowanie wobec SGGW

  • po kontroli przeprowadzonej na SGGW w związku naruszeniem ochrony danych, Prezes UODO wszczyna postępowanie administracyjne
  • kontrola wykazała wyraźne dysfunkcje systemu ochrony danych na uczelni – zarówno od strony technicznej, jak i organizacyjnej
  • stwierdzono naruszenie przepisów o ochronie danych osobowych odnoszących się do obowiązków ciążących na administratorze m.in. z art. 24 ust. 1 RODO w kontekście braku aktualizacji i przeglądów polityk bezpieczeństwa przyjętych na uczelni
  • w toku kontroli stwierdzono, że administrator nie poddawał należytym przeglądom procesu przetwarzania danych osobowych kandydatów na studia – w związku z tym nie posiadał dostatecznej wiedzy o ryzyku związanym z tym przetwarzaniem i nie podejmował właściwych działań wynikających m.in. z art. 25 ust. 1 czy 32 ust. 1 lit. b i d RODO
  • działania kontrolne wykazały również uchybienia związane ze sposobem sprawowania funkcji inspektora ochrony danych, który m.in. nie wypełniał swoich zadań zgodnie z art. 39 ust. 2 RODO tj. z należytym uwzględnianiem ryzyka związanego z operacjami przetwarzania
  • celem postępowania administracyjnego jest przywrócenie u administratora stanu zgodnego z prawem

Źródło: https://uodo.gov.pl/pl/138/1464

 

Uprawnienia GIS przy przetwarzaniu danych

  • UODO w odpowiedzi na pismo GIS o podstawy przetwarzania danych osobowych w związku z walką z koronawirusem wskazał, że inspekcje sanitarne powinny się kierować regulacjami dotyczącym działalności tych instytucji
  • ponadto biorąc pod uwagę, art. 17 ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, wszelkie decyzje, wytyczne oraz zalecenia GIS wydawane różnym podmiotom na podstawie tej specustawy będą stanowić podstawę prawną do przetwarzania przez nie danych osobowych.
  • Prezes UODO zaleca jednak, by GIS, jak i organy Państwowej Inspekcji Sanitarnej podejmując decyzje dotyczące swoich działań związanych z przetwarzaniem danych osobowych, korzystali ze wsparcia swoich inspektorów ochrony danych osobowych (IOD) – jest to ważne m.in. z tego powodu, że przy opracowywaniu nowych regulacji, wytycznych i zaleceń powinni się kierować zasadami określonymi w RODO, a więc m.in. zasadą ograniczenia celu czy zasadą ograniczenia przechowywania danych
  • podejmując natomiast wszelkie działania inspekcje sanitarne powinny pamiętać, by dane osobowe, które w związku z tymi zadaniami są przetwarzane, były odpowiednio chronione
  • Prezes UODO w piśmie do GIS podkreślił również, by szczególną uwagę zwrócić na zakres udostępnianych informacji, np. podczas wywiadów czy konferencji prasowych, dotyczących osób dotkniętych koronawirusem – należy przy tym zminimalizować zakres ujawnianych danych i wskazywać np. na występowanie u tych osób chorób współistniejących, bez podawania szczegółowych jednostek chorobowych

Źródło: https://uodo.gov.pl/pl/138/1471

Podstawy przetwarzania danych osób upoważnionych do odbioru dziecka

  • UODO wskazuje, że rozstrzygając wątpliwości, jaka przesłanka jest podstawą przetwarzania danych zawartych w upoważnieniu do odbioru dziecka z przedszkola lub szkoły, administrator powinien w dokonać analizy przepisów ustawy Prawo oświatowe
  • przepisy ustawy Prawo oświatowe wskazują, że statut przedszkola powinien zawierać m.in. szczegółowe zasady przyprowadzania i odbierania dzieci z przedszkola przez rodziców lub upoważnioną przez nich osobę zapewniającą dziecku pełne bezpieczeństwo (art. 102 ust. 1 pkt 6)
  • zdaniem organu można zasadnie przyjąć, że:
  1. w przypadku przedszkola zastosowanie może mieć przesłanka wskazana w art. 6 ust. 1 lit. e RODO łącznie z przepisem krajowym, jakim jest art. 102 ust. 1 pkt 6 Prawa oświatowego
  2. natomiast w przypadku przedszkoli niepublicznych art. 6 ust. 1 lit. e RODO i art.  102 ust. 1 pkt 6 w zw. z art. 172 ust. 3 Prawa oświatowego
  3. w przypadku szkoły publicznej zastosowanie może mieć przesłanka wskazana w art. 6 ust. 1 lit. e RODO łącznie z przepisem krajowym, tj. art. 68 ust. 1 pkt 6 ustawy Prawo oświatowe.
  4. w przypadku szkół niepublicznych podstawą będzie art. 6 ust. 1 lit. e RODO w związku z art. 172 ust. 2 pkt 3 ustawy Prawo oświatowe

Źródło: https://uodo.gov.pl/pl/225/1466

Sejm i problemy z poufnością

  • burza dotycząca niecodziennego posiedzenia Sejmu, w ramach którego z racji zagrożenia koronawirusem miało dojść do głosowania “zdalnego” zaczęła się od wpisu Rafała Trzaskowskiego na Twitterze, który zdradził, że dostał SMS-a z loginem i hasłem umożliwiającym dostęp do posiedzenia sejmu, choć… nie jest posłem tej kadencji
  • Kancelaria Sejmu, nie dość że rozesłała login i hasło niegwarantującym poufności sposobem, czyli SMS-em (nie rozdzielając ich na dwa niezależne kanały komunikacji), to, co równie niepokojące, przesłała dane nie do tej osoby (tych osób?) do której powinna
  • posłowie, którzy próbowali logować się do systemu, nie byli w stanie się do niego dobić – zamiast zachować to dla siebie (lub sejmowego helpdesku), postowali screeny do Internetu, ujawniając to w jaki sposób budowane są loginy do tego (tylko tego?) systemu
  • loginy tworzone są zgodnie ze wzorem: słowo Posel i numer legitymacji posła (którym niektórzy chwalą się w Internecie wrzucając zdjęcia swoich legitymacji poselskich)

Źródło: https://niebezpiecznik.pl/post/jak-mozna-bylo-zepsuc-poslom-posiedzenie-w-sejmie-przez-internet/

KE chce zbierać dane z telefonów komórkowych mieszkańców państw UE

  • Komisja Europejska chce danych z telefonów komórkowych mieszkańców państw UE, by tworzyć modele dotyczące Covid-19
  • KE chciałaby, aby dane przekazywał jej jeden z operatorów z każdego kraju członkowskiego – później miałyby one trafiać do Wspólnego Centrum Badawczego (JRC), czyli wewnętrznego działu naukowego KE do opracowania
  • Dane te pozwalają analizować wzorce przemieszczania się, w tym wpływ środków ograniczających na intensywność kontaktów, a tym samym ryzyko zakażeń” – powiedział rzecznik KE Johannes Bahrke i zastrzegł przy tym, że dane te nie umożliwiają śledzenia poszczególnych użytkowników
  • przepisy RODO nie stoją na przeszkodzie wykorzystywaniu anonimowych danych – co do zasady dane o lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub za zgodą osób których dotyczą i ewentualnie za zgodą sądu
  • przypadek pierwszy dotyczy planów KE, ale niektóre państwa na świecie, w tym również te z UE sięgnęły już po dane, które nie są anonimizowane – np. MSZ Bułgarii otrzymało np. od wtorku dostęp do danych z telefonów komórkowych obywateli i do ich kontaktów bez zgody sądu, a stało się to na mocy przepisów o stanie nadzwyczajnym

Źródło: https://polskiobserwator.de/aktualnosci/koronawirus-ke-chce-zbierac-dane-z-telefonow-komorkowych-mieszkancow-panstw-ue/

Skarga Prezesa UODO do NSA ws. list poparcia KRS

  • Prezes Urzędu Ochrony Danych Osobowych zaskarżył do Naczelnego Sądu Administracyjnego dwa styczniowe wyroki WSA uchylające jego decyzje o wstrzymaniu ujawnienia list poparcia kandydatów do Krajowej Rady Sądownictwa
  • RPO w zeszłym roku zainicjował postępowania przed Wojewódzkim Sądem Administracyjnym w Warszawie, składając skargi na postanowienia prezesa UODO w sprawie tych list. Spór obecnie ma charakter prawny i dotyczący zakresu uprawnień UODO – same listy poparcia dla kandydatów do KRS Kancelaria Sejmu ujawniła w połowie lutego br.
  • WSA 24 stycznia br. uchylił postanowienia prezesa UODO, które wstrzymywały upublicznienie przez Kancelarię Sejmu podpisów pod listami poparcia kandydatów do KRS
  • w lutym br. marszałek Sejmu Elżbieta Witek zapowiedziała, że po otrzymaniu pisemnego uzasadnienia wyroków WSA rozpocznie procedurę ujawniania tych danych – UODO przekazywał zaś wówczas, że do momentu uprawomocnienia się wyroków WSA postanowienie o wstrzymaniu udostępnienia tzw. list poparcia do KRS pozostaje w mocy
  • wyroki WSA są jednak nieprawomocne, przysługiwało od nich zaskarżenie do Naczelnego Sądu Administracyjnego. Takie skargi kasacyjne – o czym poinformowało na swej stronie Biuro RPO – wniósł w marcu br. do NSA prezes UODO, niezależnie od faktu, iż listy zostały już ujawnione

Źródło: https://polskieradio24.pl/5/1222/Artykul/2480871,Skarga-prezesa-Urzedu-Ochrony-Danych-Osobowych-do-NSA-ws-list-poparcia-KRS

RPO pyta o dane osobowe podczas nauczania zdalnego

  • zdaniem RPO, w zakresie nauczania zdalnego w szkołach oprócz oczekiwanych problemów technicznych pojawia się także kwestia ochrony danych osobowych i prawa do prywatności
  • na obecnym etapie nie ma jednoznacznych informacji, czy infrastruktura informatyczna zapewniana przez szkoły jest wystarczająca do przeprowadzenia lekcji
  • należy pamiętać, że proces edukacyjny może łączyć się z ujawnianiem wielu wrażliwych informacji o uczniach
  • przeniesienie nauki do sieci powinno uwzględniać tę prawidłowość i zakładać wdrożenie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych uczniów
  • chociaż wielu nauczycieli chętnie pozostawało dotąd w kontakcie z uczniami i ich rodzicami za pomocą prywatnych kont, konieczne jest zapewnienie pracownikom oświaty dostępu do służbowej poczty elektronicznej – obecna sytuacja wymaga bowiem innego poziomu i częstotliwości komunikacji z uczniami
  • w ocenie RPO cenne byłoby uzyskanie pomocy Prezesa Urzędu Ochrony Danych Osobowych oraz Ministra Cyfryzacji we wdrożeniu odpowiednich rozwiązań

Źródło: https://www.rpo.gov.pl/pl/content/nauczanie-zdalne-w-szkolach-RPO-do-men-w-zwiazku-z-covid-19

Wyzwanie na Facebooku a ochrona prywatności

  • w ciągu ostatnich kilku dni Facebookiem zawładnęła nowa zabawa łańcuszkowa, a użytkownicy popularnego portalu społecznościowego wstawiają zdjęcia z dzieciństwa i zachęcają swoich bliskich do robienia tego samego – czy nie narusza to naszej prywatności?
  • nowe wyzwanie polega na wstawieniu swojego zdjęcia z młodości i nominowaniu innych do zabawy
  • Przemysław Krejza z Instytutu Informatyki Śledczej zaznacza, że powinniśmy się zastanowić, czy chcemy wziąć udział w wyzwaniu, dzięki któremu nasze dane osobowe są dostępne publicznie – „Wszelkie tego typu aktywności w mediach społecznościowych zawsze mają drugie dno. Doskonałym tego przykładem są afery operowania danymi Facebooka, z którymi mieliśmy do czynienia już nie raz. Z góry można zatem założyć, że ktoś mógł tę akcję wyindukować w jakimś konkretnym celu – być może do testowania algorytmów bądź marketingu. Nie wierzyłbym w spontaniczność i niewinność tej zabawy. Porównywanie zdjęcia z dzieciństwa z tym, jak wyglądamy dziś, daje różne możliwości analityczne – może się przydać chociażby w systemach rozpoznających twarze.

Źródło: https://dziennikbaltycki.pl/nowe-wyzwanie-na-facebooku-czyli-wstaw-swoje-zdjecie-z-dziecinstwa-na-czym-polega-czy-zagraza-naszej-prywatnosci/ar/c11-14879077

Trzecia wersja kodeksu postępowania dla oświaty

  • opublikowano trzecią wersję kodeksu RODO dla oświaty
  • dokument uwzględnia uwagi, zgłoszone w ramach konsultacji
  • kodeks został także uzupełniony o informacje dotyczące mechanizmów monitorowania

pełna wersja dokumentu znajduje się tutaj: http://rodo-w-oswiacie.pl/kodeks-postepowania-calosc/

Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii

  • rządy, organizacje publiczne i prywatne w całej Europie podejmują działania w celu ograniczenia rozprzestrzeniania się COVID-19 – może to obejmować przetwarzanie różnych rodzajów danych osobowych
  • Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych (EROD), wskazała, że: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych.”
  • EROD wskazuje, że do obszarów wymagających szczególnej uwagi zaliczymy, w szczególności:
  1. zgodność przetwarzania z prawem
  2. podstawowe zasady odnoszące się do przetwarzania danych osobowych
  3. wykorzystywanie danych z sieci komórkowych dotyczących lokalizacji
  4. przetwarzanie danych osób zatrudnionych

Źródło: https://uodo.gov.pl/pl/138/1463

Wyciek danych z portalu MoneyMan

  • Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie dotyczące naruszenia danych osobowych od ID Finance Poland Sp. z o.o. z siedzibą w Warszawie – podmiotu prowadzącego portal pożyczkowy MoneyMan.pl
  • sprawa jest obecnie analizowana przez UODO i podjęto pierwsze czynności mające na celu wyjaśnienie dokładnych okoliczności przedmiotowego naruszenia
  • administrator poinformował Prezesa UODO, że powiadomił o naruszeniu osoby, których dane dotyczą
  • niebezpiecznik.pl kontaktował się jednak z osobami, które korzystały z MoneyMan.pl i otrzymały wiadomość o wycieku – wynika z niej, że zakres danych objętych wyciekiem obejmuje: nazwisko, PESEL, numer dokumentu tożsamości, NIP, miejsce urodzenia, numer rachunku bankowego, adres (korespondencyjny i zameldowania), numer telefonu (który zostały podany), nazwę pracodawcy, informacje o przychodach, dane demograficzne, a nawet informacje o haśle
  • wcześniej na stronie MoneyMan.pl na Facebooku pojawił się komunikat, w którym była mowa o “nieuprawnionym dostępie osoby trzeciej do danych osobowych części użytkowników portalu MoneyMan.pl.

Źródło: https://niebezpiecznik.pl/post/wyciek-z-moneyman-pl-uodo-bada-sprawe/ https://uodo.gov.pl/pl/138/1462

EROD: nowe terminy zakończenia konsultacji społecznych

  • Przewodniczący Europejskiej Rady Ochrony Danych (EROD) o sześć tygodni przedłuża konsultacje społeczne wytycznych, które aktualnie prowadzi
  • Decyzja spowodowana trwającą pandemią COVID-19 dotyczy następujących wytycznych:
  1. wytyczne 1/2020 w sprawie przetwarzania danych osobowych w kontekście pojazdów połączonych – do 1 maja 2020 r.,
  2. wytyczne 2/2020 w sprawie stosowania art. 46 ust. 2 lit. a) i art. 46 ust. 3 lit. b) RODO – do 18 maja 2020 r.

Źródło: https://uodo.gov.pl/pl/138/1461

Globalna współpraca na rzecz ochrony danych i walki z koronawirusem

  • Global Privacy Assembly (światowa organizacja zrzeszająca rzeczników ochrony danych osobowych) stworzyła na swojej stronie internetowej specjalną sekcję, w której będą zamieszczane oświadczenia z poszczególnych organów ds. ochrony danych osobowych w związku z COVID-19
  • zebranie informacji z poszczególnych państw w jednym miejscu ma pomóc w wymianie doświadczeń między członkami GPA, dlatego w specjalnie utworzonej zakładce na stronie internetowej, będą sukcesywnie uzupełniane linki do stanowisk organów ds. ochrony danych osobowych związanych koronawirusem
  • w jednym miejscu zostaną zgromadzone praktyki z całego świata – dzięki temu członkowie stowarzyszenia będą uczyć się także od siebie nawzajem
  • członkowie GPA podkreślają, że dzielenie się wiedzą, doświadczeniami i ekspertyzami pozwoli zrozumieć trudną sytuację, w jakiej znalazł się świat, organy ds. ochrony danych, korzystając z doświadczeń innych, będą lepiej wypełniać powierzone im obowiązki w dynamicznie zmieniającej się sytuacji. Wymiana stanowisk ułatwi również sprawniejsze podejmowanie działań w porozumieniu z innymi członkami stowarzyszenia
  • oświadczenie Komitetu Wykonawczego GPA dostępne jest pod linkiem: https://globalprivacyassembly.org/gpaexco-covid19/
  • oświadczenia poszczególnych organów ds. ochrony danych: https://globalprivacyassembly.org/covid19/

Źródło: https://uodo.gov.pl/pl/138/1460

Ochrona danych osobowych podczas pracy zdalnej

  • Urząd Ochrony Danych Osobowych na swojej stronie internetowej wskazuje jak postępować podczas pracy zdalnej, aby nie naruszyć przepisów o ochronie danych oraz jakie zabezpieczenia rekomendować pracownikom
  • UODO zaznacza, że środki kontroli i zapobiegania rozprzestrzenianiu się COVID-19 będą wymagały większej liczby osób pracujących zdalnie niż zwykle
  • obszary, na które należy zwrócić szczególną uwagę to, w szczególności:
  1. urządzenia – ich zabezpieczenie oraz oprogramowanie,
  2. email – zabezpieczenie oraz sposób korzystania
  3. dostęp do sieci i chmury
  • wskazówki organu zostały opracowane na podstawie Protecting Personal Data When Working Remotely przygotowanego przez DPC Ireland

Źródło: https://uodo.gov.pl/pl/138/1459

Aplikacja „kwarantanna domowa” a ochrona danych osobowych

  • aplikacja “kwarantanna domowa” została przygotowana po to, aby wesprzeć proces nadzorowania osób, które zobowiązano do kwarantanny – nie jest to produkt dla wszystkich obywateli, jeżeli nie nałożono na daną osobę obowiązku kwarantanny to nie ma ona możliwości się zarejestrować
  • po zainstalowaniu aplikacja prosi o dostęp do lokalizacji urządzenia, wymaga to zaakceptowania regulaminu, przesłania numeru telefonu i wprowadzenia kodu z SMS-a
  • po aktywowaniu aplikacji użytkownik musi sobie zrobić tzw. zdjęcie referencyjne – w kolejnych dniach ten użytkownik będzie dostawał w nieprzewidywalnych godzinach SMS-ową prośbę o zrobienie sobie selfie
  • dzięki geolokalizacji aplikacja ustali miejsce zrobienia selfie, a zdjęcie referencyjne będzie służyło za punkt odniesienia do ustalenia, czy użytkownik zrobił zdjęcie sobie
  • konto użytkownika może być zdezaktywowane przed upływem 14 dni, jeśli nastąpią okoliczności powodujące zakończenie kwarantanny
  • w związku ze świadczeniem usługi przetwarzane są następujące dane osobowe: ID Obywatela tj. techniczny identyfikator, imię, nazwisko, numer telefonu, deklarowany adres pobytu, zdjęcie, lokalizacja obywatela, data końca kwarantanny
  • administratorem danych jest Minister Cyfryzacji, a dane będą przekazywane innym służbom w razie konieczności

Źródło: https://niebezpiecznik.pl/post/aplikacja-kwarantanna-domowa-wzbudza-obawy-o-inwigilacje-czy-slusznie/

Kradzież laptopa z danymi studentów SGGW: Poszkodowani chcą rekompensat

  • w listopadzie ubiegłego roku skradziony został laptop, na którym przechowywano szczegółowe dane kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego (SGGW), natomiast w grudniu policja poinformowała o zatrzymaniu trzech obywateli Gruzji podejrzanych między innymi o tę kradzież, a samego komputera nie odzyskano
  • nie wiadomo, czy ktoś uzyskał dostęp do zgromadzonych na nim informacji i będzie chciał je wykorzystać – wiadomo natomiast, że chodzi o bardzo szczegółowe dane z naborów prowadzonych przez kilka ostatnich lat, takie jak PESEL, seria i numer dowodu osobistego, adres czy nawet numer telefonu
  • pod koniec stycznia kancelaria Barta Litwiński, reprezentująca poszkodowanych, wysłała do SGGW pismo, w którym prosi o podjęcie rozmów na temat rekompensat za już poniesione wydatki i zasad ponoszenia odpowiedzialności za ewentualne szkody, które mogą się pojawić w przyszłości
  • SGGW uważa, że za wcześnie jest na rozmowy: „Uczelnia nie uchyla się od odpowiedzialności, ale musimy poczekać na oficjalne zakończenie dochodzenia i stwierdzenie zakresu odpowiedzialności” wskazuje rzecznik prasowy szkoły
  • niedługo powinno się również okazać, jakie decyzje w sprawie uczelni podejmie UODO – natychmiast po nagłośnieniu incydentu rozpoczął on kontrolę w tej sprawie

Źródło: https://prawo.gazetaprawna.pl/artykuly/1460833,kradziez-laptopa-z-danymi-studentow-sggw-rekompensaty.html

Czy koronawirus uśmierci naszą prywatność?

  • od lutego obywatele Korei Południowej otrzymują od władz lawinę SMS-ów informujących ich o pojawieniu się i przemieszczaniu w ich okolicy osób z chorobą COVID-19
  • gdy dana osoba zostanie zdiagnozowana, władze lokalne mogą przesłać do okolicznych mieszkańców dane na temat miejsc, gdzie była jeszcze przed tym, jak wykryto u niej koronawirusa
  • informacje zawierają dane dotyczące: wieku i płci danej osoby, minutowy zapis jej poruszania się, zebrany między innymi w oparciu o zapisy kamer przemysłowych, czy transakcji z pomocą kart płatniczych, a także informacje o odwiedzanych punktach usługowych, sklepach i hotelach, a nawet informacje w jakich pokojach dana osoba była, kiedy korzystała z toalety i czy używała maseczki
  • rząd w Seulu ma prawo publikować te dane w oparciu o ustawy wprowadzone wcześniej, w związku z epidemią MERS w 2015 r.
  • inne kraje, jak Singapur też ujawniają niektóre dane chorych na COVID-19, nigdzie jednak zakres tych danych nie jest tak duży, jak w Korei Południowej
  • premier Izraela Benjamin Netanjahu również chce używać technologii do walki z pandemią koronawirusa – izraelskie służby specjalne Szin Bet będą śledzić telefony komórkowe zainfekowanych osób

Źródło: https://www.rmf24.pl/raporty/raport-koronawirus-z-chin/najnowsze-fakty/news-czy-koronawirus-usmierci-nasza-prywatnosc,nId,4390685 https://next.gazeta.pl/next/7,173953,25795808,izraelskie-sluzby-specjalne-beda-sledzic-telefony-zakazonych.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Pobierz plik PDF z prezentacją - RODO aktualności z dnia 06.04.2020
Pobierz

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia 30.03.2020
Pobierz

 

Pobierz plik PDF z prezentacją - RODO aktualności z dnia 23.03.2020
Pobierz

Powiązane artykuły

rodo aktualności
RODO aktualności – 26.05.2020
rodo aktualności
RODO aktualności – 05.05.2020
rodo aktualności
RODO aktualności – 18.03.2020

Zostaw odpowiedź

* pola obowiązkowe