RODO aktualności – 07.04.2020

• Prezes UODO nałożył 20 tys. zł. kary na Vis Consulting Sp. z o.o. w likwidacji z siedzibą w Katowicach, związaną z branżą telemarketingową, za uniemożliwienie przeprowadzenia kontroli – dodatkowo właścicielowi spółki grozi odpowiedzialność karna​
• kontrolerzy UODO, pod wskazanym w KRS adresem i po uprzednim zawiadomieniu o planowanej kontroli, nikogo nie zastali​
• kontrolerom udało się jednak telefonicznie skontaktować z Vis Consulting, a jej pełnomocnik poinformował, że kontrola się nie odbędzie​
• Prezes UODO uznał więc, że spółka ta w żaden sposób nie chce współpracować z organem​
• przez dwa kolejne dni zaplanowanych czynności kontrolnych  spółka dwukrotnie uniemożliwiła jej przeprowadzenie, ponadto, w dniu, w którym kontrolerzy próbowali ponownie skontrolować Vis Consulting Sp. z o.o., jej władze podjęły uchwałę o likwidacji tego podmiotu​
• Prezes UODO uznał, że zostały spełnione przesłanki, by nałożyć na spółkę karę pieniężną – ustalając jej wysokość organ nadzorczy nie dopatrzył się żadnych okoliczności łagodzących, mających wpływ na wysokość kary​
• w związku z podejrzeniem popełnienia przestępstwa z art. 108 ust. 1 ustawy o ochronie danych osobowych przez prezesa spółki, organ nadzorczy zawiadomił o tym Prokuraturę Rejonową w Katowicach​

Źródło: https://uodo.gov.pl/pl/138/1480 ​

• RODO nie stoi na przeszkodzie zdalnej edukacji w czasie pandemii koronawirusa, lecz daje szkołom możliwość racjonalnego wdrożenia odpowiednich metod i technik kształcenia na odległość z jednoczesnym poszanowaniem podstawowych zasad ochrony danych – powiedział Jan Nowak, Prezes UODO​
• przedstawiciele oświaty powinni pamiętać o koniecznej dbałości o prawa osób, których dane będą przetwarzane przy pomocy wykorzystywanych narzędzi, oraz o bezpieczeństwie tych danych – w razie wątpliwości dyrektorzy szkół oraz nauczyciele powinni konsultować się z wyznaczonymi inspektorami ochrony danych​
• wychodząc naprzeciw potrzebom szkolnych administratorów oraz inspektorów ochrony danych, UODO przygotował specjalne opracowanie, które zawiera wstępne wskazówki, jak korzystając z metod nauczania online, dbać o bezpieczne przetwarzanie danych​
• materiał ten jest adresowany do dyrektorów szkół i nauczycieli, ale zawiera również informacje przydatne rodzicom i uczniom​
• dzięki wsparciu Ministerstwa Edukacji Narodowej opracowanie to trafi do wszystkich szkół i placówek oświatowych​
• jednocześnie UODO apeluje do organów prowadzących o wsparcie szkół w prowadzeniu bezpiecznej edukacji zdalne​

Źródło: https://uodo.gov.pl/pl/138/1473 ​

• dane ponad 4,9 miliona Gruzinów, w tym zmarłych obywateli, zostały opublikowane forum hakerskim​
• informacje, takie jak imiona i nazwiska, adresy domowe, daty urodzenia, numery identyfikacyjne i numery telefonów komórkowych zostały udostępnione online w pliku MDB 1,04 GB (baza danych Microsoft Access)​
• dane zostały wykryte przez Under the Breach, usługę monitorowania i zapobiegania naruszeniom danych​
• baza danych zawierała 4 934 863 rekordy, w tym szczegóły dotyczące milionów zmarłych obywateli – obecna populacja Gruzji szacowana jest na 3,7 miliona, według spisu ludności z 2019 roku​
• nie jest jasne, czy użytkownik forum, który udostępnił dane, jest tym, który je uzyskał​
• źródło danych pozostaje również tajemnicą​

Źródło: https://www.zdnet.com/article/personal-details-for-the-entire-country-of-georgia-published-online/ ​

• wprowadzone restrykcje w działalności sklepów nakładają obowiązek zapewnienia czasu na zrobienie zakupów wyłącznie przez seniorów – jak przedsiębiorcy mogą weryfikować, czy klienci chcący zrobić zakupy w godz. od 10:00 do 12:00 mają powyżej 65 lat i co na to RODO?
• weryfikacja może odbywać się m.in. przez złożenie oświadczenia przez osobę wchodzącą, poproszenie o przedstawienie dokumentu tożsamości lub innego dokumentu potwierdzającego wiek klienta
• zgodnie z jedną z podstaw przetwarzania administrator jest uprawniony do przetwarzania danych osobowych, jeżeli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – zapewnienie przestrzeni sklepowej w określonych godzinach wyłącznie dla seniorów to obecnie obowiązek prawny, a więc podstawowy warunek legalności jest spełniony
• prawo do wprowadzenia jakichkolwiek sposobów weryfikacji wieku klientów jest możliwe wyłącznie w ustalonych godzinach, tj. pomiędzy 10:00 a 12:00
• pojawiają się propozycje rejestrowania klientów wchodzących w obostrzonych godzinach dla seniorów, np. pozyskiwania oświadczeń papierowych, spisywania danych seniorów z dokumentów, kopiowania dokumentów – takie działania należy uznać za działania, które nie są niezbędne do zapewnienia realizacji nakazu przestrzegania godzin dla seniorów, a tym samym naruszające RODO
• poza zapewnieniem właściwej podstawy prawnej przedsiębiorca ma obowiązek dostarczenia osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych, czyli tzw. klauzuli RODO – to, co powinno się w niej znaleźć, jest określone przez art. 13 RODO

Źródło: https://www.rp.pl/Firma/304029921-Koronawirus-jak-przedsiebiorca-ma-weryfikowac-seniorow-wchodzacych-do-sklepu.html

• To oczywiste, że w tak nadzwyczajnej sytuacji, jak ta, z którą mamy dziś do czynienia, jesteśmy gotowi ograniczyć naszą prywatność. Jednocześnie już teraz musimy ustalić, że jest to ograniczenie czasowe – mówi w wywiadzie dla Next Gazeta.pl Wojciech Wiewiorówski, Europejski Inspektor Ochrony Danych
• Wiewiórowski wskazał, że dane lokalizacyjne uzyskane przez KE od operatorów mogą być wykorzystane na dwa sposoby – do śledzenia pojedynczych obywateli lub do śledzenia przepływu populacji
• W przypadku działań Komisji Europejskiej mówimy, przynajmniej na razie, wyłącznie o tym drugim scenariuszu – KE nie chce śledzić tego, co robi i gdzie aktualnie przebywa przeciętny Kowalski lecz chodzi o prześledzenie pewnych trendów, a uzyskane dane nie będą pochodziły od wszystkich telekomów działających w danym kraju, ale od jednego wybranego operatora
• KE chce też, aby dane te były dostarczane w sposób zanonimizowany, czyli taki, który nie pozwala na identyfikację konkretnych osób
• gdy Komisja Europejska konsultowała swój pomysł, Europejski Inspektor Ochrony Danych wyraźnie wskazał, że oprócz anonimizacji danych bardzo ważne jest ich zagregowanie, czyli umieszczenie w zestawach obejmujących kilkadziesiąt, kilkaset czy też kilka tysięcy osób – w takim wypadku ryzyko identyfikacji danego właściciela numeru telefonu jest w zasadzie minimalne
• EIOD wskazuje, że nie można wykluczyć scenariusza, w którym zbierane będą dane o charakterze indywidualnym i nie musi tu wcale chodzić jedynie o dane pozyskiwane od operatorów telekomunikacyjnych

Źródło: https://next.gazeta.pl/next/7,173953,25831855,czy-koronawirus-pozbawi-nas-prywatnosci-gdy-pali-sie-dom.html

• Google ogłosił, że wycofuje jedną z poprawek zapewniających użytkownikom przeglądarki Chrome prywatność, po to aby podczas pandemii koronawirusa COVID-19 zapobiec ewentualnym zakłóceniom w działaniu wielu ważnych witryn
• chodzi o poprawkę SameSite Cookies, która dotyczy obsługi ciasteczek – internetowy serwer wykorzystujący taką technologię wysyła do przeglądarki instrukcję, aby ta zapisywała w swojej pamięci ciasteczka o określonej nazwie i wartości
• przeglądarka dołącza wtedy automatycznie takie ciasteczka do każdego zapytania kierowanego do określonej domeny (stąd nazwa SameSite) i dlatego to ona – a nie witryna – decyduje o tym, kto ma dostęp do ciasteczek
• SameSite Cookies to rozwiązanie powodujące, że ciasteczka firm trzecich będą wykorzystywane jedynie wtedy, gdy pochodzą z bezpiecznych dla użytkownika połączeń, co zapobiega również internetowym atakom, takim jak CSRF (Cross-Site Request Forgery)
• w swoim komunikacie Google wskazuje, że „Chociaż większość całego ekosystemu WWW była wcześniej przygotowana na wdrożenie takiego mechanizmu ochrony prywatności użytkowników, to w trosce o stabilność funkcjonowania witryn, które świadczą użytkownikom szereg podstawowych usług (chodzi tu przede wszystkim o bankowość, sklepy, usługi rządowe czy apteki), wspomniany powyżej mechanizm chroniący prywatność użytkowników został wyłączony”.
• mechanizm SameSite Cookies został wprowadzony do przeglądarki Chrome w lutym tego roku

Źródło: https://www.computerworld.pl/news/Z-powodu-pandemii-COVID-19-Google-wycofuje-z-przegladarki-Chrome-poprawke-chroniaca-prywatnosc-uzytkownikow,420210.html

• wydawnictwo Must Read Media wraz z ponad 70 prawnikami spośród 23 firm i kancelarii opracowało raport „Koronawirus a prawo” – największą prawną analizę epidemii w Polsce obejmującą 468 stron
• raport zawiera prawne omówienie 25 zagadnień i branż, w tym związanych z ochroną danych osobowych (RODO)
• część poświęcona RODO opracowana została przez prawników kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.
• link do pobrania raportu: https://raport.mustreadmedia.pl/

• z powodu epidemii koronawirusa biura rachunkowe w dużej mierze pracują zdalnie
• księgowanie w domu i wynoszenie dokumentów klientów z firmy może jednak naruszać przepisy dotyczące ochrony danych osobistych czy tajemnicy przedsiębiorstwa – eksperci radzą opracować szczegółowe procedury obiegu dokumentów, dzięki nim będzie można uniknąć dotkliwych konsekwencji prawnych i finansowych
• co prawda żadne przepisy nie zakazują pracy w tzw. trybie home office, ale na uwadze trzeba mieć kilka ograniczeń – zgodnie z art. 32 RODO niezależnie od miejsca, w którym świadczona będzie praca, należy stosować adekwatne środki zabezpieczeń technicznych i organizacyjnych, a RODO nie narzuca konkretnych rozwiązań – ich dobór zależy od decyzji samego przedsiębiorcy
• o ile pracodawca w związku z podjęciem przez pracowników pracy zdalnej dopuszcza w regulaminie pracy bądź w wewnątrz zakładowych procedurach możliwość wynoszenia przez pracowników dokumentów do domu, nawet gdy zawierają one dane osobowe, jest to zgodne z prawem
• należy pamiętać, że obszarem przetwarzania danych osobowych w organizacji stają się wtedy również miejsca, w których pracują pracownicy poza organizacją – powinny wiązać ich zasady bezpieczeństwa, które muszą sprowadzić się do realizacji jednego, zasadniczego celu: dokumenty, które wynosimy poza organizację muszą być wykorzystane wyłącznie w tym celu, w jakim byłyby wykorzystywane w siedzibie zakładu pracy oraz żadna osoba trzecia nie powinna mieć do nich dostępu

Źródło: https://www.prawo.pl/podatki/wynoszenie-dokumentow-z-firmy-i-praca-zdalna-moga-naruszac-prawo,498775.html?utm_medium

• po kontroli przeprowadzonej na SGGW w związku naruszeniem ochrony danych, Prezes UODO wszczyna postępowanie administracyjne
• kontrola wykazała wyraźne dysfunkcje systemu ochrony danych na uczelni – zarówno od strony technicznej, jak i organizacyjnej
• stwierdzono naruszenie przepisów o ochronie danych osobowych odnoszących się do obowiązków ciążących na administratorze m.in. z art. 24 ust. 1 RODO w kontekście braku aktualizacji i przeglądów polityk bezpieczeństwa przyjętych na uczelni
• w toku kontroli stwierdzono, że administrator nie poddawał należytym przeglądom procesu przetwarzania danych osobowych kandydatów na studia – w związku z tym nie posiadał dostatecznej wiedzy o ryzyku związanym z tym przetwarzaniem i nie podejmował właściwych działań wynikających m.in. z art. 25 ust. 1 czy 32 ust. 1 lit. b i d RODO
• działania kontrolne wykazały również uchybienia związane ze sposobem sprawowania funkcji inspektora ochrony danych, który m.in. nie wypełniał swoich zadań zgodnie z art. 39 ust. 2 RODO tj. z należytym uwzględnianiem ryzyka związanego z operacjami przetwarzania
• celem postępowania administracyjnego jest przywrócenie u administratora stanu zgodnego z prawem

Źródło: https://uodo.gov.pl/pl/138/1464

• UODO w odpowiedzi na pismo GIS o podstawy przetwarzania danych osobowych w związku z walką z koronawirusem wskazał, że inspekcje sanitarne powinny się kierować regulacjami dotyczącym działalności tych instytucji
• ponadto biorąc pod uwagę, art. 17 ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, wszelkie decyzje, wytyczne oraz zalecenia GIS wydawane różnym podmiotom na podstawie tej specustawy będą stanowić podstawę prawną do przetwarzania przez nie danych osobowych.
• Prezes UODO zaleca jednak, by GIS, jak i organy Państwowej Inspekcji Sanitarnej podejmując decyzje dotyczące swoich działań związanych z przetwarzaniem danych osobowych, korzystali ze wsparcia swoich inspektorów ochrony danych osobowych (IOD) – jest to ważne m.in. z tego powodu, że przy opracowywaniu nowych regulacji, wytycznych i zaleceń powinni się kierować zasadami określonymi w RODO, a więc m.in. zasadą ograniczenia celu czy zasadą ograniczenia przechowywania danych
• podejmując natomiast wszelkie działania inspekcje sanitarne powinny pamiętać, by dane osobowe, które w związku z tymi zadaniami są przetwarzane, były odpowiednio chronione
• Prezes UODO w piśmie do GIS podkreślił również, by szczególną uwagę zwrócić na zakres udostępnianych informacji, np. podczas wywiadów czy konferencji prasowych, dotyczących osób dotkniętych koronawirusem – należy przy tym zminimalizować zakres ujawnianych danych i wskazywać np. na występowanie u tych osób chorób współistniejących, bez podawania szczegółowych jednostek chorobowych

Źródło: https://uodo.gov.pl/pl/138/1471

• UODO wskazuje, że rozstrzygając wątpliwości, jaka przesłanka jest podstawą przetwarzania danych zawartych w upoważnieniu do odbioru dziecka z przedszkola lub szkoły, administrator powinien w dokonać analizy przepisów ustawy Prawo oświatowe
• przepisy ustawy Prawo oświatowe wskazują, że statut przedszkola powinien zawierać m.in. szczegółowe zasady przyprowadzania i odbierania dzieci z przedszkola przez rodziców lub upoważnioną przez nich osobę zapewniającą dziecku pełne bezpieczeństwo (art. 102 ust. 1 pkt 6)
• zdaniem organu można zasadnie przyjąć, że:

1. w przypadku przedszkola zastosowanie może mieć przesłanka wskazana w art. 6 ust. 1 lit. e RODO łącznie z przepisem krajowym, jakim jest art. 102 ust. 1 pkt 6 Prawa oświatowego
2. natomiast w przypadku przedszkoli niepublicznych art. 6 ust. 1 lit. e RODO i art.  102 ust. 1 pkt 6 w zw. z art. 172 ust. 3 Prawa oświatowego
3. w przypadku szkoły publicznej zastosowanie może mieć przesłanka wskazana w art. 6 ust. 1 lit. e RODO łącznie z przepisem krajowym, tj. art. 68 ust. 1 pkt 6 ustawy Prawo oświatowe.
4. w przypadku szkół niepublicznych podstawą będzie art. 6 ust. 1 lit. e RODO w związku z art. 172 ust. 2 pkt 3 ustawy Prawo oświatowe

Źródło: https://uodo.gov.pl/pl/225/1466

• burza dotycząca niecodziennego posiedzenia Sejmu, w ramach którego z racji zagrożenia koronawirusem miało dojść do głosowania “zdalnego” zaczęła się od wpisu Rafała Trzaskowskiego na Twitterze, który zdradził, że dostał SMS-a z loginem i hasłem umożliwiającym dostęp do posiedzenia sejmu, choć… nie jest posłem tej kadencji
• Kancelaria Sejmu, nie dość że rozesłała login i hasło niegwarantującym poufności sposobem, czyli SMS-em (nie rozdzielając ich na dwa niezależne kanały komunikacji), to, co równie niepokojące, przesłała dane nie do tej osoby (tych osób?) do której powinna
• posłowie, którzy próbowali logować się do systemu, nie byli w stanie się do niego dobić – zamiast zachować to dla siebie (lub sejmowego helpdesku), postowali screeny do Internetu, ujawniając to w jaki sposób budowane są loginy do tego (tylko tego?) systemu
• loginy tworzone są zgodnie ze wzorem: słowo Posel i numer legitymacji posła (którym niektórzy chwalą się w Internecie wrzucając zdjęcia swoich legitymacji poselskich)

Źródło: https://niebezpiecznik.pl/post/jak-mozna-bylo-zepsuc-poslom-posiedzenie-w-sejmie-przez-internet/

• Komisja Europejska chce danych z telefonów komórkowych mieszkańców państw UE, by tworzyć modele dotyczące Covid-19
• KE chciałaby, aby dane przekazywał jej jeden z operatorów z każdego kraju członkowskiego – później miałyby one trafiać do Wspólnego Centrum Badawczego (JRC), czyli wewnętrznego działu naukowego KE do opracowania
• “Dane te pozwalają analizować wzorce przemieszczania się, w tym wpływ środków ograniczających na intensywność kontaktów, a tym samym ryzyko zakażeń” – powiedział rzecznik KE Johannes Bahrke i zastrzegł przy tym, że dane te nie umożliwiają śledzenia poszczególnych użytkowników
• przepisy RODO nie stoją na przeszkodzie wykorzystywaniu anonimowych danych – co do zasady dane o lokalizacji mogą być wykorzystywane przez operatora tylko wtedy, gdy są anonimowe lub za zgodą osób których dotyczą i ewentualnie za zgodą sądu
• przypadek pierwszy dotyczy planów KE, ale niektóre państwa na świecie, w tym również te z UE sięgnęły już po dane, które nie są anonimizowane – np. MSZ Bułgarii otrzymało np. od wtorku dostęp do danych z telefonów komórkowych obywateli i do ich kontaktów bez zgody sądu, a stało się to na mocy przepisów o stanie nadzwyczajnym

Źródło: https://polskiobserwator.de/aktualnosci/koronawirus-ke-chce-zbierac-dane-z-telefonow-komorkowych-mieszkancow-panstw-ue/

• Prezes Urzędu Ochrony Danych Osobowych zaskarżył do Naczelnego Sądu Administracyjnego dwa styczniowe wyroki WSA uchylające jego decyzje o wstrzymaniu ujawnienia list poparcia kandydatów do Krajowej Rady Sądownictwa
• RPO w zeszłym roku zainicjował postępowania przed Wojewódzkim Sądem Administracyjnym w Warszawie, składając skargi na postanowienia prezesa UODO w sprawie tych list. Spór obecnie ma charakter prawny i dotyczący zakresu uprawnień UODO – same listy poparcia dla kandydatów do KRS Kancelaria Sejmu ujawniła w połowie lutego br.
• WSA 24 stycznia br. uchylił postanowienia prezesa UODO, które wstrzymywały upublicznienie przez Kancelarię Sejmu podpisów pod listami poparcia kandydatów do KRS
• w lutym br. marszałek Sejmu Elżbieta Witek zapowiedziała, że po otrzymaniu pisemnego uzasadnienia wyroków WSA rozpocznie procedurę ujawniania tych danych – UODO przekazywał zaś wówczas, że do momentu uprawomocnienia się wyroków WSA postanowienie o wstrzymaniu udostępnienia tzw. list poparcia do KRS pozostaje w mocy
• wyroki WSA są jednak nieprawomocne, przysługiwało od nich zaskarżenie do Naczelnego Sądu Administracyjnego. Takie skargi kasacyjne – o czym poinformowało na swej stronie Biuro RPO – wniósł w marcu br. do NSA prezes UODO, niezależnie od faktu, iż listy zostały już ujawnione

Źródło: https://polskieradio24.pl/5/1222/Artykul/2480871,Skarga-prezesa-Urzedu-Ochrony-Danych-Osobowych-do-NSA-ws-list-poparcia-KRS

• zdaniem RPO, w zakresie nauczania zdalnego w szkołach oprócz oczekiwanych problemów technicznych pojawia się także kwestia ochrony danych osobowych i prawa do prywatności
• na obecnym etapie nie ma jednoznacznych informacji, czy infrastruktura informatyczna zapewniana przez szkoły jest wystarczająca do przeprowadzenia lekcji
• należy pamiętać, że proces edukacyjny może łączyć się z ujawnianiem wielu wrażliwych informacji o uczniach
• przeniesienie nauki do sieci powinno uwzględniać tę prawidłowość i zakładać wdrożenie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych uczniów
• chociaż wielu nauczycieli chętnie pozostawało dotąd w kontakcie z uczniami i ich rodzicami za pomocą prywatnych kont, konieczne jest zapewnienie pracownikom oświaty dostępu do służbowej poczty elektronicznej – obecna sytuacja wymaga bowiem innego poziomu i częstotliwości komunikacji z uczniami
• w ocenie RPO cenne byłoby uzyskanie pomocy Prezesa Urzędu Ochrony Danych Osobowych oraz Ministra Cyfryzacji we wdrożeniu odpowiednich rozwiązań

Źródło: https://www.rpo.gov.pl/pl/content/nauczanie-zdalne-w-szkolach-RPO-do-men-w-zwiazku-z-covid-19

• w ciągu ostatnich kilku dni Facebookiem zawładnęła nowa zabawa łańcuszkowa, a użytkownicy popularnego portalu społecznościowego wstawiają zdjęcia z dzieciństwa i zachęcają swoich bliskich do robienia tego samego – czy nie narusza to naszej prywatności?
• nowe wyzwanie polega na wstawieniu swojego zdjęcia z młodości i nominowaniu innych do zabawy
• Przemysław Krejza z Instytutu Informatyki Śledczej zaznacza, że powinniśmy się zastanowić, czy chcemy wziąć udział w wyzwaniu, dzięki któremu nasze dane osobowe są dostępne publicznie – „Wszelkie tego typu aktywności w mediach społecznościowych zawsze mają drugie dno. Doskonałym tego przykładem są afery operowania danymi Facebooka, z którymi mieliśmy do czynienia już nie raz. Z góry można zatem założyć, że ktoś mógł tę akcję wyindukować w jakimś konkretnym celu – być może do testowania algorytmów bądź marketingu. Nie wierzyłbym w spontaniczność i niewinność tej zabawy. Porównywanie zdjęcia z dzieciństwa z tym, jak wyglądamy dziś, daje różne możliwości analityczne – może się przydać chociażby w systemach rozpoznających twarze.”

Źródło: https://dziennikbaltycki.pl/nowe-wyzwanie-na-facebooku-czyli-wstaw-swoje-zdjecie-z-dziecinstwa-na-czym-polega-czy-zagraza-naszej-prywatnosci/ar/c11-14879077

• opublikowano trzecią wersję kodeksu RODO dla oświaty
• dokument uwzględnia uwagi, zgłoszone w ramach konsultacji
• kodeks został także uzupełniony o informacje dotyczące mechanizmów monitorowania

pełna wersja dokumentu znajduje się tutaj: http://rodo-w-oswiacie.pl/kodeks-postepowania-calosc/

• rządy, organizacje publiczne i prywatne w całej Europie podejmują działania w celu ograniczenia rozprzestrzeniania się COVID-19 – może to obejmować przetwarzanie różnych rodzajów danych osobowych
• Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych (EROD), wskazała, że: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych.”
• EROD wskazuje, że do obszarów wymagających szczególnej uwagi zaliczymy, w szczególności:

1. zgodność przetwarzania z prawem
2. podstawowe zasady odnoszące się do przetwarzania danych osobowych
3. wykorzystywanie danych z sieci komórkowych dotyczących lokalizacji
4. przetwarzanie danych osób zatrudnionych

Źródło: https://uodo.gov.pl/pl/138/1463

• Prezes Urzędu Ochrony Danych Osobowych otrzymał zgłoszenie dotyczące naruszenia danych osobowych od ID Finance Poland Sp. z o.o. z siedzibą w Warszawie – podmiotu prowadzącego portal pożyczkowy MoneyMan.pl
• sprawa jest obecnie analizowana przez UODO i podjęto pierwsze czynności mające na celu wyjaśnienie dokładnych okoliczności przedmiotowego naruszenia
• administrator poinformował Prezesa UODO, że powiadomił o naruszeniu osoby, których dane dotyczą
• niebezpiecznik.pl kontaktował się jednak z osobami, które korzystały z MoneyMan.pl i otrzymały wiadomość o wycieku – wynika z niej, że zakres danych objętych wyciekiem obejmuje: nazwisko, PESEL, numer dokumentu tożsamości, NIP, miejsce urodzenia, numer rachunku bankowego, adres (korespondencyjny i zameldowania), numer telefonu (który zostały podany), nazwę pracodawcy, informacje o przychodach, dane demograficzne, a nawet informacje o haśle
• wcześniej na stronie MoneyMan.pl na Facebooku pojawił się komunikat, w którym była mowa o “nieuprawnionym dostępie osoby trzeciej do danych osobowych części użytkowników portalu MoneyMan.pl.”

Źródło: https://niebezpiecznik.pl/post/wyciek-z-moneyman-pl-uodo-bada-sprawe/ https://uodo.gov.pl/pl/138/1462

• Przewodniczący Europejskiej Rady Ochrony Danych (EROD) o sześć tygodni przedłuża konsultacje społeczne wytycznych, które aktualnie prowadzi
• Decyzja spowodowana trwającą pandemią COVID-19 dotyczy następujących wytycznych:

1. wytyczne 1/2020 w sprawie przetwarzania danych osobowych w kontekście pojazdów połączonych – do 1 maja 2020 r.,
2. wytyczne 2/2020 w sprawie stosowania art. 46 ust. 2 lit. a) i art. 46 ust. 3 lit. b) RODO – do 18 maja 2020 r.

• więcej informacji na temat publicznych konsultacji znajduje się na stronie internetowej Europejskiej Rady Ochrony Danych: https://edpb.europa.eu/our-work-tools/public-consultations-art-704_en

Źródło: https://uodo.gov.pl/pl/138/1461

• Global Privacy Assembly (światowa organizacja zrzeszająca rzeczników ochrony danych osobowych) stworzyła na swojej stronie internetowej specjalną sekcję, w której będą zamieszczane oświadczenia z poszczególnych organów ds. ochrony danych osobowych w związku z COVID-19
• zebranie informacji z poszczególnych państw w jednym miejscu ma pomóc w wymianie doświadczeń między członkami GPA, dlatego w specjalnie utworzonej zakładce na stronie internetowej, będą sukcesywnie uzupełniane linki do stanowisk organów ds. ochrony danych osobowych związanych koronawirusem
• w jednym miejscu zostaną zgromadzone praktyki z całego świata – dzięki temu członkowie stowarzyszenia będą uczyć się także od siebie nawzajem
• członkowie GPA podkreślają, że dzielenie się wiedzą, doświadczeniami i ekspertyzami pozwoli zrozumieć trudną sytuację, w jakiej znalazł się świat, organy ds. ochrony danych, korzystając z doświadczeń innych, będą lepiej wypełniać powierzone im obowiązki w dynamicznie zmieniającej się sytuacji. Wymiana stanowisk ułatwi również sprawniejsze podejmowanie działań w porozumieniu z innymi członkami stowarzyszenia
• oświadczenie Komitetu Wykonawczego GPA dostępne jest pod linkiem: https://globalprivacyassembly.org/gpaexco-covid19/
• oświadczenia poszczególnych organów ds. ochrony danych: https://globalprivacyassembly.org/covid19/

Źródło: https://uodo.gov.pl/pl/138/1460

• Urząd Ochrony Danych Osobowych na swojej stronie internetowej wskazuje jak postępować podczas pracy zdalnej, aby nie naruszyć przepisów o ochronie danych oraz jakie zabezpieczenia rekomendować pracownikom
• UODO zaznacza, że środki kontroli i zapobiegania rozprzestrzenianiu się COVID-19 będą wymagały większej liczby osób pracujących zdalnie niż zwykle
• obszary, na które należy zwrócić szczególną uwagę to, w szczególności:

1. urządzenia – ich zabezpieczenie oraz oprogramowanie,
2. email – zabezpieczenie oraz sposób korzystania
3. dostęp do sieci i chmury

• wskazówki organu zostały opracowane na podstawie Protecting Personal Data When Working Remotely przygotowanego przez DPC Ireland

Źródło: https://uodo.gov.pl/pl/138/1459

• aplikacja “kwarantanna domowa” została przygotowana po to, aby wesprzeć proces nadzorowania osób, które zobowiązano do kwarantanny – nie jest to produkt dla wszystkich obywateli, jeżeli nie nałożono na daną osobę obowiązku kwarantanny to nie ma ona możliwości się zarejestrować
• po zainstalowaniu aplikacja prosi o dostęp do lokalizacji urządzenia, wymaga to zaakceptowania regulaminu, przesłania numeru telefonu i wprowadzenia kodu z SMS-a
• po aktywowaniu aplikacji użytkownik musi sobie zrobić tzw. zdjęcie referencyjne – w kolejnych dniach ten użytkownik będzie dostawał w nieprzewidywalnych godzinach SMS-ową prośbę o zrobienie sobie selfie
• dzięki geolokalizacji aplikacja ustali miejsce zrobienia selfie, a zdjęcie referencyjne będzie służyło za punkt odniesienia do ustalenia, czy użytkownik zrobił zdjęcie sobie
• konto użytkownika może być zdezaktywowane przed upływem 14 dni, jeśli nastąpią okoliczności powodujące zakończenie kwarantanny
• w związku ze świadczeniem usługi przetwarzane są następujące dane osobowe: ID Obywatela tj. techniczny identyfikator, imię, nazwisko, numer telefonu, deklarowany adres pobytu, zdjęcie, lokalizacja obywatela, data końca kwarantanny
• administratorem danych jest Minister Cyfryzacji, a dane będą przekazywane innym służbom w razie konieczności

Źródło: https://niebezpiecznik.pl/post/aplikacja-kwarantanna-domowa-wzbudza-obawy-o-inwigilacje-czy-slusznie/

• w listopadzie ubiegłego roku skradziony został laptop, na którym przechowywano szczegółowe dane kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego (SGGW), natomiast w grudniu policja poinformowała o zatrzymaniu trzech obywateli Gruzji podejrzanych między innymi o tę kradzież, a samego komputera nie odzyskano
• nie wiadomo, czy ktoś uzyskał dostęp do zgromadzonych na nim informacji i będzie chciał je wykorzystać – wiadomo natomiast, że chodzi o bardzo szczegółowe dane z naborów prowadzonych przez kilka ostatnich lat, takie jak PESEL, seria i numer dowodu osobistego, adres czy nawet numer telefonu
• pod koniec stycznia kancelaria Barta Litwiński, reprezentująca poszkodowanych, wysłała do SGGW pismo, w którym prosi o podjęcie rozmów na temat rekompensat za już poniesione wydatki i zasad ponoszenia odpowiedzialności za ewentualne szkody, które mogą się pojawić w przyszłości
• SGGW uważa, że za wcześnie jest na rozmowy: „Uczelnia nie uchyla się od odpowiedzialności, ale musimy poczekać na oficjalne zakończenie dochodzenia i stwierdzenie zakresu odpowiedzialności” wskazuje rzecznik prasowy szkoły
• niedługo powinno się również okazać, jakie decyzje w sprawie uczelni podejmie UODO – natychmiast po nagłośnieniu incydentu rozpoczął on kontrolę w tej sprawie

Źródło: https://prawo.gazetaprawna.pl/artykuly/1460833,kradziez-laptopa-z-danymi-studentow-sggw-rekompensaty.html

• od lutego obywatele Korei Południowej otrzymują od władz lawinę SMS-ów informujących ich o pojawieniu się i przemieszczaniu w ich okolicy osób z chorobą COVID-19
• gdy dana osoba zostanie zdiagnozowana, władze lokalne mogą przesłać do okolicznych mieszkańców dane na temat miejsc, gdzie była jeszcze przed tym, jak wykryto u niej koronawirusa
• informacje zawierają dane dotyczące: wieku i płci danej osoby, minutowy zapis jej poruszania się, zebrany między innymi w oparciu o zapisy kamer przemysłowych, czy transakcji z pomocą kart płatniczych, a także informacje o odwiedzanych punktach usługowych, sklepach i hotelach, a nawet informacje w jakich pokojach dana osoba była, kiedy korzystała z toalety i czy używała maseczki
• rząd w Seulu ma prawo publikować te dane w oparciu o ustawy wprowadzone wcześniej, w związku z epidemią MERS w 2015 r.
• inne kraje, jak Singapur też ujawniają niektóre dane chorych na COVID-19, nigdzie jednak zakres tych danych nie jest tak duży, jak w Korei Południowej
• premier Izraela Benjamin Netanjahu również chce używać technologii do walki z pandemią koronawirusa – izraelskie służby specjalne Szin Bet będą śledzić telefony komórkowe zainfekowanych osób

Źródło: https://www.rmf24.pl/raporty/raport-koronawirus-z-chin/najnowsze-fakty/news-czy-koronawirus-usmierci-nasza-prywatnosc,nId,4390685 https://next.gazeta.pl/next/7,173953,25795808,izraelskie-sluzby-specjalne-beda-sledzic-telefony-zakazonych.html