RODO aktualności – 03.03.2020

• od początku funkcjonowania systemu elektronicznych ksiąg wieczystych do Rzecznika Praw Obywatelskich wpływają skargi dotyczące zakresu zamieszczanych w księgach szczegółowych danych osobowych
• każdy, kto przez internet przejrzy księgę wieczystą danej nieruchomości, zapozna się bowiem z numerem PESEL i z imionami rodziców właściciela, a także innych osób, których prawa czy roszczenia ujawnia księga.
• nie tylko narusza to prawo do prywatności tych osób, ale może też ułatwiać kradzież tożsamości
• RPO już 6 lat temu miał wątpliwości co do takiego zakresu ujawniania tych danych, ale nie podzielił ich resort sprawiedliwości
• teraz Rzecznik zwraca uwagę Prezesowi Urzędu Ochrony Danych Osobowych, że problem należy oceniać w kontekście RODO – wcześniej przez lata zakres informacji ujawnianych w księgach wieczystych nie był aż tak szeroki, jak dziś, a nie rodziło to istotnych problemów w obrocie prawnym

Źródło: https://www.rpo.gov.pl/pl/content/rpo-kazdy-moze-w-sieci-poznac-dane-osobowe-z-ksiag-wieczystych?fbclid=IwAR2o4rUbFNpuVeeDTn27Dzk24vXUHAR3pGGSfUqCM800_sWADkkLgZB_vMs

• do 20 marca 2020 r. Europejska Rada Ochrony Danych przyjmuje uwagi do wytycznych 1/2020 poświęconych pojazdom połączonym i aplikacjom związanym z mobilnością
• podczas posiedzenia plenarnego EROD, które odbyło się w dniach 28-29 stycznia br., Rada przyjęła wytyczne 1/2020 w sprawie przetwarzania danych osobowych w kontekście pojazdów połączonych
• wytyczne koncentrują się na przetwarzaniu danych osobowych w związku z nieprofesjonalnym użytkowaniem połączonych pojazdów przez osoby, których dane dotyczą, w szczególności wytyczne dotyczą danych osobowych przetwarzanych przez pojazd oraz danych przekazywanych przez pojazd jako połączone urządzenie
• uwagi do wytycznych należy przesłać najpóźniej do 20 marca 2020 r. korzystając z formularza dostępnego na stronie internetowej Rady: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=488
• więcej informacji na temat publicznych konsultacji znajduje się na stronie internetowej EROD: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en

Źródło: https://uodo.gov.pl/pl/138/1362

• cały numer węgierskiego Forbesa musiał zostać wycofany po tym, jak w sądzie w Budapeszcie właściciele Hell Energy złożyli pozew przeciwko wydawcy, o przetwarzanie ich danych osobowych
• koncern powołał się na przepisy RODO, gdy w najnowszym numerze umieszczono na liście 50 najbogatszych Węgrów jednego z właścicieli Hell Energy
• sąd wydał decyzję o wstrzymaniu nakładu, którą określił jako tymczasowe zabezpieczenie
• choć właściwa sprawa przed sądem dopiero ruszy, wydawca musiał również usunąć z listy nazwisko jednego z właścicieli Hell Energy, którego majątek szacowany na 158 mln dol. magazyn sklasyfikował na 26. pozycji listy 50 najbogatszych Węgrów
• jak podkreślają eksperci jest to absurdalna interpretacja RODO, która zagraża wolności mediów i może poważnie ograniczać dostęp do niezależnych informacji w kwestiach interesu publicznego
• wykorzystywanie przepisów o RODO w odniesieniu do mediów, to próby wpływania na niezależność prasy – przy stosowaniu RODO celowo wprowadzona została tzw. klauzula prasowa
• klauzula zakłada nie stosowanie podstaw prawnych dotyczących danych osobowych w stosunku do mediów – w Polsce na przykład w odniesieniu do prasy wyłączony został art 6. i art. 9 RODO

Źródło: https://www.money.pl/gospodarka/absurdy-rodo-wegierski-forbes-zmuszony-do-wycofania-nakladu-6477203598760065a.html

• wyciekły dane ponad 6 mln Izraelczyków – wyciek nastąpił wskutek wgrania całego rejestru izraelskich wyborców do aplikacji Elector
• według dziennika „Haaretz” dostęp do danych w aplikacji Elector mógł uzyskać każdy, bez użycia skomplikowanych narzędzi – gazeta opublikowała szczegółową instrukcję, jak tego dokonać, a także przekazała informacje o incydencie do izraelskich organów zajmujących się ochroną cyberprzestrzeni
• wcześniej aktywiści działający na rzecz prywatności i ochrony danych osobowych ostrzegali izraelskie partie polityczne przed użyciem aplikacji
• w ubiegłym tygodniu do zwolenników Likudu zaapelował premier Izraela Benjamin Netanjahu, prosząc ich, aby pobierali na swoje telefony aplikację Elector i pomogli z jej użyciem zachęcać innych do głosowania i poparcia
• Elector pozwala partiom politycznym na tworzenie baz danych z ominięciem reguł dyktowanych przez obowiązujące w kraju prawo ochrony danych osobowych i prywatności – dzieje się tak dlatego, że przy rejestracji użytkowników aplikacja prosi ich o podanie danych osobowych, których nie ma w państwowych rejestrach wyborczych
• obecnie nie wiadomo, jak wiele informacji i jakie konkretnie dane wyciekły z baz danych Likudu
• firma, która stworzyła Electora stwierdziła, że incydent został natychmiast wykryty i podjęto kroki, by przeciwdziałać jego skutkom, a także wzmocniono mechanizmy ochrony bezpieczeństwa w programie

Źródło: https://www.cyberdefence24.pl/zagrozenia/ogromny-wyciek-danych-w-izraelu-ponad-6-milionow-wyborcow-poszkodowanych

• Dzień Bezpiecznego Internetu obchodzony jest co roku 11 lutego z inicjatywy Komisji Europejskiej, która ustanowiła go 2004 roku
• ma na celu inicjowanie i propagowanie działań na rzecz bezpiecznego dostępu do zasobów internetowych dzieci i młodzieży
• w Polsce od 2005 roku Dzień Bezpiecznego Internetu jest organizowany przez Fundację Dajemy Dzieciom Siłę (dawniej Fundacja Dzieci Niczyje) oraz Naukową i Akademicką Sieć Komputerową (NASK) – realizatorów unijnego programu „Safer Internet”
• z okazji przypadającego 11 lutego Dnia Bezpiecznego Internetu Tomasz Soczyński, dyrektor Departamentu Informatyki w UODO, zachęca do propagowania działań na rzecz bezpiecznego korzystania przez dzieci z zasobów internetowych
• wraz z rozwojem nowych technologii liczba zagrożeń związanych z utratą danych stale rośnie, a najbardziej narażone na nie są dzieci
• dostęp do nieodpowiednich treści to niewątpliwie jedno z największych zagrożeń jakie czyha na najmłodszych użytkowników
• niestety, większość materiałów, które mogą mieć negatywny wpływ na psychikę i rozwój dziecka znajduje się w sieci legalnie – mowa tutaj m.in. o materiałach obrazujących przemoc, agresję czy nawołujących do nienawiści i dyskryminacji

Źródło: https://uodo.gov.pl/pl/138/1363

• w ramach akcji Onetu z okazji „Dnia Bezpiecznego Internetu” powstał artykuł na temat największych ataków hakerskich i wycieków danych w latach 2010-2020
• Shadow Brokers – grupa Shadow Brokers w 2016 r. opublikowała w sieci narzędzia wykorzystywane przez amerykańską NSA
• atak na Sony Pictures Entertainment – w listopadzie 2014 r. cyberprzestępcy przejęli wiele danych jak niepublikowane filmy, e-maile, wewnętrzne wiadomości, szczegóły dotyczące wynagrodzeń aktorów oraz informacje o pracownikach
• NotPetya – w czerwcu 2017 r. rosyjska grupa hakerów opracowała wirusa, który miał zaszkodzić Ukrainie i w nią został skierowany, oprogramowanie blokowało komputery i sieci komputerowe i było odpowiedzialne za poważne straty finansowe
• River City Media – w 2017 r. w wyniku błędnej konfiguracji kopii bezpieczeństwa na serwerze zajmująca się marketingiem firma River City Media przez przypadek opublikowała w sieci bazę danych zawierającą 1,4 miliarda rekordów obejmujących adresy IP, nazwiska, a nawet adresy
• Stuxnet – Stuxnet był pierwszym wirusem, któremu udało się uszkodzić sprzęt, oprogramowanie zostało użyte w 2010 r. do ataku na irański zakład wzbogacanie uranu, gdzie w wyniku jego działania uszkodzone zostały wirówki
• Yahoo – w 2016 r. w dwóch komunikatach firma poinformowała, że w 2014 i 2013 r. stała się ofiarą kilku ataków hakerskich, których skutkiem było wykradzenie danych ponad miliarda użytkowników

Źródło: https://www.komputerswiat.pl/artykuly/redakcyjne/najwieksze-ataki-hakerskie-i-wycieki-danych-ostatnich-lat/4qyhpcs

• gmina Oslo została ukarana grzywną w wysokości 120 000 EUR z powodu złego zabezpieczenia danych przetwarzanych w aplikacji mobilnej „Skolemelding” – aplikacja służy do komunikacji między pracownikami szkół, rodzicami i uczniami
• zdaniem norweskiego organu nadzoru gmina nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym m.in.:
• jednym z zamierzonych zastosowań aplikacji jest wysyłanie przez rodziców wiadomości dotyczących ich dzieci i nieobecności w szkole za pomocą pola tekstowego co umożliwia przekazywanie danych osobowych specjalnej kategorii, takich jak dane zdrowotne, dotyczących dzieci – nie ma technicznych środków, które mogłyby temu zapobiec, a aplikacja nie podaje żadnych informacji, których należy unikać
• słabe bezpieczeństwo logowania do aplikacji umożliwiło osobom nieupoważnionym dostęp do danych osobowych ponad 63 000 uczniów w klasie od pierwszej do dziesiątej i ich zmianę
• w wyniku nieodpowiednich testów bezpieczeństwa przed uruchomieniem aplikacji aplikacja zawierała luki w zabezpieczeniach
• wcześniej organ powiadomił o swoim zamiarze nałożenia grzywny w wysokości 200 000 EUR – ostateczna kwota została jednak ponieważ w sprawie występowały czynniki łagodzące – gmina wdrożyła środki mające na celu ograniczenie szkód, gdy tylko dowiedziała się o wadach bezpieczeństwa, i wykazała chęć rozwiązania problemów

Źródło: https://edpb.europa.eu/news/national-news/2020/norwegian-data-protection-authority-imposes-fine-municipality-oslo-education_en?fbclid=IwAR1T2G-n4ebjK5KfUsYJyzejv8OU8lBimaIwuieWo4B0IF8T8L76jOwJGgE

• osoby, które padły ofiarą kradzieży danych, nie wiedzą, czy powinny unieważniać dowód, czy nie – na pomoc państwa niespecjalnie mogą liczyć
• eksperci wskazują, że obecnie w Polsce nie ma systemowego rozwiązania dla osób dotkniętych wyciekiem danych, w szczególności nie ma procedur, które dotyczyłyby numeru PESEL oraz rozwiązań na etapie postępowania komorniczego czy wcześniej sądowego, choć ofiara wycieku danych najczęściej nie wie, że postępowanie sądowe się toczy
• najczęściej o przestępstwie osoby, których dane dotyczą dowiadują się w chwili zajęcia komorniczego
• Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych wskazuje, że sam wyciek danych takich jak imię i nazwisko czy nawet PESEL nie jest przesłanką do wymiany dowodu i ma ona sens wtedy, gdy wyciekają numer i seria dokumentu tożsamości
• co zatem można zrobić? zastrzec swoje dane w banku lub złożyć tzw. zastrzeżenie kredytowe w BIK – dzięki temu ostatniemu instytucje finansowe, które przystąpiły do systemu, nie udzielą kredytu na zastrzeżone dane
• zastrzeżenie wraz z usługą alertów BIK kosztuje 24 zł na rok – w pakiecie użytkownik otrzymuje powiadomienia o próbie uzyskania kredytu na swoje dane
• niestety nie ma instytucji, która oferowałaby kompleksowe wsparcie dla osób zagrożonych i z problemem kradzieży tożsamości ostatecznie pozostajemy sami – zauważają eksperci

Źródło: https://prawo.gazetaprawna.pl/artykuly/1453722,wyciek-danych-osobowych-rodo-policja-uniewaznienie-dowodu-osobistego.html

• serwis Facebook Dating ruszył w Stanach Zjednoczonych i 19 innych państwach, a na początku 2020 roku miał być dostępny także w Europie
• 12 lutego irlandzki organ nadzoru poinformował jednak, że Facebook Irlandia po raz pierwszy skontaktowała się z organem w związku z zamiarem wprowadzenia nowej funkcji randkowej w UE w poniedziałek 3 lutego
• organ wyraził w tym zakresie swoje głębokie zaniepokojenie, że tak późno dowiedział się o tej nowej funkcji, biorąc pod uwagę, że miała ona być wprowadzona 13 lutego
• obawy organu spotęgował, że w dniu 3 lutego nie otrzymał żadnych informacji / dokumentacji w związku z oceną wpływu na ochronę danych osobowych lub procesami decyzyjnymi podjętymi przez Facebook Ireland w tym zakresie
• w celu przyspieszenia pozyskania odpowiedniej dokumentacji, w poniedziałek, 10 lutego, upoważnieni urzędnicy organu przeprowadzili kontrolę w biurach Facebook Ireland w Dublinie i zebrali potrzebną dokumentację
• w związku z działaniami organu Facebook Ireland poinformował, że wprowadzenie nowej funkcji zostało odłożone w czasie

Źródło: https://dataprotection.ie/en/news-media/press-releases/dpc-statement-facebook-dating-feature

• Na początku stycznia br. zespół badawczy ds. bezpieczeństwa cybernetycznego vpnMentor odkrył, że dane ponad 36 tys. amerykańskich więźniów dostępne były bez żadnych zabezpieczeń na serwerze Amazon, należącym do JailCore
• vpnMentro o wycieku poinformował firmę JailCore, a w związku z brakiem reakcji, również Pentagon
• baza danych została poprawnie zabezpieczona w połowie stycznia br.
• zakres ujawnionych danych obejmował m.in. szczegółowe dane identyfikacyjne więźnia (w tym adresy zamieszkania), dane dotyczące stanu zdrowia, informacje na temat popełnionego przestępstwa oraz wymiarze kary, a także wizerunek

Źródło: https://www.vpnmentor.com/blog/report-jailcore-leak/

• kodeks postępowania dla bibliotek wspierający we właściwym stosowaniu RODO to inicjatywa podjęta przez specjalistów w zakresie ochrony danych osobowych działających na rzecz bibliotek oraz Stowarzyszenia Bibliotekarzy Polskich
• kodeks jest skierowany przede wszystkim do bibliotek publicznych, w tym działających w ramach ośrodków kultury oraz pedagogicznych
• zawartość Kodeksu była tworzona i konsultowana ze wsparciem środowiska bibliotekarzy
• kodeks powstał pod redakcją Sylwii Czub-Kiełczewskiej i dr Łukasza Wojciechowskiego we współpracy z SBP
• rozpoczyna się powszechny etap konsultacji treści kodeksu – każda zainteresowana osoba może przekazywać swoje uwagi merytoryczne na adres Biura ZG SBP, które koordynuje przyjmowanie uwag i zgłoszeń od pracowników bibliotek
• uwagi należy nadsyłać na adres e-mail: (z wpisaniem tematu treści e-maila: Konsultacje RODO dla bibliotek) do dnia 10 marca 2020 r.

Źródło: http://www.sbp.pl/artykul/?cid=22103

• badanie stanu trzeźwości pracownika może przeprowadzić policja, ale nie pracodawca – twierdzą Prezes UODO i resort pracy
• eksperci są innego zdania – uważają, że dbałość o bezpieczeństwo pracy pozwala pracodawcom na weryfikację stanu trzeźwości pracownika i jego zdolności do pracy i to nie tylko przed i po pracy, ale także w trakcie
• Katarzyna Siemienkiewicz, ekspert ds. prawa pracy Pracodawców RP wskazała, że komunikat UODO wywołał wśród pracodawców ogromne zaniepokojenie i większość schowała alkomaty do szuflady w obawie przed wysokimi karami – Pracodawcy mówią, że wyrywkowe badanie trzeźwości pracowników było istotnym narzędziem zapewniającym bezpieczeństwo w miejscu pracy. Pozwoliło zapobiec wielu niebezpiecznym sytuacjom, które mogło spowodować wykonywanie pracy przez nietrzeźwego pracownika. W szczególności w branży transportowej i produkcyjnej
• Weryfikacja stanu trzeźwości często nie jest podyktowana tylko uzasadnionym interesem pracodawcy, ale szerzej względami interesu publicznego, ochrony zdrowia współpracowników i osób trzecich – dodaje Robert Lisicki, dyrektor Departamentu Pracy konfederacji Lewiatan
• zdaniem ekspertów, ochrona danych osobowych nie może stać na przeszkodzie ochronie takich nadrzędnych wartości, jak życie i zdrowie
• w przypadku wątpliwości co do stanu trzeźwości pracownika, pracodawca ma prawo odsunąć go od wykonywania pracy – wtedy pracownik może dobrowolnie poprosić o badanie, by zakwestionować odsunięcie od pracy, a rak inicjatywy pracownika może być uznany za potwierdzenie „bycia pod wpływem”, a to może rodzić ryzyko dyscyplinarnego zwolnienia

Źródło: https://www.prawo.pl/kadry/pijany-pracownik-co-moze-zrobic-pracodawca,497826.html

• w ciągu kolejnych sześciu miesięcy w ramach pilotażu, w wybranych oddziałach banku PKO BP, na oznaczonych stanowiskach zainstalowano sensory, które w czasie rzeczywistym analizują pozytywne emocje doradców i ich klientów
• rozwiązanie ma wymiar społeczny, ponieważ za każdy uśmiech klienta bank przeznacza drobną kwotę na lokalny cel charytatywny – z kolei doradcy biorący udział w testach, za okazywanie uśmiechu otrzymują punkty, które mogą wymieniać na nagrody
• podczas konferencji prasowej prezes PKO Banku Polskiego poinformował, że projekt liczenia uśmiechów nie budzi zastrzeżeń PIP
• wniosek o zbadanie sprawy skierował do Państwowej Inspekcji Pracy Rzecznik Praw Obywatelskich, który zwrócił uwagę, że system może wkraczać w prywatność i godność pracownika i to pomimo tego, że w testach brali udział ochotnicy, stanowiska korzystające z tych rozwiązań były specjalnie oznaczone w oddziałach, a sensory zliczały wyłącznie uśmiechy
• System nie operuje na danych osobowych, a jedynie na danych wywnioskowanych i zanonimizowanych. Sensor bada jedynie zestaw cech, które mogą wskazywać na uśmiech, a nie analizuje uśmiechów konkretnych osób – informował ponad rok temu Bartosz Rychlicki, CEO dostawy systemu
• RPO w swoich wątpliwościach powołał się na kodeks pracy, który nie dopuszcza wykorzystywania przez pracodawcę monitoringu do oceny pracowników – ponadto generalny zakaz przetwarzania danych biometrycznych wprowadziło RODO
• PIP nie znalazła jednak podstaw do stwierdzenia łamania godności i prywatności pracowników PKO BP

Źródło: https://www.sztucznainteligencja.org.pl/liczenie-usmiechow-nie-lamie-prawa/

• oprogramowanie umożliwiające identyfikację osób znajdujących się w tłumie oraz łączenie ich z policyjnymi bazami danych budzi obawy MSP, czyli członków szkockiego parlamentu – wskazane zagrożenia dotyczą prawa do prywatności oraz praw człowieka
• rozpoznawanie twarzy w czasie rzeczywistym przy pomocy dedykowanej technologii zostało ujęte w 10-letnim planie szkockiej policji
• w związku z planowanym wdrożeniem oprogramowania podkomitet sprawiedliwości ds. policji wystosował raport, w którym stwierdził, że obrany kierunek stanowi odejście od zasady ścigania za zgodą, która od zawsze była fundamentalna
• w raporcie zaznaczono, że technologia budzi wątpliwości związane z możliwością dyskryminacji kobiet oraz członków mniejszości etnicznych, w tym czarnoskórych oraz Azjatów
• kontrowersje oraz zagrożenia związane z nadużywaniem systemu sprawiły, że realizacja projektu może zostać wstrzymana na czas 5 lat przez Komisję Europejską
• okres ten ma za zadanie umożliwić ustawodawcom rozwiązanie powyższych problemów

Źródło: https://gdpr.pl/aktualnosci/technologia-rozpoznawania-twarzy-w-czasie-rzeczywistym-budzi-obawy-szkockiego-parlamentu

• przed nami okres rozliczeniowy podatku dochodowego za rok 2019 – wielu podatników przekaże kwotę 1% należnego podatku na organizację pożytku publicznego (OPP)
• przy tej okazji Prezes UODO przypomina, że jeżeli podatnik w rozliczeniu rocznym wyraził zgodę na przekazanie jego danych organizacji, to może ona je przetwarzać np. po to, by np. podziękować darczyńcy w imieniu obdarowanego
• przy wypełnianiu formularza, podatnik może wyrazić zgodę na przekazanie OPP swojego imienia, nazwiska, adresu oraz informacji o darowanej kwocie – podatnik może także wyrazić zgodę na przekazanie danych kontaktowych jak numer telefonu czy adres e-mail
• dane osobowe darczyńców 1 % podatku przekazywane są OPP przez naczelników urzędów skarbowych – uprawnia ich do tego art. 45c ust. 5 ustawy o podatku dochodowym od osób fizycznych
• OPP może przetwarzać dane darczyńcy np. po to, aby podziękować darczyńcy – podstawą do podjęcia takiego działania jest art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora
• na OPP, jako na administratorze ciążą liczne obowiązki wynikające z przepisów RODO – podstawowym jest obowiązek informacyjny, który OPP powinny spełnić przy pierwszym możliwym kontakcie, powinny zadbać o poinformowanie darczyńcy o przysługujących mu prawach

Źródło: https://uodo.gov.pl/pl/138/1387

sąd w Moskwie ukarał Twittera i Facebooka grzywną w wysokości 4 miliony rubli (62,840 dolarów) za odmowę przechowywania danych osobowych obywateli rosyjskich na serwerach w Rosji

• grzywny są pierwszymi tak wysokimi karami nakładanymi na firmy technologiczne od czasu przyjęcia przez Rosję szeregu przepisów prawnych mających na celu zwiększenie kontroli rządu nad działalnością online
• jeden z przepisów wymaga od firm technicznych utrzymywania serwerów w Rosji do przechowywania danych osobowych gromadzonych od obywateli rosyjskich
• rosyjski regulator Internetu Roskomnadzor od kilku lat bezskutecznie próbuje zmusić duże firmy, takie jak Facebook, Twitter i Google, do przeniesienia rosyjskich danych użytkowników do Rosji
• komentując czwartkowe orzeczenia sądowe, Roskomnadzor powiedział, że Twitter i Facebook zostaną ukarane grzywną w wysokości 18 milionów rubli (283 000 $), jeśli nie zastosują się do wymagań w tym roku
• prawo zezwala rosyjskim organom na zablokowanie usług internetowych, które nie spełniają wymogu przechowywania danych w Rosji – dotychczas tylko sieć społecznościowa LinkedIn została zablokowana
• powszechnie wiadomo, że zablokowanie Facebooka lub Google wywołałoby zbyt duże oburzenie, aby władze zdecydowały się na ten krok

Źródło: https://www.marketwatch.com/story/russian-court-fines-facebook-twitter-over-data-storage-2020-02-13

nawet jednorazowa wiadomość stanowiąca tzw. spam prowadzi do naruszenia dóbr osobistych takich jak spokój wewnętrzny człowieka, prywatność czy swoboda korespondencji – stwierdził Sąd Rejonowy dla Warszawy-Woli w Warszawie i zasądził na rzecz powoda zadośćuczynienie w kwocie 500 zł

• sprawa dotyczyła mężczyzny, który domagał się zadośćuczynienia za naruszenie dóbr osobistych – miało do niego dojść wskutek wysyłania wiadomości na jego pocztę e-mailową, które stanowiły tzw. niezamówioną informację handlową
• mężczyzna wskazywał, że spam uniemożliwia mu sprawne korzystanie z komputera i telefonu, wiadomości burzą jego spokój wewnętrzny, a on sam jest zmuszony do ciągłego kasowania przychodzącego spamu, co zajmuje mu nie tylko jego czas wolny, ale rodzi również ryzyko omyłkowego skasowania ważnych dla niego informacji
• pozwana spółka wskazywała, że sporny e-mail nie identyfikował powoda, jak również nie był on przez niego używany do celów prywatnych – jej zdaniem ustawa o świadczeniu usług drogą elektroniczną tworzy mechanizmy, których celem jest zabezpieczenie oznaczonych osób fizycznych, nie ma więc zakazu przesyłania takich informacji na neutralne adresy e-mail
• spółka podniosła również, że powód nie udowodnił, aby otrzymał więcej niż jednego emaila zawierającego ofertę pozwanego, a nie sposób traktować jednej takiej wiadomości w kategorii działań naruszających dobra osobiste – sąd nie podzielił jednak jej argumentów

Źródło: https://prawo.gazetaprawna.pl/artykuly/1453955,zadoscuczynienie-spam-wyrok-dobra-osobiste-poczta-elektroniczna-e-mail.html?fbclid=IwAR10mPMGHVpbp3VR1V0f9r0opjg-lDOflfS8iST-pyztjnLMwOn9-L6rOeo

• 18 lutego Ergo Hestia rozesłała do swoich klientów informację o tym, że w wyniku “nieautoryzowanego dostępu do systemu informatycznego” dane osobowe klientów zostały utracone, a mogły także zostać wykradzione
• Incydent miał miejsce 11 lutego i dotyczył agenta Ergo Hestii — firmy Unilink S.A.
• zakres danych, które znajdowały się w utraconej/wykradzionej bazie to: imię i nazwisko, adres zamieszkania, PESEL, data urodzenia, płeć, adres e-mail (o ile został podany)
• w swoim powiadomieniu Ergo Hestia wymienia dokładnie wszelkie możliwe ryzyka na które narażeni zostali jej klienci, w tym m.in. Wskazuje na szkody majątkowe (lub niemajątkowe), takie jak kradzież tożsamości lub strata finansowa

Źródło: https://niebezpiecznik.pl/post/ergo-hestia-stracilo-dane-klientow-a-mogly-one-tez-zostac-wykradzione/

• Prezes UODO mógł zastosować przepisy RODO przed wejściem w życie ustawy o ochronie danych osobowych z maja 2018 r. do rozpoczętego a nie zakończonego postępowania z 2017 r. – tak stwierdził Wojewódzki Sąd Administracyjny w Warszawie i oddalił skargę
• sytuacja miała miejsce kwietniu 2017 r. – Beata S. złożyła wniosek do Centrum Ratownictwa w Gliwicach o udostępnienie informacji o ocenach okresowych byłej zatrudnionej w tym ośrodku – Moniki M.
• dyrektor Centrum stwierdził, że żądana informacja nie jest publiczną i odmówił przekazania danych, jednocześnie poinformował on Monikę M. o tym, że wnioskodawczyni chce dowiedzieć się o przebiegu jej pracy i ocenach okresowych – przy okazji wysyłanych pism „do wiadomości zainteresowanej” dyrektor Centrum podał imię i nazwisko oraz PESEL Beaty S. a ta poskarżyła się UODO, powołując się na przepisy RODO
• w decyzji z maja 2019 r. UODO wskazał, że żadna z przesłanek zgodności z prawem nie miała miejsca i ukarał dyrektora upomnieniem
• na tę decyzję poskarżył się dyrektor Centrum – zarzucił, że działanie było legalne, gdyż Monika M. była stroną w sprawie i musiała być poinformowana o wpłynięciu wniosku, a także, iż do tej sprawy nie stosuje się RODO, lecz poprzednio obowiązującą ustawę z 1997 r.
• WSA oddalił skargę jako nieuzasadnioną, jego zdaniem nie było zatem podstaw do przetwarzania danych osobowych osoby trzeciej, a RODO ma zastosowanie wprost do tej sprawy

Źródło: https://www.prawo.pl/kadry/bezprawne-podanie-pesel-przez-bylego-pracodawce-rodo-mialo,497955.html?utm_medium=email&utm_source=WKPL_MSG_NSL_NRODO-19-02-20_EML&utm_campaign=WKPL_MSG_NSL_NRODO-19-02-20_OTH%2FWKC0117018&utm_source_system=Eloqua&utm_econtactid=CWOLT000008144854

• islandzki organ ochrony danych osobowych (Persónuvernd) rozstrzygnął sprawę dotyczącą listy zwolnień lekarskich pracowników, która została wywieszona przez kierownika hotelu w kuchni hotelowej
• lista nieobecności została zawieszona w miejscu dostępnym dla wszystkich pracowników hotelu
• islandzki organ wskazał, że chociaż rejestracja zwolnienia chorobowego była objęta sektorowym prawem pracy, a zatem miała podstawę prawną na podstawie art. 9 RODO, bezpieczeństwo przetwarzania nie było zapewnione zgodnie z art. 5 ust. 1 lit. f) RODO

Źródło: https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_-_nr._2019/0490&oldid=8854

• zapowiedź premiera Borisa Johnsona o własnej polityce ochrony danych w Wielkiej Brytanii może mieć znaczące skutki dla biznesu
• Boris Johnson składając taką deklarację liczy na przyciągnięcie korporacji z USA oraz start-upów, które chcą rozwijać sztuczną inteligencję (AI)
• AI bazuje na ogromnej ilości danych – im ma ich więcej, tym szybciej się uczy, problem w tym, że RODO utrudnia dostarczanie danych, bo wymusza pozbawienie ich wszelkich oznaczeń pozwalających na identyfikację użytkowników, a anonimizacja oznacza zubożenie danych, co z perspektywy uczenia maszynowego jest niekorzystne
• Wielka Brytania ma szansę przygotować takie regulacje, które ułatwią przetwarzanie posiadanych informacji na potrzeby rozwoju sztucznej inteligencji, czy Internetu rzeczy
• nowe  przepisy mogą też przewidywać niższe kary za naruszenie ochrony danych, co też może skłonić firmy do inwestowania w Wielkiej Brytanii
• z punktu widzenia firm problemem będzie również to, że po 1 stycznia 2021 roku Wielka Brytania stanie się tzw. krajem trzecim, a to oznacza, że firmy, które transferują dane na Wyspy, muszą zadbać o jego legalność, np. podpisując umowę w oparciu o standardowe klauzule przygotowane przez Komisję Europejską

Źródło: https://www.prawo.pl/biznes/wielka-brytania-bez-rodo-po-brexicie-atrakcyjna-dla-firm,497748.html

• wprowadzaniu przepisów RODO towarzyszyło wiele absurdów związanych z nieprawidłową ich interpretacją – od tamtej chwili minęło sporo czasu, a jednak nadal dochodzi do absurdalnych sytuacji, które nie wynikają z przepisów a nadgorliwości czy niewiedzy
• nie brakowało i nie brakuje ich także w Kaliszu i powiecie kaliskim:

1) w konkursie zwyciężył nr 1987 – jedna z kaliskich szkół ogłosiła wyniki konkursu w taki sposób, że zamiast imion i nazwisk laureatów podano numery przypisane uczestnikom na czas konkursu

2)lepiej nie eksponować okładek książek, bo RODO  – w jednej z placówek promujących czytelnictwo miała miejsce dyskusja na temat czy promując na stronie Internetowej nowo zakupione książki można zamieścić scan czy też zdjęcia okładek i czy, aby na to nie potrzebna byłaby zgoda

3)RODO w przychodniach służby zdrowia – w jednej z przychodni kazano pacjentom podawać dane na karteczce aby inni ich nie słyszeli

4)nie dowiesz siew którym szpitalu jest twoje dziecko – autokar wiozący uczniów na wycieczkę w góry uległ wypadkowi i niektórzy rodzice nie mogli uzyskać telefonicznie informacji, do którego szpitala trafiły ich dzieci, a pracownicy szpitali zasłaniali się, oczywiście, RODO

5)RODO przekleństwem niepełnosprawnych – przed wejściem w życie przepisów RODO niepełnosprawni kierowcy w Krakowie, aby otrzymać zniżkę na abonament parkingowy składali wniosek zawierający informację, że są osobą niepełnosprawną, w nowej sytuacji zaczęto stosować regułę, że w świetle przepisów RODO urzędnikom nie wolno gromadzić takich informacji i przestano przyjmować wnioski

6)przez  RODO  zamknięto cmentarz – w jednym z miast administrator cmentarza zorientował się, że na niektórych tablicach widnieją dane bez daty śmierci, bo właściciele kwater jeszcze żyją, jego reakcja była natychmiastowa i w ramach ochrony danych osobowych tych ludzi zamknął cmentarz

Źródło: https://zyciekalisza.pl/artykul/rodo–kopalnia-absurdow/929940

• Rzecznik MŚP proponuje zmiany w przepisach dotyczących RODO – jego zdaniem przedsiębiorcy powinni zostać wyłączeni w jak najszerszym zakresie z obowiązków informacyjnych wynikających z RODO
• pismem z dnia 21 lutego 2020 r. Rzecznik MŚP wystąpił do Ministra Cyfryzacji z wnioskiem o podjęcie niezbędnych działań legislacyjnych mających na celu ograniczenie obowiązków informacyjnych wynikających z art. 13 i 14 RODO względem przedsiębiorców z sektora MŚP
• w ocenie Rzecznika MŚP powyższe mogłyby zostać ograniczone do obowiązku wywieszenia w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienia na stronie internetowej stosownych informacji
• jednocześnie, mając na uwadze zbliżający się termin przedłożenia oceny i przeglądu RODO przez Komisję Europejską, zdaniem Rzecznika MŚP zasadnym jest zaprezentowanie na forum unijnym projektu całkowitego wyłączenia, a względnie jak najszerszych wyłączeń dla przedsiębiorców z sektora MŚP w zakresie obowiązków wynikających z RODO

Źródło: https://rzecznikmsp.gov.pl/rzecznik-msp-proponuje-korzystne-dla-przedsiebiorcow-z-sektora-msp-zmiany-w-przepisach-dotyczacych-rodo/  https://serwisy.gazetaprawna.pl/msp/artykuly/1455567,rodo-obowiazki-informacyjne-wylaczenie.html

• globalna epidemia może stanowić uzasadnienie dla zbierania pewnych danych osobowych, w tym danych, których zbieranie jest co do zasady wyłączone
• na lotnisku Chopina w Warszawie pasażerowie zobligowani są do wypełnienia tzw. Karty Lokalizacji Pasażera
• Karta ta nie spełnia wymogów art. 13 RODO – nie zawiera np. informacji o tym, jak długo dane są przetwarzane, kto jest ich administratorem ani komu mogą zostać przekazane, takich informacji nie udziela również personel pobierający karty, który twierdzi, że ich wypełnienie jest obowiązkowe, a w razie odmowy wypełnienia –grozi odmową wypuszczenia z samolotu
• ochrona zdrowia publicznego nie może naruszać prawa do prywatności, jednak należy zauważyć, że sytuacje szczególnego zagrożenia dla zdrowia, życia ludzkiego czy bezpieczeństwa państwa mogą być uzasadnieniem, dopuszczalnym także przez prawo unijne, do ograniczenia wspomnianego prawa, ale pod warunkiem przyjęcia środków adekwatnych i niezbędnych
• globalna epidemia może stanowić uzasadnienie dla zbierania pewnych danych osobowych, w tym danych, których zbieranie jest co do zasady wyłączone – czyli danych szczególnych
• ich zbieranie jest uzasadnione tylko w wyjątkowych sytuacjach, kiedy wymaga tego konkretny, uzasadniony cel – nie zmienia to jednak faktu, że w sytuacji nadzwyczajnej, nadal muszą istnieć gwarancje ochrony tychże danych

Źródło: https://www.rp.pl/Dane-osobowe/302269950-Koronawirus-a-RODO-co-z-nasza-prywatnoscia-podczas-epidemii.html

• do Prezesa UODO wpłynęła prośba Ministra Cyfryzacji dotycząca oceny planowanych działań związanych z epidemią koronawirusa
• „W świetle ostatnich wydarzeń związanych z rozprzestrzenianiem się wirusa, polski rząd zauważa potrzebę podjęcia pilnych działań nakierowanych na informowanie osób przybywających do Polski o zalecanych działaniach, jakie należy podjąć w przypadku podejrzenia zarażenia” – czytamy
• w związku z tym, Minister Cyfryzacji zwrócił się z prośbą o ocenę planowanych działań pod kątem zgodności z obowiązującymi przepisami z zakresu ochrony danych osobowych
• Prezes UODO, mając na uwadze powagę sytuacji, uznał, że przy przesyłaniu przez przedsiębiorców telekomunikacyjnych komunikatów związanych z rozprzestrzenianiem się koronawirusa 2019-nCoV do wszystkich użytkowników telefonów komórkowych wjeżdżających do Polski, powinny mieć zastosowanie przepisy ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
• w szczególności art. 21a tej ustawy wskazuje na obowiązek wysyłania komunikatów o zagrożeniu wystąpieniem sytuacji kryzysowej przez operatorów sieci telekomunikacyjnej na żądanie dyrektora Rządowego Centrum Bezpieczeństwa
• w opinii organu nadzorczego, przy zachowaniu ścisłych procedur wynikających z ww. aktu prawnego, przesyłanie wiadomości przez operatorów telekomunikacyjnych nie narusza RODO

Źródło: https://uodo.gov.pl/pl/138/1445

• do 6 kwietnia 2020 r. Europejska Rada Ochrony Danych przyjmuje uwagi do wytycznych 2/2020 w sprawie stosowania art. 46 ust. 2 lit. a) i art. 46 ust. 3 lit. b) RODO – chodzi o przekazywanie danych osobowych między państwami trzecimi lub organizacjami międzynarodowymi z EOG i spoza EOG
• konsultowane wytyczne EROD przyjęła podczas lutowego posiedzenia plenarnego – zalecają, które zabezpieczenia należy wdrożyć w prawnie wiążących instrumentach – art. 46 ust. 2 lit. a), lub w uzgodnieniach administracyjnych – art. 46 ust. 3 lit. b), aby zapewnić, że poziom ochrony osób fizycznych przewidziany w RODO będzie osiągnięty, a nie osłabiony
• uwagi do wytycznych należy przesłać najpóźniej do 6 kwietnia 2020 r., korzystając z formularza dostępnego na stronie internetowej Rady: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form?node=514

Źródło: https://uodo.gov.pl/pl/138/1440

• WSA oddalił skargę DZPN na decyzję prezesa UODO z 25 kwietnia 2019 roku która nałożyła 55 750,50 zł kary za naruszenie RODO, chodziło o ujawnienie w sieci danych 585 osób, którym przyznano licencje sędziowskie w 2015 roku
• obowiązek opublikowania nazwisk i adresów sędziów piłkarskich na stronach internetowych związku wynikał z uchwały podjętej przez PZPN
• ujawnienie danych trwało od 2015 do 2018 rok, ale jak stwierdził urząd było niezawinione, a związek zgłosił naruszenie przepisów RODO już w lipcu 2018 roku i wskazał, że usunął dane ze swoich stron internetowych, a także powiadomił sędziów piłkarskich o naruszeniu oraz zwrócił się do właścicieli wyszukiwarek internetowych o usunięcie archiwalnych wyników wyszukiwania
• jednak wyszukiwarka Google nadal odsyłała do wykasowanych tekstów, a Prezes UODO, mimo że związek podjął kolejne działania zmierzające do zminimalizowania negatywnych skutków naruszenia, zdecydował się na nałożenie kary finansowej
• WSA oddalił skargę DZPN jako niezasadną – zaznaczył, że zgodnie z RODO przetwarzanie danych osobowych musi być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, a tej minimalizacji danych Związek nie zachował
• chybionym zarzutem okazał się też argument o odpowiedzialności Google za niewyeliminowanie zabronionej treści, gdyż za drugim razem w styczniu 2019 r. po naciskach ze strony urzędu – udało się zmusić tego administratora do wykasowania nazwisk
• sąd potwierdził, że nałożona kara jest adekwatna, skuteczna i prewencyjna, czyli ma odstraszać inne firmy i organizacje przed naruszeniami

Źródło: https://www.prawo.pl/prawo/kara-za-zlamanie-przepisow-rodo-winny-zwiazek-pilki-noznej-nie,498253.html

• w czasie kampanii wyborczej na Prezydenta RP komitety wyborcze, działając na obszarze całego kraju, będą przetwarzać na dużą skalę dane osobowe, w tym dane szczególnej kategorii
• Prezes UODO przypomina o ciążącym na nich obowiązku przetwarzania ich zgodnie z prawem i wdrożenia adekwatnych środków zapewniających odpowiedni poziom ochrony danych, w szczególności komitety powinny zwrócić uwagę na takie działania jak:

1)kto ma dostęp do danych – komitety wyborcze mogą przekazywać przetwarzane przez siebie dane osobowe pozyskane bezpośrednio na podstawie przepisów Kodeksu wyborczego (np. dane osobowe z list poparcia) wyłącznie organom wskazanym w przepisach prawa wyborczego

2)działania marketingowe w sieci – wykorzystując reklamy internetowe i media społecznościowe konieczne jest, obok stosowania zabezpieczeń, realizowanie obowiązków informacyjnych i sprawne reagowanie na żądania osób, których dane dotyczą

3)obowiązek dokonania oceny skutków dla ochrony danych – komitety wyborcze muszą też pamiętać, że w związku z tym, iż przetwarzają na dużą skalę dane osobowe szczególnych kategorii, mają obowiązek przeprowadzenia oceny skutków dla ochrony danych

• dobrym i rekomendowanym przez Prezesa UODO postępowaniem jest powołanie przez komitet wyborczy inspektora ochrony danych, który będzie wspierał go jako administratora w wypełnieniu jego obowiązków w zakresie ochrony danych osobowych wynikających z RODO

Źródło: https://uodo.gov.pl/pl/138/1444

• mieszkańcy największych osiedli w Kędzierzynie-Koźlu zwrócili uwagę, że od pewnego czasu z domofonów zaczęły znikać ich nazwiska
• „Pozostaną tylko numery mieszkań” – tłumaczy Wiesław Bryła, wiceprezes spółdzielni
• wszystko z powodu obowiązujących przepisów RODO – na domofonach będą ujawnione nazwiska tylko tych osób, które wyrażą na to pisemną zgodę
• proces „wymazywania” nazwisk z kaset domofonów potrwa do lipca – mieszkańcy mówią, że ujawnienie ich danych nie przeszkadzało im przez ostatnie 25 lat, kiedy to wprowadzono domofony
• podobnie jest na wielu innych opolskich osiedlach. Nazwiska albo już zniknęły, albo niebawem się to stanie. Na takie działania naciskało Ministerstwo Cyfryzacji.
• „Chodzi o zasadę minimalizmu, która mówi, że zbierane dane muszą być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Podawanie nazwisk na domofonach stoi w sprzeczności z tą regułą” – napisał resort w swoim oficjalnym komunikacie

Źródło: https://nto.pl/nazwiska-lokatorow-znikaja-z-domofonow-wszystko-przez-rodo/ar/c9-14812746

• 9 lutego Ministerstwo Edukacji i Szkolnictwa Wyższego potwierdziło, że dane osobowe dotyczące ok. 50 tys. kanadyjskich nauczycieli zostały skradzione
• Ministerstwo zapewnia, że dołożono wszelkich starań, aby odpowiednio wspierać i kierować osobami, które mogły zostać dotknięte naruszeniem – zainteresowani otrzymają pismo informujące o środkach do podjęcia i dostępnych zasobach
• w celu ich ochrony zostaną im zaoferowane usługi firmy monitorującej kredyty, których koszty pokryje rząd
• według najnowszych informacji dotyczy to 51 400 osób. Dochodzenie jest jednak nadal w toku
• do tej pory około 400 nauczycieli złożyło skargi i stwierdziło, że skradziono ich tożsamość

Źródło: https://www.quebec.ca/en/education/data-breach-ministere-education-enseignement-superieur/

• francuski sąd anulował decyzję południowo-wschodniego regionu Francji o przeprowadzeniu serii testów przy użyciu rozpoznawania twarzy przy wejściu do dwóch szkół średnich, uznając, że byłoby to nielegalne
• w grudniu 2018 r. Region PACA postanowił przeprowadzić testy rozpoznawania twarzy przy wejściu do liceum w Nicei oraz w liceum w Marsylii
• FRT były używane przy bramach dwóch placówek, przyznając lub odmawiając dostępu uczniom obu szkół i zostały wprowadzone, aby pomóc personelowi w kontrolowaniu, czy wejdą tylko uprawnieni uczniowie i aby uniknąć kradzieży lub niewłaściwego użycia dowodów tożsamości
• próby były rzekomo oparte na zgodzie zaangażowanych studentów
• trzy organizacje pozarządowe i federacja rodziców uczniów szkół publicznych Alpes-Maritimes, zakwestionowały legalność tej decyzji
• francuski organ ochrony danych (CNIL) wyraził duże obawy związane z takim systemem wdrażającym systemy uwierzytelniania rozpoznawania twarzy dla dzieci celem kontroli dostępu do szkół
• sąd administracyjny w Marsylii uchylił decyzję regionu – uznał, że otrzymanie zgody przez zwykłe podpisanie w formie od studenta lub jego opiekuna prawnego nie jest wystarczające, aby spełnić warunki określone w RODO oraz potwierdził potrzebę dokładnej oceny proporcjonalności przetwarzania i postepowania zgodnie z interpretacją CNIL w tej kwestii oraz wymogiem RODO w zakresie stosowania mniej ingerujących środków

Źródło: https://ai-regulation.com/first-decision-ever-of-a-french-court-applying-gdpr-to-facial-recognition/