Naruszenie RODO w SGGW – zapowiada się kolejna kara od UODO? Jak minimalizować ryzyko kradzieży tożsamości? Za co Prezes UODO nałożył karę pieniężną w wysokości ponad 201 tys. zł? Czy w celu realizacji obowiązków wynikających z PPK można przekazać wybranej instytucji finansowej adres e-mail i numer telefonu pracownika? Jakie kryteria bierze pod uwagę Prezes UODO podczas nakładania administracyjnych kar pieniężnych? Za co Edward Snowden krytykuje RODO? Ile naruszeń RODO zostało do tej pory zgłoszonych do UODO? Czy firmy audytorskie są procesorem, czy administratorem? Co wykazała kontrola NIK w 24 polskich szpitalach? Czy Uber będzie nagrywał pasażerów i kierowców?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO z ostatnich trzech tygodni.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Czynności kontrolne w SGGW
- Prezes UODO otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych od Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie
- sprawa dotyczy kradzieży komputera przenośnego użytkowanego przez jednego z pracowników SGGW
- na dysku tego komputera znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w SGGW, takie jak dane identyfikacyjne: imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, czy wyniki uzyskane na egzaminie maturalnym
- Prezes UODO podjął czynności kontrolne, mające na celu ustalić, czy przetwarzanie danych w SGGW odbywa się zgodnie z RODO
Źródło: https://uodo.gov.pl/pl/138/1262
201 tys. zł za utrudnianie realizacji prawa do wycofania zgody
- Prezes UODO nałożył karę pieniężną w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych
- ukarana przez UODO spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby łatwe i skuteczne wycofanie zgody oraz realizację prawa do żądania usunięcia danych osobowych (prawa do bycia zapomnianym) – tym samym naruszyła określone w RODO zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych
- zdaniem UODO spółka naruszyła powyższe przepisy RODO, gdyż stosowany przez nią mechanizm wycofania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem zgody – po uruchomieniu linku, komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd
- ponadto spółka wymuszała podanie przyczyny wycofania zgody, a prawo tego nie wymaga – co więcej, brak wskazania przyczyny skutkował przerwaniem procesu wycofania zgody
- ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary
Źródło: https://uodo.gov.pl/pl/138/1246
PPK: adres e-mail i numer telefonu można przekazać wybranej instytucji finansowej
- Prezes UODO informuje, że pracodawca w związku z obowiązkiem zawarcia umowy o prowadzenie Pracowniczych Planów Kapitałowych z wybraną instytucją finansową, musi jej przekazać numer telefonu i adres e-mail pracownika – jeżeli dysponuje tymi danymi
- Pracodawca ma obowiązek prawny do pozyskania danych osobowych uczestnika PPK takich jak adres poczty elektronicznej oraz numer telefonu i przekazania tych danych do wybranej instytucji finansowej – takie dane stanowią załącznik do umowy o prowadzenie PPK i zgodnie z ustawą są uznane za dane identyfikujące uczestnika PPK
- pamiętać przy tym należy, że takich danych jak adres poczty elektronicznej i numer telefonu pracownik nie musi posiadać – w polskim systemie prawnym nie istnieje, żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji
- dysponowanie adresem poczty elektronicznej i telefonem jest i powinno pozostać dobrowolne
- należy pozostawić obywatelowi wybór podawania takich danych
Źródło: https://uodo.gov.pl/pl/138/1251
Jak Prezes UODO nakłada administracyjne kary pieniężne?
- Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy – każda sytuacja jest badana przez organ nadzorczy indywidualnie
- Prezes UODO, wydając decyzję w konkretnej sprawie, analizuje stan faktyczny i prawny na dzień jej wydania
- nawet w przypadku dwóch podobnych zdarzeń, w jednym może zostać nałożona administracyjna kara finansowa, a w drugim nie – przesądzić bowiem o tym mogą specyficzne okoliczności związane z tymi sprawami
- kary pieniężne mają być skuteczne, odstraszające i proporcjonalne – dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników
- Prezes UODO bierze pod uwagę ww. czynniki zarówno wtedy, gdy decyduje o zasadności nałożenia administracyjnej kary pieniężnej, jak i wtedy, gdy określa jej wysokość
- równowartość wyrażonych w euro kwot administracyjnych kar pieniężnych oblicza się według średniego kursu euro ogłaszanego przez NBP w tabeli kursów na dzień 28 stycznia każdego roku, kiedy obchodzony jest Dzień Ochrony Danych Osobowych
- środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa – nie zasilają one samego Urzędu
Źródło: https://uodo.gov.pl/pl/138/1244
Kary w umowach powierzenia przetwarzania danych osobowych
- jednym z dylematów, które przynosi praktyka stosowania RODO jest skuteczności kar umownych zawieranych w umowach powierzenia przetwarzania danych
- podstawowym problemem jest jednoznaczne określenie charakteru umowy powierzenia – zazwyczaj określa się ją jako umowę nazwaną prawa cywilnego
- niemniej jednak w zasadniczym zakresie wykazuje ona jednak cechy umowy prawa publicznego – w tym wypadku zaś nie można do takiej umowy stosować instytucji kodeksu cywilnego, które dotyczą niewykonania zobowiązań
- tym samym, nawet jeśli umowa przetwarzania danych uszczegółowia obowiązki wynikające z RODO, to zapisy takie nie czynią jej umową prawa cywilnego, a to prowadzi do wniosku, że nieskuteczne jest wpisywanie do takich umów kar umownych
- niemniej mimo nieskuteczności zastrzeżenia kar umownych podmiot przetwarzający dalej ponosi odpowiedzialność – odpowiada on karno-administracyjnie, a czasem wręcz karnie, a w sferze prawa cywilnego odpowiada na zasadzie ryzyka, choć z niewielkimi odrębnościami w stosunku do kodeksu cywilnego i to również wprost w stosunku do podmiotu danych
Snowden krytykuje RODO
- podczas konferencji w Lizbonie Edward Snowden przyznał, że wielkie firmy technologiczne sprawiają, że społeczeństwo staje się podatne na zagrożenia, a dzieje się tak poprzez nadmiarowe gromadzenie danych i udzielanie przez koncerny pozwolenia na dostęp do nich rządowym agencjom
- Snowden nazwał RODO „papierowym tygrysem” – bo do tej pory za naruszenie przepisów „nie zostały orzeczone żadne istotne kary”
- zdaniem Snowdena prawo powinno regulować gromadzenie danych, a w dalszej kolejności odnosić się do ich ochrony
- jak wskazał Snowden, w idealnym świecie użytkownicy nie musieliby pokładać zaufania w firmach technologicznych, którym przekazują dane, gdyż ich szerokie udostępnianie nie byłoby wymagane
- w obecnej sytuacji „tylko sami użytkownicy mogą się ochronić” przed nadużyciami – ocenił Edward Snowden
Źródło: https://biznes.radiozet.pl/News/Snowden-Web-Summit-2019.-Facebook-Amazon-i-Google-a-ochrona-danych
Fotorejestratory za 28 mln zł stoją nieużywane – „bo RODO”
- w Białymstoku znajduje się pięć fotorejestratorów, które na skrzyżowaniach wyłapywały kierowców przejeżdżających na czerwonym świetle – w obawie przed złamaniem przepisów RODO, miasto boi się jednak ich dalej używać
- problem polega na tym, że o ile zdjęcia mogą być wykonywane, o tyle Białystok nie posiada uprawnień do gromadzenia danych osobowych, które wynikają z zarejestrowania zdjęć i wideo
- Urząd miasta, który wydał na system i kamery 28 mln złotych chciał przekazać wszystko białostockiej policji lub Głównemu Inspektoratowi Transportu Drogowego, ale te nie przejęły urządzeń
- Rzeczywiście, mamy stanowiska polskiego urzędu, które mówią o tym, że miasto powinno wstrzemięźliwie podchodzić do gromadzenia wizerunków osób, uwiecznionych przez taki fotoradar, ale już numery rejestracyjne pojazdu, jego kolor, jak najbardziej mogą być uwiecznione – zapewnił dr Kawecki
- w takim wypadku wystarczające ma być zamazanie widocznych na materiale twarzy
- Jeżeli dostajemy zdjęcie z fotoradaru razem z mandatem na przykład w Warszawie, to widzimy, że nasz wizerunek jest zamazany. Jest taka biała plamka, która jest wynikiem tego orzecznictwa, które się utrwaliło. Ale nikt nie zdejmuje fotoradarów – dodaje dr Kawecki
Revolut będzie udostępniać dane
- Revolut poinformował że wprowadza zmiany w polityce ochrony prywatności – zmiany wchodzą w życie od 12 listopada
- zmiany będą skutkować tym, że dane będą udostępniane innym firmom, w tym serwisom społecznościowym i firmom analitycznych (w celach marketingowych) – taki dostęp można wyłączyć udając się do sekcji Ustawienia i następnie Prywatność
- Revolut wyjaśnia, że część danych trafi również do biur informacji kredytowej (co ma na celu umożliwić lepszą ocenę sytuacji finansowej użytkowników) – zgodę na udostępnianie takich danych można wycofać poprzez kontakt z pomocą techniczną przez czat aplikacji
Ponad 7 tys. zgłoszonych naruszeń
- jak wynika z informacji pozyskanych przez TML-Gruszecki Law Firm (Technology & Media Law) w trybie dostępu do informacji publicznej, w okresie od 25.05.2018 r. do dnia 24.10.2019 r. do Prezesa UODO zostało zgłoszone 7130 naruszeń ochrony danych
- w ww. okresie PUODO skierował 975 pisemnych wystąpień, wskazujących na konieczność zawiadomienia o naruszeniu osób, których dane dotyczą lub ponownego zawiadomienia – w przypadku, kiedy takie zawiadomienie nie odpowiadało wymogom art. 34 RODO
- obowiązek zgłoszenia naruszenia ochrony danych osobowych do PUODO zachodzi, jeżeli jest prawdopodobne, że naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych
Kodeks postępowania dla oświaty
- rozpoczęły się prace nad kodeksem RODO dla placówek oświatowych
- inicjatorami prac są IOD z placówek oświatowych i administracji samorządowej
- patronat merytoryczny nad przedsięwzięciem objęła Kancelaria Gawroński & Partners S.K.A.i Good Data Protection Standard Sp. z o.o.
- inicjatorzy zapraszają do współpracy stowarzyszenia, organizacje oświatowe oraz jednostki publiczne odpowiedzialne za działalność szkół i przedszkoli do objęcia patronatem ich inicjatywy
Źródło: http://rodo-w-oswiacie.pl/
Firmy audytorskie są administratorami danych osobowych
- UODO udzielił odpowiedzi na pytanie, czy w świetle przepisów RODO firmy audytorskie i biegli rewidenci są „administratorami” czy też „podmiotami przetwarzającymi”
- zdaniem UODO, z uwagi na charakter relacji pomiędzy firmami audytorskimi oraz biegłymi rewidentami a ich klientami, firmy audytorskie występują w roli samodzielnych administratorów
- otrzymana interpretacja wymaga wprowadzenia odpowiednich zapisów w umowach o wykonanie usługi atestacyjnej (w tym badania sprawozdania finansowego)
- w Polskiej Izbie Biegłych Rewidentów trwają prace nad zmianą zapisów przykładowej umowy o badanie oraz przygotowaniem aneksu do zawartych już umów
Źródło: https://www.pibr.org.pl/pl/aktualnosci/1309,Firmy-audytorskie-sa-administratorami-danych-osobowych
NIK sprawdził RODO w szpitalach
- kontrola NIK wykazała, że rutyna i utarte schematy działania gubią personel szpitali, zobowiązany do dbałości o bezpieczeństwo danych osobowych i medycznych pacjentów
- tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania, które stwarzały warunki do odpowiedniego przechowywania dokumentacji medycznej oraz gwarantowały prawo pacjentów do prywatności w trakcie rejestracji lub na salach
- w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa UODO
- w 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach
- w siedmiu skontrolowanych szpitalach do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, np. salowe i sanitariusze
- nieprawidłowości w przetwarzaniu danych osobowych przez szpitale jest wiele – zdaniem NIK szpitale nie przygotowały się na wejście w życie przepisów RODO
Źródło: https://www.nik.gov.pl/aktualnosci/rodo-w-szpitalu.html
RODO a nagrywanie i transmisje z posiedzeń w samorządach
- minimalizacja danych, ich anonimizacja i zasady udostępniania nagrań – to tylko niektóre elementy, jakie muszą wziąć pod uwagę administratorzy w związku obowiązkiem nagrywania i transmisji obrad kolegialnych organów jednostek samorządu terytorialnego, czyli np. rad gmin, powiatu
- na szereg pytań dotyczących zaprojektowania przez administratorów procedur postępowania, realizacji nałożonych obowiązków na samorządy z uwzględnieniem RODO, Prezes Urzędu Ochrony Danych Osobowych odpowiada w zaprezentowanym materiale pt.: „Projektowanie ochrony danych osobowych w związku z transmisją i nagrywaniem obrad kolegialnych organów jednostek samorządu terytorialnego”
- w opracowanym dokumencie Prezes UODO wskazuje m.in., że przetwarzanie danych wszystkich tych osób w związku z ich uczestnictwem w obradach nie wymaga pozyskania ich zgody, gdyż przesłanką uprawniającą do ich przetwarzania jest niezbędność takiego działania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO), w związku z realizacją zasady dostępu do informacji publicznej
- cały materiał dostępny jest na stronie UODO: https://uodo.gov.pl/pl/138/1258
Znikające laptopy
- Dolnośląskie Centrum Onkologii we Wrocławiu poinformowało o kradzieży laptopa na którym zgormadzone zostały imiona, nazwiska, numery PESEL i dat urodzenia pacjentów i pracowników DCO
- sprawa dotyczy wszystkich pacjentów, którzy leczyli się w placówce od 2002 roku, a także pracowników – ich dane wyciekły, ponieważ zginął laptop pracownika zewnętrznej firmy informatycznej, która współpracuje z Dolnośląskim Centrum Onkologii
- sprawa dotyczy ok. 200 tys. osób
- do podobnej sytuacji doszło w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie
- zgodnie z zamieszczonym na stronie internetowej placówki komunikatem – w dniu 5 listopada 2019 r. miało miejsce zdarzenie kradzieży komputera przenośnego użytkowanego przez jednego z pracowników
- na dysku tego komputera znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w SGGW
Źródło: https://www.sggw.pl/aktualnosci/komunikat-o-naruszeniu-danych-osobowych https://gazetawroclawska.pl/z-dco-zginal-laptop-z-danymi-osobowymi-pacjentow-i-pracownikow/ar/c1-14576753
Nowa Opera pokaże, jak bardzo jesteś śledzony
- nowa wersja przeglądarki Opera umożliwi zapoznanie się z listą modułów śledzących, które mają dostęp do naszych danych przeglądania
- celem wprowadzenia tej funkcji jest zwiększenie świadomości użytkowników dotyczącej wszechobecnego śledzenia poczynań użytkowników w sieci
- przejrzenie danych dotyczących tego, jakie serwisy i jak bardzo śledzą użytkowników, ułatwiają unikanie szczególnie podejrzanych witryn
Źródło: https://www.tabletowo.pl/nowa-opera-65-pokazuje-liste-trackerow-strony/
Wytyczne EROD w sprawie zakresu terytorialnego
- Europejska Rada Ochrony Danych opublikowała Wytyczne 3/2019 w sprawie zakresu terytorialnego RODO – wersja 2.0 z dnia 12 listopada 2019, przyjęte po konsultacjach społecznych
Kontrola biletów a ochrona danych osobowych
- Prezes UODO przypomina, że uprawnienia kontrolera biletów określa ustawa Prawo przewozowe
- należy pamiętać, że kontroler biletów musi mieć w widocznym miejscu identyfikator wystawiony przez przewoźnika
- zgodnie z zasadą minimalizacji RODO kontroler może spisać dane adekwatne czyli takie, które są niezbędne do celu ich przetwarzania, w tym przypadku do wystawienia wezwania do zapłaty i ewentualnego dochodzenia roszczeń przez przewoźnika
- w praktyce, zakres danych pobieranych od podróżnego obejmuje: imię, nazwisko oraz adres, rodzaj, seria i numer dokumentu tożsamości
- spisanie danych osobowych z dokumentów tożsamości przez kontrolera biletów, powinno się odbywać w taki sposób, aby osoby postronne nie miały możliwości zapoznania się z widniejącymi tam (ewentualnie odczytywanymi) informacjami
- jeżeli w środku komunikacji publicznej nie ma możliwość spisania danych w taki sposób, aby inni pasażerowie się z nimi nie zapoznali, to takie czynności mogą być przeprowadzone na przystanku bez udziału osób trzecich
Źródło: https://uodo.gov.pl/pl/138/1261
Przetwarzanie danych osobowych przez firmy windykacyjne
- do UODO wpływają pytania dotyczące przetwarzania danych osobowych przez wierzycieli, firmy windykacyjne, czy komorników sądowych – pojawia się wiele kwestii dotyczących legalności sposobu przetwarzania danych dłużników, sprzedaży wierzytelności
- przy dochodzeniu roszczeń jedną z przesłanek dopuszczalności przetwarzania danych osobowych, w tym ich udostępniania, jest realizacja prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO)
- wierzyciele mogą dochodzić roszczeń, spłaty zadłużenia samodzielnie lub korzystając z pośrednictwa wyspecjalizowanych firm, a także mogą sprzedać dług innemu podmiotowi – zgodnie z Kodeksem Cywilnym, przetwarzanie danych osobowych w takim przypadku jest prawnie dopuszczalne i nie jest do tego potrzebna zgoda osoby, które dane dotyczą
- należy pamiętać, że jeżeli mamy dług to możemy zostać zgłoszeni do biura informacji gospodarczej – na nic się wówczas zdadzą nie tylko próby wycofania zgód na przetwarzanie naszych danych (nie jest ona w tym przypadku podstawą do przetwarzania danych), ale i żądania usunięcia naszych danych przez administratora, prowadzącego taki rejestr
- komornik sądowy przetwarza dane osobowe dłużnika w ramach prowadzonego postępowania egzekucyjnego na podstawie przepisów prawa, a konkretnie dwóch ustaw, Kodeksu postępowania cywilnego oraz ustawy o komornikach sądowych
Źródło: https://uodo.gov.pl/pl/138/1263
Konsultacje wytycznych w sprawie ochrony danych w fazie projektowania oraz domyślnej ochrony
- do 16 stycznia 2020 r. Europejska Rada Ochrony Danych (EROD) przyjmuje uwagi do Wytycznych 4/2019 w sprawie art. 25 RODO poświęconych ochronie danych w fazie projektowania oraz domyślnej ochronie danych.
- wytyczne zostały przyjęte przez EROD podczas posiedzenia plenarnego, które odbyło się w listopadzie br. Mają one na celu wyjaśnienie, w jaki sposób należy praktycznie interpretować art. 25 RODO oraz zapewnienie spójnego stosowania RODO w tym zakresie
- uwagi do wytycznych należy przesłać korzystając z formularza dostępnego na stronie internetowej Rady: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form_en?node=375
Źródło: https://uodo.gov.pl/pl/138/1266
Jak minimalizować ryzyko kradzieży tożsamości
- Prezes UODO udostępnił materiał video, w którym wskazuje jakie działania może podjąć każda osoba, która chce się chronić przed kradzieżą tożsamości
- w swoim materiale UODO m.in. przypomina:
- UWAŻAJ NA TO CO I KOMU UDOSTĘPNIASZ O SOBIE W INTERNECIE
- NIE ZOSTAWIAJ DOKUMENTÓW W ZASTAW
- NIE PODAWAJ DANYCH PRZEZ TELEFON
- UWAŻAJ NA FORMULARZE Z DANYMI
- NIE WYRZUCAJ DANYCH NA ŚMIETNIK
- USUWAJ TRWALE DANE Z NOŚNIKÓW
- UŻYWAJ PROGRAMÓW CHRONIĄCYCH KOMPUTER
- BĄDŹ CZUJNY W SIECI
- ZMIENIAJ HASŁA
- NIE PODAWAJ WSZELKICH DANYCH, KTÓRE POZWOLĄ NA TWOJĄ PEŁNĄ IDENTYFIKACJĘ
Źródło: https://uodo.gov.pl/pl/138/1267
WSA: Dane ujawnione w procesie karnym nie podlegają ochronie RODO
- Dyrektorka Centrum Pomocy Rodzinie nie naruszyła przepisów o RODO, ani polskiej ustawy wykorzystując dokumentację tego ośrodka w celu odpowiedzi na prywatny akt oskarżenia – orzekł WSA w Warszawie
- Grażyna i Stanisław M. złożyli skargę do prezesa UODO na działania dyrektorki Centrum Pomocy w Rodzinie z Lublina
- dyrektor użyła danych znajdujących się w aktach Centrum w celu własnej obrony w postępowaniu karnym – dokumentacja M. znalazła się w Centrum Pomocy ze względu na ubieganie się o ustanowienie rodziną zastępczą
- zdaniem państwa M. dyrektorka weszła w posiadanie dokumentacji rodzinnej bez podstawy prawnej
- Prezes UODO 17 kwietnia br. nie potwierdził zarzutu bezprawnego działania dyrektor CPR
- WSA w wyroku z 21 listopada oddalił skargę Grażyny i Stanisława M., gdyż nie doszło do naruszenia prawa w postaci bezprawnego przetwarzania danych ani udostępniania tych danych innym osobom.
- dyrektor miała prawo do obrony w postępowaniu karnym i dokumenty zawarte w zbiorach tej instytucji przetwarzała legalnie. Nie złamała także art. 6 ust. 1 RODO przekazując materiały rodziny M. radcy prawnemu, który podjął się obrony – orzekł WSA
Źródło: https://www.prawo.pl/prawo/dane-ujawnione-w-procesie-karnym-nie-podlegaja-ochronie-rodo,496126.html
Bony do Biedronki za wyciek danych osobowych
- PZU popełniło klasyczny błąd wysyłając zbiorowego maila do klientów, pracownik PZU chciał zaadresować e-mail do wszystkich klientów – niestety zapomniał użyć pola UDW: BCC: (do ukrytej wiadomości)
- wysyłając wiadomość skierowaną do grupy osób należy zrobić to tak, żeby adresat nie mógł zobaczyć przy jej odbiorze adresów mailowych innych odbiorców – naruszenie RODO czy też wyciek danych z PZU polegał więc na tym, że wszyscy więc mogli przeczytać adresy mailowe adresatów wiadomości
- PZU nie uciekło od problemu i postanowiło przyznać się do błędu – rozesłało wiadomość do klientów informującą o wycieku, wypełniając jednocześnie obowiązek informacyjny RODO
- przy okazji zaproponowało w ramach przeprosin bony do Biedronki o wartości 15 zł
- swojego czasu słynna była sprawa przed niemieckim sądem, w której poszkodowany domagał się 500 euro za to, że firma wysłała do niego maila z zapytaniem, czy może wysyłać do niego newsletter – sąd uznał, że za takie naruszenie wystarczy kwota 50 euro
Rozmowa z farmaceutą w aptece na osobności?
- farmaceuci będą musieli rozmawiać z pacjentami na temat ich stanu zdrowia tak, by uszanować ich prywatność
- takie wymogi zakłada projekt ustawy o zawodzie farmaceuty
- to z kolei może prowadzić do konieczność zmiany przepisów określających wymogi lokalowe aptek.
- zdaniem Głównego Inspektoratu Farmaceutycznego nowe wymogi mogą spowodować, że konieczna będzie także nowelizacja przepisów dotyczących samych lokali aptek
- wówczas potrzebne byłyby zapisy mówiące o wymogach utworzenia dodatkowych pomieszczeń, w których pacjenci bez obawy o swoją prywatność, mogliby rozmawiać z farmaceutą na temat problemów zdrowotnych
Inteligentne dzwonki zagrożeniem dla prywatności?
- na dzień 15 listopada Amazon miał z 630 posterunkami policji podpisane umowy obejmujące możliwość dostępu organów ścigania do nagrań z wbudowanych w dzwonki Ring kamer wideo
- policja uzyskuje dostęp do nich za pośrednictwem aplikacji powiązanej z programem Neighbors (Sąsiedzi), przeznaczonym dla użytkowników dzwonków, pozwalającej na pobieranie nagrań z określonego obszaru geograficznego, który jest np. objęty prowadzonym dochodzeniem
- w odpowiedzi Amazona udzielonej senatorowi Markeyowi (Demokraci) czytamy, że „Ring nie wymaga od organów ścigania kasowania materiałów współdzielonych w wyniku żądania dostępu do nagrań wideo w określonym przedziale czasowym
- oznacza to, że poszczególne oddziały policji mogą samodzielnie wyznaczać terminy retencji zgromadzonych danych w oparciu o przepisy obowiązujące lokalnie
Źródło: https://www.cyberdefence24.pl/inteligentne-dzwonki-zagrozeniem-dla-prywatnosci
Uber testuje nagrywanie obrazu i dźwięków podczas przejazdów
- Uber testuje w autach kierowców rejestratory jazdy, a w przyszłym miesiącu rozpocznie pilotaże nagrywania dźwięków wewnątrz kabiny
- pomimo że firma powołuje się na względy bezpieczeństwa, to klienci obawiają się o prywatność danych
- w okresie wakacyjnym Uber zaczął oferować niektórym kierowcom opcje instalacji kamery zapisującej obraz z jazdy
- w Meksyku i Brazylii pilotażowy system pozwoli kierowcy na nagrywanie audio z poziomu aplikacji Ubera
- plik jest jednak zaszyfrowany i przechowywany na telefonie klienta, a nie osoby świadczącej usługę
- jeśli kierowca lub użytkownik zgłoszą firmie chęć odsłuchania nagrania, firma otrzymuje plik i odszyfrowuje go za pomocą klucza
- klienci obawiają się jednak o prywatność swoich danych i możliwość dostępu do nich przez służby śledcze
Źródło: https://biznes.radiozet.pl/News/Uber-testuje-nagrywanie-obrazu-i-dzwiekow-podczas-przejazdow
Pobierz plik PDF z prezentacją
RODO aktualności z dnia 12.11.2019 Pobierz
Pobierz plik PDF z prezentacją
RODO aktualności z dnia 18.11.2019 Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.