RODO aktualności – 06.10.2020

Za co została nałożona rekordowa kara RODO dla H&M? Jakie kary mogą czekać administratorów za niewłaściwe zabezpieczenie pracy zdalnej? Czy umieszczanie na klatkach schodowych zbiorczej informacji o liczbie osób mieszkających w danym lokalu, ale bez podawania imion i nazwisk zamieszkujących koliduje z RODO? Dlaczego musisz słuchać klauzuli informacyjnej dzwoniąc do… pogotowia energetycznego? Czy nagrywanie czynności notarialnych jest zgodne z RODO? Czego dotyczą obawy Kanadyjczyków o bezpieczeństwo danych w czasie pandemii? Czy serwis wirusowy resortu zdrowia narusza RODO? Z której kolejnej polskiej uczelni wyciekły dane osobowe? Czy firmy korzystające z TeamViewera mają się czego obawiać?

MULTIMEDIA

#RODOA [31.08.2020]
#RODOA [08.09.2020]
Pobierz PDFPobierz PDF

35 milionów euro kary dla H&M

  • niemiecki H&M ukarany rekordową grzywną za złamanie przepisów o ochronie danych osobowych
  • od 2014 roku niemiecki H&M (firma odzieżowa) miał naruszać przepisy o ochronie danych osobowych – chodzi o zbieranie informacji na temat swoich pracowników, nawet tych, których zbieranie i przetwarzanie nie było uzasadnione, a nawet niedozwolone
  • menedżerowie firmy mieli zbierać informacje, między innymi, o sytuacji rodzinnej swoich pracowników, ich przekonaniach religijnych, stanie zdrowia i spędzania wolnego czasu czy wakacji
  • Ta sprawa pokazuje wielki brak szacunku dla zasad ochrony danych – powiedział Johannes Caspar, szef niemieckiego urzędu ochrony danych
  • niemiecki urząd (Hamburg Data Protection Authority) nałożył na Hennes & Mauritz rekordową jak dotąd karę finansową w tym kraju za tego typu naruszenie w wysokości 35,2 miliona euro
  • oddział H&M w Niemczech przyznał się do prowadzenia opisywanych praktyk i zapowiedział wprowadzenie planu naprawczego
  • sprawa zbierania takiej ilości danych o swoich pracownikach wyszła na jaw w 2019 roku, po wycieku tychże danych spowodowanym błędną konfiguracją oprogramowania

Źródło: https://www.geekweb.pl/inne/wydarzenia/item/1403-niemiecki-h-m-ukarany-35-milionow-euro https://www.pulshr.pl/prawo-pracy/35-milionow-euro-kary-dla-h-m-za-inwigilacje-pracownikow,76846.html

Pierwsza skarga o zagrożeniu danych osobowych w pracy zdalnej

  • do Urzędu Ochrony Danych Osobowych wpłynęła pierwsza skarga dotycząca przetwarzania danych osobowych podczas pracy zdalnej – jest ona związana z przetwarzaniem danych bez odpowiednich zabezpieczeń w domu na prywatnym komputerze pracownic administratora
  • sprawa jest na etapie wezwania wnioskodawcy do uzupełnienia braków formalnych wniesionego pisma
  • wykonywanie pracy poza zakładem pracy niesie ze sobą zagrożenie dla bezpieczeństwa danych i innych tajemnic przedsiębiorstwa
  • zdaniem ekspertów, praca zdalna zmieniła sytuację pod kątem ochrony danych osobowych w przedsiębiorstwach i dlatego konieczne jest dokonanie rewizji oceny ryzyk, która to ocena jest elementem ochrony danych osobowych
  • pracodawca powinien jednak ustalić zasady pracy zdalnej, uwzględniając konieczność zapewnienia odpowiedniego bezpieczeństwa, w tym przetwarzanych danych osobowych

Źródło: https://www.prawo.pl/kadry/jakie-kary-za-zagrozenie-danych-osobowych-w-pracy-zdalnej,503398.html

RODO pytania

  • niektórzy właściciele mieszkań próbują unikać uciążliwych opłat za wywóz śmieci, podając zaniżoną liczbę osób mieszkających w lokalu.

czy umieszczanie na klatkach schodowych zbiorczej informacji o liczbie osób mieszkających w danym lokalu, ale bez podawania imion i nazwisk zamieszkujących koliduje z RODO?

  • takie działanie byłoby nieuprawnione – informacje o liczbie osób w danym mieszkaniu stanowią dane osobowe i to nawet wtedy, gdy wspólnota czy spółdzielnia powstrzymują się od wymieniania imion i nazwisk osób w nim mieszkających

Źródło: https://prawo.gazetaprawna.pl/artykuly/1492108,wywoz-smieci-wspolnota-mieszkaniowa-informacja-o-oplatach-rodo.html

czy wykonując mandat radnego i korzystając z uprawnień w celu weryfikacji zgodności z prawem dokonywanej inwestycji, radny ma obowiązek zabezpieczenia pozyskanych danych osobowych?

  • tak, bo wykonując czynności sprawdzające, radny staje się administratorem pozyskanych danych osobowych – musi więc kierować się przepisami unijnego rozporządzenia oraz wytycznymi organów wykonawczych gminy

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/1492243,kontrola-spolki-radny-kiedy-jest-administratorem-danych.html

RPO interweniuje w sprawie obowiązku informacyjnego

  • gdy dzwonimy pod numer pogotowia energetycznego 991, musimy najpierw wysłuchać komunikatu dotyczącego przetwarzania danych osobowych – zdaniem RPO to może zabrać kluczowy czas przy zgłaszaniu awarii i uszkodzeń sieci, które mogą wpłynąć na życie i zdrowie
  • powodem jest, że numeru 991 nie włączono w system powiadamiania ratunkowego – tym samym administrator jest zobowiązany do informowania o przetwarzaniu danych
  • Rzecznik Praw Obywatelskich zwrócił się w tej sprawie do Urzędu Ochrony Danych Osobowych – dostał odpowiedź, że zgodnie z przepisami system powiadamiania ratunkowego składa się z centrów powiadamiania ratunkowego, tworzących jednolity system do obsługi zgłoszeń alarmowych, kierowanych pod numery alarmowe 112, 997, 998 i 999
  • Ustawa o systemie powiadamiania ratunkowego precyzuje, że w związku z przetwarzaniem danych osobowych w systemie teleinformatycznym wykonanie obowiązku informacyjnego – wynikającego z rozporządzenia unijnego RODO – następuje przez udostępnienie informacji w BIP na stronie ministra właściwego do spraw administracji publicznej, wojewody lub wskazanego przez niego podmiotu
  • numer 991 nie został jednak włączony w system powiadamiania ratunkowego
  • UODO ocenił, że optymalnym rozwiązaniem byłoby włączenie nr 991 pogotowia energetycznego do systemu powiadamiania ratunkowego
  • RPO wystąpił do szefa MSWiA o rozważenie wprowadzenia takiego rozwiązania

Źródło: https://www.rpo.gov.pl/pl/content/rpo-zgloszenie-awarii-energetycznej-ze-zwloka

Nagrywanie czynności notarialnych uderza w prywatność

  • przygotowywany w Senacie projekt ustawy przewiduje obowiązek nagrywania czynności notarialnych – problem powstał na kanwie nadużyć związanych z udzieleniem pożyczek osobom niezaradnym i starszym
  • proponowane rozwiązanie budzi opór notariatu i poważne zastrzeżenia Urzędu Ochrony Danych Osobowych
  • zdaniem Prezesa UODO zaproponowane w projekcie rozwiązanie wymaga ponownego rozważenia
  • realizacja założeń projektu będzie się wiązała ze znaczną ingerencją w prywatność osób nie tylko dokonujących czynności notarialnych, ale także innych osób uczestniczących w czynnościach notarialnych
  • wątpliwości UODO budzi też obowiązek powszechnego monitorowania prawidłowości w wykonywaniu obowiązków przez notariuszy będących osobami zaufania publicznego nakładany poprzez utrwalanie wszelkich czynności notarialnych
  • Należałoby dokonać powtórnej oceny, czy nagrywanie obrazu – forma rejestracji zachowań osób dokonujących czynności notarialnych i w nich uczestniczących – rzeczywiście uzasadnia wskazywane cele, czy też można wprowadzić inne, mniej inwazyjne metody zapewniania odpowiedniego przebiegu czynności notarialnych – argumentuje prezes UODO
  • organ wskazuje, że proponowane rozwiązania nie zostały poddane ocenie skutków ich wprowadzenia dla ochrony danych (wpływu na prywatność), czyli testowi proporcjonalności do praw osób w świetle zasad wynikających z przepisów art. 35 RODO

Źródło: https://www.prawo.pl/prawnicy-sady/nagrywanie-prac-notariuszy-konieczny-katalog-czynnosci,503428.html

Kanada: Obawy o bezpieczeństwo danych osobowych podczas pandemii

  • w czasie, gdy Kanada przechodzi drugą falę zakażeń koronawirusem, pojawia się coraz więcej pytań o bezpieczeństwo danych osób zakażonych i ich kontaktów – są już dowody, że dane mogą zostać wykorzystane bezprawnie
  • Kanadyjskie Stowarzyszenie Swobód Obywatelskich (CCLA) wspólnie z partnerami zwróciło się latem o informację, co dzieje się z bazą danych rządu najludniejszej prowincji Kanady, Ontario – to dane o wynikach testów, uzyskała do nich dostęp policja, która przeszukiwała bazę 95 tys. razy.
  • ponieważ CCLA nie uzyskiwało odpowiedzi na swoje pytania, wystąpiło z pozwem – wkrótce potem rząd Ontario zamknął dostęp do tej bazy danych
  • część lokalnych szefów policji szybko zorientowała się w wiążących się z bazą problemach i np. policja w Toronto w ogóle z niej nie korzystała, jednak np. policja regionu Durham prowadziła przeszukiwania bazy danych, korzystając z niej ponad 24,6 tys. razy
  • Kanadyjska Fundacja Konstytucyjna (CCF) zamieściła na swojej stronie internetowej komunikat, w którym zacytowała list ministerstwa sprawiedliwości do szefów policji, w którym napisano o „obawach, że baza jest używana w szerszym zakresie, niż było to intencją rządu”, czyli poza sytuacjami związanymi z konkretną interwencją policji

Źródło: https://www.gazetaprawna.pl/amp/1492501,kanada-obawy-o-bezpieczenstwo-danych-osobowych-podczas-pandemii.html

Pierwsze państwo na świecie, które łączy twarz obywatela z jego identyfikatorem

  • Singapur jako pierwszy kraj na świecie wprowadza oficjalnie weryfikację twarzy jako element narodowego systemu identyfikacji tożsamości
  • weryfikacja twarzy nie jest niczym nowym i odkrywczym – różnica polega jednak na tym, że Singapur ma zamiar dokonać pełnej integracji tego rozwiązania z bazą obywateli, a skan twarzy będzie bezpośrednio powiązany z identyfikatorem obywatela
  • dzięki takiemu rozwiązaniu za pomocą twarzy obywatele Singapuru nie tylko będą mieli dostęp do bankowości elektronicznej czy szybszych zakupów – jedno spojrzenie w obiektyw kamery pozwoli im na poświadczenie spraw w urzędach czy autoryzację do oficjalnych platform
  • weryfikacja odbywa się za zgodą użytkownika i jest on świadom, że taka czynność się odbywa
  • Upewniamy się, że osoba jest faktycznie obecna podczas procesu autoryzacji, że nie patrzymy na fotografię czy wideo odtworzone z nagrania, albo deepfake – wskazuje Andrew Bud, założyciel firmy iProov, która opracowała i dostarczyła rozwiązanie

Źródło: https://antyweb.pl/nastala-nowa-era-pierwsze-panstwo-na-swiecie-ktore-laczy-twarz-obywatela-z-jego-identyfikatorem/

RODO w administracji publicznej – kontrola NIK

  • Naczelna Izba Kontroli opublikowała informację o wynikach kontroli „Wdrożenie przez administrację publiczną regulacji dotyczących ochrony danych osobowych po wejściu w życie RODO
  • NIK skontrolowała w sumie 17 jednostek, a jej ustaleń wynika m.in. to, że:
  1. Najwięcej stwierdzonych naruszeń ochrony danych osobowych w okresie objętym kontrolą, wystąpiło w dużych urzędach miast.
  2. Wśród 17 kontrolowanych jednostek w 6 stwierdzono przypadki nie blokowania dostępu do zasobów informatycznych w chwili rozwiązania stosunku pracy, a także przypadki logowań do kont byłych pracowników.
  3. Wszystkie kontrolowane jednostki opracowały procedury wewnętrzne dotyczące ochrony fizycznej i technicznej budynków oraz infrastruktury informatycznej
  4. Nierzetelne prowadzenie rejestrów umów powierzenia stwierdzono w Urzędach Miast w Kutnie i w Sieradzu – polegało to na nieujęciu w nich odpowiednio 38% i 68% umów powierzenia zawartych w tych jednostkach
  • ogólnie NIK pozytywnie ocenia przygotowanie kontrolowanych jednostek do wdrożenia RODO

Źródło: https://www.nik.gov.pl/kontrole/wyniki-kontroli-nik/kontrole,20435.html?fbclid=IwAR3lf3B14lUP9lrXkuVrJi-zTVE0W21KpK6zBLxxTnZLo-NKD8aUvo1InQI

Chińscy hakerzy latami kontrolowali systemy TeamViewera

  • Amerykański Departament Sprawiedliwości opublikował akt oskarżenia przeciwko chińskim hakerom, stanowiącym część grupy znanej jako APT41 lub Winnti/Barium
  • APT41 dysponowało loginami i hasłami użytkowników TeamViewera co najmniej od czerwca 2015
  • włamywacze zainfekowali dziesiątki komputerów w firmie oferującej TeamViewera, ukradli kod źródłowy i certyfikaty służące do podpisywania aplikacji oraz dane logowania klientów firmy
  • przechwycone czaty przestępców pokazują, jak przeszukiwali bazy firm giełdowych, następnie ustalali ich adresy domenowe i przeszukiwali bazę TeamViewera pod kątem loginów w tych domenach, by uzyskać dostęp do interesujących ich celów

Źródło: https://zaufanatrzeciastrona.pl/post/chinscy-hakerzy-latami-kontrolowali-systemy-teamviewera-i-nie-tylko/

Serwis wirusowy resortu zdrowia narusza RODO?

  • rządowa aplikacja gabinet.gov.pl pozwala pracownikowi medycznemu zajmującemu się wystawianiem e-recept sprawdzić wynik testu na SARS-CoV-2 dowolnej osoby, jeśli zna jej PESEL
  • Żadnych zabezpieczeń, haseł, numeru zlecenia” – wskazuje Dominik Lewandowski z Kolegium Lekarzy Rodzinnych.
  • resort zdrowia nie widzi problemu: „Lekarze, którzy mogą kierować na testy, powinni wiedzieć o osobach, które już zostały przetestowane. To istotne przy kontakcie z pacjentem innego lekarza. Do danych nie mają dostępu osoby niepowołane. Trudno uznać za takie lekarzy, których obowiązuje tajemnica lekarska” – komentuje rzecznik ministerstwa Wojciech Andrusiewicz
  • eksperci ochrony zdrowia podkreślają także, że podczas epidemii wynik testu na chorobę zakaźną traktowany jest inaczej niż pozostałe dane medyczne i staje się informacją istotną dla bezpieczeństwa zdrowotnego państwa
  • wynik badania to element dokumentacji medycznej, a podmiot wykonujący badanie jest obowiązany przechowywać i udostępniać dokumentację medyczną na zasadach przewidzianych przepisami oraz zapewnić ochronę tej dokumentacji
  • zdaniem niektórych prawników specjalizujących się w ochronie danych osobowych zbyt szeroki dostęp do wyników badań narusza RODO a minister zdrowia ryzykuje nałożeniem kary przez prezesa Urzędu Ochrony Danych Osobowych

Źródło: https://www.rp.pl/Zdrowie/309279936-Dostep-do-wyniku-testu-na-Covid-moze-naruszac-RODO.html

Finlandia: kara za marketing bezpośredni i nieposzanowanie praw podmiotu danych

  • Rada ds. sankcji fińskiego Rzecznika Ochrony Danych nałożyła na Acc Consulting Varsinais-Suomi karę administracyjną za wysyłanie elekt
  • zgodnie z art. 200 fińskiej ustawy o społeczeństwie informacyjnym, marketing bezpośredni może być kierowany wyłącznie do osób fizycznych, które wyraziły na to uprzednią zgodę, natomiast zgodnie z art. 4 ust. 11 RODO zgoda musi być dobrowolnym, konkretnym, świadomym i jednoznacznym wyrażeniem woli osoby, której dane dotyczą
  • Niektóre osoby, których dane dotyczą, odpowiedziały na wiadomość marketingową wysłaną jako SMS, zgodnie z żądaniem administratora, aby zakazać marketingu bezpośredniego – pomimo tego nadal otrzymywały komunikaty marketingowe
  • zdaniem administratora skierował on elektroniczny marketing bezpośredni do korporacji, do których uprzednia zgoda nie ma zastosowania zgodnie z ustawą o społeczeństwie informacyjnym
  • organ nadzoru stwierdził jednak, że przed skierowaniem marketingu administrator powinien był określić pozycję danej osoby w korporacji i ocenić w szczególności, czy oferowane przez niego kursy były w istotny sposób powiązane z obowiązkami tej osoby – dlatego marketing bezpośredni prowadzony przez administratora skierowany do osób fizycznych nie może być uznany za przeznaczony dla korporacji
  • na spółkę nałożono sankcję finansową w wysokości 7 000 euro jako dodatek do innych środków naprawczych

Źródło: https://edpb.europa.eu/news/national-news/2020/finnish-dpa-imposes-financial-sanction-company-due-carrying-out-electronic_en

Wyciek danych osobowych z poznańskiej uczelni

  • pracownik dziekanatu się pomylił i umieścił na platformie internetowej uczelni plik z danymi osobowymi studentów
  • Wyższa Szkoła Logistyki przyznaje, że doszło do takiego incydentu i zostały podjęte wszystkie kroki, jakie mogła podjąć uczelnia – do studentów, których dane wyciekły, trafiła stosowna informacja
  • uczelnia wyjaśnia, że wyciek danych dotyczy studentów rekrutowanych w roku akademickim 2019/2020
  • w środę, 23 września, około 10.30 pracownik dziekanatu umieścił na platformie internetowej uczelni komunikat dla studentów dotyczący przydziału do grup językowych – przez przypadek dołączył do komunikatu plik z danymi osobowymi studentów
  • o komunikacie powiadomiono mailowo 388 osób, co oznacza, że każda z nich mogła otworzyć plik i pobrać dane
  • wśród danych, które wyciekły są m.in. adresy, numery PESEL, numery telefonów, pełne dane z dokumentów tożsamości, numer konta bankowego, informacja ze świadectw maturalnych, nazwa zatrudniającej firmy (w przypadku pracujących studentów)
  • uczelnia zapewnia, że w momencie dowiedzenia się o incydencie, natychmiast zaczęła działać – plik usunięto z serwera, a do osób, które miały możliwość, by go zobaczyć, wysłano maila z informacją o tym, by usunęli plik ze wszystkich nośników danych, przeprowadzono rozmowy z pracownikami, by uniknąć takiej sytuacji w przyszłości, a incydent zgłoszono do Prezesa UODO

Źródło: https://epoznan.pl/news-news-110236-wyciek_danych_osobowych_z_poznanskiej_uczelni_pracownik_dziekanatu_sie_pomylil

SN: Kara dla notariusza, który porzucił dane osobowe klientów

  • notariusz z Wrocławia został obwiniony przez samorząd notarialny o złamanie tajemnicy zawodowej, dlatego, że będąc w konflikcie z właścicielem budynku, gdzie miał kancelarię, zniósł do piwnicy trzy worki akt i pozostawił je bez żadnego nadzoru
  • w aktach pozostawionych bez kontroli znajdowały się dane osobowe klientów: nazwiska, PESEL-e, adresy, numery nieruchomości, wzory podpisów, itd.
  • syn właściciela budynku po pewnym czasie zawiózł te worki do Okręgowej Rady Notarialnej w celu zabezpieczenia dokumentów
  • Sąd Dyscyplinarny I instancji uznał winę notariusza i wymierzył mu karę 10 tys. zł.
  • od tego orzeczenia notariusz się odwołał zarzucając orzeczeniu błąd w ustaleniach faktycznych oraz niewyjaśnienie sprawy – jego zdaniem, to syn właściciela dokonał kradzieży dokumentów i nawet doniósł do prokuratury o popełnionym przestępstwie
  • Sąd Dyscyplinarny II instancji pozostawił karę i orzeczenie w mocy
  • sprawa trafiła do Sądu Najwyższego, który oddalił kasację: Obwiniony wynosząc poza kancelarię dokumenty objęte tajemnicą notarialną pozostawił je bez dozoru. Naruszył w ten sposób istotę swego zawodu, tajemnica, bowiem obejmuje wszelkie informacje, jakie doszły do wiadomości notariusza w związku z dokonywaną czynnością – akcentował sędzia sprawozdawca

Źródło: https://www.prawo.pl/prawnicy-sady/kara-finansowa-dla-notariusza-ktory-porzucil-dane-osobowe,503318.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

Powiązane artykuły

RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO