RODO aktualności – 06.10.2020

• do Urzędu Ochrony Danych Osobowych wpłynęła pierwsza skarga dotycząca przetwarzania danych osobowych podczas pracy zdalnej – jest ona związana z przetwarzaniem danych bez odpowiednich zabezpieczeń w domu na prywatnym komputerze pracownic administratora
• sprawa jest na etapie wezwania wnioskodawcy do uzupełnienia braków formalnych wniesionego pisma
• wykonywanie pracy poza zakładem pracy niesie ze sobą zagrożenie dla bezpieczeństwa danych i innych tajemnic przedsiębiorstwa
• zdaniem ekspertów, praca zdalna zmieniła sytuację pod kątem ochrony danych osobowych w przedsiębiorstwach i dlatego konieczne jest dokonanie rewizji oceny ryzyk, która to ocena jest elementem ochrony danych osobowych
• pracodawca powinien jednak ustalić zasady pracy zdalnej, uwzględniając konieczność zapewnienia odpowiedniego bezpieczeństwa, w tym przetwarzanych danych osobowych

Źródło: https://www.prawo.pl/kadry/jakie-kary-za-zagrozenie-danych-osobowych-w-pracy-zdalnej,503398.html

• niektórzy właściciele mieszkań próbują unikać uciążliwych opłat za wywóz śmieci, podając zaniżoną liczbę osób mieszkających w lokalu.

czy umieszczanie na klatkach schodowych zbiorczej informacji o liczbie osób mieszkających w danym lokalu, ale bez podawania imion i nazwisk zamieszkujących koliduje z RODO?

• takie działanie byłoby nieuprawnione – informacje o liczbie osób w danym mieszkaniu stanowią dane osobowe i to nawet wtedy, gdy wspólnota czy spółdzielnia powstrzymują się od wymieniania imion i nazwisk osób w nim mieszkających

Źródło: https://prawo.gazetaprawna.pl/artykuly/1492108,wywoz-smieci-wspolnota-mieszkaniowa-informacja-o-oplatach-rodo.html

czy wykonując mandat radnego i korzystając z uprawnień w celu weryfikacji zgodności z prawem dokonywanej inwestycji, radny ma obowiązek zabezpieczenia pozyskanych danych osobowych?

• tak, bo wykonując czynności sprawdzające, radny staje się administratorem pozyskanych danych osobowych – musi więc kierować się przepisami unijnego rozporządzenia oraz wytycznymi organów wykonawczych gminy

Źródło: https://serwisy.gazetaprawna.pl/samorzad/artykuly/1492243,kontrola-spolki-radny-kiedy-jest-administratorem-danych.html

• gdy dzwonimy pod numer pogotowia energetycznego 991, musimy najpierw wysłuchać komunikatu dotyczącego przetwarzania danych osobowych – zdaniem RPO to może zabrać kluczowy czas przy zgłaszaniu awarii i uszkodzeń sieci, które mogą wpłynąć na życie i zdrowie
• powodem jest, że numeru 991 nie włączono w system powiadamiania ratunkowego – tym samym administrator jest zobowiązany do informowania o przetwarzaniu danych
• Rzecznik Praw Obywatelskich zwrócił się w tej sprawie do Urzędu Ochrony Danych Osobowych – dostał odpowiedź, że zgodnie z przepisami system powiadamiania ratunkowego składa się z centrów powiadamiania ratunkowego, tworzących jednolity system do obsługi zgłoszeń alarmowych, kierowanych pod numery alarmowe 112, 997, 998 i 999
• Ustawa o systemie powiadamiania ratunkowego precyzuje, że w związku z przetwarzaniem danych osobowych w systemie teleinformatycznym wykonanie obowiązku informacyjnego – wynikającego z rozporządzenia unijnego RODO – następuje przez udostępnienie informacji w BIP na stronie ministra właściwego do spraw administracji publicznej, wojewody lub wskazanego przez niego podmiotu
• numer 991 nie został jednak włączony w system powiadamiania ratunkowego
• UODO ocenił, że optymalnym rozwiązaniem byłoby włączenie nr 991 pogotowia energetycznego do systemu powiadamiania ratunkowego
• RPO wystąpił do szefa MSWiA o rozważenie wprowadzenia takiego rozwiązania

Źródło: https://www.rpo.gov.pl/pl/content/rpo-zgloszenie-awarii-energetycznej-ze-zwloka

• przygotowywany w Senacie projekt ustawy przewiduje obowiązek nagrywania czynności notarialnych – problem powstał na kanwie nadużyć związanych z udzieleniem pożyczek osobom niezaradnym i starszym
• proponowane rozwiązanie budzi opór notariatu i poważne zastrzeżenia Urzędu Ochrony Danych Osobowych
• zdaniem Prezesa UODO zaproponowane w projekcie rozwiązanie wymaga ponownego rozważenia
• realizacja założeń projektu będzie się wiązała ze znaczną ingerencją w prywatność osób nie tylko dokonujących czynności notarialnych, ale także innych osób uczestniczących w czynnościach notarialnych
• wątpliwości UODO budzi też obowiązek powszechnego monitorowania prawidłowości w wykonywaniu obowiązków przez notariuszy będących osobami zaufania publicznego nakładany poprzez utrwalanie wszelkich czynności notarialnych
• Należałoby dokonać powtórnej oceny, czy nagrywanie obrazu – forma rejestracji zachowań osób dokonujących czynności notarialnych i w nich uczestniczących – rzeczywiście uzasadnia wskazywane cele, czy też można wprowadzić inne, mniej inwazyjne metody zapewniania odpowiedniego przebiegu czynności notarialnych – argumentuje prezes UODO
• organ wskazuje, że proponowane rozwiązania nie zostały poddane ocenie skutków ich wprowadzenia dla ochrony danych (wpływu na prywatność), czyli testowi proporcjonalności do praw osób w świetle zasad wynikających z przepisów art. 35 RODO

Źródło: https://www.prawo.pl/prawnicy-sady/nagrywanie-prac-notariuszy-konieczny-katalog-czynnosci,503428.html

• w czasie, gdy Kanada przechodzi drugą falę zakażeń koronawirusem, pojawia się coraz więcej pytań o bezpieczeństwo danych osób zakażonych i ich kontaktów – są już dowody, że dane mogą zostać wykorzystane bezprawnie
• Kanadyjskie Stowarzyszenie Swobód Obywatelskich (CCLA) wspólnie z partnerami zwróciło się latem o informację, co dzieje się z bazą danych rządu najludniejszej prowincji Kanady, Ontario – to dane o wynikach testów, uzyskała do nich dostęp policja, która przeszukiwała bazę 95 tys. razy.
• ponieważ CCLA nie uzyskiwało odpowiedzi na swoje pytania, wystąpiło z pozwem – wkrótce potem rząd Ontario zamknął dostęp do tej bazy danych
• część lokalnych szefów policji szybko zorientowała się w wiążących się z bazą problemach i np. policja w Toronto w ogóle z niej nie korzystała, jednak np. policja regionu Durham prowadziła przeszukiwania bazy danych, korzystając z niej ponad 24,6 tys. razy
• Kanadyjska Fundacja Konstytucyjna (CCF) zamieściła na swojej stronie internetowej komunikat, w którym zacytowała list ministerstwa sprawiedliwości do szefów policji, w którym napisano o „obawach, że baza jest używana w szerszym zakresie, niż było to intencją rządu”, czyli poza sytuacjami związanymi z konkretną interwencją policji

Źródło: https://www.gazetaprawna.pl/amp/1492501,kanada-obawy-o-bezpieczenstwo-danych-osobowych-podczas-pandemii.html

• Singapur jako pierwszy kraj na świecie wprowadza oficjalnie weryfikację twarzy jako element narodowego systemu identyfikacji tożsamości
• weryfikacja twarzy nie jest niczym nowym i odkrywczym – różnica polega jednak na tym, że Singapur ma zamiar dokonać pełnej integracji tego rozwiązania z bazą obywateli, a skan twarzy będzie bezpośrednio powiązany z identyfikatorem obywatela
• dzięki takiemu rozwiązaniu za pomocą twarzy obywatele Singapuru nie tylko będą mieli dostęp do bankowości elektronicznej czy szybszych zakupów – jedno spojrzenie w obiektyw kamery pozwoli im na poświadczenie spraw w urzędach czy autoryzację do oficjalnych platform
• weryfikacja odbywa się za zgodą użytkownika i jest on świadom, że taka czynność się odbywa
• Upewniamy się, że osoba jest faktycznie obecna podczas procesu autoryzacji, że nie patrzymy na fotografię czy wideo odtworzone z nagrania, albo deepfake – wskazuje Andrew Bud, założyciel firmy iProov, która opracowała i dostarczyła rozwiązanie

Źródło: https://antyweb.pl/nastala-nowa-era-pierwsze-panstwo-na-swiecie-ktore-laczy-twarz-obywatela-z-jego-identyfikatorem/

• Naczelna Izba Kontroli opublikowała informację o wynikach kontroli „Wdrożenie przez administrację publiczną regulacji dotyczących ochrony danych osobowych po wejściu w życie RODO”
• NIK skontrolowała w sumie 17 jednostek, a jej ustaleń wynika m.in. to, że:

1. Najwięcej stwierdzonych naruszeń ochrony danych osobowych w okresie objętym kontrolą, wystąpiło w dużych urzędach miast.
2. Wśród 17 kontrolowanych jednostek w 6 stwierdzono przypadki nie blokowania dostępu do zasobów informatycznych w chwili rozwiązania stosunku pracy, a także przypadki logowań do kont byłych pracowników.
3. Wszystkie kontrolowane jednostki opracowały procedury wewnętrzne dotyczące ochrony fizycznej i technicznej budynków oraz infrastruktury informatycznej
4. Nierzetelne prowadzenie rejestrów umów powierzenia stwierdzono w Urzędach Miast w Kutnie i w Sieradzu – polegało to na nieujęciu w nich odpowiednio 38% i 68% umów powierzenia zawartych w tych jednostkach

• ogólnie NIK pozytywnie ocenia przygotowanie kontrolowanych jednostek do wdrożenia RODO

Źródło: https://www.nik.gov.pl/kontrole/wyniki-kontroli-nik/kontrole,20435.html?fbclid=IwAR3lf3B14lUP9lrXkuVrJi-zTVE0W21KpK6zBLxxTnZLo-NKD8aUvo1InQI

• Amerykański Departament Sprawiedliwości opublikował akt oskarżenia przeciwko chińskim hakerom, stanowiącym część grupy znanej jako APT41 lub Winnti/Barium
• APT41 dysponowało loginami i hasłami użytkowników TeamViewera co najmniej od czerwca 2015
• włamywacze zainfekowali dziesiątki komputerów w firmie oferującej TeamViewera, ukradli kod źródłowy i certyfikaty służące do podpisywania aplikacji oraz dane logowania klientów firmy
• przechwycone czaty przestępców pokazują, jak przeszukiwali bazy firm giełdowych, następnie ustalali ich adresy domenowe i przeszukiwali bazę TeamViewera pod kątem loginów w tych domenach, by uzyskać dostęp do interesujących ich celów

Źródło: https://zaufanatrzeciastrona.pl/post/chinscy-hakerzy-latami-kontrolowali-systemy-teamviewera-i-nie-tylko/

• rządowa aplikacja gabinet.gov.pl pozwala pracownikowi medycznemu zajmującemu się wystawianiem e-recept sprawdzić wynik testu na SARS-CoV-2 dowolnej osoby, jeśli zna jej PESEL
• „Żadnych zabezpieczeń, haseł, numeru zlecenia” – wskazuje Dominik Lewandowski z Kolegium Lekarzy Rodzinnych.
• resort zdrowia nie widzi problemu: „Lekarze, którzy mogą kierować na testy, powinni wiedzieć o osobach, które już zostały przetestowane. To istotne przy kontakcie z pacjentem innego lekarza. Do danych nie mają dostępu osoby niepowołane. Trudno uznać za takie lekarzy, których obowiązuje tajemnica lekarska” – komentuje rzecznik ministerstwa Wojciech Andrusiewicz
• eksperci ochrony zdrowia podkreślają także, że podczas epidemii wynik testu na chorobę zakaźną traktowany jest inaczej niż pozostałe dane medyczne i staje się informacją istotną dla bezpieczeństwa zdrowotnego państwa
• wynik badania to element dokumentacji medycznej, a podmiot wykonujący badanie jest obowiązany przechowywać i udostępniać dokumentację medyczną na zasadach przewidzianych przepisami oraz zapewnić ochronę tej dokumentacji
• zdaniem niektórych prawników specjalizujących się w ochronie danych osobowych zbyt szeroki dostęp do wyników badań narusza RODO a minister zdrowia ryzykuje nałożeniem kary przez prezesa Urzędu Ochrony Danych Osobowych

Źródło: https://www.rp.pl/Zdrowie/309279936-Dostep-do-wyniku-testu-na-Covid-moze-naruszac-RODO.html

• Rada ds. sankcji fińskiego Rzecznika Ochrony Danych nałożyła na Acc Consulting Varsinais-Suomi karę administracyjną za wysyłanie elekt
• zgodnie z art. 200 fińskiej ustawy o społeczeństwie informacyjnym, marketing bezpośredni może być kierowany wyłącznie do osób fizycznych, które wyraziły na to uprzednią zgodę, natomiast zgodnie z art. 4 ust. 11 RODO zgoda musi być dobrowolnym, konkretnym, świadomym i jednoznacznym wyrażeniem woli osoby, której dane dotyczą
• Niektóre osoby, których dane dotyczą, odpowiedziały na wiadomość marketingową wysłaną jako SMS, zgodnie z żądaniem administratora, aby zakazać marketingu bezpośredniego – pomimo tego nadal otrzymywały komunikaty marketingowe
• zdaniem administratora skierował on elektroniczny marketing bezpośredni do korporacji, do których uprzednia zgoda nie ma zastosowania zgodnie z ustawą o społeczeństwie informacyjnym
• organ nadzoru stwierdził jednak, że przed skierowaniem marketingu administrator powinien był określić pozycję danej osoby w korporacji i ocenić w szczególności, czy oferowane przez niego kursy były w istotny sposób powiązane z obowiązkami tej osoby – dlatego marketing bezpośredni prowadzony przez administratora skierowany do osób fizycznych nie może być uznany za przeznaczony dla korporacji
• na spółkę nałożono sankcję finansową w wysokości 7 000 euro jako dodatek do innych środków naprawczych

Źródło: https://edpb.europa.eu/news/national-news/2020/finnish-dpa-imposes-financial-sanction-company-due-carrying-out-electronic_en

• pracownik dziekanatu się pomylił i umieścił na platformie internetowej uczelni plik z danymi osobowymi studentów
• Wyższa Szkoła Logistyki przyznaje, że doszło do takiego incydentu i zostały podjęte wszystkie kroki, jakie mogła podjąć uczelnia – do studentów, których dane wyciekły, trafiła stosowna informacja
• uczelnia wyjaśnia, że wyciek danych dotyczy studentów rekrutowanych w roku akademickim 2019/2020
• w środę, 23 września, około 10.30 pracownik dziekanatu umieścił na platformie internetowej uczelni komunikat dla studentów dotyczący przydziału do grup językowych – przez przypadek dołączył do komunikatu plik z danymi osobowymi studentów
• o komunikacie powiadomiono mailowo 388 osób, co oznacza, że każda z nich mogła otworzyć plik i pobrać dane
• wśród danych, które wyciekły są m.in. adresy, numery PESEL, numery telefonów, pełne dane z dokumentów tożsamości, numer konta bankowego, informacja ze świadectw maturalnych, nazwa zatrudniającej firmy (w przypadku pracujących studentów)
• uczelnia zapewnia, że w momencie dowiedzenia się o incydencie, natychmiast zaczęła działać – plik usunięto z serwera, a do osób, które miały możliwość, by go zobaczyć, wysłano maila z informacją o tym, by usunęli plik ze wszystkich nośników danych, przeprowadzono rozmowy z pracownikami, by uniknąć takiej sytuacji w przyszłości, a incydent zgłoszono do Prezesa UODO

Źródło: https://epoznan.pl/news-news-110236-wyciek_danych_osobowych_z_poznanskiej_uczelni_pracownik_dziekanatu_sie_pomylil

• notariusz z Wrocławia został obwiniony przez samorząd notarialny o złamanie tajemnicy zawodowej, dlatego, że będąc w konflikcie z właścicielem budynku, gdzie miał kancelarię, zniósł do piwnicy trzy worki akt i pozostawił je bez żadnego nadzoru
• w aktach pozostawionych bez kontroli znajdowały się dane osobowe klientów: nazwiska, PESEL-e, adresy, numery nieruchomości, wzory podpisów, itd.
• syn właściciela budynku po pewnym czasie zawiózł te worki do Okręgowej Rady Notarialnej w celu zabezpieczenia dokumentów
• Sąd Dyscyplinarny I instancji uznał winę notariusza i wymierzył mu karę 10 tys. zł.
• od tego orzeczenia notariusz się odwołał zarzucając orzeczeniu błąd w ustaleniach faktycznych oraz niewyjaśnienie sprawy – jego zdaniem, to syn właściciela dokonał kradzieży dokumentów i nawet doniósł do prokuratury o popełnionym przestępstwie
• Sąd Dyscyplinarny II instancji pozostawił karę i orzeczenie w mocy
• sprawa trafiła do Sądu Najwyższego, który oddalił kasację: Obwiniony wynosząc poza kancelarię dokumenty objęte tajemnicą notarialną pozostawił je bez dozoru. Naruszył w ten sposób istotę swego zawodu, tajemnica, bowiem obejmuje wszelkie informacje, jakie doszły do wiadomości notariusza w związku z dokonywaną czynnością – akcentował sędzia sprawozdawca

Źródło: https://www.prawo.pl/prawnicy-sady/kara-finansowa-dla-notariusza-ktory-porzucil-dane-osobowe,503318.html