RODO aktualności – 02.07.2024 r.

Dane 10 mln pacjentów narażone na kradzież. Zadziałał sygnalista. Meta rezygnuje z planów przetwarzania danych użytkowników Facebooka w Europie. WSA o interpretacji pojęcia danych osobowych w odniesieniu do numeru telefonu. PUODO: Projekt ustawy Prawo komunikacji elektronicznej wymaga zmian. Sejm przyjął poprawki Senatu do ustawy dot. ochrony sygnalistów. Na administratorze spoczywa obowiązek współpracy z PUODO – WSA potwierdza. AI w sądownictwie i sektorze zdrowia. PUODO: Obciążone wysokim ryzykiem. ZUS zaczął korzystać ze sztucznej inteligencji. Prezes: To usprawnienie pracy, eliminacja błędów. UODO zmieni stanowisko w sprawach pracowniczych. ZUS zaczął korzystać ze sztucznej inteligencji. Prezes: To usprawnienie pracy, eliminacja błędów. UODO zmieni stanowisko w sprawach pracowniczych. TSUE: kolejne orzeczenie dot. interpretacji przepisów RODO w zakresie zadośćuczynienia.

RODO aktualności z dnia 19.06.2024 r.

RODO aktualności z dnia 24.06.2024 r.
Pobierz PDF

Pobierz PDF

Dane 10 mln pacjentów narażone na kradzież. Zadziałał sygnalista

  • Dane z dokumentacji medycznej około 10 mln pacjentów, używane przez lekarzy i farmaceutów, przez lata były narażone na kradzież. Luki w systemie bezpieczeństwa udało się załatać dzięki zgłoszeniu sygnalisty, niemniej nie wiadomo, czy wcześniej nie doszło do wycieku informacji.
  • O nieprawidłowościach poinformował w poniedziałek „Dziennik Gazeta Prawna”. Czytamy, że „z programów, których lekarze używają do obsługi wizyt, można było wydobyć dostęp do dokumentacji medycznej pacjentów i ich danych osobowych (w tym adresowych i kontaktowych), a także uzyskać dostęp do systemu e-WUŚ NFZ”.
  • Błąd popełnili przede wszystkim producenci oprogramowania gabinetowego. Dostęp do bazy danych pacjentów odbywał się w ich aplikacjach przy użyciu zakodowanego na stałe hasła, które było zaszyte w kodzie oprogramowania – wyjaśnia redakcja. Co więcej, za jego pomocą „przestępca mógłby wystawiać refundowane recepty, skierowania czy zwolnienia lekarskie”.
  • Skala ujawnionych nieprawidłowości jest ogromna, dotyczy kilkunastu tysięcy przychodni, gabinetów lekarskich, stomatologicznych i aptek. Dzięki zgłoszeniu sygnalisty udało się załatać luki. Nie ma jednak gwarancji, że informacje nie wyciekły.
  • W ubiegłym roku lekarze alarmowali, że wystarczy znać czyjś PESEL oraz mieć dostęp do systemu, do którego dostęp powinni mieć tylko lekarze, by poznać wszelkie leki przepisane wybranej osobie. Środowisko lekarskie uważa, że to błąd w zaprojektowanym systemie i naruszenie dóbr osobistych, a rząd – że żaden błąd, tylko funkcjonalność.

Źródło: Luka w systemie. Dane milionów pacjentów narażone na kradzież – Polska – PR24.PL (polskieradio24.pl) Dane 10 mln pacjentów narażone na kradzież. Zadziałał sygnalista – Money.pl

Meta rezygnuje z planów przetwarzania danych użytkowników Facebooka w Europie

  • Tylko do 26 czerwca użytkownicy Facebooka i Instagrama mogą zastrzec swoje dane – posty, zdjęcia i inne treści umieszczane na tych platformach. W przeciwnym razie posłużą one do trenowania sztucznej inteligencji tworzonej przez firmę Meta – tak wynikało z nowej polityki prywatności właściciela serwisów społecznościowych. Austriacka organizacja Noyb działająca na rzecz przestrzegania praw cyfrowych złożyła skargę do organów w 11 krajach, w tym do polskiego Urzędu Ochrony Danych Osobowych. Domagała się, by urzędnicy na mocy RODO w trybie pilnym zakazali tych praktyk.
  • Jak wskazano w skardze skierowanej do polskiego UODO, organizacja uważa, że może dojść do „nieodwracalnego wykorzystania całych zbiorów danych ponad 400 milionów użytkowników z UE i Europejskiego Obszaru Gospodarczego (EOG) do nieokreślonych technologii „sztucznej inteligencji”, bez żadnych wskazań co do celów tych systemów”. Zarzuca przy tym Mecie potencjalną możliwość naruszenia co najmniej kilku przepisów europejskiego rozporządzenia o ochronie danych (RODO).
  • Irlandzki organ ochrony danych (Data Protection Comission) przeprowadził rozmowy z przedstawicielami META, w wyniku których spółka zawiesiła wykorzystanie danych osobowych do trenowania swoich modeli językowych działających w oparciu o sztuczną inteligencję. META nie będzie wykorzystywać w tym celu treści udostępnianych publicznie przez dorosłych użytkowników serwisów społecznościowych należących do spółki na terenie Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
  • Prezes UODO zaznacza, że przetwarzanie danych osobowych z wykorzystaniem mechanizmów sztucznej inteligencji musi się odbywać z poszanowaniem przepisów o ochronie danych osobowych i organy nadzorcze będą wspólnie podejmować działania i wspierać się w sytuacji, gdy będzie istniało ryzyko dla naruszenia prywatności osób, których dane dotyczą.

Żródło: Sztuczna inteligencja przemieli 400 milionów kont na Facebooku i Instagramie. „To powinno być zakazane w trybie pilnym”. Do kiedy można zastrzec konta? – GazetaPrawna.pl; Aktualności – UODO

WSA o interpretacji pojęcia danych osobowych w odniesieniu do numeru telefonu

  • Sprawa zaczęła się od tego, że pewien obywatel otrzymywał telefony od spółki, która wskazała Prezesowi UODO, że do dnia przekazania jej kopii skargi nie posiadała żadnych danych osobowych tego obywatela. Spółka wykonywała połączenia telefoniczne, pod posiadane przez Spółkę numery telefonów, jednakże bez przyporządkowanych do nich jakichkolwiek danych osobowych ich właścicieli lub użytkowników.
  • Telemarketer kontaktujący się z daną osobą w imieniu Spółki nie znał jakichkolwiek danych osobowych rozmówcy, w tym imienia, nazwiska, wieku, czy adresu zamieszkania, do czasu ich ewentualnego podania drogą elektroniczną, celem przesłania zaproszenia, voucher lub dalszych informacji. Spółka pozyskała numer telefonu Wnioskodawcy w ramach umowy o udostępnienie pakietu danych (numerów telefonów typowanych na podstawie kryterium geograficznego) od współpracującego z nią podmiotu nazwanego w treści decyzji Spółką II. Spółka wskazała, że usunęła nr telefonu Wnioskodawcy.
  • Prezes UODO decyzją z marca 2023 r. udzielił Spółce upomnienia za naruszenie art. 6 ust. 1 RODO, polegającego na przetwarzaniu – bez podstawy prawnej – w celach marketingowych danych osobowych Wnioskodawcy w zakresie numeru telefonu.
  • Prezes UODO bardzo szeroko argumentował, że sam numer telefonu stanowi daną osobową, a pełnomocnik Spółki – przeciwnie. Skład WSA w Warszawie przychylił się do stanowiska pełnomocnika. Sąd wskazał, że skarga zasługuje na uwzględnienie, gdyż trafne są zarzuty Spółki, gdzie podniesiono, że orzekając w sprawie, naruszono przepis prawa materialnego zakreślający, co należy traktować jako dane osobowe (art. 4 pkt 1 RODO), których przetwarzanie podlega regułom RODO.
  • Organ nie wywiódł jednak, aby tego rodzaju charakter miał w danym przypadku sam nr telefonu – nieprzypisany do konkretnej osoby, w ramach zbioru informacji posiadanych przez podmiot, dysponujący tymi danymi, bądź w łatwy sposób pozyskiwalnymi.

Źródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7205792098363617280-O09K?utm_source=share&utm_medium=member_desktop

PUODO: Projekt ustawy Prawo komunikacji elektronicznej wymaga zmian

  • Prezes UODO przekazał 7 czerwca 2024 r. uwagi o projekcie Kancelarii Sejmu. Projekt ten przeszedł już konsultacje i opiniowanie na etapie prac rządowych. Prezes UODO brał w nich udział, a znaczna część jego uwag została uwzględniona. Podstawowe uwagi Prezesa UODO są dwie.
  • Pierwsza dotyczy trybu prac nad projektem. Projektodawca pominął w procesie tworzenia prawa przeprowadzenie testu prywatności. Tymczasem przy przygotowaniu takich projektów konieczne jest zbadanie, jak nowe rozwiązania wpłyną na ochronę danych osobowych (zgodnie z art. 25 ust. 1, jak i art. 35 RODO). Druga uwaga dotyczy modelu retencji i udostępniania uprawnionym podmiotom danych o użytkownikach.
  • Projekt powiela rozwiązania z Prawa telekomunikacyjnego. Zakłada, że przedsiębiorcy telekomunikacyjni będą przez rok musieli przechowywać szczegółowe dane o połączeniach i udostępniać je sądom, prokuraturze, policji, Biuru Nadzoru Wewnętrznego, Straży Granicznej, Służbie Więziennej, SOP, ABW, SKW, Żandarmerii Wojskowej, CBA i KAS. Będą to dane pozwalające na identyfikację użytkowników, czas, miejsce i rodzaj połączenia. Dokładny zakres przechowywanych danych określi rozporządzenie. Zdaniem Prezesa UODO, tak istotne szczegóły powinny być ustalone w ustawie.
  • Prezes UODO zwraca też uwagę, że taki, niezróżnicowany, sposób gromadzenia danych o wszystkich użytkownikach jest niezgodny z Kartą Praw Podstawowych Unii Europejskiej. Przywołuje istotne dla sprawy orzeczenia TSUE, które zapadły już po przyjęciu przez Polskę Prawa telekomunikacyjnego.
  • W ocenie Prezesa UODO stosowany obecnie model bezwarunkowego gromadzenia danych o wszystkich użytkownikach nie zapewnia stosowania wynikających z przepisów RODO zasad dotyczących przetwarzania danych osobowych: zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, zasady minimalizacji danych oraz ograniczenia przechowywania, jak również wynikającej z art. 51 ust. 2 Konstytucji RP zasady ograniczenia gromadzenia informacji o obywatelach przez władze publiczne.

Źródło: Aktualności – UODO; https://uodo.gov.pl/pl/file/4899

Sejm przyjął poprawki Senatu do ustawy dot. ochrony sygnalistów

  • Poprawki, które wprowadził Senat i przyjął Sejm miały na celu usunięcie prawa pracy z katalogu naruszeń prawa, które mogą zostać zgłoszone lub ujawnione publicznie przez sygnalistę. Inna rozstrzyga, że sygnaliście przysługuje nieodpłatna pomoc prawna i nieodpłatne poradnictwo obywatelskie, także wówczas, gdy jest on w stanie ponieść koszty odpłatnej pomocy prawnej. Pozostałe poprawki miały charakter legislacyjny.
  • Przypomnijmy, w pierwotnej wersji katalogu obszarów, w ramach których będzie można dokonać zgłoszenia lub ujawnienia publicznego znalazło się m.in.: prawo pracy, korupcja, zamówienia publiczne; usługi, produkty i rynki finansowe; przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu; bezpieczeństwo produktów i ich zgodności z wymogami; bezpieczeństwo transportu; ochrona środowiska; ochrona radiologiczna i bezpieczeństwo jądrowe; bezpieczeństwo żywności i pasz; zdrowie i dobrostan zwierząt; zdrowie publiczne; ochrona konsumentów; ochrona prywatności i danych osobowych; bezpieczeństwo sieci i systemów teleinformatycznych; konstytucyjne wolności i prawa człowieka i obywatela.
  • W związku z dokonaniem zgłoszenia przez sygnalistę, nie będzie go można pociągnąć do odpowiedzialności, w tym odpowiedzialności dyscyplinarnej lub np. odpowiedzialności za szkodę dotyczącą naruszenia praw innych osób. Chodzi w szczególności o prawa autorskie, przepisy o ochronie danych osobowych oraz obowiązek zachowania tajemnicy, w tym tajemnicy przedsiębiorstwa.

Żródło: Sejm przyjął poprawki Senatu do ustawy dot. ochrony sygnalistów (bank.pl); Ustawa o sygnalistach. Sejm przyjął poprawki do rozwiązań chroniących pracowników – Money.pl

Na administratorze spoczywa obowiązek współpracy z PUODO - WSA potwierdza

  • Administrator zobowiązany jest, na żądanie Prezesa UODO, dostarczyć wszelkich informacji niezbędnych do realizacji jego zadań – uznał Wojewódzki Sąd Administracyjny w Warszawie (dalej: „WSA w Warszawie”).
  • WSA w Warszawie wyrokiem z 21 czerwca 2024 r., sygn. akt II SA/Wa 2216/23, oddalił skargę spółki handlowej na decyzję Prezesa UODO, w której organ nadzorczy nałożył na spółkę karę w wysokości 56 tys. zł. Powodem zastosowania sankcji był brak reakcji spółki na wielokrotnie wezwania Prezesa UODO do złożenia wyjaśnień. Dodatkowo spółka na pytania organu nadzorczego, sformułowane w związku z otrzymaną skargą osoby fizycznej, udzielała niepełnych odpowiedzi przesyłanych nieterminowo. Nie dostarczyła także dokumentu pełnomocnictwa, z którego wynikałoby umocowanie pracownika spółki do reprezentowania jej w postępowaniu przed Prezesem UODO.
  • Oddalając skargę spółki WSA w Warszawie potwierdził, że brak podjęcia współpracy z Prezesem UODO, może prowadzić do nieuzasadnionego wydłużenia postępowania administracyjnego prowadzonego przez organ nadzorczy oraz utrudniać wnikliwe rozpoznanie sprawy. Takie zachowanie administratora bezpośrednio narusza prawa osoby, której dane dotyczą, oczekującej na rozstrzygnięcie przez PUODO, złożonej skargi.

Żródło: Aktualności – UODO

AI w sądownictwie i sektorze zdrowia. PUODO: Obciążone wysokim ryzykiem

  • Będę wspierać dobre rozwiązania dla Polski w tym obszarze, tak by mechanizmy sztucznej inteligencji mogły się rozwijać przy zapewnieniu poszanowania prywatności i ochrony danych osobowych – deklaruje Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski w rozmowie z CyberDefence24.pl.
  • Wprowadzenie rozwiązań sztucznej inteligencji w sądownictwie i ochronie zdrowia miałoby wiele zalet, takich jak przyspieszenie postępowań, czy skrócenie kolejek do lekarzy. Taki krok budzi jednak obawy, zwłaszcza w kontekście wrażliwych danych, do których sztuczna inteligencja miałaby dostęp. Te obszary obciążone są wysokim ryzykiem, a zatem potencjalnie mogą rodzić duże niebezpieczeństwa negatywnego wpływu na prawa i wolności obywateli.
  • Rozwiązania sztucznej inteligencji w sądownictwie miałaby charakter wspierający sędziów i innych pracowników wymiaru sprawiedliwości. Należy jednak zauważyć, że dyskusje, które toczą się na ten temat w Polsce mają charakter generalny. Nie dotyczą konkretnych projektów, bo te jeszcze nie powstały. Gdy powstaną – UODO z pewnością się do nich odniesie.
  • PUODO widzi też ogromny potencjał w wykorzystaniu sztucznej inteligencji w ochronie zdrowia, zwłaszcza w diagnostyce i leczeniu. Ustawodawca europejski wprowadza już w tym zakresie instrumenty, takie jak Europejska Przestrzeń Danych Zdrowotnych. Są to dane szczególne w rozumieniu 9 artykułu RODO. Tutaj występują różne wyzwania, związane z pseudonimizacją i anonimizacją danych. Te mechanizmy muszą być konstruowane z myślą o możliwościach systemów algorytmicznych.

Źródło: AI w sądownictwie i sektorze zdrowia. PUODO: Obciążone wysokim ryzykiem | CyberDefence24

ZUS zaczął korzystać ze sztucznej inteligencji. Prezes: To usprawnienie pracy, eliminacja błędów

  • Podczas środowej konferencji we Wrocławiu eksperci rozmawiali o zagadnieniach prawnych związanych z ochroną danych. Zakład Ubezpieczeń Społecznych to instytucja, która przetwarza dane osobowe wszystkich Polaków – dawniej odbywało się to w sposób analogowy, obecnie wykorzystywane są rozwiązania cyfrowe, w tym sztuczna inteligencja.
  • Zmiana technologii wymaga tego, żeby coraz bardziej się zagłębiać w aspekty ochrony danych. Z jednej strony to jest bezpieczeństwo (…), ale nowe technologie, szczególnie dotyczące sztucznej inteligencji wymagają bardzo przede wszystkim uważnej analizy prawnej, dostosowania prawa i dopiero potem można je wdrażać” – powiedział prezes ZUS Zbigniew Derdziuk.
  • Zapewnił, że w ZUS przestrzegane są wszystkie normy prawne, takie jak np. RODO. Pracownicy przechodzą też szkolenia – wszystko po to, aby system sprawnie funkcjonował.
  • Po pierwsze to będzie usprawnienie pracy pracowników, po drugie to będzie oczywiście eliminacja błędów. Ale też ważny aspekt, który wynika z przepisów prawa dotyczącego ochrony danych osobowych: sztuczna inteligencja nie może zastąpić człowieka. Musi to zawsze być prawo obywatela, żeby to człowiek musiał zatwierdzić tę decyzję, musi być ona rozliczalna, kontrolowalna i transparentna” – zaznaczył Derdziuk.
  • Sztuczna inteligencja jest wdrażana w ZUS od końca ubiegłego roku. Nowe technologie pomagają w przetwarzaniu dużej liczby danych. Każdego roku ZUS przetwarza ok. 200 TB danych, co odpowiada 78 mln stron dokumentów tekstowych. Przetwarzanych jest m.in. ok. 2 mln zwolnień lekarskich miesięcznie (PAP).

Źródło: ZUS zaczął korzystać ze sztucznej inteligencji. Prezes: To usprawnienie pracy, eliminacja błędów – Bankier.pl

UODO zmieni stanowisko w sprawach pracowniczych

  • UODO zebrał już uwagi dotyczące tego, co powinno się znaleźć w poradniku dla pracodawców dotyczącym ochrony danych osobowych w miejscu pracy po jego aktualizacji. Urząd zapewnia, że zebrane głosy zostaną poddane analizie i mogą realnie wpłynąć na kształt dokumentu.
  • Rewizja poradnika, który pochodzi z października 2018 r. jest bardzo istotna z kilku względów. Od czasu jego przyjęcia zostały wprowadzone nowe regulacje, jak chociażby te dotyczące pracy zdalnej czy badania trzeźwości. Zaraz będziemy mieć także przepisy dotyczące ochrony sygnalistów, które również wymagają uwzględnienia.
  • Ponadto w ostatnich latach pojawiły się istotne orzeczenia sądów, które odnoszą się np. do zasad przechowywania danych związanych z rekrutacją – wylicza dr Mirosław Gumularz. W wyroku z 20 lutego 2024 r. (sygn. III OSK 2700/22) NSA uznał, że okres przechowywania danych kandydatów do pracy może to trwać nie dłużej, niż wynosi okres przedawnienia roszczeń kandydatów, czyli trzy lata.
  • Prawnicy są przekonani, że w nowym poradniku nie można również pominąć nowych zjawisk w sferze pracowniczej. Przede wszystkim dotyczy to wykorzystywania nowych technologii w zatrudnieniu, co dziś jest już obecne na każdym etapie – zarówno przy rekrutacji, jak i w trakcie trwania zatrudnienia, aż po podejmowanie decyzji o zwolnieniu. UODO powinien wyjaśnić, kiedy mogą być stosowane takie rozwiązania jak: profilowanie, zautomatyzowane podejmowanie decyzji, sztuczna inteligencja i inne narzędzia oparte na działaniu algorytmów.
  • W opinii ekspertów z poradnika powinny też zostać wyeliminowane liczne błędy, nieścisłości czy pominięcia. – Dziś z poradnika można wyciągnąć wniosek, że w zasadzie pracodawca może opierać się tylko na dwóch podstawach – tj., gdy przepis kodeksu pracy lub innej ustawy wprost wskazuje, że zbieranie i dalsze przetwarzanie jest możliwe, albo w sytuacji, gdy pracownik wyraził zgodę na przetwarzanie. Natomiast zostały pominięte wszelkie inne podstawy przetwarzania wynikające z RODO, przede wszystkim prawnie uzasadniony interes pracodawcy – twierdzi Paweł Sych.

Źródło: UODO zmieni stanowisko w sprawach pracowniczych – GazetaPrawna.pl

TSUE: kolejne orzeczenie dot. interpretacji przepisów RODO w zakresie zadośćuczynienia

  • Trybunał Sprawiedliwości Unii Europejskiej wydał parę dni temu kolejne orzeczenie odnoszące się do interpretacji przepisu RODO odnoszącego się do zadośćuczynienia za naruszenie tego prawa.
  • Tym razem administratorem była spółka zajmująca się umożliwienie “grania na giełdzie” za pomocą aplikacji handlowej.
  • Osoby fizyczne, które chciały spróbować swoich sił i ewentualnie pomnożyć zainwestowane pieniądze podawały, podczas otwierania rachunku: nazwiska, daty urodzenia, adresy pocztowy, adresy poczty elektronicznej oraz cyfrowe kopie ich dowodów tożsamości.
  • Niestety w 2020 r. doszło do nielegalnego przejęcia przez osoby trzecie, których tożsamość pozostaje nieznana. Zdaniem administratora wspomniane dane osobowe nie zostały dotychczas wykorzystywane w sposób noszący znamiona oszustwa.
  • TSUE odpowiedział tak:

– przewidziane w art. 82 prawo do odszkodowania pełni wyłącznie funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełną kompensację poniesionej szkody;

– art. 82 ust. 1 RODO należy interpretować w ten sposób, że w razie wystąpienia szkody sąd krajowy może, w sytuacji gdy nie jest ona poważna, skompensować szkodę przyznając osobie, której dane dotyczą minimalne odszkodowanie, pod warunkiem, że takie odszkodowanie w pełni kompensuje poniesioną szkodę

Żródło: https://www.linkedin.com/posts/piotr-liwszic_orzecznictwo-rodo-w-jednym-miejscu-activity-7210857986380988416-Nt9b?utm_source=share&utm_medium=member_desktop

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO