RODO aktualności – 05.07.2022 r.

W jaki sposób Stołeczny Ośrodek dla Osób Nietrzeźwych naruszył przepisy RODO? Czy prawo kościelne jest zgodne z RODO? Czy w ramach realizacji obowiązku informacyjnego podanie samej kategorii odbiorców wystarczy? Jak doszło do naruszenia we Włoskiej firmie INAIL? Co zawierają wytyczne EROD dotyczące certyfikacji RODO? Czy Apple wykorzystuje prywatność do budowania przewagi na rynku? Czy wpisy w księgach wieczystych są odpowiednio chronione? Czy informacja o zarobkach inspektora ochrony danych może być udostępniona publicznie?  W jakich sytuacjach można przekazywać dane pasażerów transportu lotniczego? Dlaczego nie każdy wyciek danych musi być zgłoszony do UODO? Co mówią statystyki na temat wiedzy Polaków o RODO? Czym jest model „megabazy”? Dlaczego dochodzi do coraz większej liczby wyłudzeń danych pacjentów? Czy skarga kasacyjna w sprawie prywatnej to informacja publiczna? Czego dotyczyła skarga przeciwko Caffeina Media Srl?

MULTIMEDIA

#RODOA [20.06.2022]
#RODOA [27.06.2022]
Pobierz PDFPobierz PDF

Omówienie RODO aktualności na YouTube…

… albo w formie podcastu

UODO: 10 tys. zł kary za rejestrację dźwięku

  • UODO stwierdził naruszenie przepisów RODO przez Stołeczny Ośrodek dla Osób Nietrzeźwych
  • UODO został poinformowany o praktykach stosowanych przez ośrodek związanych ze stosowanym systemem monitoringu – ośrodkowi zarzucono pozbawione podstawy rejestrowanie dźwięku na terenie tej placówki za pośrednictwem zainstalowanego systemu monitoringu
  • ośrodek potwierdził, że jego system rejestruje zarówno obraz, jak i dźwięk, a celem przetwarzania jest m.in. sprawowanie stałego nadzoru nad osobami doprowadzonymi w celu wytrzeźwienia dla zapewnienia im bezpieczeństwa
  • poinformował też, że zapis z monitoringu obejmujący pomieszczenia, w których rejestrowany jest sygnał audio i wideo, jest przechowywany od 30 do 60 dni z wyjątkiem sytuacji, gdy nagranie jest zabezpieczone jako dowód w toczącym się postępowaniu
  • w ocenie organu nadzorczego przepisy prawa nie upoważniały administratora do przetwarzania danych w zakresie nagrań dźwięku dokonanych na terenie ośrodka
  • nagrywanie dźwięku jest w tym przypadku działaniem nadmiarowym, którego nie uzasadniają przepisy zarówno RODO, jak i ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi – jak podnosi w decyzji UODO rejestrowanie dźwięku to uprawnienie, które jest w prawie krajowym zastrzeżone przede wszystkim dla służb i to w konkretnych sytuacjach
    w rezultacie na administratora nałożono karę pieniężną w wysokości 10 tys. złotych

Żródło: https://uodo.gov.pl/pl/138/2401 https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8476126,kara-uodo-sodon-niezgodne-z-prawem-nagrywanie.html

Kościelny IOD: Prawo kościelne nie musi być w pełni zgodne z RODO

  • Kościół nie może godzić się na usuwanie danych osób, które z niego występują, choćby dlatego, że zdarzają się nawrócenia i musi wiedzieć, jakie sakramenty przyjął wierny – mówi ks. prof. dr hab. Piotr Kroczek, kościelny inspektor ochrony danych
  • zdaniem KIOD chrzest ma niezatarte znamię, niezniszczalny charakter, a co za tym idzie, jest to podstawowa dana związana z członkostwem w Kościele pozwalająca na uzyskiwanie innych środków zbawienia – jeżeli nie będzie informacji o chrzcie, to nie będzie możliwości ich uzyskiwania to zaś oznaczałoby, że cała działalność Kościoła zmierzająca do zbawienia, zostałaby podważona
  • poza tym teologicznym powodem jest też drugi – w księgach ochrzczonych zapisuje się także dodatkowe informacje związane z sakramentami, np. święceniami, ślubami zakonnymi, orzeczeniami nieważności małżeństwa, a to podstawowe źródło informacji o statusie kanonicznym osoby
  • Wykreślenie tych danych godziłoby także w porządek publiczny w Kościele – chodzi np. o konieczność zapobiegania bigamii.
  • w księgach parafialnych zostaną jednak dane o przyjętych sakramentach i statusie kanonicznym osoby – natomiast wszystkie inne informacje, np. czy ktoś należał do takiej, a nie innej parafii, czy przyjmował wizytę duszpasterską, będą co do zasady usuwane
  • w 2021 r. do KIOD wpłynęło 28 skarg, było 12 zgłoszeń naruszeń oraz prowadzono 7 postępowań wyjaśniających
  • zdaniem KIOD niezależność i autonomia Kościoła w sprawach własnych jest wielką wartością polskiego systemu prawnego i ma ona również zastosowanie do ochrony danych osobowych

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8456289,prawo-koscielne-koscielny-inspektor-ochrony-danych-rodo.html

Podanie samej kategorii odbiorców nie wystarczy

  • zgodnie z art. 15. ust. 1 lit. c RODO osoba, której dane dotyczą, jest uprawniona do uzyskania informacji na temat „odbiorców lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione” – wielu administratorów uznaje, że przepis pozwala im zdecydować, którą opcję wybierają
  • oczywiście dużo łatwiej jest wskazać samą, często bardzo ogólnie zdefiniowaną, kategorię odbiorców, dlatego na tym poprzestają – jak wynika z opinii rzecznika generalnego TSUE, przepisy nakazują przekazywanie precyzyjniejszych informacji
  • sprawa dotyczy austriackiej poczty, do której jeden z klientów skierował żądanie ujawnienia wszystkich odbiorców jego danych osobowych – poczta potwierdziła, że przekazuje dane dalej klientom biznesowym w celach marketingowych, nie wskazała jednak komu konkretnie
  • nie usatysfakcjonowało to klienta, który przed sądem domagał się ujawnienia mu szczegółowych informacji na temat odbiorców – sąd początkowo oddalił pozew, uznając, że art. 15 ust. 1 lit. c przewiduje alternatywę, która dopuszcza wskazanie samej kategorii odbiorców
  • wyższa instancja postanowiła jednak wystąpić z wnioskiem prejudycjalnym do TSUE
  • rzecznik generalny uważa, że zakres obowiązku informacyjnego jest uzależniony od tego, czy dane osobowe już zostały przekazane, czy też ma to się stać dopiero w przyszłości – jeśli już to nastąpiło, zainteresowane osoby mogą się domagać wskazania konkretnych odbiorców
  • z taką wykładnią przemawia nie tyle brzmienie samego przepisu, ile ogólne cele stawiane przez RODO, a także Kartę praw podstawowych Unii Europejskiej – odmienna interpretacja oznaczałaby, że nie można skutecznie chronić prywatności

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8464644,orzeczenie-tsue-rodo-dane-osobowe.html

Włochy: kary RODO (1)

50 000 EUR dla Istituto Nazionale Assicurazione Infortunio sul Lavoro (INAIL)

  • do naruszenia doszło w wyniku trzech włoskich incydentów, które doprowadziły do nieuprawnionego dostępu do danych dotyczących pracowników, w szczególności danych dotyczących ich zdrowia i wypadków przy pracy
  • „wirtualne biurko” zarządzane przez INAIL umożliwiło kilku użytkownikom dostęp do akt innych pracowników związanych z wypadkami przy pracy i chorobami zawodowymi
  • dochodzenia wykazały, że INAIL ponosi odpowiedzialność za nieuprawniony dostęp do danych osobowych osób trzecich (tj. innych użytkowników), w tym danych dotyczących zdrowia, co oznacza nieuprawnione ujawnienie danych osobowych oraz że nie zastosowano odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa w świetle zagrożeń wynikających z danego przetwarzania, co skutkowało naruszeniami ochrony danych osobowych
  • biorąc pod uwagę pełną współpracę, jaką wykazała INAIL w toku działań mających na celu ustalenie faktów, a także niewielką liczbę osób, których dotyczyły przedmiotowe naruszenia danych, włoski organ nałożył karę administracyjną w wysokości 50 000 EUR

Źródło: https://edpb.europa.eu/news/national-news/2022/data-breach-italian-sa-fines-inail-eur-50000_en

Włochy: kary RODO (2)

  • 40 000 EUR dla Szpitala Publicznego i firmy informatycznej
  • sprawa wywodziła się z szeregu kontroli dotyczących przetwarzania danych pozyskanych za pośrednictwem systemów zarządzania zgłaszaniem nieprawidłowości, ze szczególnym uwzględnieniem tych najczęściej wykorzystywanych przez włoskich pracodawcó
  • kontrole ujawniły również naruszenia, które można przypisać firmie informatycznej, która dostarczyła szpitalowi oprogramowanie do zarządzania zgłaszaniem nieprawidłowości jako podmiot przetwarzający
  • wspomniany system zarządzania zgłaszaniem nieprawidłowości śledził dostęp do oprogramowania, ponieważ połączenia z aplikacją do zgłaszania nieprawidłowości były rejestrowane i przechowywane w dziennikach zapory sieciowej w związku z tym można śledzić użytkowników aplikacji, w tym potencjalnych sygnalistów
  • nie przeprowadzono żadnej DPIA
  • w rejestrze czynności przetwarzania nie znaleziono wpisu dotyczącego tej czynności przetwarzania
  • stwierdzono również naruszenia dotyczące firmy informatycznej, która dostarczyła szpitalowi aplikację do zgłaszania nieprawidłowości jako podmiot przetwarzając – spółka ta nie uregulowała swoich relacji z dostawcą usług hostingowych zarówno jako podmiot przetwarzający (w stosunku do szpitala), jak i jako odrębny administrator (w zakresie swoich usług wewnętrznych, np. w zakresie zarządzania swoimi pracownikami czy czynności księgowych i administracyjnych )

Źródło: https://edpb.europa.eu/news/national-news/2022/whistle-blowing-without-privacy-italian-sa-fines-hospital-and-it-service_en

EROD przyjmuje wytyczne dotyczące certyfikacji

  • EROD przyjęła wytyczne dotyczące certyfikacji jako narzędzia przenoszenia – wytyczne będą podlegały konsultacjom społecznym do końca września
  • głównym celem wytycznych jest dostarczenie dalszych wyjaśnień na temat praktycznego wykorzystania tego narzędzia transferu
  • wytyczne dostarczają pierwszych praktycznych wskazówek dotyczących certyfikacji jako narzędzia przenoszenia – nowego narzędzia przenoszenia wprowadzonego przez RODO
  • wytyczne zawierają wskazówki dotyczące praktycznego wykorzystania tego narzędzia i sposobu, w jaki może ono pomóc w utrzymaniu wysokiego poziomu ochrony danych podczas przesyłania danych osobowych z Europejskiego Obszaru Gospodarczego do państw trzecich
  • wytyczne składają się z czterech części, z których każda koncentruje się na konkretnych aspektach dotyczących certyfikacji jako narzędzia transferu, takich jak cel, zakres i różne zaangażowane podmioty, wdrażanie wytycznych dotyczących wymagań akredytacyjnych dla jednostek certyfikujących, szczegółowe kryteria certyfikacji w celu wykazania istnienia odpowiednich zabezpieczeń dla transferów oraz wiążące i egzekwowalne zobowiązania, które mają zostać wdrożone
  • wytyczne uzupełniają wytyczne 1/2018 dotyczące certyfikacji , które zawierają bardziej ogólne wytyczne dotyczące certyfikacji

Źródło: https://edpb.europa.eu/news/news/2022/edpb-adopts-guidelines-certification-tool-transfers-and-art-65-dispute-resolution_en

Niemcy przyjrzą się mechanizmom ochrony prywatności Apple’a

  • niemiecki organ antymonopolowy przyjrzy się mechanizmom ochrony prywatności Apple’a – tematem postępowania ma być sprawdzenie, czy Apple nie wykorzystuje prywatności do budowania przewagi na rynku
  • niemiecki urząd antymonopolowy – FCO – pochylił się nad mechanizmem App Tracking Transparency (ATT) w kontekście wpływu na przychody Big Techów, którym nagle przyszło się zmierzyć z możliwością rezygnacji użytkowników z przekazywania danych na potrzeby reklamy
  • w ubiegłym roku podobne postępowanie wszczęła Francja, a pod koniec 2021 roku sprawą zainteresował się również polski UOKiK
  • zdaniem FCO, konkurencja na rynku aplikacji mobilnych może być ograniczona przez to, że konsumenci co prawda zdecydują się na ograniczenie przesyłania danych zewnętrznym aplikacjom mobilnym i reklamodawcom, jednak Apple nadal będzie miało do nich nieskrępowany dostęp, mogąc zestawiać je w dowolny sposób na potrzeby marketingu
  • FCO zauważa, że potężna pozycja koncernu pozwala mu dyktować warunki dla całego ekosystemu własnych produktów, jednak w tym wypadku zastosowanie reguł wykracza znacząco poza ofertę tej firmy – obejmując swoim oddziaływaniem inne spółki, w żadnym stopniu nie odnosząc się do działalności koncernu z Cupertino

Źródło: https://cyberdefence24.pl/prywatnosc/niemcy-przyjrza-sie-mechanizmom-ochrony-prywatnosci-applea-nie-chodzi-o-dane-osobowe

Dane osobowe Polaków na wyciągnięcie ręki - UODO apeluje o pilną debatę (1)

  • w przestrzeni publicznej coraz częściej mówi się, że wpisy w księgach wieczystych powinny być lepiej chronione
  • analizując je, można pozyskać wiele informacji, zawartych też w księgach powiązanych, nie tylko na temat właścicieli nieruchomości – oni sami nie mają kontroli nad tym, komu są udostępniane ich dane osobowe
  • Urząd Ochrony Danych Osobowych podkreśla, że dostęp do informacji zawartych w księgach wieczystych nie powinien być powszechny, choć niektóre instytucje próbują to zmienić
  • obecnie trwa spór sądowy między UODO a GUGiK (Głównym Urzędem Geodezji i Kartografii) – sprawę ma rozstrzygnąć NSA
  • stanowisko to będzie kluczowe w kontekście nie tylko ww. zakresu, ale może też wyznaczyć potrzebę szerszej dyskusji w stosunku do szeregu innych jawnych rejestrów, o co już dzisiaj apeluje UODO
  • w 2020 roku Prezes UODO wymierzył GGK karę w wysokości 100 tys. zł za ujawnienie bez podstawy prawnej danych osobowych w postaci numerów ksiąg wieczystych. Jednocześnie nakazał zaprzestać ich udostępniania
  • GGK odwołał się od tej decyzji, a Wojewódzki Sąd Administracyjny w Warszawie oddalił jego skargę – sprawa nie jest jednak zakończona, bo trafiła do Naczelnego Sądu Administracyjnego

Dane osobowe Polaków na wyciągnięcie ręki - UODO apeluje o pilną debatę (2)

  • NSA ma rozstrzygnąć, czy numery ksiąg wieczystych są danymi osobowymi i czy mogą być powszechnie dostępne w serwisie geoportal.gov.pl – obecnie funkcjonalność ustalenia numeru księgi wieczystej za jego pośrednictwem jest niedostępna
  • Dyrektor Departamentu Orzecznictwa i Legislacji w UODO wskazuje, że postawa GGK, który nie uwzględnił istniejących ograniczeń prawnych, jest bardzo niepokojąca i zaznacza, że UODO od początku informował o ogromnych zagrożeniach, jakie powstaną w związku z rozpowszechnieniem na ww. portalu numerów ksiąg wieczystych, a mimo tego rozwiązanie to zostało wdrożone
  • UODO przekonuje, że należy pilnie podjąć szerszą debatę nad modelem jawności i powszechnej dostępności danych zawartych w różnych bazach – organ nieustannie zwraca na ten aspekt uwagę, np. w kontekście publikacji PESEL (który jest krajowym numerem identyfikacyjnym w rozumieniu RODO) w Krajowym Rejestrze Sądowym, Rejestrze Należności Publicznoprawnych czy w innych publicznych rejestrach

Źródło: https://biznes.interia.pl/nieruchomosci/news-dane-osobowe-polakow-na-wyciagniecie-reki-uodo-apeluje-o-pil,nId,6111642#naglowek-spor-przed-nsa

WSA: Zadania inspektora ochrony danych mogą przesądzać o udostępnieniu informacji o jego zarobkach

  • prawo do prywatności nie zawsze będzie blokować udostępnienia informacji o wynagrodzeniu inspektora ochrony danych – jeśli osoba zajmująca to stanowisko ma rzeczywisty wpływ na kształtowanie spraw publicznych, należy uznać, że pełni funkcję publiczną
  • tym samym informacja o wysokości pensji ma związek z pełnieniem tej funkcji – tak orzekł WSA w Warszawie
  • spółka zwróciła się do ZUS z wnioskiem o udostępnienie informacji na temat osoby pełniącej w jednostce funkcję inspektora ochrony danych – konkretnie chciała się dowiedzieć, w jaki sposób wyłoniono kandydata na to stanowisko, na podstawie jakiej umowy został zatrudniony, jaki ma zakres obowiązków oraz ile zarabia
  • Prezes ZUS odmówił udostępnienia informacji w zakresie wysokości wynagrodzenia ze względu na ochronę prywatności osoby fizycznej
  • sprawą zajął się WSA w Warszawie, który podkreślił, że wynagrodzenia osób świadczących pracę na rzecz ZUS są finansowane ze środków publicznych, a zgodnie z zasadą wyrażoną w art. 33 ust. 1 ustawy o finansach publicznych, gospodarka tymi środkami jest jawna
  • zgodnie z art. 5 ust. 2 ustawy o dostępie do informacji publicznej, prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej – ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne
  • sąd wskazał, że „funkcja publiczna” w rozumieniu udip, to funkcja związana z uprawnieniami i obowiązkami w zakresie realizacji zadań o znaczeniu publicznym – pojęcie to obejmuje więc każdą osobę, która ma realny i skonkretyzowany wpływ na kształtowanie spraw publicznych w rozumieniu art. 1 ust. 1 udip

Źródło: https://www.prawo.pl/biznes/informacja-o-wynagrodzeniu-inspektora-ochrony-danych-moze,515651.html

TSUE: Dane pasażerów można przetwarzać w związku z zagrożeniami (1)

  • w przypadku braku rzeczywistego i aktualnego lub przewidywalnego zagrożenia terrorystycznego, przed którym stoi państwo członkowskie, prawo Unii stoi na przeszkodzie przepisom krajowym przewidującym przekazywanie i przetwarzanie danych pasażerów w odniesieniu do lotów wewnątrzunijnych, jak również do transportu innymi środkami w obrębie Unii – stwierdził Trybunał Sprawiedliwości UE
  • dyrektywa PNR1 wprowadza systematyczne przetwarzanie znacznej ilości danych PNR (Passenger Name Record) pasażerów lotniczych lotów pozaunijnych przy wjeździe do Unii i wyjeździe z Unii, do celów zwalczania terroryzmu i poważnej przestępczości, a w art. 2 tej dyrektywy przewidziano możliwość stosowania jej przez państwa członkowskie także do lotów wewnątrzunijnych
  • Stowarzyszenie Ligue des droits humains (LDH) w lipcu 2017 r. wniosło do belgijskiego trybunału konstytucyjnego skargę o stwierdzenie nieważności w całości lub w części ustawy z 25 grudnia 2016 r. o przetwarzaniu danych pasażerów, transponującej do prawa belgijskiego zarówno dyrektywę PNR, jak i dyrektywę API 2 i dyrektywę 2010/65 3 – w przekonaniu LDH ustawa ta narusza zagwarantowane w prawie belgijskim i w prawie Unii prawo do poszanowania życia prywatnego i ochrony danych osobowych
  • w październiku 2019 r. Cour constitutionnelle skierował do Trybunału Sprawiedliwości dziesięć pytań prejudycjalnych dotyczących między innymi ważności dyrektywy PNR oraz zgodności tej ustawy z prawem unijnym

TSUE: Dane pasażerów można przetwarzać w związku z zagrożeniami (2)

  • w ogłoszonym 21 czerwca br. wyroku Trybunał orzekł, że ponieważ dokonana przez Trybunał wykładnia przepisów dyrektywy PNR w świetle praw podstawowych gwarantowanych w art. 7, 8 i 21 oraz w art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej zapewnia zgodność tej dyrektywy z tymi artykułami, analiza pytań prejudycjalnych nie wykazała żadnej okoliczności mogącej wpłynąć na ważność owej dyrektywy
  • Trybunał stwierdził, że dyrektywa PNR ustanawia istotne ingerencje w prawa zagwarantowane na mocy art. 7 i 8 karty ze względu między innymi na to, ze jej celem jest wprowadzenie systemu nadzoru o charakterze stałym, nieukierunkowanym i systematycznym, przewidującego zautomatyzowaną ocenę danych osobowych wszystkich pasażerów korzystających z usług transportu lotniczego
  • Trybunał przypomniał, że możliwość uzasadnienia przez państwa członkowskiej takiej ingerencji musi być oceniana z uwzględnieniem jej wagi oraz tego, czy znaczenie realizowanego celu w interesie ogólnym pozostaje w związku z tą wagą
  • Trybunał stwierdził, że przekazywanie, przetwarzanie i przechowywanie danych PNR przewidziane w tej dyrektywie można uznać za ograniczone do tego, co jest ściśle niezbędne do celów zwalczania przestępstw terrorystycznych i poważnej przestępczości, pod warunkiem że uprawnienia przewidziane w tej dyrektywie będą interpretowane w sposób zawężający

Źródło: https://www.prawo.pl/prawo/dane-pasazerow-mozna-przetwarzac-w-zwiazku-z-zagrozeniami,515778.html

RODO: Nie każdy wyciek danych trzeba zgłaszać (1)

  • ujawnienie numeru PESEL nie musi oznaczać wysokiego ryzyka np. zaciągnięcia pożyczki – uznał sąd, uchylając karę finansową UODO
  • Urząd Ochrony Danych Osobowych od lat konsekwentnie uznaje, że wyciek numeru PESEL wiąże się z wysokim ryzykiem dla praw i wolności osób fizycznych – WSA w Warszawie polemizuje z tym podejściem
  • zwraca uwagę, że hipotetyczne zagrożenia, takie jak wzięcie pożyczki czy możliwość podszycia się pod właściciela numeru PESEL, nie zostały wykazane
  • sprawę ostatecznie rozstrzygnie Naczelny Sąd Administracyjny, gdyż prezes UODO wniósł już skargę kasacyjną – utrzymanie wyroku oznaczałoby bowiem rewolucję w ocenie zagrożenia jednego z najczęściej spotykanych wycieków
  • spór dotyczył stosunkowo często spotykanego naruszenia, czyli wysłania korespondencji do niewłaściwego adresata
  • pośrednik ubezpieczeniowy przesłał e-maila z kalkulacją dotyczącą ubezpieczenia domu do złego odbiorcy -w niezaszyfrowanej wiadomości widniały dane klienta takie jak imię i nazwisko, kod pocztowy i właśnie PESEL oraz symulacje kilku ubezpieczycieli
  • pośrednik powiadomił o swoim błędzie prezesa UODO, podobnie zrobiła większość ubezpieczycieli, których oferty widniały w e-mailu
  • zgłoszenia takiego nie dokonało natomiast Sopockie Towarzystwo Ubezpieczeń ERGO Hestia, uznając na podstawie własnej analizy, że ryzyko związane z tym wyciekiem nie jest duże oraz, że podjęło wystarczające kroki, by mu zapobiec – odebrało bowiem od odbiorcy danych oświadczenie, w którym potwierdził on, że usunął błędnie zaadresowanego e-maila bez zapoznawania się z zawartością załącznika

RODO: Nie każdy wyciek danych trzeba zgłaszać (2)

  • Prezes UODO uznał, że Hestia była zobowiązana zarówno do powiadomienia go o naruszeniu, jak i przekazania takiej informacji klientowi
  • za brak tych powiadomień nałożył karę niespełna 160 tys. zł. – WSA w Warszawie uchylił ją jednak
  • sąd przyznał, że doszło do naruszenia ochrony danych przez sam fakt, że trafiły one na e-mail osoby uprawnionej i nie ma znaczenia, czy osoba ta zapoznała się z nimi, czy też nie
  • jednak sąd uznał, że nie było one wysokie, a tylko przy takim administrator jest zobowiązany poinformować o naruszeniu samego zainteresowanego.
  • wyrok stwierdza, że samo przejęcie przez kogoś numeru PESEL, nawet w połączeniu z imieniem i nazwiskiem czy kodem pocztowym nie stanowi automatycznie dużego zagrożenia dla właściciela danych – co więcej, te same dane osób zasiadających we władzach spółek są publicznie dostępne w Krajowym Rejestrze Sądowym i nie są przecież wykorzystywane do kradzieży tożsamości
  • zdaniem sądu organ nie wykazał przekonywająco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem internetu lub telefonicznie
  • niepotwierdzone konkretnymi dowodami wydają się również stwierdzenia organu, że dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwala, np. na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem

Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8479129,rodo-zgloszenie-wycieku-danych.html

Ponad połowa Polaków nie wie, jak zareagować w przypadku wycieku danych osobowych

  • co trzeci Polak boi się wycieków danych osobowych
  • równocześnie mniej niż połowa z nas wiedziałaby, co należy w takiej sytuacji zrobić
  • największe problemy z tym mieliby seniorzy, którzy nie mają wystarczającej wiedzy na temat tego, kto i w jaki sposób przetwarza nasze dane osobowe
  • co trzeci badany uważa, że odpowiedzialność spoczywa wyłącznie na ofierze
  • Polacy za największe zagrożenie dla danych osobowych uważają oszustów, którzy próbują je wyłudzić poprzez fałszywe SMS-y, e-maile i telefony (43 proc.), na drugim miejscu znalazły się jednak wycieki danych, których obawia się co trzeci ankietowany (34,5 proc.)
  • badani częściej obawiali się wycieków z baz firm prywatnych
  • blisko 2/3 ankietowanych wie, z czym może się wiązać wyciek danych osobowych
  • tylko niewiele ponad 30 proc. ankietowanych deklaruje, że wie, kto powinien się zająć neutralizacją skutków wycieku – co trzeci ankietowany uważa, że neutralizacją skutków powinna zająć się osoba, której dane wyciekły
  • badanie na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych zostało przeprowadzone w marcu 2022 roku metodą CAWI na reprezentatywnej grupie 1010 respondentów przez IMAS International

Żródło: https://uodo.gov.pl/pl/138/2404  https://www.prawo.pl/prawo/wyciek-danych-osobowych-niewiele-osob-wie-jak-sie-bronic,515873.html

Megabaza z ograniczony zakresem danych Polaków

  • zakres danych gromadzonych w Centralnej Informacji Emerytalnej zostanie ograniczony – zapowiada minister cyfryzacji po uwagach zgłoszonych podczas konsultacji projektu ustawy
  • Centralna Informacja Emerytalna ma zapewnić Polakom dostęp w jednym miejscu do informacji o wszystkich posiadanych produktach emerytalnych – logując się w niej, będzie można dowiedzieć się nie tylko, jaka będzie emerytura z ZUS czy KRUS, lecz także poznać stan wszystkich oszczędności emerytalnych zgromadzonych w IKE, IKZE, PPE, PPK, OFE
  • aby zapewnić dostęp do tych informacji, powstanie megabaza gromadząca dane z ponad 150 źródeł – począwszy od ZUS i KRUS, przez instytucje finansowe prowadzące IKE i IKZE, podmioty zarządzające pracowniczymi programami emerytalnymi, na powszechnych towarzystwach emerytalnych kończąc
  • czy gromadzenie tak wielu danych kilkudziesięciu milionów Polaków z tak wielu źródeł jest uzasadnione, a przede wszystkim bezpieczne? – niektórzy zgłaszający uwagi podczas konsultacji mają co do tego wątpliwości
  • uwagi te, przynajmniej częściowo, będą uwzględnione przez ministra cyfryzacji
  • Planujemy zmienić model na taki, który ograniczy zakres danych użytkowników przechowywanych w CIE przed pierwszym logowaniem – odpowiedziała Monika Dębkowska z KPRM Cyfryzacja

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8481899,centralna-informacja-emerytalna-megabaza-dane-polakow.html

Coraz więcej danych pacjentów w rejestrach, coraz więcej prób wyłudzeń

  • coraz więcej danych pacjentów, w tym wrażliwych, trafia do centralnych systemów informatycznych
  • jednocześnie nasilają się wyłudzenia i cyberataki, których te dane są celem, o czym przestrzega Narodowy Fundusz Zdrowia
  • z danych CERT udostępnionych przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy (NASK) wynika, że od początku roku do 29 czerwca 2022 r. w szeroko rozumianym systemie ochrony zdrowia zgłoszono 72 incydent
  • można więc w przybliżeniu przyjąć, że w każdym miesiącu dochodzi do co najmniej 12 cyberataków w przychodniach czy szpitalach
  • najwięcej z nich dotyczyło: podatności oprogramowania – (24), wiadomości phishingowych i oszustw (15), szkodliwego oprogramowania (9), włamania na konto mailowe (4), włamania lub próby włamania do infrastruktury placówki (4)
  • RODO nakłada obowiązek przeprowadzenia analizy ryzyka i dobrania odpowiednio środków zabezpieczających – każdy administrator – w tym wypadku podmiot leczniczy – musi przed rozpoczęciem przetwarzania danych osobowych przeprowadzić analizę, aby dobrać zabezpieczenia
  • natomiast samo RODO nie wskazuje szczegółowo tych środków
  • oprócz administratora danych osobowych, odpowiedzialność ponoszą także procesorzy, czyli na przykład firmy informatyczne – coraz częściej pojawiają się kary nakładane przez Prezesa UODO również na procesora, czyli na podmiot, który zajmuje się częścią wykonawczą

Źródło: https://www.prawo.pl/zdrowie/odpowiedzialnosc-podmiotu-leczniczego-za-wyciek-danych,515938.html

NSA: Skarga kasacyjna w sprawie prywatnej to nie informacja publiczna

  • treść skargi nadzwyczajnej w prywatnej sprawie nie jest informacją publiczną – uznał Naczelny Sąd Administracyjny
  • skarga, o której treść wystąpił obywatel, dotyczyła sprawy prawomocnego nakazu zapłaty wydanego przez sąd – Prokuratura Krajowa uznała jednak, że dokument ten nie ulega udostępnieniu w trybie dostępu do informacji publicznej, gdyż jest przedmiotem postępowania przed Sądem Najwyższym
  • obywatel nie uznał tego wyjaśnienia – po wyroku WSA, który przyznał racje Prokuraturze, sprawa ostatecznie trafiła przed NSA, skargę kasacyjną w tej sprawie wniósł również Rzecznik Praw Obywatelskich
  • NSA powołał się na definicję informacji publicznej i stwierdził, że w przepisach prawa brak jest legalnej definicji „sprawy publicznej„ – zdaniem NSA z pewnością jest to sprawa, która, jak wynika z potocznego rozumienia pojęcia „publiczny”, odnosi się w jakimś stopniu do kwestii dotyczących ogółu, służących ogółowi ludzi, dostępnych dla wszystkich, ogólnych, społecznych i nieprywatnych mogących interesować ogół obywateli
  • przeciwieństwem „sprawy publicznej” jest „sprawa prywatna”, czyli niepubliczna, osobista, indywidualna, dotycząca sfery prywatnej człowieka w tym również jego interesu prawnego
  • skoro ustawodawca przyjmuje, że informacją publiczną jest w szczególności „stanowisko organu w sprawie publicznej” to a contrario takiego waloru nie może mieć stanowisko organu w sprawie prywatnej dotyczącej innego podmiotu i naruszenia jego interesu prawnego

Źródło: https://www.prawo.pl/prawnicy-sady/skarga-kasacyjna-w-sprawie-prywatnej-a-informacja-publiczna,515886.html

Włoski organ zakazuje korzystania z Google Analytics (1)

  • w dniu 17 sierpnia 2020 r. złożono skargę do włoskiego organu nadzorczego (SA) dotyczącą przekazywania danych do USA – była to jedna ze 101 skarg otrzymanych od NOYB przez kilka europejskich organów nadzorczych uczestniczących w grupie zadaniowej w celu zapewnienia spójnego podejścia do kwestii tych skarg.
  • skarga przeciwko Caffeina Media Srl dotyczy następującej sytuacji: skarżący odwiedził stronę administratora, będąc jednocześnie zalogowanym do konta Google powiązanego z adresem e-mail skarżącego
  • na stronie administrator osadził kod HTML dla narzędzi Google Analytics – w trakcie wizyty dane osobowe dotyczące skarżącego zostały przekazane do USA
  • skarga została skierowana przeciwko Caffeina Media Srl i Google LLC (w USA), za dalsze akceptowanie tych transferów danych pomimo naruszenia RODO
  • włoski organ stwierdził, że Caffeina Media Srl korzystająca z Google Analytics na swojej stronie internetowej gromadzi, za pośrednictwem plików cookie, informacje o interakcjach użytkowników z odpowiednimi witrynami, odwiedzanymi stronami i oferowanymi usługami
  • zbiór danych zbieranych w związku z tym obejmował adres IP urządzenia użytkownika wraz z informacjami o przeglądarce, systemie operacyjnym, rozdzielczości ekranu, wybranym języku, dacie i godzinie przeglądania strony
  • włoski organ powtórzył, że adres IP jest danymi osobowymi i nie byłby anonimizowany, nawet gdyby został skrócony – biorąc pod uwagę możliwości Google do wzbogacania takich danych o dodatkowe informacje, które posiada

Włoski organ zakazuje korzystania z Google Analytics (2)

  • uznano, że dane osobowe użytkowników zostały przekazane do USA z naruszeniem rozdziału V RODO, ponieważ przyjęte przez Google środki uzupełniające instrumenty przekazywania danych (standardowe klauzule umowne o ochronie danych) nie zapewniały odpowiedniego poziomu ochrony w świetle wytycznych przedstawionych przez EROD w jej zaleceniach nr 1/2020 z dnia 18 czerwca 2021 r.
  • amerykańskie agencje rządowe i wywiadowcze mogą rzeczywiście uzyskać dostęp do przekazywanych danych osobowych bez wymaganych zabezpieczeń
  • stwierdzono również, że administrator nie podał na swojej stronie internetowej informacji wymaganych na podstawie art. 13 RODO
  • organ przyjął decyzję nakazującą Caffeina Media Srl doprowadzenie przetwarzania do zgodności z RODO w terminie dziewięćdziesięciu dni – jeśli okaże się, że tak nie jest, zostanie nakazane zawieszenie przepływu danych związanych z Google Analytics do USA
  • włoski organ udzielił również nagany Caffeina Media Srl

Źródło: https://edpb.europa.eu/news/national-news/2022/italian-sa-bans-use-google-analytics-no-adequate-safeguards-data-transfers_en

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 27.02.2024 r.
RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO