RODO aktualności – 08.11.2022 r.

Czy UOKiK dopuścił się przestępstwa ujawnienia danych? W jakim czasie należy zgłosić naruszenie do UODO? Jak doszło do cyberataku na polskich komorników? Czy i kiedy uda się w uproszczony sposób przekazywać dane osobowe do USA? Czy szkolenie osób postronnych podczas wyjazdów karetek narusza RODO? W jaki sposób ubezpieczyciele powinni dbać o cyberbezpieczeństwo swoich klientów? Na czym polegać będzie zmiana polityki TikToka?

MULTIMEDIA

#RODOA [31.10.2022]
#RODOA [07.11.2022]
Pobierz PDF

Obejrzyj na YouTube

Odsłuchaj podcast

Pobierz PDF

Obejrzyj na YouTube

Odsłuchaj podcast

 

Czy UOKiK dopuścił się przestępstwa ujawnienia danych osobowych?

  • redakcja DGP zapoznała się z treścią zawiadomienie do prokuratury skierowanego przez warszawską spółkę Obligacje Społeczne Prosta S.A. – spółka twierdzi, że Urząd Ochrony Konkurencji i Konsumentów dopuścił się przestępstwa ujawnienia danych osobowych
  • chodzi o informacje dotyczące Klaudiusza Dębowskiego, który widnieje w KRS jako prezes zarządu spółki
  • 8 sierpnia br. Prezes UOKiK poinformował o nałożeniu ponad 170 tys. zł kary na wspomnianą spółkę oraz zarządzającego nią Klaudiusza Dębowskiego – chodziło o naruszanie zbiorowych interesów konsumentów
  • Spółka twierdzi, że UOKiK, publikując na swojej stronie internetowej decyzję dotyczącą nałożenia kar, nieprawidłowo usunął dane, które powinny być zanonimizowane – przykładowo te dotyczące osiągniętych przez Dębowskiego przychodów czy miejsca zamieszkania
  • urzędnik wprowadzający plik do sieci nie usunął poufnych treści, a jedynie zmienił kolor czcionki fragmentów tekstu na biały (kolor tła dokumentu) – dla odczytania pełnej treści wystarczające były zatem wykonanie kopii tekstu i zmiana koloru czcionki na czarny
  • pierwotnie opublikowany na stronie UOKiK dokument nie jest już dostępny – podmieniono go na wersję, w której treści poufne są już poprawnie wycięte, a w ich miejscu znajduje się adnotacja: „(usunięto)”
  • mimo to jeszcze kilka dni temu, wpisując do wyszukiwarki internetowej frazę „Klaudiusz Dębowski przychody”, można było uzyskać informację o kwocie zawartej w pierwotnej wersji dokumentu
  • Departament komunikacji UOKiK odpowiedział nam jedynie, że sprawa jest obecnie wyjaśniana w urzędzie

Żródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8581971,dane-osobowe-prawo-do-prywatnosci-uokik.html

WSA: podmiot danych należy poinformować o naruszeniu bez zbędnej zwłoki

  • WSA w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą karę za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą
  • do UODO jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA – w sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów
  • administrator nie dokonał zgłoszenia naruszenia do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło – konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. administracyjnej kary pieniężnej (ponad 13 tys. zł)
  • sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu – ponadto administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych
  • zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia
  • sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób
  • w ocenie WSA, brak takiej reakcji doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia

Żródło: https://uodo.gov.pl/pl/138/2118

Udany atak na polskich komorników

  • jak informuje niebezpiecznik.pl, ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej – komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości
  • atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji
  • osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium – problem w tym, że podane konto bankowe należało do złodzieja
  • o atakach na komorników poinformowała również Krajowa Rada Komornicza
  • fałszywą wiadomość email skierowano do kilkuset komorników – atak wykryto 24 października, Krajowa Rada Komornicza poinformowała o nim komorników tego dnia, dodatkowo, po 3 dniach, 27 października, rano, już po tym, kiedy atakujący korzystający z wykradzionych danych dostępowych opublikował podmienione obwieszczenia, KRK przesłała szerszy komunikat, proszący o zmianę haseł i włączenie dwuskładnikowego uwierzytelnienia
  • w tym ataku ucierpieć mogli przede wszystkim ci, którzy wzięli udział w tych licytacjach, które były podstawione i wpłacili wadium (zazwyczaj w wysokości 1/10 wartości) na rachunek bankowy złodzieja – te kwoty to często kilka do kilkunastu tysięcy złotych w zależności od tego, co podlega licytacji

Źródło: https://niebezpiecznik.pl/post/udany-atak-na-polskich-komornikow/

WSA: podmiot danych należy poinformować o naruszeniu bez zbędnej zwłoki

  • WSA w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą karę za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą
  • do UODO jesienią 2020 r. wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA – w sprawie chodziło o utratę danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów
  • administrator nie dokonał zgłoszenia naruszenia do UODO oraz nie zawiadomił o naruszeniu osób, których ono dotyczyło – konsekwencją takiego zaniechania było nałożenie na Fundację w czerwcu 2021 r. administracyjnej kary pieniężnej (ponad 13 tys. zł)
  • sąd potwierdził, że administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu – ponadto administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych
  • zdaniem sądu UODO słusznie wskazał przykłady szkód, jakie mogą wystąpić w przypadku zaistniałego naruszenia
  • sąd potwierdził również, iż w tej sprawie – biorąc pod uwagę katalog danych osobowych, jakie były objęte naruszeniem – wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych tym naruszeniem, gdyż utracone dane pozwalały na łatwą identyfikację tych osób
  • w ocenie WSA, brak takiej reakcji doprowadził do tego, że w praktyce pozbawił on podmiot danych nie tylko informacji o naruszeniu, ale również możliwości podjęcia odpowiednich działań, które pozwolą przeciwdziałać negatywnym skutkom naruszenia

Żródło: https://uodo.gov.pl/pl/138/2118

Udany atak na polskich komorników

  • jak informuje niebezpiecznik.pl, ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej – komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości
  • atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji
  • osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium – problem w tym, że podane konto bankowe należało do złodzieja
  • o atakach na komorników poinformowała również Krajowa Rada Komornicza
  • fałszywą wiadomość email skierowano do kilkuset komorników – atak wykryto 24 października, Krajowa Rada Komornicza poinformowała o nim komorników tego dnia, dodatkowo, po 3 dniach, 27 października, rano, już po tym, kiedy atakujący korzystający z wykradzionych danych dostępowych opublikował podmienione obwieszczenia, KRK przesłała szerszy komunikat, proszący o zmianę haseł i włączenie dwuskładnikowego uwierzytelnienia
  • w tym ataku ucierpieć mogli przede wszystkim ci, którzy wzięli udział w tych licytacjach, które były podstawione i wpłacili wadium (zazwyczaj w wysokości 1/10 wartości) na rachunek bankowy złodzieja – te kwoty to często kilka do kilkunastu tysięcy złotych w zależności od tego, co podlega licytacji

Źródło: https://niebezpiecznik.pl/post/udany-atak-na-polskich-komornikow/

Wątpliwości związane z dekretem prezydenta USA w sprawie transferu danych (1)

  • 7 października prezydent USA Biden wydał dekret wykonawczy (rozporządzenie wykonawcze), który ma na celu implementację w prawie amerykańskim zapowiedzianej umowy podstawowej o przekazywaniu danych między USA a UE.
  • umowa wychodzi naprzeciw wymogom Europejskiego Trybunału Sprawiedliwości z tzw. wyroku Schrems II, dostosowując m.in. szeroki dostęp do danych w kontekście bezpieczeństwa narodowego oraz procedury skarg i odwołań
  • swoje wątpliwości związane z dekretem prezydenta USA w sprawie transferu danych wyraził Pełnomocnik Ochrony Danych i Wolności Informacji Badenii Wirtembergii
  • Pełnomocnik co do zasady z zadowoleniem przyjmuje fakt, że rząd USA podejmuje działania w związku z umową o przekazywaniu danych – dostrzega jednak znaczne niejasności prawne, które obejmują:
  1. Pytanie, w jakim stopniu dekret może być faktycznie skutecznym instrumentem realizacji wymagań RODO – stanowi wewnętrzną instrukcję dla rządu i podległych mu władz i nie jest ustawą uchwaloną przez parlament, a zatem ostateczną,
  2. Przestrzeganie samego nakazu wykonawczego nie jest prawnie egzekwowalne, zwłaszcza w przypadku obywateli UE,
  3. Nie jest jasne, w jaki sposób rozporządzenie wykonawcze odnosi się do innych istniejących przepisów amerykańskich, takich jak ustawa o chmurze,

Wątpliwości związane z dekretem prezydenta USA w sprawie transferu danych (2)

  1. Interpretacja prawnego pojęcia proporcjonalności różni się w Europie i USA, tak że nie jest jasne, kiedy, z punktu widzenia USA dostęp dla bezpieczeństwa narodowego jest nadal dozwolony,
  2. Na składanie skarg przez obywateli UE nakładane są istotne wymagania,
  3. Skarżący nie są wyraźnie informowani, czy byli przedmiotem działań wywiadowczych ze strony władz USA, a jedynie otrzymują ustandaryzowaną wiadomość stwierdzającą, że dochodzenie w sprawie ich skargi zostało zakończone
  4. Sąd Rewizyjny Ochrony Danych zostanie powołany w ramach jego teki na polecenie Ministra Sprawiedliwości – prawdopodobnie zostanie przydzielony do władzy wykonawczej, co jest sprzeczne z jego (sądową) niezależnością
  5. Ponadto Europejski Trybunał Sprawiedliwości domagał się nie tylko środków prawnych przeciwko szpiegostwu państwowemu, ale także bezpodstawnego zakończenia tej inwigilacji, co jednak w chwili obecnej nie jest możliwe

Źródło: https://www.baden-wuerttemberg.datenschutz.de/usa-eu-datentransfer-durchfuehrungsverordnung-us-praesident/  https://iapp.org/news/a/the-eu-u-s-data-privacy-framework-a-new-era-for-data-transfers/

Szkolenia strażaków w karetkach pogotowia naruszają prawo pacjenta do tajemnicy o jego stanie zdrowia

  • Polskie Towarzystwo Ratowników Medycznych zaalarmowało Rzecznika Praw Pacjenta w sprawie strażaków, którzy mają się szkolić w karetkach pogotowia – ratownicy medyczni podkreślają, że udział osób nieuprawnionych, czyli niewykonujących zawodu medycznego w udzielaniu świadczeń, narusza prawo pacjenta do tajemnicy o jego stanie zdrowia
  • strażacy ochotnicy z OSP w Gorzkowicach w województwie łódzkim będą mieli „praktyki” w ambulansach Zespołu Ratownictwa Medycznego – zgodnie z podpisaną umową strażacy OSP będą zasiadać w obsadzie ambulansów, co ma pozwolić na doskonalenie umiejętności nabytych podczas kursów Kwalifikowanej Pierwszej Pomocy
  • Prezes Polskiego Towarzystwa Ratowników Medycznych w piśmie do RPP podkreśla, że strażacy ochotnicy nie wykonują zawodu medycznego w rozumieniu przepisów – w ocenie Towarzystwa, udział osób nieuprawnionych tj. niewykonujących zawodu medycznego, w udzielaniu świadczeń medycznych, stanowi naruszenie podstawowych praw pacjenta, a to prawa do zachowania w tajemnicy informacji go dotyczących, w tym zwłaszcza informacji o stanie zdrowia pacjenta
  • nie jest możliwe prowadzenie medycznych czynności ratunkowych w obecności osoby postronnej, w tym przypadku strażaka ochotnika, tak by stworzyć pacjentowi warunki udzielania świadczeń, o których mówią powyższe zapisy ustawowe

Źródło: https://www.prawo.pl/zdrowie/szkolenie-strazakow-w-karetkach-pogotowia,518105.html

KNF chce zwiększenia cyberbezpieczeństwa klientów ubezpieczycieli

  • Komisja Nadzoru Finansowego przekazała zakładom ubezpieczeń oraz reasekuracji stanowisko w sprawie działań w zakresie cyberbezpieczeństwa
  • KNF podkreśla, ze ubezpieczyciele powinni stosować zasadę „security first”, która polega na stawianiu bezpieczeństwa na pierwszym planie i podejmowaniu decyzji dotyczących kształtu procesów i produktów w oparciu o przeprowadzenie rzetelnych analiz ryzyka, które muszą uwzględniać nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego zakładu, ale również zagrożenia związane z korzystaniem z jego usług przez klientów
  • KNF stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach e-mail oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych, a ubezpieczyciele powinni dążyć do ograniczenia tej praktyki na rzecz informacji statycznych lub przekazywanych klientom poprzez aplikacje mobilne lub inne kanały elektroniczne, które nie generują ryzyka oszustwa
  • kolejnym istotnym czynnikiem ryzyka dotyczącym bezpieczeństwa środków finansowych i danych klientów, jest sposób zabezpieczania komunikacji z klientem, prowadzonej z wykorzystaniem poczty elektronicznej – stosowane praktyki, polegające na zabezpieczaniu załączników przekazywanych w korespondencji e-mail prostymi czy krótkimi hasłami, składającymi się np. z fragmentów numeru PESEL klienta, kombinacji elementów numeru PESEL z datą urodzenia, numerem telefonu lub innymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, organ nadzoru uznaje za nieakceptowalne

Źródło: https://www.prawo.pl/biznes/zwiekszenie-cyberbezpieczenstwa-klientow-ubezpieczycieli,518037.html

TikTok - dane osobowe Europejczyków będą udostępnione Chińczykom

  • TikTok zmienia politykę prywatności – dane użytkowników z Europy mają być dostępne dla pracowników aplikacji na całym świecie – użytkownicy chcący zalogować się do aplikacji będą musieli udzielić zgody na zdalny dostęp do ich danych osobowych przez pracowników serwisu na całym świecie
  • Brazylia, Kanada, Chiny, Izrael, Japonia, Malezja, Filipiny, Singapur, Korea Południowa i Stany Zjednoczone – to lista krajów, których pracownicy TikTok’a będą mieli dostęp do smartfonów Europejczyków – dostęp ma być wykorzystany, aby „sprawdzić wydajność algorytmów”
  • chińskie spółki internetowe, do których należą m.in. TikTok, WeChat, czy AliExpress, udostępniły dane dotyczące algorytmów władzom chińskim
  • w 2022 roku administracja Donalda Trumpa wprowadziła w Stanach Zjednoczonych blokadę na TikToka oraz WeChat – strona amerykańska twierdziła, że cieszące się popularnością aplikacje, są zagrożeniem dla bezpieczeństwa Stanów Zjednoczonych
  • utrzymywano, że mogą pełnić funkcję chińskich narzędzi szpiegowskich i zbierać dane osobowe na temat obywateli USA – ostatecznie jednak z tej decyzji się wycofano
  • Michael Beale, profesor prawa cywilnego z Uniwersytetu w Londynie w rozmowie z „The Guardian” podkreślał, że należy „sprawdzić pod kątem bezpieczeństwa przekazywanie danych”, ale równocześnie uspokajał, że „chiński rząd obecnie nie koncentruje się na szpiegowaniu danych użytkowników TikTok” – wyjaśnił, że według niego mają inne sposoby na uzyskiwanie prywatnych informacji, co może być jednak marnym pocieszeniem

Źródło: https://next.gazeta.pl/next/7,151243,29100546,tiktok-z-nowa-polityka-prywatnosci-dane-osobowe-europejczykow.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 27.02.2024 r.
RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.

1 Odpowiedź

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO