Czy zbieranie danych o użytkownikach strony www jest zgodne z RODO? Jak można było pozyskać dane na temat (nie)zaszczepionych Polaków? Czy dane osobowe staną się nową walutą już w 2030 roku? Czy w końcu doczekamy się certyfikatu „zgodności z RODO”? Jak według rzecznika TSUE powinno wyglądać przechowywanie danych osobowych pasażerów?
MULTIMEDIA | |
---|---|
#RODOA [31.01.2022] | #RODOA [07.01.2022] |
Pobierz PDF | Pobierz PDF |
Belgia: system śledzącej promocji nielegalny (1)
- sposób zbierania informacji o użytkownikach, stosowany przez większość stron internetowych, jest niezgodny z RODO – stwierdził belgijski organ ochrony danych osobowych
- 250 tys. euro kary musi zapłacić IAB Europe oraz w krótkim czasie przedstawić plan dostosowania swojego systemu „Transparency & Consent Framework” (TCF) do wymagań RODO
- firma oraz współpracujący z nią partnerzy muszą też usunąć dane osobowe zebrane przy użyciu tego systemu
- decyzja belgijskiego organu kończy trzyletnie transgraniczne postępowanie zainicjowane m.in. przez Fundację Panoptykon – w toku sprawy swoje stanowisko przedstawiał także UODO, potwierdzając ustalenia swojego zagranicznego odpowiednika
- rozstrzygnięcie jest o tyle ważne, że z systemu TCF korzysta ok. 80 proc. stron internetowych w Europie.
- TCF internautom przedstawia się w formie wyskakujących okienek po wejściu na większość witryn w sieci – zawarty w nich komunikat stanowi, że informacje o użytkowniku zbierane w tzw. plikach cookies będą używane do śledzenia jego aktywności w internecie
- ponadto dane te są przekazywane „Zaufanym Partnerom IAB i innym Zaufanym Partnerom w celach reklamowych na podstawie uzasadnionego interesu administratora”
Belgia: system śledzącej promocji nielegalny (2)
- w praktyce dane o użytkowniku trafiają do setek pośredników reklamowych i są przez nich wykorzystywane do tworzenia profili marketingowych, czego osoba potwierdzająca zapoznanie się z wyskakującą informacją absolutnie nie jest świadoma
- belgijski urząd stwierdził, że system opracowany przez IAB Europe nie zapewnia bezpieczeństwa danych – nie informuje też odpowiednio osób, na temat tego, co dzieje się z ich danymi
- używana przez IAB Europe przesłanka prawna do przetwarzania danych – uzasadniony interes – jest nieprawidłowa
- opracowany system nie jest też zaprojektowany tak, aby chronić dane osobowe użytkowników
- co ważne, IAB Europe został uznany za administratora danych – dlatego też powinien informować użytkowników o swojej roli oraz wdrożyć środki techniczne i organizacyjne wymagane przez RODO, powinien też powołać inspektora ochrony danych
- przedsiębiorcy, w tym polscy, korzystający z rozwiązań systemu TCF powinni zapoznać się z treścią decyzji oraz być świadomi, że ten system został uznany za niezgodny z RODO
- IAB Europe podkreśla, że decyzja nie zawiera zakazu stosowania systemu TCF – wskazuje, że zidentyfikowanie go jako administratora danych jest błędne i będzie miało poważne niezamierzone negatywne konsekwencje wykraczające daleko poza branżę reklamy cyfrowej – niewykluczone, że sprawa trafi na wokandę belgijskiego sąd
Źródło: https://uodo.gov.pl/pl/138/2250
Konsultacje wytycznych EROD ws. prawa dostępu
- Europejska Rady Ochrony Danych zbiera do 11 marca 2022 r. uwagi do Wytycznych 01/2022 w sprawie praw osób, których dane dotyczą – prawo dostępu
- wytyczne, które przyjęto 18 stycznia 2022 r. (w wersji do konsultacji publicznych) podczas 59. posiedzenia plenarnego, przedstawiają różne aspekty prawa dostępu do danych i dostarczają bardziej precyzyjnych wskazówek co do tego, jak prawo dostępu powinno być realizowane w różnych sytuacjach
- wytyczne zawierają m.in. wyjaśnienia dotyczące zakresu prawa dostępu, informacji, które administrator musi przekazać osobie, której dane dotyczą, formatu wniosku o dostęp, głównych sposobów zapewnienia dostępu oraz pojęcia żądań ewidentnie nieuzasadnionych lub nadmiernych
- uwagi należy przesyłać najpóźniej do 11 marca 2022 r., korzystając z formularza dostępnego na stronie internetowej EROD
- treść Wytycznych 01/2022 praw osób, których dane dotyczą – prawo dostępu w wersji do konsultacji publicznych jest dostępna w języku angielskim
- informacje na temat konsultacji publicznych znajdują się na stronie EROD
Źródło: https://uodo.gov.pl/pl/138/2294
Nowy system obsługi dziennikarzy wątpliwy prawnie
- rząd uruchamia nowy system zapowiedzi medialnych i akredytacji – dziennikarz, który chce mieć dostęp do informacji o konferencjach i działaniach rządu, musi wypełnić elektroniczny formularz
- formularz obejmuje : imię i nazwisko, adres e-mail, numer telefonu, numer legitymacji prasowej, numer PESEL/numer paszportu, data urodzenia, obywatelstwo
- podstawa prawna i cel przetwarzania wskazane są w regulaminie dołączonym do formularza rejestracji do systemu – podstawą prawną przetwarzania danych w systemie jest art. 6 ust. 1 lit. e RODO, tj. przetwarzanie jest niezbędne do tego, aby wykonać (realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) zadanie, które polega na zapewnieniu dziennikarzom dostępu do wydarzeń medialnych organizowanych przez podmioty administracji rządowej
- KPRM może przekazywać dane dziennikarza do organów publicznych, urzędów państwowych, innych podmiotów upoważnionych na podstawie przepisów prawa, innych podmiotów wykonujących zadania realizowane w interesie publicznym oraz innych podmiotów wykonujących zadania w ramach sprawowania władzy publicznej
- pojawiają się wątpliwości, co do tego, czy wymagane dane są niezbędne dla realizacji celu, jakim jest korzystanie z tego systemu
- wymóg jednocześnie narusza zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO, która wymaga, aby dane były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane
Źródło: https://www.prawo.pl/prawo/system-zapowiedzi-medialnych-i-akredytacji-w-kprm-a-dane,513260.html
Pierwsza opinia EROD w sprawie kryteriów certyfikacji
- Europejska Rada Ochrony Danych wydała pierwszą opinię w sprawie kryteriów certyfikacji. Opinię przyjęto 1 lutego 2022 r. podczas 60. posiedzenia plenarnego EROD
- opinia EROD dotyczy projektu decyzji luksemburskiego organu nadzorczego w sprawie kryteriów certyfikacji RODO-CARPA – jest to pierwsza opinia EROD w sprawie spójności kryteriów dotyczących ogólnokrajowego systemu certyfikacji
- system certyfikacji RODO-CARPA jest systemem ogólnym, który nie skupia się na konkretnym sektorze lub rodzaju przetwarzania
- obejmuje on wymogi dotyczące zarządzania ochroną danych w organizacji, w odniesieniu do czynności przetwarzania – kryteria te mają zastosowanie do operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające z Luksemburga
- opinia EROD ma na celu zapewnienie spójności i prawidłowego stosowania kryteriów certyfikacji wśród organów nadzorczych w Europejskim Obszarze Gospodarczym, w tym celu, jak wskazuje EROD w opinii, należy wprowadzić kilka zmian do przedstawionego projektu kryteriów certyfikacji
- po zatwierdzeniu mechanizmu certyfikacji przez luksemburski organ nadzorczy, zostanie on również dodany do rejestru mechanizmów certyfikacji oraz znaków jakości w dziedzinie ochrony danych, zgodnie z art. 42 ust. 8 RODO
Źródło: https://niebezpiecznik.pl/post/jak-mozna-bylo-pozyskac-dane-na-temat-niezaszczepionych-polakow/
Telefony Xiaomi dostały unijny certyfikat RODO
- Xiaomi pochwaliło się otrzymaniem certyfikatu od należącej do amerykańskiego Trustarcu firmy Truste – ta zajmuje się między innymi analizowaniem i badaniem produktów i usług elektronicznych pod względem zgodności z RODO obowiązującej w Unii Europejskiej
- to pierwsze telefony chińskiego producenta, które przeszły tę certyfikację – Xiaomi zapowiedziało przy okazji, że planuje dalej pracować nad jeszcze skuteczniejszymi metodami ochrony swoich klientów przed szpiegowaniem
- telefony Xiaomi przed niespełna pół roku były antybohaterami skandalu związanego z prywatnością – zarzuty pochodziły od litewskiego rządu, a więc należało je traktować poważnie, eksperci z tego kraju twierdzili, że oprogramowanie telefonów Xiaomi aktywnie skanuje treści wprowadzane i przeglądane przez użytkownika i może je cenzurować lub informować podmiot trzeci o zainteresowaniu użytkownika daną tematyką
- temat zbadał niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji, traktując zarzuty z Litwy w sposób bardzo poważny – mimo dokładnej analizy, w oprogramowaniu Xiaomi nie znaleziono żadnych szpiegujących modułów czy mechanizmów odpowiedzialnych za ich zdalną aktywację
Źródło: https://spidersweb.pl/2022/02/xiaomi-szpiegowanie-rodo.html
RODO - firmy słono płacą za naruszenie unijnego rozporządzenia
- suma kar nałożonych przez Urząd Ochrony Danych Osobowych z tytułu RODO przekroczyła 2 mln euro
- najwyższa do tej pory kara wyniosła przeszło 600 tys., a średnia to 79 tys. euro
- od wejścia w życie unijnego rozporządzenia o RODO do UODO zgłoszono ponad 20 tys. Skarg
- w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie
- w 35 proc. przypadków przyczyną kary były nieodpowiednie zabezpieczenia
- w przypadku 8 proc. kar przyczyną ich nałożenia było niepoinformowanie UODO o zdarzeniu
- często dochodzi również do przypadkowego upublicznienia danych
- dochodzi też do niefortunnych wypadków prowadzących do wycieku danych, jak kradzież komputera z danymi czy zgubienie przenośnej pamięci USB
- autorzy analizy tłumaczą, że UODO podchodzi wyjątkowo surowo także do bezpośrednich ataków na firmowe serwery i bazy danych, zwłaszcza jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem
Źródło: https://www.prawo.pl/biznes/kary-nalozone-na-podstawie-rodo,513113.html
Rzecznik TSUE: Przechowywanie danych pasażerów tylko w związku z zagrożeniem
- rzecznik TSUE ogłosił opinię w sprawie wniesionej do Trybunału przez belgijską Ligue des droits humains – stowarzyszenie to skierowało do belgijskiego trybunału konstytucyjnego skargę o stwierdzenie nieważności ustawy transponującej do prawa belgijskiego dyrektywy PNR i API2
- zdaniem LDH ustawa narusza prawa do poszanowania życia prywatnego i do ochrony danych osobowych – LDH kwestionuje bardzo szeroki zakres danych PNR oraz powszechny charakter gromadzenia, przekazywania i przetwarzania tych danych
- rzecznik TSUE przypomniał, że przepisy nakazujące lub dopuszczające przekazanie danych podmiotowi trzeciemu, takiemu jak organ publiczny, należy uznać za ingerencję w ich życie prywatne, a także za ingerencję w prawo podstawowe
- ingerencje te można uznać za uzasadnione wówczas, gdy są przewidziane ustawą, pozostają w zgodzie z istotą wspomnianych praw oraz są niezbędne do osiągnięcia uznanych przez Unię celów interesu ogólnego lub potrzeby ochrony praw i wolności
- w odniesieniu do danych osobowych, które przewoźnicy lotniczy są zobowiązani przekazywać jednostkom do spraw informacji o pasażerach (JIP) zgodnie z dyrektywą PNR, rzecznik generalny wskazał, że skala i powaga ingerencji w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, jaką stanowi środek wprowadzający ograniczenia w wykonywaniu tych praw, zależą przede wszystkim od zakresu i charakteru danych będących przedmiotem przetwarzani
Vodafone: dane osobowe mogą stać się nową walutą do 2030 r.
- jak zauważa Vodafone, międzynarodowy operator telefonii komórkowej, dane osobowe mogą stać się walutą do 2030 r., ponieważ prywatność i kontrola nad danymi zdefiniują następną dekadę w świecie online
- z raportu firmy wynika, że przedsiębiorstwa będą mogły gromadzić dane konsumenckie w postaci kryptowaluty o stałej cenie i pozwalać użytkownikom na wydawanie ich na usługi, takie jak członkostwo na siłowni
- jednocześnie kluczowe stanie się bezpieczeństwo i etyczne praktyki związane z danymi
- badania przeprowadzone przez The Conference Board, które wykazały, że 19% konsumentów przeszło do firm konkurencyjnych, ponieważ te przestrzegały – przynajmniej w ich opinii – lepszych zasad dotyczących przetwarzania danych
- Vodafone zauważa ponadto, że 44% ludzi na całym świecie wolałoby zrezygnować ze spersonalizowanych treści, w tym przekazów dotyczących marki, ofert i doświadczeń, jeśli miałoby to oznaczać, że nie muszą już udostępniać swoich danych osobowych
Jak można było pozyskać dane na temat (nie)zaszczepionych Polaków? (1)
- dwie duże redakcje, Wirtualnej Polski i Onetu, niezależnie od siebie i za pomocą innych technik dały dowód na to samo – dane Polaków dotyczące szczepień znajdujące się w rządowych bazach nie są wystarczająco chronione
- Onet wskazał z nazwiska różnych polityków i pokazał, że ci, którzy publicznie krytykują szczepienia przeciwko SARS-CoV-2, jednak się zaszczepili – dane na temat szczepień dziennikarz pozyskał od osób, które są uprawnione do wglądu w oficjalne rządowe bazy: EWP (Ewidencja Wjazdu do Polski) oraz SEPIS (System Ewidencji Państwowej Inspekcji Sanitarnej)
- w tym przypadku nie można więc mówić o luce w rządowych bazach – uprawniony użytkownik tych systemów nielegalnie wyprowadził dane pacjentów i przekazał dziennikarzom
- Wirtualna Polska pozyskała te same dane, ale w inny sposób – na rządowej stronie rejestracji wizyt na szczepienia można było nadużyć formularz do tzw. “szybkiej rejestracji”, udostępniony w serwisie pacjent.gov.pl
- wystarczyło wprowadzić nazwisko i PESEL tej osoby, numer telefonu można było podać dowolny
- jeśli PESEL pasował do nazwiska, otrzymywało się SMS na wskazany numer telefonu – wiadomość zawierała kod, który umożliwiał zalogowanie się do systemu rejestracji na szczepienia i wtedy — w zależności do tego, czy osoba była zaszczepiona czy nie — widać było: komunikat błędu (dla osób zaszczepionych) lub listę adresów punktów szczepień blisko adresu zameldowania (dla osób niezaszczepionych)
Jak można było pozyskać dane na temat (nie)zaszczepionych Polaków? (2)
- przy pomocy tego formularza wiele nieuprawnionych osób (bo za każdym razem można było podawać inne numery telefonów) mogło uzyskać informacje: czy osoba o danym nazwisku ma taki PESEL, czy dana osoba była zaszczepiona, a jeśli osoba nie była szczepiona, gdzie jest zameldowana (miejscowość)
- w odpowiedzi na zgłoszony błąd Ministerstwo Zdrowia wskazało, że ryzyko związane potencjalnymi naruszeniami zostało przeanalizowane i w świetle zastosowań powyższych działań oceniono, że ryzyko niedostępności Internetowego Konta Pacjenta (w przypadku dużej liczby użytkowników) jest zdecydowanie wyższe – ocenę ryzyka potwierdził Inspektor Ochrony Danych MZ i pełnomocnik rządu ds. cyberbezpieczeństwa minister Marek Zagórski
- koniec końców, Ministerstwo Zdrowia zmieniło werdykt swojej analizy ryzyka i formularz zniknął
Źródło: https://niebezpiecznik.pl/post/jak-mozna-bylo-pozyskac-dane-na-temat-niezaszczepionych-polakow/
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.