RODO aktualności – 09.02.2022 r.

• w praktyce dane o użytkowniku trafiają do setek pośredników reklamowych i są przez nich wykorzystywane do tworzenia profili marketingowych, czego osoba potwierdzająca zapoznanie się z wyskakującą informacją absolutnie nie jest świadoma
• belgijski urząd stwierdził, że system opracowany przez IAB Europe nie zapewnia bezpieczeństwa danych – nie informuje też odpowiednio osób, na temat tego, co dzieje się z ich danymi
• używana przez IAB Europe przesłanka prawna do przetwarzania danych – uzasadniony interes – jest nieprawidłowa
• opracowany system nie jest też zaprojektowany tak, aby chronić dane osobowe użytkowników
• co ważne, IAB Europe został uznany za administratora danych – dlatego też powinien informować użytkowników o swojej roli oraz wdrożyć środki techniczne i organizacyjne wymagane przez RODO, powinien też powołać inspektora ochrony danych
• przedsiębiorcy, w tym polscy, korzystający z rozwiązań systemu TCF powinni zapoznać się z treścią decyzji oraz być świadomi, że ten system został uznany za niezgodny z RODO
• IAB Europe podkreśla, że decyzja nie zawiera zakazu stosowania systemu TCF – wskazuje, że zidentyfikowanie go jako administratora danych jest błędne i będzie miało poważne niezamierzone negatywne konsekwencje wykraczające daleko poza branżę reklamy cyfrowej – niewykluczone, że sprawa trafi na wokandę belgijskiego sąd

Źródło: https://uodo.gov.pl/pl/138/2250

• Europejska Rady Ochrony Danych zbiera do 11 marca 2022 r. uwagi do Wytycznych 01/2022 w sprawie praw osób, których dane dotyczą – prawo dostępu
• wytyczne, które przyjęto 18 stycznia 2022 r. (w wersji do konsultacji publicznych) podczas 59. posiedzenia plenarnego, przedstawiają różne aspekty prawa dostępu do danych i dostarczają bardziej precyzyjnych wskazówek co do tego, jak prawo dostępu powinno być realizowane w różnych sytuacjach
• wytyczne zawierają m.in. wyjaśnienia dotyczące zakresu prawa dostępu, informacji, które administrator musi przekazać osobie, której dane dotyczą, formatu wniosku o dostęp, głównych sposobów zapewnienia dostępu oraz pojęcia żądań ewidentnie nieuzasadnionych lub nadmiernych
• uwagi należy przesyłać najpóźniej do 11 marca 2022 r., korzystając z formularza dostępnego na stronie internetowej EROD
• treść Wytycznych 01/2022 praw osób, których dane dotyczą – prawo dostępu w wersji do konsultacji publicznych jest dostępna w języku angielskim
• informacje na temat konsultacji publicznych znajdują się na stronie EROD

Źródło: https://uodo.gov.pl/pl/138/2294

• rząd uruchamia nowy system zapowiedzi medialnych i akredytacji – dziennikarz, który chce mieć dostęp do informacji o konferencjach i działaniach rządu, musi wypełnić elektroniczny formularz
• formularz obejmuje : imię i nazwisko, adres e-mail, numer telefonu, numer legitymacji prasowej, numer PESEL/numer paszportu, data urodzenia, obywatelstwo
• podstawa prawna i cel przetwarzania wskazane są w regulaminie dołączonym do formularza rejestracji do systemu – podstawą prawną przetwarzania danych w systemie jest art. 6 ust. 1 lit. e RODO, tj. przetwarzanie jest niezbędne do tego, aby wykonać (realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) zadanie, które polega na zapewnieniu dziennikarzom dostępu do wydarzeń medialnych organizowanych przez podmioty administracji rządowej
• KPRM może przekazywać dane dziennikarza do organów publicznych, urzędów państwowych, innych podmiotów upoważnionych na podstawie przepisów prawa, innych podmiotów wykonujących zadania realizowane w interesie publicznym oraz innych podmiotów wykonujących zadania w ramach sprawowania władzy publicznej
• pojawiają się wątpliwości, co do tego, czy wymagane dane są niezbędne dla realizacji celu, jakim jest korzystanie z tego systemu
• wymóg jednocześnie narusza zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO, która wymaga, aby dane były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane

Źródło: https://www.prawo.pl/prawo/system-zapowiedzi-medialnych-i-akredytacji-w-kprm-a-dane,513260.html

• Europejska Rada Ochrony Danych wydała pierwszą opinię w sprawie kryteriów certyfikacji. Opinię przyjęto 1 lutego 2022 r. podczas 60. posiedzenia plenarnego EROD
• opinia EROD dotyczy projektu decyzji luksemburskiego organu nadzorczego w sprawie kryteriów certyfikacji RODO-CARPA – jest to pierwsza opinia EROD w sprawie spójności kryteriów dotyczących ogólnokrajowego systemu certyfikacji
• system certyfikacji RODO-CARPA jest systemem ogólnym, który nie skupia się na konkretnym sektorze lub rodzaju przetwarzania
• obejmuje on wymogi dotyczące zarządzania ochroną danych w organizacji, w odniesieniu do czynności przetwarzania – kryteria te mają zastosowanie do operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające z Luksemburga
• opinia EROD ma na celu zapewnienie spójności i prawidłowego stosowania kryteriów certyfikacji wśród organów nadzorczych w Europejskim Obszarze Gospodarczym, w tym celu, jak wskazuje EROD w opinii, należy wprowadzić kilka zmian do przedstawionego projektu kryteriów certyfikacji
• po zatwierdzeniu mechanizmu certyfikacji przez luksemburski organ nadzorczy, zostanie on również dodany do rejestru mechanizmów certyfikacji oraz znaków jakości w dziedzinie ochrony danych, zgodnie z art. 42 ust. 8 RODO

Źródło: https://niebezpiecznik.pl/post/jak-mozna-bylo-pozyskac-dane-na-temat-niezaszczepionych-polakow/

• Xiaomi pochwaliło się otrzymaniem certyfikatu od należącej do amerykańskiego Trustarcu firmy Truste – ta zajmuje się między innymi analizowaniem i badaniem produktów i usług elektronicznych pod względem zgodności z RODO obowiązującej w Unii Europejskiej
• to pierwsze telefony chińskiego producenta, które przeszły tę certyfikację – Xiaomi zapowiedziało przy okazji, że planuje dalej pracować nad jeszcze skuteczniejszymi metodami ochrony swoich klientów przed szpiegowaniem
• telefony Xiaomi przed niespełna pół roku były antybohaterami skandalu związanego z prywatnością – zarzuty pochodziły od litewskiego rządu, a więc należało je traktować poważnie, eksperci z tego kraju twierdzili, że oprogramowanie telefonów Xiaomi aktywnie skanuje treści wprowadzane i przeglądane przez użytkownika i może je cenzurować lub informować podmiot trzeci o zainteresowaniu użytkownika daną tematyką
• temat zbadał niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji, traktując zarzuty z Litwy w sposób bardzo poważny – mimo dokładnej analizy, w oprogramowaniu Xiaomi nie znaleziono żadnych szpiegujących modułów czy mechanizmów odpowiedzialnych za ich zdalną aktywację

Źródło: https://spidersweb.pl/2022/02/xiaomi-szpiegowanie-rodo.html

• suma kar nałożonych przez Urząd Ochrony Danych Osobowych z tytułu RODO przekroczyła 2 mln euro
• najwyższa do tej pory kara wyniosła przeszło 600 tys., a średnia to 79 tys. euro
• od wejścia w życie unijnego rozporządzenia o RODO do UODO zgłoszono ponad 20 tys. Skarg
• w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie
• w 35 proc. przypadków przyczyną kary były nieodpowiednie zabezpieczenia
• w przypadku 8 proc. kar przyczyną ich nałożenia było niepoinformowanie UODO o zdarzeniu
• często dochodzi również do przypadkowego upublicznienia danych
• dochodzi też do niefortunnych wypadków prowadzących do wycieku danych, jak kradzież komputera z danymi czy zgubienie przenośnej pamięci USB
• autorzy analizy tłumaczą, że UODO podchodzi wyjątkowo surowo także do bezpośrednich ataków na firmowe serwery i bazy danych, zwłaszcza jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem

Źródło: https://www.prawo.pl/biznes/kary-nalozone-na-podstawie-rodo,513113.html

• rzecznik TSUE ogłosił opinię w sprawie wniesionej do Trybunału przez belgijską Ligue des droits humains – stowarzyszenie to skierowało do belgijskiego trybunału konstytucyjnego skargę o stwierdzenie nieważności ustawy transponującej do prawa belgijskiego dyrektywy PNR i API2
• zdaniem LDH ustawa narusza prawa do poszanowania życia prywatnego i do ochrony danych osobowych – LDH kwestionuje bardzo szeroki zakres danych PNR oraz powszechny charakter gromadzenia, przekazywania i przetwarzania tych danych
• rzecznik TSUE przypomniał, że przepisy nakazujące lub dopuszczające przekazanie danych podmiotowi trzeciemu, takiemu jak organ publiczny, należy uznać za ingerencję w ich życie prywatne, a także za ingerencję w prawo podstawowe
• ingerencje te można uznać za uzasadnione wówczas, gdy są przewidziane ustawą, pozostają w zgodzie z istotą wspomnianych praw oraz są niezbędne do osiągnięcia uznanych przez Unię celów interesu ogólnego lub potrzeby ochrony praw i wolności
• w odniesieniu do danych osobowych, które przewoźnicy lotniczy są zobowiązani przekazywać jednostkom do spraw informacji o pasażerach (JIP) zgodnie z dyrektywą PNR, rzecznik generalny wskazał, że skala i powaga ingerencji w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, jaką stanowi środek wprowadzający ograniczenia w wykonywaniu tych praw, zależą przede wszystkim od zakresu i charakteru danych będących przedmiotem przetwarzani

Źródło: https://www.prawo.pl/prawo/dane-pasazerow-wg-rzecznika-tsue-przechowywanie-z-ograniczeniami,513098.html

• jak zauważa Vodafone, międzynarodowy operator telefonii komórkowej, dane osobowe mogą stać się walutą do 2030 r., ponieważ prywatność i kontrola nad danymi zdefiniują następną dekadę w świecie online
• z raportu firmy wynika, że przedsiębiorstwa będą mogły gromadzić dane konsumenckie w postaci kryptowaluty o stałej cenie i pozwalać użytkownikom na wydawanie ich na usługi, takie jak członkostwo na siłowni
• jednocześnie kluczowe stanie się bezpieczeństwo i etyczne praktyki związane z danymi
• badania przeprowadzone przez The Conference Board, które wykazały, że 19% konsumentów przeszło do firm konkurencyjnych, ponieważ te przestrzegały – przynajmniej w ich opinii – lepszych zasad dotyczących przetwarzania danych
• Vodafone zauważa ponadto, że 44% ludzi na całym świecie wolałoby zrezygnować ze spersonalizowanych treści, w tym przekazów dotyczących marki, ofert i doświadczeń, jeśli miałoby to oznaczać, że nie muszą już udostępniać swoich danych osobowych

Źródło: https://www.computerworld.pl/news/Vodafone-dane-osobowe-moga-stac-sie-nowa-waluta-do-2030-r,435725.html

• dwie duże redakcje, Wirtualnej Polski i Onetu, niezależnie od siebie i za pomocą innych technik dały dowód na to samo – dane Polaków dotyczące szczepień znajdujące się w rządowych bazach nie są wystarczająco chronione
• Onet wskazał z nazwiska różnych polityków i pokazał, że ci, którzy publicznie krytykują szczepienia przeciwko SARS-CoV-2, jednak się zaszczepili – dane na temat szczepień dziennikarz pozyskał od osób, które są uprawnione do wglądu w oficjalne rządowe bazy: EWP (Ewidencja Wjazdu do Polski) oraz SEPIS (System Ewidencji Państwowej Inspekcji Sanitarnej)
• w tym przypadku nie można więc mówić o luce w rządowych bazach – uprawniony użytkownik tych systemów nielegalnie wyprowadził dane pacjentów i przekazał dziennikarzom
• Wirtualna Polska pozyskała te same dane, ale w inny sposób – na rządowej stronie rejestracji wizyt na szczepienia można było nadużyć formularz do tzw. “szybkiej rejestracji”, udostępniony w serwisie pacjent.gov.pl
• wystarczyło wprowadzić nazwisko i PESEL tej osoby, numer telefonu można było podać dowolny
• jeśli PESEL pasował do nazwiska, otrzymywało się SMS na wskazany numer telefonu – wiadomość zawierała kod, który umożliwiał zalogowanie się do systemu rejestracji na szczepienia i wtedy — w zależności do tego, czy osoba była zaszczepiona czy nie — widać było: komunikat błędu (dla osób zaszczepionych) lub listę adresów punktów szczepień blisko adresu zameldowania (dla osób niezaszczepionych)

• przy pomocy tego formularza wiele nieuprawnionych osób (bo za każdym razem można było podawać inne numery telefonów) mogło uzyskać informacje: czy osoba o danym nazwisku ma taki PESEL, czy dana osoba była zaszczepiona, a jeśli osoba nie była szczepiona, gdzie jest zameldowana (miejscowość)
• w odpowiedzi na zgłoszony błąd Ministerstwo Zdrowia wskazało, że ryzyko związane potencjalnymi naruszeniami zostało przeanalizowane i w świetle zastosowań powyższych działań oceniono, że ryzyko niedostępności Internetowego Konta Pacjenta (w przypadku dużej liczby użytkowników) jest zdecydowanie wyższe – ocenę ryzyka potwierdził Inspektor Ochrony Danych MZ i pełnomocnik rządu ds. cyberbezpieczeństwa minister Marek Zagórski
• koniec końców, Ministerstwo Zdrowia zmieniło werdykt swojej analizy ryzyka i formularz zniknął

Źródło: https://niebezpiecznik.pl/post/jak-mozna-bylo-pozyskac-dane-na-temat-niezaszczepionych-polakow/