RODO aktualności – 10.08.2021 r.

• Głównym celem wytycznych jest wyjaśnienie artykułu 40 ust. 3 RODO, który dopuszcza stosowanie kodeksów postępowania jako odpowiednich zabezpieczeń przy przekazywaniu danych osobowych do państw trzecich. Przepis ten umożliwia bowiem podmiotom z państw trzecich stosowanie zatwierdzonych kodeksów, jako mechanizmu  zabezpieczającego przekazywanie danych, o którym mowa w. 46 ust. 2 lit. e
• Nowy dokument uzupełnia Wytyczne EROD 1/2019 dotyczące kodeksów postępowania ustanawiające ogólne ramy przyjmowania kodeksów postępowania.
• Uwagi należy przesłać najpóźniej do 1 października 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD: https://edpb.europa.eu/our-work-tools/documents/public-consultations/reply-form_pl?node=1917.
• Więcej informacji na temat konsultacji publicznych znajduje się na stronie EROD: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-042021-codes-conduct-tools-transfers_pl

Źródło: https://uodo.gov.pl/pl/138/2122

• Bardzo popularna podczas pandemii koronawirusa platforma Zoom zgodziła się zapłacić w ramach ugody 85 mln dolarów za naruszenia prywatności jej użytkowników oraz poprawić praktyki dotyczące cyberbezpieczeństwa swojego produktu
• Pozew zbiorowy przeciwko Zoomowi,w ramach którego zawarta została ugoda, skierowano przeciwko firmie w marcu 2020 roku, krótko po wybuchu pandemii koronawirusa
• 14 grup użytkowników zarzuciło Zoomowi, że bez ich wiedzy i zgody przekazywał prywatne dane osobowe zewnętrznym firmom, a także – przez brak właściwych działań z zakresu cyberbezpieczeństwa – umożliwił cyberprzestępcom zakłócanie prowadzonych z wykorzystaniem platformy telekonferencji.
• Aby ugoda w ramach pozwu stała się prawomocna, musi zostać zatwierdzona orzeczeniem sądu na poziomie federalnym
• Jeśli tak się stanie, użytkownicy Zooma korzystający z płatnej wersji platformy będą mogli z tytułu ugody uzyskać zwrot 15 proc. kwoty abonamentu, bądź 25 dolarów. Inni użytkownicy będą mogli z kolei otrzymać rekompensatę w wysokości 15 dolarów.
• Zoom zgodził się również na wprowadzenie pewnej bardzo istotnej zmiany w działaniu swojej usługi – każdorazowe powiadamianie użytkowników o tym, że podczas telekonferencji ktoś używa zewnętrznych narzędzi, pozwalających np. na zapis rozmowy.
• Źródło: https://www.cyberdefence24.pl/zoom-zaplaci-85-mln-dol-za-naruszenia-prywatnosci-uzytkownikow

• Touron otrzymał informację, że nieuprawnione osoby mogły wejść w posiadanie rozmów telefonicznych niektórych jego klientów, a przez to także danych osobowych obejmujących m.in. i. imię i nazwisko, datę urodzenia, adres punktu poboru energii, numer telefonu, adres e-mail, a w przypadku niektórych osób, także numer PESEL
• W przypadku firm ujawnione mogły zostać: imię i nazwisko, nazwa firmy, numer NIP, adres punktu poboru, adres korespondencyjny, e-mail, numer telefonu, imię i nazwisko pełnomocnika, REGON
• Incydent dotyczy wyłącznie niektórych rozmów telefonicznych, w których to konsultanci reprezentujący TAURON, dzwonili do klientów.
• Więcej informacji dostępnych jest na stronie Taurona https://www.tauron.pl/komunikat-dane

Źródło: https://niebezpiecznik.pl/post/wykradziono-dane-osobowe-klientow-taurona-w-tym-nagrania-rozmow/

• Rząd chce, by Policja zyskała nowe uprawnienia, które pomogą jej w walce z internetowymi przestępcami. W tym celu planuje powołać Centralne Biuro Zwalczania Cyberprzestępczości – poinformowali o tym na wtorkowej konferencji premier Mateusz Morawiecki i minister Mariusz Kamiński.
• CBZC ma ono tworzyć oprogramowania służące przełamywaniu różnego rodzaju zabezpieczeń, m.in. haseł czy szyfrowanej komunikacji.
• CBZC może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe (…) oraz ich używać w celu rozpoznawania, zapobiegania i zwalczania przestępstw, (…), popełnianych przy użyciu nowoczesnych technologii teleinformatycznych (…)
• Przewidziana w projekcie kontrola nad stosowaniem tworzonych narzędzi do przełamywania zabezpieczeń jest analogiczna do tej stosowanej przy zakładaniu podsłuchów.

Źródło: https://panoptykon.org/wiadomosc/czas-na-polskiego-pegasusa-powstaje-centralne-biuro-zwalczania-cyberprzestepczosci

• Ministerstwo Zdrowia zmienia przepisy o monitoringu w placówkach leczniczych, Chce, by kierownik placówki decydował, gdzie umieścić kamery, o ile są niezbędne w procesie leczenia lub dla bezpieczeństwa pacjentów.
• Może on uznać, że są konieczne także w toalecie – ostrzega część prawników.
• Obecnie szpitale, które wdrożyły monitoring na salach operacyjnych, by zadbać o bezpieczeństwo, przegrywają w sądach z Rzecznikiem Praw Pacjenta. Ten zarzuca im naruszenie godności pacjentów, zwłaszcza gdy ci nie wyrazili świadomej zgody na nagrywanie.
• Zgodnie z obowiązującym art. 23a ustawy o działalności leczniczej szpital może wdrożyć monitoring w pomieszczaniach, w których są udzielane świadczenia zdrowotne oraz miejscach pobytu pacjentów, w szczególności pokojach łóżkowych, pomieszczeniach higieniczno-sanitarnych, przebieralniach, szatniach, jeżeli wynika to z przepisów odrębnych.

Źródło: https://www.prawo.pl/zdrowie/zmiany-w-przepisach-o-monitroringu-w-szpitalach,509754.html

• Organy nadzorcze, których sprawa dotyczy zgłosiły sprzeciwy zgodnie z art. 60 ust. 4 RODO dotyczące m.in. stwierdzonych naruszeń RODO, tego, czy konkretne dane, o których mowa, należy uznać za dane osobowe i konsekwencji z tym związanych, a także adekwatności przewidywanych środków naprawczych
• Po rozpatrzeniu sprzeciwów organów nadzorczych, których sprawa dotyczy, irlandzki organ nadzorczy nie był w stanie osiągnąć konsensusu, w związku z czym poinformował EROD, że nie zamierza się przychylać do zgłoszonych sprzeciwów
• W dniu 28 lipca 2021r. EROD przyjęła wiążącą decyzję. Decyzja ta dotyczy podstaw sprzeciwów, które uznano za „mające znaczenie dla sprawy i uzasadnione” zgodnie z wymogami z art. 4 pkt 24 RODO. EROD wkrótce formalnie dokona notyfikacji decyzji organom nadzorczym, których sprawa dotyczy
• Na stronie internetowej EROD opublikowano oświadczenie prasowe niniejszej sprawie dostępne pod linkiem: EDPB adopts Art. 65 decision regarding WhatsApp Ireland | European Data Protection Board (europa.eu)l

Źródło: https://uodo.gov.pl/pl/138/2122

• Jesteście ciekawi jakie komunikatory są bezpieczne, a które nie? Koniecznie sprawdźcie opracowanie Kol. Marka Williamsa CISSPa z Australii: https://lnkd.in/erR3b_v
• Bezpieczny komunikator internetowy musi być godny zaufania, ponieważ to właśnie za jego pośrednictwem będziemy wysyłać wiadomości również z poufnymi informacjami
• Czym się powinien wyróżniać bezpieczny komunikator? Musicie sprawdzić to sami.
• Bezpieczny komunikator musi oferować szyfrowanie po stronie klienta (z ang. end-to-end) i dzięki temu zarówno treść wiadomości, jak i klucz używany do odszyfrowania wiadomości są niemożliwe do odczytania przez osoby trzecie.
• Bezpieczny komunikator musi oferować możliwość automatycznego usuwania wiadomości. Nie wierzcie w kopie zapasowe wiadomości przechowywane w chmurze i nie stawiajcie na ich zapis jedynie w lokalnej pamięci urządzenia.
• Idealnie byłoby, aby aplikacja oferowała dostęp do siebie jedynie po wpisaniu hasła, kodu lub przejścia przez autentykację systemem biometrycznym.
• Źródło: Linkendin oraz Jakie są bezpieczne komunikatory internetowe? Wybieramy najlepsze (antyweb.pl)

• Sprawa, którą zajmował się WSA dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia.
• Przed sądem uczelnia próbowała wykazać, że to nie ona była administratorem danych, jakie znajdowały się w skradzionym prywatnym komputerze jej pracownika. Jej zdaniem to pracownik  był administratorem tych danych, ponieważ bez wiedzy administratora, jak i z naruszeniem wewnętrznych procedur, przetwarzał dane rekrutacyjne studentów z okresu pięciu lat na prywatnym sprzęcie.
• WSA zgodził się z UODO, iż uczelnia naruszyła szereg zasad RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
• WSA potwierdził też, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.

Źródło: https://uodo.gov.pl/pl/138/2128

• 746 mln eurokaryzapłaci firma Amazon za niezgodne z prawem targetowanie reklam – zadecydował organ ochrony danych w Luksemburgu, gdzie firma ma swoją siedzibę.
• Decyzja luksemburskiego organu zapadła w wyniku skargi złożonej przez francuską organizację La Quadrature du Netw imieniu 10 tys. osób, których prawa były naruszane. Amazon ma 6 miesięcy na dostosowanie się do niej. Jeśli tego nie zrobi, poza 746 milionami euro kary zapłacił dodatkowe 746 tys. euro za każdy dzień niezgodnego z prawem przetwarzania danych swoich użytkowników.
• Decyzja w jej sprawie może mieć kapitalne znaczenie również dla procesu wytoczonego z takich samych powodów Facebookowi przez austriacką organizację noyb (na której czele stoi Max Schrems)
• Jeśli decyzja luksemburskiego organu zostanie utrzymana firmy internetowe nie będą mogły jednak targetować reklam w oparciu o dane swoich użytkowników i użytkowniczek, twierdząc, że to jest element świadczonej usługi, czy to zakupów online, medium społecznościowego czy serwisu streamingowego.

Źródło: Rekordowa kara dla Amazona za targetowanie reklam niezgodnie z RODO | Fundacja Panoptykon