RODO aktualności – 11.10.2022 r.

Jakie nowe narzędzie tworzy Google? UODO radzi – jakie zabezpieczenia IT stosować? Czy UODO ma wystarczający budżet do rozpatrywania skarg RODO? Czy informacje o ciąży powinny być przekazywane do rejestru SIM? Jakie dane osobowe mogą być umieszczone na karcie miejskiej? Czy dyrektor szkoły ma obowiązek do przekazywania informacji o zarobkach nauczycieli? Na czym polegać będzie mechanizm blokowania stron internetowych? W jaki sposób doszło do wycieku danych żołnierzy WOT? Czy szpitale dbają o cyberbezpieczeństwo? W jaki sposób agencja Europol filtruje napływające informacje?

MULTIMEDIA

#RODOA [03.10.2022]
#RODOA [10.10.2022]
Pobierz PDF

Obejrzyj na YouTube

Odsłuchaj podcast

Pobierz PDF

Obejrzyj na YouTube

Odsłuchaj podcast

Google poinformuje Cię, kiedy w wyszukiwarce pojawią się Twoje dane osobowe

  • Google tworzy narzędzie, które będzie powiadamiać użytkownika, gdy w wynikach wyszukiwania pojawią się dane, takie jak numer telefonu, adres e-mail czy adres domowy – to część większej kampanii związanej z prywatnością
  • już w 2023 roku zostanie wdrożone narzędzie, które jest rozwinięciem tak zwanych Alertów Google – po zdefiniowaniu pewnych zmiennych użytkownik będzie informowany o tym, że w wynikach wyszukiwania znalazły się wybrane dane osobowe
  • powiadomienie ma na celu stworzenie prostej ścieżki do wystosowania prośby o usunięcie rzeczonych danych
  • cały proces, który w zasadzie, choć dość okrężną drogą, możemy przejść już teraz – firma chce jednak maksymalnie uprościć tę kwestię, dzięki czemu poradzi sobie z nią nawet laik i internetowy ignorant

Żródło: https://dailyweb.pl/google-poinformuje-cie-kiedy-w-wyszukiwarce-pojawia-sie-twoje-dane-osobowe-powstaje-specjalne-narzedzie/

Zabezpieczenia techniczne przetwarzanych danych osobowych

  • Urząd Ochrony Danych Osobowych zaprasza do obejrzenia webinarium na temat zabezpieczeń technicznych przetwarzanych danych osobowych
  • tematyka webinarium obejmuje zagadnienia będące odpowiedzią na pytania administratorów i inspektorów ochrony danych skierowane w tym temacie do UODO
  • zgodnie z przepisami RODO jednym z podstawowych obowiązków administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych i zgodność ich przetwarzania z przepisami rozporządzenia
  • administratorzy muszą też na bieżąco sprawdzać skuteczność już funkcjonujących zabezpieczeń, ponieważ stosowanie niesprawdzonego rozwiązania po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki
  • ważne jest zatem, by stosowanie zabezpieczeń miało charakter ciągłego procesu, a nie jednorazowego wdrożenia
  • webinarium poświęcone tematyce technicznych zabezpieczeń przetwarzania danych osobowych będzie kontynuacją ubiegłorocznego spotkania, podczas którego podniesiono temat „Zgłoszenia naruszeń ochrony danych osobowych w praktyce”

Źródło: https://uodo.gov.pl/pl/138/2451

Brakuje pieniędzy na obsługę skarg z RODO

  • tylko co czwarty organ ochrony danych osobowych w Unii Europejskiej uznaje swój budżet za wystarczający
  • badanie przeprowadzone przez Europejską Radę Ochrony Danych pokazuje nie tylko dziury w większości budżetów, lecz także duże różnice między organami poszczególnych państw
  • Polska plasuje się w środkowej stawce z budżetem 12 razy mniejszym od niemieckiego – jeśli jednak chodzi o liczbę zatrudnianych pracowników, to Urząd Ochrony Danych Osobowych jest już na trzecim miejscu
  • UODO od początku swej działalności wnioskuje on o budżet wyższy od tego, jaki jest mu ostatecznie przyznawany – w 2019 r. wyniósł on niecałe 32 mln zł, a wniosek opiewał na kwotę 35,6 mln zł, w 2020 r. budżet przyznany to 36,7 mln zł, a UODO występowało o 40,1 mln zł, w 2021 r. dostał 39,2 mln zł, a chciał 40,3 mln zł, w 2022 r. urzędowi przyznano 41,7 mln zł, we wniosku na kolejny rok prosi o zwiększenie tej kwoty do niecałych 45 mln zł
  • z roku na rok liczba spraw, które trafiają do polskiego organu, jest coraz większa – w 2021 r. skierowano do niego 8,3 tys. skarg, o prawie 2 tys. więcej niż w roku poprzednim
  • jeszcze gwałtowniej rośnie liczba incydentów zgłaszanych do UODO (np. wycieków danych) – w 2021 r. było ich już prawie 13 tys., podczas gdy rok wcześniej 7,5 tys.
  • każde z takich zgłoszeń musi być przeanalizowane pod kątem zagrożeń dla obywateli

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8554773,rodo-obsluga-skarg-pieniadze.html

Personel medyczny wpisze obowiązkowo ciążę do rejestru

  • od soboty 1 października personel medyczny ma obowiązek wprowadzać do Systemu Informacji Medycznej (SIM) dane pacjentów dotyczące alergii, grupy krwi, ciąży i implantowanych wyrobów medycznych, czyli m.in. wkładek wewnątrzmacicznych – do 30 września wpisywanie tych danych było fakultatywne
  • Ministerstwo Zdrowia zapewnia, że informacje o ciąży będą przekazywane do SIM jedynie wówczas, gdy „usługodawca uzyska je w związku z udzielaniem świadczenia zdrowotnego lub realizacją istotnej procedury medycznej”
  • informacja ta będzie daną identyfikującą świadczenie zdrowotne, a jej przekazanie do SIM będzie uzależnione „od zakresu i specyfiki świadczenia udzielanego przez usługodawcę”
  • obowiązek wpisywania danych do rejestrów dotyczy zarówno podmiotów prywatnych i publicznych, niezależnie od tego, czy mają podpisaną umowę na realizację świadczeń z NFZ, czy nie
  • obowiązek jest, nie ma natomiast sankcji za niedopełnienie tego obowiązku
  • wątpliwości w piśmie do ministra zdrowia Adama Niedzielskiego kierował Rzecznik Praw Obywatelskich – według niego dane, zwłaszcza zaś informacja o ciąży usługobiorcy i o wyrobach medycznych zaimplementowanych u usługobiorcy wykraczają poza zakres ich niezbędności, określony w ustawie o systemie informacji w ochronie zdrowia
  • według Ministerstwa Zdrowia dodatkowe dane w SIM mają służyć bezpieczeństwu pacjentów

Źródło: https://www.prawo.pl/zdrowie/obowiazek-wpisywania-ciazy-do-rejestru-medycznego-sim,517624.html

WSA: Karta miejska z danymi osobowymi albo bez uprawnień

  • wnioskodawczyni chciała korzystać z karty miejskiej i wynikających z jej posiadania ulg i zniżek – konsekwentnie jednak odmawiała wyrażenia zgody na przetwarzanie jej danych osobowych i domagała się ich zastąpienia kodem
  • Wojewódzki Sąd Administracyjny w Warszawie ocenił, że przetwarzanie danych osobowych miało podstawę w przepisach RODO – natomiast ich usunięcie z karty, z jednoczesnym zachowaniem ulg i przywilejów, należy uznać niedopuszczalne
  • Wcześniej Prezes UODO ustalił, że w ramach programu karty miejskiej przetwarzane są następujące dane osobowe: imię, nazwisko, numer PESEL, data urodzenia, adres do korespondencji, adres poczty elektronicznej i numer telefonu oraz wizerunek (zdjęcie) – zgodnie z art. 6 ust. 1 lit. e RODO, przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
  • w tym kontekście, organ wskazał, że realizacja programu odbywa się na podstawie uchwały rady miasta, która jest aktem prawa miejscowego – tym samym na podstawie art. 87 ust. 2 Konstytucji RP, stanowi ona źródło powszechnie obowiązującego prawa na obszarze działania organu, który ją ustanowił
  • sprawa trafiła do WSA w Warszawie, który potwierdził, że przetwarzanie danych osobowych znajduje podstawę prawną w art. 6 ust. 1 lit. e RODO

Źródło: https://www.prawo.pl/prawo/czy-mozna-wydac-karte-miejska-bez-danych-osobowych,517366.html

WSA: Nauczyciele zarabiają mało, ale i tak podzielą się tą informacją

  • dyrektor szkoły ma obowiązek podać wysokość zarobków zatrudnionych w szkole nauczycieli oraz uzyskiwanych przez nich dodatków motywacyjnych, zastrzeżona jest tylko informacja obejmująca te składniki wynagrodzenia, które wynikają ze statusu rodzinnego lub socjalnego pracownika – orzekł Wojewódzki Sąd Administracyjny we Wrocławiu
  • organizacja związkowa zwróciła się do dyrektora szkoły o podanie informacji na temat wynagradzania grona pedagogicznego oraz sporządzenie wykazu wysokości przyznanych dodatków motywacyjnych – dyrektor odmówił, wyjaśniając, że ujawnienie wysokości wynagrodzenia narażałoby pracodawcę na odpowiedzialność za naruszenie ich dóbr osobistych – organizacja odwołała się do sądu
  • spór między stronami dotyczył wyłącznie kwestii, czy informacje dotyczące wynagrodzenia nauczycieli stanowią informację publiczną podlegającą udostępnieniu w trybie ustawy o dostępie do informacji publicznej – zdaniem sądu, o tym, że tak jest przesądza okoliczność, że wynagrodzenie stanowi formę gospodarowania środkami publicznymi, a zatem informację o majątku publicznym
  • oceny tej nie zmienia zapis art. 5 ust. 2 u.d.i.p., ograniczający dostęp do informacji publicznej ze względu na wskazane w tej normie ograniczenia tj. prywatność osoby fizycznej lub tajemnicę przedsiębiorcy
  • sądy administracyjnie konsekwentnie bowiem wskazują, iż nauczyciel jest osobą pełniącą funkcję publiczną, odnosząc to do nauczycieli wszystkich szczebli nauczania niezależnie od tego, iż tylko niektórzy z nich są zobowiązani do składania oświadczeń majątkowych

Źródło: https://www.prawo.pl/oswiata/zarobki-nauczycieli-nie-sa-poufne,517378.html

Mechanizm blokowania stron internetowych

  • jeszcze w tym roku pojawić ma się ustawa, która stworzy mechanizm blokowania stron internetowych – celem jest ochrona małoletnich przed dostępem do pornografii
  • póki co nie wiadomo jednak, jakie strony ma obejmować i jak ma wyglądać proces weryfikacji wieku użytkownika strony – za blokady ma być odpowiedzialny dostawca internetu
  • wykonywanie obowiązków sprawdzi minister właściwy do spraw informatyzacji – Prezes Urzędu Komunikacji Elektronicznej zobowiązany będzie, na wniosek ministra właściwego do spraw informatyzacji, udzielić odpowiedniego wsparcia w prowadzonych przez ministra czynnościach kontrolnych, oraz do udzielenia ministrowi wszelkich informacji o dostawcach usługi dostępu do internetu koniecznych do wypełnienia obowiązków kontrolnych
  • nie wiadomo, jak w szczegółach będzie wyglądać proponowane rozwiązanie i czy nie stworzy możliwości do arbitralnego wpisywania stron internetowych na czarną listę oraz jak zostanie rozwiązana kwestia ochrony prywatności użytkownika
  • są kraje, w których dostęp do stron pornograficznych wymaga wpisania specjalnego kodu – tak jest w Wielkiej Brytanii, gdzie jego uzyskanie wymaga przesłania zdjęcia i skanu dokumentu tożsamości
  • kwestia prywatności rozwiązana jest w ten sposób, że dane o wieku gromadzone są w odrębnej bazie prowadzonej przez niezależny podmiot przydzielający tokeny – przekazuje on dostawcy usługi jedynie potwierdzenie, że osoba dysponująca kodem jest pełnoletnia

Żródło: https://www.prawo.pl/oswiata/blokowanie-stron-internetowych-dostep-do-pornografii,517712.html

Wyciekły dane żołnierzy służących na granicy z Białorusią

  • doszło do wycieku danych kilkudziesięciu żołnierzy WOT, którzy służą na granicy z Białorusią w ramach operacji „Gryf”
  • jak informuje Onet, dziennikarze portalu od kilku dni mają szczegółowe dane osobowe 58 żołnierzy Wojsk Obrony Terytorialnej – każda z ujawnionych pozycji zawiera stopień wojskowy, imię i nazwisko wojskowego, imię ojca oraz PESEL
  • wyciek dotyczy żołnierzy 62. Batalionu Lekkiej Piechoty (62BLP) w Radomiu, który należy do 6. Mazowieckiej Brygady Obrony Terytorialnej (6MBOT)
  • dane zostały umieszczone na publicznym komunikatorze internetowym WhatsApp
  • do sprawy odniósł się rzecznik formacji kpt. Witold Sura – „Dowództwo nie komunikuje się w sprawie operacji 'Gryf’ z żołnierzami poprzez ogólnodostępne komunikatory. Opisana przez Pana sytuacja nie jest wynikiem błędów systemowych, a jedynie przykładem jednostkowej działalności byłego żołnierza”
  • portal twierdzi, że na wojskowej grupie na WhatsApp znajdowało się wielu żołnierzy, którzy wymieniali się tam informacjami dotyczącymi toczącej się na białoruskiej granicy operacji – łącznie 172 osoby
  • niezależnie od portalu, dane żołnierzy WOT ma jeszcze co najmniej jeszcze jedna osoba – to reprezentujący ziemię radomską poseł PO Konrad Frysztak, a dane trafiły do jego skrzynki poselskiej

Źródło: https://www.rmf24.pl/fakty/polska/news-onet-wyciekly-dane-zolnierzy-sluzacych-na-granicy-z-bialorus,nId,6333271#crp_state=1

Szpitale będą musiały zadbać o cyberbezpieczeństwo

  • system ochrony zdrowia stanie się częścią krajowego systemu cyberbezpieczeństwa, co oznacza nowe obowiązki dla szpitali
  • jednym z kontekstów debaty pt. „Bezpieczeństwo placówki i danych medycznych w cyberprzestrzeni” była Europejska Przestrzeń Danych Zdrowia (EHDS), czyli europejska sieć danych medycznych, która ma umożliwić wykorzystywanie danych dotyczących zdrowia w państwach członkowskich UE – system ten ma połączyć środowiska ochrony zdrowia: szpitali, przychodni, pacjentów z systemem innowacyjnym i badawczym
  • dyrektor Pionu Eksploatacji i Bezpieczeństwa Systemów Teleinformatycznych w Centrum e-Zdrowia (CeZ) podkreślił, że placówki ochrony zdrowia są separowanymi jednostkami w zakresie cyberbezpieczeństwa – oznacza to, że szpitale budują własne systemy
  • szpitali, które mają bardzo słaby stopień bezpieczeństwa jest 3 proc., 63 proc. szpitali wykazuje średni poziom bezpieczeństwa, a 20 proc. dobry lub bardzo dobry
  • rozwiązania IT, które pozwalają na gromadzenie danych są już stosowane 97,3 proc. szpitali, i te szpitale zgłaszają gotowość do przetwarzania danych w postaci elektronicznej
  • ponad 85 proc. szpitali posiada również stanowiska do tego, by dane te przetwarzać – jednocześnie jednak gotowość wymiany danych medycznych w ramach automatycznego systemu zgłasza jedynie 57,5 proc. szpitali. 57,2 proc. szpitali raportuje zdarzenia medyczne do systemu P1, a udział w wymianie tych danych bierze 30,5 proc.

Źródło: https://www.prawo.pl/zdrowie/cyberbezpieczenstwo-szpitale-szykuja-sie-do-zmiany-przepisow,517740.html

Dane przypadkowych osób przechowywane w bazie Europolu

  • Europejski Inspektor Ochrony Danych wystąpił do Trybunału Sprawiedliwości Unii Europejskiej o stwierdzenie nieważności przepisów legalizujących bazę danych Europolu
  • na początku 2023 r. EIOD wydał decyzję, w której nakazał Europolowi usunięcie danych starszych niż sześć miesięcy, o ile nie zostały one poddane kategoryzacji – agencja powinna filtrować napływające od służb poszczególnych państw informacje, odsiewać te, których dalsze przetwarzanie jest uzasadnione, bo da się je powiązać z przestępczością, a pozostałe kasować
  • chodzi o zbiór danych o co najmniej 250 tys. osób, które służby poszczególnych państw w jakiś sposób wiązały z działalnością przestępczą – tyle że dotyczą one również osób przypadkowych
  • Europol latami utrzymywał tę bazę, uznając, że zgromadzone w niej informacje kiedyś mogą okazać się przydatne
  • po tej bezprecedensowej decyzji Parlament Europejski i Rada znowelizowały unijne rozporządzenie. Dodały też dwa przepisy, które legalizują z mocą wsteczną przetwarzanie danych bez stwierdzonego związku z działalnością przestępczą
  • mówiąc wprost – nowe regulacje stanowią obejście decyzji EIOD i pozwalają dalej przetwarzać zakwestionowane dane
  • zdaniem EIOD nowelizacja unijnego rozporządzenia stwarza niebezpieczny precedens próby niwelowania prawem skutków decyzji organu nadzorczego, jakim jest EIOD

Źródło: https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8554758,europol-przestepcy-dane-osobowe.html

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 27.02.2024 r.
RODO aktualności
RODO aktualności – 12.02.2024 r.
RODO aktualności
RODO aktualności – 30.01.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO