Czy odpowiedzialność za RODO naruszenie zawsze leży po stronie administratora danych? Czy monitoring w… szkolnych toaletach jest zgodny z prawem? Czy Korea Południowa dołączy do grona „bezpiecznych państw trzecich”? Jak zorganizować ochronę danych osobowych w poradniach psychologiczno-pedagogicznych? Czy dane w systemie CEIDG są odpowiednio chronione? Jakie nowe przepisy związane z płatnościami czekają nas w 2022 r.? Czy konsumenci mogą domagać się od przedsiębiorcy usunięcia danych? Co portale społecznościowe robią z danymi osób zmarłych? Czy na uczelniach będzie wymagany paszport COVID-owy? Jakie dane wyciekły z Facebooka?
MULTIMEDIA | |
---|---|
#RODOA [04.10.2021] | #RODOA [11.10.2021] |
Pobierz PDF | Pobierz PDF |
Administrator danych nie zawsze jest winien wycieku
- w marcu 2020 r. ktoś pobrał bazę danych 140 tys. klientów spółki ID Finance Poland, która oferowała szybkie pożyczki internetowe
- plik usunięto z serwera, pozostawiając natomiast żądanie zapłacenia określonej kwoty za jego przywrócenie – firma zgłosiła wyciek Prezesowi UODO, a ten, po przeprowadzeniu postępowania, nałożył na nią karę ponad 1 mln zł za brak wystarczających środków technicznych i organizacyjnych, które zapobiegłyby nieuprawnionemu dostępowi do danych
- WSA w Warszawie uchylił tę decyzję – uznał, że winę ponosiła białoruska firma, której powierzono przetwarzanie danych (procesor)
- rozstrzygnięcie jest niezwykle istotne w kontekście podejścia UODO do pozycji administratora i podmiotu przetwarzającego – dotychczas najczęściej przyjmowano, że cała odpowiedzialność jest po stronie administratora
- wyciek spowodował pracownik białoruskiej firmy informatycznej utrzymującej serwer z danymi ID Finance – po jego zrestartowaniu pomylił skrypt i nie uruchomił zapory, która uniemożliwiała dostęp do bazy danych
- zagrożenie wykrył rosyjski specjalista od cyberbezpieczeństwa, który powiadomił polską spółkę, ta przesłała wiadomość białoruskiej firmie przetwarzającej dane – procesor nie zareagował
- według UODO winę za wyciek ponosiła ID Finance, która po pierwszej informacji powinna podjąć zdecydowane działania – nie wiadomo, czy UODO zdecyduje się na skargę kasacyjną
Kamera w szkolnej toalecie narusza godność ucznia
- w krakowskich szkołach monitoring zamontowano w przebieralni i toalecie – monitoring w przebieralniach miał chronić uczniów przed kradzieżami, a ten zamontowany w łazienkach szkołę przed zniszczeniami
- stanowisko krakowskiego magistratu jest jasne – mienie można chronić w inny sposób, a kamery nie mogą być montowane w pomieszczeniach sanitarnohigienicznych
- Bezpieczeństwo można zapewnić poprzez dyżury pracowników szkoły lub doraźne kontrole takich pomieszczeń. Nie do przyjęcia jest sytuacja, w której nastoletni uczniowie nagrywani są w trakcie czynności higienicznych, przebierania się po zajęciach sportowych lub korzystania ze szkolnych toalet, nawet gdy jednoznacznie nie można potwierdzić tożsamości ucznia – mówi Małgorzata Tabaszewska z urzędu miasta
- przypadki montowania monitoringu w przebieralniach czy toaletach nie są odosobnione – w raporcie NIK sprzed kilku lat ujawniono np., że kamery w szkole w Puławach były montowane nad pisuarami
- w opinii Ministerstwa Edukacji i Nauki kamery w szkolnej toalecie i przebieralni są niezgodne z prawem
Źródło: https://www.rp.pl/dobra-osobiste/art18955151-kamera-w-szkolnej-toalecie-narusza-godnosc-ucznia
EROD o projekcie decyzji KE stwierdzającej odpowiedni stopień ochrony w Korei Południowej
- Europejska Rada Ochrony Danych przyjęła 24 września 2021 r. opinię w sprawie projektu decyzji dotyczącej odpowiedniego stopnia ochrony danych osobowych w Korei Południowej
- EROD zauważyła, że istnieją obszary zgodności między unijnymi i południowokoreańskimi ramami ochrony danych w odniesieniu do podstawowych przepisów, takich jak np. pojęcia ochrony danych, podstawy zgodnego z prawem przetwarzania w uzasadnionych celach, ograniczenie celu, zatrzymywanie danych, bezpieczeństwo i poufność oraz przejrzystość
- EROD z zadowoleniem przyjęła wysiłki podejmowane przez KE i władze koreańskie w celu zagwarantowania, że Republika Korei zapewnia stopień ochrony danych merytorycznie równoważny temu zagwarantowanemu w RODO, chodzi o wysiłki takie, jak np. przyjęcie notyfikacji przez południowokoreański organ ochrony danych osobowych
- w sprawie dostępu organów publicznych do danych przekazywanych do Republiki Korei, EROD zauważyła, że przepisy ustawy o ochronie danych osobowych mają nieograniczone zastosowanie w dziedzinie egzekwowania prawa
- w odniesieniu do skutecznych środków ochrony prawnej i prawa do środka zaskarżenia, EROD zwraca się do Komisji o wyjaśnienie wymogów materialnych i/lub proceduralnych, takich jak ciężar dowodu, którym podlega skarga do organu lub jakiekolwiek działanie przed sądem, oraz czy osoby fizyczne z UE będą w stanie spełnić taki warunek wstępny
Źródło: https://uodo.gov.pl/pl/138/2167
Wystąpienie ws. prowadzenia dokumentacji w poradniach psychologiczno-pedagogicznych
- Prezes UODO wystąpił do Ministra Edukacji i Nauki o rozważenie kompleksowego uregulowania w przepisach prawa kwestii związanych z prowadzeniem dokumentacji przez poradnie psychologiczno-pedagogiczne
- obecnie Prawo oświatowe oraz akty wykonawcze do tej ustawy zapewniają jedynie fragmentaryczną ochronę danych osobowych zawartych w dokumentacji prowadzonej przez poradnie
- obecne przepisy nie zapewniają kompleksowego uregulowania zasad działania tego typu poradni
- ponadto nie regulują procesów związanych z przetwarzaniem danych zawartych w dokumentacji, a są to m.in.: kwestie związane ze źródłami pozyskania danych osobowych, prowadzenia dokumentacji, zakresem informacji, jaki jest w niej gromadzony
- dodatkowo nie są uregulowane kwestie związane z dostępem podmiotów do danych zawartych w tych dokumentach
- kluczowym problemem jest brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom
Źródło: https://uodo.gov.pl/pl/138/2165
RODO: Nie każde dane firm są na sprzedaż
- do oceny wykorzystywania danych z CEIDG-u w celu marketingowym stosuje się dwa różne reżimy prawne, a mianowicie: prawo ochrony danych osobowych, czyli RODO oraz prawo telekomunikacyjne
- fakt wpisania działalności gospodarczej do bazy CEIDG i upublicznienia jej nie jest podstawą prawną dla innych podmiotów gospodarczych do przetwarzania tych danych we własnych celach np. w celu prowadzenia marketingu swoich produktów i usług
- art. 6 ust. 1 lit f RODO pozwala wykorzystywać do własnych celów marketingowych dane pozyskane z CEIDG
- Prezes UODO coraz częściej staje po stronie przedsiębiorców, przykładem może być decyzja, gdzie potwierdzono legalność wykorzystania, na gruncie RODO, adresu email do celów marketingowych, pozyskanego właśnie z CEIDG
- podobnie jest w wypadku, gdy pozyskuje się dane do stworzenia bazy danych w celu jej sprzedaży
- niemniej jednak, w momencie gromadzenia danych, firma ma obowiązek informacyjny wobec osoby bez znaczenia z jakiej podstawy prawnej korzysta
- o ile na gruncie RODO można pozyskać dane osobowe z CEIDG i je wykorzystać w celu marketingowym, o tyle na gruncie Prawa telekomunikacyjnego nie można tego zrobić wykorzystując do tego telefon, czy e-mail, pozostaje tradycyjny, papierowy list
Źródło: https://www.prawo.pl/biznes/rodo-nie-kazde-dane-firm-sa-na-sprzedaz,510883.html
Nowe przepisy. Czy dane o płatnościach kartami będą śledzone przez rząd?
- od 1 lipca m.in. fryzjerzy, kosmetyczki, lekarze i prawnicy muszą mieć kasy fiskalne pracujące online, wcześniej ten obowiązek wprowadzono m.in. w gastronomii i stacjach paliw – takie kasy przesyłają informacje do Centralnego Repozytorium Kas
- od 2022 r. będą zaś one musiały być zintegrowane z terminalami płatniczymi
- przyjęte przez Sejm przepisy nie wykluczają możliwości, że do skarbówki popłyną dane dokumentów sprzedaży połączone z informacjami z instrumentów płatniczych, czyli np. numerami kart
- Ministerstwo Finansów wyjaśnia, że Polski Ład nie wprowadza obowiązku przyjmowania płatności kartą, ale dopuszcza też każdą inną bezgotówkową formę płatności, np. BLIK i uspokaja, że w integracji terminalu z kasą nie kryje się ryzyko inwigilacji
- „Przepisy regulujące zasady komunikacji kasa fiskalna–terminal płatniczy to rozwiązanie, które funkcjonuje w obrocie prawnym od lipca 2018 r., kiedy zaczęły obowiązywać w Polsce przepisy wykonawcze, regulujące wymagania dla sprzętowych kas rejestrujących online” – wyjaśnia ministerstwo
- zakres danych przekazywanych do Centralnego Repozytorium Kas nie powinien być określony rozporządzeniem, lecz ustawą – wynika to z Konstytucji, która w art. 31 ust. 3 przewiduje, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie, nadto w art. 51 ust. 5 wskazuje ona, że to z ustawy właśnie wynikać muszą zasady i tryb gromadzenia oraz udostępniania informacji należących do kategorii, o jakich tu mowa
Firmy mają zapomnieć o kliencie zaraz po wykonaniu usługi (1)
- sądy administracyjne uznają, że po wykonaniu umowy konsumenci mogą domagać się usunięcia swych danych, a przedsiębiorcy nie mogą ich zachowywać na wypadek ewentualnych roszczeń
WYROK z 13 STYCZNIA 2021 r. (sygn. akt II SA/Wa 607/20)
- sprawa dotyczyła przetwarzania danych pewnego małżeństwa przez bank w związku z prowadzeniem rachunku – spór dotyczył informacji marketingowej przesłanej tym klientom
- bank uważał, że miał do tego prawo, gdyż była ona przedstawiona na wyciągu z rachunku – małżeństwo zażądało usunięcia wszystkich swych danych
- bank odmówił, powołując się na art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes „w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami wnioskodawców”
- Prezes UODO, do którego wpłynęła skarga w tej sprawie, uznał, że przepis ten nie uprawnia do przetwarzania danych na wypadek ewentualnych, niepewnych roszczeń – WSA w Warszawie w pełni podzielił tę argumentację
Firmy mają zapomnieć o kliencie zaraz po wykonaniu usługi (2)
WYROK z 11 MARCA 2021 r. (sygn. akt II SA/Wa 1340/20).
- wyrok dotyczy firmy wynajmującej samochody – jeden z jej klientów był przekonany, że przekazała ona skan prawa jazdy osobie postronnej, po przeprowadzeniu postępowania prezes UODO nie znalazł na to dowodów, ale zgodnie z żądaniem wydał decyzję nakazującą usunięcie imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy
- WSA w Warszawie uznał ją za prawidłową – Jego zdaniem firma nie wykazała, żeby przetwarzanie danych było niezbędne do celów wynikających z prawnie usprawiedliwionych interesów
- sąd wskazał, że z ustaleń faktycznych nie wynika, aby wymieniony wystąpił z roszczeniem wobec spółki bądź też, by spółka dochodziła jakichkolwiek roszczeń od niego na drodze sądowej, które uzasadniałyby uprawnienie spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem roszczeń
Źródło: https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8263840,prywatnosc-dane-osobowe-firmy.html
Co dzieje się z danymi zmarłego właściciela profilu w mediach społecznościowych?
- rozpatrując kwestię danych osoby zmarłej pozostawionych przez nią na profilach społecznościowych, należy odnieść się do treści tzw. motywu 27 RODO, zgodnie z którym RODO nie ma zastosowania do danych osobowych osób zmarłych
- wprawdzie państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych, jednak polski ustawodawca się na to nie zdecydował
- zdarzyć się może, że nieżyjący użytkownik portalu społecznościowego udostępniał materiały zawierające dane osobowe również innych osób – w takich sytuacjach mają one prawo do wniesienia skargi do Prezesa UODO, jeśli uznają, że w związku z udostępnieniem tych materiałów naruszone zostały ich prawa i wolności
- Prezes UODO dokona oceny, kto w indywidualnym przypadku będzie administratorem danych tych osób i podejmie przewidziane prawem środki, jeśli uzna, że doszło do naruszenia przepisów o ochronie danych osobowych
- UODO przypomina, że w zakresie dostępu do konta/profilu osoby zmarłej i ochrony danych w nim zawartych, jeśli tylko znajdują się na nim dane osobowe, administrator konta nadal zobowiązany jest przestrzegać zasad wymienionych w RODO
- każdy użytkownik Internetu ma prawo do bycia zapomnianym, co też wynika z RODO
Weryfikacja zaszczepienia studentów tylko po zmianach ustawowych
- MEiN opublikowało wytyczne dotyczące bezpiecznego funkcjonowania uczelni i innych podmiotów systemu szkolnictwa wyższego i nauki w czasie epidemii koronawirusa
- dyrektor departamentu szkolnictwa wyższego w MEiN Marcin Czaja zaznaczył, że kwestia weryfikacji zaszczepienia czy testu na obecność COVID-19 nie są narzędziem specyficznym dla szkolnictwa wyższego, ale rozwiązaniem systemowym dla całego kraju
- „Jeśli pracodawca nie ma możliwości weryfikacji szczepienia, to rektor też nie będzie miał takiej możliwości. Wyłącznie przepisy ustawowe by na to pozwalały. Z kolei kwestia zachęcania do szczepień i jego propagowanie jest na poziomie ministerstwa podejmowane” – podkreślił Czaja.
Źródło: https://uodo.gov.pl/pl/138/2165
Wyciekły dane 1,5 mld użytkowników Facebooka
- dane skradzione z serwerów Facebooka hakerzy udostępnili na jednym z forów internetowych
- na sprzedaż nie są loginy i hasła do zalogowania, ale dane osobowe – imię, nazwisko, nazwa użytkownika, adres e-mail, miejsce zamieszkania, płeć, numer telefonu
- na forum cyberprzestępcy oferują pakiet z bazą danych miliona użytkowników za pięć tysięcy dolarów
- na sprzedaż jest łącznie baza danych 1,5 miliarda użytkowników Facebooka
- hakerzy pozyskali je metodą scrapowania (pobieranie ze stron internetowych wybranych informacji)
- według informacji podanych przez serwis privacyaffairs.com, informacje o kradzieży danych 1,5 miliarda użytkowników Facebooka pojawiły się już pod koniec września na jednej z hakerskich platform
Źródło: https://www.wirtualnemedia.pl/artykul/wyciek-danych-facebook-1-5-mld-uzytkownikow https://wiadomosci.wp.pl/awaria-facebooka-dane-1-5-miliarda-uzytkownikow-wystawione-na-sprzedaz-w-darknecie-6690470308321920a
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
To jest niesamowite jak rodo zmienia się dynamicznie. Mam momentami tego dosyć. Tyle aktualizacji.
Zgadzamy się z tą opinią 🙂