Czy odpowiedzialność za RODO naruszenie zawsze leży po stronie administratora danych? Czy monitoring w… szkolnych toaletach jest zgodny z prawem? Czy Korea Południowa dołączy do grona „bezpiecznych państw trzecich”? Jak zorganizować ochronę danych osobowych w poradniach psychologiczno-pedagogicznych? Czy dane w systemie CEIDG są odpowiednio chronione? Jakie nowe przepisy związane z płatnościami czekają nas w 2022 r.? Czy konsumenci mogą domagać się od przedsiębiorcy usunięcia danych? Co portale społecznościowe robią z danymi osób zmarłych? Czy na uczelniach będzie wymagany paszport COVID-owy? Jakie dane wyciekły z Facebooka?
MULTIMEDIA |
|
|---|---|
#RODOA [04.10.2021] |
#RODOA [11.10.2021] |
| Pobierz PDF | Pobierz PDF |
Administrator danych nie zawsze jest winien wycieku
- w marcu 2020 r. ktoś pobrał bazę danych 140 tys. klientów spółki ID Finance Poland, która oferowała szybkie pożyczki internetowe
- plik usunięto z serwera, pozostawiając natomiast żądanie zapłacenia określonej kwoty za jego przywrócenie - firma zgłosiła wyciek Prezesowi UODO, a ten, po przeprowadzeniu postępowania, nałożył na nią karę ponad 1 mln zł za brak wystarczających środków technicznych i organizacyjnych, które zapobiegłyby nieuprawnionemu dostępowi do danych
- WSA w Warszawie uchylił tę decyzję – uznał, że winę ponosiła białoruska firma, której powierzono przetwarzanie danych (procesor)
- rozstrzygnięcie jest niezwykle istotne w kontekście podejścia UODO do pozycji administratora i podmiotu przetwarzającego – dotychczas najczęściej przyjmowano, że cała odpowiedzialność jest po stronie administratora
- wyciek spowodował pracownik białoruskiej firmy informatycznej utrzymującej serwer z danymi ID Finance – po jego zrestartowaniu pomylił skrypt i nie uruchomił zapory, która uniemożliwiała dostęp do bazy danych
- zagrożenie wykrył rosyjski specjalista od cyberbezpieczeństwa, który powiadomił polską spółkę, ta przesłała wiadomość białoruskiej firmie przetwarzającej dane – procesor nie zareagował
- według UODO winę za wyciek ponosiła ID Finance, która po pierwszej informacji powinna podjąć zdecydowane działania – nie wiadomo, czy UODO zdecyduje się na skargę kasacyjną
Kamera w szkolnej toalecie narusza godność ucznia
- w krakowskich szkołach monitoring zamontowano w przebieralni i toalecie – monitoring w przebieralniach miał chronić uczniów przed kradzieżami, a ten zamontowany w łazienkach szkołę przed zniszczeniami
- stanowisko krakowskiego magistratu jest jasne – mienie można chronić w inny sposób, a kamery nie mogą być montowane w pomieszczeniach sanitarnohigienicznych
- Bezpieczeństwo można zapewnić poprzez dyżury pracowników szkoły lub doraźne kontrole takich pomieszczeń. Nie do przyjęcia jest sytuacja, w której nastoletni uczniowie nagrywani są w trakcie czynności higienicznych, przebierania się po zajęciach sportowych lub korzystania ze szkolnych toalet, nawet gdy jednoznacznie nie można potwierdzić tożsamości ucznia – mówi Małgorzata Tabaszewska z urzędu miasta
- przypadki montowania monitoringu w przebieralniach czy toaletach nie są odosobnione - w raporcie NIK sprzed kilku lat ujawniono np., że kamery w szkole w Puławach były montowane nad pisuarami
- w opinii Ministerstwa Edukacji i Nauki kamery w szkolnej toalecie i przebieralni są niezgodne z prawem
EROD o projekcie decyzji KE stwierdzającej odpowiedni stopień ochrony w Korei Południowej
- Europejska Rada Ochrony Danych przyjęła 24 września 2021 r. opinię w sprawie projektu decyzji dotyczącej odpowiedniego stopnia ochrony danych osobowych w Korei Południowej
- EROD zauważyła, że istnieją obszary zgodności między unijnymi i południowokoreańskimi ramami ochrony danych w odniesieniu do podstawowych przepisów, takich jak np. pojęcia ochrony danych, podstawy zgodnego z prawem przetwarzania w uzasadnionych celach, ograniczenie celu, zatrzymywanie danych, bezpieczeństwo i poufność oraz przejrzystość
- EROD z zadowoleniem przyjęła wysiłki podejmowane przez KE i władze koreańskie w celu zagwarantowania, że Republika Korei zapewnia stopień ochrony danych merytorycznie równoważny temu zagwarantowanemu w RODO, chodzi o wysiłki takie, jak np. przyjęcie notyfikacji przez południowokoreański organ ochrony danych osobowych
- w sprawie dostępu organów publicznych do danych przekazywanych do Republiki Korei, EROD zauważyła, że przepisy ustawy o ochronie danych osobowych mają nieograniczone zastosowanie w dziedzinie egzekwowania prawa
- w odniesieniu do skutecznych środków ochrony prawnej i prawa do środka zaskarżenia, EROD zwraca się do Komisji o wyjaśnienie wymogów materialnych i/lub proceduralnych, takich jak ciężar dowodu, którym podlega skarga do organu lub jakiekolwiek działanie przed sądem, oraz czy osoby fizyczne z UE będą w stanie spełnić taki warunek wstępny
Wystąpienie ws. prowadzenia dokumentacji w poradniach psychologiczno-pedagogicznych
- Prezes UODO wystąpił do Ministra Edukacji i Nauki o rozważenie kompleksowego uregulowania w przepisach prawa kwestii związanych z prowadzeniem dokumentacji przez poradnie psychologiczno-pedagogiczne
- obecnie Prawo oświatowe oraz akty wykonawcze do tej ustawy zapewniają jedynie fragmentaryczną ochronę danych osobowych zawartych w dokumentacji prowadzonej przez poradnie
- obecne przepisy nie zapewniają kompleksowego uregulowania zasad działania tego typu poradni
- ponadto nie regulują procesów związanych z przetwarzaniem danych zawartych w dokumentacji, a są to m.in.: kwestie związane ze źródłami pozyskania danych osobowych, prowadzenia dokumentacji, zakresem informacji, jaki jest w niej gromadzony
- dodatkowo nie są uregulowane kwestie związane z dostępem podmiotów do danych zawartych w tych dokumentach
- kluczowym problemem jest brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom
RODO: Nie każde dane firm są na sprzedaż
- do oceny wykorzystywania danych z CEIDG-u w celu marketingowym stosuje się dwa różne reżimy prawne, a mianowicie: prawo ochrony danych osobowych, czyli RODO oraz prawo telekomunikacyjne
- fakt wpisania działalności gospodarczej do bazy CEIDG i upublicznienia jej nie jest podstawą prawną dla innych podmiotów gospodarczych do przetwarzania tych danych we własnych celach np. w celu prowadzenia marketingu swoich produktów i usług
- art. 6 ust. 1 lit f RODO pozwala wykorzystywać do własnych celów marketingowych dane pozyskane z CEIDG
- Prezes UODO coraz częściej staje po stronie przedsiębiorców, przykładem może być decyzja, gdzie potwierdzono legalność wykorzystania, na gruncie RODO, adresu email do celów marketingowych, pozyskanego właśnie z CEIDG
- podobnie jest w wypadku, gdy pozyskuje się dane do stworzenia bazy danych w celu jej sprzedaży
- niemniej jednak, w momencie gromadzenia danych, firma ma obowiązek informacyjny wobec osoby bez znaczenia z jakiej podstawy prawnej korzysta
- o ile na gruncie RODO można pozyskać dane osobowe z CEIDG i je wykorzystać w celu marketingowym, o tyle na gruncie Prawa telekomunikacyjnego nie można tego zrobić wykorzystując do tego telefon, czy e-mail, pozostaje tradycyjny, papierowy list
Nowe przepisy. Czy dane o płatnościach kartami będą śledzone przez rząd?
- od 1 lipca m.in. fryzjerzy, kosmetyczki, lekarze i prawnicy muszą mieć kasy fiskalne pracujące online, wcześniej ten obowiązek wprowadzono m.in. w gastronomii i stacjach paliw – takie kasy przesyłają informacje do Centralnego Repozytorium Kas
- od 2022 r. będą zaś one musiały być zintegrowane z terminalami płatniczymi
- przyjęte przez Sejm przepisy nie wykluczają możliwości, że do skarbówki popłyną dane dokumentów sprzedaży połączone z informacjami z instrumentów płatniczych, czyli np. numerami kart
- Ministerstwo Finansów wyjaśnia, że Polski Ład nie wprowadza obowiązku przyjmowania płatności kartą, ale dopuszcza też każdą inną bezgotówkową formę płatności, np. BLIK i uspokaja, że w integracji terminalu z kasą nie kryje się ryzyko inwigilacji
- „Przepisy regulujące zasady komunikacji kasa fiskalna–terminal płatniczy to rozwiązanie, które funkcjonuje w obrocie prawnym od lipca 2018 r., kiedy zaczęły obowiązywać w Polsce przepisy wykonawcze, regulujące wymagania dla sprzętowych kas rejestrujących online" – wyjaśnia ministerstwo
- zakres danych przekazywanych do Centralnego Repozytorium Kas nie powinien być określony rozporządzeniem, lecz ustawą – wynika to z Konstytucji, która w art. 31 ust. 3 przewiduje, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie, nadto w art. 51 ust. 5 wskazuje ona, że to z ustawy właśnie wynikać muszą zasady i tryb gromadzenia oraz udostępniania informacji należących do kategorii, o jakich tu mowa
Firmy mają zapomnieć o kliencie zaraz po wykonaniu usługi (1)
- sądy administracyjne uznają, że po wykonaniu umowy konsumenci mogą domagać się usunięcia swych danych, a przedsiębiorcy nie mogą ich zachowywać na wypadek ewentualnych roszczeń
- sprawa dotyczyła przetwarzania danych pewnego małżeństwa przez bank w związku z prowadzeniem rachunku – spór dotyczył informacji marketingowej przesłanej tym klientom
- bank uważał, że miał do tego prawo, gdyż była ona przedstawiona na wyciągu z rachunku – małżeństwo zażądało usunięcia wszystkich swych danych
- bank odmówił, powołując się na art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes „w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami wnioskodawców”
- Prezes UODO, do którego wpłynęła skarga w tej sprawie, uznał, że przepis ten nie uprawnia do przetwarzania danych na wypadek ewentualnych, niepewnych roszczeń - WSA w Warszawie w pełni podzielił tę argumentację
Firmy mają zapomnieć o kliencie zaraz po wykonaniu usługi (2)
WYROK z 11 MARCA 2021 r. (sygn. akt II SA/Wa 1340/20).
- wyrok dotyczy firmy wynajmującej samochody – jeden z jej klientów był przekonany, że przekazała ona skan prawa jazdy osobie postronnej, po przeprowadzeniu postępowania prezes UODO nie znalazł na to dowodów, ale zgodnie z żądaniem wydał decyzję nakazującą usunięcie imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy
- WSA w Warszawie uznał ją za prawidłową – Jego zdaniem firma nie wykazała, żeby przetwarzanie danych było niezbędne do celów wynikających z prawnie usprawiedliwionych interesów
- sąd wskazał, że z ustaleń faktycznych nie wynika, aby wymieniony wystąpił z roszczeniem wobec spółki bądź też, by spółka dochodziła jakichkolwiek roszczeń od niego na drodze sądowej, które uzasadniałyby uprawnienie spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem roszczeń
Co dzieje się z danymi zmarłego właściciela profilu w mediach społecznościowych?
- rozpatrując kwestię danych osoby zmarłej pozostawionych przez nią na profilach społecznościowych, należy odnieść się do treści tzw. motywu 27 RODO, zgodnie z którym RODO nie ma zastosowania do danych osobowych osób zmarłych
- wprawdzie państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych, jednak polski ustawodawca się na to nie zdecydował
- zdarzyć się może, że nieżyjący użytkownik portalu społecznościowego udostępniał materiały zawierające dane osobowe również innych osób – w takich sytuacjach mają one prawo do wniesienia skargi do Prezesa UODO, jeśli uznają, że w związku z udostępnieniem tych materiałów naruszone zostały ich prawa i wolności
- Prezes UODO dokona oceny, kto w indywidualnym przypadku będzie administratorem danych tych osób i podejmie przewidziane prawem środki, jeśli uzna, że doszło do naruszenia przepisów o ochronie danych osobowych
- UODO przypomina, że w zakresie dostępu do konta/profilu osoby zmarłej i ochrony danych w nim zawartych, jeśli tylko znajdują się na nim dane osobowe, administrator konta nadal zobowiązany jest przestrzegać zasad wymienionych w RODO
- każdy użytkownik Internetu ma prawo do bycia zapomnianym, co też wynika z RODO
Weryfikacja zaszczepienia studentów tylko po zmianach ustawowych
- MEiN opublikowało wytyczne dotyczące bezpiecznego funkcjonowania uczelni i innych podmiotów systemu szkolnictwa wyższego i nauki w czasie epidemii koronawirusa
- dyrektor departamentu szkolnictwa wyższego w MEiN Marcin Czaja zaznaczył, że kwestia weryfikacji zaszczepienia czy testu na obecność COVID-19 nie są narzędziem specyficznym dla szkolnictwa wyższego, ale rozwiązaniem systemowym dla całego kraju
- "Jeśli pracodawca nie ma możliwości weryfikacji szczepienia, to rektor też nie będzie miał takiej możliwości. Wyłącznie przepisy ustawowe by na to pozwalały. Z kolei kwestia zachęcania do szczepień i jego propagowanie jest na poziomie ministerstwa podejmowane" – podkreślił Czaja.
Wyciekły dane 1,5 mld użytkowników Facebooka
- dane skradzione z serwerów Facebooka hakerzy udostępnili na jednym z forów internetowych
- na sprzedaż nie są loginy i hasła do zalogowania, ale dane osobowe - imię, nazwisko, nazwa użytkownika, adres e-mail, miejsce zamieszkania, płeć, numer telefonu
- na forum cyberprzestępcy oferują pakiet z bazą danych miliona użytkowników za pięć tysięcy dolarów
- na sprzedaż jest łącznie baza danych 1,5 miliarda użytkowników Facebooka
- hakerzy pozyskali je metodą scrapowania (pobieranie ze stron internetowych wybranych informacji)
- według informacji podanych przez serwis privacyaffairs.com, informacje o kradzieży danych 1,5 miliarda użytkowników Facebooka pojawiły się już pod koniec września na jednej z hakerskich platform
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
To jest niesamowite jak rodo zmienia się dynamicznie. Mam momentami tego dosyć. Tyle aktualizacji.
Zgadzamy się z tą opinią 🙂