RODO aktualności – 19.03.2024 r.

• Mirosław Wróblewski, prezes UODO, ma zastrzeżenia do poselskiego projektu nowelizacji ustawy o ograniczeniu prowadzenia działalności gospodarczej przez osoby pełniące funkcje publiczne oraz niektórych innych ustaw, nad którym pracuje Sejm.
• Zdaniem prezesa Urzędu Ochrony Danych Osobowych informacja o sytuacji majątkowej małżonka osoby pełniącej funkcję publiczną nie stanowi informacji o działalności tej osoby, lecz o sytuacji osoby z jej rodziny. Zwraca uwagę, że informacja ta, zgodnie z projektem, stanie się publiczną.
• Dlatego zdaniem UODO projektodawca powinien wziąć pod uwagę zasadę minimalizacji danych, określoną w RODO, przepisy Konstytucji RP i przeanalizować to zagadnienie pod kątem wykazania niezbędności pozyskiwania i dalszego przetwarzania takich danych.
• Rozwiązania zaproponowane w projekcie ustawy, mimo, że opierają się na uzasadnionym założeniu zagwarantowania większej przejrzystości sytuacji osób sprawujących funkcje publiczne, stwarzają jednocześnie potencjalne poważne ryzyko naruszenia zasad przetwarzania danych osobowych.
• Przedstawiony projekt przewiduje odpowiedzialność karną osoby pełniącej funkcję publiczną także w sytuacji wypełniania oświadczenia majątkowego w części dotyczącej majątku odrębnego małżonka. Tymczasem na odpowiedzialność z tego tytułu i w tym aspekcie – zgodnie z założeniami projektu –wpływać będą również potencjalnie okoliczności braku czy niepełnej, co do zgodności ze stanem prawnym i faktycznym, wiedzy na temat majątku odrębnego małżonka.
• Wątpliwości budzi też zakres czasowy, jaki zgodnie z projektem, trzeba będzie wziąć pod uwagę, ujawniając dane w oświadczeniu majątkowym, który ma wynieść 10 lat. Wyznaczenie obowiązku przedstawiania oraz weryfikacji informacji i dokumentacji z okresu 10 lat poprzedzających złożenie oświadczenia godzi w zasadę niedziałania prawa wstecz, także w kontekście prawa do autonomii informacyjnej jednostki.

Żródło: Ujawnienie w oświadczeniach majątkowych majątku małżonków opinia UODO (prawo.pl)

• Najwyższa Izba Kontroli skontrolowała 12 jednostek samorządu terytorialnego w województwie podlaskim. Wyniki kontroli były zatrważające. NIK wykazał wieloletnie zaniedbania związane z ochroną danych osobowych – wybrane elementy systemu ochrony danych osobowych w jednostkach samorządowych były złym stanie.
• W wielu samorządach korzystano z adresów mailowych utworzonych w domenach komercyjnych. Nie zawierano przy tym umów powierzenia przetwarzania danych osobowych.
• W niektórych Biuletynach Informacji Publicznej stwierdzono publikowanie oświadczeń majątkowych ponad wymagany prawem okres. Ze względu na systemowy charakter nieprawidłowości NIK rozszerzy kontrole na wszystkie jednostki samorządu terytorialnego w Polsce.
• W rezultacie kontroli wyeliminowano korzystanie z adresów mailowych utworzonych w domenach komercyjnych bez zawarcia wymaganych przez RODO umów powierzenia przetwarzania danych osobowych. Zmieniono też adresy mailowe w 45 jednostkach samorządowych oraz zrezygnowano z używania blisko 250 adresów mailowych wykorzystywanych do celów służbowych, a zlokalizowanych na domenach komercyjnych bez zawarcia stosownych umów gwarantujących odpowiedni poziom bezpieczeństwa.
• Po kontroli NIK usunięto ponad 1,3 tys. dokumentów z Biuletynów Informacji Publicznej. Dokumenty te zawierały oświadczenia majątkowe. Mimo że okres ich publikacji wynosi 6 lat, niektóre z nich dotyczyły 2002 r.
• Ponadto w niektórych samorządach zmieniono zasady transmitowania i publikowania posiedzeń organów stanowiących. Pierwotnie były one transmitowane na niezabezpieczonych portalach społecznościowych. Po kontroli 7 samorządów musiało zawrzeć umowy na przetwarzanie danych podczas transmisji obrad sesji.

Żródło: Kontrola NIK w samorządach wykazała wieloletnie zaniedbania. Konieczne jest zwiększenie ochrony danych osobowych zgodnie z RODO – Infor.pl

• Baza danych osobowych może być pod pewnymi warunkami sprzedana w postępowaniu egzekucyjnym, nawet jeśli osoby, których te dane dotyczą, nie wyraziły na to zgody – ocenił w opublikowanej w czwartek opinii rzecznik generalny Trybunału Sprawiedliwości UE w Luksemburgu Priit Pikamae. Sprawa dotyczy procesu toczącego się w Polsce.
• Warszawski sąd w trybie prejudycjalnym zwrócił się do Trybunału z pytaniem, czy przedmiotem postępowania egzekucyjnego może być baza danych klientów spółki oraz czy przepisy RODO stoją na przeszkodzie sprzedaży takiej bazy danych przez komornika.
• W rozpatrywanej przez warszawski sąd sprawie wierzyciel, mimo prawomocnego nakazu zapłaty, nie mógł odzyskać pieniędzy od pewnej firmy, ponieważ komornik stwierdził, że spółka nie ma majątku i umorzył postępowanie.
• Wierzyciel nie dał za wygraną i wytoczył proces członkowi zarządu firmy, ponieważ zgodnie z Kodeksem spółek handlowych, jeśli nie da się spłacić wierzyciela z majątku przedsiębiorstwa, to odpowiedzialność odszkodowawcza spada właśnie na członka zarządu.
• Pozwany wniósł o oddalenie sprawy i przyznał, że firma posiada majątek: dwie bazy danych z informacjami o setkach tysięcy użytkowników. Jak relacjonuje portal prawo.pl polski sąd ma wątpliwości, czy przepisy RODO pozwalają na to, aby takie bazy sprzedać bez zgody osób, których dane się w nich znajdują. Dlatego skierował sprawę do TSUE.
• W opublikowanej w czwartek opinii rzecznik generalny przekonuje, że baza danych osobowych może być pod pewnymi warunkami sprzedana w postępowaniu egzekucyjnym, nawet jeśli osoby, których te dane dotyczą, nie wyraziły na to zgody.
• „Jest tak, jeżeli przetwarzanie danych, związane z taką sprzedażą, jest niezbędne i proporcjonalne w demokratycznym społeczeństwie w celu zagwarantowania egzekucji roszczenia cywilnoprawnego” – podkreślił Priit Pikamae.

Żródło: Rzecznik TSUE: Baza danych osobowych może być sprzedana w postępowaniu egzekucyjnym – GazetaPrawna.pl

• W firmie BNP Paribas GSC miał miejsce incydent ochrony danych dotyczący pracowników, który polegał na tym, że byłemu pracownikowi spółki nie odwołano skutecznie dostępu do PUE ZUS. Okres, w którym ten pracownik mógł mieć dostęp do danych to 1 stycznia — 25 sierpnia 2023.
• W PUE ZUS znajdują się takie dane pracowników, jak mi.in.: imiona i nazwiska, adresy (zamieszkania i zameldowania), numery PESEL, numery dokumentów, informacje o zwolnieniach lekarskich, informacje o członkach rodziny zgłoszonych do ubezpieczenia.
• Spółka powiadomiła UODO o incydencie 15 września 2023 r. i zwróciła się do ZUS z prośbą o ustalenie, czy były pracownik mógł wykorzystać swój nieodwołany dostęp w celu obejrzenia lub pobrania danych pracowników.
• Dopiero w grudniu 2023 r. BNP Paribas GSC S.A. otrzymała odpowiedź, w której ZUS poinformował o datach logowań byłego pracownika na jego profilu ZUS-PUE, jednak również o braku możliwości ustalenia, czy i jakie dane były przez niego przeglądane. Zatem informacje o tym, jakie dane wyświetla osoba zalogowana do ZUS PUE nie są zapisywane, a system nie odróżnia logowania w sprawie prywatnej od wykonywania działań na mocy upoważnienia.
• BNP Paribas GSC poinformowała pracowników o tym incydencie dopiero na początku roku 2024. Ze względu na rodzaj danych przetwarzanych w ZUS-PUE ryzyko naruszenia praw i wolności dla podmiotów danych zostało ocenione jako wysokie.
• Zdaniem ZUS to na pracodawcy ciąży ciężar odwołania pełnomocnictwa i poinformowania o tym ZUS. W sytuacji zaniechania realizacji tego obowiązku przez pracodawcę nie można mówić o wycieku danych z ZUS. Możliwość nieuprawnionego dostępu do danych jest w takim przypadku wyłącznym efektem postępowania pracodawcy.

Żródło: Wyciek danych osobowych z ZUS. Teraz radź sobie sam (aktualizacja) – TELEPOLIS.PL; Incydent w BNP Paribas GSC pokazał spory problem z systemem ZUS — Niebezpiecznik.pl —

• Rośnie liczba osób, które decydują się na zastrzeżenie swojego numeru PESEL. Możliwość taką wprowadzono 17 listopada 2023 roku na podstawie przepisów ustawy z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości.
• Jeśli obywatel zastrzeże swój numer PESEL, znajdzie się on w specjalnym rejestrze.
• Od 1 czerwca rejestr ten – przed podpisaniem umowy z klientem – będzie musiał być sprawdzany przez każdą instytucję objętą ustawą z dnia 7 lipca 2023 r. czyli np. banki, instytucje kredytowe, ale też operatorów telekomunikacyjnych i notariuszy.
• Jeśli instytucje nie dopełnią tego obowiązku lub – pomimo aktywnego zastrzeżenia – udzielą np. pożyczki na skradzione dane, poszkodowana osoba nie będzie musiała spłacać zadłużenia powstałego wskutek oszustwa. To działanie prewencyjne, ma uniemożliwić zawarcie umowy, jeżeli PESEL jest zastrzeżony. Jeśli natomiast do zawarcia takiej umowy dojdzie (mimo aktywnego zastrzeżenia), ochroni osobę poszkodowaną przed koniecznością spłaty zadłużenia zaciągniętego przez złodziei.
• Zastrzeżenie PESEL uniemożliwi także np. wyrobienie duplikatu karty SIM, zawarcie umowy u notariusza przy sporządzaniu dokumentów dotyczących sprzedaży nieruchomości czy podpisanie umowy leasingowej.

Żródło: Ile osób zastrzegło numer PESEL? (prawo.pl)

• Bieżące informacje, edukacja w zakresie ochrony danych osobowych, poszerzanie świadomości na temat działań i roli Prezesa UODO – to główne cele coraz większej aktywności UODO w mediach społecznościowych.
• Od 1 marca UODO jest dostępny także na platformie LinkedIn oraz Mastodon. Celem większej aktywności w mediach społecznościowych jest dotarcie do większej i bardziej zróżnicowanej liczby odbiorców.
• Obok strony internetowej Urzędu Ochrony Danych Osobowych, która stanowi główne źródło informacji o działalności organu nadzorczego, rozwijane są profile w mediach społecznościowych. Od jakiegoś czasu UODO ma swój profil na platformie X (dawniej Twitter), z którego odbiorcy mogą dowiedzieć się o bieżącej aktywności Prezesa UODO, najważniejszych wydarzeniach bądź ich zapowiedziach.
• Niedawno został reaktywowany kanał UODO na YouTube, który stanowi dodatkowe źródło wiedzy. Został on uzupełniony o minione wydarzenia, by odbiorcy tego medium mogli zapoznać się z konferencjami czy webinarami organizowanymi przez UODO. Będzie on na bieżąco uzupełniany o kolejne materiały filmowe. Kanał UODO można obejrzeć pod linkiem: Urząd Ochrony Danych Osobowych – YouTube

Żródło: Aktualności – UODO

• Sąd orzekł, że dostęp do informacji publicznej podlega przepisom RODO. I podtrzymał 40 tys. zł kary dla burmistrza Aleksandrowa Kujawskiego.
• UODO ukarał Aleksandrów Kujawski za kilka naruszeń przepisów RODO. Przede wszystkim chodziło o to, że udostępnianie danych osobowych Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim firmom prowadzącym stronę internetową BIP odbywało się bez uprzedniego zawarcia z tymi podmiotami umowy powierzenia danych osobowych, o której mowa w art. 28 ust. 3 RODO. W takiej umowie powinny zostać określone m.in.: czas trwania przetwarzania, charakter i cel, rodzaj danych osobowych czy prawa i obowiązki administratora.
• Podczas kontroli w Aleksandrowie organ ochrony danych dopatrzył się też m.in. braku procedur wewnętrznych, które zapewniłyby przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania. W rezultacie dane osobowe były dostępne na stronie BIP zbyt długo. Chodziło m.in. o kwestię publikacji w BIP oświadczeń majątkowych radnych. Zgodnie z art. 24h ust. 6 ustawy o samorządzie gminnym przechowuje się je przez sześć lat – podczas gdy najstarsze dostępne w kontrolowanym BIP pochodziły z 2010 r.
• Miasto argumentowało, że ustawowy okres dotyczy przechowywania, a nie publikacji, i że oświadczenia muszą być dostępne w czasie pięcioletniej kadencji radnych. Dopiero po jej zakończeniu zaczyna biec sześcioletni termin przechowywania. Realizowane przez województwo kujawsko-pomorskie zamówienie publiczne na internetowy system BIP obejmowało wszystkie gminy. Burmistrz Aleksandrowa nie uważał się więc za podmiot odpowiedzialny za zawarcie z wykonawcami serwisu umowy powierzenia danych osobowych.
• Zdaniem UODO i WSA wyłączenie (spod przepisów RODO) ma charakter wyjątkowy i w niniejszej sprawie nie znajduje zastosowania. NSA nie ma też wątpliwości, że burmistrz jest administratorem danych osobowych i uznał za wystarczające uzasadnienie sądu I instancji dla podtrzymania wymierzonej przez UODO kary pieniężnej.

Źródło: Gmina jest administratorem, nawet jeśli to nie ona zamawiała BIP – GazetaPrawna.pl

• Ktoś uzyskał nieuprawniony dostęp do danych dostawców Bolta, Glovo, Ubera, Wolta, którzy korzystali z aplikacji AppJobs.Work, dzięki której mogli świadczyć swoje usługi dostaw. Tysiące osób może paść ofiarą przestępstwa, a winny całej sytuacji jest prawdopodobnie były pracownik AppJobs.
• AppJobs, to aplikacja dla dostawców, którzy współpracują firmami, jak Wolt, Uber, Glovo czy Bolt (i nie tylko z tymi). Chodzi o to, aby kierowca czy kurier mógł podpisać umowę w jednym miejscu dla wszystkich usług tego typu. Aplikacja zbiera dane o kierowcy lub kurierze i te właśnie dane wyciekły.
• Kurierzy korzystający z AppJobs zaczęli otrzymywać od twórców aplikacji wiadomość o skierowanym na kurierów ataku phishingowym. Był to atak ukierunkowany, a link w wiadomości kierował do strony wyłudzającej pieniądze.
• Podczas ataku nie ujawniono żadnych haseł ani danych logowania, natomiast przestępcy mogli pozyskać informacje, do których hasła broniły dostępu, m.in.: nazwiska i imiona, dane wynikające z umowy z Appjobs, dane o obywatelstwie, adresy zamieszkania, dane dotyczące pojazdów, numery PESEL, numery dokumentu tożsamości, numery rachunku bankowego i dane o wynagrodzeniach,
• AppJobs ostrzegł, że kurierzy powinni uważać na dalszy phishing, zastrzec dokumenty i PESEL i muszą liczyć z wyłudzeniami kredytów.
• Wszystko wskazuje na to, że naruszenie zostało dokonane przez osobę, która miała wcześniej autoryzowany dostęp do naszych systemów. Jego działania były możliwe dzięki stopniowemu i systematycznemu uzyskiwaniu dostępu do różnych elementów infrastruktury IT. Atak phishingowy i potencjalne wykorzystanie danych użytkowników do oszustw finansowych nastąpiły już po wycieku danych spowodowanego działaniami wewnętrznymi.

Żródło:  Wyciek danych i ataki na dostawców Glovo, Uber i innych platform — Niebezpiecznik.pl

• Interesujący nowy sposób ataku na zabezpieczenia biometryczne został opisany przez grupę badaczy z Chin i USA. Jest nim PrintListener: odkrywanie luki w zabezpieczeniach uwierzytelniania odcisków palców za pomocą dźwięku tarcia palca. Atak wykorzystuje charakterystykę dźwięku przesuwania palcem użytkownika po ekranie dotykowym w celu wyodrębnienia cech wzoru odcisku palca.
• Po przeprowadzeniu testów naukowcy twierdzą, że mogą skutecznie zaatakować „do 27,9% częściowych odcisków palców i 9,3% kompletnych odcisków palców w ciągu pięciu prób przy najwyższym poziomie bezpieczeństwa FAR [False Acceptance Rate] wynoszącym 0,01%”. Jest to pierwsza praca naukowa, która opisuje wykorzystywanie dźwięków przesuwania palców po ekranie do wnioskowania o informacjach o odciskach palców.
• Jak atakujący może mieć nadzieję na uzyskanie jakichkolwiek danych o odciskach palców, jeśli nie ma odcisków ani zdjęć szczegółów palców?
• Źródłem dźwięków przesuwania palcem mogą być popularne aplikacje, takie jak Discord, Skype, WeChat, FaceTime itp. Dowolna aplikacja do czatowania, w której użytkownicy bezmyślnie wykonują czynności przesuwania palca po ekranie, gdy mikrofon urządzenia jest włączony. Stąd nazwa ataku – kanałem bocznym (side-channel).

Żródło: Your fingerprints can be recreated from the sounds made when you swipe on a touchscreen — Chinese and US researchers show new side channel can reproduce fingerprints to enable attacks | Tom’s Hardware (tomshardware.com)

• Prezydent USA Joe Biden podpisał rozporządzenie wykonawcze, które ma ochronić Amerykanów przed sprzedażą ich wrażliwych danych osobowych do krajów wrogich USA. Obecnie taka praktyka jest legalna, dzięki czemu informacje te mogą być pozyskiwane przez obce służby wywiadowcze.
• Według Białego Domu rozporządzenie jest najbardziej znaczącym w historii działaniem władz USA, by ograniczyć zagrożenie związane z używaniem danych osobowych Amerykanów przez wrogie państwa.
• Rozporządzenie nakazuje resortowi sprawiedliwości i innym ministerstwom przygotować regulacje mające ustanowić „jasną ochronę” danych osobowych – w tym danych genetycznych, biometrycznych, zdrowotnych, finansowych i geolokacyjnych – przed trafieniem w ręce „krajów budzących obawy”. Jak powiedziała rzeczniczka Białego Domu Karine Jean-Pierre, obecne prawo pozwala podmiotom z krajów takie jak Chiny do kupowania wrażliwych informacji od firm handlujących danymi, co budzi obawy o bezpieczeństwo narodowe.
• „Komercyjni brokerzy danych i inne firmy mogą sprzedawać te dane do krajów budzących obawy lub podmioty kontrolowane przez te kraje, przez co mogą trafić w ręce obcych służb wywiadowczych, wojsk i firm kontrolowanych przez obce rządy” – stwierdziła rzeczniczka. Zaznaczyła jednak, że do pełnego zatkania luki w prawie potrzebna jest ustawa Kongresu. Przyznała też, że jest to reakcja na obawy związane z działalnością m.in. chińskich firm na amerykańskim rynku, takich jak platforma TikTok, czy zyskujący popularność portal e-commerce Temu.

Żródło: Biden podpisał rozporządzenie. Chodzi o ochronę przed krajami wrogimi USA (msn.com)