RODO aktualności – 23.08.2023 r.

• Europejska Rada Ochrony Danych (EROD), podczas 83. posiedzenia plenarnego, przyjęła decyzję o rozstrzygnięciu sporu na podstawie art. 65 RODO, dotyczącą projektu decyzji irlandzkiego organu nadzorczego w sprawie TikTok Technology Limited (TTL).
• Sprawa toczy się od 2021 r. kiedy to Komisja Ochrony Danych Osobowych (DPC) w Irlandii, wszczęła postępowanie ws. zgodności przetwarzania danych przez TikTok Technology Limited (TTL) z przepisami Ogólnego Rozporządzenia o Ochronie Danych. Chodziło o ochronę prywatności na etapie projektowania i domyślnej ochrony danych (privacy by design, privacy by default), w kontekście ustawień platformy dla użytkowników niepełnoletnich, oraz środków stosowanych w celu weryfikacji czy użytkownik ma więcej niż 13 lat (zgodnie z prawem UE, osoby młodsze nie mogą wyrazić świadomej zgody na przetwarzanie danych, a co za tym idzie – posiadać legalnie konta w mediach społecznościowych) Komisja badała też czy TikTok spełnia wymogi przejrzystości przetwarzania danych dorosłych.
• Ponieważ jednak sprawa miała charakter transgraniczny (europejska siedziba TikToka jest w Irlandii, ale dane dotyczyły obywateli wielu państw) DPC musiał przedstawić w 2022 r. projekt swojej decyzji innym organom krajowym, a po złożeniu przez nie zastrzeżeń, ponieważ nie udało się osiągnąć konsensusu, sprawa w marcu 2023 r. trafiła do EROD, jako ciała koordynujące pracę organów ochrony danych w całej UE.
• Irlandzki urząd ochrony danych osobowych, badający przestrzeganie przepisów RODO przez chiński portal społecznościowy, jest związany rozstrzygnięciem Europejskiej Rady Ochrony Danych. Na ujawnienie jego treści ma maksymalnie miesiąc

Żródło: Irlandia bada sprawę naruszeń RODO przez aplikację TikTok – rp.pl; Aktualności – UODO

• W ostatnich miesiącach było głośno co najmniej o kilku decyzjach prezesa Urzędu Ochrony Danych Osobowych, w których nakładał on sankcje na podmioty sektora publicznego: burmistrzów i wójtów. Powodem było naruszenie przepisów RODO, a zarzuty dotyczyły m.in. braku skutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo.
• Lektura decyzji wskazuje, że urzędy mają w praktyce problem ze stosowaniem odpowiednich zabezpieczeń i z wdrożeniem w praktyce RODO.
• Podstawą odpowiedzialności po stronie administratora może być zarówno samo niewdrożenie odpowiednich zabezpieczeń (np. brak testowania scenariuszy reakcji na wystąpienie incydentu), jak i brak sporządzenia oceny ryzyka, brak testowania zaplanowanych zabezpieczeń pod kątem ich adekwatności.
• Administratorzy lekceważą proces oceny ryzyka, uwzględniając tylko oczywiste zagrożenia (np. możliwość skopiowania danych przez pracownika z komputera na przenośną pamięć) czy błędnie określając prawdopodobieństwa wystąpienia zagrożenia wyłącznie na bazie własnych doświadczeń.
• Administratorzy także często błędnie oceniają ryzyko jako niskie lub średnie, mimo że stale rośnie liczba naruszeń, incydentów związanych z bezpieczeństwem przetwarzania informacji (nie tylko danych osobowych). Ponadto, stosunkowo często w praktyce dobór środków bezpieczeństwa jest oderwany od realnego ryzyka, jakie może się zmaterializować.

Żródło: Jak minimalizować ryzyko odpowiedzialności za naruszenie wymogów ochrony danych osobowych w podmiotach publicznych – Dziennik Gazeta Prawna: 2. sierpień 2023 148 – e-wydanie

• Google informuje o uruchomieniu w najbliższych dniach pulpitu nawigacyjnego, który pokaże użytkownikom, które wyniki wyszukiwania zawierają ich dane. Użytkownicy mogą następnie łatwo poprosić o usunięcie tych wyników z wyszukiwarki Google. Pulpit nawigacyjny będzie również wysyłał powiadomienia, gdy zostaną opublikowane nowe wyniki z informacjami o użytkowniku.
• Innym nowym narzędziem jest ustawienie rozmycia, które zostanie zastosowane m.in. treściach dla dorosłych, przemocy graficznej w wynikach wyszukiwania. To ustawienie zostanie domyślnie włączone w tym miesiącu dla użytkowników, którzy nie mają włączonego filtrowania SafeSearch.
• Użytkownicy Google będą także mieli dostęp do opcji „Kontrola rodzicielska” już bezpośrednio w wyszukiwarce. Wystarczy wpisać odpowiednie zapytanie, takie jak „kontrola rodzicielska Google” lub „link do rodziny Google”, a wyświetli się pole z informacjami o tym, jak zarządzać kontrolą rodzicielską.

Żródło: Nowe narzędzia i zasady ochrony prywatności w wyszukiwarce Google (ampproject.org); https://www.linkedin.com/posts/patrycja-zarska-cynk_new-privacy-tools-to-help-you-stay-safe-and-activity-7093505931212132352-koo2?utm_source=share&utm_medium=member_desktop

• Prezydent Andrzej Duda podpisał 2 sierpnia br. ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Dzięki nowym regulacjom operatorzy telekomunikacyjni zyskają nowe obowiązki dotyczące walki z nadużyciami, takimi jak spoofing czy smishing.
• Ustawa wdraża przepisy unijnej dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej. Są w niej określone prawa i obowiązki przedsiębiorców telekomunikacyjnych związane ze zwalczaniem nadużyć, a także kompetencje Prezesa Urzędu Komunikacji Elektronicznej.
• Nowe prawo pozostawia otwarty katalog nadużyć w komunikacji elektronicznej, ale jednocześnie opisuje ich cztery podstawowe formy. Wśród nich jest generowanie sztucznego ruchu i nieuprawniona zmiana informacji adresowej, a także smishing i CLI spoofing. Przypomnijmy, spoofing to podszywanie się pod inną osobę, a smishing, to wysyłanie wiadomości SMS-owych, by oszukać ofiarę np. w celach finansowych.
• Ustawa wejdzie w życie po 30 dniach od daty jej ogłoszenia. Przepisy o karach pieniężnych zaczną obowiązywać najwcześniej za pół roku (najpóźniej za 12 miesięcy).

Żródło: Prezydent podpisał ustawę o zwalczaniu nadużyć w komunikacji elektronicznej | CyberDefence24

• W piątek, 4 sierpnia, minister zdrowia Adam Niedzielski ujawnił na platformie X (dawniej Twitter), na jakiego typu leki wypisał sobie receptę lekarz Piotr Pisula. Post miał 4,4 mln wyświetleń.
• Opinie ekspertów są w tej sprawie jednoznaczne – doszło do naruszenia prawa. Szczególnie przepisów RODO oraz polskiej ustawy o ochronie danych osobowych. W tej sprawie wypowiedział się również nasz ekspert – Łukasz Zegarek. Tutaj znajdziesz link do odcinka Gościa Wydarzeń tv Polsat z Łukaszem w roli głównej.
• Dymisja Adama Niedzielskiego nastąpiła po krytyce upublicznienia przez niego w mediach społecznościowych danych wrażliwych lekarza. Prezes NRL złożył w tej sprawie zawiadomienie do prokuratury o możliwości popełnienia przez Adama Niedzielskiego przestępstwa.
• Wcześniej środowisko lekarskie zbulwersowała sprawa możliwego naruszenia tajemnicy lekarskiej przez ministra Niedzielskiego, ze względu na upublicznienie w mediach społecznościowych recepty, na której znajdowały się dane wrażliwe lekarza oraz inne informacje. Prezes Naczelnej Rady Lekarskiej Łukasz Jankowski zwrócił się w tej sprawie do prokuratury, Urzędu Ochrony Danych Osobowych, Rzecznika Praw Obywatelskich i Rzecznika Praw Pacjenta.
• Zdaniem prawników doszło do popełnienia przestępstwa z art. 107 ustawy o ochronie danych osobowych zagrożonych karą do trzech lat pozbawienia wolności. Zgodnie z tym artykułem karze grzywny lub pozbawienia wolności podlega ten, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności.
• Ponadto za brak podjęcia odpowiednich działań prezes UODO może wymierzyć karę Ministerstwu Zdrowia w wysokości do 100 tys. zł. Prezes UODO podjął decyzję o wszczęciu postępowania wyjaśniającego w tej sprawie.

Żródło:
Gość wydarzeń – Łukasz Zegarek w Polsat
Jest reakcja UODO. Będzie postępowanie w sprawie ujawnienia danych przez ministra zdrowia (businessinsider.com.pl) Jakie przepisy złamał minister Niedzielski? Lista jest długa (businessinsider.com.pl)

• Firma Cofense poinformowała o zidentyfikowaniu dużej kampanii phishingowej wykorzystującej kody QR. Jej celem było m.in. duże amerykańskie przedsiębiorstwo z branży energetycznej oraz inne firmy z branż: produkcyjnej, ubezpieczeniowej, technologicznej i finansowej. Wydaje się, że warto omówić zarówno tę konkretną kampanię jak i specyficzny rodzaj phishingu, który wykorzystuje kody skanowane telefonem. Już przed laty ukuto dla tego oszustwa termin qrishing, ale nie było powodów by często tego terminu używać.
• W przypadku rzeczonej kampanii atakującej przedsiębiorstwo energetyczne pracownicy firmy dostawali e-maile z kodem w pliku PNG. Maile przekonywały, że w związku z procedurami bezpieczeństwa konieczne jest włączenie weryfikacji 2FA poprzez zeskanowanie kodu QR. Oczywiście po zeskanowaniu kodu należało się zalogować i tu pojawił się problem – kod kierował użytkownika do strony fałszywej, służącej wyłudzeniu danych uwierzytelniających.
• Przestępcy byli sprytni. Zastosowali link z przekierowaniem przez domenę Bing.com. Takie adresy URL, tworzone zwykle w celach marketingowych, zaczynają się od adresu bing.com, potem mają pewien ciąg znaków istotny dla działań marketingowych, a dopiero na końcu mają doklejony adres e-mail ofiary oraz link do strony docelowej.
• Firmę Cofense zaniepokoiła nie tyle użyta technika (wcale nie nowatorska) ile wyraźny wzrost liczby wiadomości tego typu. W maju wynosił on 270% w ujęciu miesiąc do miesiąca. W czerwcu skoczył do 500%, a w kolejnym miesiącu o kolejne 155%.
• Kody QR często nie zostają wykryte przez systemy anty-phishingowe jako niebezpieczne linki w mailu, dlatego należy zachować ostrożność.

Żródło: » QRishing – trudniej go wykryć i rzadziej się przed nim ostrzega — Niebezpiecznik.pl —

• Cyberprzestępcy wykorzystują witryny naśladujące strony bankowości elektronicznej BOŚ i Credit Agricole, by wyłudzać loginy i hasła użytkowników – ostrzegł Zespół CSIRT Komisji Nadzoru Finansowego.
• W osobnym, wcześniejszym wpisie Zespół przestrzegł również konsumentów przed fałszywymi reklamami inwestycyjnymi wykorzystującymi wizerunek sieci Żabka.
• „Oszuści w fałszywych reklamach oferują wysokie zyski i zachęcają do zainwestowania pieniędzy. Wejście w reklamę prowadzi na niebezpieczną stronę, na której wymagane jest dokonanie rejestracji. Nie ufajcie w tego typu oferty i bądźcie ostrożni!” – przestrzegli specjaliści.
• Zespół CSIRT KNF realizuje zadania Sektorowego Zespołu Cyberbezpieczeństwa we współpracy z podmiotami krajowego systemu cyberbezpieczeństwa, a w szczególności zespołami CSIRT poziomu krajowego. Sektorowy Zespół Cyberbezpieczeństwa został utworzony przez KNF. (PAP)

Żródło: Atak na klientów dwóch dużych banków. Żabka też na celowniku cyberoszustów – Bankier.pl

• Już 25 sierpnia zaczną obowiązywać przepisy ważnej unijnej regulacji – Aktu o usługach cyfrowych (DSA).
• Regulacja ma na celu zmusić wielkie firmy technologiczne do tego, aby w końcu wzięły odpowiedzialność za treści publikowane na platformach (DSA) i zaangażowały się w ochronę użytkowników przed nadużyciami, również tymi wynikającymi z nieprawidłowego przetwarzania ich danych, jak i o to, aby zaczęły zachowywać się w sposób umożliwiający konkurencję wolnorynkową, a nie budowały monopole i oligopole (DMA).
• Najwięksi gracze na rynku zapowiedzieli już zmiany. Wall Street Journal (WSJ) pisze, że koncern Meta m.in. wprowadzi narzędzia pozwalające użytkownikom na łatwiejsze odwoływanie się od arbitralnie podejmowanych decyzji o blokowaniu kont lub treści, a także zaniżaniu ich widoczności. Z kolei producent sprzętów elektronicznych Apple umożliwi z kolei instalowanie aplikacji spoza do tej pory jedynego legalnego źródła, czyli sklepu z oprogramowaniem App Store na iPhone’y i iPady.
• Amazon – największy sklep internetowy świata – wprowadzi mechanizm dla klientów pozwalający na informowanie administracji o potencjalnie podrabianych lub nielegalnych produktach, co od wielu lat było dla platformy sporym problemem.
• Co ciekawe, nie wszystkie platformy pogodziły się z losem – niektóre się odwołały, jak np. Amazon i Zalando.
• Wielkie platformy nie będą mogły projektować swoich serwisów w sposób, który zwodzi lub w inny sposób ogranicza możliwość podejmowania swobodnych decyzji. Nie chodzi tylko o wyskakujące okienka służące wyłudzeniu zgody na przetwarzanie danych osobowych, ale też np. o aplikacje łatwe do uruchomienia, a trudne do wyłączenia.

Żródło: DSA i DMA w pigułce – co warto wiedzieć o prawie, które ma poskromić cybergigantów | Fundacja Panoptykon; DSA zacznie obowiązywać za kilka dni. Czy Big Techy znów zignorują regulacje? | CyberDefence24

• Ten przymus ma wiązać się z zamieszaniem, które pojawiło się po uruchomieniu programu Twitter Blue.
• Po zmianach w platformie o wiele łatwiej można było podszyć się pod znane osoby publiczne czy instytucje. To spowodowało prawdziwy zalew fałszywych informacji publikowanych przez internetowych trolli. Jak pisaliśmy wcześniej na łamach Bankier.pl, straty (dla X i innych firm) spowodowane tymi działaniami można było liczyć w milionach dolarów.
• Weryfikacja wiązałaby się z wykonaniem selfie oraz zdjęcia dowodu osobistego. Dodatkowo trzeba wyrazić zgodę na przetwarzanie danych osobowych oraz biometrycznych i ich przechowywanie przez maksymalnie 30 dni.
• Na ten moment nikt z X nie potwierdził tych doniesień i nie wiadomo, kiedy taka weryfikacja miałaby zostać wprowadzona. Choć ta platforma nie jest pierwszą, która wymaga tego typu weryfikacji, warto zawsze wziąć pod uwagę ryzyko wiążące się z podawaniem danych wrażliwych. W przypadku cyberprzestępstwa mogą one wpaść w niepowołane ręce.

Żródło: X (Twitter) zweryfikuje twoją tożsamość. Będzie wymagał skanu dowodu osobistego – Bankier.pl

• 10 lipca Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony przez tzw. EU-US Data Privacy Framework (zgodnie z art. 45 Ogólnego Rozporządzenia o Ochronie Danych). Decyzja dotyczy transferów danych z EOG do jakiegokolwiek prywatnego bądź publicznego podmiotu znajdującego się w USA. Warunkiem jest jego uczestnictwo w programie EU-US Privacy Framework.
• W przypadku gdy podmiot nie znajduje się na liście Data Privacy Framework, transfer do niego jest dopuszczalny na tych samych zasadach, co wcześniej. Certyfikat DPF jest ważny przez 12 miesięcy, po czym podmiot musi go ponownie uzyskać. Departament Handlu USA może także przeprowadzać badania zgodności i wykreślać podmioty z listy Data Privacy Framework. Dlatego przy wysyłaniu danych do USA ważne jest regularne sprawdzanie, czy kontrahent nadal znajduje się na liście certyfikowanych podmiotów.
• Lista ta wskazuje również zakres danych, dla których transfer jest dozwolony, ale nie obejmuje całego zakresu danych przetwarzanych przez dany podmiot. Jeśli podmiot znajduje się na liście, transfer danych jest dozwolony tylko w zakresie wskazanym na niej.
• W przypadku transferu danych na podstawie decyzji o adekwatności nie jest konieczna ocena ryzyka. Taki transfer dokonany przez przedsiębiorstwo nie może być zakwestionowany przez organ nadzorczy. Decyzja o adekwatności może także legalizować korzystanie z narzędzi takich jak Google Analytics w zakresie transferu danych – pisze Krzysztof Kaźmierczak, Data Protection Specialist RK RODO.

Żródło: Ochrona danych między UE a USA – Decyzja KE ws. poziomu odpowiedzialności (prawo.pl)

• Urząd Ochrony Danych Osobowych i Rządowe Centrum Legislacji krytykują propozycje nowych przepisów, które pozwolą firmom na komercyjne wykorzystywanie nieudostępnianych dziś danych.
• Przygotowana przez resort cyfryzacji ustawa tworzy ramy potrzebne do korzystania z unijnego rozporządzenia o zarządzaniu danymi 2022/868 (DGA), które będzie stosowane już od 24 września 2023 r. DGA ułatwia ponowne wykorzystanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego. Chodzi o informacje, które – np. ze względu na ochronę danych osobowych czy ochronę praw własności intelektualnej – wykraczają poza zakres dyrektywy w sprawie otwartych danych.
• Urząd Ochrony Danych Osobowych wnioskuje o wykreślenie z projektu ustawy o zarządzaniu danymi (UC146) przepisów, które mają go zobowiązać do wydawania opinii na temat zgodności udostępnienia danych. Nowe obowiązki uznaje za naruszające zasadę zgodności z prawem (5 ust. 1 lit. a. RODO) i wiele innych regulacji.
• Głównym punktem zapalnym jest zobowiązanie urzędu do opiniowania wniosków, które będą spływać do podmiotów sektora publicznego w sprawie ponownego wykorzystania chronionych danych (patrz: ramka). W przekazanym resortowi cyfryzacji stanowisku UODO stwierdza, że zmusi go to do wyręczania administratorów danych w obowiązkach, jakie nakłada na nich RODO. Co więcej – wskazuje urząd – jeśli ktoś, czyje dane zostały w ten sposób udostępnione, złoży z tego powodu skargę, to UODO będzie rozpatrywał sprawę, w której już się wypowiedział.
• UODO przewiduje też kłopoty techniczne z obsługą wniosków. „Założenia projektu dają podstawę do przyjęcia wniosku, że do organu nadzorczego do spraw ochrony danych osobowych miałyby wpływać tysiące wniosków o wydanie opinii. Jest to rozwiązanie nie do przyjęcia” – stwierdza.

Żródło: UODO grozi zasypanie tysiącami wniosków o ponowne wykorzystywanie danych – GazetaPrawna.pl

• Zdymisjonowany z funkcji ministra zdrowia Adam Niedzielski odniósł się do pisma rzecznika praw obywatelskich Marcina Wiącka, w którym ten prosi o wyjaśnienie kwestii związanych z podawaniem do publicznej wiadomości danych osobowych lekarza, zwłaszcza o wskazanie podstawy prawnej udostępnienia tych danych wraz z informacją o rodzaju leków, które sobie zaordynował w recepcie.
• „Upublicznienie informacji o wystawieniu recepty pro auctore, bez wskazywania jakiego konkretnie leku dotyczyła, podyktowane było dbałością o ochronę interesu pacjentów” – przekazał w odpowiedzi na pismo rzecznika praw obywatelskich były minister zdrowia Adam Niedzielski, przypominając, że leki, o których wypowiedział się publicznie lekarz, są objęte szczególnym nadzorem.
• Były minister zdrowia, piastując jeszcze to stanowisko, odniósł się do wskazanego problemu, wyjaśniając, że upublicznienie wskazanych danych uzasadnione było: wypełnieniem obowiązków i wykonywaniem szczególnych praw przez administratora (ministra zdrowia) w dziedzinie zabezpieczenia społecznego; niezbędnością ze względów związanych z ważnym interesem publicznym; niezbędnością do celów zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego; niezbędnością ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego. Jak twierdzi Niedzielski, przetwarzanie tych danych było niezbędne we wszystkich wymienionych przez niego przypadkach.
• W ocenie byłego szefa resortu zdrowia ponadto „dyskusyjne jest stwierdzenie o ujawnieniu danych o charakterze sensytywnym danego lekarza z uwagi na fakt, iż upublicznione informacje nie obejmowały danych dotyczących konkretnego leku, którego dotyczyła recepta wystawiona przez tę osobę”.

Żródło: Adam Niedzielski o ujawnieniu danych lekarza. Tłumaczy się „dbałością o ochronę interesu pacjentów” (rynekzdrowia.pl); Adam Niedzielski wskazuje przepisy pozwalające mu ujawnić dane lekarza – Menedżer Zdrowia – Termedia

• Producent samochodów elektrycznych Tesla, kierowany przez Elona Muska, potwierdził, że naruszenie danych dotyczące ponad 75 000 pracowników zostało przeprowadzone przez osoby mające dostęp do informacji poufnych w firmie. W zawiadomieniu o popełnieniu przestępstwa złożonym w prokuratorze generalnym Maine, Tesla ujawniła, że wewnętrzne dochodzenie ustaliło, że dwóch byłych pracowników udostępniło dane osobowe ponad 75 000 osób zagranicznym mediom.
• Ujawnione dane osobowe obejmowały dane niektórych obecnych i byłych pracowników, takie jak ich imiona i nazwiska, dane kontaktowe (takie jak adres, numer telefonu i adres e-mail), rejestry związane z zatrudnieniem i numery ubezpieczenia społecznego. Co ciekawe, ujawniono także numer ubezpieczenia społecznego Elona Muska. Naruszenie wyszło na jaw gdy zagraniczne media (Handelsblatt) poinformowały Teslę o uzyskaniu informacji poufnych należących do firmy.
• Tesla zapewniła, że Handelsblatt oświadczył, że nie zamierza publikować ujawnionych danych osobowych i ma prawny zakaz ich niewłaściwego wykorzystywania. Firma podjęła natychmiastowe działania w celu powstrzymania incydentu, oceny jego zakresu i ochrony informacji.
• Tesla podjęła kroki prawne przeciwko dwóm byłym pracownikom zaangażowanym w naruszenie, co doprowadziło do zajęcia ich urządzeń elektronicznych, które prawdopodobnie zawierały poufne informacje Tesli. Ponadto firma uzyskała nakazy sądowe zakazujące byłym pracownikom dalszego wykorzystywania, uzyskiwania dostępu lub rozpowszechniania danych pod groźbą sankcji karnych.

Żródło: Naruszenie danych Tesli: Inside job dotyczy 75 000 pracowników – FutureCar.com – za pośrednictwem @FutureCar_Media

• W maju br. Tadeusz G. wystąpił do Podlaskiego Oddziału Wojewódzkiego Narodowego Funduszu Zdrowia z siedzibą w Białymstoku z wnioskiem o udostępnienie informacji publicznej w zakresie umowy pomiędzy Podlaskim Oddziałem NFZ w Białymstoku a NZOZ Poradnia Terapii Uzależnień i Współuzależnień. Wnioskodawca wniósł o odanonimizowanie tych danych tak, aby przekazane wcześniej dokumenty posiadały widoczne imiona i nazwiska personelu.
• W odpowiedzi z 15 czerwca 2023 r. dyrektor poradni stwierdził, że wniosek o odanonimizowanie imienia i nazwiska pracowników Poradni NZOZ nie może zostać rozpatrzony pozytywnie, ponieważ wnioskowane informacje zawierają dane chronione przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz RODO. W tej sytuacji skarżący wniósł do Wojewódzkiego Sądu Administracyjnego w Białymstoku skargę na bezczynność Dyrektora POW NFZ. Tadeusz G. wskazał, że organ powołuje się na niezrozumiałe dla niego stanowisko, że imię i nazwisko są danymi osobowymi.
• W odpowiedzi na skargę organ reprezentowany przez pełnomocnika wniósł o jej oddalenie w całości. Wskazano, że skarżącemu udostępniono informację publiczną, o której udostępnienie zwrócił się do organu. Wyjaśniono, że sposobem udostępniania informacji publicznej, przy jednoczesnym poszanowaniu dóbr objętych ochroną, jest anonimizacja danych chronionych.
• Wojewódzki Sąd Administracyjny w Białymstoku uznał jednak, że skarga zasługiwała na uwzględnienie. Sąd orzekł, że rehabilitację i psychoterapię osoby uzależnionej od narkotyków czy alkoholu mogą prowadzić wyłącznie osoby z wymaganymi kwalifikacjami, posiadające stosowne certyfikaty. Informację publiczną stanowią w związku z tym dokumenty zgromadzone w ramach postępowania konkursowego z udziałem poradni NZOZ. Są one dostępne, i to nie tylko anonimowo.

Żródło: Nazwisko i certyfikat terapeuty, który leczy powinny być znane (prawo.pl)