Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 23.11.2021 r.

Dlaczego Milenium Bank S.A. nie poinformował UODO o naruszeniu RODO? W jaki sposób wyskakujące okienka (pop-upy) naruszają RODO? Czy wykorzystywanie dronów do realizacji zadań publicznych jest zgodne z przepisami o ochronie danych? Co przyczyniło się do wycieku danych w placówce LUX MED? Dlaczego zabezpieczenia Transavii zawiodły? Czy teatry mogą wymagać od widzów paszporty COVIDowe? Czy szkoła może prosić o nagrania z monitoringu sąsiadujące sklepy? Jak wygląda stosowanie się do przepisów RODO przez stronę Vinted? W jaki sposób możemy ochronić seniorów przed ryzykiem w sieci? Czego dowiemy się z listopadowego newslettera UODO?

MULTIMEDIA

#RODOA [15.11.2021]
#RODOA [08.11.2021]
Pobierz PDFPobierz PDF

Ponad 363 tys. zł kary dla Bank Millennium S.A. (1)

  • organ nadzorczy nałożył na Bank Millennium S.A karę w wysokości ponad 363 tys. zł. za niezgłoszenie naruszenia oraz niepowiadomienie w pełni osób o zdarzeniu
  • UODO o naruszeniu dowiedział się ze skargi – wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku
  • skarżący zostali o tym fakcie powiadomieni przez Bank, ale informacje na ten temat nie były wystarczające
  • w toku sprawy okazało się, że bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi oraz nie zrealizował w pełni obowiązku powiadomienia osób
  • UODO zwrócił uwagę, że gdyby w omawianej sprawie administrator powiadomił organ nadzorczy, to dostałby wówczas informację, że należy także powiadomić o naruszeniu osoby

Ponad 363 tys. zł kary dla Bank Millennium S.A. (2)

  • UODO wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko
  • nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie
  • UODO decydując o nałożeniu kary wziął pod uwagę m.in. to, że w toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający stopień współpracy z organem nadzoru, umyślność działania oraz charakter i wagę naruszenia

Źródło: https://uodo.gov.pl/pl/138/2211

System zbierania zgód IAB narusza RODO

  • wyskakujące okienka (pop-upy) naruszają przepisy RODO – ocenił belgijski organ ochrony danych osobowych
  • jego zdaniem wymuszanie w ten sposób zgody na śledzenie użytkowników i użytkowniczek dla celów personalizowanej reklamy narusza przepisy obowiązującego w Europie prawa ochrony danych i prywatności
  • orzeczenie to efekt złożonych przez Fundację Panoptykon i inne organizacje w 2019 roku skarg przeciwko IAB Europe – skargi te zakwestionowały zgodność systemu „Transparency & Consent Framework” (TCF) z europejskimi regulacjami
  • według belgijskiego urzędu, IAB powinien być traktowany jako administrator – IAB Europe utrzymuje z kolei, że nie pełni takiej roli, a profile marketingowe tworzone na potrzeby funkcjonowania systemu aukcji real time bidding nie są danymi osobowymi
  • W naszych skargach zwracaliśmy uwagę, że jest dokładnie odwrotnie, a wstępna decyzja belgijskiego organu przyznaje nam rację” – komentuje Panoptykon
  • kiedy decyzja belgijskiego organu danych zostanie potwierdzona, zgodnie z przewidzianym w RODO mechanizmem one-stop shop trafi do organów w Polsce i Holandii, skąd wywodzą się skarżące IAB podmioty
  • organy krajowe muszą przygotować swoje stanowisko w ciągu miesiąca – o ile zgodzą się w nim z organem orzekającym, decyzja z Belgii stanie się obowiązująca, w razie sprzeciwu, sprawa rozpatrzona zostanie przez EROD

Źródło: https://www.cyberdefence24.pl/system-zbierania-zgod-iab-narusza-rodo https://www.cyberdefence24.pl/reklamodawcy-online-w-mysl-rodo-powinni-byc-uznani-za-kontrolerow-danych

Potrzebne przepisy dotyczące wykorzystywania dronów do realizacji zadań publicznych

  • wykorzystywanie bezzałogowych statków powietrznych przez organy publiczne dla realizacji ich zadań powinno mieć wyraźną podstawę prawną, wynikającą z powszechnie obowiązujących przepisów prawa – wskazuje Prezes UODO
  • dron uzbrojony w kamerę bardzo łatwo uzyskuje wysokiej jakości nagrania nie tylko z przestrzeni publicznej, ale także prywatnej – obraz przetwarzany w czasie rzeczywistym czy zarejestrowany przez tego rodzaju statek powietrzny może potencjalnie zawierać liczne dane osobowe
  • przepisy prawa krajowego, które miałyby być przyjmowane w tym zakresie, powinny być zgodne z RODO, a także z ustawą z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – w przypadku służb realizujących zadania z niej wynikające
  • jedynym obowiązującym w Polsce aktem prawnym, w którym szczegółowo zostały określone zasady wykorzystywania w celach publicznych bezzałogowych statków powietrznych jest ustawa Inspekcji Ochrony Środowiska, w przepisach której wskazany został cel wykorzystywania tego narzędzia przez Inspekcję, zakres danych gromadzonych podczas wykonywania zadań publicznych, a także administrator (art. 10 b)

Źródło: https://uodo.gov.pl/pl/138/2207

Centrum Medyczne Luxmed informuje o incydencie

  • Centrum Medyczne Luxmed Sp. z o.o. poinformowało o “usterce” która powodowała “otwarty dostęp” do danych osobowych pacjentów w zakresie:
    • PESEL
    • Imię i nazwisko
    • adres e-mail
    • zaszyfrowane hasło do e-rezerwacji
  • dostęp został zablokowany, a defekt naprawiony
  • zgodnie z oświadczeniem spółki rozpoczęto procedurę zgłaszania incydentu bezpieczeństwa do Urzędu Ochrony Danych Osobowych
  • Spółka informuje, że nie stwierdziła faktycznego wycieku danych, jedynie błąd systemu, który mógłby taki wyciek spowodować

Źródło: https://niebezpiecznik.pl/post/luxmed-informuje-o-incydencie-otwarty-dostep-do-danych-osobowych-pacjentow/

400 tys. EUR za słabe zabezpieczenia danych osobowych

  • holenderski organ ochrony danych nałożył na Transavię karę grzywny za słabe zabezpieczenia danych osobowych
  • ze względu na słabe bezpieczeństwo danych osobowych hakerowi udało się włamać do systemów Transavii, w których potencjalnie mógł mieć dostęp do danych 25 mln pasażerów
  • ustalono, że haker faktycznie pobrał dane osobowe 83 000 osób
  • haker włamał się do systemów Transavii we wrześniu 2019 r., korzystając z dwóch kont działu IT firmy
  • wystąpiły trzy luki w zabezpieczeniach, które ułatwiły hakerowi pracę:
    • hasło było łatwe do odgadnięcia.
    • do wejścia do systemu potrzebne było tylko hasło, ne było uwierzytelniania wieloskładnikowego,
    • gdy haker przejął kontrolę nad dwoma kontami, miał również dostęp do wielu systemów Transavii, stało się tak, ponieważ prawa dostępu związane z tymi kontami nie były ograniczone tylko do niezbędnych systemów

Źródło: https://edpb.europa.eu/news/news/2021/dutch-dpa-fines-transavia-poor-personal-data-security_en

Teatr musi wpuścić na spektakl, nawet gdy wymaga certyfikatu covidowego

  • niektóre teatry i inne placówki kultury wymagają od widzów okazania certyfikatu szczepienia przeciwko COVID-19 lub aktualnego testu RT-PCR – bez tych dokumentów nie obejrzy się spektaklu
  • takie żądania są jednak bezprawne, bo nie ma ustawy, która dawałaby do tego prawo
  • w kinie i teatrze maksymalnie może być zajętych 75 proc. miejsc. Ale limity nie dotyczą osób w pełni zaszczepionych przeciw COVID-19 – takie zasady przewiduje rozporządzenie Rady Ministrów zmieniające rozporządzenie w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii
  • teoretycznie więc, by była pełna sala widzów powinno sprawdzać się, który z widzów zaszczepił się, a który nie – prawodawca nie stworzył jednak mechanizmów weryfikacji faktu zaszczepienia
  • podmioty zobowiązane przepisami o limitach osób nie mają uprawnień do kontroli statusu szczepienia osób, których dotyczy limit – potwierdził to prezes Urzędu Ochrony Danych Osobowych
  • według organu niego rozporządzenie z 6 maja 2021 r. nie uprawnia podmiotów zobowiązanych do przestrzegania limitu osób do żądania od nich informacji o zaszczepieniu przeciwko COVID-19 – ewentualne okazywanie dowodów zaszczepienia może się odbywać z inicjatywy osoby zainteresowanej daną usługą

Źródło: https://www.prawo.pl/biznes/obowiazek-posiadania-certyfikatu-covidowego-w-teatrze-i-kinie,511648.html

Kamera w sklepie nie jest do dyspozycji szkoły

  • szkoła nie ma podstawy prawnej do korzystania z monitoringu w okolicznych sklepach – skorzystanie z nagrań dałoby się uzasadnić jedynie, gdy w szkole dojdzie do jakiegoś zdarzenia
  • jedna ze szkół wpadła na pomysł, by wejść w kooperację z osiedlowym sklepem – chce, by właściciele udostępniali jej nagrania z monitoringu wizyjnego, co miałoby pomóc zapobiegać niebezpiecznym sytuacjom, np. wyłapać uczniów chodzących na wagary
  • nawet zgoda właściciela sklepu nie bardzo w tej sytuacji pomoże – nie ma bowiem podstawy prawnej ani do udostępniania, ani do przeglądania takich nagrań
  • zasady funkcjonowania monitoringu wizyjnego w szkołach ustawa Prawo oświatowe – art. 108a umożliwia instalowanie kamer w szkołach, gdy jest to niezbędne do zapewnienia bezpieczeństwa: uczniów, pracowników oraz do ochrony mienia
  • jednak przepis zupełnie nie znajdzie zastosowania do sytuacji, gdy szkoła chce skorzystać z monitoringu podmiotu zewnętrznego
  • nawet jeżeli szkoła uzna, że to pomysł uzasadniony z perspektywy pedagogicznej, to z prawnej nie ma ku temu żadnych podstaw
  • konieczne jest, by oba podmioty miały podstawę prawną do udostępniania informacji – a ani sklep nie ma podstawy do udostępniania, ani szkoła – w tym przypadku – do przetwarzania pozyskanych nagrań

Źródło: https://www.prawo.pl/oswiata/monitoring-w-sklepie-a-przekazywanie-danych-szkole,511657.html

Praktyki platformy Vinted pod obserwacją organów nadzorczych

  • w związku z otrzymaniem znacznej liczby skarg dotyczących serwisu sprzedażowego ubrań on-line vinted.com, prowadzonego przez litewską spółkę Vinted UAB, organy nadzorcze z Francji, Litwy i Polski podjęły współpracę w celu zbadania zgodności tej strony z przepisami RODO
  • utworzono w tym celu zespół zadaniowy, wspierany przez Europejską Radę Ochrony Danych, którego pierwsze spotkanie odbyło się 8 listopada
  • organy ochrony danych koncentrują się w szczególności na następujących kwestiach: wymaganiu przez operatora strony internetowej przesłania skanu dowodu tożsamości, w celu odblokowania środków otrzymanych ze sprzedaży na koncie użytkownika oraz związanej z tym podstawie prawnej, a także na procedurze i kryteriach blokowania konta oraz odpowiednich okresach przechowywania danych
  • w związku z tym, że główna siedziba spółki Vinted znajduje się na Litwie, wiodącym organem nadzorczym jest litewski organ ochrony danych

Źródło: https://uodo.gov.pl/pl/138/2213

Jakie ryzyka czyhają w sieci na seniorów?

  • UODO przedstawia kilka porad dla seniorów, dzięki którym będą oni mogli uchronić się przed wykorzystaniem danych osobowych
  • według UODO, wiele starszych osób ma problem z rozpoznaniem fałszywych wiadomości, poprzez które cyberprzestępcy próbują wyłudzać dane internautów – w poradniku czytamy, że z badania przygotowanego przez serwis ChronPESEL.pl i KRD pod patronatem UODO wynika, że zaledwie nieco ponad 12 proc. spośród ankietowanych starszych użytkowników sieci wie, jak zadbać o bezpieczeństwo swoich danych
  • UODO radzi starszym użytkownikom sieci, aby uważali na to, co i komu udostępniają na swój temat w internecie, przestrzegając ich przed przekazywaniem danych osobowych nieznanym osobom i podmiotom
  • urząd zachęca, aby aktywnie pytać o to, w jakim celu dane mają być gromadzone i przetwarzane, a także weryfikować tożsamość podmiotów, które chcą je pozyskać
  • organ w swoim poradniku przypomina również, aby nie publikować w mediach społecznościowych zdjęć swoich dokumentów
  • UODO przypomina, że zgodnie z prawem zatrzymanie dowodu osobistego bez podstawy prawnej jest karane
  • w poradniku zwrócono uwagę także na zagrożenia, jakie wiążą się z podawaniem danych przez telefon
  • publikacja UODO ostrzega również przed zbyt pochopnym udostępnianiem danych np. w formularzach, ankietach i umowach

Źródło: https://uodo.gov.pl/pl/138/2212 https://cyberdefence24.pl/jakie-ryzyka-czyhaja-w-sieci-na-jej-najbardziej-doswiadczonych-zyciowo-starszych-uzytkownikow

Listopadowy newsletter UODO (1)

  • w najnowszym, listopadowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

PESEL JAKO LOGIN DO SYSTEMU INFORMATYCZNEGO

  • PESEL nie powinien być wykorzystywany jako login do systemu informatycznego czy portalu
  • mimo że stanowisko polskiego organu ds. ochrony danych osobowych dotyczące wykorzystywania numeru PESEL jako loginu do systemu informatycznego czy portalu jest niezmienne, wciąż zdarza się wprowadzanie tego typu budzących zastrzeżenia rozwiązań

WIELU PEŁNOMOCNIKÓW BŁĘDNIE, A PRZEZ TO NIESKUTECZNIE, ZAWIADAMIA O WYZNACZENIU IOD

  • o wyznaczeniu (zmianie danych lub odwołaniu) IOD lub jego zastępcy administratorzy/podmioty przetwarzające mogą zawiadomić przez pełnomocnika
  • jednak, aby zawiadomienie było skuteczne, pełnomocnik musi pamiętać o spełnieniu warunków związanych z elektroniczną postacią zawiadomienia oraz elektroniczną formą pełnomocnictwa, a także o przesłaniu opłaty skarbowej od pełnomocnictwa (chyba że przepisy zwalniają od jej uiszczenia)
  • przed przystąpieniem do wysłania zawiadomienia warto przygotować sobie pełnomocnictwo oraz dowód dokonania opłaty skarbowej

Listopadowy newsletter UODO (2)

JAK EFEKTYWNIE PROWADZIĆ PRACE NAD KODEKSEM POSTĘPOWANIA

  • dotychczasowych doświadczeń Urzędu Ochrony Danych Osobowych zebranych w czasie prac na projektami kodeksów postępowania wynika, że środowiska inicjujące prace nad tymi dokumentami popełniają różnego rodzaju błędy

KONSULTACJE KODEKSU POSTĘPOWANIA POWINNY BYĆ SZEROKIE, LECZ PODSUMOWANIE SYNTETYCZNE

  • przeprowadzenie konsultacji projektu kodeksu postępowania to niezmiernie ważny etap poprzedzający złożenie wniosku o jego zatwierdzenie Prezesowi UODO
  • konsultacje służą m.in. uzyskaniu – zarówno od podmiotów, które w przyszłości będą stosować uregulowania kodeksu, jak i od osób, których dane będą przetwarzane – informacji na temat ich oczekiwań co do przygotowanego projektu, jak również interpretacji jego uregulowań
  • na ich podstawie możliwe jest dokonanie stosownych modyfikacji projektowanych postanowień, tak by były zgodne z przepisami, a jednocześnie jednoznaczne i zrozumiałe dla wszystkich odbiorców kodeksu

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod 

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 09.11.2021 r.
RODO aktualności
RODO aktualności – 26.10.2021 r.
RODO aktualności
RODO aktualności – 12.10.2021 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.