RODO aktualności – 23.11.2021 r.

• UODO wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko
• nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie
• UODO decydując o nałożeniu kary wziął pod uwagę m.in. to, że w toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający stopień współpracy z organem nadzoru, umyślność działania oraz charakter i wagę naruszenia

Źródło: https://uodo.gov.pl/pl/138/2211

• wyskakujące okienka (pop-upy) naruszają przepisy RODO – ocenił belgijski organ ochrony danych osobowych
• jego zdaniem wymuszanie w ten sposób zgody na śledzenie użytkowników i użytkowniczek dla celów personalizowanej reklamy narusza przepisy obowiązującego w Europie prawa ochrony danych i prywatności
• orzeczenie to efekt złożonych przez Fundację Panoptykon i inne organizacje w 2019 roku skarg przeciwko IAB Europe – skargi te zakwestionowały zgodność systemu „Transparency & Consent Framework” (TCF) z europejskimi regulacjami
• według belgijskiego urzędu, IAB powinien być traktowany jako administrator – IAB Europe utrzymuje z kolei, że nie pełni takiej roli, a profile marketingowe tworzone na potrzeby funkcjonowania systemu aukcji real time bidding nie są danymi osobowymi
• „W naszych skargach zwracaliśmy uwagę, że jest dokładnie odwrotnie, a wstępna decyzja belgijskiego organu przyznaje nam rację” – komentuje Panoptykon
• kiedy decyzja belgijskiego organu danych zostanie potwierdzona, zgodnie z przewidzianym w RODO mechanizmem one-stop shop trafi do organów w Polsce i Holandii, skąd wywodzą się skarżące IAB podmioty
• organy krajowe muszą przygotować swoje stanowisko w ciągu miesiąca – o ile zgodzą się w nim z organem orzekającym, decyzja z Belgii stanie się obowiązująca, w razie sprzeciwu, sprawa rozpatrzona zostanie przez EROD

Źródło: https://www.cyberdefence24.pl/system-zbierania-zgod-iab-narusza-rodo https://www.cyberdefence24.pl/reklamodawcy-online-w-mysl-rodo-powinni-byc-uznani-za-kontrolerow-danych

• wykorzystywanie bezzałogowych statków powietrznych przez organy publiczne dla realizacji ich zadań powinno mieć wyraźną podstawę prawną, wynikającą z powszechnie obowiązujących przepisów prawa – wskazuje Prezes UODO
• dron uzbrojony w kamerę bardzo łatwo uzyskuje wysokiej jakości nagrania nie tylko z przestrzeni publicznej, ale także prywatnej – obraz przetwarzany w czasie rzeczywistym czy zarejestrowany przez tego rodzaju statek powietrzny może potencjalnie zawierać liczne dane osobowe
• przepisy prawa krajowego, które miałyby być przyjmowane w tym zakresie, powinny być zgodne z RODO, a także z ustawą z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – w przypadku służb realizujących zadania z niej wynikające
• jedynym obowiązującym w Polsce aktem prawnym, w którym szczegółowo zostały określone zasady wykorzystywania w celach publicznych bezzałogowych statków powietrznych jest ustawa Inspekcji Ochrony Środowiska, w przepisach której wskazany został cel wykorzystywania tego narzędzia przez Inspekcję, zakres danych gromadzonych podczas wykonywania zadań publicznych, a także administrator (art. 10 b)

Źródło: https://uodo.gov.pl/pl/138/2207

• Centrum Medyczne Luxmed Sp. z o.o. poinformowało o “usterce” która powodowała “otwarty dostęp” do danych osobowych pacjentów w zakresie:
  • PESEL
  • Imię i nazwisko
  • adres e-mail
  • zaszyfrowane hasło do e-rezerwacji
• dostęp został zablokowany, a defekt naprawiony
• zgodnie z oświadczeniem spółki rozpoczęto procedurę zgłaszania incydentu bezpieczeństwa do Urzędu Ochrony Danych Osobowych
• Spółka informuje, że nie stwierdziła faktycznego wycieku danych, jedynie błąd systemu, który mógłby taki wyciek spowodować

Źródło: https://niebezpiecznik.pl/post/luxmed-informuje-o-incydencie-otwarty-dostep-do-danych-osobowych-pacjentow/

• holenderski organ ochrony danych nałożył na Transavię karę grzywny za słabe zabezpieczenia danych osobowych
• ze względu na słabe bezpieczeństwo danych osobowych hakerowi udało się włamać do systemów Transavii, w których potencjalnie mógł mieć dostęp do danych 25 mln pasażerów
• ustalono, że haker faktycznie pobrał dane osobowe 83 000 osób
• haker włamał się do systemów Transavii we wrześniu 2019 r., korzystając z dwóch kont działu IT firmy
• wystąpiły trzy luki w zabezpieczeniach, które ułatwiły hakerowi pracę:
  • hasło było łatwe do odgadnięcia.
  • do wejścia do systemu potrzebne było tylko hasło, ne było uwierzytelniania wieloskładnikowego,
  • gdy haker przejął kontrolę nad dwoma kontami, miał również dostęp do wielu systemów Transavii, stało się tak, ponieważ prawa dostępu związane z tymi kontami nie były ograniczone tylko do niezbędnych systemów

Źródło: https://edpb.europa.eu/news/news/2021/dutch-dpa-fines-transavia-poor-personal-data-security_en

• niektóre teatry i inne placówki kultury wymagają od widzów okazania certyfikatu szczepienia przeciwko COVID-19 lub aktualnego testu RT-PCR – bez tych dokumentów nie obejrzy się spektaklu
• takie żądania są jednak bezprawne, bo nie ma ustawy, która dawałaby do tego prawo
• w kinie i teatrze maksymalnie może być zajętych 75 proc. miejsc. Ale limity nie dotyczą osób w pełni zaszczepionych przeciw COVID-19 – takie zasady przewiduje rozporządzenie Rady Ministrów zmieniające rozporządzenie w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii
• teoretycznie więc, by była pełna sala widzów powinno sprawdzać się, który z widzów zaszczepił się, a który nie – prawodawca nie stworzył jednak mechanizmów weryfikacji faktu zaszczepienia
• podmioty zobowiązane przepisami o limitach osób nie mają uprawnień do kontroli statusu szczepienia osób, których dotyczy limit – potwierdził to prezes Urzędu Ochrony Danych Osobowych
• według organu niego rozporządzenie z 6 maja 2021 r. nie uprawnia podmiotów zobowiązanych do przestrzegania limitu osób do żądania od nich informacji o zaszczepieniu przeciwko COVID-19 – ewentualne okazywanie dowodów zaszczepienia może się odbywać z inicjatywy osoby zainteresowanej daną usługą

Źródło: https://www.prawo.pl/biznes/obowiazek-posiadania-certyfikatu-covidowego-w-teatrze-i-kinie,511648.html

• szkoła nie ma podstawy prawnej do korzystania z monitoringu w okolicznych sklepach – skorzystanie z nagrań dałoby się uzasadnić jedynie, gdy w szkole dojdzie do jakiegoś zdarzenia
• jedna ze szkół wpadła na pomysł, by wejść w kooperację z osiedlowym sklepem – chce, by właściciele udostępniali jej nagrania z monitoringu wizyjnego, co miałoby pomóc zapobiegać niebezpiecznym sytuacjom, np. wyłapać uczniów chodzących na wagary
• nawet zgoda właściciela sklepu nie bardzo w tej sytuacji pomoże – nie ma bowiem podstawy prawnej ani do udostępniania, ani do przeglądania takich nagrań
• zasady funkcjonowania monitoringu wizyjnego w szkołach ustawa Prawo oświatowe – art. 108a umożliwia instalowanie kamer w szkołach, gdy jest to niezbędne do zapewnienia bezpieczeństwa: uczniów, pracowników oraz do ochrony mienia
• jednak przepis zupełnie nie znajdzie zastosowania do sytuacji, gdy szkoła chce skorzystać z monitoringu podmiotu zewnętrznego
• nawet jeżeli szkoła uzna, że to pomysł uzasadniony z perspektywy pedagogicznej, to z prawnej nie ma ku temu żadnych podstaw
• konieczne jest, by oba podmioty miały podstawę prawną do udostępniania informacji – a ani sklep nie ma podstawy do udostępniania, ani szkoła – w tym przypadku – do przetwarzania pozyskanych nagrań

Źródło: https://www.prawo.pl/oswiata/monitoring-w-sklepie-a-przekazywanie-danych-szkole,511657.html

• w związku z otrzymaniem znacznej liczby skarg dotyczących serwisu sprzedażowego ubrań on-line vinted.com, prowadzonego przez litewską spółkę Vinted UAB, organy nadzorcze z Francji, Litwy i Polski podjęły współpracę w celu zbadania zgodności tej strony z przepisami RODO
• utworzono w tym celu zespół zadaniowy, wspierany przez Europejską Radę Ochrony Danych, którego pierwsze spotkanie odbyło się 8 listopada
• organy ochrony danych koncentrują się w szczególności na następujących kwestiach: wymaganiu przez operatora strony internetowej przesłania skanu dowodu tożsamości, w celu odblokowania środków otrzymanych ze sprzedaży na koncie użytkownika oraz związanej z tym podstawie prawnej, a także na procedurze i kryteriach blokowania konta oraz odpowiednich okresach przechowywania danych
• w związku z tym, że główna siedziba spółki Vinted znajduje się na Litwie, wiodącym organem nadzorczym jest litewski organ ochrony danych

Źródło: https://uodo.gov.pl/pl/138/2213

• UODO przedstawia kilka porad dla seniorów, dzięki którym będą oni mogli uchronić się przed wykorzystaniem danych osobowych
• według UODO, wiele starszych osób ma problem z rozpoznaniem fałszywych wiadomości, poprzez które cyberprzestępcy próbują wyłudzać dane internautów – w poradniku czytamy, że z badania przygotowanego przez serwis ChronPESEL.pl i KRD pod patronatem UODO wynika, że zaledwie nieco ponad 12 proc. spośród ankietowanych starszych użytkowników sieci wie, jak zadbać o bezpieczeństwo swoich danych
• UODO radzi starszym użytkownikom sieci, aby uważali na to, co i komu udostępniają na swój temat w internecie, przestrzegając ich przed przekazywaniem danych osobowych nieznanym osobom i podmiotom
• urząd zachęca, aby aktywnie pytać o to, w jakim celu dane mają być gromadzone i przetwarzane, a także weryfikować tożsamość podmiotów, które chcą je pozyskać
• organ w swoim poradniku przypomina również, aby nie publikować w mediach społecznościowych zdjęć swoich dokumentów
• UODO przypomina, że zgodnie z prawem zatrzymanie dowodu osobistego bez podstawy prawnej jest karane
• w poradniku zwrócono uwagę także na zagrożenia, jakie wiążą się z podawaniem danych przez telefon
• publikacja UODO ostrzega również przed zbyt pochopnym udostępnianiem danych np. w formularzach, ankietach i umowach

Źródło: https://uodo.gov.pl/pl/138/2212 https://cyberdefence24.pl/jakie-ryzyka-czyhaja-w-sieci-na-jej-najbardziej-doswiadczonych-zyciowo-starszych-uzytkownikow

• w najnowszym, listopadowym numerze newslettera Urzędu Ochrony Danych Osobowych dla IOD znajdziemy między innymi:

PESEL JAKO LOGIN DO SYSTEMU INFORMATYCZNEGO

• PESEL nie powinien być wykorzystywany jako login do systemu informatycznego czy portalu
• mimo że stanowisko polskiego organu ds. ochrony danych osobowych dotyczące wykorzystywania numeru PESEL jako loginu do systemu informatycznego czy portalu jest niezmienne, wciąż zdarza się wprowadzanie tego typu budzących zastrzeżenia rozwiązań

WIELU PEŁNOMOCNIKÓW BŁĘDNIE, A PRZEZ TO NIESKUTECZNIE, ZAWIADAMIA O WYZNACZENIU IOD

• o wyznaczeniu (zmianie danych lub odwołaniu) IOD lub jego zastępcy administratorzy/podmioty przetwarzające mogą zawiadomić przez pełnomocnika
• jednak, aby zawiadomienie było skuteczne, pełnomocnik musi pamiętać o spełnieniu warunków związanych z elektroniczną postacią zawiadomienia oraz elektroniczną formą pełnomocnictwa, a także o przesłaniu opłaty skarbowej od pełnomocnictwa (chyba że przepisy zwalniają od jej uiszczenia)
• przed przystąpieniem do wysłania zawiadomienia warto przygotować sobie pełnomocnictwo oraz dowód dokonania opłaty skarbowej

JAK EFEKTYWNIE PROWADZIĆ PRACE NAD KODEKSEM POSTĘPOWANIA

• dotychczasowych doświadczeń Urzędu Ochrony Danych Osobowych zebranych w czasie prac na projektami kodeksów postępowania wynika, że środowiska inicjujące prace nad tymi dokumentami popełniają różnego rodzaju błędy

KONSULTACJE KODEKSU POSTĘPOWANIA POWINNY BYĆ SZEROKIE, LECZ PODSUMOWANIE SYNTETYCZNE

• przeprowadzenie konsultacji projektu kodeksu postępowania to niezmiernie ważny etap poprzedzający złożenie wniosku o jego zatwierdzenie Prezesowi UODO
• konsultacje służą m.in. uzyskaniu – zarówno od podmiotów, które w przyszłości będą stosować uregulowania kodeksu, jak i od osób, których dane będą przetwarzane – informacji na temat ich oczekiwań co do przygotowanego projektu, jak również interpretacji jego uregulowań
• na ich podstawie możliwe jest dokonanie stosownych modyfikacji projektowanych postanowień, tak by były zgodne z przepisami, a jednocześnie jednoznaczne i zrozumiałe dla wszystkich odbiorców kodeksu

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod