Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO aktualności – 26.08.2021 r.

Za co ukarano Prezesa Sądu Rejonowego w Zgierzu? Czy Zoom spełnia wymogi RODO? W jakli sposób doszło do wycieku danych sieci komórkowych? Czy dane osobowe klientów T-Mobile są bezpieczne? Jak wygląda efektywność pracy organów nadzorczych? Czy pracodawca będzie miał wgląd do informacji o szczepieniach pracowników? Jakie zmiany związane z ochroną danych czekają w szpitalach? Czy rachunki bankowe partii politycznych stanowią informację publiczną? Jakie zmiany RODO w branży medycznej? Czy wszystkie kamery oraz routery są bezpieczne?

MULTIMEDIA

#RODOA [19.08.2021]
#RODOA [24.08.2021]
Pobierz PDFPobierz PDF

 

Kara UODO dla Prezesa SR w Zgierzu

  • Prezes Urzędu Ochrony Danych Osobowych nałożył na Prezesa Sądu Rejonowego w Zgierzu karę administracyjną w wysokości 10000 zł. Decyzja ta jest związana ze zgłoszeniem naruszenia ochrony danych, polegającego na zagubieniu nieszyfrowanego pendrive’a przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.
  • Z uwagi na zakres ujawnionych danych osobowych (tj. imię, nazwisko, data urodzenia, adres zamieszkania lub pobytu, numery PESEL, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia oraz dane dotyczące wyroków skazujących), wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu. Pendrive nie odnalazł się do chwili obecnej, a ponieważ jest niezaszyfrowany, dane te można w każdej chwili odczytać i wykorzystać.
  • Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków była możliwość zapoznania się z tymi danymi osobowymi. Okolicznością łagodzącą przy wymiarze kary, była dobra współpraca Prezesa SR z Prezesem UODO.

Źródło: https://uodo.gov.pl/pl/138/2130

 

Zoom nie spełnia wymogów RODO?

  • Kancelaria Senatu miasta Hamburga, który pełni władzę wykonawczą w landzie, została formalnie upomniana by nie korzystała z komunikatora Zoom. Wynika to z faktu unieważnienia przez TSUE obowiązywania porozumienia między UE a USA w sprawie transferu danych – tzw. Tarczy Prywatności.
  • Hamburski urząd ochrony danych twierdzi, że Senat nie udzielił właściwej odpowiedzi na zgłoszone mu wcześniej zastrzeżenia, stąd publicznie wystosowane ostrzeżenie. Co jednak istotne, rzecznik urzędu przekazał, że „obecnie nie ma planów co do dalszych formalnych kroków”. Wskazał jednak, że istnieją w Niemczech inne rozwiązania, umożliwiające komunikację zdalną, które zapewniają bezpieczeństwo przetwarzania danych osobowych. Takim narzędziem jest oprogramowanie firmy Dataport.
  • Aktualnie wiele organów nadzorczych przygląda się sprawie korzystania z rozwiązań oferowanych przez amerykańskie firmy, z uwagi na przesyłanie danych osobowych na terytorium USA. Obecnie nie ma pewności czy transfer taki jest odpowiednio zabezpieczony, dlatego też rekomendowane jest z rozwiązań, które nie transferują lub mogą transferować danych osobowych do państw trzecich.

Źródło: https://www.bankier.pl/wiadomosc/Wladze-Hamburga-formalnie-upomniane-by-nie-uzywaly-Zooma-ze-wzgledu-na-RODO-8172320.html

Wyciek danych osobowych z a2mobile, Premium Mobile i NAU Mobile

  • Na skutek ataku typu ransomware doszło do naruszenia danych osobowych klientów a2mobile, Premium Mobile i NAU Mobile.
  • Złośliwe oprogramowanie mogło spowodować wyciek danych takich jak: seria i numer dowodu osobistego, PESEL, numer telefonu, adres zamieszkania, adres e-mail, imię i nazwisko, adres zamieszkania.
  • Ten dość szeroki zakres danych może powodować powstanie wysokiego ryzyka dla osób, których dane dotyczą, ponieważ może dojść do próby wzięcia pożyczki przy użyciu danych tych osób czy wykorzystania ich w inny sposób, niezgodny z przeznaczeniem.
  • Jako pocieszenie podaje się fakt, że zakres danych może nie być tak szeroki jak podano, ponieważ nie wszędzie w systemie, informacje takie jak PESEL czy numer dowodu osobistego, zostały zapisane.
  • Taka sytuacja uwidacznia, że należy stosować odpowiednie środki organizacyjne i techniczne w przestrzeni informatycznej, ponieważ może tu dojść do bardzo poważnych incydentów bezpieczeństwa.

Źródło: https://niebezpiecznik.pl/post/dane-klientow-a2mobile-premium-mobile-i-nau-mobile-byly-dostepne-dla-wlamywaczy/

Wyciek danych osobowych z T-Mobile US

  • Dzisiejsze RODO aktualności obfitują w naruszenia przetwarzania danych osobowych u operatorów komórkowych.
  • Tym razem do takiego naruszenia doszło w amerykańskim T-Mobile. Nie byłoby w tym nic nadzwyczajnego, przecież naruszenia się zdarzają, ale fakt, że sprawa może dotyczyć 100 mln ludzi, powoduje, że naruszenie może dotyczyć sporej grupy osób.
  • Obecnie prowadzone jest postępowanie wyjaśniające jak „dotkliwe” jest to naruszenie. Spółka powiadomi o wynikach tego postępowania i podejmie stosowne działania.
  • T-Mobile Polska informuje, że dane osobowe polskich klientów są bezpieczne i wyciek w USA nie ma wpływu na ich przetwarzanie.

Źródło: https://tvn24.pl/biznes/ze-swiata/t-mobile-usa-atak-hakerow-t-mobile-przyznalo-ze-doszlo-do-naruszenia-danych-5195529

Raport EROD dotyczący działalności krajowych organów nadzorczych

  • Europejska Rada Ochrony Danych Osobowych opublikowała raport dotyczący działalności krajowych organów nadzorczych. Jest to ciekawy dokument pokazujący m.in. efektywność pracy tych organów.
  • Z raportu wynika, że średni czas postępowania przed UODO trwa ok. 3 miesiące, Urząd Ochrony Danych Osobowych może pochwalić się zatrudnieniem jednej z największej ilości pracowników.
  • W raporcie znajdziemy też m.in. Informacje o tym jak dużymi budżetami dysponują krajowi regulatorzy czy informacje o ilości prowadzonych postępowań czy wniesionych skarg, a także wysokości nałożonych kar.
  • Należy zastanowić się czy rzeczywiście obecnie postępowania przed Prezesem Urzędu Ochrony Danych Osobowych trwają ok. 3 miesięcy czy jednak dłużej?

Źródło: https://edpb.europa.eu/system/files/2021-08/edpb_report_2021_overviewsaressourcesandenforcement_v3_en_0.pdf

Pracodawcy chcą mieć dostęp do informacji o pracownikach zaszczepionych przeciwko COVID-19

  • Resort zdrowia przygotował projekt przepisów, na których podstawie pracodawca będzie miał prawo sprawdzić, czy jego pracownik jest zaszczepiony przeciwko COVID-19.
  • Minister zdrowia Adam Niedzielski stwierdził, że nie chodzi o zwolnienie z pracy, ale o to, aby np. do kontaktu z klientami byli kierowani zaszczepieni pracownicy, a ci niezaszczepieni zostali oddelegowani do innych zadań. Dodatkowo projektowane regulacje mają dawać możliwość weryfikacji przez przedsiębiorców czy osoby korzystające z ich usług są zaszczepione przeciwko COVID-19.
  • Aktualnie żaden przepis prawa nie jest podstawą, do tego aby pracodawca mógł żądać od pracownika zaszczepienia się przeciw COVID-19. Pracodawca nie posiada prawa dostępu do informacji czy pracownik się zaszczepił. Brak obowiązku sprawia, że szczepienia są całkowicie dobrowolne, i zarówno pracownicy, jak i kandydaci do pracy nie mają obowiązku ich wykonywania.
  • Minister zdrowia w rozmowie z PAP podkreślił, że w dobie epidemii, pracodawcom trzeba dać narzędzia, które pozwolą im zachować ciągłość działalności firmy. Niezaszczepiony pracownik jest ryzykiemi trudno temu zaprzeczyć. .

Źródło: Informacja o szczepieniu w pracy. Urzędy chcą wiedzieć (businessinsider.com.pl)

Opaski w szpitalach- bezpieczeństwo przede wszystkim

  • Od 1 stycznia 2022 roku szpitale na opaskach identyfikujących pacjenta mają podawać jego imię, nazwisko i datę urodzenia. Eksperci od RODO protestują, ponieważ ułatwia to identyfikację chorych. Ich zdaniem trzeba wprowadzić centralny system do sczytywania kodów z opasek.
  • Szpitale cieszą się ze zmiany prawa, ponieważ mogą zapewnić pacjentom większe bezpieczeństwo. Brak na opasce imienia i nazwiska, to największe zagrożenie, jakie prawnicy wyrządzili pacjentom w Polsce -mówi Szymon Brzosko, dyrektor medyczny firmy Da Vita. Jego stanowisko podzielają inni dyrektorzy dużych placówek zdrowia.
    Podkreślają jednak, że nie można rezygnować z kodów paskowych, a dane osobowe powinny być tylko ich uzupełnieniem.
  • Eksperci od RODO krytykują nowe rozwiązanie. Niedopuszczalne jest zamieszczanie imienia i nazwiska, co jest najczęstszym naruszeniem, ale można wpisać nazwisko, płeć, kod kreskowy i już jest dobrze – wyjaśnia dr Aneta Sieradzka, adwokat, specjalistka od ochrony danych w ochronie zdrowia.

Źródło: https://www.prawo.pl/zdrowie/jakie-dane-na-opasce-informacyjnej-pacjenta-zmiana-przepisow,509701.html

Wyciągi i historie rachunków bankowych partii to dane publiczne

  • Sprawa dotyczy dwóch partii – Platformy Obywatelskiej oraz Prawa i Sprawiedliwości. NSA w przypadku obu partii uznał, że wyciągi i historie rachunków bankowych stanowią informację publiczną.
  • Wojewódzki Sąd Administracyjny oddalił skargę na PO twierdząc, że wyciągi i historie rachunków bankowych nie stanowią informacji publicznej. Obrazują one operacje jakie są dokonywane przez podmiot, który zawarł z bankiem umowę bankową. Potwierdzają stan konta – przychody i wydatki.
  • W wyniku złożenia skargi kasacyjnej Naczelny Sąd Administracyjny wyrokiem z 18 grudnia 2019 r., I OSK 1687/18, uchylił wyrok pierwszej instancji i przekazał sprawę do ponownego rozpoznania. Naczelny Sąd Administracyjny odwołał się do konstytucyjnej zasady jawności finansowania partii politycznych.
  • NSA uchylił wyrok WSA i zobowiązał partię do wykonania wniosku. Podobna historia dotyczy Prawa i Sprawiedliwości

Źródło: Wyciągi i historie rachunków bankowych partii stanowią informację publiczną – Sieć Obywatelska Watchdog (siecobywatelska.pl)

Kamery w sanitariatach i salach szpitalnych – zamach na RODO?

  • Dzisiejsze RODO aktualności obfitują w informacje dotyczące branży medycznej. Tym razem zmiany w zasadach stosowania monitoringu w szpitalach. O zmianach w przepisach pisaliśmy już w sierpniowych aktualnościach, tym razem skupimy się na wątpliwościach ekspertów od RODO.
  • Przypominamy, że istota proponowanych zmian w przepisach polega na rezygnacji z zasady, zgodnie z którą monitoring prowadzony może być wyłącznie na podstawie przepisów prawa, a o stosowaniu monitoringu będzie każdorazowo decydował kierownik podmiotu wykonującego działalność leczniczą.
  • Zdaniem prawników z Fundacji Panoptykon przepisy o monitoringu w projekcie ustawy o jakości w ochronie zdrowia doprowadzą do niekontrolowanego stosowania monitoringu w podmiotach leczniczych. Ich zdaniem powinno to zostać uznane za systemowe naruszenie prawa pacjenta do poszanowania jego godności i intymności, gwarantowanego przez art. 30 Konstytucji RP.
  • Dr. Paweł Litwiński, adwokat specjalizujący się w przepisach o RODO, twierdzi, że, przyjęcie propozycji zawartych w projekcie spowoduje, że systemowo będzie brakować podstawy prawnej przetwarzania danych osobowych na potrzeby monitoringu wizyjnego w podmiotach leczniczych. W rezultacie propozycje już na tym etapie pozostają niezgodnie z przepisami RODO, które wprowadzają bardzo wysokie standardy w zakresie ochrony danych osobowych dotyczących zdrowia

Źródło: Eksperci o kamerach w sanitariatach i salach szpitalnych: zamach na RODO i godność – Dane osobowe – rp.pl

Poważne dziury w milionach routerów, kamer i innym sprzęcie IoT

  • Na stornie niebezpiecznik.pl pojawił się komunikat o tym, że na miliony urządzeń korzystających z chipsetów Realteka do obsługi połączeń Wi-Fi można się włamać i je zablokować
  • Realtekpoinformował16.08.21 r.  o 4 poważnych błędach dotyczących SDK dla swoich modułów Wi-Fi.
  • Nad urządzeniami można przejąć kontrolę z poziomu sieci lokalnej ale także przez internet, jeśli odpowiednie porty są dostępne. .
  • Szczegółowy, techniczny opis exploitacji błędów można znaleźć na stronie IoT Inspektora, który odkrył błąd. Tam też znajduje się lista wszystkich podatnych urządzeń.

Źródło: » Poważne dziury w milionach routerów, kamer i innym sprzęcie IoT. Winny chip Wi-Fi od Realteka — Niebezpiecznik.pl —

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 23.11.2021 r.
RODO aktualności
RODO aktualności – 09.11.2021 r.
RODO aktualności
RODO aktualności – 26.10.2021 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.