RODO aktualności – 26.08.2021 r.

• Kancelaria Senatu miasta Hamburga, który pełni władzę wykonawczą w landzie, została formalnie upomniana by nie korzystała z komunikatora Zoom. Wynika to z faktu unieważnienia przez TSUE obowiązywania porozumienia między UE a USA w sprawie transferu danych – tzw. Tarczy Prywatności.
• Hamburski urząd ochrony danych twierdzi, że Senat nie udzielił właściwej odpowiedzi na zgłoszone mu wcześniej zastrzeżenia, stąd publicznie wystosowane ostrzeżenie. Co jednak istotne, rzecznik urzędu przekazał, że „obecnie nie ma planów co do dalszych formalnych kroków”. Wskazał jednak, że istnieją w Niemczech inne rozwiązania, umożliwiające komunikację zdalną, które zapewniają bezpieczeństwo przetwarzania danych osobowych. Takim narzędziem jest oprogramowanie firmy Dataport.
• Aktualnie wiele organów nadzorczych przygląda się sprawie korzystania z rozwiązań oferowanych przez amerykańskie firmy, z uwagi na przesyłanie danych osobowych na terytorium USA. Obecnie nie ma pewności czy transfer taki jest odpowiednio zabezpieczony, dlatego też rekomendowane jest z rozwiązań, które nie transferują lub mogą transferować danych osobowych do państw trzecich.

Źródło: https://www.bankier.pl/wiadomosc/Wladze-Hamburga-formalnie-upomniane-by-nie-uzywaly-Zooma-ze-wzgledu-na-RODO-8172320.html

• Na skutek ataku typu ransomware doszło do naruszenia danych osobowych klientów a2mobile, Premium Mobile i NAU Mobile.
• Złośliwe oprogramowanie mogło spowodować wyciek danych takich jak: seria i numer dowodu osobistego, PESEL, numer telefonu, adres zamieszkania, adres e-mail, imię i nazwisko, adres zamieszkania.
• Ten dość szeroki zakres danych może powodować powstanie wysokiego ryzyka dla osób, których dane dotyczą, ponieważ może dojść do próby wzięcia pożyczki przy użyciu danych tych osób czy wykorzystania ich w inny sposób, niezgodny z przeznaczeniem.
• Jako pocieszenie podaje się fakt, że zakres danych może nie być tak szeroki jak podano, ponieważ nie wszędzie w systemie, informacje takie jak PESEL czy numer dowodu osobistego, zostały zapisane.
• Taka sytuacja uwidacznia, że należy stosować odpowiednie środki organizacyjne i techniczne w przestrzeni informatycznej, ponieważ może tu dojść do bardzo poważnych incydentów bezpieczeństwa.

Źródło: https://niebezpiecznik.pl/post/dane-klientow-a2mobile-premium-mobile-i-nau-mobile-byly-dostepne-dla-wlamywaczy/

• Dzisiejsze RODO aktualności obfitują w naruszenia przetwarzania danych osobowych u operatorów komórkowych.
• Tym razem do takiego naruszenia doszło w amerykańskim T-Mobile. Nie byłoby w tym nic nadzwyczajnego, przecież naruszenia się zdarzają, ale fakt, że sprawa może dotyczyć 100 mln ludzi, powoduje, że naruszenie może dotyczyć sporej grupy osób.
• Obecnie prowadzone jest postępowanie wyjaśniające jak „dotkliwe” jest to naruszenie. Spółka powiadomi o wynikach tego postępowania i podejmie stosowne działania.
• T-Mobile Polska informuje, że dane osobowe polskich klientów są bezpieczne i wyciek w USA nie ma wpływu na ich przetwarzanie.

Źródło: https://tvn24.pl/biznes/ze-swiata/t-mobile-usa-atak-hakerow-t-mobile-przyznalo-ze-doszlo-do-naruszenia-danych-5195529

• Europejska Rada Ochrony Danych Osobowych opublikowała raport dotyczący działalności krajowych organów nadzorczych. Jest to ciekawy dokument pokazujący m.in. efektywność pracy tych organów.
• Z raportu wynika, że średni czas postępowania przed UODO trwa ok. 3 miesiące, Urząd Ochrony Danych Osobowych może pochwalić się zatrudnieniem jednej z największej ilości pracowników.
• W raporcie znajdziemy też m.in. Informacje o tym jak dużymi budżetami dysponują krajowi regulatorzy czy informacje o ilości prowadzonych postępowań czy wniesionych skarg, a także wysokości nałożonych kar.
• Należy zastanowić się czy rzeczywiście obecnie postępowania przed Prezesem Urzędu Ochrony Danych Osobowych trwają ok. 3 miesięcy czy jednak dłużej?

Źródło: https://edpb.europa.eu/system/files/2021-08/edpb_report_2021_overviewsaressourcesandenforcement_v3_en_0.pdf

• Resort zdrowia przygotował projekt przepisów, na których podstawie pracodawca będzie miał prawo sprawdzić, czy jego pracownik jest zaszczepiony przeciwko COVID-19.
• Minister zdrowia Adam Niedzielski stwierdził, że nie chodzi o zwolnienie z pracy, ale o to, aby np. do kontaktu z klientami byli kierowani zaszczepieni pracownicy, a ci niezaszczepieni zostali oddelegowani do innych zadań. Dodatkowo projektowane regulacje mają dawać możliwość weryfikacji przez przedsiębiorców,  czy osoby korzystające z ich usług są zaszczepione przeciwko COVID-19.
• Aktualnie żaden przepis prawa nie jest podstawą, do tego aby pracodawca mógł żądać od pracownika zaszczepienia się przeciw COVID-19. Pracodawca nie posiada prawa dostępu do informacji czy pracownik się zaszczepił. Brak obowiązku sprawia, że szczepienia są całkowicie dobrowolne, i zarówno pracownicy, jak i kandydaci do pracy nie mają obowiązku ich wykonywania.
• Minister zdrowia w rozmowie z PAP podkreślił, że w dobie epidemii, pracodawcom trzeba dać narzędzia, które pozwolą im zachować ciągłość działalności firmy. Niezaszczepiony pracownik jest ryzykiemi trudno temu zaprzeczyć. .

Źródło: Informacja o szczepieniu w pracy. Urzędy chcą wiedzieć (businessinsider.com.pl)

• Od 1 stycznia 2022 roku szpitale na opaskach identyfikujących pacjenta mają podawać jego imię, nazwisko i datę urodzenia. Eksperci od RODO protestują, ponieważ ułatwia to identyfikację chorych. Ich zdaniem trzeba wprowadzić centralny system do sczytywania kodów z opasek.
• Szpitale cieszą się ze zmiany prawa, ponieważ mogą zapewnić pacjentom większe bezpieczeństwo. Brak na opasce imienia i nazwiska, to największe zagrożenie, jakie prawnicy wyrządzili pacjentom w Polsce -mówi Szymon Brzosko, dyrektor medyczny firmy Da Vita. Jego stanowisko podzielają inni dyrektorzy dużych placówek zdrowia.
  Podkreślają jednak, że nie można rezygnować z kodów paskowych, a dane osobowe powinny być tylko ich uzupełnieniem.
• Eksperci od RODO krytykują nowe rozwiązanie. Niedopuszczalne jest zamieszczanie imienia i nazwiska, co jest najczęstszym naruszeniem, ale można wpisać nazwisko, płeć, kod kreskowy i już jest dobrze – wyjaśnia dr Aneta Sieradzka, adwokat, specjalistka od ochrony danych w ochronie zdrowia.

Źródło: https://www.prawo.pl/zdrowie/jakie-dane-na-opasce-informacyjnej-pacjenta-zmiana-przepisow,509701.html

• Sprawa dotyczy dwóch partii – Platformy Obywatelskiej oraz Prawa i Sprawiedliwości. NSA w przypadku obu partii uznał, że wyciągi i historie rachunków bankowych stanowią informację publiczną.
• Wojewódzki Sąd Administracyjny oddalił skargę na PO twierdząc, że wyciągi i historie rachunków bankowych nie stanowią informacji publicznej. Obrazują one operacje jakie są dokonywane przez podmiot, który zawarł z bankiem umowę bankową. Potwierdzają stan konta – przychody i wydatki.
• W wyniku złożenia skargi kasacyjnej Naczelny Sąd Administracyjny wyrokiem z 18 grudnia 2019 r., I OSK 1687/18, uchylił wyrok pierwszej instancji i przekazał sprawę do ponownego rozpoznania. Naczelny Sąd Administracyjny odwołał się do konstytucyjnej zasady jawności finansowania partii politycznych.
• NSA uchylił wyrok WSA i zobowiązał partię do wykonania wniosku. Podobna historia dotyczy Prawa i Sprawiedliwości

Źródło: Wyciągi i historie rachunków bankowych partii stanowią informację publiczną – Sieć Obywatelska Watchdog (siecobywatelska.pl)

• Dzisiejsze RODO aktualności obfitują w informacje dotyczące branży medycznej. Tym razem zmiany w zasadach stosowania monitoringu w szpitalach. O zmianach w przepisach pisaliśmy już w sierpniowych aktualnościach, tym razem skupimy się na wątpliwościach ekspertów od RODO.
• Przypominamy, że istota proponowanych zmian w przepisach polega na rezygnacji z zasady, zgodnie z którą monitoring prowadzony może być wyłącznie na podstawie przepisów prawa, a o stosowaniu monitoringu będzie każdorazowo decydował kierownik podmiotu wykonującego działalność leczniczą.
• Zdaniem prawników z Fundacji Panoptykon przepisy o monitoringu w projekcie ustawy o jakości w ochronie zdrowia doprowadzą do niekontrolowanego stosowania monitoringu w podmiotach leczniczych. Ich zdaniem powinno to zostać uznane za systemowe naruszenie prawa pacjenta do poszanowania jego godności i intymności, gwarantowanego przez art. 30 Konstytucji RP.
• Dr. Paweł Litwiński, adwokat specjalizujący się w przepisach o RODO, twierdzi, że, przyjęcie propozycji zawartych w projekcie spowoduje, że systemowo będzie brakować podstawy prawnej przetwarzania danych osobowych na potrzeby monitoringu wizyjnego w podmiotach leczniczych. W rezultacie propozycje już na tym etapie pozostają niezgodnie z przepisami RODO, które wprowadzają bardzo wysokie standardy w zakresie ochrony danych osobowych dotyczących zdrowia

Źródło: Eksperci o kamerach w sanitariatach i salach szpitalnych: zamach na RODO i godność – Dane osobowe – rp.pl

• Na stornie niebezpiecznik.pl pojawił się komunikat o tym, że na miliony urządzeń korzystających z chipsetów Realteka do obsługi połączeń Wi-Fi można się włamać i je zablokować
• Realtekpoinformował16.08.21 r.  o 4 poważnych błędach dotyczących SDK dla swoich modułów Wi-Fi.
• Nad urządzeniami można przejąć kontrolę z poziomu sieci lokalnej ale także przez internet, jeśli odpowiednie porty są dostępne. .
• Szczegółowy, techniczny opis exploitacji błędów można znaleźć na stronie IoT Inspektora, który odkrył błąd. Tam też znajduje się lista wszystkich podatnych urządzeń.

Źródło: » Poważne dziury w milionach routerów, kamer i innym sprzęcie IoT. Winny chip Wi-Fi od Realteka — Niebezpiecznik.pl —