Jaka kara może grozić za niezgłoszenie naruszenia? W jaki sposób WORD naruszył dane osobowe? Jakie nowe wytyczne przyjęła EROD? Czy Facebook przetwarza dane użytkowników WhatsAppa? Czy dane osób, które nie poddały się szczepieniu przeciwko COVID-19 mogą być przekazywane NFZ? Jakie zmiany wprowadzi RODO II? Jaki jest zakres regulacji sztucznej inteligencji? Czy integracja technologii rozpoznawania twarzy narusza prywatność danych osobowych? W jaki sposób TikTok naruszył prywatność dzieci? Dlaczego dokumenty klientów banku trafiły na ulicę?
MULTIMEDIA | |
---|---|
#RODOA [19.07.2021] | #RODOA 26.07.2021] |
Pobierz PDF | Pobierz PDF |
Ponad 13 tys. zł za niezgłoszenie naruszenia do UODO oraz niezawiadomienie podmiotów danych (1)
- Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi naruszenia ochrony danych oraz niezawiadomienie o incydencie osób, których dane dotyczą
- jesienią 2020 r. do UODO wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację polegające na utracie danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów
- UODO otrzymał odpowiedź, iż Fundacja tego incydentu nie zgłosiła, a dokonana przez nią analiza naruszenia dała ocenę jego wagi na poziomie niskim – na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia organu nadzorczego
- w toku dalszych czynności ustalono, że naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała następujące kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu – co ważne w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL
Ponad 13 tys. zł za niezgłoszenie naruszenia do UODO oraz niezawiadomienie podmiotów danych (2)
- UODO nie zgodził się z oceną Fundacji i wskazał, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych – konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób
- nie bez znaczenia jest fakt, iż Fundacja nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia
- ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem
Źródło: https://uodo.gov.pl/pl/138/2118 https://uodo.gov.pl/decyzje/DKN.5131.11.2020
Dane osobowe pracownika na tablicy ogłoszeń
- Urząd Ochrony Danych Osobowych upomniał toruński WORD – chodzi o ujawnienie danych osobowych jednego z pracowników
- kopia korespondencji pracownika, zawierająca imię, nazwisko, oraz przynależność związkową, została wywieszona na jednej z tablic ogłoszeń w WORD
- upomnienie to skutek skargi, którą złożył pracownik
- Wojewódzki Ośrodek Ruchu Drogowego może odwołać się od tej decyzji do Sądu Administracyjnego
Źródło: https://www.radiopik.pl/2,94184,dane-osobowe-pracownika-na-tablicy-ogloszen-upom
EROD m.in. o kodeksach postępowania jako narzędziach do przekazywania danych do państw trzecich
- EROD przyjęła Wytyczne w sprawie kodeksów postępowania jako narzędzia do przekazywania danych
- głównym celem wytycznych jest wyjaśnienie stosowania przepisów, które przewidują, że po zatwierdzeniu przez właściwy organ nadzorczy i po przyznaniu przez Komisję ogólnej ważności w ramach EOG, kodeks może być przestrzegany i stosowany przez podmioty niepodlegające RODO w celu zapewnienia odpowiednich zabezpieczeń
- ponadto EROD przyjęła ostateczną wersję Wytycznych w sprawie pojęć administratora i podmiotu przetwarzającego
- celem tych wytycznych jest przedstawienie wyjaśnień dotyczących podstawowych pojęć, takich jak (współ)administrator i podmiot przetwarzający
- EROD przyjęła także ostateczną wersję Wytycznych w sprawie wirtualnych asystentów głosowych (VVA)
- wytyczne mają na celu ustalenie najistotniejszych wyzwań związanych z przestrzeganiem przepisów przez wirtualnych asystentów głosowych oraz przedstawienie zainteresowanym stronom zaleceń jak sobie z nimi radzić
- EROD podjęła także decyzję o rozwiązaniu Grupy roboczej ds. TikTok – grupę roboczą utworzono w celu koordynowania potencjalnych działań ze strony organów nadzorczych EOG, wymiany informacji oraz uzyskania przeglądu czynności przetwarzania i praktyk prowadzonych przez TikTok w UE
Źródło: https://uodo.gov.pl/pl/138/2105
EROD: Irlandzki organ nie przyjmie środków o charakterze ostatecznym, a przeprowadzi postępowanie
- EROD przyjęła pierwszą pilną wiążącą decyzję na podstawie art. 66 ust. 2 RODO na wniosek niemieckiego organu nadzorczego kraju związkowego Hamburg – sprawa dotyczy istotnych zmian jakie niedawno w zasadach przetwarzania danych swoich użytkowników wprowadził należący do Facebooka komunikator WhatsApp
- hamburski organ nadzorczy zakazał przetwarzania danych użytkowników WhatsAppa przez Facebooka do własnych celów, w następstwie zmiany warunków regulaminu i polityki prywatności mających zastosowanie do europejskich użytkowników komunikatora – organ powołał się na art. 66 RODO, który stanowi, że w wyjątkowych okolicznościach organ nadzorczy może przyjąć środki tymczasowe, które wywołują skutki prawne na jego własnym terytorium przez okres nieprzekraczający trzech miesięcy
- organ nadzorczy może zwrócić się do EROD z wnioskiem o pilne wydanie opinii lub w stosownym przypadku wiążącej decyzji
- EROD zdecydowała, że nie zostały spełnione warunki pozwalające wykazać istnienie naruszenia i pilnego charakteru sprawy
- EROD postanowiła, że irlandzki organ nie musi przyjmować ostatecznych środków przeciwko Facebookowi IE i stwierdziła, że istnieje prawdopodobieństwo, że Facebook IE przetwarza już dane użytkowników WhatsApp IE jako (współ)administrator m.in. w celu bezpieczeństwa, nie da się jednak potwierdzić, że dane te są przetwarzane do celów marketingowych
- EROD zwróciła się do irlandzkiego organu nadzorczego o przeprowadzenie w pierwszej kolejności postępowania w celu ustalenia, czy takie czynności przetwarzania mają miejsce, a jeśli tak, to czy mają one właściwą podstawę prawną
Źródło: https://uodo.gov.pl/pl/138/2113 https://edpb.europa.eu/news/news/2021/edpb-adopts-urgent-binding-decision-irish-sa-not-take-final-measures-carry-out_pl
MZ: NFZ może przetwarzać dane osobowe bez zgody
- dane osób, które nie poddały się szczepieniu przeciwko COVID-19, mogą być przekazywane NFZ z systemu teleinformatycznego – informuje resort zdrowia
- celem jest informowanie tych osób o możliwości poddania się szczepieniu przeciwko COVID-19
- zgodnie z art. 7a Rozporządzenia Rady Ministrów z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii dane osób, które nie poddały się szczepieniu przeciwko COVID-19, obejmujące imię i nazwisko, numer PESEL oraz numer telefonu, mogą być udostępniane NFZ z systemu teleinformatycznego (Elektroniczna Platforma Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych tzw. P1)
- Minister Zdrowia jako administrator danych osobowych gromadzonych w systemie rejestracji powierzył przetwarzanie danych osobowych w tym systemie Narodowemu Funduszowi Zdrowia, w tym w zakresie dotyczącym wykonywania połączeń wychodzących do osób, które nie poddały się szczepieniu
- oświadczenia o niewyrażeniu zgody Narodowemu Funduszowi Zdrowia na przekazanie danych osobowych podmiotom trzecim w celu realizacji telefonicznego zachęcania do zapisania na szczepienie przeciw COVID-19, zostaną pozostawione bez rozpoznania – podaje MZ
RODO II - rewolucja w przetwarzaniu informacji w sieci
- projekt Rozporządzenia o e-Prywatności (zwanego RODO II) ma już akceptację Komisji Europejskiej i Rady UE, pozostaje uzgodnienie jej z Parlamentem Europejskim
- w maju w KPRM powołano zespół ds. wdrożenia tych przepisów i opracowania projektu odpowiedniej ustawy
- trzy najważniejsze obszary działania nowej regulacji to komunikacja elektroniczna, internet rzeczy oraz hot spoty
- w stosunku do RODO będzie to poszerzenie zakresu chronionej informacji, m.in. o metadane –poziom ochrony wzrośnie i prawdopodobnie użytkownicy będą musieli wyrażać dodatkowe zgody
- akt ma objąć także internet rzeczy, czyli komunikację maszyna-maszyna – np. informacje jakie samochód przesyła do swojego serwisu
- uporządkowane zostaną również kwestie plików typu cookie – znacznie rozbudowane zostaną regulacje dotyczące cookies reklamowych, funkcjonalnych, identyfikujących
- RODO II wprowadzi też odrębne regulacje, podwyższające poziom ochrony w przypadku hot spotów, czyli punktów dostępowych wi-fi
- Rozporządzenie o e-Prywatności będzie przewidywało kary dokładnie takie same jak w RODO, czyli do 20 mln euro, albo do 2-4 proc. światowego obrotu firmy – zakłada też, że za rozporządzenie będzie odpowiadał niezależny organ, jednak nie precyzuje jaki to ma być organ
Sztuczna inteligencja tak, ale z zakazem biometrii w przestrzeni publicznej
- 21 kwietnia 2021 roku Komisja Europejska opublikowała projekt rozporządzenia w sprawie sztucznej inteligencji – jest to pierwszy projekt regulacji sztucznej inteligencji nie tylko w Unii Europejskiej, ale także na świecie
- projekt Rozporządzenia w sprawie AI nie reguluje kwestii samej technologii, a sposób jej wykorzystywania i ma obowiązywać podmioty publiczne i prywatne w Unii Europejskiej oraz poza nią – w sytuacji, gdy określony system sztucznej inteligencji ma być wprowadzony do obrotu w Unii Europejskiej lub jego stosowanie będzie miało wpływ na mieszkańców Unii Europejskiej
- zakres regulacji systemów sztucznej inteligencji przedstawiony w Rozporządzeniu opiera się na zasadzie: im większe ryzyko związane z AI, tym surowsza regulacja
- EROD i EIOD przyjęły wspólną opinię, w której wezwały do zakazania wykorzystywania AI do automatycznego rozpoznawania cech ludzkich w miejscach publicznych oraz niektórych innych zastosowań AI, które mogą prowadzić do nieuczciwej dyskryminacji – opinia wskazuje na niezwykle wysokie ryzyko ingerencji w prawa i wolności ludzi związane z zdalną identyfikacją biometryczną w przestrzeni publicznej
- organy wzywają do zakazu biometrii w celu zautomatyzowanej identyfikacji osób w przestrzeni publicznej w każdym kontekście, wskazując także na ryzyko ingerencji w prawa i wolności ludzi związane z identyfikacją chodu, odcisków palców, DNA, głosu
Źródło: https://www.prawo.pl/prawo/sztuczna-inteligencja-ale-z-zakazem-biometrii-w-przestrzeni,509351.html
Polska wersja wytycznych dotyczących rozpoznawania twarzy już dostępna
- rozpoznawanie twarzy to automatyczne przetwarzanie obrazów cyfrowych zawierających twarze osób w celu identyfikacji lub weryfikacji tych osób za pomocą szablonów twarzy
- integracja technologii rozpoznawania twarzy z istniejącymi systemami nadzoru stwarza poważne zagrożenie dla praw do prywatności i ochrony danych osobowych, a także innych praw podstawowych, ponieważ korzystanie z tych technologii nie zawsze wymaga świadomości lub współpracy osób, których przetwarzane są dane biometryczne, z uwzględnieniem np. możliwości dostępu do cyfrowych zdjęć osób fizycznych w Internecie
- Wytyczne dotyczące rozpoznawania twarzy są adresowane do ustawodawców i decydentów, twórców, producentów i dostawców usług oraz podmiotów wykorzystujących technologie rozpoznawania twarzy
- wśród zaleceń skierowanych do ustawodawców i decydentów wskazano kwestie zgodności z prawem, niezbędnego zaangażowanie organów nadzorczych, certyfikacji oraz konieczności podnoszenia świadomości
- zalecenia dla podmiotów wykorzystujących technologie rozpoznawania twarzy obejmują m.in. kwestie zgodności przetwarzania danych z prawem i ich jakości, a także bezpieczeństwa oraz rozliczalności
Źródło: https://uodo.gov.pl/pl/138/2114
750 000 EUR kary dla TikTok za naruszenie RODO
- holenderski organ nadzorczy nałożył na TikTok grzywnę w wysokości 750 000 EUR za naruszenie prywatności małych dzieci
- informacje dostarczane przez TikTok holenderskim użytkownikom podczas instalacji i korzystania z aplikacji były w języku angielskim, a zatem nie były łatwe do zrozumienia
- nie oferując oświadczenia o ochronie prywatności w języku niderlandzkim, TikTok nie przedstawił odpowiedniego wyjaśnienia, w jaki sposób aplikacja gromadzi, przetwarza i wykorzystuje dane osobowe – jest to naruszenie przepisów dotyczących prywatności, które opierają się na zasadzie, że ludzie muszą zawsze mieć jasny obraz tego, co dzieje się z ich danymi osobowymi
- wyniki dochodzenia zostały przekazane do irlandzkiego organu nadzoru – początkowo TikTok nie miał swojej siedziby w Europie i Holandia mogła zająć się tą sprawą, ale w trakcie naszego śledztwa TikTok rozpoczął działalność w Irlandii i od tego momentu holenderski organ ochrony danych był upoważniony jedynie do oceny oświadczenia o ochronie prywatności TikTok, ponieważ samo naruszenie już się skończyło
Dokumenty klientów likwidowanego oddziału banku wystawione na ulicę
- podczas likwidacji placówki bankowej w Pile wystawiono kontenery z dokumentami klientów na ulicę
- segregatory z papierami były dostępne dla przechodniów – stojący przy budynku kontener wypełniony był dokumentami bankowymi
- już na samym wierzchu można było natrafić na dokumenty z PESELami, adresami, itp.
- „W niedzielę wieczorem w kontenerze przy oddziale w Pile znalezione zostały dokumenty banku. Niezwłocznie po zgłoszeniu zabezpieczyliśmy te dokumenty. W tej chwili wyjaśniamy wszystkie okoliczności tego zdarzenia oraz analizujemy pod kątem ewentualnego naruszenia ochrony danych osobowych. Kolejne działania będziemy podejmować niezwłocznie po zakończeniu tych czynności” – poinformowało biuro prasowe Santander BP
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.