Standardowe klauzule umowne RODO – jak się zmienią? O co zostało oskarżone Apple? Jakich pytań dotyczących prywatności nie mają prawa zadawać przewoźnicy? Kiedy prawnik może otwierać swoją służbową pocztę na prywatnym komputerze? Jak doszło do naruszenia ochrony danych osobowych na UW? Kiedy zostanie zatwierdzony pierwszy kodeks branżowy w Polsce? Jaki pierwszy kodeks branżowy zatwierdzono w Hiszpanii? Czego dotyczy zmiana zarządzania Prezesa NFZ? Co mówi EROD o projekcie e-privacy? W jakich okolicznościach wyciekły dane użytkowników Spofity? Jak doszło do wycieku danych osobowych… Prezydenta Brazylii? Jakie zmiany planują wprowadzić Chiny w związku z ochroną danych osobowych?
MULTIMEDIA | |
---|---|
#RODOA [23.11.2020] | #RODOA [30.11.2020] |
Pobierz PDF | Pobierz PDF |
KE czeka na opinie ws. standardowych klauzul umownych
- do 10 grudnia 2020 r. Komisja Europejska przyjmuje opinie do projektów dwóch decyzji wykonawczych dotyczących standardowych klauzul umownych
- jedna z projektowanych decyzji dotyczy standardowych klauzul umownych do przesyłania danych do państw trzecich (art. 46 ust. 2 lit. c RODO)
- z kolei drugi akt prawny odnosi się do standardowych klauzul umownych dla administratorów i podmiotów przetwarzających zlokalizowanych w UE (art. 28 ust. 7 RODO).
- akty wykonawcze wprowadzają środki zapewniające jednakowe wdrażanie prawa we wszystkich krajach UE
- konsultacje Komisji Europejskiej są publiczne i wszystkie zgłoszone opinie zostaną umieszczone na stronach internetowych KE.
- stanowisko Prezesa UODO do projektów zostanie przygotowane wspólnie z pozostałymi członkami Europejskiej Rady Ochrony Danych i również zostanie przekazane KE
Źródło: https://uodo.gov.pl/pl/138/1770
Pracownik nie zawsze może odbierać służbową pocztę na prywatnym komputerze
- dopuszczalność lub też zakaz odbierania poczty służbowej na prywatnym komputerze powinna być jednoznacznie uregulowana w przyjętych politykach oraz regulaminach
- w przypadku, gdy pracodawca wprowadza zakaz takich praktyk, pracownicy nie mogę tego robić
- art. 24 ust. 1 RODO określa wymóg wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią zgodność przetwarzania danych z rozporządzeniem oraz zapewnią możliwości ich wykazania – ich zakres uzależniony powinien być od możliwości podmiotu, który konkretne decyzje w tym zakresie powinien poprzedzić analizą ryzyka
- zagadnienie korzystania przez pracowników z urządzeń prywatnych w celach służbowych, w tym także dopuszczalność lub też zakaz odbierania poczty służbowej na prywatnym komputerze powinny być jednoznacznie uregulowane w przyjętych politykach
- w przypadku, gdy pracodawca wprowadza zakaz takich praktyk, pracownicy absolutnie nie mogę tego robić i naruszenie zakazu może być potraktowane nawet jako ciężkie naruszenie podstawowych obowiązków pracowniczych
- w przypadku, gdy pracodawca dopuszcza taką możliwość, co nie jest rekomendowaną praktyką, powinien dobrze zastanowić się nad możliwością skutecznego zabezpieczenia zarówno danych osobowych, jak i tajemnic przedsiębiorstwa
Źródło: https://www.prawo.pl/kadry/czy-pracownik-moze-odbierac-sluzbowa-poczte-na-prywatnym,504528.html
Naruszenie ochrony danych osobowych na UW
- 5 listopada 2020 r. CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) zawiadomił Uniwersytet Warszawski o krytycznych błędach w serwisie www.mimuw.edu.pl
- w ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW
- dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych
- incydent naruszenia jest wynikiem ludzkiego błędu
- administrator dokonał analizy ryzyka incydentu i oszacował wartość ryzyka jako wysoką
- incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze, a osoby, których zdarzenie dotyczy zostały o tym zawiadomione indywidualnie
Kara upomnienia za ujawnienie listy osób, które są na kwarantannie (I)
- do UODO wpłynęło pismo od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie z informacją o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w Gnieźnie oraz kwarantannie obowiązkowej w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem COVID-19
- UODO podjął działania w celu wyjaśnienia zaistniałej sytuacji – wezwał administratora m.in. do wyjaśnienia, czy ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną w związku z zagrożeniem koronawirusem, przeprowadził analizę sposobu dystrybucji ww. danych w wersji elektronicznej oraz papierowej pod kątem zagrożeń związanych z utratą ich poufności oraz do poinformowania jaki był wynik tej analizy
- spółka w złożonych wyjaśnieniach oświadczyła m.in., że przeprowadziła analizę z uwzględnieniem okoliczności związanych z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy procedur obowiązujących w spółce oraz okoliczności związanych w wykradnięciem lub wyniesieniem danych
- ponadto administrator wyraził pogląd, że otrzymywane wykazy obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwiska i innych danych pozwalających zidentyfikować osobę fizyczną
Kara upomnienia za ujawnienie listy osób, które są na kwarantannie (II)
- UODO zważył, że informacje dotyczące: nazwy miejscowości, nazwy ulicy, numeru budynku/lokalu, poddania osoby kwarantannie medycznej, stanowią dane osobowe w rozumieniu przepisów RODO, a fakt pozostawania osób na kwarantannie stanowi dane osobowe szczególnej kategorii, dotyczące zdrowia
- w związku z takimi ustaleniami Prezes UODO, stwierdzając naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych, udzielił spółce upomnienia oraz nakazał zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
- za okoliczności mające charakter łagodzący dla ostatecznego rozstrzygnięcia, ale nie mające wpływu na jego treść, należy uznać podjęcie przez Spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia oraz fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników
Źródło: https://uodo.gov.pl/pl/138/1772
Wkrótce ma być zatwierdzony pierwszy kodeks branżowy
- na początku grudnia Europejska Rada Ochrony Danych ma zaopiniować polskie wymogi akredytacji podmiotu monitorującego kodeksy, a jako pierwsze mają być zatwierdzone te z sektora medycznego
- w Polsce trwają prace nad 30 kodeksami postępowania, które pokazują jak ogólne zapisy RODO należy stosować w danej branży, ale wciąż żaden nie został jeszcze przyjęty, mimo że RODO stosujemy już ponad dwa lata
- przestrzeganie kodeksu musi bowiem monitorować niezależny podmiot – kodeks nie jest formalnością, papierowym zbiorem dobrych praktyk, ktoś musi weryfikować, czy firmy, które do niego przystąpiły, przestrzegają zasad
- UODO projekt warunków akredytacji przedstawił w czerwcu 2020 roku – by zostały oficjalnie ogłoszone, musi je zaopiniować EROD, by zapewnić spójność stosowania przepisów RODO w krajach UE
- póki warunki akredytacji nie są uzgodnione nie ma pewności, czy te zasady zostały dobrze określone – ponadto skoro wymagania UODO nie są ostateczne, żaden podmiot nie chce się zobowiązać do monitorowania.
- jeśli EROD zaakceptuje dokument, to decyzję w sprawie pierwszego kodeksu poznamy jeszcze w grudniu
Zmiana zarządzenia Prezesa NFZ: chodzi o przetwarzanie danych osobowych
- NFZ opublikował znowelizowane zarządzenie Prezesa Funduszu w sprawie warunków postępowania dotyczących zawarcia umowy na wydawanie refundowanych leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych na recepty
- zmiana zarządzenia wynika z potrzeby aktualizacji we wzorze Oświadczenia będącym załącznikiem do Wniosku o zawarcie umowy na wydawanie refundowanych leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych na receptę tj. klauzuli informacyjnej dotyczącej przetwarzania danych osobowych w Narodowym Funduszu Zdrowia
- przedmiotowa zmiana uwarunkowana jest wejściem w życie ustawy z dnia 14 sierpnia 2020 r. o zmianie niektórych ustaw w celu zapewnienia funkcjonowania ochrony zdrowia w związku epidemią COVID-19 oraz po jej ustaniu
Apple oskarżone o naruszenie europejskich przepisów o ochronie prywatności
- austriacki aktywista Max Schrems i jego grupa non-profit NOYB (None of Your Business) złożyli ostatnio dwie skargi do władz w Hiszpanii i Niemczech – oskarżają w nich Apple o naruszenie europejskiego prawa o ochronie danych osobowych
- twierdzą oni, że firma śledzi użytkowników iPhone w celach reklamowych niezgodnie z prawem, ponieważ nie prosi o wyraźną zgodę użytkowników
- skarga odnosi się do Identyfikatora Reklamodawcy (IDFA) firmy Apple, który jest przechowywany na urządzeniu użytkownika – pozwala on firmie i osobom trzecim śledzić jego zachowania w sieci oraz preferencje dotyczące konsumpcji
- Schrems argumentuje, że te kody, z których korzysta Apple, są porównywalne z plikami cookie – te natomiast wymagają zgody użytkownika zgodnie z przepisami UE dotyczącymi prywatności.
- Apple twierdzi, że roszczenia te są bezpodstawne – firma obiecała także, że jeśli zostaną one potraktowane poważnie przez jakikolwiek organ regulacyjny, to będzie z nim współpracować w celu wyjaśnienia sprawy
- Apple podkreśla, że nie ma dostępu do IDFA na urządzeniu użytkownika ani nie korzysta z niego w żadnym celu
Źródło: https://android.com.pl/news/365173-apple-oskarzone-o-naruszanie-prywatnosci/
WhatsApp Ireland odkłada 77,5 mln euro na ewentualne kary za RODO
- Irlandzkie ramię platformy komunikacyjnej WhatsApp odnotowało stratę w wysokości 11,2 mln euro po odłożeniu 77,5 mln euro na pokrycie ewentualnych opłat związanych z dochodzeniem podjętym przez irlandzkiego komisarza ds. ochrony danych
- firma należąca do Facebooka założyła irlandzką spółkę zależną w 2017 r. – jej kluczową rolą jest pełnienie funkcji administratora danych dla europejskich użytkowników usługi WhatsApp oraz świadczenie usług innym podmiotom z grupy
- „Uznane rezerwy opierają się na poradach zewnętrznego doradcy prawnego, korespondencji regulacyjnej otrzymanej w 2019 i 2020 roku oraz odpowiednich czynnikach łagodzących i innych, które zgodnie z obowiązującymi przepisami mogą mieć wpływ na ostateczne kwoty kar” – wskazała spółka
- spółka, która zatrudnia 20 osób, dodała, że nie wie, ile mogą wynieść kary, jakie mogą ostatecznie zostać na nią nałożone
- irlandzki organ ochrony danych bada zgodność WhatsApp w zakresie przejrzystości udostępnianych podmiotom danych informacji o przetwarzaniu ich danych osobowych
- komisarz ds. ochrony danych był ostro krytykowany za opóźnienia w podejmowaniu decyzji wykonawczych dotyczących firm technologicznych – przypomnijmy, że organ jest wiodącym unijnym organem nadzorczym dla firm, w tym Google , Facebook, Microsoft i Twitter, w ramach mechanizmu „one stop-shop”, wprowadzonego RODO w maju 2018 r.
Przewoźnicy nie mają prawa pytać o to, gdzie dorabiają zatrudnieni u nich kierowcy
- obowiązek składania oświadczenia o dodatkowym zatrudnieniu nie obejmuje nazwy drugiego pracodawcy
- żądanie jej podania naruszałoby przepisy o ochronie danych, w tym zasadę minimalizacji wynikającą z RODO
- w przepisach o czasie pracy kierowców zawarto zobowiązanie do składania przez nich oświadczeń o dodatkowym zatrudnieniu – pierwotnie dotyczyło to tylko dodatkowego zatrudnienia na etacie, z czasem jednak obowiązkowe oświadczenia rozszerzono o dorabianie także na podstawie umów cywilnoprawnych
- zgodnie z art. 24 pkt 2 ustawy o czasie pracy kierowców w przypadku dodatkowego zatrudnienia na podstawie umowy o pracę należy podać wymiar etatu, a w przypadku zatrudnienia na innej podstawie niż stosunek pracy – przeciętną tygodniową liczbę godzin wykonywanych przewozów lub innych czynności
- z regulacji tej wynika jeszcze tylko wymóg pisemności składanych oświadczeń
- przepis nie zobowiązuje więc kierowców do ujawniania dodatkowego miejsca pracy
UODO: Nie wolno kopiować legitymacji weterana
- weterani wojenni mają prawo do dodatkowych urlopów – pojawiły się więc pytania o możliwość kopiowania dokumentów potwierdzających taki status pracownika, czyli legitymacji weterana albo decyzji administracyjnej o przyznaniu takiego statusu
- UODO uważa, że nie ma takiej potrzeby, a działanie takie mogłoby zostać uznane za naruszenie zasady minimalizacji danych
- urząd stwierdza, że rozporządzenie wykonawcze do kodeksu pracy dotyczące prowadzenia dokumentacji pracowniczej nie wskazuje takiego rodzaju dokumentu, a więc nie musi on być przechowywany – wystarczające będzie okazanie dokumentu
- stanowisko to jest spójne z wcześniejszymi wypowiedziami urzędu, np. na temat książeczek wojskowych, gdzie mimo wliczania służby wojskowej do stażu pracy także powinno się polegać na oświadczeniu pracownika
- UODO nie widzi konieczności tworzenia odrębnych dokumentów związanych z zasadami ochrony danych osobowych w przypadku telepracy – mogą one wynikać także z polityki bezpieczeństwa, a to pracodawcy ustalają zasady ochrony danych w przypadku telepracy i mają z nimi zapoznać pracowników
- w praktyce zawsze należałoby dostosować politykę bezpieczeństwa do zasad wykonywania telepracy czy pracy zdalnej, gdyż są w niej często zakazy, które nie będą mogły być przestrzegane przy takiej organizacji pracy
EROD o projekcie e-privacy
- Europejska Rada Ochrony Danych przyjęła stanowisko dotyczące projektu rozporządzenia o e-prywatności
- EROD podkreśla, że e-privacy powinno uzupełniać RODO, zapewniając dodatkowe mocne gwarancje poufności i ochrony wszystkich rodzajów komunikacji elektronicznej
- EROD z zadowoleniem przyjęła cel prezydencji Rady UE, jakim jest właściwe wypracowanie podejścia ogólnego i rozpoczęcie negocjacji z Parlamentem Europejskim i jak najszybsze przyjęcie rozporządzenia o prywatności i łączności elektronicznej
- jednak EROD jest zaniepokojona niektórymi nowymi kierunkami dyskusji w zakresie egzekwowania przyszłego rozporządzenia
- według EROD właściwym organem nadzorczym dla projektowanego rozporządzenia powinien być organ ochrony danych osobowych – w polskich realiach oznaczałoby to przekazanie części kompetencji z UKE do UODO
- takie rozwiązanie miałoby być m.in. korzystne dla administratorów danych, którzy w ten sposób mieliby jeden punkt kontaktowy dla wszystkich rodzajów przetwarzania danych osobowych
- administratorzy danych nie musieliby konsultować się z wieloma organami regulacyjnymi, co mogłoby prowadzić do rozbieżnych standardów i interpretacji
Wyciekło 380 mln danych osobowych użytkowników Spotify
- wyciekły dane osobowe użytkowników Spotify
- w sieci dostępna była otwarta baza danych o wielkości 72 GB zawierająca ponad 380 mln danych osobowych, które dotyczyły około 300-350 tys. użytkowników Spotify
- obecnie paczka informacji nie jest już dostępna w internecie, jednak hakerzy mogli skopiować ją na swoje urządzenia
- informacje, które były ogólnodostępne obejmowały: nazwy kont użytkowników, hasła, adresy e-mail, kraje pochodzenia
- muzyczna platforma streamingowa automatycznie zresetowała konta użytkowników, którzy padli ofiarą ataku
- baza, która pojawiła się w internecie nie należała do Spotify – hakerzy musieli samodzielnie zebrać dane pochodzące z innych źródeł i stworzyć zamieszczoną paczkę
Źródło: https://www.bankier.pl/wiadomosc/Spotify-wyciek-ponad-380-mln-danych-uzytkownikow-8009089.html
Brazylia: Wyciekły dane 16 mln osób zakażonych COVID-19, w tym prezydenta
- w Brazylii wyciekły dane osobowe 16 mln pacjentów zakażonych COVID-19, w tym prezydenta Bolsonaro, siedmiu ministrów i 17 gubernatorów stanów
- dane wyciekły online po tym, jak pracownik szpitala zamieścił w serwisie internetowym GitHub arkusz z loginami, hasłami i kluczami dostępu do rządowego systemu danych
- wśród ujawnionych danych znalazły się kody dostępu do dwóch rządowych baz danych, E-SUS-VE i Sivep-Gripe, gdzie gromadzone są dane pacjentów covidowych w Brazylii
Hiszpański organ nadzorczy zatwierdził pierwszy kodeks postępowania
- Hiszpańska Agencja Ochrony Danych, wykonując funkcje przypisane przez ogólne rozporządzenie o ochronie danych i ustawę organiczną o ochronie danych i gwarancji praw cyfrowych, zatwierdziła pierwszy kodeks postępowania i akredytowała podmiot monitorujący jego przestrzeganie zgodnie z postanowieniami art. 40 i 41 RODO.
- kodeks postępowania dla przetwarzania danych w działalności reklamowej został przedstawiony przez Stowarzyszenie AutoControl
- przy okazji zatwierdzenia pierwszego kodeksu został uruchomiony rejestr kodeksów postępowania w celu ich upublicznienia, jak określono w art. 40 ust. 6 RODO
Źródło: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-aprueba-primer-codigo-de-conducta
Chiny zwiększają wysiłki w celu ochrony danych użytkowników
- projekt ustawy o ochronie danych osobowych i potępienie operatorów aplikacji za luźne podejście do prywatności danych konsumentów sygnalizuje, że rząd Chin zamierza położyć kres temu, co jeden z obserwatorów określił jako „dziką erę” internetu w tym kraju
- oficjalny przegląd popularnych aplikacji wykazał, że rok po poprzednich ostrzeżeniach i karach nadal istnieją problemy związane z ochroną danych osobowych
- według raportu Lu Chuncong, zastępca dyrektora Administracji Informacji i Komunikacji, wchodzącej w skład Ministerstwa Przemysłu i Technologii Informacyjnych (MIIT), spotkał się z głównymi operatorami aplikacji – w tym należącymi do gigantów technologicznych w kraju – i oskarżył ich o ignorowanie wskazówek rządu
- żadnych szczegółów nie podano, ale spotkanie nastąpiło wkrótce po zamknięciu publicznych komentarzy na temat projektu ustawy o ochronie danych osobowych, która wymaga od firm uzyskania zgody osób fizycznych przed wykorzystaniem ich danych osobowych i proponuje grzywny w wysokości do 50 milionów juanów (7,6 USD mln) lub 5% rocznych przychodów firm odpowiedzialnych za naruszenia ochrony danych
- to odzwierciedla podejście przyjęte w innych częściach świata – na przykład europejskiego RODO
Źródło: https://www.warc.com/newsandopinion/news/china-steps-up-efforts-to-protect-user-data/44421
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.