RODO aktualności – 01.12.2020

• dopuszczalność lub też zakaz odbierania poczty służbowej na prywatnym komputerze powinna być jednoznacznie uregulowana w przyjętych politykach oraz regulaminach
• w przypadku, gdy pracodawca wprowadza zakaz takich praktyk, pracownicy nie mogę tego robić
• art. 24 ust. 1 RODO określa wymóg wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią zgodność przetwarzania danych z rozporządzeniem oraz zapewnią możliwości ich wykazania – ich zakres uzależniony powinien być od możliwości podmiotu, który konkretne decyzje w tym zakresie powinien poprzedzić analizą ryzyka
• zagadnienie korzystania przez pracowników z urządzeń prywatnych w celach służbowych, w tym także dopuszczalność lub też zakaz odbierania poczty służbowej na prywatnym komputerze powinny być jednoznacznie uregulowane w przyjętych politykach
• w przypadku, gdy pracodawca wprowadza zakaz takich praktyk, pracownicy absolutnie nie mogę tego robić i naruszenie zakazu może być potraktowane nawet jako ciężkie naruszenie podstawowych obowiązków pracowniczych
• w przypadku, gdy pracodawca dopuszcza taką możliwość, co nie jest rekomendowaną praktyką, powinien dobrze zastanowić się nad możliwością skutecznego zabezpieczenia zarówno danych osobowych, jak i tajemnic przedsiębiorstwa

Źródło: https://www.prawo.pl/kadry/czy-pracownik-moze-odbierac-sluzbowa-poczte-na-prywatnym,504528.html

• 5 listopada 2020 r. CERT Polska (zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) zawiadomił Uniwersytet Warszawski o krytycznych błędach w serwisie www.mimuw.edu.pl
• w ukrytym katalogu portalu dostępne było repozytorium kodu źródłowego, w którym znalazł się także plik zawierający imiona, nazwiska i numery pesel konkretnych studentów, absolwentów, pracowników i współpracowników UW
• dostęp do tego repozytorium mógł umożliwić osobie niepowołanej kierowanie zapytań o szersze dane osobowe do bazy danych
• incydent naruszenia jest wynikiem ludzkiego błędu
• administrator dokonał analizy ryzyka incydentu i oszacował wartość ryzyka jako wysoką
• incydent jest zgłoszony do Urzędu Ochrony Danych Osobowych i prokuratury, podjęte zostały zdecydowane działania naprawcze, a osoby, których zdarzenie dotyczy zostały o tym zawiadomione indywidualnie

Źródło: https://naukawpolsce.pap.pl/aktualnosci/news%2C84913%2Cdoszlo-do-naruszenia-ochrony-danych-osobowych-na-uw.html

• do UODO wpłynęło pismo od Państwowego Powiatowego Inspektora Sanitarnego w Gnieźnie z informacją o publicznym ujawnieniu listy zawierającej adresy zamieszkania osób, które są na kwarantannie orzeczonej decyzją administracyjną PPIS w Gnieźnie oraz kwarantannie obowiązkowej w związku z przekroczeniem granicy kraju, a także dane adresowe osób odbywających izolację domową w związku ze stwierdzonym zakażeniem COVID-19
• UODO podjął działania w celu wyjaśnienia zaistniałej sytuacji – wezwał administratora m.in. do wyjaśnienia, czy ustalając procedury związane z przetwarzaniem danych osobowych dotyczących adresów osób objętych kwarantanną w związku z zagrożeniem koronawirusem, przeprowadził analizę sposobu dystrybucji ww. danych w wersji elektronicznej oraz papierowej pod kątem zagrożeń związanych z utratą ich poufności oraz do poinformowania jaki był wynik tej analizy
• spółka w złożonych wyjaśnieniach oświadczyła m.in., że przeprowadziła analizę z uwzględnieniem okoliczności związanych z nieprzestrzeganiem przez osoby przetwarzające ww. wykazy procedur obowiązujących w spółce oraz okoliczności związanych w wykradnięciem lub wyniesieniem danych
• ponadto administrator wyraził pogląd, że otrzymywane wykazy obejmowały jedynie adresy administracyjne (policyjne), nie obejmowały imion, nazwiska i innych danych pozwalających zidentyfikować osobę fizyczną

• UODO zważył, że informacje dotyczące: nazwy miejscowości, nazwy ulicy, numeru budynku/lokalu, poddania osoby kwarantannie medycznej, stanowią dane osobowe w rozumieniu przepisów RODO, a fakt pozostawania osób na kwarantannie stanowi dane osobowe szczególnej kategorii, dotyczące zdrowia
• w związku z takimi ustaleniami Prezes UODO, stwierdzając naruszenie przepisów ogólnego rozporządzenia o ochronie danych osobowych, udzielił spółce upomnienia oraz nakazał zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
• za okoliczności mające charakter łagodzący dla ostatecznego rozstrzygnięcia, ale nie mające wpływu na jego treść, należy uznać podjęcie przez Spółkę działań dyscyplinujących wobec pracowników, którzy przyczynili się swoimi działaniami do zaistnienia naruszenia oraz fakt, że mimo trudnej sytuacji epidemiologicznej administrator zobowiązał się do przeprowadzenia szkoleń z ochrony danych osobowych dla swoich pracowników

Źródło: https://uodo.gov.pl/pl/138/1772

• na początku grudnia Europejska Rada Ochrony Danych ma zaopiniować polskie wymogi akredytacji podmiotu monitorującego kodeksy, a jako pierwsze mają być zatwierdzone te z sektora medycznego
• w Polsce trwają prace nad 30 kodeksami postępowania, które pokazują jak ogólne zapisy RODO należy stosować w danej branży, ale wciąż żaden nie został jeszcze przyjęty, mimo że RODO stosujemy już ponad dwa lata
• przestrzeganie kodeksu musi bowiem monitorować niezależny podmiot – kodeks nie jest formalnością, papierowym zbiorem dobrych praktyk, ktoś musi weryfikować, czy firmy, które do niego przystąpiły, przestrzegają zasad
• UODO projekt warunków akredytacji przedstawił w czerwcu 2020 roku – by zostały oficjalnie ogłoszone, musi je zaopiniować EROD, by zapewnić spójność stosowania przepisów RODO w krajach UE
• póki warunki akredytacji nie są uzgodnione nie ma pewności, czy te zasady zostały dobrze określone – ponadto skoro wymagania UODO nie są ostateczne, żaden podmiot nie chce się zobowiązać do monitorowania.
• jeśli EROD zaakceptuje dokument, to decyzję w sprawie pierwszego kodeksu poznamy jeszcze w grudniu

Źródło: https://www.prawo.pl/biznes/rodo-kodeksy-branzowe-i-wytyczne-dla-podmiotow-monitorujacych,504522.html

• NFZ opublikował znowelizowane zarządzenie Prezesa Funduszu w sprawie warunków postępowania dotyczących zawarcia umowy na wydawanie refundowanych leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych na recepty
• zmiana zarządzenia wynika z potrzeby aktualizacji we wzorze Oświadczenia będącym załącznikiem do Wniosku o zawarcie umowy na wydawanie refundowanych leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych na receptę tj. klauzuli informacyjnej dotyczącej przetwarzania danych osobowych w Narodowym Funduszu Zdrowia
• przedmiotowa zmiana uwarunkowana jest wejściem w życie ustawy z dnia 14 sierpnia 2020 r. o zmianie niektórych ustaw w celu zapewnienia funkcjonowania ochrony zdrowia w związku epidemią COVID-19 oraz po jej ustaniu

Źródło: https://www.rynekaptek.pl/komunikaty-urzedowe/zmiana-zarzadzenia-chodzi-o-przetwarzanie-danych-osobowych,40872.html

• austriacki aktywista Max Schrems i jego grupa non-profit NOYB (None of Your Business) złożyli ostatnio dwie skargi do władz w Hiszpanii i Niemczech – oskarżają w nich Apple o naruszenie europejskiego prawa o ochronie danych osobowych
• twierdzą oni, że firma śledzi użytkowników iPhone w celach reklamowych niezgodnie z prawem, ponieważ nie prosi o wyraźną zgodę użytkowników
• skarga odnosi się do Identyfikatora Reklamodawcy (IDFA) firmy Apple, który jest przechowywany na urządzeniu użytkownika – pozwala on firmie i osobom trzecim śledzić jego zachowania w sieci oraz preferencje dotyczące konsumpcji
• Schrems argumentuje, że te kody, z których korzysta Apple, są porównywalne z plikami cookie – te natomiast wymagają zgody użytkownika zgodnie z przepisami UE dotyczącymi prywatności.
• Apple twierdzi, że roszczenia te są bezpodstawne – firma obiecała także, że jeśli zostaną one potraktowane poważnie przez jakikolwiek organ regulacyjny, to będzie z nim współpracować w celu wyjaśnienia sprawy
• Apple podkreśla, że nie ma dostępu do IDFA na urządzeniu użytkownika ani nie korzysta z niego w żadnym celu

Źródło: https://android.com.pl/news/365173-apple-oskarzone-o-naruszanie-prywatnosci/

• Irlandzkie ramię platformy komunikacyjnej WhatsApp odnotowało stratę w wysokości 11,2 mln euro po odłożeniu 77,5 mln euro na pokrycie ewentualnych opłat związanych z dochodzeniem podjętym przez irlandzkiego komisarza ds. ochrony danych
• firma należąca do Facebooka założyła irlandzką spółkę zależną w 2017 r. – jej kluczową rolą jest pełnienie funkcji administratora danych dla europejskich użytkowników usługi WhatsApp oraz świadczenie usług innym podmiotom z grupy
• „Uznane rezerwy opierają się na poradach zewnętrznego doradcy prawnego, korespondencji regulacyjnej otrzymanej w 2019 i 2020 roku oraz odpowiednich czynnikach łagodzących i innych, które zgodnie z obowiązującymi przepisami mogą mieć wpływ na ostateczne kwoty kar” – wskazała spółka
• spółka, która zatrudnia 20 osób, dodała, że nie wie, ile mogą wynieść kary, jakie mogą ostatecznie zostać na nią nałożone
• irlandzki organ ochrony danych bada zgodność WhatsApp w zakresie przejrzystości udostępnianych podmiotom danych informacji o przetwarzaniu ich danych osobowych
• komisarz ds. ochrony danych był ostro krytykowany za opóźnienia w podejmowaniu decyzji wykonawczych dotyczących firm technologicznych – przypomnijmy, że organ jest wiodącym unijnym organem nadzorczym dla firm, w tym Google , Facebook, Microsoft i Twitter, w ramach mechanizmu „one stop-shop”, wprowadzonego RODO w maju 2018 r.

Źródło: https://www.irishtimes.com/business/technology/whatsapp-ireland-sets-aside-77-5m-for-possible-data-compliance-fines-1.4412449?mode=amp

• obowiązek składania oświadczenia o dodatkowym zatrudnieniu nie obejmuje nazwy drugiego pracodawcy
• żądanie jej podania naruszałoby przepisy o ochronie danych, w tym zasadę minimalizacji wynikającą z RODO
• w przepisach o czasie pracy kierowców zawarto zobowiązanie do składania przez nich oświadczeń o dodatkowym zatrudnieniu – pierwotnie dotyczyło to tylko dodatkowego zatrudnienia na etacie, z czasem jednak obowiązkowe oświadczenia rozszerzono o dorabianie także na podstawie umów cywilnoprawnych
• zgodnie z art. 24 pkt 2 ustawy o czasie pracy kierowców w przypadku dodatkowego zatrudnienia na podstawie umowy o pracę należy podać wymiar etatu, a w przypadku zatrudnienia na innej podstawie niż stosunek pracy – przeciętną tygodniową liczbę godzin wykonywanych przewozów lub innych czynności
• z regulacji tej wynika jeszcze tylko wymóg pisemności składanych oświadczeń
• przepis nie zobowiązuje więc kierowców do ujawniania dodatkowego miejsca pracy

Źródło: https://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1496661,przewoznicy-nie-maja-prawa-pytac-o-to-gdzie-dorabiaja-zatrudnieni-u-nich-kierowcy.html

• weterani wojenni mają prawo do dodatkowych urlopów – pojawiły się więc pytania o możliwość kopiowania dokumentów potwierdzających taki status pracownika, czyli legitymacji weterana albo decyzji administracyjnej o przyznaniu takiego statusu
• UODO uważa, że nie ma takiej potrzeby, a działanie takie mogłoby zostać uznane za naruszenie zasady minimalizacji danych
• urząd stwierdza, że rozporządzenie wykonawcze do kodeksu pracy dotyczące prowadzenia dokumentacji pracowniczej nie wskazuje takiego rodzaju dokumentu, a więc nie musi on być przechowywany – wystarczające będzie okazanie dokumentu
• stanowisko to jest spójne z wcześniejszymi wypowiedziami urzędu, np. na temat książeczek wojskowych, gdzie mimo wliczania służby wojskowej do stażu pracy także powinno się polegać na oświadczeniu pracownika
• UODO nie widzi konieczności tworzenia odrębnych dokumentów związanych z zasadami ochrony danych osobowych w przypadku telepracy – mogą one wynikać także z polityki bezpieczeństwa, a to pracodawcy ustalają zasady ochrony danych w przypadku telepracy i mają z nimi zapoznać pracowników
• w praktyce zawsze należałoby dostosować politykę bezpieczeństwa do zasad wykonywania telepracy czy pracy zdalnej, gdyż są w niej często zakazy, które nie będą mogły być przestrzegane przy takiej organizacji pracy

Źródło: https://praca.gazetaprawna.pl/artykuly/1497341,uodo-zakaz-kopiowania-legitymacji-weterana-ochrona-danych.html

• Europejska Rada Ochrony Danych przyjęła stanowisko dotyczące projektu rozporządzenia o e-prywatności
• EROD podkreśla, że e-privacy powinno uzupełniać RODO, zapewniając dodatkowe mocne gwarancje poufności i ochrony wszystkich rodzajów komunikacji elektronicznej
• EROD z zadowoleniem przyjęła cel prezydencji Rady UE, jakim jest właściwe wypracowanie podejścia ogólnego i rozpoczęcie negocjacji z Parlamentem Europejskim i jak najszybsze przyjęcie rozporządzenia o prywatności i łączności elektronicznej
• jednak EROD jest zaniepokojona niektórymi nowymi kierunkami dyskusji w zakresie egzekwowania przyszłego rozporządzenia
• według EROD właściwym organem nadzorczym dla projektowanego rozporządzenia powinien być organ ochrony danych osobowych – w polskich realiach oznaczałoby to przekazanie części kompetencji z UKE do UODO
• takie rozwiązanie miałoby być m.in. korzystne dla administratorów danych, którzy w ten sposób mieliby jeden punkt kontaktowy dla wszystkich rodzajów przetwarzania danych osobowych
• administratorzy danych nie musieliby konsultować się z wieloma organami regulacyjnymi, co mogłoby prowadzić do rozbieżnych standardów i interpretacji

Źródło: https://edpb.europa.eu/our-work-tools/our-documents/other/statement-eprivacy-regulation-and-future-role-supervisory_pl

• wyciekły dane osobowe użytkowników Spotify
• w sieci dostępna była otwarta baza danych o wielkości 72 GB zawierająca ponad 380 mln danych osobowych, które dotyczyły około 300-350 tys. użytkowników Spotify
• obecnie paczka informacji nie jest już dostępna w internecie, jednak hakerzy mogli skopiować ją na swoje urządzenia
• informacje, które były ogólnodostępne obejmowały: nazwy kont użytkowników, hasła, adresy e-mail, kraje pochodzenia
• muzyczna platforma streamingowa automatycznie zresetowała konta użytkowników, którzy padli ofiarą ataku
• baza, która pojawiła się w internecie nie należała do Spotify – hakerzy musieli samodzielnie zebrać dane pochodzące z innych źródeł i stworzyć zamieszczoną paczkę

Źródło: https://www.bankier.pl/wiadomosc/Spotify-wyciek-ponad-380-mln-danych-uzytkownikow-8009089.html

• w Brazylii wyciekły dane osobowe 16 mln pacjentów zakażonych COVID-19, w tym prezydenta Bolsonaro, siedmiu ministrów i 17 gubernatorów stanów
• dane wyciekły online po tym, jak pracownik szpitala zamieścił w serwisie internetowym GitHub arkusz z loginami, hasłami i kluczami dostępu do rządowego systemu danych
• wśród ujawnionych danych znalazły się kody dostępu do dwóch rządowych baz danych, E-SUS-VE i Sivep-Gripe, gdzie gromadzone są dane pacjentów covidowych w Brazylii

Źródło: https://www.wnp.pl/tech/brazylia-wyciekly-dane-16-mln-osob-zakazonych-covid-19-w-tym-prezydenta,434511.html

• Hiszpańska Agencja Ochrony Danych, wykonując funkcje przypisane przez ogólne rozporządzenie o ochronie danych i ustawę organiczną o ochronie danych i gwarancji praw cyfrowych, zatwierdziła pierwszy kodeks postępowania i akredytowała podmiot monitorujący jego przestrzeganie zgodnie z postanowieniami art. 40 i 41 RODO.
• kodeks postępowania dla przetwarzania danych w działalności reklamowej został przedstawiony przez Stowarzyszenie AutoControl
• przy okazji zatwierdzenia pierwszego kodeksu został uruchomiony rejestr kodeksów postępowania w celu ich upublicznienia, jak określono w art. 40 ust. 6 RODO

Źródło: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-aprueba-primer-codigo-de-conducta

• projekt ustawy o ochronie danych osobowych i potępienie operatorów aplikacji za luźne podejście do prywatności danych konsumentów sygnalizuje, że rząd Chin zamierza położyć kres temu, co jeden z obserwatorów określił jako „dziką erę” internetu w tym kraju
• oficjalny przegląd popularnych aplikacji wykazał, że rok po poprzednich ostrzeżeniach i karach nadal istnieją problemy związane z ochroną danych osobowych
• według raportu Lu Chuncong, zastępca dyrektora Administracji Informacji i Komunikacji, wchodzącej w skład Ministerstwa Przemysłu i Technologii Informacyjnych (MIIT), spotkał się z głównymi operatorami aplikacji – w tym należącymi do gigantów technologicznych w kraju – i oskarżył ich o ignorowanie wskazówek rządu
• żadnych szczegółów nie podano, ale spotkanie nastąpiło wkrótce po zamknięciu publicznych komentarzy na temat projektu ustawy o ochronie danych osobowych, która wymaga od firm uzyskania zgody osób fizycznych przed wykorzystaniem ich danych osobowych i proponuje grzywny w wysokości do 50 milionów juanów (7,6 USD mln) lub 5% rocznych przychodów firm odpowiedzialnych za naruszenia ochrony danych
• to odzwierciedla podejście przyjęte w innych częściach świata – na przykład europejskiego RODO

Źródło: https://www.warc.com/newsandopinion/news/china-steps-up-efforts-to-protect-user-data/44421