RODO aktualności – 13.08.2019

• Prezes UODO na podstawie skargi osoby fizycznej oraz z urzędu wszczął dwa postępowania wobec Kancelarii Sejmu w sprawie dotyczącej przetwarzania danych osobowych sędziów zawartych w wykazie sędziów popierających zgłoszenia kandydatów do Krajowej Rady Sądownictwa
• do czasu wydania decyzji kończących postępowania Prezes UODO wydał postanowienia zobowiązujące Kancelarię Sejmu do ograniczenia przetwarzania danych osobowych w wyżej wymienionych sprawach
• postanowienia są ostateczne
• stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia ich doręczenia, za pośrednictwem Prezesa UODO

Źródło: https://uodo.gov.pl/pl/138/1127?fbclid=IwAR0zVjmZ_nv4l4LiP8m-9Vi1JRjpqbe3NCZEBNXgmABb5babXrdiVGT-wv0

• sędziowie TSUE stwierdzili, że operator witryny, wyposażonej w przycisk „Lubię to!”, może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania danych odwiedzających
• sprawa dotyczyła sporu, który rozpoczął się po tym jak internetowy sprzedawca odzieży, niemiecka spółka Fashion ID, umieściła w swojej witrynie przycisk „Lubię to!”
• zamieszczenie takiego przycisku pozwala firmom na optymalizację reklamy produktów na Facebooku, jednocześnie dane osób odwiedzających witrynę są przekazywane portalowi społecznościowemu
• TSUE orzekł, że spółkę Fashion ID można uznać za administratora danych wspólnie z Facebook Ireland
• Fashion ID nie ponosi jednak już później odpowiedzialności za to, jak przetwarza te dane sam Facebook

Źródło: https://forsal.pl/artykuly/1423988,rodo-przetwarzanie-danych-facebook-wyrok-tsue-lubie-to-a-przetwarzanie-danych-technologie-prawo.html

• platforma z wykładami przedstawicieli UODO to miejsce, w którym znajdują się materiały edukacyjne online adresowane do IOD pełniących tę funkcję w administracji publicznej
• oprócz przybliżenia podstawowych zagadnień z zakresu ochrony danych osobowych, eksperci UODO omawiają w nich wiele praktycznych zagadnień istotnych dla IOD, np. z zakresu przetwarzania danych w sektorze zatrudnienia, zdrowia i szkolnictwa, opracowywania polityki przetwarzania danych osobowych i innej dokumentacji, a także przeprowadzania oceny skutków dla ochrony danych
• platforma powstała w ramach projektu T4DATA (Szkolenie organów ochrony danych i IOD), współfinansowanego w ramach Programu Unii Europejskiej Prawa, Równość i Obywatelstwo
• platforma mieści się pod adresem: https://t4data.uodo.gov.pl/
• aby móc korzystać z platformy konieczna jest rejestracja

• Holendrzy dopatrzyli się uchybień w mobilnych aplikacjach Office oraz Office Online
• holenderskie ministerstwo sprawiedliwości i bezpieczeństwa uznało aplikacje za nienadające się do użytku rządowego
• ministerstwo opiera się na danych z raportu Privacy Company, który stwierdza, że podczas gdy aplikacje Office 365 ProPlus dla PC respektują reguły RODO, to mobilne i przeglądarkowe aplikacje Office nadal eksportują dane telemetryczne użytkownika do USA bez odpowiedniej kontroli danych
• przed dwoma tygodniami z tego samego powodu (czyli telemetrii) Niemcy oceniły Windows 10 i Office 365 jako niezgodne z RODO i tym samym nienadające się do użytku w szkołach

Źródło: https://www.centrumxp.pl/Publikacja/Rzad-holenderski-nie-moze-korzystac-z-aplikacji-Office-bo-RODO

• na konferencji prasowej Związku Banków Polskich przedstawiono raport InfoDOK o wyłudzeniach w Polsce
• w roku 2019 zanotowano ponad 7,8 tys. przypadków posługiwania się dokumentem innej osoby, a łączna liczba udaremnionych prób wyłudzeń kredytów wyniosła 2239 (1117 w I kwartale i 1122 w II kwartale)
• średnio w II kwartale udaremniano 12 prób wyłudzeń dziennie, a każdego dnia próbowano ukraść łącznie milion zł
• 10 lat temu odnotowano 18,8 tys. przypadków posłużenia się dokumentami innej osoby, a łączna liczba udaremnionych prób wzięcia kredytów wynosiła 8494 co dawało średnio 23 udaremnione próby dziennie
• należy pamiętać, że samo zgłoszenie utraty dowodu w urzędzie nie sprawi, że na ten dowód nie da się wziąć pożyczki lub kredytu
• zgubiony, skradziony lub inaczej skompromitowany dokument należy dodatkowo zastrzec w banku, w ramach systemu Dokumenty Zastrzeżone

Źródło: https://niebezpiecznik.pl/post/hura-mamy-tylko-12-prob-wyludzen-kredytu-pozyczki-dziennie-naprawde-lekko-liczac/

• Prezes UODO ogłosił, że jeżeli aplikacja FaceApp okaże się poważnym zagrożeniem dla bezpieczeństwa danych osobowych jej użytkowników, zostanie wszczęte postępowanie z urzędu
• UODO zaznaczył, że kwestie dotyczące ochrony danych osobowych w mobilnych aplikacjach nie ograniczają się wyłącznie do zagwarantowania przejrzystości i realizacji obowiązku informacyjnego
• Prezes UODO wskazał, iż twórcy tego typu aplikacji muszą wywiązać się m.in. z obowiązku zapewnienia ochrony danych osobowych w fazie projektowania oraz domyślnej ochrony danych
• zebrane dotychczas informacje oraz analiza sporządzona przez resort cyfryzacji nie wykazały nieścisłości
• do tej pory do UODO nie wpłynęły żadne skargi dotyczące aplikacji

Źródło: https://www.cyberdefence24.pl/nato/tworcy-faceapp-naruszyli-przepisy-rodo-prezes-uodo-odpowiada

• pod koniec lipca dr Maciej Kawecki złożył rezygnację z funkcji szefa departamentu zarządzania danymi w Ministerstwie Cyfryzacji
• od 1 sierpnia objął on funkcję dziekana Wyższej Szkoły Bankowej w Warszawie
• Kawecki od 2017 r. był koordynatorem krajowej reformy ochrony danych osobowych odpowiedzialnym za wdrażanie przepisów RODO.
• w latach 2015-2016 pracował w Biurze Generalnego Inspektora Ochrony Danych Osobowych
• w latach 2016-2017 był doradcą Ministra Cyfryzacji

Źródło: https://fakty.interia.pl/polska/news-czlowiek-od-rodo-odchodzi-z-administracji,nId,3122195

• zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych osobowych, musi odnosić się do konkretnej sytuacji i być zgodne z zasadą przejrzystości
• z analizy wpływających do Urzędu Ochrony Danych Osobowych zgłoszeń naruszenia ochrony danych osobowych wynika, że duża część administratorów wciąż nie w pełni rozumie, jaki jest cel obowiązków związanych z zawiadamianiem osób, których dane dotyczą o naruszeniu
• dlatego też, UODO opracował 4 podpowiedzi, o czym należy pamiętać informując o incydencie
• UODO wyjaśnia 1) jakie są obligatoryjne elementy zawiadomienia 2) jak przy zawiadomieniu stosować zasadę przejrzystości 3) jak wybrać właściwa formę zawiadomienia 4) kiedy możemy skorzystać ze zwolnienia
• wskazówki UODO można znaleźć tutaj: https://uodo.gov.pl/pl/138/1133

• francuski inspektorat ochrony danych (CNIL) akredytował pierwszy podmiot certyfikujący w rozumieniu art. 43 RODO
• dzięki akredytacji Francuskie Stowarzyszenie Normalizacyjne (AFNOR) może poświadczać kwalifikacje Inspektorów Ochrony Danych
• Źródło: https://www.cnil.fr/fr/certification-des-competences-du-dpo-la-cnil-delivre-son-premier-agrement

• grecki organ ochrony danych osobowych (HDPA) nałożył pierwszą karę za naruszenie przepisów RODO ukaranym jest PwC Business Solutions, a wysokość kary to 150 000 euro PwC Business Solutions przetwarzało dane osobowe pracowników naruszając zasadę zgodności z prawem oraz przejrzystości
• PwC Business Solutions przetwarzało dane swoich pracowników dając im fałszywe wrażenie, że przetwarza ich dane na podstawie dobrowolnie wyrażonej zgody, podczas gdy w rzeczywistości dane przetwarzane były na innej podstawie, o której pracownicy nie zostali poinformowani
• HDPA uznał, że zgoda jako podstawa prawna była niewłaściwa, ponieważ przetwarzanie miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umów o pracę, przestrzegania obowiązków prawnych oraz sprawnym i skutecznym działaniem firmy
• Źródło: https://edpb.europa.eu/news/national-news/2019/company-fined-150000-euros-infringements-gdpr_en

• Europejski Inspektor Ochrony Danych oraz organy ochrony danych osobowych m.in. z Kanady, Wielkiej Brytanii i Australii we wspólnym oświadczeniu oceniły, iż Facebook musi sprecyzować kwestie ochrony prywatności w zakresie planowanej globalnej kryptowaluty Libra
• według regulatorów niejasne pozostaje, jak Facebook zamierza chronić dane osobowe użytkowników swojej kryptowaluty
• organy nadzorcze skierowały w tej sprawie list do Facebooka
• organy, które podpisały się pod oświadczeniem, zapytują w nim koncern m.in. o sposób, w jaki będą przetwarzane gromadzone o użytkownikach sieci Libra dane, a także o kontrolę, jaką będą oni mieli nad informacjami na swój temat zgodnie z zapowiedziami koncernu Marka Zuckerberga token Libra ma wejść do użytku w 2020 r. i może stać się środkiem płatniczym dla ok. 2,2 mld osób korzystających z usług firmy
  Źródło: https://www.cyberdefence24.pl/zagrozenia/kryptowaluta-facebooka-zagrozi-prywatnosci-uzytkownikow

• do końca 2019 r. powinny zakończyć się prace nad projektami ustaw dotyczącymi kompleksowego uregulowania obrotu danymi w Indiach, od problemów związanych z ochroną danych osobowych i prywatności, poprzez bezpieczeństwo narodowe oraz lokalizację danych jeśli projekt stałby się prawem, zobowiązywałby firmy do gromadzenia danych w serwerach zlokalizowanych w Indiach i nietransferowania ich za granicę
• koncerny amerykańskie, takie jak Google, Amazon, Facebook czy Mastercard, będące znaczącymi inwestorami w Indiach, starają się, by proponowane regulacje były poluźnione
• prawdopodobne, że tak się stanie i ostatecznie przyjęte zostaną rozwiązania korzystne dla szybkiego rozwoju gospodarki cyfrowej
• Źródło: https://www.wnp.pl/rynki-zagraniczne/tydzienwazji-indie-lokalizacja-danych-przedmiotem-sporu-z-usa-i-szansa-dla-biznesu,350740_1_0_0.html

• mniej więcej jedna czwarta firm ujawniła dane osobowe partnerowi kobiety, który zażądał podania jej danych, powołując się na unijne prawo
• eksperci skontaktowali się z dziesiątkami brytyjskich i amerykańskich firm w celu przetestowania, w jaki sposób poradzą sobie one z wnioskiem o „prawo dostępu” złożonym w czyimś imieniu
• w każdym przypadku, podając się za narzeczonego kobiety, poprosili o wszystkie przetwarzane dane
• w jednym przypadku odpowiedź obejmowała wyniki kontroli działalności przestępczej, inne odpowiedzi obejmowały informacje o karcie kredytowej, szczegóły podróży, loginy i hasła do konta oraz pełny numer ubezpieczenia społecznego w USA
• tylko 39% firm użyło metod weryfikacji powołując się na unikatowe numery identyfikacyjne
• Źródło: https://www.bbc.com/news/technology 49252501

• pracodawcy coraz częściej mają problemy z weryfikowaniem dokumentów kandydatów do pracy
• zdarza się, że firmy proszą pracowników o dostarczenie dodatkowych dokumentów np. oświadczeń z uczelni potwierdzających uzyskane uprawnienia lub prowadzą prywatne dochodzenia polegające na wykonaniu telefonu lub email do instytucji z prośbą o potwierdzenie przedkładanych informacji
• w związku z wejściem w życie RODO, powyższa praktyka może budzić wątpliwości
• w poradniku UODO wskazano, że pracodawca nie ma możliwości bezpośredniego potwierdzenia faktu czy autentyczności uzyskanych dokumentów takie działanie pracodawcy jest niedopuszczalne
• w ocenie UODO, jeżeli pracodawca ma podejrzenia, że przedkładany dokument został sfałszowany, powinien złożyć zawiadomienie do prokuratury o możliwości popełnienia przestępstwa
• Źródło: https://www.prawo.pl/kadry/potwierdzenie kwalifikacji pracownika to klopot dla pracodawcow,455550.html

• luksemburski organ ochrony danych osobowych poprosił Amazona o informacje ws . asystenta głosowego Alexy
• urząd wskazuje na niejasne zasady ochrony danych użytkowników tego programu
• organ zwraca uwagę, że rosnąca popularność inteligentnych asystentów wzbudziła wiele obaw o naruszenia prywatności, m. in. w kwestii procedur i postępowania z nagraniami głosów użytkowników
• Amazon zapewnił, że podejmuje wszelkie kroki, by wyjaśnić wątpliwości regulatora
• firma przypomniała, że w tym tygodniu umożliwiła użytkownikom wirtualnego asystenta Alexa wyłączenie opcji odsłuchiwania nagrań przez pracowników firmy
• także Apple i Google w ostatnim tygodniu zdecydowały o wstrzymaniu analiz nagrań
• Źródło: https://businessinsider.com.pl/technologie/alexa-amazona-a-ochrona-danych-osobowych/97j1s6v