RODO aktualności – 04.05.2021 r.

• trwają konsultacje wytycznych w sprawie stosowania art. 65 ust. 1 a) RODO. Uwagi są przyjmowane do 28 maja 2021 r.
• wytyczne mają na celu nakreślenie głównych etapów procedury i wyjaśnienie właściwości EROD w zakresie przyjmowania prawnie wiążących decyzji na podstawie art. 65 ust. 1 lit. a) RODO. Wytyczne zawierają również opis proceduralnych zabezpieczeń i środków ochrony prawnej
• sprawa dotyczy współpracy między wiodącym organem nadzorczym, a innymi organami nadzorczymi i rozstrzygania ewentualnych sporów między tymi organami przez EROD
• wytyczne 03/2021 w sprawie stosowania art. 65 ust. 1 lit. a) RODO – wersja do konsultacji publicznych (w j. angielskim): https://www.uodo.gov.pl/pl/414/2001
• Więcej informacji znajdują się na stronie: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-032021-application-article-651a-gdpr_pl

Źródło: https://uodo.gov.pl/pl/138/2008

• zapewne pamiętacie, że wyciekły dane 533 milionów użytkowników Facebooka
• organizacja Digital Rights Ireland (DRI) poinformowała o chęci wniesienia zbiorowego pozwu przeciwko amerykańskiemu gigantowi. Zachęca do masowego przystępowania do pozwu
• pozew zbiorowy ma na celu uzyskanie odszkodowanie dla osób, których dane wyciekły i które mają prawo do odszkodowania na gruncie RODO
• należy sprawdzić czy dane użytkownika zostały objęte wyciekiem, poprzez odwiedzenie znanej strony internetowej Have I Been Pwned (https://haveibeenpwned.com)
• do pozwu mogą przystąpić wszyscy obywatele Unii Europejskiej, sądem rozpoznającym sprawę będzie sąd irlandzki
• według DRI poszkodowani będą mogli liczyć na kwoty od 300 do nawet 12000 € odszkodowania
• w ujawnionych danych znajduje się ok. 35,5 mln użytkowników z Włoch, 19,8 mln Francuzów, 11,5 mln Brytyjczyków, 10 mln Hiszpanów, 6 mln Niemców oraz ok. 2,5 mln użytkowników z Polski

Źródło: https://facebookbreach.eu, https://www.dw.com/pl/wyciek-danych-z-facebooka-szykuj%C4%85-si%C4%99-procesy/a-57325241

• Prezes UODO zaprasza na seminarium naukowe pt. „Sztuczna inteligencja – w kontekście ochrony danych osobowych”. Wydarzenie to w formule on-line odbywa się 26 kwietnia 2021 r. od godz. 9.00.
• planowane wydarzenie ma na celu zwiększenie wiedzy i świadomości na temat nowoczesnych rozwiązań, w które wpisuje się sztuczna inteligencja oraz związanych z tym regulacji w zakresie danych osobowych i prywatności. Wydarzenie będzie okazją do omówienia korzyści, ale też zagrożeń, jakie wiążą się z przetwarzaniem danych osobowych przez sztuczną inteligencję.
• podczas seminarium zostaną poruszone tematy związane z wykorzystaniem algorytmów sztucznej inteligencji w wielu obszarach życia codziennego. AI zaznacza swoją obecność w różnych branżach, takich jak finansowa czy medyczna. Prelegenci w swoich wystąpieniach przybliżą słuchaczom m.in. kwestie zautomatyzowanego podejmowania decyzji, numerów identyfikacyjnych, które niejednokrotnie stanowią dane osobowe, federowanego uczenia maszynowego czy konstruowania humanocentrycznej AI, przybliżając nas tym samym do lepszego zrozumienia zasad działania sztucznej inteligencji pod kątem odpowiednich regulacji prawnych, obejmujących zasady ochrony danych osobowych przetwarzanych za jej pomocą.
• agenda seminarium znajduje się pod linkiem: https://uodo.gov.pl/pl/file/3496

Źródło: https://uodo.gov.pl/pl/138/2010

• Cellebrite to izraelska firma, która tworzy oprogramowanie do dostępu do urządzeń mobilnych należących do przestępców
• w tym tygodniu doszło do wymiany stanowisk między firmami – Cellebrite stwierdził, że udało mu się złamać zabezpieczenia Signala. Signal nie pozostał dłużny i stwierdził, że udało mu się poznać podatności Cellebrite’a
• w przypadku danych zapisanych w komunikatorze Signal, pobranie i zabezpieczenie danych z urządzenia jest możliwe jedynie wtedy, gdy telefon jest odblokowany, co zostało porównane przez Signala do sytuacji, w której ktoś trzyma w rękach waszego smartfona, którego sami odblokowaliście
• oznacza to, że Signal jest nadal bezpiecznym komunikatorem – włamanie do aplikacji przy użyciu urządzenia Cellebrite byłoby możliwe, wyłącznie przy odblokowanym telefonie, co znacznie utrudnia możliwość wykorzystania tej możliwości
• jako ciekawostkę można dodać, że badacze firmy Signal znaleźli lukę, która pozwala na zdalne wykonanie kodu w systemie z uruchomionym Cellebrite. Podatności działają zarówno w wersji na system Windows oraz w wersji przenośnej Cellebrite. Wystarczy, że program przeskanuje odpowiednio spreparowany plik. Signal zaznaczył, że jest gotowy zgłosić luki prosto do Cellebrite pod warunkiem, że ten zrobi dokładnie to samo i zgłosi podatności wykorzystywane przez swój produkt do poszkodowanych producentów. Można przypuszczać, że izraelska firma nie będzie chciała tego zrobić, gdyż na wynajdywaniu podatności opiera swój model biznesowy

Źródło: https://sekurak.pl/signal-zhackowal-narzedzie-do-hackowania-telefonow-cellebrite-proponuja-wymiane-jencow/

• Telegram to komunikator, który obok Signala zyskuje na popularności kosztem Whatsappa, który zmienił politykę prywatności. Liczba aktywnych użytkowników przekroczyła 500 mln miesięcznie
• okazuje się, że nie jest on w pełni bezpieczny, a przynajmniej pojawiają się tzw. „podatności”, które mogą być wykorzystane przez hackerów. Jak donoszą specjaliści Checkpoint w swoim raporcie, do przejęcia kontroli nad komunikatorem Telegram, wykorzystywane jest złośliwe oprogramowanie ToxicEye
• ToxicEye jest wysyłane przy pomocy wiadomości phishingowej, w której zawarto wirusa. Do jego aktywacji wystarczy uruchomienie zainfekowanego pliku. Ten „trojan” pozwala hakerom na kradzież danych, usuwanie, przesyłanie plików, aktywację mikrofonu czy aparatu, co umożliwia nagrywanie obrazu i dźwięku, a także szyfrowanie danych w celu żądania okupu.
• nie jest to pierwsza podatność Telegrama, ponieważ już wcześniej, w 2017 roku, stworzono oprogramowanie, które umożliwiało dostęp do treści zawartych na koncie użytkownika
• czy przez tego typu złośliwe oprogramowanie Telegram straci popularność kosztem Signala, czas pokaże. Z pewnością użytkownicy Telegrama muszą z uwagą śledzić doniesienia dotyczące bezpieczeństwa ich danych

Źródło: https://www.cyberdefence24.pl/toxiceye-na-telegramie-komunikator-niebezpieczny

• karami może skończyć się zbieranie informacji o personelu przy okazji organizacji szczepień
• wkrótce ruszy program szczepień w firmach – jeśli przedsiębiorstwo zbierze ponad 300 chętnych, to może po 4 maja zarejestrować się na portalu Centrum Bezpieczeństwa Rządu
• zgodnie z prawem firmy nie mogą zbierać o swoich pracownikach nadmiernie dużo informacji, to karalne
• jedyne o co mogą prosić to numer PESEL i numer konta bankowego
• pozostałe dane są tajne i nie wolno ich gromadzić
• „Rzeczpospolita” zasięgnęła opinii Urzędu Ochrony Danych Osobowych. Urząd odpisał periodykowi, że pracodawcy, którzy zbierają dane stają się ich administratorami, a w związku z tym muszą przetwarzać je zgodnie z prawem zapisanym w art. 5 RODO
• UODO jednocześnie poinformowało, że zgodnie z art. 13 RODO pracodawcy muszą informować: kto jest administratorem danych, w jakim celu są one przetwarzane i na jak długo

Źródło: https://biznes.wprost.pl/gospodarka/10443480/firmy-ktore-organizuja-szczepienia-nie-moga-zbierac-zbyt-wielu-informacji-o-pracownikach.html https://www.rynekzdrowia.pl/Prawo/Szczepienia-pracownikow-firmy-gromadzac-zbyt-wiele-danych-ryzykuja-wysokie-kary,221321,2.html

• rośnie liczba skarg składanych na ZUS do Urzędu Ochrony Danych Osobowych – zawiadomienia o przekroczeniu uprawnień przez pracowników ZUS oraz o naruszeniu ochrony danych osobowych trafiają też do prokuratur
• Andrzej Sanocki, rzecznik prasowy UODO tłumaczy, że ZUS często pojawia się w skargach, które de facto dotyczą innych administratorów, a cześć spraw trafia pocztą tradycyjną, dlatego dane te mogą nieco dobiegać od stanu faktycznego
• w 2017 r. do organu nadzoru na Zakład Ubezpieczeń Społecznych wpłynęło około 25 skarg, w 2018 roku i w 2019 r. było ich po około 18, natomiast w 2020 – około 50. W 2021 roku, do tej pory UODO odnotował 9 skarg na ZUS
• w przypadku ZUS skargi dotyczą udostępnienia danych osobom trzecim, np. w wyniku wysyłki dokumentów do niewłaściwego adresata, przesłania danych w niezaklejonej kopercie, zbierania wniosków w taki sposób, że osoby trzecie mogą się zapoznać z ich treścią, czy dostępu różnych podmiotów do danych w PUE ZUS
• bywają też skargi dotyczące wstrzymania wypłaty renty czy od osób, które otrzymały korespondencję innych osób, gdyż adres w okienku koperty był niewidoczny
• żadne z postępowań wobec ZUS nie zakończyło się nałożeniem administracyjnej kary pieniężnej

Źródło: https://www.prawo.pl/kadry/dane-osobowe-jak-zus-narusza-ochrone-danych-osobowych,507985.html

• pracownicy Sanepidu, którzy zostali zobowiązani do korzystania ze służbowego systemu informatycznego poprzez profil zaufany, który w ich ocenie ma charakter prywatny, obawiają się o bezpieczeństwo swych danych osobowych, bo posługiwanie się profilem zaufanym w celach służbowych wiąże się m.in. z ujawnieniem nr PESEL
• wspiera ich RPO, który uznaje obawy o prawo do prywatności i ochrony danych osobowych – jego zdaniem nie ma przepisu, na którego podstawie pracodawca może żądać założenia profilu zaufanego przez pracownika i wykorzystywania go w celach służbowych
• RPO wcześniej wystąpił w tej sprawie do Głównego Inspektora Sanitarnego – z jego odpowiedzi wynika, że profil zaufany pozwala użytkownikowi na potwierdzenie tożsamości w systemach teleinformatycznych administracji publicznej bez względu na to, czy posiadacz wykorzystuje go w celach prywatnych, czy też wykorzystuje go w celu wykonywania obowiązków pracowniczych (podobnie jak ma to miejsce w przypadku dokumentów stwierdzających tożsamość)
• RPO stwierdza jednak, że te wyjaśnienia nie rozwiały jego wątpliwości – wątpliwości budzi m.in. sposób autoryzacji podczas logowania do profilu zaufanego, który polega albo na odebraniu smsów z hasłem, wysłanych na prywatny telefon, albo w przypadku powiązania profilu z bankiem
• RPO zwrócił się do Prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka o zbadanie sprawy w kontekście stanowiska GIS, a także przedstawionych wątpliwości

Źródło: https://www.prawo.pl/prawo/profil-zaufany-w-inspekcji-sanitarnej-prywatne-dane-uzywane-w,507978.html

• ponad 43 proc. Polaków obawia się, że w czasie pandemii padnie ofiarą oszustów wyłudzających dane osobowe, a prawie 30 proc. spotkało się już z taką próbą
• jednocześnie ponad 84 proc. z nas deklaruje, że wie, jak zadbać o swoje bezpieczeństwo
• wyraźnie zarysowane są jednak granice między pokoleniami – najlepiej do starcia z przestępcami przygotowani są młodzi, którzy znacznie lepiej niż starsi, radzą sobie z weryfikacją otrzymanych komunikatów
• takie wnioski płyną z badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych
• pomimo ostrzeżeń i kampanii edukacyjnych wciąż nie wszyscy zdają sobie sprawę z tego, że wirus COVID-19 to nie jedyne zagrożenie, któremu w ostatnich miesiącach musimy stawić czoła – takie podejście starają się wykorzystać właśnie przestępcy wyłudzający dane osobowe
• najpopularniejszą metodą jest phishing, polegający na tym, że przestępcy podszywają się pod inną osobę lub instytucję w celu wyłudzenia danych

Źródło https://uodo.gov.pl/pl/138/2021

Która przesłanka jest podstawą przetwarzania danych przez pracodawcę stosującego monitoring?

• Kodeks Pracy nie nakłada na pracodawcę obowiązku stosowania monitoringu, a jedynie daje mu taką możliwość – skorzystanie z tej możliwości jest jednak obwarowane konkretnymi warunkami i może nastąpić jedynie w ściśle określonych w tym Kodeksie celach
• w uzasadnieniu projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 wskazano, że celem wprowadzenia przepisów regulujących monitoring pracowników jest zabezpieczenie interesów pracowników przed dowolnym wykorzystywaniem monitoringu przez pracodawców – dlatego uregulowano kwestię monitoringu w przepisach prawa oraz ograniczono możliwość wykorzystywania monitoringu do celów wskazanych w przepisach
• za przesłankę przetwarzania danych osobowych pracowników w związku ze stosowaniem monitoringu w powyższych celach i na warunkach określonych w Kodeksie pracy należy uznać art. 6 ust. 1 lit. f RODO
• powołanie się na tę przesłankę wymaga przeprowadzenia uprzedniej starannej oceny, określanej jako test równowagi

Źródło: https://uodo.gov.pl/pl/225/2017

Jaka jest podstawa przetwarzania danych studentów w przypadku przyznawania im pomocy materialnej przez uczelnię?

• jednym z praw studenta jest możliwość ubiegania się o przyznanie pomocy materialnej – w art. 86 ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce zostały wskazane formy tej pomocy tj. stypendium socjalne; stypendium dla osób niepełnosprawnych; zapomoga; stypendium rektora; stypendium finansowane przez jednostkę samorządu terytorialnego; stypendium za wyniki w nauce lub w sporcie finansowane przez osobę fizyczną lub osobę prawną niebędącą państwową ani samorządową osobą prawną
• właściwą przesłanką przetwarzania danych zwykłych w przypadku prowadzenia postępowania w celu przyznania pomocy materialnej studentowi przez uczelnię jest art. 6 ust. 1 lit. c RODO, a w przypadku danych szczególnej kategorii jest art. 9 ust. 2 lit. g RODO w powiązaniu z art. 86 ustawy z dnia 20 lipca 2018 r. – Prawa o szkolnictwie wyższym i nauce

Źródło: https://uodo.gov.pl/pl/225/2019