Jaką karę UODO nałożył na Morele.net? Ile kontroli UODO zdążył przeprowadzić w ciągu 15 miesięcy? Za jaką kwotę można kupić dane 650 tys. osób? Czy CBA inwigiluje Polaków? Czy banki mogą legalnie wykonywać kserokopie dokumentów tożsamości? Wrażliwe dane osobowe pacjentów – może wykorzystać je jako „podkładkę” na listę na zakupy? Kto jest kim przy przetwarzaniu danych osobowych w ramach PPK? Akcja PZU – bezpieczne dziecko, ale co z jego (i jego rodzica) danymi osobowymi? Czy USA doczekają się prawa regulującego ochronę danych osobowych na szczeblu federalnym? Co ma RODO do… dronów?
To tylko niektóre tematy, które zebraliśmy dla Ciebie w ramach RODO aktualności z trzech tygodni września 2019.
Pamiętaj, że na końcu artykułu przygotowaliśmy dla Ciebie prezentacje aktualności w formie przejrzystych PDFów do pobrania.
Jeśli chcesz być zawsze na bieżąco z RODO – aktualnościami, zapisz się na nasz newsletter (zielony kwadracik z białą kopertą po lewej stronie).
To co? Zaczynamy!
Morele.net z karą 660 tys. EURO
- Prezes Urzędu Ochrony Danych Osobowych nałożył 2,8 miliona złotych (ok. 660 tys. EURO) kary na serwis morele.net
- w połowie grudnia sklep morele.net rozesłał do swoich klientów maila z informacją, że doszło do nieuprawnionego dostępu do danych osobowych : adresu e-mail, numeru telefonu, imienia i nazwiska (jeśli zostało podane) oraz hasła w postaci zaszyfrowanego ciągu znaków (hash), a także danych z dowodów osobistych
- zdaniem Prezesa UODO zastosowane przez spółkę środki organizacyjne i techniczne nie były odpowiednie do istniejącego ryzyka związanego z przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce
- nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób, a także w jego wyniku powstało wysokie ryzyko negatywnych skutków, jak np. tzw. kradzież tożsamości
- przy ustalaniu wysokości kary Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych
Źródło: https://uodo.gov.pl/pl/138/1189
113 kontroli w ciągu prawie 15 miesięcy
- od początku obowiązywania RODO do 13 sierpnia 2019 r. zostało przeprowadzonych 113 kontroli w zakresie przestrzegania przepisów o ochronie danych osobowych – wynika z danych udostępnionych w trybie dostępu do informacji publicznej przez Prezesa UODO
- w ramach sektora prywatnego skontrolowano 28 podmiotów – 19 spółek, 3 jednoosobowe działalności gospodarcze, 2 stowarzyszenia, jedną spółdzielnię, jedną spółdzielnię mieszkaniową, jedną wspólnotę mieszkaniową oraz jeden serwis internetowy
- wszczęto 7 postępowań administracyjnych w sprawie naruszenia przepisów, co stanowi tylko 25% ogólnej liczby kontroli w sektorze prywatnym
- w ramach pozostałych sektorów skontrolowano 85 podmiotów, przy czym wszczęto 13 postępowań administracyjnych
Źródło: https://prawo.gazetaprawna.pl/artykuly/1428337,puodo-rodo-ochrona-danych-osobowych.html
400 zł za dane 650 tys. osób
- dziennikarz TVN skontaktował się z jedną z osób, które oferowały w Internecie sprzedaż danych osobowych
- kobieta zgodziła się na wysłanie próbki bazy zawierającej aż 26 tys. rekordów – były w niej między innymi: imiona, nazwiska, adresy, nr pesel, nr rachunków bankowych, informacje o saldach na rachunkach, zaciągniętych kredytach klientów jednego z komercyjnych banków w Polsce
- na spotkaniu okazało się, że kobieta może sprzedać więcej danych, a mianowicie 650 tys. za 400 zł
- kobieta przyznała, że 6 lat temu pracowała w banku jako szefowa działu telemarketingu i tę bazę wyniosła, a teraz aktualizuje ją na bieżąco, poprzez swoich przyjaciół, których ma w banku – baza w 80% była aktualna
- baza, którą zakupił dziennikarz pozwoliła mu na nabycie telefonu w jednej z sieci komórkowej (zrobił to w porozumieniu z osobą, której danych zamierzał użyć)
Źródło: https://dziendobry.tvn.pl/a/czym-jest-ochrona-danych-osobowych-w-firmie
Facebook gotowy na wybory parlamentarne w Polsce?
- platforma wyciąga wnioski po Cambridge Analytica
- Popełniliśmy błędy, wyciągnęliśmy wnioski, a kary zaakceptowaliśmy jako część porozumienia mówi Jakub Turowski, odpowiedzialny w Facebooku za politykę publiczną w Polsce i krajach bałtyckich
- Turowski wskazuje, że zgodnie z nowymi zasadami, wszyscy reklamodawcy, którzy chcą publikować reklamy polityczne muszą przedstawić dokumenty niezbędne dla weryfikacji ich tożsamości oraz potwierdzenia lokalizacji w danym kraju – ma to ma zapobiec publikacji reklam i ogłoszeń wyborczych przez zagraniczne podmioty, które próbują ingerować w integralność wyborów
- reklamy polityczne na Facebooku oraz Instagramie muszą być wyraźnie oznaczone oraz uwzględniać zastrzeżenie z informacją o tym, przez kogo zostały opłacone
KRS: nie odnotowaliśmy naruszenia
- KRS w wyjaśnieniach przesłanych do Prezesa UODO pisze, że nie stwierdziła u siebie naruszenia ochrony danych osobowych – to odpowiedź na pytania dotyczące doniesień, że niektórzy sędziowie KRS byli członkami grupy na jednym z komunikatorów internetowych organizującej akcje dyskredytowania wybranych sędziów
- KRS zapewnia, że przetwarzane dane są przetwarzane zgodnie z najwyższymi standardami
- w swojej odpowiedzi KRS wskazuje, że dane teleadresowe (dane bliżej nieokreślonej grupy sędziów, członków ich rodzin oraz osób im bliskich), o których mowa w mediach są dostępne dla wielu podmiotów i dotyczą sędziów rozpoznawalnych w środowisku oraz udzielających się publicznie
- KRS wskazuje, że ww. kategorie danych nie są aktualizowane, co w kontekście ich aktualności podaje w wątpliwość możliwość ich wykorzystania w sposób opisany przez media
Wyciekło ponad 400 milionów numerów telefonów użytkowników Facebooka
- 419 mln numerów telefonów powiązanych z kontami użytkowników Facebooka znaleziono na niezabezpieczonym serwerze – większość numerów (133 mln) pochodziło z USA, 18 mln z Wielkiej Brytanii i ponad 50 mln z Wietnamu
- niektóre rekordy w niezabezpieczonych bazach danych zawierały również inne dane, takie jak nazwiska użytkowników, ich płeć oraz kraj, z jakiego korzystają z Facebooka
- przedstawiciel Facebooka odniósł się do sprawy informując, że dane musiały zostać pobrane z Facebooka zanim wprowadził on ograniczenie widoczności numerów telefonów, czyli przed kwietniem ubiegłego roku
- stwierdził również, że firma nie ma informacji co do tego, by w wyniku incydentu zostało naruszone bezpieczeństwo kont użytkowników serwisu
Wyciek danych w brytyjskim centrum medycznym
- brytyjskie centrum medyczne, zajmujące się leczeniem dysforii płciowej omyłkowo ujawniło dane dotyczące blisko 2000 osób zapisanych na swojej liście mailingowej
- Charing Cross Gender Identity Clinic wysłała do pacjentów wiadomość e-mail na temat konkursu artystycznego umieszczając wszystkich w polu „do wiadomości”
- klinika wysłała dwa osobne e-maile, z których każdy zawierał około 900 odbiorców
- w sprawie prowadzone jest dochodzenie, a incydent został zgłoszony do brytyjskiego organu ochrony danych (ICO)
- rzeczniczka ICO potwierdziła, że urząd został poinformowany o incydencie, a dostarczone informacje są analizowane
Google oskarżane przez konkurencję o potajemne przekazywanie danych
- Google miał potajemnie przekazywać dane osobowe użytkowników reklamodawcom i używał do tego ukrytych stron internetowych
- tak twierdzi rywalizujący z koncernem dostawca usług cyfrowych
- sprawą zajmie się teraz irlandzki organ ds. ochrony danych osobowych, w którego jurysdykcji znajduje się działalność amerykańskiego koncernu w Europie
- strona, którą odnalazł przedstawiciel Brave, nadała mu identyfikator pochodzący od Google’a rejestrujący lokalizację i czas wizyty w witrynie – według niego dane te mogą pozwolić na połączenie profilu konkretnej osoby z danymi zgromadzonymi przez inne firmy celem wpisania do grupy docelowej dla emisji reklam
CBA inwigiluje Polaków?
- Centralne Biuro Antykorupcyjne nie zakupiło żadnego systemu masowej inwigilacji Polaków – poinformował wydział komunikacji społecznej CBA
- CBA odniosło się w ten sposób do doniesień jakoby służby specjalne kupiły system Pegasus
- Pegasus to program stworzony do walki z terroryzmem, jeżeli telefon zostanie przez niego zainfekowany, to program uzyskuje dostęp do całej zawartości urządzenia, łącznie z nagraniami, pocztą, czy treścią rozmów, które prowadzimy w komunikatorach
- Pegasus może też przejąć kontrolę nad głośnikiem i kamerą, przez co pozwala na bieżąco podsłuchiwać rozmowy i śledzić obraz z najbliższego otoczenia
- zaletą programu jest to, że jest on bardzo trudny do wykrycia, a przy jakiejkolwiek próbie namierzenia znika i zaciera po sobie elektroniczne ślady
Prezes UODO o kopiowaniu dokumentów tożsamości przez banki
- zdaniem Prezesa UODO art. 112b ustawy Prawo bankowe nie pozwala bankom wykonywać kserokopii i skanów dowodów osobistych klientów, żeby np. założyć konto bankowe czy zbadać zdolność kredytową klienta – wystarczy samo spisanie danych
- sporządzenie kopii dowodów tożsamości jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy
- podstawę do sporządzania kopii stanowią przepisy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi z tym, że jest to możliwe w określonych przypadkach, a sama możliwość nie jest równoznaczna z takim obowiązkiem po stronie banków
- za każdym razem, gdy bank na podstawie art. 34 ww. ustawy zamierza skopiować dokument, to decyzje o tym powinien poprzedzić analizą i zweryfikowaniem czy rzeczywiście taka czynność jest niezbędna
- opinia Prezesa UODO spotkała się z krytyką ekspertów, w tym dr Macieja Kaweckiego odpowiedzialnego za reformę dostosowującą polskie akty prawne do RODO
- zdaniem dr Kaweckiego każdy administrator ma obowiązek dokonać oceny czy zakres gromadzonych danych jest mu absolutnie niezbędny do celu, a jeżeli jest to w stanie wykazać to ma prawo przetwarzać dane w oparciu o jedną z przesłanek legalizujących wymienionych w RODO i nie musi szukać do tego przepisu rangi ustawowej i nikt nie może tego prawa go pozbawić
Źródło: https://uodo.gov.pl/pl/138/1182
Szpital w Hadze znowu ma problem
- szpital w Hadze, który w lipcu 2019 r. otrzymał karę €460.000 (1.972.710 zł) za niewłaściwe uregulowanie dostępu do danych osobowych pacjentów, doświadczył kolejnego incydentu ochrony danych osobowych
- dokumenty, zawierające informacje o osobach przebywających w szpitalu (imiona, nazwiska, daty urodzenia, dolegliwości oraz historie choroby i przyjmowanych leków) były wykorzystywane przez pracowników jako… listy zakupów
- pracownicy używali dokumentacji medycznej jako miejsce do zapisywania prywatnych notatek i wynosili to poza teren ośrodka
- zdarzenie wyszło na jaw, gdy jeden z klientów supermarketu, znalazł pozostawione „listy” w wózku na zakupu
- rzecznik szpitala potwierdza, że rozpoczęło się w tej sprawie dochodzenie, a incydent zgłoszono do holenderskiego organu ochrony danych osobowych
- o incydencie mają również zostać poinformowani pacjenci (obecni i byli) szpitala, których dane zostały ujawnione
RODO a PPK – kto jest kim?
- coraz więcej osób zaczyna zadawać pytania dotyczące przetwarzania danych osobowych w kontekście obsługi PPK
- praktyczne wskazówki w tym zakresie daje Grant Thorton
- zdaniem GT w procesie zarządzania PPK podmiot zatrudniający ma status administratora danych osobowych, tj. status podmiotu decydującego o celach i środkach przetwarzania danych osobowych – wziąwszy pod uwagę poszczególne przepisy ustawy o PPK
- instytucje finansowe obsługujące PPK także są odrębnymi administratorami danych, realizując swoje obowiązki ustawowe określone w ustawie o PPK, czy też w ustawie o funduszach inwestycyjnych
- podmioty zatrudniające mogą zostać obarczone dodatkowymi obowiązkami, w związku z przetwarzaniem danych, w zależności od kształtu umowy, jaką zawrą z instytucją zarządzającą, czy też prowadzącą PPK, a mogą to być np. realizacja obowiązku informacyjnego w imieniu instytucji lub rola procesora w stosunku do danych osobowych uczestników PPK (która może zostać narzucona przez instytucję finansową na podmiot zatrudniający)
Źródło: https://grantthornton.pl/publikacja/rodo-a-pracownicze-plany-kapitalowe/
Systemy rozpoznawania twarzy pod lupą Komisji Europejskiej
- Komisja Europejska planuje nowe prawo dot. systemów rozpoznawania twarzy używanych w monitoringu oraz rozważa wprowadzenie ograniczeń dla technologii i udzielenie obywatelom prawa do zarządzania ich danymi
- celem nowych przepisów będzie ograniczenie masowego użycia technologii rozpoznawania twarzy przez firmy i władze publiczne
- według inicjatywy obywatele UE mają uzyskać prawo do informacji o wykorzystywaniu danych zebranych za pomocą tej technologii identyfikacyjnej.
- wyjątki od tej reguły zostaną dodatkowo ściśle ograniczone, by zapewnić prawidłowe użycie systemów
- plan ograniczenia rozpoznawania twarzy jest elementem szerszej strategii prawodawczej UE, której celem jest stworzenie zapisów określających etyczne wykorzystywanie algorytmów sztucznej inteligencji
NSA o przetwarzaniu danych w celach marketingowych
- NSA orzekł, że klient, który nie zgodził się na przetwarzanie danych osobowych na potrzeby marketingu bezpośredniego (bądź cofnął taką zgodę), po zalogowaniu się na swoje konto u danego przedsiębiorcy nie powinien widzieć żadnych reklam i to nawet wtedy, gdy są one niesprofilowane, a więc nie są adresowane konkretnie do niego, ale do ogółu klientów
- wyrok, w którym NSA rozpatrywał skargę na decyzję organu nadzorczego nakazującą zaprzestanie przetwarzania danych abonenta kablówki, zapadł jeszcze na kanwie poprzednio obowiązującej ustawy o ochronie danych osobowych
- zdaniem prawników nadal jest jednak ważny – RODO niewiele bowiem zmieniło w zakresie skutków sprzeciwu osoby fizycznej wobec przetwarzania danych osobowych w celach marketingu bezpośredniego
- eksperci są podzieleni – niektórzy krytykują wyrok wskazując, że skoro baner reklamowy w portalu usługodawcy był jednakowy dla wszystkich jego użytkowników – zarówno przed, jak i po zalogowaniu się – to trudno mówić, że portal przetwarzał dane osobowe klienta w celach marketingowych
Onet ostrzega przed fałszywymi wiadomościami
- w ostatnim czasie do użytkowników poczty Onet kierowane były fałszywe wiadomości, w tym m.in. sugerujące np. możliwość rychłego zawieszenia lub usunięcia konta jeśli użytkownik nie zaloguje się na podlinkowanej, fałszywej stronie
- Onet ostrzega przed cyberprzestępcami i przypomina, że wiadomości pochodzące od Onet Polska oznaczone są ikona tarczy co oznacza, iż nadawca należy do grona nadawców zaufanych
Źródło: poczta Onet
Postępowanie wobec PZU Pomoc
- Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie względem PZU Pomoc, odpowiedzialnego za akcję „Wakacje z PZU Bezpieczne dziecko”
- przedmiotem postępowania są regulacje zawarte w usługa PZU dotyczące pozyskiwania zgody klientów lub potencjalnych klientów na przetwarzanie danych w celach marketingowych spółek wchodzących w skład Grupy PZU
- udzielenie ww. zgody przez rodzica lub opiekuna prawnego było warunkiem koniecznym do skorzystania z bezpłatnego ubezpieczenia dziecka
- dodatkowo przedmiotem postępowania jest kwestia informowania osób, których dane zostały pozyskane dla celów marketingowych o możliwości wycofania zgody na ich przetwarzanie w danym celu
Źródło: https://uodo.gov.pl/pl/138/1184
Amerykańskie koncerny chcą federalnego prawa ochrony danych osobowych
- dyrektorzy generalni 51 firm technologicznych podpisali list otwarty do Kongresu, prosząc o federalne prawo dotyczące prywatności, które miałoby zastąpić ciągle rosnącą liczbę przepisów o ochronie danych osobowych pojawiających się na szczeblu stanowym
- list podpisali m.in. dyrektorzy Amazon, AT&T, Dell, IBM, Qualcomm, SAP, Salesforce, Visa, Mastercard, JP Morgan Chase, State Farm i Walmart
- w liście wskazuje się m.in., że różnorodność przepisów ochrony danych, które są obecnie uchwalane w wielu stanach USA przez kilka różnych agencji amerykańskich, jest jednym z powodów, dla których poszanowanie prywatności jest w takim problemem w Stanach Zjednoczonych
- wielu obrońców prywatności uważa jednak, że firmy technologiczne tak naprawdę nie dbają o interesy konsumentów, ale o własne i próbują agregować wszelkie przepisy dotyczące prywatności pod jednym dachem, gdzie grupy lobbystów mogą złagodzić wszelkie znaczące zabezpieczenia danych, które mogą mieć wpływ na wyniki finansowe
Resort pracy zgadza się z UODO w zakresie kontroli trzeźwości
- MRPiPS zgadza się z UODO, że pracodawcy nie mają prawa samodzielnie prowadzić wyrywkowych ani prewencyjnych kontroli trzeźwości załogi
- MRPiPS wskazało, że poza sytuacją, w której przepisy prawa wprost regulują możliwość przeprowadzenia badania stanu trzeźwości pracownika, pozyskiwanie takich danych jest dopuszczalne na podstawie jego zgody wyrażonej zgodnie z art. 221b § 1 KP
- idąc za stanowiskiem UODO resort przyjął, że w świetle motywu 35 RODO stan nietrzeźwości pracownika, jako jego „stan fizjologiczny”, należy zaliczyć do danych dotyczących zdrowia, które na gruncie prawa pracy mogą być przetwarzane na podstawie zgody wyrażonej zgodnie z 221b § 1 KP czyli takiej, której inicjatorem jest pracownik
- art. 17 ustawy o wychowaniu w trzeźwości to przepis dający uprawnienie do przeprowadzenia kontroli wyłącznie przez uprawniony organ i to w przypadku kiedy zachodzi uzasadnione podejrzenie, że pracownik stawił się do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy – resort przyznaje, że pracodawca nie zawsze jest w stanie wykazać „uzasadnione podejrzenie” w rozumieniu tego przepisu i nie może wówczas zweryfikować stanu trzeźwości
Źródło: https://www.rp.pl/Firma/309159978-Szef-nie-zmusi-do-sprawdzenia-trzezwosci.html
Miliony danych pacjentów w sieci
- miliony danych pacjentów z 50 krajów (najwięcej z USA) leżały na ogólnie dostępnych serwerach – poinformowała rozgłośnia Bayerischer Rundfunk (BR)
- w ponad połowie przypadków zbiory te zawierają także zdjęcia medyczne, takie jak screening mamograficzny, prześwietlenia kręgosłupa i zdjęcia rentgenowskie
- dane te były dostępne jeszcze w ubiegłym tygodniu i pochodziły z pięciu różnych lokalizacji serwerów – najwięcej z okolicy Ingolstadt w Bawarii i Kempen w Nadrenii Północnej-Westfalii
- najczęściej chodziło o zdjęcia wykonanie metodą rezonansu magnetycznego -w wykorzystywanych do tego urządzeniach powstają dwu- i trójwymiarowe zdjęcia wnętrza ciała a obrazy są przekazywane z urządzeń na specjalne serwery
- na te same serwery przekazywane są także zdjęcia rentgenowskie i ujęcia z tomografii komputerowej
Drony a ochrona danych osobowych
- przepisy RODO i ich część dotycząca nagrywania obrazu, dotyczą również bardzo popularnych ostatnio dronów
- z uwagi na to, iż drony mogą rejestrować dźwięk i obraz, a także zapisywać informacje o lokalizacji – zbierają one dane osobowe
- dziś praktycznie nie spotyka się już dronów bez wbudowanej na stałe lub dołączanej kamery – różnicę w podejściu do przepisów stanowi jednak zarówno sposób użytkowania drona, jak i dalsze wykorzystanie zarejestrowanych danych
- przepisy RODO nie znajdą zastosowania gdy sprzętu używamy dla własnych potrzeb, a zarejestrowane materiały nie są rozpowszechniane dalej, np. publikowane w internecie
- jeśli chcemy się pochwalić światu pięknymi ujęciami nagranymi za pomocą drona musimy zadbać o to, by na zdjęciach lub filmach, nagrane przypadkowo osoby nie były przedstawione w sposób umożliwiający ich identyfikację lub musimy posiadać zgodę na wykorzystanie ich wizerunku
Źródło: https://grantthornton.pl/publikacja/rodo-a-pracownicze-plany-kapitalowe/
UODO: Komisja reprywatyzacyjna ma niebezpieczny dostęp do danych osobowych
- komisja badająca stołeczną reprywatyzację działa na podstawie przepisów, które nie uwzględniają RODO – twierdzi Jan Nowak, Prezes Urzędu Ochrony Danych Osobowych
- Prezes UODO zastrzega wprawdzie, że Komisja działa „w interesie publicznym”, co pozwala na pewne wyjątki w stosowaniu RODO, ale i tak ustawę o Komisji należałoby poprawić
- stanowisko takie UODO przedstawił w odpowiedzi na wątpliwości RPO, który już rok temu, w wystąpieniu do urzędu zwracał uwagę, że komisja dostała pełny dostęp do informacji z KRS, KRK oraz centralnej bazy danych ksiąg wieczystych, a to oznacza możliwość przetwarzania tych danych bez wiedzy i zgody osób, których one dotyczą
- Prezes UODO przyznał, że analiza unormowań ustawy prowadzi do wniosku, że przepisy tego aktu prawnego nie zostały dostosowane do uregulowań RODO, a to dlatego, że kiedy przepisy polskiego prawa były dostosowywane do europejskich zasad ochrony danych osobowych, to ustawa o komisji nie znalazła się w ogóle na liście ustaw do poprawy
Źródło: https://www.prawo.pl/prawo/rodo-komisja-reprywatyzacyjna-ma-niezgodny-z-prawem-dostep-do,474007.html
Ochrona danych osobowych w wersji online
- z badania Mastercard wynika, że wciąż niemały odsetek polskich konsumentów ma stosunkowo bierną postawę wobec zagrożeń cyfrowych
- bierność szczególnie widać w deklarowanych postawach względem bezpieczeństwa danych online, które są związane z ich przechowywaniem i udostępnianiem – niemal połowa ankietowanych (44%) przyznaje, że niewiele wie na ten temat, a co piąty respondent (18%) nie jest nawet zainteresowany poszerzeniem wiedzy w tym zakresie
- ankietowani, jeśli chcą pogłębić wiedzę w tym obszarze, najczęściej korzystają z internetu (60%), 35% z nich poszukałoby natomiast pomocy u specjalisty z zakresu bezpieczeństwa, zaś co czwarty (25%) w swoim banku
- ponad 1/3 respondentów (36%) zapisuje swoje hasła w notatniku lub w cyfrowej formie
- niemal co czwarty ankietowany (23%) zmienia swoje hasła rzadziej niż raz do roku lub nie robi tego nigdy, zaś 15% respondentów robi to dopiero wtedy, kiedy zażąda tego usługodawca
- ponad 1/5 osób (22%) podaje swoje hasła najbliższym osobom z grona rodziny i znajomych
Doradcy podatkowi będą mieli własny kodeks RODO
- samorząd doradców przygotowuje korporacyjny kodeks dotyczący procedur związanych z ochroną danych osobowych
- kodeks ma pomóc doradcom podatkowym zorientować się, jakie obowiązki nakładają na nich przepisy, zwłaszcza na styku regulacji dotyczących m.in. ochrony tajemnicy zawodowej doradców i obowiązku raportowania schematów podatkowych
- kodeks postępowania uszczegółowi i doprecyzuje postanowienia RODO w zakresie przetwarzania danych osobowych przez doradców podatkowych – w kodeksie znajdą się między innymi wytyczne w zakresie przeprowadzania oceny ryzyka przetwarzania danych osobowych w działalności doradcy podatkowego, zasad ochrony i zabezpieczania danych osobowych w pracy kancelarii, uporządkowane mają zostać również również kwestie dotyczące przekazywania danych osobowych
Źródło: https://www.prawo.pl/podatki/kodeks-rodo-dla-doradcow-podatkowych,467699.html
Wyciek danych obywateli Ekwadoru
- na ogólnodostępnym serwerze chmurowym znalazły się dane niemal wszystkich obywateli Ekwadoru
- dostęp do serwera został już ograniczony przez krajowy zespół ds. bezpieczeństwa i reagowania na incydenty komputerowe
- ogólnie dostępna baza danych zawierała nazwiska, informacje finansowe i dane osobiste ok. 17 milionów osób, w tym 6.7 miliona dzieci
- znalezione dane obejmowały także m.in. osobiste numery identyfikacyjne, numery telefonów, dane stanu cywilnego, informacje o wykształceniu i przebiegu pracy zawodowej
- baza zawierała też dane dot. kont klientów jednego z największych banków Ekwadoru oraz dokumenty podatkowe firm
- ujawnione dane mogą być bardzo cenne dla miejscowych gangów przestępczych, gdyż zawierają informacje o bogatych obywatelach Ekwadoru, jak ich adresy domowe, czy mają dzieci, jakimi samochodami i o jakich numerach rejestracyjnych jeżdżą
Źródło: https://businessinsider.com.pl/technologie/nowe-technologie/wyciekly-dane-obywateli-ekwadoru/7svecyr
NSA: Dane osobowe z CV przetwarzane legalnie przez pośrednika
- zleceniobiorca, który przyjmuje CV w imieniu administratora nie ma obowiązku podawać adresu i innych danych kontaktowych firmy zlecającej usługę, a IOD nie ma uprawnień, aby skontrolować bazę danych spółki, która zlecenie przyjęła – orzekł NSA
- skarżący wysłał do firmy pośredniczącej w zatrudnieniu swoje CV i list motywacyjny on-line jako odpowiedź na ogłoszenie o pracę – obok warunków, które musi spełniać kandydat, nie podano o jakie przedsiębiorstwo chodzi
- skarżący zwrócił się do spółki, której przesłał CV z pytaniem, kto miał być pracodawcą i kto przetwarza jego dane osobowe – spółka odpowiedziała, że posiada jego dane, gdyż mężczyzna wcześniej składał CV, ale w tym wypadku go nie zarejestrowała – ogłoszenie należało do tzw. ukrytych i miejsce pracy oraz stanowisko nie było znane
- na odmowę udostępnienia informacji skarżący poskarżył się GIODO (obecnie UODO) – organ oświadczył jednak, że spółka nie ma obowiązku podawać szczegółów oferty dlatego, że pełniła rolę zleceniobiorcy, ale nie jest administratorem danych
- sprawa ostatecznie trafiła przed NSA – NSA oddalił skargę i wskazał, że rację miał GIODO i od zleceniobiorcy nie można żądać wypełniania takich obowiązków jak od administratora danych, a wydruki komputerowe, które miały świadczyć o wysłanym CV i liście motywacyjnym nie dowodzą, że skarżący aplikował w celu otrzymania stanowiska
Źródło: https://www.prawo.pl/kadry/dane-osobowe-z-cv-przetwarzane-legalnie-przez-posrednika-wyrok,470054.html , wyrok NSA z dnia 5 września 2019 r. sygn. akt I OSK 2149/17
Sprawozdanie z działalności Kościelnego IOD
- Kościelny Inspektor Ochrony Danych opublikował sprawozdanie ze swojej działalności za okres od 2 maja 2018 r. do 6 czerwca 2019 r.
- w tym czasie Kościelny IOD m.in.:
- przeprowadził sześć postępowań wyjaśniających dotyczących przetwarzania danych osobowych, o których to sprawach powziął informację ze środków społecznego przekazu,
- zakończył procedowanie ośmiu postępowań w sprawach rozpoczętych w wyniku zgłoszenia naruszenia ochrony danych,
- przeprowadził samodzielnie lub we współpracy z innymi specjalistami z ochrony danych ponad pięćdziesiąt szkoleń, wykładów i prelekcji,
- w ramach doradzania administratorom danych i podmiotom przetwarzającym w Kościele w zakresie ochrony danych osobowych wydał ponad dwieście pięćdziesiąt indywidualnych interpretacji,
Pobierz plik PDF z prezentacją
RODO aktualności z dnia 09.09.2019 Pobierz
Pobierz plik PDF z prezentacją
RODO aktualności z dnia 16.09.2019 Pobierz
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.