RODO aktualności – 24.09.2019

• od początku obowiązywania RODO do 13 sierpnia 2019 r. zostało przeprowadzonych 113 kontroli w zakresie przestrzegania przepisów o ochronie danych osobowych – wynika z danych udostępnionych w trybie dostępu do informacji publicznej przez Prezesa UODO
• w ramach sektora prywatnego skontrolowano 28 podmiotów – 19 spółek, 3 jednoosobowe działalności gospodarcze, 2 stowarzyszenia, jedną spółdzielnię, jedną spółdzielnię mieszkaniową, jedną wspólnotę mieszkaniową oraz jeden serwis internetowy
• wszczęto 7 postępowań administracyjnych w sprawie naruszenia przepisów, co stanowi tylko 25% ogólnej liczby kontroli w sektorze prywatnym
• w ramach pozostałych sektorów skontrolowano 85 podmiotów, przy czym wszczęto 13 postępowań administracyjnych

Źródło: https://prawo.gazetaprawna.pl/artykuly/1428337,puodo-rodo-ochrona-danych-osobowych.html

• dziennikarz TVN skontaktował się z jedną z osób, które oferowały w Internecie sprzedaż danych osobowych
• kobieta zgodziła się na wysłanie próbki bazy zawierającej aż 26 tys. rekordów – były w niej między innymi: imiona, nazwiska, adresy, nr pesel, nr rachunków bankowych, informacje o saldach na rachunkach, zaciągniętych kredytach klientów jednego z komercyjnych banków w Polsce
• na spotkaniu okazało się, że kobieta może sprzedać więcej danych, a mianowicie 650 tys. za 400 zł
• kobieta przyznała, że 6 lat temu pracowała w banku jako szefowa działu telemarketingu i tę bazę wyniosła, a teraz aktualizuje ją na bieżąco, poprzez swoich przyjaciół, których ma w banku – baza w 80% była aktualna
• baza, którą zakupił dziennikarz pozwoliła mu na nabycie telefonu w jednej z sieci komórkowej (zrobił to w porozumieniu z osobą, której danych zamierzał użyć)

Źródło: https://dziendobry.tvn.pl/a/czym-jest-ochrona-danych-osobowych-w-firmie

• platforma wyciąga wnioski po Cambridge Analytica
• Popełniliśmy błędy, wyciągnęliśmy wnioski, a kary zaakceptowaliśmy jako część porozumienia mówi Jakub Turowski, odpowiedzialny w Facebooku za politykę publiczną w Polsce i krajach bałtyckich
• Turowski wskazuje, że zgodnie z nowymi zasadami, wszyscy reklamodawcy, którzy chcą publikować reklamy polityczne muszą przedstawić dokumenty niezbędne dla weryfikacji ich tożsamości oraz potwierdzenia lokalizacji w danym kraju – ma to ma zapobiec publikacji reklam i ogłoszeń wyborczych przez zagraniczne podmioty, które próbują ingerować w integralność wyborów
• reklamy polityczne na Facebooku oraz Instagramie muszą być wyraźnie oznaczone oraz uwzględniać zastrzeżenie z informacją o tym, przez kogo zostały opłacone

Źródło: https://www.cyberdefence24.pl/zagrozenia/facebook-gotowy-na-wybory-parlamentarne-w-polsce-platforma-wyciaga-wnioski-po-cambridge-analytica-wywiad

• KRS w wyjaśnieniach przesłanych do Prezesa UODO pisze, że nie stwierdziła u siebie naruszenia ochrony danych osobowych – to odpowiedź na pytania dotyczące doniesień, że niektórzy sędziowie KRS byli członkami grupy na jednym z komunikatorów internetowych organizującej akcje dyskredytowania wybranych sędziów
• KRS zapewnia, że przetwarzane dane są przetwarzane zgodnie z najwyższymi standardami
• w swojej odpowiedzi KRS wskazuje, że dane teleadresowe (dane bliżej nieokreślonej grupy sędziów, członków ich rodzin oraz osób im bliskich), o których mowa w mediach są dostępne dla wielu podmiotów i dotyczą sędziów rozpoznawalnych w środowisku oraz udzielających się publicznie
• KRS wskazuje, że ww. kategorie danych nie są aktualizowane, co w kontekście ich aktualności podaje w wątpliwość możliwość ich wykorzystania w sposób opisany przez media

Źródło: https://www.tvn24.pl/wiadomosci-z-kraju,3/hejt-wobec-sedziow-krs-nie-stwierdza-naruszenia-ochrony-danych-osobowych,967302.html

• 419 mln numerów telefonów powiązanych z kontami użytkowników Facebooka znaleziono na niezabezpieczonym serwerze – większość numerów (133 mln) pochodziło z USA, 18 mln z Wielkiej Brytanii i ponad 50 mln z Wietnamu
• niektóre rekordy w niezabezpieczonych bazach danych zawierały również inne dane, takie jak nazwiska użytkowników, ich płeć oraz kraj, z jakiego korzystają z Facebooka
• przedstawiciel Facebooka odniósł się do sprawy informując, że dane musiały zostać pobrane z Facebooka zanim wprowadził on ograniczenie widoczności numerów telefonów, czyli przed kwietniem ubiegłego roku
• stwierdził również, że firma nie ma informacji co do tego, by w wyniku incydentu zostało naruszone bezpieczeństwo kont użytkowników serwisu

Źródło: https://businessinsider.com.pl/technologie/nowe-technologie/wyciek-numerow-telefonow-uzytkownikow-facebooka/r41mm35

• brytyjskie centrum medyczne, zajmujące się leczeniem dysforii płciowej omyłkowo ujawniło dane dotyczące blisko 2000 osób zapisanych na swojej liście mailingowej
• Charing Cross Gender Identity Clinic wysłała do pacjentów wiadomość e-mail na temat konkursu artystycznego umieszczając wszystkich w polu „do wiadomości”
• klinika wysłała dwa osobne e-maile, z których każdy zawierał około 900 odbiorców
• w sprawie prowadzone jest dochodzenie, a incydent został zgłoszony do brytyjskiego organu ochrony danych (ICO)
• rzeczniczka ICO potwierdziła, że urząd został poinformowany o incydencie, a dostarczone informacje są analizowane

Źródło: https://www.bbc.com/news/technology-49611948

• Google miał potajemnie przekazywać dane osobowe użytkowników reklamodawcom i używał do tego ukrytych stron internetowych
• tak twierdzi rywalizujący z koncernem dostawca usług cyfrowych
• sprawą zajmie się teraz irlandzki organ ds. ochrony danych osobowych, w którego jurysdykcji znajduje się działalność amerykańskiego koncernu w Europie
• strona, którą odnalazł przedstawiciel Brave, nadała mu identyfikator pochodzący od Google’a rejestrujący lokalizację i czas wizyty w witrynie – według niego dane te mogą pozwolić na połączenie profilu konkretnej osoby z danymi zgromadzonymi przez inne firmy celem wpisania do grupy docelowej dla emisji reklam

Żródło: https://businessinsider.com.pl/technologie/nowe-technologie/google-i-przekazywanie-danych-osobowych-reklamodawcom/442plvd

• Centralne Biuro Antykorupcyjne nie zakupiło żadnego systemu masowej inwigilacji Polaków – poinformował wydział komunikacji społecznej CBA
• CBA odniosło się w ten sposób do doniesień jakoby służby specjalne kupiły system Pegasus
• Pegasus to program stworzony do walki z terroryzmem, jeżeli telefon zostanie przez niego zainfekowany, to program uzyskuje dostęp do całej zawartości urządzenia, łącznie z nagraniami, pocztą, czy treścią rozmów, które prowadzimy w komunikatorach
• Pegasus może też przejąć kontrolę nad głośnikiem i kamerą, przez co pozwala na bieżąco podsłuchiwać rozmowy i śledzić obraz z najbliższego otoczenia
• zaletą programu jest to, że jest on bardzo trudny do wykrycia, a przy jakiejkolwiek próbie namierzenia znika i zaciera po sobie elektroniczne ślady

Żródło: https://www.rmf24.pl/fakty/polska/news-czy-cba-inwigiluje-polakow-przez-pegasusa-jest-oswiadczenie,nId,3185418

• zdaniem Prezesa UODO art. 112b ustawy Prawo bankowe nie pozwala bankom wykonywać kserokopii i skanów dowodów osobistych klientów, żeby np. założyć konto bankowe czy zbadać zdolność kredytową klienta – wystarczy samo spisanie danych
• sporządzenie kopii dowodów tożsamości jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów rangi ustawy
• podstawę do sporządzania kopii stanowią przepisy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi z tym, że jest to możliwe w określonych przypadkach, a sama możliwość nie jest równoznaczna z takim obowiązkiem po stronie banków
• za każdym razem, gdy bank na podstawie art. 34 ww. ustawy zamierza skopiować dokument, to decyzje o tym powinien poprzedzić analizą i zweryfikowaniem czy rzeczywiście taka czynność jest niezbędna
• opinia Prezesa UODO spotkała się z krytyką ekspertów, w tym dr Macieja Kaweckiego odpowiedzialnego za reformę dostosowującą polskie akty prawne do RODO
• zdaniem dr Kaweckiego każdy administrator ma obowiązek dokonać oceny czy zakres gromadzonych danych jest mu absolutnie niezbędny do celu, a jeżeli jest to w stanie wykazać to ma prawo przetwarzać dane w oparciu o jedną z przesłanek legalizujących wymienionych w RODO i nie musi szukać do tego przepisu rangi ustawowej i nikt nie może tego prawa go pozbawić

Źródło: https://uodo.gov.pl/pl/138/1182

• szpital w Hadze, który w lipcu 2019 r. otrzymał karę €460.000 (1.972.710 zł) za niewłaściwe uregulowanie dostępu do danych osobowych pacjentów, doświadczył kolejnego incydentu ochrony danych osobowych
• dokumenty, zawierające informacje o osobach przebywających w szpitalu (imiona, nazwiska, daty urodzenia, dolegliwości oraz historie choroby i przyjmowanych leków) były wykorzystywane przez pracowników jako… listy zakupów
• pracownicy używali dokumentacji medycznej jako miejsce do zapisywania prywatnych notatek i wynosili to poza teren ośrodka
• zdarzenie wyszło na jaw, gdy jeden z klientów supermarketu, znalazł pozostawione „listy” w wózku na zakupu
• rzecznik szpitala potwierdza, że rozpoczęło się w tej sprawie dochodzenie, a incydent zgłoszono do holenderskiego organu ochrony danych osobowych
• o incydencie mają również zostać poinformowani pacjenci (obecni i byli) szpitala, których dane zostały ujawnione

Źródło: https://www.politykazdrowotna.com/49336,naruszenie-rodo-w-szpitalu-uzyli-dokumentacji-medycznej-jako-list-zakupowych

• coraz więcej osób zaczyna zadawać pytania dotyczące przetwarzania danych osobowych w kontekście obsługi PPK
• praktyczne wskazówki w tym zakresie daje Grant Thorton
• zdaniem GT w procesie zarządzania PPK podmiot zatrudniający ma status administratora danych osobowych, tj. status podmiotu decydującego o celach i środkach przetwarzania danych osobowych – wziąwszy pod uwagę poszczególne przepisy ustawy o PPK
• instytucje finansowe obsługujące PPK także są odrębnymi administratorami danych, realizując swoje obowiązki ustawowe określone w ustawie o PPK, czy też w ustawie o funduszach inwestycyjnych
• podmioty zatrudniające mogą zostać obarczone dodatkowymi obowiązkami, w związku z przetwarzaniem danych, w zależności od kształtu umowy, jaką zawrą z instytucją zarządzającą, czy też prowadzącą PPK, a mogą to być np. realizacja obowiązku informacyjnego w imieniu instytucji lub rola procesora w stosunku do danych osobowych uczestników PPK (która może zostać narzucona przez instytucję finansową na podmiot zatrudniający)

Źródło: https://grantthornton.pl/publikacja/rodo-a-pracownicze-plany-kapitalowe/

• Komisja Europejska planuje nowe prawo dot. systemów rozpoznawania twarzy używanych w monitoringu oraz rozważa wprowadzenie ograniczeń dla technologii i udzielenie obywatelom prawa do zarządzania ich danymi
• celem nowych przepisów będzie ograniczenie masowego użycia technologii rozpoznawania twarzy przez firmy i władze publiczne
• według inicjatywy obywatele UE mają uzyskać prawo do informacji o wykorzystywaniu danych zebranych za pomocą tej technologii identyfikacyjnej.
• wyjątki od tej reguły zostaną dodatkowo ściśle ograniczone, by zapewnić prawidłowe użycie systemów
• plan ograniczenia rozpoznawania twarzy jest elementem szerszej strategii prawodawczej UE, której celem jest stworzenie zapisów określających etyczne wykorzystywanie algorytmów sztucznej inteligencji

Źródło: https://www.cyberdefence24.pl/nato/systemy-rozpoznawania-twarzy-pod-lupe-komisji-europejskiej-mozliwe-ograniczenia-dla-firm-i-wladz-publicznych

• NSA orzekł, że klient, który nie zgodził się na przetwarzanie danych osobowych na potrzeby marketingu bezpośredniego (bądź cofnął taką zgodę), po zalogowaniu się na swoje konto u danego przedsiębiorcy nie powinien widzieć żadnych reklam i to nawet wtedy, gdy są one niesprofilowane, a więc nie są adresowane konkretnie do niego, ale do ogółu klientów
• wyrok, w którym NSA rozpatrywał skargę na decyzję organu nadzorczego nakazującą zaprzestanie przetwarzania danych abonenta kablówki, zapadł jeszcze na kanwie poprzednio obowiązującej ustawy o ochronie danych osobowych
• zdaniem prawników nadal jest jednak ważny – RODO niewiele bowiem zmieniło w zakresie skutków sprzeciwu osoby fizycznej wobec przetwarzania danych osobowych w celach marketingu bezpośredniego
• eksperci są podzieleni – niektórzy krytykują wyrok wskazując, że skoro baner reklamowy w portalu usługodawcy był jednakowy dla wszystkich jego użytkowników – zarówno przed, jak i po zalogowaniu się – to trudno mówić, że portal przetwarzał dane osobowe klienta w celach marketingowych

Źródło: https://biznes.gazetaprawna.pl/artykuly/1429438,wyswietlanie-reklam-sprzeciw-klienta-cele-marketingowe-dane-osobowe-nsa.html

• w ostatnim czasie do użytkowników poczty Onet kierowane były fałszywe wiadomości, w tym m.in. sugerujące np. możliwość rychłego zawieszenia lub usunięcia konta jeśli użytkownik nie zaloguje się na podlinkowanej, fałszywej stronie
• Onet ostrzega przed cyberprzestępcami i przypomina, że wiadomości pochodzące od Onet Polska oznaczone są ikona tarczy co oznacza, iż nadawca należy do grona nadawców zaufanych

Źródło: poczta Onet

• Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie względem PZU Pomoc, odpowiedzialnego za akcję „Wakacje z PZU Bezpieczne dziecko”
• przedmiotem postępowania są regulacje zawarte w usługa PZU dotyczące pozyskiwania zgody klientów lub potencjalnych klientów na przetwarzanie danych w celach marketingowych spółek wchodzących w skład Grupy PZU
• udzielenie ww. zgody przez rodzica lub opiekuna prawnego było warunkiem koniecznym do skorzystania z bezpłatnego ubezpieczenia dziecka
• dodatkowo przedmiotem postępowania jest kwestia informowania osób, których dane zostały pozyskane dla celów marketingowych o możliwości wycofania zgody na ich przetwarzanie w danym celu

Źródło: https://uodo.gov.pl/pl/138/1184

• dyrektorzy generalni 51 firm technologicznych podpisali list otwarty do Kongresu, prosząc o federalne prawo dotyczące prywatności, które miałoby zastąpić ciągle rosnącą liczbę przepisów o ochronie danych osobowych pojawiających się na szczeblu stanowym
• list podpisali m.in. dyrektorzy Amazon, AT&T, Dell, IBM, Qualcomm, SAP, Salesforce, Visa, Mastercard, JP Morgan Chase, State Farm i Walmart
• w liście wskazuje się m.in., że różnorodność przepisów ochrony danych, które są obecnie uchwalane w wielu stanach USA przez kilka różnych agencji amerykańskich, jest jednym z powodów, dla których poszanowanie prywatności jest w takim problemem w Stanach Zjednoczonych
• wielu obrońców prywatności uważa jednak, że firmy technologiczne tak naprawdę nie dbają o interesy konsumentów, ale o własne i próbują agregować wszelkie przepisy dotyczące prywatności pod jednym dachem, gdzie grupy lobbystów mogą złagodzić wszelkie znaczące zabezpieczenia danych, które mogą mieć wpływ na wyniki finansowe

Źródło: https://www.zdnet.com/article/51-tech-ceos-send-open-letter-to-congress-asking-for-a-federal-data-privacy-law/

• MRPiPS zgadza się z UODO, że pracodawcy nie mają prawa samodzielnie prowadzić wyrywkowych ani prewencyjnych kontroli trzeźwości załogi
• MRPiPS wskazało, że poza sytuacją, w której przepisy prawa wprost regulują możliwość przeprowadzenia badania stanu trzeźwości pracownika, pozyskiwanie takich danych jest dopuszczalne na podstawie jego zgody wyrażonej zgodnie z art. 221b § 1 KP
• idąc za stanowiskiem UODO resort przyjął, że w świetle motywu 35 RODO stan nietrzeźwości pracownika, jako jego „stan fizjologiczny”, należy zaliczyć do danych dotyczących zdrowia, które na gruncie prawa pracy mogą być przetwarzane na podstawie zgody wyrażonej zgodnie z 221b § 1 KP czyli takiej, której inicjatorem jest pracownik
• art. 17 ustawy o wychowaniu w trzeźwości to przepis dający uprawnienie do przeprowadzenia kontroli wyłącznie przez uprawniony organ i to w przypadku kiedy zachodzi uzasadnione podejrzenie, że pracownik stawił się do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy – resort przyznaje, że pracodawca nie zawsze jest w stanie wykazać „uzasadnione podejrzenie” w rozumieniu tego przepisu i nie może wówczas zweryfikować stanu trzeźwości

Źródło: https://www.rp.pl/Firma/309159978-Szef-nie-zmusi-do-sprawdzenia-trzezwosci.html

• miliony danych pacjentów z 50 krajów (najwięcej z USA) leżały na ogólnie dostępnych serwerach – poinformowała rozgłośnia Bayerischer Rundfunk (BR)
• w ponad połowie przypadków zbiory te zawierają także zdjęcia medyczne, takie jak screening mamograficzny, prześwietlenia kręgosłupa i zdjęcia rentgenowskie
• dane te były dostępne jeszcze w ubiegłym tygodniu i pochodziły z pięciu różnych lokalizacji serwerów – najwięcej z okolicy Ingolstadt w Bawarii i Kempen w Nadrenii Północnej-Westfalii
• najczęściej chodziło o zdjęcia wykonanie metodą rezonansu magnetycznego -w wykorzystywanych do tego urządzeniach powstają dwu- i trójwymiarowe zdjęcia wnętrza ciała a obrazy są przekazywane z urządzeń na specjalne serwery
• na te same serwery przekazywane są także zdjęcia rentgenowskie i ujęcia z tomografii komputerowej

Źródło: https://www.politykazdrowotna.com/49336,naruszenie-rodo-w-szpitalu-uzyli-dokumentacji-medycznej-jako-list-zakupowych

• przepisy RODO i ich część dotycząca nagrywania obrazu, dotyczą również bardzo popularnych ostatnio dronów
• z uwagi na to, iż drony mogą rejestrować dźwięk i obraz, a także zapisywać informacje o lokalizacji – zbierają one dane osobowe
• dziś praktycznie nie spotyka się już dronów bez wbudowanej na stałe lub dołączanej kamery – różnicę w podejściu do przepisów stanowi jednak zarówno sposób użytkowania drona, jak i dalsze wykorzystanie zarejestrowanych danych
• przepisy RODO nie znajdą zastosowania gdy sprzętu używamy dla własnych potrzeb, a zarejestrowane materiały nie są rozpowszechniane dalej, np. publikowane w internecie
• jeśli chcemy się pochwalić światu pięknymi ujęciami nagranymi za pomocą drona musimy zadbać o to, by na zdjęciach lub filmach, nagrane przypadkowo osoby nie były przedstawione w sposób umożliwiający ich identyfikację lub musimy posiadać zgodę na wykorzystanie ich wizerunku

Źródło: https://grantthornton.pl/publikacja/rodo-a-pracownicze-plany-kapitalowe/

• komisja badająca stołeczną reprywatyzację działa na podstawie przepisów, które nie uwzględniają RODO – twierdzi Jan Nowak, Prezes Urzędu Ochrony Danych Osobowych
• Prezes UODO zastrzega wprawdzie, że Komisja działa „w interesie publicznym”, co pozwala na pewne wyjątki w stosowaniu RODO, ale i tak ustawę o Komisji należałoby poprawić
• stanowisko takie UODO przedstawił w odpowiedzi na wątpliwości RPO, który już rok temu, w wystąpieniu do urzędu zwracał uwagę, że komisja dostała pełny dostęp do informacji z KRS, KRK oraz centralnej bazy danych ksiąg wieczystych, a to oznacza możliwość przetwarzania tych danych bez wiedzy i zgody osób, których one dotyczą
• Prezes UODO przyznał, że analiza unormowań ustawy prowadzi do wniosku, że przepisy tego aktu prawnego nie zostały dostosowane do uregulowań RODO, a to dlatego, że kiedy przepisy polskiego prawa były dostosowywane do europejskich zasad ochrony danych osobowych, to ustawa o komisji nie znalazła się w ogóle na liście ustaw do poprawy

Źródło: https://www.prawo.pl/prawo/rodo-komisja-reprywatyzacyjna-ma-niezgodny-z-prawem-dostep-do,474007.html

• z badania Mastercard wynika, że wciąż niemały odsetek polskich konsumentów ma stosunkowo bierną postawę wobec zagrożeń cyfrowych
• bierność szczególnie widać w deklarowanych postawach względem bezpieczeństwa danych online, które są związane z ich przechowywaniem i udostępnianiem – niemal połowa ankietowanych (44%) przyznaje, że niewiele wie na ten temat, a co piąty respondent (18%) nie jest nawet zainteresowany poszerzeniem wiedzy w tym zakresie
• ankietowani, jeśli chcą pogłębić wiedzę w tym obszarze, najczęściej korzystają z internetu (60%), 35% z nich poszukałoby natomiast pomocy u specjalisty z zakresu bezpieczeństwa, zaś co czwarty (25%) w swoim banku
• ponad 1/3 respondentów (36%) zapisuje swoje hasła w notatniku lub w cyfrowej formie
• niemal co czwarty ankietowany (23%) zmienia swoje hasła rzadziej niż raz do roku lub nie robi tego nigdy, zaś 15% respondentów robi to dopiero wtedy, kiedy zażąda tego usługodawca
• ponad 1/5 osób (22%) podaje swoje hasła najbliższym osobom z grona rodziny i znajomych

Źródło: https://interaktywnie.com/biznes/artykuly/biznes/ochrona-danych-osobowych-online-ile-tak-naprawde-wiemy-na-ten-temat-259276

• samorząd doradców przygotowuje korporacyjny kodeks dotyczący procedur związanych z ochroną danych osobowych
• kodeks ma pomóc doradcom podatkowym zorientować się, jakie obowiązki nakładają na nich przepisy, zwłaszcza na styku regulacji dotyczących m.in. ochrony tajemnicy zawodowej doradców i obowiązku raportowania schematów podatkowych
• kodeks postępowania uszczegółowi i doprecyzuje postanowienia RODO w zakresie przetwarzania danych osobowych przez doradców podatkowych – w kodeksie znajdą się między innymi wytyczne w zakresie przeprowadzania oceny ryzyka przetwarzania danych osobowych w działalności doradcy podatkowego, zasad ochrony i zabezpieczania danych osobowych w pracy kancelarii, uporządkowane mają zostać również również kwestie dotyczące przekazywania danych osobowych

Źródło: https://www.prawo.pl/podatki/kodeks-rodo-dla-doradcow-podatkowych,467699.html

• na ogólnodostępnym serwerze chmurowym znalazły się dane niemal wszystkich obywateli Ekwadoru
• dostęp do serwera został już ograniczony przez krajowy zespół ds. bezpieczeństwa i reagowania na incydenty komputerowe
• ogólnie dostępna baza danych zawierała nazwiska, informacje finansowe i dane osobiste ok. 17 milionów osób, w tym 6.7 miliona dzieci
• znalezione dane obejmowały także m.in. osobiste numery identyfikacyjne, numery telefonów, dane stanu cywilnego, informacje o wykształceniu i przebiegu pracy zawodowej
• baza zawierała też dane dot. kont klientów jednego z największych banków Ekwadoru oraz dokumenty podatkowe firm
• ujawnione dane mogą być bardzo cenne dla miejscowych gangów przestępczych, gdyż zawierają informacje o bogatych obywatelach Ekwadoru, jak ich adresy domowe, czy mają dzieci, jakimi samochodami i o jakich numerach rejestracyjnych jeżdżą

Źródło: https://businessinsider.com.pl/technologie/nowe-technologie/wyciekly-dane-obywateli-ekwadoru/7svecyr

• zleceniobiorca, który przyjmuje CV w imieniu administratora nie ma obowiązku podawać adresu i innych danych kontaktowych firmy zlecającej usługę, a IOD nie ma uprawnień, aby skontrolować bazę danych spółki, która zlecenie przyjęła – orzekł NSA
• skarżący wysłał do firmy pośredniczącej w zatrudnieniu swoje CV i list motywacyjny on-line jako odpowiedź na ogłoszenie o pracę – obok warunków, które musi spełniać kandydat, nie podano o jakie przedsiębiorstwo chodzi
• skarżący zwrócił się do spółki, której przesłał CV z pytaniem, kto miał być pracodawcą i kto przetwarza jego dane osobowe – spółka odpowiedziała, że posiada jego dane, gdyż mężczyzna wcześniej składał CV, ale w tym wypadku go nie zarejestrowała – ogłoszenie należało do tzw. ukrytych i miejsce pracy oraz stanowisko nie było znane
• na odmowę udostępnienia informacji skarżący poskarżył się GIODO (obecnie UODO) – organ oświadczył jednak, że spółka nie ma obowiązku podawać szczegółów oferty dlatego, że pełniła rolę zleceniobiorcy, ale nie jest administratorem danych
• sprawa ostatecznie trafiła przed NSA – NSA oddalił skargę i wskazał, że rację miał GIODO i od zleceniobiorcy nie można żądać wypełniania takich obowiązków jak od administratora danych, a wydruki komputerowe, które miały świadczyć o wysłanym CV i liście motywacyjnym nie dowodzą, że skarżący aplikował w celu otrzymania stanowiska

Źródło: https://www.prawo.pl/kadry/dane-osobowe-z-cv-przetwarzane-legalnie-przez-posrednika-wyrok,470054.html , wyrok NSA z dnia 5 września 2019 r. sygn. akt I OSK 2149/17

• Kościelny Inspektor Ochrony Danych opublikował sprawozdanie ze swojej działalności za okres od 2 maja 2018 r. do 6 czerwca 2019 r.
• w tym czasie Kościelny IOD m.in.:
  • przeprowadził sześć postępowań wyjaśniających dotyczących przetwarzania danych osobowych, o których to sprawach powziął informację ze środków społecznego przekazu,
  • zakończył procedowanie ośmiu postępowań w sprawach rozpoczętych w wyniku zgłoszenia naruszenia ochrony danych,
  • przeprowadził samodzielnie lub we współpracy z innymi specjalistami z ochrony danych ponad pięćdziesiąt szkoleń, wykładów i prelekcji,
  • w ramach doradzania administratorom danych i podmiotom przetwarzającym w Kościele w zakresie ochrony danych osobowych wydał ponad dwieście pięćdziesiąt indywidualnych interpretacji,

Źródło: https://episkopat.pl/sprawozdanie-z-dzialalnosci-koscielnego-inspektora-ochrony-danych-za-okres-od-2-maja-2018-r-do-6-czerwca-2019-r/