RODO aktualności – 17.11.2020

Jakie zlecenia przyjęła EROD w sprawie transferu danych do państw trzecich? Jaka jest Pierwsza decyzja EROD na podstawie art. 65 RODO? Za co ICO nałożył wielomilionową karę na TicketmasterUK Limited? TSUE: kto ma zaznaczać okienko ze zgodą na przetwarzanie danych? EROD, RPO i UODO: czy pracodawca może ujawniać dane osobowe zakażonego pracownika? Co znajdziesz w najnowszym numerze newslettera UODO? Czy praca IOD może być kontrolowana przez AD? Czy błędna interpretacja przepisów RODO ogranicza liczbę przeszczepów w Polsce? Jak w zgodzie z RODO prowadzić monitoring prywatny monitoring części wspólnych? Dlaczego wyciekły dane osobowe miliona Szwedów? Jaka kara została nałożona na szpital w Cork? Jakie dane wysyła reCAPTCHA do Google? Co UODO uważa o prywatnym monitoringu?

MULTIMEDIA

#RODOA [09.11.2020]
#RODOA [16.11.2020]
Obejrzyj na YouTube
Odsłuchaj na: Spotify, Google Podcasts, RSS
Pobierz PDFPobierz PDF

EROD przyjęła zalecenia w sprawie środków uzupełniających wz. z Schrems II (I)

  • Europejska Rada Ochrony Danych przyjęła zalecenia w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE, jak również zalecenia w sprawie niezbędnych gwarancji europejskich dla środków nadzoru
  • oba dokumenty, przyjęte przez EROD 10 listopada 2020 r. podczas 41. posiedzenia plenarnego, powstały w konsekwencji wyroku TSUE w sprawie Schrems II
  • zalecenia mają pomóc administratorom i podmiotom przetwarzającym dane, działającym jako podmioty przekazujące dane, w ich obowiązku określenia i wdrożenia odpowiednich środków uzupełniających, jeżeli są one niezbędne do zapewnienia merytorycznie równoważnego stopnia ochrony danych przekazywanych do państw trzecich
  • zalecenia zawierają plan działań, jakie muszą podjąć podmioty przekazujące dane, aby ustalić, czy muszą wdrożyć środki uzupełniające, żeby móc przesyłać dane poza EOG zgodnie z prawem UE, oraz pomóc im określić te, które mogłyby być skuteczne

EROD przyjęła zalecenia w sprawie środków uzupełniających wz. z Schrems II (II)

Źródło: https://uodo.gov.pl/pl/138/1768 https://edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-session-edpb-adopts-recommendations_en https://www.prawo.pl/biznes/wytyczne-erod-w-sprawie-przekazywania-danych-do-panstw-trzecich,504456.html

Pierwsza decyzja EROD na podstawie art. 65 RODO

  • podczas 41. posiedzenia plenarnego EROD większością 2/3 głosów swoich członków przyjęła pierwszą decyzję rozstrzygającą spór na podstawie art. 65 RODO, dotyczącą spółki Twitter International Company
  • wiążąca decyzja ma na celu rozwiązanie sporu powstałego w następstwie projektu decyzji irlandzkiego organu nadzorczego, będącego wiodącym organem nadzorczym w sprawie, dotyczącego spółki Twitter International Company, a następnie mających znaczenie dla sprawy i uzasadnionych sprzeciwów zgłoszonych przez szereg organów, których sprawa dotyczy
  • irlandzki organ nadzorczy sporządził projekt decyzji w następstwie przeprowadzonego z własnej inicjatywy postępowania w sprawie Twitter International Company, po tym jak spółka zgłosiła mu naruszenie ochrony danych osobowych
  • organy nadzorcze, których sprawa dotyczy, zgłosiły sprzeciwy, między innymi, co do naruszeń RODO zidentyfikowanych przez wiodący organ nadzorczy, roli spółki Twitter International Company jako administratora danych oraz kwantyfikacji kary
  • w związku z tym, że wiodący organ nadzorczy odrzucił sprzeciwy i/lub uznał je za niemające znaczenia dla sprawy lub nieuzasadnione, zgodnie z art. 60 ust. 4 RODO przekazał sprawę EROD, inicjując tym samym procedurę rozstrzygania sporów
  • w dniu 9 listopada 2020 r. EROD przyjęła wiążącą decyzję i wkrótce notyfikuje ją irlandzkiemu organowi nadzorczemu – irlandzki organ nadzorczy przyjmie ostateczną decyzję na podstawie decyzji EROD

Źródło: https://uodo.gov.pl/pl/138/1762 https://edpb.europa.eu/news/news/2020/edpb-adopts-first-art-65-decision_en

ICO nakłada na Ticketmaster UK Limited karę w wysokości 1,25 mln funtów (I)

  • Biuro Komisarza ds. Informacji (ICO) nałożyło na Ticketmaster UK Limited grzywnę w wysokości 1,25 miliona funtów za niezachowanie bezpieczeństwa danych osobowych klientów
  • ICO stwierdziło, że firma nie wdrożyła odpowiednich środków bezpieczeństwa, aby zapobiec cyberatakowi na chatbota zainstalowanego na stronie płatności online
  • naruszenie danych, które obejmowało nazwiska, numery kart płatniczych, daty ważności i numery CVV, potencjalnie dotknęło 9,4 miliona klientów Ticketmaster w całej Europie, w tym 1,5 miliona w Wielkiej Brytanii
  • śledczy ustalili, że w wyniku naruszenia 60 000 kart płatniczych należących do klientów Barclays Bank padło ofiarą oszustwa, a kolejne 6 000 kart zostało zablokowanych przez Monzo Bank po podejrzeniu nieuczciwego użycia
  • ICO stwierdziło, że Ticketmaster nie:
    • nie ocenił ryzyka związane z używaniem chatbota na jego stronie płatności
    • nie zidentyfikował i zastosował odpowiednich środków bezpieczeństwa, aby wyeliminować ryzyko
    • nie zidentyfikował źródła sugerowanych nieuczciwych działań

ICO nakłada na Ticketmaster UK Limited karę w wysokości 1,25 mln funtów (II)

  • naruszenie zaczęło się w lutym 2018 roku, kiedy klienci Monzo Bank zgłosili podejrzane transakcje
  • w sumie Ticketmaster potrzebował dziewięciu tygodni od powiadomienia o możliwym oszustwie do monitorowania ruchu sieciowego za pośrednictwem strony płatności online
  • dochodzenie ICO wykazało, że decyzja Ticketmaster o umieszczeniu bota czatowego, hostowanego przez stronę trzecią, na swojej stronie płatności online umożliwiła atakującemu dostęp do danych finansowych klientów
  • chociaż naruszenie rozpoczęło się w lutym 2018 r. kara dotyczy tylko naruszenia od 25 maja 2018 r. kiedy rozpoczęto stosowanie przepisów RODO
  • chat-bot został całkowicie usunięty ze strony internetowej Ticketmaster UK Limited w dniu 23 czerwca 2018 r.
  • naruszenie miało miejsce, zanim Wielka Brytania opuściła UE, dlatego ICO przeprowadziło dochodzenie w imieniu wszystkich organów UE jako wiodący organ nadzorczy na mocy RODO

Źródło: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/11/ico-fines-ticketmaster-uk-limited-125million-for-failing-to-protect-customers-payment-details/ /

Uprzednie konsultacje? Nie w Polsce

  • żaden przedsiębiorca nie przeprowadził dotąd w Polsce obowiązkowych konsultacji przed wdrożeniem produktów czy usług, które mogą zagrażać ochronie danych
  • obowiązek przeprowadzania uprzednich konsultacji został wprowadzony przez RODO – są one powiązane z oceną skutków dla ochrony danych osobowych (DPIA)
  • Wpływają do nas nieliczne pisma zatytułowane jako „wniosek o uprzednie konsultacje”, jednak po ich analizie okazuje się, że dotyczą one wątpliwości związanych z przetwarzaniem danych osobowych w konkretnych opisanych sytuacjach – mówi Adam Sanocki, rzecznik prasowy UODO
  • portal GDPR.pl zapytał europejskie organy ochrony danych o uprzednie konsultacje i choć nie uzyskał odpowiedzi od wszystkich, to już te, które zebrał, pokazują olbrzymie dysproporcje pomiędzy poszczególnymi państwami
  • np. w mającej 5,5 mln mieszkańców Finlandii złożono 90 wniosków o uprzednie konsultacje, a w 60-milionowej Wielkiej Brytanii już tylko 10, w Chorwacji było 35 takich wniosków, w Szwecji 30, Norwegii i Słowacji po siedem, a na Łotwie i Islandii po pięć
  • dane te nie do końca muszą być miarodajne, bo liczba wniosków nie zawsze przekłada się na rzeczywiste konsultacje, gdyż podobnie jak to jest w Polsce, sam tytuł może być mylący – w Finlandii na 90 wniosków tylko 20 zakończyło się zaleceniami

Źródło: https://biznes.gazetaprawna.pl/artykuly/1495932,ochrona-danych-konsultacje-przed-wdrozeniem-produktow-czy-uslug.html

TSUE: To klient, a nie sprzedawca zaznacza okienko ze zgodą na przetwarzanie danych

  • firma nie może zaznaczać za klientów zgody na przechowywanie kopii ich dokumentów i wymagać, aby ewentualny sprzeciw wyrażali w dodatkowym oświadczeniu – uznał Trybunał Sprawiedliwości Unii Europejskiej
  • sprawa dotyczyła rumuńskiego operatora telekomunikacyjnego Orange România
  • zawierając umowy z klientami, prosił on o wyrażenie zgody na przechowywanie kopii dokumentu tożsamości – stosowna klauzula widniała w treści umowy
  • jednocześnie okienko wyboru było zaznaczane już przez sprzedawcę – co więcej, jeśli klient nie wyrażał zgody na przetwarzanie swych danych, to musiał to odnotować odręcznie na umowie
  • istotne jest przy tym również to, że bez wyrażenia zgody na zeskanowanie dokumentu i przechowywanie jego kopii umowa mogła być zawarta, a więc przetwarzanie danych nie było niezbędne do jej realizacji

Źródło: https://biznes.gazetaprawna.pl/artykuly/1496237,tsue-rodo-dane-osobowe-zgoda.html http://curia.europa.eu/juris/document/document.jsf?text=&docid=233544&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=12687107

EROD, RPO i UODO o ujawnieniu danych osobowych zakażonego pracownika (I)

  • przewodnicząca Europejskiej Rady Ochrony Danych (EROD) wydała oświadczenie odnoszące się do pandemii COVID-19 i jak wskazała, że pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne
  • w przypadkach, w których konieczne jest ujawnienie nazwiska pracownika, który zarażony jest wirusem (np. w kontekście profilaktyki), a prawo krajowe na to zezwala, pracownicy, których sprawa dotyczy, powinni zostać poinformowani z wyprzedzeniem
  • kwestia ujawniania zakażeń przez pracodawcę budzi wiele pytań, dlatego na stronie RPO ten temat kilkukrotnie spotykał się z komentarzem
  • w informacji opublikowanej na stronie w październiku podkreślono, że wiadomość, o dodatnim wyniku przekazywana jest do powiatowej stacji sanitarno-epidemiologicznej – wówczas rozpoczyna się procedura dochodzeniowa i przeprowadzany jest wywiad, a zakażony wskazuje między innymi, z kim ostatnio miał kontakt, by takie osoby można było objąć kwarantanną lub nadzorem epidemiologicznym
  • to sprawia, że już na tym etapie wielu pracowników może się dowiedzieć o zakażeniu, otrzymując tę informację od pracownika sanepidu

EROD, RPO i UODO o ujawnieniu danych osobowych zakażonego pracownika (II)

  • jeśli zaś chodzi o samego pracodawcę, to zdaniem RPO ujawnienie danych osobowych zakażonego pracownika jest możliwe zgodnie z art. 209(2) Kodeksu pracy – w przypadku wystąpienia zagrożenia dla zdrowia lub życia pracodawca ma bowiem obowiązek między innymi poinformować pracowników o tym zagrożeniu
  • UODO w odpowiedzi na pytanie zadane przez Prawo.pl wskazał z kolei, że Kodeks pracy dopuszcza przetwarzanie danych pracowników, natomiast nie reguluje kwestii ich przetwarzania (w tym ujawnienia danych zakażonego pracownika) w celu zwalczania epidemii
  • zdaniem UODO to służby sanitarne powinny wskazywać kierunki podejmowanych działań, nie pracodawcy
  • zdaniem UODO pracodawca powinien przedstawić kluczowe informacje służbom sanitarnym, a te na podstawie informacji i wiedzy epidemiologicznej podjąć właściwe decyzje i wprowadzić odpowiednie rozwiązania

Źródło: https://bezprawnik.pl/ujawnienie-danych-osobowych-zakazonego-pracownika/ https://www.prawo.pl/kadry/czy-pracodawca-moze-ujawnic-informacje-o-chorobie-covid-19,504414.html

Newsletter UODO

W najnowszym, październikowym numerze newslettera Urzędu Ochrony Danych Osobowych dla inspektorów ochrony danych znajdziemy między innymi:

MIASTO NIE MOŻE MIEĆ STAŁEGO DOSTĘPU DO BAZY DANYCH MPWIK

  • obowiązujące przepisy prawa nie dają podstaw do tego, by organy podatkowe miały stały dostęp do danych o zużyciu wody przez wszystkich klientów firmy wodociągowej

DO ORGANIZACJI PANELU OBYWATELSKIEGO NIE MOŻNA WYKORZYSTYWAĆ DANYCH Z REJESTRU WYBORCÓW

  • w opinii Prezesa UODO, gmina na potrzeby organizacji panelu obywatelskiego nie może wykorzystywać danych osobowych swoich mieszkańców, które są zawarte w rejestrze wyborców

UDZIELANIE INFORMACJI PRZEZ OŚRODEK POMOCY SPOŁECZNEJ INNYM PODMIOTOM PUBLICZNYM

  • podstawa prawna do przetwarzania, w tym udostępniania, danych osobowych przez podmioty publiczne powinna wynikać z przepisów prawa i być związana z realizowanymi przez nie zadaniami

Źródło: Newsletter UODO dla IOD, archiwum Newslettera https://uodo.gov.pl/p/archiwum-newslettera-dla-iod

Czy praca IOD może być kontrolowana?

  • UODO odpowiedział na pytanie czy działania podejmowane przez IOD w związku z wykonywaniem przez niego jego zadań mogą podlegać kontroli przeprowadzanej przez administratora
  • UODO wskazuje, że niezależność IOD jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania jego zadań, a tym samym realnego zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa
  • jednocześnie to administrator ponosi pełną odpowiedzialność za zgodne z przepisami ochrony danych osobowych przetwarzanie danych
  • inspektor ochrony danych podlega bezpośrednio administratorowi i w związku z tym sposób wykonywania funkcji przez IOD musi podlegać jego kontroli, przy czym może to być kontrola wewnętrzna lub zlecona przez administratora podmiotowi zewnętrznemu – w jednym i drugim przypadku taka kontrola (audyt) musi uwzględniać niezależne funkcjonowanie (gwarancje niezależności) IOD, tak wyraźnie podkreślane w RODO
  • dotyczy to również wdrożonych w danej organizacji systemów wewnętrznej kontroli (systemy oceny zgodności) – systemy te nie mogą w jakikolwiek sposób ograniczać możliwości wykonywania przez IOD jego zadań, w tym dokonywania kompleksowej, bieżącej oceny zgodności przetwarzania danych osobowych z przepisami prawa

Źródło: https://uodo.gov.pl/pl/223/1765

Błędna interpretacja przepisów o RODO ogranicza liczbę przeszczepów w Polsce

  • szpitale i policja odmawiają podawania danych kontaktowych do rodzin osób zmarłych – twierdzą, że nie ma ku temu podstaw
  • przepisy transplantacyjne pozwalają pobrać do przeszczepu tkanki i narządy od osoby zmarłej, jeśli nie wyraziła ona sprzeciwu – w praktyce oznacza to konieczność skontaktowania się z jej bliskimi, żeby sprawdzić, czy sprzeciw taki nie został wyrażony
  • instytucje zajmujące się pozyskiwaniem tkanek i narządów zaczęły mieć kłopot z uzyskaniem namiarów na członków rodziny osób zmarłych – powodem ma być RODO
  • Szpitale, z którymi mamy od lat zawarte umowy, nie robią nam problemów z podawaniem tych danych. Natomiast te, z którymi próbujemy podpisać nowe umowy, odmawiają, zasłaniając się właśnie RODO – mówi dyrektor Banku Tkanek Oka
  • UODO uznał jednak, że istnieje podstawa prawna do przekazania BTO danych rodzin potencjalnych dawców
  • (…) przetwarzanie danych kontaktowych rodzin osób zmarłych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, czyli w oparciu o przesłankę z art. 6 ust. 1 lit. e RODO, ponieważ wiąże się z wykonywaniem czynności autoryzacji pobrania, który wymaga potwierdzenia braku sprzeciwu osoby zmarłej na pobranie komórek, tkanek i narządów (…) – napisał UODO w przekazanej redakcji DGP opinii

Źródło: https://forsal.pl/lifestyle/technologie/artykuly/7994481,czesc-szpitali-i-policja-odmawia-podawania-kontaktow-do-rodzin-zmarlych.html

Prywatny monitoring części wspólnych a przetwarzanie danych osobowych (1)

  • sprawa zaczęła się od wniesionej przez mężczyznę skargi do PUODO na sąsiadkę, która zamontowała na klatce schodowej i przed blokiem kamery rejestrujące obraz
  • zdaniem skarżącego samowolny, bez zgodny wspólnoty prywatny monitoring oznaczał bezprawne przetwarzanie jego danych osobowych (imienia i nazwiska, adresu zamieszkania oraz wizerunku)
  • w toku postępowania sąsiadka wyjaśniła, że w budynku posiada 22 lokale, natomiast 6 mieszkań należy do innych osób – monitoring ma charakter prywatny, nie ma związku z prowadzoną działalnością gospodarczą lub zawodową, został zamontowany za aprobatą współwłaścicieli dysponujących większością udziałów w nieruchomości, a jego celem jest zwiększenie bezpieczeństwa i zabezpieczenie materiału dowodowego w przypadku bezprawnych działań
  • Prezes UODO stwierdził, że monitoring nie ma charakteru czysto osobistego, zatem jego legalność wymaga wykazania jednej z przesłanek pozwalających na legalne przetwarzanie danych osobowych
  • organ ocenił, że sąsiadka nie wykazała zajścia żadnej z przesłanek przetwarzania danych osobowych
  • w wydanej decyzji nakazano usunięcie uchybień, tj. zaprzestanie pozyskiwania danych osobowych poprzez monitoring zamontowany na części wspólnej nieruchomości

Prywatny monitoring części wspólnych a przetwarzanie danych osobowych (2)

  • w skardze na tę decyzję sąsiadka zarzuciła, że urząd nie wziął pod uwagę bezpieczeństwa mieszkańców, licznych przypadków niszczenia drzwi, próśb o montaż kamer
  • Prezes UODO miał też pominąć argument, że przetwarzanie danych osobowych jest niezbędne ze względu na ochronę żywotnych interesów wszystkich osób mieszkających w bloku (art. 6 ust. 1 lit. d) RODO)
  • WSA oddalił skargę na decyzję – zdaniem sądu w sprawie nie budzi wątpliwości, że mężczyzna nie wyraził zgody na nagrywanie jego wizerunku poprzez kamery zamontowane przez sąsiadkę, która nie wykazała także innej przesłanki
  • jako nietrafne WSA uznał powołanie się na ochronę żywotnego interesu w postaci bezpieczeństwa mieszkańców budynku — żywotny interes jako przesłanka przetwarzania może być wskazany tylko wówczas, gdy nie jest możliwe oparcie przetwarzania na innej przesłance
  • żywotny interes odnosi się bowiem do nadzwyczajnej sytuacji (klęsk żywiołowych, epidemii, katastrofy), kiedy zagrożone jest życie osoby
  • wyrok jest nieprawomocny

Źródło: https://czasopismo.legeartis.org/2020/11/prywatny-monitoring/

Wyciek danych miliona Szwedów

  • Folksam, jedna z największych firm ubezpieczeniowych w Szwecji, ujawniła naruszenie danych, które dotknęło około 1 miliona Szwedów po udostępnieniu danych osobowych klientów wielu gigantom technologicznym
  • ubezpieczyciel odkrył naruszenie danych po audycie wewnętrznym i zgłosił incydent do szwedzkiego organu ochrony danych (Datainspektionen).
  • firmy, które otrzymały dane osobowe od Folksam, to na przykład Facebook, Google, Microsoft, Linkedin i Adobe
  • dane osobowe udostępniane przez Folksam obejmują różnego rodzaju informacje, takie jak numery ubezpieczenia społecznego lub informacje, że dana osoba wykupiła ubezpieczenie związkowe lub ciążowe
  • wyniki analizy udostępnionych danych były wykorzystywane przez gigantów do dostarczania klientom niestandardowych ofert za pośrednictwem kanałów komunikacji firmy Folksam i innych firm
  • Folksam twierdzi, że w tej chwili nie ma dowodów na to, że udostępnione dane zostały niewłaściwie wykorzystane przez osoby trzecie

Źródło: https://www.bleepingcomputer.com/news/security/folksam-data-breach-leaks-info-of-1m-swedes-to-google-facebook-more/

65 000 EUR kary dla szpitala w Cork

  • irlandzka Komisja Ochrony Danych (DPC) nałożyła grzywnę w wysokości 65 000 euro na szpital Uniwersytetu Cork po tym jak dane osobowe 78 pacjentów zostały znalezione w publicznym zakładzie recyklingu
  • naruszenie obejmowało wrażliwe dane pacjentów, w tym historie medyczne i przyszłe planowane programy opieki
  • DPC stwierdził, że HSE naruszyło art. 5 i 32 RODO, nie wdrażając odpowiednich środków w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego usuwaniem papierowych dokumentów zawierających dane osobowe
  • nie wiadomo, czy jakakolwiek osoba fizyczna lub osoby zostały pociągnięte do odpowiedzialności za naruszenie lub w jaki sposób dokumenty zostały usunięte w sposób, w jaki zostały
  • niezależnie od tego, kto pozbył się dokumentów, szpital jako administrator danych został uznany za odpowiedzialny naruszeniu
  • Cork University Maternity Hospital w pełni akceptuje wyniki raportu Komisji Ochrony Danych i pracuje nad wdrożeniem wszystkich zaleceń zawartych w decyzji – powiedział rzecznik szpitala
  • pacjenci, których dotyczy naruszenie, zostali o nim powiadomieni
  • decyzja to dopiero piąta grzywna nałożona przez DPC od maja 2018 r. – pozostałe cztery trafiły do agencji rodzinnej Tusla

Źródło: https://www.irishexaminer.com/news/arid-40075673.html?type=amp&__twitter_impression=true

Singapur aktualizuje przepisy dotyczące ochrony danych osobowych

  • Singapur zaktualizował ustawę o ochronie danych osobowych (PDPA), aby umożliwić lokalnym firmom wykorzystywanie danych konsumentów bez uprzedniej zgody
  • PDPA weszła w życie w Singapurze w 2012 r.
  • zgodnie z „wyjątkami od wymogu wyrażenia zgody” dane osobowe mogą być wykorzystywane, gromadzone lub ujawniane bez zgody przedsiębiorców w celu wykrywania anomalii w systemach płatniczych w celu zapobiegania oszustwom lub praniu pieniędzy; ulepszanie produktów lub prowadzenie badań rynkowych
  • zmieniona PDPA umożliwi organizacji udostępnianie danych różnym wykonawcom w celu realizacji umów w ramach „domniemanej zgody”, w tym zgody w drodze powiadomienia
  • firmy odpowiedzialne za naruszenia danych będą narażone na surowsze kary – firmy, których roczne obroty w Singapurze przekraczają 10 milionów dolarów australijskich, mogą teraz zostać ukarane grzywną w wysokości do 10% ich obrotów
  • maksymalna grzywna wynosiła wcześniej 1 milion S $, która nadal jest zatrzymywana dla firm, których roczny obrót w Singapurze nie przekracza 10 milionów S $

Źródło: https://www.pinsentmasons.com/out-law/news/singapore-updates-personal-data-protection-law

reCAPTCHA wysyła dane do Google

  • Google reCAPTCHA ma za zadanie sprawdzić, czy osoba wypełniająca jakiś formularz nie jest robotem
  • w polityce prywatności Google obiecuje, że nie używa danych z systemu reCAPTCHA do wysyłania kierowanych reklam – nie gwarantuje jednak, że reCAPTCHA jest odizolowana od innych usług Google
  • według specjalistów zabezpieczenie może jednak być używane do śledzenia użytkowników
  • kod JavaScript zawarty reCAPTCHA umożliwia przeprowadzenie trójstronnej synchronizacji – dwie odizolowane domeny mogą skojarzyć ciasteczka ustawione dla tej samej przeglądarki
  • w tej sytuacji, gdy internauta odwiedzi stronę z reklamami z jednej z tych stron, druga też może mu zaproponować kierowane reklamy
  • wszystko wskazuje na to, że reCAPTCHA (gstatic.com) pośredniczy w trójstronnej synchronizacji z domeną google.com
  • Ashkan Soltani, pracujący w Federalnej Komisji Handlu USA zwrócił uwagę, że to wygląda identycznie jak obejścia Google’a z 2012 roku – Google został wtedy ukarany grzywną

Źródło: https://www.telepolis.pl/tech/bezpieczenstwo/google-recaptcha-prywatnosc

UODO o prywatnym monitoringu

  • UODO wskazuje, że jeżeli zainstalowany monitoring skierowany jest wyłącznie na przestrzeń prywatną i nie obejmuje miejsc publicznych czy też miejsc prowadzenia działalności gospodarczej, to wówczas zastosowanie znajdzie wyjątek przewidziany w art. 2 ust. 2 lit. c RODO – przetwarzanie danych w ramach czynności o czysto osobistym lub domowym charakterze
  • dyby jednak zasięg monitoringu obejmował, choćby częściowo, przestrzeń publiczną przetwarzanie w nim danych nie powinno być rozumiane jako czynności o czysto osobistym lub domowym charakterze
  • w powyższej sytuacji prowadzenie monitoringu będzie się wiązać z koniecznością spełnienia szeregu warunków dot. przetwarzania danych osobowych
  • podmiot prowadzący monitoring stanie się tym samym administratorem danych

Źródło: https://twitter.com/UODOgov_pl/status/1324652890930221057/photo/1

Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami

 

 

Powiązane artykuły

RODO aktualności
RODO aktualności – 13.12.2024 r.
RODO aktualności
RODO aktualności – 28.11.2024 r.
RODO aktualności
RODO aktualności – 14.11.2024 r.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO