• Nie Znaleziono Wyników

RODO - aktualności. 4 maja 2020 r.

N/A
N/A
Info
Pobierz
Protected

Academic year: 2022

Share "RODO - aktualności. 4 maja 2020 r."

Copied!
12
0
0

Ładowanie.... (Zobacz pełny tekst teraz)

Pobierz teraz ( 12 Stron )

Pełen tekst

(1)
(2)

RODO - aktualności

4 maja 2020 r.

(3)

UWAGA!

Tezy przedstawione w artykułach, zamieszczone w niniejszym materiale i niebędące wytycznymi organu

nadzorczego albo orzeczeniami sądów lub organów administracji publicznej, stanowią wyłącznie opinię ich

autorów i nie są oficjalnym stanowiskiem Lex Artist Sp. z o.o.

(4)

Wyciek danych klientów i wypożyczalni PANEK rent a car

Zgłoszenie wstępne SWPS w sprawie naruszenia ochrony danych osobowych

Kara za używanie odcisków palców pracowników do odnotowywania obecności i rejestrowania czasu pracy

EROD przykłada jeszcze większą wagę do wytycznych ws. COVID-19

01 02 03 04 05

06 07 08

06 07

Kara za opóźnienie w powiadomieniu o incydencie

06

08

Wyciek danych i kart płatniczych z Zippo.pl

07 0 09 09

10 10

09 10

UODO bada sprawę naruszenia w Forum Marketing and Sales Polska S.A.

(5)

na w żaden sposób nie zabezpieczonym serwerze, znalazły się publicznie dostępne kopie bezpieczeństwa plików i baz danych pochodzące z wypożyczalni PANEK rent a car

według otrzymanych przez Zaufaną Trzecią Stronę informacji udostępnione bazy danych i pliki serwera zawierały mnóstwo informacji, w tym takie dane jak:

1) dane kont ok. 20 tysięcy klientów, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, PESEL, adres e-mail, hasz hasła

2) dane tysięcy wypożyczeń z okresu 2010 – 2014, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, PESEL, adres e-mail oraz miejsce i datę wypożyczenia oraz zwrócenia pojazdu, cenę, opis pojazdu, adres IP klienta

3) dane ponad miliona wypożyczeń z lat 2014 – 2019, ale w ograniczonym zakresie (daty, miasta) 4) dane firmowe takie jak konta pracowników, punkty obsługi, pojazdy, treść stron, itp.

5) pliki serwera WWW, zawierające kod strony i dane konfiguracyjne

wypożyczalnia zablokowała dostęp do folderów i plików oraz złożyła wstępne zawiadomienie do Prezesa UODO, a także wynajęła specjalistyczny podmiot, który zweryfikuje przebieg incydentu i bezpieczeństwo tego i pozostałych serwisów firmy

Źródło:https://zaufanatrzeciastrona.pl/post/wyciek-danych-klientow-i-wypozyczalni-panek-rent-a-car/

01 Wyciek danych klientów i wypożyczalni PANEK rent a car

(6)

▪ do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia danych osobowych od Fortum Marketing and Sales Polska S.A., sprzedawcy prądu, gazu i ciepła dla domu

▪ urząd przygląda się sprawie

▪ ze zgłoszenia wynika, że powstałe zdarzenie jest związane z wprowadzeniem zmian związanych z wydajnością w środowisku teleinformatycznym

▪ do naruszenia poufności danych osobowych klientów spółki doszło w nocy z 15 na 16 kwietnia 2020 r.

▪ Prezes Urzędu Ochrony Danych Osobowych prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia oraz czy przetwarzanie danych osobowych klientów Spółki odbywało się zgodnie z przepisami o ochronie danych osobowych

Źródło:https://uodo.gov.pl/pl/138/1510

02 UODO bada sprawę naruszenia w Forum Marketing and Sales

Polska S.A.

(7)

▪ do Prezesa UODO wpłynęło zgłoszenie wstępne od SWPS Uniwersytet Humanistycznospołeczny w sprawie naruszenia ochrony danych osobowych

▪ SWPS współpracuje ze szkołą wyższą Collegium Da Vinci w Poznaniu - obie uczelnie wykorzystują w działalności budynek należący do Collegium Da Vinci, szkoła ta jest jednocześnie administratorem sieci komputerowej w budynku

▪ jak zgłoszono, do zdarzenia doszło w wyniku uzyskania loginu i hasła administratora przez atakującego

▪ według dostępnych administratorowi na dzień zgłoszenia naruszenia informacji incydent polegał na ataku z wykorzystaniem oprogramowania typu ransomware

▪ naruszenie dotyczy studentów, słuchaczy studiów podyplomowych, pracowników oraz współpracowników

▪ administrator, w momencie przesyłania zgłoszenia o naruszeniu, nie poinformował osób, których dane dotyczą, o zaistniałej sytuacji

▪ UODO przygląda się sprawie w celu wyjaśnienia wszelkich jej okoliczności oraz ustalenia, czy przetwarzanie danych osobowych odbywało się zgodnie z przepisami RODO

Źródło: https://uodo.gov.pl/pl/138/1512

03 Zgłoszenie wstępne SWPS w sprawie naruszenia ochrony danych

osobowych

(8)

▪ Holenderski organ nadzorczy nałożył karę w wysokości €725.000 (ok. 3.102.565 zł) za naruszenie RODO polegające na używaniu odcisków palców pracowników do odnotowywania obecności i rejestrowania czasu pracy

▪ pracownicy firmy musieli skanować swoje odciski palców w celu obecności i rejestracji czasu

▪ Holenderski Urząd Ochrony Danych (AP) stwierdził po dochodzeniu, że firma nie powinna przetwarzać odcisków palców pracowników

▪ firma nie może powoływać się na wyjątkową podstawę przetwarzania tzw. szczególnych kategorii danych osobowych

▪ zdanie organu pracodawca może poprosić pracownika o podanie odcisku palca, na przykład w celu kontroli dostępu – w tej sytuacji czasami pracownik jest zobowiązany do podania odcisku palca, a czasem nie, a to wszystko zależy od tego, czy przetwarzanie odcisków palców jest konieczne do uwierzytelnienia lub bezpieczeństwa

▪ pracodawca musi rozważyć, czy budynki i systemy informacyjne muszą być tak dobrze zabezpieczone, że można tego dokonać jedynie przy użyciu danych biometrycznych – często nie będzie takiej potrzeby, ponieważ istnieją dobre alternatywy

Źródło: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers

04 Kara za używanie odcisków palców pracowników do

odnotowywania obecności i rejestrowania czasu pracy

(9)

w odpowiedzi na pismo misji Stanów Zjednoczonych przy Unii Europejskiej EROD analizuje przekazywanie danych dotyczących zdrowia do celów badań naukowych, umożliwiając międzynarodową współpracę w zakresie opracowania szczepionki – misja Stanów Zjednoczonych zapytała o możliwość powołania się na wyjątek od przepisów art. 49 RODO, aby umożliwić międzynarodowe przepływy danych

w swoim piśmie EROD podkreśla, że RODO umożliwia współpracę między naukowcami z EOG i spoza EOG w zakresie poszukiwania szczepionki przeciwko COVID-19 i metod leczenia, przy jednoczesnej ochronie podstawowych praw ochrony danych w EOG

kiedy dane są przekazywane poza obszar EOG, zdaniem EROD należy preferować rozwiązania, które gwarantują stałą ochronę podstawowych praw osób, których dane dotyczą, takie jak decyzje stwierdzające odpowiedni stopień ochrony danych lub odpowiednie zabezpieczenia (zawarte w art. 46 RODO)

EROD uważa jednak, że walka z COVID-19 została uznana przez UE i państwa członkowskie za ważny interes publiczny, ponieważ spowodowała ona wyjątkowy kryzys sanitarny o niespotykanym wcześniej charakterze i skali - może to wymagać pilnych działań w dziedzinie badań naukowych, powodując konieczność przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych

w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony danych lub odpowiednich zabezpieczeń, organy publiczne i podmioty prywatne mogą również powołać się na wyjątki zawarte w art. 49 RODO

Źródło:https://uodo.gov.pl/pl/138/1511

05 EROD przykłada jeszcze większą wagę do wytycznych ws. COVID-19

(10)

▪ Szwedzki organ ochrony danych osobowych nałożył karę w wysokości 200.000 SEK (ok. 84.825,60 zł) na organ obsługujący administrację Szwecji w zakresie zarządzania kadrami i finansami

▪ organ nadzorczy skontrolował Centrum Służby Państwowej po otrzymaniu kilku powiadomień o incydencie dotyczącym danych osobowych, wynikającym z błędu w systemie zarządzania listami płac

▪ błąd oznaczał, że osoby nieupoważnione mogły uzyskać dostęp do danych osobowych pochodzących od organów, które korzystają z Centrum, a częściowo danych osobowych dotyczących personelu Centrum

▪ z przeprowadzonej kontroli wynika, że Centrum Służby Państwowej od dłuższego czasu (3 miesiące) zwlekało z powiadomieniem władz o incydencie, a sama dokumentacja incydentu była niewystarczająca

Źródło: https://www.datainspektionen.se/nyheter/datainspektionen-utfardar-sanktionsavgift-mot-statens-servicecenter/

06 Kara za opóźnienie w powiadomieniu o incydencie

(11)

▪ jak informuje Niebezpiecznik.pl Włamywacze wykradli ze sklepu Zippo: imiona i nazwiska, adresy zamieszkania, numery telefonów, numery kart płatniczych (z kodami CVV!)

▪ Zippo powiadomiło swoich użytkowników o wycieku

▪ o wycieku został powiadomiony Komisarz ds. Ochrony Danych Osobowych dla Nadrenii-Westfalii w Niemczech tj. główny organ ochrony danych osobowych sprawujący nadzór nad działalnością Zippo w Europie

▪ nie jest znana konkretna liczba osób, których dotknął wyciek

Źródło:https://niebezpiecznik.pl/post/wyciek-danych-i-kart-platniczych-z-zippo-pl/

07 Wyciek danych i kart płatniczych z Zippo.pl

(12)

Niniejszy dokument bez zezwolenia nie może być w żaden sposób wykorzystywany, w szczególności rozpowszechniany i kopiowany.

© Lex Artist Sp. z o.o., 2020

Cytaty

Pobierz teraz ( PDF - 12 Stron - 560.26 KB )

Powiązane dokumenty

POLITYKA OCHRONY DANYCH OSOBOWYCH

W Rejestrze, dla każdej czynności przetwarzania danych, którą Spółka uznała za odrębną dla potrzeb Rejestru, Spółka odnotowuje co najmniej: (i) nazwę czynności, (ii)

PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Jan Nowak

Mając na względzie całokształt okoliczności faktycznych i prawnych niniejszej sprawy, Prezes Urzędu ocenił, że przedstawiony przez Wnioskodawcę projekt Kodeksu postępowania

RODO POLITYKA OCHRONY DANYCH OSOBOWYCH

Dostęp do danych.  Na żądanie osoby dotyczące dostępu do jej danych Banieczka S.A   informuje osobę, czy przetwarza jej dane, oraz informuje osobę o

Oświadczenie Właściciela nieruchomości - karta danych osobowych. Zgoda na przetwarzanie danych osobowych

• ewentualnie w celu dochodzenia roszczeń lub obrony przed roszczeniami związanymi z zawartą Umową – podstawą prawną przetwarzania jest niezbędność przetwarzania do

POLITYKA OCHRONY DANYCH OSOBOWYCH

f) żądanie dotyczy danych dziecka zebranych na podstawie zgody w celu świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. profil

PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH DECYZJA

4 rozporządzenia 2016/679, gdy - i w zakresie, w jakim: udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, nie znajdzie zastosowania

PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH

10. 1 ustawy – Prawo energetyczne wprowadza się dla operatorów systemu dystrybucyjnego elektroenergetycznego obowiązek zdalnego pozyskiwania danych pomiarowych dotyczących

REGULAMIN OCHRONY DANYCH OSOBOWYCH

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Przetwarzanie danych w celu