Newsy Prezesa Urzędu Ochrony Danych Osobowych

• Prezes UODO nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł za niewłaściwe zabezpieczenie przetwarzanych danych – informuje GazetaPrawna.pl. Urząd ustalił, że spółka nie prowadziła regularnych i kompleksowych testów i oceny skuteczności zastosowanych środków zapewniających bezpieczeństwo przetwarzanych danych, a były one podejmowane incydentalnie i nie obejmowały wszystkich systemów, w których przetwarzane są dane. „W toku postepowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. W praktyce ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany. Tymczasem podatność w tym procesie (polegająca na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki. Organ nadzoru uznał, że wdrożenie systemu służącego do przetwarzania danych do użytku bez poprawnie działającej walidacji zakładanych parametrów jest rażącym naruszeniem administratora.”

Treść decyzji publikujemy w serwisie https://odoserwis.pl/j/958/decyzja-puodo-z-dnia-3-grudnia-2020-r-virgin-mobile-polskal

https://uodo.gov.pl/pl/138/1791

• Rzecznik Praw Pacjenta oraz Prezes Urzędu Ochrony Danych Osobowych przygotowali „Wytyczne dotyczące realizacji prawa do informacji przez osoby uprawnione na odległość”.

https://uodo.gov.pl/pl/138/1787

Przegląd prasy

• Francuski nadzór danych osobowych CNIL nałożył rekordową karę 100 mln euro na Google oraz 35 mln euro na Amazon.com za sposób postępowania z „cookies – donosi „Puls Biznesu”.

https://www.pb.pl/google-i-amazon-ukarane-we-francji-1102822

• Dane osobowe raz ujawnione w internecie mogą doprowadzić do sporych kłopotów w życiu offline. Przykładem takiego działania może być doxing. Co to takiego tłumaczy portal eGospodarka.pl.

https://www.egospodarka.pl/167472,Doxing-i-dark-web-2-powody-dla-ktorych-warto-chronic-dane-osobowe,1,12,1.html

• Polscy pracodawcy wciąż nie wiedzą, jakie działania mogą podjąć w ramach walki z pandemią, by nie naruszyć przepisów dotyczących ochrony prywatności czy danych osobowych – stwierdza portal Prawo.pl. Brakuje nie tylko regulacji prawnych, ale też jasnych, wspólnych wytycznych wszystkich służb.

https://www.prawo.pl/kadry/uprawnienia-pracodawcy-do-przeciwdzialania-covid-19-wsrod,504878.html

• „Rzeczpospolita” wyjaśnia kwestie ochrony danych osobowych klientów firmy podczas pracy zdalnej przez pracowników.

https://www.rp.pl/Kadry/312109986-Praca-zdalna-jak-chronic-dane-osobowe-klientow.html  

• Rząd chce ułatwić służbom dostęp do informacji o tym, gdzie trzymamy nasze pieniądze. To niepokojące, gdyż polskie przepisy pozbawiły Prezesa UODO możliwości weryfikowania działań służb – zauważa Fundacja Panoptykon.

https://panoptykon.org/system-informacji-finansowej

• RPO pyta wicepremiera o stan prac nad regulacjami prawnymi dotyczącymi kontroli trzeźwości pracowników przez pracodawców. Wg. Prezesa UODO w obecnym stanie prawnym takie kontrole, nawet wyrywkowe, nie są możliwe.

https://www.rpo.gov.pl/pl/content/kontrole-trzezwosci-pracownikow-rpo-pyta-gowina

Sławomir Kasjaniuk