Ochrona danych osobowych - Warto wiedzić ...

"Staraj się, aby Twoja teraźniejszość stała się miłym wspomnieniem w przyszłości"

Uważaj do kogo trafia ksero dowodu osobistego

Kserowanie i skanowanie dowodu osobistego wydaje się powszechne. To błąd - kopie dokumentów nie powinny trafiać w niepowołane ręce!

Zdarzają się sytuacje, kiedy żądany jest od nas skan lub ksero dowodu osobistego. Choć czasami wymóg ten jest w pełni uzasadniony, niektórzy domagają się go zupełnie bezpodstawnie. Poniższa historia obrazuje jeden z takich przypadków. Warto się z nią zapoznać, aby na przyszłość wiedzieć, jak postąpić w podobnych okolicznościach.

Nieuzasadniona prośba o kopię dowodu osobistego

Ta autentyczna sytuacja, opowiedziana przez panią Barbarę, dotyczy jej znajomego o imieniu Michał. Kwestia kserowania dowodu osobistego zainteresowała go wówczas, gdy prowadził intensywne poszukiwania lokum do wynajęcia. Wreszcie znalazł wymarzone miejsce. Lokalizacja, na której tak bardzo mu zależało, mieszkanie spełniające wszelkie wymogi i, co nie bez znaczenia, przystępna stawka za najem, którą udało mu się wynegocjować. Pan Michał to człowiek zajęty i zabiegany, nie miał więc wiele czasu na wgłębianie się w formalności. Pozostawił to właścicielowi i miał nadzieję, że wystarczy jedynie jego podpis na umowie.

Wkrótce okazało się, że zgodnie z zasadami tzw. najmu okazjonalnego, potrzebne są jeszcze dane drugiej osoby, która w przypadku eksmisji poręczy przyjęcie pod swój dach wydalonej z mieszkania osoby. Pan Michał zadeklarował więc dostarczenie owego poświadczenia. Kolejna prośba właściciela - ksero lub skan dowodu osobistego, zarówno jego, jak i osoby poświadczającej, wzbudziła jednak jego wątpliwość. Bo przecież po co je dostarczać, skoro już podał konieczne dane osobowe, w tym imiona, nazwiska, numery PESEL i numery dowodów? Zaczął się zastanawiać, czy wymóg ten ma swoje uzasadnienie. Co się okazało?

Ksero dowodu – nie dla każdego!

Wyjaśnianie kwestii pan Michał rozpoczął od rozmowy z właścicielem. Zapytał wprost, po co mu kserokopia dowodu osobistego. Niestety, nie uzyskał precyzyjnej odpowiedzi, jedynie informację, że to powszechna procedura. Szukał więc dalej. Wystarczyło już proste przejrzenie Internetu, żeby dowiedzieć się, że kserowanie lub skanowanie dowodu osobistego, w celu dostarczenia kopii wynajmującym mieszkanie, nie jest konieczne. Nie istnieje bowiem przepis nakazujący dostarczenie kopii dowodu - stawianie takiego warunku nie ma prawnego uzasadnienia.

Jego wątpliwości były więc słuszne, co niezwłocznie zgłosił właścicielowi lokum. Ten jednak pozostawał nieugięty. Twierdził, iż taki jest zwyczaj i zamierza się go trzymać. Pan Michał usłyszał ultimatum – albo dostarczy żądaną kserokopię dowodu osobistego, albo musi szukać innego mieszkania. Obie opcje wydawały się niekorzystne - przecież właśnie takiego miejsca szukał!

Kopiowanie dokumentów – jak sprytnie poradzić sobie z bezprawną prośbą?

Postępowanie bohatera tej historii pokazuje, że czasami wystarczy odrobina pomysłowości, żeby wybrnąć z tak kłopotliwej sytuacji. Pan Michał zastosował zmyślny zabieg, zabezpieczający przed nadużyciem kopii dowodu osobistego, zarówno jego, jak i osoby za niego poświadczającej. Przeprowadził skanowanie dowodu osobistego, jednak na skanie, czerwoną czcionką dopisał adnotację: „skan wyłącznie na potrzeby wynajmu mieszkania”. Dzięki temu wybrnął z sytuacji i teraz mógł spokojnie rozpocząć przeprowadzkę do wymarzonego miejsca.

Jego historia jest niezwykle pouczająca. Warto bowiem wiedzieć, czy osoba domagająca się ksera dowodu osobistego rzeczywiście musi ją mieć. Pan Michał pokazał, że gdy istnieje zagrożenie bezprawnego wykorzystania dokumentu, można je w prosty sposób zminimalizować.

Chroń swoją tożsamość!

Czy można kserować dowód osobisty? Oczywiście, że tak i zdarza się, że niektóre instytucje wymagają kopii dokumentu. Jednak jeśli prośba o ksero dowodu osobistego nie ma konkretnego uzasadnienia – warto asertywnie odmówić. Dane osobowe mogą być wykorzystane do zdobycia kredytu, pożyczki czy podpisania umowy. Konsekwencje braku ostrożności czasami zaś doskwierają przez długie lata.

Źródło: https://www.bik.pl/poradnik-bik/dowod-osobisty-ksero

Numery ksiąg wieczystych to dane osobowe

Numery ksiąg wieczystych w praktyce należy traktować jak dane osobowe. Numery ksiąg wieczystych dają bowiem zaskakująco łatwy dostęp do szeregu danych właścicieli.

Numery ksiąg wieczystych pozwalają dowolnemu zainteresowanemu zaskakująco łatwo dotrzeć do szeregu danych o nieruchomości oraz jej właścicielu. W praktyce numery ksiąg wieczystych należy więc traktować z taką samą ostrożnością, jak inne dane osobowe.

Wprowadzenie numeru księgi wieczystej danej nieruchomości do Elektronicznych Ksiąg Wieczystych - oficjalnego serwisu Ministerstwa Sprawiedliwości - pozwala bowiem dotrzeć m.in. do imienia, nazwiska, adresu i PESEL-u właściciela, a nawet imion jego rodziców czy szczegółów związanych z zabezpieczeniem hipotecznym.

Odczytanie takich danych przez osobę postronną może prowadzić do szeregu nadużyć, w tym wykorzystania danych choćby podczas realizacji phishingu. Jednym z podstawowych elementów takiego ataku jest bowiem zwiększenie wiarygodności nadawcy - często poprzez posługiwanie się niektórymi autentycznymi danymi ofiary. Pozyskanie numeru dowolnej księgi wieczystej otwiera drogę do odczytania takich informacji o losowych właścicielach nieruchomości.

Aby zwiększyć swoje bezpieczeństwo, warto między innymi zastrzec PESEL, co można zrobić w serwisie mObywatel lub aplikacji mobilnej. Od tego momentu nikt nie może podszyć się pod danego obywatel podczas wykonywania kluczowych operacji, w tym u notariusza czy w banku na potrzeby zawarcia umowy o pożyczkę. Chcąc samemu zostać obsłużonym, trzeba wcześniej zadbać o odbezpieczenie PESEL-u w bazie.

Niezależnie od tego warto być wyczulonym na wszelkie próby manipulacji oraz phishing, który można spotkać w SMS-ach czy e-mailach. Warto zdawać sobie bowiem sprawę, że atakujący mógł wejść w posiadanie części danych o ofierze z wykorzystaniem publicznych baz danych choćby dzięki numerowi księgi wieczystej i sam fakt, że zna na przykład PESEL danej osoby oraz informacje o adresie jej nieruchomości nie oznacza, że powinien być automatycznie rozmówcą godnym zaufania.

PUBLICZNE SIECI WI-FI – JAK CHRONIĆ SWOJE DANE?

Jak działają publiczne sieci Wi-Fi, jakie zagrożenia mogą wynikać z ich użytkowania oraz jak można chronić swoje dane przed nieautoryzowanym dostępem?

Jednym z kluczowych elementów, które ułatwiają nam korzystanie z internetu, są publiczne sieci Wi-Fi. Spotykamy je np. kawiarniach, na lotniskach, w hotelach, a nawet w parkach. Dzięki nim możemy bez problemu przeglądać strony internetowe, sprawdzać pocztę elektroniczną, korzystać z mediów społecznościowych czy wykonywać transakcje online.

Jednak korzystanie z publicznych sieci Wi-Fi wiąże się z pewnymi zagrożeniami, zwłaszcza w kontekście ochrony danych osobowych.

Jak działają publiczne sieci Wi-Fi?

Publiczne sieci Wi-Fi to bezprzewodowe sieci lokalne, które umożliwiają użytkownikom łączenie się z internetem na zasadzie radiowej transmisji danych. Sygnał przesyłany jest za pośrednictwem fal radiowych. Sieci te często są otwarte, co oznacza, że każdy, kto znajduje się w zasięgu sygnału, może się do nich podłączyć, często bez potrzeby wprowadzania hasła.

Wi-Fi jest technologią opartą na standardzie IEEE 802.11, która zapewnia różne poziomy bezpieczeństwa, zależnie od konfiguracji sieci i zastosowanych metod szyfrowania. Publiczne sieci Wi-Fi są zazwyczaj mniej zabezpieczone niż sieci prywatne, co czyni je bardziej podatnymi na ataki cybernetyczne. Niska jakość zabezpieczeń wynika z kilku czynników, w tym z potrzeby łatwego i szybkiego dostępu dla użytkowników oraz z braku kontroli nad tym, kto korzysta z sieci.

Zagrożenia związane z korzystaniem z publicznych sieci Wi-Fi

1. Ataki typu Man-in-the-Middle (MITM)

Jednym z najpoważniejszych zagrożeń, na które narażeni są użytkownicy publicznych sieci Wi-Fi, są ataki typu Man-in-the-Middle. Cyberprzestępca przechwytuje i modyfikuje dane przesyłane między użytkownikiem a serwerem. Przejęcie sesji internetowej może prowadzić do kradzieży poufnych informacji, takich jak dane logowania, hasła czy numery kart kredytowych.

Ataki MITM mogą być szczególnie niebezpieczne, ponieważ użytkownik często nie jest świadomy, że jego połączenie zostało przechwycone. Cyberprzestępca może podszywać się pod znaną witrynę internetową, co sprawia, że ofiara czuje się bezpiecznie, wprowadzając swoje dane osobowe.

2. Fałszywe punkty dostępu (Evil Twin)

Innym popularnym zagrożeniem jest tzw. Evil Twin, czyli fałszywy punkt dostępu. Cyberprzestępca tworzy sieć Wi-Fi o nazwie identycznej lub bardzo podobnej do legalnej sieci dostępnej w danym miejscu, np. „Free_Cafe_WiFi”. Gdy użytkownik podłącza się do takiej sieci, wszystkie jego dane są przechwytywane przez atakującego. W ten sposób cyberprzestępca może uzyskać dostęp do wrażliwych informacji, takich jak dane bankowe czy hasła do różnych kont.

Nowo odkryta luka w standardzie Wi-Fi IEEE 802.11, nazwana „SSID Confusion” (CVE-2023-52424), pozwala atakującym na przechwytywanie ruchu sieciowego poprzez przekonanie ofiary do połączenia się z fałszywą, mniej bezpieczną siecią Wi-Fi. Atak wpływa na wszystkie systemy operacyjne i typy sieci, w tym domowe i korporacyjne.

Przebieg Ataku

1) Wykrywanie sieci: Atakujący modyfikuje pakiety Wi-Fi, aby zamienić identyfikatory SSID prawdziwej i fałszywej sieci, co wprowadza ofiarę w błąd.

2) Przejęcie uwierzytelnienia: Ofiara uwierzytelnia się do fałszywej sieci myśląc, że jest to zaufana sieć.

3. Trwający MitM: Atakujący przechwytuje ruch ofiary, zmieniając identyfikatory SSID w czasie rzeczywistym.

Skutki

Atak może dezaktywować VPN w przypadku połączenia się z „zaufaną” siecią, co naraża ruch ofiary na ryzyko. Zaleca się uniknięcie ponownego używania danych uwierzytelniających w różnych sieciach oraz stosowanie unikalnych haseł.

3. Brak szyfrowania danych

Większość publicznych sieci Wi-Fi korzysta z nowoczesnych protokołów szyfrowania, takich jak WPA2 lub WPA3, które oferują wysoki poziom ochrony. Protokół WEP (Wired Equivalent Privacy), który był powszechny kilkanaście lat temu, jest już praktycznie nieużywany ze względu na jego słabe zabezpieczenia. Mimo to, w niektórych przypadkach można jeszcze natrafić na sieci korzystające z WEP lub WPA, co może wynikać z nieaktualizowanego oprogramowania routera lub zaniedbań w konfiguracji sieci.

Zastosowanie przestarzałego protokołu niesie ze sobą poważne ryzyko, gdyż dane przesyłane w takiej sieci mogą być łatwo przechwycone przez osoby trzecie. Nawet jeśli sieć korzysta z WPA2 lub WPA3, warto pamiętać, że publiczne sieci Wi-Fi mogą być podatne na różnego rodzaju ataki, takie jak MITM. Dlatego zawsze warto zachować ostrożność i łączyć się tylko z zaufanymi sieciami, szczególnie przy przesyłaniu poufnych informacji.

4. Sniffing

Sniffing to technika polegająca na przechwytywaniu danych przesyłanych przez sieć. W publicznych sieciach Wi-Fi, gdzie transmisja danych jest często nieszyfrowana, sniffing staje się bardzo prostym narzędziem do wykradania informacji. Sniffery mogą przechwycić takie dane, jak hasła, wiadomości e-mail, a nawet zawartość przeglądanych stron internetowych. Dlatego tak ważne jest korzystanie z usługi VPN, ponieważ szyfruje on cały ruch internetowy, tworząc bezpieczny tunel między urządzeniem użytkownika a serwerem. Dzięki temu nawet jeśli dane zostaną przechwycone, będą one zaszyfrowane i niemożliwe do odczytania przez osoby trzecie.

5. Złośliwe oprogramowanie

Korzystanie z publicznych sieci Wi-Fi może również zwiększyć ryzyko zainfekowania urządzenia złośliwym oprogramowaniem. W otwartych sieciach cyberprzestępcy mogą wprowadzać złośliwe oprogramowanie na urządzenia użytkowników poprzez różnego rodzaju techniki, takie jak drive-by download (automatyczne pobieranie plików bez wiedzy użytkownika) czy fałszywe aktualizacje oprogramowania. Zainfekowane urządzenie może stać się bramą do wykradania danych osobowych lub innych cennych informacji.

Jak chronić swoje dane podczas korzystania z publicznych sieci Wi-Fi?

1. Unikanie przesyłania poufnych informacji

Jednym z najprostszych sposobów na ochronę swoich danych w publicznych sieciach Wi-Fi jest unikanie przesyłania poufnych informacji, takich jak loginy, hasła czy dane bankowe. Dla takich danych należy lepiej skorzystać z sieci mobilnej lub połączyć się z zaufaną, zabezpieczoną siecią prywatną.

2. Używanie VPN (Virtual Private Network)

Wirtualna sieć prywatna jest jednym z najskuteczniejszych narzędzi do ochrony danych w publicznych sieciach Wi-Fi. Szyfruje wszystkie dane przesyłane między urządzeniem użytkownika a serwerem VPN, co znacznie utrudnia ich przechwycenie przez osoby trzecie. Dzięki temu, nawet jeśli cyberprzestępca przechwyci zaszyfrowane dane, nie będzie mógł ich odczytać.

3. Korzystanie z HTTPS

Przy korzystaniu z publicznych sieci Wi-Fi warto zwracać uwagę na to, czy odwiedzane strony internetowe korzystają z protokołu HTTPS, który zapewnia szyfrowanie danych przesyłanych między przeglądarką a serwerem. Adresy stron korzystających z HTTPS zaczynają się od „https://” zamiast „http://”. Obecność ikony kłódki w pasku adresu przeglądarki jest również sygnałem, że połączenie jest szyfrowane.

4. Wyłączanie udostępniania plików i drukarek

W publicznych sieciach Wi-Fi zaleca się wyłączenie funkcji udostępniania plików i drukarek, która może umożliwić nieautoryzowany dostęp do danych przechowywanych na urządzeniu.

W systemie Windows można to zrobić w ustawieniach sieci, natomiast na urządzeniach Apple opcje te znajdują się w preferencjach systemowych.

5. Aktualizacja oprogramowania

Aktualizacje często zawierają poprawki bezpieczeństwa, które naprawiają wykryte luki w zabezpieczeniach. Korzystając z najnowszych wersji oprogramowania, minimalizujemy ryzyko, że nasze urządzenie stanie się ofiarą cyberprzestępcy.

6. Wyłączenie automatycznego łączenia z sieciami Wi-Fi

Wielu użytkowników nie zdaje sobie sprawy, że ich urządzenia mogą automatycznie łączyć się z sieciami Wi-Fi, które wcześniej były używane. Może to prowadzić do sytuacji, w której urządzenie połączy się z fałszywym punktem dostępu, stworzonym przez cyberprzestępcę. Dlatego warto wyłączyć funkcję automatycznego łączenia się z sieciami Wi-Fi i ręcznie wybierać te, do których chcemy się podłączyć.

Podsumowując, korzystanie z publicznych sieci Wi-Fi, choć wygodne, wiąże się z istotnymi zagrożeniami dla prywatności i bezpieczeństwa naszych danych. Świadomość tych zagrożeń oraz stosowanie odpowiednich środków ostrożności, takich jak korzystanie z VPN, zwracanie uwagi na protokół HTTPS, czy regularne aktualizacje oprogramowania, mogą znacząco zmniejszyć ryzyko.

Pamiętajmy, że dbanie o bezpieczeństwo naszych informacji w sieci to nasza wspólna odpowiedzialność, a podejmowanie prostych kroków może uchronić nas przed poważnymi konsekwencjami cyberataków.

Źródło: https://uodo.gov.pl/pl

Monitoring na prywatnej posesji. Czy sąsiad może nas nagrywać?

Montowanie przydomowego monitoringu na własnej posesji staje się coraz popularniejszym sposobem na zwiększenie bezpieczeństwa. Czy taka ochrona jest dozwolona przez polskie prawo? Problem może pojawić się, wtedy gdy kamery swoim zasięgiem obejmują ulicę lub teren należący do sąsiada.

Instalacja systemu monitoringu na posesji to skuteczny sposób na zwiększenie bezpieczeństwa. Dzięki temu ochrona własnego dobytku staje się znacznie prostsza, tym bardziej że kamery zazwyczaj wyposażone są w funkcje detekcji ruchu i mogą być sterowane zdalnie. To pozwala również na obserwacje otoczenia nawet wtedy, gdy właściciele nieruchomości znajdują się poza domem. Choć z pewnością jest to duże udogodnienie, czy na pewno jest legalne? W tym przypadku obowiązują pewne ograniczenia.

Kamera monitoringu zewnętrzna. Czy tabliczka "obiekt monitorowany" jest niezbędna?

Stosowanie w naszym kraju monitoringu wizyjnego, zwiększającego bezpieczeństwo w określonym miejscu, jest dozwolone, jednakże należy pamiętać o konkretnych ograniczeniach. Zgodnie z przepisami kluczowe jest między innymi unikanie naruszenia prywatności osób trzecich. Kamery nie powinny rejestrować obrazu poza terenem danej posesji, na której zostały zamontowane oraz muszą działać zgodnie z przepisami prawa, w tym z rozporządzeniem o ochronie danych osobowych. Jeśli zatem system monitoringu obejmuje swoim zasięgiem również część chodnika lub ulicy, wtedy w widocznym miejscu należy umieścić informację o tym, że dany obiekt jest monitorowany. Znacznie ma tutaj także wprowadzenie przepisów RODO, które odnoszą się do ochrony osób fizycznych przy przetwarzaniu danych osobowych oraz swobodnego przepływu tych danych. Choć nawet one nie zabraniają rejestracji wizualnej przestrzeni, można to robić wyłącznie dla celów osobistych, a więc na przykład ochrony prywatnej posesji.

Przydomowy monitoring kontra RODO. Sąsiad ma prawo zgłosić naruszenie

Jeśli kamery nagrywają również osoby korzystające z przestrzeni publicznej, wtedy ich właściciel musi nie tylko zamontować wspomnianą wcześniej tabliczkę, ale także zabezpieczyć urządzenia rejestrujące i gromadzone przez nie dane oraz zadbać o ich ochronę. Co więcej, ma obowiązek umożliwić osobom, które zostały zarejestrowane, dostęp do własnych danych. Czasami zdarza się też tak, że prywatny monitoring obejmuje swoim zasięgiem sąsiednie posesje, co jest już znacznie większym problemem. Taka kamera może zostać zamontowana wyłącznie po uzyskaniu stosownej zgody od właściciela danego terenu. Jeżeli takowa nie została udzielona, wtedy można mówić o naruszeniu przepisów Kodeksu cywilnego, które dotyczą dóbr osobistych i prawa do prywatności. Jak informuje serwis Onet, nielegalne rejestrowanie wizerunku innej osoby może zostać zinterpretowane również jako forma uporczywego nękania. Zgodnie z Kodeksem karnym to może skutkować karą pozbawienie wolności na okres od sześciu miesięcy do ośmiu lat.

DANE NADMIAROWE W OŚWIADCZENIACH MAJĄTKOWYCH

Podmiot zobowiązany do publikacji oświadczenia majątkowego w BIP musi czuwać nad tym, aby realizacja tego obowiązku odbywała się w sposób zgodny z RODO, w tym z poszanowaniem zasady legalizmu i minimalizacji danych.

Dość często zdarza się, że osoby zobligowane w jednostkach samorządu terytorialnego do złożenia oświadczenia majątkowego w jego części A (część jawna) podają dane wykraczające poza ustawowy katalog. Wpisują tam np.: numer rachunku bankowego, numer rejestracyjny pojazdu, wysokość dochodów współmałżonka, mienie należące do współmałżonka, numery ksiąg wieczystych.

Jakie dane publikować w BIP

Skoro przepisy ustaw: o samorządzie gminnym, o samorządzie powiatowym oraz o samorządzie województwa określają zakres informacji, jakie osoby zobowiązane do złożenia oświadczeń majątkowych zobowiązane są zawrzeć w tym dokumencie, to nie ma podstaw prawnych do udostępniania danych w zakresie szerszym niż wynikający z tych przepisów.

Odpowiedzialność administratora

Podmiot zobowiązany do przyjęcia i publikacji oświadczenia majątkowego w BIP jako administrator danych w rozumieniu art. 4 pkt 7 RODO musi czuwać nad tym, aby realizacja obowiązku publikacji przebiegała w sposób prawidłowy, tj. zgodny z zasadami ochrony danych osobowych, m.in. legalizmu (art. 5 ust. 1 lit. a w zw. z art. 6 ust. 1 lit. c) oraz minimalizacji danych (art. 5 ust.1 lit. c RODO).

Warto przeciwdziałać

Problem podawania danych nadmiarowych w oświadczeniach majątkowych mógłby zostać ograniczony poprzez przeprowadzenie przez administratora analizy ryzyka i wprowadzenie rozwiązań minimalizujących wykryte ryzyka związane z przetwarzaniem danych osobowych.

Do takich działań można zaliczyć:

• prowadzenie szkoleń dotyczących poprawnego wypełniania oświadczeń majątkowych,

• wprowadzenie procesów anonimizacji danych,

• czy też prowadzenie wewnętrznych audytów i kontroli związanych z przetwarzaniem danych.

Działania takie mogą i powinny być prowadzone przy wsparciu inspektora ochrony danych, do którego zadań (zgodnie z art. 39 ust. 1 lit. b RODO) należy m.in. monitorowanie stosowania RODO u danego administratora oraz prowadzenie działań zwiększających świadomość w obszarze ochrony danych osobowych.

Źródło: Biuletyn UODO_06.2024

PUBLICZNE ŁADOWANIE TELEFONU – RYZYKO CZY WYGODA?

W dzisiejszym świecie, gdzie nasze życie zawodowe i prywatne jest ściśle związane z urządzeniami elektronicznymi, korzystanie z publicznych portów USB może prowadzić do niebezpiecznych konsekwencji. Ładowanie telefonu czy tabletu, choć wydaje się być niegroźnym działaniem, może zostać wykorzystanie przez cyberprzestępców do ingerencji w system operacyjny urządzenia. Jednym z takich zagrożeń jest tzw. „juice jacking”, który w ostatnich latach stał się coraz bardziej rozpowszechniony.

Czym jest „juice jacking”?

Juice jacking to szczególnie podstępny atak wykorzystujący naturalną potrzebę ładowania urządzenia poprzez podłączenie do publicznego, zewnętrznego źródła zasilania. Realizowany jest w taki sposób, że osoby atakujące modyfikują fabryczne ładowarki USB poprzez zainstalowanie dodatkowego modułu sprzętowego, co może doprowadzić do kradzieży danych lub zainstalowania złośliwego oprogramowania na urządzeniu użytkownika.

Zagrożenia związane z juice jackingiem

Publiczne porty USB, znajdujące się na lotniskach, w centrach handlowych, hotelach, kawiarniach czy w środkach transportu publicznego, mogą stać się miejscami potencjalnych ataków na nasze urządzenia. Oto kilka zagrożeń:

- Kradzież danych: Atakujący mogą wykorzystać juice jacking do kradzieży danych przechowywanych na urządzeniu, takich jak kontakty, pliki, hasła itp.

- Zainstalowanie złośliwego oprogramowania: Poprzez zainfekowanie urządzenia złośliwym oprogramowaniem, atakujący mogą uzyskać zdalny dostęp do urządzenia lub zgromadzić poufne informacje.

- Ransomware: Atakujący mogą zainstalować ransomware na urządzeniu, co prowadzi do zablokowania dostępu do danych na urządzeniu i żądania okupu za ich odblokowanie.

- Podsłuchiwanie aktywności: Atakujący mogą wykorzystać juice jacking do podsłuchiwania aktywności użytkownika na zainfekowanym urządzeniu, co może prowadzić do kradzieży poufnych informacji.

Istnieją jednak sposoby ochrony przed takim atakiem, które mogą pomóc użytkownikom zminimalizować ryzyko kradzieży danych podczas ładowania urządzeń mobilnych.

Dzięki odpowiednim środkom ostrożności można zabezpieczyć się przed tego rodzaju zagrożeniami.

Co zatem należałoby zrobić, żeby nie paść ofiarą juice jackingu?

1. Przede wszystkim staraj się unikać korzystania z publicznych portów USB do ładowania urządzeń.

2. W razie konieczności korzystania z publicznych portów USB, należy pamiętać, żeby upewnić się, że nie mamy uruchomionego trybu „debugowanie USB”, gdyż może to stanowić potencjalne zagrożenie dla bezpieczeństwa danych, ponieważ umożliwia dostęp do zaawansowanych funkcji urządzenia. Dlatego zaleca się wyłączenie tej opcji, co pozwoli na zminimalizowanie ryzyka nieautoryzowanego dostępu do urządzenia.

3. Alternatywnie, można korzystać z zewnętrznych baterii przenośnych do ładowania urządzeń lub kabli „only charge”, które są przeznaczone wyłącznie do ładowania urządzenia i uniemożliwiają przesyłanie danych.

4. Zaleca się również regularnie sprawdzanie i instalowanie dostępnych aktualizacji systemu operacyjnego, aby zapewnić ochronę przed różnymi rodzajami ataków oraz utrzymać urządzenie w jak najbezpieczniejszym stanie.

5. Warto również zadbać o wyłączenie funkcji udostępniania danych na urządzeniu, gdy korzystamy z publicznych portów USB, aby ograniczyć ryzyko kradzieży danych. Ta prosta czynność może stanowić dodatkową warstwę ochrony dla użytkowników, którzy nie posiadają baterii przenośnych.

6. Ochronę urządzeń przed wirusami lub nieautoryzowanym pobraniem danych może zapewnić również tzw. bloker danych USB. Może być skuteczną formą ochrony nie tylko w przypadku juice jacking, ale również ataków typu badUSB (np. przy wykorzystaniu specjalnie spreparowanych pendrive’ów), zapobiegając podłączeniu zainfekowanego urządzenia do komputera, ograniczając w ten sposób ryzyko zainfekowania.

Publiczne porty USB mogą stanowić poważne zagrożenie dla bezpieczeństwa naszych danych i urządzeń, jednak świadomość tych zagrożeń oraz stosowanie odpowiednich środków ostrożności, takich jak unikanie publicznych portów USB i korzystanie z zabezpieczeń fizycznych, jest kluczowe dla ochrony naszych danych.

Źródło: Biuletyn UODO_02.2024

Ochrona wizerunku dziecka w sieci

Co to jest „Sharenting”? - Sharenting to termin utworzony od słów „parenting” oraz „share”, który określa praktykę dzielenia się w sieci zdjęciami oraz informacjami na temat swoich dzieci. Rodzice z dumą prezentują swoje pociechy na Instagramie, Facebooku, blogach czy innych platformach społecznościowych, tworząc swoistą kronikę ich życia, która dokumentuje nie tylko codzienność, ale też ważne kamienie milowe, jak pierwsze kroki, pierwsze słowa czy później sukcesy szkolne.

Z pozoru wydaje się, że to niewinne działanie, podyktowane chęcią dzielenia się z innymi emocjonującymi momentami z naszego życia. Fotografia śpiącego dziecka, pierwszy ząbek – dzielimy się nimi z innymi rodzicami, którzy mogą identyfikować się z podobnymi doświadczeniami.

Jednak sharenting to nie tylko chwilowe emocje, ale także proces, który zostawia trwałe cyfrowe ślady. Każde zdjęcie, każdy post, jest jak kropka tuszu na papierze, która z czasem staje się cyfrowym obrazem dziecka, dostępnym nie tylko dla rodziny i przyjaciół, ale także dla szerszej publiczności online. A to może mieć długotrwałe konsekwencje, z których rodzice często nie zdają sobie sprawy, publikując kolejne zdjęcia swoich dzieci. To, co umieszczamy w internecie, zostaje w nim na zawsze.

Czy „sharenting” jest niebezpieczny?

Na pierwszy rzut oka, sharenting wydaje się być zupełnie niewinny, a czasem nawet uroczy. Może być irytujący dla osób, które są już przesycone zdjęciami maluchów, ale przecież nikogo nie zmuszamy do oglądania tych zdjęć, prawda? W rzeczywistości jednak sharenting niesie ze sobą szereg zagrożeń, o których warto pamiętać.

Publikowanie zdjęć i informacji o naszych dzieciach w internecie narusza ich prawo do prywatności i wyboru – dzieci nie mają możliwości świadomego wyrażenia zgody na udostępnianie ich zdjęć czy innych informacji, bo z racji wieku nie rozumieją, co to oznacza i jakie niesie za sobą (długoterminowe) konsekwencje. Co więcej, wiele dzieci mogłoby zdecydować o całkowitej rezygnacji z obecności w mediach społecznościowych jednak decyzje podjęte przez rodziców w ich imieniu z góry odbierają im tę możliwość. Mamy tu do czynienia z konfliktem pomiędzy prawami rodziców do swobodnego korzystania z mediów społecznościowych, a prawem dzieci do zachowania prywatności.

Jakie są długoterminowe konsekwencje „Sharentingu”?

Dzisiaj, jeszcze zanim dzieci zrobią swój pierwszy krok, ich dane cyfrowe są już przesyłane do „prawdopodobnie tysięcy, prawdopodobnie dziesiątków tysięcy, użytkowników ludzkich i maszynowych”. Jako rodzice musimy mieć tego świadomość.

Rodzice często nie zastanawiają się nad długoterminowymi konsekwencjami takich działań. Mogą one dotyczyć zarówno bezpieczeństwa dziecka (dane i zdjęcia udostępniane w sieci mogą być wykorzystane do celów niezgodnych z prawem), jak i późniejszego rozwoju dziecka – na przykład jego reputacji online, możliwości budowania własnej tożsamości cyfrowej, czy kształtowania swojego wizerunku. Istnieje też realne ryzyko pojawienia się nowych zaburzeń, które będą odbiciem dojrzewania w internecie.

Tylko w idealnym świecie działania on-line rodziców nie miałyby wpływu na reputację dzieci. Z perspektywy kolegów ze szkoły, nasze rodzinne historie i zdjęcia publikowane w sieci kilka lat wcześniej, wcale nie muszą być fajne, a to może narazić nasze dziecko na nieprzyjemności i wyśmiewanie ze strony rówieśników.

Ale konsekwencje mogą wykraczać daleko poza problemy z rówieśnikami. Według badań opublikowanych przez New York Times do 2030 roku niemal dwie trzecie przypadków kradzieży tożsamości dotyczących dzisiejszych dzieci będzie wynikało z sharentingu.

„Sharenting” a przepisy prawa

Wizerunek osobisty – zarówno osób dorosłych jak i dzieci – jest dobrem osobistym. W Polsce podlega ochronie na mocy przepisów zawartych w Kodeksie cywilnym, w Ustawie o prawie autorskim i prawach pokrewnych, Ustawie o ochronie danych osobowych (i RODO), w Kodeksie rodzinnym i opiekuńczym oraz Konwencji o prawach dziecka. Rodzice powinni zarządzać nim rozważnie, działając w najlepszym interesie nieletnich i z szacunkiem do nich.

Proste porady dla rodziców. Jak chronić prywatność dzieci w social mediach?

Jak więc chronić wizerunek swojego dziecka w internecie? Przede wszystkim, zastanów się dwa razy, zanim udostępnisz coś o swoim dziecku w sieci. Pamiętaj, że to, co raz wstawisz do internetu, pozostanie tam na zawsze. Czy na pewno musisz to robić? Czy jest inny sposób na pokazanie chwili, która jest dla Ciebie ważna?
Można być mamą w social mediach i publikować treści, które inspirują inne mamy, jednocześnie nie pokazując dzieci (albo przynajmniej ich twarzy). Na takie podejście zdecydowało się kilka polskich celebrytek, np. Ola Żebrowska, Anna Lewandowska, Małgorzata Socha i Zofia Zborowska.
Unikaj udostępniania szczegółów, które mogą narazić Twoje dziecko na niebezpieczeństwo, takich jak nazwisko, adres czy szkoła, do której uczęszcza.
Ucz swoje dziecko o bezpieczeństwie w internecie i daj mu wybór, czy chce być obecne w mediach społecznościowych, gdy jest na to gotowe.

Źródło: https://mamydlamamy.pl/ochrona-wizerunku-dziecka-w-sieci-czym-jest-sharenting/

Poradnik EROD na temat ochrony danych osobowych dla małych i średnich przedsiębiorstw – co z niego wynika?

Na rynku funkcjonuje całkiem duża liczba podmiotów, które nie podejmują wystarczających aktywności związanych z zapewnieniem ochrony przetwarzanych danych osobowych. Dotyczy to zwłaszcza tych najmniejszych przedsiębiorców, nieposiadających wysokich zasobów finansowych lub czasowych na tworzenie dedykowanych stanowisk lub nabywanie zewnętrznych usług w omawianym zakresie.

W celu wsparcia tych grup Europejska Rada Ochrony Danych (dalej: EROD) stworzyła poradnik dedykowany dla małych i średnich przedsiębiorstw – jego celem jest przedstawienie podstawowych reguł przetwarzania danych osobowych oraz wskazanie generalnych kierunków postępowania m.in. w celu odpowiadania na zapytania osób, których dane dotyczą, lub zabezpieczania danych.

W przygotowanym przewodniku EROD stara się w pierwszej kolejności wyjaśnić, jak należy prawidłowo rozumieć pojęcie danych osobowych – jest to wszak jeden z elementarnych aspektów stosowania RODO. Niektórzy przedsiębiorcy uważają, że ich brak zainteresowania identyfikacją osoby lub brak natychmiastowej możliwości przypisania danych do osoby (np. numeru telefonu) zwalnia ich z obowiązku działania zgodnie z przepisami dot. ochrony danych osobowych. Takie stanowisko jest jednak nieprawidłowe. EROD wskazuje na różnego rodzaju kategorie danych osobowych – od oczywistych kwestii, jak adres e-mail czy imię i nazwisko, do danych dotyczących nawyków i preferencji danej osoby.

Uwaga

Z perspektywy przedsiębiorcy ważne jest również rozróżnienie na dane osobowe „zwykłe” (np. adres zamieszkania) oraz dane osobowe szczególnych kategorii (np. dane dotyczące zdrowia), które to podlegają ściślejszej ochronie. Przetwarzanie tych drugich generalnie jest zakazane, chyba że istnieje odpowiednia przesłanka legalizująca, w praktyce zazwyczaj przyjmująca formę wyraźnej zgody.

EROD zwraca też uwagę na dodatkową kategorię danych osobowych, to znaczy informacje dotyczące wyroków skazujących i czynów zabronionych – generalnie ich przetwarzanie również jest zabronione, chyba że konkretne przepisy to dopuszczają.

Podstawowe kwestie

Nie bez znaczenia jest również wyjaśnienie przez EROD dwóch aspektów stosowania RODO – po pierwsze, co kryje się pod pojęciem „przetwarzanie danych osobowych”. Rada wskazuje tutaj, że niezależnie od tego, czy miałoby się to odbywać automatycznie, czy manualnie, to pojęcie przetwarzania obejmuje sobą wiele różnych czynności – w tym nawet samo przechowywanie. Taka klaryfikacja jest bardzo istotna, bo w praktyce możliwe było spotkanie się z argumentami jakoby administrator w swojej ocenie nie przetwarzał w ogóle danych, jako że je jedynie przechowuje.

Następnie EROD zakreśla ramy terytorialne i organizacyjne związane z obowiązkiem stosowania RODO. Podleganie pod omawianą regulację istnieje, gdy:

przedsiębiorca działa na terenie Europejskiego Obszaru Gospodarczego (dalej: EOG) lub

usługi czy produkty oferowane są osobom znajdującym się na terenie EOG lub

monitorowane są zachowania osób znajdujących się na terenie EOG (np. badanie lokacji osób w Polsce, które korzystają z aplikacji do mierzenia przebytego dystansu).

Uwaga

Przydatną praktyczną wskazówką jest wskazanie w poradniku, że obowiązek stosowania RODO dotyczyć będzie firm informatycznych, które znajdują się poza EOG, ale działają jako podwykonawca biznesu znajdującego się na terenie EOG i w związku z tym zarządzają ich bazami danych.

Zasady przetwarzania danych

Poradnik nie pomija też kwestii podstawowych zasad przetwarzania danych osobowych, które uregulowano w RODO. Chodzi tu o zasady:

1) zgodności z prawem, rzetelności i przejrzystości – EROD słusznie zwraca tu szczególną uwagę na posiadanie odpowiedniej podstawy przetwarzania danych osobowych. Wyjaśnia też poszczególne cechy, które musi posiadać jedna z częściej spotykanych podstaw, czyli zgoda. To wytłumaczenie jest bardzo istotne – w praktyce niektórzy przedsiębiorcy starają się wymusić zgodę, w pewien sposób wiążąc ją ze świadczeniem danej usługi. Podkreślono też charakter zgody na przetwarzanie danych osobowych jako ostateczny środek legalizacji przetwarzania. Oznacza to, że w sytuacji, gdy istnieje inna przesłanka legalizująca dokonywanie operacji na danych – to do niej powinien odnosić się administrator;

2) ograniczenia celu – musi istnieć ścisła korelacja pomiędzy celem przetwarzania (np. umożliwienie składania zamówień przez formularz na stronie internetowej) a zbieranymi danymi,

3) minimalizacji danych – zbierane dane osobowe powinny być ograniczone do tych, które są niezbędne do osiągnięcia zamierzonego zadania. Innymi słowy, zbieranie danych na zapas będzie stało w sprzeczności z RODO, a postawione sobie cele muszą też mieć odpowiednie podstawy przetwarzania;

Przykład

Przedsiębiorca prowadzi sprzedaż za pomocą swojego sklepu internetowego. Zamieścił w ramach formularza zamówienia wymóg podania podstawowych danych, jak imię i nazwisko oraz adres zamieszkania, a także numer dowodu osobistego. Jako że numer dowodu osobistego nie jest daną niezbędną do prowadzenia sprzedaży, to nie ma tutaj korelacji pomiędzy celem przetwarzania (sprzedażą) a tym rodzajem zbieranych danych.

4) integralności – poradnik wskazuje na konieczność posiadania aktualnych i prawdziwych danych osobowych przez administratora. W praktyce taki obowiązek raczej nie dotyczy ciągłego weryfikowania poprawności danych (np. poprzez wysyłanie wiadomości e-mail do klientów z prośbą o potwierdzenie aktualnych danych), a raczej odpowiadanie na wnioski osób, których dane są przetwarzane, co do dokonania ewentualnych korekt lub uzupełnień;

5) ograniczenia przechowywania – kolejną istotną regułą, o której wspomina poradnik, jest konieczność przechowywania danych przez limitowany okres. Głównym kryterium jest tu niezbędność przetwarzanych danych do danego celu. Innymi słowy, dalsze przechowywanie danych „na wszelki wypadek” będzie błędne;

Przykład

Przedsiębiorca organizuje rekrutacje do pracy. Niektórzy kandydaci, gdy wysyłają swoje zgłoszenia, jednocześnie wyrażają zgodę na przetwarzanie danych osobowych w celach przyszłych rekrutacji. W takiej sytuacji administrator danych powinien ustalić pewien limit czasowy, przez jaki takie dane będą przechowywane – niedopuszczalne byłoby przetwarzanie danych „w nieskończoność”. Zazwyczaj w tej sytuacji odpowiednim okresem przechowywania będzie czas nie dłuższy niż rok, gdyż należy brać pod uwagę możliwość dezaktualizacji wysyłanych zgłoszeń. Na marginesie wspomnieć należy, że w sytuacji, gdy wyżej przywołana zgoda nie zostanie wyrażona, to dane osobowe powinny być usuwane po zakończeniu rekrutacji.

6) bezpieczeństwa – EROD w tym miejscu wspomina dosyć ogólnikowo o konieczności odpowiedniego zabezpieczania danych, jednakże materia ta jest rozwinięta w dalszej części poradnika.

Prawa osób, których dane dotyczą

Kolejną istotną sferą objętą uregulowaniami RODO jest tematyka praw osób, których dane miałyby być przetwarzane. EROD przedstawia ogólne wytyczne co do sposobu reagowania na żądania zgłaszane przez osoby, których dane przetwarza administrator – między innymi wskazuje, że konieczne jest wdrożenie odpowiednich procedur oraz narzędzi umożliwiających sprawne reagowanie na zapytania oraz odpowiedniego dokumentowania udzielanych informacji i realizowania zgłaszanych żądań.

W poradniku podkreślono, że podstawowym celem jest zachowanie transparentności reagowania na zgłaszane żądania. Ułatwić ma to stosowanie zrozumiałego języka oraz korzystanie z odpowiednich mechanizmów – w szczególności elektronicznych – chociażby takich jak formularze dostępne na stronie internetowej.

Uwaga

Zgodnie z zasadą rozliczalności administrator powinien móc wykazać, że odpowiednio realizuje swoje obowiązki, w tym wypadku będzie to reagowanie na zgłoszenia osób, których dane dotyczą. Z tego powodu zasadne będzie utrwalanie komunikacji i przeprowadzanie jej w formie pisemnej lub elektronicznej.

Jednocześnie, zgodnie z RODO, odpowiedzi na żądania muszą być udzielane w odpowiednim czasie – standardowo jest to miesiąc, aczkolwiek czas ten może być odpowiednio wydłużony, przy bardziej skomplikowanych lub czasochłonnych żądaniach. Co również istotne, odpowiedzi na zgłoszenia nie mogą być związane z koniecznością uiszczenia opłaty za podjęcie działań przez administratora. Wyjątkiem jest tutaj sytuacja, gdyby to prawo do zgłaszania żądań było nadużywane – przykładowo, osoba, której dane dotyczą, prosiłaby o kopię swoich danych w tygodniowych odstępach.

Obowiązek informacyjny

Jednym z istotnych aspektów w relacji na linii administrator i osoba, której dane są przetwarzane, jest realizacja obowiązku informacyjnego. Poradnik w formie tabelki przedstawia informacje, które powinny być podawane, w zależności od tego, czy dane te zostały pozyskane bezpośrednio od osoby lub z innego źródła. Przypomniano też moment podania tych informacji – jeżeli dane są użyte do komunikacji z osobą, to wtedy wymagane prawem informacje muszą zostać podane przy pierwszej komunikacji (np. wysyłając ofertę potencjalnemu klientowi, należy spełnić obowiązek informacyjny w pierwszej kierowanej do niego wiadomości). Z kolei w sytuacji, gdy dane te przekazywane są jakiemuś odbiorcy, odpowiednie informacje powinny być przekazane najpóźniej w momencie samego transferu.

EROD, opisując regulacje funkcjonujące na gruncie RODO, wspomina też o przypadkach, które uzasadniają pominięcie realizacji obowiązku informacyjnego. Chodzi zwłaszcza o sytuację, gdy udzielenie informacji wymagałoby niewspółmiernie dużego wysiłku. Jest to jednak wyjątek, który w praktyce stosowany może być rzadko – powszechnie przyjmuje się, że przepisy należy interpretować bardzo rygorystycznie.

Uwaga

EROD przypomina, że spełnienie obowiązku informacyjnego może przyjąć formę warstwową. Oznacza to, że prawidłowe będzie wykorzystanie dwóch dokumentów – w pierwszym podajemy tylko podstawowe i najistotniejsze informacje (m.in. kto jest administratorem, jaka jest podstawa prawna przetwarzania danych), a szczegółowy opis dotyczący procesu przetwarzania znajduje się pod oddzielnym linkiem lub w innym dokumencie. W praktyce jest to spore ułatwienie, chociażby w związku ze stosowaniem stopek wiadomości e-mail, gdzie zamieszczenie całości wymaganych przez RODO informacji czyniłoby komunikat długim i nieczytelnym.

Zgodność przetwarzania danych

Poradnik nie pomija też istotności stosowania dwóch reguł wyrażonych w RODO – zasad privacy by design oraz privacy by default. Chodzi tu oczywiście o dbanie o prywatność w fazie projektowania (np. opracowywania nowego narzędzia dotyczącego zarządzania zespołem) oraz stałego dbania o odpowiednie przetwarzanie danych osobowych, w szczególności w kwestii zakresu zbieranych danych, czasu przetwarzania czy analizowania podstaw przetwarzania. Realizacja tych zasad powinna odbywać się wraz ze sporządzeniem odpowiedniej dokumentacji, która służyłaby też jako punkt odniesienia w ramach bieżącej działalności administratora – pozwoli to też skuteczniej realizować zasadę rozliczalności – administrator w ten sposób może wykazać, że faktycznie odpowiednio rozważył swój sposób funkcjonowania.

Uwaga

Elementem, który może w praktyce sprawiać problemy, jest sporządzenie rejestru czynności przetwarzania – najczęściej przyjmuje on formę rozbudowanej tabeli, w której wskazane są poszczególne czynności przetwarzania wraz z odpowiednim ich opisaniem. Przepisy co prawda przepisują pewne wyjątki od obowiązku sporządzania tego dokumentu, jednakże w praktyce nieczęsto zdarza się możliwość odstąpienia od tworzenia rejestru.

Poszczególne uprawnienia osób, których dane dotyczą

Opis

prawo dostępu

możliwość żądania uzyskania potwierdzenia od administratora co do tego, czy przetwarza on nasze dane osobowe oraz jakie jest nasze prawo do bezpłatnego pozyskania kopii przetwarzanych danych. Oczywiście, samo przekazanie kopii danych nie powinno odbywać się z naruszeniem praw innych osób – tym samym administrator musi dopilnować, aby przypadkowo nie przekazać zgłaszającemu żądanie danych dotyczących osób trzecich. Na marginesie warto wspomnieć tu o wyroku Trybunału Sprawiedliwości Unii Europejskiej (sygn. C-487/21), w którym podniesiono, że pozyskanie kopii danych nie powinno ograniczać się do przedstawienia przetwarzanych informacji bez odpowiedniego kontekstu – co oznacza, że prawo dostępu obejmuje też prawo uzyskania kopii całych lub odpowiednich fragmentów dokumentów,w których znajdują się dane osobowe;

prawo do sprostowania

osoba, której dane dotyczą, ma prawo żądania uzupełnienia lub poprawienia przetwarzanych danych osobowych, gdy są one niekompletne lub błędne;

prawo do usunięcia danych (prawo do bycia zapomnianym)

przepisy przewidują kilka sytuacji, które uzasadniałyby takie żądanie, np. dane osobowe nie są już potrzebne lub osoba, której dane dotyczą, wycofała zgodę na przetwarzanie. Oczywiście, wystosowywanie takiego żądania podlega ograniczeniom. W praktyce najistotniejsza będzie sytuacja, gdy dane te będą niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub realizacji konkretnych obowiązków przewidzianych prawem (np. przechowywanie dokumentacji pracowniczej);

prawo do ograniczenia przetwarzania

zgodnie z regulacjami zawartymi w RODO istnieją sytuacje, gdy osoba, której dane dotyczą, może żądać, aby pomimo dalszego posiadania danych przez administratora zaprzestał on dokonywania jakichkolwiek operacji na tych danych. Przepisy przewidują tutaj chociażby takie scenariusze jak sytuacja, w której dane nie są potrzebne dla administratora, lecz podmiot danych może dochodzić roszczeń, lub sytuacja, w której zgłaszający żądanie kwestionuje prawidłowość danych;

prawo do przenoszenia danych

osoba, której dane dotyczą, ma prawo do otrzymania jej danych osobowych w powszechnie używanym formacie w celu ponownego wykorzystania tych danych przez innego administratora. Jako ciekawy przykład EROD podaje tutaj możliwość uzyskania listy zapisanych piosenek w ramach jednej muzycznej platformy streamingowej w celu wykorzystania jej w innym serwisie;

prawo do sprzeciwu

najczęściej prawo to będzie realizowane w sytuacji, gdy dane przetwarzane są na podstawie uzasadnionego interesu administratora danych, gdzie w takiej sytuacji, po odpowiednim wyważeniu interesu administratora oraz praw i wolności osoby fizycznej, nadanie prymatu temu drugiemu powinno prowadzić do zaprzestania przetwarzania. Specyficznymi zasadami rządzi się tu przetwarzanie danych na podstawie uzasadnionego interesu w celach marketingu bezpośredniego – sprzeciw musi prowadzić do natychmiastowego zaprzestania wykorzystania tych danych, pomijając analizę wyższości interesu administratora nad interesem podmiotu danych;

prawo niepodlegania automatycznej decyzji, która wywołuje skutki prawne lub w inny istotny sposób wpływa na osobę, której dane dotyczą

przykładem takiej decyzji o istotnym wpływie na osobę jest chociażby udzielenie lub nieudzielenie kredytu.

DPIA dla MŚP

Jednym z dokumentów, które niekiedy muszą być stworzone w zależności od charakteru działalności administratora, jest ocena skutków dla ochrony danych (Data Protection Impact Assessment – DPIA). Poradnik pokrótce przedstawia najistotniejsze elementy, które w takim dokumencie musiałyby się znaleźć, oraz wskazuje sytuacje, które sprawiają, że sporządzenie go jest obligatoryjne. Przykładami sytuacji, gdzie sporządzenie DPIA mogłoby być obowiązkowe, jak podaje EROD, byłoby przetwarzanie danych biometrycznych w celu identyfikacji pacjentów, korzystanie z danych osobowych osób narażonych na dyskryminację w celach marketingowych, wykorzystywanie narzędzi badających lokalizację w ramach aplikacji mobilnej. Rada przygotowała w ramach poradnika prosty quiz, który ma udzielić odpowiedzi na pytanie, czy stworzenie oceny skutków jest obowiązkowe – niestety, jest on na tyle ogólny i uproszczony, że trudno byłoby go z sukcesem wykorzystywać w każdym przypadku.

Uwaga

Jedną ze wskazówek jest również zwrócenie uwagi na możliwość korzystania z odpowiednich kodeksów postępowania. Na ten moment w Polsce zatwierdzony został tylko jeden, czyli „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”. EROD wspomina też o istnieniu mechanizmów certyfikacji RODO, jednakże w Polsce istnieją one jedynie na papierze, gdyż na ten moment nie weszły do praktyki.

Bezpieczeństwo danych osobowych

Aspektem kluczowym dla zapewnienia zgodności przetwarzania danych z RODO jest wdrożenie odpowiednich zabezpieczeń organizacyjnych oraz technicznych – tej materii dotyczy ostatni z „rozdziałów” poradnika. Naruszenia zasady bezpieczeństwa danych należą do głównych mechanizmów, które uruchamiają różnego rodzaju kontrole urzędów, a także negatywnie wpływają na obraz przedsiębiorcy. Przypadki te mogą przyjąć różną formę – np. naruszenie poufności (osoba nieautoryzowana uzyskuje dostęp do danych), naruszenie integralności danych (dane zostają zmodyfikowane w sposób, który utrudnia lub uniemożliwia skuteczne korzystanie z nich) oraz utrata danych lub dostępu do danych.

Wszelkie te niebezpieczeństwa muszą być traktowane jako realne zagrożenia, gdzie odpowiednie metody zapobiegawcze oraz sposoby reakcji na ich wystąpienie powinny być przez administratora odpowiednio przeanalizowane.

W działaniu zapobiegawczym bardzo przydatne mogą się okazać różnego rodzaju dokumenty, które pozwolą w łatwy sposób wyodrębnić obszary największych zagrożeń i umożliwią administratorowi skupienie się na nich. Całościowa analiza prowadzonej działalności pomoże też wybrać odpowiednie narzędzia do ochrony – zgodnie z RODO celem administratora nie musi być wykorzystywanie rozwiązań najdroższych i najbardziej zaawansowanych technologicznie – istotne jest tu kryterium proporcjonalności wdrożonych zabezpieczeń. Poradnik przedstawia listę poszczególnych działań, w szczególności w sferze informatycznej, które mogą być punktem odniesienia dla przedsiębiorcy zapoznającego się z dokumentem. Poza bezpieczeństwem technicznym i organizacyjnym EROD nie pomija bezpieczeństwa fizycznego, to znaczy ograniczenia dostępu do pomieszczeń, miejsc, gdzie są przechowywane nośniki danych, czy też instalowania kamer lub systemów bezpieczeństwa.

Reakcja i informowanie o naruszeniach ochrony danych

Poradnik nie pomija też kwestii reagowania na wszelkiego rodzaju incydenty i naruszenia ochrony danych. Przedstawione są kryteria pozwalające ocenić, czy dany incydent powinien zostać zgłoszony do odpowiednich organów nadzorczych – jak wskazuje RODO, istotne jest tutaj rozważenie zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych. Takim naruszeniem może być chociażby upublicznienie informacji co do zdolności finansowej jakiejś grupy osób.

Z drugiej strony najprawdopodobniej takiego zagrożenia nie będzie, gdy udostępniona jest lista imion i nazwisk osób, które korzystają z standardowych usług – np. lista osób umówionych danego dnia na wizytę hydraulika. Oczywiście, administratorzy, którzy doświadczyli incydentów, powinni, w niektórych sytuacjach, powziąć dodatkowe działania – jeżeli ryzyko naruszenia praw i wolności osób, których dane dotyczą, jest wysokie, odpowiednie będzie również poinformowanie samych osób dotkniętych naruszeniem.

Końcowe uwagi co do poradnika

Poradnik może służyć jako przydatne narzędzie w rozpoczęciu stosowania RODO, jednakże raczej nie rozwieje wątpliwości osób mających pierwszy kontakt z tą regulacją. Jednym z wniosków, które nasuwają się podczas analizy poradnika, jest to, że RODO jest dosyć słabo przystosowane do wdrażania go na małą skalę – w tym wypadku w mniejszych przedsiębiorstwach.

Ze względu na to, że poradnik ma mieć zastosowanie do całego obszaru Unii Europejskiej, nie są brane pod uwagę aspekty lokalnej praktyki poszczególnych urzędów dot. ochrony danych osobowych – w Polsce rozdźwięk pomiędzy tym, jak rozumiane są przepisy przez praktyków, sądownictwo oraz Urząd Ochrony Danych Osobowych, jest łatwo zauważalny. Przykładowo, może to dotyczyć bardzo rygorystycznego podejścia przez prezesa UODO do ochrony numerów PESEL, które jest krytykowane przez inne środowiska. Z drugiej strony takie ujednolicone podejście EROD w tworzeniu poradnika jest też uzasadnione.

Uwaga

Wskazując na braki w całym poradniku, nie można pominąć tego, że na próżno poszukiwać jakichkolwiek wzorów dokumentów, które mogłyby przydać się małym przedsiębiorcom. Mimo wszystko – zgodnie z zasadą rozliczalności funkcjonującą w reżimie RODO – administrator danych osobowych powinien móc wykazać (w praktyce – odpowiednimi dokumentami), że odpowiednio zbadał wewnętrzne procesy przetwarzania oraz dostosował swoje procedury do istniejących zagrożeń oraz konieczności realizacji praw osób. Takiego rodzaju wsparcie ze strony EROD byłoby nad wyraz przydatne również ze względu na to, że rozporządzenie samo reguluje wyraźnie tylko kilka dokumentów, które dany administrator powinien sporządzić.

Źródło: https://odo.wip.pl

Rozwiązanie umowy o pracę bez naruszenia ochrony danych – jak to zrobić?

W związku z rozwiązaniem umowy o pracę pracodawca przetwarza dane osobowe pracownika. Przetwarzanie to ma miejsce na etapie konsultacji związkowej, ale też przy wręczeniu oświadczenia o rozwiązaniu umowy o pracę i w związku z przygotowaniem świadectwa pracy.

Stosunek pracy może ustać w wyniku rozwiązania lub wygaśnięcia. Różnica jest taka, że rozwiązanie stosunku pracy to wynik oświadczenia pracodawcy lub pracownika. Jest to oświadczenie woli, czyli wyrażenie woli osoby dokonującej czynności prawnej (art. 60 Kodeksu cywilnego). Oświadczenie takie musi być złożone w formie pisemnej lub elektronicznej. Do zachowania formy pisemnej wystarczy zaś złożenie własnoręcznego podpisu na dokumencie obejmującym treść oświadczenia woli (art. 78 § 1 Kodeksu cywilnego). Oświadczenie takie musi oczywiście zawierać dane osobowe pracownika. Ich administratorem jest zaś pracodawca.

Dane osobowe w oświadczeniu o rozwiązaniu umowy o pracę

W przepisach nie znajdziemy obowiązującego wzoru oświadczenia o rozwiązaniu, w tym wypowiedzeniu umowy o pracę. Treść takiego oświadczenia pracodawca musi więc zredagować samodzielnie. Jakie dane osobowe należy w nim zawrzeć? Otóż pracodawca jako administrator danych musi postępować zgodnie z regułą minimalizacji danych. Dlatego w oświadczeniu o rozwiązaniu stosunku pracy należy podać wyłącznie dane niezbędne do zidentyfikowania pracownika i odróżnienia go od pozostałych pracowników. Będą to:

imię i nazwisko,

adres,

nazwa stanowiska.

Zgoda pracownika

Do przetwarzania danych osobowych w oświadczeniu o rozwiązaniu stosunku pracy nie jest wymagana zgoda pracownika. Dane te przetwarzane są bowiem w realizacji uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). Pracodawca realizuje bowiem swój interes w postaci uprawnienia do rozwiązania stosunku pracy wynikającego z przepisów prawa pracy. Z kolei w przypadku rozwiązania stosunku pracy przez pracownika realizowany jest interes pracownika.

Dane pracownika przetwarzane w ramach konsultacji związkowej

Wypowiedzenie i rozwiązanie umowy o pracę niekiedy wymaga przeprowadzenia konsultacji związkowej. Jest to konieczne w przypadku, gdy pracownik jest reprezentowany przez organizację związkową. W takim przypadku pracodawca musi:

poinformować reprezentującą pracownika organizację związkową o zamiarze rozwiązania stosunku pracy,

oczekiwać przez określony czas na opinię tej organizacji.

To zaś oznacza, że w procesie przetwarzania danych osobowych pracownika będą uczestniczyły nie dwie, a trzy strony. Czy zatem pracodawca powinien uzyskać zgodę na przetwarzanie danych osobowych na potrzeby konsultacji związkowej? Otóż nie.

Uwaga

Pracodawca przekazuje dane osobowe pracownika reprezentującej go organizacji związkowej w celu wykonania obowiązku prawnego konsultacji związkowej (art. 6 ust. 1 lit. c RODO w zw. z art. 38 Kodeksu pracy lub art. 52 § 3 Kodeksu pracy). Z tego względu zgoda pracownika na przetwarzanie jego danych osobowych w tym zakresie nie jest potrzebna.

Konsultacja związkowa

W związku z konsultacją związkową istnieje ryzyko przekazania danych osobowych pracownika nieuprawnionemu podmiotowi. Stanie się tak choćby w przypadku omyłkowego przyjęcia, że pracownik jest reprezentowany przez daną organizacją związkową. W tym celu w razie wątpliwości warto najpierw pozyskać od związku zawodowego informację, czy dany pracownik jest przez nią reprezentowany.

Przykład

Pracodawca wie, że pracownik w przeszłości należał do związku zawodowego. Tymczasem pracownik zdążył wypisać się z tego związku. Pracodawca, nie wiedząc o tym, zawiadomił organizację związkową o zamiarze wypowiedzenia jego umowy o pracę. W ten sposób przekazał dane osobowe pracownika bez podstawy prawnej.

Reprezentująca pracownika organizacja związkowa jest administratorem jego danych osobowych. Dlatego pracodawca udostępnia jej dane osobowe pracownika w zawiadomieniu o zamiarze wypowiedzenia lub rozwiązania stosunku pracy, a nie powierza ich przetwarzania.

Pracodawca nie zawiera z organizacją związkową umowy powierzenia przetwarzania danych.

Dane wrażliwe w świadectwie pracy

W związku z rozwiązaniem lub wygaśnięciem stosunku pracy pracodawca sporządza i przekazuje pracownikowi świadectwo pracy. Jest to dokument urzędowy zawierający oczywiście dane osobowe pracownika, niezbędne do ustalenia uprawnień ze stosunku pracy oraz z ubezpieczenia społecznego. W świadectwie pracy zamieszcza się dane osobowe zgodnie z wzorem będącym załącznikiem do rozporządzenia MRPiPS z 30 grudnia 2016 r. w sprawie świadectwa pracy. Innymi słowy, wzór ten wyznacza zakres danych osobowych przetwarzanych w tym świadectwie. Będą to m.in. imię i nazwisko pracownika i data urodzenia, a także informacja o okresach niezdolności do pracy z powodu choroby.

Uwaga

Również wystawienie świadectwa pracy stanowi wykonanie obowiązku prawnego w zakresie prawa pracy. Dlatego podstawą prawną przetwarzania danych osobowych w tym świadectwie jest:

art. 6 ust. 1 lit. c RODO w zw. z art. 97 Kodeksu pracy – w zakresie danych osobowych zwykłych,

art. 9 ust. 2 lit. b RODO w zw. z art. 97 Kodeksu pracy – w zakresie danych osobowych szczególnej kategorii.

Nadmiarowe dane

Niestety dość łatwo o błąd w świadectwie pracy polegający na podaniu w nim nadmiarowych danych osobowych. Aby go uniknąć, należy ściśle trzymać się wzoru świadectwa pracy i instrukcji jego wypełniania. Błędem byłoby wykorzystanie nieaktualnego wzoru świadectwa pracy zawierającego m.in. dane osobowe rodziców pracownika.

Przykład:

W świadectwie pracy wskazano, że stosunek pracy został rozwiązany za porozumieniem stron z uwagi na zamiar przejścia na emeryturę przez pracownika. W ten sposób w świadectwie znalazły się nadmiarowe dane osobowe. Wszak zgodnie z załącznikiem do rozporządzenia w sprawie świadectwa pracy w dokumencie tym podaje się podstawę prawną rozwiązania stosunku pracy, ale już nie motywy tego rozwiązania.

Ochrona danych w przechowywanej dokumentacji pracowniczej

Po rozwiązaniu stosunku pracy i wystawieniu świadectwa pracy pracodawca dalej przetwarza dane osobowe pracownika – w ramach przechowywanej dokumentacji. Dla umów zawartych w okresie od 1 stycznia 2019 r. dokumentację pracowniczą należy przechowywać przez 10 lat kalendarzowych, licząc od końca roku, w którym ustał jego stosunek pracy. Musi być ona przechowywana tak, aby zachowana była jej: poufność, integralność, kompletność, dostępność. Dane osobowe w dokumentacji pracowniczej przetwarzane są w wykonaniu obowiązku prawnego (art. 6 ust. 1 lit. c lub art. 9 ust. 2 lit. b RODO, art. 94 pkt 9b Kodeksu pracy).

Prawo do bycia zapomnianym

Czy były pracownik jako osoba, której dane dotyczą, może żądać ich usunięcia z akt osobowych i pozostałej dokumentacji pracowniczej? Innymi słowy, czy przysługuje mu w takiej sytuacji prawo do bycia zapomnianym? Z prawa do bycia zapomnianym można skorzystać m.in. wówczas, gdy dane osobowe nie są już niezbędne do celów, w których je zebrano (art. 17 ust. 1 lit. a RODO). Na pierwszy rzut oka wydaje się, że mamy do czynienia właśnie z taką sytuacją. Tak jednak nie jest. Wszak przechowywanie dokumentacji pracowniczej jest prawnym obowiązkiem administratora, a to wyklucza usunięcie danych osobowych na żądanie (art. 17 ust. 3 lit. b RODO). Gdyby więc pracodawca spełnił żądanie byłego pracownika i usunął jego dane osobowe, to naraziłby na zarzut niedopełnienia obowiązku przechowywania kompletnej i integralnej dokumentacji.

Źródło: https://odo.wip.pl

Inteligentne zabawki. Jak zadbać o prywatność dziecka?

W ostatnich latach na polskim rynku zaczęły pojawiać się inteligentne zabawki bazujące na Internecie Rzeczy (IoT) w postaci lalek, robotów czy dziecięcych zegarków, które bez wątpienia wzbudzają duże zainteresowanie wśród dzieci w różnym wieku. Wiele z nich ma wartość edukacyjną i wspomaga kreatywność dziecka, nic więc dziwnego, że są coraz częściej wybierane jako prezenty. Niestety, niejednokrotnie mogą one stanowić zagrożenie dla prywatności i ochrony danych. Na co więc zwrócić uwagę przed zakupem takiej zabawki, żeby się przed tym uchronić i cieszyć się wymarzonym prezentem?

UODO przypomina, że tego typu zabawki: „(…) Wyposażone w technologie rozpoznawania mowy, wchodzą w interakcje z dzieckiem. Wielokrotnie wiąże się to z bezprawnym gromadzeniem danych o dziecku, co może stanowić zagrożenie dla jego prywatności, a także narazić go na problemy związane z cyberprzestępczością, w tym kradzież danych, bezprawne ich użycie bez wiedzy użytkownika czy oszustwo (…)”.

Komunikat UODO z 29 maja 2020 r. pt. (Nie)bezpieczeństwo zabawek połączonych z Internetem.

8 podpowiedzi, jak korzystać z inteligentnych zabawek

1. W pierwszej kolejności upewnij się, że wiesz jakie funkcje posiada inteligentna zabawka i w jaki sposób wchodzi w interakcję z dzieckiem: Czy posiada wbudowaną kamerę? A może została wyposażona w funkcję rozpoznawania mowy? Czy może łączyć się z innymi urządzeniami?

2. Mając świadomość, jakie oferuje możliwości, należy zdawać sobie sprawę, że mogą one narazić dziecko na niepotrzebne ryzyko, dlatego warto zasięgnąć fachowej opinii lub zapoznać się z recenzjami dostępnymi w Internecie, szczególnie pod kątem ewentualnych problemów z bezpieczeństwem zabawki.

3. Kolejną istotną kwestią jest zweryfikowanie, czy producenci inteligentnych zabawek zapewniają ochronę danych osobowych na poziomie wymaganym przez przepisy obowiązujące w Unii Europejskiej. Jakie dane zbiera zabawka i gdzie są one przechowywane? Wiele zabawek już podczas instalacji wymaga podania szeregu informacji, takich jak imię, wiek dziecka, adres zamieszkania czy lokalizacja. Zanim jednak zdecydujemy się na ich przekazanie należy upewnić się, że firma jest godna zaufania oraz uważnie przeczytać warunki użytkowania i politykę prywatności, żeby sprawdzić w jakim celu producent lub inny podmiot prosi o ich podanie oraz czy zakres ten jest niezbędny.

4. Konieczne jest również zweryfikowanie, czy komunikacja z serwerem jest szyfrowana, a zabawka jest odpowiednio zabezpieczona przed niepowołanym dostępem przez osoby trzecie.

5. Zabawkę należy podłączać i używać wyłącznie w środowisku z dostępem do bezpiecznej i zaufanej sieci WiFi.

6. Należy również sprawdzić, czy producent zapewnia aktualizacje oprogramowania. Wiele zabawek ma wbudowany mechanizm automatycznej aktualizacji i w przypadku dostępnej nowszej wersji pobierają i instalują ją automatyczne. Warto jednak upewnić się, że aktualizacje pochodzą z wiarygodnego źródła.

7. Warto także zwrócić uwagę, w jaki sposób można wyłączyć mikrofon lub kamerę w przypadku, gdy zabawka nie jest używana.

8. Przed pozbyciem się jej należy pamiętać o usunięciu danych przywracając urządzenie do stanu fabrycznego.

Źródło: https://uodo.gov.pl/pl

Ochrona danych osobowych przy masowym wysyłaniu e-maili

Zgodnie z Ustawą o Ochronie Danych Osobowych, każdy administrator, zobowiązany jest do ich ochrony. Musi również zadbać o to, by nie zostały one udostępnione osobom nieupoważnionym.

W przypadku wysyłania korespondencji do większej ilości osób, należy dbać o to, aby osoba, do której skierowana jest tego typu korespondencja, nie miała możliwości zapoznawania się z danymi pozostałych adresatów — nie tylko ich imionami i nazwiskami, ale również adresami e-mail.

W niektórych sytuacjach, adres poczty e-mail może być uznany za daną osobową i należy go wówczas traktować z uwzględnieniem zasad wynikających z ustawy o ochronie danych osobowych. Częstym naruszeniem bezpieczeństwa danych w korespondencji elektronicznej jest nieukrywanie w wysyłkach masowych poszczególnych odbiorców.

Adres e-mail jako dana osobowa?

Zgodnie z art. 4 pkt 1 RODO adres e-mail może stanowić daną osobową, gdy prowadzi do identyfikacji danej osoby fizycznej. Łatwo będzie ustalić tożsamość konkretnej osoby fizycznej, której adres poczty elektronicznej składa się z imienia i nazwiska, przykładowo: jankowalski@domena.pl lub jkowalski@domena.pl. Imienny adres e-mail zawierający „dane zwykłe” jakimi są nasze personalia powinien być przetwarzany zgodnie z przesłankami wskazanymi w art. 6 ust. 1 RODO np. potrzebujemy zgody na przesłanie wiadomości na wskazany adres.

Przy masowej wysyłce e-korespondencji nie wolno udostępniać innym listy mailingowej, zawierającej dane osobowe pozostałych adresatów, ponieważ podlegają one ochronie.

Zgodnie z Ustawą o Ochronie Danych Osobowych, każdy administrator danych, zobowiązany jest do ochrony danych, które wykorzystuje. Dodatkowo musi zapewnić, by nie zostały one udostępnione osobom nieupoważnionym. W przypadku wysyłania korespondencji do większej liczby osób, należy więc dbać o to, aby osoba, do której skierowana jest tego typu korespondencja, nie miała możliwości zapoznawania się z danymi pozostałych adresatów, nie tylko ich imionami i nazwiskami, ale również adresami e-mail.

Skala incydentu może być szczególnie ważna, gdy w grę wchodzi mailing do grupy kilkudziesięciu czy kilkuset osób. Poza oczywistymi konsekwencjami prawnymi, mogą grozić duże straty wizerunkowe. Coraz częściej osoby niezadowolone z tego, jak potraktowano ich dane, szczegółowo informują o tym na forach internetowych, blogach czy w mediach społecznościach.

Warto mieć to na uwadze i przy kolejnej wysyłce maila do większej liczby adresatów, skorzystać z opcji „kopii ukrytej” (UDW).

Czym jest naruszenie ochrony danych osobowych?

Złamanie przez pracownika procedur bezpiecznego przetwarzania danych, przypadkowa publikacja danych czy nieprawidłowa ich anonimizacja albo atak hakerski lub kradzież urządzenia elektronicznego zawierającego dane osobowe – to tylko przykładowe zdarzenia, których skutkiem może być naruszenie ochrony danych osobowych.

Wśród zadań spoczywających na administratorach wskazać można m.in. zgłaszanie występujących naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamianie o ich zaistnieniu osób, których dane dotyczą. W celu prawidłowego dostosowania się do panujących w tym obszarze regulacji niezbędnym staje się zatem zrozumienie oraz właściwe posługiwanie się pojęciem „naruszenia ochrony danych osobowych”.

Zgodnie z definicją przedstawioną w art. 4 pkt 12 ogólnego rozporządzenia o ochronie danych „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W analogiczny sposób termin ten został określony przez ustawodawcę w art. 4 pkt 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125 z późn. zm.).

Skutki naruszeń ochrony danych

Naruszenia ochrony danych osobowych przyjmują rozmaite formy. Mogą one zostać wywołane zarówno przez czynniki wewnętrzne, takie jak złamanie przez pracownika procedur bezpieczeństwa, przypadkowa publikacja danych czy nieprawidłowa ich anonimizacja, jak i zewnętrzne, takie jak atak hakerski lub kradzież albo zgubienie urządzenia elektronicznego zawierającego dane. Skutki tego rodzaju incydentów mogą być bardzo poważne. Osoby, których dane dotyczą, stają się w ich rezultacie narażone na niebezpieczeństwa w postaci szkód majątkowych i niemajątkowych, a nawet uszczerbku fizycznego. Naruszenia ochrony danych osobowych mogą także prowadzić do poważnych konsekwencji dla samych administratorów. W tym kontekście niezwykle ważne jest, aby wszelkie podmioty przetwarzające dane osobowe działały zgodnie z przepisami dotyczącymi ochrony danych osobowych i stosowały odpowiednie środki bezpieczeństwa w celu zapobiegania ewentualnym naruszeniom.

Naruszenia, które są zgłaszane Prezesowi UODO, często dotyczą następujących sytuacji:
• przesyłania dokumentacji administratora do osób nieuprawnionych (dotyczy to zarówno korespondencji e-mail, jak i korespondencji papierowej),
• zagubienia/kradzieży nośników elektronicznych/komputerów,
• nieprawidłowego niszczenia dokumentacji przez administratorów (częstym zjawiskiem jest sytuacja, gdy dokumentacja przeznaczona do zniszczenia nie jest niszczona w siedzibie administratora lub przy udziale profesjonalnej firmy, a odnajdywana jest po pewnym czasie przez osoby trzecie w miejscach publicznych lub na prywatnych posesjach),
• zagubienia dokumentacji papierowej przez administratora lub jego personel,
• ataków hakerskich skutkujących pozyskaniem lub/i zaszyfrowaniem baz danych administratora.

W 2022 administratorzy danych zgłosili do UODO blisko 12,7 tys. naruszeń ochrony danych osobowych. Te dane są bardzo zbliżone do tych z 2021 roku, gdy wszystkich zgłoszonych naruszeń było 12,9 tys. zł. Z tym, że dwa lata wcześniej naruszeń było około 7,5 tys.

Opracowano na podstawie: „BIULETYN UODO” Nr 1/03/23

Ataki DDoS. Co to?

DDoS (ang. Distributed Denial of Service, rozproszona odmowa usługi) to rodzaj ataku np. na serwer lub stronę internetową, który generuje sztuczny ruch tak, aby wykorzystać wszystkie wolne zasoby ofiary i doprowadzić do niedostępności usług. W efekcie użytkownicy nie mogą wejść na np. daną witrynę lub platformę przez określony czas.

Skutki takich operacji nie mają realnie dużego wpływu na bezpieczeństwo. To raczej narzędzie nękania i wywołania chaosu. Użytkownicy zostają pozbawieni (czasowo) dostępu do danej usługi lub informacji. Czasem okazuje się to kłopotliwe, gdy potrzebujemy pilnie coś sprawdzić w sieci lub zrealizować jakiś proces. Choć w przypadku biznesów opartych na działalności w internecie DDoS faktycznie może prowadzić do bardziej dotkliwych skutków, np. strat finansowych.

W bieżącej sytuacji, gdy za naszą wschodnią granicą prowadzona jest wojna, sprawcom DDoS zależy na zwróceniu uwagi, pokazaniu społeczeństwu wroga, że „my tu jesteśmy i nie możecie czuć się bezpiecznie”. Szybko temat trafia do mediów i staje się głośny. Wśród wielu pojawia się przekonanie, że to coś poważnego i „Rosja atakuje”. Dlatego tak ważna jest świadomość i wiedza na temat zagrożeń występujących w sieci.

Hakerzy nie chcą Twojego PESEL-u, sam im go podasz!

Wyciek numeru telefonu czy adresu e-mail jest tak samo groźny, jak wyciek numeru PESEL. Hakerzy potrafią je wykorzystać tak, że sami im podamy swoje najbardziej wrażliwe dane, a w konsekwencji stracimy pieniądze. Podszyją się pod instytucję lub firmę, z usług której korzystamy i w dobrej wierze przekażemy im dane, które wykorzystają do wyłudzeń. Np. numer PESEL powszechnie stosowany jako sposób autoryzacji. Według CERT Polska liczba przypadków phishingu w 2022 roku wyniosła prawie 40 tys., czyli o 36 proc. więcej niż rok wcześniej.

Nic nie wskazuje na to, aby w tym roku ta dynamika zmalała. W każdym miesiącu są ujawniane przypadki podszywania się przestępców pod instytucje lub firmy, a ich celem jest wyłudzenie poufnych danych (PESEL, login i hasło do konta w banku itp.). To tzw. phishing. Ale do takiego ataku potrzebne są dane kontaktowe do potencjalnych ofiar. Te zdobywa się wykradając je ze słabo zabezpieczonych baz danych lub kupując na czarnym rynku. Tu również każdy miesiąc przynosi informacje o kolejnych wyciekach.

Wystarczy telefon i nazwa firmy, której jesteś klientem
Kilka tygodni temu poinformowano, że w polskim oddziale marki Hyundai doszło do poważnego naruszenia procedur bezpieczeństwa. Wyciekły dane kontaktowe klientów koncernu oraz data i miejsce ich urodzenia. W pierwszej połowie kwietnia jeden z pracowników firmy Autopay , wysyłając e-maila do klientów załączył przez pomyłkę niewłaściwy plik. Ten zawierał dane kontaktowe aż 150 tys. klientów. 19 kwietnia ofiarą ataku hakerskiego padł Serwer SMS, w wyniku którego przestępcy uzyskali dostęp do danych o realizowanych przez te firmę wysyłkach SMS-ów na rzecz kilku firm, m.in. DPD, Agata Meble, Telestrada. Wśród informacji, które mogły zostać skopiowane były numery telefonów klientów tych firm. Są też i wycieki na mniejszą skalę – w Suwałkach w podobny sposób w niepowołane ręce trafiły numery telefonów 1406 mieszkańców tego miasta.

– Wiele osób lekceważy takie informacje uważając, że sam numer telefonu nie wystarczy do tego, żeby dokonać na konto jego posiadacza wyłudzenia czegokolwiek. To nieprawda. Obserwujemy coraz większą popularność tzw. vishingu, czyli podszywania się przez przestępców pod znaną instytucję lub firmę w rozmowie telefonicznej. Kampanie edukacyjne, które między innymi prowadzi serwis ChronPESEL.pl, sprawiły że coraz więcej Polaków nie klika już w linki rozsyłane w e-mailach lub SMS-ach. Przestępcy zaczęli więc na dużą skalę dzwonić do potencjalnych ofiar przedstawiając się jako reprezentanci firm lub instytucji, których są klientami. To usypia ich czujność do tego stopnia, że w trakcie rozmowy podają im dane, które są potem wykorzystywane do wyłudzeń – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Przezorni sprawdzają na wszelki wypadek, czy numer telefonu z którego dzwoni do nich rzekomy przedstawiciel firmy lub instytucji na pewno do niej należy. To była dobra metoda weryfikacji jeszcze kilka lat temu. Dzisiaj usługa VoIP jest tak powszechna, że pozwala na sfałszowanie numeru telefonu wyświetlającego się w telefonie ofiary.

Na pracownika banku, na policjanta, na urząd skarbowy…
Scenariusze ataków vishingowych są różne, jednak mają zawsze taki sam cel - nakłonienie ofiary do podania wrażliwych danych lub podjęcia określonej czynności. Przestępcy wiedząc, że byliśmy klientami danej firmy (bo z niej wykradli przecież nasze imię i nazwisko i numer telefonu) mogą odwoływać się w rozmowie do zawartych wcześniej transakcji, aby się uwiarygodnić, a potem nakłonić do podania wrażliwych danych. Ale najczęstszą metodą podszywania się jest podawanie się za pracownika banku, policjanta, pracownika sklepu internetowego lub urzędnika.

Rzekomy policjant informuje nas np. o znalezieniu naszych dokumentów i prosi o numer PESEL, żeby potwierdzić że faktycznie należą do nas. Pracownik banku ostrzeże, że na naszym koncie trwają próby jakiś podejrzanych transakcji i potrzebują naszych danych do ich przerwania. W przypadku wycieków ze sklepów internetowych, mogą podawać się również za osobę odpowiadającą za nasz zakup. Wtedy poinformują nas w rozmowie telefonicznej o błędzie transakcji i poproszą o to, żebyśmy na linii podali im wymagane dane, w celu wznowienia zakupu. Urzędnik skarbowy ostrzeże o błędach w zeznaniu podatkowym i zaoferuje pomoc w ich usunięciu, żeby uniknąć kary. Aby zweryfikować, że my to my, poprosi o PESEL.

– Przestępcy są bardzo kreatywni, doskonale znają inżynierię społeczną, potrafią tak manipulować rozmową, że bez problemu uśpią naszą czujność, a potem nakłonią do podania szeregu danych, które wykorzystają później do wyłudzeń. Z reguły ostrzegają nas przed zagrożeniem nalegając na szybką reakcję. Nigdy nie godźmy się na coś takiego. Taką rozmowę należy przerwać i zadzwonić do instytucji lub firmy, na którą rozmówca się powoływał i zapytać, czy na pewno jest ich pracownikiem – przestrzega Bartłomiej Drozd.

Dane osobowe to nie tylko PESEL
Nie ma precyzyjnej definicji danych osobowych. Według Rozporządzenia o Ochronie Danych Osobowych są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Ale nie tylko, ponieważ poszczególne informacje, połączone ze sobą również mogą prowadzić do zidentyfikowania tożsamości danej osoby. Wśród wymienionych przez Komisję Europejską przykładów możemy wyróżnić imię i nazwisko, adres zamieszkania, imienny adres e-mail czy identyfikatory reklamowe.

– Nasze dane osobowe to nie tylko nasz PESEL. To też e-mail, którym posługujemy się na co dzień, czy numer telefonu. Dbanie o ochronę innych danych jest równie ważne. Dlatego też uruchomiliśmy usługę monitoringu Internetu. Dzięki temu każdy posiadacz takiego pakietu, dostanie wiadomość gdy tylko jego PESEL, numer telefonu czy adres e-mail pojawi się w sieci. Tak staramy się chociaż w niewielkim stopniu pomóc zachować czujność w przypadku kradzieży danych – mówi Bartłomiej Drozd.

https://chronpesel.pl/aktualnosci/hakerzy-nie-chca-twojego-pesel-u-sam-im-go-podasz 2.05.2023

Praca zdalna a przetwarzanie danych osobowych

Niedawna nowelizacja Kodeksu pracy usankcjonowała zasady świadczenia pracy zdalnej w ramach stosunku pracy. Wprowadziła także szczególne zasady dotyczące ochrony danych osobowych w przypadku pracy zdalnej. Co zmienia nowelizacja w odniesieniu do pracy zdalnej? Jakie szczególne reguły obowiązują pracodawcę w obszarze ochrony danych osobowych? O jakich ogólnych zasadach ochrony danych wynikających z Kodeksu pracy pracodawca powinien pamiętać? Czym jest praca zdalna? Dowiesz się z poniższego artykułu!

Praca zdalna – najważniejsze informacje

Praca może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą, w tym pod adresem zamieszkania pracownika, w szczególności z wykorzystaniem środków bezpośredniego porozumiewania się na odległość.

Praca zdalna nie obejmuje prac:

- szczególnie niebezpiecznych;

- w których wyniku następuje przekroczenie dopuszczalnych norm czynników fizycznych określonych dla pomieszczeń mieszkalnych;

- z czynnikami chemicznymi stwarzającymi zagrożenie, o których mowa w przepisach w sprawie bezpieczeństwa i higieny pracy związanej z występowaniem czynników chemicznych w miejscu pracy;

- związanych ze stosowaniem lub wydzielaniem się szkodliwych czynników biologicznych, substancji radioaktywnych oraz innych substancji lub mieszanin wydzielających uciążliwe zapachy;

- powodujących intensywne brudzenie.

Uzgodnienie między stronami umowy o pracę dotyczące wykonywania pracy zdalnej przez pracownika może nastąpić przy zawieraniu umowy o pracę albo w trakcie zatrudnienia.

Zasady wykonywania pracy zdalnej określa się w porozumieniu zawieranym między pracodawcą i zakładową organizacją związkową, a w przypadku gdy u pracodawcy działa więcej niż jedna zakładowa organizacja związkowa – w porozumieniu między pracodawcą a tymi organizacjami.

Pracodawca jest obowiązany:

- zapewnić pracownikowi wykonującemu pracę zdalną materiały i narzędzia pracy, w tym urządzenia techniczne, niezbędne do wykonywania pracy zdalnej;

- zapewnić pracownikowi wykonującemu pracę zdalną instalację, serwis, konserwację narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej lub pokryć niezbędne koszty związane z instalacją, serwisem, eksploatacją i konserwacją narzędzi pracy, w tym urządzeń technicznych niezbędnych do wykonywania pracy zdalnej, a także pokryć koszty energii elektrycznej oraz usług telekomunikacyjnych niezbędnych do wykonywania pracy zdalnej;

- pokryć inne koszty niż koszty określone powyżej bezpośrednio związane z wykonywaniem pracy zdalnej, jeżeli zwrot takich kosztów został określony w porozumieniu, regulaminie, poleceniu albo porozumieniu, o którym mowa w przepisach;

- zapewnić pracownikowi wykonującemu pracę zdalną szkolenia i pomoc techniczną niezbędne do wykonywania tej pracy.

Strony mogą ustalić zasady wykorzystywania przez pracownika wykonującego pracę zdalną materiałów i narzędzi pracy, w tym urządzeń technicznych, niezbędnych do wykonywania pracy zdalnej, niezapewnionych przez pracodawcę, spełniających wymagania określone w Kodeksie pracy.

Pracownik wykonujący pracę zdalną i pracodawca przekazują informacje niezbędne do wzajemnego porozumiewania się za pomocą środków bezpośredniego porozumiewania się na odległość lub w inny sposób uzgodniony z pracodawcą.

Pracownik wykonujący pracę zdalną nie może być traktowany mniej korzystnie w zakresie nawiązania i rozwiązania stosunku pracy, warunków zatrudnienia, awansowania oraz dostępu do szkolenia w celu podnoszenia kwalifikacji zawodowych niż inni pracownicy zatrudnieni przy takiej samej lub podobnej pracy, z uwzględnieniem odrębności związanych z warunkami wykonywania pracy zdalnej. Pracownik nie może być w żaden sposób dyskryminowany z powodu wykonywania pracy zdalnej, jak również z powodu odmowy wykonywania takiej pracy.

Pracodawca umożliwia pracownikowi wykonującemu pracę zdalną przebywanie na terenie zakładu pracy, kontaktowanie się z innymi pracownikami oraz korzystanie z pomieszczeń i urządzeń pracodawcy, zakładowych obiektów socjalnych i prowadzonej działalności socjalnej – na zasadach przyjętych dla ogółu pracowników.

Nowe zasady pracy zdalnej a ochrona danych osobowych

Na potrzeby wykonywania pracy zdalnej pracodawca określa procedury ochrony danych osobowych oraz przeprowadza, w miarę potrzeby, instruktaż i szkolenie w tym zakresie.

Pracownik wykonujący pracę zdalną potwierdza w postaci papierowej lub elektronicznej zapoznanie się z procedurami, o których mowa powyżej, oraz jest obowiązany do ich przestrzegania.

Pracodawca ma prawo przeprowadzać kontrolę wykonywania pracy zdalnej przez pracownika, kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych, na zasadach określonych w porozumieniu, regulaminie, poleceniu albo w porozumieniu, o którym mowa w Kodeksie pracy.

Kontrolę przeprowadza się w porozumieniu z pracownikiem w miejscu wykonywania pracy zdalnej w godzinach pracy pracownika.

Pracodawca dostosowuje sposób przeprowadzania kontroli do miejsca wykonywania pracy zdalnej i jej rodzaju. Wykonywanie czynności kontrolnych nie może naruszać prywatności pracownika wykonującego pracę zdalną i innych osób ani utrudniać korzystania z pomieszczeń domowych w sposób zgodny z ich przeznaczeniem.

Jeżeli pracodawca w trakcie kontroli pracy zdalnej stwierdzi uchybienia w przestrzeganiu wymogów w zakresie bezpieczeństwa i ochrony informacji, w tym procedur ochrony danych osobowych:

- zobowiązuje pracownika do usunięcia stwierdzonych uchybień we wskazanym terminie;

- cofa zgodę na wykonywanie pracy zdalnej przez tego pracownika.

Pozostałe zasady dotyczące danych osobowych – zakres zbieranych danych

Zgodnie z Kodeksem cywilnym pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

- imię (imiona) i nazwisko;

- datę urodzenia;

- dane kontaktowe wskazane przez taką osobę;

- wykształcenie;

- kwalifikacje zawodowe;

- przebieg dotychczasowego zatrudnienia.

Pracodawca żąda podania danych osobowych, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

- adres zamieszkania;

- numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;

- inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

- wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;

- numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

Pracodawca żąda podania innych danych osobowych niż określone powyżej, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione powyżej, z wyjątkiem danych osobowych, o których mowa w art. 10 RODO.

Brak zgody lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich żadnych negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

Pozostałe zasady dotyczące danych osobowych – monitoring

Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej).

Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy.

Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem.

Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa powyżej.

Źródło: https://poradnikprzedsiebiorcy.pl/-praca-zdalna-a-przetwarzanie-danych-osobowych, 28.04.2023 r.

Numer rejestracyjny samochodu nie stanowi danych osobowych. Stanowisko takie podtrzymał Naczelny Sąd Administracyjny w wyroku z 3 listopada 2022 r. (sygn. akt III OSK 1522/21).

Naczelny Sąd Administracyjny kontynuuje dotychczasową linię orzeczniczą dotyczącą kwalifikacji numeru rejestracyjnego w kontekście danych osobowych. Jak wskazał NSA, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Dana osobowa to informacja, która „pozwala na ustalenie tożsamości takiej osoby bezpośrednio lub przy wykorzystaniu prostych narzędzi identyfikujących będących w posiadaniu podmiotu, który chce takie dane uzyskać lub przetwarzać”.

Tymczasem numer rejestracyjny to informacja dotycząca pojazdu, a nie osoby. Identyfikacja osoby za pomocą numeru rejestracyjnego samochodu jest możliwa wyłącznie poprzez uzyskanie dostępu do rejestru, który nie jest ogólnodostępny.

NSA przywołał wcześniejsze orzeczenie z 14 maja 2021 r. (sygn. akt III OSK 1466/21). Wskazano w nim, że numer rejestracyjny, jako że identyfikuje pojazd, a nie osobę, nie może być objęty ochroną prywatności. Przy czym sąd zaznaczył wówczas, że dotyczy to wyłącznie przypadku numeru standardowego (a nie zindywidualizowanego), prezentowanego bez połączenia z innymi informacjami odnoszącymi się do czasoprzestrzeni lub w powiązaniu z innymi danymi osobowymi, w tym wizerunku osób znajdujących się w samochodzie. Podobne stanowisko zaprezentował NSA w wyroku z 28 czerwca 2019 (sygn. akt I OSK 2063/17).

Źródło: https://odo.wip.pl/115/numer-rejestracyjny-to-nie-dane-osobowe-wyrok-naczelnego-sadu-administracyjnego-2939.html

Oszuści nie muszą kraść portfela. Wystarczy, że ukradną Twoje dane. Zobacz jak to robią! Uważaj, stosują różne pułapki, niemal codziennie wymyślają nowe. Każda z nich zmierza do przejęcia kontroli nad Twoim kontem, aby ukraść zgromadzone na nim pieniądze.

Obejrzyj:

Oszuści nie muszą kraść portfela

Wystarczy, że ukradną Twoje dane

Page updated

Google Sites

Report abuse