Aplikacja wszystko ci powie…

Z niedowierzaniem patrzyłam na zaktualizowane zdjęcie profilowe koleżanki, rzeczywiście wyglądała jak ona tylko za jakieś 30 lat, ale tak realnie, że wprawiało to w osłupienie.

W tym samym czasie dr Maciej Kawecki pisał: “czy naprawdę wiedza o tym jak będziemy wyglądać za 50 lat jest tak cenna by sprzedawać za nią zasoby do wszystkich naszych danych w telefonie!? I jeszcze do Rosji…”.

No właśnie tylko kto się nad tym w ogóle zastanawia instalując i korzystając z apliakcji typu FaceAppe, kto myśli o danych osobowych, które przy okazji udostępnia. Zaryzykuję stwierdzeniem, że prawie nikt…

  Aplikacja FaceAppe dzięki której można zobaczyć swój wizerunek z przyszłości, została stworzona przez firmę działającą w Rosji. Dane są przechowywane w chmurze a FaceApp jest produktem w segmencie aplikacji chmurowych dostępnych przez przeglądarkę internetową.

Niestety nie jest jasne, do jakiego stopnia pracownicy FaceApp mają dostęp do tych zdjęć i nie do końca wiadomo, co dzieje się dalej z przesłanymi twarzami.

Jak pisze dr Kawecki korzystając z rosyjskiej FaceApp, pozwalamy na modyfikowanie zawartości karty, pełny dostęp do sieci i odbieranie danych z internetu! Oczywiście za zgodą, gdyż instalacja aplikacji wymaga zgody użytkownika na udostępnienie danych.

Taki zakres danych udostępniany aplikacji stwarza potencjalnie duże zagrożenie dla dóbr użytkowników przy wykorzystaniu ich w sposób sprzeczny z prawem.

Czy zaspokojenie ciekawości o tym, jak będziemy wyglądać za kilkadziesiąt lat lub o kilkanaście kilogramów mniej lub jak nam w kolorze blond, warte jest udostępniania tak szerokiego zakresu danych. W szczególności, gdy niejasne jest, jak te dane będą przetwarzane.

Na koniec pragnę dodać, że wokół FaceApp wywiązała się prawdziwa burza. Jedni aplikację krytykują posądzając wręcz o szpiegowanie, inni natomiast zdecydowanie bronią wskazując, iż na przykład Facebook czy Twitter przetwarza więcej danych o swoich użytkownikach.

Zespół CERT Polska przeanalizował to oprogramowanie, aby sprawdzić, czy faktycznie umożliwia ono “kradzież” danych. Jest to bardzo ciekawa i merytorczyna analiza, która rozwiewa w mojej ocenie największe wątpliwości w szczególności w odniesieniu do “kradzieży danych”. Całe opracowanie znajdziesz pod linkiem: https://www.cert.pl/news/single/faceapp-analiza-aplikacji-oraz-rekomendacje-dotyczace-zachowania-prywatnosci/?fbclid=IwAR17n1D4_WDT3VZtyVbMHosoUzF0SqHXie1PB0tOmJ3sAmIjee7iXRoJV1c .

Niemniej jednak własne analizy prowadzi również Departament Zarządzania Danymi w Miniesterstwie Cyfryzacji i od ich wyników zależy czy zostaną podjęte formalne kroki związane z aplikacją.

Kara pozbawienia wolności za naruszenie RODO

Kara pozbawienia wolności za naruszenie RODO.


Karą w wymiarze rok i osiem miesięcy pozbawienia wolności została ukarana kierowniczka ośrodka pomocy społecznej za wykorzystywanie nielegalnie pozyskanych danych osobowych w celu złożenia wniosków o pożyczkę.

Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Przetwarzanie danych osobowych w sytuacji, gdy przetwarzanie danych nie jest dopuszczalne, to działanie sprawcy z naruszeniem  przepisów RODO. Przypisanie sprawcy odpowiedzialności wymaga więc ustalenia, czy przetwarzając dane osobowe, sprawca nie mógł powołać się choćby na jedną z przesłanek legalizujących przetwarzanie danych osobowych wskazanych w ww. przepisach. (Litwiński 2018, wyd. 1/Barta)

Ponadto podmiotem odpowiedzialnym jest każda osoba fizyczna, która nie jest uprawniona do ich przetwarzania. Z sytuacją, gdy osoba nie jest uprawniona do przetwarzania danych osobowych, możemy mieć do czynienia, gdy pracownik nie otrzymał od administratora polecenia (upoważnienia), z którego by wynikało zezwolenie do przetwarzania danych, zwłaszcza gdy pracownik samowolnie przegląda dane i bezprawnie je przetwarza (np. wysyłając oferty pomimo braku takiego polecenia od administratora i braku podstawy prawnej zezwalającej na takie przetwarzanie).


Więcej w Gazeta Prawna, wydanie z dnia: poniedziałek, 15. kwiecień 2019.

RODO – pierwsza kara już jest

Z ostaniej chwili. Jest pierwsza kara za naruszenie RODO i to niebagatelna, bo milion zł. Co ciekawsze dla firmy, która przetwarza ogólnodostępne w internecie dane osób prowadzących działalność podane przez nich w CEiDG KRS, GUS, CEPiK .

Naruszenie dotyczy uchybienia w zakresie wykonania obowiązków informacyjnych. Prezes UODO nakazała firmie wysyłkę listów do osób prowadzących działalność gospodarczą, które nie zostały poinformowane o fakcie że ich dane są przetwarzane. Nie wystarczy zatem w ocenie UODO wykonanie w tym przypadku obowiązku informacyjnego za pośrednictwem serwisu internetowego.


We wtorek Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych ogłosi informację o nałożeniu tej pierwszej kary.

16Liczba odbiorców2Aktywność

Naruszenie ochrony danych osobowych

Administrator , poprzez wykorzystanie odpowiednich środków technicznych lub organizacyjnych, musi zapewnić odpowiednie bezpieczeństwo danych osobowych.

W szczególności powinien zabezpieczyć dane przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Dobór odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa powinien odpowidać ryzyku, na które narażone są przetwarzane dane osobowe.

„Zniszczenie” danych osobowych oznacza sytuację, w której dane przestają istnieć lub przestają istnieć w formie umożliwiającej ich wykorzystanie przez administratora.

Uszkodzenie” oznacza sytuację, w której dane osobowe zostały zmodyfikowane, zepsute lub nie są już kompletne.

„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu.

Przykładem utraty danych osobowych może być zagubienie lub kradzież nośnika zawierającego kopię bazy danych klientów administratora. O zgubieniu nośnika danych pisałam tutaj: https://przetwarzaniedanych.pl/warszawa-rodo/prawo/poradniki/dane-osobowe-pracownikow-poradniki/zgubienie-pamieci-usb-z-danymi-osobowymi

Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych może obejmować ujawnienie danych osobowych (lub udostępnienia ich) odbiorcom, którzy nie są uprawnieni do otrzymania ich (lub uzyskania do nich dostępu), lub jakąkolwiek inną formę przetwarzania, która narusza RODO.

Naruszenie może mieć szereg istotnych negatywnych skutków dla osób fizycznych i może obejmować utratę kontroli nad swoimi danymi osobowymi, ograniczenie przysługujących praw, dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe, nieupoważnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz utratę poufności danych osobowych chronionych tajemnicą zawodową.

Na skutek naruszenia danych osoba, która dane dotyczą może doznać istotnych negatywnych skutków dla osób fizycznych, prowadzących do szkód fizycznych, materialnych i niematerialnych.

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu.

Będą kontrole w szkołach i przychodniach

Prezes UODO zatwierdziła plan kontroli sektorowych w 2019 r. Jakie branże mogą spodziewać się kontroli. 

Kontrole będą prowadzone w sektorze zdrowia, zatrudnienia i szkolnictwa. A zatem kontrolowane mogą być wszelkie podmioty wykonujące działalność leczniczą: szpitale, przychodnie, indywidualne i grupowe praktyki lekarskie.

Inspektorzy kontrolować będą w szczególności przetwarzanie danych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta.

Planem kontroli zostały objęte również szkoły i placówki oświatowe w szczególności przetwarzanie danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego.

W sektorze prywatnym w rocznym planie kontroli znalazły się następujące zagadnienia:

  • telemarketing
  • brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
  • profilowanie w sektorze bankowym i ubezpieczeniowym.

UODO przyjrzy się bliżej także takim podmiotom, jak: Policja, Straż Graniczna i areszty śledcze, sprawdzając zastosowanie przez nie środków technicznych i organizacyjnych .

Astronomiczna kara dla Google

Francuski organ ochrony danych osobowych (CNIL) nałożył na firmę Google karę finansową w wysokości 50 mln EURO za przetwarzanie danych osobowych użytkowników niezgodne z przepisami Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

Naruszenie zasady przejrzystości 

Informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, były dostępne dopiero po wielu “klinięciach”. Użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google.

Cele przetwarzania opisane były w sposób zbyt ogólny i niejasny, podobnie jak kategorie danych przetwarzanych dla tych różnych celów. Przekazane informacje nie były wystarczająco jasne, aby użytkownik mógł zrozumieć, że podstawą prawną operacji przetwarzania w celu personalizacji reklam jest zgoda, a nie uzasadniony interes firmy.

Według organu pozyskiwana przez Google w celu dostarczania spersonalizowanych reklam ​​zgoda nie została ważnie uzyskana z dwóch powodów.

Po pierwsze ​​zgoda użytkownika nie była wystarczająco poinformowana. Informacje o operacjach przetwarzania w zakresie reklam spersonalizowanych były rozproszone w kilku dokumentach i nie umożliwiały użytkownikowi zrozumienia ich zakresu. Na przykład użytkownik mógł nie mieć świadomości istnienia wielu usług, stron internetowych i aplikacji zaangażowanych w operacje przetwarzania danych. Czytaj więcej