Aplikacja wszystko ci powie…

Z niedowierzaniem patrzyłam na zaktualizowane zdjęcie profilowe koleżanki, rzeczywiście wyglądała jak ona tylko za jakieś 30 lat, ale tak realnie, że wprawiało to w osłupienie.

W tym samym czasie dr Maciej Kawecki pisał: “czy naprawdę wiedza o tym jak będziemy wyglądać za 50 lat jest tak cenna by sprzedawać za nią zasoby do wszystkich naszych danych w telefonie!? I jeszcze do Rosji…”.

No właśnie tylko kto się nad tym w ogóle zastanawia instalując i korzystając z apliakcji typu FaceAppe, kto myśli o danych osobowych, które przy okazji udostępnia. Zaryzykuję stwierdzeniem, że prawie nikt…

  Aplikacja FaceAppe dzięki której można zobaczyć swój wizerunek z przyszłości, została stworzona przez firmę działającą w Rosji. Dane są przechowywane w chmurze a FaceApp jest produktem w segmencie aplikacji chmurowych dostępnych przez przeglądarkę internetową.

Niestety nie jest jasne, do jakiego stopnia pracownicy FaceApp mają dostęp do tych zdjęć i nie do końca wiadomo, co dzieje się dalej z przesłanymi twarzami.

Jak pisze dr Kawecki korzystając z rosyjskiej FaceApp, pozwalamy na modyfikowanie zawartości karty, pełny dostęp do sieci i odbieranie danych z internetu! Oczywiście za zgodą, gdyż instalacja aplikacji wymaga zgody użytkownika na udostępnienie danych.

Taki zakres danych udostępniany aplikacji stwarza potencjalnie duże zagrożenie dla dóbr użytkowników przy wykorzystaniu ich w sposób sprzeczny z prawem.

Czy zaspokojenie ciekawości o tym, jak będziemy wyglądać za kilkadziesiąt lat lub o kilkanaście kilogramów mniej lub jak nam w kolorze blond, warte jest udostępniania tak szerokiego zakresu danych. W szczególności, gdy niejasne jest, jak te dane będą przetwarzane.

Na koniec pragnę dodać, że wokół FaceApp wywiązała się prawdziwa burza. Jedni aplikację krytykują posądzając wręcz o szpiegowanie, inni natomiast zdecydowanie bronią wskazując, iż na przykład Facebook czy Twitter przetwarza więcej danych o swoich użytkownikach.

Zespół CERT Polska przeanalizował to oprogramowanie, aby sprawdzić, czy faktycznie umożliwia ono “kradzież” danych. Jest to bardzo ciekawa i merytorczyna analiza, która rozwiewa w mojej ocenie największe wątpliwości w szczególności w odniesieniu do “kradzieży danych”. Całe opracowanie znajdziesz pod linkiem: https://www.cert.pl/news/single/faceapp-analiza-aplikacji-oraz-rekomendacje-dotyczace-zachowania-prywatnosci/?fbclid=IwAR17n1D4_WDT3VZtyVbMHosoUzF0SqHXie1PB0tOmJ3sAmIjee7iXRoJV1c .

Niemniej jednak własne analizy prowadzi również Departament Zarządzania Danymi w Miniesterstwie Cyfryzacji i od ich wyników zależy czy zostaną podjęte formalne kroki związane z aplikacją.

Kara pozbawienia wolności za naruszenie RODO

Kara pozbawienia wolności za naruszenie RODO.


Karą w wymiarze rok i osiem miesięcy pozbawienia wolności została ukarana kierowniczka ośrodka pomocy społecznej za wykorzystywanie nielegalnie pozyskanych danych osobowych w celu złożenia wniosków o pożyczkę.

Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Przetwarzanie danych osobowych w sytuacji, gdy przetwarzanie danych nie jest dopuszczalne, to działanie sprawcy z naruszeniem  przepisów RODO. Przypisanie sprawcy odpowiedzialności wymaga więc ustalenia, czy przetwarzając dane osobowe, sprawca nie mógł powołać się choćby na jedną z przesłanek legalizujących przetwarzanie danych osobowych wskazanych w ww. przepisach. (Litwiński 2018, wyd. 1/Barta)

Ponadto podmiotem odpowiedzialnym jest każda osoba fizyczna, która nie jest uprawniona do ich przetwarzania. Z sytuacją, gdy osoba nie jest uprawniona do przetwarzania danych osobowych, możemy mieć do czynienia, gdy pracownik nie otrzymał od administratora polecenia (upoważnienia), z którego by wynikało zezwolenie do przetwarzania danych, zwłaszcza gdy pracownik samowolnie przegląda dane i bezprawnie je przetwarza (np. wysyłając oferty pomimo braku takiego polecenia od administratora i braku podstawy prawnej zezwalającej na takie przetwarzanie).


Więcej w Gazeta Prawna, wydanie z dnia: poniedziałek, 15. kwiecień 2019.

Będą kontrole w szkołach i przychodniach

Prezes UODO zatwierdziła plan kontroli sektorowych w 2019 r. Jakie branże mogą spodziewać się kontroli. 

Kontrole będą prowadzone w sektorze zdrowia, zatrudnienia i szkolnictwa. A zatem kontrolowane mogą być wszelkie podmioty wykonujące działalność leczniczą: szpitale, przychodnie, indywidualne i grupowe praktyki lekarskie.

Inspektorzy kontrolować będą w szczególności przetwarzanie danych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta.

Planem kontroli zostały objęte również szkoły i placówki oświatowe w szczególności przetwarzanie danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego.

W sektorze prywatnym w rocznym planie kontroli znalazły się następujące zagadnienia:

  • telemarketing
  • brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
  • profilowanie w sektorze bankowym i ubezpieczeniowym.

UODO przyjrzy się bliżej także takim podmiotom, jak: Policja, Straż Graniczna i areszty śledcze, sprawdzając zastosowanie przez nie środków technicznych i organizacyjnych .

Prawa podmiotów danych

Prawa podmiotów danych to obszar, który przez przepisy RODO został znacząco rozbudowany w porównaniu z wcześniejszymi przepisami. RODO poświęca prawom podmiotów cały rozdział, jednak musisz pamiętać, iż rozdział ten nie stanowi katalogu zamkniętego, gdyż prawa podmiotów danych wynikają także choćby z zasad zawartych w innych przepisach.

W związku z powyższym możemy mówić o prawach podmiotów danych w ujęciu wąskim, skategoryzwanych w rodziale trzecim RODO i będą to:

  1. prawo do przejrzystego informowania i przejrzystej komunikacji,
  2. prawo do bycia poinformowanym o przetwarzaniu danych przy zbieraniu danych od osoby, której dane dotyczą,
  3. prawo do bycia poinformowanym o przetwarzaniu danych przy zbieraniu danych z innych źródeł niż od osoby, której dotyczą,
  4. prawo dostępu do danych,
  5. prawo do sprostowania danych,
  6. prawo do usunięcia danych,
  7. prawo do ograniczenia przetwarzania,
  8. prawo do powiadamienia o sprostowaniu lub usunięciu danych lub o ograniczeniu przetwarzania odbiorców, którym ujawniono dane,
  9. prawo do przenoszenia danych,
  10. prawo do sprzeciwu,
  11. uprawnienia związane z zautomatyzowanym podejmowaniem decyzji w indywidualnych przypadkach.

Czytaj więcej

Czy masz dowody…

Czy masz dowody na zgodność z RODO. Dzisiaj o sprawie wydawałoby się oczywistej a jednak jak sie okazuje w praktyce nie do końca.

Każdy wie, że aby wygrać w sądzie trzeba mieć dowody na popracie swojego stanowiska. Trzeba mieć dowody winy, aby kogoś skazać. W procesie karnym wątpliwości nie dające się rozstrzygnąć intrepretuje się na korzyść oskrażonego. W procesie cywilnym ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne.

W życiu też często poszukujemy dowodów na popracie swoich racji lub podejrzeń. Nawet małe dzieci, jeśli chodzi o dowody, wiedzą, że coś jest na rzeczy. Moja 7-letnia córka, gdy jej zarzucam, że jakaś wykryta przeze mnie psota jest na pewno jej dziełem patrząc na mnie bardzo poważnie z wyrzutem pyta czy mam na to dowody. Hm no faktycznie  namacalnych dowdów nie miałam.

To tak humorystycznie oczywiście, bo zmierzam do tego, że wykazanie zgodności przetwarzania danych osobowych z RODO również wymaga gromadzenia różnych dowodów. Czytaj więcej

Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych. Czytaj więcej