Oprócz infolinii ogólnej UODO, kilka tygodni temu Urząd Ochrony Danych Osobowych uruchomił infolinię dedykowaną inspektorom ochrony danych. Jej celem jest udzielanie wsparcia i pomocy inspektorom w stosowaniu przepisów o ochronie danych osobowych w codziennej pracy.
Infolinia jest czynna od poniedziałku do piątku w godzinach od 10.00 do 13.00, pod numerem telefonu 606 942 000.
Jednym z obowiązków Administratora (Danych) w przypadkach określonych przez Grupę Roboczą art.29 jest prowadzenie oceny skutków co do ochrony danych. Należy się zatem zastanowić na kim personalnie spoczywa obowiązek, czy na samym Administratorze (Danych), czy na Inspektorze Ochrony Danych.
Wytyczne Grupy Roboczej art. 29, które dotyczą procedury oceny skutków z zakresie ochrony danych osobowych wskazują, że sama już ocena jest procesem, dzięki któremu można opisać przetwarzanie danych oraz ocenić jego konieczność i proporcjonalność a celem jest wspomaganie w procesie zarządzania ryzykiem by nie doszło do naruszenia praw i wolności osób fizycznych.podczas przetwarzania danych osobowych oraz aby dobrze wykonać ocenę ryzyka i skutecznie określić środki pozwalające zradzić na zidentyfikowane czynniki ryzyka.
Ocena skutków jest bardzo ważnym narzędziem. które pozwala na wykazanie rozliczalności przez Administratora (Danych) względem wymogów określonych w Rozporządzeniu RODO oraz udokumentowanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów Rozporządzenia RODO. Jest to więc proces budowania procedur bezpieczeństwa i wykazywania zgodności z przepisami prawa.
W poniedziałek 15-07-2019r. do jednego z serwerów bułgarskiego ministerstwa finansów włamali się Hackerzy i pobrali dane 5 milionów obywateli. Aby udowodnić swoje włamanie przesłali do mediów 1,1 miliona nazwisk wraz z numerami identyfikacyjnymi oraz deklaracjami podatkowymi i innymi informacjami o składkach zdrowotnych. Rząd Bułgarii potwierdził, że to dane z publicznych baz.oraz że doszło do cyberataku.
W następny dzień po włamaniu we wtorek dnia 16-07-2019r. Mładen Marinow, szef bułgarskiego ministerstwa spraw wewnętrznych, oraz Władisław Goranow, minister finansów oficjalnie potwierdzili, że z bazy danych Krajowej Agencji Przychodów (NAP) wyciekło ok. 3 proc. danych.
Ich zdaniem do systemu NAP włamano się za elektronicznych usług, które pozwalają na złożenie w wersji elektronicznej podania o zwrot podatku VAT. W chwili obecnej ta usługa została wyłączona. Według ministra nie ma niebezpieczeństwa dla pracy urzędu podatkowego i dalszego ściągania należnych podatków.
Według portalu finansowego Kapitał jest to największy w Bułgarii wyciek danych osobowych jaki miał miejsce do tej pory.
„Stan waszego cyberbezpieczeństwa to parodia”. tak napisali Hakerzy w mailu do redakcji przesyłając dowód w postaci 1.1 miliona danych osobowych.
Urząd Ochrony Danych odniósł się do jednego z pytań Inspektorów Ochrony Danych działających w szkołach i stwierdził, że to Szkoła, a nie rada rodziców, jest administratorem danych przetwarzanych w związku z działalnością rady rodziców
Rada rodziców jest wewnętrznym organem szkoły, który reprezentuje ogół rodziców uczniów. Jej działanie regulują art. 83 i 84 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz.U. z 2018 r., poz. 996). Tworzenie rady rodziców jest obligatoryjne (za wyjątkiem szkół i placówek artystycznych określonych w rozporządzeniu ministra właściwego do spraw kultury i ochrony dziedzictwa narodowego). Rada rodziców posiada określone w ustawach samodzielne kompetencje, jednak mimo to nie można jej uznać za administratora danych osobowych, bowiem jest to organ wewnętrzny szkoły o charakterze społecznym, działający w ramach jej struktury organizacyjnej, nie posiadający osobowości prawnej. Rada rodziców nie ma również charakteru jednostki organizacyjnej i nie została wyposażona w przymiot zdolności prawnej (vide wyrok Naczelnego Sądu Administracyjnego z 22 czerwca 2017 r., sygn. akt I OSK 2505/16). Co więcej zgodnie z ugruntowanym orzecznictwem rada rodziców nie ma zdolności sądowej, tzn. nie jest osobą fizyczną, osoba prawną, nie jest także jednostką organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną. Nie jest również organizacją społeczną w rozumieniu art. 33 § 2 k.p.a. uprawnioną do występowania w interesie rodziców uczniów.
(postanowienia Wojewódzkiego Sądu Administracyjnego w Warszawie z 8 czerwca 2016 r., sygn. II SA WA 754/16; postanowienie Naczelnego Sądu Administracyjnego z 14 czerwca 2012 r., sygn. I OZ 421/12; postanowienie Naczelnego Sądu Administracyjnego z 16 lutego 2009 r., sygn. I OSK 121/09).
W związku z licznymi włamaniami do systemów teleinformatycznych oraz działaniem złośliwego oprogramowania, łamaniem zabezpieczeń informatycznych czy oszustwami komputerowymi (takimi jak phishing),
Prezes UODO wraz z Państwowym Instytutem Badawczym NASK. zacieśnia współpracę w celu wzmocnienia wymiany informacji o zagrożeniach dla danych osobowych i podejmowanie działań
informacyjno-edukacyjnych w zakresie ochrony prywatności i bezpieczeństwa teleinformatycznego.
Formularz do zgłaszania zdarzeń i zagrożeń teleinformatycznych Zespołowi CERT Polska (pod adresem https://incydent.cert.pl/)
Od 4 maja 2019 r. zacznie obowiązywać ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Ustawa wprowadza bardzo duże zmiany w ustawodawstwie krajowym, obejmują one między innymi:
do ustawy o ochronie danych osobowych, dodano art. 11a przewidujący możliwość wyznaczania zastępcy inspektora ochrony danych. Administrator, który zdecyduje się na wyznaczenie takiej osoby zobowiązany jest zawiadomić o tym Prezesa UODO.
(wyrok WSA z 12.02.19)
Wojewódzki Sąd Administracyjny w Łodzi w wyroku z dnia 12 lutego 2019 r. (II SAB/Łd 181/18) stwierdził, że rejestry czynności przetwarzania oraz rejestry kategorii przetwarzania prowadzone
przez organ publiczny nie stanowią informacji publicznej. Stanowią one dokument o charakterze wewnętrznym – organizacyjnym i porządkowym. Celem obowiązku określonego w art. 30 RODO jest zapewnienie – zarówno przez administratora oraz podmioty przetwarzające, jak i przez organ nadzorczy – zgodności z RODO (art. 5 ust. 2 RODO), czyli z wskazanymi w tym akcie prawnym zasadami i warunkami przetwarzania danych osobowych.