⚠️ Każdy może podejrzeć PESELe i adresy ponad 30 000 klientów Getin Noble Bank

Adresy i PESELe klientów Getin Banku figurują w aktach postępowania upadłościowego, do których dostęp może uzyskać każdy, przez internet. Czy to jest zgodne z prawem? Najwyraźniej tak, ale nie zmienia faktu, że naszym zdaniem jest to bardzo poważny problem dla prywatności tysięcy ludzi a odpowiedzialne za system ministerstwo chyba nie bardzo wie co z tym zrobić…
Zgłoś wierzytelność i… pobierz dane tysięcy ludzi
Pewnie słyszeliście o upadłości Getin Noble Banku. Ze względu na trwające postępowanie upadłościowe, nagle dużego znaczenia nabrała jedna usługa Ministerstwa Sprawiedliwości — zgłaszanie wierzytelności przez Krajowy Rejestr Zadłużonych.
Ten kto w piątek 18 sierpnia wszedł na stronę KRZ (krz.ms.gov.pl) mógł na górze zobaczyć czerwony pasek z ostrzeżeniem o problemach wydajnościowych. Był też link do przygotowanej naprędce instrukcji wideo mówiącej o procedurze zgłaszania wierzytelności. Mało popularny dotychczas KRZ nagle zaczął być tłumnie odwiedzany.

Ze wspomnianej już instrukcji wideo wynikało, że jeśli wypełni się odpowiedni wniosek i się go wyśle, to:

dołączy się do postępowania oraz…
automatycznie (!!!) otrzyma się dostęp do akt sprawy

Problem w tym, że w dostępnych elektronicznie aktach sprawy znajdują się dane pozostałych osób uczestniczących w postępowaniu, w tym adresy zamieszania i PESEL-e. Już samo udostępnianie danych tak wielu osób w taki sposób budzi poważne zastrzeżenia, ale jest jeszcze jeden problem. Zgłoszenia może dokonać każdy i może to zrobić pismem niewywołującym skutków prawnych, a mimo to dostanie dostęp do danych.
Sprawdziliśmy…
Problem z KRZ od kilku dni zgłaszają nam różni Czytelnicy. Aby [...]

#Cyberalert #Cyfryzacja #DaneOsobowe #KrajowyRejestrZadłużonych

https://niebezpiecznik.pl/post/kazdy-moze-podejrzec-pesele-i-adresy-ponad-30-000-klientow-getin-noble-bank/

Ciekawostka - poradnik #uodo Ochrona danych osobowych w kampanii wyborczej
https://uodo.gov.pl/pl/138/2813

#rodo #daneosobowe #legaltt

PiS ujawnia dane wrażliwe aktywistów. By Polacy bali się przeciwstawiać władzy

Władza systemowo karze niepokornych obywateli, ujawniając informacje o nich chronione prawem. Łamiących przepisy nie spotykają żadne kary, nawet jeśli efektem ich działań jest śmierć dziecka. Sprawa ministra Niedzielskiego jest pierwszą, w której władza się ugięła . Z danych zebranych przez OKO.press w ramach projektu „Na celowniku” wynika, że wykorzystywanie przez państwo chronionych danych wrażliwych przeciwko […]

#Wydarzenia #BartStaszewski #DaneOsobowe #MarikaMatuszak #NaCelowniku #PaniJoanna #SLAPP #UrządOchronyDanychOsobowych #WrażliweDane

https://oko.press/dane-wrazliwe-aktywistow-by-polacy-bali-sie-wladzy/

Czy wybory są jeszcze tajne, skoro trzeba publicznie odmówić udziału w referendum? [Bodnar]

Przypadków ataku władzy na obywateli z użyciem prywatnych danych jest zbyt dużo, by traktować je jak incydenty. To jest system powstały w wyniku demontowania instytucji państwa prawa — mówi prof. Adam Bodnar. [10 przykładów ataku władzy na obywatela] . Naprawdę dużo musiało zmienić się w państwie, żeby urzędnicy Ministerstwa Zdrowia wyciągali dla szefa wrażliwe dane […]

#Wydarzenia #DaneOsobowe #MarikaMatuszak #PrawoDoPrywatności #PUODO #SłużbaCywilna

https://oko.press/bodnar-dane-osobowe-wladza/

Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni poziom ochrony w odniesieniu do Ram Prywatności Danych UE-USA. Na podstawie decyzji stwierdzającej odpowiedni poziom ochrony, dane osobowe mogą swobodnie przepływać z UE do firm w Stanach Zjednoczonych, które uczestniczą w Data Privacy Framework. To kiedy Schrems III? :D
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en
#daneosobowe #transferdanych #RODO #legaltt

Dziura w moj.gov.pl - można było podejrzeć dane Polaków z bazy paszportów.

Rządowy serwis moj.gov.pl pozwala każdemu Polakowi na załatwienie swoich urzędowych spraw online. Daje też dostęp do wielu rządowych rejestrów zawierających wrażliwe dane na temat każdego z nas, np. rejestru dowodów osobistych. Niestety, w moj.gov.pl znajdowała się dziura, która pozwalała na podglądanie cudzych danych z rejestru dokumentów paszportowych.
O sprawie poinformował nas jeden z Czytelników, który błąd zauważył. Kiedy wyświetlił dane ze swojego paszportu, zauważył, że URL wyglada tak:
https://moj.gov.pl/nforms/engine/ng/index
?xFormsAppName=MojeDaneWRDP#/application-details/1000000000123
I pewnie wiecie na jaki pomysł wpadł. Tak. Prosta zmiana identyfikatora pozwoliła mu obejrzeć zarówno cudzy wniosek paszportowy jak i sam paszport… Ajajaj!

A zatem możliwy był dostęp do takich informacji na temat innych osób, jak:

PESEL
Zdjęcie
Numer i seria paszportu
Wzór podpisu
Imiona
Nazwisko
Miejsce urodzenia
Darta urodzenia
Płeć
Adres do korespondencji

Wedle gov.pl, niektóre konta mogły także posiadać informacje na temat “dzieci wpisanych do paszportu rodzica – jeśli takie wpisy były w paszporcie (od 8 kwietnia 1991 roku do 27 sierpnia 2006 roku dzieciom nie wydawano paszportów – dane dziecka wpisywano do paszportu rodzica).”
Żeby było zabawniej, zwracane przez rządowy system dane zawierają poniższy, niezbyt fortunny nagłówek:

Chcesz sprawdzić, czy Twoja aplikacja webowa jest podatna na ataki? Zamów testy penetracyjne lub wyślij do nas swoich programistów, aby sami mogli testować pod kątem bezpieczeństwa tworzone przez siebie aplikacje. Polecamy wysłać ich na szkolenie “Atakowanie i Ochrona Webaplikacji“, dzięki niemu nauczą się jak szybko i skutecznie wykrywać [...]

#DaneOsobowe #MinisterstwoCyfryzacji #Paszporty #Wyciek #WyciekDanych
https://niebezpiecznik.pl/post/dziura-w-rzadowym-systemie-mozna-bylo-podejrzec-cudze-paszporty-i-nie-tylko/

Treść komunikatu prasowego po polsku: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-05/cp230071pl.pdf
#RODO #daneosobowe #kopiadanych #legaltt

Wyrok #TSUE w sprawie C-300/21 (Österreichische Post): "Samo naruszenie RODO nie daje prawa do odszkodowania. Poniesienie szkody niemajątkowej o pewnej wadze nie jest natomiast wymagane do uzyskania prawa do odszkodowania. (...) [K]ażde naruszenie RODO, samo w sobie, nie rodzi prawa do odszkodowania. Inna wykładnia byłaby sprzeczna z wyraźnym brzmieniem RODO."
#RODO #daneosobowe #odszkodowanie #legaltt

Jutro (4 maja) ciekawy dzień dla takiego #RODO - geeka jak ja 😄 Na tapecie w #TSUE kilka spraw związanych z ochroną danych osobowych, w tym ogłoszenie wyroku w istotnej sprawie - C-300/21 (sprawa Österreichische Post AG). Sąd ma odpowiedzieć na pytanie, czy #odszkodowanie (w tym za krzywdę) na podstawie art. 82 RODO wymaga, aby osoba, której dane dotyczą, poniosła szkodę, czy też naruszenie RODO jest samo w sobie wystarczające do przyznania odszkodowania.
#daneosobowe #legaltt

Deloitte przełamuje ciszę. Rozstrzyga raz na zawsze dyskusję o tym, czy adres IP stanowi dane osobowe.

#RODO #UODO #daneosobowe #IP

#rodo #daneosobowe #zadośćuczynienie
Czy jest możliwe w Polsce uzyskanie zadośćuczynienia w związku z tym, że doszło u administratora do naruszenia ochrony danych osobowych? Tak, choć w tym przypadku w kwocie wielokrotnie niższej niż domagała się powódka. Zamiast 20 tys. zł sąd przyznał 1000 zł tytułem zadośćuczynienia.
https://orzeczenia.ms.gov.pl/content/rodo/154510000001003_II_C_001228_2019_Uz_2022-10-14_001

W wyroku z 12.01.2023 r. #TSUE wyjaśnił, że przewidziane w art. 15 ust. 1 lit. c #RODO należy interpretować w ten sposób, że jeśli #daneosobowe zostały lub zostaną ujawnione innym podmiotom, administrator ma obowiązek podania DOKŁADNEJ tożsamości tych odbiorców, chyba że nie jest możliwe ich zidentyfikowanie lub wniosek o dostęp jest ewidentnie nieuzasadniony lub nadmierny - wówczas wystarczy podanie kategorii odbiorców danych.

https://curia.europa.eu/juris/document/document.jsf;jsessionid=714B4F51420003A84ABA21F7E4651B52?text=&docid=269146&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=296523

#daneosobowe #poufność #naruszenie

Po uchyleniu przez #WSA decyzji #PUODO nakładającej na Virgin Mobile karę pieniężną w wysokości prawie 2 mln zł, UODO ponownie rozpoznał sprawę i wydał decyzję stwierdzającą naruszenie przepisów #RODO. Nałożył jednocześnie na następcę prawnego Virgin Mobile, spółkę P4 sp. z o.o. karę pieniężną w wysokości prawie 1,6 mln zł.
https://uodo.gov.pl/pl/138/2512

Discord fined by the french #DPA #CNIL for lack of data retention procedures, lack of informing the users about data retention period, failure to ensure data protection by default, failure to ensure the security of personal data (too weak passwords) and failure to carry out a data protection impact assessment.
#gdpr #rodo #personaldata #daneosobowe
https://www.cnil.fr/en/discord-inc-fined-800-000-euros

"NSA konsekwentnie pozostaje w kontrze do poglądu wyrażanego przez organy nadzorcze czy sądy w innych państwach UE i uznaje, że numery rejestracyjne nie stanowią danych osobowych": https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8588867,numer-rejestracyjny-tablica-pojazd-dane-osobowe-nsa-prywatnosc.html #daneosobowe #RODO

Używanie Google Analytics jest pogwałceniem europejskiej ochrony danych osobowych - stwierdził austriacki urząd zajmujący się tym tematem: https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal #RODO #GDPR #DaneOsobowe #prywatność #Google #GoogleAnalytics #Austria Jeśli prowadzisz stronę internetową, to może warto rozejrzeć się za innym narzędziem do analizowania statystyk strony. Niestety obecnie Google Analytics jest bardzo powszechnym narzędziem, również w Polsce. Link do artykułu via: https://mastodon.xyz/@nextcloud/107724142579727033