Omówienie decyzji UODO –grudzień 2018 r. – część 4 - GDPR.pl

Decyzja ZSOŚS.440.124.2018 z dnia 18 grudnia 2018 r.

Opis istoty decyzji: Skarga dotyczyła przetwarzania danych osobowych przez Prezesa Wojewódzkiego Sądu Administracyjnego oraz radcę prawnego. Skarżący wskazał, że radca prawny przetwarzał dane dotyczące postępowań, w których uczestniczył skarżący przed innymi sądami. Zdaniem Skarżącego „powyższe sądy udostępniły osobie nieuprawnionej dane osobowe uczestników postępowań, ewentualnie takie dane przekazał swojemu pełnomocnikowi pozwany w sprawie […], tj. Prezes Wojewódzkiego Sądu Administracyjnego w R.”. W ramach postępowania Prezes UODO ustalił, że dane osobowe skarżącego zostały przekazane przez Prezesa WSA radcy prawnemu, który był jego pełnomocnikiem, jednak nie obejmowały one informacji dotyczących ww. postępowań przed sądami. Dane te znajdowały się natomiast w piśmie przewodnim pełnomocnika. Oceniając tą sprawę Prezes UODO stwierdził, że kluczowy jest art. 27 ust. 2 punkt 5 poprzedniej ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych wrażliwych było dopuszczalne, jeżeli: „przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem”.

Przywołano także fragment komentarza, zgodnie z którym: „Dochodzenie praw” w rozumieniu art. 27 ust. 2 pkt 5 obejmuje wszelkie działania przed sądem w podanym znaczeniu podejmowane przez strony i inne podmioty postępowania, w tym pełnomocników. Jeszcze raz należy podkreślić, że na podstawie omawianej przesłanki legalne jest przetwarzanie tylko wrażliwych danych osobowych niezbędnych do dochodzenia praw przed sądem w powyższym, szerokim znaczeniu”. (por. Drozd, Andrzej. Art. 27. W: Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV. Wydawnictwo Prawnicze LexisNexis, 2008). Zdaniem Prezesa UODO przetwarzanie odbywało się na ww. podstawie, dlatego odrzucił on skargę.

Decyzja ZSOŚS.440.69.2018 z dnia 18 grudnia 2018 r.

Opis istoty decyzji: postępowanie dotyczyło skargi na przetwarzanie danych osobowych
w Krajowym Systemie Informacyjnym Policji (KSIP). Skarżący zarzucił Komendantowi Głównemu Policji przetwarzanie danych bez podstawy prawnej oraz zażądał ich usunięcia. Prezes UODO ustalił, że dane Skarżącego zostały umieszczone w systemie KSIP w związku z toczonym przeciwko niemu postępowaniem karnym. Na podstawie art. 20 ust. 2a ustawy o policji odpowiedni organ policji dokonał rejestracji procesowej. Następnie dane były tam przechowywane mimo zatarcia skazania.

Prezes UODO stwierdził, że zgodnie z art. 20 ust. 1 ustawy o Policji, może ona uzyskiwać informacje, w tym także niejawne, gromadzić je, sprawdzać oraz przetwarzać. Natomiast okres przechowywania określono w art. 20 ust. 17 ustawy o Policji, zgodnie z którym dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres niezbędny do realizacji ustawowych zadań Policji. Policja weryfikuje dane po zakończeniu sprawy, a następnie nie rzadziej niż co 10 lat od dnia ich uzyskania i usuwa zbędne dane. Ponadto istnieją pewne sytuacje, w których należy usunąć dane wcześniej, ale nie występuje wśród nich zatarcie skazania. W związku z powyższym, Prezes UODO uznał, że działania policji były zgodne z prawem i odmówił uwzględnienia wniosku.

Decyzja ZWAD.405.88.2018 z dnia 20 grudnia 2018 r.

Opis istoty decyzji (niniejsza decyzja jest bardzo podobna do innych decyzji dotyczących informowania osób o naruszeniu, które opisywaliśmy wcześniej – np. opis decyzji listopad 2018 – część 1): sprawa dotyczyła naruszenia ochrony danych osobowych, polegającego na przesłaniu danych jednego z klientów Spółki na niewłaściwy adres poczty elektronicznej. Naruszenie dotyczyło takich danych jak: imię, nazwisko, adres zameldowania tożsamy z adresem korespondencyjnym, numer PESEL, numer telefonu, dane pojazdu (w tym model, nr rejestracyjny i numer VIN), numer polisy (propozycji). Spółka powiadomiła Prezesa UODO, ale nie powiadomiła osoby, ponieważ uznała, że ryzyko naruszenia jej praw było średnie, a nie wysokie. Po otrzymaniu zgłoszenia Prezes UODO skierował do Spółki wystąpienie wzywające do powiadomienia osoby o naruszeniu, ponieważ naruszenie poufności ww. danych powoduje wysokie ryzyko dla praw tej osoby. Ryzyko to, zdaniem Prezesa UODO, polega m. in. na możliwości wzięcia pożyczki na osobę, uzyskanie świadczeń opieki zdrowotnej, przysługujących tej osobie, udział w głosowaniu nad budżetem partycypacyjnym w imieniu tej osoby oraz wyłudzenie ubezpieczenia. Spółka nie zgodziła się z tym stanowiskiem i zwróciła się do Prezesa UODO o ponowne jego rozważenie. Zdaniem Spółki ryzyko nie było wysokie m.in. dlatego, że naruszenie dotyczyło tylko jednej osoby oraz nie zawierało danych wrażliwych. Spółka wskazała również, że nie istnieje możliwość wzięcia pożyczki w instytucjach poza bankowych, ponieważ wymagają one serii i numeru dowodu osobistego, a skorzystanie z usług zdrowotnych nie rodzi ryzyka dla osoby, a co najwyżej dla państwa, które wyda pieniądze na usługę medyczną. W odniesieniu do udziału w głosowaniu nad budżetem partycypacyjnym, to do oddania głosu wymagane jest tylko podanie imienia i nazwiska oraz adresu. Podobnie nie jest możliwe wyłudzenie ubezpieczenia komunikacyjnego ponieważ wymagane jest prawo jazdy a ponadto w zdarzeniu musi uczestniczyć też ubezpieczony pojazd, natomiast w przypadku innych ubezpieczeń, w momencie jego wypłaty należy ustalić osoby uprawnione do jej otrzymania na podstawie dokumentu stwierdzającego tożsamość. W odpowiedzi na pismo Spółki Prezes UODO wezwał spółkę do zastosowania się do wcześniejszego wystąpienia, jednakże Spółka stwierdziła, że nie może tego zrobić ponieważ wystąpienie Prezesa UODO nie jest aktem administracyjnym. W związku z tym Prezes UODO wszczął postępowanie administracyjne. W jego trakcie Spółka powiadomiła urząd, że poinformowała osobę, jednakże Prezes UODO stwierdził, że powiadomienie nie było prawidłowe, ponieważ nie zawierało dostatecznego opisu możliwych negatywnych konsekwencji naruszenia oraz zaleceń dla osoby. Prezes UODO odniósł się również do argumentacji Spółki, wskazując, że wiele instytucji poza bankowych udziela kredytu przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości, możliwy jest również dostęp do danych medycznych, ponieważ często dostęp do informacji o pacjencie można uzyskać telefonicznie podając numer PESEL. W związku z powyższym, Prezes UODO zobowiązał Spółkę do ponownego poinformowania osoby o możliwych konsekwencjach ochrony danych oraz do opisania środków proponowanych przez administratora, w celu zaradzenia naruszeniu. Spółka miała wykonać decyzję w terminie 3 dni.

Zapraszamy do zapoznania się z wcześniejszymi decyzjami UODO opublikowanymi na naszym portalu: