- Decyzja ZSOŚS.440.5.2018 z 15 listopada 2018 r.
Opis istoty decyzji: Skarżący zarzucił Komendantowi Głównemu Policji w Warszawie, że przetwarza jego dane osobowe w Krajowym Systemie Informacyjnym Policji (KSIP), chociaż nastąpiło zatarcie skazania za popełnione przestępstwo. Prezes UODO stwierdził, że podstawą prawną do przetwarzania danych osobowych osób, wobec których były prowadzone postępowania przez organy Policji, stanowi art. 20 ust. 1 ustawy o Policji. Jednocześnie zatarcie wyroku nie stanowi przesłanki usunięcia danych z KSIP, ponieważ nie jest ono wymienione w ww. ustawie. Prezes UODO powołał się również na dwa wyroki – Naczelnego Sądu Administracyjnego (I OSK 2426/15) oraz Trybunału Konstytucyjnego (OTK-A 2005/11/132), w którym stwierdzono, że przepis art. 20 ust. 17 ustawy o Policji nie przewiduje usuwania ze zbiorów danych zebranych o osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które zostały prawomocnie uniewinnione. W związku z powyższym, Prezes UODO odmówił uwzględnienia wniosku.
- Decyzja ZSOŚS.440.40.2018 z 15 listopada 2018 r.
Opis istoty decyzji: Podobnie jak w ww. sprawie, Skarżący zarzucił Komendantowi Głównemu Policji w Warszawie, że przetwarza jego dane osobowe w Krajowym Systemie Informacyjnym Policji (KSIP), chociaż nastąpiło zatarcie skazania za popełnione przestępstwo. Prezes UODO odmówił uwzględnienia wniosku, argumentując w taki sam sposób jak w przypadku ww. decyzji.
- Decyzja ZWAD.405.10.2018 z 20 listopada 2018 r.
Opis istoty decyzji: sprawa dotyczyła naruszenia ochrony danych osobowych, polegającego na przesłaniu danych jednego z klientów Spółki na niewłaściwy adres poczty elektronicznej. Dane obejmowały: imię, nazwisko, adres, numer PESEL, numer i datę polisy, dane pojazdu
(w tym nr rejestracyjny i numer VIN), numer wniosku ubezpieczeniowego, okres ochrony, numer polisy OC oraz wysokość składki. Spółka powiadomiła Prezesa UODO, ale nie powiadomiła osoby, ponieważ uznała, że ryzyko naruszenia jej praw było średnie, a nie wysokie. Po otrzymaniu zgłoszenia Prezes UODO skierował do Spółki wystąpienie wzywające do powiadomienia osoby o naruszeniu, ponieważ naruszenie poufności ww. danych powoduje wysokie ryzyko dla praw tej osoby.
Ryzyko to, zdaniem Prezesa UODO, polega m. in. na możliwości wzięcia pożyczki na osobę, uzyskanie świadczeń opieki zdrowotnej, przysługujących tej osobie, udział w głosowaniu nad budżetem partycypacyjnym w imieniu tej osoby oraz wyłudzenie ubezpieczenia. Spółka nie zgodziła się z tym stanowiskiem i zwróciła się do Prezesa UODO o ponowne jego rozważenie. Zdaniem Spółki ryzyko nie było wysokie m.in. dlatego, że naruszenie dotyczyło tylko jednej osoby oraz nie zawierało danych wrażliwych. Spółka wskazała również, że nie istnieje możliwość wzięcia pożyczki w instytucjach poza bankowych, ponieważ wymagają one serii i numeru dowodu osobistego, a skorzystanie z usług zdrowotnych nie rodzi ryzyka dla osoby, a co najwyżej dla państwa, które wyda pieniądze na usługę medyczną. W odniesieniu do udziału w głosowaniu nad budżetem partycypacyjnym, to do oddania głosu wymagane jest tylko podanie imienia i nazwiska oraz adresu. Podobnie nie jest możliwe wyłudzenie ubezpieczenia komunikacyjnego ponieważ wymagane jest prawo jazdy, a ponadto w zdarzeniu musi uczestniczyć też ubezpieczony pojazd, natomiast w przypadku innych ubezpieczeń, w momencie jego wypłaty należy ustalić osoby uprawnione do jej otrzymania na podstawie dokumentu stwierdzającego tożsamość. W odpowiedzi na pismo Spółki Prezes UODO wezwał spółkę do zastosowania się do wcześniejszego wystąpienia, jednakże Spółka stwierdziła, że nie może tego zrobić ponieważ wystąpienie Prezesa UODO nie jest aktem administracyjnym. W związku z tym Prezes UODO wszczął postępowanie administracyjne. W jego trakcie Spółka powiadomiła urząd, że poinformowała osobę, jednakże Prezes UODO stwierdził, że powiadomienie nie było prawidłowe, ponieważ nie zawierało dostatecznego opisu możliwych negatywnych konsekwencji naruszenia oraz zaleceń dla osoby. Prezes UODO odniósł się również do argumentacji Spółki, wskazując, że wiele instytucji poza bankowych udziela kredytu przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości, możliwy jest również dostęp do danych medycznych, ponieważ często dostęp do informacji o pacjencie można uzyskać telefonicznie podając numer PESEL.
Decyzja Prezesa UODO: Prezes UODO zobowiązał Spółkę do ponownego poinformowania osoby o możliwych konsekwencjach ochrony danych oraz do opisania środków proponowanych przez administratora, w celu zaradzenia naruszeniu. Spółka miała wykonać decyzję w terminie 3 dni.
Zapraszamy do zapoznania się z wcześniejszymi decyzjami UODO opublikowanymi na naszym portalu:
- Omówienie decyzji UODO – wrzesień 2018
- Omówienie decyzji UODO – październik 2018 – część 1
- Omówienie decyzji UODO – październik 2018 – część 2