- Decyzja ZSZSS.440.736.2018 z 23 listopada 2018 r.
Opis istoty decyzji: sprawa dotyczyła odwołania od poprzedniej decyzji GIODO. Skarżący zwrócił się o usunięcie jego danych osobowych przez uczelnię, w szczególności jego prywatnego adresu email. Uczelnia odmówiła temu żądaniu twierdząc, że Skarżący kierował wiele informacji drogą mailową, a odpowiedzi na te pisma są przetwarzane w toku prowadzonych postępowań administracyjnych, które wszczęto na wniosek skarżącego. GIODO uznał, że uczelnia przetwarzała dane na podstawie przepisów prawa i oddalił skargę na uczelnię, a skarżący odwołał się od tej decyzji. W postępowaniu odwoławczym Prezes UODO stwierdził, że uczelnia ma prawo przetwarzać dane Skarżącego na podstawie ustawy z 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce (Dz. U. z 2018 r., poz.1668), m. in. w celu monitorowania karier absolwentów oraz w celu prowadzenia Systemu Informacji o Szkolnictwie Wyższym. Ponadto uczelnia musi przetwarzać dane w celach archiwalnych oraz rozpatrywania pism na podstawie odrębnych przepisów. W związku z powyższym Uczelnia przetwarzała dane osobowe na podstawie art. 6 ust 1. Lit. c) RODO, czyli w celu wykonania obowiązku prawnego. Z tego względu Prezes UODO utrzymał poprzednią decyzję w mocy.
- Decyzja ZSZSS.440.780.2018 z 7 grudnia 2018 r.
Opis istoty decyzji: skarżący złożył skargę na przetwarzanie jego danych osobowych przez przedszkole, którego był uprzednio pracownikiem. Skarżący w treści skargi wskazał, że jego dane osobowe nie są zabezpieczone w prawidłowy sposób przed udostępnieniem ich osobom nieupoważnionym oraz przetwarzaniem przez osoby do tego nieuprawnione. Podniósł m. in., że jego akta osobowe przechowywane są w niezabezpieczonym pomieszczeniu, a dane osobowe znajdują się na dysku twardym niezabezpieczonego komputera. Jednakże w toku postępowania Prezes UODO ustalił, że przedszkole miało podstawę prawną do przetwarzania danych skarżącego, a ponadto stosowało odpowiednie zabezpieczenia. M. in. tylko dyrektor przedszkola ma dostęp do danych osobowych pracowników znajdujących się w dokumentach a ponadto komputer stacjonarny w placówce znajduje się w zabezpieczonym przed dostępem osób nieupoważnionych pomieszczeniu, posiada oprogramowanie antywirusowe i hasło dostępu. Dyrektor przedszkola ustalił również hasło do bezprzewodowej sieci internetowej, które jest znane tylko jemu. W związku z powyższym Prezes UODO oddalił skargę.
- Decyzja ZSPR.440.783.2018 z 10 grudnia 2018 r.
Opis istoty decyzji: Skarżący złożył skargę na odmowę spełnienia wobec niego obowiązku informacyjnego przez spółkę. Skarżący wskazał, że po zwróceniu się o informacje do spółki uzyskał stanowisko z którego wynika, że spółka uzależnia udzielenie informacji, co do posiadanych i przetwarzanych danych osobowych od uzyskania dodatkowych informacji, w tym dodatkowych danych osobowych zgodnie z przesłanym formularzem. Prezes UODO, działając na podstawie ustawy o ochronie danych osobowych z 1997 r. ustalił, że spółka po otrzymaniu dodatkowych danych osobowych od skarżącego, przekazała mu dotyczące go informacje. Odnosząc się do kwestii żądania dodatkowych informacji Prezes UODO stwierdził, że z zebranego materiału dowodowego wynika, że bazy danych spółki zawierają dane milionów osób fizycznych, a schemat wyszukiwania poszczególnych osób w bazie wymaga podania numeru PESEL oraz numeru dokumentu tożsamości. Wobec tego podwójna weryfikacja za pomocą ww. danych ma na celu zapobiec sytuacji, w której ktoś jedynie podaje się za osobę wnioskodawcy. Jak dalej stwierdził Prezes UODO, praktyka żądania dodatkowych danych weryfikacyjnych może wydawać się zbyt restrykcyjna, jednak nie można jej uznać za nadmierną w przedstawionej sytuacji. W związku z powyższym Prezes UODO odmówił uwzględnienia wniosku.
Opracował: Przemysław Sierzputowski
Zapraszamy do zapoznania się z wcześniejszymi decyzjami UODO opublikowanymi na naszym portalu: