GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Omówienie decyzji UODO –grudzień 2018 r. – część 6

Omówienie decyzji UODO –grudzień 2018 r. – część 6

1.  Decyzja ZWAD 405.153.2018 z 21 grudnia 2018 r.

2. Decyzja ZWAD.405.154.2018 z 21 grudnia 2018 r.

Dwie ww. decyzje są prawie identyczne – różnice polegają na pojedynczych słowach np. w jednej decyzji jest mowa o marce samochodu, a w drugiej o modelu samochodu. Ponadto decyzje te są podobne do tych, które opisywaliśmy wielokrotnie, m. in. w opisie decyzji część 1 listopad 2018 r.)

Opis istoty decyzji: sprawa dotyczyła naruszenia ochrony danych osobowych, polegającego na przesłaniu danych jednego z klientów Spółki na niewłaściwy adres poczty elektronicznej. Naruszenie dotyczyło takich danych jak: imię, nazwisko, adres zameldowania tożsamy z adresem korespondencyjnym, numer PESEL, numer telefonu, dane pojazdu (w tym model, nr rejestracyjny i numer VIN), numer polisy (propozycji).

Spółka powiadomiła Prezesa UODO, ale nie powiadomiła osoby, ponieważ uznała, że ryzyko naruszenia jej praw było średnie, a nie wysokie. Po otrzymaniu zgłoszenia Prezes UODO skierował do Spółki wystąpienie wzywające do powiadomienia osoby o naruszeniu, ponieważ naruszenie poufności ww. danych powoduje wysokie ryzyko dla praw tej osoby. Ryzyko to, zdaniem Prezesa UODO, polega m. in. na możliwości wzięcia pożyczki na osobę, uzyskanie świadczeń opieki zdrowotnej, przysługujących tej osobie, udział w głosowaniu nad budżetem partycypacyjnym w imieniu tej osoby oraz wyłudzenie ubezpieczenia.

Spółka nie zgodziła się z tym stanowiskiem i zwróciła się do Prezesa UODO o ponowne jego rozważenie. Zdaniem Spółki ryzyko nie było wysokie m.in. dlatego, że naruszenie dotyczyło tylko jednej osoby oraz nie zawierało danych wrażliwych. Spółka wskazała również, że nie istnieje możliwość wzięcia pożyczki w instytucjach poza bankowych, ponieważ wymagają one serii i numeru dowodu osobistego, a skorzystanie z usług zdrowotnych nie rodzi ryzyka dla osoby, a co najwyżej dla państwa, które wyda pieniądze na usługę medyczną. W odniesieniu do udziału w głosowaniu nad budżetem partycypacyjnym, to do oddania głosu wymagane jest tylko podanie imienia i nazwiska oraz adresu. Podobnie nie jest możliwe wyłudzenie ubezpieczenia komunikacyjnego ponieważ wymagane jest prawo jazdy, a ponadto w zdarzeniu musi uczestniczyć też ubezpieczony pojazd, natomiast w przypadku innych ubezpieczeń, w momencie jego wypłaty należy ustalić osoby uprawnione do jej otrzymania na podstawie dokumentu stwierdzającego tożsamość.

W odpowiedzi na pismo Spółki Prezes UODO wezwał spółkę do zastosowania się do wcześniejszego wystąpienia, jednakże Spółka stwierdziła, że nie może tego zrobić ponieważ wystąpienie Prezesa UODO nie jest aktem administracyjnym. W związku z tym Prezes UODO wszczął postępowanie administracyjne. W jego trakcie Spółka powiadomiła urząd, że poinformowała osobę, jednakże Prezes UODO stwierdził, że powiadomienie nie było prawidłowe, ponieważ nie zawierało dostatecznego opisu możliwych negatywnych konsekwencji naruszenia oraz zaleceń dla osoby. Prezes UODO odniósł się również do argumentacji Spółki, wskazując, że wiele instytucji poza bankowych udziela kredytu przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości, możliwy jest również dostęp do danych medycznych, ponieważ często dostęp do informacji o pacjencie można uzyskać telefonicznie podając numer PESEL. W związku z powyższym, Prezes UODO zobowiązał Spółkę do ponownego poinformowania osoby o możliwych konsekwencjach ochrony danych oraz do opisania środków proponowanych przez administratora, w celu zaradzenia naruszeniu. Spółka miała wykonać decyzję w terminie 3 dni.

3. Decyzja ZSPR.440.854.2018 z dnia 21 grudnia 2019 r.

Opis istoty decyzji: Skarżąca zwróciła się o nakazanie Bankowi spełnienia wobec niej obowiązku informacyjnego oraz usunięcie danych udostępnionych przez Bank lub przeniesienie ich do części statystycznej. W toku postępowania Prezes UODO ustalił, że dane osoby zostały zebrane w związku z zawartą przez nią umową o pożyczkę, a po ustaniu jej zobowiązań wobec Banku, zostały one przeniesione do bazy specjalnie powołanej instytucji,  w oparciu o art. 105 ust. 4 w zw. z art. 105a ust. 3 Prawa bankowego, w związku z odnotowanym opóźnieniem spłaty zobowiązania. Bank zainicjował w systemie informatycznym wysłanie Skarżącej na wskazany przez nią adres korespondencyjny pisemnego powiadomienia o zamiarze przetwarzania jej danych osobowych w bazie po wygaśnięciu zobowiązania. Powiadomienie zostało wysłane przez Bank pocztą zwykłą na adres wskazany przez Skarżącą bez zwrotnego potwierdzenia odbioru. Oceniając skargę, Prezes UODO przywołał przepisy prawa bankowego, zgodnie z którymi banki, instytucje oraz podmioty, mogą przetwarzać informacje stanowiące m. in. tajemnicę bankową bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Jednakże w omawianej sytuacji, bank nie poinformował skutecznie Skarżącej o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody po wygaśnięciu zobowiązania wynikającego z ww. umowy. Chociaż nie ma obowiązku przesyłania takiego powiadomienia listem poleconym, to jednak Bank nie dysponuje dowodem, że korespondencja została skutecznie dostarczona. Prezes UODO nie uznał wydruku ekstraktu z pliku wygenerowanego z aplikacji za dowód doręczenia pisma, ponieważ świadczy on jedynie o wysłaniu korespondencji przez Bank.

Natomiast w odniesieniu do zarzutu o niespełnieniu obowiązku informacyjnego Prezes Urzędu stwierdził, że art. 25 ust. 1 ustawy o ochronie danych osobowych z 1997 roku nie dotyczył sytuacji, gdy dane były zbierane bezpośrednio od osoby, a ze źródeł trzecich, dlatego w omawianej sprawie nie ma on zastosowania. W związku z powyższym Prezes UODO nakazał usunięcie danych z bazy oraz odmówił wniosku w pozostałym zakresie.

Zapraszamy do zapoznania się z wcześniejszymi decyzjami  UODO opublikowanymi na naszym portalu:

  1. Omówienie decyzji UODO – grudzień 2018 – część 5
  2. Omówienie decyzji UODO – grudzień 2018 – cześć 4
  3. Omówienie decyzji UODO – grudzień 2018 – część 3
  4. Omówienie decyzji UODO – grudzień 2018 – część 2
  5. Omówienie decyzji UODO – listopad 2018- część 4 i grudzień 2018 – część 1
  6. Omówienie decyzji UODO – listopad 2018 – część 3
  7. Omówienie decyzji UODO – listopad 2018 – część 2
  8. Omówienie decyzji UODO – listopad 2018 – część 1
  9. Omówienie decyzji UODO – październik 2018 – część 2
  10. Omówienie decyzji UODO – październik 2018 – część 1
  11. Omówienie decyzji UODO – wrzesień 2018