(1/2) Sprawozdanie GIODO za 2015 r. - jak zawsze ciekawa lektura!

Znowu mamy nowe sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych, podsumowujące 2015 r.  Znowu, bo sprawozdanie za wcześniejszy okres pojawiło się bardzo późno, więc odstęp między nimi był niewielki.

Sprawozdania to wdzięczna lektura, mimo, że to ponad trzysta stron (w tym roku ma 354), to warto je przeczytać, bo zawsze jest w nim nakreślone bieżące otoczenie, jest wprowadzenie do przepisów no i najświeższe z życia wzięte przypadki. Jeśli dopiero zaczynasz przygodę z danymi osobowymi, to zacznij od sprawozdań. Nie od ustawy, nie od komentarzy, ale właśnie od sprawozdań, a raczej od ostatniego sprawozdania.

Nawiasem mówiąc dokument w tym roku przygotował Grzegorz Malinowski. W tamtym był to MaNiAc!

Co ciekawego w Sprawozdaniu?

Przejdźmy do najważniejszych "zakreśleń",  na które zwróciłem uwagę. Każde z nich (albo prawie każde) opatrzyłem krótkim komentarzem.

[str. 5] W Sprawozdaniu przypomina się, że mamy nowego GIODO, a właściwią nową GIODO. Kadencja trwa 4 lata, więc widac, że już mamy trochę doświadczeń.

(...) 9 kwietnia 2015 r. Sejm RP powołał na stanowisko Generalnego Inspektora Ochrony Danych Osobowych dr Edytę Bielak-Jomaa. Senat RP zaakceptował ten wybór 16 kwietnia 2015 r. Z chwilą złożenia ślubowania przed Sejmem nowo powołanego Generalnego Inspektora Ochrony Danych Osobowych, tj. od 22 kwietnia 2015 r. , zgodnie z ustawą o ochronie danych osobowych, rozpoczęła się VI kadencja GIODO.
(...) Nad przestrzeganiem prawa obywateli do ochrony dotyczących ich danych osobowych czuwa Generalny Inspektor Ochrony Danych Osobowych - niezależny jednoosobowy organ administracji publicznej

[str. 10] Zwykło uważać się, że wszystkie obowiązki GIODO uregulowane są w ustawie o ochronie danych osobowych. Tak jednak nie jest, gdyż:

Dodatkowe obowiązki GIODO wynikają również m.in. z Dyrektywy 2002/58/WE o prywatności i łączności elektronicznej, Dyrektywy 2000/31/WE dotyczącej handlu elektronicznego, Decyzji ramowej 2008/977/WSiSW w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych czy też Decyzji Rady nr 2009/371/WSiSW z dnia 6 kwietnia 2009 r. ustanawiającej Europejski Urząd Policji (Europol). W lipcu 2016 r. wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (tzw. rozporządzenie eIDAS), które również będzie miało związek z nowymi zadaniami dla Generalnego Inspektora Ochrony Danych Osobowych (...) Na mocy przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2014 r.poz. 243 z późn.zm. ) dostawcy publicznie dostępnych usług telekomunikacyjnych w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązani są w szczególności powiadomić o tym właściwy organ ds. ochrony danych osobowych. W związku z powyższym, wyznaczeni przez Generalnego Inspektora pracownicy Biura GIODO wykonują zadanie organizacji i koordynacji przyjmowania oraz rozpatrywania zawiadomień o naruszeniu danych osobowych w oparciu o opracowaną instrukcję postępowania.

(...)

Ważny aspekt działalności organu wynika ponadto z przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz.U. z 2014 r.poz. 1203 z późn.zm.). Zgodnie z art. 8 ust. 1 tej ustawy, Generalny Inspektor sprawuje kontrolę nad tym, czy wykorzystywanie danych (przetwarzanych w wyżej wskazanych systemach) nie narusza praw osób, których dane te dotyczą.

[str. 11 i 13] Podoba mi się określenie "morze biurokracji" o istniejących przepisach o ochronie danych osobowych w całej Europie... Unijne rozporządzenie o ochronie danych osobowych (RODO) to zmieni .

Komisarz ds. Wymiaru Sprawiedliwości i Obywatelstwa Viviane Reding, prezentując projekt, wskazywała na konieczność zastąpienia tego „morza biurokracji” jednym prawem, które będzie obowiązywało w całej Unii Europejskiej
(...)
Zanim jednak przepisy rozporządzenia zaczną funkcjonować w praktyce, podczas dwuletniego okresu przejściowego państwa członkowskie będą miały obowiązek dostosowania krajowych przepisów do nowych, zmodernizowanych i uaktualnionych zasad ochrony danych osobowych. Oznacza to nie tylko konieczność zmiany przepisów polskiej ustawy o ochronie danych osobowych (która nie będzie mogła powtarzać regulacji zawartych w unijnym rozporządzeniu), ale także zrewidowania i ewentualnego przekształcenia przepisów dotyczących danych osobowych zawartych w innych aktach prawnych

[str. 15] Statystyki dotyczące zatrudnienia - najwięcej zajmuje się orzecznictwem, legislacją i skargami  - później zobaczycie, że najwięcej postępowań i kontroli inicjowanych jest też skargami. A więc mimo że skarga jest płatna (symboliczne 10 zł) to i tak jest ich całkiem sporo

Departament Orzecznictwa, Legislacji i Skarg (DOLiS) – 48 osób (47,75 etatów), - Departament Rejestracji Administratorów Bezpieczeństwa Informacji i Zbiorów Danych Osobowych (DRZDO) – 19 osób (18,875 etatów)

[str. 20] 175 kontroli to niewiele. Ciekawi jednak 13 wystąpień do ABI o dokonanie sprawdzenia - ciekawi o jakie podmioty chodzi...

2015 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 175 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych, w tym skierował 13 wystąpień o dokonanie sprawdzeń przez administratorów bezpieczeństwa informacji.

W dalszej części mamy informacje, jakie wynikają z przeprowadzonych kontroli. Jednym z ciekawych była kontrola w jednostkach Policji. Ustalono [str. 26], że:

(...) dostęp do danych SIS wykorzystywany był także przy sporządzaniu opinii o osobie w sprawach dotyczących wydawania pozwoleń na broń palną oraz przy wydawaniu postanowień dotyczących opinii o osobie w sprawach dotyczących wpisu na listę kwalifikowanych pracowników ochrony fizycznej oraz wpisu na listę kwalifikowanych pracowników zabezpieczenia technicznego, a więc w przypadkach nieprzewidzianych w przepisach ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen

[str. 31] Bardzi ciekawe,że zbiera się odciski wszystkich palców uchodźców

Do systemu Eurodac przekazywane są dane daktyloskopijne - odciski wszystkich palców – każdej osoby objętej wnioskiem o nadanie statusu uchodźcy w wieku co najmniej 14 lat

[str. 36] Kontroli w instytucjach finansowych było zaledwie 11.  Jedna z kontroli wykazała, że "w chwili korzystania z systemu bankowości elektronicznej (np. przy dokonywaniu przelewów) wyświetlane są informacje marketingowe". Kontrolowany bank był sprytny i "system bankowości elektronicznej został przed kontrolą zmodyfikowany w taki sposób, iż nie były w nim prezentowane (wyświetlane) informacje marketingowe (reklamy) klientom banku, którzy wnieśli sprzeciw wobec przetwarzania ich danych osobowych w celach marketingowych".

[str. 40] Dowiadujemy się, że szkoły informacji o tym gdzie pracują rodzice zbierać nie powinny.

W toku kontroli przeprowadzonej w jednym z liceum w zakresie przetwarzania danych osobowych uczniów
oraz ich rodziców (opiekunów prawnych) stwierdzono, że w szkole zbierane były m.in. takie dane jak nazwa i miejsce pracy rodziców. Tymczasem dopuszczalny zakres danych osobowych uczniów i ich rodziców przetwarzanych przez szkoły został określony w przepisach prawa (...)  informacje dotyczące rodziców ucznia mogą się pojawiać np. gdy stara się on o pomoc materialną (o której mowa w rozdz. 8a ustawy o systemie oświaty), czy też w sytuacji złożenia oświadczenia o spełnianiu szczególnych kryteriów rekrutacyjnych (art. 20c ust. 2 ustawy o systemie oświaty). Nie dotyczy to jednak wszystkich uczniów, zaś zbieranie takich informacji jest odrębnie uregulowane (...)

[str. 42] Skanowanie dowodów osobistych jednak ostatecznie nie jest w porządku.

Przetwarzanie przez ww. podmiot danych osobowych pozyskanych ze skanu przekazanego dowodu osobistego, w zakresie szerszym niż wynika to z art. 161 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjnego (Dz.U. z 2014 r.poz. 243 z późn.zm. ) 39 , tj. : koloru oczu, wzrostu, płci, adresu zameldowania, podpisu posiadacza dowodu (w przypadku dowodów osobistych wydawanych przed 1 marca 2015 r.), a także wizerunku twarzy, nazwy organu wydającego dowód osobisty, daty wydania i terminu ważności, naruszało obowiązujące przepisy prawa

Nie ma jednak, jak szybka reakcja na zawiadomienie o kontroli [str. 42].

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pełnomocnik Spółki poinformował, iż dostawca usług telekomunikacyjnych dokonał zmiany procedury sprzedaży usług telekomunikacyjnych w kanale sprzedaży internetowej w ten sposób, że nie uzależnia już złożenia zamówienia w sklepie internetowym od wyrażenia zgody na przetwarzanie danych zawartych w skanie dowodu osobistego

[str. 43] Jeśli odwoła się zgodę, to dane trzeba usunąć. Nie wolno ich pozostawiać, a przetwarzanie ograniczać do przechowywania. No chyba, że jest ku temu odpowiednia podstawa prawna.

Ustalono również, że w przypadku odwołania zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą, dane jej dotyczące nie były usuwane przez Spółkę. Odwołanie zgody przez osobę, której dane dotyczą, skutkuje natomiast tym, że Spółka ogranicza przetwarzanie danych jej dotyczących wyłącznie do ich przechowywania (...) Generalny Inspektor Ochrony Danych Osobowych uznał, że w przypadku wycofania przez osobę, której dane dotyczą, zgody na przetwarzanie danych osobowych, o których mowa powyżej, brak było podstawy prawnej do dalszego ich przetwarzania i dlatego Spółka powinna te dane usunąć

[str.44] Po raz kolejny powraca się do tematu (zabronionego) łączenia zgód, które powinny być odrębne

(...) na formularzu umowy o świadczenie usług telekomunikacyjnych podmiot ten pozyskuje od klientów zgodę na przetwarzanie w celach marketingowych spółki lub jej partnerów (tj. innych podmiotów, z którymi spółka współpracuje w zakresie rozpowszechniania informacji handlowej tych podmiotów) danych transmisyjnych związanych z numerami telefonów, z których klient korzysta na podstawie umów zawartych ze Spółką. Zgoda na przetwarzanie danych transmisyjnych w celach marketingowych spółki oraz partnerów została sformułowana jako jedno oświadczenie, które można zaakceptować tylko i wyłącznie akceptując jednocześnie klauzulę zgody na otrzymywanie drogą elektroniczną (np.SMS, MMS, e-mail) informacji handlowych

[str.45] W tej samej kontrolowanej spółce ustalono, że warunkiem zawarcia umowy było przekazanie kopii dowodu osobistego, a także wyrażenie zgody na przetwarzanie danych w nim zawartych. Dziwne, że do świadczenia usług telekomunikacyjnych proszono o zgodę na przetwarzanie informacji o wzroście czy kolorze oczu? Może zielonoocy wysocy mężczyźni dzwonią więcej?

Generalny Inspektor Ochrony Danych Osobowych uznał, że pozyskiwanie przez Spółkę danych osobowych osób zawierających z nią umowę o świadczenie usług telekomunikacyjnych - za pośrednictwem kanału internetowego lub kanału telefonicznego - w zakresie koloru oczu, wzrostu, wizerunku twarzy oraz płci, odbywa się z naruszeniem przepisów prawa.

[str. 56] Do numeru PESEL będziemy jeszcze wracać, ale w podobnym tonie podkreśla się także, że "pozyskiwanie nr PESEL od osób wchodzących do budynku nie było niezbędne do osiągnięcia celu przetwarzania danych osobowych"

[str. 49] Po raz nie wiem który przypomina się, że zgoda na przetwarzanie danych osobowych musi być wyraźna i nie może być ukryta w jakimś regulaminie, który przyjmuje się do wiadomości.

W toku kontroli Spółki prowadzącej serwis internetowy  ustalono, iż podstawą prawną przetwarzania danych osobowych użytkowników w ramach ww. serwisu jest m.in.art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, tj. zgoda osoby, której dane dotyczą. Zgoda wynikała z treści regulaminu serwisu akceptowanej przez użytkownika w momencie rejestracji. W związku z powyższym stwierdzono, iż zastosowana przez spółkę forma pozyskiwania zgody na przetwarzanie danych osobowych naruszała przepisy ustawy o ochronie danych.

[str.50] Po nieudanym ofertowaniu dane trzeba usuwać.

wykazała, że do momentu dokonania płatności klient sklepu internetowego miał możliwość anulowania zamówienia. Anulowanie zamówienia nie powodowało jednak usunięcia danych osobowych podanych w związku ze składaniem zamówienia. Z chwilą anulowania zamówienia przez klienta dalsze przetwarzanie danych osobowych zebranych przez spółkę stało się niezgodne z celem, dla którego ww. dane zostały zebrane

Skoro o zgodach mowa, to dalej [str. 61] "wskazano, że zgoda na przetwarzanie danych osobowych w celach marketingowych produktów i usług podmiotów trzecich nie może stanowić jednocześnie zgody na udostępnianie danych innym podmiotom" - a więc jeśli ktoś godzi się na marketing, to nie można domniemać zgody na udostępnianie danych innym podmiotom.

[str. 53]  Każdy musi miec przy sobie dowód osobisty - tak mówią przepisy - dlatego dowodów nie wolno zatrzymywać. A tu:

w toku oględzin przeprowadzonych podczas kontroli stwierdzono, iż w wypożyczalniach przechowywano prawa jazdy, legitymacje studenckie, patent żeglarski i karty miejskie (...) zatrzymywanie bez podstawy prawnej cudzego dowodu osobistego jest zagrożone karą ograniczenia wolności albo karą grzywny. Zatrzymywanie dowodów osobistych przez przedsiębiorców lub inne podmioty w związku z wypożyczaniem sprzętu nie znajduje podstaw w jakichkolwiek regulacjach prawnych (...) Z wykroczeniem mamy do czynienia w przypadkach wymuszenia pozostawienia dowodu wskutek uzależnienia dokonania określonej usługi od zatrzymania dowodu osobistego przez wykonującego usługę. (...) znamię czasownikowe „zatrzymanie” należy rozumieć jako pozbawienie władztwa, odebranie, a więc chodzi o zachowanie sprzeczne z wolą dysponenta dowodu osobistego
(...)
Zatem jedynie zatrzymanie dowodu osobistego wbrew woli i akceptacji jego właściciela może prowadzić do wyczerpania znamion wykroczenia określonego w art. 55 ust. 1 pkt 2 ustawy o ewidencji ludności i dowodach osobistych”. Trudno jednak mówić o zgodzie właściciela, dowolności i przyzwoleniu na zatrzymanie dowodu osobistego w sytuacji, kiedy wykonanie danej usługi zostało uzależnione od oddania dowodu osobistego na czas jej wykonywania. Żądanie pozostawienia dowodu osobistego na polecenie i do dyspozycji podmiotu, który uzależnia wykonanie przez niego usługi od czasowego pozostawienia dowodu osobistego, nie ma nic wspólnego z akceptacją i odbywa się wbrew woli i bez przyzwolenia właściciela

[str. 54] Prawo jazdy zaś nie jest dowodem tożsamości.

Należy również podnieść, jak wskazał NSA w wyroku z dnia 16 lutego 2007 r. , że „Prawo jazdy jest wyłącznie dokumentem stwierdzającym uprawnienie do kierowania pojazdem silnikowym, nie zaś dokumentem potwierdzającym tożsamość, dlatego informacje w zakresie kategorii i daty nadania uprawnienia do prowadzenia pojazdów są zbędne dla realizacji celu (...)"

[str. 54] Dokumenty nie mogą stanowić przedmiotu zastawu - o tym naprawdę warto pamiętać!

Podkreślenia również wymaga, iż dokumenty nie mogą stanowić przedmiotu zastawu, a tym samym nie mogą być w tym celu zatrzymywane. Takie stanowisko znajduje potwierdzenie w uchwale Sądu Najwyższego z dnia 18 września 1972 r.(sygn. III CZP 59/72), z którego wynika, że „papiery i dokumenty (... ) nie mają samoistnej wartości. Stwierdzają one jedynie istnienie określonego prawa. Dlatego też nie mogą być przedmiotem zastawu na rzeczach ruchomych”.

[str. 65]  Ciekawy przypadek albo naciągania prawa albo jego niezrozumienia. Spółka prowadząca apteki zamierzała udostępnić klientom serwis internetowy, w którym byłyby informacje o tym jakie produkty kupi w aptekach. Mógłby też wprowadzać tam informacje o produktach, które kupił w innych aptekach. Wszystko po to by farmaceuta mógł w poinformować klienta o tym, że kupowany lek wchodzi w interakcje z którymś wcześniej kupionych

Zdaniem Spółki prowadzenie programu jest sprawowaniem opieki farmaceutycznej, o której mowa w art. 2a ust. 1 ustawy z dnia 19 kwietnia 1991 r. o izbach aptekarskich (Dz.U. z 2014 r.poz. 1429 z późn.zm. ) 83 , a w związku z tym podstawę prawną przetwarzania danych osobowych w ramach tego programu stanowi art. 23 ust. 1 pkt 2 ustawy 84 o ochronie danych osobowych w związku z ww.art. 2a ust. 1 ustawy o izbach aptekarskich. W związku z wątpliwościami, czy realizację takiego programu można uznać za sprawowanie opieki farmaceutycznej, o której mowa powyżej, Generalny Inspektor Ochrony Danych Osobowych zwrócił się do Głównego Inspektora Farmaceutycznego o wydanie opinii w tym zakresie
(...)
Główny Inspektor Farmaceutyczny stwierdził, że opisany powyższej program nie stanowi formy opieki farmaceutycznej w rozumieniu ustawy o izbach aptekarskich. Przedmiotowy program nie zakłada dokumentowanej współpracy pomiędzy farmaceutą zatrudnionym w aptece Spółki a lekarzem, czy też przedstawicielem innego zawodu medycznego, co nie pozwala na zakwalifikowanie go jako formy sprawowania opieki farmaceutycznej. Z opisu programu wynika, że ma on przede wszystkim służyć do śledzenia historii zakupów dokonanych w sieci aptek Spółki, zaś od aktywności posiadacza konta zależy, czy w systemie znajdą się informacje o produktach nabytych w innych aptekach. Chodzi przy tym o zakupy wszelkiego rodzaju artykułów dostępnych w aptekach, nie tylko produktów leczniczych. Z kolei dodatkowa „usługa” polegająca na informowaniu przez farmaceutę o wzajemnym oddziaływaniu na siebie leków zakupionych przez klienta jest w istocie obowiązkiem każdego farmaceuty zatrudnionego w aptece. 

Dalej czytamy o tym, jak minał GIODO 2015 r. i pojawia się trochę liczb:

  • 992 decyzje administracyjne, w tym 646 wydano na skutek postępowania zainicjowanego skargą
  • skarg do GIODO wpłynęło 2256
  • wiele skarg pozostało bez rozpoznania

Skargi to bardzo ciekawa tematyka. Przede wszystkim skargi są bodźcem do przeprowadzenia kontroli, dlatego ważne, aby przetwarzający dane osobowe dobrze je obsługiwali.

Ciekawa skarga dotyczy postępowania komornika, którzy nie bardzo przykładają się do sprawdzenia danych, jakie posiadają i wysyłają pisma niejako na oślep tu i tam [str. 83]

Jedna ze skarg dotyczyła przetwarzania danych osobowych przez Komorników, którzy przesłali do Spółki pisma o zajęciu wynagrodzenia za pracę Skarżącego, pomimo iż w tym czasie Skarżący nie był już jej pracownikiem. Z dowodów wynikało, iż kasa oszczędnościowa zwróciła się do Komorników, z wnioskami o wszczęcie egzekucji przeciwko dłużnikowi, wskazując m.in. dane osobowe Skarżącego w zakresie jego prawdopodobnego miejsca zatrudnienia, celem przeprowadzenia egzekucji m.in. z wynagrodzenia za pracę. W związku z powyższym ww. Komornicy skierowali do wskazanego przez wierzyciela miejsca zatrudnienia Skarżącego, tj. Spółki, pisma dotyczące zajęcia wynagrodzenia za prace oraz wierzytelności zasiłku chorobowego z wezwaniem do dokonywania potrąceń. W odpowiedzi Spółka skierowała do Komorników pisma z informacją, że Skarżący nie był już jej pracownikiem, a jedynie pozostawał w stosunku pracy we wskazanym przez nią okresie. W ocenie Generalnego Inspektora zastosowana w niniejszej sprawie praktyka Komorników, była nieprawidłowa. Na komorniku sądowym bowiem, jako administratorze danych, ciąży, zgodnie z art. 36 ust. 1 ustawy – obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym

Inna skarga dotyczyła reklam, jakie wyświetlały się w serwisie bankowości internetowej osobie, która odwołała zgody czy też zgłosiła sprzeciw na przetwarzanie danych w celach marketingowych. Chyba wiem, o jakim banku mowa, bo mam to samo... [str/ 85]

Wojewódzki Sąd Administracyjny w Warszawie (WSA) w wyroku z dnia 9 października 2015 r.stwierdził, iż cyt. : „Jeśli bowiem po zalogowaniu do serwisu, klient ma możliwość zapoznania się z reklamą Banku, to świadczy to o tym, że Bank dokonuje operacji na jego danych osobowych w celach marketingowych. Dochodzi więc w takiej sytuacji do bezprawnego (wobec złożonego sprzeciwu klienta) przetwarzania jego danych osobowych

Wówczas uznano, że GIODO powinien w następnym roku lepiej przyjrzeć sie bankom [str. 86] w następujących obszarach:

  • kwestie marketingowe w systemach transakcyjnych w sytuacji, gdy klient wniósł sprzeciw,
  • kopiowanie dowodów tożsamości
  • dane w BIK i ZBP po ogłoszeniu upadłości konsumenckiej
  • profilowanie
  • byli klienci a BIK (Biuro Informacji Kredytowej)
  • FATCA (Foreign Account Tax Compliance Act)

Ciekawe, jak im poszło? Zobaczymy pewnie za rok!

[str. 87] 336 skarg dotyczących przetwarzania danych osobowych w Internetcie. Mniej niż roku temu.  GIODO prowadził m.in. postępowanie w srawie skargi o nakazanie usunięcia danych osobowych w wyników z jednej z wyszukiwarek internetowych

z materiału dowodowego zgromadzonego w sprawie wynikało, że Skarżący nie wystąpił do Spółki z wnioskiem o usunięcie ww. linku z wyników wyszukiwarki. Powyższe oznacza, że skarga Skarżącego była przedwczesna. Jak wynikało z wyroku Trybunału Sprawiedliwości Unii Europejskiej i wytycznych Grupy Roboczej Artykułu 29 oraz art. 35 ust. 2 ustawy, skarga do organu ochrony danych osobowych przysługuje dopiero wówczas, gdy operator otrzymawszy umotywowany wniosek osoby, której dane dotyczą o usunięcie jej danych osobowych z wyników wyszukiwania, nie dopełni tego obowiązku. Dokonując oceny okoliczności Generalny Inspektor odmówił uwzględnienia wniosku

Z innej skargi dowiadujemy się, że "stomatolog, jako każdy z równoprawnych wspólników przychodni prowadzonej w formie spółki cywilnej, był administratorem danych osobowych Skarżącego" - a więc wspólnik w spółce cywilnej jest takim samym administratorem danych jak pozostali wspólnicy [str. 93]. Czyżby to oznaczało, że trzech wspólników wysyła trzy zgłoszenia zbiorów danych osobowych? Miejmy nadzieję, że nie...

Skargi w ubezpieczeniach od lat są podobne. Najczęściej dotyczą przesyłaniu dokumentow dotyczących umowy ubezpieczenia osobom nieupoważnionym [str. 93]

GIODO mówi, że dane telekomunikacyjne można udostępniać Straży Miejskiej [str. 94].. A Minister Spraw Wewnętrznych mówi stanowczo "nie!" [str. 212]

Podobnie jak w poprzednich latach Generalny Inspektor Ochrony Danych Osobowych utrwalił swoje stanowisko w przedmiocie wydawania operatorom telekomunikacyjnych nakazów udostępnienia na rzecz straż gminnych danych osobowych abonentów, wobec których prowadzone są postępowania wyjaśniające 120 . Straże gminne, w świetle przepisów prawa, wykonują zadania w zakresie ochrony porządku publicznego. Do wypełnienia zadań realizowanych dla dobra publicznego niezbędne jest ustalenie sprawcy wykroczenia, a następnie skierowania do sądu wniosku o ukaranie. Dobro publiczne jest wartością, którą operatorzy telekomunikacyjni bez wątpienia powinni brać pod uwagę w kontekście realizacji obowiązku ochrony danych abonenta na gruncie przepisów ustawy Prawo telekomunikacyjne

Wskazane przepisy nie tylko uprawniają, ale wręcz zobowiązują Straż Miejską do pozyskania wszelkich niezbędnych danych w celu ustalenia sprawcy wykroczenia, a następnie skierowania do sądu stosownego wniosku o ukaranie podmiotu w pełni zidentyfikowanego.(…) Odmowa udostępnienia Straży Miejskiej żądanych danych osobowych użytkownika, w sytuacji gdy jedynymi danymi, jakimi dysponowała straż był jego numer telefonu komórkowego, a Spółka [.. ] była jedynym dysponentem tych danych, stanowiła niewątpliwie przeszkodę w zrealizowaniu nałożonych na Straż Miejską obowiązków wynikających z przepisów prawa”.

(...)

Pismem z dnia 7 września 2015 r. Minister Spraw Wewnętrznych odnosząc się do wystąpienia, nie podzielił stanowiska GIODO wskazując, iż nadanie straży gminnej uprawnień do dostępu do danych objętych tajemnicą telekomunikacyjną w sprawach o wykroczenia spowoduje, że formacja ta posiadałaby uprawnienia do pozyskiwania danych objętych tajemnicą telekomunikacyjną, w zakresie szerszym, niż posiada Policja, czy Straż Graniczna

Dalsza część -> kliknij tutaj