Czy już czytaliście sprawozdanie GIODO za 2014 r.?

Na stronie GIODO znajdują się sprawozdania, ostatnie z nich to "SPRAWOZDANIE Z DZIAŁALNOŚCI GENERALNEGO INSPEKTORA OCHRONY DANYCH  OSOBOWYCH W ROKU 2014" Nie każdemu chce się czytać tak obszerne dokumenty, więc pomyślałem, że może przyda się coś a la streszczenie...
 
Str. 5

W roku sprawozdawczym 2014 upłynęła IV kadencja i rozpoczęła się V kadencja Generalnego Inspektora Ochrony Danych, pełniona przez dra Wojciecha R. Wiewiórowskiego do czasu złożenia przez niego rezygnacji ze stanowiska Generalnego Inspektora Ochrony Danych Osobowych. W związku z wyborem na stanowisko zastępcy Europejskiego Inspektora Ochrony Danych, Wojciech Wiewiórowski w dniu 28 listopada 2014 r. złożył rezygnację z funkcji Generalnego Inspektora. Sejm 3 grudnia 2014 r. podjął uchwałę o odwołaniu go ze stanowiska GIODO, a Senat RP 18 grudnia 2014 r. wyraził na to zgodę. Od tego dnia, do czasu wyboru Generalnego Inspektora VI kadencji, dr Edyty Bielak-Jomaa, urzędem kierował Andrzej Lewiński, Zastępca GIODO.

Str. 8
 
Na system ochrony danych osobowych składają się też przepisy szczególne innych ustaw, które regulują kwestie związane z przetwarzaniem danych osobowych przez różne podmioty. Podmioty publiczne, w myśl zasady praworządności wyrażonej w art. 7 Konstytucji Rzeczypospolitej Polskiej, działają wyłącznie na podstawie i w granicach prawa. Oznacza to, że mogą one przetwarzać dane osobowe jedynie wtedy, gdy służy to wypełnieniu określonych prawem zadań, obowiązków i upoważnień
Temu akapitowi warto poświęcić chwilę, bo podkreśla on to, że podmioty publiczne nie powinny zbierać danych osobowych na podstawie zgody - one powinny przetwarzać tylko takie dane jakie nakazuje im prawo. No i oczywiście - co zawsze trzeba pamiętać - ochrona danych osobowych to nie jest tylko ustawa o ochronie danych, to całe mnóstwo wielu aktów prawa.
 
Str. 11
 
W 2014 roku udało się zamknąć kolejny ważny etap negocjacji w pracach nad nowym prawem ochrony danych w UE. Parlament Europejski udzielił silnego poparcia dla reformy ochrony danych w UE, obejmującej zarówno ogólne rozporządzenie o ochronie danych, jak i dyrektywę o ochronie danych w kontekście egzekwowania prawa, głosując w dniu 12 marca 2014 r. za przyjęciem obydwu projektów 8 . Teraz kluczowe dla nowych przepisów będą prace w Radzie Unii Europejskiej. (...) Dzięki niej obywatele będą mieli kontrolę nad swoimi danymi dzięki unowocześnieniu sprawdzonych już zasad (np. prawo do usunięcia danych), ograniczeniu niepożądanych praktyk i wprowadzeniu większej przejrzystości tych, powszechnie stosowanych (np. w odniesieniu do profilowania), czy też poprzez wprowadzenie nowych zasad, takich jak prawo do przenoszenia danych oraz prawo do informacji o naruszeniu ochrony danych osobowych. W założeniu zasady te służyć mają ochronie prywatności obywateli, którzy chcą, aby usługi internetowe były godne zaufania. Ale skorzysta na tym również biznes, bo dla małych i średnich przedsiębiorców stworzony zostanie jednolity rynek z wieloma milionami konsumentów. (...) Nowe przepisy opierają się na czterech podstawowych filarach: 1. jeden kontynent – jedno prawo ze skutecznymi sankcjami; 2. rozporządzenie ustanowi punkt kompleksowej usługi – przedsiębiorstwa, które prowadzą działalność w kilku państwach UE oraz ich konsumenci będą mieli do czynienia z jednym krajowym organem nadzorczym.
Reforma ochrony danych jest ukierunkowana na pobudzenie wzrostu gospodarczego poprzez redukcję kosztów i biurokracji dla europejskich przedsiębiorstw, szczególnie dla małych i średnich przedsiębiorstw (MŚP). Po pierwsze, mając jedno prawo zamiast 28, reforma ochrony danych UE pomoże MŚP wejść na nowe rynki. Po drugie, Komisja Europejska zaproponowała zwolnienie MŚP z szeregu postanowień ogólnego rozporządzenia o ochronie danych, podczas gdy obecnie obowiązująca dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 1995 r. ma zastosowanie do wszystkich europejskich przedsiębiorstw, niezależnie od ich wielkości. Zgodnie z nowymi przepisami MŚP skorzystają z czterech ograniczeń biurokracji – zwolnienia z obowiązku powoływania urzędnika ds. ochrony danych (o ile przetwarzanie danych nie jest podstawową działalnością), brak konieczności dokonywania [...] zgłoszeń, pobierania opłaty za zapewnienie dostępu w przypadku, gdy wnioski o dostęp do danych będą nadmierne w stosunku do celu lub gdy będą się powtarzały oraz – MŚP nie będą miały obowiązku przeprowadzenia oceny wpływu na ochronę prywatności (chyba, że będzie istniało określone zagrożenie
 
Reforma nadchodzi wielkimi krokami, wkrótce podobne opracowanie przedstawię na tych stronach, a tymczasem zachęcam do lektury dokumentu o wdzięcznej nazwie "Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) [pierwsze czytanie]", który można znaleźć na stronach Unii Europejskiej
 
Str. 20
 
2014 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 175 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych.
Na stronach 22 i 23 można dowiedzieć się jakie były typowe niezgodności z przepisami - ja sobie zanotowałem tylko nietypowe przypadki polegające na:
  • na nieujęciu systemu informatycznego wykorzystywanego do wymiany danych w wykazie zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
  • niezawarciu w polityce bezpieczeństwa opisu struktury zbiorów danych, wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposobu przepływu danych pomiędzy poszczególnymi systemami, uwzględniających ww. system oraz niezawarciu w instrukcji zarządzania systemem
 
Str. 24 - GIODO nie skorzystał z tego prawa, ale należy pamiętać, że może złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa. W zasadzie można by się zastanawiać, czy przypadkiem taki obowiązek na nim nie ciąży, skoro przestępstwa dotyczące ochrony danych osobowych są ścigane z urzędu. W związku z tym każdy, kto dowiedział się o popełnieniu takiego przestępstwa (a nie tylko pokrzywdzony bądź świadek) zobowiązany jest zawiadomić o tym fakcie prokuratora lub Policję. Wynika to z treści art. 304 Kodeksu postępowania karnego. 
 
Generalny Inspektor nie skorzystał z prawa określonego w art. 18 ust. 1 pkt 1 ustawy o ochronie danych osobowych 19 (tj. nie złożył zawiadomienia o podejrzenia popełnienia przestępstwa - przyp. LK). Niemniej jednak Generalny Inspektor poinformował prezydenta miasta, iż zgodnie z art. 24 [...] zbiór ten powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, ponieważ nie mają tu zastosowania przesłanki określone w art. 43 ust. 1 ustawy o ochronie danych osobowych, zwalniające z obowiązku rejestracji 22 . 
 
Str. 29
 
Do jednej z bardziej interesujących kontroli należała kontrola przeprowadzona w banku w związku ze zgłoszeniem przez ten bank do rejestracji Generalnemu Inspektorowi zbioru danych dotyczących karalności agentów i ich pracowników oraz partnerów sprzedaży 34 . Kontrola wykazała, że bank podejmował współpracę w zakresie pośrednictwa finansowego z przedsiębiorcami na podstawie umów agencyjnych. (...) Generalny Inspektor uznał jednak, że przetwarzanie danych o niekaralności przedsiębiorców (osób reprezentujących agentów, partnerów sprzedaży) oraz pracowników agentów odbywało się bez podstawy prawnej, o której mowa w art. 27 ust. 2 ustawy o ochronie danych osobowych. Organ nie przychylił się do stanowiska banku wskazującego, że uzasadnieniem dla żądania przez bank danych o niekaralności od przedsiębiorców (osób reprezentujących agentów, partnerów sprzedaży) oraz pracowników agentów realizujących usługi finansowe na rzecz banku, była konieczność zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. 
Treść art. 27 ust. 2 pkt 2 ustawy o ochronie danych osobowych przesądza o tym, że tylko przepis zawarty w akcie normatywnym o randze ustawy może zezwolić na przetwarzanie „wrażliwych” danych osobowych. Jednocześnie brzmienie przepisu ustawy szczególnej nie powinno pozostawiać wątpliwości, iż zezwala on na przetwarzanie takich danych, w tym przypadku danych dotyczących niekaralności. Zatem, powoływanie się przez bank na postanowienia uchwały Komisji Nadzoru Finansowego nie mogło stanowić podstawy prawnej do pozyskiwania danych o niekaralności ww.osób [...] Pracownik (osoba zatrudniona przez agenta na podstawie umowy o pracę) przekazywał do banku ww. dokumenty za pośrednictwem agenta (tj.pracodawcy). Dane te były przetwarzane przez bank w związku z zawarciem i realizacją umowy agencyjnej. Zdaniem banku informacje i dane zawarte w raporcie przygotowanym przez Biuro Informacji Kredytowej, tj. dane o zobowiązaniach finansowych reprezentantów agentów i jego pracowników, były przetwarzane w celu oceny kompetencji i wiarygodności finansowej tych osób w związku z zawarciem i realizacją umowy agencyjnej, a także w celu zapewnienia bezpieczeństwa środków pieniężnych [...] Generalny Inspektor uznał, iż pozyskiwanie danych zawartych w raportach przygotowanych przez Biuro Informacji Kredytowej dotyczących ww. osób było nieadekwatne w stosunku do celów, w jakich były one przetwarzane [...] Z uwagi na stwierdzone uchybienia w procesie przetwarzania danych osobowych, wobec banku zostało wszczęte postępowanie administracyjne. W toku postępowania bank usunął uchybienia stanowiące przedmiot postępowania poprzez zaprzestanie przetwarzania oraz usunięcie danych dotyczących karalności oraz danych o zobowiązaniach finansowych, w szczególności pochodzących z Biura Informacji Kredytowej. Z powyższych względów postępowanie w tym zakresie zostało umorzone.
Ta część dotyczy głównie rynku finansowego - wniosek z niej jest taki, że nawet jeżeli KNF - Komisja Nadzoru Finansowego - każe zbierać dane o niekaralności, to to nie wystarczy, bo musi stać za tym prawo. Nie można być bezkrytycznym wobec regulatora czy organizacji branżowych. Warto też zapamiętać to, że jeśli w trakcie kontroli usunie się uchybienia, to postępowanie (GIODO) zostanie umorzone.
 
Str. 33/34
 
zgoda na przesyłanie informacji handlowej o której mowa w art. 10 w zw. z art. 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2013 r.poz. 1422 z późn.zm. ) i zgoda na przetwarzanie danych osobowych powinny być wyrażone jako odrębne oświadczenia. W przeciwnym wypadku zachodziłaby sytuacja domniemania zgody z oświadczenia woli innej treści.
 
Str, 34
 
(...) skoro prawo określa krąg podmiotów uprawnionych do dostępu do danych zawartych w receptach lekarskich, żaden inny podmiot (w tym poddany kontroli podmiot) posiadając dane w zakresie: numer recepty, data jej wystawienia oraz nazwa leku, nie będzie w stanie zidentyfikować osób, których te informacje dotyczą. W konsekwencji, należy przyjąć, że do przetwarzania przez spółkę danych w zakresie: numer recepty, data jej wystawienia oraz nazwa leku, nie znajdują zastosowania przepisy o ochronie danych osobowych
To doskonale wiemy i najlepiej obrazuje to publikowanie ocen na uczelniach w formie - numer indeksu, przedmiot, ocena - tylko student i uczelnia potrafią zidentyfikować te dane, a inni nie - dla innych to nie będą dane osobowe.
 
 
Str. 35 
Czytamy, że "W 2013 r. w placówkach oświatowych przeprowadzonych zostało 11 kontroli zgodności" - zapewne chodzi o rok 2014.
 
Str. 36
stwierdzono przypadki kwaterowania w domach studenta niektórych uczelni osób niebędących studentami (np. : gości studentów przedłużających pobyt w domu studenckim, a także „tzw. gości hotelowych”) i wystawiania faktur VAT za taki pobyt [...] jak sądziły - dane zawarte w tych zbiorach są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (przesłanka zwalniająca z obowiązku rejestracji zbioru danych osobowych, o której mowa w art. 43 ust. 1 pkt 8 ustawy o ochronie danych osobowych). Generalny Inspektor nie zgodził się z powyższą opinią. Określony w taki sposób cel przetwarzania danych ww. osób może nie być przecież jedynym celem przetwarzania tych danych. Uczelniom mogą bowiem przysługiwać wobec takich osób roszczenia o naprawienie szkody w przypadku zniszczenia przez te osoby pokoju lub jego wyposażenia, a tym osobom roszczenia związane z nienależytym wykonaniem usługi
 
Czyli wystawienie faktury nie oznacza samo w sobie, że dane przetwarza się w celach wyłącznie wystawienia faktury, jeśli przysługiwać mogą roszczenia (a z działalności gospodarczej zawsze mogą) - to zbiór należy rejestrować. To by oznaczało, że zwolnienie z rejestracji zbiorów,  o której mowa w art. 43 ust. 1 pkt 8 ustawy o ochronie danych osobowych jest prawie że martwym przepisem.
 
Str. 37 - To wiadomo, że niezgodne z prawem są "wewnętrzne procedury, które dopuszczały możliwość zatrzymywania dowodów osób odwiedzających mieszkańców domów studenckich". Wciąz się to zdarza np. w klubach fitness.
 
Str. 42
(...) pośrednik błędnie uznał się za administratora danych osób korzystających z usług przewozowych, o czym świadczyło zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych zbioru danych klientów (...)
 
 
 
Str. 42
 
każdy sprzedany bilet miesięczny z ulgą ustawową 49% oraz 51% musi posiadać wpisany numer ewidencyjny PESEL osoby ustawowo uprawnionej do przejazdu na podstawie tego biletu. Odnosząc się do powyższego postanowienia umowy Generalny Inspektor zwrócił uwagę, iż drukowanie na bilecie miesięcznym numerów PESEL jego użytkownika, a także wykorzystywanie nr PESEL dla celów kontroli biletów miesięcznych narusza zasadę adekwatności wyrażoną w art. 26 ust. 1 pkt 3 ustawy. Albowiem zakres danych zapisanych na bilecie miesięcznym powinien być adekwatny do celów przetwarzania tych danych, tj.weryfikacji, czy biletem posługuje się osoba upoważniona do jego używania oraz kontroli, czy posiada ona uprawnienie do ulgi wskazanej na tym bilecie
To prawda, po co numer PESEL na takim bilecie. Można a niekiedy trzeba podawać PESEL, ale drukować się nie powinno.
 
Str. 44
 
W toku kontroli przeprowadzonej w Zarządzie Transportu Miejskiego z siedzibą w Warszawie (ZTM w Warszawie) ustalono, że przed rozpoczęciem procesu zbierania wniosków o wydanie Karty Warszawiaka lub Karty Młodego Warszawiaka, ZTM w Warszawie, jako administrator danych, udostępnił Prezydentowi m.st. Warszawy dane osobowe posiadaczy spersonalizowanej Warszawskiej Karty Miejskiej [...] Z kolei Minister Finansów uzupełniał przekazane dane osobowe poprzez podanie informacji dotyczącej posiadania (lub nie) miejsca zamieszkania na terenie m.st.Warszawy
 
Str. 49
 
Ustalenia wykazały, iż w wyniku włączenia funkcji automatycznego uzupełniania danych pasażera w formularzu zakupowym doszło do nieuprawnionego dostępu do danych jednego z pasażerów dokonującego zakupu biletu lotniczego przez innego pasażera również dokonującego zakupu. Niezwłocznie po zgłoszeniu incydentu przez pasażera, którego dane zostały udostępnione, przedsiębiorstwo zgłosiło incydent za pomocą systemu służącego do zgłaszania i śledzenia błędów w systemie informatycznym z priorytetem „krytyczny” podmiotowi wdrażającemu system informatyczny służący do wywoływania
w związku z jednorazowym incydentem dotyczącym dostępu do danych osobowych użytkownika (pasażera) przez innego pasażera, przedsiębiorstwo zleciło podmiotowi wdrażającemu system informatyczny przeprowadzenie testów penetracyjnych systemu – serwisu i wybranych funkcji procesu rezerwacyjnego. W wyniku tych testów nie stwierdzono podatności, które skutkują możliwością uzyskania nieuprawnionego dostępu do danych osobowych pasażerów przetwarzanych w serwisie – systemach informatycznych lub nieuprawnionego dostępu do infrastruktury informatycznej przedsiębiorstwa
Zachowanie z klasą - był incydent, jest audyt rozwiązania. Nie zawsze tak bywa - czasami problem się lekceważy - zob. tutaj
 
Str. 66
 
W związku z przeprowadzonymi kontrolami, 548 wydano na skutek postępowania zainicjowanego skargą, zaś 97 dotyczyło zgody na przekazanie danych do państwa trzeciego. Pośród 1219 decyzji, dwie z nich dotyczyły egzekucji administracyjnej
 
Potwierdzenie teorii, że warto dbać aby skarg nie było, a jesli sa - aby je obsłużyć jak najlepiej.
 
Str. 71
 
Zdaniem organu ochrony danych osobowych, przy udostępnieniu operatu jedynie w celu informacyjnym zbędne było (nieadekwatne do celu) ujawnianie imion i nazwisk skarżących oraz numeru księgi wieczystej. Wskazać należy, że udostępnienie dokumentu, który zawiera dane osobowe w zakresie, który może powodować naruszenie prawa do prywatności, powinno nastąpić po odpowiednim przetworzeniu danych osobowych w nim zawartych. W niniejszej sprawie oznaczało to, że operat powinien zostać udostępniony po uprzednim usunięciu danych osobowych skarżących w zakresie ich imion i nazwiska oraz numeru księgi wieczystej
Str. 78
 
(...) po otrzymaniu i sprawdzeniu danych na nowej karcie płatniczej wydanej do jej konta osobistego, zwróciła się dwukrotnie do banku o poprawienie błędu w jej nazwisku. Bank odmówił jej tłumacząc, iż w regulaminie konta zastrzegł sobie możliwość umieszczenia na karcie danych osobowych bez wykorzystania polskich znaków. W toku przeprowadzonego postępowania organ ustalił, iż nazwisko skarżącej przetwarzane przez bank jest merytorycznie niepoprawne. Skutkiem tego nieprawidłowego przetwarzania było figurowanie nazwiska skarżącej na karcie płatniczej
 
Poniekąd rozumiem. Na większości moich kart jest Kepa zamiast Kępa. To nie przeszkadza, ale być może zależy od nazwiska. Jeśli Pani nazywała się Anna Łaska, to Anna Laska mogło jej przeszkadzać (panowie by się pewnie z tym nie zgodzili... :)
 
Str. 82
 
przez jednego z operatorów telekomunikacyjnych w związku ze skierowaniem do niego telefonicznie oferty objęcia ochroną ubezpieczeniową przez jedno z towarzystw ubezpieczeniowych. W ocenie Generalnego Inspektora w ten sposób operator telekomunikacyjny prowadził marketing produktów i usług podmiotu trzeciego, świadczącego usługi ubezpieczeniowe. Wskazywany przez spółkę argument, iż celem takiej oferty jest jedynie promocja własnych produktów i usług nie został uznany za zasadny
 
Dzisiaj podobna rzecz dzieje się z mBankiem - zob. https://niebezpiecznik.pl/post/podaj-pesel-w-kalkulatorze-ubezpieczenia-...
 
Str. 169
 
kształt linii papilarnych jest cechą indywidualną każdego człowieka i nie jest uzależniony od jego narodowości
 
Str. 169
Narodowość jest stanem świadomości każdego człowieka i wynikającą z tego stanu jego identyfikacją z daną grupą etniczną. Informacja o narodowości wprost ujawnia zatem pochodzenie etniczne, a niekiedy także rasowe człowieka, co przesądza o uznaniu przetwarzania danych o narodowości za przetwarzanie danych szczególnie chronionych w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych. 
Str. 169
 
Zgodnie z art. 132a ust. 3 ustawy o służbie wojskowej żołnierzy zawodowych dopuszczalne jest jedynie przetwarzanie danych o obywatelstwie, nie zaś narodowości żołnierzy zawodowych. Tych dwóch pojęć nie można przy tym utożsamiać, gdyż pojęcie obywatelstwa jest jednoznacznie określone przez prawo (w Rzeczypospolitej Polskiej – przez ustawę z dnia 15 lutego 1962 roku o obywatelstwie polskim – t.j.Dz.U. z 2012 r.poz. 161 z późn.zm.), a narodowość jest stanem świadomości każdego człowieka i wynikającą z tego stanu jego identyfikacją z daną grupą etniczną. Informacja o narodowości wprost ujawnia zatem pochodzenie etniczne
Str. 172
 
W analizowanym okresie 2014 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło 4575 pytań prawnych z prośbą o interpretację obowiązujących w obszarze ochrony danych osobowych przepisów prawa
 
Str. 175
 
Zastosowanie numeru PESEL może naruszyć prywatność danych osobowych obywatela poprzez możliwość powiązania z innymi rejestrami oraz z uwagi na semantyczność cech tego identyfikatora (data urodzenia i płeć) (...) Należy również pamiętać, że na podstawie prawa do ponownego wykorzystania informacji publicznej będzie można przetwarzać taką informację w dowolnym komercyjnym lub niekomercyjnym celu (rozdział 2a znowelizowanej ustawy o dostępie do informacji publicznej stanowiący implementację dyrektywy 2003/98/WE Parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego DZ.U.UE L z dnia 31 grudnia 2003 r.). Ponadto za pomocą numeru PESEL znacznie ułatwione jest „profilowanie” użytkownika Internetu
 
Str. 184
 
Przepisy prawa regulujące zasady monitorowania losów absolwentów zawarte są w ustawie z dnia z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz.U. z 2012 r.poz. 572 z późn.zm.). W celu dostosowania programu kształcenia do potrzeb rynku pracy uczelnia może zaś prowadzić własny monitoring karier zawodowych swoich absolwentów
 
Str. 187
 
Generalny Inspektor wyjaśnił, iż rejestr transakcji powinien być przechowywany przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym transakcje zostały zarejestrowane 342 .Jednocześnie, informacje o transakcjach przeprowadzanych przez instytucje obowiązane oraz dokumenty dotyczące transakcji są przechowywane przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym dokonano ostatniego zapisu związanego z transakcją. Tym samym przepisy szczególne, regulujące kwestię prowadzenia rejestru transakcji nie przewidują możliwości dalszego przetwarzania danych osobowych zawartych w przedmiotowym
Str. 189
Odbieranie zgody na pewno nie może być uznane za dobrowolne, gdy świadczenie usługi jest uzależnione od jej udzielenia
 
Stwierdzenie nieco kontrowersyjne, należałoby dodać " no chyba że usługa świadczona jest bezpłatnie"
 
Str. 189
Zgoda nie powinna mieć charakteru abstrakcyjnego, nie może dotyczyć przetwarzania danych osobowych „w ogóle”, czy „na zapas”. Chodzi o to, by zgoda odnosiła się do skonkretyzowanego stanu faktycznego, obejmowała tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania 348 . Co więcej, nawet w sytuacji pozyskania przez bank „dobrowolnej” zgody, duże wątpliwości może wywoływać jej prawidłowość także dlatego, iż pozycja dominująca, czy co najmniej brak równowagi w relacjach bank – klient, jest na rynku usług finansowych ciągle widoczna.
Str. 196
 
w kwestii natomiast tego, czy pracodawca może przekazywać pasek wynagrodzeń oraz comiesięczny odcinek RMUA swoim pracownikom poprzez innych pracowników, oraz czy może bez zgody pracownika przekazać jego CV innym pracownikom, którzy go o to poproszą, Generalny Inspektor wyjaśnił, że pracodawca (osoba, która wykonuje za pracodawcę czynności z zakresu stosunku pracy) nie może udostępniać danych pracownika osobom nieupoważnionym. Nieuzasadnione udostępnienie informacji o pracowniku innym pracownikom może bowiem stanowić naruszenie dóbr osobistych zatrudnionego oraz prawa do ochrony jego danych osobowych (...) Przepisy prawa nie przewidują natomiast uprawnienia pracodawcy do przekazywania danych pracownika innym pracownikom, gdy brak jest ku temu uzasadnienia. Podkreślenia wymaga także, że jednym z podstawowych obowiązków pracodawcy zaliczanych do zasad prawa pracy jest poszanowanie godności oraz prywatności pracownika jako jego dóbr osobistych, zgodnie z art. 11 1 Kodeksu pracy. Naruszenie tego obowiązku może być podstawą uzasadnionych roszczeń pracownika, w tym rozwiązania przez niego umowy o pracę bez wypowiedzenia na podstawie art. 55 § 1 1 Kodeksu pracy
Str. 200
 
Dlatego też rada nadzorcza powinna mieć dostęp do akt zawierających dane osobowe jedynie w zakresie niezbędnym ze względu na cel i przedmiot kontroli
 
Str. 201
 
Generalny Inspektor zauważył też, iż zgodnie z art. 8 1 ust. 1 ustawy o spółdzielniach mieszkaniowych członek spółdzielni mieszkaniowej ma prawo otrzymania odpisu statutu i regulaminów oraz kopii uchwał spółdzielni i protokołów obrad spółdzielni, protokołów lustracji, rocznych sprawozdań finansowych oraz faktur i umów zawieranych przez spółdzielnię z osobami trzecimi. Gdy istnieje podjęta z mocy prawa uchwała zawierająca w swojej treści informacje o wysokości wynagrodzenia otrzymywanego przez ww.osoby, to dopuszczalne jest udostępnienie tych informacji w treści takiej uchwały na podstawie wyżej powołanego art. 8 1 ust. 1 ustawy o spółdzielniach mieszkaniowych.Podobnie, jeżeli statut spółdzielni przewiduje udostępnienie informacji na zasadach w nim określonych.
 
Str. 203
 
tzw. logi systemowe serwerów i innych urządzeń sieciowych, które pośredniczą w realizacji połączenia) zawierającymi dane techniczne dotyczące połączeń (w tym numery IP) będą stanowiły informacje, które umożliwiają identyfikację osób, których dotyczą, natomiast same ich nie identyfikują (...) (logi to nie zawsze dane osobowe - przyp LK) Podobnie jak numery telefonów, adresy IP identyfikujące urządzenia w sieci komputerowej (np. nr IP urządzeń w sieci Internet), nie zawsze będą przypisane przez operatorów do konkretnej osoby fizycznej. Dane te mogą być przypisane określonej firmie, organizacji lub w ogóle nieprzypisane żadnemu podmiotowi, jak np. adresy IP użytkowników podłączających się do niezabezpieczonych sieci bezprzewodowych (hotspotów)
Str. 204
 
Czy internetowy "nick" to dane osobowe...?
 
wykładnia funkcjonalna przepisów ustawy o ochronie danych osobowych oraz analiza przepisów ustawy o świadczeniu usług drogą elektroniczną wskazuje, że kontrola może być zapewniona także poprzez posługiwanie się przez administratorów systemów internetowych takimi informacjami o ich użytkownikach, jakimi dysponują. Kontrolowanie bowiem użytkownika dla którego znany jest jedynie jego pseudonim (nick), bądź adres poczty elektronicznej - obok informacji o terminach logowań, nr IP jego komputera itp. - i na podstawie takich właśnie informacji, należy uważać za realizację takiego obowiązku. Administratorzy danych zaś, na podstawie ustawy o świadczeniu usług drogą elektroniczną, nie mają obowiązku, dochodzić prawdziwości tych (...)  nickname - przezwisko, pseudonim) to jest to ciąg znaków tworzący nazwę pod jaką dana osoba chce występować, w przypadku gdy nie chce się ona posługiwać swoim imieniem lub/i nazwiskiem (...) W każdym więc przypadku, niezależnie od rodzaju „nicku”, system informatyczny lub serwis rejestruje numery IP komputerów, z których dokonywane są określone działania przez użytkownika. Nazwa („nick”) przypisana konkretnemu użytkownikowi pełni zatem rolę dodatkowej informacji ułatwiającej jego identyfikację. W określonych zatem sytuacjach, o ile nie wymagałoby to nadmiernych kosztów, czasu lub działań, „nick” może być uznany za dane osoby możliwej do zidentyfikowania.Dlatego, ocena, czy „Nick” pozwoli na jednoznaczne ustalenie tożsamości użytkownika, a tym samym, czy do tej danej osobowej będą miały zastosowanie przepisy ustawy o ochronie danych osobowych należy do podmiotu, który określonymi informacjami dysponuje. To on powinien ocenić, czy ewentualne koszty, czas lub działania zmierzające do bezbłędnego ustalenia tożsamości nie są nadmierne
 
Str. 209
 
Jeżeli jednak telefoniczna forma kontaktu z administratorem danych w ocenie określonej osoby nie sprzyja ochronie jej danych osobowych, osoba ta może zaproponować, jako wyłączny sposób kontaktu, np. tradycyjną korespondencję listowną.
 
Str. 212
 
Opinia w sprawie kamerek samochodowych:
Do naruszenia dóbr osobistych może dochodzić poprzez publikowanie nagrań w Internecie. Podejmowanie takich działań w celu np. piętnowania czy wyśmiewania zachowań innych kierowców, może prowadzić także do stygmatyzacji utrwalonych na nagraniach osób – zwłaszcza wobec faktu, iż nie mają one świadomości, że ich dane są pozyskiwane i w jaki sposób są dalej wykorzystywane. W rezultacie, osoba, której dane są przetwarzane w opublikowanym w sieci nagraniu, może zostać de facto uznana za winną naruszenia przepisów w momencie, gdy nie została jeszcze wszczęta w stosunku do niej jakakolwiek procedura. Stoi to w sprzeczności z zasadami prawa do obrony i domniemania niewinności, wyrażonymi w art. 42 Konstytucji RP.Ocena, czy amatorskie nagrania mogą być wykorzystywane dla celów dowodowych, każdorazowo powinna być dokonywana w sposób indywidualny, po wszczęciu stosownego postępowania
 
Str. 213
 
polskim porządku prawnym brak jest przepisów regulujących w sposób kompleksowy monitoring wizyjny. Tę lukę w przepisach ma wypełnić ustawa o monitoringu wizyjnym, do której projekt założeń przygotowało Ministerstwo Spraw Wewnętrznych
 
Str. 216
 
Generalny Inspektor Ochrony danych Osobowych otrzymał również zapytanie, czy instytucja kulturalna może zażądać okazania dowodu osobistego przy wejściu na spektakl (...) w odpowiedzi wskazano przede wszystkim, iż uprawnienie do legitymowania osób w celu ustalenia ich tożsamości przysługuje wyłącznie tym podmiotom, którym zostało ono zagwarantowane w obowiązujących przepisach prawa .Podmioty, którym takie uprawnienie nie zostało przyznane wprost w przepisach prawa, mogą przetwarzać dane osobowe, jednakże bez prawa do żądania od osób wchodzących na teren określonego obiektu okazania dokumentu tożsamości, celem ustalenia ich tożsamości lub potwierdzenia podanych przez nich danych osobowych w dokumencie tym zawartych. 
o tym też jest jeszcze dalej:
 
Str. 238
 
Generalny Inspektor wystosował także wiele wystąpień dotyczących nieuzasadnionego zatrzymywania dowodów osobistych przez podmioty, które w zamian za oferowane usługi udostępnienia infrastruktury, czy określonych przedmiotów, żądały pozostawienia tego dokumentu, jako zabezpieczenia wywiązania się z umowy. Kwestionowana praktyka stosowana jest coraz powszechniej, i budzi sprzeciw organu do spraw ochrony danych osobowych, w każdym przypadku, tj. niezależnie od tego czy związana jest np. z wypożyczeniem sprzętu ośrodka sportowego, przyczepy, audioprzewodnika muzeum państwowego czy końcówki kompresora na stacji benzynowej – bo i taką praktykę GIODO napotkał w swej działalności.
 
Szczególne zaniepokojenie Generalnego Inspektora dotyczy stosowania takich działań przez podmioty publiczne, które powinny sobie zdawać sprawę, iż zgodnie z art. 79 pkt 2 ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz.U. z 2010 r. Nr 167, poz. 1131 z późn.zm.), kto zatrzymuje bez podstawy prawnej cudzy dowód osobisty podlega karze ograniczenia wolności albo karze grzywny. Poprzednio zaś, nieuprawnione zatrzymanie dowodu tożsamości było sprzeczne z przepisami ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz.U. z 2006 r. Nr 139 poz. 993 z późn.zm.). Artykuł 33 ustawy o ewidencji ludności i dowodach osobistych zabraniał zatrzymywania dowodu osobistego, chyba że takie uprawnienie przyznają odrębne przepisy. Kto zaś zatrzymuje bez podstawy prawnej dowód osobisty, zgodnie z art. 55 pkt 2 wspomnianej ustawy, podlegał karze ograniczenia wolności albo karze grzywny. Generalny Inspektor wskazywał w tych sprawach, iż dokonywanie przez administratora danych rzetelnej analizy, czy i dla jakich celów przetwarzanie, w tym pozyskiwanie, określonego rodzaju danych powinno następować na etapie poprzedzającym dokonywanie każdej operacji na danych osobowych. Cel zbierania danych powinien być oznaczony i zgodny z prawem, a dalsze przetwarzanie danych niezgodne z tym celem jest niedopuszczalne. Cel przetwarzania danych osobowych nie jest jednak wynikiem arbitralnej decyzji administratora danych, oderwanym od okoliczności przetwarzania.
 
Poprzednio zaś, nieuprawnione zatrzymanie dowodu tożsamości było sprzeczne z przepisami ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz.U. z 2006 r. Nr 139 poz. 993 z późn.zm.). Artykuł 33 ustawy o ewidencji ludności i dowodach osobistych zabraniał zatrzymywania dowodu osobistego, chyba że takie uprawnienie przyznają odrębne przepisy. Kto zaś zatrzymuje bez podstawy prawnej dowód osobisty, zgodnie z art. 55 pkt 2 wspomnianej ustawy, podlegał karze ograniczenia wolności albo karze grzywny [...] Powyższe zastrzeżenia, choć dotyczyły przetwarzania danych osobowych związanych z zatrzymywaniem dowodów osobistych należy też odnieść do podobnych sytuacji związanych z zatrzymywaniem chociażby praw jazdy, paszportów czy różnego rodzaju legitymacji. 451 Tak np. w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2005 r. ; sygn. akt II SA/Wa 917/2005. 452 Por. wyrok Naczelnego Sądu Administracyjnego z dnia 19 grudnia 2001 r. ; sygn. akt II SA 2869/00, czy też wyrok NSA z dnia 7 listopada 2003 r. ; sygn. akt II SA 1432/02. 453 Art. 23 ustawy i art. 26 ust. 1 pkt 1-4 ustawy o ochronie danych osobowych239 [...] Powyższe zastrzeżenia, choć dotyczyły przetwarzania danych osobowych związanych z zatrzymywaniem dowodów osobistych należy też odnieść do podobnych sytuacji związanych z zatrzymywaniem chociażby praw jazdy, paszportów czy różnego rodzaju legitymacji
 
Str. 222
 
Pismem dnia 5 sierpnia 2014 r. 413 GIODO zwrócił się do Ministra Sprawiedliwości o niezwłoczne podjęcie prac legislacyjnych mających na celu rzetelne i szczegółowe unormowanie kwestii ujawniania danych osobowych na wokandach sądowych w zależności od jawności rozprawy lub rodzaju sprawy
 
regulacja § 23 zarządzenia Ministra Sprawiedliwości z dnia 12 grudnia 2003 r. w sprawie organizacji i zakresu działania sekretariatów sądowych oraz innych działów administracji sądowej (Dz.Urz. MS nr 5 poz. 22 z późn.zm. ) nie spełnia powyższych kryteriów. Ponieważ regulacja ta przewiduje sporządzanie wokand w każdej sprawie niezależnie od utajnienia jej przebiegu, w tym umieszczanie na wokandzie danych osobowych świadków – osób poszkodowanych przestępstwem, to dochodzi do istotnej i nieproporcjonalnej ingerencji w prawo do prywatności i związane z nim prawo do ochrony danych osobowych
 
szczególne zaniepokojenie budzą przypadki ujawniania danych osobowych świadków - potencjalnych pokrzywdzonych w sprawie oskarżonego o czyny pedofilskie, w sytuacji, gdy przebieg rozprawy był utajniony, czy też ujawniania w treści wokandy przedmiotu sprawy wraz z danymi osobowymi dzieci w sprawach rodzinnych (np. w sprawach o przysposobienie). Podkreśla się, że obecny stan rzeczy jest niezgodny nie tylko z aktami prawa krajowego, ale i regulacjami aktów międzynarodowego, m.in. Konwencją o prawach dziecka (Dz.U. z 1991 r. Nr 120 poz. 526 z późn.zm.).
 
Z tym należy zgodzić się w pełni.
 
Str. 241
 
za dobrą praktykę należy uznać przesyłanie wiadomości skierowanej do większej ilości odbiorców w taki sposób, aby żaden z nich nie mógł zapoznać się z adresami poczty elektronicznej innych adresatów wiadomości
 
Str. 306
 
Rozpoczynający działalność gospodarczą wydają się traktować tematykę ochrony danych osobowych jako „dodatek”, nie zaś jej autonomiczną część
 
Str. 310
 
Ponadto zaobserwowany został problem niespełniania przez banki własnego obowiązku informacyjnego z art. 105 ust. 3 ustawy Prawo bankowe
 
Str. 315
 
Refleksje organu do spraw ochrony danych osobowych - po przeanalizowaniu projektów, które wpłynęły do Biura GIODO w 2014 r. zmierzają w kierunku stwierdzenia, iż mimo obowiązywania ustawy o ochronie danych osobowych od 1997 r. nadal istnieje potrzeba korygowania zachowań zmierzających do pozyskiwania w aktach powszechnie obowiązującego prawa danych osobowych zbędnych, nieadekwatnych, nadmiernych
 
Str. 317
 
Wśród pojawiających się wyzwań na kolejny rok wskazać należy, iż koniecznym będzie uregulowanie takich obszarów jak biometria, sposoby przetwarzania informacji pozyskiwanych przez drony, czy też korzystanie z monitoringu (wizyjnego z rejestracją dźwięku), gdyż takie rozwiązania zaczynają być proponowane w przekazywanych Generalnemu Inspektorowi projektach. Niezależnie od rozwijających się nowych technologii przetwarzania danych osobowych, organ powołany do ich ochrony stoi i będzie stać na straży zgodnego z prawem, w tym z zasadami konstytucyjnymi, i adekwatnego w stosunku do celów przetwarzania danych, wykonywania na tych danych operacji ograniczonych w czasie, oraz zapewniać jednoznaczność interpretacji obowiązujących przepisów prawa
w przypadku sektora publicznego, odnotowany znaczący wzrost liczby zgłoszeń zbiorów danych osobowych przesyłanych do rejestracji GIODO spowodowany był wejściem w życie w omawianym okresie sprawozdawczym nowych regulacji prawnych, skutkujących tworzeniem przez jednostki samorządu terytorialnego nowych zbiorów danych w związku z realizacją przypisanych im zadań i kompetencji
 
Str. 339 
w opinii Generalnego Inspektora Ochrony Danych Osobowych warto rozważyć przyjęcie tego nowego rozwiązania proponowanego przez ustawodawcę i skorzystać z profesjonalnej pomocy ABI (...) ABI ma bowiem odpowiadać za całokształt prawidłowego przetwarzania danych, a więc zarówno za ich ochronę i bezpieczeństwo, jak i szkolenia oraz doradzanie pracownikom administratora mającym do nich dostęp. ABI ma nadzorować cały proces przetwarzania danych w instytucji. Dlatego zdaniem Generalnego Inspektora warto byłoby skorzystać z tej instytucji i potraktować okres między obowiązywaniem znowelizowanych przepisów ustawy o ochronie danych osobowych a wejściem w życie unijnego rozporządzenia, jako czas na naukę i przygotowanie się do tym zmian
 
Str. 342
 
Z kolei z badania przeprowadzonego na terenie Miejskiego Przedsiębiorstwa Oczyszczania (MPO) w Warszawie, podczas którego przeanalizowano zawartość 4-tonowego kontenera z makulaturą wynikało, że wśród pochodzących z biur dokumentów niezniszczonych było aż 93 %, zaś tych z domów prywatnych pochodziło 87 %
Z tego powodu właśnie lubię czasami poszperać w śmietnikach.
 
Ufff, sporo tego. Sprawozdania GIODO zawsze warto czytać - są źródłem cennych informacji!

Odpowiedzi

Warto przyjrzeć się właściwościom pliku PDF - ciekawy jest autor :-)