(2/2) Sprawozdanie GIODO za 2015 r. - jak zawsze ciekawa lektura!

Kontynuujmy więc podsumowanie Sprawozdania GIODO za 2015 r. Pierwsza część dostępna jest tutaj.

Co nowego w Sprawozdaniu - część 2

[str. 97] Zarzuty nielegalnego przetwarzania danych osobowych przez Kościół Katolicki - ten temat rzeczywiście dość często był poruszany w mediach. W Sprawozdaniu dowiadujemy się:

w omawianym sektorze występowały – jak w latach poprzednich - skargi zawierające zarzut nielegalnego przetwarzania danych osobowych przez proboszczów parafii Kościoła Katolickiego (73 skargi spośród ogółu 570, które wpłynęły do Biura GIODO w 2015 r.). Ponadto wskazać należy, iż w 2015 r. GIODO wydał łącznie 120 decyzji w sprawach dotyczących Kościoła Katolickiego, z czego 73 razy nakazywał przywrócenie stanu zgodnego z prawem, 7 razy umarzał postępowanie, w 5 przypadkach odmawiał uwzględniania wniosku. Ponadto w 35 sprawach utrzymał w mocy zaskarżoną decyzję po złożonym wniosku o ponowne rozpatrzenie sprawy zakończonej decyzją administracyjną
(...)
Podkreślenia wymaga, iż m.in. wskutek niejednolitości orzecznictwa sądów administracyjnych, będącego wynikiem skarg stron postępowania na decyzje GIODO (zarówno Skarżących, jak i proboszczów parafii rzymskokatolickich), Generalny Inspektor Ochrony Danych Osobowych obciążany jest wciąż dodatkowymi obowiązkami, co powoduje niejednokrotnie utrudnienia w sprawnym działaniu organu. W szczególności wskazać należy, iż początkowo w ocenie NSA Generalny Inspektor powinien ustalać kwestie uaktualnienia danych osobowych apostatów na gruncie przepisów powszechnie obowiązujących, natomiast według aktualnego stanowiska NSA Generalny Inspektor winien powyższe sprawy rozstrzygać zgodnie z przepisami wewnętrznymi kościoła

[str. 99] Przekazywanie danych do państw trzecich. W części I podkreślałem, że Sprawozdanie ma wysoką wartość edukacyjną - oto i ona tutaj!

Standardowe klauzule umowne zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/45/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych można stosować w umowach z podmiotami z państw trzecich (...) Wiążące reguły korporacyjne natomiast dotyczą podmiotów należących do tej samej grupy przedsiębiorców (tej samej grupy kapitałowej). Wiążące reguły korporacyjne mogą być stosowane po ich zatwierdzeniu przez Generalnego Inspektora (w drodze decyzji administracyjnej), po przeprowadzeniu nieobowiązkowych konsultacji z organami ochrony danych osobowych państw Europejskiego Obszaru Gospodarczego, na których terytorium
mają siedziby przedsiębiorcy należący do ww.grupy. 

(...)

Warto podkreślić, że przepisy art. 47 i 48 ustawy wprowadzają jedynie dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazywać dane osobowe do państwa trzeciego. Z tego względu administrator danych jest zobowiązany spełnić wszystkie obowiązki nałożone przez ustawę. Poza posiadaniem podstawy prawnej do przetwarzania określonych kategorii danych, administrator danych musi m.in.zapewnić, aby ich zakres był dopuszczalny w świetle powszechnie obowiązujących na terytorium Rzeczypospolitej Polskiej przepisów prawa. Jednocześnie w przypadku kwalifikowanej formy przetwarzania danych, jaką jest przekazanie danych do innego administratora danych, który ma siedzibę w państwie trzecim, zachodzi konieczność spełnienia jednej z przesłanek legalności przetwarzania danych, wymienionych w art. 23 ust. 1 lub art. 27 ust. 2 ustawy

(...)
W dniu 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie w sprawie w sprawie C-362-14, Maximilian Schrems przeciwko Data Protection Commissioner (dalej jako sprawa Schrems), w którym stwierdził nieważność decyzji Komisji Europejskiej z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach "bezpiecznej przystani" przez Stany Zjednoczone, która pozwalała na przekazywanie danych osobowych przez administratorów danych, posiadających siedzibę w UE, do podmiotów amerykańskich, które przystąpiły do programu „bezpiecznej przystani” (ang. Safe Harbour
(...)
W konsekwencji, aktualnie uczestnictwo odbiorcy danych ze Stanów Zjednoczonych Ameryki w programie „bezpiecznej przystani” nie pozwala już na uznanie, że przekazanie do niego danych jest równoznaczne z przekazaniem danych do państwa trzeciego, które zapewnia odpowiedni poziom ochrony danych osobowych, o którym mowa w art. 47 ust 1 i 1a ustawy o ochronie danych osobowych. Z tego względu w aktualnym stanie prawnym przekazanie danych osobowych do Stanów Zjednoczonych Ameryki wymaga spełnienia jednej z przesłanek określonych w art. 47 albo 48 ustawy o ochronie danych osobowych. W szczególności nadal możliwe jest stosowanie w odniesieniu do takich transferów standardowych klauzul umownych oraz zatwierdzonych przez Generalnego Inspektora wiążących reguł korporacyjnych

[str. 39] Większość postępowań administracyjnych zakończyła się umorzeniem postępowania, bo były stosowane standardowe klauzule umowne. Dowód na niewiedzę czy też nieświadomość administratorów danych osobowych, że ich stosowanie nie wymaga aprobaty GIODO.

[str. 110] Nowe przepisy nie wymagają rejestracji zbiorów

Należy zwrócić uwagę, że w przepisach nowego rozporządzenia ogólnego o ochronie danych osobowych, rejestracja zbiorów danych nie będzie już wymagana, przewidywana jest natomiast ocena skutków przetwarzania pod kątem ochrony danych dokonywana przez administratora danych i uprzednie konsultacje z organem nadzorczym. Organ nadzorczy ma ustanawiać i podawać do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi oceny w zakresie ochrony danych (może to być też wykaz negatywny, zawierający wyłączenia w zakresie dokonywania tej oceny). Jeśli ocena skutków dokonana przez administratora danych wykaże, że przetwarzanie danych niosłoby duże zagrożenie, przed rozpoczęciem przetwarzania danych administrator miałby obowiązek skonsultowania się z organem nadzorczym. Takie konsultacje to niejako kontrola wstępna dokonywana przez organ nadzorczy. Jest ona dość sformalizowana, administrator danych przekazuje bowiem organowi nadzoru określone w rozporządzeniu informacje dotyczące zamierzonego przetwarzania, organ nadzorczy może zaś żądać wszelkich innych informacji Niezależnie od tego prawo państw członkowskich może wymagać, aby administratorzy danych konsultowali się z organem nadzorczym i uzyskiwali jego uprzednie zezwolenie dotyczące przetwarzania danych do celów wykonywania zadania realizowanego w interesie publicznym, w tym w związku z ochroną socjalną zdrowiem publicznym. Oczywiście byłoby to regulowane odrębnym aktem prawnym lub odpowiednie przepisy powinny być wprowadzone do właściwych ustaw kompetencyjnych. Ciekawym zagadnieniem jest też forma „zezwalania” na przetwarzanie, o którym mowa w art. 36 ust. 5 projektu (czy też braku takiego zezwolenia) od organu nadzoru. Czy miałby zastosowanie Kodeks postępowania administracyjnego, ze wszystkimi tego konsekwencjami (dwuinstancyjność, skarga do sądu), czy też należałoby określić odrębny tryb postępowania organu nadzoru – co jeszcze wymaga rozstrzygnięcia

[str. 110] Rejestracja zbiorów nie była wcale taka zła

Postępowania prowadzone w związku z rozpatrywaniem zgłoszeń zbiorów danych do rejestracji GIODO mają bowiem także istotny walor edukacyjny w stosunku do administratorów danych i podmiotów przetwarzających dane osobowe. Obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz świadomość skutków ewentualnej odmowy rejestracji zbioru, niewątpliwie mobilizuje administratorów danych do tego, aby już na etapie wypełniania zgłoszenia dokonali oceny, czy spełnili wszystkie wymagania przewidziane w ustawie o ochronie danych osobowych
(...)
skutki odmowy rejestracji mogą mieć duży wpływ na całą działalność wnioskodawcy, często wręcz uniemożliwiając jej kontynuowanie. Świadomość negatywnych konsekwencji związanych z odmową rejestracji zbioru danych niewątpliwie mobilizuje administratorów danych do tego, aby przed zgłoszeniem dokonali oceny, czy spełnione są wszystkie wymagania przewidziane w ustawie o ochronie danych osobowych
Generalny Inspektor Ochrony Danych Osobowych wydał 58 decyzji o odmowie rejestracji zbioru danych. Najczęściej decyzje te nakazywały usunięcie danych nieadekwatnych do celu przetwarzania. W związku z tym były bardzo dolegliwe dla administratorów danych
(...)
Zdarzało się, że w toku postępowania prowadzonego w związku ze zgłoszeniem zbioru danych do rejestracji wnioskodawca cofał zgłoszenie, np.informując, że zrezygnował z utworzenia zbioru danych osobowych. W takich sytuacjach postępowanie rejestracyjne stawało się bezprzedmiotowe i konieczne było wydanie decyzji o jego umorzeniu. W 2015 roku wydanych zostało 86 decyzji o umorzeniu postępowania rejestracyjnego

[str. 121] Rejestracja ABI

Od dnia 1 stycznia 2015 r. Departament Rejestracji Zbiorów Danych Osobowych realizuje nowe zadania Generalnego Inspektora Ochrony Danych Osobowych związane z prowadzeniem ogólnokrajowego, jawnego rejestru administratorów bezpieczeństwa informacji (art. 12 pkt 4 oraz art. 46c ustawy o ochronie danych osobowych
(...)
w okresie od 1 stycznia do 31 grudnia 2015 r. do Biura GIODO wpłynęło 22 869 zgłoszeń powołania administratora bezpieczeństwa informacji (ABI). W I kwartale 2015 roku takich zgłoszeń było 3068, w II kwartale 9685, w III kwartale 7995, w IV kwartale 2121
(...)
mimo dość prostej i jednoznacznie określonej przepisami prawa formy zgłaszania powołania administratora bezpieczeństwa informacji, 1/3 nadesłanych zgłoszeń obarczona była brakami formalnymi lub innymi błędami
(...)
wielu przypadkach administratorzy danych zamiast wypełnionego urzędowego formularza przesyłali innego rodzaju dokumenty takie jak, np. upoważniania do przetwarzania danych dla administratora bezpieczeństwa informacji lub jego zastępców, różnego rodzaju akty prawne dotyczące powołania administratora bezpieczeństwa

Co ciekawe, kierownik jednostki nie może zostać ABI [str. 124]. No i ABI jest tylko jeden!

(...) obarczonych błędami takimi jak: powołanie na administratora bezpieczeństwa informacji osoby będącej kierownikiem jednostki organizacyjnej 
(...)
niedopuszczalne jest powołanie na administratorów bezpieczeństwa informacji osób będących kierownikami jednostki organizacyjnej (lub osób zarządzających podmiotami posiadającymi status administratora danych), takich jak np. dyrektorów szkół, wójtów, członków zarządu spółki, członków zarządu stowarzyszenia. Mając na uwadze podstawowe założenia znowelizowanych przepisów dotyczących administratorów bezpieczeństwa informacji Generalny Inspektor uznał, że istotną sprawą jest wymóg zapewnienia niezależnego wykonywania zadań przez ABI w celu uniknięcia sytuacji, w których administrator bezpieczeństwa informacji nadzoruje i kontroluje samego siebie.
(...)
Zgodnie bowiem z obowiązującymi przepisami może być powołany tylko jeden administrator bezpieczeństwa informacji. Przepis art. 36a ust. 1 ustawy, który stanowi, że administrator danych może powołać administratora bezpieczeństwa informacji, wyraźnie posługuje się określeniem „administratora bezpieczeństwa informacji” w liczbie pojedynczej
(...)
Ustawodawca przewidział zatem możliwość powołania jednego administratora bezpieczeństwa informacji oraz jednego do kilku zastępców administratora bezpieczeństwa informacji

[str. 126] GIODO miał nad czym pracować – w 2015 „w Biurze GIODO przeanalizowano 703 projekty aktów prawnych, czyli o 102 więcej niż w poprzednim roku sprawozdawczym”. Ale wcale nie było tak różowo. Co chwila dowiadujemy się, że:

  • [str. 132] Ustawa o zmianie ustawy o Policji oraz niektórych innych ustaw została podpisana przez Prezydenta RP dnia 3 lutego 2016 r. Zgłaszane przez Generalnego Inspektora uwagi nie zostały uwzględnione.
  • [str. 135] Niestety, uwagi te nie zostały uwzględnione. Ustawa została podpisana przez Prezydenta RP (chodzi o ustawę o pomocy państwa w wychowywaniu dzieci)
  • [str. 156] Mimo aktywnego udziału przedstawicieli Generalnego Inspektora w procesie legislacyjnym w rządzie oraz parlamencie, uwagi nie zostały wzięte pod uwagę w ogłoszonej ustawie

Pochylmy się chwilę nad tym, do jakich prac włączał się GIODO i jakie miał uwagi, bo to rzuca ciekawe światło na wiele spraw.

[str. 132]  Ustawa o pomocy państwa w wychowywaniu dzieci

Generalny Inspektor Ochrony Danych Osobowych zgłosił szereg uwag do projektu ustawy o pomocy państwa w wychowywaniu dzieci  . Organ skrytykował m.in. zbyt ogólnie sformułowany i niejasny art. 8 projektu, który stanowił, iż w przypadku, gdy organ właściwy powziął informację, że osoba uprawniona do świadczenia wychowawczego lub jej przedstawiciel marnotrawią wypłacane jej świadczenie lub wydatkują je niezgodnie z przeznaczeniem, organ właściwy przekazuje należne osobie świadczenie w całości lub w części w formie rzeczowej. (…) Przede wszystkim, nie było jasne skąd organ właściwy miałby pozyskiwać informację o marnotrawieniu lub wydatkowaniu niezgodnie z przeznaczeniem świadczenia wychowawczego oraz jak miałoby być rozumiane pojęcie „marnotrawienie” (…) Generalny Inspektor zgłaszał również uwagi do kolejnych wersji projektu, co miało miejsce w kolejnym okresie sprawozdawczym. Ze stanowczym sprzeciwem organu spotkało się zwłaszcza wprowadzenie zmian do przepisów ustawy o ochronie danych osobowych.Niestety, uwagi te nie zostały uwzględnione. Ustawa została podpisana przez Prezydenta RP w dniu 17 lutego 2016 r.

[str. 138]  Biometrii głosowa w ramach nowego Systemu Informacji Telefonicznej w biurach Krajowej Informacji Podatkowej.

(...) „stworzyć należy system identyfikacji rozmówcy” oraz przewidziano rejestrowanie rozmów telefonicznych), znajdowały się natomiast w dokumentacji przetargowej dostępnej na stronie internetowej Ministerstwa Finansów. Rozwiązanie to wzbudziło szczególne zaniepokojenie Generalnego Inspektora Ochrony Danych Osobowych nie tylko ze względu na wątpliwości dotyczące jego zgodności z przepisami Konstytucji i ustawy o ochronie danych osobowych, ale również z uwagi na fakt, iż przetarg na zaprojektowanie, dostawę oraz wdrożenie systemu został rozpisany na rok przed zaprezentowaniem założeń nowej ordynacji podatkowej (która reguluje kwestie związane z funkcjonowaniem Krajowej Informacji Podatkowej), co jest sprzeczne ze ideą privacy by design.

[str. 146] Prawo o ruchu drogowym

Prawo o ruchu drogowym (etap prac sejmowych, podkomisja nadzwyczajna do rozpatrzenia rządowego projektu ustawy o zmianie ustawy – Prawo o ruchu drogowym oraz niektórych innych ustaw (druk nr 3525). Projekt ustawy przewidywał dostęp zakładów ubezpieczeń społecznych, będących spółkami prawa handlowego do danych zgromadzonych w centralnym rejestrze kierowców (…) Generalny Inspektor Ochrony Danych Osobowych był przeciwny uprzywilejowaniu jednego z przedstawicieli komercyjnej grupy podmiotów (zakładów ubezpieczeń) w zakresie tego dostępu. Spółki te bowiem prowadzą swoją działalność celem przynoszenia określonych zysków (…) Organowi do spraw ochrony danych osobowych nie są znane ustawowe kompetencje dyrektorów izb celnych, które uzasadniałyby przekazywanie i pozyskiwanie przez nich ww. danych szczególnie chronionych. Dlatego Generalny Inspektor Ochrony Danych Osobowych wnosi o wyjaśnienie przedmiotowej kwestii i – ewentualne – usunięcie dyrektorów izb celnych z dyspozycji projektowanego art. 82c pkt 2 i art. 82d ust. 2 ustawy o transporcie drogowym

[str. 154] Zaskakujące, że GIODO brał głos w sprawie zachowania ciągłości działania

(…) GIODO zwrócił tu uwagę na fakt, iż projekt rozporządzenia ma określać nie tylko organizację ww.systemu, ale również jego funkcjonowanie. Tymczasem jednym ze słabych punktów ww. rozporządzenia jest brak wymagań w zakresie posiadania aktualnej polityki zapewnienia ciągłości działania (Business Continuity Plan - BCP) oraz wytycznych w zakresie wykonywania okresowych testów tego planu. BCP zestawi zbiór dokumentów określających organizację i zasady postępowania w ramach działań stanowiących zaplanowane reagowanie na nieoczekiwane wystąpienie zakłóceń w działalności organizacji (systemu). Plan odtwarzania utraconych zasobów (z ang. – disaster recovery plan – DRP) jako część BCP, koncentruje się na przywróceniu zasobów po wystąpieniu awarii (katastrofy). Jednym z najważniejszych elementów związanych z zapewnieniem ciągłości działania jest testowanie oraz utrzymanie planu ciągłości działania, czego brakowało w przedstawionym projekcie

[str. 154] Metodyka zarządzania ryzykiem – zaciekawił mnie ten dokument, trafiłem na wersję w formacie DOC. Hmm… hm... to kolejny dowód na edukacyjną rolę Sprawozdania. Dużo można dowiedzieć się z niego. Natomiast co do metodyki - osobiście nie przepadam za takim językiem jak ten: "Sposobem postępowania z ryzykiem jest ograniczanie poziomu ryzyka poprzez zastosowanie środka sterowania ryzykiem w postaci zabezpieczenia, dobranego adekwatnie do charakteru tego ryzyka. Na etapie postępowania z ryzykiem dokonuje się ponownego estymowania poziomu ryzyka z uwzględnieniem zabezpieczenia". Można to było napisać bardziej po polsku. No i oczywiście uwaga GIODO nie została uwzględniona.

(...) Metodyka zarządzania ryzykiem cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów rządowych – GIODO wskazał, iż w rozdziale 2.4.2 opiniowanego dokumentu przyjęto, że „w przypadku realizacji zadań publicznych unikanie ryzyka, co do zasady, nie ma zastosowania”. Stwierdzenie to w ocenie organu do spraw ochrony danych osobowych było zbyt daleko idące

[str. 158] Retencja danych zawczasu - to, co wprowadza nowe unijne rozporządzenie, po cichu robi też GIODO :)

Kodeks budowlany oraz ustawy – Przepisy wprowadzające Kodeks budowlany. Generalny Inspektor Ochrony Danych Osobowych zgłosił następujące uwagi. Projektowany art. 21 Kodeksu zawierał regulację rejestrów wymienionych w art. 21 § 1 pkt 1. Jednocześnie w ust.2-6 wskazano zakres przetwarzanych i udostępniania danych oraz metody prowadzenia rejestrów. Jednakże nie wskazano okresów retencji danych.  (...)
powinny zostać przewidziane mechanizmy usuwania wpisów z rejestru, które mogą z wielu przyczyn stać się nieaktualne oraz powinny być usuwane po ustaniu celu przetwarzania (np.archiwizowane, jeżeli zachodzi taka konieczność).

A skoro jesteśmy przy retencji danych to [str. 161]:

Zaproponowane okresy retencji danych nie zostały w żaden sposób uzasadnione. Generalny Inspektor poddał w wątpliwość konieczność przechowywania informacji przez okres 10 lat od dnia zaprzestania udzielania świadczeń oraz 1 roku w przypadku, gdy świadczenie nie zostało przyznane oraz 10 lat od momentu ich udostępnienia uprawnionym organom. W ocenie organu ds. ochrony danych osobowych było to sprzeczne z podstawową zasadą ograniczenia czasowego przetwarzania danych, wyrażoną w art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Nie było także jasnym, jakim celom miałoby służyć przechowywanie danych przez okres 10 lat po zaprzestaniu udzielania świadczeń oraz 1 roku w przypadku, gdy świadczenie nie zostało przyznane oraz 10 lat od momentu ich udostępnienia uprawnionym organom

[str. 163] Nie mogę pojąć, jak to jest, że Sądy nie chca przestrzegać prawa i to od wielu lat…

Dwukrotnie w ubiegłym roku Generalny Inspektor wnosił uwagi do projektów rozporządzenia Ministra Sprawiedliwości – Regulamin urzędowania sądów powszechnych 157 . Wobec przepisów projektu znajdujących się w rozdziale 4 „Wokandy sądowe” (§ 59-62) Generalny Inspektor stanowczo oponował przeciwko rozstrzyganiu w akcie wykonawczym o ograniczaniu konstytucyjnej zasady jawności postępowania sądowego oraz udostępnianiu danych osobowych stron postępowania, a zatem w kwestii prawa do ochrony prywatności osób biorących udział w postępowaniu. W opozycji do stanowiska zajmowanego przez Ministerstwo Sprawiedliwości, Generalny Inspektor w korespondencji dotyczącej tego zagadnienia od dłuższego czasu i konsekwentnie podnosił, że kwestia treści wokandy i sposobu jej udostępniania stanowi materię ustawową w kontekście norm konstytucyjnych oraz przepisów ustawy o ochronie danych osobowych. Regulacja treści wokand sądowych z pewnością nie należy do zakresu spraw mieszczących się w delegacji zawartej w art. 41 § 1 Prawa o ustroju sądów powszechnych do wydania Regulaminu urzędowania sądów powszechnych. W ocenie Generalnego Inspektora kwestia treści wokand sądowych należy do problematyki związanej ze sprawowaniem wymiaru sprawiedliwości, ustrojową pozycją sądów i korzystaniem przez jednostki z konstytucyjnych wolności i praw, w tym prawa do prywatności. (…) powinien ulec wykreśleniu § 89 dopuszczający nagrywanie rozmów telefonicznych kierowanych do sądu. Zasadnie należy założyć, że treść powyższych połączeń telefonicznych zawiera informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Uprawnienie prezesów sądów do zdecydowania o nagrywaniu rozmów telefonicznych może zatem prowadzić do gromadzenia i przechowywania danych osobowych i to danych wrażliwych

[str. 166] Bez komentarza...

Podkreślenia wymaga, że projektodawca konsekwentnie ignorował stanowisko organu ds. ochrony danych osobowych przedstawiane w 2015 r. oraz w uprzednich latach sprawozdawczych

[str. 167] Monitoring wideo to wciąż słabo uregulowana materia

Oddzielną kwestią jest przetwarzanie przy pomocy kamer monitoringu danych nauczycieli i innych pracowników szkoły. Nie powinien on służyć do realizacji celu kontrolowania poczynań pracowników i uczniów, jako metoda nadmierna. Elektroniczny system nie powinien zastąpić bieżącego nadzoru, jaki przełożony może sprawować nad swoimi podwładnymi oraz nauczyciel nad uczniami. (…) Projektodawca nie wskazał w żaden sposób, jakie obszary na terenie szkoły mogą być obserwowane. Koniecznym jest rozstrzygnięcie, czy ma się to odbywać także w klasach. Generalny Inspektor zalecił w tym obszarze daleko idącą ostrożność i przestrzegał przed pozostawianiem takich decyzji administratorom danych – dyrektorom i kierownikom placówek – ponieważ może to rodzić nieprawidłowości i negatywne konsekwencje, a przede wszystkim nie służyć założonym celom. (…) Generalny Inspektor zwrócił uwagę, iż konieczne jest uregulowanie zasady ograniczenia czasowego przetwarzania danych uzyskanych w toku pracy systemów monitoringu. Ma ona bezpośredni związek z okresem retencji danych. Nie powinno się pozostawiać administratorom swobody w zdefiniowaniu okresu retencji z perspektywy funkcjonowania poszczególnych systemów.Celem, który przyświeca projektodawcy miało być bezpieczeństwo użytkowników szkoły. W sierpniu 2014 r.(w toku prac nad ustawą o monitoringu wizyjnym) Generalny Inspektor sygnalizował, iż w niektórych państwach maksymalny okres przechowywania wynosi 72 godziny

[str. 182] W 2015 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło 3962 pytania prawnych z prośbą o interpretację obowiązujących w obszarze ochrony danych osobowych przepisów prawa, bądź sygnalizujących różnego rodzaju problemy interpretacyjne związane z ich przestrzeganiem

[str. 189] Niektóre wystąpienia GIODO. Jedno z nich dotyczyło przechowywania dokumentów przez urzędnika w domu

w okresie sprawozdawczym Generalny Inspektor Ochrony Danych Osobowych skierował również wystąpienie do prezydenta miasta (dnia 13 kwietnia 2015 r. ) – w związku z pozyskaniem informacji o tym, że niedoręczona w danym dniu korespondencja adresowana do petentów urzędu miejskiego jest przechowywana w domach prywatnych pracowników urzędu zajmujących się doręczaniem przesyłek. Rozwiązanie to miało wynikać z faktu, iż korespondencja jest doręczana do godziny 21:30 (podczas gdy urząd pracuje do godziny 15:30), zatem niedoręczone listy nie mogą być danego dnia przekazane z powrotem do urzędu. Opisana praktyka wzbudziła poważne wątpliwości organu pod względem jej zgodności z przepisami ustawy o ochronie danych osobowych

[str. 197] PESEL na legitymacjach szkolnych

W związku z uwagami zgłaszanymi przez organ do spraw ochrony danych osobowych w toku uzgodnień międzyresortowych w trakcie prac nad nowelizacją rozporządzenia Ministra Edukacji Narodowej z dnia 28 maja 2010 r. w sprawie świadectw, dyplomów państwowych i innych druków szkolnych(Dz.U. z 2014 r.poz. 893 z późn.zm. ) oraz sygnalizowanymi Generalnemu Inspektorowi Ochrony Danych Osobowych wątpliwościami i zastrzeżeniami dotyczącymi konieczności umieszczania numeru PESEL ucznia na nowych wzorach legitymacji szkolnych (wzory nr 66a i 67a określone w załączniku nr 2 do rozporządzenia w sprawie świadectw, dyplomów państwowych i innych druków szkolnych), pismem z dnia 2 marca 2015 r. 208 organ do spraw ochrony danych osobowych zwrócił się o rozważenie wprowadzenia do rozporządzenia zmian dotyczących zakresu danych umieszczanych na legitymacji szkolnej. Zasadniczym celem wydawania legitymacji szkolnych jest poświadczenie faktu uczęszczania ucznia do szkoły oraz jego uprawnienia do korzystania ze zniżek ustawowych przy przejazdach środkami publicznego transportu kolejowego i autobusowego i oba te cele były osiągane przez dotychczas zamieszczany zakres informacji o uczniu obejmujący jego imię, nazwisko, datę urodzenia i miejsce zamieszkania oraz oznaczenie szkoły, do której uczęszcza, zatem nie wydaje się, by do ich realizacji konieczne było rozszerzanie katalogu danych znajdujących się w treści legitymacji szkolnej. Wprawdzie projektodawca jako cel umieszczania na drukach numeru PESEL wskazał „dostosowanie wzorów legitymacji szkolnych do umożliwienia weryfikacji uprawnień w elektronicznym systemie potwierdzania uprawnień świadczeniobiorców (system e-WUŚ)”, jednak wyłącznie na poziomie uzasadnienia do rozporządzenia w sprawie świadectw, dyplomów państwowych i innych druków szkolnych, nie zaś powszechnie obowiązujących przepisów.
(...)
zamieszczenie numeru PESEL w dokumencie może umożliwić weryfikację uprawnień w systemie e-WUŚ, dla którego jest to dana o zasadniczym znaczeniu, o tyle nie można się już zgodzić, aby takiemu celowi służyć miała legitymacja szkolna.
(…)
posługiwanie się numerem PESEL – będącym administracyjnym numerem identyfikacyjnym – jako podstawowym identyfikatorem w systemach zawierających informacje z zakresu ochrony zdrowia było przez niego poddawane w wątpliwość  – (GIODO) zwracał m.in.uwagę, że wykorzystywanie numeru PESEL w charakterze nazwy (loginu) osoby korzystającej z systemu informatycznego jest nieodpowiednie, gdyż stanowi zaprzeczenie podstawowych zasad bezpieczeństwa systemu informatycznego

[str.203] Zgoda „w szczególności”

Generalny Inspektor w dniu 28 września 2015 r. 218 , wystosował wystąpienie do prezesa zarządu jednego z banków, po pozyskaniu informacji, iż przedmiotowy bank stosuje praktykę wprowadzania w błąd osób kontaktujących się z bankiem przez stronę internetową poprzez wymuszanie zgód na przetwarzanie danych osobowych w bliżej nieokreślonym celu oraz informowanie o istnieniu „podstaw prawnych” faktycznego wymuszania ww.zgody. Organ do spraw ochrony danych osobowych wskazał, iż osoba kontaktująca się z bankiem za pośrednictwem strony internetowej nie ma możliwości skutecznego kontaktu bez wyrażenia ww.„zgody”. Dodatkowo przepis, który wskazał bank (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych) nie stanowi o uprawnieniu banku do pozyskania (wymuszenia) zgody, lecz o prawie osoby, której dane dotyczą, do wyrażenia jej dobrowolnie (…) zgoda nie powinna mieć charakteru abstrakcyjnego, nie może dotyczyć przetwarzania danych osobowych „w ogóle”, czyli nie może też przybierać formy użytej przez bank, tj. przetwarzania „w szczególności w celach marketingowych”. Chodzi zatem o to, by odnosiła się ona do skonkretyzowanego stanu faktycznego, obejmowała tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania

[str. 215] Wysyłanie masowych maili i ujawnianie adresatów

kolejna grupa wystąpień dotyczyła powszechnej nieprawidłowości, polegającej na nieukrywaniu w masowej wysyłce korespondencji elektronicznej adresów e-mailowych adresatów (…) Osoba, do której skierowana jest korespondencja przesyłana także do innych odbiorców, co do zasady, nie powinna mieć możliwości zapoznawania się z danymi pozostałych adresatów wiadomości

[str. 219] Publiczne proszenie o podanie danych

Generalny Inspektor Danych Osobowych pismem z dnia 20 maja 2015 r. 255 wystąpił do wojewódzkiej komisji lekarskiej w związku z powzięciem informacji , iż podczas kwalifikacji wojskowej dokonywanej przez powiatową komisję lekarską nr 2 w Radomiu dane osobowe, w tym dane szczególnie chronione osób poddanych przedmiotowej kwalifikacji przetwarzane były w sposób umożliwiający zapoznanie się z nimi osobom do tego nieuprawnionym.Osobie, której dane szczególnie chronione dotyczą – w obecności osób trzecich – zadawane były pytania o stan zdrowia, takie jak historia przebytych chorób przewlekłych, czy też zażywania leków

[str. 228] Szkoda, że „ze względów organizacyjno-technicznych w lipcu 2015 r. działanie Infolinii zostało zawieszone. W 2015 r. za jej pośrednictwem udzielono wyjaśnień ponad 4 tysiącom osób

[str. 233] Sposoby tworzenia akronimów są dla mnie jednocześnie zabawne i niezrozumiałe. To samo było z ARCADES

PHAEDRA to akronim wyrażenia „Improving Practical and Helpful cooperAtion bEtween Data PRotection Authorities” („Usprawnienie praktycznej i przydatnej współpracy miedzy organami ochrony danych”).

[str. 246] Grupa robocza art. 26 wyprodukowała m.in:

  • Kompleksowa analiza wyników kontroli w zakresie plików cookie – sprawozdanie (WP 229)
  • Oświadczenie GR Art. 29 w sprawie automatycznej międzypaństwowej wymiany danych osobowych w celach podatkowych (WP 230);
  • Dokument wyjaśniający w sprawie wiążących reguł korporacyjnych przetwarzającego (WP 204);
  • Opinia 1/2015 w sprawie kwestii ochrony danych i prywatności dotyczących wykorzystania dronów (WP 231);
  • Opinia 2/2015 w sprawie kodeksu postępowania dotyczącego przetwarzania danych w chmurze opracowanego przez grupę roboczą C-SIG (Cloud Select Industry Group) (WP 232);
  • Aktualizacja opinii 8/2010 w sprawie prawa właściwego w świetle wyroku TSUE w sprawie Google Spain (WP 179)
  • Wytyczne dla państw członkowskich dotyczące kryteriów zapewnienia zgodności z wymogami ochrony danych w kontekście automatycznej wymiany danych osobowych do celów podatkowych (WP 234);
  • Opinia 3/2015 dotycząca Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych (WP 233)

[str. 264] Biometria w klubach fitness

Generalny Inspektor nakazał podmiotowi prowadzącego klub fitness zaprzestanie przetwarzania bez podstawy prawnej danych biometrycznych klientów. Jak bowiem ustalono w toku kontroli, w wybranych klubach prowadzonych przez ten podmiot stosowany był system biometrycznej kontroli bezpieczeństwa. Wzorzec biometryczny odcisku palca klienta (informacje o pojedynczych punktach odcisku palca przekształcone algorytmem na postać cyfrową) zapisywany były w chipie opaski wydawanej klientowi

[str. 266] PESEL nie jest potrzebny do sprzedaży biletów. Czyżby chodziło o PKP?

W uzasadnieniu wyroku WSA podzielił stanowisko GIODO, iż w związku ze sprzedażą biletu przez Internet wystarczające było pozyskiwanie przez przewoźnika danych osobowych w następującym zakresie: imię, nazwisko, adres e-mail, numer telefonu komórkowego i hasło. WSA nie podzielił argumentów podmiotu kontrolowanego, iż przetwarzanie pozyskanych numerów PESEL dotyczących osób, które zakupiły bilet na przejazd przez Internet było potrzebne na wypadek ewentualnej kontroli skarbowej

[str. 267] Utrudnianie albo niedopuszczanie do kontroli to przestępstwo. Tak!

W związku z brakiem odpowiedzi przedsiębiorcy na ww. pismo Generalny Inspektor wyznaczył nowy termin kontroli i jednocześnie poinformował przedsiębiorcę, że brak odpowiedzi na pismo w tej sprawie oraz uniemożliwienie przeprowadzenia kontroli inspektorom upoważnionym przez Generalnego Inspektora, może zostać potraktowane jako udaremnienie wykonania czynności kontrolnych i skutkować skierowaniem do prokuratury zawiadomienia o popełnieniu przestępstwa określonego w art. 54a ustawy o ochronie danych osobowych . Podjęto również telefoniczną próbę kontaktu z przedsiębiorcą.Ustalono, że pod numerem telefonu znajdującym się na stronie internetowej zgłaszała się osoba nieupoważniona do reprezentowania przedsiębiorcy. Z uwagi na powyższe przekazano ww. osobie informację o kontroli i terminie jej przeprowadzenia wraz z prośbą o kontakt przedsiębiorcy z Biurem Generalnego Inspektora oraz z informacją o odpowiedzialności karnej w przypadku udaremnienia lub utrudniania inspektorowi wykonania czynności kontrolnej. Z Biurem Generalnego Inspektora skontaktował się telefonicznie pełnomocnik przedsiębiorcy, który poinformował, iż przedsiębiorca nie może brać udziału w czynnościach kontrolnych i z tego względu udzielił mu stosownego pełnomocnictwa do reprezentowania go w toku tych czynności

[str. 292] ABI musi być mocniejszy

zdaniem organu, w praktyce musi zostać wzmocniona również pozycja obecnych administratorów bezpieczeństwa informacji (ABI). Zgodnie z nowym unijnym rozporządzeniem będą to inspektorzy ochrony danych osobowych (data protection officers – DPO). Generalny Inspektor widzi realną potrzebę współpracy z tymi podmiotami. Obecnie zarejestrowanych jest 15531 ABI, 8000 kolejnych zgłoszeń czeka na rejestrację i liczba ta sukcesywnie rośnie

[str. 296] Waga i znaczenie danych osobowych

Korzystanie z nowoczesnych usług wręcz nierozerwalnie łączy się z udostępnianiem danych osobowych. Płatności przy użyciu kart kredytowych, zakupy przez Internet, korzystanie z poczty elektronicznej, wyszukiwarek i portali społecznościowych czy używanie telefonów komórkowych – każda z tych zaledwie przykładowo wskazanych czynności wiąże się z udostępnianiem informacji na nasz temat. Informacje te mają różny stopień szczegółowości, różny charakter – od najdrobniejszych po najbardziej intymne, jednak przy obecnym poziomie rozwoju technologicznego do identyfikacji konkretnej osoby nie jest już niezbędne znanie jej imienia i nazwiska
(...)
Wrażenie anonimowości w Internecie obecnie pozostaje tylko iluzją. W rzeczywistości już samo wejście na stronę internetową wiąże się z wytwarzaniem i gromadzeniem danych pozwalających na identyfikację bądź „wyodrębnienie” konkretnej osoby
(...)
Współcześnie dane osobowe stały się rodzajem „cyfrowej waluty”, którą użytkownicy Internetu muszą płacić za korzystanie z różnego rodzaju – w teorii darmowych – usług

[str. 297] Profilowanie.

Profilowanie oznacza kategoryzowanie osób według różnych cech (np.płci, wieku, pochodzenia etnicznego, wzrostu) lub zachowań (np.nałogów, codziennych rutyn, stylu życia, hobby) i wyciągnięcie na ich temat pewnych wniosków w oparciu o zebrane i przetworzone informacje.Profilowanie, jako automatyczna operacja na danych, obarczone jest ryzykiem błędu (…) Profilowanie ma szerokie spektrum zastosowań. Przedsiębiorcy na podstawie otrzymanych profili mogą dopasować nie tylko reklamy, ale też same produkty i usługi do potrzeb konkretnych osób. Z mechanizmu profilowania chętnie korzystają również banki i ubezpieczyciele, zatem na jego podstawie mogą być podejmowane ważne dla obywateli decyzje, np. o przyznaniu ubezpieczenia lub kredytu.Przykładowo, wiek kierowcy może być jedną z cech, od której uzależniona jest wysokość składek OC za samochód, a uzależnienie od papierosów – czynnikiem wpływającym na wysokość składki za ubezpieczenie zdrowotne

[str. 300] Privacy by default

Koncepcja prywatności jako ustawienia domyślnego – privacy by default – oznacza, że ustawienia prywatności w urządzeniach, produktach lub usługach mają być nakierowane na maksymalną ochronę użytkownika i do niego ma należeć decyzja, czy i jakie dane chce udostępnić. Zgodnie z takim modelem administrator danych ma obowiązek zapewnić, by domyślnie przetwarzane były tylko te dane, które są niezbędne dla realizacji zakładanego celu. Konieczne jest również zapewnienie, że w tzw. opcji domyślnej dane osobowe nie będą udostępniane nieograniczonej liczbie osób. Obecnie domyślne ustawienia kreowane są przez dostawców usług w sposób swobodny, zatem najczęściej zakładają one udostępnianie danych w możliwie najszerszym zakresie (przykładowo – domyślne ustawienia wszystkich informacji jako „publiczne” na portalu społecznościowym). Przekształcenie dotychczasowego modelu zagwarantowałoby przestrzeganie podstawowych zasad ochrony danych, przede wszystkim zasady adekwatności, zgodnie z którą dane powinny być adekwatne w stosunku do celów, w jakich są przetwarzane
(...)
Każde przetwarzanie danych osobowych powinno być planowane z uwzględnieniem koncepcji ochrony prywatności w fazie projektowania - privacy by design. Idea privacy by design zrodziła się jako sposób spojrzenia na budowanie systemów teleinformatycznych. Polega ona na tym, by od samego początku tworzenia jakiegoś systemu, na każdym etapie, rozważać wpływ tworzonych rozwiązań na sferę prywatności i nie tyle odpowiadać na pojawiające się problemy, co wcześniej przewidywać najważniejsze z nich, analizując ryzyko wystąpienia określonych zdarzeń, czy dopuszczenia do zaniechań, i im przeciwdziałać

[str. 301] Prawo do bycia zapomnianym

Prawo do bycia zapomnianym (prawo żądania usunięcia danych) daje osobie, której dane dotyczą, prawo – przy spełnieniu określonych warunków – do zaprzestania przetwarzania i usunięcia jego danych, zwłaszcza gdy brak jest uzasadnionego powodu do ich przechowywania. Rozwiązanie to nakłada na administratora danych obowiązek usunięcia danych określonej osoby, w przypadku otrzymania od niej odpowiedniego żądania, a następnie poinformowania osób trzecich również przetwarzających te dane, o tym żądaniu oraz usunięcia wszelkich linków lub kopii tych danych osobowych

(...)

Idea prawa do bycia zapomnianym związana jest z faktem, iż w Internecie brak jest odpowiednika znanej z prawa karnego instytucji zatarcia skazania po upływie określonego czasu.„Wypowiedź, fotografia lub informacja o czynach staje się w Internecie nieusuwalna, wpływając jednocześnie przez lata, bez ograniczenia czasowego, np. na karierę zawodową lub polityczną osoby, której dotyczy” (M.Krzysztofek, „Prawo do bycia zapomnianym” i inne aspekty prywatności w epoce Internetu w prawie UE, „Europejski Przegląd Sądowy”, 2012/8). Dlatego też tak ważne jest wyposażenie obywateli w mechanizm realnej, skutecznej kontroli nad dotyczącymi ich informacjami udostępnionymi w Internecie

[str. 305] Safe Harbour już nie ma, co dalej?

W dniu 6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał przełomowy wyrok w sprawie Maximilian Schrems vs Data Protection Commissioner (C-362-14), w którym stwierdził nieważność decyzji Komisji Europejskiej w sprawie adekwatności zasad ochrony prywatności przewidzianych w ramach „bezpiecznej przystani” przez Stany Zjednoczone. To rozstrzygnięcie powoduje, że konieczne jest wypracowanie nowych, politycznych, prawnych i technicznych rozwiązań umożliwiających przekazywanie danych na terytorium Stanów Zjednoczonych z poszanowaniem praw podstawowych. Skuteczne pozostają jednak wszystkie pozostałe przesłanki legalizujące transfer danych osobowych. Nadal mogą być więc wykorzystywane standardowe klauzule umowne i Wiążące Reguły Korporacyjne, aczkolwiek problematyczna w indywidualnych przypadkach pozostaje kwestia, czy przesłanki te są w istocie stosowane w miejsce zasad wynikających z programu Safe Harbour, zakwestionowanych przez Trybunał

[str. 306] Ciekawe określenie - kradzież tożsamości - przestępstwo Nowego Milenium?

Przestępstwo kradzieży tożsamości ostatnio popełniane jest na niespotykaną dotąd skalę. To właśnie jeden ze skutków żywiołowego rozwoju nowych technologii. Arkadiusz Lach, powołując się na źródła angielskie, wskazuje, że „(…) przywłaszczenie cudzej tożsamości jest określane przestępstwem Nowego Milenium, czyli przestępstwem Wieku Informacji” (Karnoprawna reakcja na zjawisko kradzieży tożsamości, Wolters Kluwer, Warszawa 2015).

[str. 313] Big Data

Big Data (duże zbiory danych, gigadane) to gigantyczne zbiory danych cyfrowych będące w posiadaniu przedsiębiorstw, rządów i innych dużych organizacji. Zbiory te poddawane są szczegółowej analizie przy użyciu algorytmów komputerowych. Uznaje się, że możliwość przechowywania i analizowania ogromnych ilości danych może być przydatna dla społeczeństwa. Big Data mogą być bowiem wykorzystywane na przykład do przewidywania rozpowszechniania się epidemii, wykrywania poważnych skutków ubocznych lekarstw oraz zwalczania zanieczyszczenia środowiska w dużych miastach. Niektóre z tych zastosowań z pozoru nie wiążą się z danymi osobowymi. Jednakże Big Data mogą być również wykorzystywane w sposoby budzące istotne obawy, co do ochrony prywatności osób i praw obywatelskich, ochrony przed dyskryminacyjnymi skutkami oraz naruszeniami prawa do równego traktowania

I tak doszliśmy do końca. Trudno streścić sprawozdanie, któremu niewiele brakowało do czterystu stron. Ale udało się. Mam nadzieję, że podobało się!

Wcześniejsza część (1/2) -- tutaj

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
CAPTCHA
Poniższy test jest niezbędny, aby mieć pewność, że wpisu dokonuje człowiek, nie zaś automat. W ten sposób unikniemy spamu (a spamerzy są bezlitośni, niestety).