Listopadowy newsletter UODO

Jak co miesiąc Urząd Ochrony Danych Osobowych dostarcza ciekawe informacje dotyczące procesów przetwarzania danych. Tym razem w Newsletterze UODO poruszone zostały takie sprawy jak używanie numeru PESEL jako loginu czy zawiadomienie IOD przez pełnomocnika ADO. Ponad to możemy zapoznać się z procesem tworzenia kodeksów postępowania, a na sam koniec dostajemy krótki przegląd najważniejszych informacji z Europy w temacie ochrony danych osobowych.

PESEL jako login

Wykorzystywanie numeru PESEL jako loginu do systemu informatycznego lub portalu niestety wciąż jest występującą praktyką, mimo jasnego stanowiska polskiego organu ds. ochrony danych osobowych.

W powszechnej świadomości numer PESEL to takie oznaczenie osoby, z którego najwyżej można odczytać datę urodzenia danej osoby. W rzeczywistości zawiera on w sobie datę urodzenia, numer porządkowy, oznaczenie płci i liczbę kontrolną, a to wszystko składa się na krajowy numer identyfikacyjny, który jest chroniony przez RODO.

Niedocenienie danych zawartych w numerze PESEL doprowadziło do sytuacji, w której numer PESEL danej osoby stał się informacją łatwo dostępną, co wraz częstą sytuacją upublicznienia innych danych osobowych tworzy ryzyko kradzieży tożsamości.

Wykorzystanie numeru PESEL jako loginu budzi wątpliwości w kwestii zgodności z ustawą RODO, zwłaszcza zasady minimalizacji, która polega na przetwarzaniu tylko tych danych osobowych które są konieczne. Ponad to przymus do  wykorzystywania numeru PESEL jako loginu uderza w prawo do samostanowienia w zakresie wykorzystania ich danych osobowych i obarcza odpowiedzialnością administratora za zabezpieczenie tych danych i ochroną przed przetwarzaniem ich przez osoby postronne.

Zawiadomienie o wyznaczeniu IOD przez pełnomocnika

Zawiadomienie o zmianie statusu (wyznaczenie, odwołanie, zmiana danych) IOD nie musi być złożone tylko przez administratora lub podmiot przetwarzający ale również przez pełnomocników. Ważne jest przy tym dochowanie staranności i spełnieniu szeregu warunków aby zawiadomienie było skuteczne.

Do zawiadomienia należy dołączyć pełnomocnictwo. Musi ono zawierać upoważnienie od właściwej osoby i mieć formę elektroniczną tj. musi mieć odpowiedni podpis elektroniczny lub potwierdzone przez profil zaufany ePUAP (skan podpisanego ręcznie dokumentu nie jest akceptowany).

Również do zawiadomienia należy dołączyć ważną opłatę skarbową, oprócz pewnych wyjątków gdy mocodawcą są jednostki budżetowe, jednostki samorządu terytorialnego, organizacje pożytku publicznego.

Weryfikacja prawidłowości zawiadomienia należy do pełnomocnika. W przypadku odrzucenia wniosku do poprawionej wersji oprócz aktualnego pełnomocnictwa należy ponownie wnieść opłatę skarbową.

Jak skutecznie prowadzić pracę nad kodeksem postępowania?

Błędy podczas procesu tworzenia kodeksu postępowania mają często poważne konsekwencje takie jak wydłużanie się prac nad projektem, zawieszeniem nad nim prac a, czasem nawet zarzuceniem nad nim prac. Stąd seria trzech publikacji od UODO:

• Jak efektywnie prowadzić prace nad kodeksem postępowania – rekomendacje UODO
• Najczęściej popełniane błędy przez środowiska pracujące nad projektami kodeksów postępowania
• Monitorowanie kodeksów. Jak stworzyć odpowiedni mechanizm? Na co zwrócić uwagę a czego unikać

Kodeks postępowania: szerokie konsultacje, syntetyczne podsumowanie.

Konsultacje są bardzo ważnym etapem prowadzenia prac nad kodeksem postępowania. Pozwalają zebrać oczekiwania od podmiotów stosujących w przyszłości kodeks, jak i od podmiotów których dane będą przetwarzane. Główną wytyczną tworzenia kodeksów postępowania są  Wytyczne nr 1/2019 Europejskiej Rady Ochrony Danych (EROD) dotyczące kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679. Na ich podstawie można stwierdzić, że:

1. Konsultacje są obowiązkowe
2. Muszą mieć odpowiednio szeroki zakres
3. Możliwość konsultacji poszczególnych fragmentów przy obszernych kodeksach
4. Brak konsultacji z podmiotem zainteresowanym wymaga wyjaśnienia
5. Konsultacje należy podsumować w syntetycznym podsumowaniu
6. W przypadku uznania przez organ nadzorczy konsultacji na niewystarczające to może on wezwać do ich powtórzenia

Przedłużono konsultacje dla projektu kodeksu postępowania dla sektora marketingu.

Projekt Kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego (KODO) autorstwa Polskie Stowarzyszenie Marketingu SMB, będzie podlegał konsultacjom do 31 grudnia 2021. Opinie można przesyłać za pomocą strony internetowej www.kodo.smb.pl.

Norwegia: kara za uzyskanie dostępu do konta e-mail.

Przedsiębiorstwo, które uzyskało dostęp mając podstawę prawną do prywatnego konta e-mail swojego byłego dyrektora zarządu zostało ukarane upomnieniem przez norweski organ ochrony danych, za brak informacji o uzyskaniu tego dostępu.

Finlandia: policja upomniana za nielegalne przetwarzanie danych osobowych.

Narodowe Biuro Śledcze przetwarzało dane bez zgody administratora (Krajowej Rady Policji) oraz nie zadbano o to, aby dane nie były bezprawnie przetwarzane. Organ nadzorczy upomniał Krajową Radę Policji oraz nakazał o ile to możliwe poinformowanie osób, których dane zostały wykorzystane oraz uśnięcie ich z platform przechowywania danych.

Niemcy i Macedonia Północna ratyfikowały Konwencję 108+.

Dołączenie Niemiec i Macedonii do grona państw, które ratyfikowały Konwencję 108+, czyli  Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (CETS 223). Jest to kolejny krok w stronę zwiększenia europejskiego bezpieczeństwa cyfrowego.

Źródło: uodo.gov.pl