Jak co miesiąc Urząd Ochrony Danych Osobowych dostarcza ciekawe informacje dotyczące procesów przetwarzania danych. Tym razem w Newsletterze UODO poruszone zostały takie sprawy jak używanie numeru PESEL jako loginu czy zawiadomienie IOD przez pełnomocnika ADO. Ponad to możemy zapoznać się z procesem tworzenia kodeksów postępowania, a na sam koniec dostajemy krótki przegląd najważniejszych informacji z Europy w temacie ochrony danych osobowych.
Wykorzystywanie numeru PESEL jako loginu do systemu informatycznego lub portalu niestety wciąż jest występującą praktyką, mimo jasnego stanowiska polskiego organu ds. ochrony danych osobowych.
W powszechnej świadomości numer PESEL to takie oznaczenie osoby, z którego najwyżej można odczytać datę urodzenia danej osoby. W rzeczywistości zawiera on w sobie datę urodzenia, numer porządkowy, oznaczenie płci i liczbę kontrolną, a to wszystko składa się na krajowy numer identyfikacyjny, który jest chroniony przez RODO.
Niedocenienie danych zawartych w numerze PESEL doprowadziło do sytuacji, w której numer PESEL danej osoby stał się informacją łatwo dostępną, co wraz częstą sytuacją upublicznienia innych danych osobowych tworzy ryzyko kradzieży tożsamości.
Wykorzystanie numeru PESEL jako loginu budzi wątpliwości w kwestii zgodności z ustawą RODO, zwłaszcza zasady minimalizacji, która polega na przetwarzaniu tylko tych danych osobowych które są konieczne. Ponad to przymus do wykorzystywania numeru PESEL jako loginu uderza w prawo do samostanowienia w zakresie wykorzystania ich danych osobowych i obarcza odpowiedzialnością administratora za zabezpieczenie tych danych i ochroną przed przetwarzaniem ich przez osoby postronne.
Zawiadomienie o zmianie statusu (wyznaczenie, odwołanie, zmiana danych) IOD nie musi być złożone tylko przez administratora lub podmiot przetwarzający ale również przez pełnomocników. Ważne jest przy tym dochowanie staranności i spełnieniu szeregu warunków aby zawiadomienie było skuteczne.
Do zawiadomienia należy dołączyć pełnomocnictwo. Musi ono zawierać upoważnienie od właściwej osoby i mieć formę elektroniczną tj. musi mieć odpowiedni podpis elektroniczny lub potwierdzone przez profil zaufany ePUAP (skan podpisanego ręcznie dokumentu nie jest akceptowany).
Również do zawiadomienia należy dołączyć ważną opłatę skarbową, oprócz pewnych wyjątków gdy mocodawcą są jednostki budżetowe, jednostki samorządu terytorialnego, organizacje pożytku publicznego.
Weryfikacja prawidłowości zawiadomienia należy do pełnomocnika. W przypadku odrzucenia wniosku do poprawionej wersji oprócz aktualnego pełnomocnictwa należy ponownie wnieść opłatę skarbową.
Błędy podczas procesu tworzenia kodeksu postępowania mają często poważne konsekwencje takie jak wydłużanie się prac nad projektem, zawieszeniem nad nim prac a, czasem nawet zarzuceniem nad nim prac. Stąd seria trzech publikacji od UODO:
Konsultacje są bardzo ważnym etapem prowadzenia prac nad kodeksem postępowania. Pozwalają zebrać oczekiwania od podmiotów stosujących w przyszłości kodeks, jak i od podmiotów których dane będą przetwarzane. Główną wytyczną tworzenia kodeksów postępowania są Wytyczne nr 1/2019 Europejskiej Rady Ochrony Danych (EROD) dotyczące kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679. Na ich podstawie można stwierdzić, że:
Projekt Kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego (KODO) autorstwa Polskie Stowarzyszenie Marketingu SMB, będzie podlegał konsultacjom do 31 grudnia 2021. Opinie można przesyłać za pomocą strony internetowej www.kodo.smb.pl.
Przedsiębiorstwo, które uzyskało dostęp mając podstawę prawną do prywatnego konta e-mail swojego byłego dyrektora zarządu zostało ukarane upomnieniem przez norweski organ ochrony danych, za brak informacji o uzyskaniu tego dostępu.
Narodowe Biuro Śledcze przetwarzało dane bez zgody administratora (Krajowej Rady Policji) oraz nie zadbano o to, aby dane nie były bezprawnie przetwarzane. Organ nadzorczy upomniał Krajową Radę Policji oraz nakazał o ile to możliwe poinformowanie osób, których dane zostały wykorzystane oraz uśnięcie ich z platform przechowywania danych.
Dołączenie Niemiec i Macedonii do grona państw, które ratyfikowały Konwencję 108+, czyli Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (CETS 223). Jest to kolejny krok w stronę zwiększenia europejskiego bezpieczeństwa cyfrowego.
Źródło: uodo.gov.pl