Grudzień to nie tylko świąteczna gorączka i pierwsze przejawy zimy, ale również to pora na comiesięcznym newsletter Urzędu Ochrony Danych Osobowych, a w nim o tym co zniknie z legitymacji szkolnej, o administratorach danych osobowych więźniów, co z dokumentacja medyczną ucznia kierowanego do ośrodka wychowawczego i przegląd ukaranych firm za nadużycia wobec ochrony danych osobowych w Europie.
Wieloletnie starania UODO w kwestii usunięcia numeru PESEL z legitymacji szkolnych, świadectw i dyplomów państwowych, przyniosły efekt. Ministerstwo Edukacji Narodowej pod wpływem opinii Prezesa UODO zapowiedziało usunięcie pola z nr. PESEL przy najbliższej zmianie wzorów dokumentów.
Do tej pory nr. PESEL na legitymacji służył weryfikacji tożsamości ucznia podczas korzystania ze swoich uprawnień do ulg przysługujących mu jako uczniowi. Urząd wskazuje, że taka weryfikacja nie jest konieczna i zgodnie z zasadą ograniczania celu oraz minimalizacji danych oraz odpowiedniego przetwarzania krajowego numeru identyfikacyjnego, wymaganych przez RODO. Takie rozwiązanie pomoże uniknąć zagrożeń związanych z kradzieżą lub sfałszowaniem tożsamości.
Podczas prowadzenia konsultacji pojawiła się kwestia weryfikowania uprawnień niepełnoletnich uczniów do korzystania ze świadczeń zdrowotnych. UODO w odpowiedzi na to zaznaczyło, że przed obowiązkiem podania nr. PESEL na legitymacji szkolnej, taka legitymacja starczyła do weryfikacji, co wraz z przepisami gwarantującymi bezpłatną opiekę zdrowotną pokazuje, że nie trzeba tak rygorystycznie podchodzić do tej weryfikacji, a przynajmniej legitymacja szkolna nie powinna do tego służyć.
Możliwość świadczenia pracy podczas odbywania wyroku, choć dawniej postrzegana jako środek zwiększenia dolegliwości kary oraz wykorzystanie korzyści ekonomicznych, to aktualnie jest ona środkiem pomagającym resocjalizacji.
Zatrudnienie skazanego może odbywać się albo przez skierowanie do pracy albo przez umożliwienie mu pracy za mocy odpowiedniej umowy np. umowy o pracę albo o dzieło. Zgodę na zatrudnienie musi wyrazić dyrektor zakładu karnego, który czuwa nad prawidłowym przebiegiem odbywania kary. Podmiot, który chce zatrudnić skazanego musi:
Mimo, że dyrektor zakładu zawiera z wewnętrznym podmiotem umowę o zatrudnienie odpłatne skazanych i prowadzi dokumentację tego zatrudnienia, to cele przetwarzania danych dyrektora zakładu karnego i podmiotu zatrudniającego są inne. Dla dyrektora będzie to zgodnie z art. 121 § 1 kkw, zapewnienie skazanemu możliwości pracy, a dla podmiotu zewnętrznego wykonywanie działalności gospodarczej. Mimo, że razem przetwarzają dane o odbywaniu kary, to niezależnie od siebie ustalają środki do przetwarzania danych i ich zabezpieczenie.
Czy pozyskiwanie przez starostę dokumentacji medycznej ucznia skierowanego do ośrodka wychowawczego od dyrektora jest właściwą praktyką?
UODO wskazuje w swojej opinii, że zgodnie z przepisami starosta powinien wysłać wniosek do Ośrodka Rozwoju Edukacji (ORE) o wskazanie właściwego ośrodka wychowawczego. Wraz z wnioskiem zostaje przekazana dokumentacja, która zawiera:
Jeżeli chodzi na dokumentacje medyczną ucznia, to szkoła nie ma podstaw prawnych do jej przekazywania. Właściwym organem jest podmiot sprawujący opiekę medyczną nad uczniami, ponieważ ją prowadzą i mają kompetencje do jej przekazywania.
Niemcy: przedsiębiorstwo energetyczne Vattenfall ukarane grzywną za naruszenie przepisów RODO. Do naruszenia doszło podczas porównywania danych nowych klientów z danymi starych w celu uniknięcia nadużyć. Organ nadzorczy dopatrzył się w tych działaniach niesprężystości, w związku z niewystarczającym poinformowaniu klientów o procedurze porównywania danych. Firma cały czas współpracowała z organem nadzorczym i wraz z nim ustaliła prawidłową formę działania.
Hiszpania: przedsiębiorstwo telefoniczne zostało ukarane grzywną za utratę poufności oraz brak odpowiednich środków technicznych i organizacyjnych. Podstawą do tego było udostępnienie danych jednanego z klientów innemu klientowi, a dokładnie przesyłanie jego faktur.
Norwegia: spółka Ultra-Technology AS została ukarana grzywną przez organ ochrony danych oraz nakazano przygotowanie pisemnych procedur dotyczących ratingów kredytowych. Powodem postępowania było dokonanie przez spółkę ratingu kredytowego osoby prywatnej, w żaden sposób nie powiązanej ze spółką bez podstawy prawnej.
Francja: spółka transportu publicznego została ukarana grzywną za uwzględnienie dni strajku przy decyzji o awansie. Podczas kontroli odkryto również problemy z nadmiernym przechowywaniem i bezpieczeństwem danych. Organ ochrony danych uznał, że w aktach pracowników dane ściśle niezbędne do oceny pracowników, w tym wypadku dodanie do informacji o nieobecności, informacji o jej powodzie była nadużyciem.
Źródło: uodo.gov.pl