Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Ochrona danych osobowych – roczne sprawozdanie PUODO

Data publikacji: 20-02-2020 Autor: Tomasz Cygan

Pierwsze sprawozdanie Prezesa Urzędu Ochrony Danych Osobowych prezentuje najważniejsze ustalenia z realizowanych przez PUODO oraz GIODO w 2018 r. ustawowych zadań, m.in. takich jak kontrole, opiniowanie projektów aktów prawnych oraz przyjmowanie zgłoszeń dotyczących naruszeń ochrony danych.

 

Rok 2018 był pierwszym rokiem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. rodo. Był jednocześnie ostatnim rokiem obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz bardzo sformalizowanego w zakresie bezpieczeństwa rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W związku z tym, jak podczas każdego okresu przejściowego, ciekawych wniosków dostarcza lektura sprawozdania Prezesa Urzędu Ochrony Danych Osobowych – pierwszego, jeśli chodzi o ten organ nadzorczy, a jednocześnie ostatniego w działalności Generalnego Inspektora Ochrony Danych Osobowych. Roczne sprawozdanie dotyczy także stosowania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zakresie, w jakim w opinii PUODO znajduje ona przełożenie na obecny stan prawny.


> PONAD 5000 SKARG


Jak wskazał Prezes Urzędu Ochrony Danych Osobowych, „sprawozdanie prezentuje najważniejsze ustalenia z realizowanych przez Prezesa UODO oraz GIODO
w 2018 r. ustawowych zadań, wśród których wymienić należy: rozpatrywanie skarg obywateli, prowadzenie kontroli, opiniowanie projektów aktów prawnych, przyjmowanie zgłoszeń naruszeń ochrony danych, działalność edukacyjnoinformacyjną, czy też uczestnictwo w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych”.


W ramach rozpatrywanych skarg w okresie sprawozdawczym do organu nadzorczego – GIODO, a następnie PUODO – wpłynęło 5565 skarg, z czego przeszło 4550 w okresie od 25 maja do 31 grudnia 2018 r. Jak wskazano w sprawozdaniu, „zmiana stanu prawnego, do której doszło za sprawą rozporządzenia 2016/679, spowodowała zarówno znaczący wzrost liczby skarg, jak i konieczność stawienia czoła licznym nowym wyzwaniom po stronie administratorów oraz organu nadzoru. Administratorzy w toku prowadzonych postępowań zobowiązani są – zgodnie z zasadą rozliczalności – wykazać swoje przygotowanie i stosowanie nowych przepisów. Organ nadzorczy, z kolei, stale mierzy się z koniecznością dokonywania interpretacji nowych przepisów o ochronie danych osobowych. Skarżący oczekują przy tym od organu nie tylko badania legalności procesów przetwarzania ich danych, przetwarzania danych zgodnie z zasadami wykonywania operacji na danych, czy weryfikacji spełniania obowiązków informacyjnych z art. 13 i 14, ale także (notabene często nie podejmując w pierwszej kolejności stosownych działań przed administratorem) chcą, aby organ nadzorczy wyręczył ich w realizacji ich praw z art. 15–22. Takie żądania skarżący składają zwłaszcza, gdy kontakt z administratorem jest dla nich utrudniony”. Niniejsze opracowanie zawiera przegląd najciekawszych (w subiektywnej ocenie autora) zagadnień opisanych w sprawozdaniu.


> MONITORING WIZYJNY


Jednym z zagadnień, którym PUODO zajmował się w 2018 r., był monitoring wizyjny stosowany zarówno na terenie miast, jak i przez osoby prywatne. W zakresie monitoringu miejskiego PUODO skontrolował dwie jednostki samorządu terytorialnego. Zakres kontroli objął: istnienie podstawy prawnej przetwarzania danych osobowych (art. 9a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym), zakres danych przetwarzanych (wizerunek osób poruszających się po obszarze objętym monitoringiem, brak funkcjonalności rozpoznawania twarzy oraz śledzenia danej osoby, brak możliwości rejestracji dźwięku), a także wypełnienie obowiązków wynikających z przepisów rodo.


Stwierdzone uchybienia dotyczyły:

  • braku opracowania oceny skutków dla ochrony danych, mimo że „przetwarzanie danych osobowych wiąże się zarówno z operacjami znacznej ilości danych na szczeblu regionalnym (znaczna część miasta znajduje się pod obserwacją kamer), jak i może wpłynąć na dużą liczbę osób, ze względu na wielość osób zarejestrowanych przez kamery wchodzące w skład miejskiego monitoringu wizyjnego”, a tym samym naruszony został art. 35 ust. 1 rodo,
  • nieopisania działań naprawczych w dokumentacji analizy ryzyka oraz braku oceny ryzyka dla poszczególnych zagrożeń,•braku klauzul informacyjnych oraz piktogramów przy niektórych kamerach – „informacje tego typu powinny zostać umieszczone odpowiednio w obszarze, obiekcie czy innym miejscu objętym monitoringiem miejskim,
  • braku lub nieprawidłowego wskazania w klauzuli informacyjnej podstawy prawnej stosowania monitoringu, nieprawidłowego określenia celów stosowania monitoringu, a także niewskazania danych kontaktowych inspektora ochrony danych.

 

Co istotne dla praktyki, PUODO w trakcie kontroli zakwestionował zarówno niepełny katalog praw przysługujących osobie podlegającej monitoringowi, jak również przekazywanie informacji o prawach, które wynikają z rodo, ale w przypadku monitoringu nie przysługują osobie, której dane dotyczą. Potwierdza to pogląd, że informowanie o prawach, które nie przysługują, nie spełnia postulatu rzetelnego informowania (art. 13 ust. 2 rodo).


Zalecenia pokontrolne zawierały również pewne wskazania dotyczące stosowania upoważnień do przetwarzania danych osobowych. Jak wskazał PUODO, „skierowane zostały do kontrolowanych podmiotów zalecenia dotyczące zweryfikowania przez administratora upoważnień do przetwarzania danych osobowych” w zakresie:

 

  • prawidłowego oznaczenia osób, którym nadanie przedmiotowych upoważnień jest niezbędne w związku z wykonywanymi zadaniami służbowymi,
  • skorygowania opisów stanowisk w taki sposób, żeby szczegółowo i precyzyjnie odnosiły się do czynności związanych z przetwarzaniem danych osobowych,
  • przyśpieszenia procesu wymiany upoważnień do przetwarzania danych osobowych na upoważnienia dostosowane do wymogów wynikających z przepisów ogólnego rozporządzenia o ochronie danych osobowych,
  • opracowania, wraz z nadaniem nowych upoważnień do przetwarzania danych osobowych, ewidencji osób upoważnionych do przetwarzania danych osobowych,•wdrożenia odpowiednich procedur usunięcia danych, okresu retencji i ochrony danych osobowych przetwarzanych w BIP.

 

Zgodnie z informacjami zawartymi w sprawozdaniu „w nowych upoważnieniach powinny być określone nie tylko zbiory danych osobowych, do których ma dostęp upoważniana osoba, ale także zakres operacji, które taka osoba może wykonywać na danych osobowych w danym zbiorze danych”.


Stosowanie monitoringu wizyjnego stanowiło także przedmiot kontroli w spółdzielniach mieszkaniowych oraz wspólnocie mieszkaniowej. W jednej z nich stwierdzono, że  jedna z kamer systemu monitoringu została zainstalowana na półpiętrze klatki schodowej i obejmuje drzwi wejściowe do dwóch lokali mieszkalnych. Skarżąca wskazała, że w jej ocenie „stałe monitorowanie drzwi wejściowych do jej lokalu mieszkalnego narusza jej prywatność oraz prawo do ochrony jej wizerunku oraz wizerunku innych osób, które ją odwiedzają. W odczuciu skarżącej, stosowanie monitoringu powoduje naruszenie jej życia prywatnego i rodzinnego, bowiem świadomość, że ciągle jest obserwowana ogranicza jej swobodę i wzbudza zaniepokojenie”. W związku z tym PUODO uznał, że takie umiejscowienie kamery narusza art. 6 ust. 1 lit. f rodo, gdyż mimo istnienia prawnie uzasadnionego interesu (skargi od mieszkańców na dewastację mienia spółdzielni oraz o zakłócanie porządku domowego) nie spełnia on testu równowagi określonego w tym przepisie i zachodzi przesłanka istnienia „sytuacji, w których nadrzędny charakter wobec tych interesów, mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą”.


Dodatkowo PUODO zakwestionował niewyznaczenie inspektora ochrony danych, dochodząc do wniosku, że spółdzielnie regularnie i systematycznie monitorują osoby na tzw. dużą skalę (art. 37 ust. 1 lit. b i c rodo). W opinii PUODO „wskazać należy, że w związku ze stosowaniem monitoringu spółdzielnie wykonują regularne operacje na danych, które polegają np. na: zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań zarejestrowanych zdarzeń i osób. A tym samym uznać należy, że stosowanie monitoringu przez spółdzielnie wymaga regularnego i systematycznego monitorowania osób na tzw. dużą skalę. Ponadto istotną kwestią jest również to, że spółdzielnie w związku ze stosowaniem monitoringu przetwarzają dane osobowe (wizerunek), nie tylko samych lokatorów tych spółdzielni, lecz także innych osób, np. osób odwiedzających mieszkańców osiedli spółdzielni, osób prowadzących i korzystających z punktów usługowo-handlowych zlokalizowanych na terenie tych spółdzielni. Na tej podstawie w ocenie Prezesa UODO spółdzielnie te są zobowiązane do wyznaczenia inspektora ochrony danych”. Postępowania w tych sprawach są w toku.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"