Sprawozdanie GIODO za 2011 rok.

Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych stanowią doskonałe źródło wiedzy dla osób zajmujących się ochroną danych. Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO w 2011 roku.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2011 rok.

Biorąc pod uwagę ilość realizowanych zadań, poziom zatrudnienia w Biurze GIODO wydaje się umiarkowany. Jeżeli spojrzeć na średnią płacę, też nie jest ona powalająca.

W 2011 roku przeprowadzono 199 kontroli w tym

  • 21 w podmiotach należących do administracji publicznej,
  • 10 kontroli przetwarzania danych w KSI,
  • 15 kontroli w podmiotach świadczących usługi doradztwa podatkowego i finansowego,
  • 5 kontroli podmiotach świadczących usługi w obszarze służby zdrowia,
  • 17 kontroli w sektorze agencji pracy,
  • 14 kontroli w podmiotach zajmujących się organizacją imprez masowych na stadionach,
  • 10 kontroli u operatorów publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych,
  • 12 przedszkoli,
  • 95 innych podmiotów

Ważniejsze problemy:

  • Zlecenie podmiotowi prywatnemu przetwarzania danych z fotoradarów i wypełniania kart rejestracyjnych. Przekazanie takich danych jest możliwe dla wykonywania czynności z zakresu obsługi administracyjno-technicznej, jednak nie czynności zastrzeżonych dla Straży Gminnej.
  • Przetwarzanie danych w zakresie nieadekwatnym do celu przetwarzania – np. przetwarzanie nr PESEL potencjalnych klientów w celu przedstawienia tym osobom oferty
  • przetwarzaniu danych osobowych z naruszeniem art. 22¹ Kodeksu pracy – osoby aplikujące na stanowiska kierownicze w podmiocie były poddawane badaniu którego celem było zbadanie roli i hierarchii postaw pracownika/kandydata w miejscu pracy.
  • Najczęściej występującymi uchybieniami stwierdzonymi podczas kontroli było niezapewnienie, aby systemy informatyczne służące do przetwarzania danych osobowych umożliwiały odnotowanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego te dane
  • Przechowywanie danych w plikach, do których dostęp mieli wszyscy użytkownicy.
  • Szpital nie sprawował kontroli nad przechowywaniem i zabezpieczeniem zaświadczeń lekarskich o czasowej niezdolności do pracy wystawionych pacjentom szpitala twierdząc, że obowiązek w tym zakresie spoczywa na lekarzach, którzy je wystawili.
  • Wskazano, że zwolnienie wskazane w art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych (Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.) dotyczy podmiotów które samodzielnie świadczą te usługi.
  • Niedopełnianie obowiązków informacyjnych oraz błędne klauzule zgody na przetwarzanie danych osobowych w agencjach pośrednictwa pracy. Brak informacji o odbiorcach danych.
  • Brak umów powierzenia z dostawcą usług hostingowych.
  • Nieadekwatny zakres danych zbieranych od kandydatów do pracy (informacje o niekaralności dla pracowników zatrudnionych na stanowisku montera lub spawacza).
  • Niezabezpieczanie za pomocą środków ochrony kryptograficznej, danych osobowych, podczas ich przesyłania poprzez sieć publiczną.
  • Błędy w prowadzonej przez administratorów danych dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, polegające na niezawarciu w niej wszystkich elementów określonych w § 4 i § 5 rozporządzenia.
  • Niespełnianie przez systemy informatyczne wymogów nakładanych przez § 7 rozporządzenia.
  • Niestosowanie środków ochrony kryptograficznej podczas przesyłania danych przez sieć publiczną.
  • Braki w prowadzonej dokumentacji, w tym brak opisu struktury zbiorów danych.
  • Zbyt długie przechowywanie danych retencyjnych, ze względu na przyjętą politykę tworzenia kopii bezpieczeństwa.
  • Na karcie przedszkolaka bywają przetwarzane dane nieadekwatne w stosunku do celu przetwarzania.
  • Zgoda na objęcie dziecka opieką medyczną nie może być rozumiana jako zgoda na przetwarzanie danych o jego stanie zdrowia.
  • „(…)GIODO wydał także decyzję nakazującą Narodowemu Funduszowi Zdrowia udostępnienie oddziałowi kardiochirurgii uniwersytetu medycznego, danych osobowych w zakresie daty i przyczyny hospitalizacji po wypisie z tego oddziału (zwłaszcza wszystkich postaci choroby wieńcowej, udaru mózgu, migotania przedsionków, cukrzycy) oraz wykonania procedur rewaskularyzacji przezskórnej (z lub bez implantacji stentu) oraz pomostowania aortalno-wieńcowego dotyczących powtórnych hospitalizacji chorych, osób uprzednio leczonych w ww. oddziale.
    W uzasadnieniu tego rozstrzygnięcia organ stwierdził, iż okoliczność, że art. 188 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych wskazywał cele, w jakich NFZ mógł przetwarzać dane osobowe ubezpieczonych, nie wykluczała legalności udostępnienia danych w celu prowadzenia badań naukowych w sytuacji, gdy publikowanie wyników badań naukowych nastąpi w sposób uniemożliwiający identyfikację osób, których dane zostaną udostępnione, bowiem przesłanką legalizującą takie udostępnienie będzie art. 27 ust. 2 pkt 9 ustawy o ochronie danych osobowych.”
  • Brak aktualizacji przez baki informacji w bazie Biura Informacji Kredytowej S.A.
  • Znamienne jest zdanie – „Analizując wyniki kontroli przeprowadzonych w 2011 roku należy stwierdzić, że w większości skontrolowanych podmiotów wystąpiły nieprawidłowości w procesie przetwarzania danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”
  • „(…)stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r.83, że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.
  • Zbierania zgody na przetwarzanie danych osobowych powinno być poprzedzone dopełnieniem obowiązku informacyjnego. Klauzule obowiązku informacyjnego nie powinny być łączone ze zgodą.
  • Żądanie przesłania skanu dowodu tożsamości od osoby chcącej usunąć swoje konto w portalu randkowym.
  • Pomimo wyrażenia sprzeciwu przeciwko przetwarzaniu danych w celu marketingowym, do osób były nadal kierowane SMS-y informujące o możliwości przedłużenia umowy czy skorzystania z nowej oferty. Zdarzyło się również dołączanie oferty do przesyłanej faktury VAT.
  • Udostępnianie danych osobowych mieszkańców osobom nieupoważnionym. W tym danych wrażliwych, dotyczących stanu zdrowia, wyroków lub decyzji administracyjnych.
  • Przekazywanie przez operatora telekomunikacyjnego numerów zastrzeżonych podmiotom trzecim.
  • W sprawozdaniu umieszczono dużą ilość informacji o nakazaniu przez GIODO udostępnienia danych osobowych. Może to świadczyć o niejasności przepisów i wynikających z tego problemom administratorów danych, w tym administratorom ze sfery publicznej w ocenie, czy są zobowiązani do udostępnienia danych, czy do ich zachowania w tajemnicy.
  • Przekazywanie pracodawcom przez związki zawodowe listy wszystkich pracowników podlegających ochronie związku.
  • GIODO nakazał usunięcie adresu poczty elektronicznej, zawierającego imię i nazwisko osoby, która nie była już pracownikiem spółki. Pomimo, że adres ten był wykorzystywany jedynie do odbierania wiadomości.
  • Niedopełnianie przez administratorów obowiązku informacyjnego wynikającego z art. 24, art. 25 i art. 33 ustawy o ochronie danych osobowych.

W roku 2011 administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 15643 zbiory, z czego podmioty z sektora administracji publicznej zgłosiły 10690 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 4953 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.

 

 

 

 

 

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*