Autor: Łukasz Boczarski
Punkt 01 „Pojęcie naruszenia ochrony danych osobowych. Definicja wraz z przykładami”
Sugeruję rozbudowanie dokumentu o zalecenia co do postępowania administratora danych osobowych (ADO) od momentu otrzymania informacji o podejrzeniu wystąpienia naruszania do jego stwierdzenia. Mam tu na myśli sformułowanie „wystarczający stopień pewności” użyte w Wytycznych Grupy Roboczej art. 29 i przytoczone w poradniku: „administrator stwierdza naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsca zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych”. Poradnik powinien zawierać szereg przykładów obrazujących proces uzyskiwania przez ADO „wystarczającego stopnia pewności”. Przykładowo: do ADO zwróciła się ze skargą osoba twierdząca, że pracownik podmiotu przetwarzającego dopuścił się naruszenia ochrony danych osobowych, które miało polegać na ujawnieniu jej danych osobie nieuprawnionej w rozmowie. ADO zażądał od podmiotu przetwarzającego wyjaśnień. Podmiot zaprzeczył, że opisana przez skarżącego rozmowa miała miejsce. ADO zbadał zgłoszenie, uzyskując jednak sprzeczne informacje. Jak powinien postąpić w takiej sytuacji?
Punkt 2.3 Podmiot przetwarzający
Proponuję, aby poradnik zawierał zalecenia co do postępowania w sytuacji, gdy stanowisko podmiotu przetwarzającego oraz ADO są rozbieżne w zakresie oceny danego zdarzenia. Jeżeli podmiot przetwarzający stwierdził naruszenie ochrony danych osobowych i zawiadomił ADO, to czy ADO ma obowiązek automatycznie stwierdzić naruszenie czy jednak zachowuje prawo do własnej oceny zdarzenia? Podsumowując, czy ADOjest uprawniony do dokonania, w uzasadnionych przypadkach, oceny odmiennej od podmiotu przetwarzającego, tj. czy może nie stwierdzić naruszenia, pomimo zawiadomienia od podmiotu?
Punktu 9.3 „Praktyka organu nadzorczego”
W poradniku wskazano, że utrata poufności imienia i nazwiska wraz z numerem PESEL powoduje w większości przypadków wysokie ryzyko naruszenia praw i wolności podmiotu danych poprzez możliwość nieuprawnionego użycia tych danych do wyłudzenia kredytu, środków z ubezpieczenia, a także do innych przestępczych działań wymienionych na stronie 17. Chciałbym zwrócić uwagę na fakt, że w publicznie dostępnym Krajowym Rejestrze Sądowym widnieją setki tysięcy wpisów dotyczących podmiotów, a w każdym z tych wpisów znajdują się dane od jednej do wielu osób (imiona, nazwiska wraz z numerami PESEL reprezentantów, członków organów nadzorczych, właścicieli udziałów). Idąc za twierdzeniem, że ujawnienie/upublicznienie imienia i nazwiska wraz numerem PESEL powoduje wysokie ryzyko naruszenia praw i wolności, dochodzi się do wniosku, że jawność imion, nazwisk, numerów PESEL zawartych w KRS generuje ryzyko wykorzystania tych danych w sposób nieuprawniony, czyli np. do wyłudzenia kredytu. Podsumowując, istnienie jawnego KRS stoi w sprzeczności z twierdzeniem, że utrata poufności/upublicznienie imienia i nazwiska wraz z numerem PESEL powoduje wysokie ryzyko naruszenia praw i wolności.
Punkt 13 (strona 28) „Jakie informacje należy przekazać osobom, których dane dotyczą w związku z naruszeniem?”
W przykładach działań, jakie może podjąć osoba, której dane dotyczą, proponuję dodać informację o możliwości zastrzeżenia numeru PESEL, co ograniczy ryzyko nieuprawnionego wykorzystania danych, wraz z odnośnikiem lub cytatem z odpowiedniej strony www. Ministerstwa Cyfryzacji (Ustawa z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości ma na celu przede wszystkim zwiększenie ochrony przed nadużyciami wynikającymi z kradzieży danych i ograniczenia skali zjawiska wyłudzania środków finansowych poprzez zaciąganie zobowiązań finansowych).