Autor: Polska Izba Informatyki i Telekomunikacji

Poradnik dotyczący zgłaszania naruszeń ochrony danych

Rozdział 9.3 Praktyka organu nadzorczego

1. Czy planowane jest podjęcie działań, jeżeli tak  to w jakim zakresie, jeśli chodzi o ograniczenie dostępu do nr PESEL np. osób pełniących funkcje w organach osób prawnych ujawnionych w rejestrach publicznych?
2. Czy ujawnienie numeru PESEL w każdej sytuacji należy traktować jako wystąpienie wysokiego ryzyka czy mogłoby jednak pozostać to do oceny Administratora, który bierze pod uwagę okoliczności zdarzenia, komu zostały ujawnione dane oraz np. dostępność do numeru PESEL w publicznych rejestrach?
3. Czy w przypadku ujawnienia numeru PESEL zawsze należy brac pod uwagę ,,złe intencje” osoby trzeciej, która pozyskała dostęp do danych?  Trudno zakładać, że w przypadku takiego naruszenia, każda która przypadkowo weszła w posiadanie danych innej osoby ma/może mieć złe intencje. Przykładowo, gdy osobą trzecią jest osoba znana podmiotowi danych np. w przypadku dostarczenia umowy pod właściwy adres dostawy, ale wydanej innej osobie przebywającej pod tym adresem (członkowi rodziny, współlokatorowi)?
4. Zapis o dowodach kolekcjonerskich – czy nadal zasadne jest wskazywanie  wykorzystania numeru PESEL do zamówienia i wykorzystania dowodu kolekcjonerskiego skoro samo wytworzenie i korzystanie z takiego dokumentu jest karalne. Może warto uwzględnić aktualne zabezpieczenia dowodów osobistych.

Rozdział 13 Jakie informacje należy przekazać osobom, których dane dotyczą w związku z naruszeniem?

5. Czy konieczne jest wskazywanie w zawiadomieniu o naruszeniu danych osobowych do podmiotu danych imienia i nazwiska IODa jeśli dane te są dostępne na stronie internetowej Administratora.