Autor: Polska Izba Ubezpieczeń
Pkt. 9.2. Kryteria oceny ryzyka dla osób fizycznych będącego wynikiem naruszenia
Pożądanym byłoby wskazanie przez Urząd przykładów, kiedy przypadkowego odbiorcę można uznać za zaufanego.
Przykładowo poddajemy do rozważenia przez Urząd, że ujawnienie danych osobom bliskim (członkom rodziny) nawet przy szerokim zakresie danych nie będzie się wiązało z ryzykiem dla osoby, której dane zostały ujawnione choćby z uwagi na fakt, że ujawnione dane były znane już wcześniej osobom, które je pozyskały w wyniku naruszenia. Podobna sytuacja występuje również w przypadku, gdy dane osobowe zostały ujawnione osobie, która była w ich posiadaniu ze względu na relacje łączące ją z osobą, której dane ujawniono już przed wystąpieniem naruszenia np. w związku z zawartą umową cywilnoprawną.
Czynnikiem obniżającym ryzyko wydaje się zgłoszenie dokonane przez osobę trzecią, która otrzymała dane w wyniku naruszenia. Z jej postawy (zgłoszenie pomyłki stanowiącej naruszenie) wynika, że nie ma zamiaru wykorzystać w sposób nieuprawniony danych pozyskanych przypadkowo w wyniku ich ujawnienia. Ryzyko powinno być również obniżone w sytuacji udostępnienia danych podmiotowi profesjonalnemu np. podmiotowi regulowanemu z rynku finansowego. W takiej sytuacji nieuprawnionego odbiorcę danych można uznać za podmiot zaufany, zobowiązany do zachowania poufności na podstawie obowiązujących go przepisów prawa. Podobnie sama tylko możliwość identyfikacji podmiotu danych na podstawie ujawnionych informacji nie powinna być oceniana na poziomie wysokiego ryzyka naruszenia praw i wolności osób fizycznych. Sam fakt identyfikacji nie wiąże się jeszcze z negatywnymi konsekwencjami dla osoby, jeżeli nie jest powiązany np. z innymi informacjami o tej osobie (np. o jej stanie zdrowia czy sytuacji ekonomicznej).
Pkt. 9.3. Praktyka organu nadzorczego
W ocenie PUODO za wysokie ryzyko należy uznać zagubienie dokumentacji zawierającej imię, nazwisko oraz nr PESEL.
W tym przypadku chcielibyśmy zwrócić uwagę na obowiązujące od 1 czerwca 2024 r. przepisy ustawy z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości (Dz. U. 2023, poz. 1394). Przepisy zobowiązują niektóre instytucje do weryfikacji zastrzeżonych nr PESEL. Zatem sama ta możliwość zastrzeżenia nr PESEL jest w ocenie branży ubezpieczeniowej nowym rozwiązaniem wartym rozważenia w kontekście pkt. 9.3. poradnika PUODO. Dyskusyjne staje się zatem to, czy ujawnienie tylko imienia, nazwiska oraz nr PESEL (bez dodatkowych innych danych) winno być traktowane w kategoriach naruszenia ochrony danych osobowych i podlegające zgłoszeniu do Urzędu. PESEL jako dana sama w sobie nie jest uznawany za dane szczególnej kategorii o których mowa w art. 9 RODO.
Należy zauważyć, że ujawnienie nr PESEL przy braku dodatkowych elementów zwiększających to ryzyko nie wydaje się podnosić ryzyka do poziomu powodującego konieczność zgłoszenia naruszenia i powiadomienia podmiotu danych o naruszeniu. Z uwagi na powszechność podawania nr PESEL (np. ujawnienie w prowadzonych na podstawie przepisów prawa rejestrach i ewidencjach, podawanie jako danej identyfikującej stronę przy zawieraniu umów cywilnoprawnych czy ujawnienia w dowodzie rejestracyjnym przekazywanym nowemu właścicielowi podczas zbycia pojazdu) trudno uzasadnić traktowanie tej danej jako informacji zwiększającej poziom ryzyka.
Po 6 latach obowiązywania przepisów RODO i zebranych przez Urząd doświadczeń w zakresie zgłaszanych naruszeń przez podmioty do tego zobowiązane istotne byłoby zrewidowanie również katalogu potencjalnych przypadków, w których dane mogą być wykorzystane w sposób nieuprawniony. Np. dyskusyjne w świetle ustawy z dnia 7 lipca 2023 r. jest uzyskanie przez osoby trzecie kredytów, zarejestrowanie przedpłaconej karty telefonicznej (pre-paid) czy zawarcia umów cywilno-prawnych.
Podkreślenia wymaga fakt, że z praktyki administratorów wynika, że w przypadku naruszenia poufności danych nie identyfikowana jest materializacja ryzyk wskazywanych jako możliwych (np. ryzyka finansowe) – nie identyfikuje się przypadków zgłoszeń przez klientów faktu np. zaciągnięcia kredytu po zidentyfikowaniu naruszenia ochrony poufności danych osobowych. Stąd też potrzeba zweryfikowania istotności katalogu ryzyk wskazywanych przez Urząd. Należy zwrócić też uwagę na to, że powiadomienie o możliwych konsekwencjach ujawnienia danych osobowych zawarte w piśmie informującym o naruszeniu mogą wywołać niepotrzebny niepokój u osób otrzymujących te powiadomienia (zważywszy na niskie prawdopodobieństwo materializacji ryzyk wskazanych w piśmie).
Pożądanym byłoby również wskazanie przez Urząd przykładów czy statystyk, jeśli takowe prowadzi Urząd odnośnie realności katalogu potencjalnych przypadków, w których dane mogą być wykorzystane w sposób nieuprawniony, w szczególności czy Urząd spotkał się z sytuacją, kiedy to tylko imię, nazwisko i nr PESEL stanowiły „podłoże” do wskazanych w poradniku ryzyk.
Zwracamy się również z prośbą o rozważenie by w poradniku znalazły się prócz zaleceń ENISA inne rozwiązania i metodologie służące ocenie ryzyka, w szczególności uwzględniając nowe rozwiązania prawne w związku z ochroną nr PESEL.
Pkt. 12.3. Kiedy można zrezygnować z zawiadomienia?
Prosimy by Urząd wskazał więcej przykładów, gdzie dopuszczalna jest rezygnacja z zawiadomienia osób fizycznych w przypadku wystąpienia naruszenia.
Odnośnie poradnika PUODO pt. „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” uprzejmie prosimy o rozważenie następujących uwag:
Pkt. 2.2. Poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?
W kontekście „okresu przechowywania danych” poddajemy pod rozwagę Urzędu zwiększenie okresu 9 miesięcy przechowywania danych osobowych dla celów przyszłej rekrutacji.
Pkt. 3.4. Jak długo można przetwarzać dane kandydatów do pracy?
W kontekście „okresu przetwarzania” poddajemy pod rozwagę Urzędu rewizję pkt. 3.4. i uwzględnienie orzecznictwa NSA.
Pkt. 3.5. Czy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami?
W kontekście „ewentualnych roszczeń” poddajemy pod rozwagę Urzędu rewizję tego zapisu i wsparcie administratorów przykładami, gdy pracodawca może przetwarzać dane kandydatów do pracy po zakończeniu rekrutacji w celu zabezpieczenia się przed ich ewentualnymi roszczeniami. Powiązane z pkt. 3.5. jest pkt. 3.6., w którym warto jednak rozważyć wsparcie administratorów w procesie rekrutacji poprzez dopuszczenie przetwarzania danych kandydatów do pracy po zakończeniu rekrutacji.
Pkt. 4.2.3. Przetwarzanie danych pracowników w ramach organizowanych przez pracodawców szkoleń
W kontekście „organizowanych przez pracodawców szkoleń” poddajemy pod rozwagę Urzędu rewizję tego zapisu i wsparcie administratorów przykładami przepisów, które określą okres przechowywania danych pracowników w ramach organizowanych szkoleń.
Uwagi ogólne:
Poddajemy do rozważenia uzupełnienie poradnika o przetwarzanie danych dotyczących niepełnosprawności w procesie rekrutacji i okresie zatrudnienia. Istotne dla administratorów byłoby wskazanie podstaw prawnych do przetwarzania tych szczególnych kategorii danych.
Pragnę podkreślić, że Polska Izba Ubezpieczeń, ustawowo zrzeszająca działające w Polsce zakłady ubezpieczeń, jest do Pana dyspozycji, w każdym przypadku, gdy obszar Pana działań będzie dotyczył rynku ubezpieczeniowego.