W Polsce organem nadzorczym, który monitoruje stosowanie przepisów o ochronie danych osobowych jest Urząd Ochrony Danych Osobowych z Prezesem Urzędu na czele (więcej: Monitoring ochrony danych osobowych). Każdego tygodnia na stronie internetowej Urzędu pojawiają się nowe informacje dotyczące przetwarzania danych osobowych w organizacjach.

Najświeższe aktualności z Urzędu Ochrony Danych Osobowych:

    • Nowy wykaz operacji przetwarzania wymagający oceny skutków dla ochrony danych.

    • Nowa ustawa o dokumentach publicznych – zakazująca wykonywania i handlu replikami np. dowodu osobistego lub prawa jazdy.

    • Spotkanie przedstawicieli Urzędu Ochrony Danych Osobowych i Ministerstwa Cyfryzacji w sprawie wykorzystywania numeru PESEL przy składaniu podpisu elektronicznego oraz jako identyfikatora w środkach komunikacji elektronicznej.

Nowy wykaz wymagający oceny skutków dla ochrony danych.

Dokonanie oceny skutków dla ochrony danych (OSOD, DPIA) wymagane jest zawsze, gdy dany rodzaj operacji na danych osobowych, zwłaszcza z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw osób, których dane dotyczą.

Według przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO, GDPR) (art. 35 ust. 4) to organ nadzorczy (u nas: Urząd Ochrony Danych Osobowych) ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji wymagających przeprowadzenia oceny skutków dla ochrony danych.
8 lipca 2019 roku w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz z przykładami potencjalnych obszarów, które obejmują te operacje.

Co do zasady, przeprowadzenia oceny skutków dla ochrony danych wymagają operacje na danych osobowych, które spełniają przynajmniej dwa ze wskazanych kryteriów. Przetwarzanie, które będzie spełniało więcej kryteriów, będzie związane z większym ryzykiem naruszenia praw osób, których dane dotyczą.

Wykaz, o którym mowa, został zaktualizowany po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych (EROD). Obejmuje on również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą lub z monitorowaniem ich zachowania w kilku państwach członkowskich mogących wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.

Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 35 ust 4 i 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych dostępnego na stronie: http://monitorpolski.gov.pl/MP/2019/666.

Zakaz wykonywania i handlowania replikami dokumentów.

12 lipca 2019 roku weszła w życie ustawa o dokumentach publicznych. Nowe przepisy zakazują wykonywania oraz handlowania replikami dokumentów publicznych. Repliki często błędnie mylone są z kserokopiami. Replika dokumentu publicznego, jak definiuje ustawa, to odwzorowanie lub kopia wielkości od 75% do120% oryginału o cechach autentyczności dokumentu publicznego lub blankietu dokumentu publicznego, z wyłączeniem kserokopii lub wydruku komputerowego dokumentu publicznego wykonanych do celów urzędowych służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany.

Tworzenie replik dokumentów spotęgowało praktykę kradzieży tożsamości, np. poprzez wyrabianie tzw. dokumentów kolekcjonerskich. Oszuści zamawiali takie dokumenty z danymi innych osób. Następnie posługiwali się nimi w celach przestępczych, np. dosyć powszechne zaciąganie kredytów – “chwilówek”.
Zgodnie z nowymi przepisami każdemu, kto wykona, sprzeda lub będzie posiadał w celu zdobycia repliki dokumentu publicznego będzie groziła kara grzywny, kara ograniczenia wolności, a nawet pozbawienia wolności do 2 lat.

Odpowiedzialność karna, przewidziana w przepisach, nie będzie jednak groziła w przypadku wykonania kserokopii i wydruków komputerowych dokumentów publicznych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany. Osoby, które praktykują kopiowanie dokumentów, np. dowodu osobistego czy paszportu powinny zastanowić się, czy takie działania nie łamią przepisów ustawy o dokumentach publicznych. Istnieje bowiem ryzyko, że zainteresują się nimi organy ścigania, które uznają, że wykonano replikę dokumentu publicznego, a nie kserokopię.

Czym są dokumenty publiczne? Ustawa dokładnie definiuje to pojęcie:

Dokument publiczny służy do identyfikacji osób, rzeczy lub potwierdza stan prawny lub prawa osób posługujących się takim dokumentem, zabezpieczony przed fałszerstwem i:

  • wytwarzany według wzoru określonego w przepisach prawa powszechnie obowiązującego albo
  • którego wzór graficzny i forma zostały zatwierdzone przez podmiot realizujący zadania publiczne uprawniony na podstawie odrębnych przepisów i który jest zgodny z wymogami dla blankietu tego dokumentu określonymi w przepisach prawa powszechnie obowiązującego;

W ustawie dokonano podziału na trzy kategorie dokumentów publicznych (w zależności od ich znaczenia dla bezpieczeństwa państwa):

  1. Dokumenty najistotniejsze z punktu widzenia bezpieczeństwa państwa, których wytwarzanie odbywa sięw sposób uwzględniający szczególne środki bezpieczeństwa, np. dowód osobisty, dokumenty paszportowe, prawo jazdy, profesjonalny dowód rejestracyjny oraz dowód rejestracyjny pojazdu, a takze książeczka żeglarska, Karta Polaka, czy prawo wykonywania zawodu lekarza).
  2. Dokumenty istotne ze względu na bezpieczeństwo państwa, bezpieczeństwo obrotu gospodarczego i prawnego, w tym dotyczące broni, międzynarodowego przewozu towarów niebezpiecznych, potwierdzające wykształcenie wyższe i specjalistyczne oraz świadectwa dojrzałości.
  3. Dokumenty mające wpływ na bezpieczeństwo obrotu gospodarczego i prawnego, wtym koncesje, pozwolenia,licencje, zaświadczenia, świadectwa icertyfikaty związane z bezpieczeństwem transportu, dokumenty potwierdzające kwalifikacje zawodowe, świadectwa ukończenia szkoły, legitymacje szkolne i studenckie oraz dokumenty uprawniające do różnego rodzaju ulg.

W kontekście ochrony danych osobowych najważniejszy jest zakres danych, który jest przetwarzany na podstawie tych dokumentów. Należy bowiem pamiętać o zasadach wynikających z RODO, np. zasadzie minimalizacji danych. Kopiowanie dokumentów potwierdzających tożsamość wiąże się z wykraczaniem poza zakres niezbędnych do przetwarzania danych osobowych, np. wizerunek osoby, której dane dotyczą. UODO będzie weryfikowało, czy zakres przetwarzania danych jest ograniczony do tego, co niezbędne. Świetnym przykładem nadużywania kopiowania naszych dokumentów jest praktyka w bankach, np. przy zakładaniu konta, badaniu zdolności kredytowej, czy zawieraniu umowy. Zdaniem Prezesa UODO taka praktyka jest niedopuszczalna. Banki powołują się przy tym na art. 112b ustawy Prawo bankowe. Jednak przepis ten uprawnia je do przetwarzania danych zawartych w dokumentach tożsamości. Nic nie stanowi o sporządzaniu kopii tych dokumentów.

Należy mieć jednak świadomość, że niekiedy banki czy inne instytucje mogą kopiować dowody tożsamości, reguluje ją np. przepisy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Niektóre podmioty mogą sporządzać takie kopie na potrzeby stosowania przez nie środków bezpieczeństwa finansowego. Ale te podmioty nie mogą tego robić w innych celach.

Czy numer PESEL jest zagrożony?

12 lipca 2019 roku w siedzibie Urzędu Ochrony Danych Osobowych odbyło się spotkanie przedstawicieli UODO oraz Ministerstwa Cyfryzacji (MC). Spotkanie było poświęcone kwestii nr PESEL, który występuje w certyfikacie podpisu elektronicznego, a także używany jako identyfikator w usługach cyfrowych. Przypomnijmy, że Prezes Urzędu wystosował do Ministra Cyfryzacji w tej sprawie wystąpienie (czytaj więcej: Czy numer PESEL jest niezbędny w kwalifikowanym podpisie elektronicznym?)

Podczas spotkania została omówiona relacja wymagań, jakie kwalifikowany podpis elektroniczny ma spełniać na mocy eIDAS Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE w kontekście art. 87 RODO – ogólnego rozporządzenia o ochronie danych, zgodnie z którym państwa członkowskie mogą określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego, którym jest właśnie numer PESEL.

Rozważano na temat specyfiki identyfikatorów używanych w certyfikatach kwalifikowanych podpisów elektronicznych oraz zastąpienia nr PESEL innym identyfikatorem, np. numerem NIP, numerem dowodu osobistego, czy paszportem. Przedstawiciele UODO i MC zadeklarowali współpracę w dalszych działaniach do wypracowania wspólnego rozwiązania.