Od początku. Czyli po rozum do UODO
Od 28 maja 2018 roku organem właściwym w zakresie ochrony danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO). Przedtem był to Generalny Inspektor Ochrony Danych Osobowych (GIODO). Skontaktowałem się zatem z UODO i postanowiłem zasięgnąć informacji w jedynym i kompetentnym źródle w naszym kraju. Urząd bowiem, nie posiada oddziałów terenowych. Na moje pytania otrzymałem obszerną odpowiedź od Rzecznika Prasowego UODO, Adama Sanockiego. To na podstawie właśnie jego szczegółowych wyjaśnień postanowiłem sporządzić ten artykuł, mając nadzieję, że będzie to zalążek w Gostyniu do krzewienia prawidłowych postaw obywatelskich. Zdaje się, że absolutnie nie rozumiemy wprowadzonego Rozporządzenia o Ochronie Danych Osobowych. Do tego wystarczy, jak znajomi z pełnym przekonaniem wygłoszą swoje twierdzenia o tym, że całe to RODO to ściema i nikt tego nie przestrzega, nikt nie ma obowiązku, nie ma prawa, że to wymysł Unii Europejskiej, by trzymać Polaków na krótko itd. Tymczasem, jest to rozporządzenie dla nas. Nie po to, byśmy czuli się zniewoleni, lecz bezpieczni. Zostało stworzone w odpowiedzi na zagrożenia płynące z rozpasanych zasad wolnorynkowych. Czy pamiętamy, powierzając komukolwiek swoje dane osobowe, by prosić o oświadczenie administratora danych osobowych, które podmiot je pobierający musi nam dostarczyć z chwilą ich pobrania? „Po co mi kartka jakaś? I tak ją wyrzucę!”. Wyrzucaj jeśli chcesz. Jednak jeśli dojdzie w przychodni do fatalnej w skutkach pomyłki, rozdzwonią się do Ciebie firmy z ofertami i okaże się, że jesteś na liście klientów lichwiarza, to nie miej pretensji do Unii Europejskiej, do UODO ani nawet do tej przychodni. Miej pretensje do siebie. Ponieważ dano Ci narzędzia, z których możesz korzystać i ich absolutnie nie wykorzystałeś, a nawet wyśmiałeś i wyrzuciłeś do kosza. Papier leży i jeść nie woła, a wartość jego bywa nieoceniona. Być może nigdy się o tej wartości nie przekonasz, ale lepiej tego nie sprawdzać. Niech leży. To Twoja gwarancja, że nikt nigdy nie wzbogaci się na twoich danych, bez twojej zgody.
Musi mi Pan/i dać dowód, bo ja tu muszę widzieć
- Przepisy nie precyzują jak ma wyglądać weryfikacja danych zawartych w dokumencie tożsamości. Prezes UODO od lat zwraca jednak uwagę, by nie tracić z oczu swoich dokumentów np. dając do skserowania podmiotom do tego nieuprawnionym czy zostawiając je w zastaw. Dokumenty tożsamości są wydawane w celach ściśle określonych przepisami prawa i zawierają wskazany w nich katalog danych osobowych, który jest szerszy niż ten, jaki można uznać za niezbędny dla realizacji określonego celu, np. weryfikacji tożsamości. – Rzecznik Prasowy UODO, Adam Sanocki.
Jeżeli przepisy jednoznacznie nie określają, czy mamy obowiązek przekazać do ręki obsługującej nas osobie nasz dowód osobisty w celu weryfikacji, to absolutnie nic niewłaściwego się nie dzieje, gdy go tylko trzymamy w swojej dłoni. Wpłacałem pieniądze do banku i Pani zza okienka prosiła o dowód. Wyjąłem z portfela i trzymając w dłoni przyłożyłem do szyby. Nagle słychać głos koleżanki w okienku obok: „Ja nie wiem Justyna, czy Ty nie musisz mieć tego dowodu fizycznie w ręce?”. No i właśnie. Czy musi, czy tylko może? Pani potrzebuje widzieć moje zdjęcie, porównać z tym co widzi przed sobą, potrzebuje odczytać pesel i przepisać do swojego systemu komputerowego, aby odnaleźć moje konto w systemie. W ten sposób może zweryfikować, czy to aby na pewno ja czy może ktoś podobny do mnie. Jednak konieczność tej weryfikacji, wyłącznie dla mojego i jej bezpieczeństwa, jako pracownika za transakcje odpowiedzialnego w żaden sposób nie upoważnia do przejęcia mojego dowodu osobistego. Spełniłem całkowicie warunki okazania się dowodem osobistym w celu weryfikacji. Udostępniłem dane w nim zawarte, tak aby były widoczne i można było je odczytać. Nie ma absolutnie zapisu w RODO, który by jednoznacznie nakazywał Pani w okienku w jakiejkolwiek instytucji przejmować mój dowód. Mogę się domyślać, że powstała w czujnej wyobraźni tej Pani wizja tego, że mój dowód może być np. z plasteliny i ważnym jest sprawdzić to namacalnie, jednak wszyscy zobowiązani jesteśmy przestrzegać tej samej litery prawa. Jeżeli klient odmawia przekazania dowodu osobistego, to ma do tego pełne prawo, a osoba obsługująca zmuszona jest ten wybór zaakceptować. Absolutnie nie ma tu żadnych podstaw do odmowy obsługi.
Akcja – Weryfikacja
Weryfikacja danych zawartych np. w dowodzie osobistym powinna uwzględniać przepisy RODO, w szczególności ważne, aby pozostawała w zgodzie z zasadami ograniczenia celu oraz minimalizacji danych. Przepisy te jasno wskazują, że przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, gdy istnieją ku temu określone warunki, określa art. 6 RODO. Administrator może zbierać dane osobowe tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie może przetwarzać ich dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b). Znajomość celu przetwarzania – obok podstawy prawnej – jest fundamentalnym wymogiem prawa ochrony danych osobowych. Z kolei zasada minimalizacji danych oznacza, że dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5. ust. 1 pkt c RODO). – doradza Adam Sanocki.
Oznacza to, że osoba która nas pyta o dowód osobisty i podanie innych danych, jak np. numer telefonu czy adres e-mail, stopień zadłużenia w bankach, numer konta, wysokość ostatniego rachunku za prąd, musi mieć podstawy do tego, aby od nas je pozyskać. Zwyczajnie te dane muszą okazać się w jakikolwiek sposób niezbędne do naszej weryfikacji czy procedowania naszych spraw. Z całą pewnością Pani w bankowym okienku nie przyda się do niczego historia naszej choroby. W przychodni raczej nie znajdzie zastosowania informacja o numerach naszego konta i stopniu zadłużenia. Z całą pewnością jednak, nie zaszkodzi nigdy zapytać zwyczajnie „W jakim celu Pani pyta?”. Pani w okienku tak jak i my podlega tym samym przepisom i ma obowiązek podać nam zarówno ustnie tak na piśmie, cel dla którego zbiera takie czy inne dane. Właściwie w tym przypadku, to na takiej pani spoczywa więcej obowiązków niż przywilejów, a my zawsze dobrowolnie powierzamy te dane. W najgorszym przypadku zrezygnujemy i pójdziemy z naszą sprawą gdzieś indziej. Zatem skwitowanie naszych zapytań zdaniem: „A to ja nie muszę Pana wcale obsłużyć” w kontekście biznesowym jest zwyczajnie tu bardzo słabe i pracownikowi przydałoby się szkolenie z zakresu obsługi klienta, a na pewno z Rozporządzenia o Ochronie Danych Osobowych.
Dowód w zastaw i kopiowanie. Czy zgodne z prawem?
Absolutnie nie! Zgodnie z art. 79 pkt 2 ustawy z dnia 6 sierpnia 2010 r. o dowodach osobistych, zatrzymywanie bez podstawy prawnej dowodu osobistego stanowi wykroczenie zagrożone karą ograniczenia wolności albo karą grzywny. Możecie śmiało zgłaszać takie przypadki do UODO w formie pisemnej lub elektronicznej. Szczegóły na ten temat znajdziecie tutaj. Często pracownicy tych wszystkich punktów obsługi, od wypożyczalni, przez operatorów naszych usług, do banków, poczty i przychodni łamią lub naciągają te przepisy nieświadomie, bądź jak tłumaczą: „U nas tak jest”. Możemy domyślać się tylko, że właściciel takiego punktu pouczył pracownika i pod rygorem utraty pracy bądź części wynagrodzenia, każąc mu dostosować się do jego wymyślonych wymogów. Często też pracownikom wszystko jedno. Mają przeczucie, że przecież niczym nie ryzykują. Nigdy nie spotkali się z egzekwowaniem RODO. Uważają je za takie martwe prawo i godzą się na propozycje przełożonych.Skanowanie bądź kopiowanie dokumentów tożsamości w ocenie UODO jest legalne jedynie wtedy, kiedy wynika to wprost z przepisów ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. W myśl art. 34 ust. 4 ustawy tej ustawy instytucje obowiązane mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Nie jest to jednak równoznaczne z takim obowiązkiem. Za każdym razem, gdy dany podmiot na podstawie art. 34 ust. 4 wymienionej ustawy zamierza skopiować dokument tożsamości, to decyzję o tym powinien poprzedzić analizą i zweryfikowaniem czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w RODO. Zatem należy sobie zadać pytanie czy w przypadku np. zakładania konta bankowego rzeczywiście konieczne jest kopiowanie/skanowanie dokumentu tożsamości? Zdaniem UODO budzi to wątpliwości. Mając na uwadze zapewnienie równowagi pomiędzy koniecznością zapobiegania praniu pieniędzy i finansowaniu terroryzmu, a uwzględnieniem przepisów ochrony danych osobowych, UODO rekomenduje opracowanie wytycznych w tej sprawie, o co zwrócił się do Generalnego Inspektora Informacji Finansowej oraz Przewodniczącego Komisji Nadzoru Finansowego. O ile wspomniana ustawa wśród instytucji, które w określonych przypadkach mogą skopiować dokument tożsamości, wymienia np. banki czy inne instytucje finansowe, to przepisy te nie wymieniają operatorów telekomunikacyjnych.
Pamiętajmy, że za każdym razem, gdy ktoś pozyskuje od nas dane osobowe w jakiejkolwiek formie, musi wypełnić nałożony na niego obowiązek informacyjny o którym mowa w art. 13 RODO. Powinien powiadomić nas m.in. o celach przetwarzania danych, podstawie prawnej ich przetwarzania. Ma również obowiązek podać swoje dane, dane kontaktowe do inspektora ochrony danych (jeżeli do wyznaczył) oraz wskazać jak długo będzie przetwarzał pozyskane od nas dane. Jeśli mamy wątpliwości, czy administrator właściwie postępuje z naszymi danymi, w tym przestrzega naszych praw, mamy prawo złożyć skargę do Prezesa UODO. Do kompetencji Prezesa UODO należy bowiem weryfikowanie tego, czy przetwarzanie danych osobowych przebiega zgodnie z przepisami o ochronie danych osobowych. Ponadto każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO.
Komentarze (0)
Wysyłając komentarz akceptujesz regulamin serwisu. Zgodnie z art. 24 ust. 1 pkt 3 i 4 ustawy o ochronie danych osobowych, podanie danych jest dobrowolne, Użytkownikowi przysługuje prawo dostępu do treści swoich danych i ich poprawiania. Jak to zrobić dowiesz się w zakładce polityka prywatności.