RODO aktualności – 18.03.2020

• o przetwarzaniu danych osobowych podczas pandemii wypowiedziały się niektóre z europejskich organów ochrony danych, w tym m.in. Belgia, Czechy, Dania, Finlandia, Francja, Hiszpania, Holandia, Irlandia, Islandia, Litwa, Luksemburg, Niemcy, Niemcy (Badenia-Wirtembergia), Norwegia, Polska, Słowacja, Szwecja, Węgry, Wielka Brytania, Włochy​
• aktualizowaną na bieżąco listę poradników, wraz z linkami do nich prowadzącymi można znaleźć tutaj

​

• Senat przyjął w piątek, 13 marca br. i skierował do Sejmu projekt nowelizacji ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych oraz niektórych innych ustaw​
• zmiany przewidują m.in. dodanie art. 3a i 3b, które wskazałyby jakie działania w celu ochrony może podjąć pracodawca, w tym jakich informacji może on żądać od pracownika w tym zakresie​
• wskazuje się m.in., że pracodawca:​

1. ma prawo żądać od pracownika informacji, czy w ostatnim czasie przebywał w miejscu zagrożonym zarażeniem COVID-19,​
2. w określonych sytuacjach ma prawo żądać od pracownika poddania się badaniom lekarskim,​
3. kontrolować stan pracownika przed dopuszczeniem do pracy, w szczególności przez pomiar temperatury ciała.​

• niestety poprawki nie wskazują, czy i w jakim zakresie takie lub podobne działania mogą być prowadzone wobec gości, czy innych niż pracownicy osób (np. zleceniobiorców)​

Źródło: https://www.senat.gov.pl/aktualnosci/art,12605,senacki-projekt-zmiany-ustawy-dotyczacej-walki-z-koronawirusem.html ​

• pasażerom samolotów lądujących na lotnisku Chopina wręczane są do wypełnienia karty lokalizacyjne – pasażerowie są proszeni o wskazanie numeru lotu, stałego miejsca zamieszkania, miejsca pobytu w Polsce, numeru kontaktowego czy adresu e-mail​
• w mediach społecznościowych wciąż mnożą się pytania podróżnych, powtarza się też pytanie podstawowe – kto zbiera te informacje, czyli mówiąc językiem RODO, kto jest administratorem danych osobowych, na formularzach nie ma bowiem o tym ani słowa​
• Nie widzimy podstawy do wyłączenia obowiązku wskazania tak podstawowej informacji jak to, kto jest administratorem danych podawanych przez pasażerów na formularzu – powiedział Adam Sanocki, rzecznik prasowy UODO​
• po interwencji na stronie internetowej Lotniska Chopina opublikowano komunikat, w którym wskazano podstawę prawną zbierania danych​
• nadal z samego formularza nie dowiemy się nawet, kto jest administratorem danych, jeżeli jest to państwowy graniczny inspektor sanitarny, to informacja taka powinna znaleźć się na formularzu, podobnie jak podstawa prawna do przetwarzania danych​
• RODO bez wątpienia nie powinno być przeszkodą w walce z koronawirusem, jednakże wskazanie na formularzu nazwy administratora i strony internetowej, na której zainteresowani mogą zasięgnąć dalszych informacji, trudno uznać za nadmierny wysiłek​
• podanie takich informacji pasażerom leży w interesie samych służb sanitarnych, choćby po to, by wiedzieli oni, gdzie zaktualizować dane kontaktowe​

Źródło: https://prawo.gazetaprawna.pl/artykuly/1458883,koronawirus-a-rodo-dane-prywatnosc.html ​

• oszuści postanowili dostosować swoje kampanie do obowiązującego trendu w mediach i użyli w ataku wątku koronawirusa​
• obecnie funkcjonują co najmniej trzy formy ataków:​

1. sms wskazujący na przekazanie środków zgromadzonych na rachunku do rezerw Państwowych,​
2. sms wskazujący na organizację szczepień na COVID-19,​
3. sms wskazujący na wsparcie żywnościowe.​

• Ministerstwo Zdrowia wskazuje, że wszystkie powyżej wskazane informacje są próbą oszustwa i nie należy logować się na podane w wiadomościach linki​

Źródło: https://zaufanatrzeciastrona.pl/post/uwaga-na-kradziez-z-rachunku-na-koronawirusa/, 

https://zaufanatrzeciastrona.pl/post/nowy-atak-z-koronawirusem-w-tle-wsparcie-zywnosciowe-z-ministerstwa-zdrowia/ ​

• UODO opublikował na swojej stronie 10 wskazówek jak korzystać z monitoringu wizyjnego na prywatnych posesjach​
• organ wskazuje m.in., że:​
• obserwując teren przy pomocy kamer, przetwarzane są dane osób obserwowanych, które wchodzą w zasięg działania kamery,​
• właściciel kamery jest uznawany za administratora danych i spoczywa na nim szereg obowiązków,​
• osoby obserwowane mogą korzystać z wielu praw dających im kontrolę nad swoimi danymi osobowymi​
• Prezes UODO może przeprowadzić kontrolę systemu kamer lub wszcząć postępowanie na podstawie skargi osoby obserwowanej​
• jeżeli zostanie stwierdzone naruszenie zasad, UODO może nakazać wprowadzenie zmian, zaprzestanie obserwowania terenu przy pomocy kamer, a nawet nałożyć karę finansową​
• jeżeli kamery nie obserwują terenu poza posesją oraz nie obserwują osób spoza kręgu rodziny i znajomych, to wskazane w poradniku obowiązki nie mają zastosowania, gdyż takie sytuacje są objęte wyjątkiem domowym i osobistym, a przepisy o ochronie danych nie mają wtedy zastosowania​

Źródło: https://uodo.gov.pl/pl/138/1455 ​

• szwedzki organ ochrony danych osobowych (DPA) nałożył na Google grzywnę administracyjną w wysokości 75 milionów koron szwedzkich (około 7 milionów euro) za nieprzestrzeganie RODO​
• Google jako operator wyszukiwarki nie wypełnił swoich obowiązków w zakresie prawa do żądania usunięcia danych​
• w 2017 r. szwedzki organ ochrony danych zakończył kontrolę w zakresie realizacji przez Google prawa do żądania usunięcia danych – w swojej decyzji organ stwierdził, że należy usunąć kilka wyników wyszukiwania, a następnie nakazał Google to zrobić​
• w 2018 r. ze względu na oznaki, że Google nie w pełni zastosowało się do wcześniej wydanej decyzji organ zainicjował kontrolę uzupełniającą, która zakończyła się nałożeniem kary pieniężnej​
• organ wskazał, że Google nie usunął prawidłowo dwóch list wyników wyszukiwania, które organ nakazał mu usunąć w 2017 r.​
• w jednym z przypadków Google dokonał zbyt wąskiej interpretacji adresów internetowych, które powinny zostać usunięte z listy wyników wyszukiwania, w drugim przypadku zaś Google nie usunął z listy wyników wyszukiwania bez zbędnej zwłoki​

Źródło: https://www.datainspektionen.se/nyheter/the-swedish-data-protection-authority-imposes-administrative-fine-on-google/ ​

• Minister Zdrowia w Holandii ujawnił zaginięcie dwóch dysków twardych z kopiami zapasowymi 6,9 mln formularzy dawców organów z lat 1998-2010​
• 4 lata temu papierowe rejestracje dawców zostały zdigitalizowane i zapisane na dwóch dyskach twardych – dyski te były ostatnio używane w 2016 r.​
• w 2020 r. formularze papierowe zostały zniszczone zgodnie z procedurą – dyski twarde, które również musiały zostać zniszczone, nie zostały odnalezione w sejfie i jak dotąd nie można ich znaleźć​
• ministerstwo wskazuje, że brak jest dowodów, że osoby nieupoważnione odczytały dane z dysków twardych, a brak danych nie ma żadnego wpływu na poprawność i wiarygodność danych w rejestrze dawców, gdyż żadne dane nie zniknęły z cyfrowego rejestru dawców​
• dane na dyskach twardych to: imię i nazwisko, płeć, data urodzenia, informacje adresowe w tym czasie, wybór w tym czasie dotyczący dawstwa narządów, podpis, numer urzędu obywatelskiego lub numer administracyjny podstawowej rejestracji gminy​
• trwa poszukiwanie dysków twardych a sprawa została zgłoszona do holenderskiego organu ochrony danych​

Źródło: https://www.donorregister.nl/actueel/nieuws/2020/03/10/actueel ​

• chorwacka Agencja Ochrony Danych Osobowych (AZOP) wydała decyzję nakładającą grzywnę administracyjną na jedną z instytucji kredytowych za odmowę realizacji prawa dostępu do danych​
• od października 2018 r. do AZOP wpływały skargi obywateli, którzy zwracali się do banku z prośbą o udzielenie informacji o przetwarzaniu danych osobowych, a bank stale odmawiał im odpowiedzi lub uniemożliwiał złożenie wniosku o realizację prawa, w tym odmawiał przedłożenia dokumentacji kredytowej dotyczącej umów pożyczek​
• bank odmawiał dostępu do danych osobowych i dostarczenia wymaganej dokumentacji, stwierdzając, że zgodnie z ustawą o kredycie konsumenckim i innymi szczegółowymi przepisami nie chodzi o dostęp do danych osobowych, ale o dostęp do dokumentacji pożyczki, której nie ma obowiązku przedstawić​
• AZOP przeprowadził kontrolę, w której ustalił, że dokumentacja, o której przekazanie proszono zawiera dane osobowe i powinna zostać wydana zainteresowanym​
• wysokość kary nie jest znana​

Źródło: https://azop.hr/aktualno/detaljnije/rjesenje-kojim-se-izrice-upravno-novcana ​

• kontrowersyjna firma Clearview oferująca narzędzia do rozpoznawania twarzy została pozwana przez stan Vermont za „opresyjne i pozbawione skrupułów” praktyki naruszające, zdaniem władz amerykańskiego stanu, regulacje ochrony danych osobowych​
• pozew przeciwko Clearview ogniskuje się wokół zarzutów o naruszenie przepisów stanowych regulujących działalność brokerów danych​
• według prokuratora generalnego Vermont, firma Clearview, która na terenie tego stanu zarejestrowana jest jako broker danych, narusza prawo poprzez „bezprawne gromadzenie danych od konsumentów i firm”​
• Clearview stworzył swoje bazy danych w oparciu o gromadzenie informacji z „publicznie dostępnych źródeł” takich jak największe internetowe platformy społecznościowe, tj. Facebook, Google, YouTube, Twitter, LinkedIn i inne.​
• obowiązujące w Vermont prawo stanowe zabrania „nieuprawnionego pozyskiwania danych osobowych”, a prokurator generalny tego stanu argumentuje, że działalność firmy właśnie do takich praktyk się zalicza​
• naruszenie prawa stanowi również to, co Clearview robi z pozyskanymi przez siebie danymi – firma w ostatnim czasie ucierpiała wskutek wycieku danych, w wyniku którego hakerzy wykradli listę jej klientów​
• to nie pierwszy pozew przeciwko Clearview – wcześniej w tym roku w stanie Illinois przeciwko firmie wniesiono pozew zbiorowy związany z zarzutami naruszenia przez start-up regulacji dotyczących ochrony prywatności danych biometrycznych​

Źródło: https://www.cyberdefence24.pl/zagrozenia/firma-oferujaca-narzedzia-do-rozpoznawania-twarzy-pozwana-za-naruszenie-danych ​

• przesłanie zawiadomienia dotyczącego IOD lub zastępcy IOD w innej formie niż elektroniczna jest bezskuteczne i nie jest traktowane jako wywiązanie się z obowiązku określonego w art. 10 ustawy o ochronie danych osobowych.​
• podmiot, który wyznaczył IOD ma obowiązek zawiadomić o tym Prezesa UODO w terminie 14 dni w trybie określonym w art. 10 ustawy o ochronie danych osobowych, ta sama zasada dotyczy powiadomień o zmianie zgłaszanych danych oraz do powiadomienia o odwołaniu inspektora​
• jedynym prawidłowym i skutecznym sposobem powiadomienia jest przesłanie zawiadomienia w postaci elektronicznej opatrzonego elektronicznym podpisem kwalifikowanym albo profilem zaufanym ePUAP przez osobę lub osoby upoważnione do reprezentowania administratora​
• elektroniczne formularze dostępne są na portalu biznes.gov.pl lub jako pismo ogólne w systemie ePUAP​
•  skutecznie dostarczone do UODO zawiadomienia są potwierdzane zgłaszającemu Urzędowym Poświadczeniem Przedłożenia generowanym automatycznie przez biznes.gov.pl lub epuap.gov.pl w postaci pliku UPP.xml​
• zawiadomienia można dokonać też przez pełnomocnika – w tym celu należy dołączyć pełnomocnictwo udzielone w formie elektronicznej, opatrzone elektronicznym podpisem kwalifikowanym lub profilem zaufanym ePUAP przez osobę lub osoby udzielające pełnomocnictwa​

Źródło: https://uodo.gov.pl/pl/138/1450 ​

• brytyjski organ ochrony danych (ICO) ukarał CRDNN grzywną w maksymalnej wysokości £ 500 000 za wykonywanie ponad 193 milionów zautomatyzowanych uciążliwych połączeń​
• kontrola CRDNN rozpoczęła się w marcu 2018 r., podczas niej skonfiskowano sprzęt komputerowy oraz dokumenty w celu analizy wykonywanych przez spółkę połączeń​
• późniejsze dochodzenie ICO ujawniło, że CRDNN wykonuje prawie 1,6 miliona połączeń dziennie w sprawie złomowania okien, zarządzania długiem, sprzedaży okien, oranżerii i sprzedaży kotłów​
• niektóre z połączeń potencjalnie zagrażały bezpieczeństwu ludzi, gdyż wykonywane były do Centrum Kontroli Połączeń Kolejowych w Banavie i sparaliżowały linię dla kierowców i pieszych na bezzałogowych przejazdach kolejowych, którzy dzwonili, aby sprawdzić, czy można bezpiecznie przekroczyć tory​
• wszystkie połączenia były wykonywane z tak zwanych „sfałszowanych” numerów, co oznaczało, że osoby, które je otrzymały, nie mogły zidentyfikować, kto je wykonuje​
• firma złamała prawo, nie uzyskując zgody właścicieli telefonów na wykonywanie tych połączeń i uniemożliwiając wyrażenie sprzeciwu​
• CRDNN zwrócił uwagę ICO, gdy złożono ponad 3000 skarg dotyczących uciążliwych połączeń​

Źródło: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/03/scottish-company-hit-with-maximum-fine-for-nuisance-calls/ ​

• PUODO nałożył karę w wysokości 20 tys. zł w związku z naruszeniem polegającym na przetwarzaniu danych biometrycznych dzieci podczas korzystania przez nie ze szkolnej stołówki​
• Szkoła Podstawowa w Gdańsku przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, mogąc jednocześnie zastosować inne formy identyfikacji uczniów​
• ponadto Prezes UODO nakazał usunięcie danych osobowych przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci oraz zaprzestanie dalszego zbierania danych osobowych​
• po przeprowadzeniu z urzędu postępowania administracyjnego organ ustalił, że szkoła korzysta z czytnika biometrycznego przy wejściu do stołówki szkolnej, który identyfikuje dzieci w celu weryfikacji uiszczenia opłaty za posiłek​
• postępowanie wykazało, że szkoła pozyskuje te dane i przetwarza je na podstawie pisemnej zgody rodziców lub opiekunów prawnych – stosowane rozwiązanie funkcjonuje od 1 kwietnia 2015 r.​
• PUODO stwierdził, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu, a szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka​

Źródło: https://uodo.gov.pl/pl/138/1453 ​

• ITD nie ma odpowiedniej podstawy prawnej do pozyskiwania szczegółowych informacji o sprawcach naruszeń drogowych – twierdzi Urząd Ochrony Danych Osobowych​
• gdy fotoradar zrobi zdjęcie kierowcy przekraczającemu prędkość lub lekceważącemu sygnały świetlne, zgodnie z prawem o ruchu drogowym do akcji wkracza główny inspektor transportu drogowego (wykonujący w tym zakresie zadania inspekcji transportu drogowego)​
• do zbierania danych na temat wykroczenia wykorzystywane są formularze GITD, przewidujące kilka scenariuszy: pojazd prowadził jego właściciel, kierowcą była osoba znana właścicielowi lub pojazd prowadziła osoba nieznana posiadaczowi​
• każdy z formularzy wymaga przekazania wielu danych osobowych kierowcy lub właściciela pojazdu: imion, nazwiska (w tym rodowego), PESEL, miejsca zatrudnienia, numeru telefonu, informacji o dokumencie tożsamości i dokumencie uprawniającym do kierowania pojazdami, adresów zamieszkania, imion i nazwisk rodziców​
• tymczasem przepis, na którego podstawie gromadzony jest ten obszerny zakres informacji – art. 129g ust. 2 pkt 1 lit. d prawa o ruchu drogowym jest bardzo lakoniczny, stanowi bowiem, że przetwarza się „dane właściciela lub posiadacza pojazdu lub kierującego pojazdem”​
• dla Prezesa UODO taki przepis jest niewystarczający, uważa on, że „(…) formularze te są stosowane bez podstawy wynikającej z jakiegokolwiek aktu prawnego” – albo nastąpi szybka zmiana przepisów, albo będą kary​

Źródło: https://prawo.gazetaprawna.pl/artykuly/1457212,inspekcja-transportu-drogowego-uodo.html ​

• należąca do amerykańskiego koncernu technologicznego Amazon firma Ring przechowuje dane dotyczące wszystkich zdarzeń rejestrowanych przez jej inteligentne dzwonki do drzwi, a także informacje z aplikacji urządzenia​
• BBC otrzymało dane, pochodzące z okresu 28 września 2019 r. – 3 lutego 2020 r., które były zbierane przez dzwonek wideo Ring 2, a także przez kamerę Ring Indoor​
• wynika z nich, że koncern przechowuje informacje o każdym zdarzeniu zarejestrowanym przez Amazon Ring, a także czasie wydarzenia z dokładnością do milisekund – w tym czasie udokumentowano ponad 1,9 tys. pojedynczych „zdarzeń rejestrowanych przez kamerę”, w tym dotyczących ruchu wykrytego przez czujniki kamer, każdego użycia dzwonka (naciśnięcie przycisku), zdalnych próśb o podgląd audiowizualny, również z możliwością zdalnej rozmowy z odwiedzającym​
• największa udostępniona BBC baza danych dotyczyła jednak dokumentacji każdej interakcji z aplikacjami Ring – w ciągu 129 dniu zarejestrowano ponad 4,9 tys. takich zdarzeń, a obejmowały one m.in. każdorazowe uruchomienie aplikacji i powiększanie nagranego materiału, a także informacje dotyczące początku i końca każdego podglądu z kamery w czasie rzeczywistym oraz model używanego telefonu lub tabletu oraz dostawę sieci komórkowej​
• wśród innych zapisów znajdowały się szczegóły dotyczące położenia geograficznego obu urządzeń, podane do 13 miejsc po przecinku​
• Amazon utrzymuje, że wykorzystuje te informacje do oceny, zarządzania i ulepszania swoich produktów i usług​

Źródło: https://www.cyberdefence24.pl/amazon-ring-przechowuje-dane-wszystkich-zdarzen-rejestrowanych-przez-inteligentne-dzwonki-do-drzwi ​

• UODO opublikował na swojej stronie zestawienie inicjatywy opracowania kodeksów postępowania​

1. Kodeks postępowania dla fotografów – autor: Krajowy Cech Fotografów​
2. Kodeks postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego (KODO) – autor: Polskie Stowarzyszenie Marketingu SMB ​
3. Kodeks postępowania w zakresie ochrony danych osobowych (dla Uczelni Medycznych) – autor: Uczelnie Członkowskie Konferencji Rektorów Akademickich Uczelni Medycznych​
4. Kodeks postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej – autor: Związek Pracodawców Branży Internetowej IAB Polska​
5. Kodeks Postępowania w Zakresie Przetwarzania Danych Osobowych w Organizacjach Społecznych – autor: Konfederacja Inicjatyw Pozarządowych Rzeczypospolitej​
6. Kodeks dotyczący zasad przetwarzania danych osobowych gości hotelowych – autor: Izba Gospodarcza Hotelarstwa Polskiego​

Źródło: https://uodo.gov.pl/pl/426/1108 ​

• „Wymóg, by osoba, która nie zgadza się na przetwarzanie danych osobowych, zaznaczała to w odręcznie sporządzanej adnotacji na umowie, nie jest zgodny z przepisami unijnymi. Trudno w takiej sytuacji mówić o zgodzie świadomej i dobrowolnej” – uznał w swej opinii rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej​
• sprawa dotyczy rumuńskiego operatora telekomunikacyjnego Orange România – zawierając umowy z klientami, prosił on o wyrażenie zgody na skopiowanie dokumentu tożsamości​
• zgodę tę można było wyrazić poprzez zaznaczenie stosownej kratki na formularzu – jednocześnie wewnętrzne reguły firmy wymagały, aby osoba, która nie wyraża takie zgody, odnotowywała to odręcznie na umowie​
• co istotne, bez wyrażenia zgody umowa mogła być zawarta, a więc przetwarzanie danych nie było niezbędne do jej realizacji​
• rumuński organ ochrony danych osobowych nałożył karę na operatora uznając, że konsumenci nie dokonali świadomego wyboru co do gromadzenia i przechowywania kopii swoich dokumentów tożsamości​
• sprawa trafiła do sądu, a ten poprosił o wykładnię dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, gdyż to na jej podstawie nałożono karę​
• dyrektywa została zastąpiona przez RODO, ale pytanie prejudycjalne pozostało aktualne, gdyż obydwa ze wspomnianych aktów wymagają, by zgoda na przetwarzanie danych była wyrażona w sposób świadomy i dobrowolny​

Źródło: https://prawo.gazetaprawna.pl/artykuly/1457541,rodo-tsue-przetwarzanie-danych-osobowych.html ​

• Europejska Rada Ochrony Danych (EROD) opublikowała niedawno wytyczne dotyczące zasad postępowania z monitoringiem wizyjnym – w niektórych kwestiach polski organ nadzorczy ma czasem wręcz odmienne zdanie​
• kamerki samochodowe używane do celów służbowych nie mogą przetwarzać danych osobowych innych uczestników ruchu, niedozwolone jest też rozpowszechnianie takich nagrań przez zwykłych kierowców – takie stanowisko zajęła EROD​
• EROD uważa, że kamerki nie powinny nagrywać obrazu w trybie ciągłym, a także ujmować osób postronnych znajdujących się na drodze – niedozwolone jest również ujawnianie nagrań ze zdarzeń drogowych w internecie, jeżeli ma ono mieć charakter głównie rozrywkowy​
• UODO do tej pory nie był aż tak restrykcyjny – wskazywał, że nagrywanie kamerką w aucie jest dozwolone, jeżeli wynika z uzasadnionego interesu administratora i spełniony jest obowiązek informacyjny, nie wymagał jednak pikslowania twarzy czy tablic w trakcie nagrywania​
• EROD uważa, że materiał z monitoringu wideo powinien być kasowany maksymalnie po kilku dniach, a dłuższe przechowywanie dozwolone jest tylko w przypadku, gdy istnieje ku temu uzasadnienie i to na dodatek tylko wybranych zdarzeń, reszta materiału powinna być usunięta​
• UODO jest bardziej liberalne – pozwala na przechowanie całych nagrań nawet przez dłuższy czas​
• EROD uważa, że atrapy kamer są dozwolone, bo jej zdaniem skoro nie ma nagrywania, to nie ma przetwarzania danych osobowych (a więc RODO nie obowiązuje) – tymczasem polski organ wręcz przeciwnie, kategorycznie uważa, że atrapy kamer są nie do przyjęcia​

Źródło: https://prawo.gazetaprawna.pl/artykuly/1457790,monitoring-a-rodo-unia-europejska.html ​

• do Urzędu Ochrony Danych Osobowych docierają kolejne skargi dotyczące kopiowania dokumentów tożsamości przez instytucje finansowe – tylko w styczniu i na początku lutego br. wpłynęło ich nieznacznie mniej niż w ciągu całego 2018 roku​
• jednak, jak przekonują eksperci, banki mogą legalnie sporządzać tego typu kopie – o stosowaniu określonych środków bezpieczeństwa mówi ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu – pomimo to, banki powinny przy tym pamiętać o analizie oraz weryfikacji, czy taka czynność jest niezbędna​
• Trzeba wyraźnie powiedzieć, że banki mają możliwość kopiowania dokumentów tożsamości. Ale jest to legalne tylko wtedy, kiedy wynika wprost z rangi przepisów, np. w przypadkach określonych w ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi. Nie jest to jednak równoznaczne z takim obowiązkiem – podkreśla Adam Sanocki, rzecznik prasowy UODO​
• klient zawsze może zapytać o podstawę żądania przez bank kopii dokumentu tożsamości – powinien to zrobić, zwłaszcza jeśli ma wątpliwości dotyczące przetwarzania jego danych osobowych, a administrator danych musi posiadać podstawę prawną do ich przetwarzania​
• Prezes UODO podkreśla, że z kolei art. 112 b Prawa bankowego pozwala przetwarzać do celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Przepis ten jednak nic nie mówi o tym, że banki mogą sporządzać kopie dowodów tożsamości. Dlatego też takie postępowanie niemal przy każdej czynności budzi wątpliwości organu nadzorczego – dodaje Adam Sanocki​

Źródło: https://biznes.interia.pl/finanse/news-banki-pod-lupa-uodo-sprawa-dotyczy-nadmiernego-kopiowania-do,nId,4365994 ​