Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Weryfikacja tożsamości podmiotu danych cz. 1

14-09-2018 Autor: Tomasz Izydorczyk

Gdy do administratora danych osobowych zgłasza się Anna Kowalska lub Jan Nowak, to zanim zostanie zrealizowane którekolwiek z praw podmiotów danych, administrator musi się upewnić, o którą Kowalską lub którego Nowaka chodzi. Przy realizowaniu prawa podmiotu danych, np. do kontroli swoich danych, paradoksalnie, można naruszyć ochronę danych osobowych.

 

Każda osoba, której dane dotyczą (podmiot danych), powinna być informowana (zgodnie z art. 13 lub 14 rodo) przez administratora w momencie zbierania jej danych osobowych m.in. o przysługujących jej prawach.

1. Zagrożenia związane z realizacją praw

Pierwsze miesiące stosowania rodo i doświadczeń inspektorów ochrony danych pokazują, że podmioty danych najczęściej korzystają z 3 praw:

1) prawa do usunięcia danych;
2) prawa do informacji o okolicznościach przetwarzania (czyli poinformowania o celach przetwarzania, kategoriach danych, odbiorcach danych, w tym z państw trzecich, planowane okresy usunięcia danych);
3) prawa do uzyskania kopii danych.

Dla naszych rozważań przyjmijmy, że do administratora zgłosił się wnioskodawca, aby zrealizować jedno ze swoich praw, jakie przysługuje mu zgodnie z rodo. Administrator popełnia jednak błąd na etapie weryfikacji tożsamości i realizuje żądanie tego wnioskodawcy, ale na innych danych – „podmiotu danych”. Okazało się w naszym hipotetycznym przypadku, że wnioskodawca i podmiot danych to różne osoby, ale o tych samych imionach i nazwiskach.

W przypadku prawa do informacji o okolicznościach przetwarzania wydaje się, że nie da się doprowadzić do sytuacji naruszenia ochrony danych osobowych (zgodnie z definicją z art. 4 pkt 12 rodo). Jeśli wnioskodawca otrzyma tylko informacje o okolicznościach przetwarzania (a nie same dane osobowe podmiotu danych), ryzyko, jakie wiąże się z brakiem staranności przy weryfikacji tożsamości osób żądających takich informacji, polega przede wszystkim na wprowadzeniu jej w błąd.

Przy realizacji prawa do usunięcia lub wydania kopii danych administrator zrealizuje prawo wnioskodawcy z wykorzystaniem danych osobowych innej osoby, ryzyko naruszenia ochrony danych osobowych, a także ryzyko naruszenia praw osób, w przypadku błędnej weryfikacji tożsamości wnioskodawcy, jest prawie 100-procentowe.

W takim razie co złego może wydarzyć się w związku z brakiem poprawnej weryfikacji tożsamości? Jeśli przykładowy Maciej Kawecki zgłosi się do danego administratora i poprosi o kopię swoich danych, to błędna weryfikacja tożsamości będzie prowadzić do udostępnienia danych osobowych innemu Maciejowi Kaweckiemu. Czyli dane osobowe Macieja Kaweckiego zostaną udostępnione osobie nieuprawnionej, posługującej się dokładnie tym samym imieniem i nazwiskiem, co w przypadku większych zbiorów danych osobowych nie jest takim rzadkim przypadkiem.

Udostępnienie danych osobowych osobie nieuprawnionej nie jest jeszcze (nie musi być) skutkiem negatywnym dla tej osoby, której dane dotyczą.

Na pewno takie udostępnienie będzie naruszeniem ochrony danych, o którym mowa w definicji w art. 4 pkt 12 oraz w  art. 33 rodo. Skutek (przeważnie negatywny) będzie zależał od tego, jakie dane, jaki ich zakres i charakter został udostępniony. Załóżmy, że udostępnione zostały takie dane Macieja Kaweckiego innemu Maciejowi Kaweckiemu, które znajdują się w dowodzie osobistym, wraz z adresem zamieszkania, adresem poczty elektronicznej i numerem telefonu. Zastanówmy się więc, jakie skutki mogą wystąpić w związku z takim udostępnieniem. Rodo wskazuje przykładowe skutki naruszenia praw osób w motywie 75 preambuły rodo.

W świecie idealnym Maciej Kawecki, który otrzymał np. kopię nie swoich danych, usunie te dane, nie będzie się nimi posługiwał i powiadomi administratora, że doszło do takiej sytuacji. Kradzież tożsamości i oszustw na tle danych pozyskanych w sposób niewłaściwy, czy też nielegalny, jest jednak coraz częstszym zjawiskiem w dzisiejszej rzeczywistości.

[...]

Autor jest wykładowcą w WSB w Poznaniu oraz konsultantem w kancelarii MARUTA WACHTA sp. j. oraz członkiem Grupy Roboczej ds. ochrony danych osobowych przy Ministrze Cyfryzacji.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.