Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Weryfikacja tożsamości podmiotu danych cz. 2

07-11-2018 Autor: Tomasz Izydorczyk

Co administrator powinien zrobić, jeśli wnioskodawca zażądał realizacji swojego prawa np. do kopii danych, ale uczynił to z podaniem zbyt małego zakresu danych lub nieautoryzowanym przez administratora kanałem komunikacyjnym?

 

Z godnie z art. 11 ust. 2 rodo, jeżeli administrator może wykazać, że nie jest w stanie zidentyfikować osoby (wnioskodawcy), której dane dotyczą, w miarę możliwości informuje o tym tę osobę. W takich przypadkach nie mają zastosowania art. 15– 20 rodo (czyli nie trzeba wykonywać praw tych osób), chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.

1. Kontakt z wnioskodawcą


Jeśli administrator nie ma możliwości skontaktowania się z wnioskodawcą, powinien ten fakt odnotować i pozostawić sprawę bez rozpatrzenia (i nie ma to nic wspólnego z instytucją postępowania administracyjnego). Jeśli jednak ma możliwość kontaktu, powinien tym samym kanałem poinformować, że nie może potwierdzić jego tożsamości, a co za tym idzie, nie może zrealizować jego wniosku. Administrator może także poinformować, jakie dane lub informacje może dostarczyć wnioskodawca, aby jego wniosek został rozpatrzony, bo wówczas administrator będzie miał pewność co do tożsamości wnioskodawcy. Administrator alternatywnie może wskazać inny kanał komunikacji, który jest zautoryzowany przez administratora. Na rynku mamy przykłady takich dodatkowych informacji np. dodatkowe pytania weryfikujące stosowane przez przedstawicieli banków, przed przyjęciem dyspozycji na koncie klienta, służące upewnieniu się co do tożsamości osoby dzwoniącej.

Niepoprawnym zachowaniem (a na pewno niezbyt grzecznym) jest formułowanie przez administratorów kategorycznego żądania uzupełnienia danych w celu potwierdzenia tożsamości. Przykładem takich niefortunnych zwrotów jest: „(…) żądamy uzupełnienia danych w terminie 7 dni od otrzymania niniejszego wezwania. W przypadku braku uzupełnienia Pani/Pana wniosek pozostanie bez rozpatrzenia”. Rodo nie nakłada na administratorów prawa albo obowiązku „żądania” uzupełnienia braków w określonym terminie. Takie prawo żądania uzupełnienia braków przysługuje np. organom administracji publicznej na mocy przepisów ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (dalej: kpa). Nie dotyczy to jednak sektora prywatnego.

W tym miejscu należy wyraźnie wskazać, że w przypadku wykonywania prawa dostępu do danych osobowych czy żądania kopii danych (praw określonych w art. 15 ust. 1–3 rodo), jeśli administratorem jest organ administracji publicznej, powinien on przeanalizować występowanie przesłanek z art. 5 nowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Wskazany art. 5 nakłada na takiego administratora, realizującego zadania publiczne, wezwanie wnioskodawcy (którego dane dotyczą) do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis 64 kpa stosuje się odpowiednio. Obowiązek ten nałożony na podmiot publiczny będzie miał zastosowanie, gdy odszukanie dokumentów dotyczących wnioskodawcy (np. pośród dokumentów w archiwum zakładowym bez żadnych elektronicznych spisów lub indeksowania dokumentów wg nazwisk i imion czy numerów PESEL) wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych takiego wnioskodawcy.

Generalnie w całym procesie uwierzytelniania wnioskodawcy chodzi o to, aby wnioskodawca podał tyle informacji albo takim kanałem komunikacji, że administrator będzie miał pewność co do tożsamości wnioskodawcy  i nie dojdzie do naruszenia ochrony danych osobowych czy innych praw podmiotów danych.

2. Działania zapobiegawcze


Aby nie doprowadzić do sytuacji, w której paradoksalnie administrator, chcąc w zgodzie z rodo zrealizować prawo osoby dotyczące jej danych osobowych, ujawni dane osobowe osobie nieuprawnionej, administrator powinien przyjąć szereg środków zapobiegawczych. Przede wszystkim administrator powinien przyjąć procedury dla pracowników obsługujące wnioski podmiotów danych, m.in.:

  • zautoryzowane lub bezpieczne kanały przyjmowania wniosków;
  • sposoby potwierdzania tożsamości wnioskodawców dla każdej kategorii osób;
  • zakres danych podawanych przez wnioskodawcę, jaki musi być zgodny z danymi, które posiada administrator, aby mieć pewność, że wnioskodawca jest osobą, za którą się podaje;
  • działania, jakie należy podjąć w przypadku braku pewności co do tożsamości wnioskodawcy;
  • to, jaka informacja zwrotna powinna być przekazana wnioskodawcy w przypadku braku potwierdzenia tożsamości;
  • w przypadku kontaktów telefonicznych – skrypt rozmowy, np. zestaw pytań, jakie należy zadać, aby potwierdzić tożsamość osoby dzwoniącej;
  • terminy poszczególnych kroków lub działań.

Login i hasło znane jedynie wnioskodawcy jest dobrym sposobem potwierdzania jego tożsamości. Ale zadanie kilku pytań wnioskodawcy weryfikujących także może być uzasadnione dla potwierdzenia jego tożsamości.

Zadawanie pytań czy inna forma weryfikacji tożsamości wnioskodawcy może nie zadziałać poprawnie, jeśli administrator nie ma pewności co do jakości danych osobowych i okoliczności ich pozyskania. Same dane osobowe w bazie danych, w pliku .XLS czy w rejestrze papierowym mogą nie wystarczyć. Administrator powinien jeszcze wiedzieć:

  • od kiedy przetwarza te dane;
  • z jakiego źródła ma dane;
  • jakim kanałem i które konkretnie dane były zebrane.

Przykładowym działaniem zapobiegającym udostępnianie danych osobowych osobom nieuprawnionym jest test potwierdzający tożsamość stosowany przez Facebook Inc. Dostawca portalu społecznościowego bada lokalizacje (np. po adresach IP), urządzenia, z jakich loguje się do portalu użytkownik. Gdy następują jakieś nieprawidłowości (np. nagłe logowanie z kraju, w którym użytkownik nigdy nie był), Facebook w celu zapewnienia bezpieczeństwa prosi o potwierdzanie tożsamości poprzez znajomych danego użytkownika. Użytkownikowi pokazywane są wyraźne zdjęcia jego różnych znajomych, a jego zadaniem jest przyporządkowanie nazwisk do tych zdjęć (Facebook centrum pomocy, https://pl-pl.facebook. com/help/117450615006715 [dostęp: 29.10.2018]). O ile cyberprzestępca z zagranicy może poznać login i hasło użytkownika Facebooka, o tyle trudno mu będzie w rozsądnym czasie poznać np. 500 „znajomych” danego użytkownika i odpowiedzieć na kilka, kilkanaście pytań, kogo przedstawia dane zdjęcie. 

[...]

Autor jest wykładowcą w WSB w Poznaniu, konsultantem w kancelarii MARUTA WACHTA sp. j. oraz członkiem Grupy Roboczej ds. ochrony danych osobowych przy Ministrze Cyfryzacji.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.