Tymczasem napływające do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) skargi i inne sygnały świadczą o naruszeniach w tym zakresie, co było jedną z przyczyn podjęcia przez GIODO decyzji o przeprowadzeniu kontroli sektorowej w klubach piłkarskich.

Kontrola GIODO potwierdza nieprawidłowości

Jej pierwsze wyniki potwierdzają nieprawidłowości w wykorzystywaniu danych osobowych kibiców, o czym dr Wojciech Rafał Wiewiórowski, GIODO mówił podczas konferencji prasowej 17 sierpnia 2011 r.

Do najczęstszych naruszeń należą:
• pozyskiwanie podczas wyrabiania karty kibica zbyt wielu danych osobowych,
• uniemożliwianie swobodnego wyrażenia zgody na przetwarzanie danych osobowych w celach innych niż identyfikacja prowadzona na potrzeby zapewnienia bezpieczeństwa,
• nieinformowanie kibiców o tym, komu i w jakim celu będą przekazywane ich dane osobowe,
• kserowanie lub skanowanie dowodów osobistych lub innych dokumentów potwierdzających tożsamość, co prowadzi do pozyskiwania zbyt wielu danych osobowych,
• nieprzestrzeganie przepisów dotyczących zabezpieczania danych osobowych – m.in. poprzez nieopracowanie polityki bezpieczeństwa, nienadanie upoważnień do przetwarzania danych osobowych.

Decyzje GIODO

Stwierdzenie przez inspektorów GIODO naruszeń w przetwarzaniu danych osobowych przez kluby piłkarskie zaowocowało już wydaniem pierwszych decyzji mających na celu przywrócenie stanu zgodnego z prawem, m.in. poprzez usunięcie danych osobowych pozyskanych bez podstawy prawnej. W niektórych przypadkach konieczne może być jednak ponowne wyrabianie kart kibica, zwłaszcza gdy uwidoczniono na nich zbyt wiele informacji o ich posiadaczach.

- Pragnę przeprosić wszystkich kibiców, ale jeżeli taka sytuacja nastąpi, to bardzo możliwe, że jest ona spowodowana tym, iż dane osobowe były przetwarzane w nieprawidłowy sposób - mówił dr Wojciech Rafał Wiewiórowski.

Nowe przepisy

Podczas konferencji GIODO odniósł się również do kończących się prac parlamentarnych nad nowelizacją ustawy o bezpieczeństwie imprez masowych.

- Senat wniósł do niej znaczące poprawki, które wyeliminowały wiele uwag, które zgłaszał do niej GIODO – powiedział dr Wojciech Rafał Wiewiórowski. Dopiero w tym kształcie rozwiązania przewidziane w projekcie GIODO uznał za akceptowalne.

- Najważniejszą zmianą, na którą chciałbym zwrócić uwagę i poprosić państwa dziennikarzy, żebyście byli kolejną instytucją kontrolną, która będzie czuwała nad jej wdrażaniem, jest tworzenie centralnych baz kibiców - mówił dr Wojciech Rafał Wiewiórowski. W jego ocenie, mogą one spełnić bardzo istotną rolę przy zapewnieniu bezpieczeństwa na stadionach. – Jako Generalny Inspektor Ochrony Danych Osobowych nie jestem przeciwny istnieniu centralnych baz kibiców – powiedział. – One rzeczywiście mogą spełnić bardzo istotną rolę – przede wszystkim w jednym zakresie, tzn. umożliwiając każdemu organizatorowi meczów piłkarskich dostęp do informacji o zakazach stadionowych, zarówno wydanych przez sądy czy kluby piłkarskie, jak i o zakazach zagranicznych. Natomiast musimy dbać o to, aby w centralnej bazie kibiców były przechowywane tylko te dane, które są niezbędne dla bezpieczeństwa imprez masowych – dodał.
Jak wyjaśniał, zgodnie ze zmianami, które Senat wprowadził do ustawy o bezpieczeństwie imprez masowych, w centralnej bazie kibiców będą mogły być przechowywane tylko takie dane identyfikacyjne, jak:
• imię i nazwisko,
• wizerunek twarzy,
• numer PESEL (a w razie gdy nie został on nadany – rodzaj, seria i numer dokumentu potwierdzającego tożsamość),
• numer identyfikacyjny kibica,
• informacje o podmiocie, który nadał numer identyfikacyjny.

Dodatkowo w bazie przechowywane będą dane dotyczące zakazów stadionowych. Co do zakazów wydanych przez sąd, to – zdaniem GIODO – jest to przydatne rozwiązanie. Wątpliwości budzi natomiast gromadzenie informacji o zakazach klubowych. – Czy jesteśmy pewni, że klub, wydając taki zakaz w stosunku do swojego obiektu, miał również na celu wydanie takiego zakazu w stosunku do obiektu innego klubu? – pytał dr Wojciech Rafał Wiewiórowski. Jak wskazywał, powstaje wątpliwość co do konstytucyjności tych rozwiązań, bowiem decyzja komercyjnego podmiotu, w dodatku niepoddana żadnej kontroli, ogranicza prawa obywatela na terenie całego kraju.

Rady dla kibiców

Podczas konferencji prasowej GIODO zaapelował do kibiców, by walczyli o swoją prywatność, zgłaszając przypadki naruszeń dotyczących ochrony danych osobowych.
- Chciałbym poprosić wszystkich kibiców, którzy spotkają się ze zbieraniem danych osobowych w związku z uczestnictwem w meczach piłkarskich o to, aby wykazali czujność i nie bali się pytać, na jakiej podstawie prawnej ich dane osobowe są pozyskiwane - mówił dr Wojciech Rafał Wiewiórowski.
Zachęcał, by o wszelkich naruszeniach informować albo GIODO, albo organy ścigania.

Po zakończeniu konferencji prasowej, zainteresowanym dziennikarzom GIODO udzielał indywidualnych wywiadów. Kwestie omawiane podczas konferencji były także tematem przewodnim wywiadów, których dr Wojciech Rafał Wiewiórowski udzielił także redaktorowi Rafałowi Ziemkiewiczowi z TVP INFO, redartorowi Jakubowi Majewskiemu z legionisci.com oraz redaktorowi Markowi Kacprzakowi z Polsat News.

W ten sposób dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) skomentował sprawę finansowych nadużyć, do jakich doszło m.in. z powodu wycieku danych osobowych z jednego z urzędów skarbowych.

Opisywały ją obszernie media lokalne, informując, że jedna z pracownic urzędu skarbowego wyłudzała kredyty, posługując się danymi podatników. Najprawdopodobniej nie działała jednak sama. Kto jej w tym pomagał i jak mógł wyglądać cały proceder, badają policja i prokuratura.

Z prośbą o opinię w tej sprawie do GIODO zwróciła się redaktor Martyna Pietruszka z „Panoramy” TVP. Dr Wojciech Rafał Wiewiórowski – zaznaczając, że sprawę tę zna jedynie z przekazów medialnych – wskazał, iż w każdym systemie ochrony danych osobowych zawsze najsłabszym ogniwem jest człowiek. To z powodu jego niewłaściwego sposobu postępowania może dojść do wycieku danych osobowych. Jednak zarówno w ustawie o ochronie danych osobowych, jak i w przepisach regulujących funkcjonowanie sektora finansowego i bankowego, znajdują się przepisy karne, które określają odpowiedzialność osób naruszających prawo. Stosowanie instrukcji bezpieczeństwa, a przede wszystkim wdrażanie zasad etycznych i karanie osób winnych naruszeń to, w ocenie GIODO, najskuteczniejsze metody ochrony danych osobowych.

Pytany o to, jak mają postąpić osoby, których dane wykorzystano do zaciągnięcia kredtów, GIODO powiedział: – W sytuacji, kiedy mamy do czynienia z naruszeniem tajemnicy skarbowej czy bankowej, istnieją inne instytucje, które są odpowiedzialne w tej mierze i mają większe możliwości działania. Należą do nich m.in. UOKiK czy Komisja Nadzoru Finansowego. Jednak najlepszą drogą postępowania jest poinformowanie o podejrzeniu popełnienia przestępstwa organów ścigania. GIODO może pomóc w sprawach dotyczących ochrony danych osobowych, jednak gdy trzeba zabezpieczyć dowody mogące świadczyć o popełnieniu przestępstwa, to z pewnością do prowadzenia takich działań najlepiej przygotowana jest policja.

źródło: GIODO

Kontrola GIODO rozpoczęła się w maju i miała na celu ustalenie zgodności przetwarzania danych przy użyciu urządzeń i systemów informatycznych służących do rejestracji obrazu widoku ulicy w ramach usługi Google Street View z przepisami o ochronie danych osobowych, tj. ustawą o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Poczynione w jej toku ustalenia wykazały, że doszło do uchybień. Inspektorzy GIODO stwierdzili m.in., że wbrew przepisom ustawy o ochronie danych osobowych, Google nie wyznaczył administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad związanych z właściwym zabezpieczaniem danych osobowych. Ustalili także, że kierowcom samochodów należących do Google’a, na których zamontowane zostały urządzenia służące do rejestracji obrazu widoku ulicy w ramach usługi Street View nie zostały nadane – wymagane przez prawo – upoważnienia do przetwarzania danych osobowych, a przecież mają oni dostęp do danych gromadzonych w związku z tą usługą. Widzą oni bowiem obraz kontrolny składający się z 15 obrazów w rozdzielczości umożliwiającej dokonanie oceny jakości i poprawności wykonywanych zdjęć, a ponadto są odpowiedzialni za bezpieczeństwo dysków twardych, na których zapisywane są wykonane zdjęcia. Należy zatem uznać, że kierowcy uczestniczą w procesie przetwarzania danych osobowych i dlatego administrator danych powinien nadać im upoważnienia do ich przetwarzania.

Konsekwencją tego niedociągnięcia jest kolejne uchybienie polegające na niewpisaniu kierowców do ewidencji osób upoważnionych do przetwarzania danych osobowych.

Ponadto podczas kontroli stwierdzono, że Google opracował wprawdzie politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, jednak w dokumentach tych nie został zawarty wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe oraz sposób przepływu danych pomiędzy poszczególnymi systemami.

W ocenie GIODO, opisane nieprawidłowości nie są duże.

- Oceniłbym je jako drobne, dotyczące raczej formalnej strony przygotowania do zbierania zdjęć na terenie Polski, niedotyczące ewentualnego wycieku danych czy też przekazywania danych nieuprawnionym podmiotom. Raczej chodziło o uzupełnienie formalnych procedur, które były wymagane, niż o coś, co moglibyśmy potraktować jako poważny zarzut – wyjaśnia dr Wojciech Rafał Wiewiórowski.

Mówił o tym w wywiadach udzielonych m.in. Rafałowi Lesieckiemu z Polskiej Agencji Prasowej oraz Kamilowi Szwarbule z Polskiego Radia.

źródło: GIODO

W trakcie wywiadu dr Wojciech Rafał Wiewiórowski – GIODO stwierdził m.in., iż prawo do bycia zapomnianym to bardzo ciekawa idea, która zyskuje coraz więcej zwolenników w Europie. Idea ta jest rozumiana na dwa sposoby. Po pierwsze jako prawo do tego, żeby informacja o nas nie pojawiała się w Internecie, o ile tego nie chcemy, chyba, że taki obowiązek nakładają na nas przepisy prawa. Tak jest na przykład przy publikowaniu w BIP-ie oświadczeń majątkowych osób, które są urzędnikami publicznymi.

Drugi natomiast sposób rozumienia prawa do bycia zapomnianym to sytuacja, w której zostały już udostępnione w Internecie informacje, czy to przez osobę, której dane dotyczą czy też przez inne osoby, i by nie istniały w publicznym obiegu chce się je wycofać. Usunięcie tych danych jest bardzo trudne, żeby nie powiedzieć niemożliwe, bo raz zamieszczone informacje w sieci pozostają tam na zawsze. Dlatego – radził GIODO słuchaczom Sygnałów Dnia Polskiego Radia, aby przed upublicznieniem czegokolwiek o sobie w Internecie dobrze się nad tym zastanowić.

źródło: GIODO

Nad tym, jakie udogodnienia w tym zakresie można wprowadzić, zastanawiali się uczestnicy międzynarodowego seminarium „Wiążące reguły korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne” zorganizowanego 14 czerwca 2011 r. w Warszawie przez dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Podczas konferencji prasowej, która odbyła się w przerwie tego wydarzenia (pełny jej zapis dostępny poniżej), dr Wojciech Rafał Wiewiórowski wyjaśniał, że przesyłanie danych, w tym danych osobowych, jest niezbędne przy prowadzeniu działalności gospodarczej o zasięgu międzynarodowym. Widać to szczególnie w przypadku dużych korporacji, które często korzystają z usług centrów przetwarzania danych zlokalizowanych np. w Indiach czy RPA, gdzie gromadzą dane wszystkich swoich klientów lub pracowników. Z punktu widzenia ochrony danych osobowych, taka sytuacja może zagrażać pełnej kontroli nad tym, kto ma dostęp do danych i w jaki sposób są one zabezpieczone.

Jednym ze sposobów umożliwiających bezpieczny transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) jest zastosowanie tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rulet, BCR). Reguły te, przyjmowane przez korporacje i akceptowane przez organy ochrony danych, umożliwiają potraktowanie korporacji jako bezpiecznego obszaru przetwarzania, w którym dane osobowe chronione są na poziomie wymaganym przez Unię Europejską.

Zaletą BCR jest możliwość ich narzucenia przez spółkę-matkę pozostałym spółkom z grupy kapitałowej, co gwarantuje jednolity, wysoki poziom ochrony, ale też usprawnia proces jej wdrażania.

Są już korporacje, które opracowują i wdrażają wiążące reguły korporacyjne. W pewnym stopniu ułatwiają one rzecznikom ochrony danych osobowych wydawanie decyzji zezwalających na transfer danych do państwa trzeciego. Jednak żeby w Polsce można było wydać decyzję opartą o wiążące reguły korporacyjne, to polski generalny inspektor ochrony danych osobowych musi uczestniczyć przynajmniej w procedurze ich uznawania, a czasami nawet w ich tworzeniu.

- Obecnie, jeśli wiążące reguły korporacyjne zostaną uznane nawet przez kilkunastu inspektorów ochrony danych osobowych z krajów UE, przekazanie danych z Polski wymaga decyzji polskiego GIODO. To rozwiązanie mało praktyczne dla firmy, która musi powtarzać tę samą operację w 27 krajach członkowskich. Pamiętajmy też, że GIODO musi przeprowadzić tę samą procedurę, jaka została przeprowadzona w innych krajach na podstawie tych samych przepisów – mówił dr Wojciech Rafał Wiewiórowski. Wskazywał, że w przyszłości można byłoby z takiego obowiązku zrezygnować, jeżeli wiążące reguły korporacyjne zostałyby uznane za wystarczające przez co najmniej trzech innych inspektorów ochrony danych osobowych z państw UE.

- Rozwój idei BCR jest, z jednej strony, wyjściem naprzeciw biznesowi, który chciałby, aby istniał rzeczywiście wolny rynek przekazywania danych osobowych do bezpiecznych centów przetwarzania i jednocześnie chciałaby oderwać się od konieczności każdorazowego uzyskiwania decyzji organów ochrony danych osobowych o możliwości przekazania jakiegoś zestawu danych osobowych do kraju trzeciego. Z drugiej zaś strony jest o tyle interesujący dla samych organów ochrony danych osobowych, że umożliwia zastosowanie tych rozwiązań, które Unia Europejska uznaje za bezpieczne, również w krajach, które znajdują się poza Europą – mówił dr Wojciech Rafał Wiewiórowski.

Jego zdaniem, wiążące reguły korporacyjne mogą być również odpowiedzią na wyzwania techniczne związane ochroną danych osobowych, m.in. przetwarzanych w tzw. chmurach. Wystarczyłoby, aby dostarczyciel chmury stworzył takie wiążące reguły korporacyjne dla siebie. wówczas przestaje mieć znaczenie to, gdzie znajduje się centrum przetwarzania danych. – Jeżeli będą tam stosowane zasady ochrony danych osobowych takie, jakie uznalibyśmy za wystarczające dla Unii Europejskiej, to wówczas takie przekazanie będzie się mogło odbywać. Tym samym więc rozwiązanie o charakterze prawnym i organizacyjnym, rozwiąże również problem techniczny – wyjaśniał.

Podczas spotkania z dziennikarzami GIODO przekazał również informacje o konkursie na esej poświęcony „Zastosowaniu przepisów o ochronie danych osobowych w celu stworzenia portalu społecznościowego do wymiany informacji między kibicami piłki nożnej”. Uroczyste wręczenie nagród jego laureatom miało miejsce podczas seminarium „Wiążące reguły korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne”.

Patronat medialny nad tym seminarium sprawowali: Informacyjna Agencja Radiowa, TV Biznes oraz „Computerworld”.

źródło: GIODO

Jego efektem jest m.in. opracowanie modelowych scenariuszy lekcji. Równie cenne są też doświadczenia zdobyte w czasie trwania tego projektu. Ponadto dzięki jego realizacji przeszkolono grupę nauczycieli – trenerów, którzy teraz swoją wiedzą mogą się dzielić z innymi.

- Realizowany przez Gliwicki Ośrodek Metodyczny program to świetna inicjatywa pozwalająca podnosić świadomość u tych, którzy na co dzień mają do czynienia z przetwarzaniem danych osobowych i z ochroną prywatności. I to nie tylko w stosunkach szkolnych w znaczeniu przetwarzania danych, które wykorzystują szkoły, ale także w sytuacjach przekazywania swoich danych osobowych za pośrednictwem Internetu czy innych metod elektronicznej wymiany danych – mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych podczas spotkania z mediami zorganizowanego 2 czerwca 2011 r. w związku z odbywającą się tego dnia w Biurze GIODO ogólnopolską konferencją dotyczącą przetwarzania danych osobowych w szkołach, w tym upowszechniającą efekty programu „Twoje dane – twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniów i nauczycieli”.

Spotkanie z mediami było też okazją do omówienia stanowiska GIODO w sprawie nowego systemu informacji oświatowej. Po jego zakończeniu zainteresowanym dziennikarzom indywidualnych wywiadów udzielał nie tylko dr Wojciech Rafał Wiewiórowski, ale także Katarzyna Hall, minister edukacji narodowej, która była gościem organizowanej przez GIODO konferencji.

Poniżej dostępny jest zapis dźwiękowy z konferencji prasowej dra Wojciecha Rafała Wiewiórowskiego.

źródło: GIODO

Gdy przedsiębiorca, z którym zawieramy umowę przez Internet, nie umożliwia nam swobodnego wyrażenia zgody na przetwarzanie naszych danych osobowych w celach marketingowych, lepiej zrezygnować z jego usług. Zwłaszcza gdy mamy możliwość wyboru dostawcy towaru czy usługi na konkurencyjnym rynku.

Warto też pamiętać, że od 7 marca 2011 r. – o czym dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił podczas rozmowy z redaktor Beatą Piechowską-Olszewską z TV Biznes – zgodę na wykorzystywanie naszych danych osobowych w celach marketingowych w każdej chwili możemy odwołać.

W czasie rozmowy GIODO przedstawił też wyniki kontroli w GUS dotyczącej zgodności przetwarzania danych osobowych na potrzeby przeprowadzenia narodowego spisu powszechnego ludności i mieszkań w 2011 r. z przepisami ustawy o ochronie danych osobowych, a także wyjaśnił, na czym polega tzw. profilowanie osób i jakie zasady należy przy tym stosować.

źródło: GIODO

Przepisy ustawy o zbiorowym zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków nie regulują szczegółowo zasad zawierania umów na dostawę wody i odbiór ścieków, w tym nie precyzują zakresu danych osobowych, jakie powinny się w nich znaleźć. Zatem oceny zakresu danych osobowych, jakich na te potrzeby może od nas żądać przedsiębiorstwo wodociągowo-kanalizacyjne, należy dokonywać z uwzględnieniem zasad zawartych w ustawie o ochronie danych osobowych, zwłaszcza zaś zasady adekwatności. Adekwatność przetwarzania danych oznacza, że administrator danych powinien pozyskiwać i wykorzystywać tylko te dane, które są niezbędne (konieczne) dla realizacji określonego celu, czyli bez których ten cel nie zostałby osiągnięty.

Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) omówił tę kwestię podczas rozmowy z redaktorem Damianem Kwiekiem z Programu III Polskiego Radia.

źródło: GIODO

Generalny Inspektor Ochrony Danych Osobowych (GIODO) między 13-15 kwietnia oraz 18-22 kwietnia 2011 r. przeprowadził w Głównym Urzędzie Statystycznym (GUS) kontrolę dotyczącą zgodności przetwarzania danych osobowych na potrzeby realizacji narodowego spisu powszechnego ludności i mieszkań w 2011 r.

W jej toku ustalono, że generalnie GUS zastosował niezbędne środki techniczne i organizacyjne mające na celu zabezpieczenie danych osobowych. W poprawny sposób opracowano politykę bezpieczeństwa, wyznaczono administratora bezpieczeństwa informacji i zarządzano upoważnieniami osób mającymi dostęp do przetwarzania danych osobowych.

- Pewne zdziwienie ze strony Generalnego Inspektora Ochrony Danych Osobowych wywołały kwestie zabezpieczenia danych przed włamaniami i zapobiegania tym włamaniom. W tym zakresie stwierdziliśmy, że nie zostały wdrożone uznane za normalne i naturalne systemy zapobiegania atakom, takie jak IPS/IDS (Instrusion Prevention System/ Instrusion Detection System). Z uwagi na zakres przetwarzanych danych, które były wykorzystywane przez GUS, wydawałoby się, że niezbędne jest zastosowanie wszelkich środków zmniejszających ryzyko nieautoryzowanego dostępu do danych – mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych podczas konferencji prasowej zorganizowanej w Warszawie 30 maja 2011 r.

Jak dodał, nie ma informacji, aby ktokolwiek próbował dokonać włamania lub ataku i aby brak takiego systemu negatywnie wpłynął na sam sposób zbierania i przetwarzania danych, w tym na ich bezpieczeństwo.

Analizie poddano także kwestię sposobu uwierzytelniania osób, które wzięły udział w samopisie, czyli samodzielnie wypełniły ankietę spisową dostępną w Internecie. Z informacji GUS wynika, że przy opracowywaniu systemu uwierzytelniania na potrzeby samopisu pod uwagę brano, z jednej strony, ryzyko dostania się danych osobowych w ręce osób nieuprawnionych, a z drugiej jego „przyjazność”. – Kwestia przyjazności metody uwierzytelniania przeważyła nad względami, które potraktowałbym jako taką pryncypialną ochronę danych osobowych – wyjaśniał dr Wojciech Rafał Wiewiórowski. Jak mówił, wypełnienie formularza spisowego za inną osobę było możliwe jedynie w przypadku, gdy w źródłach uznanych za powszechnie dostępne znajduje się dość duża liczba informacji o takiej osobie. GIODO podkreślał jednak, że zastosowany sposób uwierzytelniania osób spisujących się przez Internet budzi jego zastrzeżenia. – Mogą mieć bowiem miejsce sytuacje, gdy bezprawne działania osób trzecich będą prowadziły do ujawnienia danych osobowych w zakresie adresu zamieszkania lub zameldowania – mówił dr Wojciech Rafał Wiewiórowski. Wskazywał też, że przy spisie reprezentacyjnym, po potwierdzeniu adresu, podawane są dane (imiona i nazwiska) osób przyporządkowanych do danego adresu, co rodzi niebezpieczeństwo ujawnienia danych osobowych.

- Jeżeli chodzi o kwestię ujawnienia danych osobowych osób fizycznych uznajemy, że jest to zastrzeżenie dość istotne, aczkolwiek w żaden sposób nie skłaniające Generalnego Inspektora do podjęcia działań, takich jak zatrzymanie procesu spisowego bądź przekazanie informacji dotyczącej nieuprawnionego udostępnienia danych, co stanowiłoby przestępstwo w rozumieniu ustawy o ochronie danych osobowych – dodał mówił dr Wojciech Rafał Wiewiórowski.

GIODO poinformował, że przekazał swoje zastrzeżenia prezesowi GUS i oczekuje informacji o tym, jakie działania zostały podjęte w celu usunięcia stwierdzonych uchybień.

źródło: GIODO

Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przypomniał o tym podczas wywiadu, jakiego udzielił redaktorowi Piotrowi Gnypowi z portalu gazeta.pl w związku z sygnałami o wycieku danych użytkowników sieci PlayStation Network należącej do firmy Sony.

Z doniesień medialnych wynika, że z firmy Sony wyciekły dane 77 mln użytkowników sieci PlayStation Network na całym świecie.

Za pomocą konsoli PlayStation 3 użytkownicy grają w gry, oglądają filmy na Blu-ray. Natomiast robiąc zakupy w sklepie PlayStation, podawali numer karty kredytowej. Ci, którzy chcieli grać w sieci z innymi - musieli się zalogować do specjalnej usługi - PlayStation Network, a więc podać swoje dane osobowe i adres e-mail. I właśnie te dane - dane osobowe i prawdopodobnie numery kart kredytowych - straciło Sony. Media szacują, że w Polsce poszkodowanych może być 375 tys. użytkowników.

GIODO przestrzega, że osoby korzystające z tego typu usług i przekazujące ich dostawcom swoje dane osobowe, robią to poniekąd na własne ryzyko. Radzi, by w przypadku zauważenia podejrzanych transakcji finansowych na własnym koncie skontaktować się z policją, a w przypadku naruszenia praw konsumenckich z UOKiK. Natomiast w razie jakichkolwiek innych wątpliwości dotyczących ochrony danych osobowych z prośbą o pomoc można zwrócić się do GIODO. Dla zminimalizowania zagrożeń w tym zakresie warto, by użytkownicy sieci PlayStation Network, zmienili swoje hasła dostępu, zwłaszcza do kont bankowych.

W związku z tym, iż do zdarzenia doszło poza terenem Polski, a serwery firmy Sony są zlokalizowane poza Unią Europejską, możliwość podjęcia działań przez GIODO, w tym wydania decyzji administracyjnej, jest w znacznym stopniu ograniczona.

źródło: GIODO