Z satysfakcją odnotowałem, że na stronie Urzędu Ochrony Danych Osobowych pojawiła się jakiś czas temu zakładka dotycząca decyzji tego organu. Zapowiadało to rozpoczęcie nowego etapu w prawie ochrony danych osobowych, bo przejdziemy z etapu dysput akademickich do rzeczowych decyzji administracyjnych, które w niedługiej perspektywie zawisną na wokandach sądów administracyjnych.

Stali czytelnicy bloga wiedzą doskonale, że w Urzędzie Ochrony Danych Osobowych świetnie działał proces udzielania odpowiedzi na wnioski o dostęp do informacji publicznej, czego efektem była możliwość opisania decyzji Prezesa UODO w zakresie – legalność przetwarzania danych publicznie dostępnych. I jak się okazało bardzo szybko decyzja ta była konfrontowana z pierwszą decyzją nakładająca prawie milionową karę na podmiot, który w trochę innym zakresie przetwarzał dane osobowe.

Wracając do zakładki na stronie UODO warto wskazać, że możemy się obecnie zapoznać z 18 decyzjami administracyjnym, których kryterium publikowania odnajdziemy w art. 73 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych:

W związku z powyższym warto zapoznać się ze wszystkim decyzjami Prezesa UODO. Nie są one rozległe, co zasługuje na pochwałę, gdyż inne organy państwowe lubują się w wygrywaniu konkursów na długość, a nie na jakość.

Kolejność omówienia decyzji została podyktowana kolejnością ich zamieszczenia na stronie UODO, a opracowanie podzieliłem na następujące zagadnienia:

• sygnatura/data wydania
• krótki opis stanu faktycznego
• rozstrzygnięcie Prezesa UODO
• uzasadnienie rozstrzygnięcia
• podstawa z RODO

Poniżej podgląd na pierwsze dwa omówienia:

I nie przedłużając momentu wskazania linku do całego opracowania wskażę tylko trzy decyzje, które w mojej ocenie niosą za sobą konkretne i praktyczne działania po stronie administratora/podmiotu przetwarzającego, a także Inspektora Ochrony Danych:

1. decyzja numer ZWAD.405.85.2018 z dnia 11.03.2019 r. w przedmiocie art. 34 RODO i tego jakie skutki może mieć naruszenie ochrony danych osobowych polegające na błędnym przesłaniu bardzo szerokiego katalogu danych osobowych – w poniższym opracowaniu ma numer 6;
2. decyzja numer ZSZZS.440.658.2018 z dnia 19.02.2019 r. w przedmiocie art. 6 ust. 1 lit. f – „Lex  Chomiczewski” – gdyż wskazano w decyzji, że spółka w prawnie uzasadnionym interesie ma prawo  przetwarzać adres e-mail składający się z danych osobowych byłego wiceprezesa tejże spółki – w poniższym opracowaniu ma numer 7;
3. decyzja numer ZSPR.440.854.2018 z dnia 21.12.2018 r. w przedmiocie art. 6 ust. 1 lit. c – gdzie    pochylono się nad zagadnieniem posiadania przez administratora dowodu na to, że osoba, której    dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody – w poniższym    opracowaniu ma numer 9.

Opracowanie znajduje się poniżej i w miarę publikowania nowych decyzji, będzie aktualizowane.

AKTUALIZACJA  – 22.04.2019 r.

Nie spodziewałem się, że tak szybko pojawi się powód aktualizacji opracowania. Jednak już 6 kwietnia 2019 r. opublikowano 19. decyzję Prezesa UODO i to ciekawą, bo w zakresie kontroli sposobu prowadzenia i zabezpieczenia rejestru mieszkańców. Postępowanie administracyjne dotyczyło kwestii prawidłowego wskazania wszystkich odbiorców danych osobowych obywateli i to zarówno w obowiązku informacyjnym jak i rejestrze czynności przetwarzania.

AKTUALIZACJA  – 06.05.2019 r.

Na stronie UODO opublikowano już 60 decyzji, więc zapraszam do lektury opracowania, które można pobrać w całości na końcu wpisu, tutaj wskaże te decyzję, które w tym rozdaniu dość ciekawe:

1. decyzja ZSPU.440.636.2018 z dnia 16.04.2019 (numer 20 w omówieniu), w której stwierdzono naruszenie zasady legalności wyrażonej w art. 5 ust. 1 lit. 1 RODO jednakże z powodu jednorazowego działania, której obecnie nie jest kontynuowane, Prezes UODO odmówił uwzględniania wniosku Skarżącego:

 

2. decyzja ZSPU.440.131.2018 z dnia 16.04.2019 (numer 21 w omówieniu), w której stwierdzono, że „w sytuacji przekazania danych na rzecz pełnomocnika reprezentującego interesy mocodawcy mamy do czynienia z przetwarzaniem danych przez pełnomocnika działającego w imieniu administratora danych osobowych, w granicach przyznanego mu umocowania i nie we własnych celach, lecz dla realizacji celów administratora danych. Działanie radcy prawnego znajduje również swe oparcie w art. 29 RODO, zgodnie z którym podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego”.

Nadto słusznie podkreślono wewnętrzny charakter dokumentacji ochrony danych osobowych:

3. decyzja ZWAD.405.158.2018 z dnia 23.01.2019 r. (numer 24 w omówieniu), która jako jedna z nielicznych zakończyła się nakazaniem konkretnego działania administratorowi. W tym przypadku administrator musi „ponowne zawiadomić osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej wszystkich informacji wymaganych zgodnie  z art. 34 ust. 2 RODO”:

 

4. decyzja ZSPR.440.631.2018 z dnia 4.01.2019 (numer 25 w omówieniu) będzie na pewno przedmiotem szerszego zainteresowania, bo dotyczy prowadzenia internetowych giełd wierzytelności (nawet tych, w których termin przedawnienia minął) i wskazania przez Prezesa UODO podstawy w art. 6 ust. 1 lit. c i f w zakresie przetwarzania takich danych osobowych. Temat ciekawy ze względu na już obowiązujące zmiany w ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2019 r. poz. 681) – art. 105 ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

 

 

Klikając, w poniższą okładkę, można pobrać aktualne opracowanie Decyzji Prezesa Urzędu Ochrony Danych Osobowych: