Dane wrażliwe

Zbieranie danych nieadekwatnych do celu

W toku jednej z kontroli przeprowadzonych przez GIODO stwierdzono, że wśród danych pozyskiwanych od użytkowników portalu były m.in. numer PESEL oraz informacja o niepełnosprawności. Kontrola wykazała, iż przedsiębiorca pozyskuje od użytkowników portalu internetowego, którzy nie dokonali w sklepie internetowym tego portalu zakupu produktu podlegającego refundacji przez Narodowy Fundusz Zdrowia, dane osobowe w zakresie numeru PESEL, w celu ewentualnego wykorzystania w przypadku, gdyby użytkownik dokonał zakupu. Generalny Inspektor uznał, iż skoro informacja dotycząca numeru PESEL była pozyskiwana na wypadek, gdyby użytkownik dokonał ww. zakupu – co może nigdy nie nastąpić – to należy uznać, iż jest zbierana niejako „na zapas”, co narusza zasadę związania celem, o której mowa w art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Przetwarzanie danych wrażliwych bez zgody osoby, której dotyczą

Informacja o niepełnosprawności była zaś pozyskiwana od użytkowników, o których mowa powyżej, bez zgody tych osób wyrażonej na piśmie, a więc administrator danych nie legitymował się podstawą prawną przetwarzania danych tych osób wynikającą z art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych.

W związku ze stwierdzonymi u przedsiębiorcy uchybieniami w procesie przetwarzania danych osobowych, zostało wszczęte postępowanie administracyjne. W toku prowadzonego postępowania przedsiębiorca usunął ww. uchybienia i z tego względu postępowanie zostało umorzone.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2013.

Dane o stanie zdrowia

Szpitale, rzadko kto je lubi, ale w tej sprawie intencja była dobra. Byłe pacjentki Izby Porodowej jednego z wojewódzkich szpitali specjalistycznych skarżyły się, że ich dane, jak imię, nazwisko, wiek, rodzaj schorzeń, przebieg leczenia i wykonane procedury medyczne, zostały udostępnione podczas spotkania u burmistrza miasta poświęconego nieprawidłowościom w funkcjonowaniu tej placówki. W przedmiotowej sprawie dyrektor szpitala – za pośrednictwem burmistrza miasta – udostępnił dane osobowe pacjentek dyrektorowi Miejskiego Zespołu Opieki Zdrowotnej.

Intencje dobre ale prawo zabrania

Wobec braku podstaw prawnych takiego udostępniania, GIODO wystąpił do dyrektora szpitala o podjęcie stosowanych działań celem wyeliminowania tego rodzaju praktyk w przyszłości. W sprawie tej GIODO interweniował dwukrotnie. Organ wskazał, że w pełni rozumie intencję dyrektora szpitala i podziela pogląd o konieczności eliminowania wszelkich zaniedbań i nieprawidłowości w procesie udzielania świadczeń medycznych. Jednak przetwarzanie danych osobowych pacjentów nie może odbywać się z naruszeniem ustawy o ochronie danych osobowych.

Dlatego nawet w takich sytuacjach, kiedy nasze dane są potrzebne do celów statystycznych czy nawet poprawy służby zdrowia, musimy pamiętać, że mimo wszystko taka działalność nie może naruszać przepisów ustawy.

Aby zapoznać się z przepisami przejdź do naszej podstrony Ustawy i rozporządzenia.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2009.

Dalsze analizy przypadków dotyczące danych wrażliwych już wkrótce!

Czy wypełniając ankietę można stwierdzić nałóg?

Jeden z producentów alkoholi zgłosił zbiór danych swoich klientów, w którym, jak wynikało ze zgłoszenia, gromadził dane ujawniające nałogi konsumentów. Przyjął on bowiem, że informacja o częstotliwości picia whisky pozyskana do zbioru za pomocą ankiety, świadczy o nałogu konkretnej osoby. Osoba wypełniająca przedmiotową ankietę informowała o częstotliwości spożycia alkoholu przez zaznaczenie jednej z możliwych odpowiedzi: „raz na tydzień”, „raz na miesiąc”, „okazjonalnie”, „nie piję” oraz wskazywała swoje preferencje na temat marki kupowanych alkoholi. Dane te w żaden sposób nie świadczą o nałogu alkoholowym osoby, której informacje te dotyczą. Zatem w przedmiotowym zbiorze nie są przetwarzane dane o nałogach. Zbiór ten został zarejestrowany.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2006.

Podanie orzeczenia do wiadomości publicznej

Do GIODO wystąpił z zapytaniem dziennikarz „Życia Warszawy” o legalność ujawnienia na łamach prasy imienia i nazwiska osób ukaranych za kierowanie pojazdem pod wpływem alkoholu. Dokonując analizy powyższego zagadnienia pod kątem zgodności z przepisami ustawy o ochronie danych osobowych Generalny Inspektor wskazał na art. 50 Kodeksu karnego, uprawniający sąd do orzeczenia w wypadkach przewidzianych w ustawie podania wyroku do wiadomości publicznej w określony przez siebie sposób.

Ponadto wskazał również na treść art. 31 § 1 Kodeksu wykroczeń, który stanowi, iż podanie orzeczenia o ukaraniu do wiadomości publicznej w szczególny sposób orzeka się wtedy, gdy może mieć to znaczenie wychowawcze. Z § 2 wskazanego przepisu określającego sposób ogłoszenia wynika swoista dowolność formy podania orzeczenia do wiadomości publicznej. Wobec powyższego o podaniu wyroku do wiadomości publicznej, jak również o sposobie jego upublicznienia orzeka sąd powszechny, gdy przepis prawa tak stanowi. Zatem ujawnienie w prasie imienia i nazwiska osób ukaranych za kierowanie pojazdem pod wpływem alkoholu będzie zgodne z ustawą o ochronie danych osobowych, gdy będzie miało na celu wykonanie orzeczenia sądu w konkretnej sprawie.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2004.

Czy szkoła wyższa może żądać od studenta danych o jego stanie zdrowia?

Pytanie dotyczyło sytuacji, w której uczelnia zażądała dokumentów z informacją stwierdzającą u studenta schorzenie na podstawie § 1 rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 18 września 1998 r. w sprawie rodzajów schorzeń uzasadniających obniżenie wskaźnika zatrudnienia osób niepełnosprawnych oraz sposobu jego obniżania (Dz. U. Nr 124, poz. 820 ze zm.). GIODO  po dokonaniu analizy przepisów stwierdził, że uczelnia jest upoważniona do uzyskania tego typu informacji.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2004.