13:35
24/7/2019

Jeśli skarżysz się UODO na przetwarzanie danych w jakiejś firmie to Twój PESEL może zostać przekazany tej firmie. To zła wiadomość, ale jest też dobra. Od Ciebie zależy jak będzie ostatecznie.

UODO “wyciekł” PESEL “zgodnie z prawem”

Kilka dni temu napisał do nas Kacper (imię zmienione), który dopatrzył się uchybień w przetwarzaniu danych osobowych przez… Urząd Ochrony Danych Osobowych (UODO). To musiało nas zainteresować :).

Kacper pracuje w pewnej firmie. Ktoś poskarżył się do UODO na działania tej firmy. Ruszyło postępowanie i firma otrzymała kopię skargi, a w niej dane osobowe skarżącego włącznie z numerem PESEL, prywatnym numerem telefonu i prywatnym e-mailem. W praktyce wyglądało to tak jak na obrazku, który dostaliśmy od Kacpra.

Domyśliliśmy się od razu dlaczego tak się stało i rozumiemy zaskoczenie Kacpra. Kilka innych osób kontaktowało się z nami w podobnych sprawach. Wszyscy byli zdziwieni tym, że UODO de facto powiększył zestaw informacji jaki firma miała o danej osobie.

Nie. Nie naruszono prawa

Zanim szczegółowo to wyjaśnimy, udzielimy wam odpowiedzi na trzy pytania, które z pewnością już sobie zadaliście.

  1. Nie. Urząd nie złamał prawa i nie zrobił żadnego błędu.
  2. Owszem, przekazanie numeru PESEL nie jest komfortowe, ale…
  3. sama osoba składająca skargę zgodziła się na przekazanie jej numeru PESEL. Nie wiemy tylko, czy zgodziła się świadomie.

Ogarnęliśmy podstawy. Możemy się wgryźć w teoretyczne szczegóły.

Jeśli złożysz skargę do UODO to uruchamiasz postępowanie administracyjne. To postępowanie wymaga, aby obie strony mogły się wypowiedzieć. W tym miejscu oddamy “głos” Adamowi Sanockiemu, rzecznikowi Urzędu Ochrony Danych Osobowych, który skomentował dla nas tę sprawę.

Organ, wszczynając postępowanie, jednocześnie zwraca się o ustosunkowanie się do treści skargi oraz złożenie wyjaśnień w oparciu o zadane przez organ pytania odnoszące się do stanu faktycznego wskazanego w skardze. W tym celu przesyła wskazanemu w skardze podmiotowi kserokopię skargi, umożliwiając tym samym niezbędną identyfikację osoby, której dane dotyczą. Zakres danych, którymi dysponuje organ jest uzależniony od tego, jakie dane zostały wskazane w skardze przez osobę ją składającą. Przy czym skarga powinna odpowiadać wymaganiom określonym w art. 63 § 2 Kpa, czyli zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie oraz czynić zadość innym wymaganiom ustalonym w przepisach szczególnych. Ponadto strony postępowania mogą, zgodnie z art. 73 Kpa, zapoznać się z aktami sprawy na każdym etapie postępowania, sporządzać z nich notatki, kopie lub odpisy, co także umożliwia podmiotowi, którego dotyczy skarga, wgląd w dane znajdujące się w aktach.

Wspomniane przez rzecznika “wskazanie osoby” nie wymaga podawania PESEL-u.

PESEL mógł być podany nieświadomie

Skargę do UODO możecie złożyć w formie pisemnej lub elektronicznej. W formie pisemnej po prostu nie wpisujcie PESEL-u i wszystko będzie dobrze. Przy formie elektronicznej trzeba bardziej uważać.

Formularz znajduje się na stronie obywatel.gov.pl. Jeśli będziecie przesyłać skargę przy pomocy tego portalu to w formularzu automatycznie uzupełni się pole na PESEL. Jeśli przyjrzycie się formularzowi to zauważycie, że podawanie PESEL-u nie jest obowiązkowe (nie ma czerwonej gwiazdki).

PESEL można skasować. Kasuj swój PESEL! Bądź jak Marcin

Jeśli usuniemy PESEL z formularza to nie pojawi się on w ostatecznym dokumencie skargi.

Podobnie możecie zrobić z numerem telefonu czy e-mailem. Po prostu skasujcie, ale UWAGA. Jeśli składacie kilka skarg, albo wracacie do tego formularza po pewnym czasie to PESEL i inne dane musicie jeszcze raz skasować. Standardowe uroki “przemyślanych” rządowych systemów.

Zauważcie, że podanie wnoszone elektronicznie nie musi zawierać adresu zamieszkania. Musi ono zawierać “adres elektroniczny wnoszącego podanie”, ale tym adresem będzie wasza skrzynka ePUAP (nie chodzi tu o prywatny e-mail).

Rzecznik prasowy UODO dla porządku przypomniał nam o jeszcze jednej rzeczy.

Niezależnie od tego jaki zakres informacji zostanie przekazany administratorowi – dla potrzeb postępowania administracyjnego zainicjowanego skargą – ma on obowiązek właściwie zabezpieczyć dane skarżącego przed dostępem do nich osób nieupoważnionych, wyznaczając do przetwarzania danych osobę do tego upoważnioną. Zatem dane skarżącego nie mogą być udostępniane osobom trzecim.

Czyli możecie mieć nadzieję, że nawet skarga z PESEL-em nie będzie przedmiotem nadużyć, ale też czy możecie ufać firmie, na którą składacie skargę? My byśmy nie ufali.

Co robić? Jak żyć?

Składaj skargi do UODO kiedy dusza zapragnie. Pamiętaj jednak, że to Ty musisz usunąć PESEL z formularza, aby nie udostępnić go firmie, której prawdopodobnie i tak nie ufasz. Byłoby fajnie, gdyby w projektowaniu rządowych e-usług przyjęto zasadę, że automatycznie uzupełniane są tylko pola obowiązkowe. Obecnie to tak nie działa.

Przy okazji przypominamy wam, byście starannie pisali skargi i nie zapominali o takich szczegółach jak podpisy czy żądania skargi. Obecnie UODO ma sporo dodatkowej pracy przy uzupełnianiu tych braków.

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. RODO to jedna z form bandytyzmu, ściągania haraczu z strony unii europejskiej na socjal. Nawet jeżeli google dostanie miliard złotych kary to sobie nic z tego nie zrobi bo całość strat odbije sobie podnosząc ceny usług klientom.

    • Według mnie jeżeli googlowi wyciekną dane to ci klienci w zamian rekompensaty powinni dostać kilkuletni darmowy dostęp do usługi. Wtedy nie dochodziło by do takich absurdów, że UE wprowadza tylko po to przepisy prawa, żeby okraść OBYWATELI.

    • Czyli wolałbyś żeby Twoje dane latały luzem po sieci? I żeby firmy w sposób niekontrolowany mogły nimi między sobą handlować?
      I żebyś nie miał żadnych praw, nie mógł się nawet dowiedzieć jakie dane i w jakim celu firma zbiera o Tobie?

    • Rodo to gniot, nic tak bardzo nie namieszało w głowach i nie utrudniło korzystania z sieci jak ta beznadziejna dyrektywa. Jako zwykły użytkownik całkowicie nie odczułem korzyści wynikające z tego badziewia. Jestem za bezwzględnym wycofaniem tego dziadostwa, włącznie z popupami o obowiązku informacyjnym i ciasteczkami.

    • Artur 2019.07.25 08:48
      Była ustawa o ochronie danych osobowych. Co mi da, że firma zostanie ukarana w sytuacji, gdy doszło do wycieku moich danych osobowych? Te dane nadal będą krążyć w sieci. Już nigdy, nie odzyskam prywatności.

      ps.
      RODO to fikcja. Telemarketerzy nadal do mnie dzwonią.

  2. RODO to tylko teoria. Kosztowne utrudnienie dla firm działających lege artis i żadna przeszkoda dla spamerów wydzwaniających z ofertami “Natural SPA” itp. Pytanie o o dane administratora danych sprawia, że się rozłączają i nawet nie wiadomo na kogo złożyć skargę, bo oczywiście firma o takiej nazwie nie istnieje.

    • Otóż to. W ten sposób szara strefa zeszła do podziemia, stając się czarną strefą i mając w nosie jakiekolwiek przepisy. Za to podmioty chcące działać legalnie mają trudniej, co też może spowodować, że część z nich oleje “ochronę” i również zejdzie do podziemia.
      W efekcie mamy tylko większą polaryzację rynku bez żadnego zysku dla osoby prywatnej.

  3. Przepraszam bardzo ale pomimo wysłania wnioaku przez ePUAP UODO domaga sie w korespondencji zwrotenj adresu do korespondecji pod rygorem nierozpatrzenia wniosku wiec nie jest tak jak w artykule napisano. Mogę podesłać wniosek i odmowę jeśli ktoś nie wierzy

  4. No ale czy RODO nie wymaga aby zgoda była udzielona świadomie (a nie domyślna)?
    Tylko, czy RODO dotyczy UODO?

    • niestety, tu obowiązuje zasada “co wolno wojewodzie to nie tobie smrodzie”.

  5. “Pamiętaj jednak, że to Ty musisz usunąć PESEL z formularza” – żartujecie chyba.
    To właściciele systemu powinni tak go zmienić, by pole PESEL nie był automatycznie uzupełniane.

    • Nie, nie, nie i jeszcze raz nie! Pole ma szanować to, co użytkownik ustawił w opcjach autouzupełniania przeglądarki. Nie wolno psuć standardów Internetu tylko dlatego, że ktoś nie potrafi ich używać.

  6. Wydaje mi się, że w tekście jest mała nieścisłość – skargę składa się przez biznes.gov.pl, a nie przez obywatel.gov.pl. W każdym razie link do tego portalu jest na stronie UODO. Fakt, że formularz wygląda odrobinę inaczej niż w treści artykułu. Ale nr PESEL też nie jest wprowadzany automatycznie.
    Nie wiem z czego Autor wnioskuje, że pole PESEL uzupełnia się automatycznie, na zdjęciu w treści nie jest wypełnione. Chyba, że autor go usunął lub wartość dodaje się po zatwierdzeniu formularza…

    W rzeczywistości jednak istotniejsze jest, że w RODO jest coś takiego, jak zasada domyślnej ochrony danych. Jedną z jej mniej istotnych ale bardziej znanych cech jest to, że właśnie w takiej sytuacji system nie powinien automatycznie wprowadzać żadnych danych, które nie są niezbędne.
    Poza tym, wgląd w akta i umożliwienie zapoznania nie oznacza wysłania kopii wszystkich danych…

    • Gdy ja składałam skargę to również było przez obywatel.gov.pl. Link był na stronie UODO.

    • Odnośnie PESELu na obrazku to oczywiście że go usunął. Miał pokazać swój PESEL publicznie???

  7. Niedawno korzystałem z tego serwisu (obywatel.gov.pl). Bardziej nieintuicyjnego, nielogicznego systemu chyba w życiu nie widziałem.

    • A co w nim nieintuicyjnego? Możesz wpisać w linie wyszukiwania czego oczekujesz, albo poczytać wyodrębnione tematy spraw. Szkoda tylko, że interfejs nie zgaduje czego oczekuję od strony oferowanej przez goverment :-) Ale czego wymagać. Komputer za wróżkę to jeszcze jakiś czas robić nie będzie

  8. Privacy by design się kłania, ale co tam takie drobnostki organu nadzorczemu wytykać

    • W Polsce nie ma i boję się, że jeszcze bardzo długo nie będzie privacy by design. Przyczyny można wymieniać długo. Na przykład:

      – wykorzystywana do dziś ewidencja ludności jest dziełem Służby Bezpieczeństwa i działa na zasadzie “surveillance by design” – niezmienalny numer PESEL nawet w razie wycieku całej bazy, przechowywanie wieczyście wszystkich poprzednich adresów stałego zameldowania, itd., oparcie wszystkich systemów o ten unikalny numer, itd.

      – polskie sądy sobie swego czasu dowolnie bazę PESEL kopiowały (dla wygody korzystania) jako tzw. PESEL-SĄD – bez podstawy prawnej, bez audytów i bez zabezpieczeń – warto by swoją drogą zbadać w ilu kopiach i dokąd trafić zdążyła,

      – cyfryzacja w naszym kraju polega na przenoszeniu do komputerów procesów z definicji analogowych; zamiast ograniczania zbieranych danych,

      – planowana pełna integracja systemów wymianiejących dane – zgodnie z idiotyczną koncepcją skądinąd pracowitej i przebojowej min. Streżyńskiej – “dla wygody obywatela”. Niestety, oprócz wątpliwej wygody “samouzupełniającego się PESEL-u” oznacza to pełen wgląd urzędników i administratorów w dane o życiu milionów Polaków,

      – nieograniczony wgląd we wszystkie rządowe bazy danych (włączając w to bazy NFZ-u, gdzie są szczególowe dane, kto, gdzie i kiedy chodzi do jakiego lekarza i jakie leki wykupuje!) przyznany ABW przez “ustawę o działaniach antyterrorystycznych”

  9. Czy składanie skarg na zagraniczne podmioty do polskiego UODO ma sens? Regularnie dostaję spam z polskich domen, ale pod którym podpisane są zagraniczne podmioty. Jak takim spamerom dowalić? UODO się tym zajmie, czy odpisze tylko, że to nie jego jurysdykcja?

    • wątpię.. aby uodo reagowało i zatrudniało tłumacza przysięgłego (witamy w biurokratycznym świecie) w sprawach związanych z obcymi podmiotami i ich “spamem”.. jeżeli to spoza EU to zapomnij, chyba, że chcesz wywołać incydent dyplomatyczny. Poza tym, znajdziesz się na 100 lat w dokumentacji archiwalnej uodo..

    • RODO wprowadza coś co nazywamy One Stop Shop – możesz składać skargę do dowolnego organu w UE, a on przekaże ją właściwemu.

      RODO określa też terytorialny zakres stosowania – nie jest on uzależniony od siedziby administratora. W tym przypadku podmiot prawdopodobnie spoza UE przetwarza dane osoby przebywającej w UE i kieruje do niej swoją ofertę – RODO jak najbardziej ma zastosowanie.

  10. UODO to jakiś żart. Skarżyłem się na jedną firmę przez epuap. Ze względu na limit znaków napisałem wszystko zewnętrznie i wyeksportowałem do pdf, który załączyłem do skargi, a w samym formularzu napisałem o tym informację. Po prawie roku(!!!) dostałem odpowiedź, że pdf nie jest podpisany profilem zaufanym(nie ważne, że wysyłany przez epuap) i mam im przysłać papierowo w ciągu 2 tygodni. Po tym jak zaniemówiłem, stwierdziłem, że mam to gdzies już. Po kolejnym pół roku(!) dostałem pismo, że ze względu na to, że nie uzupełniłem braków, oni zamykają sprawę. I ja się pytam po cholerę oni są?

    • to nie jest kwestia RODO tylko KPA

    • To taka zabawa dorosłych, którzy wstydzą się iść na podwórko pobawić się w piaskownicy, bo są duzi. No i nie lubią bawić się sami, więc zmuszają do tej zabawy innych.

    • Szanowny Innaem, a czy uznałbyś umowę kupna-sprzedaży, która jest niepodpisana za ważną i obowiązującą?! Urzędy mają nałożone przepisami ograniczenia! Jednym z ograniczeń jest konieczność aby każdy dokument był podpisany (opatrzony podpisem), który w sposób nie budzący wątpliwości, stanowi kto jest autorem i kto odpowiada za treść w piśmie zawartą! Nie jest winą urzędu, że użyszkodnik nie ma pojęcia jak działa epuap i w konsekwencji korzysta z narzędzia w sposób niewłaściwy! Może wystarczyło zapoznać się z instrukcją obsługi epuap?! Nie jest rolą UODO szkolenie użyszkodników usługi epuap z zakresu funkcjonalności epuap-u! Ani tym bardziej edukowania z obowiązującego prawa! Zwłaszcza w dobie powszechnie dostępnego internetu i wykładni obowiązującego prawa, zawartych na różnych stronach internetowych!

  11. Poza tym, przesyłane wiadomości można w ePUAP-ie podpisywać profilem zaufanym.
    Może lepiej zamiast narzekać, po prostu zapoznać się z zasadami? Organ nie może wszcząć postępowania na podstawie niepodpisanego, czyli niekompletnego wniosku.
    I to akurat jest dobre w ePUAP, że umożliwia przesyłanie niepodpisanych wiadomości, bo nie każda podpisu wymaga. Ale jeżeli składasz podanie w trybie KPA, to podpis jest wymagany.

  12. Moim zdaniem, mimo wszystko, w tym wypadku mamy do czynienia z naruszeniem RODO.
    Formularz, na stronie obywatel.gov.pl. który automatycznie uzupełnia dane o nr PESEL dokonuje operacji przetwarzania danych (każda operacja na danych, w tym także podstawianie ich do formularzy jest przetwarzaniem), która narusza podstawowe zasady przetwarzania ujęte w art. 5 RODO tj:
    – wykracza poza cel przetwarzania,
    – nie uwzględnia minimalizacji danych.
    Jeżeli wstawienie nr PESEL do formularza nie jest niezbędne dla osiągniecia celu przetwarzania (nr pesel nie jest niezbędny do złożenia skargi) to należy tę operacje uznać za nadmiarową. I nie ma w tym wypadku znaczenia, że można sobie następnie usunąć nr pesel ponieważ sama operacja została już wykonana. Ponadto jeśli osoba składająca nie zorientuje się w tym to stwarza to ryzyko ujawnienia danych wbrew jej woli. Trzeba też zauważyć, że obywatel składający skargę może nie wiedzieć jakie konkretnie dane musi podać, a jeśli rządowy system mu taką informacje podstawia automatycznie to może uznać to za wymagane działanie.
    Jeśli automatyczne podstawienie nr PESEL ma być ułatwieniem to można dodać np. komendę “uzupełnij automatycznie” która byłaby wywoływana samodzielnie przez osobę składające skargę. Mimo wszystko samo pole powinno być wtedy jasno i wyraźnie oznaczone jako “pole niewymagane” (najlepiej w treści samego pola) .
    Moim zdaniem z w/w powodów jest to niezgodne z RODO i w każdym przypadku stwierdzenia przez UODO podobnej nieprawidłowości u przedsiębiorcy wiązałoby się to wezwaniem zaprzestania naruszenia prawa a być może z karą.
    Powinniście ten temat jeszcze podążyć, bo to nie jest w porządku.

    • Ciekawa wykładnia. Sprawia wrażenie słusznej. Co niestety niekorzystnie świadczy o autorach formularzy. Nie mam na myśli koderów tylko autorów oraz akceptujących produkt. Możliwe, że masz rację w swoim komentarzu, a wtedy pracownicy ministerstwa wychodzą na osoby nie mające pojęcia o obowiązującym prawie! Co więcej… Jest taki artykuł w ogólnym rozporządzeniu, mówiący o możliwości konsultacji z organem nadzorczym. Czy pracownicy tworzący serwis nie znali tych przepisów? A może jednak, pomimo logicznej poprawności wywodu, nie masz racji z punktu widzenia obowiązującego prawa? Nie mnie to oceniać. Na podstawie tej dyskusji dostrzegam tylko, zjawisko dysfunkcji w obszarze prawa.

    • > Jeżeli wstawienie nr PESEL do formularza nie jest niezbędne dla
      > osiągniecia celu przetwarzania (nr pesel nie jest niezbędny do
      > złożenia skargi) to należy tę operacje uznać za nadmiarową

      OK, ale przyjęcie takiej interpretacji oznacza w praktyce likwidację obowiązkowości PESEL-u :-)

      Bo urzędy nie mają problemu przyjąć wnioski (i wszelkie inne dokumenty) od nieposiadających PESEL-u cudzoziemców, którzy podają numer paszportu (albo dowodu z UE/EFTA). Wynika z tego, że PESEL można uznać za co najwyżej przydatny urzędowi, a nie za niezbędny, skoro załatwiają sprawy cudzoziemców na podstawie numeru dokumentu, mogliby to też robić w stosunku do obywateli polskich…

    • Sobiesław – jeśli nr PESEL nie jest niezbędny (tj. konieczny, a nie “nice to hace”) do celu złożenia skargi to w ogóle w świetle RODO organ nie ma prawa go przetwarzać.
      ta niezbędność (konieczność) PESEL może wynikać z tego, że tak stanowi KPA lub z rzeczywistej potrzeby przetwarzania tej kategorii danych w danym procesie. Samo to, że kiedyś w KPA ktoś napisał, że trzeba podać PESEL, jeszcze nie przesądza, że rzeczywiście jest on do czegoś potrzebny. wszelkie papierowe formularze (przekładane teraz 1 do 1 na środowisko cyfrowe) cechują się jednak dużą nadmiarowością danych, wpisywanych niewiadoma po co. Niestety nikt nie dokonał przeglądu polskich przepisów w tym kontekście.
      Podobnie sprawa ma się z sądami. Żeby złożyć powództwo przeciwko osobie fizycznej trzeba podać jej PESEL (stąd potem nr PESEL we wszelkiego rodzaju umowach np. abonenckich). Pytanie tylko po co? Wydawałoby się, że po to aby Sąd zweryfikował tożsamość osoby, ale nic bardziej mylnego – sąd ma dostęp do bazy PESEL w której obok nr pesel są dane zameldowania osoby. Natomiast w pozwie podaje się dane zamieszkania. więc sąd nie ma bazy referencyjnej żeby takiej weryfikacji dokonać. Inna sprawa, że w praktyce i tak tego nie robi, i w ogólge na nic ten PESEL nie jest mu potrzebny , a podawania go jest klasycznym przykładem naruszenia RODO w zakresie nadmiarowości przetwarzania. Ale trzeba – bo tak stanowią przepisy (wymyślone z zupełnie w innej epoce informacyjnej).
      Takich kwiatków jest całe mnóstwo.

  13. Nie, geniuszu, mógł postąpić z nim tak jak z adresem email i nr telefonu… I jasne jest, że autorowi chodziło o to, żeby geniusze widzieli, które pole wyczyścić. Ale to uczyniło ilustrację nieco niejednoznaczną, skoro przy zgłaszaniu przez biznes.gov.pl analogiczne pole jest puste.

  14. Artykuł wprowadza w błąd. Usunięcie pola nr telefonu czy też pesel w formularzu nie powoduje usunięcia tych danych z dokumentu. Na wizualizacji która jest transformatą XSLT (konwersja XMLa do HTML) faktycznie nie widnieje, ale w dokumencie XML te wszystkie dane są nadal dostępne.

  15. > I żeby firmy w sposób niekontrolowany mogły nimi między sobą handlować?

    Wierzysz w to co piszesz? Przecież dalej handlują, bez żadnych przeszkód.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: