Dane biometryczne to dane szczególnej kategorii

W opisywanej sprawie Prezes UODO udzielił upomnienia pracodawcy, który wykorzystywał dane biometryczne pracowników do ewidencjonowania czasu pracy. Organ nadzorczy wskazał wyraźnie, że pracodawca dysponuje wieloma innymi sposobami potwierdzania obecności pracowników i nie ma potrzeby sięgania po dane szczególnej kategorii, jakimi są dane biometryczne.

RODO traktuje dane biometryczne w sposób szczególny. Zgodnie z art. 9 rozporządzenia są to dane szczególnej kategorii, których przetwarzanie co do zasady jest zabronione, chyba że administrator wykaże istnienie jednej z wyjątkowych podstaw legalizujących takie działania. Do danych biometrycznych zaliczamy m.in. odciski palców, skany siatkówki oka, rozpoznawanie twarzy czy analizę głosu — czyli dane pozwalające na jednoznaczną identyfikację osoby fizycznej.

W praktyce oznacza to, że wykorzystanie biometrii przez pracodawcę wymaga znacznie wyższego poziomu uzasadnienia niż stosowanie zwykłych kart wejściowych, identyfikatorów czy list obecności. UODO podkreślił, że sam cel polegający na ewidencjonowaniu czasu pracy nie uzasadnia sięgania po tak daleko ingerujące rozwiązania.

Organ zwrócił uwagę, że pracodawcy mają do dyspozycji wiele alternatywnych metod rejestracji czasu pracy, które nie wymagają przetwarzania danych szczególnej kategorii. Mogą to być między innymi:

• karty magnetyczne,
• identyfikatory zbliżeniowe,
• systemy kodów PIN,
• tradycyjne listy obecności,
• logowanie do systemów informatycznych,
• elektroniczne systemy wejść i wyjść niewykorzystujące biometrii.

Skoro więc istnieją mniej ingerujące środki osiągnięcia tego samego celu, korzystanie z biometrii może zostać uznane za naruszające zasadę minimalizacji danych wynikającą z RODO. Administrator powinien bowiem wybierać takie rozwiązania, które pozwalają osiągnąć cel przy możliwie najmniejszej ingerencji w prywatność pracownika.

Zgoda pracownika nie rozwiązuje problemu

Szczególnie istotna jest również kwestia zgody pracownika. Wielu przedsiębiorców błędnie zakłada, że problem można rozwiązać poprzez podpisanie odpowiedniego oświadczenia lub formularza zgody. Tymczasem zarówno UODO, jak i europejskie organy nadzorcze od lat wskazują, że w relacji pracodawca–pracownik bardzo trudno mówić o rzeczywiście dobrowolnej zgodzie.

Powodem jest nierówność stron stosunku pracy. Pracownik pozostaje w relacji zależności wobec pracodawcy, co może powodować presję lub obawę przed odmową wyrażenia zgody. W praktyce pracownik często nie ma poczucia pełnej swobody decyzji, nawet jeśli formalnie podpisuje dokument dobrowolnie. Właśnie dlatego zgoda pracownika w obszarze zatrudnienia jest oceniana bardzo rygorystycznie.

UODO wyraźnie podkreśla, że pracodawca nie może „obejść” ograniczeń dotyczących przetwarzania danych biometrycznych poprzez zebranie zgód od pracowników. Jeżeli sam cel przetwarzania nie uzasadnia korzystania z danych szczególnej kategorii, zgoda nie rozwiązuje problemu zgodności z RODO.

Dane biometryczne mają wyjątkowo wrażliwy charakter

Warto również pamiętać, że dane biometryczne mają wyjątkowo wrażliwy charakter. W przeciwieństwie do hasła czy karty dostępowej nie można ich łatwo zmienić po wycieku lub naruszeniu bezpieczeństwa. Jeżeli dojdzie do przejęcia wzorca odcisku palca lub danych wykorzystywanych do rozpoznawania twarzy, konsekwencje dla osoby fizycznej mogą być bardzo poważne i długotrwałe.

Z perspektywy bezpieczeństwa informacji oznacza to konieczność stosowania szczególnie wysokich standardów ochrony:

• szyfrowania danych biometrycznych,
• ograniczenia dostępu do systemów,
• analizy ryzyka,
• regularnych audytów bezpieczeństwa,
• oceny skutków dla ochrony danych (DPIA),
• ścisłego określenia celu i zakresu przetwarzania.

W praktyce wiele firm wdraża rozwiązania biometryczne głównie ze względów organizacyjnych lub wygody, bez przeprowadzenia pełnej analizy zgodności z RODO. Tymczasem już sam fakt wykorzystywania danych szczególnej kategorii powinien uruchamiać po stronie administratora znacznie bardziej rygorystyczne procedury compliance.

Należy również podkreślić, że stanowisko UODO wpisuje się w szerszy europejski trend ograniczania wykorzystywania biometrii w sytuacjach, w których możliwe jest zastosowanie mniej inwazyjnych metod. Organy nadzorcze coraz częściej zwracają uwagę nie tylko na legalność samego przetwarzania, ale również na zasadę proporcjonalności i adekwatności środków stosowanych przez administratorów.

Dla pracodawców oznacza to konieczność ponownej analizy funkcjonujących systemów rejestracji czasu pracy. W wielu przypadkach rozwiązania wdrożone kilka lat temu mogą dziś budzić poważne wątpliwości z perspektywy aktualnej praktyki organów nadzorczych.

Wdrażanie rozwiązań zgodnych z RODO

Jako Fundacja Entropia pomagamy przedsiębiorcom i instytucjom we wdrażaniu rozwiązań zgodnych z RODO, w tym także procedur związanych z ewidencjonowaniem czasu pracy oraz przetwarzaniem danych pracowników. Opracowujemy gotowe procedury, przeprowadzamy audyty zgodności oraz wspieramy organizacje w ocenie ryzyka związanego z wykorzystywaniem nowych technologii. Chętnie odpowiemy również na pytania dotyczące zgodności stosowanych rozwiązań z przepisami o ochronie danych osobowych oraz pomożemy przygotować organizację do kontroli UODO.

Kontakt z prawnikami Fundacji możliwy jest za pośrednictwem formularza kontaktowego:

Artykuł Biometria w rejestracji czasu pracy pod lupą UODO. Dlaczego odcisk palca pracownika to nie zwykła lista obecności? pochodzi z serwisu .

Masowa kampania fałszywych maili

W ostatnich tygodniach ponownie odnotowano masową kampanię fałszywych wiadomości e-mail informujących o rzekomym zwrocie nadpłaty podatku PIT. Wiadomości wyglądają profesjonalnie — zawierają logotypy administracji skarbowej, numery spraw, a nawet elementy przypominające oficjalne komunikaty urzędowe. W rzeczywistości ich celem jest wyłudzenie danych osobowych, danych logowania oraz informacji finansowych.

Schemat działania oszustów jest zazwyczaj bardzo podobny. Ofiara otrzymuje wiadomość informującą o konieczności „potwierdzenia danych” lub „uruchomienia procedury zwrotu podatku”. W treści znajduje się link lub załącznik prowadzący do fałszywej strony internetowej przypominającej serwis administracji publicznej. Po wejściu na stronę użytkownik proszony jest o podanie danych identyfikacyjnych — najczęściej imienia i nazwiska, numeru PESEL, danych bankowych, a czasem nawet numeru karty płatniczej. W efekcie zamiast otrzymać zwrot podatku, ofiara może stracić pieniądze lub paść ofiarą kradzieży tożsamości.

Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że współczesne kampanie phishingowe są coraz bardziej dopracowane. Fałszywe strony internetowe potrafią niemal idealnie odwzorowywać wygląd prawdziwych portali administracji publicznej. Dodatkowym problemem jest fakt, że część złośliwych domen przez pewien czas nie jest wykrywana przez przeglądarki lub programy antywirusowe. To powoduje, że użytkownicy często błędnie zakładają, iż skoro strona się otwiera bez ostrzeżeń, musi być bezpieczna.

Fałszywe maile – podstawowe zasady bezpieczeństwa

Warto pamiętać o podstawowej zasadzie bezpieczeństwa: administracja skarbowa nie wysyła wiadomości e-mail z prośbą o podanie numeru karty płatniczej ani loginów do bankowości elektronicznej. Ministerstwo Finansów wielokrotnie ostrzegało, że wiadomości dotyczące zwrotu podatku mogą być próbą oszustwa.

Jednym z najważniejszych elementów ochrony danych osobowych pozostaje niezmiennie świadomość użytkowników. Nawet najlepsze systemy zabezpieczeń technicznych nie będą skuteczne, jeśli pracownik lub użytkownik sam przekaże dane cyberprzestępcom. W praktyce większość skutecznych ataków rozpoczyna się właśnie od kliknięcia w niebezpieczny link lub otwarcia złośliwego załącznika.

Dlatego warto przestrzegać kilku podstawowych zasad bezpieczeństwa:

• zawsze dokładnie sprawdzaj adres nadawcy wiadomości e-mail,
• nie klikaj w linki przesłane w podejrzanych wiadomościach,
• nie otwieraj załączników od nieznanych nadawców,
• nie podawaj danych osobowych ani finansowych po wejściu z linku otrzymanego e-mailem,
• korzystaj z uwierzytelniania dwuskładnikowego,
• regularnie aktualizuj system operacyjny i program antywirusowy,
• stosuj silne i unikalne hasła,
• nie używaj tych samych haseł w wielu serwisach,
• zachowaj szczególną ostrożność wobec wiadomości wywołujących presję czasu lub emocje.

Szczególnie niebezpieczne są załączniki w formacie HTML, ZIP lub dokumenty Office wymagające uruchomienia makr. Coraz częściej to właśnie one służą do instalacji złośliwego oprogramowania typu malware lub tzw. info stealerów, które potrafią przejąć zapisane hasła, dane logowania czy informacje z przeglądarki internetowej.

Celem ataków są również przedsiębiorcy

W praktyce cyberprzestępcy nie atakują wyłącznie osób prywatnych. Coraz częściej celem są również przedsiębiorcy i pracownicy firm. Jedno kliknięcie w złośliwy link może doprowadzić do przejęcia służbowej skrzynki e-mail, wycieku danych klientów lub zainfekowania całej infrastruktury organizacji. Z perspektywy RODO taki incydent może oznaczać konieczność zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO oraz poważne konsekwencje finansowe i wizerunkowe.

Dlatego ochrona danych osobowych nie może dziś ograniczać się wyłącznie do dokumentacji i formalnych procedur. Coraz większe znaczenie mają regularne szkolenia pracowników oraz budowanie świadomości zagrożeń cyberbezpieczeństwa. To właśnie czynnik ludzki pozostaje obecnie jednym z najczęściej wykorzystywanych elementów w atakach phishingowych.

Wiele organizacji nadal koncentruje się głównie na zabezpieczeniach technicznych, pomijając praktyczne przygotowanie pracowników do rozpoznawania zagrożeń. Tymczasem nawet podstawowa wiedza dotycząca phishingu, fałszywych domen czy metod socjotechniki potrafi znacząco ograniczyć ryzyko incydentu bezpieczeństwa.

Fałszywe maile nie muszą być problemem

Jako Fundacja Entropia prowadzimy szkolenia oraz działania edukacyjne z zakresu ochrony danych osobowych, bezpieczeństwa i zgodności z RODO. Podczas szkoleń przypominamy uczestnikom o podstawowych zasadach bezpieczeństwa cyfrowego, uczymy rozpoznawania prób phishingu oraz pokazujemy, jak skutecznie chronić dane osobowe i informacje firmowe przed współczesnymi zagrożeniami. W praktyce to właśnie regularna edukacja użytkowników pozostaje dziś jednym z najskuteczniejszych elementów ochrony danych i bezpieczeństwa organizacji.

Kontakt z nami możliwy jest za pośrednictwem poniższego formularza kontaktowego:

Artykuł Fałszywe maile o zwrocie podatku. Jak cyberprzestępcy wykorzystują zaufanie do administracji skarbowej? pochodzi z serwisu .

Przechowywanie danych na wszelki wypadek

Eksperci zwracają uwagę, że przedsiębiorcy bardzo często przechowują dane „na wszelki wypadek”, nie analizując rzeczywistej potrzeby dalszego przetwarzania informacji znajdujących się w skrzynkach mailowych. Problem nie dotyczy wyłącznie dużych korporacji. Ryzyko pojawia się praktycznie w każdej organizacji – od małych spółek po jednostki sektora publicznego.

Największym zagrożeniem okazują się przy tym nie tylko cyberataki, ale zwykłe błędy pracowników. Wysłanie wiadomości do niewłaściwego adresata, pozostawienie w skrzynce dokumentów zawierających dane osobowe przez wiele lat, brak szyfrowania załączników czy niekontrolowane przekazywanie korespondencji pomiędzy działami to dziś jedne z najczęstszych przyczyn naruszeń ochrony danych osobowych.

RODO opiera się na zasadzie minimalizacji danych. Oznacza to, że administrator powinien przetwarzać wyłącznie takie dane, które są niezbędne do określonego celu, i tylko przez okres konieczny do jego realizacji. W praktyce właśnie z tym przedsiębiorcy mają największy problem. Skrzynki mailowe bardzo szybko stają się bowiem nieformalnym repozytorium dokumentów, umów, CV kandydatów, danych klientów, informacji medycznych pracowników czy wewnętrznych analiz biznesowych.

E-mail powinien pełnić funkcję komunikacyjną, a nie archiwizacyjną

Z perspektywy organu nadzorczego e-mail powinien pełnić przede wszystkim funkcję komunikacyjną, a nie archiwizacyjną. Tymczasem w wielu firmach można spotkać skrzynki zawierające korespondencję sprzed 5, 10, a nawet 15 lat. Problem polega na tym, że przedsiębiorcy często nie są w stanie wykazać:

• dlaczego dane są nadal przechowywane,
• jaki jest okres retencji wiadomości,
• kto ma dostęp do skrzynki,
• czy dane są odpowiednio zabezpieczone,
• kiedy wiadomości powinny zostać usunięte lub zanonimizowane.

W praktyce brak takich procedur może zostać uznany za naruszenie podstawowych zasad RODO, w szczególności zasady ograniczenia przechowywania oraz integralności i poufności danych.

Szczególnie istotny jest konflikt pomiędzy wartością biznesową informacji a obowiązkami wynikającymi z przepisów o ochronie danych osobowych. W wiadomościach e-mail znajdują się często kluczowe ustalenia handlowe, historia projektów, informacje o reklamacjach czy dowody wykonania obowiązków umownych. Z tego powodu firmy obawiają się automatycznego usuwania korespondencji. Eksperci podkreślają jednak, że pozostawianie pełnych skrzynek „na wszelki wypadek” staje się coraz trudniejsze do obrony podczas kontroli UODO.

Przykładowe naruszenia RODO związane z pocztą e-mail

Warto pamiętać, że naruszenie związane z pocztą elektroniczną nie musi oznaczać spektakularnego wycieku danych. W wielu przypadkach problemem okazuje się zwykła organizacja pracy. Przykładowo:

• pracownik przesyła plik z danymi klientów do niewłaściwego odbiorcy,
• dział HR przechowuje CV kandydatów bez określonego terminu usunięcia,
• pracownik odchodzący z firmy pozostawia wieloletnią skrzynkę bez żadnej procedury dalszego zarządzania,
• wiadomości zawierające dane osobowe trafiają do prywatnych archiwów lub lokalnych kopii na komputerach pracowników,
• przedsiębiorstwo nie posiada polityki usuwania nieaktualnej korespondencji.

Każda z tych sytuacji może skutkować nie tylko obowiązkiem zgłoszenia naruszenia do UODO, ale również odpowiedzialnością finansową i wizerunkową.

Coraz większe znaczenie ma również kwestia dostępu do skrzynek służbowych pracowników. Wielu pracodawców nadal nie posiada jasnych procedur określających:

• kto i w jakich sytuacjach może uzyskać dostęp do poczty pracownika,
• jak postępować po zakończeniu zatrudnienia,
• kiedy należy usunąć konto e-mail,
• jak zabezpieczyć korespondencję zawierającą dane osobowe.

Brak takich regulacji może prowadzić nie tylko do naruszeń RODO, ale również przepisów dotyczących tajemnicy komunikacji oraz prawa pracy.

UODO coraz wyraźniej podkreśla także znaczenie budowania tzw. „śladu zgodności”. Oznacza to konieczność wykazania, że administrator nie tylko deklaruje zgodność z RODO, ale faktycznie wdrożył odpowiednie środki organizacyjne i techniczne. W praktyce podczas kontroli liczyć się będzie nie samo posiadanie polityki ochrony danych, lecz możliwość udowodnienia, że procedury są realnie stosowane.

Jak zapewnić zgodność poczty e-mail z RODO

Dlatego nowoczesne podejście do zgodności z RODO powinno obejmować kompleksowe zarządzanie pocztą elektroniczną. W szczególności przedsiębiorcy powinni wdrożyć:

• politykę retencji wiadomości e-mail,
• procedury usuwania i archiwizacji danych,
• zasady korzystania ze skrzynek służbowych,
• system klasyfikacji informacji,
• procedury obsługi incydentów związanych z pocztą elektroniczną,
• szkolenia pracowników dotyczące bezpiecznej komunikacji,
• rozwiązania techniczne ograniczające ryzyko błędów ludzkich.

Coraz częściej konieczne staje się również przeprowadzenie audytu istniejących skrzynek pocztowych. W wielu organizacjach dopiero taka analiza pokazuje skalę problemu – tysiące wiadomości zawierających dane osobowe, brak kontroli nad załącznikami czy wieloletnie archiwa bez podstawy dalszego przechowywania.

Warto podkreślić, że odpowiedzialność administratora danych nie kończy się na wdrożeniu systemu pocztowego. RODO wymaga ciągłej analizy ryzyka i dostosowywania środków bezpieczeństwa do rzeczywistych zagrożeń. Dotyczy to szczególnie obszarów, w których przetwarzane są duże ilości danych klientów, pracowników lub kontrahentów.

Dla wielu przedsiębiorców najbliższe lata będą okresem intensywnego porządkowania obszaru komunikacji elektronicznej. To już nie tylko kwestia dobrej praktyki organizacyjnej, ale realny element bezpieczeństwa prawnego firmy. Odpowiednio przygotowane procedury, polityki retencji oraz audyty zgodności mogą dziś decydować o tym, czy przedsiębiorca będzie w stanie skutecznie obronić swoje działania podczas kontroli organu nadzorczego.

W praktyce właśnie dlatego coraz więcej podmiotów korzysta ze wsparcia ekspertów zajmujących się ochroną danych osobowych, wdrażaniem procedur RODO oraz audytami bezpieczeństwa informacji. Profesjonalne przygotowanie organizacji do zarządzania pocztą elektroniczną pozwala nie tylko ograniczyć ryzyko kar i incydentów, ale również uporządkować procesy biznesowe oraz zwiększyć bezpieczeństwo całej organizacji.

Kontakt z ekspertami fundacji możliwy jest za pośrednictwem poniższego formularza kontaktowego:

Artykuł Skrzynka mailowa a RODO. Dlaczego przechowywanie e-maili staje się jednym z największych ryzyk RODO dla firm? pochodzi z serwisu .

Jeszcze kilka lat temu odpowiedź wydawała się oczywista – numer telefonu traktowano niemal automatycznie jako dane osobowe w rozumieniu RODO. Ostatnie orzeczenia sądów administracyjnych, w tym szczególnie wyroki Naczelnego Sądu Administracyjnego, pokazują jednak, że problem jest znacznie bardziej złożony. Dla przedsiębiorców prowadzących działania marketingowe oznacza to konieczność ostrożnego podejścia do kontaktów telefonicznych, dokumentowania procesów oraz właściwego rozróżniania sytuacji, w których numer telefonu rzeczywiście pozwala zidentyfikować konkretną osobę.

Numer telefonu a definicja danych osobowych na gruncie RODO

Punktem wyjścia jest definicja danych osobowych zawarta w art. 4 pkt 1 RODO. Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Kluczowe znaczenie ma więc możliwość identyfikacji człowieka – bezpośrednio lub pośrednio. Sam fakt posiadania numeru telefonu nie zawsze oznacza jeszcze, że administrator wie, do kogo numer należy. W praktyce właśnie wokół tego zagadnienia powstał spór między przedsiębiorcami, organem nadzorczym i sądami administracyjnymi.

Praktyczny przykład jak sądy oceniają numer telefonu

Jedna ze skarg, które wpłynęły do Urzędu Ochrony Danych Osobowych dotyczyła osoby otrzymującej połączenia marketingowe. Skarżący twierdził, że spółka naruszyła przepisy RODO, ponieważ mimo żądania usunięcia danych nadal kontaktowała się telefonicznie. Prezes UODO uznał, że numer telefonu stanowi dane osobowe i udzielił spółce upomnienia za zbyt późne wykonanie żądania usunięcia danych. Następnie stanowisko to podtrzymał Wojewódzki Sąd Administracyjny w Warszawie.

WSA argumentował, że numer telefonu może stanowić swoisty „punkt kontaktowy” umożliwiający dotarcie do konkretnej osoby. Sąd zwrócił uwagę, że współczesne technologie – komunikatory internetowe, wyszukiwarki numerów czy media społecznościowe – pozwalają stosunkowo łatwo powiązać numer z konkretnym człowiekiem. W ocenie sądu możliwość potencjalnego ustalenia tożsamości była wystarczająca, aby objąć numer ochroną przewidzianą przez RODO.

Odmienne stanowisko zajął jednak NSA. W najnowszych wyrokach sąd wskazał, że sam numer telefonu, bez dodatkowych informacji identyfikujących, nie zawsze pozwala na ustalenie tożsamości osoby fizycznej. NSA podkreślił, że możliwość wykonania połączenia telefonicznego nie jest równoznaczna z możliwością identyfikacji właściciela numeru. Innymi słowy – sam kontakt telefoniczny nie przesądza jeszcze o tym, że mamy do czynienia z danymi osobowymi.

Czy numer telefonu jest daną osobową? To zależy

To stanowisko NSA ma ogromne znaczenie dla branży telemarketingowej, call center oraz firm prowadzących marketing bezpośredni. Nie oznacza jednak, że przedsiębiorcy mogą całkowicie ignorować przepisy RODO lub swobodnie wykorzystywać bazy numerów telefonicznych. NSA nie stwierdził bowiem, że numer telefonu nigdy nie jest daną osobową. Wręcz przeciwnie – wszystko zależy od kontekstu i możliwości przypisania numeru do konkretnej osoby.

Jeżeli przedsiębiorca dysponuje dodatkowymi informacjami, np. imieniem i nazwiskiem, historią zamówień, adresem e-mail albo nagraniami rozmów, identyfikacja osoby staje się realna. W takim przypadku numer telefonu należy traktować jako element danych osobowych i stosować pełne wymogi RODO. Podobnie będzie wtedy, gdy numer przypisany jest do klienta w systemie (zbiorze danych) lub w bazie abonentów.

Szczególnie interesujące są również sprawy dotyczące numerów służbowych i kontaktów biznesowych. W jednym z orzeczeń wskazano, że numer telefonu prezesa zarządu wykorzystywany wyłącznie jako dane kontaktowe spółki nie musi korzystać z ochrony przewidzianej dla danych osobowych osoby fizycznej. To pokazuje, że nawet identyczny numer telefonu może być oceniany inaczej w zależności od funkcji, celu przetwarzania oraz sposobu jego wykorzystania.

Legalność marketingu telefonicznego w kontekście innych ustaw

Przedsiębiorcy powinni pamiętać także o tym, że legalność marketingu telefonicznego nie zależy wyłącznie od RODO. Równolegle obowiązują przepisy prawa komunikacji elektronicznej oraz regulacje dotyczące zgód marketingowych. Nawet jeśli w konkretnej sytuacji sam numer telefonu nie zostałby uznany za dane osobowe, wykonywanie połączeń marketingowych bez wymaganej zgody może nadal prowadzić do odpowiedzialności administracyjnej lub finansowej.

Z perspektywy compliance najbezpieczniejszym rozwiązaniem pozostaje przyjęcie ostrożnościowego podejścia. Firmy powinny przede wszystkim:

• przeprowadzić analizę, czy wykorzystywane numery telefonów umożliwiają identyfikację osób,
• uporządkować podstawy prawne kontaktów marketingowych,
• wdrożyć procedury realizacji żądań usunięcia danych,
• określić zasady retencji numerów telefonów,
• zadbać o właściwe klauzule informacyjne i zgody marketingowe,
• dokumentować źródła pozyskania numerów telefonów.

W praktyce wielu przedsiębiorców skupia się wyłącznie na zgodach marketingowych, pomijając kwestie związane z analizą ryzyka czy oceną charakteru danych. Tymczasem to właśnie brak procedur oraz niejednolite praktyki są dziś jedną z głównych przyczyn sporów z organem nadzorczym i klientów składających skargi do UODO.

Warto podkreślić, że obecna linia orzecznicza nadal się rozwija. Możliwe są kolejne rozbieżności pomiędzy sądami administracyjnymi, organem nadzorczym i praktyką biznesową. Dlatego przedsiębiorcy nie powinni opierać swoich działań wyłącznie na pojedynczych wyrokach czy uproszczonych interpretacjach pojawiających się w mediach. Znacznie ważniejsze jest przygotowanie spójnego systemu ochrony danych, dostosowanego do rzeczywistych procesów funkcjonujących w organizacji.

Dobrze przygotowana dokumentacja RODO

Dobrze przygotowana dokumentacja RODO nie jest dziś wyłącznie formalnością. W przypadku kontroli lub sporu stanowi realne zabezpieczenie przedsiębiorcy i dowód dochowania należytej staranności. Dotyczy to szczególnie firm prowadzących działania sprzedażowe, call center, obsługę klienta oraz marketing telefoniczny.

Prawidłowe wdrożenie procedur dotyczących kontaktów telefonicznych wymaga nie tylko znajomości przepisów, ale również aktualnego orzecznictwa oraz praktyki organów nadzorczych. Właśnie dlatego coraz więcej przedsiębiorców decyduje się na wsparcie ekspertów zajmujących się ochroną danych osobowych, audytami zgodności oraz przygotowywaniem dedykowanych procedur RODO dla działalności marketingowej i sprzedażowej.

Zachęcamy do kontaktu ze specjalistami w zakresie ochrony danych osobowych, którzy przygotują dokumenty zabezpieczające Państwa firmę:

Artykuł Czy numer telefonu jest daną osobową? Aktualne stanowisko sądów i praktyczne konsekwencje dla firm pochodzi z serwisu .

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na ING Bank Śląski rekordową karę – ponad 18 milionów złotych. Powodem była nieuzasadniona praktyka masowego skanowania dowodów osobistych klientów oraz potencjalnych klientów. UODO wskazał, że bank nie wykazał celowości i proporcjonalności takiego działania, naruszając tym samym podstawowe zasady RODO.

Choć sprawa dotyczy jednego z największych banków w Polsce, powinna być sygnałem ostrzegawczym dla całego rynku – także dla sektora MŚP, który często nie dysponuje rozbudowanymi działami prawnymi czy compliance.

Dlaczego dane z dowodu osobistego są tak wrażliwe?

Dowód osobisty zawiera pełen zestaw danych identyfikacyjnych, m.in. imię i nazwisko, PESEL, numer dokumentu, serię, datę ważności, a nawet wizerunek. Posiadanie skanu dowodu w niepowołanych rękach otwiera drogę do poważnych nadużyć:

• wyłudzeń kredytów i pożyczek,
• fałszowania tożsamości,
• rejestracji fikcyjnych działalności gospodarczych,
• dostępu do usług na cudze nazwisko.

Dlatego zarówno klienci, jak i przedsiębiorcy muszą być szczególnie ostrożni przy udostępnianiu i przetwarzaniu tego dokumentu.

Kiedy można skanować dowód osobisty zgodnie z prawem?

RODO i przepisy szczególne dopuszczają skanowanie lub kopiowanie dowodu osobistego tylko w ściśle określonych sytuacjach, gdy istnieje wyraźna podstawa prawna. Przykłady:

• Banki i instytucje finansowe – w zakresie wynikającym z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML).
• Operatorzy telekomunikacyjni – przy zawieraniu umów na usługi telekomunikacyjne, gdy wymagają tego przepisy.
• Pracodawcy – tylko w szczególnych przypadkach, np. przy zatrudnianiu cudzoziemców, jeśli wymaga tego prawo.
• Notariusze i podmioty rynku kapitałowego – w ramach realizacji obowiązków ustawowych.

W każdym innym przypadku administrator danych powinien ograniczyć się do spisania niezbędnych danych z dokumentu, bez jego kopiowania.

Wnioski dla przedsiębiorców z sektora MŚP

Sprawa ING Banku Śląskiego pokazuje, jak istotne jest:

• weryfikowanie, czy istnieje podstawa prawna do kopiowania dokumentu,
• wdrażanie zasady minimalizacji danych (zbieramy tylko te dane, które są rzeczywiście potrzebne),
• dokumentowanie podstaw prawnych w politykach i procedurach,
• szkolenie pracowników, aby wiedzieli, kiedy wolno, a kiedy nie wolno kopiować dokumentów tożsamości.

Kara 18 mln zł dla dużego banku unaocznia również, że UODO nie bagatelizuje naruszeń w tym obszarze. Dla MŚP konsekwencje finansowe mogłyby być równie dotkliwe – proporcjonalnie do skali działalności.

Wniosek: Wdrożenie RODO w praktyce to nie tylko obowiązek formalny, ale realna ochrona klientów i samego biznesu. Nieuzasadnione kopiowanie dowodów osobistych to ryzyko, na które żadna firma nie powinna sobie pozwolić. Fundacja Entropia i jej eksperci posiadają wieloletnie doświadczenie we wdrażaniu rozwiązań z obszaru przetwarzania danych osobowych (RODO) w sektorze MŚP. Dzięki naszej pomocy wiele organizacji nie musi się martwić, czy ich procesy są zgodne z przepisami oraz czy nie narażają działalności na ryzyko naruszenia ochrony danych osobowych a co za tym idzie kar finansowych nakładanych przez PUODO.

W celu wypracowania indywidualnych rozwiązań dostosowanych do Twojej organizacji, skontaktuj się z Fundacją Entropia. Nie ryzykuj kary. Postaw na zgodność z RODO – audyty, wdrożenia i szkolenia szyte na miarę Twojej firmy.

Szybki kontakt możliwy jest z wykorzystaniem formularza kontaktowego:

Artykuł ING Bank Śląski ukarany za RODO – lekcja dla całego rynku pochodzi z serwisu .