PESEL

1908e2201cb2b5807b5a2997c08cd678a08d7d47-xlarge (1)

Wyciek numeru PESEL – czy w każdym przypadku wymaga zgłoszenia

Wyciek danych osobowych w postaci numerów PESEL zwykle generuje wysokie ryzyko dla praw i wolności podmiotów danych. Wiąże się ono przede wszystkim z kradzieżą tożsamości czy zaciągnięciem zobowiązania na osobę poszkodowaną. Czy jednak zawsze jest to wysokie ryzyko?

Dokumenty z numerem PESEL wysłane nieuprawnionej osobie

Aby odpowiedzieć na to pytanie, warto przeanalizować jedną ze spraw, która zakończyła się karą wymierzoną przez Prezesa UODO, ale później uchyloną przez sąd administracyjny. Otóż agent ubezpieczeniowy przesłał dokument z danymi osobowymi klienta omyłkowo na adres e-mail nieuprawnionej osoby. Agent działał w imieniu firmy ubezpieczeniowej, z którą miał zawartą umowę powierzenia przetwarzania danych. W przesłanym omyłkowo dokumencie znalazły się następujące dane osobowe:

  • imię i nazwisko;

  • numer PESEL oraz

  • miejscowość wraz z kodem pocztowym.

Ze złożonych przez administratora wyjaśnień wynikało, że nie zgłosił on naruszenia ochrony danych do Prezesa UODO ani też nie zawiadomił o tym podmiotu danych. Wskazał on także, że otrzymał oświadczenie osoby, której omyłkowo wysłano dane osobowe klienta. W oświadczeniu tym wskazana osoba podała, że wykasowała wiadomość e-mail i już jej nie posiada oraz że nie zapoznała się z jego treścią.

Na tej podstawie firma ubezpieczeniowa zrezygnowała ze zgłaszania naruszenia, twierdząc, że prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności podmiotów danych było niskie.

Odmienna ocena Prezesa UODO

Organ nadzorczy nie zgodził się z wyjaśnieniami firmy ubezpieczeniowej. Zarzucił administratorowi niezgłoszenie naruszenia ochrony danych Prezesowi UODO (art. 33 ust. 1 RODO) oraz niepoinformowanie o tym podmiotów danych (art. 34 ust. 1 RODO). Jak wskazał Prezes UODO, nie było pewności, czy rzeczywiście dane osobowe zostały usunięte przez osobę nieuprawnioną, w szczególności czy nie zostały przesłane w postaci kopii do innych nieuprawnionych. Inny słowy, w ocenie administratora oświadczenie odbiorcy korespondencji nie gwarantowało bezpieczeństwa danych. Co więcej nie można było tego oświadczenia faktycznie zweryfikować, a odbiorcy nie można było w tej sytuacji uznać za zaufanego.

Prezes UODO wskazał na następujące zagrożenia:

  • ujawnienie danych może ograniczać korzystanie z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego);

  • osoby trzecie mogą podjąć próbę zaciągnięcia zobowiązań na poszkodowanego (np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości);

  • osoby trzecie mogą chcieć zawrzeć inną umowę cywilnoprawną na szkodę osoby dotkniętej naruszeniem;

  • osoby trzecie mogą próbować uzyskać dostęp do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia poszkodowanego.

Ujawnienie numeru PESEL w połączeniu z imieniem i nazwiskiem nieuprawnionej osobie w ocenie Prezesa UODO rodzi maksymalne prawdopodobieństwo identyfikacji, ponieważ PESEL jednoznacznie identyfikuje konkretną osobę.

W efekcie Prezes UODO nałożył na firmę ubezpieczeniową administracyjną karę pieniężną w wysokości 159 176 zł.

Korzyści 

Z artykułu dowiesz się m.in.

  • dlaczego Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO,

  • czy ujawnienie numeru PESEL nieuprawnionej osobie należy zawsze zgłaszać do Prezesa UODO,

  • czy w każdym przypadku o takim zdarzeniu należy zawiadamiać poszkodowanych.

dochodzenie roszczeń

PESEL w umowie z rodzicem ucznia

Pytanie:  Szkoła niepubliczna kształci uczniów na podstawie umów cywilnoprawnych zawieranych przez organ prowadzący z rodzicami. Czy takie umowy mogą zawierać numery PESEL rodziców?

Klauzula informacyjna w związku z nadawaniem numeru PESEL obywatelowi Ukrainy

Przepisy przewidują możliwość nadania numeru PESEL obywatelowi Ukrainy, który przyjechał do Polski nie wcześniej niż 24 lutego 2022 r. Procedura nadawania numeru PESEL wymaga przetwarzania danych osobowych, a to oznacza konieczność spełnienia obowiązku informacyjnego.

nadanie numeru PESEL obywatelowi Ukrainy

Numer PESEL dla obywatela Ukrainy – jak go nadać

Numer PESEL to niewątpliwie jeden z najważniejszych rodzajów danych osobowych, służący do identyfikacji osób i pozwalający na dokonywanie wielu czynności. Nowe przepisy pozwalają na nadawanie numerów PESEL obywatelom Ukrainy, którzy przybyli do Polski w związku z rosyjską agresją. Sprawdź, na jakich zasadach.

Sklep internetowy

Sprawdź, czy sprzedawca internetowy może żądać numeru PESEL klienta

Pytanie:  Czy firma, która prowadzi sprzedaż swoich produktów w sieci, może na etapie finalizacji zamówienia oraz płatności w systemie płatności elektronicznych żądać numeru PESEL swojego klienta?
TK orzekł, że duże firmy powinny mieć prawo do dochodzenia należności za budowę dróg

UODO alarmuje: zbyt łatwy dostęp do numerów PESEL

Urząd Ochrony Danych Osobowych wyraża zaniepokojenie zbyt łatwym dostępem instytucji i firm do numerów PESEL osób fizycznych i weryfikację decyzji ministra cyfryzacji w przedmiocie dostępu do bazy PESEL. Jednocześnie dostrzega konieczność nowelizacji prawa krajowego w celu wprowadzenia lepszych rozwiązań weryfikacyjnych.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x