Kontrola w banku

GIODO skontrolował w jednym z banków proces gromadzenia i przetwarzania danych osobowych. Odkrył, że przedsiębiorca jako administrator danych naruszył przepisy o ochronie danych osobowych. Zbierał na podstawie raportów z Biura Informacji Kredytowej dane dotyczące sytuacji finansowej zatrudnionych. Robił to, powołując się na zgody uzyskane od tych osób, co według GIODO jest niedopuszczalne. Uzyskał też zgody na przetwarzanie danych o karalności zatrudnionych, aby występować do Krajowego Rejestru Karnego o informacje. Także taka praktyka według GIODO była nielegalna.

W swoje decyzji GIODO podkreślił, że administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Ma przede wszystkim zapewnić, aby dane te były przetwarzane zgodnie z prawem. Przedsiębiorca może żądać od zatrudnionych podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Ma także prawo żądać podania innych danych osobowych oraz imion i nazwisk, dat urodzenia dzieci, jeżeli jest to konieczne ze względu na korzystanie ze szczególnych uprawnień.

Ustawa najważniejsza

W swej decyzji GIODO podkreślił, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Konstytucyjna zasada ochrony danych osobowych zakazuje więc komukolwiek dostępu do tych informacji z pominięciem wyraźnej podstawy ustawowej. Możliwe jest uzyskanie informacji na temat konkretnej osoby tylko wówczas, gdy podstawę do tego daje wyraźny przepis ustawy i tylko w takim zakresie, w jakim na to pozwala.