Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

30 września 2019

Jakie wnioski płyną z pierwszego sprawozdania Prezesa UODO?

w kategorii Ochrona Danych Osobowych

Osoby zajmujące się ochroną danych osobowych przed RODO-gorączką doskonale wiedzą jak często sięgały do sprawozdań Generalnego Inspektora Ochrony Danych Osobowych, w celu uzyskania informacji o podejściu ówczesnego organu nadzorczego do zagadnień meteorycznych. Sprawozdania z działalności GIODO zawierały też syntetyczny opis wydanych przez ten organ decyzji administracyjnych podzielonych kategoriami tematycznymi, co pomagało w odnalezieniu interesujących informacji.

 

Sprawozdania GIODO:

Sprawozdania Generalnego Inspektora Ochrony Danych rzucały konkretne światło na naszą branżę wskazując dane statystyczne oraz „trendy” w podejmowanych przez organ decyzji, czy stanowisk legislacyjnych, a także bardzo dobre źródło orzecznictwa w szerokiej dziedzinie jaką jest ochrona danych osobowych. Bardzo doceniam możliwość zapoznania się ze wszystkim sprawozdaniami z działalności GIODO, czy to zarówno na stronach Sejmu RP, czy też bezpośrednio z archiwalnej strony organu nadzorczego.

Słowem wstępu do omówienia aktualnego sprawozdania Prezesa UODO warto wskazać, że obowiązek przedkładania Sejmowy, raz w roku, sprawozdania z działalności GIODO wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych przewidywał art. 20 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Od 25 maja 2018 r. organem nadzorczym w zakresie ochrony danych osobowych został Prezes Urzędu Ochrony Danych Osobowych jako następca prawny GIODO.  RODO w art. 59 przewiduje, że „każdy organ nadzorczy sporządza roczne sprawozdanie ze swojej działalności, w którym może wyszczególnić rodzaje zgłoszonych mu naruszeń i rodzaje środków podjętych zgodnie z art. 58 ust. 2 RODO”.

W związku z powyższym w krajowych przepisach o ochronie danych osobowych wprowadzono art. 50 ust. 1. Obowiązek ten jednakże rozbudowano o dodatkowych odbiorców sprawozdania oraz wskazania konkretnej daty jego przedłożenia. I tak Prezesa Urzędu został zobowiązany do przedstawienia swojego sprawozdania nie tylko Sejmowi Rzeczypospolitej Polskiej, ale także Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu do dnia 31 sierpnia. Samo sprawozdanie ma dotyczyć „swojej działalności, zawierające w szczególności informację o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu oraz wnioski wynikające ze stanu przestrzegania przepisów o ochronie danych osobowych”.

 

Sprawozdanie Prezesa UODO:

Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych wpłynęło do Sejmu RP w dniu 29 sierpnia 2019 r. (druk numer 3823), a więc na dwa dni przed terminem wskazanym w art. 50 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Na stronie internetowej UODO informacja wraz ze sprawozdaniem została opublikowana 6 września 2019 r. 

 

Rozpatrywanie skarg:

W rozdziale II punkt 3 (od str. 16 sprawozdania) dotyczy rozpatrywania skarg indywidualnych wniesionych i to na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jak i tych wniesionych na podstawie obowiązujących obecnie przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Z poniższego fragmentu sprawozdania Prezesa UODO wynika, że statystyki wniesionych skarg pokazują rosnący trend, który na pewno nie zatrzyma się, ani w 2019 roku ani w 2020 roku:

 

Liczby wskazane przez Prezesa UODO robią wrażenie – szczególnie jak zestawi się ilość składanych skarg na przestrzeni ostatnich kilku lat:

 

Zagłębiając się w dane statystyczne przytoczone powyżej można wskazać gwałtowny przyrost skarg w okresie przed obowiązywaniem RODO jak i po jego obowiązywaniu:

 

W zakresie wykładni art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, który wskazuje, że „postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu” oraz w ustępie drugim: „Postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy uchylanej w art. 175, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60, 730 i 1133)” Prezes UODO przedstawił następujący pogląd:

 

Przechodząc do wybranych skarg wskażę te fragmenty omawianego sprawozdania, które w mojej ocenie są istotne dla branży. Znaczną część decyzji Prezesa opublikowanych do końca maja 2019 r. przedstawiłem w Omówieniu decyzji Prezesa UODO.

I tak warto wskazać następujące przykłady skarg zakończonych decyzjami Prezesa UODO:

a) 

b) 

c)

d)

e)

f)

g)

 

Kontrole:

W zakresie informacji o kontrolach warto wskazać ich liczbę z podziałem na te przeprowadzone jeszcze przez GIODO oraz te rozpoczynające już historię kontroli Prezesa UODO:

Zsumowanie powyższych liczb daje nam 71 przeprowadzonych kontroli w ciągu całego 2018 roku. Oczywiście należy mieć na uwadze, że w tym roku kształtował się nowy organ, co pochłaniało nie tylko jego budżet, ale przede wszystkim czas jego pracowników, którego nie dało się już nadrobić i wykorzystać na kontrolę. Trzeba sobie uczciwie powiedzieć, że w 2019 roku, a już na pewno w 2020 roku kontroli zgodności przetwarzania danych z przepisami o ich ochronie będzie zdecydowanie więcej w skali roku. Mam tutaj też na myśli możliwości kontrolne jakie przewiduję ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, która zaczęła obowiązywać dopiero 6 lutego 2019 r. Jej przepisy w rozdziale II (art. 5 ust. 1 pkt 7) przewidują także kontrolę zgodności przetwarzania danych osobowych z przepisami tej ustawy przeprowadzane m.in. przez Prezesa UODO.

 

Zgłaszanie naruszeń:

W zakresie zgłaszania naruszeń ochrony danych osobowych Prezes UODO w swoim sprawozdaniu wskazał, że:

nadto w okresie sprawozdawczym wśród zgłoszeń naruszeń ochrony danych osobowych najczęściej popełniane błędy obejmowały:

1) brak w przesyłanych zgłoszeniach naruszeń, niektórych wymaganych w art. 33 ust. 3 RODO informacji,

2) niedokładne wypełnianie zgłoszeń

3) wypełnianie zgłoszeń w sposób rutynowy, prowadzący do błędów

4) zgłaszanie naruszeń ochrony danych osobowych przez podmiot przetwarzający bądź inny podmiot nie będący administratorem zobowiązanym do zgłoszenia naruszenia ─

Informacje dotyczące najczęściej zgłaszanych naruszeń w sektorze prywatnym to:

 1) dane osobowe wysłane do niewłaściwego odbiorcy (np.: faktura VAT bądź umowa ubezpieczenia pocztą elektroniczną trafiła do innego abonenta, np. wskutek zbieżności nazwisk; na skutek omyłki pracowników przy wpisywaniu adresu e-mail , bądź pracowników podmiotów zewnętrznych – działania niezamierzone; np. klientka podała niewłaściwy adres e-mail na których chciała przesłania dokumentów);

2) luka bezpieczeństwa w systemie informatycznym pozwalająca na uzyskanie nieuprawnionego dostępu do danych osobowych;

3) wysyłka e-maila do wielu adresatów zawierającego e-maile innych adresatów (np.: wskutek wpisania w rubryce „do wiadomości”), wskutek czego osoby niepowołane mogą dowiedzieć się o miejscu pracy lub podmiocie gospodarczym zatrudniającym inne osoby;

4) niezamierzona publikacja danych osobowych na stronie internetowej administratora;

5) przesłanie newslettera z błędnie skonstruowanego skryptu adresów e-mail do wszystkich odbiorców newslettera wraz z linkiem umożliwiającym usunięcie się z bazy;

6) luka bezpieczeństwa pozwalająca na uzyskanie dostępu do danych osobowych innego użytkownika przy logowaniu się do konta billingowego;

7) utracenie przez podmiot umowy z klientem i możliwość wejścia w jego posiadanie przez inny podmiot;

8) omyłkowe udostępnienie w trakcie rozmowy tel. danych innego klienta przez pracownika call center;

9) zagubienie/kradzież niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych – smartfony, komputery przenośne, dyski zewnętrzne;

10) zagubienie dokumentacji papierowej zawierającej dane osobowe (np. list dłużników) przez doradców finansowych w trakcie wyjazdów do klientów;

11) ataki hackerskie mające na celu uzyskanie nieuprawnionego dostępu do bazy danych klientów sklepów internetowych w celu wysyłki phishingowych wiadomości SMS i wyłudzenia danych dostępowych do konta bankowego.

 

Na koniec warto odnotować, że omówiłem wyłącznie wybrane zagadnienia pierwszego sprawozdania Prezesa UODO. W mojej opinii nie odbiega ono merytorycznie od wysokich standardów do jakich przyzwyczaił nas poprzedni organ nadzorczy. Jest to na pewno dobra wiadomość. Jak widać pewne tradycje GIODO przetrwały reformę organu nadzorczego.