Prezes Urzędu Ochrony Danych Osobowych wykonując ustawowy obowiązek opublikował niedawno kolejne sprawozdanie ze swojej działalności. Sprawozdanie to obejmuje 2019 rok, który był pierwszym pełnym rokiem kalendarzowym, w którym bezpośrednio stosowane były przepisy RODO.
Na wstępie powiem, że sprawozdanie to imponujący dokument przygotowany na 242 stronach. W kilku miejscach można się spotkać z zaskakującymi tezami, ale też z ciekawymi statystykami, które rzucają nowe światło np. na zagadnienie zgłaszania naruszeń ochrony danych osobowych.
Gdzie skierowano najwięcej pracowników UODO?
Zaczynając od ogólnych spostrzeżeń to warto wskazać, że na 216 pracowników merytorycznych najwięcej, bo aż 82 osoby, pracuje w Departamencie Skarg. To ewidentnie jest dowodem na to z jakimi zagadnieniami Urząd ma najwięcej pracy. Drugim co do liczby urzędników departamentów jest ten zajmujący się kontrolą i naruszeniami – liczy 44 pracowników, a następnym departamentem pod względem liczebności pracowników jest departament zajmujący się orzecznictwem i legislacją – 25 pracowników.
Ile decyzji administracyjnych wydał Prezes UODO?
W 2019 r. Prezes UODO wydał 1369 decyzji administracyjnych, a więc o 842 decyzje więcej w stosunku do 2018 roku, w których wydano ich 527, co daje nam wzrost o około 160 % (!):
opracowanie własne
Jak widać wzrost samej ilości wydawanych decyzji robi wrażenie. Widać, że Urząd zaadoptował się do panujących realiów i co raz sprawniej przeprowadza postępowania administracyjne.
Należy też wskazać, że poziom prowadzonych przez Prezesa UODO postępowań administracyjnych został oceniony przez organy odwoławcze. W 2019 r. wniesiono 89 skarg na decyzję albo postanowienia Prezesa UODO. Z tego 23 skargi do Wojewódzkiego Sądu Administracyjnego dotyczyły sektora prywatnego, 14 sektora publicznego, 35 dotyczyły organów odpowiadających za bezpieczeństwo publiczne i ściganie sprawców czynów zabronionych (m.in. Policja, Sądy, Służba Więzienna), a 14 skarg dotyczyło czynności Prezesa UODO podejmowanych na etapie rozpoznawania skargi.
W 2018 roku skarg na decyzję albo postanowienia było 77, co daje nam 15 % wzrost liczby składanych skarg:
opracowanie własne
I tutaj dotykamy zagadnienia stwierdzania przez WSA bezczynności organu nadzorczego i to nawet z rażącym naruszeniem prawa (np. II SAB/Wa 198/18) oraz z wymierzeniem organowi grzywny (np. II SAB/Wa 347/18, ) lub przyznania sumy pieniężnej na rzecz Skarżącego (np. II SAB/Wa 337/18), ale o tym w sprawozdaniu jakoś nie wspomniano.
Wskazano, co ciekawe, że taki stan rzeczy „(…) wiązał się z szerszym problemem dotyczącym ograniczonych zasobów ludzkich Urzędu Ochrony Danych Osobowych i dużej rotacji pracowników, co znacząco utrudniało w pełni efektywne wykonywanie powierzonych zadań” (str. 22 sprawozdania). Nadto organ nadzorczy, jak sam wskazuje „stale zmierza się z koniecznością dokonywania interpretacji nowych przepisów o ochronie danych osobowych, zaś skarżący nieustannie wykazują duże zainteresowanie dochodzeniem swoich praw z zakresu ochrony danych osobowych” (str. 24 sprawozdania).
Skargi obywateli
Zanim przejdę do omówienia danych statystycznych, w zakresie wniesionych skarg do Prezesa UODO, warto odnotować najczęściej popełniane błędy w tym zakresie. Najczęściej skarżący wzywani są do doprecyzowania żądania mieszczącego się w zakresie kompetencji przysługujących Prezesowi UODO, gdyż większość z nich wnosi m.in. o samo wszczęcie postępowania w sprawie, nie wskazując podjęcia jakich działań w sprawie domagają się od Prezesa UODO. Skarżący wnoszą o stwierdzenie, czy doszło do naruszenia ich prawa do ochrony danych osobowych, o przeprowadzenie kontroli w stosunku do skarżonego podmiotu, o nałożenie administracyjnej kary pieniężnej oraz o ustalenie podmiotu, który dopuszcza się naruszenia ich prawa do ochrony danych osobowych, a także o wypłatę odszkodowania/zadośćuczynienia.
Prezes Urzędu wskazuję, że „wnioskodawcy wzywani są do wskazania pełnej nazwy oraz adresu siedziby albo imienia, nazwiska oraz adresu skarżonego podmiotu oraz do wskazania swojego adresu poczty tradycyjnej, w szczególności, gdy podanie wnoszone jest przez skarżących za pomocą środków komunikacji elektronicznej (ePUAP), gdyż błędnie przyjmują, że samo podpisanie podania: kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym, powinno pozwolić zindywidualizować ich jako strony postępowania”.
To twierdzenie mnie dość mocno zaskoczyło, gdyż uważałem, że przesłanie skargi przez ePUAP spełnia wymogi art. 63 § 3a kpa (jest opatrzone kwalifikowanym podpisem elektronicznym, podpisem zaufanym
albo podpisem osobistym, lub uwierzytelniane w sposób zapewniający możliwość potwierdzenia pochodzenia i integralności weryfikowanych danych w postaci elektronicznej oraz zawiera adres elektroniczny wnoszącego podanie). Może ktoś z Koleżanek albo Kolegów rozwieje tu moje wątpliwości.
Przechodząc do liczb skarg to w 2019 r. do organu nadzorczego wpłynęło ich 9304, a w roku 2018 r. było ich 565, co daje nam wzrost o prawie 68% rok do roku:
opracowanie własne
Na uwagę zasługuję też fakt, że w pierwszych siedmiu miesiącach stosowania przepisów RODO wpłynęło do organu nadzorczego aż 4550 skarg (!), co daje około 21 skarg dziennie.
Jeśli chodzi o zakres tematyczny składanych skarg to został on bardzo dokładnie opisany w sprawozdaniu (str. 30-67).
Dokonałem subiektywnego wyboru tych tematów/branż, których skargi są ciekawe.
Prawo do bycia zapomnianym
Czy to w zakresie postępowań sprawdzających, o których mowa w ustawie o ochronie informacji niejawnych, czy też w sytuacji dotyczącej przetwarzania danych przez usługodawcę – nadal prawo do bycia zapomnianym jest jednym z najczęstszych przedmiotów skarg obywateli. Prezes UODO prawidłowo podkreśla, że prawo to nie ma charakteru bezwzględnego i wskazuje, że „(…) nie zawsze można było żądać usunięcia wszystkich swoich danych osobowych, zwłaszcza w sytuacji, gdy dane osobowe przetwarzane były zgodnie z prawem w wielu różnych celach. I tylko dlatego, że zakończył się jeden z celów przetwarzania, np. nastąpił koniec umowy, nie oznaczało to zaprzestania przetwarzania danych w ogóle, zgodnie z obowiązującymi przepisami prawa”.
Prezes UODO wskazał także, że „w ciągu półtora roku stosowania rozporządzenia 2016/679, tj. w okresie 25.05.2018 – 31.12.2019, dało się zauważyć kilka ciekawych tendencji w zakresie skarg. O ile, podobnie jak przed 25 maja 2018 r., porównywalnie liczne były skargi dotyczące prawa bankowego, windykacji długów czy kwestii przetwarzania danych osobowych w celach marketingowych, o tyle pojawił się również cały szereg nowych zagadnień oraz spraw pokazujących wzrost świadomości prawnej społeczeństwa. Na znaczeniu zyskało wykonywanie obowiązku informacyjnego, uregulowane obecnie w art. 13, 14 oraz 15 RODO. Skarżący składają również wnioski o udostępnienie im kopii danych w trybie art. 15 ust. 3 rozporządzenia 2016/679, myląc to z obowiązkiem wydania im przez administratora dokumentów, które zawierają ich dane osobowe. Zdarzały się również liczne wnioski o udostępnienie nagrań z monitoringu wizyjnego prowadzonego w podmiotach takich jak, np. sklepy, centra handlowe, jak też wnioski o udostępnienie nagrań z infolinii w celu złożenia skutecznej reklamacji i udowodnienia okoliczności dotyczących, np. zakupu określonych produktów z wadami fabrycznymi, bądź też nienależytego wykonania polecenia wydanego drogą telefoniczną przez posiadacza rachunku przez pracownika banku w odniesieniu do konta bankowego klienta”.
Trzeba wskazać, że największym zainteresowaniem Skarżących „cieszył się” sektor bankowy. Nie wchodząc w szczegóły odwiecznej interpretacji art. 105a ust 3 Prawa bankowego uważam, że warto zacytować ten fragment sprawozdania (str. 42): ” Stanowisko Prezesa UODO dotyczące konieczności możliwego do udowodnienia powiadomienia skarżących o zamiarze przetwarzania ich danych osobowych w bazach dłużników, zostało potwierdzone w wyrokach sądów administracyjnych (wyrok z 25 lipca 2017 r. sygn. akt I OSK 2859/16 NSA oraz w wyroku II SA/Wa 1957/1768). Co istotne, odnosząc się do prowadzonych spraw można zaobserwować minimalną zmianę podejścia podmiotów sektora bankowego w zakresie informowania osób fizycznych o okolicznościach z art. 105a ust. 3 Prawa bankowego w taki sposób, aby następowało rzeczywiste poinformowanie osób o zamiarze przetwarzania przez bank danych osobowych, dysponując przy tym dowodami potwierdzającymi tę okoliczność. Nieliczne banki zaczęły informować osoby fizyczne o powyższym zamiarze przetwarzania ich danych osobowych poprzez wysyłkę korespondencji za potwierdzeniem odbioru. Jest to niewątpliwie słuszna praktyka, choć na obecną chwilę jeszcze nie powszechna”.
Prawo do wniesienia sprzeciwu.
W tym zakresie Prezes UODO wskazuje bardzo słusznie, że poinformowanie o możliwości wniesienia sprzeciwu wobec przetwarzania danych osobowych w klauzuli informacyjnej nie jest wystarczające. Stoi on na stanowisko, że „mając na uwadze treść art. 21 ust. 4 rozporządzenia 2016/679 – administrator – najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, powinien wyraźnie poinformować ją o prawie do wyrażenia sprzeciwu, o którym mowa w art. 21 ust. 1 i 2 rozporządzenia 2016/679 (wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e lub f, w tym profilowania na podstawie tych przepisów oraz prawie do sprzeciwu na przetwarzanie danych na potrzeby marketingu bezpośredniego) przedstawić je jasno i odrębnie od wszelkich innych informacji. Zatem prawo do wyrażenia sprzeciwu na przetwarzanie danych wymaga szczególnej uwagi po stronie administratorów, powinno zmierzać do świadomego zarządzenia danymi przez administratorów, związanego z respektowaniem prawa osoby, której dane dotyczą.
I co ciekawe to Prezes UODO zajął także stanowisko, że „administrator nie może „zatrzymać danych” osób, które cofnęły zgodę, argumentując to tym, że potencjalnie może ponownie wykorzystać te dane. Jeśli bowiem – potencjalnie – administrator miałby po raz kolejny pozyskać i przetwarzać dane osobowe tych osób, musiałaby posiadać w stosownych okolicznościach podstawę prawną. W tej sytuacji, administrator nie może argumentować pozostawienia danych osób, których dane dotyczą w bazie marketingowej, w celu uniknięcia ponownego wykorzystania tych danych, ponieważ byłoby to wbrew zasadom minimalizacji danych i zasadzie celowości ich przetwarzania”.
Ubezpieczenia
Jeśli chodzi o ten sektor to należy ” (…) zaznaczyć (trzeba) ciągle niedostateczną znajomość przepisów rozporządzenia 2016/679. W szczególności ubezpieczyciele mają problemy z interpretacją przepisu art. 6 ust. 1 lit. c rozporządzenia i często nie podają podstawy prawnej, z której wynika obowiązek przetwarzania przez nich danych osobowych, powołując się jedynie na ten przepis. Ze względu na rosnącą świadomość obywateli dotyczącą ochrony danych osobowych, należy się spodziewać coraz częstszego kwestionowania konieczności pozyskiwania szerokiego zakresu danych osobowych, bez wyraźnego uzasadnienia, w szczególności danych dotyczących zdrowia. Towarzystwa ubezpieczeniowe powinny także zmodyfikować swoją politykę informacyjną. Szczególnie istotne jest informowanie o podstawach prawnych i celach powierzania danych podmiotom trzecim, w celu realizacji obowiązków wynikających z prawa ubezpieczeniowego, a także o podstawach prawnych i celach przetwarzania danych po upływie okresu ubezpieczenia” (str. 47 sprawozdania).
Jak wygląda statystyka zawiadomień o podejrzeniu popełnienia przestępstw
Wiemy, że zarówno ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 107 i art. 108) jak i również ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (art. 54 i art. 55) przewidują odpowiedzialność karną za dopuszczenie się pewnych działań.
Prezes UODO w 2019 r. skierował do odpowiednich organów 5 zawiadomień o podejrzeniu popełnienia przestępstwa przez osoby odpowiedzialne za przetwarzanie danych osobowych. Jednym z takich zawiadomień objęte było postępowanie polegające na żądaniu od osób, których dane dotyczą opłaty (200 zł) za usunięcie wpisów zawierających ich dane osobowe.
Kontrole przestrzegania przepisów ochrony danych osobowych
W 2019 roku przeprowadzono 98 kontroli przestrzegania przepisów o ochronie danych osobowych. Jest to więcej o 26 kontroli w porównaniu do 2018 r., w którym było ich 72:
opracowanie własne
Kontrolami przeprowadzonymi w 2019 roku objęto podmioty prowadzące telemarketing, portal internetowy, organizatora loterii, banki w zakresie profilowania klientów i potencjalnych klientów, centrum medyczne podmiotu leczniczego w ramach badania procesu wystawiania i obsługi elektronicznych zwolnień lekarskich (e-ZLA), placówki oświatowe i służby zdrowia wykorzystujące monitoring wizyjny, podmioty lecznicze w zakresie źródeł pozyskiwania i sposobu zbierania danych osobowych, spółdzielnie mieszkaniowe, urzędy miast, starostwa, urząd marszałkowski, przedsiębiorstwo wodociągów i kanalizacji, przedsiębiorstwo zarządzające kompleksowym systemem gospodarki odpadami komunalnymi, ZUS, Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych oraz Krajową Izbę Rozliczeniową.
Jeżeli chodzi o sektor prywatny to statystyki dotyczące przeprowadzonych kontroli są zatrważające. Wynika z nich, że w 2019 roku odbyło się jedynie 20 kontroli (!). W dwóch przypadkach zaplanowane czynności kontrolne nie odbyły się ze względu na ich skuteczne udaremnienie przez kontrolowane podmioty. Daje nam to 18 przeprowadzonych kontroli. W 4 kontrolowanych podmiotach nie stwierdzono naruszenia przepisów o ochronie danych osobowych, a w 14 sprawach postępowania administracyjne były w toku w trakcie sporządzania sprawozdania za 2019 r.
Opisano wyniki jednej z przeprowadzonych kontroli, a samo „naruszenie to dotyczyło upublicznienia nagrania z zakupów dokonanych na terenie jednej z placówek handlowych. W toku kontroli ustalono, że pracownik fumy ochroniarskiej aparatem telefonicznym nagrał film z obrazu zamieszczonego na ekranie monitora wchodzącego w skład systemu monitoringu stosowanego w tej placówce. Następnie nagranie to udostępnił pracownikowi tej placówki handlowej, który z kolei najprawdopodobniej przekazał przedmiotowe nagranie dziennikarzowi. W ten sposób nagranie zostało upublicznione w mediach społecznościowych. Z ustaleń kontroli wynika, że podmiot prowadzący przedmiotową placówkę handlową zawiadomił prokuraturę o podejrzeniu popełnienia przestępstwa z art. 107 § 1 ustawy o ochronie danych osobowych przez osoby, o których mowa powyżej. Wskazać należy, że w toku tej samej kontroli został przeprowadzony test w celu zbadania, czy obraz kamery zamontowanej nad kasą pozwala na odczytanie danych zamieszczonych na dokumencie zbliżonym do oka kamery. W wyniku tego testu stwierdzono, że odczyt obrazu z kamery jest bardzo nieczytelny i nie pozwala na odczytanie jakichkolwiek informacji, w tym danych osobowych zawartych w dokumencie poddanym oględzinom”.
Zgłaszanie naruszeń ochrony danych osobowych
Tutaj nie będzie zaskoczenia jeżeli powiem, że z opublikowanych danych statystycznych wynika wzrost zgłoszonych naruszeń o prawie 146 %. W 2019 r. zgłoszono ich 6039, podczas gdy w okresie od 25.05.2018 r. do 31.12.2018 r. zostało zgłoszonych 2446 naruszeń.
opracowanie własne
W 2019 r. 3894 naruszeń ochrony danych osobowych zostało zgłoszonych przez podmioty sektora prywatnego, 2145 przez podmioty sektora publicznego, zaś 69 naruszeń zgłoszono w międzynarodowym systemie informatycznym (IMI). W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od podmiotów: telekomunikacyjnych (1433), ubezpieczeniowych (638), banków i podmiotów finansowych (527) oraz służby zdrowia (206). W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały jednostki samorządu terytorialnego (453), szkoły, przedszkola, żłobki (148) oraz placówki służby zdrowia (166).
Istotne jest to, że zdaniem Prezesa UODO „wszystkie wyżej wymienione podmioty, w porównaniu do poprzedniego okresu sprawozdawczego, poprawiły procedury, szczególnie w aspekcie dokonywania analizy ryzyka naruszenia praw lub wolności osób fizycznych, jak również prawidłowego konstruowania zawiadomień o naruszeniu ochrony danych osobowych, zgodnie z art. 34 rozporządzenia 2016/679”.
Najczęściej zgłaszane w 2019 r. naruszenia ochrony danych osobowych przez administratorów sektora prywatnego można pogrupować według następujących zagadnień:
- Udostępnienie danych osobie innej niż adresat – nieprawidłowo zaadresowana korespondencja (w formie tradycyjnej oraz za pomocą poczty elektronicznej). Naruszenia o charakterze incydentalnym, wynikające z błędów pracowników. W ramach działań minimalizujących ryzyko ponownego wystąpienia naruszenia administratorzy przeprowadzali dodatkowe szkolenia, audyty bezpieczeństwa, dyscyplinowali pracowników, dokonywali przeglądu wdrożonych procedur oraz zobowiązywali osoby nieuprawnione, które weszły w posiadanie tych dokumentów, do ich zwrotu.
- Wysyłka poczty elektronicznej do wielu adresatów z pominięciem aktywnej opcji „ Ukryj do wiadomości”, naruszenia wynikające z błędu ludzkiego, najczęściej w momencie dokonywania przez pracowników seryjnej wysyłki korespondencji. W ramach działań minimalizujących ryzyko ponownego wystąpienia naruszenia, administratorzy przeprowadzali szkolenia pracowników z zakresu korzystania z poczty elektronicznej oraz dokonywali przeglądu wdrożonych procedur.
- Błędy programistyczne w systemach informatycznych pozwalające na uzyskanie dostępu do danych osobowych przez osoby do tego nieuprawnione. Najczęstszą przyczyną tego typu naruszeń były błędy ujawniające się po wprowadzeniu aktualizacji danego oprogramowania lub brak wewnętrznych testów bezpieczeństwa, które mogły wykazać podatności systemu. W ramach działań minimalizujących ryzyko ponownego wystąpienia naruszenia, administratorzy decydowali o wcześniejszym dokładniejszym testowaniu oprogramowania/systemu w środowisku deweloperskim.
- Ataki hakerskie skutkujące uzyskaniem nieuprawnionego dostępu do bazy danych. Naruszenia wynikały z podatności atakowanych systemów oraz wyspecjalizowanych umiejętności osób przeprowadzających tego typu ataki. Administratorzy w ramach działań naprawczych dokonywali przeglądu wdrożonych zabezpieczeń oraz zlecali wykonywanie testów bezpieczeństwa podmiotom wyspecjalizowanym w danej dziedzinie, co umożliwiało znaczne podniesienie stopnia stosowanych zabezpieczeń. Powiadamiano również organy ścigania.
- Zagubienie dokumentacji zawierających dane osobowe, głównie w formie papierowej przez operatorów pocztowych lub podmioty świadczące usługi kurierskie. W ramach działań naprawczych administratorzy dokonywali przeglądu umów zawartych z tymi podmiotami oraz ustalano przyczyny zaistniałych zdarzeń.
- Udostępnienie danych w formie papierowej lub elektronicznej osobie nieuprawnionej. W tym przypadku do naruszeń dochodziło w skutek omyłkowo zaksięgowanych przelewów, wydawania dokumentów (np. formularzy) zawierających dane osobowe innych osób. Administratorzy podejmowali działania mające na celu zdyscyplinowanie pracowników, przeprowadzali dodatkowe szkolenia, dokonywali przeglądu procedur, oraz zobowiązywali osoby nieuprawnione, które weszły w posiadanie tych dokumentów do ich zwrotu.
- Publikacja danych osobowych na stronie internetowej administratora – w ramach działań naprawczych administratorzy usuwali treści ze swoich witryn internetowych.
- Kradzież baz danych klientów przez pracowników. Tego typu naruszenia występują na coraz większą skalę w sektorze bankowym oraz ubezpieczeniowym. Pracownicy w momencie ustania stosunku pracy przenosili potencjalną bazę danych klientów do nowego pracodawcy (np. banku), która następnie była przez nich ponownie wykorzystywana. Dane osobowe wykradzione w ten sposób były również oferowane na internetowych portalach aukcyjnych. W przypadku zaistnienia tego typu naruszeń powiadamiane były organy ścigania. Minimalizując ryzyko ponownego wystąpienia naruszenia podmioty wdrażają m.in. systemy DLP (Data Loss Prevention), które posiadają zdefiniowane reguły m.in. w zakresie przesyłania plików przez pocztę elektroniczną do adresatów zewnętrznych; wgrywanie plików na stronach internetowych; nagrywane plików na nośniki USB oraz przesyłanie danych na prywatne skrzynki pocztowe pracowników.
Podsumowanie
Sprawozdanie Prezesa Urzędu Ochrony Danych Osobowych z działalności za 2019 roku dostarcza twardych danych statystycznych i pozwala wyrobić rzeczowy pogląd na podejmowane przez organ działania.
W mojej opinii obecny stan zatrudnienia (216 pracowników merytorycznych) powinien się w niedalekiej przyszłości co najmniej podwoić, aby możliwym było przeprowadzenie większej liczby kontroli m.in w sektorze prywatnym, bo tylko takie działania pozwolą na odpowiednią ochronę danych osobowych. To właśnie na tym zależy nam wszystkim.