Do Urzędu Ochrony danych Osobowych w całym 2018 roku wpłynęło 5565 skarg, z czego przeszło 4550  po 25 maja, czyli po dniu, w którym zaczęło być stosowane RODO. W tym czasie urząd przeprowadził 71 kontroli, z tego 32 po 25 maja. Tak wynika z właśnie opublikowanego sprawozdania z działalności prezesa UODO w 2018 roku, pierwszego za czasów RODO. Czy to dużo? – Na pewno tak - uważa Piotr Liwszic, specjalista do spraw ochrony danych w ODO 24. Liczba skarg jest blisko dwukrotnie większa niż w 2017 roku. Końcówka obecnego roku pokazuje, że UODO nabiera wprawy w wydawania decyzji, co daje podstawy do twierdzenia, że w 2020 roku kontroli zgodności przetwarzania danych z przepisami o ich ochronie będzie zdecydowanie więcej – ocenia Piotr Liwszic.

Czytaj w LEX: Sankcje administracyjne za naruszenie przepisów RODO >

Od 25 maja do końca ubiegłego roku zgłoszono 2 446 naruszeń utraty danych, w tym aż 1882 z sektora prywatnego. Najwięcej z od firm telekomunikacyjnych, ubezpieczeniowych, finansowych, banków oraz służby zdrowia. Naruszenie to zgubienie, kradzież nośnika z danymi, wyciek czy usunięcie danych z jakiegoś zbioru. Instytucje mają 72 godziny na dokonanie zgłoszenia od wykrycia naruszenia.

Zobacz w LEX: Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych >

Z perspektywy przedsiębiorców ważne jest, na jakie nieprawidłowości w przetwarzaniu danych zwraca uwagę UODO, a tych jest sporo.

Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami ebook

Maciej Gawroński

Sprawdź  

Prawo telekomunikacyjne a kserowanie dowodów

Prezes UODO nie zgadza się ze stanowiskiem operatora telekomunikacyjnego, że art. 161 ust. 2 pkt 7 czy też art. 57 ust. 2 Prawa telekomunikacyjnego uprawniają do przetwarzania danych zawartych w dokumencie tożsamości, a wykraczających poza zakres określony w art. 161 ust. 2 Prawa telekomunikacyjnego.  Prawo telekomunikacyjne nie zezwala bowiem na przetwarzanie takich danych, jak: wizerunek twarzy, płeć, dane dotyczące dowodu osobistego, w tym datę wydania, datę ważności, oznaczenie organu wydającego dowód osobisty (ewentualnie podpis, rysopis, w przypadku starszych dokumentów tożsamości). Ponadto zdaniem UODO  dokumenty tożsamości, jak i dokumenty potwierdzające tożsamość, nie są dokumentami, które potwierdzałyby zdolność do wykonania zobowiązania pieniężnego. Legitymacja ZUS to nie dowód tożsamości, lecz dokument potwierdzający prawo do emerytury lub renty.

Nie można więc kopiować takich dokumentów, bo to oznacza  przetwarzanie nieadekwatnego zakresu danych osobowych. – Tutaj wskazano, że problemem nie jest sama czynność kopiowania, a naruszenie zasady adekwatności. To mniej restrykcyjne podejście do czynności kopiowania dokumentów tożsamości niż w sektorze bankowym – ocenia dr Jan Byrski, adwokat i partner w kancelarii Traple Konarski Podrecki i Wspólnicy.

Czytaj również: Nie ma zakazu kserowania dowodów osobistych przez banki >>

Banki muszą informować dłużników, że przetwarzają ich dane

W przypadku banków najczęściej wnoszone skargi dotyczą nie poinformowania dłużników o udostępnianiu ich danych innym bankom czy instytucjom kredytowym na podstawie prawa bankowego. UODO wskazuje, że aby było to możliwe, bank musi poinformować dłużnika  o zamiarze przetwarzania jego danych osobowych bez jego zgody, gdy nie wykonał on zobowiązania lub dopuścił się zwłoki powyżej 60 dni w spełnieniu świadczenia, a po zaistnieniu tych okoliczności powinno upłynąć co najmniej 30 dni od poinformowania tej osoby przez bank, o zamiarze przetwarzania dotyczących jej informacji, bez jej zgody. Okazuje się, że banki zazwyczaj nie dysponują dowodem doręczenia takiej informacji. W postępowaniu przedkładają jedynie wydruki z wewnętrznych systemów. To zaś nie jest potwierdzeniem, że klient został poinformowany o zamierzonym przetwarzaniu jego danych. Tu UODO radzi zmienić praktykę.

Marketing usług własnych na bakier z RODO

Do UODO wpływa dużo skarg dotyczących przetwarzania danych w celach marketingowych bez zgody osoby, której dane dotyczą. Zdaniem UODO niektórzy z administratorów, zwłaszcza firmy telekomunikacyjne, ubezpieczyciele czy banki, nie kwalifikują informacji o możliwości uaktywnienia usługi polegającej na otrzymywaniu informacji o bieżących promocjach, jako marketingu własnych produktów i usług. Zaś w ocenie prezesa UODO, w przypadku, gdy dane osobowe są przetwarzane w celu kierowania informacji mającej nakłonić klienta lub potencjalnego klienta do skorzystania z oferowanych usług, to tego rodzaju przetwarzanie stanowi cel marketingowy. W przypadku wyrażenia sprzeciwu administrator jest więc zobowiązany do zaprzestania kierowania do marketingu produktów własnych i usług, niezależnie od tego, jaka usługa jest przedmiotem marketingu. Zdaniem UODO banki nie powinny nakłaniać swoich klientów, o ile ci nie wyrazili zgody na przetwarzanie danych osobowych w celach marketingowych, do korzystania z dodatkowych usług za pomocą prezentowanych w internecie treści marketingowych oraz reklamowych.

Sygnaliści pod szczególną ochroną

Jan Byrski zwraca jeszcze uwagę na jeden wątek sprawozdania. Otóż prezes UODO wskazał na szczególną potrzebę ochrony sygnalistów zgłaszających nieprawidłowości. Jako przykład prezes UODO podał osobę, która poskarżyła się na sąsiada do burmistrza. Ten zaś kopię pisma przekazał sąsiadowi sygnalistki. UODO podkreśla, że niedopuszczalne było udostępnianie danych osobowych skarżącej na rzecz właściciela sąsiedniej działki.

Czytaj w LEX: Analiza sprawozdania z działalności UODO za 2018 - przegląd wskazówek dla administratorów danych >

Prezes podkreślił, że udostępnienie danych osobowych sygnalistów narusza zasadę celowości. Ustalając cel, administrator powinien odwołać się do okoliczności sprawy  i powodu, dla którego te dane zostały zebrane oraz każdorazowo dokonać starannej analizy zasadności udostępnienia danych. Zdaniem UODO niezbędne jest zapewnienie ochrony danych osobowych sygnalistów, nawet jeżeli na skutek ich skarg zostaną wszczęte odrębne postępowania. Dane takich osób powinny podlegać ochronie szczególnej z uwagi na możliwe konsekwencje w sferze naruszenia ich interesów przez faktyczne strony postępowań zainicjowanych na skutek ich sygnału. Ważne jest stworzenie mechanizmów pozwalających ograniczyć osobiste ryzyko ponoszone przez jednostki alarmujące o nieprawidłowościach, tak aby posiadając wiedzę na określony temat nie bały się jej ujawniać właściwym organom.

Mimo że przykład pochodzi z administracji to powinny na niego zwrócić uwagę firmy. Już za dwa lata bowiem zacznie być stosowana dyrektywa  o ochronie sygnalistów, która nakłada nowe obowiązki na różne instytucje. - Konieczne będzie m. in. zapewnienie właściwych procedur – zauważa Jan Byrski.

Natomiast Małgorzata Kurowska z kancelarii Maruta Wachta przyznaje, że RODO ma zastosowanie do regulacji w obszarze zgłaszania nieprawidłowości. - Osobie zgłaszającej nieprawidłowości  należy zapewnić możliwości komunikacji wewnętrznej, ochronę przed działaniami o charakterze odwetowym, a także – zachowanie jego tożsamości oraz treści komunikacji w poufności. Ten ostatni element będzie wymagać od organizacji ścisłej współpracy z Inspektorem Ochrony Danych – podkreśla Małgorzata Kurowska.