Dzień Ochrony Danych Osobowych stał się okazją do podsumowań. Z danych Urzędu Ochrony Danych Osobowych (dalej: UODO) wynika, że rośnie świadomość obywateli co do ochrony danych i przysługujących im praw. Liczba naruszeń prawa, zgłaszana do UODO przez administratorów danych w 2022 r. nie odbiegała od tej z 2021 r., ale daje się zauważyć wzrost świadomości administratorów i poprawę niektórych działań - ocenia UODO.
Czytaj również: WSA: O naruszeniu danych osobowych należy poinformować bez zbędnej zwłoki >
Sprawdź też: Tabela retencji danych - zestawienie >>>
Większa świadomość administratorów danych
Jak poinformował PAP powołując się na Adama Sanockiego, rzecznika prasowego UODO, w 2022 r. Urząd otrzymał 12 777 zgłoszeń o naruszeniach przepisów od administratorów danych osobowych, podczas gdy w 2021 r. zgłoszeń tych było 12 946, a w 2020 r. - około 7,5 tys.
Sprawdź też: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa UODO >>>
Jak ocenia Sanocki, świadomość administratorów wyraźnie rośnie. Poprawa działań jest także zauważalna, jeśli chodzi o powiadamianie osób, których dotyczy naruszenie. - W tym obszarze wygląda to lepiej niż w poprzednich latach. Nie idzie jednak za tym wzrost świadomości dotyczący innych obowiązków administratorów związanych z naruszeniami ochrony danych - zaznaczył rzecznik. Wskazał, że administratorzy odnotowują fakt wystąpienia naruszenia, zgłaszają go do UODO i na tym poprzestają. Nie zawsze idzie za tym większe zaangażowanie w odpowiednie mierzenie i testowanie środków technicznych oraz rozwiązań organizacyjnych, które często są powodem naruszenia.
Jakie zgłoszenia trafiają do UODO
Wśród zgłaszanych do Urzędu naruszeń regulacji dotyczących ochrony danych osobowych częste są przypadki wysyłki danych do niewłaściwego odbiorcy czy niewłaściwego zabezpieczenia danych, przez co dostęp do nich zyskują osoby nieuprawnione. Dochodzi także do niewłaściwej anonimizacji danych przez co dochodzi do przypadkowego ujawnienia tych danych. Cześć naruszeń polega na zaszyfrowaniu danych osobowych w wyniku działania złośliwego oprogramowania typu ransomware.
Z informacji UODO wynika także, że zdarza się, iż pracownicy mający dostęp do danych wykorzystują go do celów prywatnych. W niektórych przypadkach dokumenty z danymi, zamiast trafić do niszczarki są wynoszone i służą np. jako rozpałka w kominku. W jednym przypadku pracownik przekazał dane jasnowidzowi, chcąc w ten sposób dowiedzieć się, co na jego temat myślą współpracownicy - podkreślił rzecznik UODO.
WZORY DOKUMENTÓW:
- Zastrzeżenie do protokołu kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych >
- Skarga na decyzję Prezesa UODO w przedmiocie cofnięcia akredytacji >
- Ankieta do inwentaryzacji systemów i programów służących do przetwarzania danych >
- Oświadczenie o zachowaniu poufności dla audytora wewnętrznego >
Według Sanockiego, kontrole Urzędu wykazują, że niektórzy administratorzy nie do końca rzetelnie przeprowadzają analizę ryzyka. Przez to zastosowane przez nich zabezpieczenia techniczne, jak i organizacyjne bywają niedoszacowane do faktycznych zagrożeń. - Są i tacy administratorzy, którzy bardzo dużą wagę przykładają do technicznych zabezpieczeń, zapominając jednocześnie o szkoleniu pracowników i przypominaniu im o podstawowych zasadach. A to właśnie czynnik ludzki jest decydujący, jeśli chodzi o ataki typu ransomware, do których dochodzi po kliknięciu przez pracowników w linki z nieznanych źródeł czy w korespondencji, w której przestępcy podszywają się pod inny podmiot – podkreśla rzecznik.
Jak twierdzi Adam Sanocki, sprawy o największej wadze ze względu na skalę naruszenia czy z uwagi na wrażliwość danych zakończyły się karami nałożonymi przez Prezesa UODO.
Sprawdź również książkę: Analiza ryzyka w ochronie danych osobowych >>
Skargi od obywateli
W 2022 r. do Urzędu Ochrony Danych Osobowych trafiło prawie 7 tys. skarg obywateli. Wzrost ich liczby oznacza, że świadomość obywateli co do ochrony danych i przysługujących im praw rośnie.
Jak podkreśla Adam Sanocki, skargi dotyczą przeróżnych sytuacji. Skarżący wskazują m.in. na brak ich zgody lub innej podstawy prawnej do przetwarzania danych przez administratora, albo też na to, że ich dane są nieprawidłowe. Są też skargi na nieprawidłowe przetwarzanie danych - choćby przypadek zamienienia imienia i nazwiska w Internetowym Koncie Pacjenta skarżącego.
Jak podkreślił, trafiają się też skargi nietypowe. Jedna z nich dotyczyła sytuacji, w której osoba otrzymała niewłaściwe badanie rezonansem magnetycznym. Skarżący zorientował się, że obraz przedstawiał osobę z protezą stomatologiczną, podczas gdy on sam ma własne uzębienie. Wśród skarg związanych z monitoringiem trafiła się też taka, gdzie skarżąca zorientowała się, że w przebieralni w jednym ze sklepów jest lustro weneckie, a za nim kamera. Do UODO trafiła nawet skarga na „kopiowanie fal mózgowych” przez różne instytucje.
Rzecznik prasowy UODO twierdzi, że o ile obywatele generalnie wiedzą, iż administratorzy muszą przestrzegać przepisów Ogólnego rozporządzenia o ochronie danych (RODO), o tyle zapominają, że podstawą do przetwarzania danych osobowych mogą być inne przepisy. Widać to w przypadku analizy skarg, gdzie skarżący wskazują, że nie wyrażali zgody na przetwarzanie ich danych w określony sposób, ale podstawą w tych przypadkach były przepisy sektorowe.
W dalszym ciągu do Urzędu trafia wiele skarg zawierających błędy formalne, co uniemożliwia dalsze prowadzenie sprawy do czasu ich uzupełnienia. - UODO nie prowadzi w tym zakresie statystyk, ale zauważa poprawę pod tym względem w porównaniu do lat poprzednich. Nadal zdarza się jednak, że skarżący nie wskazują np. administratora danych, który nie przestrzega ich praw. Urząd tymczasem jest związany przepisami Kodeksu postępowania administracyjnego i nie może prowadzić dalej takiej sprawy – zauważa Sanocki.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
