Global menu

Our global pages

Close

Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych – rośnie liczba naruszeń, skarg i kontroli

  • Poland
  • Other

26-09-2022

PUODO opublikował sprawozdanie ze swojej działalności za rok 2021. Wynika z niego, że liczba skarg – w stosunku do poprzedniego roku – rośnie. Poza skargami, w 2021 roku do PUODO trafiło też prawie 13 tysięcy zgłoszeń dotyczących naruszeń ochrony danych osobowych. Najczęstszą przyczyną naruszeń są w dalszym ciągu czynniki ludzkie, a organ nadzoru często nakłada kary za brak współpracy.

W tym artykule przedstawiamy praktyczne wnioski ze sprawozdania.

Decyzje administracyjne

W roku 2021 Prezes Urzędu Ochrony Danych Osobowych wydał 2 082 decyzje administracyjne - o 216 więcej w stosunku do roku 2020 r. Dla porównania, w roku 2019 wydano 1 369 decyzji.

Skargi

W roku 2021 do PUODO wpłynęło 8 318 skarg, tj. o 1 876 więcej niż w roku 2020. W 2019 r., będącym pierwszym pełnym rokiem obowiązywania RODO, było ich 9 303. W podziale na poszczególne sektory w 2021 r. liczba skarg prezentuje się następująco:

  • 1 412 skarg w sektorze publicznym,
  • 3 486 skarg w sektorze prywatnym,  
  • 1 445 skarg w sektorach zdrowia, zatrudnienia i szkolnictwa,
  • 1 833 skargi w sektorach finansowym, ubezpieczeniowym i telekomunikacyjnym, 
  • 142 skargi w sektorze transgranicznym. 

Kontrole

Od 1 stycznia do 31 grudnia 2021 r. PUODO przeprowadzał czynności kontrolne w zakresie przestrzegania przepisów dotyczących ochrony danych osobowych w 22 podmiotach. Kontrole były przeprowadzane w rezultacie powzięcia przez PUODO informacji o występujących nieprawidłowościach oraz w ramach kontroli okresowych. W analizowanym 2021 roku czynności kontrolne dotyczące przestrzegania przepisów dotyczących ochrony danych osobowych przeprowadzono w bankach, podmiotach oferujących usługi poczty elektronicznej czy też podmiotach świadczących usługi pocztowe.

Przykładowo, w 2021 roku PUODO przeprowadził cztery kontrole w podmiotach oferujących usługi poczty elektronicznej za pośrednictwem portali internetowych. Kontrolujących w szczególności interesowały elementy bezpieczeństwa wykorzystywane w celu ochrony infrastruktury usługi poczty z uwzględnieniem mechanizmu tworzenia i weryfikacji kopii zapasowych oraz systemów antywirusowych/antyspamowych.

Przedmiotem badań PUODO jest też obecnie dopuszczalność stosowania przez operatorów pocztowych podpisów biometrycznych.

Naruszenia

W 2021 r. do PUODO wpłynęło 12 946 zgłoszeń dotyczących naruszeń. Widoczny jest bardzo dynamiczny wzrost ich liczby: w 2019 r. PUODO otrzymał jedynie 6039 zgłoszeń, a w 2020 r. 7 507.

Spośród wszystkich zgłoszonych naruszeń, które wpłynęły w 2021 roku, 8172 zgłosiły podmioty sektora prywatnego, 4 738 podmioty sektora publicznego, zaś 36 zgłoszono w międzynarodowym systemie informatycznym.

W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od podmiotów:

  • telekomunikacyjnych – 1 890, 
  • ubezpieczeniowych – 1 929, 
  • banków i podmiotów finansowych – 1 113, 
  • niepublicznej służby zdrowia – 257. 

Najczęściej zgłaszane naruszenia dotyczyły poniższych kwestii:

  • nieprawidłowego zaadresowania lub zapakowania korespondencji, 
  • nieprawidłowej anonimizacji danych lub niezamierzonej ich publikacji – np. w sektorze publicznym dochodziło do tego typu naruszeń m.in. w Biuletynie Informacji Publicznej i dziennikach urzędowych, 
  • udostępnienia danych niewłaściwej osobie – do tego typu naruszeń dochodziło m.in. w konsekwencji wydawania dokumentów (np. zaświadczeń i deklaracji podatkowych), 
  • zagubienia korespondencji przez operatora pocztowego lub otwarcia korespondencji przed zwróceniem jej do nadawcy, 
  • nieuprawnionego dostępu do baz danych – do tych naruszeń dochodziło wskutek błędów oprogramowania ujawniających się po aktualizacji, 
  • zagubienia lub kradzieży nośnika danych – do tego typu naruszeń dochodziło w wyniku utraty nośników danych typu laptop lub pendrive, które w chwili zdarzenia często pozostawały niezaszyfrowane,
  • wykorzystania złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych. 

W okresie sprawozdawczym nastąpił także znaczący wzrost zgłaszanych naruszeń ochrony danych osobowych związanych z atakami z użyciem oprogramowania ransomware, które szyfruje zasoby zawierające dane osobowe, uniemożliwiając do nich dostęp, w następstwie czego atakujący oferują klucz deszyfrujący za opłatą.

Postępowania wszczęte z urzędu

W 2021 r. PUODO wszczął z urzędu 49 postępowań administracyjnych w sprawie naruszenia przepisów o ochronie danych osobowych. Postępowania dotyczyły w szczególności:

  • przeprowadzonej oceny ryzyka naruszenia praw lub wolności osób fizycznych, 
  • doboru zabezpieczeń systemu informatycznego, 
  • sposobu realizacji przez podmiot przetwarzający postanowień umowy powierzenia,
  • treści zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych.

Administracyjne kary pieniężne

W 2021 r. PUODO nałożył w sumie 18 administracyjnych kar pieniężnych, z czego 17 zostało nałożonych na podstawie przepisów RODO, zaś jedna kara na podstawie przepisów Prawa telekomunikacyjnego. Spośród 18 kar pieniężnych, siedem z nich nałożonych zostało za brak współpracy z PUODO, zaś w jednej sprawie PUODO nałożył administracyjną karę pieniężną za nieprzestrzeganie nakazu decyzji. Pozostałe 10 kar dotyczyło naruszeń ochrony danych osobowych.

Podsumowanie 

Sprawozdanie wyraźnie pokazuje dynamiczny wzrost liczby zgłaszanych przez administratorów naruszeń danych osobowych. Ten fakt można interpretować jako efekt wzrostu świadomości podmiotów rynkowych w zakresie ochrony danych osobowych. Widać też, że naruszenia najczęściej wynikają z błędów ludzkich, takich jak nieprawidłowo zaadresowana wiadomość czy też zagubienie bądź niezabezpieczenie sprzętu komputerowego i innych nośników danych. Jak wynika z raportu, znaczna liczba kar jest nakładana za brak współpracy administratorów z organem nadzoru. Takie dane powinny zatem zmobilizować podmioty przetwarzające dane osobowe do zmiany podejścia wobec działań PUODO. Przedsiębiorcy powinni zadbać także o to, aby pracownicy w przetwarzali dane osobowe w sposób zgodny z prawem i bezpieczny.

Najlepszą drogą do tego celu są regularne szkolenia uświadamiające dla pracowników. Dla zapewnienia zgodności przetwarzania danych z RODO bezcenne są również odpowiednie procedury i polityki sporządzone przez fachowe podmioty. Główną korzyścią wynikającą z przeprowadzonych szkoleń i wprowadzenia procedur jest uniknięcie skarg klientów oraz kar nakładanych przez PUODO. Prawidłowo sporządzone procedury pomogą też uporządkować procesy zachodzące w danej firmie. To dodatkowa korzyść, jaką może osiągnąć biznes przy okazji dostosowywania się do wymagań organu nadzoru.