Jako najczęściej zgłaszane oraz typowe naruszenia w 2021 r. Prezes UODO w swoim sprawozdaniu wskazał:
- Nieprawidłowe zaadresowanie lub zapakowanie korespondencji (w formie tradycyjnej lub elektronicznej) – w konsekwencji tych naruszeń udostępniano dane osobowe osobom nieuprawnionym. Naruszenia te powstawały najczęściej w wyniku błędu pracownika administratora danych. Źródłem naruszenia stawały się także błędy już na etapie gromadzenia danych adresowych, gdy niedoszli adresaci przesyłek wskazywali administratorom nieprawidłowe adresy do korespondencji. Do udostępniania danych osobowych niewłaściwym adresatom dochodziło często w konsekwencji wysyłania masowej korespondencji elektronicznej bez ukrycia adresów e-mail innych osób (UDW).
- Nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja – w sektorze publicznym dochodziło do tego typu naruszeń m.in. w Biuletynie Informacji Publicznej i dziennikach urzędowych.
- Udostępnienie danych niewłaściwej osobie – do tego typu naruszeń dochodziło m.in. w konsekwencji wydawania dokumentów (np. zaświadczeń i deklaracji podatkowych) osobom bez uprawnień do ich otrzymania lub omyłkowych zaksięgowań przelewów.
- Zagubienie korespondencji przez operatora pocztowego lub otwarcie korespondencji przed zwróceniem jej do nadawcy – w dobie światowej pandemii do naruszeń tego typu dochodziło także w konsekwencji przechowywania korespondencji „na kwarantannie”, co uniemożliwiało złożenie reklamacji do operatora pocztowego w terminie i skuteczne ustalenie, na jakim etapie obiegu korespondencji doszło do jej otwarcia lub zniszczenia.
- Nieuprawniony dostęp do baz danych – do tych naruszeń dochodziło wskutek błędów oprogramowania ujawniających się po aktualizacji, braku regularnych testów bezpieczeństwa w kierunku wykrycia podatności systemu oraz nieprawidłowego nadawania uprawnień.
- Zagubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej – do tego typu naruszeń dochodziło przeważnie wskutek opieszałości pracowników i miały one z reguły charakter jednorazowych incydentów. Zdarzały się także przypadki pozostawiania dokumentów w ogólnodostępnych lokalizacjach w celu ograniczenia zagrożenia epidemiologicznego. Chodzi o praktykę wystawiania prowizorycznych, niezabezpieczonych pojemników pełniących funkcje skrzynek podawczych, służących do składania dokumentów zawierających dane osobowe.
- Zagubienie lub kradzież nośnika danych – do tego typu naruszeń dochodziło w wyniku utraty nośników danych typu laptop lub pendrive, które często pozostawały w chwili zdarzenia niezaszyfrowane.
- Wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych – do tego typu naruszeń dochodziło w wyniku wykorzystania podatności i przełamania zabezpieczeń. W wielu przypadkach podatności systemu były spowodowane brakiem aktualizacji oprogramowania przez administratora.
Garść statystyk:
W 2021 roku do UODO wpłynęło 12 946 zgłoszeń naruszeń, przy czym w przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od podmiotów:
- telekomunikacyjnych – 1890,
- ubezpieczeniowych – 1929,
- banków i podmiotów finansowych – 1113,
- oraz niepublicznej służby zdrowia – 257.