Sprawozdanie z działalności Prezesa UODO za 2020 rok

W poniższym artykule zaprezentowane zostały, zdaniem autora, najistotniejsze informacje wynikające z treści sprawozdania dla podmiotów podlegających przepisom o ochronie danych osobowych.

Nieco bardziej cierpliwych czytelników zachęcamy oczywiście do szczegółowej lektury dokumentu. W zależności od reprezentowanego sektora oraz branży każda osoba zajmująca się ochroną danych osobowych może znaleźć ważne dla siebie informacje.

Nie bez znaczenia pozostaje fakt, że 2020 rok przyniósł reorganizację struktur urzędu, co – jak czytamy w sprawozdaniu – pozwoliło reagować na naruszenia ochrony danych osobowych bez uszczerbku dla realizowanych innych zadań organu oraz usprawniły działania Urzędu. Reorganizacja poskutkowała wyodrębnieniem oddziałów dedykowanych dla spraw konkretnych sektorów. W ten sposób wyodrębnione zostały m.in.: Wydział Kontroli, Wydział Naruszeń, Wydział ds. Sektora Publicznego, Wydział ds. Sektora Prywatnego, Wydział ds. Zdrowia, Zatrudnienia i Szkolnictwa oraz Wydział ds. Sektora Finansowego, Ubezpieczeń i Telekomunikacji.

Podobnie jak w poprzednim materiale dotyczącym podsumowania z działalności Prezesa UODO, w pierwszej kolejności prezentujemy jego aktywność w liczbach.

	2018 r.	2019 r.	2020 r.
Liczba pracowników	235	246	277 (na dzień 31/12/2020 r.)
Wydatki UODO	25 681 000 zł	31 390 000 zł	34 898 000 zł
Skargi osób, których dane dotyczą	5565	9304	6442
Liczby przeprowadzonych kontroli	72	98	12
Wydane decyzje administracyjne	527	1369	1866
Kary pieniężne	0	8	11
Skargi do sądu na decyzje lub postanowienia wydane przez PUODO	77	89	112
Zgłoszone naruszenia	2446	6039	7507

Skargi osób, których dane dotyczą

Liczba skarg, które w analizowanym okresie sprawozdawczym 2020 r. wpłynęły do UODO, z podziałem na sektory, przedstawia się następująco:

• 1303 skargi na podmioty sektora publicznego,
• 2519 skarg na podmioty sektora prywatnego,
• 926 skarg na podmioty sektora zdrowia, zatrudnienia i szkolnictwa,
• 1694 skargi na podmioty sektora finansowego, ubezpieczeń i telekomunikacji.

Poniżej przedstawiono przykłady tematów stanowiących podstawę do złożenia skarg do organu nadzorczego:

1. Udostępnienie danych przez instytucje publiczne, obejmujące:
   - publikację wizerunku osoby bez odpowiedniej podstawy prawnej oraz brak możliwości udowodnienia pozyskania zgody na takie działanie (brak rozliczalności).
2. Udostępnianie danych osobowych na stronach BIP, z naruszeniem zasady minimalizacji danych osobowych określonej w art. 5 ust. 1 lit c RODO.
3. Przetwarzanie danych przez administratora w innym celu niż ten, w którym dane zostały pozyskane (sprawa dotyczyła przesłania przez organ publiczny skargi do osoby, która nie jest stroną postępowania, a której dane organ posiadał).
4. Brak realizacji praw osób, których dane dotyczą, w tym prawa dostępu do danych.
   Urząd wypowiedział się jednoznacznie w sprawie ponownej realizacji żądania osoby. Prezes UODO wskazał jednoznacznie, że skoro administrator przekazał podmiotowi danych wszelkie niezbędne informacje zgodnie z żądaniem, to nie było konieczności ponownego udzielenia skarżącemu informacji o przetwarzaniu jego danych w niespełna 10 dni po ich udzieleniu. Ponadto, ponownie wybrzmiało stanowisko UODO w sprawie przekazywania kopii danych: „nie ma obowiązku udostępniania osobie zainteresowanej nośnika, na którym przetwarzane są dane osobowe, ani tych zawartych na nim danych, które nie stanowią danych osobowych w rozumieniu art. 4 pkt 1 RODO, ani danych, które nie dotyczą wnioskującego. Realizując obowiązek wynikający z art. 15 ust. 3 RODO, administrator może poprzestać na podaniu treści danych dotyczących osoby, z wyłączeniem pozostałych informacji zawartych na nośniku.”
5. Nieprawidłowości w przetwarzaniu danych w ramach Krajowego Systemu Informacji Policji, co związane było z odmową usunięcia danych z KSIP.
   Urząd zwrócił szczególną uwagę na obowiązek przeglądu danych pod kątem niezbędności ich przetwarzania, zgodnie art. 16 ustawy o przetwarzaniu danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości (dalej ustawa DODO).
6. Upublicznienie danych osobowych mieszkańców wspólnoty w częściach wspólnych budynku bez podstawy prawnej.
7. Prowadzenie działań marketingowych, w tym najczęściej otrzymywanie połączeń telefonicznych oraz wiadomości e-mail od nieznanych podmiotów.
   W zakresie tego typu spraw Prezes UODO podkreślił, że samo umieszczenie adresu e-mail w ogólnodostępnym rejestrze nie może stanowić podstawy przetwarzania danych właściciela tego adresu opartej na zgodzie. Dopóki zgoda w tym konkretnym celu, tj. w celu prowadzenia działań marketingowych przez konkretny podmiot nie zostanie rzeczywiście zebrana, nie można domniemywać, że poprzez upublicznienie adresu e-mail została ona wyrażona. Ponadto, zdaniem Urzędu nieprawidłowa jest argumentacja, zgodnie z którą przepisy o ochronie danych osobowych nie znajdą zastosowania do wykonywania telefonicznych połączeń marketingowych z uwagi na fakt, że przetwarzany numer telefonu nie jest powiązany z żadnymi innymi informacjami dotyczącymi osoby, a sam w sobie numer telefonu nie stanowi danych osobowych. Zdaniem UODO, dysponując informacją w postaci numeru telefonu, administrator podejmował działania nakierowane na identyfikację osób. Identyfikacja ta nie wymagała zaś nadmiernych kosztów bądź czasu.
8. Uzyskiwanie przez lekarzy dostępu do danych osobowych w systemach ZUS w sytuacji, gdy osoby skarżące nie były ich pacjentami.
   Organ nadzorczy wskazał jednoznacznie, że żadne obowiązujące obecnie przepisy nie legalizują pozyskiwania przez lekarzy danych osobowych za pośrednictwem PUE ZUS w celu innym, niż tylko wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego.
9. Przetwarzanie danych przez pracodawców, czego przykładem jest:
   - udostępnianie przez pracodawców danych osobowych pracowników do podmiotów zewnętrznych, w BIP czy też w platformach społecznościowych;
   - nierealizowanie obowiązku informacyjnego i prawa dostępu do danych przez podmiot zatrudniający osoby bezrobotne, kierowane z urzędu pracy;
   - przetwarzanie danych osobowych byłego pracownika w celach szkoleniowych przez personel administratora.
10. Przetwarzanie danych w sektorze szkolnictwa:
    - udostępnienie przez burmistrza danych osobowych nauczyciela jako osoby składającej skargę i treści skargi na rzecz osoby, której ta skarga dotyczyła;
    - udostępnienie danych osobowych podmiotu danych oraz danych osobowych jej małoletniego dziecka przez szkołę podstawową osobie nieuprawnionej.
11. Przetwarzanie danych osobowych przez banki w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
    W tym punkcie trzeba odnotować pogląd Prezesa UODO dot. momentu uznania klienta banku jako dłużnika : „Sam fakt, że dłużnik nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia jeszcze banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym klient banku dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec trzydziestodniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Ostatecznie to bezskuteczny upływ 30 dni od momentu skutecznego poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Oznacza to, że bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody.” Jednocześnie Prezes UODO ponownie podkreślił, że samo oświadczenie o wysłaniu korespondencji nie stanowi dowodu na jej dostarczenie lub poinformowanie o jej treści adresata.
12. Przetwarzanie danych osobowych przez banki w celu realizacji obowiązku prawnego wynikającego z ustawy o rachunkowości.
    W miejscu znajdujemy potwierdzenie powszechnie stosowanej praktyki, polegającej na przetwarzaniu danych np. po zakończonej umowie, w związku z przepisami ustawy o rachunkowości i obowiązkami rozliczeniowymi z niej płynącymi. Jak czytamy w sprawozdaniu: „Przykładem takiego obowiązku [dopisek autora: obowiązku prawnego z art. 6 ust. 1 lit c RODO] jest obowiązek określony w art. 74 ust. 2 pkt. 4 ustawy o rachunkowości, zgodnie z którym dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym, przechowuje się przez okres 5 lat, licząc od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione Ponadto zgodnie z art. 74 ust. 2 pkt 8 ustawy o rachunkowości pozostałe dowody księgowe i sprawozdania, niewymienione w art. 74 ust. 2, należy przechowywać przez okres 5 lat. W ocenie Prezesa Urzędu powyższe przepisy prawa nakładają na bank – jako administratora – obowiązek, którego realizacja wiąże się z koniecznością przetwarzania danych osobowych i jako takie znajdują oparcie w przesłance określonej w art. 6 ust. 1 pkt c RODO.”
13. Realizacja przez banki praw osób, których dane dotyczą w postaci prawa dostępu do danych oraz prawa do przenoszenia danych.
    Zdaniem Prezesa UODO, administrator, spełniając żądanie osoby, której dane dotyczą, powinien również uwzględnić żądanie odnośnie określonej formy spełnienia obowiązku informacyjnego wynikającego z art. 15 RODO. W przypadku, gdy osoba, której dane osobowe są przetwarzane, żąda spełnienia obowiązku dotyczącego przekazania jej w formie papierowej kopii jej danych osobowych, a administrator przekaże jej kopię danych osobowych w formie elektronicznej, będzie to stanowiło nieprawidłowość w procesie przetwarzania danych osobowych. W zakresie realizacji prawa do przenoszenia danych Prezes podkreślił, że może ono zostać zrealizowane tylko w zakresie danych osobowych wnioskującego o spełnienie tego prawa oraz danych przez niego przekazanych administratorowi. W związku z powyższym, wszelkie dane będące danymi anonimowymi lub niedotyczącymi takiej osoby nie będą wchodziły we wskazany powyżej zakres. Ponadto, dane wywnioskowane lub powstałe na podstawie danych przekazanych przez osobę, której dotyczą, będą danymi wytworzonymi przez administratora, nie zaś pochodzącymi od podmiotu danych. Oznacza to, że informacje nie są objęte realizacją prawa do przenoszenia danych.
14. Przetwarzanie danych w związku z roszczeniami i przyszłymi roszczeniami.
    Zdaniem UODO, brak jest uzasadnienia dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych mogły stanowić ramy czasowe, w których dane osobowe mogą być przetwarzane. Urząd swoje stanowisko argumentuje w sposób następujący: „przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego”.
15. Przetwarzanie przez operatorów telekomunikacyjnych danych osobowych zawartych w kserokopii dokumentów tożsamości w celu potwierdzenia możliwości wykonania umowy.
    W ocenie Prezesa UODO dowód osobisty nie jest dokumentem potwierdzającym możliwość wykonania umowy o świadczenie usług telekomunikacyjnych. Dane zawarte w dowodzie służą bowiem przede wszystkim do identyfikacji osoby, nie zaś do potwierdzenia, czy użytkownik będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne.
16. Przetwarzanie danych osobowych w ramach prowadzenia monitoringu.

Zawiadomienie o możliwości popełnienia przestępstwa

Omawiane sprawozdanie pokazuje, że organ nadzorczy nie traci z oczu również możliwej odpowiedzialności karnej na podstawie przepisów 107-108 ustawy o ochronie danych osobowych z dnia 10.05.2018 r. W 2020 r. Prezes UODO, powołując się na wspomniane przepisy, skierował do organów ścigania 2 zawiadomienia o możliwości popełnienia przestępstwa przez osoby odpowiedzialne za przetwarzanie danych osobowych.

Jak czytamy w dokumencie, zawiadomienia miały być związane z:

• naruszeniem ochrony danych osobowych,
• utrudnianiem przeprowadzenia czynności kontrolnych ze strony UODO.

Przeprowadzone kontrole

Przez cały 2020 r. Prezes UODO przeprowadził 12 kontroli w zakresie przestrzegania przepisów o ochronie danych osobowych. Co istotne, kontrole były przeprowadzone w oparciu o przygotowany przez UODO plan na 2020 r. (https://archiwum.uodo.gov.pl/pl/138/1302) oraz w związku z podjętymi przez informacjami o nieprawidłowościach związanych z przetwarzaniem danych osobowych w kontrolowanych podmiotach.

Szczególną uwagą urzędu miały być objęte takie podmioty jak banki oraz podmioty korzystające z systemu zdalnego odczytu wodomierzy. Oprócz tego, w omawianym okresie Prezes UODO przeprowadził kontrole w takich podmiotach jak: Główny Geodeta Kraju, operatorzy telekomunikacyjni, Zespół Szkół Ogólnokształcących, Szkoła Główna Gospodarstwa Wiejskiego.

W ramach przeprowadzonych kontroli stwierdzono m.in. następujące uchybienia:

• naruszenie zasady zgodności z prawem przetwarzania danych osobowych poprzez: bezpodstawne udostępnianie danych osobowych w ramach portalu internetowego, przetwarzanie danych osobowych uczniów przez podmiot publiczny bez obowiązku lub zadania wynikającego z obowiązujących ten podmiot przepisów prawa;
• naruszenie zasady poufności danych osobowych i związanej z tym konieczności wdrożenia odpowiednich środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych (w tym miejscu Prezes zwrócił szczególną uwagę na konieczność regularnego testowania, mierzenia i oceniania stosownych środków bezpieczeństwa);
• nieprawidłowości dotyczące umów powierzenia polegające na: ogólnym formułowaniu zakresu oraz rodzaju danych objętych powierzeniem, co stanowi naruszenie zasady przejrzystości przetwarzania danych (art. 5 ust. 1 lit a RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO); • niedostateczny poziom oceny skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych;
• brak wypełniania przez inspektora ochrony danych swoich zadań z uwzględnieniem ryzyka związanego z operacjami przetwarzania danych.

Widoczny spadek liczby przeprowadzonych kontroli w stosunku do 2019 roku należy tłumaczyć epidemią COVID – 19, na co zwrócono uwagę w treści sprawozdania.

Czynności sprawdzające

Oprócz działań kontrolnych Prezes UODO prowadzi również zdalne czynności sprawdzające, mające na celu weryfikację praktyk stosowanych przez podmioty przetwarzające dane osobowe w ramach swoich działalności. Ta aktywność Urzędu polega na korespondencyjnym żądaniu przekazania stosownych informacji dotyczących przetwarzania danych osobowych. Działania te były podejmowane przez Urząd w związku z otrzymywanymi informacjami dotyczącymi nieprawidłowości w zakresie przetwarzania danych. W opisany sposób prowadzono również sprawy zainicjowane wskutek informacji przekazanych przez inne organy państwowe, takie jak: Prezes UOKiK, Główny Inspektor Pracy i Prezes Naczelnej Rady Aptekarskiej.

W ramach czynności sprawdzających badano takie tematy jak:

• stosowanie monitoringu wizyjnego na terenie ogródków działkowych przez związek działkowców,
• przechowywanie dokumentacji medycznej bez należytego nadzoru przez lekarza prowadzącego prywatną praktykę lekarską,
• przetwarzanie przez pracodawców danych osobowych o stanie zdrowia pracowników oraz miejscu spędzania przez nich urlopu, a także w ramach stosowanego przez pracodawców monitoringu,
• przetwarzanie danych osobowych przez podmioty udostępniające aplikacje internetowe (w szczególności w zakresie wykorzystania wizerunku osób oraz funkcjonalności polegającej na wgrywaniu na platformę internetową nieograniczonej liczby dokumentów tekstowych),
• publikacja przez gminę informacji o oświadczeniach majątkowych radnych na stronach BIP przez okres dłuższy, niż jest to dopuszczalne,
• przetwarzanie danych w ramach aplikacji webowej w celu wyszukiwania produktów medycznych przypisanych na e-receptach.

Wart odnotowania jest również fakt, że w trakcie omawianego okresu sprawozdawczego Urząd skorzystał również z art. 11 ust. 1 ustawy DODO i zwrócił się do dziesięciu właściwych organów (Policji, Straży Granicznej, Służby Ochrony Państwa) o dokonanie sprawdzenia zgodności z prawem przetwarzania danych osobowych w ramach rozwiązań wykorzystujących technologię rozpoznawania twarzy.

Zapewnienie wykonania decyzji Prezesa UODO - egzekucja administracyjna

Wyodrębniony w ramach Urzędu Departament Kar i Egzekucji zajmuje się egzekwowaniem wykonania przez zobowiązane podmioty obowiązków wynikających z wydanych przez organ nadzorczy decyzji administracyjnych. Egzekucji podlega realizacja obowiązków o charakterze niepieniężnym, jak i należności pieniężne w postaci m.in. nałożonych kar administracyjnych.

W 2020 roku Prezes UODO prowadził działania egzekucyjne w stosunku do 100 decyzji administracyjnych, spośród których:

• 98 zawierało nałożony na strony nakaz do wykonania (obowiązek o charakterze niepieniężnym),
• 2 nałożyły na strony administracyjne kary pieniężne. W tych dwóch przypadkach wystawiono tytuły wykonawcze i przesłano je naczelnikom odpowiednich urzędów skarbowych z wnioskiem o wszczęcie postępowania egzekucyjnego.

Należy zwrócić uwagę na stosunkowo wysoki procentowy wskaźnik efektywności działań egzekucyjnych podejmowanych przez Prezesa UODO, który w 2020 r. wynosił 84%. Wart odnotowania jest również fakt, że 66 % prowadzonych działań egzekucyjnych dotyczyło sektora prywatnego, zaś 34 % - sektora publicznego.

Działania egzekucyjne podejmowane przez Prezesa UODO w 2020 r. w 66% przypadków dotyczyły decyzji skierowanych do podmiotów z sektora prywatnego oraz w 34% przypadków do podmiotów z sektora publicznego.

Zgłaszanie naruszeń ochrony danych osobowych

W części sprawozdania dotyczącej zgłaszanych w 2020 r. naruszeń ochrony danych osobowych organ nadzorczy kolejny raz podkreślił szczególną wagę tego działania. Ta narracja, utrzymywana przez organ nadzorczy od samego początku jego funkcjonowania, widoczna jest również w liczbach. Z roku na rok do UODO wpływa bowiem coraz więcej informacji dot. stwierdzonych naruszeń ochrony danych osobowych. W 2020 r. podmioty dokonały 7507 tego typu powiadomień, z czego za 4661 odpowiadają podmioty z sektora prywatnego, zaś za 2691 – podmioty sektora publicznego.

W przypadku sektora prywatnego najwięcej zgłoszeń wpłynęło od przedstawicieli następujących branż:

• telekomunikacyjnej - 2104,
• ubezpieczeniowej - 792,
• banków i podmiotów finansowych -472,
• służby zdrowia - 272.

W przypadku sektora publicznego statystyki w zakresie podmiotów dokonujących zgłoszeń wyglądały następująco:

• jednostki samorządu terytorialnego - 382,
• służby mundurowe - 163,
• administracja rządowa -133.

Jak wynika ze sprawozdania UODO, wzrost liczby zgłoszonych naruszeń to również efekt zwiększenia świadomości podmiotów (w tym służb mundurowych) zobowiązanych do stosowania przepisów regulujących przetwarzanie danych osobowych w związku z zapobieganiem i przeciwdziałaniem przestępczości (tzw. ustawa DODO). Podmioty te objęte są bowiem treścią art. 44 ustawy DODO, zgodnie z którym zobowiązane są do zgłaszania naruszeń ochrony danych osobowych związanych z prowadzonymi przez siebie działaniami w zakresie zwalczania i zapobiegania przestępczości, niezależnie od poziomu stwierdzonego ryzyka naruszenia praw i wolności osób.

Nie bez znaczenia dla widocznego wzrostu liczby zgłoszeń naruszeń ochrony danych osobowych pozostawała również pandemia COVID-19. Organ nadzorczy zaobserwował bowiem, że w 2020 r. pojawiało się wiele naruszeń wynikających z działań podejmowanych w związku z zagrożeniem epidemicznym. Jak sygnalizuje Urząd, w dużej części były to działania polegające na stosowaniu nowych środków, mających na celu ochronę zdrowia osób, których dane dotyczyły, a które wcześniej nie były poddawane analizie pod kątem wystąpienia możliwych zagrożeń i podatności na zagrożenia. Urząd podkreśla, że do naruszeń dochodziło również w podmiotach, które przed 2020 r. posiadały szczegółowo opracowane procedury dot. przetwarzania danych osobowych, i które w czasie niemożliwej do przewidzenia pandemii zwyczajnie nie sprawdziły się. Jako przykłady takich sytuacji Urząd wskazał:

• nieprawidłowości w zakresie weryfikacji tożsamości osób, którym wydawana była dokumentacja medyczna,
• ataki złośliwym oprogramowaniem (ransomware) w związku ze wzrostem e-rozwiązań oferowanych przez podmioty medyczne oraz prowadzeniem dokumentacji w formie elektronicznej,
• ujawnianie danych osób objętych kwarantanną przez podmioty, których zadaniem było przeciwdziałanie rozszerzaniu się epidemii.

Patrząc przekrojowo na 2020 r., jako najczęściej zgłaszane naruszenia organ nadzorczy wskazał:

• wysyłanie korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy – dotyczy to formy papierowej jak i elektronicznej;
• ujawnianie danych niewłaściwej osobie, np. poprzez wydanie dokumentów niewłaściwej osobie;
• nieuprawnione uzyskanie dostępu do informacji wskutek:
  błędu programistycznego, ujawniające się po wprowadzeniu aktualizacji oprogramowania; braku wewnętrznych testów bezpieczeństwa, które mogły wykazać podatność systemu; nieprawidłowego nadania uprawnień w systemach informatycznych, czego skutkiem było zapoznanie się z danymi osobowymi przez osoby do tego nieuprawnione;
• utratę korespondencji papierowej przez operatora pocztowego lub otwarcie korespondencji przed zwróceniem do nadawcy
  - co istotne, ze sprawozdania wynika, że organ nadzorczy jest świadomy faktu, iż w większości przypadków tego typu dochodzi wskutek błędu operatora pocztowego – nie zmienia to jednak konieczności analizy zgłoszenia przez administratora;
• zagubienie, kradzież dokumentacji papierowej (zawierającej dane osobowe) lub pozostawienie jej w niezabezpieczonej lokalizacji
  - według sprawozdania, do tego typu sytuacji dochodziło najczęściej wskutek działań pracowników, którzy wynosząc dokumenty poza zakład pracy pozostawiali ją w miejscach publicznych;
• niezamierzona publikacja lub nieprawidłowa anonimizacja danych w dokumencie
  - zdarzenia te polegały na publikacji danych osobowych na stronie internetowej administratora oraz udostępnieniu w trybie dostępu do informacji publicznej, w tym w BIP;
• zgubienie lub kradzież nośnika danych / urządzenia umożliwiającego dostęp do danych
  - tego typu zdarzenia były najczęściej wynikiem kradzieży komputera przenośnego lub zgubienia niezaszyfrowanego elektronicznego nośnika danych typu pendrive.
• złośliwe oprogramowanie ingerujące w poufność, integralność lub dostępność danych oraz nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń
  - do tych typów naruszeń najczęściej dochodziło w wyniku wykorzystania wyspecjalizowanych umiejętności osób prowadzących tego typu ataki oraz wykorzystania podatności atakowanych systemów. Niejednokrotnie przyczyniali się do tego sami administratorzy, wykorzystując do przetwarzania danych nieaktualne oprogramowanie, dla którego producent przestał zapewniać wsparcie techniczne.
• ujawnianie danych związane ze zdalnym nauczaniem i pracą zdalną
  - zdarzenia te polegały najczęściej na nieuprawnionym upublicznieniu wizerunku uczniów oraz nauczycieli oraz udostępnieniu nagrań, zawierających dane osobowe, osobom nieuprawnionym.

Wezwania do złożenia wyjaśnień w sprawie naruszeń

Jak pokazuje praktyka, dokonanie zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego nie zawsze kończy działania z tym związane. Jak wynika z treści sprawozdania, w przypadku otrzymanych zgłoszeń o naruszeniach ochrony danych organ nadzorczy korzysta z uprawnienia przysługującego mu z art. 58 ust. 1 lit. a i lit. e RODO.

W 2020 r. Prezes Urzędu wystosował do podmiotów dokonujących zgłoszenia naruszenia ochrony danych 3476 pisemnych wezwań do złożenia wyjaśnień lub udzielenia pisemnych informacji w związku z przypadkami zgłoszonych naruszeń ochrony danych osobowych. Wezwania te były kierowane głównie ze względu na wątpliwości Urzędu w zakresie:

• zastosowanych lub proponowanych środków bezpieczeństwa mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia,
• środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą,
• nieprawidłowego oszacowania poziomu ryzyka naruszenia praw lub wolności osób fizycznych,
• terminu dokonanego zgłoszenia oraz wyjaśnienia przyczyn opóźnienia powiadomienia organu nadzorczego o naruszeniu,
• dochowania obowiązku zawiadomienia osób, których dane dotyczą,
• wskazanych kategorii i liczby osób oraz danych objętych naruszeniem.

Sygnaliści - nie zawsze administrator zgłasza naruszenie

W swym sprawozdaniu UODO podzielił się informacją, iż w 224 przypadkach o zdarzeniach naruszających bezpieczeństwo danych dowiedział się od podmiotów innych niż administratorzy. Zawiadomienia były przekazywane w tych przypadkach przez:

• osoby, których danych dotyczyło naruszenie,
• osoby, które weszły w posiadanie danych osobowych, które nie były dla nich przeznaczone.

Co istotne, w przypadkach, w których dochodziło do zgłoszenia przez wyżej wymienione osoby, często okazywało się, że administratorzy nie informowali o zaistniałym naruszeniu ochrony danych z uwagi na:

• błędną ocenę ryzyka naruszenia praw lub wolności osoby fizycznej,
• wdrożenie wewnętrznych procedur w zakresie identyfikowania naruszeń,
• brak świadomości pracowników co do zdarzeń naruszających bezpieczeństwo danych i potrzeby ich zgłoszenia przełożonym.

Ważne
W swym sprawozdaniu Prezes UODO podkreślił również, że za szczególnie naganne uznawane jest zachowanie polegające na świadomym i celowym podjęciu decyzji o zaniechaniu zgłoszenia naruszenia w obawie przed ewentualnymi konsekwencjami. Jednocześnie organ nadzorczy zapowiedział, że tego typu zachowania były oraz będą przedmiotem jego szczególnej analizy.

Postępowania oraz decyzje administracyjne w związku ze zgłoszonymi naruszeniami

W przypadku niektórych naruszeń ochrony danych osobowych organ nadzorczy podjął decyzję o przeprowadzeniu u administratora danych kontroli przestrzegania przepisów o ochronie danych. Łącznie Prezes UODO w 2020 r. wszczął 28 postępowań administracyjnych w związku z przypadkami naruszenia ochrony danych osobowych.

Przyczyną inicjowania postępowań administracyjnych były najczęściej wątpliwości Prezesa UODO dotyczące zgłoszonych naruszeń ochrony danych, dotyczące w szczególności:

• przeprowadzonej przez administratorów oceny ryzyka naruszenia dla praw lub wolności osób fizycznych;
• terminowości dokonania zgłoszenia (zachowania terminu 72 godzin) – co istotne w tym zakresie, organ nadzorczy podkreśla, że jego analizie podlega również okres, jaki upłynął od momentu zaistnienia zdarzenia do momentu stwierdzenia przez administratora, że doszło do naruszenia ochrony danych. Podkreślono, że nieadekwatnie długi odstęp pomiędzy tymi zdarzeniami może skutkować pytaniem o prawidłowość funkcjonowania procedur związanych z naruszeniami oraz podejrzeniem Urzędu w zakresie celowego manipulowania okolicznościami zdarzenia;
• zawarcia umowy powierzenia, w tym zgodności treści umowy powierzenia postanowieniami art. 28 RODO, w tym w szczególności: zakresu odpowiedzialności stron oraz sposobu ustalenia/zapewnienia gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych;
• wdrożenia przez administratorów danych odpowiednich środków technicznych i organizacyjnych oraz wymogu regularnego testowania, mierzenia i oceniania skuteczności tych środków.

Spośród wszystkich zgłoszonych naruszeń ochrony danych wydano 13 decyzji administracyjnych, w tym:

• w trzech przypadkach Prezes UODO udzielił upomnienia administratorowi danych,
• w sześciu przypadkach Prezes UODO nakazał zawiadomienie o naruszeniu osób, których dane dotyczą,
• w czterech przypadkach Prezes UODO w części lub całości umorzył postępowanie administracyjne, • w dwóch przypadkach Prezes UODO postanowił nałożyć na administratora karę pieniężną.

Kary pieniężne

2020 r. przyniósł łącznie 11 administracyjnych kar pieniężnych nałożonych przez Prezesa UODO (4 na podmioty publiczne, 7 na podmioty prywatne). Kary były wymierzane w kwotach od 5.000,00 zł do 1.968.524,00 zł.

Jako częsty problem związany z działalnością UODO organ nadzorczy wskazał brak współpracy polegający na nieudzieleniu odpowiedzi na pisma Urzędu. Takie działanie było przyczyną wszczęcia 23 postępowań w sprawie nałożenia kary administracyjnej, z czego 3 z nich zakończyły się nałożeniem administracyjnej kary pieniężnej. Ważny jest fakt, że w 9 przypadkach, w których wszczęcie przez Urząd postępowania poskutkowało rozpoczęciem współpracy przez podmiot nim objęty, poprzestano jedynie na upomnieniu. W 3 przypadkach umorzono postępowanie z uwagi na brak stwierdzenia naruszenia obowiązku współpracy z organem nadzorczym. Kolejnym ważnym problemem sygnalizowanym przez Prezesa UODO był brak współpracy z Urzędem w czasie kontroli. Tego typu przypadków dotyczyły 2 postępowania.

Kodeksy postępowania

Kolejną istotną kwestią zawartą w sprawozdaniu, którą należy odnotować, są trwające prace Urzędu w zakresie kodeksów postępowań.

W 2020 roku do Prezesa UODO wpłynęły 4 wnioski o zatwierdzenie projektu kodeksu postępowania:

• wniosek Polskiej Rady Centrów Handlowych – „Kodeks postępowania dla sektora handlu”,
• wniosek Stowarzyszenia Bibliotekarzy Polskich – „Kodeks dla bibliotek”,
• wniosek Krajowej Rady Doradców Podatkowych – „Kodeks postępowania Krajowej Izby Doradców Podatkowych w zakresie ochrony danych osobowych”,
• wniosek związku pracodawców – Organizacji Firm Badania Opinii i Rynku – „Kodeks postępowania dotyczący przetwarzania danych osobowych przez prywatne agencje badawcze”.

Ponadto, organ nadzorczy zasygnalizował pracę nad wcześniej zgłoszonymi projektami kodeksów postępowań. Jako najbardziej zaawansowane ocenił prace nad:

• „Kodeksem postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” – przedłożonym przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie”,
• „Kodeksem postępowania dla sektora ochrony zdrowia” – przedłożonym przez Polską Federację Szpitali.

Pytania prawne

Działalność organu nadzorczego to również udzielanie odpowiedzi na wpływające do Urzędu pytania prawne z zakresu ochrony danych osobowych. W 2020 r. Urząd udzielił odpowiedzi na 2939 pisma administratorów i osób fizycznych oraz 434 odpowiedzi na pytania IOD.

W 2020 r. do najczęściej poruszanych zagadnień, na które w przesłanych do Urzędu pytaniach zwrócili uwagę zarówno administratorzy, jak osoby fizyczne oraz IOD, i które były przedmiotem analiz organu, należały m.in.:

• przesłanki legalizujące przetwarzanie danych osobowych podczas pandemii COVID-19,
• przetwarzanie danych osobowych w związku z wprowadzeniem zdalnego nauczania,
• ochrona danych osobowych w związku z realizacją praw pacjenta w warunkach pandemii COVID-19,
• przetwarzanie danych osobowych w związku z kampanią i wyborami na Prezydenta RP,
• przekazywanie danych do państw trzecich w związku z wyrokiem TSUE w sprawie Schrems II,
• określanie statusu podmiotów w procesie przetwarzania danych osobowych,
• przetwarzanie danych osobowych osób reprezentujących osoby prawne,
• status i zadania inspektora ochrony danych.

Wnioski

Niewątpliwie pandemia COVID-19 wpłynęła na funkcjonowanie wielu podmiotów w 2020 roku. Nie ominęło to również samego Urzędu Ochrony Danych Osobowych, co dobitnie pokazuje liczba kontroli przeprowadzonych we wskazanym okresie. Pozostałe statystki związane z aktywnością samego Urzędu pokazują jednak tendencję zwyżkową (liczba wydanych decyzji administracyjnych, w tym kar pieniężnych, zatrudnienie pracowników) w zakresie realizacji obowiązków organu nadzorczego. Pomimo małej liczby kontroli nie powinniśmy zapominać o dużej aktywności UODO w kontekście żądania pisemnych wyjaśnień dot. procesów przetwarzania danych osobowych. Zdaniem autora, rok 2020 r. pokazał, że Prezes UODO zaczyna coraz pewniej czuć się w interpretacji oraz egzekwowaniu obowiązków wynikających z przepisów dot. ochrony danych osobowych. Przykładem tego mogą być oceny stosowanych środków mających zapewnić adekwatny stopień bezpieczeństwa przetwarzania danych osobowych. Mając na względzie powyższe oraz aktywność Prezesa UODO pod kątem nakładanych kar administracyjnych w 2021 r. kolejne sprawozdania organu nadzorczego z pewnością dostarczą nam wielu cennych informacji oaz potwierdzą zwiększającą się rolę organu nadzorczego.