28 sierpnia br. Prezes UODO opublikował sprawozdanie ze swojej działalności za 2020 rok. Sprawozdanie pokazuje nie tylko ciekawe dane statystyczne, ale przede wszystkim jego analiza dostarcza cenne wskazówki dla administratorów danych mogące wskazać, właściwy kierunek w procesie przetwarzania danych osobowych. Sprawozdanie pokazuje też co nie co, jeżeli chodzi o rosnącą świadomość społeczeństwa w zakresie przetwarzania ich danych przez różnych administratorów.
Sprawozdanie jest dość obszerne, dlatego zapraszam do zapoznania się z kilkoma wybranymi przeze mnie aspektami.

Trochę statystyki …

Jak można zauważyć, praktycznie każdy aspekt działalności UODO ma tendencję rosnącą. Mniejsza ilość przeprowadzonych kontroli przez organ nadzorczy ma związek z pandemią Covid-19 w roku ubiegłym. Jednak z własnego doświadczenia wiem, że w przypadku wszczęcia postępowania administracyjnego przez Urząd wobec administratora, bardzo skrupulatnie badał on wszystkie aspekty danej sprawy np. zgłoszonego naruszenia ochrony danych osobowych, wzywając administratora do pisemnego złożenia wyjaśnień i wydawał na bieżąco wiążące zalecenia. Jak możemy przeczytać w sprawozdaniu “Prezes Urzędu wystosował do podmiotów dokonujących zgłoszenia 3476 pisemnych wezwań do złożenia wyjaśnień lub udzielił pisemnych informacji w związku z przypadkami naruszeń ochrony danych osobowych.” Mniej również było skarg osób, których dane dotyczą. Prezes UODO nałożył łącznie 11 administracyjnych kar pieniężnych, z czego 4 kary zostały nałożone na podmioty publiczne, a 7 kar dotyczyło podmiotów prywatnych (jednego przedsiębiorcy i 6 spółek prawa handlowego). Łączna wysokość nałożonych kar wyniosła 3.446.800,20 zł.

Trochę merytoryki …

Opublikowane sprawozdanie z działalności Prezesa UODO dostarcza wielu cennych informacji w zakresie stosowania przepisów prawa przez administratorów oraz poprawności procesów przetwarzania danych osobowych. Zwrócę uwagę na kilka aspektów. 

Kserowanie dowodu osobistego przez operatora telekomunikacyjnego w celu potwierdzenia możliwości wykonania umowy

Prezes UODO wskazał, że dowód osobisty nie jest, w jego ocenie, dokumentem potwierdzającym możliwość wykonania umowy o świadczenie usług telekomunikacyjnych. Dane zawarte w dowodzie służą przede wszystkim identyfikacji osoby, nie zaś potwierdzeniu, czy użytkownik będzie w stanie regulować rachunki za udostępnione mu usługi telekomunikacyjne. 

Przetwarzanie danych osobowych w ramach prowadzenia monitoringu

Montując system monitoringu wizyjnego na prywatnych posesjach powinniśmy zwracać uwagę na:

1. potrzeba zapewnienia bezpieczeństwa mieniu i ludziom jest uzasadnieniem dla wykonywania monitoringu wizyjnego ograniczonego swoim zasięgiem wyłącznie do terenu nieruchomości będącej naszą własnością;
2. odmawiając osobie, która jest ujęta na nagraniu monitoringu, udostępnienia kopii danych w postaci fragmentu nagrania należy wziąć pod uwagę ochronę danych osobowych innych osób znajdujących się na nagraniu, jednak należy najpierw przeanalizować formę lub możliwości ochrony ich danych za pomocą prostych narzędzi informatycznych, służących anonimizacji danych;
3. nie wystarczy samo oznaczenie terenu monitorowanego tabliczką np. „Obiekt monitorowany”, ale należy również zrealizować obowiązek informacyjny, rozpatrywać żądania osób obserwowanych i właściwie zabezpieczać nagrania. 

Przetwarzanie danych w celach marketingowych

W sprawozdaniu wskazano, że zapisując się do różnego rodzaju klubów lojalnościowych czy wypełniając wnioski o kartę stałego klienta, podmiot, z którym zawieramy taką umowę, może kierować do nas treści marketingowe, czy to na podstawie wyrażonych przez nas zgód, czy też na podstawie prawnie uzasadnionego interesu. W takich sytuacjach można skorzystać z prawa do sprzeciwu. Co jednak powinniśmy zrobić żeby był on skuteczny? Pamiętajmy, aby żądanie ze sprzeciwem wobec przetwarzania  danych osobowych skierować do administratora z tego samego adresu e-mail, który podaliśmy podczas zapisywania się do programu lojalnościowego i który administrator posiada w swojej bazie danych. W przeciwnym wypadku, identyfikacja osoby zgłaszającej sprzeciw staje się utrudniona lub niemożliwa. Jeżeli np. żądanie sprzeciwu wyślemy z innego adresu e-mail to dane osobowe przetwarzane przez administratora nie pozwolą mu zidentyfikować osoby fizycznej. Wówczas administrator nie powinien mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów RODO.

Naruszenia ochrony danych osobowych

Zadaniem Urzędu realizowanym od 25 maja 2018 r. jest przyjmowanie od administratorów zgłoszeń naruszeń ochrony danych osobowych, które stwarzają ryzyko naruszenia praw lub wolności osób fizycznych. Uzyskanie przez organ nadzorczy informacji o naruszeniu ochrony danych osobowych pozwala mu na reakcję i może doprowadzić do ograniczenia skutków takiego naruszenia, co przekłada się na zwiększenie poziomu ochrony praw i wolności osób, których dane dotyczą. W ubiegłym roku do Prezesa UODO wpłynęło 7.507 zawiadomień o naruszeniu ochrony danych osobowych, z czego 4.661 zawiadomień wpłynęło z sektora prywatnego, natomiast 2.691 – z sektora publicznego. W 224 przypadkach o zdarzeniach naruszających bezpieczeństwo danych organ nadzorczy dowiedział się od podmiotów innych niż administratorzy tj. od osób, których danych dotyczyło naruszenie lub od osób, które błędnie otrzymały dane innych osób.

Analizując sprawozdanie można wskazać następujące, najczęściej zgłaszane, naruszenia ochrony danych osobowych:

• wysłanie korespondencji zawierającej dane osobowe zarówno w formie tradycyjnej, jak i na elektroniczną skrzynkę pocztową e-mail do niewłaściwego odbiorcy;

• ujawnienie danych niewłaściwej osobie m.in. poprzez wydanie dokumentów osobie, dla której nie były przeznaczone np. zaświadczeń czy deklaracji podatkowych; 

• nieuprawnione uzyskanie dostępu do informacji – w tym typie naruszeń do incydentów bezpieczeństwa najczęściej dochodziło poprzez: błędy programistyczne ujawniające się po wprowadzeniu aktualizacji danego oprogramowania, brak wewnętrznych testów bezpieczeństwa, które mogły wykazać podatność systemu, czy nieprawidłowe nadanie uprawnień w systemach informatycznych, czego skutkiem było zapoznanie się z danymi osobowymi przez osoby do tego nieuprawnione; 

• korespondencja papierowa utracona przez operatora pocztowego lub otwarta przed zwróceniem do nadawcy; 

• dokumentacja papierowa (zawierająca dane osobowe) zgubiona, skradziona lub pozostawiona w niezabezpieczonej lokalizacji – do tego typu naruszeń najczęściej dochodziło w wyniku niefrasobliwości pracowników, którzy wynosząc dokumenty poza zakład pracy pozostawiali je w miejscach publicznych; 

• niezamierzona publikacja lub nieprawidłowa anonimizacja danych w dokumencie – do tego typu naruszeń należy zaliczyć publikację danych osobowych na stronie internetowej administratora, jak również udostępnienie w trybie dostępu do informacji publicznej, w tym w Biuletynie Informacji Publicznej, danych nieadekwatnych, nadmiarowych. W tych przypadkach powodem powstania naruszenia była najczęściej nieprawidłowa anonimizacja danych lub przeoczenie tego błędu przez pracowników udostępniających materiały i zamieszczających je w sieci;

• zgubienie lub kradzież nośnika danych / urządzenia umożliwiającego dostęp do danych – do tego typu naruszeń najczęściej dochodziło w wyniku kradzieży komputera przenośnego lub zgubienia niezaszyfrowanego elektronicznego nośnika danych typu „pendrive”; 

• złośliwe oprogramowanie ingerujące w poufność, integralność lub dostępność danych oraz nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń – do tych typów naruszeń najczęściej dochodziło w wyniku wykorzystania wyspecjalizowanych umiejętności osób prowadzących tego typu ataki oraz wykorzystania podatności atakowanych systemów;

• ujawnienie danych związane ze zdalnym nauczaniem i pracą zdalną – naruszenia polegały na nieuprawnionym upublicznieniu wizerunku uczniów oraz nauczycieli przez samych uczniów lub osoby postronne. Do tego typu naruszeń możemy również zaliczyć udostępnienie nagrań, zawierających dane osobowe, osobom nieuprawnionym. 

Czy dane kontaktowe IOD muszą być łatwo dostępne? W jaki sposób powinny zostać opublikowane na stronie internetowej administratora?    

Odpowiadając na to pytanie Prezes UODO wskazał, że celem obowiązku publikowania przez administratora na swojej stronie internetowej imienia i nazwiska oraz adresu poczty elektronicznej lub numeru telefonu inspektora ochrony danych jest zapewnienie, aby osoby, których dane dotyczą, mogły mieć łatwy i bezpośredni kontakt z inspektorem, bez konieczności kontaktowania się z innymi jednostkami podmiotu. Więcej można znaleźć na stronie Urzędu. 

Podsumowanie

To tylko niektóre wybrane aspekty działalności Prezesa Urzędu Ochrony Danych Osobowych w 2020 roku. Jednak kwestie opisane w sprawozdaniu mogą być swojego rodzaju „drogowskazem” dla administratorów danych, które z obszarów ochrony danych osobowych poddać audytowi, aby np. uniknąć skarg osób, których dane są przetwarzane przez administratora lub też zmniejszyć prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych. Warto się zastanowić, czy check lista naruszeń ochrony danych, wskazanych przez Prezesa UODO jako najczęstsze, nie jest czasem moją check listą do przeanalizowania zagrożenia wystąpienia takiego naruszenia. Regularne audyty ochrony danych osobowych pozwalają ocenić ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia dla poszczególnych procesów przetwarzania danych osobowych oraz posiadanych aktywów, których używamy w procesach przetwarzania. Dokonanie oceny pozwoli administratorowi tak zaprojektować procesy przetwarzania danych osobowych oraz dobrać odpowiednie środki bezpieczeństwa (organizacyjne i techniczne),  aby zapobiegać naruszeniu praw i wolności podmiotów danych.

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa. 

Autor: Monika Kowalik, Specjalista ds. ochrony danych osobowych i ochrony informacji w CompNet Sp. z o.o.