31 sierpnia br. Prezes UODO opublikował sprawozdanie ze swojej działalności za 2021 rok. Sprawozdanie pokazuje nie tylko ciekawe dane statystyczne, ale przede wszystkim jego analiza dostarcza cennych wskazówek dla administratorów danych mogących wskazać właściwy kierunek w procesie przetwarzania danych osobowych. Sprawozdanie pokazuje też co nie co, jeżeli chodzi o rosnącą świadomość społeczeństwa w zakresie przetwarzania ich danych przez różnych administratorów. 

Sprawozdanie jest dość obszerne, dlatego zapraszam do zapoznania się z kilkoma wybranymi przeze mnie aspektami.

Trochę statystyki …

Jak można zauważyć, praktycznie każdy aspekt działalności UODO ma tendencję rosnącą. Kontrole były przeprowadzane w rezultacie powzięcia przez Prezesa UODO informacji o występujących nieprawidłowościach oraz w ramach kontroli okresowych, wynikających z realizacji obowiązków ustawowych. Działania Prezesa UODO o charakterze kontrolnym musiały uwzględniać sytuację epidemiczną związaną z COVID-19, która determinowała liczbę i sposób prowadzenia kontroli. 

Zgłoszenia naruszeń ochrony danych osobowych dokonywali zarówno sami administratorzy, osoby, których danych osobowych naruszenie dotyczyło, jak i osoby nieuprawnione, które w sposób niezamierzony weszły w posiadanie danych dla nich nieprzeznaczonych. Wzrost liczby zgłoszeń naruszeń ochrony danych osobowych w 2021 roku wynika z jednej strony z coraz większej świadomości administratorów co do ich obowiązków w zakresie zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotuczą, o naruszeniu ochrony danych osobowych, z drugiej – z obawy przed konsekwencjami np.

• otrzymaniem ostrzeżenia lub upomnienia,
• otrzymaniem administracyjnej kary pieniężnej. 

Prezes UODO nałożył łącznie 18 administracyjnych kar pieniężnych, z czego 17 zostało nałożonych na podstawie przepisów RODO, zaś 1 kara na podstawie przepisów Prawa telekomunikacyjnego. Spośród 18 kar pieniężnych, 7 z nich nałożonych zostało za brak współpracy w związku z nieudzieleniem informacji niezbędnych organowi nadzorczemu do realizacji jego zadań, zaś w 1 sprawie Prezes UODO nałożył administracyjną karę pieniężną za nieprzestrzeganie nakazu decyzji. Natomiast pozostałych 10 kar dotyczyło naruszeń ochrony danych osobowych. Łączna wysokość 18 nałożonych kar wyniosła 2.198.007,00 zł tj. o 1.248.793,20 zł mniej niż w roku 2020. 

Trochę merytoryki …

Opublikowane sprawozdanie z działalności Prezesa UODO dostarcza wielu cennych informacji w zakresie stosowania przepisów prawa przez administratorów oraz poprawności procesów przetwarzania danych osobowych. Zwrócę uwagę na kilka aspektów. 

Informacje publikowane w Biuletynie Informacji Publicznej

Podmiotom z sektora publicznego, w skargach składanych do organu nadzorczego, zarzucano zbyt szerokie interpretowanie obowiązku publikacji danych osobowych w BIP i brak stosowania zasady retencji danych tj. bezterminowe przetwarzanie danych dostępnych na stronach internetowych biuletynu. Organ nadzorczy w sprawozdaniu wskazał, że często przepisy prawa nie precyzują okresu udostępniania informacji w BIP, zarówno minimalnego, jak i maksymalnego. Co zrobić w takim przypadku? Prezes UODO wskazuje, że brak określonych przepisami prawa okresów przetwarzania udostępnionych w ten sposób informacji (zawierających dane osobowe) nie powoduje, że można je przetwarzać bezterminowo. Zgodnie z zasadą ograniczenia przechowywania wynikającą z art. 5 ust. 1 lit. e RODO, stanowiącego, że dane osobowe muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane, przy ustalaniu okresu retencji, powinien kierować się przepisami innych aktów prawnych, z których wynika czas, przez jaki może przetwarzać dane osobowe. W przypadkach, w których prawo nie reguluje okresu retencji danych, po przeprowadzeniu analiz, powinien określić ten okres tak, aby przetwarzanie danych było zgodne z celami, z którymi je pozyskano. 

Udostępnienie przez pracodawcę danych osobowych pracownika w zakresie informacji o stanie zdrowia psychicznego na rzecz lekarza medycyny pracy 

Sprawa dotyczyła udostępnienia przez Pracodawcę danych wrażliwych Skarżącej, w zakresie informacji, że leczy się ona psychiatrycznie, lekarzowi medycyny pracy. Pracodawca po powrocie Skarżącej z urlopu rodzicielskiego i zwolnienia lekarskiego skierował ją na kontrolne badania lekarskie celem zweryfikowania, czy nie istnieją przeciwskazania do dalszego jej zatrudniania. Oprócz wystawienia skierowania na badania kontrolne, Pracodawca przekazał do lekarza medycyny pracy pismo, w którym poinformował, że Skarżąca leczyła się psychiatrycznie. Wskazał w nim jednocześnie na zachowania, które dyskwalifikują ją jako pracownika na zajmowanym dotychczas stanowisku oraz zawnioskował o niedopuszczenie jej do pracy. Pracodawca załączył jednocześnie do tego pisma zaświadczenie o niezdolności do pracy Skarżącej wystawione przez lekarza psychiatrę. Pracodawca wyjaśnił również, że zachowanie Skarżącej, w korelacji z przedkładanymi zaświadczeniami lekarskimi, których wystawcą był lekarz psychiatra, wzbudziło u niego uzasadnione podejrzenie, że zasadnym wydaje się, aby przy przeprowadzaniu badań kontrolnych lekarz medycyny pracy rozszerzył zakres badania o dodatkowe specjalistyczne badania konsultacyjne i badania dodatkowe. Pracodawca wyjaśnił, że jego intencją było uzyskanie informacji, czy dotychczasowy stan zdrowia pozwala pracownikowi na dalsze zatrudnienie na dotychczasowym stanowisku pracy. Prezes Urzędu nie podzielił stanowiska Pracodawcy. Uznał, że Pracodawca, stosownie do treści art. 229 Kodeksu pracy, zobowiązany był jedynie do wystawienia osobie, której dane dotyczą, skierowania na badania kontrolne zgodnie z wzorem określonym w załączniku nr 3a rozporządzenia Ministra Zdrowia i Opieki Społecznej z dnia 30 maja 1996 r. w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy. 

Prezes Urzędu stwierdził, że udostępnienie przez Pracodawcę lekarzowi medycyny pracy informacji, że Skarżąca leczy się psychiatrycznie, nie znajdowało uzasadnienia w przepisach obowiązującego prawa, nie tylko w zakresie praw pracowniczych wynikających z Kodeksu pracy czy rozporządzenia, ale przede wszystkim z przepisów kształtujących zasady i legalność przetwarzania danych osobowych określonych w RODO. Informacje przekazane przez pracodawcę lekarzowi medycyny pracy stanowiły – zgodnie z art. 9 ust. 1 RODO – szczególną kategorię danych, których legalności przetwarzania, w oparciu o przesłanki legalizujące wskazane w art. 9 ust. 2 RODO, przeprowadzone postępowanie nie wykazało. W związku z powyższym Prezes UODO udzielił Pracodawcy upomnienia za naruszenie art. 9 ust. 2 RODO, polegające na udostępnieniu danych osobowych Skarżącej dotyczących zdrowia bez podstawy prawnej. 

Dane o zachorowaniu i szczepieniu na COVID-19 są danymi szczególnej kategorii

Organ nadzorczy podtrzymał prezentowane już wcześniej stanowisko, że dane o zachorowaniu i szczepieniu na COVID-19 są danymi szczególnej kategorii. Wskazał także na brak podstaw prawnych do tego, aby pracodawca udostępniał informacje o zachorowaniu konkretnego pracownika na forum organizacji, czy też żądał od pracowników okazywania certyfikatów szczepień przeciwko COVID-19 oraz wyników testów na COVID-19, nie ma również prawa zmuszać pracownika do zrobienia testu lub zaszczepienia się.

Wykorzystywanie numeru PESEL

Wykorzystywanie numeru PESEL to kolejne z zagadnień będące przedmiotem szczególnego zainteresowania UODO. PESEL jest bowiem unikatowym identyfikatorem o zasięgu ogólnym, zawierającym wiele dodatkowych informacji, m.in. o wieku i płci. Używa się go wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności podmiotu danych przewidzianych w RODO, oraz dla którego państwa członkowskie mogą określić szczególne warunki przetwarzania (art. 87). 

Jednym z analizowanych zagadnień była też kwestia stosowania numeru PESEL jako loginu do różnych systemów informatycznych. Niektóre podmioty wyrażały dopiero chęć wprowadzenia takich rozwiązań, podczas gdy inne już je stosowały. W związku z tym organ nadzorczy podjął ten temat w newsletterze dla IOD, przypominając swoje jednoznaczne stanowisko w tej sprawie, zgodnie z którym numer PESEL nie powinien być wykorzystywany jako login do systemu informatycznego czy portalu. Jednocześnie wskazał przemawiające za tym argumenty i przestrzegał przed skutkami wprowadzania takich rozwiązań.

Uprawnienie Prezesa UODO do nakazywania administratorom, aby udostępnili dane na gruncie RODO

Organ nadzorczy w sprawozdaniu potwierdza utrwaloną linię orzeczniczą sądów administracyjnych o braku kompetencji Prezesa UODO w rozstrzyganiu wniosków do organu o nakazanie udostępnienia danych osobowych na gruncie przepisów RODO. Zdaniem sądów „Prezes UODO nie może żądać od administratora danych osobowych ujawnienia osobie trzeciej informacji na temat osoby, której dane dotyczą, nawet jeżeli są one potrzebne do wytoczenia powództwa. Tym samym ani art. 6 ust. 1 lit. f rozporządzenia 2016/679 nie stanowi podstawy prawnej do uzyskania takich danych, ani art. 58 tego rozporządzenia nie daje takiego uprawnienia organowi nadzorczemu.” 

Jednak w dalszej części sprawozdania możemy przeczytać o dwóch postępowaniach administracyjnych z 2021 roku, w ramach których Prezes UODO nakazał administratorom udostępnić dane zgodnie z żądaniami wnioskodawców. Obie decyzje dotyczyły udostępnienia danych w zakresie m.in. adresów IP użytkowników portali internetowych, którzy swoimi wpisami naruszali dobra osobiste wnioskodawców. Zdaniem Prezesa UODO skarżący wykazali istnienie prawnie uzasadnionego interesu, aby dochodzić swoich praw przed sądem, a w konsekwencji ich żądania były uzasadnione.

Naruszenia ochrony danych osobowych

Zadaniem Urzędu realizowanym od 25 maja 2018 r. jest przyjmowanie od administratorów zgłoszeń naruszeń ochrony danych osobowych, które stwarzają ryzyko naruszenia praw lub wolności osób fizycznych. Uzyskanie przez organ nadzorczy informacji o naruszeniu ochrony danych osobowych pozwala mu na reakcję i może doprowadzić do ograniczenia skutków takiego naruszenia, co przekłada się na zwiększenie poziomu ochrony praw i wolności osób, których dane dotyczą. W ubiegłym roku do Prezesa UODO wpłynęło 12.946 zawiadomień o naruszeniu ochrony danych osobowych, z czego 8.172 zawiadomień wpłynęło z sektora prywatnego, natomiast 4.738 – z sektora publicznego. Prezes Urzędu wystosował do administratorów danych osobowych dokonujących zgłoszeń naruszeń 1321 pisemnych wezwań do złożenia wyjaśnień lub udzielił pisemnych informacji w związku z przypadkami naruszeń ochrony danych osobowych. 

Analizując sprawozdanie można wskazać następujące, najczęściej zgłaszane, naruszenia ochrony danych osobowych:

• wysłanie korespondencji zawierającej dane osobowe zarówno w formie tradycyjnej, jak i na elektroniczną skrzynkę pocztową e-mail do niewłaściwego odbiorcy w wyniku nieprawidłowego zaadresowania lub zapakowania korespondencji lub braku użycia funkcji UDW przy masowej korespondencji elektronicznej;

• ujawnienie danych niewłaściwej osobie m.in. poprzez wydanie dokumentów osobie, dla której nie były przeznaczone np. zaświadczeń czy deklaracji podatkowych; 

• nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja – w sektorze publicznym dochodziło do tego typu naruszeń m.in. w Biuletynie Informacji Publicznej i dziennikach urzędowych; 

• nieuprawnione uzyskanie dostępu do baz danych – do tych naruszeń dochodziło wskutek błędów oprogramowania ujawniających się po aktualizacji, braku regularnych testów bezpieczeństwa w kierunku wykrycia podatności systemu oraz nieprawidłowego nadawania uprawnień; 

• korespondencja papierowa utracona przez operatora pocztowego lub otwarta przed zwróceniem do nadawcy; 

• dokumentacja papierowa (zawierająca dane osobowe) zgubiona, skradziona lub pozostawiona w niezabezpieczonej lokalizacji – do tego typu naruszeń dochodziło przeważnie wskutek opieszałości pracowników i miały one z reguły charakter jednorazowych incydentów. Zdarzały się także przypadki pozostawiania dokumentów w ogólnodostępnych lokacjach w celu ograniczenia zagrożenia epidemiologicznego. Chodzi o praktykę „wystawiania” prowizorycznych, niezabezpieczonych pojemników pełniących funkcje skrzynek podawczych służących do składania dokumentów zawierających dane osobowe; 

• zgubienie lub kradzież nośnika danych / urządzenia umożliwiającego dostęp do danych – do tego typu naruszeń dochodziło w wyniku utraty nośników danych typu laptop lub „pendrive”, które często pozostawały w chwili zdarzenia niezaszyfrowane; 

• wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych – do tego typu naruszeń dochodziło w wyniku wykorzystania podatności i przełamania zabezpieczeń. W wielu przypadkach podatności systemu były spowodowane brakiem aktualizacji oprogramowania przez administratora.

W każdym z naruszeń administratorzy danych podejmowali działania mające na celu zminimalizowanie skutków naruszenia ochrony danych osobowych dla osób fizycznych oraz prawdopodobieństwo ich ponownego wystąpienia w przyszłości. Zachęcam do zapoznania się z częścią 8 w rozdziale II Sprawozdania.

Podsumowanie:

To tylko niektóre wybrane aspekty działalności Prezesa Urzędu Ochrony Danych Osobowych w 2021 roku. Warto wskazać, że organ nadzorczy przywiązuje wielką wagę do współpracy z inspektorami ochrony danych. W sprawozdaniu podkreślono, że inspektorzy ochrony danych – dysponując odpowiednią wiedzą i umiejętnościami, a także mając odpowiednią pozycję w organizacji, w której funkcjonują – stanowią fundament skutecznego systemu ochrony danych osobowych. Dla administratora realizują bowiem istotne funkcje: weryfikacyjną i doradczą. Jednocześnie pełnią inną ważną rolę – punktu kontaktowego, czyli pośrednika między administratorem lub podmiotem przetwarzającym a osobami, których dane dotyczą, oraz między administratorem lub podmiotem przetwarzającym a organem nadzorczym. 

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa w Twojej organizacji w ramach outsourcingu funkcji Inspektora ochrony danych.

Skorzystaj z 20-letniego doświadczenia CompNet i zoptymalizuj procesy i koszty ochrony danych osobowych!