25 sierpnia br. Prezes UODO opublikował sprawozdanie ze swojej działalności za 2022 rok. Sprawozdanie pokazuje nie tylko ciekawe dane statystyczne, ale przede wszystkim jego analiza dostarcza cennych wskazówek dla administratorów danych mogące wskazać, właściwy kierunek w procesie przetwarzania danych osobowych. Sprawozdanie pokazuje też co nie co, jeżeli chodzi o rosnącą świadomość społeczeństwa w zakresie przetwarzania ich danych przez różnych administratorów.
Sprawozdanie jest dość obszerne, dlatego zapraszam do zapoznania się z kilkoma wybranymi przeze mnie aspektami.
Trochę statystyki…
2019 rok | 2020 rok | 2021 rok | 2022 rok | |
---|---|---|---|---|
Skargi osób, których dane dotyczą | 9304 | 6442 | 8318 | 6995 |
Liczba przeprowadzonych kontroli | 98 | 12 | 22 | 40 |
Wydane decyzje administracyjne ogółem | 1369 | 1866 | 2082 | 2030 |
Skargi do sądu na decyzje lub postanowienia wydane przez Prezesa UODO | 89 | 112 | 225 | 177 oraz 55 skarg kasacyjnych do NSA |
Zgłoszone naruszenia ochrony danych osobowych | 6039 | 7507 | 12946 | 12772 |
Decyzje administracyjne w związku ze stwierdzeniem naruszenia ochrony danych osobowych | brak danych | 13 | 36 | 25 |
Administracyjne kary pieniężne | 8 | 11 | 18 | 20 |
W roku 2022 r. do Urzędu Ochrony Danych Osobowych wpłynęło 6995 skarg, a zatem o 1323 skarg mniej niż w roku poprzednim. Jednak, jak wskazuje organ nadzorczy w swoim sprawozdaniu „duży wzrost skarg złożonych w 2021 roku, przełożył się na większą liczbę spraw prowadzonych w UODO także w analizowanym roku sprawozdawczym, które pozostawały w toku, i w których konieczne było podjęcie czynności niezbędnych do zebrania materiału dowodowego i wydania decyzji administracyjnej.”
W roku 2022 Prezes UODO wydał 2030 decyzji administracyjnych, co jest liczbą porównywalną do roku 2021, w którym wydanych zostało 2082 decyzje administracyjne i o 164 więcej w stosunku do roku 2020, w którym wydanych było 1866 decyzji.
Prezes UODO przeprowadzał czynności kontrolne w zakresie przestrzegania przepisów dotyczących ochrony danych w 40 podmiotach, na podstawie art. 58 RODO. Kontrole były przeprowadzane zarówno w oparciu o przyjęty plan kontroli, jak i w rezultacie powzięcia przez Prezesa UODO informacji o występujących nieprawidłowościach w związku z przetwarzaniem danych osobowych, a także w wyniku zgłoszenia naruszeń ochrony danych.
Prezes UODO nałożył administracyjne kary pieniężne na 20 podmiotów, w tym:
- 3 decyzje nakładające administracyjną karę pieniężną administratorowi danych, po przeprowadzeniu postępowania kontrolnego w przedmiocie przetwarzania danych osobowych;
- 16 decyzji nakładających administracyjną karę pieniężną w związku ze stwierdzonym naruszeniem ochrony danych osobowych (16 administratorów danych oraz 1 podmiot przetwarzający).
Łączna wysokość nałożonych kar wyniosła 7.850.861 zł tj. o ponad 5,5 mln zł więcej niż w roku 2021. Podobnie jak w roku 2021, jedna kara nałożona została na podstawie przepisów Prawa Telekomunikacyjnego, pozostałe orzeczone zostały za naruszenie przepisów RODO.
Trochę merytoryki …
Opublikowane sprawozdanie z działalności Prezesa UODO dostarcza wielu cennych informacji w zakresie stosowania przepisów prawa przez administratorów oraz poprawności procesów przetwarzania danych osobowych. Zwrócę uwagę na kilka aspektów.
Inspektor ochrony danych
W 2022 Prezes Urzędu Ochrony Danych Osobowych podjął działania mające na celu ocenę procesu powoływania i działania inspektorów ochrony danych. W ramach tych działań przeprowadzono kontrole w 4 podmiotach, a do 24 administratorów danych, którzy powołali IOD skierowano zapytania obejmujące 27 aspektów, o których więcej można przeczytać na stronie UODO.
Jakie wnioski może wyciągnąć dla siebie administrator danych z przeprowadzonych kontroli w tym przedmiocie?
- włączaj inspektora ochrony danych w sprawy dotyczące ochrony danych osobowych,
- podejmuj działania mające na celu zapewnienie inspektorowi ochrony danych zasobów niezbędnych do utrzymania jego wiedzy fachowej,
- ustal procedury zapewniające niezależność inspektora ochrony danych, w szczególności dotyczące zakazu otrzymywania instrukcji, wydawania poleceń, jak również zapewnienia, że w ramach wykonywania zadań inspektora ochrony danych nie będzie on odwoływany ani karany,
- nie zlecaj inspektorowi ochrony danych wykonywania zadań, które z mocy prawa należą do wyłącznych zadań administratorów, jak np. prowadzenie rejestru czynności przetwarzania, czy rejestru naruszeń ochrony danych osobowych.
Skargi składane przez osoby, których dane są przetwarzane
Z rodzaju skarg składanych w 2022 roku przez osoby, których dane dotyczyły, administrator danych może również wyciągnąć wnioski:
- przetwarzanie danych osobowych osób fizycznych musi posiadać właściwą przesłankę legalizującą ich przetwarzanie,
- udostępnianie danych osobowych zawsze musi posiadać właściwą podstawę prawną, aby uniknąć nieuprawnionego udostępnienia danych osobowych podmiotom nieuprawnionym,
- działania marketingowe z wykorzystaniem danych osobowych muszą być prowadzone w zgodzie z prawem,
- obowiązki informacyjne wynikające z RODO muszą być spełnianie,
- prawa podmiotów danych należy realizować np. przekazanie kopii danych, zgodnie z art. 15 RODO, sprostowanie danych, usunięcie danych wynikające z art. 17 RODO czy prawo sprzeciwu, o którym mowa w art. 21 RODO,
- przestrzegaj właściwych okresów retencji danych osobowych oraz usuwaj te, których okres przechowywania upłynął (dotyczy to również publikowania danych w Biuletynie Informacji Publicznej).
Sąsiedzki monitoring wizyjny
Skarżący wnosili, że sąsiedzi przetwarzają ich dane osobowe przy wykorzystaniu monitoringu wizyjnego bez podstawy prawnej. W odpowiedzi osoby skarżone wyjaśniły, że stosują monitoring w ramach czynności o charakterze czysto osobistym lub domowym, ponieważ zainstalowane kamery obejmują swoim zasięgiem wyłącznie obszar ich posesji, a do miejsc objętych monitoringiem wykraczających poza teren ich nieruchomości została zastosowana tzw. maska prywatności. Prezes UODO w swoim rozstrzygnięciu uwzględnił istotę wyroku TSUE w sprawie C-212/13. Zgodnie z tym wyrokiem, jeżeli system monitoringu wizyjnego, o ile obejmuje on ciągłe nagrywanie i przechowywanie danych osobowych i rozciąga się – „choćby częściowo na przestrzeń publiczną i tym samym jest skierowany poza sferę prywatną osoby dokonującej w ten sposób przetwarzania danych, o tyle nie powinien on być rozumiany jako czynność o czysto „osobistym lub domowym charakterze”. Ponadto organ nadzorczy uznał, że „maska prywatności”, czyli maskowanie obszaru na obrazie, który ma być wyłączony z nadzoru, jest procesem, który można odwrócić i użytkownik systemu monitoringu może go w dowolnym momencie zmienić. Dlatego nie można go uznać za skuteczne narzędzie, które trwale zapewni wyłączenie danego obszaru z monitoringu.
W związku z powyższym Prezes UODO nakazał zaprzestanie przetwarzania danych osobowych skarżących oraz ich usunięcie z dotychczas zebranych nagrań pochodzących z monitoringu wizyjnego obejmującego swoim zasięgiem drogę publiczną. W odniesieniu do kwestii realizacji obowiązku informacyjnego Prezes UODO stwierdził, że skarżeni nie spełnili obowiązku informacyjnego (na bramie garażu był tylko umieszczony znak informacyjny „obiekt monitorowany”). Prezes UODO udzielił skarżonym upomnienia we wskazanym zakresie.
Przetwarzanie przez pracodawcę danych osobowych pracownika w zakresie prywatnego numeru telefonu dla celów służbowych
Pracownik administratora nie wyraził zgody na przetwarzanie jego danych osobowych w zakresie prywatnego numeru telefonu dla celów służbowych, polegających na zapewnieniu bezpieczeństwa mienia administratora w ramach procesu aktywacji lub dezaktywacji systemu zabezpieczeń. Prezes UODO, po przeprowadzeniu postępowania administracyjnego wydał decyzję, mocą której m.in. udzielił administratorowi upomnienia za naruszenie artykułu 5 ust. 2 RODO oraz artykułu 6 ust. 1 RODO, poprzez przetwarzanie danych osobowych w zakresie numeru telefonu komórkowego bez podstawy prawnej.
Pracownik ponadto zwrócił się do Prezesa UODO z żądaniem nakazania administratorowi usunięcia danych osobowych skarżącego w zakresie jego numeru telefonu komórkowego. Prezes UODO uznał stanowisko skarżącego jako zasługujące na uwzględnienie.
Praktyczna rada od CompNet:
Często pracodawca uznaje po prostu za zasadne i normalne przetwarzanie danych pracownika w postaci jego prywatnego numeru telefonu. Jak jednak pokazuje ta sytuacja, pracodawca ma obowiązek przetwarzania danych osobowych zgodnie z prawem, z zachowaniem przesłanek, określonych w art. 6 RODO. W przypadku prywatnego numeru telefonu najczęściej stosowaną przesłanką jest zgoda pracownika na przetwarzanie jego danych (numeru telefonu) dla celów służbowych. Ponadto pracodawca powinien dysponować dowodem, że uzyskał zgodę pracownika w tym celu. Jak to może w praktyce wyglądać? Poniżej udostępniamy wzór zgody:
DOBROWOLNE OŚWIADCZENIE PRACOWNIKA
Wyrażam zgodę* / nie wyrażam zgody* na przetwarzanie moich danych osobowych w postaci prywatnego numeru telefonu przez ………………………….. w celach służbowych, w tym m.in. na udostępnienie wskazanych danych klientom oraz kontrahentom pracodawcy, wykorzystania numeru w ramach procesu aktywacji/dezaktywacji zabezpieczeń u pracodawcy (np. dwuskładnikowe uwierzytelnianie), inne ……………
Numer telefonu: ………………………………………………………………………
Jednocześnie zobowiązuje się poinformować pracodawcę w przypadku zmiany powyższych danych lub wycofania udzielonej zgody.
*) niewłaściwe skreślić
……………………………………………………….
Data oraz czytelny podpis
Administratorem Pana/Pani danych osobowych jest …………………………… Może się Pan/Pani z nim skontaktować drogą elektroniczną na adres e-mail: ………………, telefonicznie pod numerem ……………. lub tradycyjną pocztą na adres wskazany powyżej.
W sprawach związanych z Pana/Pani danymi proszę kontaktować się z Inspektorem Ochrony Danych pod adresem e-mail ……………………………
Pani/Pana dane osobowe będą przetwarzane przez Administratora na podstawie art. 6 ust. 1 lit. a Ogólnego rozporządzenia o ochronie danych osobowych (RODO) w związku z udzieloną zgodą. Udzielona zgoda może zostać przez Państwa cofnięta w każdym momencie, co nie wpływa na zgodność przetwarzania, którego dokonano do czasu jej cofnięcia.
Jeżeli nie skorzysta Pan/Pani z prawa do cofnięcia zgody, dane osobowe będą przechowywane przez okres ……………., a po tym czasie zostaną trwale usunięte.
Pełna informacja o przetwarzaniu Pana/Pani danych osobowych, w tym opis przysługujących Państwu praw, znajduje się na stronie internetowej ………………………. lub w siedzibie Administratora.
Udostępnianie danych osobowych na żądanie sądu
W 2022 roku do UODO wpływały pytania dotyczące legalności udostępniania dokumentów zawierających dane osobowe na żądanie sądu.
Organ nadzorczy konsekwentnie wskazywał, że udostępnienie danych osobowych jest realizacją obowiązku prawnego ciążącego na administratorze. Podstawę prawną udostępnienia stanowi art. 6 ust. 1 lit. c RODO:
- w procedurze karnej będzie to art. 15 § 2 lub art. 15 § 3 Kodeksu postepowania karnego,
- w postępowaniu cywilnym – art. 248 § 1 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego.
Czy należy podpisać umowę powierzenia z firmą sprzątającą?
UODO zwrócił uwagę, iż ocena statusu firmy sprzątającej będzie zależała przede wszystkim od tego, jaki jest zakres jej usług, tj. czy obejmują one – obok usług porządkowych – również np. niszczenie dokumentów lub inne działania, które nie mogą być realizowane bez dostępu do dokumentów lub innych nośników danych osobowych. Zdaniem organu nadzorczego usługi sprzątania powierzchni danego obiektu (np. uczelni, biura) trudno zaliczyć do usług związanych z przetwarzaniem danych osobowych. Należy zatem przyjąć, że co do zasady usługi takie nie wymagają powierzenia przetwarzania danych osobowych. Niemniej w przypadku korzystania przez administratora z takich usług (jak i innych usług wymagających dostępu do pomieszczeń administratora, w których przetwarzane są dane osobowe) – konieczne może się okazać zastosowanie odpowiednich środków technicznych i organizacyjnych, których celem będzie zapewnienie odpowiedniej ochrony danych osobowych, w tym przed nieuprawnionym ujawnieniem danych osobowych.
Jak w praktyce to zrobić? Przeczytaj o tym więcej na naszym blogu: Kto sprząta Twoje dane?
Naruszenia ochrony danych osobowych
Zadaniem Urzędu realizowanym od 25 maja 2018 r. jest przyjmowanie od administratorów zgłoszeń naruszeń ochrony danych osobowych, które stwarzają ryzyko naruszenia praw lub wolności osób fizycznych. Uzyskanie przez organ nadzorczy informacji o naruszeniu ochrony danych osobowych pozwala mu na reakcję i może doprowadzić do ograniczenia skutków takiego naruszenia, co przekłada się na zwiększenie poziomu ochrony praw i wolności osób, których dane dotyczą. W ubiegłym roku do Prezesa UODO wpłynęło 12.772 zawiadomienia o naruszeniu ochrony danych osobowych. Prezes Urzędu wystosował do administratorów danych osobowych dokonujących zgłoszeń naruszeń 637 pisemnych wezwań do złożenia wyjaśnień lub udzielił pisemnych informacji w związku z przypadkami naruszeń ochrony danych osobowych.
Analizując sprawozdanie można wskazać następujące, najczęściej zgłaszane, naruszenia ochrony danych osobowych:
- nieprawidłowe zaadresowanie korespondencji zarówno w formie tradycyjnej jak i elektronicznej,
- udostępnienie danych niewłaściwej osobie,
- nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja,
- zagubienie korespondencji przez operatora pocztowego lub otwarcie korespondencji przed zwróceniem jej do nadawcy,
- nieuprawniony dostęp do baz danych,
- zagubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej,
- zagubienie lub kradzież nośnika danych,
- wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych.
W każdym z naruszeń administratorzy danych podejmowali działania mające na celu zminimalizowanie skutków naruszenia ochrony danych osobowych dla osób fizycznych oraz prawdopodobieństwo ich ponownego wystąpienia w przyszłości, np.:
- przeprowadzali dodatkowe szkolenia pracowników z zakresu ochrony danych osobowych,
- dokonywali przeglądu obowiązujących polityk i procedur, w tym tych dotyczących przetwarzania danych poza siedzibą administratora,
- dokonywali aktualizacji baz danych,
- wdrażali środki bezpieczeństwa w postaci np. szyfrowania przesyłanej wiadomości czy wymuszenia dwukrotnego podania adresu do korespondencji w formularzu,
- zlecali zewnętrznym podmiotom świadczącym usługi informatyczne wykonanie audytów,
- przeprowadzali analizę nadawanych uprawnień, ograniczając je do takich, które są niezbędne pracownikom do wykonywania obowiązków służbowych,
- decydowali się na zastosowanie środków bezpieczeństwa w postaci szyfrowania urządzeń wykorzystywanych do przetwarzania danych osobowych,
- dokonywali weryfikacji w zakresie stosowania się przez pracowników do zasady ograniczonego czasu przechowywania danych osobowych,
- przeprowadzali dodatkowe testy bezpieczeństwa,
- aktualizowali programy antywirusowe i wiele innych.
To tylko niektóre wybrane aspekty działalności Prezesa Urzędu Ochrony Danych Osobowych w 2022 roku. Jeżeli dostrzegłeś obszary, w których możemy Ci pomóc, skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa w Twojej organizacji w ramach outsourcingu funkcji Inspektora ochrony danych lub dedykowanych audytów.
Skorzystaj z ponad 20-letniego doświadczenia CompNet i zoptymalizuj procesy i koszty ochrony danych osobowych!
Autor: Monika Kowalik, Dyrektor Projektu w CompNet Sp. z o.o.