RODO – pierwsze półrocze

08.02.2019 4 minuty na przeczytanie artykułu
Akademia Bezpieczeństwa Ekonomiczno-Prawnego

Minął już prawie rok od wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Początkowa panika i chaos wywołany nieprzygotowaniem polskich przedsiębiorców do wdrożenia nowych przepisów, co naturalne stracił w ciągu ostatnich miesięcy na sile.

Niemniej podsumowanie pierwszych miesięcy stosowania RODO nasuwa kilka niezwykle interesujących wniosków, zarówno negatywnych, jak i pozytywnych. Dzisiaj pochylamy się nad charakterystyką skarg, jakie wpłynęły w ciągu ostatnich miesięcy do Urzędu Ochrony Danych Osobowych, przyglądając się temu, czego najczęściej dotyczyły oraz jakie naruszenia przeważnie występowały w codzienności polskich administratorów danych.

Najczęstsze naruszenia ochrony danych osobowych

Serwis Niebezpiecznik zwrócił się na początku grudnia bezpośrednio do Urzędu Ochrony Danych Osobowych i za pośrednictwem rzecznika prasowego UODO — Agnieszki Świątek-Druś — uzyskał informację, m.in. o liczbie zgłoszeń, jakie wpłynęły do urzędu w ciągu ostatnich 6 miesięcy oraz rodzajach naruszeń, jakich najczęściej dopuszczali się administratorzy danych osobowych. Analizując przedstawione informacje, po raz kolejny należy dojść do wniosku, że to przede wszystkim zdrowy rozsądek i właściwie przeszkolony personel jest gwarantem odpowiedniego zabezpieczenia informacji podlegających ochronie. Nie zapominajmy, że to czynnik ludzki i błędy pracowników odpowiadają za większość przypadków wycieków danych osobowych.

I tak do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) od 25 maja tego roku wpłynęło:

  • 3700 skargdotyczących naruszenia zasad ochrony danych osobowych przez podmioty przetwarzające informacje o osobach fizycznych;
  • 1800 zgłoszeń dotyczących naruszeń ochrony danych osobowych, czyli wykonanie obowiązku zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
  • ponadto w kilkunastu przypadkach PUODO podjął działania z urzędu, w przypadku naruszeń zgłoszonych przez administratorów danych, a o których urząd uzyskał informację z innych źródeł lub został o nich poinformowany przez inny organ[1].

Z kolei zgłoszenia dotyczące naruszeń zasad ochrony danych osobowych najczęściej dotyczyły:

  • przesyłania dokumentacji administratora do osób nieuprawnionych (np. wysyłanie maili do wielu odbiorców bez skorzystania z opcji wysyłki UDW, czyli „ukryte do wiadomości” (ang. BCC – blind carbon copy);
  • zagubienia/kradzieży nośników elektronicznych/komputerów;
  • nieprawidłowego niszczenia dokumentacji przez administratorów (np. brak odpowiedniego zniszczenia dokumentów papierowych uniemożliwiających odczytanie zawartych w nich danych osobowych, chociażby poprzez wyrzucenie całych plików dokumentów do ogólnodostępnych miejsc utylizacji śmieci);
  • zagubienia dokumentacji papierowej przez administratora lub jego personel;
  • ataków hakerskich skutkujących pozyskaniem lub/i zaszyfrowaniem baz danych administratora[2].

Zalecenie PUODO

Również PUDO uznał, że sześć miesięcy obowiązywania nowych przepisów to odpowiedni czas na dokonanie pewnych podsumowań i ustaleń, a przede wszystkim zaleceń i wskazówek skierowanych do administratorów danych oraz osób, których dane dotyczą.  Poniżej kilka najbardziej istotnych.

  • Najważniejsze wskazówki dla administratorów — jak stosować RODO
  • należy pamiętać, że zgoda nie jest jedyną podstawą uprawniającą do przetwarzania danych osobowych, powinna być nawet stosowana tylko w sytuacji braku możliwości skorzystania z pozostałych podstaw przewidzianych przez przepisy prawa lub gdy dane są niezbędne do zawarcia umowy;
  • obowiązek informacyjny powinien zawierać w sobie więcej danych niż do tej pory. Przede wszystkim katalog uprawnień przysługujących podmiotom danych, w tym prawo do możliwości wycofania zgody oraz prawie wniesienia skargi do PUODO;
  • wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych muszą być zwięzłe, przejrzyste i zrozumiałe oraz sformułowane jasnym i prostym językiem. Nie ma potrzeby umieszczania każdej informacji na każdym możliwym etapie współpracy, wystarczy najpierw podać podstawowe informacje i poinformować, gdzie można zapoznać się z pozostałymi;
  • każdy administrator danych musi pamiętać, że w przypadku naruszenia ochrony danych osobowych, gdy ryzyko naruszenia tych praw i wolności jest wysokie, musi również powiadomić osoby, których dane zostały naruszone, najlepiej wraz ze wskazówkami co do dalszego postępowania;
  • RODO nie narzuca obowiązku tworzenia dodatkowej dokumentacji, lecz jedynie wprowadzenia wewnętrznych procedur, które mają zapewnić przestrzeganie RODO oraz możliwość wykazania prawidłowego przetwarzania danych osobowych[3].

Najważniejsze wskazówki — jak korzystać z praw gwarantowanych przez RODO:

  • każda z osób, której dane są przetwarzane, ma pełne prawo do informacji dotyczących tego, kto, na jakiej podstawie i po co przetwarza dotyczące jej dane osobowe;
  • jeśli podstawą przetwarzania danych jest świadoma i dobrowolna zgoda, to taka zgoda może być w każdym czasie wycofania i nie może to rodzić żadnych negatywnych konsekwencji;
  • należy pamiętać o tym, że prawo do bycia zapomnianym nie zawsze jest możliwe do zastosowania. Usunięcia danych na swój temat można żądać gdy: przetwarzanie danych osobowych utraciło cechę niezbędności; doszło do wycofania zgody na przetwarzanie danych; wniesiono sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania; przetwarzanie było niezgodnie z prawem; zaistniała konieczność wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego; dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku;
  • każdy, czyje dane osobowe zostały wykorzystane niezgodnie z prawem oraz ze szkodą majątkową lub niemajątkową, może dochodzić odszkodowania, wszczynając postępowanie przed sądem;
  • każdy, kto uważa, że dany podmiot narusza zasady ochrony danych osobowych może złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych
    (w zgłoszeniu należy wskazać swoje imię i nazwisko oraz adres, a także podać też pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania, podmiotu dopuszczającego się naruszeń[4].

 

[1] https://niebezpiecznik.pl/post/zgadnijcie-ile-naruszen-zgloszono-po-pierwszym-polroczu-rodo-i-jakie-problemy-daly-o-sobie-znac/?more

 

[2] Ibid.

[3] https://uodo.gov.pl/pl/171/578

[4] https://uodo.gov.pl/pl/171/579

Współfinansowane ze środków Fundacji PZU

Program dofinansowany ze środków Programu Fundusz Inicjatyw Obywatelskich 2018